Cisco路由器提供了几种NAT转换的功能: 1、内部地址与出口地址的一一对应 缺点:在出口地址资源稀少的情况下只能使较少主机连到internet 。 2、内部地址分享出口地址 路由器利用出口地址和端口号以及外部主机地址和端口号作为接口。其中内部地址的端口号为随机产生的大于1024的号码,而外部主机端口号为公认的标准端口号。这样可以用同一个出口地址来分配不同的端口号连接任意数量的内部主机到外网。 具体配置:由于实验用的是ISDN拨号上网,在internet上只能随机获得出口地址,所以NAT转换的地址池设置为BRI口上拨号所获得的地址。 interface FastEthernet0/0 ip address 172.16.18.200 255.255.255.0 ip nat inside the interface connected to inside world ! interface BRI0/0 ip address negotiated ip nat outside the interface connected to outside network encapsulation ppp no ip split-horizon dialer string 163 dialer load-threshold 150 inbound dialer-group 1 isdn switch-type basic-net3 ip nat inside source list 1 interface BRI0/0 overload access-list 1 permit 172.16.18.0 0.0.0.255 3、内部地址和外部地址出现交叠 当内部和外部用同一个网络段地址时,在地址没有重复的情况下,可以同时对内外接口进行NAT转换使之可以正常通讯。 4、用一个出口地址映射内部多台主机 应用于internet上的大型网站有多台主机对应同一个系统的同一个出口地址。 可以用sh ip nat translation 和debug ip nat 命令来检查NAT的状态。 二、基于上下文的访问控制(Context-based access control--CBAC) CISCO路由器的access-list只能检查网络层或者传输层的数据包,而CBAC能够智能过滤基于应用层的(如FTP连接信息)TCP和UDP的sessi on;CBAC能够在firewall access-list 打开一个临时的通道给起源于内部网络向外的连接,同时检查内外两个方向的sessions。 1、工作原理 比如当CBAC配置于连到internet的外部接口上,一个从内部发出的TCP数据包(telnet会话)经过该接口连出,同时CBAC的配置中已经包括了t cp inspection,将会经过以下几步: (1)数据包到达cisco防火墙的外部接口(设为s0); (2)数据包由该接口outbound access-list检查是否允许通过(不通过的数据包在此被丢弃,不用经过以下步骤); (3)通过access list检查的数据包由CBAC检查来决定和记录包连接状态信息,这个信息被记录于一个新产生的状态列表中为下一个连接提供快速通道;(4)如果CBAC没有定义对telnet应用的检查,数据包可以直接从该接口送出; (5)基于第三步所获得的状态信息,CBAC在s0的inbound access list中插入一个临时创建的access list入口,这个临时通道的定义是为了让从外部回来的数据包能够进入; (6)数据包从s0送出; (7)接下来一个外部的inbound数据包到达s0,这个数据包是先前送出的telnet会话连接的一部分,经过s0口的access list检查,然后从第五步建立的临时通道进入; (8)被允许进入的数据包经过CBAC的检查,同时连接状态列表根据需要更新,基于更新的状态信息,inbound access list临时通道也进行修改只允许当前合法连接的数据包进入; (9)所有属于当前连接的进出s0口数据包都被检查,用以更新状态列表和按需修改临时通道的access list,同时数据包被允许通过s0口; (10)当前连接终止或超时,连接状态列表入口被删除,同时,临时打开的access list入口也被删除。 需要注意的是:对于配置到s0口outbound ip access list, accesslist必须允许所有需要的应用通过,包括希望被CBAC检查的应用;但是inbound ip access list必须禁止所有需要CBAC检查的应用,当CBAC被出去的数据包触发后,会在inbound access list中临时开放一个通道给合法的、正在传送的数据进入。
评论