网络安全与网络管理


安全基础

一、ACL

ACL原理:配备了ACL的网络设备根据设定好的报文匹配规制,对经过该设备的报文进行匹配,成功匹配的报文执行对应设定好的处理动作。





设定各种类型的匹配规制


ACL类型

配备ACL时都要分配一个编号

1.基本ACL    编号范围 2000-2999

2.高级ACL    编号范围 3000-3999

3.二层ACL    编号范围 4000-4999

4.用户自定义ACL  编号范围 5000-5999

这里只介绍基本ACL和高级ACL


ACL组成

一个ACL通常由若干条“deny | permit”语句组成,每条语句就是该ACL的一条规制,每条语句中的deny或permit就是该条语句规制对应的处理动作。


在基本ACL中只能对IP头中的源IP地址进行匹配





高级ACL中可以对源IP地址、目的IP地址、协议类型、源目的端口号等进行匹配




ACL匹配顺序

每个ACL中的语句都有一个rule-id,当一个ACL中有多条语句时,则按照rule-id从小到大顺序依次匹配,当数据与某条语句匹配时,则执行相应的deny或permit,不会继续往下匹配,继续接收下一个数据从头开始匹配。


我们在设置ACL语句时,rule-id之间默认相差5 ,如下图5、10、15。。。而中间的6、7、8、9这些用于保留,方便日后从中间插入,因为语句是按顺序匹配的。当然我们可以自行设定步长,如 2、4、6、8。。






ACL基本配置

1.基本ACL配置

[Huawei] acl 2000  
创建一个acl,2000是代表基本acl(2000-2999)
[Huawei-acl-basic-2000]rule 5 deny source 172.16.10.100 0.0.0.0
创建一个规则编号为5,deny拒绝,sourece固定表示源IP,172.16.10.100就是源IP,0.0.0.0反掩码

这里创建了一个基本ACL编号为2000,包含一条规制编号为5的语句,拒绝源IP为172.16.10.100的数据访问。

反掩码1是无所谓,0是匹配,所以这里0.0.0.0表示32位全部匹配


当然只是创建了ACL是不行还要讲ACL应用在接口中

int g0/0/1
traffic-filter outbound acl 2000

在g0/0/1接口的出口方向应用acl 2000

如果是 inbound 表示入方向应用




1.基本ACL配置例

GW:
acl 2000
rule-id 5 deny source 192.168.1.2 0
int g0/0/0
traffic-filter inbound acl 2000






2.高级ACL

针对不同报文类型匹配设定不同


下面是IP报文

destination是目的地址




例1:




例2:

只是禁用PC2对server2的telnet服务,PC2还是能ping通server2
配置:

端口号eq(等于)23 23就是telnet服务

acl 3000
acl deny source 192.168.1.2 0 destination 10.1.1.2 0 destination-port eq 23
int g0/0/0
traffic-filter inbound acl 3000





二、NAT

网络地址转换

简单说就是将我们私有的地址和公网地址实现通信。解决IPv4地址匮乏的问题,







1.静态NAT

一个私有地址使用一个公网地址,这种虽然简单,但显然不符合经济效益


2.基于地址池的一对一映射(no-pat)

将拥有的公网地址作为一个地址池,私有地址可以从地址池中随意取未被使用的公网地址使用

不做端口转换只做地址转换(意思是地址池如果有十个地址那么只能同时给十个人用)



3.NAPT

多对一 IP和端口都转换

将私有地址都对应一个公网地址,但是给他们分配不同的端口




4.nat server 

当内网服务器需要在公网也能访问时,







在路由器上部署NAT 各类型配置

dis nat static 查看私有地址个公有地址映射关系


1.静态一对一

OR出口路由器配置:
int g0/0/0
ip add 192.168.1.254 24
int g0/0/1
ip add 200.1.1.1 24

nat static global 200.1.1.100 inside 192.168.1.1
global公网地址 inside私网地址
ip route-static 0.0.0.0 0.0.0.0 200.1.1.2
默认路由所有的条目都出去,吓一跳为200.1.1.2





2.基于动态

OR出口路由器配置:

nat address-group 1 200.1.1.100 200.1.1.200
定义nat池 1,范围从200.1.1.100到200.1.1.200
acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255
定义规制允许192.168.1.0网段IP
int g0/0/1
nat outbound 2000 address-group 1 no-pat
ip route-static 0.0.0.0 0 200.1.1.2

nat匹配192.168.1.0网段 从地址池1中映射  不做端口转换



3.多对一 EasyIP

NATP的一种简化

OR出口路由器配置:

acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255
int g0/0/1
nat outbound 2000 interface gi 0/0/1
ip route-static 0.0.0.0 0 200.1.1.2

nat 出口 acl2000规制 与接口 gi 0/0/1映射

EasyIP无需建立公网地址池,只用到出接口的公网地址,动态分配不同的端口号就行了,



4. 内部服务器映射

从外部访问内部的服务器

出口路由器配置:

int g0/0/1
nat server protocol tcp global 200.1.1.100 8080 inside 192.168.1.100 80
ip route-static 0.0.0.0 0 200.1.1.2

nat 服务器TCP协议  公网地址映射私网地址




综合实验

自己先动手敲一敲

参考思路:
先配本实验模拟Internet的R2,只配接口ip,不做其他配置;可以测试一下直连链路是否通畅
主要关注内网:
接入层交换机SW1配置vlan,注意接口类型
汇聚层交换机SW2配置vlan;在汇聚层需要进行vlan间通信,配置三层交换,个个vlan的网关IP;
此时可以做一次测试,测试PC到服务器是否正常通信

汇聚层交换机要与出口R1通信,属于三层的数据通信,所以需要配置一个默认路由,让数据出去

R1的配置,此时依旧要记住数据通信是双向的,所以数据经过了SW2的路由出去到R1,R1也要有路由回到对应网段

此时可以再次测试,PC和服务器的连通性,PC和服务器能否到达R1

内网通了。

开始考虑内网与公网的通信,公网通信就需要公网地址,我们可以在R1出接口配置NAT。

大致这样的流程。

后面有参考命令




SW1配置(接入层交换机):

vlan batch 10 100
int e0/0/2
port link-type access
port default vlan 100
int e0/0/1
port link-type access
port default vlan 10
int g0/0/1
port link-type trunk
port trunk allow-pass vlan 10 100


SW2配置(汇聚层交换机):

vlan batch 10 100 255
int g0/0/24
port link-type access
port default vlan 255
int g0/0/1
port link-type trunk
port trunk allow-pass vlan 10 100
int vlanif 10
ip add 192.168.10.254 24
int vlanif 100
ip add 192.168.100.254 24
int vlanif 255
ip add 192.168.1.254 24
ip route-static 0.0.0.0 0.0.0.0 192.168.1.1


R1配置:

int g0/0/0
ip add 192.168.1.1 24
int g0/0/1
ip add 200.1.1.1 24

ip route-static 0.0.0.0 0.0.0.0 200.1.1.2
ip route-static 192.168.10.0 24 192.168.1.254
ip route-static 192.168.100.0 24 192.168.1.254

acl 2000
rule 5 permit source 192.168.10.0 0.0.0.255
rule 10 permit source 192.168.100.0 0.0.0.255
nat address-group 1 200.1.1.100 200.1.1.200
int g0/0/1
nat outbound 2000 address-group 1
nat server protocol tcp global 200.1.1.210 80 inside 192.168.100.1 80

R2配置(模拟Internet):

int g0/0/0
ip add 200.1.1.2 24
int g0/0/1
ip add 200.2.2.1 24


可以在SW2和R1中不用静态路由,而配置OSPF:

R1:

取消原来的两个内网静态路由

undo ip route-static 192.168.10.0 24 192.168.1.254
undo ip route-static 192.168.100.0 24 192.168.1.254

ospf 1 router-id 1.1.1.1
area 0
network 200.0.0.0 0.255.255.255
network 192.168.0.0 0.0.255.255

SW2:

ospf 1 router-id 2.2.2.2
area 0
network 192.168.0.0 0.0.255.255
还可以将两条默认路由注入ospf,后面笔记实验再写吧,,,,,









声明:MINI-HAVEN|版权所有,违者必究|如未注明,均为原创|本网站采用BY-NC-SA协议进行授权

转载:转载请注明原文链接 - 网络安全与网络管理


MINI-HAVEN