1. 程式人生 > >企業邊界網絡設備的一般配置:ACL、端口復用(PAT)、端口映射

企業邊界網絡設備的一般配置:ACL、端口復用(PAT)、端口映射

pat acl 端口映射 華為 思科

一、概述:

企業的邊界網絡設備一般是路由器或者多層交換機,主要實現的功能如下:(1)實現內網部分設備訪問外網;(2)客戶從公網訪問企業內網的Web服務器等;(3)運維人員從外網訪問企業內部的部分設備進行遠程維護。其中第一項功能需求通過ACL和端口復用(PAT)技術實現,第二、三項功能需求通過端口映射技術實現。

本文結合拓撲圖講述上述幾項功能的實現技術及具體配置。

二、拓撲圖說明:

技術分享圖片

如上圖所示,綠色背景部分為企業內部網絡環境(COMPANY-Network),藍色背景部分為運營商網絡環境(ISP-Network),褐色背景部分為用戶客戶端網絡(HOME-Network)。

今天要討論的就是紅色圈中的企業邊界路由器(BR)的配置。涉及的相關網絡技術說明如下:

1、訪問控制列表(ACL):

訪問控制列表是路由器和交換機接口的指令列表,用來控制端口進出的數據包。信息點間通信和內外網絡的通信都是企業網絡中必不可少的業務需求,為了保證內網的安全性,需要通過安全策略來保障非授權用戶只能訪問特定的網絡資源,從而達到對訪問進行控制的目的。ACL可以過濾網絡中的流量,是控制訪問的一種網絡技術手段。

本實驗中使用ACL技術實現允許VLAN10的用戶訪問外網。

2、端口復用(PAT):

企業內部網絡中使用內部地址,通過NAT把內部地址翻譯成公網IP地址,即為NAT技術。IPv4 地址日益不足是部署 NAT 的一個主要原因。

PAT與NAT類似,它將內部連接映射到外部網絡中的一個單獨的IP地址上,同時在該地址上加上一個TCP端口號。

本實驗中將企業內網的192.168.10.0地址段映射為企業邊界路由器的外網端口地址。

3、端口映射:

端口映射是將一臺主機的內網IP地址映射成一個公網IP地址,當用戶訪問提供映射端口主機的某個端口時,服務器將請求轉發到本地局域網內部提供這種特定服務的主機;利用端口映射功能還可以將一臺外網IP地址機器的多個端口映射到內網不同機器上的不同端口。

本實驗中實現兩個映射:(1)將內網WEB服務器192.168.30.249的80端口映射為企業邊界路由器的外網端口地址的80端口,用於客戶訪問企業的WEB服務;(2)將內網核心交換機SW1的23端口映射為企業邊界路由器的外網端口地址的1919端口,用於運維人員遠程維護。

三、配置說明:

對於邊界網絡設備,首先要定義明確內部端口和外部端口,本實驗中GigabitEthernet0/0、GigabitEthernet0/1為內部端口,GigabitEthernet0/2為外部端口。具體配置如下:

技術分享圖片

1、訪問控制列表(ACL):

定義訪問控制列表的命令如下:

技術分享圖片

2、端口復用(PAT):

應用該訪問控制列表,即端口復用的命令如下:

技術分享圖片

3、端口映射:

實現端口映射的命令如下:


技術分享圖片

四、驗證測試:

1、訪問控制列表(ACL)與端口復用(PAT):

拓撲圖中PC1-1為VLAN10的服務器,WEB-Server1為VLAN30的服務器,按照配置PC1-1應該可以ping通ISP1路由器(與企業邊界路由器相鄰的運營商路由器)的端口IP12.1.1.2,驗證結果如下:

技術分享圖片

而WEB-Server1無法ping通12.1.1.2,驗證如下:

技術分享圖片

2、端口映射:

從ISP1(與企業邊界路由器相鄰的運營商路由器)上面telnet 12.1.1.1,應該可以遠程登陸到內網核心交換機SW1,驗證如下:

技術分享圖片

五、總結:

企業邊界網絡設備,一般要實現允許內網部分用戶訪問外網,這個需求由訪問控制列表(ACL)和端口復用(PAT)技術實現(當然還可以根據需要實現更精確的訪問控制)。而外部用戶訪問企業內部的提供公網服務的WEB服務器等,則由端口映射技術實現。

本文出自 “13391027” 博客,請務必保留此出處http://13401027.blog.51cto.com/13391027/1983323

企業邊界網絡設備的一般配置:ACL、端口復用(PAT)、端口映射