总结的总结

最新推荐文章于 2024-04-29 09:58:57 发布

weixin_70101574

最新推荐文章于 2024-04-29 09:58:57 发布

阅读量936

点赞数

文章标签：网络运维安全

本文链接：https://blog.csdn.net/weixin_70101574/article/details/126444906

版权

一、ACL----访问控制列表

1.ACL功能访问控制在设备上的流入或流出方向上，匹配流量，然后执行动作允许/拒绝抓取流量 ACL经常会跟其他协议共同使用，当与其他协议共同使用时，ACL一般仅作流量匹配，对应动作又其他协议完成

2.ACL分类基本ACL 只能基于IP报文的源IP地址、报文分片和时间段来定义规则编号：2000-2999（规则编号：用于区分不同的规则列表）高级ACL 基于IP报文的源IP、目的IP、协议字段、IP报文的优先级、报文长度、传输层的源目端口号等信息来规定编号：3000-3999

二、配置

1.创建ACL列表 [R2]acl 2000 //创建编号为2000的ACL列表

2.、设定规则 [R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 //设定规则，拒绝源IP为192.168.1.2的地址通过

.3、允许所有 [R2-acl-basic-2000]rule 10 permit source any //在最后允许所有规则号：华为默认规定步长为5，方便后期维护时增加或删除规则。

4.、在接口调用ACL列表 [R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 //在该接口出方向调用每个接口仅能调用一张ACL列表。但一张表可以在多个接口被调用方向：出方向、入方向；根据流量流动方向来判断，一个接口即可以是出接口也可以是入接口。 [R2]display acl all [R2]display acl 2000

5.图中0.0.0.0该字符串，是通配符。0代表不可变，1代表可变位。

二、NAT

配置

[Huawei]interface GigabitEthernet 0/0/0 //进入边界设备的对外接口 [Huawei-GigabitEthernet0/0/0]nat static global 10.1.1.1 inside 192.168.2.1 //配置静态地址转换。此公有IP地址不能是本路由器上正在使用的公有 IP地址。

[Huawei]display nat static //查询静态NAT转换表

一、创建公有地址池塘 [Huawei]nat address-group 1 10.1.1.10 10.1.1.11 //创建一个公有地址组，组号为1，包括了2个IP地址，分别是10.1.1.10和10.1.1.11；必须是合法购买的公网IP；公网IP必须连续

二、抓取流量--->匹配 [Huawei]acl 2000 [Huawei-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255 三、将ACL与公有地址组绑定并调用 [Huawei-GigabitEthernet0/0/0]nat outbound 2000 address-group

三、NAPT

网络地址端口转换技术

目前互联网上使用最广泛的技术

解决了动态NAT需要排队的问题维护了一张源端口号与私网地址的映射关系表

1-65535 EASY IP

2.配置 [Huawei]interface GigabitEthernet 0/0/0 //进入边界设备的对外接口

[Huawei-GigabitEthernet0/0/0]nat static global 10.1.1.1 inside 192.168.2.1 //配置静态地址转换。 [Huawei]display nat static //查询静态NAT转换表一、创建公有地址池塘 [Huawei]nat address-group 1 10.1.1.10 10.1.1.11 //创建一个公有地址组，组号为1，包括了2个IP地址，分别是10.1.1.10和10.1.1.11；必须是合法购买的公网IP；公网IP必须连续二、抓取流量--->匹配 [Huawei]acl 2000 [Huawei-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255 三、将ACL与公有地址组绑定并调用 [Huawei-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 nopat [Huawei]display nat address-group

一、抓流量 [Huawei]acl 2100 [Huawei-acl-basic-2100]rule permit source 192.168.2.0 0.0.0.255 二、接口调用 [Huawei-GigabitEthernet0/0/0]nat outbound 2100 //easy ip规定，默认使用该接口IP作为公有IP通讯 [Huawei]display nat outbound //查看NAT配置信息多对多NAPT 端口映射园区网组网工程项目流程 1. 对接甲方 2. 设备安装 3. 设备上架 4. 连线 5. 配置 1. IP划分 2. 配置二层---交换 3. 配置三层---路由 4. 优化一、创建公有IP组 [Huawei]nat address-group 2 10.1.1.10 10.1.1.20 二、抓取流量 [Huawei-acl-basic-2200]rule permit source 192.168.2.0 0.0.0.255 三、调用 [Huawei-GigabitEthernet0/0/0]nat outbound 2200 address-group 2 [Huawei-GigabitEthernet0/0/0]nat server protocol tcp global currentinterface telnet inside 192.1