Advanced NAT(一)

寒星

涉及的到的知识点：
  引自盒子杰作：
自反访问表的基本的工作原理是:
只能由内部网络始发的，外部网络的响应流量可以进入，
由外部网络始发的流量如果没有明确的允许，是禁止进入的。

1)Reflexive-ACL的工作流程：
a.由内网始发的流量到达配置了自反访问表的路由器，路由器根据此流量的第三层和第四层信息自动生成一个临时性的访问表，
临时性访问表的创建依据下列原则：
protocol不变，
source-IP地址 , destination-IP地址严格对调，
source-port,destination-port严格对调，
对于ICMP这样的协议，会根据类型号进行匹配。
b.路由器将此流量传出，流量到达目标，然后响应流量从目标返回到配置了自反访问表的路由器。
c.路由器对入站的响应流量进行评估，只有当返回流量的第三、四层信息与先前基于出站流量创建的临时性访问表的第三、四层
信息严格匹配时，路由器才会允许此流量进入内部网络。
Cisco 路由器中ACL的参数establish的作用
　　该命令阻止任何本网外部用户试图建立的连接(如telnet连接)。当在ACL中加上establish参数后，路由器会滤除IP报头中SYNC置位的包(也就是连接请求的包)。而如果请求是内部用户发起的包，则不受影响。达到了控制外部用户的目的。
---------------------------------------------------
一台CheckPoint防火墙出了问题：在事件查看器中可以查到“No License for Routers”的错误，经常死机。这个错误在CheckPoing文档中没有记录, 据说是有一个“路由器管理模块”没有购买。最后发现，其实只要在安装正式License时不要将试用License去掉就没有这个问题。
在等待有关方面支持的同时，我们将该防火墙撤下来，暂时用路由器实现原来由防火墙完成的地址转换、访问控制等部分功能，新旧拓朴图如下：

设置方法比较简单:
如果临时使用的交换机SW不支持VLAN,则可以在路由器内网端口上使用secondary address，注意这样做会把DMZ跟内网出口混在一起，要在内网多层交换机上设置好访问控制列表，阻止通过DMZ入侵内网。配置形如：
interface FastEthernet0/0
ip address 202.1.1.1 255.255.255.252
ip access-group 101 in
ip nat outside
!
interface FastEthernet1/0
ip address 192.168.1.254 255.255.255.0 secondary
ip address 10.0.0.1 255.255.255.0
ip nat inside
!
ip nat pool inet 202.2.2.1 202.2.2.9 netmask 255.255.255.0
ip nat inside source list 1 pool inet overload
ip nat inside source static 192.168.1.230 202.2.2.230
ip nat inside source static 192.168.1.231 202.2.2.231
ip classless
ip route 0.0.0.0 0.0.0.0 202.1.1.2
ip route 10.0.0.0 255.0.0.0 10.0.0.254  \\ 横线地方区别好两个不同的内网出去的方法
!
access-list 1 permit 10.0.0.0 0.0.0.255
access-list 101 permit tcp any any established
access-list 101 permit tcp any host 202.2.2.230 eq domain
access-list 101 permit tcp any host 202.2.2.231 eq www

寒星

东西要的好看，好吃，才能有顾客。[em3]

恶魔

睡觉之前过来顶一下
哈哈哈哈

鎂薘

我也来顶了啊...

Power

楼主在学习高级路由吧...加油!