网络互联与路由网络管理及安全技术

济南大学信息科学与工程学院 Jingshan网络互联与路由5网络地址管理及平安技术网络地址管理及平安技术主讲教师：荆主讲教师：荆山山信息科学与工程学院网络工程系信息科学与工程学院网络工程系信息科学与工程学院网络工程系2网络互联与路由本章学习目标本章学习目标n了解网络平安关注范围及必要技术了解网络平安关注范围及必要技术n理解路由器实现防火墙的方式理解路由器实现防火墙的方式n熟练掌握熟练掌握ACL的概念、配置及故障排除的概念、配置及故障排除n熟练掌握熟练掌握DHCP的概念、配置及故障排除的概念、配置及故障排除n熟练掌握熟练掌握NAT的配置及常见故障排除的配置及常见故障排除学习完本章内容后，您应该能够：学习完本章内容后，您应该能够：信息科学与工程学院网络工程系3网络互联与路由5网络地址管理及平安技术网络地址管理及平安技术n5.1网络平安及防火墙技术简介网络平安及防火墙技术简介n5.2ACL技术简介及配置技术简介及配置n5.3DHCP技术简介及配置技术简介及配置n5.4NAT技术简介及配置技术简介及配置n5.5其它技术其它技术信息科学与工程学院网络工程系4网络互联与路由5.1.1网络平安概述网络平安概述n网络平安是网络平安是Internet必须面对的一个实际问题必须面对的一个实际问题n网络平安是一个综合性的技术网络平安是一个综合性的技术n网络平安具有两层含义：网络平安具有两层含义：n保证内部局域网的平安不被非法侵入保证内部局域网的平安不被非法侵入n保护和外部进行数据交换的平安保护和外部进行数据交换的平安n网络平安技术的完善和更新网络平安技术的完善和更新信息科学与工程学院网络工程系5网络互联与路由5.1.2网络平安关注的范围网络平安关注的范围n常常从如下几个方面综合考虑整个网络的平安常常从如下几个方面综合考虑整个网络的平安n保护网络物理线路不会轻易遭受攻击保护网络物理线路不会轻易遭受攻击n有效识别合法的和非法的用户有效识别合法的和非法的用户n实现有效的访问控制实现有效的访问控制n保证内部网络的隐蔽性保证内部网络的隐蔽性n有效的防伪手段，重要的数据重点保护有效的防伪手段，重要的数据重点保护n对网络设备、网络拓扑的平安管理对网络设备、网络拓扑的平安管理n病毒防范病毒防范n提高平安防范意识提高平安防范意识信息科学与工程学院网络工程系6网络互联与路由5.1.3网络平安的必要技术网络平安的必要技术n针对网络存在的各种平安隐患，平安路由器必须具有如下针对网络存在的各种平安隐患，平安路由器必须具有如下平安特性：平安特性：n可靠性和线路平安可靠性和线路平安n身份认证身份认证n访问控制访问控制n信息隐藏信息隐藏n数据加密和防伪数据加密和防伪n平安管理平安管理信息科学与工程学院网络工程系7网络互联与路由 防火墙示意图防火墙示意图n对路由器需要转发的数据包，先获取包头信息，然后和设对路由器需要转发的数据包，先获取包头信息，然后和设定的规那么进行比较，根据比较的结果对数据包进行转发定的规那么进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。或者丢弃。而实现包过滤的核心技术是访问控制列表。Internet公司总部内部网络未授权用户办事处信息科学与工程学院网络工程系8网络互联与路由5.1.5路由器实现防火墙功能路由器实现防火墙功能IP报文转发机报文转发机制制IP PacketIP Packet网络层网络层数据链路层数据链路层规那么查找机规那么查找机制制输入报文输入报文规那么库规那么库手工手工配置配置规那么规那么生成机生成机制制手工手工配置配置规那么规那么生成机生成机制制规那么查找机规那么查找机制制输出报文输出报文规那么库规那么库由规那么决由规那么决定报文转发定报文转发动作动作:丢弃丢弃或转发或转发由规那么决由规那么决定报文转发定报文转发动作动作:丢弃丢弃或转发或转发信息科学与工程学院网络工程系9网络互联与路由5网络地址管理及平安技术网络地址管理及平安技术n5.1网络平安及防火墙技术简介网络平安及防火墙技术简介n5.2ACL技术简介及配置技术简介及配置n5.3DHCP技术简介及配置技术简介及配置n5.4NAT技术简介及配置技术简介及配置n5.5其它技术其它技术信息科学与工程学院网络工程系10网络互联与路由5.2.1访问控制列表访问控制列表(ACL)简介简介nACLAccessControlList，访问控制列表是用来实，访问控制列表是用来实现数据包识别功能的现数据包识别功能的nACL可以应用于诸多方面可以应用于诸多方面n访问控制列表可以用于防火墙；访问控制列表可以用于防火墙；n访问控制列表可用于访问控制列表可用于QosQualityofService，对数，对数据流量进行控制；据流量进行控制；n访问控制列表还可以用于地址转换；访问控制列表还可以用于地址转换；n在配置路由策略时，可以利用访问控制列表来作路由信息在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。的过滤。信息科学与工程学院网络工程系11网络互联与路由5.2.1访问控制列表访问控制列表(ACL)简介简介nACL的机理的机理n一个一个IP数据包如以下图所示图中数据包如以下图所示图中IP所承载的上层协议为所承载的上层协议为TCP：IP报头报头TCP报头报头数据数据协议号协议号源地址源地址目的地址目的地址源端口源端口目的端口目的端口对于TCP来说，这5个元素组成了一个TCP相关，访问控制列表就是利用这些元素定义的规则信息科学与工程学院网络工程系12网络互联与路由5.2.1访问控制列表访问控制列表(ACL)简介简介nACL的机理的机理n对进出的数据包逐个过滤，丢弃或允许通过对进出的数据包逐个过滤，丢弃或允许通过nACL应用于接口上，每个接口的出入双向分别过滤应用于接口上，每个接口的出入双向分别过滤n仅当数据包经过一个接口时，才能被此接口的此方向的仅当数据包经过一个接口时，才能被此接口的此方向的ACL过滤过滤入方向过滤入方向过滤入方向过滤入方向过滤出方向过滤出方向过滤出方向过滤出方向过滤接口接口接口接口路由转发路由转发进程进程信息科学与工程学院网络工程系13网络互联与路由5.2.2ACL的分类的分类n利用数字标识访问控制列表利用数字标识访问控制列表n利用数字范围标识访问控制列表的种类利用数字范围标识访问控制列表的种类列表的种类列表的种类数字标识的范围数字标识的范围IP standard list199IP extended list100199信息科学与工程学院网络工程系14网络互联与路由5.2.3标准访问控制列表标准访问控制列表n标准访问控制列表标准访问控制列表n只使用源地址描述数据，说明是允许还是拒绝。只使用源地址描述数据，说明是允许还是拒绝。从202.110.10.0/24来的数据包可以通过！从192.110.10.0/24来的数据包不能通过！路由器信息科学与工程学院网络工程系15网络互联与路由5.2.3标准访问控制列表标准访问控制列表n标准访问控制列表的配置标准访问控制列表的配置n配置标准访问列表的命令格式如下：配置标准访问列表的命令格式如下：naclacl-numbermatch-orderconfig|autonrulenormal|specialpermit|denysourcesource-addrsource-wildcard|anynTimerangeenablenSettrbegin-tmeend-timenSpecial表示指定本规那么参加到时间段规那么中表示指定本规那么参加到时间段规那么中信息科学与工程学院网络工程系16网络互联与路由5.2.3标准访问控制列表标准访问控制列表n如何使用通配符掩码如何使用通配符掩码n通配符掩码和子网掩码相似，但写法不同：通配符掩码和子网掩码相似，但写法不同：n0表示需要比较表示需要比较n1表示忽略比较表示忽略比较000255只比较前只比较前24位位003255只比较前只比较前22位位0255255255只比较前只比较前8位位怎样利用 IP 地址 和 通配符掩码wildcard-mask 来表示一个网段?信息科学与工程学院网络工程系17网络互联与路由5.2.3标准访问控制列表标准访问控制列表n通配符掩码的应用例如通配符掩码的应用例如IP地址地址通配符掩码通配符掩码表示的地址范围表示的地址范围192.168.0.10.0.0.255192.168.0.0/24192.168.0.10.0.3.255192.168.0.0/22192.168.0.10.255.255.255192.0.0.0/8192.168.0.10.0.0.0192.168.0.1192.168.0.1255.255.255.2550.0.0.0/0192.168.0.10.0.2.255192.168.0.0/24和192.168.2.0/24信息科学与工程学院网络工程系18网络互联与路由5.2.3标准访问控制列表标准访问控制列表n标准访问控制列表例子标准访问控制列表例子lQuidwayacl10lQuidway-acl-10rulenormaldenysourceany信息科学与工程学院网络工程系19网络互联与路由5.2.4扩展访问控制列表扩展访问控制列表n扩展访问控制列表扩展访问控制列表n使用除源地址外更多的信息使用除源地址外更多的信息(如目的地址，上层协议信息如目的地址，上层协议信息等等)描述数据包，说明是允许还是拒绝。描述数据包，说明是允许还是拒绝。naclacl-numbermatch-orderconfig|auto从202.110.10.0/24来的,到179.100.17.10的，使用TCP协议，利用HTTP访问的数据包可以通过！路由器信息科学与工程学院网络工程系20网络互联与路由5.2.4扩展访问控制列表扩展访问控制列表n扩展访问控制列表的配置命令扩展访问控制列表的配置命令l配置配置TCP/UDP协议的扩展访问列表：协议的扩展访问列表：urule normal|special permit|deny tcp|udp source source-addr source-wildcard|any source-port operator port1 port2 destination dest-addr dest-wildcard|any destination-port operator port1 port2 loggingl配置配置ICMP协议的扩展访问列表：协议的扩展访问列表：urule normal|special permit|deny icmp source source-addr source-wildcard|any destination dest-addr dest-wildcard|any icmp-type icmp-type icmp-code loggingl配置其它协议的扩展访问列表：配置其它协议的扩展访问列表：urule normal|special permit|deny ip|ospf|igmp|gre source source-addr source-wildcard|any destination dest-addr dest-wildcard|any logging信息科学与工程学院网络工程系21网络互联与路由5.2.4扩展访问控制列表扩展访问控制列表n扩展访问控制列表操作符的含义扩展访问控制列表操作符的含义操作符及语法意义equal portnumber等于端口号 portnumbergreater-than portnumber大于端口号portnumberless-than portnumber小于端口号portnumbernot-equal portnumber不等于端口号portnumber rangeportnumber1 portnumber2介于端口号portnumber1和portnumber2之间信息科学与工程学院网络工程系22网络互联与路由5.2.4扩展访问控制列表扩展访问控制列表n扩展访问控制列表举例扩展访问控制列表举例lruledenyicmpsource10.1.0.00.0.255.255destinationanyicmp-type51lruledenytcpsource129.9.0.00.0.255.255destinationequalwwwlogging10.1.0.0/16ICMP主机重定向报文TCP报文WWW 端口信息科学与工程学院网络工程系23网络互联与路由思考思考n1.Quidwayacl101nRulepermiticmpsourceanydestinationanyicmp-typeechonRulepermiticmpsourceanydestinationanyicmp-typeecho-replynRuledenyicmpsourceanydestinationanyn2.Quidwayacl102nRulepermittcpsourceanydestination10.0.0.10.0.0.0destination-portequalftploggingnRulepermittcpsourceanydestination10.0.0.20.0.0.0destination-portequaltelnetloggingnRuledenyipsourceanydestinationanyn请建立一个控制访问列说明确规定只允许主机到主机的数据流。请建立一个控制访问列说明确规定只允许主机到主机的数据流。信息科学与工程学院网络工程系24网络互联与路由5.2.5如何使用访问控制列表如何使用访问控制列表n按照实际需求可以扩展以下应用：按照实际需求可以扩展以下应用：l设置防火墙的缺省过滤模式设置防火墙的缺省过滤模式l允许或禁止时间段过滤允许或禁止时间段过滤l设定特殊时间段设定特殊时间段l指定日志主机指定日志主机Internet公司总部网络启用防火墙将访问控制列表应用到接口上信息科学与工程学院网络工程系25网络互联与路由5.2.6防火墙的属性配置命令防火墙的属性配置命令n翻开或者关闭防火墙翻开或者关闭防火墙nfirewallenable|disablen设置防火墙的缺省过滤模式设置防火墙的缺省过滤模式nfirewalldefaultpermit|denyn将规那么应用到相应的接口上将规那么应用到相应的接口上nFirewallpacket-filteracl-numberinbound/outboundn显示防火墙的状态信息显示防火墙的状态信息ndisplayfirewall信息科学与工程学院网络工程系26网络互联与路由5.2.6防火墙的属性配置命令防火墙的属性配置命令n在接口上应用访问控制列表在接口上应用访问控制列表l将访问控制列表应用到接口上将访问控制列表应用到接口上l指明在接口上是指明在接口上是OUT还是还是IN方向方向Ethernet0访问控制列表101作用在Ethernet0接口在out方向有效Serial0访问控制列表3作用在Serial0接口上在in方向上有效信息科学与工程学院网络工程系27网络互联与路由基于时间段的包过滤基于时间段的包过滤n“特殊时间段内应用特殊的规那么特殊时间段内应用特殊的规那么Internet上班时间（上午8：00 下午5：00）只能访问特定的站点；其余时间可以访问其他站点信息科学与工程学院网络工程系28网络互联与路由ACL规那么的匹配顺序规那么的匹配顺序n一条访问列表可以由多条规那么组成一条访问列表可以由多条规那么组成,对于这些规那么，对于这些规那么，有两种匹配顺序：有两种匹配顺序：auto和和config。n规那么冲突时，假设匹配顺序为规那么冲突时，假设匹配顺序为auto深度优先，描述深度优先，描述的地址范围越小的规那么，将会优先考虑。的地址范围越小的规那么，将会优先考虑。n深度的判断要依靠通配比较位和深度的判断要依靠通配比较位和IP地址结合比较地址结合比较nruledenysource202.38.0.00.0.255.255nrulepermitsource202.38.160.10.0.0.255n两条规那么结合那么表示禁止一个大网段两条规那么结合那么表示禁止一个大网段上的主机但上的主机但允许其中的一小局部主允许其中的一小局部主机的访问。机的访问。n规那么冲突时，假设匹配顺序为规那么冲突时，假设匹配顺序为config，先配置的规那么，先配置的规那么会被优先考虑。会被优先考虑。信息科学与工程学院网络工程系29网络互联与路由在网络中的正确位置配置在网络中的正确位置配置ACL包过滤包过滤n尽可能在靠近数据源的路由器接口上配置尽可能在靠近数据源的路由器接口上配置ACL，以减，以减少不必要的流量转发少不必要的流量转发n高级高级ACLn应该在靠近被过滤源的接口上应用应该在靠近被过滤源的接口上应用ACL，以尽早阻止，以尽早阻止不必要的流量进入网络不必要的流量进入网络n根本根本ACLn过于靠近被过滤源的根本过于靠近被过滤源的根本ACL可能阻止该源访问合法可能阻止该源访问合法目的目的n应在不影响其他合法访问的前提下，尽可能使应在不影响其他合法访问的前提下，尽可能使ACL靠靠近被过滤的源近被过滤的源信息科学与工程学院网络工程系30网络互联与路由访问控制列表配置举例InternetFTP 效劳器效劳器Telnet 效劳器效劳器WWW 效劳器效劳器公司内部局域网特定的外部用户信息科学与工程学院网络工程系31网络互联与路由访问控制列表配置举例nQuidwayfirewallenablenQuidwayfirewalldefaultpermitnQuidwayacl101nQuidway-acl-101ruledenyipsourceanydestinationanynQuidway-acl-101rulepermitipsource129.38.1.40.0.0.0destinationanynQuidway-acl-101rulepermitipsource129.38.1.10.0.0.0destinationanynQuidway-acl-101rulepermitipsource129.38.1.20.0.0.0destinationanynQuidway-acl-101rulepermitipsource129.38.1.30.0.0.0destinationanynQuidwayacl102nQuidway-acl-102rulepermittcpsource202.39.2.30.0.0.0destination202.38.160.10nQuidway-acl-102rulepermittcpsourceanydestination202.38.160.10.0.0.0destination-portgreat-than1024nQuidway-Ethernet0firewallpacket-filter101inbound nQuidway-Serial0firewallpacket-filter102inbound 信息科学与工程学院网络工程系32网络互联与路由5网络地址管理及平安技术网络地址管理及平安技术n5.1网络平安及防火墙技术简介网络平安及防火墙技术简介n5.2ACL技术简介及配置技术简介及配置n5.3DHCP技术简介及配置技术简介及配置n5.4NAT技术简介及配置技术简介及配置n5.5其它技术其它技术信息科学与工程学院网络工程系33网络互联与路由5.3.1DHCP简介简介nDHCP是是DynamicHostConfigurationProtocol动态主机动态主机配置协议的缩写配置协议的缩写nDHCP是从是从BOOTPBootstrapProtocol协议开展而来，其协议开展而来，其作用向主机动态分配作用向主机动态分配IP地址及其他相关信息地址及其他相关信息nDHCP采用客户端采用客户端/效劳器模式，效劳器负责集中管理，客户端效劳器模式，效劳器负责集中管理，客户端向效劳器提出配置申请，效劳器根据策略返回相应配置信息向效劳器提出配置申请，效劳器根据策略返回相应配置信息nDHCP报文采用报文采用UDP封装。效劳器所侦听的端口号是封装。效劳器所侦听的端口号是67，客户，客户端的端口号是端的端口号是68信息科学与工程学院网络工程系34网络互联与路由5.3.1DHCP简介简介nDHCP特点特点n即插即用性即插即用性n客客户户端端无无须须配配置置即即能能获获得得IP地地址址及及相相关关参参数数。简简化化客客户户端端网络配置，降低维护本钱网络配置，降低维护本钱n统一管理统一管理n所所有有IP地地址址及及相相关关参参数数信信息息由由DHCP效效劳劳器器统统一一管管理理，统统一分配一分配n使用效率高使用效率高n通过通过IP地址租期管理，提高地址租期管理，提高IP地址的使用效率地址的使用效率n可跨网段实现可跨网段实现n通通过过使使用用DHCP中中继继，可可使使处处于于不不同同子子网网中中的的客客户户端端和和DHCP效劳器之间实现协议报文交互效劳器之间实现协议报文交互信息科学与工程学院网络工程系35网络互联与路由5.3.1DHCP简介简介nDHCP系统组成系统组成nDHCP效劳器效劳器n能提供能提供DHCP功能的效劳器或具有功能的效劳器或具有DHCP功能的网络设备功能的网络设备nDHCP中继中继n一般为路由器或三层交换机等网络设备一般为路由器或三层交换机等网络设备nDHCP客户端客户端n需要动态获得需要动态获得IP地址的主机地址的主机DHCP Server网络1DHCP Relay网络2DHCP Client信息科学与工程学院网络工程系36网络互联与路由5.3.2DHCP地址分配方式地址分配方式n手工分配手工分配n根据需求，网络管理员为某些少数特定的主机如根据需求，网络管理员为某些少数特定的主机如DNS效劳器、打印机绑定固定的效劳器、打印机绑定固定的IP地址，其地址不地址，其地址不会过期会过期n自动分配自动分配n为连接到网络的某些主机分配为连接到网络的某些主机分配IP地址，该地址将长期地址，该地址将长期由该主机使用由该主机使用n动态分配动态分配n主机申请主机申请IP地址最常用的方法。地址最常用的方法。DHCP效劳器为客户效劳器为客户端指定一个端指定一个IP地址，同时为此地址规定了一个租用期地址，同时为此地址规定了一个租用期限，如果租用时间到期，客户端必须重新申请限，如果租用时间到期，客户端必须重新申请IP地址地址信息科学与工程学院网络工程系37网络互联与路由5.3.3IP地址动态获取过程地址动态获取过程谁能给我分配谁能给我分配IPIP地址？地址？我能给你分配我能给你分配IPIP地址地址好，我就用你分配的好，我就用你分配的好，我确认！好，我确认！DHCPClientDHCPServerTCP/IP信息科学与工程学院网络工程系38网络互联与路由5.3.4IP地址拒绝及释放地址拒绝及释放你提供的已经有人使用了，我拒绝使用！你提供的已经有人使用了，我拒绝使用！DHCPClientDHCPServerTCP/IP我不想使用你分配的地址，请给其他人使用吧我不想使用你分配的地址，请给其他人使用吧信息科学与工程学院网络工程系39网络互联与路由5.3.5DHCP租约更新租约更新我想继续使用你分配的我想继续使用你分配的IP地址，可以吗？地址，可以吗？DHCP ClientDHCP ServerOK，你可以继续使用，你可以继续使用使使 用用 时时 间间到到 达达 租租 期期的的50%我想继续使用你分配的我想继续使用你分配的IP地址，可以吗？地址，可以吗？OK，你可以继续使用，你可以继续使用使使 用用 时时 间间到到 达达 租租 期期的的87.5%TCP/IP信息科学与工程学院网络工程系40网络互联与路由5.3.6DHCP中继工作原理中继工作原理DHCP ClientDHCP Server网络网络1网络网络2DHCP播送报文播送报文DHCP RelayDHCP单播报文单播报文 DHCP播送报文播送报文DHCP单播报文单播报文 信息科学与工程学院网络工程系41网络互联与路由5.3.7DHCP效劳器配置效劳器配置nDHCP效劳器根本配置效劳器根本配置n使能使能DHCPnRouterdhcpenablen创立创立DHCP地址池地址池nRouterdhcpserverip-poolpool-namen配置动态分配的配置动态分配的IP地址范围地址范围nRouter-dhcppoolnamenetworknetwork-addressmask-length|maskmaskn配置为配置为DHCP客户端分配的网关地址客户端分配的网关地址nRouter-dhcppoolnamegateway-listip-address信息科学与工程学院网络工程系42网络互联与路由5.3.7DHCP效劳器配置效劳器配置nDHCP效劳器可选配置效劳器可选配置n配置为配置为DHCP客户端分配的客户端分配的DNS效劳器地址效劳器地址nRouter-dhcp-pool-0dns-listip-addressn配置配置DHCP地址池中不参与自动分配的地址池中不参与自动分配的IP地址地址nRouterdhcpserverforbidden-iplow-ip-addresshigh-ip-addressn配置动态分配的配置动态分配的IP地址的租用有效期限地址的租用有效期限nRouter-dhcp-pool-0expireddaydayhourhourminuteminute|unlimited信息科学与工程学院网络工程系43网络互联与路由5.3.7DHCP效劳器配置效劳器配置DHCP ClientDHCP ServerInternetDHCPDHCP效劳器根本配置例如效劳器根本配置例如Router dhcp enableRouter dhcp enableRouter dhcp server forbidden-ipRouter dhcp server forbidden-ipRouter dhcp server ip-pool 0Router dhcp server ip-pool 0Router-dhcp-pool-0 dnsRouter-dhcp-pool-0 dnsRouter-dhcp-pool-0 expired day 5 Router-dhcp-pool-0 expired day 5 信息科学与工程学院网络工程系44网络互联与路由5.3.8DHCP效劳器显示及维护效劳器显示及维护n显示显示DHCP地址池的在用地址信息地址池的在用地址信息nRouterdisplaydhcpserverip-in-usen显示显示DHCP效劳器的统计信息效劳器的统计信息nRouterdisplaydhcpserverstatisticsn显示显示DHCP地址池中可用地址池中可用IP范围范围nRouterdisplaydhcpserverexpired信息科学与工程学院网络工程系45网络互联与路由5.3.9DHCP中继根本配置中继根本配置nDHCP中继的配置中继的配置n配置接口配置接口DHCP效劳器中继地址效劳器中继地址nRouter-Ethernet1/1iprelay-addressdhcp_server_IPnDHCP中继的检查中继的检查n显示显示relay信息信息nRouterdisplayiprelayprotocoln显示显示DHCP接口帮助地址接口帮助地址nRouterdisplayiprelay-addressRouter-Ethernet0display ip relay-addressRouter-Ethernet0display ip relay-address *Ethernet0 Relay Address *Ethernet0 Relay Address *信息科学与工程学院网络工程系46网络互联与路由5.3.9DHCP中继根本配置中继根本配置Routerinterfaceethernet1/1Router-Ethernet1/1iprelay-address192.168.1.10DHCP ClientDHCP ServerDHCP RelayE1/1DHCPDHCP中继配置例如中继配置例如信息科学与工程学院网络工程系47网络互联与路由5网络地址管理及平安技术网络地址管理及平安技术n5.1网络平安及防火墙技术简介网络平安及防火墙技术简介n5.2ACL技术简介及配置技术简介及配置n5.3DHCP技术简介及配置技术简介及配置n5.4NAT技术简介及配置技术简介及配置n5.5其它技术其它技术信息科学与工程学院网络工程系48网络互联与路由5.4.1地址转换的提出背景地址转换的提出背景n地址转换是在地址转换是在IP地址日益短缺的情况下提出的。地址日益短缺的情况下提出的。n一个局域网内部有很多台主机，可是不能保证每台主机都一个局域网内部有很多台主机，可是不能保证每台主机都拥有合法的拥有合法的IP地址，为了到达所有的内部主机都可以连接地址，为了到达所有的内部主机都可以连接Internet网络的目的，可以使用地址转换。网络的目的，可以使用地址转换。n地址转换技术可以有效的隐藏内部局域网中的主机，因此地址转换技术可以有效的隐藏内部局域网中的主机，因此同时是一种有效的网络平安保护技术。同时是一种有效的网络平安保护技术。n同时地址转换可以按照用户的需要，在内部局域网内部提同时地址转换可以按照用户的需要，在内部局域网内部提供给外部供给外部FTP、WWW、Telnet效劳。效劳。信息科学与工程学院网络工程系49网络互联与路由5.4.1地址转换的提出背景地址转换的提出背景InternetLAN1LAN2LAN3私有地址范围：私有地址范围：10.0.0.0 -10.255.255.255172.16.0.0 -172.31.255.255 192.168.0.0 -192.168.255.255私有地址和公有地址私有地址和公有地址信息科学与工程学院网络工程系50网络互联与路由5.4.2地址转换的原理地址转换的原理Internet局域网PC2PC1Port:3000IP 报文Port:4000Port:3010Port:4001地址转换地址转换信息科学与工程学院网络工程系51网络互联与路由5.4.3利用利用ACL控制地址转换控制地址转换n可以使用访问控制列表来决定那些主机可以访问可以使用访问控制列表来决定那些主机可以访问Internet，那些不能。，那些不能。Internet局域网PC2PC1设置访问控制列表控设置访问控制列表控制制pc1可以通过地址可以通过地址转换访问转换访问Internet,而而pc2那么不行。那么不行。信息科学与工程学院网络工程系52网络互联与路由5.4.4NAT转换方式转换方式nEasyIPl在地址转换的过程中直接使用接口的在地址转换的过程中直接使用接口的IP地址作为转换后的源地址作为转换后的源地址。地址。Internet局域网PC2PC1PC1 和 PC2 可以直接使用 S0接口的IP 地址作为地址转换后的公用IP地址信息科学与工程学院网络工程系53网络互联与路由5.4.5NAT转换方式转换方式n使用地址池进行地址转换使用地址池进行地址转换l地址池用来动态、透明的为内部网络的用户分配地址。它是地址池用来动态、透明的为内部网络的用户分配地址。它是一些连续的一些连续的IP地址集合，利用不超过地址集合，利用不超过32字节的字符串标识。字节的字符串标识。l地址池可以支持更多的局域网用户同时上地址池可以支持更多的局域网用户同时上Internet。Internet局域网PC2PC1地址池信息科学与工程学院网络工程系54网络互联与路由5.4.5内部效劳器的应用内部效劳器的应用Internet内部效劳器内部效劳器外部用户外部用户E0Serial 0内部地址内部地址内部端口内部端口:80外部地址外部地址外部端口外部端口:80配置地址转换配置地址转换:IP地址地址:端口端口:8080允许外部用户访问允许外部用户访问内部服务器内部服务器信息科学与工程学院网络工程系55网络互联与路由5.4.6NAT内网外网实现流程内网外网实现流程Internet内部网络NAT路由器公用地址池公网地址公网地址私网地址私网地址私网端口私网端口公网端口公网端口202.0.0.110.0.1.110011044DP:21,SP:1001DP:21,SP:1044DP:1001,SP:21NAT路由器查找地址表路由器查找地址表NAT路由器增加地路由器增加地址转换表项址转换表项12345DP:1044,SP:21信息科学与工程学院网络工程系56网络互联与路由5.4.7NAT外网内网实现流程外网内网实现流程公网地址公网地址私网地址私网地址私网端口私网端口公网端口公网端口202.0.0.110.0.1.12121Internet内部网络NAT路由器公用地址池DP:21,SP:1044DP:1044,SP:21DP:1044,SP:21路由器查找地址转换表并实路由器查找地址转换表并实施地址转换施地址转换路由器查找地址转换表路由器查找地址转换表并实施地址转换并实施地址转换12345FTP客户FTP效劳器静态配置地址转换表项DP:21,SP:1044信息科学与工程学院网络工程系57网络互联与路由5.4.8NAT配置命令配置命令n定义定义NAT的地址池系统视图的地址池系统视图nnataddress-groupstart-addrend-addrpool-namen设置访问控制列表与出站接口关联设置访问控制列表与出站接口关联(接口视图接口视图)nnatoutboundacl-numberinterfacen设置访问控制列表与地址池相互关联设置访问控制列表与地址池相互关联(接口视图接口视图)nnatoutboundacl-numberaddress-grouppool-namen配置内部网络可以提供给外部使用的效劳配置内部网络可以提供给外部使用的效劳nnatserverglobalglobal-addrglobal-port|any|domain|ftp|pop2|pop3|smtp|telnet|wwwinsideinside-addrinside-port|any|domain|ftp|pop2|pop3|smtp|telnet|wwwprotocol-number|ip|icmp|tcp|udp5.4.9地址转换配置举例地址转换配置举例-1nEasyNAT的配置的配置信息科学与工程学院网络工程系58网络互联与路由Quidwayaclnumber2000Quidway-acl-basic-2000Quidway-acl-basic-2000ruledenyQuidwayinterfaceEthernet0/1Quidway-Ethernet0/1ipQuidwayinterfaceEthernet0/0Quidway-Ethernet0/1ipQuidway-Ethernet0/1natoutbound2000interfaceQuidwayiproute-static0.0.0.0202.1.1.1preference605.4.9地址转换配置举例地址转换配置举例-2n基于地址池的基于地址池的NAT信息科学与工程学院网络工程系59网络互联与路由Quidwayaclnumber2000Quidway-acl-basic-2000ruledenyQuidwaynataddress-group202.1.1.3202.1.1.6hw-testQuidwayinterfaceEthernet0/1Quidway-Ethernet0/1ipQuidwayinterfaceEthernet0/0Quidway-Ethernet0/1ipQuidway-Ethernet0/1natoutbound2000address-grouphw-testQuidwayiproute-static0.0.0.0202.1.1.1preference605.4.9地址转换配置举例地址转换配置举例-3n对外提供对外提供ftp，www等效劳等效劳n以以www效劳为例效劳为例,除了前面例子中的配置除了前面例子中的配置,公网接口需要公网接口需要增加如下配置增加如下配置:nQuidway-Ethernet0/0natserverglobal202.1.1.2wwwinside192.168.0.2wwwtcpn注意注意:如果需要其他用户可以如果需要其他用户可以ping通内部对外提供效劳的通内部对外提供效劳的效劳器效劳器,必须增加如下配置必须增加如下配置:nQuidway-Ethernet1natserverglobal202.1.1.2anyinside192.168.0.2anyicmpnn注意注意:内部用户不能使用公网地址来访问内部效劳器内部用户不能使用公网地址来访问内部效劳器,必须必须使用内网地址访问使用内网地址访问.信息科学与工程学院网络工程系60网络互联与路由信息科学与工程学院网络工程系61网络互联与路由5.4.9地址转换配置举例地址转换配置举例-4InternetFTP 效劳器WWW 效劳器1WWW 效劳器2内部PCS0外部PC内部PCSNMP 效劳器信息科学与工程学院网络工程系62网络互联与路由5.4.9地址转换配置举例地址转换配置举例-4nQuidway nataddress-group202.38.160.101202.38.160.103pool1nQuidway acl1 nQuidway-acl-1nQuidway-acl-1ruledenysourceanynQuidway-acl-1intserial0nQuidway-Serial0natoutbound1address-grouppool1 nQuidway-Serial0natserverglobal202.38.160.101ftpninside10.110.10.1ftptcpnQuidway-Serial0natserverglobal202.38.160.102wwwninside10.110.10.2wwwtcpnQuidway-Serial0natserverglobal202.38.160.1028080ninside10.110.10.3wwwtcpnQuidway-Serial0natserverglobal202.38.160.103snmpninside10.110.10.4smtpudp讨论讨论nSOHO路由器的根本实现路由器的根本实现n双广域网口路由器的使用场合、实现及配置双广域网口路由器的使用场合、实现及配置信息科学与工程学院网络工程系64网络互联与路由5网络地址管理及平安技术网络地址管理及平安技术n5.1网络平安及防火墙技术简介网络平安及防火墙技术简介n5.2ACL技术简介及配置技术简介及配置n5.3DHCP技术简介及配置技术简介及配置n5.4NAT技术简介及配置技术简介及配置n5.5其它技术其它技术nFTPnIPv6信息科学与工程学院网络工程系65网络互联与路由5.5.1.1FTP协议简介协议简介nFTP协议是互联网上广泛使用的文件传输协议协议是互联网上广泛使用的文件传输协议n客户端客户端/效劳器模式，基于效劳器模式，基于TCPnFTP采用双采用双TCP连接方式连接方式n控制连接使用控制连接使用TCP端口号端口号21n数据连接使用数据连接使用TCP端口号端口号20nFTP有两种文件传输模式有两种文件传输模式nASCIIn二进制二进制nFTP采用两种数据传输方式采用两种数据传输方式n主动方式主动方式n被动方式被动方式信息科学与工程学院网络工程系66网络互联与路由5.5.1.2FTP双双TCP连接方式连接方式n控制连接控制连接n用于在用于在FTP客户端和客户端和FTP效劳器之间传输效劳器之间传输FTP控制命令及命令执行控制命令及命令执行信息。控制连接在整个信息。控制连接在整个FTP会话期间一直保持翻开会话期间一直保持翻开n数据连接数据连接n用于传输数据，包括数据上传、下载、文件列表发送等。数据传用于传输数据，包括数据上传、下载、文件列表发送等。数据传输结束后数据连接将终止输结束后数据连接将终止FTP控制控制连接进程连接进程21FTP客户端客户端FTP效劳器效劳器FTP数据数据连接进程连接进程FTP控制控制连接进程连接进程FTP数据数据连接进程连接进程20信息科学与工程学院网络工程系67网络互联与路由5.5.1.2FTP文件传输模式文件传输模式nASCII模式是默认的文件传输模式，主要特点是模式是默认的文件传输模式，主要特点是:l本地文件转换成标准的本地文件转换成标准的ASCII码再传输码再传输l适用于传输文本文件适用于传输文本文件n二进制流模式也称为图像文件传输模式，主要特点是：二进制流模式也称为图像文件传输模式，主要特点是：l文件按照比特流的方式进行传输文件按照比特流的方式进行传输l适用于传送程序文件适用于传送程序文件信息科学与工程学院网络工程系68网络互联与路由5.5.1.4FTP数据传输方式数据传输方式n主动方式主动方式n主动方式也称为主动方式也称为PORT方式，是方式，是FTP协议最初定义的数据传输协议最初定义的数据传输连接方式，主要特点是连接方式，主要特点是:nFTP客户端通过向客户端通过向FTP效劳器发送效劳器发送PORT命令，告诉效劳器该客命令，告诉效劳器该客户端用于传输数据的临时端口号户端用于传输数据的临时端口号n当需要传送数据时，效劳器通过当需要传送数据时，效劳器通过TCP端口号端口号20与客户端的临时与客户端的临时端口建立数据传输通道，完成数据传输端口建立数据传输通道，完成数据传输n在建立数据连接的过程中，由效劳器主动发起连接，因此被称在建立数据连接的过程中，由效劳器主动发起连接，因此被称为主动方式为主动方式信息科学与工程学院网络工程系69网络互联与路由主动方式建立连接过程主动方式建立连接过程FTP客户端客户端控制连接控制连接FTP效劳器效劳器控制连接控制连接1117421TCP三次握手建立控制通道的三次握手建立控制通道的TCP连接连接FTP客户端客户端控制连接控制连接FTP效劳器效劳器控制连接控制连接2117421客户端用客户端用PORT命令通告用于数据传输的临时命令通告用于数据传输的临时端口号端口号13*256+238=3566PORT(192,168,0,1,13,238)交互过程交互过程FTP客户端客户端数据连接数据连接FTP效劳器效劳器数据连接数据连接3356620TCP三次握手建立数据通道的三次握手建立数据通道的TCP连接连接FTP客户端客户端数据连接数据连接FTP效劳器效劳器数据连接数据连接4356620双方进行数据传输。传输完毕后发送数双方进行数据传输。传输完毕后发送数据的一方主动关闭数据连接据的一方主动关闭数据连接数据传输数据传输关闭数据连接关闭数据连接信息科学与工程学院网络工程系70网络互联与路由5.5.1.4FTP数据传输方式数据传输方式n被动方式被动方式n被动方式也称为被动方式也称为PASV方式，被动方式的主要特点是方式，被动方式的主要特点是:nFTP客户端通过向客户端通过向FTP效劳器发送效劳器发送PASV命令，告诉效劳命令，告诉效劳器进入被动方式。效劳器选择临时端口号并告知客户端器进入被动方式。效劳器选择临时端口号并告知客户端n当需要传送数据时，客户端主动与效劳器的临时端口号建当需要传送数据时，客户端主动与效劳器的临时端口号建立数据传输通道，完成数据传输立数据传输通道，完成数据传输n在整个过程中，由于效劳器总是被动接收客户端的数据连在整个过程中，由于效劳器总是被动接收客户端的数据连接，因此被称为被动方式接，因此被称为被动方式信息科学与工程学院网络工程系71网络互联与路由被动方式建立连接过程被动方式建立连接过程FTP客户端客户端控制连接控制连接FTP效劳器效劳器控制连接控制连接1117421TCP三次握手建立控制通道的三次握手建立控制通道的TCP连接连接FTP客户端客户端控制连接控制连接FTP效劳器效劳器控制连接控制连接2117421效劳器对效劳器对PASV命令回应，其中包含用于数命令回应，其中包含用于数据传输的临时端口号据传输的临时端口号(20*256+245=5365PASV交互过程交互过程FTP客户端客户端数据连接数据连接FTP效劳器效劳器数据连接数据连接337895365客户端随机选择端口与效劳器端选定的客户端随机选择端口与效劳器端选定的端口建立数据通道的端口建立数据通道的TCP连接连接FTP客户端客户端数据连接数据连接FTP效劳器效劳器数据连接数据连接437895365进行数据传输，传输完毕后发送数据的进行数据传输，传输完毕后发送数据的一方主动关闭数据连接一方主动关闭数据连接数据传输数据传输关闭数据连接关闭数据连接EnterPassiveMode(192,168,0,10,20,245)信息科学与工程学院网络工程系72网络互联与路由5.5.1.5TFTP协议介绍协议介绍nTFTP简单文件传输协议也是采用客户机简单文件传输协议也是采用客户机/效劳器模式效劳器模式的文件传输协议的文件传输协议nTFTP适用于客户端和效劳器之间不需要复杂交互的环境适用于客户端和效劳器之间不需要复杂交互的环境nTFTP承载在承载在UDP之上，端口号之上，端口号69nTFTP仅提供简单的文件传输功能上传、下载仅提供简单的文件传输功能上传、下载nTFTP没有存取授权与认证机制，不提供目录列表功能没有存取授权与认证机制，不提供目录列表功能nTFTP协议传输是由客户端发起的协议传输是由客户端发起的信息科学与工程学院网络工程系73网络互联与路由5.5.1.6配置路由器作为配置路由器作为FTP客户端客户端n在用户视图下直接登录远程在用户视图下直接登录远程FTP效劳器效劳器nRouterftpserver-addressn查询远程查询远程FTP效劳器上的目录效劳器上的目录/文件文件nftplsremotefilelocalfilen下载下载FTP效劳器上的文件效劳器上的文件nftpgetremotefilelocalfilen断开与远程断开与远程FTP效劳器的连接效劳器的连接nftpbye信息科学与工程学院网络工程系74网络互联与路由5.5.1.7其他常用命令其他常用命令n设置设置FTP文件传输的模式为二进制流模式文件传输的模式为二进制流模式nftpbinaryn显示远程显示远程FTP效劳器上的工作目录效劳器上的工作目录nftppwdn切换远程切换远程FTP效劳器上的工作路径效劳器上的工作路径nftpcdpathnamen上传本地文件到远程上传本地文件到远程FTP效劳器效劳器nftpputlocalfileremotefile信息科学与工程学院网络工程系75网络互联与路由5.5.1.8配置路由器作为配置路由器作为FTP效劳器端效劳器端n在系统视图下启动在系统视图下启动FTP效劳器功能效劳器功能nRouterftpserverenablen创立本地用户并进入本地用户视图创立本地用户并进入本地用户视图nRouterlocal-useruser-namen设置当前本地用户的密码设置当前本地用户的密码nRouter-luser-abcpasswordsimple|cipherpasswordn设置效劳类型并指定可访问的目录设置效劳类型并指定可访问的目录nRouter-luser-abcservice-typeftpftp-directorydirectory信息科学与工程学院网络工程系76网络互联与路由5.5.1.9配置例如配置例如RouterftpserverenableRouterlocal-userftp_managerRouter-luser-ftp_managerpasswordsimple123456Router-luser-ftp