wps397

访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包
进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制。限制网络
流量、提高网络性能、防止网络攻击等等。ACL可以通过定义规则来允许或拒绝流量的通过。ACL可以
根据需求来定义过滤的条件以及匹配条件后所执行的动作。

ACL分类

根据不同的划分规划,ACL可以分为三类:

● 基本ACL:可以使用报文的源IP地址、分片标记和时间段信息来匹配报文。其编号取值范围是
2000~2999。

● 高级ACL:可以使用报文的源/目的IP地址、源/目的端口号以及协议类型等信息来匹配报文。
高级ACL可以定义比基本ACL更准确、更丰富、更灵活的规则。其编号取值范围是3000~3999。

● 二层ACL:可以使用源/目的MAC地址以及二层协议类型等二层信息来匹配报文。其编号取值范
围是4000~4999。

wps398

ACL规则

1、一个ACL可以由多条"deny|permit"语句组成,每一条语句描述了一条规则。设备收到数据流量后,
会逐条匹配ACL规则。如果不匹配,则匹配下一条规则。一旦匹配成功,则执行规则中定义的动作。
并不再继续向后匹配。如果最终也没找到可匹配的规则,就不会对报文进行任何处理。

2、规则的匹配顺序决定了规则的优先级,匹配顺序分为"配置顺序"和"自动排序"两种。

3、"配置顺序"按ACL编号(rule-id)从小到大的顺序进行匹配。路由器匹配规则时默认采用配置顺
序,默认规则编号的步长为5。

4、"自动排序"使用"深度优先"的原则进行匹配,即根据规则的精确度排序。

配置ACL

1、如下图拓扑,我们来演示一下ACL的配置方法。这里部署了三个网络,假设R2位于总部,R1与R3分
别是两个分支网络,这三台路由器通过广域网相连。现在需要控制Telnet服务器和FTP服务器的使用
权限,R1所在的网络只能访问Telnet服务器,R3所在的网络只能访问FTP服务器。

wps399

2、首先在SW1和SW2上配置VLAN和VLANIF接口IP地址。

SW1:

vlan 4

int vlanif 4

ip address 10.0.4.254 24

SW2:

vlan 6

int vlanif 6

ip address 10.0.6.254 24

3、在R1、R2和R3上配置相应的接口IP地址。

R1:

int g0/0/0

ip address 10.0.13.1 24

R2:

int g0/0/0

ip address 10.0.13.2 24

int g0/0/1

ip address 10.0.4.2 24

int g0/0/2

ip address 10.0.6.2 24

R3:

int g0/0/0

ip address 10.0.13.3 24

4、配置SW1和SW2连接路由器的端口为trunk端口,修改PVID使物理端口加入三层VLANIF逻辑接口。

SW1:

int g0/0/2

port link-type trunk

port trunk allow-pass vlan all

port trunk pvid vlan 4

SW2

int g0/0/2

port link-type trunk

port trunk allow-pass vlan all

port trunk pvid vlan 6

wps400

5、在R1、R2和R3上配置OSPF,三台路由器均在区域0当中,并发布各自直连的网段信息。

R1:

ospf

area 0

network 10.0.13.0 0.0.0.255

R2:

ospf

area 0

network 10.0.4.0 0.0.0.255

network 10.0.6.0 0.0.0.255

network 10.0.13.0 0.0.0.255

R3:

ospf

area 0

network 10.013.0 0.0.0.255

wps401

6、在SW1和SW2上配置缺省静态路由,指定下一跳为各自连接的路由器网关。

SW1:

ip route-static 0.0.0.0 0.0.0.0 10.0.4.2

SW2:

ip route-static 0.0.0.0 0.0.0.0 10.0.6.2

7、配置SW1为Telnet服务器。

telnet server enable

user-interface vty 0 4

protocol inbound all

authentication-mode password

set authentication password cipher huawei

7、配置SW2为FTP服务器。

ftp server enable

aaa

local-user huawei password cipher huawei

local-user huawei privilege level 3

local-user huawei service-type ftp

local-user huawei ftp-directory flash:/

8、在R2上配置ACL,只允许R1访问Telnet服务器,只允许R3访问FTP服务器。

acl 3000

rule 5 permit tcp source 10.0.13.1 0.0.0.0 destination 10.0.4.254 0.0.0.0 destination-port eq 23

rule 10 permit tcp source 10.0.13.3 0.0.0.0 destination 10.0.6.254 0.0.0.0 destination-port range 20 21

rule 15 permit ospf

rule 20 deny ip source any

9、在R2的g0/0/0接口上应用ACL

int g0/0/0

traffic-filter inbound acl 3000

wps402

10、验证ACL匹配结果,在R1上分别登录Telnet服务器和FTP服务器。可以看到在R1上只能访问Telnet
服务器,无法访问FTP服务器,符合配置要求。

wps403wps404

11、在R3上分别登录Telnet服务器和FTP服务器。可以看到在R3上只能访问FTP服务器,无法访问
Telnet服务器,符合配置要求。

wps405

网地址转换NAT

网络地址转换技术NAT(Network Address Translation)主要用于实现内部网络主机访问外部网络的
功能。通过NAT可以实现私网地址与公网地址的转换。并且多个私网用户可以共用一个公网地址,这样
即可保证网络互通,又节省了公网IP地址。NAT是将IP数据报文头部中的IP地址转换为另一个IP地址的
过程,一般部署在连接内网和外网的网关设备上。网关会创建一个NAT映射表,以便判断从公网收到的
报文应该发往的私网目的地址。

NAT分类:

● 静态NAT:静态NAT实现了私有地址和公有地址的一对一映射。这种一对一的IP地址映射无法缓解公
用地址短缺的问题,也就是并不节省公网IP。

● 动态NAT:动态NAT通过使用地址池来实现私有地址和公有地址的转换,动态地址池中的地址耗尽以
后,只能等待被占用的公网IP被释放以后,其它主机才能使用它来访问公网。动态NAT同样需要大量
的公网IP地址。

● NAPT:网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口。

● Easy IP: Easy IP允许多个内部地址映射到网关接口地址上的不同端口。适用于小规模局域网中的
主机访问Internet场景。Easy IP只需要一个公网IP地址。

● NAT服务器:前面几种都是内部访问外部,NAT服务器则可以使外网用户访问内网资源。

配置NAT

1、如下图拓扑,我们在两台路由器R1和R2上配置NAT功能,使内网用户可以访问公网,在R1上配置动
态NAT,在R2上配置Easy IP,实现地址转换。

wps406

2、配置R1和R2与交换机相连的接口的IP地址。

R1:

int g0/0/1

ip address 10.0.4.1 24

R2:

int g0/0/1

ip address 10.0.6.2 24

3、在SW1和SW2上创建VLAN,并配置VLANIF接口地址。

SW1:

vlan 4

vlanif 4

ip address 10.0.4.254 24

SW2:

vlan 6

vlanif 6

ip address 10.0.6.254 24

4、在SW1和SW2上将连接路由器的端口配置为trunk端口,并通过修改PVID使物理口加入到VLANIF
三层逻辑口。

SW1:

int g0/0/1

port link-type trunk

port trunk pvid vlan 4

port trunk allow-pass vlan all

SW2:

int g0/0/1

port link-type trunk

port trunk pvid vlan 6

port trunk allow-pass vlan all

5、在R1和R2上配置连接广域网的IP地址。

R1:

ip address 119.84.111.1 24

R2:

ip address 119.84.111.2 24

wps407

6、在R1上配置高级ACL,匹配特定流量进行NAT地址转换,特定流量为SW1向R2发起的telnet连接的
TCP流量,以及源IP为10.0.4.0 /24网段的IP数据流。

acl 3000

rule 5 permit tcp 10.0.4.254 0.0.0.0 destination 119.84.111.2 0.0.0.0 destination-port eq 23

rule 10 permit tcp ip source 10.0.4.0 0.0.0.255 destination any

rule 15 deny ip

7、在R2上配置基本ACL,匹配需要进行NAT地址转换的流量为源IP为10.0.6.0 /24网段的数据流。

acl 2000

rule permit source 10.0.6.0 0.0.0.255

wps408

8、配置动态NAT,首先在SW1和SW2上配置缺省静态路由,指定下一跳为内网的网关。

SW1:

ip route-static 0.0.0.0 0.0.0.0 10.0.4.1

SW2:

ip route-static 0.0.0.0 0.0.0.0 10.0.6.2

9、在R1上配置动态NAT,首先配置地址池,然后在g0/0/0接口下将ACL与地址池进行关联。使得
匹配ACL3000的数据报文的源地址选用地址池中的某个地址进行NAT转换。

net address-group 1 119.84.111.240 119.84.111.243

int g0/0/0

nat outbound 3000 address-group 1

10、将R2配置为Telnet服务器。

telnet server enable

user-interface vty 0 4

authentication-mode password

set authentication password cipher huawei

11、在R1上查看地址池是否正确。

dis nat address-group

wps409

12、在SW1上确认内网与外网的连通性。

wps410

13、在SW1上发起到公网的telnet连接,确认telnet连接成功。Telnet经过R1到公网再到R2。

wps411

14、在R1上查看NAT会话信息,可以看到源地址为SW1的VLANIF4的IP地址10.0.4.254,目的IP为R2
的接口IP。

wps412

15、在R2的g0/0/0接口上配置Easy IP,并关联ACL 2000

int g0/0/0

nat outbound 2000

16、测试SW2经过R2连通R1。

wps413

17、到这里NAT配置就演示完毕,在R1和R2上查看NAT类型,R1为PAT,P2为Easy IP。

wps414wps415

本地AAA配置

1、AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称。AAA
可以通过多种协议来实现,目前华为设备支持基于RADIUS协议和HWTACACS协议来实现AAA。该技术
可以用于验证用户账户是否合法,授权用户可以访问的服务,并记录用户使用网络资源的情况。

2、AAA支持三种认证方式:

● 不认证:完全信任用户,不对用户身份进行合法性检查。这种认证方式很少被采用。

● 本地认证:将本地用户信息(包括用户名、密码和各种属性)配置在NAS上,本地认证的优点是处
理速度快、运营成本低,缺点是存储信息量受设备硬件条件限制。

● 远端认证:将用户信息配置在认证服务器上。AAA通过RADIUS协议或HWTACACS协议进行远端认证。

3、AAA支持三种授权方式:

● 不授权:不对用户进行授权处理。

● 本地授权:根据NAS上配置的本地用户账号的相关属性进行授权。

● 远端授权:使用RADIUS或HWTACACS对用户授权。

4、对于认证和授权,如果方案中使用了多种认证和授权方式,则按照配置顺序生效。

5、设备基于域来对用户进行管理,每个域都可以配置不同的AAA方案。default域为普通用户的缺省
域,default_admin域为管理用户的缺省域。用户可以修改但不能删除这两个缺省域。默认情况下,
设备最多支持32个域,包括两个缺省域。

6、下面我们以下图中的拓扑为例,来演示一下AAA的简单配置过程,我们需要在R1和R2两台路由器
上配置本地AAA认证,并基于域来对用户进行管理,并配置己认证用户的权限级别。

wps416

7、首先为R1和R2配置好接口IP地址,并检测连通性。

8、在R1上配置认证方案为本地认证,授权方案为本地授权。

aaa

authentication-scheme auth1

authentication-mode local

authorization-scheme auth2

authorization-mode local

9、在R1上创建域"huawei"并将认证方案和授权与域进行关联。然后创建一个用户并将其加到域中。

aaa

domain huawei

authentication-scheme auth1

authorization-scheme auth2

local-user user1@huawei password cipher huawei

local-user user1@huawei service-type telnet

local-user user1@huawei privilege level 0

10、将R1配置为Telnet服务器,认证模式为AAA

telnet server enable

user-interface vty 0 4

authentication-mode aaa

wps417wps418

11、从R2 Telnet登录R1,验证登录需要经过AAA认证,同时由于用户命令等级为0,所以登录后无法
执行命令。

wps419

12、在R2上同样进行AAA配置,用户为user2@huawei,用户权限设置为3。

wps420

13、从R1 Telnet登录R2,验证登录需要经过AAA认证,同时由于用户命令等级为3,所以登录后可以
执行命令。

wps421

Last modification:March 23rd, 2020 at 11:01 am
如果觉得我的文章对你有用,请随意赞赏