一、AAA认证基本概念
AAA ( Authentication,Authorization, and Accounting )是一种管理框架,它提供了授权部分用户访问指定资源和记录这些用户操作行为的安全机制。因其具有良好的可扩展性,并且容易实现用户信息的集中管理而被广泛使用。
AAA:Authentication,Authorization, and Accounting 认证,授权,计费
AAA可以通过多种协议来实现,在实际应用中,最常使用RADIUS ( Remote Authentication Dial-In User Service )协议。
二、 认证 授权 计费
三、AAA实现协议-RADIUS
四、AAA配置
| [Huawei] aaa | 进入AAA视图: 从系统视图进入AAA视图进行配置 |
| [Huawei-aaa] authentication-scheme authentication-scheme-name | 创建认证方案: 创建认证方案并进入相应的认证方案视图 |
| [Huawei-aaa-authentication-scheme-name] authentication-mode { hwtacacs | local | radius } | 配置认证方式,local指定认证方式为本地认证。缺省情况下,认证方式为本地认证。 |
| [Huawei-aaa] domain domain-name | 创建domain并绑定认证方案: 创建domain并进入相应的domain视图 |
| [Huawei-aaa-domain-name] authentication-scheme authentication-scheme-name | 在相应的domain视图下绑定认证方案 |
| [Huawei-aaa] local-user user-name password cipher password | 创建用户: 创建本地用户,并配置本地用户的密码︰ 如果没有@,则整个字符串为用户名,域为默认域 |
| [Huawei-aaa] local-user user-name service-type { f terminal | telnet | ftp | ssh I snmp / http }l ppp I none } | 配置用户接入类型: 设置本地用户的接入类型。缺省情况下,本地用户关闭所有的接入类型。 |
| [Huawei-aaa] local-user user-name privilege level level | 配置用户级别: 指定本地用户的权限级别。 |
| display domain name_default_admin | 展示用户信息 |
| display aaa offline-record all | 用户正常登录并且下线之后可以看到用户的记录信息。 |
五、NAT地址转换
NAT(Network Address Translation):网络地址转换
NAT技术主要用于实现内部网络的主机访问外部网络。一方面NAT缓解了IPv4地址短缺的问题,另一方面NAT技术让外网无法直接与使用私有地址的内网进行通信,提升了内网的安全性。
六、 静态NAT(没用,除非只是为了内网安全)
静态NAT∶每个私有地址都有一个与之对应并且固定的公有地址,即私有地址和公有地址之间的关系是一对一映射。
支持双向互访︰私有地址访问Internet经过出口设备NAT转换时,会被转换成对应的公有地址。同时,外部网络访问内部网络时,其报文中携带的公有地址(目的地址)也会被NAT设备转换成对应的私有地址。
|
| 方式一︰接口视图下配置静态NAT global参数用于配置外部公有地址,inside参数用于配置内部私有地址。 |
[Huawei] nat static global { global-address} inside {host-address } [Huawei-GigabitEtherneto/o/0] nat static enable | 方式二︰系统视图下配置静态NAT 配置命令相同,视图为系统视图,之后在具体的接口下开启静态NAT。 在接口下使能nat static功能。 |
七、 动态NAT
动态NAT︰动态NAT提出了地址池的概念︰所有可用的公有地址组成地址池。
当内部主机访问外部网络时临时分配一个地址池中未使用的地址,并将该地址标记为“in Use"。当该主机不再访问外部网络时回收分配的地址,重新标记为“Not Use"。
| [Huawei] nat address-group group-index start-address end-address | 创建地址池: 配置公有地址范围,其中group-index为地址池编号,start-address、end-address分别为地址池起始地址、结束地址。 |
| [Huawei] acl number [Huawei-acl-basic-number ] rule permit source source-address source-wildcard | 配置地址转换的ACL规则: 配置基础ACL,匹配需要进行动态转换的源地址范围。 |
| [Huawei-GigabitEthernet0/0/0] nat outbound acl-number address-group group-index no-pat | 接口视图下配置带地址池的NAT Outbound: 接口下关联ACL与地址池进行动态地址转换,no-pat参数指定不进行端口转换。 |
八、 NAPT(这个好)
动态NAT选择地址池中的地址进行地址转换时不会转换端口号,即No-PAT( No-Port Address Translation,非端口地址转换),公有地址与私有地址还是1:1的映射关系,无法提高公有地址利用率。
NAPT借助端口可以实现一个公有地址同时对应多个私有地址。该模式同时对IP地址和传输层端口进行转换,实现不同私有地址(不同的私有地址,不同的源端口)映射到同一个公有地址(相同的公有地址,不同的源端口)。
配置跟动态nat一样,将最后的no-pat去掉即可实现NAPT
九、 Easy IP(原理跟NAPT一样,适用没有公网地址的场景)
Easy lP:实现原理和NAPT相同,同时转换IP地址、传输层端口,区别在于Easy lP没有地址池的概念,使用接口地址作为NAT转换的公有地址。
Easy IP适用于不具备固定公网IP地址的场景︰如通过DHCP、PPPoE拨号获取地址的私有网络出口,可以直接使用获取到的动态地址进行转换。
配置跟动态nat一样,将最后的address-group group-index no-pat去掉,也不用配置地址池即可实现NAPT
十、 NAT Server
NAT Server:指定[公有地址:端口]与[私有地址:端口]的一对一映射关系,将内网服务器映射到公网,当私有网络中的服务器需要对公网提供服务时使用。
外网主机主动访问[公有地址:端口]实现对内网服务器的访问。
配置举例:
2210
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
