access-list 1 permit 172.16.18.0 0.0.0.255

3、内部地址和外部地址出现交叠

当内部和外部用同一个网络段地址时，在地址没有重复的情况下，可以同时对内外接口进行NAT转换使之可以正常通讯。

4、用一个出口地址映射内部多台主机

应用于internet上的大型网站有多台主机对应同一个系统的同一个出口地址。

可以用sh ip nat translation 和debug ip nat 命令来检查NAT的状态。

二、基于上下文的访问控制（Context-based access control--CBAC）

CISCO路由器的access-list只能检查网络层或者传输层的数据包，而CBAC能够智能过滤基于应用层的（如FTP连接信息）TCP和UDP的session；CBAC能够在firewall access-list 打开一个临时的通道给起源于内部网络向外的连接，同时检查内外两个方向的sessions。

1、工作原理

比如当CBAC配置于连到internet的外部接口上，一个从内部发出的TCP数据包（telnet会话）经过该接口连出，同时CBAC的配置中已经包括了tcp inspection，将会经过以下几步：

（1）数据包到达防火墙的外部接口（设为s0）；

（2）数据包由该接口outbound access-list检查是否允许通过（

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] 下一页