《网络安全配置》ppt课件

1、1第第5章章 网络平安配置网络平安配置 中原工学院 计算机学院 网络工程系2学习目的学习目的掌握掌握NAT动态转换配置方法动态转换配置方法 掌握掌握NAT静态转换配置方法静态转换配置方法 掌握运用掌握运用IP ACL配置方法配置方法掌握扩展掌握扩展IP ACL定义方法定义方法 掌握规范掌握规范IP ACL定义方法定义方法35.1 ACL配置配置1ACL配置1ACL概述1配置规范ACL1运用ACL1配置扩展ACL1配置命名ACL 1ACL在网络中的运用位置1监视与维护ACL 1NAT配置 1实验练习uACL经过运用访问控制列表到路由器接口经过运用访问控制列表到路由器接口 u 来管理流量和审视特定

2、分组。来管理流量和审视特定分组。uACL适用于一切的路由协议，当分组经过适用于一切的路由协议，当分组经过 u 路由器时进展过滤。路由器时进展过滤。u可在路由器上配置可在路由器上配置ACL以控制对某一网络以控制对某一网络 u 或子网的访问。或子网的访问。uACL的定义必需基于协议。的定义必需基于协议。访问控制列表访问控制列表 Access Control List，ACL 是一个延续的允许和回绝语句的集合，关系是一个延续的允许和回绝语句的集合，关系 到地址或上层协议。到地址或上层协议。42一个一个ACL的配置是每协议、每接口、每的配置是每协议、每接口、每 方向的。方向的。3ACL的语句顺序决议了

3、对数据包的控制的语句顺序决议了对数据包的控制 顺序。顺序。4最有限制性的语句应放在最有限制性的语句应放在ACL语句的首语句的首 行。行。5在将在将ACL运用到接口之前，一定要先建运用到接口之前，一定要先建 立访问控制列表。立访问控制列表。6ACL的语句的语句 能被逐条地删除，只能一次能被逐条地删除，只能一次 性地删除整个访问控制列表。性地删除整个访问控制列表。7在在ACL的最后，有一条隐含的的最后，有一条隐含的“全部回绝全部回绝 的命令。的命令。8ACL只能过滤穿过路由器的数据流量，不只能过滤穿过路由器的数据流量，不 能过滤路由器本身发出的数据包。能过滤路由器本身发出的数据包。5.1 ACL配

4、置配置1ACL的列表号指出是哪种协议的的列表号指出是哪种协议的ACL定义定义ACL时所应遵照的规范：时所应遵照的规范：协议协议范围范围标准标准IPIP1-991-99扩展扩展IPIP100-199100-199AppleTalkAppleTalk600-699600-699标准标准IPXIPX800-899800-899扩展扩展IPXIPX900-999900-999IPX SAPIPX SAP1000-19991000-19991ACL配置1ACL概述1配置规范ACL1运用ACL1配置扩展ACL1配置命名ACL 1ACL在网络中的运用位置1监视与维护ACL 1NAT配置 1实验练习55.1

5、ACL配置配置为移除规范访问列表，运用该命令的为移除规范访问列表，运用该命令的no方式。方式。no access-list access-list-number在全局配置方式下在全局配置方式下l前提方式：前提方式：l命令格式：命令格式：l功能：功能：定义规范定义规范IP访问列表访问列表access-list access-list-number deny | permit source source-wildcardaccess-list-numberdeny permitsourcesource-wildcard访问列表访问列表编号编号在匹配条件语句在匹配条件语句时，回绝分组经时，回绝分组经

6、过过在匹配条件语句在匹配条件语句时，允许分组经时，允许分组经过过发送分组的源地址，指定源发送分组的源地址，指定源地址方式如下：地址方式如下：32位点分十进制。位点分十进制。运用关键字运用关键字any，作为，作为 55的源地址和源的源地址和源地址通配符的缩写字。地址通配符的缩写字。可选项通配符掩码，指定可选项通配符掩码，指定源地址通配符掩码方式如下：源地址通配符掩码方式如下：32位点分十进制。位点分十进制。运用关键字运用关键字any，作为，作为 55的源地址和源的源地址和源地址通配符的缩写字。地址通配符的缩写字。1A

7、CL配置1ACL概述1配置规范ACL1运用ACL1配置扩展ACL1配置命名ACL 1ACL在网络中的运用位置1监视与维护ACL 1NAT配置 1实验练习65.1 ACL配置配置通配符掩码通配符掩码:一个一个32比特的数字字符串。比特的数字字符串。0 表示检查相应位表示检查相应位 1 表示不检查相应位表示不检查相应位u通配符掩码跟通配符掩码跟IP地址是成对出现的。在通配符地址是成对出现的。在通配符u 掩码的地址位运用掩码的地址位运用1或或0阐明如何处置相应的阐明如何处置相应的IPu 地址位。地址位。uACL运用通配符掩码来标志一个或几个地址是运用通配符掩码来标志一个或几个地址是u 被允许，还是被

8、回绝。被允许，还是被回绝。一切主机一切主机: 55简写简写any特定的主机：特定的主机：9 简写简写host1ACL配置1ACL概述1配置规范ACL1运用ACL1配置扩展ACL1配置命名ACL 1ACL在网络中的运用位置1监视与维护ACL 1NAT配置 1实验练习75.1 ACL配置配置F例例 规范访问列表允许规范访问列表允许IP地址范围从地址范围从F 4到到27的设备访问。的设备访问。Routerconfig# access-list 1 permit

9、55Routerconfig# access-list 1 permit 55Routerconfig# access-list 1 permit 55F例例 规范访问列表允许来自三个指定网络上的规范访问列表允许来自三个指定网络上的F 主机访问。主机访问。Routerconfig# access-list 1 permit 4 3F例例 为了更容易地指定大量单独地址，假设通为了更容易地指定大量单独地址，假设通F 配符掩码都为配符掩码都为0，可以忽略。因此，如下三，可以忽略

10、。因此，如下三个个F 配置效果是一样的。配置效果是一样的。 Routerconfig# access-list 2 permit Routerconfig# access-list 2 permit host Routerconfig# access-list 2 permit 1ACL配置1ACL概述1配置规范ACL1运用ACL1配置扩展ACL1配置命名ACL 1ACL在网络中的运用位置1监视与维护ACL 1NAT配置 1实验练习85.1 ACL配置配置F例例 来自来自网络的主机被限制访问该路由网络的主机被

11、限制访问该路由F 器，但器，但网络中一切其它网络中一切其它IP主机被允许主机被允许。F 另外，地址另外，地址3主机允许访问该路由器。主机允许访问该路由器。Routerconfig# access-list 1 permit 3Routerconfig# access-list 1 deny 55 Routerconfig# access-list 1 permit 551ACL配置1ACL概述1配置规范ACL1运用ACL1配置扩展ACL1配置命名ACL 1ACL在网络中的运用

12、位置1监视与维护ACL 1NAT配置 1实验练习95.1 ACL配置配置F例例 运用列表运用列表101101过滤从以太网接口过滤从以太网接口0 0出站的分组。出站的分组。Router enableRouter# configure terminalRouterconfig# interface ethernet 0Routerconfig-if# ip access-group 101 out在接口配置方式下在接口配置方式下l前提方式：前提方式：l命令格式：命令格式：l功能：功能：运用一个运用一个IP访问列表到一个接口访问列表到一个接口ip access-group access-list-n

13、ame | access-list-number in | out 为移除一个为移除一个IP访问列表，运用该命令的访问列表，运用该命令的no方式。方式。 no ip access-group access-list-number | access-list-name in | out access-list-numberin outIP访问列表的号码访问列表的号码 入站过滤分组入站过滤分组出站过滤分组出站过滤分组access-list-nameIP访问列表名字访问列表名字1ACL配置1ACL概述1配置规范ACL1运用ACL1配置扩展ACL1配置命名ACL 1ACL在网络中的运用位置1监视与维护

14、ACL 1NAT配置 1实验练习105.1 ACL配置配置F例例 定义访问列表只允许在网络定义访问列表只允许在网络上上F 的主机衔接到路由器上虚拟终端端口。的主机衔接到路由器上虚拟终端端口。 Routerconfig# access-list 12 permit 55Routerconfig# line 1 5Routerconfig-line# access-class 12 in在线路配置方式下在线路配置方式下l前提方式：前提方式：l命令格式：命令格式：l功能：功能：限制一个特定的限制一个特定的vty之间的传入和之间的传入和 传出

15、衔接和在访问列表中的地址传出衔接和在访问列表中的地址access-class access-list-number in | out 为移除访问限制，运用该命令的为移除访问限制，运用该命令的no方式。方式。no access-class access-list-number in | outin out在传入衔接限制在传入衔接限制在传出衔接限制在传出衔接限制access-list-numberIP访问列表的号码访问列表的号码1ACL配置1ACL概述1配置规范ACL1运用ACL1配置扩展ACL1配置命名ACL 1ACL在网络中的运用位置1监视与维护ACL 1NAT配置 1实验练习115.1 AC

16、L配置配置扩展扩展ACLu既可检查分组的源地址和目的地址，也既可检查分组的源地址和目的地址，也u 检查协议类型和检查协议类型和TCP或或UDP的端口号。的端口号。u可以基于分组的源地址、目的地址、协可以基于分组的源地址、目的地址、协u 议类型、端口地址和运用来决议访问是议类型、端口地址和运用来决议访问是u 被允许或者被回绝。被允许或者被回绝。1ACL配置1ACL概述1配置规范ACL1运用ACL1配置扩展ACL1配置命名ACL 1ACL在网络中的运用位置1监视与维护ACL 1NAT配置 1实验练习125.1 ACL配置配置在全局配置方式下在全局配置方式下l前提方式：前提方式：l命令格式：命令格式

17、：l功能：功能：定义扩展定义扩展IP访问列表访问列表access-list access-list-number deny | permit protocol source source-wildcard destination destination-wildcard为移除访问列表，运用该命令的为移除访问列表，运用该命令的no方式。方式。no access-list access-list-number Internet Control Message Protocol (ICMP) access-list-numberdeny permit protocol sourcesource-wi

18、ldcard destinationdestination-wildcard访问控制访问控制列表编号列表编号假设条件符合假设条件符合就回绝访问就回绝访问假设条件符合假设条件符合就允许访问就允许访问Internet协议协议称号或号码称号或号码发送分组的网发送分组的网络号或主机络号或主机运用于源地址运用于源地址的反向掩码的反向掩码分组的目的网分组的目的网络号或主机络号或主机运用于目的地运用于目的地址的反向掩码址的反向掩码1ACL配置1ACL概述1配置规范ACL1运用ACL1配置扩展ACL1配置命名ACL 1ACL在网络中的运用位置1监视与维护ACL 1NAT配置 1实验练习135.1 ACL配置配

19、置F例例 串行接口串行接口0是地址为是地址为的的B类网络的一类网络的一F 部分，邮件主机的地址为部分，邮件主机的地址为。establishedF 关键字只用在关键字只用在TCP协议，表示一个建立的衔接协议，表示一个建立的衔接。F 假设假设TCP数据包中的数据包中的ACK或或RST被设置，那么被设置，那么匹匹 F 配发生，阐明分组属于一个存在的衔接。配发生，阐明分组属于一个存在的衔接。Routerconfig# access-list 102 permit tcp 55 55 es

20、tablishedRouterconfig# access-list 102 permit tcp 55 eq 25Routerconfig# interface serial 0Routerconfig-if# ip access-group 102 inF例例 允许允许DNS分组和分组和ICMP回送和回送回答分组。回送和回送回答分组。Routerconfig# access-list 102 permit tcp any 55 establishedRouterconfig#

21、 access-list 102 permit tcp any host eq smtpRouterconfig# access-list 102 permit tcp any any eq domainRouterconfig# access-list 102 permit udp any any eq domainRouterconfig# access-list 102 permit icmp any any echoRouterconfig# access-list 102 permit icmp any any echo-reply1ACL配置1ACL概述1配置规

22、范ACL1运用ACL1配置扩展ACL1配置命名ACL 1ACL在网络中的运用位置1监视与维护ACL 1NAT配置 1实验练习145.1 ACL配置配置F例例 串行接口串行接口0衔接路由器到衔接路由器到Internet。IGMPF 的的host-report报文被制止在任何内部主机报文被制止在任何内部主机与与F 任何任何Internet上外部主机之间传送。上外部主机之间传送。Routerconfig# access-list 102 deny igmp any any host-report Routerconfig# interface serial 0Routerconfig-if# ip

23、access-group 102 outF例例 以太网接口以太网接口0衔接路由器到防火墙以访问衔接路由器到防火墙以访问F Internet。为了确保。为了确保Internet RIP报文不进报文不进入入 F 路由器，运用了路由器，运用了ACL104的回绝的回绝RIP UDP报报F 文的入站过滤器。文的入站过滤器。Routerconfig# access-list 104 permit udp any any neq rip Routerconfig# access-list 104 deny udp any any eq rip Routerconfig# interface serial 0

24、Routerconfig-if# ip access-group 104 in1ACL配置1ACL概述1配置规范ACL1运用ACL1配置扩展ACL1配置命名ACL 1ACL在网络中的运用位置1监视与维护ACL 1NAT配置 1实验练习155.1 ACL配置配置运用命名运用命名ACL有以下益处：有以下益处：1直观直观2不受不受99条规范条规范ACL和和100条扩展条扩展ACL的限制的限制 3方便修正方便修正在全局配置方式下在全局配置方式下l前提方式：前提方式：l命令格式：命令格式：l功能：功能：定义一个运用称号或编号的定义一个运用称号或编号的IP访问列表访问列表 ip access-list s

25、tandard | extended access-list-name | access-list-number 移除移除IP访问列表，运用该命令的访问列表，运用该命令的no方式。方式。no ip access-list standard | extended access-list-name | access-list-number standard extendedaccess-list-name access-list-number规范规范IP访访问列表问列表扩展扩展IP访访问列表问列表IP访问列访问列表称号表称号访问列表访问列表的编号的编号1ACL配置1ACL概述1配置规范ACL1运用

26、ACL1配置扩展ACL1配置命名ACL 1ACL在网络中的运用位置1监视与维护ACL 1NAT配置 1实验练习165.1 ACL配置配置F例例 定义规范访问列表，命名为定义规范访问列表，命名为Internetfilter。Routerconfig# ip access-list standard InternetfilterRouterconfig-std-nacl# permit 55Routerconfig-std-nacl# permit 55Routerconfig-std-nacl# permit 10.0.0

27、.0 55在实现命名在实现命名ACL之前，需求思索：之前，需求思索：111.2之前版本的之前版本的Cisco IOS软件不支持软件不支持 命名命名ACL。2不可以以同一名字命名多个不可以以同一名字命名多个ACL。F例例 定义扩展访问列表，命名为定义扩展访问列表，命名为server-accessRouterconfig# ip access-list extended server-accessRouterconfig-ext-nacl# permit tcp any host 9 eq smtpRouterconfig-ext-nacl# per

28、mit tcp any host 9 eq domainRouterconfig-ext-nacl# permit ip any any 1ACL配置1ACL概述1配置规范ACL1运用ACL1配置扩展ACL1配置命名ACL 1ACL在网络中的运用位置1监视与维护ACL 1NAT配置 1实验练习175.1 ACL配置配置F例例 定义扩展访问列表，命名为定义扩展访问列表，命名为server-accessRouterconfig# ip access-list extended server-accessRouterconfig-ext-nacl# permit tcp a

29、ny host 9 eq smtpRouterconfig-ext-nacl# permit tcp any host 9 eq domainRouterconfig-ext-nacl# permit ip any any F例例 从规范命名从规范命名ACL中删除单独的中删除单独的ACE。Routerconfig# ip access-list standard border-listRouterconfig-ext-nacl# no permit ip host anyF例例 从规范命名从规范命名ACL中删除单独的中删除单

30、独的ACE。Routerconfig# ip access-list standard border-listRouterconfig-ext-nacl# no permit ip host any1ACL配置1ACL概述1配置规范ACL1运用ACL1配置扩展ACL1配置命名ACL 1ACL在网络中的运用位置1监视与维护ACL 1NAT配置 1实验练习185.1 ACL配置配置命令如下：命令如下： Routerconfig# access-list 1 deny host Routerconfig# access-list 1 permit any扩展的扩

31、展的ACL命令如下：命令如下：Routerconfig# access-list 101 deny ip host host Routerconfig# access-list 101 permit ip any any放置放置ACL的普通原那么是：的普通原那么是：u扩展扩展ACL尽能够放置在间隔尽能够放置在间隔 要被回绝的要被回绝的u 通讯量近的地方。通讯量近的地方。u规范规范ACL应该尽能够放置在间隔应该尽能够放置在间隔 目的地目的地u 最近的地方。最近的地方。u假设要制止假设要制止PC3访问访问PC1，可以在网络中，可以在网络中u 运用规范的运用规范

32、的ACL1ACL配置1ACL概述1配置规范ACL1运用ACL1配置扩展ACL1配置命名ACL 1ACL在网络中的运用位置1监视与维护ACL 1NAT配置 1实验练习195.1 ACL配置配置运用的位置运用的位置1ACL配置1ACL概述1配置规范ACL1运用ACL1配置扩展ACL1配置命名ACL 1ACL在网络中的运用位置1监视与维护ACL 1NAT配置 1实验练习205.1 ACL配置配置F例例 查看全部查看全部ACL。Router#show access-listsStandard IP access list 1 deny , wildcard bits 0.0.0.

33、255 permit anyExtended IP access list 101 deny tcp 55 .255 eq ftp permit ip any any在用户方式或特权方式下在用户方式或特权方式下l前提方式：前提方式：l命令格式：命令格式：l功能：功能：显示当前访问列表的内容显示当前访问列表的内容show access-lists access-list-number | access-list-nameaccess-list-numberaccess-list-name可选项可选项 访问访问列表编号列表

34、编号可选项可选项 访问访问列表称号列表称号1ACL配置1ACL概述1配置规范ACL1运用ACL1配置扩展ACL1配置命名ACL 1ACL在网络中的运用位置1监视与维护ACL 1NAT配置 1实验练习215.1 ACL配置配置在特权方式下在特权方式下l前提方式：前提方式：l命令格式：命令格式：l功能：功能：显示一切当前显示一切当前IP访问列表的内容访问列表的内容show ip access-list access-list-number | access-list-name | interface interface-name in | outaccess-list-numberaccess-l

35、ist-name interface interface-namein out可选项可选项 IP访访问列表编问列表编号号可选项可选项 IP访访问列表称问列表称号号可选项可选项 接口接口称号称号可选项可选项 输入接输入接口统计信口统计信息息可选项可选项 输出接输出接口统计信口统计信息息1ACL配置1ACL概述1配置规范ACL1运用ACL1配置扩展ACL1配置命名ACL 1ACL在网络中的运用位置1监视与维护ACL 1NAT配置 1实验练习225.1 ACL配置配置F例例 显示一切访问列表。显示一切访问列表。Router# show ip access-listExtended IP access

36、 list 101 deny udp any any eq ntp permit tcp any any permit udp any any eq tftp permit icmp any any permit udp any any eq domainF例例 显示指定称号的访问列表。显示指定称号的访问列表。Router# show ip access-list InternetfilterExtended IP access list Internetfilterpermit tcp any 55 eq telnetdeny tcp any anyd

37、eny udp any 55 lt 1024 deny ip any any logF例例 显示快速以太网接口显示快速以太网接口0/0的输入统计信息的输入统计信息Router# show ip access-list interface FastEthernet0/0 in Extended IP access list 150 in 10 permit ip host any 30 permit ip host any 15 matches1ACL配置1ACL概述1配置规范ACL1运用ACL1配置扩展ACL1配置命名

38、ACL 1ACL在网络中的运用位置1监视与维护ACL 1NAT配置 1实验练习235.1 ACL配置配置F例例 去除访问列表去除访问列表101的计数器。的计数器。Router# clear access-list counters 101在特权方式下在特权方式下l前提方式：前提方式：l命令格式：命令格式：l功能：功能：去除访问列表的计数器去除访问列表的计数器clear access-list counters access-list-number | access-list-nameaccess-list-number access-list-name访问列表访问列表编号编号访问列表访问列表称

39、号称号1ACL配置1ACL概述1配置规范ACL1运用ACL1配置扩展ACL1配置命名ACL 1ACL在网络中的运用位置1监视与维护ACL 1NAT配置 1实验练习245.2 NAT配置配置0ACL配置0NAT配置0 NAT概述0内部源地址静态转换0内部源地址动态转换0内部源地址复用动态转换0修正转换超时0监视与维护NAT0实验练习网络地址转换网络地址转换NAT,Network Address Translation静态转换静态转换Static Nat动态转换动态转换Dynamic Nat端口多路复用端口多路复用OverLoad NAT的实现方式的实现方式:仅以加强的网络形状作为补充，而仅以加强

40、的网络形状作为补充，而忽略了忽略了IP地址端对端的重要性。地址端对端的重要性。NAT处理方法的缺乏处理方法的缺乏:u Inside Local IP Address，内部本地地址，内部本地地址u Inside Global IP Address，内部全局地址，内部全局地址u Outside Local IP Address，外部本地地址，外部本地地址u Outside Glocal IP Address，外部全局地址，外部全局地址NAT运用以下地址定义：运用以下地址定义：255.2 NAT配置配置静态静态NAT转换转换0ACL配置0NAT配置0 NAT概述0内部源地址静态转换0内部源地址动态转

41、换0内部源地址复用动态转换0修正转换超时0监视与维护NAT0实验练习265.2 NAT配置配置在全局配置方式下在全局配置方式下l前提方式：前提方式： l静态静态NAT命令格式：命令格式： l功能：功能： 启用内部源地址的启用内部源地址的NAT静态转换静态转换ip nat inside source static local-ip global-ip为移除静态转换，运用该命令的为移除静态转换，运用该命令的no方式。方式。no ip nat inside source static local-ip global-ip内部网络内部网络主机本地主机本地IP地址地址内部主内部主机全局机全局IP地址地址

42、local-ip global-ip0ACL配置0NAT配置0 NAT概述0内部源地址静态转换0内部源地址动态转换0内部源地址复用动态转换0修正转换超时0监视与维护NAT0实验练习275.2 NAT配置配置l端口静态端口静态NAT命令格式：命令格式： ip nat inside source static tcp | udp local-ip local-port global-ip global-port | interface global-port为移除静态转换，运用该命令的为移除静态转换，运用该命令的no方式。方式。no ip nat inside source static tcp

43、| udp local-ip local-port global-ip global-port | interface global-portl网络静态网络静态NAT命令格式：命令格式： ip nat inside source static network local-network global-network mask为移除静态转换，运用该命令的为移除静态转换，运用该命令的no方式。方式。no ip nat inside source static network local-network global-network masktcp udplocal-portglobal-port传

44、输控制传输控制协议协议用户数据用户数据报协议报协议本地本地TCP/UDP端口号端口号全局全局TCP/UDP端口号端口号local-network global-network mask本地子网本地子网转换转换全局子网全局子网转换转换子网转换子网转换运用的运用的IP网络掩码网络掩码0ACL配置0NAT配置0 NAT概述0内部源地址静态转换0内部源地址动态转换0内部源地址复用动态转换0修正转换超时0监视与维护NAT0实验练习285.2 NAT配置配置在接口配置方式下在接口配置方式下l前提方式：前提方式： l命令格式：命令格式： l功能：功能： 指定接口对指定接口对NAT是流量来源或者目的是流量来源

45、或者目的ip nat inside | outside为阻止接口可以转发，运用该命令的为阻止接口可以转发，运用该命令的no方式。方式。no ip nat inside | outsideinside outside可选项阐可选项阐明接口衔接到明接口衔接到外部网络外部网络可选项阐可选项阐明接口衔接到明接口衔接到内部网络内部网络0ACL配置0NAT配置0 NAT概述0内部源地址静态转换0内部源地址动态转换0内部源地址复用动态转换0修正转换超时0监视与维护NAT0实验练习295.2 NAT配置配置F例例 静态静态NAT配置配置0ACL配置0NAT配置0 NAT概述0内部源地址静态转换0内部源地址动态

46、转换0内部源地址复用动态转换0修正转换超时0监视与维护NAT0实验练习305.2 NAT配置配置1配置静态配置静态NAT映射映射Routerconfig#ip nat inside source static Routerconfig#ip nat inside source static 2配置配置NAT内部接口内部接口Routerconfig#interface fastethernet 0/1Routerconfig-if#ip nat inside3配置配置NAT外部接口外部接口Routerconf

47、ig-if#interface serial 1/0Routerconfig-if#ip nat outside在在PC0和和PC1上上ping 路由器路由器Router1的的 串行接口串行接口1/0,此时应该是通的，路由器此时应该是通的，路由器Router0 的输出信息如下的输出信息如下 ： Router#debug ip natIP NAT debugging is onRouter#NAT: s=-, d=0NAT*: s=, d=-0NAT:

48、s=-, d=0NAT*: s=, d=-00ACL配置0NAT配置0 NAT概述0内部源地址静态转换0内部源地址动态转换0内部源地址复用动态转换0修正转换超时0监视与维护NAT0实验练习315.2 NAT配置配置查看查看NAT表表Router# show ip nat translationsPro Inside global Inside local Outside local Outside global- - - 20

49、 - -0ACL配置0NAT配置0 NAT概述0内部源地址静态转换0内部源地址动态转换0内部源地址复用动态转换0修正转换超时0监视与维护NAT0实验练习325.2 NAT配置配置动态动态NAT转换转换0ACL配置0NAT配置0 NAT概述0内部源地址静态转换0内部源地址动态转换0内部源地址复用动态转换0修正转换超时0监视与维护NAT0实验练习335.2 NAT配置配置在全局配置方式下在全局配置方式下l前提方式：前提方式： l命令格式：命令格式： l功能：功能： 定义定义NAT的的IP地址池地址池ip nat pool name start-ip end-

50、ip netmask netmask | prefix-length prefix-length 为从池中移除一个或多个地址，运用该命令为从池中移除一个或多个地址，运用该命令的的no方式。方式。no ip nat pool name start-ip end-ip netmask netmask | prefix-length prefix-length namestart-ipend-ipnetmask netmaskprefix-length prefix-length地址池名地址池名地址池中起始地址池中起始IP地址地址地址池中终了地址池中终了IP地址地址地址池所属网地址池所属网络的网络掩

51、码络的网络掩码地址池所属网地址池所属网络的网络掩码络的网络掩码前缀长度前缀长度0ACL配置0NAT配置0 NAT概述0内部源地址静态转换0内部源地址动态转换0内部源地址复用动态转换0修正转换超时0监视与维护NAT0实验练习345.2 NAT配置配置在全局配置方式下在全局配置方式下l前提方式：前提方式： l命令格式：命令格式： l功能：功能： 定义一个规范访问控制列表定义一个规范访问控制列表以允许地址被转换以允许地址被转换access-list access-list-number deny | permit source source-wildcard为移除规范访问列表，运用该命令的为移除规范

52、访问列表，运用该命令的no方式。方式。no access-list access-list-number0ACL配置0NAT配置0 NAT概述0内部源地址静态转换0内部源地址动态转换0内部源地址复用动态转换0修正转换超时0监视与维护NAT0实验练习355.2 NAT配置配置在全局配置方式下在全局配置方式下l前提方式：前提方式： l命令格式：命令格式： l功能：功能： 启用内部源地址的启用内部源地址的NATip nat inside source list access-list-number | access-list-name interface type number | pool nam

53、e overload为移除到地址池动态关联，运用该命令的为移除到地址池动态关联，运用该命令的no方式。方式。no ip nat inside source list access-list-number | access-list-name interface type number | pool name overload access-list-number access-list-nameinterface type numberpool nameoverload规范规范IP访问列访问列表的编号表的编号规范规范IP访问列访问列表的称号表的称号全局地址的接全局地址的接口类型、编号口类型、编

54、号全局全局IP地址动地址动态分配的地址态分配的地址池的称号池的称号可选项多可选项多个本地地址运个本地地址运用一个全局地用一个全局地址址0ACL配置0NAT配置0 NAT概述0内部源地址静态转换0内部源地址动态转换0内部源地址复用动态转换0修正转换超时0监视与维护NAT0实验练习365.2 NAT配置配置F例例 动态动态NAT配置配置0ACL配置0NAT配置0 NAT概述0内部源地址静态转换0内部源地址动态转换0内部源地址复用动态转换0修正转换超时0监视与维护NAT0实验练习375.2 NAT配置配置配置动态配置动态NAT转换的地址池。转换的地址池。Routerconfig#ip nat poo

55、l NAT 00 netmask Routerconfig#ip nat inside source list 1 pool NATRouterconfig#access-list 1 permit 55Routerconfig#interface fastethernet 0/1Routerconfig-if#ip nat insideRouterconfig-if#interface serial 1/0Routerconfig-if#ip nat outside配置动态配置动态NAT

56、映射。映射。允许动态允许动态NAT转换的内部地址范围。转换的内部地址范围。0ACL配置0NAT配置0 NAT概述0内部源地址静态转换0内部源地址动态转换0内部源地址复用动态转换0修正转换超时0监视与维护NAT0实验练习385.2 NAT配置配置在在PC0和和PC1上上ping 路由器路由器 Router1的串行接口的串行接口1/0,此时应该是通的此时应该是通的， 路由器路由器Router0的输出信息如下：的输出信息如下：Router#debug ip natIP NAT debugging is onRouter#NAT: s=-,

57、 d=3NAT*: s=, d=-3NAT: s=-, d=4NAT*: s=, d=-4假设动态地址池中的没有足够的地址进展动假设动态地址池中的没有足够的地址进展动 态映射，那么会出现类似下面的信息，提态映射，那么会出现类似下面的信息，提示示 NAT转换失败，并丢弃数据包。转换失败，并丢弃数据包。Router#show ip nat translationsPro Inside globa

58、l Inside local Outside local Outside global- - - - -0ACL配置0NAT配置0 NAT概述0内部源地址静态转换0内部源地址动态转换0内部源地址复用动态转换0修正转换超时0监视与维护NAT0实验练习395.2 NAT配置配置查看查看NAT转换的统计信息。转换的统计信息。Router#show ip nat statisticsTotal translations: 2 0 static, 2 dynamic, 0 extendedOutside Inte

59、rfaces: Serial1/0Inside Interfaces: FastEthernet0/1Hits: 43 Misses: 4Expired translations: 0Dynamic mappings:- Inside Sourceaccess-list 1 pool NAT refCount 2pool NAT: netmask start end 00 type generic, total addresses 98 , allocated 2 2%, misses 00ACL配置0NAT配置0 NAT概

60、述0内部源地址静态转换0内部源地址动态转换0内部源地址复用动态转换0修正转换超时0监视与维护NAT0实验练习405.2 NAT配置配置PAT转换转换0ACL配置0NAT配置0 NAT概述0内部源地址静态转换0内部源地址动态转换0内部源地址复用动态转换0修正转换超时0监视与维护NAT0实验练习415.2 NAT配置配置例例 配置配置PAT0ACL配置0NAT配置0 NAT概述0内部源地址静态转换0内部源地址动态转换0内部源地址复用动态转换0修正转换超时0监视与维护NAT0实验练习425.2 NAT配置配置1配置动态配置动态NAT转换的地址池转换的地址池Routerconfig#ip nat po