cisco路由器上配置PAT实现共享上网
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了cisco路由器上配置PAT实现共享上网相关的知识,希望对你有一定的参考价值。
参考技术A cisco 路由器 上配置PAT实现共享上网一. PAT(prot Address Translation,端口地址转换)是NAT(Network Address translation,网络地址转换)最常用的一种实现方式。
二. PAT 配置事例。
www.2cto.com
1. 设置接口的ip地址。
Cisco2811(config)# interface fastethent0/0
Cisco2811(config-if)# ip address 192.168.1.254 255.255.255.0
Cisco2811(config-if)#no shutdown
Cisco2811(config-if)#interface fastethent0/1
Cisco2811(config-if)#ip address 220.95.5.194 255.255.255.0
Cisco2811(config-if)#no shutdown
2. 定义访问控制列表。
Cisco2811(config)#access-list 1 permit 192.168.1.0 0.0.0.255
l Access-list 是配置访问控制列表的关键字。
l “1”是访问控制列表号,在这里他的范围是1~99之间的整数。
l Permit是允许的意思,该命令后面跟一个地址范围,在这里理解允许进行地址转换的IP地址范围。
l 192.168.1.0 0.0.0.255表示192.168.1.0~192.168.1.255这个地址范围。0.0.0.255 是通配符。 www.2cto.com
3. 实现外接口地址的复用及IP地址的动态转换。
Cisco2811(config)#ip nat inside source list 1 interface fastethernet0/1 overlocad
l Ip nat :配置PAT 的关键字。
l Inside source list 1 : 表示从inside 接口进入并符合acces-list 1 要求的数据包,它的源地址将被进行PAT转换。
l Interface fastethenet0/1:表示在f0/1接口上进行接口复用。
l Overload:它的意思为过载,正因为配置了overload,才能实现接口复用。
4. 在接口上启用PAT.
Cisco2811(config)# interface fastethent0/0
Cisco2811(config-if)#ip nat inside
Cisco2811(config)# interface fastethent0/1
Cisco2811(config-if)# ip nat outside
一般情况下都会在加上一条指向外网的默认路由。
Cisco2811(config)#ip route 0.0.0.0 0.0.0.0 fastethenet0/1
终端识别技术和管理技术
防共享需求背景
- 共享上网即有多个终端共享源地址上网
- 需求背景
- 私接WiFi容易暴露内网,避免共享接入的用户绕开企业上网权限控制和上网行为监控
- 运营商承建高校的校园网,寝室内无线共享网络会影响运营商宽带开户率和收益
防共享识别和控制技术
- 共享上网情景
- 通过路由器配置NAT代理,实现多台PC通过路由器共享上网
- PC通过代理软件代理到其他PC进行共享上网
- PC通过360WiFi等共享热点的软件共享上网
传统防共享技术
- ID轨迹检测
- 只针对Windows主机,通过Windows网路协议栈实现时,ID字段的值会随着发送IP报文数的增加而增加
- PC开机后,会随机产生一个ID值,之后PC会规律性增加这个ID值,一般不同的主机ID的初始值会不同
- 通过监听ID字段的值,就可以发现是否存在共享上网
- 优点
- 能够准确的判断是否为共享上网用户
- 可以判断出在线共享上的网络主机数
- 完全是被动监听,不需要发送探测信息
- 缺点
- 需要一段时间的观察,一般两天以上。因为需要观察的时间长,而用户上网时间不会持续两天
- 对于分时上网和Proxy的检测效果不明显。因为错开上网时间段,就无法检测出不同的ID值
- DHCP情况下效果差。因为租约到期后,IP地址可能会发生改变
- 始终偏移检测
- 不同的主机物理始终偏移不同,网络协议栈时钟与物理时钟存在对应关系
- 不同主机发送报文频率与时钟存在统计对应关系
- 可以通过特定的频谱分析算法,发现不同的网络时钟偏移来确定不同主机
- 优点
- 可以以准确的判断出是否为共享上网用户
- 可以准确的判断出共享上网主机数
- 缺点
- 需要复杂的计算方法进行处理分析,消耗资源
- 需要一段时间的观察,一般两天以上
- DHCP情况下效果差
- 其他传统防共享技术
深信服DPI检测技术
PC与PC之间的检测技术
- QQ检测防共享技术
- QQ在登陆时,发出的数据包中会包含自身的真实IP地址,经过网关设备进行NAT转换后,不会改变内层数据信息,AC在收到数据包后,进行检测,发现数据包中的源IP不同,则可以判定存在共享上网行为
- 深信服字体检测技术
- 在共享的PC访问HTTP网站,播放视频时(需要安装Flash插件),AC请求篡改PC请求,使PC上报系统字体信息到AC,如果共享的PC使用不同的字体,则可以识别出共享上网行为
- 深信服辅助检测技术
- URL检测
- 通过分析常用应用软件的数据包,可以发现一些HTTP请求中,URL会有一些特征串,这些特征串会有一些信息是与PC强关联的。即同一台PC发出的特征信息串是相同的,不同的PC发出的是不同的。AC则可以根据不同的特征串数量得出共享上网的PC的数量
- 微信特征ID 检测
- 通过分析微信客户端在发送消息时,在数据包固定的偏移位置,同一个微信客户端的偏移位置是相同的,不同的客户端偏移位置不同。AC则可以根据提取偏移位置的数量,得到共享上网设备的数量
- 通过分析微信客户端在发送消息时,在数据包固定的偏移位置,同一个微信客户端的偏移位置是相同的,不同的客户端偏移位置不同。AC则可以根据提取偏移位置的数量,得到共享上网设备的数量
- URL检测
移动端与移动端之间的检测技术
- URL检测技术
- 与PC间的URL检测技术相同
- 应用规则检测技术
- 通过设备内置规则库,可以从应用中分析出不同的移动终端
- UA检测技术
- User-Agent中包含有浏览器的标识信息(操作系统、加密等级、浏览器语言等信息),可以从这些信息中识别不同的终端
- User-Agent中包含有浏览器的标识信息(操作系统、加密等级、浏览器语言等信息),可以从这些信息中识别不同的终端
PC与移动端的检测技术
- URL检测技术
- 应用规则检测技术
移动终端管理需求背景
- 私接WiFi会给内网带来隐患
- 廉价的WiFi工具会降低私接WiFi难度和成本
- 蹭网卡的流行使得违规违纪行为难以被发现和溯源
移动终端识别和控制技术
- 排除信任IP和用户
- 对于合法的AP接入,默认放行,而对于非法接入的AP或者用户,则需要进行管控
- 管理非法接入的移动终端
- 对于非法接入的移动终端,可以配置拒绝此移动终端设备,禁止上网,并且经过该IP的所有访问都会被拒绝
- 识别移动终端
- URL检测技术
- 应用规则检测技术
- UA检测技术
- 对于一下三种场景不支持识别
- 手机通过USB数据线进行上网,共享PC的网络
- PC中安装了虚拟机,AC会检测到不同的操作系统
- 电脑上安装了移动终端模拟器,AC会检测到PC和移动终端的两种流量数据包
- 移动终端发现趋势
- 针对最近7、30天,AC对每天发现的移动终端数量做趋势统计,方便管理员发现管理的有效性
以上内容均属原创,如有不详或错误,敬请指出。
以上是关于cisco路由器上配置PAT实现共享上网的主要内容,如果未能解决你的问题,请参考以下文章