华为数通--NAT、ACL、IPSec

1、 NAT

(网络地址转换)
不要依赖ping来验证,地址是否成功的做了转换

1.1静态NAT转换

  • 私有地址和公有地址一对一的转换,并不常用。整个的唯一的公网地址全部被占用 只能转换成同一网段的另一个地址
  • 不能和拨号接口ip相同发.
nat  static  global 202.100.1.251   inside  10.1.1.250  netmask
255.255.255.255  //整个ip协议全部做了转换

1.2NAT服务器

  • nat server (转换某个特定协议或端口,用于把服务器的某种应用映射到公网) 能被内网访问也能被外网访问
int  g/0/0
ip add 。。。
nat  server  protocol  tcp  global  202.10.1.1  80 www inside  192.167.1.11 8080
                                 // 必须是相近的地址
display  nat  session  protocol  tcp //查看nat状态  
display  tcp status   //查看tcp的状态
display   users //查看哪一个用户访问到设备
#测试
net  202.100.1.251 2323 //在外网访问公网地址的对外公布端口

1.3动态NAT

  • 没有端口转换
nat  address-group  1   200.1.1.1   200.1.1.200 //地址池
//必须要有路由表,不然数据包就会被丢弃
  • NAPT:多对一的转换,多个私有使用一个公有

1.4easy IP

(PAT,端口和地址转换)
enty nat 转换表

  • 定义一个acl,其作用是定义那些主机可以被转换,只有转换的主机才可以访问互联网,不被定义的不能访问,然后在出接口上应用easy ip
  • 作用:把公网地址和端口的复用
  • 流量 traffic data forwarding 数据转发层
  • 路由 控制层面、决策层面
  • 一个报文的源目ip不做变化,源目mac(如果跨网络)会重新封装
ACL 2000
description nat //描述  用于nat
rule  5  permit  source  192.167.1.0 0.0.0.255  //配置范围
//规则  序列号  允许 ip源 范围
rule  10  permit  source  192.167.1.250 0  //0是关键字,只允许一个
q
int s/0/0/0
nat  outbound  2000 //出接口下应用easy  ip
#
#验证
display nat  outbound 
dis  acl  all
ping 。。。。 //通了不一定成功
  • nat和ACL和密切关联的
  • 名称 静态nat nat server 动态server 动态nat

2、ACL

访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。

很多应用
a、对流量的应用
b、对路由表的应用

  • 基本acl (标准)
  • 高级acl (扩展)

二层acl (端口): 二层帧的字段

规则
源:只能匹配源,没有目的也有没port

source :来源
traffic-filter:流量过滤
outbound:出站、出外地的
inbound:入站、回内地的

#基本ACL
ACL 2000
rule  deny  source  192.168.1.0  0.0.0.255 
                        前缀         通配符(可以不连续,本质就是范围) 
int  g/0/0
traffic-filter  outbound  ACL  2000 //在流量的出接口设置ACL2000   
  • mask

    • 0 :hit match 不允许变化
    • 1:ignore 忽略,无所谓,任意变化
  • 通配符掩码

    • 指一个范围,匹配奇偶
  • 10.1.1.0 0 //就代表他

  • 华为的acl在对流量进行匹配的时候,最后一行隐含允许所有流量通过(思科:最后一行隐含拒绝所有流量。deny any)

acl 2000
...
acl  2001
rule  2001  permit  // 默认允许了所有

检查:

display traffic-filter  applied-record //查看ACl应用在哪个接口

高级ACL

ACL实验

#基本ACL
[R1]acl 2000
[R1-acl-basic-2000]rule deny source 10.1.1.1 0
[R1-acl-basic-2000]q
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

#扩展ACL
[R1]acl 3000
[R1-acl-adv-3000]rule deny ip source 10.1.1.1 0 destination 20.1.1.2
0  //            规则  拒绝  ip  源   地址        目的       地址
[R1-acl-adv-3000]q
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
[R1-GigabitEthernet0/0/0]q

配置时发生的问题:
在配置完基础ACL后,想清除掉配置做扩展ACL,已经用undo ACL 2000,还是没有去除掉

#第一种方法
第一步
undo  ACL 2000

第二步
[r1]reset traffic-filter statistics interface g0/0/1 outbound  //去掉出接口上出站的流量过滤

第三步
ping   20.1.1.2
#r1
int g/0/0/1
display th 

#第二种方法
ACL 2000
rule permit  //允许所有

3、IPSEC VPN

IPSec(Internet Protocol Security)作为一种开放标准的安全框架结构,可以用来保证IP数据报文在网络上传输的机密性、完整性和防重放。

LAN2LAN IPSEC VPN
基本的模式:

  • 隧道模式
  • 传输模式

IPSec VPN体系结构主要由AH(Authentication Header)、ESP(Encapsulating Security Payload)和IKE(Internet Key Exchange)协议套件组成。

AH协议:主要提供的功能有数据源验证、数据完整性校验和防报文重放功能。然而,AH并不加密所保护的数据报。
ESP协议:提供AH协议的所有功能外(但其数据完整性校验不包括IP头),还可提供对IP报文的加密功能。
IKE协议:用于自动协商AH和ESP所使用的密码算法,提供密钥。

3.1 配置IPSec V-P-N:

  • 第一步:检查。

    • 需要检查报文发送方和接收方之间的网络层可达性,确保双方只有建立IPSec VPN隧道才能进行IPSec通信。
  • 第二步:定义数据流。

    • 因为部分流量无需满足完整性和机密性要求,所以需要对流量进行过滤,选择出需要进行IPSec处理的兴趣流。可以通过配置ACL来定义和区分不同的数据流。
  • 第三步是配置IPSec安全提议。

    • IPSec提议定义了保护数据流所用的安全协议、认证算法、加密算法和封装模式。安全协议包括AH和ESP,两者可以单独使用或一起使用。AH支持MD5和SHA-1认证算法;ESP支持两种认证算法(MD5和SHA-1)和三种加密算法(DES、3DES和AES)。为了能够正常传输数据流,安全隧道两端的对等体必须使用相同的安全协议、认证算法、加密算法和封装模式。如果要在两个安全网关之间建立IPSec隧道,建议将IPSec封装模式设置为隧道模式,以便隐藏通信使用的实际源IP地址和目的IP地址。
  • 第四步是配置IPSec安全策略。

    • IPSec策略中会应用IPSec提议中定义的安全协议、认证算法、加密算法和封装模式。每一个IPSec安全策略都使用唯一的名称和序号来标识。IPSec策略可分成两类:手工建立SA的策略和IKE协商建立SA的策略。
  • 第五步是在一个接口上应用IPSec安全策略。

3 .2 加解密点

路由最重要!

a、到达对端加解密点 (直连)
b、到达本端的通信点 (直连)
c、到达对端的通信点 (静态默认路由)

IPSEC的SPD(ACL)、提议(protocol)和IPSEC 策略

rule 10  permit  ip  source  10.1.1.0  0.0.0.255  destination  10.1.2.0 0.0.0.255
ipsec  protocol   xxx //提议
esp  authentication-algorithm  shal  //提议内容,复制到对端通信点,保证一致,不会出错

配置

[RTA]ipsec  policy P1 10 manual //名字p1,手工定义,策略
[RTA-ipsec-policy-manual-P1-10]security acl 3001
[RTA-ipsec-policy-manual-P1-10]proposal tran1
[RTA-ipsec-policy-manual-P1-10]tunnel remote 20.1.1.2  //公网地址,隧道的对端地址
[RTA-ipsec-policy-manual-P1-10]tunnel local 20.1.1.1  //公网地址,隧道的本地地址
[RTA-ipsec-policy-manual-P1-10]sa spi outbound esp 54321 //入方向安全参考缩影
[RTA-ipsec-policy-manual-P1-10]sa spi inbound esp 12345   //出方向安全参考缩影
[RTA-ipsec-policy-manual-P1-10]sa string-key outbound esp simple huawei //用esp进行封装入方向的密码
[RTA-ipsec-policy-manual-P1-10]sa string-key inbound esp simple huawei  //用esp进行封装出方向的密码

int  dial 1
ipsec  policy  xxx-vpn  //接口应用

验证

dis  ipsec  sa //看到所有的策略,可用于排错
dis  ipsec  props //查看配置
dis  ipsec  sta  esp  //查看ipsec的状态

往期内容:


本文作者: 肉肉
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明出处!

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

是肉肉肉肉呀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值