華為網絡設備配置ACL和NAT

2020-12-25 kclouder

訪問控制列表ACL(Access Control List)可以定義一系列不同的規則,設備根據這些規則對數據包進行分類,並針對不同類型的報文進行不同的處理,從而可以實現對網絡訪問行為的控制。限制網絡流量、提高網絡性能、防止網絡攻擊等等。ACL可以通過定義規則來允許或拒絕流量的通過。ACL可以根據需求來定義過濾的條件以及匹配條件後所執行的動作。ACL分類根據不同的劃分規劃,ACL可以分為三類:● 基本ACL:可以使用報文的源IP位址、分片標記和時間段信息來匹配報文。其編號取值範圍是2000~2999。● 高級ACL:可以使用報文的源/目的IP位址、源/目的埠號以及協議類型等信息來匹配報文。高級ACL可以定義比基本ACL更準確、更豐富、更靈活的規則。其編號取值範圍是3000~3999。● 二層ACL:可以使用源/目的MAC地址以及二層協議類型等二層信息來匹配報文。其編號取值範圍是4000~4999。

ACL規則1、一個ACL可以由多條"deny|permit"語句組成,每一條語句描述了一條規則。設備收到數據流量後,會逐條匹配ACL規則。如果不匹配,則匹配下一條規則。一旦匹配成功,則執行規則中定義的動作。並不再繼續向後匹配。如果最終也沒找到可匹配的規則,就不會對報文進行任何處理。2、規則的匹配順序決定了規則的優先級,匹配順序分為"配置順序"和"自動排序"兩種。3、"配置順序"按ACL編號(rule-id)從小到大的順序進行匹配。路由器匹配規則時默認採用配置順序,默認規則編號的步長為5。4、"自動排序"使用"深度優先"的原則進行匹配,即根據規則的精確度排序。配置ACL1、如下圖拓撲,我們來演示一下ACL的配置方法。這裡部署了三個網絡,假設R2位於總部,R1與R3分別是兩個分支網絡,這三臺路由器通過廣域網相連。現在需要控制Telnet伺服器和FTP伺服器的使用權限,R1所在的網絡只能訪問Telnet伺服器,R3所在的網絡只能訪問FTP伺服器。

2、首先在SW1和SW2上配置VLAN和VLANIF接口IP位址。SW1:vlan 4int vlanif 4 ip address 10.0.4.254 24SW2:vlan 6int vlanif 6 ip address 10.0.6.254 243、在R1、R2和R3上配置相應的接口IP位址。R1:int g0/0/0 ip address 10.0.13.1 24R2:int g0/0/0 ip address 10.0.13.2 24int g0/0/1 ip address 10.0.4.2 24int g0/0/2 ip address 10.0.6.2 24R3:int g0/0/0 ip address 10.0.13.3 244、配置SW1和SW2連接路由器的埠為trunk埠,修改PVID使物理埠加入三層VLANIF邏輯接口。SW1:int g0/0/2 port link-type trunk port trunk allow-pass vlan all port trunk pvid vlan 4SW2int g0/0/2 port link-type trunk port trunk allow-pass vlan all port trunk pvid vlan 6

5、在R1、R2和R3上配置OSPF,三臺路由器均在區域0當中,並發布各自直連的網段信息。R1:ospf area 0 network 10.0.13.0 0.0.0.255R2:ospf area 0 network 10.0.4.0 0.0.0.255 network 10.0.6.0 0.0.0.255 network 10.0.13.0 0.0.0.255R3:ospf area 0 network 10.013.0 0.0.0.255

6、在SW1和SW2上配置預設靜態路由,指定下一跳為各自連接的路由器網關。SW1:ip route-static 0.0.0.0 0.0.0.0 10.0.4.2SW2:ip route-static 0.0.0.0 0.0.0.0 10.0.6.27、配置SW1為Telnet伺服器。telnet server enableuser-interface vty 0 4 protocol inbound all authentication-mode password set authentication password cipher huawei7、配置SW2為FTP伺服器。ftp server enableaaa local-user huawei password cipher huawei local-user huawei privilege level 3 local-user huawei service-type ftp local-user huawei ftp-directory flash:/8、在R2上配置ACL,只允許R1訪問Telnet伺服器,只允許R3訪問FTP伺服器。acl 3000 rule 5 permit tcp source 10.0.13.1 0.0.0.0 destination 10.0.4.254 0.0.0.0 destination-port eq 23 rule 10 permit tcp source 10.0.13.3 0.0.0.0 destination 10.0.6.254 0.0.0.0 destination-port range 20 21 rule 15 permit ospf rule 20 deny ip source any9、在R2的g0/0/0接口上應用ACLint g0/0/0 traffic-filter inbound acl 3000

10、驗證ACL匹配結果,在R1上分別登錄Telnet伺服器和FTP伺服器。可以看到在R1上只能訪問Telnet伺服器,無法訪問FTP伺服器,符合配置要求。

11、在R3上分別登錄Telnet伺服器和FTP伺服器。可以看到在R3上只能訪問FTP伺服器,無法訪問Telnet伺服器,符合配置要求。

網地址轉換NAT網絡地址轉換技術NAT(Network Address Translation)主要用於實現內部網絡主機訪問外部網絡的功能。通過NAT可以實現私網地址與公網地址的轉換。並且多個私網用戶可以共用一個公網地址,這樣即可保證網絡互通,又節省了公網IP位址。NAT是將IP數據報文頭部中的IP位址轉換為另一個IP位址的過程,一般部署在連接內網和外網的網關設備上。網關會創建一個NAT映射表,以便判斷從公網收到的報文應該發往的私網目的地址。NAT分類:● 靜態NAT:靜態NAT實現了私有地址和公有地址的一對一映射。這種一對一的IP位址映射無法緩解公用地址短缺的問題,也就是並不節省公網IP。● 動態NAT:動態NAT通過使用地址池來實現私有地址和公有地址的轉換,動態地址池中的地址耗盡以後,只能等待被佔用的公網IP被釋放以後,其它主機才能使用它來訪問公網。動態NAT同樣需要大量的公網IP位址。● NAPT:網絡地址埠轉換NAPT允許多個內部地址映射到同一個公有地址的不同埠。● Easy IP: Easy IP允許多個內部地址映射到網關接口地址上的不同埠。適用於小規模區域網中的主機訪問Internet場景。Easy IP只需要一個公網IP位址。● NAT伺服器:前面幾種都是內部訪問外部,NAT伺服器則可以使外網用戶訪問內網資源。配置NAT1、如下圖拓撲,我們在兩臺路由器R1和R2上配置NAT功能,使內網用戶可以訪問公網,在R1上配置動態NAT,在R2上配置Easy IP,實現地址轉換。

2、配置R1和R2與交換機相連的接口的IP位址。R1:int g0/0/1 ip address 10.0.4.1 24R2:int g0/0/1 ip address 10.0.6.2 243、在SW1和SW2上創建VLAN,並配置VLANIF接口地址。SW1:vlan 4vlanif 4 ip address 10.0.4.254 24SW2:vlan 6vlanif 6 ip address 10.0.6.254 244、在SW1和SW2上將連接路由器的埠配置為trunk埠,並通過修改PVID使物理口加入到VLANIF三層邏輯口。SW1:int g0/0/1 port link-type trunk port trunk pvid vlan 4 port trunk allow-pass vlan allSW2:int g0/0/1 port link-type trunk port trunk pvid vlan 6 port trunk allow-pass vlan all5、在R1和R2上配置連接廣域網的IP位址。R1:ip address 119.84.111.1 24R2:ip address 119.84.111.2 24

6、在R1上配置高級ACL,匹配特定流量進行NAT地址轉換,特定流量為SW1向R2發起的telnet連接的TCP流量,以及源IP為10.0.4.0 /24網段的IP數據流。acl 3000 rule 5 permit tcp 10.0.4.254 0.0.0.0 destination 119.84.111.2 0.0.0.0 destination-port eq 23 rule 10 permit tcp ip source 10.0.4.0 0.0.0.255 destination any rule 15 deny ip7、在R2上配置基本ACL,匹配需要進行NAT地址轉換的流量為源IP為10.0.6.0 /24網段的數據流。acl 2000 rule permit source 10.0.6.0 0.0.0.255

8、配置動態NAT,首先在SW1和SW2上配置預設靜態路由,指定下一跳為內網的網關。SW1:ip route-static 0.0.0.0 0.0.0.0 10.0.4.1SW2:ip route-static 0.0.0.0 0.0.0.0 10.0.6.29、在R1上配置動態NAT,首先配置地址池,然後在g0/0/0接口下將ACL與地址池進行關聯。使得匹配ACL3000的數據報文的源地址選用地址池中的某個地址進行NAT轉換。net address-group 1 119.84.111.240 119.84.111.243int g0/0/0 nat outbound 3000 address-group 110、將R2配置為Telnet伺服器。telnet server enableuser-interface vty 0 4authentication-mode passwordset authentication password cipher huawei11、在R1上查看地址池是否正確。dis nat address-group

12、在SW1上確認內網與外網的連通性。

13、在SW1上發起到公網的telnet連接,確認telnet連接成功。Telnet經過R1到公網再到R2。

14、在R1上查看NAT會話信息,可以看到源地址為SW1的VLANIF4的IP位址10.0.4.254,目的IP為R2的接口IP。

15、在R2的g0/0/0接口上配置Easy IP,並關聯ACL 2000int g0/0/0 nat outbound 200016、測試SW2經過R2連通R1。

17、到這裡NAT配置就演示完畢,在R1和R2上查看NAT類型,R1為PAT,P2為Easy IP。

本地AAA配置1、AAA是Authentication(認證)、Authorization(授權)和Accounting(計費)的簡稱。AAA可以通過多種協議來實現,目前華為設備支持基於RADIUS協議和HWTACACS協議來實現AAA。該技術可以用於驗證用戶帳戶是否合法,授權用戶可以訪問的服務,並記錄用戶使用網絡資源的情況。2、AAA支持三種認證方式:● 不認證:完全信任用戶,不對用戶身份進行合法性檢查。這種認證方式很少被採用。● 本地認證:將本地用戶信息(包括用戶名、密碼和各種屬性)配置在NAS上,本地認證的優點是處理速度快、運營成本低,缺點是存儲信息量受設備硬體條件限制。● 遠端認證:將用戶信息配置在認證伺服器上。AAA通過RADIUS協議或HWTACACS協議進行遠端認證。3、AAA支持三種授權方式:● 不授權:不對用戶進行授權處理。● 本地授權:根據NAS上配置的本地用戶帳號的相關屬性進行授權。● 遠端授權:使用RADIUS或HWTACACS對用戶授權。4、對於認證和授權,如果方案中使用了多種認證和授權方式,則按照配置順序生效。5、設備基於域來對用戶進行管理,每個域都可以配置不同的AAA方案。default域為普通用戶的預設域,default_admin域為管理用戶的預設域。用戶可以修改但不能刪除這兩個預設域。默認情況下,設備最多支持32個域,包括兩個預設域。6、下面我們以下圖中的拓撲為例,來演示一下AAA的簡單配置過程,我們需要在R1和R2兩臺路由器上配置本地AAA認證,並基於域來對用戶進行管理,並配置己認證用戶的權限級別。

7、首先為R1和R2配置好接口IP位址,並檢測連通性。8、在R1上配置認證方案為本地認證,授權方案為本地授權。aaaauthentication-scheme auth1 authentication-mode localauthorization-scheme auth2 authorization-mode local9、在R1上創建域"huawei"並將認證方案和授權與域進行關聯。然後創建一個用戶並將其加到域中。aaa domain huawei authentication-scheme auth1 authorization-scheme auth2local-user user1@huawei password cipher huaweilocal-user user1@huawei service-type telnetlocal-user user1@huawei privilege level 010、將R1配置為Telnet伺服器,認證模式為AAAtelnet server enableuser-interface vty 0 4authentication-mode aaa

11、從R2 Telnet登錄R1,驗證登錄需要經過AAA認證,同時由於用戶命令等級為0,所以登錄後無法執行命令。

12、在R2上同樣進行AAA配置,用戶為user2@huawei,用戶權限設置為3。

13、從R1 Telnet登錄R2,驗證登錄需要經過AAA認證,同時由於用戶命令等級為3,所以登錄後可以執行命令。

相關焦點

  • 新華三(H3C)VLAN、SSH、ACL、DHCP、NAT綜合練習
    VLAN;4.配置靜態路由,使網絡設備可以被訪問,用戶可以正常上網;5.所有的網絡設備使用SSH遠程管理,並且只有辦公網段可以管理;(一般loopback接口作為管理接口)6.路由器開啟NAT,普通用戶可以通過用戶共享公網地址上網,WEB伺服器使用伺服器公網地址和80埠。
  • 配置通過NAT訪問Internet外網,並對外提供www服務
    一、華為模擬器實際操作視頻:二、主要知識點:NAT介紹NAT(Network Address Translation)是一種IP位址共享的技術,即可以實現多用戶共享少量公網IPv4地址訪問外部網絡。用戶訪問外部網絡時,NAT設備會將用戶私有IPv4地址轉換為公網的IPv4地址,暫時性記錄這種映射關係。隨著Internet的發展和網絡應用的增多,IPv4地址枯竭已成為制約網絡發展的瓶頸。
  • 典型的小區區域網配置:DHCP、NAT、埠隔離
    是一種用於集中對用戶IP位址進行動態管理和配置的技術。即使規模較小的網絡,通過DHCP也可以使後續增加網絡設備變得簡單快捷。● DHCP允許計算機動態地獲取IP位址,而不是靜態為每臺主機指定地址。● DHCP能夠分配其他配置參數,例如客戶端的啟動配置文件,使客戶端僅用一個消息就獲取它所需要的所有配置信息。
  • 【H3C實驗】NAT配置這些細節不能忘
    上圖左側部分模擬的是企業的私網,右側模擬的是公網,RT2設備作為NAT設備,要保證私網主機通過NAT技術訪問公網。我們這裡採用easy ip技術給大家做介紹。配置如下所示:[RT2]acl number 2000[RT2-acl-basic-2000]rule 0 permit source 192.168.1.0 0.0.0.255[RT2]interface GigabitEthernet 0/0/0[RT2-GigabitEthernet0/0/1]nat outbound 2000
  • 通過NAT Static和NAT Outbound實現公網用戶與公網伺服器間互訪
    用戶訪問外部網絡時,NAT設備會將用戶私有IPv4地址轉換為公網的IPv4地址,暫時性記錄這種映射關係。隨著Internet的發展和網絡應用的增多,IPv4地址枯竭已成為制約網絡發展的瓶頸。儘管IPv6可以從根本上解決IPv4地址空間不足問題,但目前網絡設備和網絡應用大多是基於IPv4的,因此在IPv6廣泛應用之前,一些過渡技術的使用是解決這個問題最主要的技術手段。作為一種過渡方案,NAT通過地址重用的方法來滿足IP位址的需要,可以在一定程度上緩解IPv4地址空間枯竭的壓力,從而保證IPv4的用戶和業務能平穩過渡到IPv6。
  • IT咖啡-ACL應用筆記
    1-99,1300-1999 擴展ACL:檢查源地址和目標地址,檢查來自哪裡去網哪裡做什麼? interface f0/0 ip access-group acl out 二、NAT:網絡地址轉換協議用來轉換源IP位址,目的為了節省IP位址,實現私網域與公網域互通
  • 華為Ensp中型網絡拓撲配置
    華為致力於把數字世界帶入每個人、每個家庭、每個組織,構建萬物互聯的智能世界。如有學習華為網絡工程師的我們共同學習共同進步,如有不足還請高手多多指導,也可加私信互相學習。中型網絡拓撲[LSW1]配置:Eth-Trunk 1鏈路聚合:[LSW1]interface Eth-Trunk 1 創建Eth-Trunk 1[LSW1-Eth-Trunk1]mode lacp-static
  • 配置經由PIX的入站的訪問配置
    1.配置經由PIX的入站訪問  有一個方法可以讓從低安全級界面的連接訪問高安全級的界面  1.1 靜態網絡地址轉換,為了使外部主機向內部主機發送數據,需要為內部主機配置一個靜態轉換列表,這也可以通過使用一個nat 0 access-  list地址轉換規則來完成.
  • 「乾貨」華為防火牆NAT配置方式詳解
    可以通執行如下命令配置地址池nat address-group 1 202.169.1.2 202.169.1.5華為防火牆支持哪些源NAT?下面通過一個案例簡單闡述 NAT No-PAT、NAPT和easy-ip的具體區別。(採用ensp的USG6000v.)
  • 數通NA-ACL配置實例
    ACL:access list 訪問控制列表acl 兩種:基本acl(2000-2999):只能匹配源ip地址。高級acl(3000-3999):可以匹配源ip、目標ip、源埠、目標埠等三層和四層的欄位。
  • 伺服器與路由器NAT技術應用
    這時就可以採用NAT技術,多個內部計算機在訪問INTERNET時使用同一個公網IP位址;第二是當公司希望對內部計算機進行有效的安全保護時可以採用NAT技術,內部網絡中的所有計算機上網時受到路由器或伺服器(防火牆)的保護,黑客與病毒的攻擊被阻擋在網絡出口設備上,大大提高了內部計算機的安全性。
  • 現網中必用的NAT地址轉換技術,理論+實戰,三分鐘快速掌握
    儘管IPv6可以從根本上解決IPv4地址空間不足的問題,但目前眾多的網絡設備和網絡應用仍是基於IPv4的,因此在IPv6廣泛應用之前,一些過渡技術的使用是解決這個問題的主要技術手段。網絡地址轉換技術NAT(Network Address Translation)主要用於實現位於內部網絡的主機訪問外部網絡的功能。
  • 華為網絡設備基於埠的流量統計
    1、網絡需求統計客戶端(68.161.232.170)到伺服器(68.39.4.3)對應接口的流量統計數據。2、網絡實驗拓撲圖3、具體的配置命令3.1.定義匹配的流量acl 3001rule 10 permit ip source 68.161.232.170 0 destination 68.39.4.3 0rule 20 permit ip source 68.39.4.3 0 destination 68.161.232.170
  • 校園網絡安全與設計
    本設計就以校園網為研究背景,對校園網建設的基礎通信需求和網絡安全需求進行分析,然後根據其網絡需求來搭建一個安全、穩定可靠的校園網絡,並進行IP位址的規劃。在設計方案中,著重對於其網絡安全進行設計,提出防火牆、設備安全、ACL訪問控制、埠安全等的解決方案,從而打造一個適合校園的安全穩定的校園網絡環境,最後利用華為ENSP模擬器對方案進行模擬配置測試,驗證方案的可行性。
  • 華為路由器命令大全
    華為路由器命令大全 本文為讀者介紹了路由器命令的例子,具有很輕的實用性,為我們以後的日常工作帶來很大方便。3COM路由器命令的例子,在網絡中網絡管理員應該隨時了解路由器的各種狀態,以便及時的排除故障。
  • 華為網絡學習-無線配置
    華為WLAN系統一般由AC(接入控制器)和AP(無線接入點)組成。
  • 詳解虛擬機中的NAT網絡連接方式
    橋接則和第1種交流方式非常吻合。比如說你安裝了虛擬系統並且選擇是Nat模式,虛擬的NAT伺服器就象R老師的作用一樣。負責虛擬機(a班的同學)和網際網路上的計算機(c班的同學)通信。該命令比較適用於大型網絡。我們現在在虛擬機上trcert 百度 看看虛擬機的數據包書如何到達baidu.com看看裡面有沒有192.168.2.2(虛擬的nat伺服器)VMware虛擬網絡相關知識 1.虛擬網橋通過虛擬網橋把虛擬機的虛擬網卡連接到宿主機的物理網卡上。通過它可以將虛擬機連接到宿主機所在的外部網絡。
  • 詳解ACL限制SSH、Telnet遠程登錄及抓包實驗
    組網要求:SW2、SW3交換機與SW1連接,為了保證核心交換機SW1的安全,要求在SW1上配置SSH,允許SW2通過遠程登錄,不允許其他交換機遠程登錄。在SW2上配置Telnet,允許PC1遠程登錄。一、eNSP實際操作視頻:二、主要知識點:Telnet缺少安全的認證方式,而且傳輸過程採用TCP進行明文傳輸,存在很大的安全隱患。
  • 理解CiscoPIX防火牆的轉換和連接
    越安全的網絡段,全級別越高。security100  nameif ethernet2 dmz security50  1.1自適應安全算法(ASA)允許流量從高安全等級段流向低安全等級段,不需要在安全策略中使用特定規則來允許這些連接,而只要用一個nat/global命令配置這些接口就行了。
  • 5步輕鬆搞定華為靜態NAT配置,跟著網工知識角學理論敲實驗
    學網絡,就在IE-LAB國內高端網絡工程師培養基地關鍵詞:華為認證 HCIA 路由交換 實驗 考試 配置