路由器防火墙配置与NAT、ACL实践-优快云博客

本文链接：https://blog.youkuaiyun.com/yyj1781572/article/details/129179455

实验目的
通过本实验，理解路由器的防火墙工作原理，掌握路由器的防火墙功能配置方法，主要包括网络地址转换功能和数据包过滤功能的配置。

培养根据具体环境与实际需求进行网络地址转换及数据包过滤的能力。

预备知识
网络地址转换

网络地址转换(NAT，Network Address Translation)属接入广域网(WAN)技术，是一种将私有（保留）地址转化为合法IP地址的转换技术，广泛应用于各种类型Internet接入和各种类型的网络中。NAT不仅完美解决了lP地址不足的问题，而且还能够有效避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

NAT的实现方式有三种，静态转换StaticNat、动态转换DynamicNat和端口多路复用PAT。

1）静态NAT

静态NAT是将内部网络的私有IP地址转换为公有IP地址，IP地址对固定不变，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备（如WWW、FTP）的访问。

2）动态NAT

动态转换是将内部网络的私有IP地址转换为公用IP地址时，IP地址对不确定，是随机的，所有被授权访问Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。

3）端口PAT

端口多路复用是改变外出数据包的源端口并进行端口转换，即端口地址转换(PAT，PortAddressTranslation)，采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自Internet的攻击。目前网络中应用最多的就是端口多路复用方式。

访问控制列表

访问控制列表（Access Control List，简称为 ACL），它使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。ACL 分很多种，不同场合应用不同种类的 ACL。

1）标准 ACL

标准 ACL 最简单，是通过使用 IP 包中的源 IP 地址进行过滤，表号范围 1-99 或 1300-1999；

2）扩展 ACL

扩展 ACL 比标准 ACL 具有更多的匹配项，功能更加强大和细化，可以针对包括协议类型、源地址、目的地址、源端口、目的端口、TCP 连接建立等进行过滤，表号范围 100-199 或 2000-2699；

3）命名 ACL

以列表名称代替列表编号来定义 ACL，同样包括标准和扩展两种列表。

在访问控制列表的学习中，要注意以下两个术语。

1）通配符掩码

一个 32 比特位的数字字符串，它规定了当一个 IP 地址与其他的 IP 地址进行比较时，该 IP 地址中哪些位应该被忽略。通配符掩码中的“1”表示忽略 IP 地址中对应的位，而“0”则表示该位必须匹配。两种特殊的通配符掩码是“255.255.255.255”和“0.0.0.0”，前者等价于关键字“any”，而后者等价于关键字“host”；

2）Inbound 和outbound

当在接口上应用访问控制列表时，用户要指明访问控制列表是应用于流入数据还是流出数据。

Inbound表示应用于流入数据。

Outbound表示应用于流出数据。

总之，ACL 的应用非常广泛，它可以实现如下的功能：

拒绝或允许流入（或流出）的数据流通过特定的接口；

为 DDR 应用定义感兴趣的数据流；

过滤路由更新的内容；

控制对虚拟终端的访问；

提供流量控制。

思科IOS使用

思科IOS是思科研发的网络操作系统软件，思科的交换机/路由器都安装了IOS软件。通过在IOS下的进行配置操作，可以管理和配置思科的网络设备，构建的各种网络。

通常，配置思科交换机/路由器有两种方法：

1）控制台（Console ）

可以直接对交换机进行配置；

2）远程登录（Telnet）

通过TELNET程序对已经设置了IP的交换机进行远程配置，一般在通过控制台配置好交换机的IP后才可以进行。

在IOS中，有几种模式：用户模式、特权模式、全局模式、端口模式。它们之间呈现出递进关系：用户模式->特权模式->全局模式->端口模式。

1）用户模式

在控制台或/telnet方式进入交换机/路由器，首先进入的就是用户模式，在用户模式下用户将受到极大的限制，只能用来查看一些统计信息。其提示符为：

Switch>

2）特权模式

在用户模式下输入enable(可简写为en)命令就可以进入特权模式，用户在该模式下可以查看并修改Cisco设备的配置。其提示符变为：

Switch>en

Switch#

3）全局配置模式

在特权模式下输入config terminal(可简写conf t)命令即可，用户在该模式下可修改交换机的全局配置，如修改主机名。提示符也有相应变化：

Switch#conf t (中间包含空格)

Switch(config)#

4）接口模式

在全局配置模式下输入interface fastethernet 0/1(可简写int f0/1)就可以进入到接口模式，在这个模式下所做的配置都是针对f0/1这个接口所设定的。如设定IP等。注意提示符的变化：

Switch(config)#int f0/1

Switch(config-if)#

Packet Tracer

Packet Tracer 是由Cisco公司发布的一个辅助学习工具，为学习思科网络课程的初学者去设计、配置、排除网络故障提供了网络模拟环境。用户可以在软件的图形用户界面上直接使用拖曳方法建立网络拓扑，并可提供数据包在网络中行进的详细处理过程，观察网络实时运行情况。可以学习IOS的配置、锻炼故障排查能力。

本实验的所有操作，都是基于Packet Tracer环境下进行的。