
目录一、ACL包过滤1ACL概述2ACL配置1、基本ACL配置 编号范围2000~29992、高级ACL配置 编号范围3000~39993、查看ACL包过滤与调试4、ACL规则的匹配顺序5、在网络中的正确位置配置ACL包过滤二、NAT技术1、Basic NAT一对一只换IP2、NAPT多对一IP 和 端口一起换可以只设置一个公网IP使用场景3、Easy IP适用于出接口地址无法预知的场合4、NAT Server 只有一条命令NAT的信息显示和调试三、广域网基础一、什么是HDLC二、PPP协议PPP的两种验证方式——PAP和CHAP配置PAP验证配置CHAP验证一、ACL包过滤使用访问控制列表实现包过滤ACL包过滤是一种被广泛使用的网络安全技术它使用ACL来实现数据识别并决定是转发还是丢弃这些数据包。网络安全的关键技术有哪些访问控制列表技术网络地址转换技术认证、授权和计费交换机端口安全技术VPN虚拟私有网技术端点准入防御技术1ACL概述ACLAccess Control List访问控制列表是用来实现数据包识别功能。ACL可以应用于诸多方面ACL的类型包括基本ACL只根据报文的源IP地址高级ACL需根据报文的源IP地址、目的IP地址、IP协议类型、端口等三、四层信息二层ACL根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息2ACL配置首先需要先理清配置ACL包过滤的相关问题需要使用何种ACLACL规则的动作是deny 还是permitACL规则中的反掩码应该是什么ACL包过滤应该应用在路由器的哪个接口的哪个方向上包过滤功能默认开启且系统默认的过滤方式是permit及允许所有未匹配ACL规则的报文可以通过配置包过滤的缺省动作为deny [H3C] packet-filter default deny1、基本ACL配置 编号范围2000~2999注意ACL的通配符掩码是反掩码[RTA]acl basic 2001 [RTA-acl-basic-2001] rule 0 deny source 1.1.1.1 0.0.0.0通配符掩码 0.0.0.0代表精确匹配只认准 1.1.1.1 这一个 IP整句话的意思在基础 ACL 2001 里创建 0 号规则禁止源 IP 是 1.1.1.1 的所有数据包通行。如果通配符掩码是0.0.0.255说明匹配整个网段如果通配掩码为255.255.255.255 意味着正常的掩码为全零0.0.0.0可以匹配这个网段中所有IPACL 默认最后隐含一条 rule permit any没被拒绝的全都放行注意配置好基本ACL后要在RTA的接口上应用ACL才能确保ACL生效[RTA-GigabitEthernet0/1] packet-filter 2001 outbound2、高级ACL配置 编号范围3000~3999例如在路由器上实施高级ACL来禁止从PCA到网络192.168.2.0/24的FTP数据流TCP但是允许pingICMP[RTA]acl advanced 3002 [RTA-acl-adv-3002] rule 0 permit icmp source 1.1.1.1 0 destionation 3.3.3.0 0.0.0.255 [RTA-acl-adv-3002] rule 5 deny tcp source 1.1.1.1 0 destination 3.3.3.0 0.0.0.255 destination-port eq ftp 最后别忘在相应接口上应用 [RTA-GigabitEthernet0/0] packet-filter 3002 inbound3、查看ACL包过滤与调试display acl acl-number|all 查看包过滤的统计信息 display packet-filter statistics { interface [ interface-type interface-number ] { inbound | outbound } { acl-number | name acl-name } }4、ACL规则的匹配顺序config按rule定义的先后顺序来auto按rule编号从小到大5、在网络中的正确位置配置ACL包过滤要求尽可能在靠近数据源的路由器接口上配置ACL以减少不必要的流量转发结论Basic ACL尽量靠近目标IP高级ACL尽量靠近源IP二、NAT技术网络迅速发展IPv4地址不够使用为了解决IPv4地址短缺的问题并提高安全性IETF提出了NAT解决方案。NAT技术主要作用是将私有地址转换成公有地址注意私有地址在Internet上无法路由如果采用私有地址的网络需要访问Internet必须在出口处部署NAT设备1、Basic NAT一对一只换IP配置Basic NAT的步骤1配置ACL确定哪些数据包的地址可以被转换被ACL允许permit的报文将被进行NAT转换被拒绝deny的报文将不会被转换2配置地址池nat address-group [group-number]address start-address end-address3进接口配置地址转换nat outbound [acl-number] address-group [group-number]no-pat2、NAPT多对一IP 和 端口一起换可以只设置一个公网IPNAPT采用端口号更能提高公网IP的利用效率适用于私网作为客户端访问公网服务器的场合。即内网多个私网 IP →同一个公网 IP通过不同端口号区分不同主机。使用场景企业、校园、网吧、家庭大量内网用户共享少量公网 IP 上网。注意没有no-pat3、Easy IP适用于出接口地址无法预知的场合不用配置公网IP地址池直接使用出接口的IP地址作为转换后的源地址工作原理与普通NAPT相同是NAPT的一种特例一般用于拨号接入Internet或动态获得IP地址的场合注意没有address-group4、NAT Server 只有一条命令外网global主动访问内网inside注意用什么协议interface GigabitEthernet 1/0/1 ip address 202.1.1.1 255.255.255.0 # 例1. 内网 Web 服务器公网 80 → 内网 192.168.1.100:80 nat server protocol tcp global 202.1.1.1 80 inside 192.168.1.100 80 # 例2. 内网 FTP 服务器公网 21 → 内网 192.168.1.101:21 nat server protocol tcp global 202.1.1.1 21 inside 192.168.1.101 21 # 例3. 也可以用域名/别名www、ftp nat server protocol tcp global 202.1.1.1 www inside 192.168.1.100 wwwNAT的信息显示和调试1、显示地址转换信息H3C display nat { address-group group-number | all | outbound port-block-group | server | statistics |session}三、广域网基础局域网主要完成工作站、终端、服务器等在较小物理范围内的互联只能解决局部的资源共享广域网协议需要适应多变的链路类型并提供一定的安全特性PPP支持同异步线路能够提供验证并且易于扩展。广域网的作用在相距遥远的局域网之间建立连接性一、什么是HDLC面向比特透明传输不支持验证标准HDLC不支持多协议用于点到点的同步链路HDLC一般用于广域网中点对点专线连接是一种比较常用和简单的协议注意HDLC不支持 IP 地址自动协商两端接口必须手动配置静态 IPHDLC状态检测HDLC设备以轮询时间间隔为周期向链路上发送Keepalive消息5个周期内无法收到对方发出的Keepalive消息HDLC设备就认为链路不可用同一链路两端设备的轮询时间间隔应设为相同的值HDLC的配置# 在RTA上配置广域网接口S1/0封装HDLC协议 [RTA-Serial1/0]link-protocol hdlc # 更改HDLC的Keepalive轮询时间间隔为20(默认是10s) [RTA-Serial1/0]timer-hold 20二、PPP协议PPP协议支持同步和异步线路PPP协议支持验证和地址协商为什么要用PPP广域网协议需要适应多变的网络类型HDLC只支持同步串行链路并且不支持验证。而PPP支持同异步线路能够提供验证易于扩展。PPP自带的IPCP 协商协议可实现一端分配 IP、对端自动获取 IPPPP的两种验证方式——PAP和CHAPPPP基本配置1、设置接口报文的封装PPP [H3C-Serial1/0] link-protocol ppp 2、设置验证类型 [H3C-Serial1/0] ppp authentication-mode pap | chap 3、设置用户名、密码、服务类型 [H3C] local-user user-name class network [H3C-luser-network-name] password simple password [H3C-luser-network-name] service-type ppp配置PAP验证配置CHAP验证