一、ACL
随着网络的飞速发展,网络安全和网络服务质量QoS (Quality of Service)问题日益突出。访问控制列表 (ACL, Access Control List)是与其紧密相关的一个技术。 ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。 下面将会详细介绍ACL的基本原理和基本作用,ACL的不同种类及特点,ACL的基本组成和匹配顺序,通配符的使用方法和ACL的相关配置。
acl number 2000 --编号含义如下
rule 5 deny source 10.1.1.1 0
rule 5 --ACL可以设置 多条规则 规则编号步长默认为5Deny --ACL动作 permit 和deny
source 10.1.1.1 0----ACL匹配规则,在规则IP地址后面的是通配符
ACL中的通配符可以不连续,0表示严格匹配,1表示任意匹配
二、AAA (认证、授权、计费)
对于任何网络,用户管理都是最基本的安全管理要求之一。 AAA(Authentication, Authorization, and Accounting)是一种管理框架,它提供了授权部分用户访问指定资源和记录这些用户操作行为的安全机制。因其具有良好的可扩展性,并且容易实现用户信息的集中管理而被广泛使用。AAA可以通过多种协议来实现,在实际应用中,最常使用RADIUS (Remote Authentication Dial-In User Service)协议。 下面将介绍AAA基本概念、AAA的实现方式、AAA的基本配置以及常见AAA应用场景。
aaa
local-user huawei password cipher huawei123 ---设置用户huawei密码的是huawei123
local-user huawei privilege level 0 ---huawei用户的等级为0
local-user huawei service-type telnet huawei用户的服务类型 为Telnet
三、NAT 网络地址转换
随着Internet的发展和网络应用的增多,有限的IPv4公有地址已经成为制约网络发展的瓶颈。为解决这个问题,NAT(Network Address Translation,网络地址转换)技术应需而生。 NAT技术主要用于实现内部网络的主机访问外部网络。一方面NAT缓解了IPv4地址短缺的问题,另一方面NAT技术让外网无法直接与使用私有地址的内网进行通信,提升了内网的安全性。 下面我们将了解NAT的技术背景, 学习不同类型NAT的技术原理、使用场景。
- 静态NAT:每个私有地址都有一个与之对应并且固定的公有地址,即私有地址和公有地址之间的关系是一对一映射。 ---一对一
配置:方法一:[R1-GigabitEthernet0/0/1]nat static global 122.1.2.1 inside 192.168.1.1
方法二:[R1]nat static global 122.1.2.1 inside 192.168.1.1[R1-GigabitEthernet0/0/1]nat static enable
- 动态NAT:动态NAT提出了地址池的概念:所有可用的公有地址组成地址池。
当内部主机访问外部网络时临时分配一个地址池中未使用的地址,并将该地址标记为“In Use”。当该主机不再访问外部网络时回收分配的地址,重新标记为“Not Use”。 ---一对多,只进行IP地址的转换
配置:[R1]nat address-group 1 122.1.2.1 122.1.2.3 创建NAT地址池
[R1]acl 2000 创建ACL,识别感兴趣的数据流
[R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255
[R1-acl-basic-2000]quit
[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat 在接口下将ACL和NAT地址池管理,其中no-pat意思,只做地址 转换,不做接口转换
- NAPT(网络地址端口转换):从地址池中选择地址进行地址转换时不仅转换IP地址,同时也会对端口号进行转换,从而实现公有地址与私有地址的1:n映射,可以有效提高公有地址利用率。
配置:[R1]nat address-group 1 122.1.2.1 122.1.2.3--创建NAT地址池
[R1]acl 2000 --创建ACL,识别感兴趣的数据流
[R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255
[R1-acl-basic-2000]quit
[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1--在接口下将ACL和NAT地址池管理,既做地址转换,也做接口转换。
- Easy-IP:实现原理和NAPT相同,同时转换IP地址、传输层端口,区别在于Easy IP没有地址池的概念,使用接口地址作为NAT转换的公有地址。
[R1]acl 2000
[R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255
[R1-acl-basic-2000]quit
[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000
- NAT Server:指定[公有地址:端口]与[私有地址:端口]的一对一映射关系,将内网服务器映射到公网,当私有网络中的服务器需要对公网提供服务时使用。 ---针对的是公网主动访问私网的场景
配置:
[R1-GigabitEthernet0/0/1]nat server protocol tcp global 202.10.10.1 www inside 192.168.1.1 8080