NAT\ACL\IPSEC VPN
1、 NAT
(网络地址转换)
不要依赖ping来验证,地址是否成功的做了转换
1.1静态NAT转换
- 私有地址和公有地址一对一的转换,并不常用。整个的唯一的公网地址全部被占用 只能转换成同一网段的另一个地址
- 不能和拨号接口ip相同发.
nat static global 202.100.1.251 inside 10.1.1.250 netmask
255.255.255.255 //整个ip协议全部做了转换
1.2NAT服务器
- nat server (转换某个特定协议或端口,用于把服务器的某种应用映射到公网) 能被内网访问也能被外网访问
int g/0/0
ip add 。。。
nat server protocol tcp global 202.10.1.1 80 www inside 192.167.1.11 8080
// 必须是相近的地址
display nat session protocol tcp //查看nat状态
display tcp status //查看tcp的状态
display users //查看哪一个用户访问到设备
#测试
net 202.100.1.251 2323 //在外网访问公网地址的对外公布端口
1.3动态NAT
- 没有端口转换
nat address-group 1 200.1.1.1 200.1.1.200 //地址池
//必须要有路由表,不然数据包就会被丢弃
- NAPT:多对一的转换,多个私有使用一个公有
1.4easy IP
(PAT,端口和地址转换)
enty nat 转换表
- 定义一个acl,其作用是定义那些主机可以被转换,只有转换的主机才可以访问互联网,不被定义的不能访问,然后在出接口上应用easy ip
- 作用:把公网地址和端口的复用
- 流量 traffic data forwarding 数据转发层
- 路由 控制层面、决策层面
- 一个报文的源目ip不做变化,源目mac(如果跨网络)会重新封装
ACL 2000
description nat //描述 用于nat
rule 5 permit source 192.167.1.0 0.0.0.255 //配置范围
//规则 序列号 允许 ip源 范围
rule 10 permit source 192.167.1.250 0 //0是关键字,只允许一个
q
int s/0/0/0
nat outbound 2000 //出接口下应用easy ip
#
#验证
display nat outbound
dis acl all
ping 。。。。 //通了不一定成功
- nat和ACL和密切关联的
- 名称 静态nat nat server 动态server 动态nat
2、ACL
访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。
很多应用
a、对流量的应用
b、对路由表的应用
- 基本acl (标准)
- 高级acl (扩展)
二层acl (端口): 二层帧的字段
规则
源:只能匹配源,没有目的也有没port
source
:来源
traffic-filter
:流量过滤
outbound
:出站、出外地的
inbound
:入站、回内地的
#基本ACL
ACL 2000
rule deny source 192.168.1.0 0.0.0.255
前缀 通配符(可以不连续,本质就是范围)
int g/0/0
traffic-filter outbound ACL 2000 //在流量的出接口设置ACL2000
-
mask
- 0 :hit match 不允许变化
- 1:ignore 忽略,无所谓,任意变化
-
通配符掩码
- 指一个范围,匹配奇偶
-
10.1.1.0 0 //就代表他
-
华为的acl在对流量进行匹配的时候,最后一行隐含允许所有流量通过(思科:最后一行隐含拒绝所有流量。deny any)
acl 2000
...
acl 2001
rule 2001 permit // 默认允许了所有
检查:
display traffic-filter applied-record //查看ACl应用在哪个接口
高级ACL
#基本ACL
[R1]acl 2000
[R1-acl-basic-2000]rule deny source 10.1.1.1 0
[R1-acl-basic-2000]q
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
#扩展ACL
[R1]acl 3000
[R1-acl-adv-3000]rule deny ip source 10.1.1.1 0 destination 20.1.1.2
0 // 规则 拒绝 ip 源 地址 目的 地址
[R1-acl-adv-3000]q
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
[R1-GigabitEthernet0/0/0]q
配置时发生的问题:
在配置完基础ACL后,想清除掉配置做扩展ACL,已经用undo ACL 2000,还是没有去除掉
#第一种方法
第一步
undo ACL 2000
第二步
[r1]reset traffic-filter statistics interface g0/0/1 outbound //去掉出接口上出站的流量过滤
第三步
ping 20.1.1.2
#r1
int g/0/0/1
display th
#第二种方法
ACL 2000
rule permit //允许所有
3、IPSEC VPN
IPSec(Internet Protocol Security)作为一种开放标准的安全框架结构,可以用来保证IP数据报文在网络上传输的机密性、完整性和防重放。
LAN2LAN IPSEC VPN
基本的模式:
- 隧道模式
- 传输模式
IPSec VPN体系结构主要由AH(Authentication Header)、ESP(Encapsulating Security Payload)和IKE(Internet Key Exchange)协议套件组成。
AH协议:主要提供的功能有数据源验证、数据完整性校验和防报文重放功能。然而,AH并不加密所保护的数据报。
ESP协议:提供AH协议的所有功能外(但其数据完整性校验不包括IP头),还可提供对IP报文的加密功能。
IKE协议:用于自动协商AH和ESP所使用的密码算法,提供密钥。
3.1 配置IPSec V-P-N:
-
第一步:检查。
- 需要检查报文发送方和接收方之间的网络层可达性,确保双方只有建立IPSec VPN隧道才能进行IPSec通信。
-
第二步:定义数据流。
- 因为部分流量无需满足完整性和机密性要求,所以需要对流量进行过滤,选择出需要进行IPSec处理的兴趣流。可以通过配置ACL来定义和区分不同的数据流。
-
第三步是配置IPSec安全提议。
- IPSec提议定义了保护数据流所用的安全协议、认证算法、加密算法和封装模式。安全协议包括AH和ESP,两者可以单独使用或一起使用。AH支持MD5和SHA-1认证算法;ESP支持两种认证算法(MD5和SHA-1)和三种加密算法(DES、3DES和AES)。为了能够正常传输数据流,安全隧道两端的对等体必须使用相同的安全协议、认证算法、加密算法和封装模式。如果要在两个安全网关之间建立IPSec隧道,建议将IPSec封装模式设置为隧道模式,以便隐藏通信使用的实际源IP地址和目的IP地址。
-
第四步是配置IPSec安全策略。
- IPSec策略中会应用IPSec提议中定义的安全协议、认证算法、加密算法和封装模式。每一个IPSec安全策略都使用唯一的名称和序号来标识。IPSec策略可分成两类:手工建立SA的策略和IKE协商建立SA的策略。
-
第五步是在一个接口上应用IPSec安全策略。
3 .2 加解密点
路由最重要!
a、到达对端加解密点 (直连)
b、到达本端的通信点 (直连)
c、到达对端的通信点 (静态默认路由)
IPSEC的SPD(ACL)、提议(protocol)和IPSEC 策略
rule 10 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
ipsec protocol xxx //提议
esp authentication-algorithm shal //提议内容,复制到对端通信点,保证一致,不会出错
配置
[RTA]ipsec policy P1 10 manual //名字p1,手工定义,策略
[RTA-ipsec-policy-manual-P1-10]security acl 3001
[RTA-ipsec-policy-manual-P1-10]proposal tran1
[RTA-ipsec-policy-manual-P1-10]tunnel remote 20.1.1.2 //公网地址,隧道的对端地址
[RTA-ipsec-policy-manual-P1-10]tunnel local 20.1.1.1 //公网地址,隧道的本地地址
[RTA-ipsec-policy-manual-P1-10]sa spi outbound esp 54321 //入方向安全参考缩影
[RTA-ipsec-policy-manual-P1-10]sa spi inbound esp 12345 //出方向安全参考缩影
[RTA-ipsec-policy-manual-P1-10]sa string-key outbound esp simple huawei //用esp进行封装入方向的密码
[RTA-ipsec-policy-manual-P1-10]sa string-key inbound esp simple huawei //用esp进行封装出方向的密码
int dial 1
ipsec policy xxx-vpn //接口应用
验证
dis ipsec sa //看到所有的策略,可用于排错
dis ipsec props //查看配置
dis ipsec sta esp //查看ipsec的状态
往期内容:
- 深入理解MPLS,和你一起详谈MPLS标签和动作!)
- 【计算机网络】-边界网关协议(BGP)
- 什么是组播?让我们一起解密组播协议(IGMP、PIM)
- HCIE面试题:MPLS网络对路由做出汇总后会有什么问题?
本文作者: 肉肉
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明出处!