ACL包过滤、NAT技术、广域网协议

ACL包过滤、NAT技术、广域网协议

目录

一、ACL包过滤

(1)ACL概述

(2)ACL配置

1、基本ACL配置 编号范围:2000~2999

2、高级ACL配置 编号范围:3000~3999

3、查看ACL包过滤与调试

4、ACL规则的匹配顺序

5、在网络中的正确位置配置ACL包过滤

二、NAT技术

1、Basic NAT:一对一,只换IP

2、NAPT:多对一,IP 和 端口一起换,可以只设置一个公网IP使用场景

3、Easy IP:适用于出接口地址无法预知的场合

4、NAT Server (只有一条命令)

NAT的信息显示和调试

三、广域网基础

一、什么是HDLC?

二、PPP协议

PPP的两种验证方式——PAP和CHAP

配置PAP验证

配置CHAP验证


一、ACL包过滤

使用访问控制列表实现包过滤

ACL包过滤是一种被广泛使用的网络安全技术,它使用ACL来实现数据识别,并决定是转发还是丢弃这些数据包。

网络安全的关键技术有哪些:

  • 访问控制列表技术
  • 网络地址转换技术
  • 认证、授权和计费
  • 交换机端口安全技术
  • VPN虚拟私有网技术
  • 端点准入防御技术

(1)ACL概述

ACL(Access Control List,访问控制列表)是用来实现数据包识别功能。

ACL可以应用于诸多方面:

ACL的类型包括:

  • 基本ACL:只根据报文的源IP地址
  • 高级ACL:需根据报文的源IP地址、目的IP地址、IP协议类型、端口等三、四层信息
  • 二层ACL:根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息

(2)ACL配置

首先需要先理清配置ACL包过滤的相关问题:

  • 需要使用何种ACL?
  • ACL规则的动作是deny 还是permit?
  • ACL规则中的反掩码应该是什么?
  • ACL包过滤应该应用在路由器的哪个接口的哪个方向上?

包过滤功能默认开启,且系统默认的过滤方式是permit,及允许所有未匹配ACL规则的报文可以通过

配置包过滤的缺省动作为deny [H3C] packet-filter default deny

1、基本ACL配置 编号范围:2000~2999

注意:ACL的通配符掩码是反掩码

[RTA]acl basic 2001 [RTA-acl-basic-2001] rule 0 deny source 1.1.1.1 0.0.0.0

通配符掩码 0.0.0.0,代表精确匹配,只认准 1.1.1.1 这一个 IP

整句话的意思:在基础 ACL 2001 里,创建 0 号规则:禁止源 IP 是 1.1.1.1 的所有数据包通行。

如果通配符掩码是0.0.0.255,说明匹配整个网段

如果通配掩码为255.255.255.255 意味着正常的掩码为全零,0.0.0.0可以匹配这个网段中所有IP

ACL 默认最后隐含一条 rule permit any(没被拒绝的全都放行)

注意:配置好基本ACL后,要在RTA的接口上应用ACL才能确保ACL生效

[RTA-GigabitEthernet0/1] packet-filter 2001 outbound

2、高级ACL配置 编号范围:3000~3999

例如:在路由器上实施高级ACL来禁止从PCA到网络192.168.2.0/24的FTP数据流(TCP),但是允许ping(ICMP)

[RTA]acl advanced 3002 [RTA-acl-adv-3002] rule 0 permit icmp source 1.1.1.1 0 destionation 3.3.3.0 0.0.0.255 [RTA-acl-adv-3002] rule 5 deny tcp source 1.1.1.1 0 destination 3.3.3.0 0.0.0.255 destination-port eq ftp 最后别忘在相应接口上应用 [RTA-GigabitEthernet0/0] packet-filter 3002 inbound

3、查看ACL包过滤与调试

display acl acl-number|all 查看包过滤的统计信息 display packet-filter statistics { interface [ interface-type interface-number ] { inbound | outbound } { acl-number | name acl-name } }

4、ACL规则的匹配顺序

  • config:按rule定义的先后顺序来
  • auto:按rule编号从小到大

5、在网络中的正确位置配置ACL包过滤

要求:尽可能在靠近数据源的路由器接口上配置ACL,以减少不必要的流量转发

结论:Basic ACL尽量靠近目标IP;高级ACL尽量靠近源IP


二、NAT技术

网络迅速发展,IPv4地址不够使用,为了解决IPv4地址短缺的问题并提高安全性,IETF提出了NAT解决方案。

NAT技术主要作用:是将私有地址转换成公有地址

注意:私有地址在Internet上无法路由,如果采用私有地址的网络需要访问Internet,必须在出口处部署NAT设备

1、Basic NAT:一对一,只换IP

配置Basic NAT的步骤:

(1)配置ACL

  • 确定哪些数据包的地址可以被转换
  • 被ACL允许(permit)的报文将被进行NAT转换,被拒绝(deny)的报文将不会被转换

(2)配置地址池

  • nat address-group [group-number]
  • address start-address end-address

(3)进接口配置地址转换

nat outbound [acl-number] address-group [group-number]no-pat


2、NAPT:多对一,IP 和 端口一起换,可以只设置一个公网IP

NAPT采用端口号更能提高公网IP的利用效率,适用于私网作为客户端访问公网服务器的场合。
即:内网多个私网 IP →同一个公网 IP,通过不同端口号区分不同主机。

使用场景
  • 企业、校园、网吧、家庭:大量内网用户共享少量公网 IP 上网

注意:没有no-pat


3、Easy IP,适用于出接口地址无法预知的场合

不用配置公网IP地址池,直接使用出接口的IP地址作为转换后的源地址,工作原理与普通NAPT相同,是NAPT的一种特例

一般用于拨号接入Internet动态获得IP地址的场合

注意:没有address-group


4、NAT Server (只有一条命令)

外网(global)主动访问内网(inside)

注意:用什么协议

interface GigabitEthernet 1/0/1 ip address 202.1.1.1 255.255.255.0 # 例1. 内网 Web 服务器:公网 80 → 内网 192.168.1.100:80 nat server protocol tcp global 202.1.1.1 80 inside 192.168.1.100 80 # 例2. 内网 FTP 服务器:公网 21 → 内网 192.168.1.101:21 nat server protocol tcp global 202.1.1.1 21 inside 192.168.1.101 21 # 例3. 也可以用域名/别名(www、ftp) nat server protocol tcp global 202.1.1.1 www inside 192.168.1.100 www
NAT的信息显示和调试

1、显示地址转换信息
<H3C> display nat { address-group group-number | all | outbound port-block-group | server | statistics |session}


三、广域网基础

局域网主要完成工作站、终端、服务器等在较小物理范围内的互联,只能解决局部的资源共享

广域网协议需要适应多变的链路类型,并提供一定的安全特性,PPP支持同异步线路能够提供验证,并且易于扩展。

广域网的作用:在相距遥远的局域网之间建立连接性

一、什么是HDLC?

面向比特,透明传输,不支持验证,标准HDLC不支持多协议,用于点到点的同步链路

HDLC一般用于广域网中点对点专线连接,是一种比较常用和简单的协议

注意:HDLC:不支持 IP 地址自动协商,两端接口必须手动配置静态 IP

HDLC状态检测

  • HDLC设备以轮询时间间隔为周期,向链路上发送Keepalive消息
  • 5个周期内无法收到对方发出的Keepalive消息,HDLC设备就认为链路不可用
  • 同一链路两端设备的轮询时间间隔应设为相同的值

HDLC的配置

# 在RTA上配置广域网接口S1/0封装HDLC协议 [RTA-Serial1/0]link-protocol hdlc # 更改HDLC的Keepalive轮询时间间隔为20(默认是10s) [RTA-Serial1/0]timer-hold 20

二、PPP协议

  • PPP协议支持同步和异步线路
  • PPP协议支持验证和地址协商

为什么要用PPP?

广域网协议需要适应多变的网络类型,HDLC只支持同步串行链路并且不支持验证

PPP支持同异步线路能够提供验证,易于扩展。

PPP:自带的IPCP 协商协议,可实现一端分配 IP、对端自动获取 IP

PPP的两种验证方式——PAP和CHAP

PPP基本配置

1、设置接口报文的封装PPP [H3C-Serial1/0] link-protocol ppp 2、设置验证类型 [H3C-Serial1/0] ppp authentication-mode pap | chap 3、设置用户名、密码、服务类型 [H3C] local-user user-name class network [H3C-luser-network-name] password simple password [H3C-luser-network-name] service-type ppp

配置PAP验证

配置CHAP验证