收藏
下载资源 优惠套餐

网络安讲义全配置课件.ppt

上传人(卖家):晟晟文业 文档编号:4240395 上传时间:2022-11-22 格式:PPT 页数:55 大小:1.35MB
下载 相关 举报
网络安讲义全配置课件.ppt_第1页
第1页 / 共55页
网络安讲义全配置课件.ppt_第2页
第2页 / 共55页
网络安讲义全配置课件.ppt_第3页
第3页 / 共55页
网络安讲义全配置课件.ppt_第4页
第4页 / 共55页
网络安讲义全配置课件.ppt_第5页
第5页 / 共55页
点击查看更多>>
资源描述

1、眼镜小生制作此处加标题网络安全配置2学习目标学习目标掌握掌握NAT动态转换配置方法动态转换配置方法 掌握掌握NAT静态转换配置方法静态转换配置方法 掌握应用掌握应用IP ACL配置方法配置方法掌握扩展掌握扩展IP ACL定义方法定义方法 掌握标准掌握标准IP ACL定义方法定义方法35.1 ACL配置配置1ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL 0NAT配置 0实验练习uACL通过应用访问控制列表到路由器接口通过应用访问控制列表到路由器接口 来管理流量和审视特定分组。来管理流量和审视特定分组。uACL适用于所有的路由协

2、议,当分组经过适用于所有的路由协议,当分组经过 路由器时进行过滤。路由器时进行过滤。u可在路由器上配置可在路由器上配置ACL以控制对某一网络以控制对某一网络 或子网的访问。或子网的访问。uACL的定义必须基于协议。的定义必须基于协议。访问控制列表访问控制列表(Access Control List,ACL)是一个连续的允许和拒绝语句的集合,关系是一个连续的允许和拒绝语句的集合,关系 到地址或上层协议。到地址或上层协议。4(2)一个)一个ACL的配置是每协议、每接口、每的配置是每协议、每接口、每 方向的。方向的。(3)ACL的语句顺序决定了对数据包的控制的语句顺序决定了对数据包的控制 顺序。顺序

3、。(4)最有限制性的语句应放在)最有限制性的语句应放在ACL语句的首语句的首 行。行。(5)在将)在将ACL应用到接口之前,一定要先建应用到接口之前,一定要先建 立访问控制列表。立访问控制列表。(6)ACL的语句的语句 能被逐条地删除,只能一次能被逐条地删除,只能一次 性地删除整个访问控制列表。性地删除整个访问控制列表。(7)在)在ACL的最后,有一条隐含的的最后,有一条隐含的“全部拒绝全部拒绝”的命令。的命令。(8)ACL只能过滤穿过路由器的数据流量,不只能过滤穿过路由器的数据流量,不 能过滤路由器本身发出的数据包。能过滤路由器本身发出的数据包。5.1 ACL配置配置(1)ACL的列表号指出

4、是哪种协议的的列表号指出是哪种协议的ACL定义定义ACL时所应遵循的规范:时所应遵循的规范:协议协议范围范围标准标准IPIP1-991-99扩展扩展IPIP100-199100-199AppleTalkAppleTalk600-699600-699标准标准IPXIPX800-899800-899扩展扩展IPXIPX900-999900-999IPX SAPIPX SAP1000-19991000-19991ACL配置ACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL 0NAT配置 0实验练习55.1 ACL配置配置为移除标准访问列表,使用该

5、命令的为移除标准访问列表,使用该命令的no形式。形式。no access-list access-list-number在全局配置模式下在全局配置模式下l前提模式:前提模式:l命令格式:命令格式:l功能:功能:定义标准定义标准IP访问列表访问列表access-list access-list-number deny|permit source source-wildcardaccess-list-numberdeny permitsourcesource-wildcard访问列表访问列表编号编号在匹配条件语句在匹配条件语句时,拒绝分组通时,拒绝分组通过过在匹配条件语句在匹配条件语句时,允许分组

6、通时,允许分组通过过发送分组的源地址,指定源发送分组的源地址,指定源地址方式如下:地址方式如下:32位点分十进制。位点分十进制。使用关键字使用关键字any,作为,作为0.0.0.0 255.255.255.255的源地址和源的源地址和源地址通配符的缩写字。地址通配符的缩写字。(可选项)通配符掩码,指定(可选项)通配符掩码,指定源地址通配符掩码方式如下:源地址通配符掩码方式如下:32位点分十进制。位点分十进制。使用关键字使用关键字any,作为,作为0.0.0.0 255.255.255.255的源地址和源的源地址和源地址通配符的缩写字。地址通配符的缩写字。1ACL配置oACL概述配置标准ACL应

7、用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL 0NAT配置 0实验练习65.1 ACL配置配置通配符掩码通配符掩码:一个一个32比特的数字字符串。比特的数字字符串。0 表示检查相应位表示检查相应位 1 表示不检查相应位表示不检查相应位u通配符掩码跟通配符掩码跟IP地址是成对出现的。在通配符地址是成对出现的。在通配符 掩码的地址位使用掩码的地址位使用1或或0表明如何处理相应的表明如何处理相应的IP 地址位。地址位。uACL使用通配符掩码来标志一个或几个地址是使用通配符掩码来标志一个或几个地址是 被允许,还是被拒绝。被允许,还是被拒绝。所有主机所有主机:0.0.0

8、.0 255.255.255.255简写简写any特定的主机:特定的主机:172.30.16.29 0.0.0.0简写简写host1ACL配置oACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL 0NAT配置 0实验练习75.1 ACL配置配置F例例 标准访问列表允许标准访问列表允许IP地址范围从地址范围从 10.29.2.64到到10.29.2.127的设备访问。的设备访问。Router(config)#access-list 1 permit 192.168.34.0 0.0.0.255Router(config)#access-lis

9、t 1 permit 10.88.0.0 0.0.255.255Router(config)#access-list 1 permit 10.0.0.0 0.255.255.255F例例 标准访问列表允许来自三个指定网络上的标准访问列表允许来自三个指定网络上的 主机访问。主机访问。Router(config)#access-list 1 permit 10.29.2.64 0.0.0.63F例例 为了更容易地指定大量单独地址,如果通为了更容易地指定大量单独地址,如果通 配符掩码都为配符掩码都为0,可以忽略。因此,如下三个,可以忽略。因此,如下三个 配置效果是一样的。配置效果是一样的。Route

10、r(config)#access-list 2 permit 10.48.0.3Router(config)#access-list 2 permit host 10.48.0.3Router(config)#access-list 2 permit 10.48.0.3 0.0.0.01ACL配置oACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL 0NAT配置 0实验练习85.1 ACL配置配置F例例 来自来自10.8.1.0网络的主机被限制访问该路由网络的主机被限制访问该路由 器,但器,但10.0.0.0网络中所有其它网络中所有其它IP

11、主机被允许。主机被允许。另外,地址另外,地址10.8.1.23主机允许访问该路由器。主机允许访问该路由器。Router(config)#access-list 1 permit 10.8.1.23Router(config)#access-list 1 deny 10.8.1.0 0.0.0.255 Router(config)#access-list 1 permit 10.0.0.0 0.255.255.2551ACL配置oACL概述配置标准ACL应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL 0NAT配置 0实验练习95.1 ACL配置配置F例例 应用列

12、表应用列表101101过滤从以太网接口过滤从以太网接口0 0出站的分组。出站的分组。Router enableRouter#configure terminalRouter(config)#interface ethernet 0Router(config-if)#ip access-group 101 out在接口配置模式下在接口配置模式下l前提模式:前提模式:l命令格式:命令格式:l功能:功能:应用一个应用一个IP访问列表到一个接口访问列表到一个接口ip access-group access-list-name|access-list-number in|out 为移除一个为移除一个IP

13、访问列表,使用该命令的访问列表,使用该命令的no形式。形式。no ip access-group access-list-number|access-list-name in|out access-list-numberin outIP访问列表的号码访问列表的号码 入站过滤分组入站过滤分组出站过滤分组出站过滤分组access-list-nameIP访问列表名字访问列表名字1ACL配置oACL概述o配置标准ACL应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL 0NAT配置 0实验练习105.1 ACL配置配置F例例 定义访问列表只允许在网络定义访问列表只允许在网

14、络192.89.55.0上上 的主机连接到路由器上虚拟终端端口。的主机连接到路由器上虚拟终端端口。Router(config)#access-list 12 permit 192.89.55.0 0.0.0.255Router(config)#line 1 5Router(config-line)#access-class 12 in在线路配置模式下在线路配置模式下l前提模式:前提模式:l命令格式:命令格式:l功能:功能:限制一个特定的限制一个特定的vty之间的传入和之间的传入和 传出连接和在访问列表中的地址传出连接和在访问列表中的地址access-class access-list-numb

15、er in|out 为移除访问限制,使用该命令的为移除访问限制,使用该命令的no形式。形式。no access-class access-list-number in|outin out在传入连接限制在传入连接限制在传出连接限制在传出连接限制access-list-numberIP访问列表的号码访问列表的号码1ACL配置oACL概述o配置标准ACL应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL 0NAT配置 0实验练习115.1 ACL配置配置扩展扩展ACLu既可检查分组的源地址和目的地址,也既可检查分组的源地址和目的地址,也 检查协议类型和检查协议类型和TC

16、P或或UDP的端口号。的端口号。u可以基于分组的源地址、目的地址、协可以基于分组的源地址、目的地址、协 议类型、端口地址和应用来决定访问是议类型、端口地址和应用来决定访问是 被允许或者被拒绝。被允许或者被拒绝。1ACL配置oACL概述o配置标准ACLo应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL 0NAT配置 0实验练习125.1 ACL配置配置在全局配置模式下在全局配置模式下l前提模式:前提模式:l命令格式:命令格式:l功能:功能:定义扩展定义扩展IP访问列表访问列表access-list access-list-number deny|permit pr

17、otocol source source-wildcard destination destination-wildcard为移除访问列表,使用该命令的为移除访问列表,使用该命令的no形式。形式。no access-list access-list-number Internet Control Message Protocol(ICMP)access-list-numberdeny permit protocol sourcesource-wildcard destinationdestination-wildcard访问控制访问控制列表编号列表编号如果条件符合如果条件符合就拒绝访问就拒绝访

18、问如果条件符合如果条件符合就允许访问就允许访问Internet协议协议名称或号码名称或号码发送分组的网发送分组的网络号或主机络号或主机应用于源地址应用于源地址的反向掩码的反向掩码分组的目的网分组的目的网络号或主机络号或主机应用于目的地应用于目的地址的反向掩码址的反向掩码1ACL配置oACL概述o配置标准ACLo应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL 0NAT配置 0实验练习135.1 ACL配置配置F例例 串行接口串行接口0是地址为是地址为10.88.0.0的的B类网络的一类网络的一 部分,邮件主机的地址为部分,邮件主机的地址为10.88.1.2。es

19、tablished 关键字只用在关键字只用在TCP协议,表示一个建立的连接。协议,表示一个建立的连接。如果如果TCP数据包中的数据包中的ACK或或RST被设置,那么匹被设置,那么匹 配发生,表明分组属于一个存在的连接。配发生,表明分组属于一个存在的连接。Router(config)#access-list 102 permit tcp 0.0.0.0 255.255.255.255 10.88.0.0 0.0.255.255 establishedRouter(config)#access-list 102 permit tcp 0.0.0.0 255.255.255.255 10.88.1.

20、2 0.0.0.0 eq 25Router(config)#interface serial 0Router(config-if)#ip access-group 102 inF例例 允许允许DNS分组和分组和ICMP回送和回送回答分组。回送和回送回答分组。Router(config)#access-list 102 permit tcp any 10.88.0.0 0.0.255.255 establishedRouter(config)#access-list 102 permit tcp any host 10.88.1.2 eq smtpRouter(config)#access-li

21、st 102 permit tcp any any eq domainRouter(config)#access-list 102 permit udp any any eq domainRouter(config)#access-list 102 permit icmp any any echoRouter(config)#access-list 102 permit icmp any any echo-reply1ACL配置oACL概述o配置标准ACLo应用ACL配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL 0NAT配置 0实验练习145.1 ACL配置配置F例例

22、 串行接口串行接口0连接路由器到连接路由器到Internet。IGMP 的的host-report报文被禁止在任何内部主机与报文被禁止在任何内部主机与 任何任何Internet上外部主机之间传送。上外部主机之间传送。Router(config)#access-list 102 deny igmp any any host-report Router(config)#interface serial 0Router(config-if)#ip access-group 102 outF例例 以太网接口以太网接口0连接路由器到防火墙以访问连接路由器到防火墙以访问 Internet。为了确保。为了确

23、保Internet RIP报文不进入报文不进入 路由器,应用了路由器,应用了ACL104的拒绝的拒绝RIP UDP报报 文的入站过滤器。文的入站过滤器。Router(config)#access-list 104 permit udp any any neq rip Router(config)#access-list 104 deny udp any any eq rip Router(config)#interface serial 0Router(config-if)#ip access-group 104 in1ACL配置oACL概述o配置标准ACLo应用ACL配置扩展ACL配置命名A

24、CL ACL在网络中的应用位置监视与维护ACL 0NAT配置 0实验练习155.1 ACL配置配置使用命名使用命名ACL有以下好处:有以下好处:(1)直观)直观(2)不受)不受99条标准条标准ACL和和100条扩展条扩展ACL的限制的限制 (3)方便修改)方便修改在全局配置模式下在全局配置模式下l前提模式:前提模式:l命令格式:命令格式:l功能:功能:定义一个使用名称或编号的定义一个使用名称或编号的IP访问列表访问列表 ip access-list standard|extended access-list-name|access-list-number 移除移除IP访问列表,使用该命令的访问

25、列表,使用该命令的no形式。形式。no ip access-list standard|extended access-list-name|access-list-number standard extendedaccess-list-name access-list-number标准标准IP访访问列表问列表扩展扩展IP访访问列表问列表IP访问列访问列表名称表名称访问列表访问列表的编号的编号1ACL配置oACL概述o配置标准ACLo应用ACLo配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL 0NAT配置 0实验练习165.1 ACL配置配置F例例 定义标准访问列表,命名

26、为定义标准访问列表,命名为Internetfilter。Router(config)#ip access-list standard InternetfilterRouter(config-std-nacl)#permit 192.5.34.0 0.0.0.255Router(config-std-nacl)#permit 10.88.0.0 0.0.255.255Router(config-std-nacl)#permit 10.0.0.0 0.255.255.255在实现命名在实现命名ACL之前,需要考虑:之前,需要考虑:(1)11.2之前版本的之前版本的Cisco IOS软件不支持软件不

27、支持 命名命名ACL。(2)不能够以同一名字命名多个)不能够以同一名字命名多个ACL。F例例 定义扩展访问列表,命名为定义扩展访问列表,命名为server-accessRouter(config)#ip access-list extended server-accessRouter(config-ext-nacl)#permit tcp any host 131.108.101.99 eq smtpRouter(config-ext-nacl)#permit tcp any host 131.108.107.99 eq domainRouter(config-ext-nacl)#permit

28、 ip any any 1ACL配置oACL概述o配置标准ACLo应用ACLo配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL 0NAT配置 0实验练习175.1 ACL配置配置F例例 定义扩展访问列表,命名为定义扩展访问列表,命名为server-accessRouter(config)#ip access-list extended server-accessRouter(config-ext-nacl)#permit tcp any host 131.108.101.99 eq smtpRouter(config-ext-nacl)#permit tcp any ho

29、st 131.108.107.99 eq domainRouter(config-ext-nacl)#permit ip any any F例例 从标准命名从标准命名ACL中删除单独的中删除单独的ACE。Router(config)#ip access-list standard border-listRouter(config-ext-nacl)#no permit ip host 10.1.1.3 anyF例例 从标准命名从标准命名ACL中删除单独的中删除单独的ACE。Router(config)#ip access-list standard border-listRouter(conf

30、ig-ext-nacl)#no permit ip host 10.1.1.3 any1ACL配置oACL概述o配置标准ACLo应用ACLo配置扩展ACL配置命名ACL ACL在网络中的应用位置监视与维护ACL 0NAT配置 0实验练习185.1 ACL配置配置命令如下:命令如下:Router(config)#access-list 1 deny host 183.16.1.1Router(config)#access-list 1 permit any扩展的扩展的ACL命令如下:命令如下:Router(config)#access-list 101 deny ip host 183.16.1

31、.1 host 11.1.0.1Router(config)#access-list 101 permit ip any any放置放置ACL的一般原则是:的一般原则是:u扩展扩展ACL尽可能放置在距离要被拒绝的尽可能放置在距离要被拒绝的 通信量近的地方。通信量近的地方。u标准标准ACL应该尽可能放置在距离目的地应该尽可能放置在距离目的地 最近的地方。最近的地方。u如果要禁止如果要禁止PC3访问访问PC1,可以在网络中,可以在网络中 使用标准的使用标准的ACL1ACL配置oACL概述o配置标准ACLo应用ACLo配置扩展ACLo配置命名ACL ACL在网络中的应用位置监视与维护ACL 0NAT

32、配置 0实验练习195.1 ACL配置配置使用的位置使用的位置1ACL配置oACL概述o配置标准ACLo应用ACLo配置扩展ACLo配置命名ACL ACL在网络中的应用位置监视与维护ACL 0NAT配置 0实验练习205.1 ACL配置配置F例例 查看全部查看全部ACL。Router#show access-listsStandard IP access list 1 deny 192.168.1.0,wildcard bits 0.0.0.255 permit anyExtended IP access list 101 deny tcp 192.168.2.0 0.0.0.255 192.

33、168.1.0 0.0.0.0.255 eq ftp permit ip any any在用户模式或特权模式下在用户模式或特权模式下l前提模式:前提模式:l命令格式:命令格式:l功能:功能:显示当前访问列表的内容显示当前访问列表的内容show access-lists access-list-number|access-list-nameaccess-list-numberaccess-list-name(可选项可选项)访问列表访问列表编号编号(可选项可选项)访问列表访问列表名称名称1ACL配置oACL概述o配置标准ACLo应用ACLo配置扩展ACLo配置命名ACL oACL在网络中的应用位置

34、监视与维护ACL 0NAT配置 0实验练习215.1 ACL配置配置在特权模式下在特权模式下l前提模式:前提模式:l命令格式:命令格式:l功能:功能:显示所有当前显示所有当前IP访问列表的内容访问列表的内容show ip access-list access-list-number|access-list-name|interface interface-name in|outaccess-list-numberaccess-list-name interface interface-namein out(可选项可选项)IP访问列访问列表编号表编号(可选项可选项)IP访问列访问列表名称表名称(

35、可选项可选项)接口名称接口名称(可选项可选项)输入接口输入接口统计信息统计信息(可选项可选项)输出接口输出接口统计信息统计信息1ACL配置oACL概述o配置标准ACLo应用ACLo配置扩展ACLo配置命名ACL oACL在网络中的应用位置监视与维护ACL 0NAT配置 0实验练习225.1 ACL配置配置F例例 显示所有访问列表。显示所有访问列表。Router#show ip access-listExtended IP access list 101 deny udp any any eq ntp permit tcp any any permit udp any any eq tftp p

36、ermit icmp any any permit udp any any eq domainF例例 显示指定名称的访问列表。显示指定名称的访问列表。Router#show ip access-list InternetfilterExtended IP access list Internetfilterpermit tcp any 171.16.0.0 0.0.255.255 eq telnetdeny tcp any anydeny udp any 171.16.0.0 0.0.255.255 lt 1024 deny ip any any logF例例 显示快速以太网接口显示快速以太网

37、接口0/0的输入统计信息的输入统计信息Router#show ip access-list interface FastEthernet0/0 in Extended IP access list 150 in 10 permit ip host 10.1.1.1 any 30 permit ip host 10.2.2.2 any(15 matches)1ACL配置oACL概述o配置标准ACLo应用ACLo配置扩展ACLo配置命名ACL oACL在网络中的应用位置监视与维护ACL 0NAT配置 0实验练习235.1 ACL配置配置F例例 清除访问列表清除访问列表101的计数器。的计数器。Ro

38、uter#clear access-list counters 101在特权模式下在特权模式下l前提模式:前提模式:l命令格式:命令格式:l功能:功能:清除访问列表的计数器清除访问列表的计数器clear access-list counters access-list-number|access-list-nameaccess-list-number access-list-name访问列表访问列表编号编号访问列表访问列表名称名称1ACL配置oACL概述o配置标准ACLo应用ACLo配置扩展ACLo配置命名ACL oACL在网络中的应用位置监视与维护ACL 0NAT配置 0实验练习245.2

39、NAT配置配置0ACL配置1NAT配置 NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT0实验练习网络地址转换网络地址转换(NAT,Network Address Translation)静态转换静态转换Static Nat动态转换动态转换Dynamic Nat端口多路复用端口多路复用OverLoad NAT的实现方式的实现方式:仅以增强的网络状态作为补充,而仅以增强的网络状态作为补充,而忽略了忽略了IP地址端对端的重要性。地址端对端的重要性。NAT解决方法的不足解决方法的不足:u Inside Local IP Address,内部本地地址,内

40、部本地地址u Inside Global IP Address,内部全局地址,内部全局地址u Outside Local IP Address,外部本地地址,外部本地地址u Outside Glocal IP Address,外部全局地址,外部全局地址NAT使用下列地址定义:使用下列地址定义:255.2 NAT配置配置静态静态NAT转换转换0ACL配置1NAT配置o NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT0实验练习265.2 NAT配置配置在全局配置模式下在全局配置模式下l前提模式:前提模式:l静态静态NAT命令命令格式:格式:l功能:

41、功能:启用内部源地址的启用内部源地址的NAT静态转换静态转换ip nat inside source static local-ip global-ip为移除静态转换,使用该命令的为移除静态转换,使用该命令的no形式。形式。no ip nat inside source static local-ip global-ip内部网络内部网络主机本地主机本地IP地址地址内部主内部主机全局机全局IP地址地址local-ip global-ip0ACL配置1NAT配置o NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT0实验练习275.2 NAT配置配置l

42、端口静态端口静态NAT命令命令格式:格式:ip nat inside source static tcp|udp local-ip local-port global-ip global-port|interface global-port为移除静态转换,使用该命令的为移除静态转换,使用该命令的no形式。形式。no ip nat inside source static tcp|udp local-ip local-port global-ip global-port|interface global-portl网络静态网络静态NAT命令命令格式:格式:ip nat inside source

43、 static network local-network global-network mask为移除静态转换,使用该命令的为移除静态转换,使用该命令的no形式。形式。no ip nat inside source static network local-network global-network masktcp udplocal-portglobal-port传输控制传输控制协议协议用户数据用户数据报协议报协议本地本地TCP/UDP端口号端口号全局全局TCP/UDP端口号端口号local-network global-network mask本地子网本地子网转换转换全局子网全局子网转换

44、转换子网转换子网转换使用的使用的IP网络掩码网络掩码0ACL配置1NAT配置o NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT0实验练习285.2 NAT配置配置在接口配置模式下在接口配置模式下l前提模式:前提模式:l命令命令格式:格式:l功能:功能:指定接口对指定接口对NAT是流量来源或者目的是流量来源或者目的ip nat inside|outside为阻止接口能够转发,使用该命令的为阻止接口能够转发,使用该命令的no形式。形式。no ip nat inside|outsideinside outside(可选项)表(可选项)表明接口连接到明

45、接口连接到外部网络外部网络(可选项)表(可选项)表明接口连接到明接口连接到内部网络内部网络0ACL配置1NAT配置o NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT0实验练习295.2 NAT配置配置F例例 静态静态NAT配置配置0ACL配置1NAT配置o NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT0实验练习305.2 NAT配置配置(1)配置静态)配置静态NAT映射映射Router(config)#ip nat inside source static 192.168.1.1 202.96

46、.1.3Router(config)#ip nat inside source static 192.168.1.2 202.96.1.4(2)配置)配置NAT内部接口内部接口Router(config)#interface fastethernet 0/1Router(config-if)#ip nat inside(3)配置)配置NAT外部接口外部接口Router(config-if)#interface serial 1/0Router(config-if)#ip nat outside在在PC0和和PC1上上ping 202.96.1.2(路由器(路由器Router1的的 串行接口串行

47、接口1/0),此时应该是通的,路由器此时应该是通的,路由器Router0 的输出信息如下的输出信息如下:Router#debug ip natIP NAT debugging is onRouter#NAT:s=192.168.1.1-202.96.1.3,d=202.96.1.20NAT*:s=202.96.1.2,d=202.96.1.3-192.168.1.10NAT:s=192.168.1.2-202.96.1.4,d=202.96.1.20NAT*:s=202.96.1.2,d=202.96.1.4-192.168.1.200ACL配置1NAT配置o NAT概述内部源地址静态转换内部

48、源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT0实验练习315.2 NAT配置配置查看查看NAT表表Router#show ip nat translationsPro Inside global Inside local Outside local Outside global-202.96.1.3 192.168.1.1 -202.96.1.4 192.168.1.2 -0ACL配置1NAT配置o NAT概述内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT0实验练习325.2 NAT配置配置动态动态NAT转换转换0ACL配置1NAT配

49、置o NAT概述o内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT0实验练习335.2 NAT配置配置在全局配置模式下在全局配置模式下l前提模式:前提模式:l命令命令格式:格式:l功能:功能:定义定义NAT的的IP地址池地址池ip nat pool name start-ip end-ip netmask netmask|prefix-length prefix-length 为从池中移除一个或多个地址,使用该命令为从池中移除一个或多个地址,使用该命令的的no形式。形式。no ip nat pool name start-ip end-ip netmask

50、 netmask|prefix-length prefix-length namestart-ipend-ipnetmask netmaskprefix-length prefix-length地址池名地址池名地址池中起始地址池中起始IP地址地址地址池中结束地址池中结束IP地址地址地址池所属网地址池所属网络的网络掩码络的网络掩码地址池所属网地址池所属网络的网络掩码络的网络掩码前缀长度前缀长度0ACL配置1NAT配置o NAT概述o内部源地址静态转换内部源地址动态转换内部源地址复用动态转换修改转换超时监视与维护NAT0实验练习345.2 NAT配置配置在全局配置模式下在全局配置模式下l前提模式:

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 办公、行业 > 各类PPT课件(模板)
版权提示 | 免责声明

1,本文(网络安讲义全配置课件.ppt)为本站会员(晟晟文业)主动上传,163文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。
2,用户下载本文档,所消耗的文币(积分)将全额增加到上传者的账号。
3, 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(发送邮件至3464097650@qq.com或直接QQ联系客服),我们立即给予删除!


侵权处理QQ:3464097650--上传资料QQ:3464097650

【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。


163文库-Www.163Wenku.Com |网站地图|