HCIA–访问控制技术–NAT、ACL、aaa、IPSec VPN、GRE
一、网络地址转换(NAT)
工作原理:
借助于NAT,私有(保留)地址的"内部"网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。
基本配置:
1、静态NAT:
nat static global 公有ip inside 私有ip
2、动态NAT:
nat address-group 1 起始ip 结束ip (配置可外部映射地址池)
acl 2000 (创建ACL)
rule 5 permit source 私有ip 反掩码 (ACL规则,5代表执行顺序)
quit
int s 1/0/0 (应用到接口)
ant outbound 2000 address-group 1 no-pat
3、Easy ip配置
acl 2000
rule 5 permit source ip 反掩码
quit
int s1/0/0
nat outbound 2000
4、NAT服务器配置
nat server protocol tcp global 公有ip 运行的服务 inside 私有ip 端口号
nat server protocol tcp global 202.10.10.1 www inside 192.168.1.1 80
二、访问控制列表(ACL)
定义:是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
工作原理:
简单配置:
1、基本ACL:
ACL 2000 (创建ACL)
rule deny/permit source ip w-mask(配置规则)
int g 0/0/2 (进入接口)
traffic-filter outbound acl 2000 (应用规则)
2、高级ACL:
acl 3000
rule deny tcp source 192.168.1.0 0.0.0.255 destination 172.16.10.1 0.0.0.0 destination-port eq 21
rule deny tcp source 192.168.2.0 0.0.0.255 destination 172.16.10.2 0.0.0.0
rule permit ip
traffic-filter outbound acl 3000
三、AAA
定义:
AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。
这三种安全功能的具体作用如下:
- 认证:验证用户是否可以获得网络访问权。
- 授权:授权用户可以使用哪些服务。
- 计费:记录用户使用网络资源的情况。
用户可以使用AAA提供的一种或多种安全服务。例如,公司仅仅想让员工在访问某些特定资源的时候进行身份认证,那么网络管理员只要配置认证服务器即可。但是若希望对员工使用网络的情况进行记录,那么还需要配置计费服务器。
如上所述,AAA是一种管理框架,它提供了授权部分用户去访问特定资源,同时可以记录这些用户操作行为的一种安全机制,因其具有良好的可扩展性,并且容易实现用户信息的集中管理而被广泛使用。AAA可以通过多种协议来实现,在实际应用中,最常使用RADIUS协议。
目的:
提供对用户进行认证、授权和计费等安全功能,防止非法用户登录设备,增强设备系统安全性
简单配置:
四、IPSec VPN
1、互联网安全协议(英语:Internet Protocol Security,缩写为IPsec),是一个协议包,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合)。
2、IPsec主要由以下协议组成:
一、认证头(AH),为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护;
二、封装安全载荷(ESP),提供机密性、数据源认证、无连接完整性、防重放和有限的传输流(traffic-flow)机密性;
三、安全关联(SA),提供算法和数据包,提供AH、ESP操作所需的参数。
3、封装方式(传输模式,隧道模式):
4、ipsec vpn配置:
5、简单命令:
五、GRE
1、通用路由封装(GRE: Generic Routing Encapsulation)是通用路由封装协议,可以对某些网络层协议的数据报进行封装,使这些被封装的数据报能够在IPv4网络中传输
用途(常用场景):
2、工作原理
3、简单配置: