目录
一、ACL包过滤
(1)ACL概述
(2)ACL配置
1、基本ACL配置 编号范围:2000~2999
2、高级ACL配置 编号范围:3000~3999
3、查看ACL包过滤与调试
4、ACL规则的匹配顺序
5、在网络中的正确位置配置ACL包过滤
二、NAT技术
1、Basic NAT:一对一,只换IP
2、NAPT:多对一,IP 和 端口一起换,可以只设置一个公网IP使用场景
3、Easy IP:适用于出接口地址无法预知的场合
4、NAT Server (只有一条命令)
NAT的信息显示和调试
三、广域网基础
一、什么是HDLC?
二、PPP协议
PPP的两种验证方式——PAP和CHAP
配置PAP验证
配置CHAP验证
一、ACL包过滤
使用访问控制列表实现包过滤
ACL包过滤是一种被广泛使用的网络安全技术,它使用ACL来实现数据识别,并决定是转发还是丢弃这些数据包。
网络安全的关键技术有哪些:
- 访问控制列表技术
- 网络地址转换技术
- 认证、授权和计费
- 交换机端口安全技术
- VPN虚拟私有网技术
- 端点准入防御技术
(1)ACL概述
ACL(Access Control List,访问控制列表)是用来实现数据包识别功能。
ACL可以应用于诸多方面:
ACL的类型包括:
- 基本ACL:只根据报文的源IP地址
- 高级ACL:需根据报文的源IP地址、目的IP地址、IP协议类型、端口等三、四层信息
- 二层ACL:根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息
(2)ACL配置
首先需要先理清配置ACL包过滤的相关问题:
- 需要使用何种ACL?
- ACL规则的动作是deny 还是permit?
- ACL规则中的反掩码应该是什么?
- ACL包过滤应该应用在路由器的哪个接口的哪个方向上?
包过滤功能默认开启,且系统默认的过滤方式是permit,及允许所有未匹配ACL规则的报文可以通过
配置包过滤的缺省动作为deny [H3C] packet-filter default deny1、基本ACL配置 编号范围:2000~2999
注意:ACL的通配符掩码是反掩码
[RTA]acl basic 2001 [RTA-acl-basic-2001] rule 0 deny source 1.1.1.1 0.0.0.0通配符掩码 0.0.0.0,代表精确匹配,只认准 1.1.1.1 这一个 IP
整句话的意思:在基础 ACL 2001 里,创建 0 号规则:禁止源 IP 是 1.1.1.1 的所有数据包通行。
如果通配符掩码是0.0.0.255,说明匹配整个网段
如果通配掩码为255.255.255.255 意味着正常的掩码为全零,0.0.0.0可以匹配这个网段中所有IP
ACL 默认最后隐含一条 rule permit any(没被拒绝的全都放行)
注意:配置好基本ACL后,要在RTA的接口上应用ACL才能确保ACL生效
[RTA-GigabitEthernet0/1] packet-filter 2001 outbound2、高级ACL配置 编号范围:3000~3999
例如:在路由器上实施高级ACL来禁止从PCA到网络192.168.2.0/24的FTP数据流(TCP),但是允许ping(ICMP)
[RTA]acl advanced 3002 [RTA-acl-adv-3002] rule 0 permit icmp source 1.1.1.1 0 destionation 3.3.3.0 0.0.0.255 [RTA-acl-adv-3002] rule 5 deny tcp source 1.1.1.1 0 destination 3.3.3.0 0.0.0.255 destination-port eq ftp 最后别忘在相应接口上应用 [RTA-GigabitEthernet0/0] packet-filter 3002 inbound3、查看ACL包过滤与调试
display acl acl-number|all 查看包过滤的统计信息 display packet-filter statistics { interface [ interface-type interface-number ] { inbound | outbound } { acl-number | name acl-name } }4、ACL规则的匹配顺序
- config:按rule定义的先后顺序来
- auto:按rule编号从小到大
5、在网络中的正确位置配置ACL包过滤
要求:尽可能在靠近数据源的路由器接口上配置ACL,以减少不必要的流量转发
结论:Basic ACL尽量靠近目标IP;高级ACL尽量靠近源IP
二、NAT技术
网络迅速发展,IPv4地址不够使用,为了解决IPv4地址短缺的问题,并提高安全性,IETF提出了NAT解决方案。
NAT技术主要作用:是将私有地址转换成公有地址
注意:私有地址在Internet上无法路由,如果采用私有地址的网络需要访问Internet,必须在出口处部署NAT设备
1、Basic NAT:一对一,只换IP
配置Basic NAT的步骤:
(1)配置ACL
- 确定哪些数据包的地址可以被转换
- 被ACL允许(permit)的报文将被进行NAT转换,被拒绝(deny)的报文将不会被转换
(2)配置地址池
- nat address-group [group-number]
- address start-address end-address
(3)进接口配置地址转换
nat outbound [acl-number] address-group [group-number]no-pat
2、NAPT:多对一,IP 和 端口一起换,可以只设置一个公网IP
NAPT采用端口号更能提高公网IP的利用效率,适用于私网作为客户端访问公网服务器的场合。
即:内网多个私网 IP →同一个公网 IP,通过不同端口号区分不同主机。
使用场景
- 企业、校园、网吧、家庭:大量内网用户共享少量公网 IP 上网。
注意:没有no-pat
3、Easy IP,适用于出接口地址无法预知的场合
不用配置公网IP地址池,直接使用出接口的IP地址作为转换后的源地址,工作原理与普通NAPT相同,是NAPT的一种特例
一般用于拨号接入Internet或动态获得IP地址的场合
注意:没有address-group
4、NAT Server (只有一条命令)
外网(global)主动访问内网(inside)
注意:用什么协议
interface GigabitEthernet 1/0/1 ip address 202.1.1.1 255.255.255.0 # 例1. 内网 Web 服务器:公网 80 → 内网 192.168.1.100:80 nat server protocol tcp global 202.1.1.1 80 inside 192.168.1.100 80 # 例2. 内网 FTP 服务器:公网 21 → 内网 192.168.1.101:21 nat server protocol tcp global 202.1.1.1 21 inside 192.168.1.101 21 # 例3. 也可以用域名/别名(www、ftp) nat server protocol tcp global 202.1.1.1 www inside 192.168.1.100 wwwNAT的信息显示和调试
1、显示地址转换信息
<H3C> display nat { address-group group-number | all | outbound port-block-group | server | statistics |session}
三、广域网基础
局域网主要完成工作站、终端、服务器等在较小物理范围内的互联,只能解决局部的资源共享
广域网协议需要适应多变的链路类型,并提供一定的安全特性,PPP支持同异步线路,能够提供验证,并且易于扩展。
广域网的作用:在相距遥远的局域网之间建立连接性
一、什么是HDLC?
面向比特,透明传输,不支持验证,标准HDLC不支持多协议,用于点到点的同步链路
HDLC一般用于广域网中点对点专线连接,是一种比较常用和简单的协议
注意:HDLC:不支持 IP 地址自动协商,两端接口必须手动配置静态 IP
HDLC状态检测
- HDLC设备以轮询时间间隔为周期,向链路上发送Keepalive消息
- 5个周期内无法收到对方发出的Keepalive消息,HDLC设备就认为链路不可用
- 同一链路两端设备的轮询时间间隔应设为相同的值
HDLC的配置
# 在RTA上配置广域网接口S1/0封装HDLC协议 [RTA-Serial1/0]link-protocol hdlc # 更改HDLC的Keepalive轮询时间间隔为20(默认是10s) [RTA-Serial1/0]timer-hold 20二、PPP协议
- PPP协议支持同步和异步线路
- PPP协议支持验证和地址协商
为什么要用PPP?
广域网协议需要适应多变的网络类型,HDLC只支持同步串行链路,并且不支持验证。
而PPP支持同异步线路,能够提供验证,易于扩展。
PPP:自带的IPCP 协商协议,可实现一端分配 IP、对端自动获取 IP
PPP的两种验证方式——PAP和CHAP
PPP基本配置
1、设置接口报文的封装PPP [H3C-Serial1/0] link-protocol ppp 2、设置验证类型 [H3C-Serial1/0] ppp authentication-mode pap | chap 3、设置用户名、密码、服务类型 [H3C] local-user user-name class network [H3C-luser-network-name] password simple password [H3C-luser-network-name] service-type ppp