安全部分:企业中网络设备通信时,需要保障传输的安全性和稳定性,所以就有了控制访问,限制访问。
1.ACL访问控制列表
所谓访问控制,就是指对不同数据的控制,什么样的数据能进,什么的不能进,不同类型不同处理,从而达到限制网络流量、提高网络性能、防止被攻击;
分类 编号范围 参数
基本ACL 2000-2999 源ip地址等
高级ACL 3000-3999 源、目的ip地址;源、目的端口
二层ACL 4000-4999 源Mac、目的Mac;以太网帧协议类型等
2.ACL列表规则
每个ACL控制列表可以包含多个规则,一个数 据通过时,需要匹配,匹配失败,则继续匹配下一条,直到找到匹配的条目,如果匹配完了,没有匹配的项,则设备不对报文进行任何处理,放行通过;
rule优先级决定优先处理,越小越优先;
3.ACL配置
acl 2000
rule deny source 192.168.100.0 0.0.0.255
quit
进入接口
interface ***
traffic-filter outbound acl 2000
quit
4.ACL应用NAT
他可以控制不同的主机使用不同的地址池来进行NAT的转换来进行上网。
nat address-group 1 202.110.10.8 200.110.10.15
nat address-group 2 202.115.60.1 202.115.60.30
acl 2000
rule permit source 192.168.1.0 0.0.0.255
acl 2001
rule permit source 192.168.2.0 0.0.0.255
interface GigabitEthernet0/0/0
nat outbound 2000 address-group 1
nat outbound 2001 address-group 2
AAA:Authentication(认证)、Authorization(授权)、Accounting(计费)。
提供这三个功能;
华为设备支持基于RADIUS协议或HWTACACS协议或本地来实现AAA。
认证:验证用户是否有网络访问权限;
AAA支持的认证有:不认证,本地认证,远端认证。远端认证有:RTA/NAS。
授权:授权用户可以访问使用网络上的哪些服务;权限级别高的优先。
授权方法:不授权,本地授权,远端授权,
aaa
authentication-scheme auth1
authentication-mode local
quit
authorization-scheme auth2
authorization-mode local
quit
domain huawei
authentication-scheme auth1
authorization-scheme auth2
quit
IPSec VPN
由于TCP/IP协议,不支持安全和保密机制,所以就有了IPSec,是一种开放式的框架结构,为IPV6设计的,使ip数据报文在网络上传输具有机密性,完整性和防事故。
可以用协议进行加密,加密算法没有定,协商定取。
可以形成一个隧道,链接远程的两个站点,远程访问,
IPSce不是一个单独的协议,它是通过AH和ESP来实现IP数据报的安全传送。
IKE协议提供密钥协商,建立和维护安全联盟SA等服务。
安全联盟SA:手动和IKE自动建立。安全联盟定义IPSec对等体之间将使用数据封装模式、认证和加密算法、密钥等参数。
IPSec vpn原理与配置
传统的TCP/IP协议缺乏有效的安全认证和保密机制,传输过程中不能保证数据的真实性,所以IPSec作为一种开放标准的的安全框架结构,可以保证IP数据报文在网络上传输的机密性、完整性和防重放。
ipv4设计之初就没想过安全这方面,设计的也比较早,而ipv6设计的比较现代化,加入了很多新元素,比如IPSec。虽然说IPSec是为IPv6设计的但是现在IPv6还没有部署,现在急需安全方面的技术,所以IPSec已经引入到网络中投入使用,所以也叫IPSec VPN。
只能保护IP流量;IPSec提供加密、验证、封装的协议、模式、密钥有效期。
是一个框架,具体内容协商来定。
防重放:防止非法人员频繁发送,来消耗资源,所以只解密一次,多的丢掉。
IPSec有两种模式,传输模式、隧道模式。
传输模式:不保护IP头部,只保护数据部分。
隧道模式:建立了一个隧道,包裹着数据穿越互联网。
站点到站点必须使用隧道模式。
配置:
ip router-static +主机网段 和交换机接口IP(RTB)
acl number 3001
rule 5 permit ip source +与RTA相连的主机网段 0.0.0.255 destination 与RTB相连的网段 0.0.0.255
ipsec proposal tran1
esp authentication-algorithmshal
ipsec policy P1 10 manual
security acl 3001
proposal tran1
tunnel remote 20.1.1.2
tunnel local 20.1.1.2
sa spi outbound esp ()
GRE应用场景
GRE隧道扩展了受跳数限制的路由协议的工作范围,支持企业灵活设计网络拓扑。
GRE应用背景
GRE支持一种协议的报文封装在另一种协议保文中
GRE可以解决异种网络的传输问题
GRE在封装数据时,会添加GRE头部信息,还会添加新的传输协议头部信息
GRE关键子验证
隧道两端设备通过关键字字段(key)来验证对端是否合法
Keepalive检测
用于检测隧道对端是否可达
GRE配置
interface Tunnel 0/0/1
ip address 40.1.1.1 24
tunnel-protocol gre
source 20.1.1.1
destination 20.1.1.2
quit
ip toute-static 10.1.2.0 24 Tunnel 0/0/1
keepalive period 3
quit
配置验证display interface Trunne 0/0/1
配置Keepalive检查
interface tunnel+f*/*
keepalive period 3
quit
扫一扫
2410
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
