7-网络安全技术

louqunhill
1 ℃
2020-07-11

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

1Instructor:Jingshan7网络安全技术2©2007CiscoSystems,Inc.Allrightsreserved.7网络安全技术7.1动态主机配置协议（DHCP）7.2网络地址转换（NAT）7.3访问控制列表（ACL）3Instructor:Jingshan7网络安全技术7.1DHCP（N4-7）4©2007CiscoSystems,Inc.Allrightsreserved.7.1.1DHCP简介何谓DHCP？5©2007CiscoSystems,Inc.Allrightsreserved.7.1.1DHCP简介DHCP的类型–手动分配：管理员为客户端指定预分配的IP地址，DHCP只是将该IP地址传达给设备。–自动分配：DHCP从可用地址池中选择静态IP地址，自动将它永久性地分配给设备。不存在租期问题，地址是永久性地分配给设备。–动态分配：DHCP自动动态地从地址池中分配或出租IP地址，使用期限为服务器选择的一段有限时间，或者直到客户端告知DHCP服务器其不再需要该地址为止。6©2007CiscoSystems,Inc.Allrightsreserved.7.1.1DHCP简介DHCP的运作如果客户端发起DHCPREQUEST广播时，DHCP服务器已经将该地址指定给网络中的其它主机，DHCP服务器向客户端发送DHCPNAK，客户端需要重新启动发现过程。分配IP通告使用分配的IP7©2007CiscoSystems,Inc.Allrightsreserved.7.1.2配置DHCP服务器DHCP配置步骤–步骤1.定义DHCP在分配地址时的排除范围。这些地址通常是保留供路由器接口、交换机管理IP地址、服务器和本地网络打印机使用的静态地址。–步骤2.使用ipdhcppool命令创建DHCP池。8©2007CiscoSystems,Inc.Allrightsreserved.7.1.2配置DHCP服务器DHCP配置步骤–步骤3.配置地址池的具体信息。•需完成的任务定义地址池：networknetwork-number[mask|/prefix-length]定义默认路由或网关：default-routeraddress[add2…addr8]•可选任务定义DNS服务器：dns-serveraddress[addr2…addr8]定义域名：dimain-namedomain定义DHCP租期：lease[day[hour][minite]|infinite]在支持DHCP服务器的各版本CiscoIOS软件上，默认启用DHCP服务。要禁用此服务，请使用noservicedhcp命令。使用servicedhcp全局配置命令可重新启用DHCP服务过程。9©2007CiscoSystems,Inc.Allrightsreserved.7.1.2配置DHCP服务器DHCP配置举例DHCP路由器R1(config)#interfaceFastEthernet0/0R1(config-if)#ipaddress192.168.10.254255.255.255.010©2007CiscoSystems,Inc.Allrightsreserved.7.1.2配置DHCP服务器检验DHCP–showipdhcpbinding。此命令显示DHCP服务已提供的全部IP地址与MAC地址绑定列表。–showipdhcpserverstatistics。此命令显示关于已发送和接收的DHCP消息数量的计数信息。11©2007CiscoSystems,Inc.Allrightsreserved.7.1.3配置DHCP客户端设备自动获取地址–showipinterface检查获取情况主机自动获取地址–ipconfig/all检查获取情况12©2007CiscoSystems,Inc.Allrightsreserved.7.1.4DHCP中继DHCP中继–网络客户端与DHCP服务器不在同一子网时使用DHCP中继。寻找DHCP服务器对不起，我不能将广播转发到您的网络以外的区域13Instructor:Jingshan7网络安全技术7.2NAT（N4-7）14©2007CiscoSystems,Inc.Allrightsreserved.7.2.1NAT简介NAT概念NAT将不可路由的私有内部地址转换成可路由的公有地址。NAT还能在一定程度上增加网络的私密性和安全性，因为它对外部网络隐藏了内部IP地址。15©2007CiscoSystems,Inc.Allrightsreserved.7.2.1NAT简介NAT概念16©2007CiscoSystems,Inc.Allrightsreserved.7.2.1NAT简介NAT概念–内部本地地址—通常不是RIR或服务器提供商分配的IP地址，极有可能是RFC1918私有地址。–内部全局地址—当内部主机流量流出NAT路由器时分配给内部主机的有效公有地址。–外部全局地址—分配给Internet上主机的可达IP地址。–外部本地地址—分配给外部网络上主机的本地IP地址。大多数情况下，此地址与外部设备的外部全局地址相同。17©2007CiscoSystems,Inc.Allrightsreserved.7.2.1NAT简介NAT概念18©2007CiscoSystems,Inc.Allrightsreserved.7.2.1NAT简介NAT转换类型–静态NAT：使用本地地址与全局地址的一对一映射，这些映射保持不变。这些内部主机可能是企业服务器或网络设备。–动态NAT：使用公有地址池，并以先到先得的原则分配这些地址。当具有私有IP地址的主机请求访问Internet时，动态NAT从地址池中选择一个未被其它主机占用的IP地址。NAT过载–NAT过载有时称为端口地址转换或PAT，将多个私有IP地址映射到一个或少数几个公有IP地址。–NAT处理各数据包时，它使用端口号来识别发起数据包的客户端。–大多数家用路由器就是这样工作的。19©2007CiscoSystems,Inc.Allrightsreserved.7.2.1NAT简介NAT过载20©2007CiscoSystems,Inc.Allrightsreserved.7.2.1NAT简介NAT过载–NAT过载利用Internet上的服务器确保每个客户端会话使用不同的TCP端口号。当服务器返回响应时，源端口号（在回程中变成目的端口号）决定路由器将数据包路由给哪一客户端。它还会检查是否请求过传入的数据包，因此这在一定程度上提高了会话的安全性。–NAT过载会尝试保留源端口号。但是，如果此源端口已被使用，NAT过载会从适当的端口组0-511、512-1023或1024-65535开始分配源端口之后的第一个可用端口号。当没有端口可用时，如果配置了一个以上的外部IP地址，则NAT过载将会使用下一IP地址，再次尝试分配原先的源端口。21©2007CiscoSystems,Inc.Allrightsreserved.7.2.1NAT简介NAT的优点和缺点22©2007CiscoSystems,Inc.Allrightsreserved.7.2.2配置静态NAT静态NAT配置步骤1、建立内部地址与全局地址之间的静态转换Router(config)#ipnatinsidesourcestaticlocal-ipglobal-ip使用noipnatinsidesourcestatic//可删除静态源地址转换2、指定内部接口，并将其标志为内部连接（可以有多个）Router(config)#interfacetypenumberRouter(config-if)#ipnatinside3、指定外部接口，并将其标志为外部连接（可以有多个，一般为1个）Router(config)#interfacetypenumberRouter(config-if)#ipnatoutside23©2007CiscoSystems,Inc.Allrightsreserved.7.2.2配置静态NAT静态NAT配置示例24©2007CiscoSystems,Inc.Allrightsreserved.7.2.3配置动态NAT动态NAT配置步骤1、定义全局地址池Router(config)#ipnatpoolnamestart-ipend-ip{netmasknetmask|prefix-lengthprefix-length}2、定义一个标准访问控制列表，以允许待转换的地址通过。Router(config)#access-listaccess-list-numberpermitsource[source-wildcard]待转地址必须既符合列表要求也属于内部接口网络范围3、建立动态源地址转换，Router(config)#ipnatinsidesourcelistaccess-list-numberpoolpool-name4、指定内部接口，并将其标志为内部连接（可以有多个）Router(config)#interfacetypenumberRouter(config-if)#ipnatinside5、指定外部接口，并将其标志为外部连接（可以有多个，一般为1个）Router(config)#interfacetypenumberRouter(config-if)#ipnatoutside25©2007CiscoSystems,Inc.Allrightsreserved.7.2.3配置动态NAT动态NAT配置示例26©2007CiscoSystems,Inc.Allrightsreserved.7.2.4配置NAT过载为公有IP地址池配置NAT过载Router(config)#ipnatinsidesourcelistaccess-list-numberpoolpool-nameoverload//其余配置痛动态NAT相同27©2007CiscoSystems,Inc.Allrightsreserved.7.2.4配置NAT过载单一公有地址配置NAT过载此处的单一公有地址一般指配置在边界路由器连接外网的路由器接口地址。1、定义一个标准访问控制列表，以允许待转换的地址通过。Router(config)#access-listaccess-list-numberpermitsource[source-wildcard]2、建立动态源地址转换，Router(config)#ipnatinsidesourcelistaccess-list-numberinterfacetypenumberoverload3、指定内部接口，并将其标志为内部连接（可以有多个）Router(config)#interfacetypenumberRouter(config-if)#ipnatinside4、指定外部接口，并将其标志为外部连接（可以有多个，一般为1个）Router(config)#interfacetypenumberRouter(config-if)#ipnatoutside28©2007CiscoSystems,Inc.Allrightsreserved.7.2.3配置动态NATNAT过载配置示例29©2007CiscoSystems,Inc.Allrightsreserved.7.2.4检验NAT和NAT过载showrunning-config30©2007CiscoSystems,Inc.Allrightsreserved.7.2.4检验NAT和NAT过载showipnattranslations–该命令显示所有已配置的静态转换和所有由流量创建的动态转换。在该命令中增加verbose可显示关于每个转换的附加信息，包括创建和使用条目的时间长短。31©2007CiscoSystems,Inc.Allrightsreserved.7.2.4检验NAT和NAT过载