华为数通--NAT、ACL、IPSec

news2024/11/14 3:25:46

NAT\ACL\IPSEC VPN

  • NAT
    • 1.1静态NAT转换
    • 1.2NAT服务器
    • 1.3动态NAT
    • 1.4easy IP
  • ACL
    • 高级ACL
  • IPSEC VPN
    • 配置IPSec V-P-N:
    • .1 加解密点
    • .2 IPSEC的SPD(ACL)、提议(protocol)和IPSEC 策略

NAT(网络地址转换)
1.1静态NAT转换
1.2NAT服务器
1.3动态NAT
1.4easy IP (PAT,端口和地址转换)
ACL
规则
高级ACL
IPSEC VPN
.1 路由最重要!

NAT

(网络地址转换)
不要依赖ping来验证,地址是否成功的做了转换

1.1静态NAT转换

  • 私有地址和公有地址一对一的转换,并不常用。整个的唯一的公网地址全部被占用 只能转换成同一网段的另一个地址
  • 不能和拨号接口ip相同发.
nat  static  global 202.100.1.251   inside  10.1.1.250  netmask
255.255.255.255  //整个ip协议全部做了转换

1.2NAT服务器

  • nat server (转换某个特定协议或端口,用于把服务器的某种应用映射到公网) 能被内网访问也能被外网访问
int  g/0/0
ip add 。。。
nat  server  protocol  tcp  global  202.10.1.1  80 www inside  192.167.1.11 8080
                                 // 必须是相近的地址
display  nat  session  protocol  tcp //查看nat状态  
display  tcp status   //查看tcp的状态
display   users //查看哪一个用户访问到设备
#测试
net  202.100.1.251 2323 //在外网访问公网地址的对外公布端口

1.3动态NAT

  • 没有端口转换
nat  address-group  1   200.1.1.1   200.1.1.200 //地址池
//必须要有路由表,不然数据包就会被丢弃
  • NAPT:多对一的转换,多个私有使用一个公有

1.4easy IP

(PAT,端口和地址转换)
enty nat 转换表

  • 定义一个acl,其作用是定义那些主机可以被转换,只有转换的主机才可以访问互联网,不被定义的不能访问,然后在出接口上应用easy ip
  • 作用:把公网地址和端口的复用
  • 流量 traffic data forwarding 数据转发层
  • 路由 控制层面、决策层面
  • 一个报文的源目ip不做变化,源目mac(如果跨网络)会重新封装
ACL 2000
description nat //描述  用于nat
rule  5  permit  source  192.167.1.0 0.0.0.255  //配置范围
//规则  序列号  允许 ip源 范围
rule  10  permit  source  192.167.1.250 0  //0是关键字,只允许一个
q
int s/0/0/0
nat  outbound  2000 //出接口下应用easy  ip
#
#验证
display nat  outbound 
dis  acl  all
ping 。。。。 //通了不一定成功
  • nat和ACL和密切关联的
  • 名称 静态nat nat server 动态server 动态nat

ACL

访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。

很多应用
a、对流量的应用
b、对路由表的应用

  • 基本acl (标准)
  • 高级acl (扩展)

二层acl (端口): 二层帧的字段

规则
源:只能匹配源,没有目的也有没port

source :来源
traffic-filter:流量过滤
outbound:出站、出外地的
inbound:入站、回内地的

#基本ACL
ACL 2000
rule  deny  source  192.168.1.0  0.0.0.255 
                        前缀         通配符(可以不连续,本质就是范围) 
int  g/0/0
traffic-filter  outbound  ACL  2000 //在流量的出接口设置ACL2000   
  • mask

    • 0 :hit match 不允许变化
    • 1:ignore 忽略,无所谓,任意变化
  • 通配符掩码

    • 指一个范围,匹配奇偶
  • 10.1.1.0 0 //就代表他

  • 华为的acl在对流量进行匹配的时候,最后一行隐含允许所有流量通过(思科:最后一行隐含拒绝所有流量。deny any)

acl 2000
...
acl  2001
rule  2001  permit  // 默认允许了所有

检查:

display traffic-filter  applied-record //查看ACl应用在哪个接口

高级ACL

ACL实验

#基本ACL
[R1]acl 2000
[R1-acl-basic-2000]rule deny source 10.1.1.1 0
[R1-acl-basic-2000]q
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

#扩展ACL
[R1]acl 3000
[R1-acl-adv-3000]rule deny ip source 10.1.1.1 0 destination 20.1.1.2
0  //            规则  拒绝  ip  源   地址        目的       地址
[R1-acl-adv-3000]q
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
[R1-GigabitEthernet0/0/0]q

配置时发生的问题:
在配置完基础ACL后,想清除掉配置做扩展ACL,已经用undo ACL 2000,还是没有去除掉

#第一种方法
第一步
undo  ACL 2000

第二步
[r1]reset traffic-filter statistics interface g0/0/1 outbound  //去掉出接口上出站的流量过滤

第三步
ping   20.1.1.2
#r1
int g/0/0/1
display th 

#第二种方法
ACL 2000
rule permit  //允许所有

IPSEC VPN

IPSec(Internet Protocol Security)作为一种开放标准的安全框架结构,可以用来保证IP数据报文在网络上传输的机密性、完整性和防重放。

LAN2LAN IPSEC VPN
基本的模式:

  • 隧道模式
  • 传输模式

IPSec VPN体系结构主要由AH(Authentication Header)、ESP(Encapsulating Security Payload)和IKE(Internet Key Exchange)协议套件组成。

AH协议:主要提供的功能有数据源验证、数据完整性校验和防报文重放功能。然而,AH并不加密所保护的数据报。
ESP协议:提供AH协议的所有功能外(但其数据完整性校验不包括IP头),还可提供对IP报文的加密功能。
IKE协议:用于自动协商AH和ESP所使用的密码算法,提供密钥。

配置IPSec V-P-N:

  • 第一步:检查。

    • 需要检查报文发送方和接收方之间的网络层可达性,确保双方只有建立IPSec VPN隧道才能进行IPSec通信。
  • 第二步:定义数据流。

    • 因为部分流量无需满足完整性和机密性要求,所以需要对流量进行过滤,选择出需要进行IPSec处理的兴趣流。可以通过配置ACL来定义和区分不同的数据流。
  • 第三步是配置IPSec安全提议。

    • IPSec提议定义了保护数据流所用的安全协议、认证算法、加密算法和封装模式。安全协议包括AH和ESP,两者可以单独使用或一起使用。AH支持MD5和SHA-1认证算法;ESP支持两种认证算法(MD5和SHA-1)和三种加密算法(DES、3DES和AES)。为了能够正常传输数据流,安全隧道两端的对等体必须使用相同的安全协议、认证算法、加密算法和封装模式。如果要在两个安全网关之间建立IPSec隧道,建议将IPSec封装模式设置为隧道模式,以便隐藏通信使用的实际源IP地址和目的IP地址。
  • 第四步是配置IPSec安全策略。

    • IPSec策略中会应用IPSec提议中定义的安全协议、认证算法、加密算法和封装模式。每一个IPSec安全策略都使用唯一的名称和序号来标识。IPSec策略可分成两类:手工建立SA的策略和IKE协商建立SA的策略。
  • 第五步是在一个接口上应用IPSec安全策略。

.1 加解密点

路由最重要!

a、到达对端加解密点 (直连)
b、到达本端的通信点 (直连)
c、到达对端的通信点 (静态默认路由)

.2 IPSEC的SPD(ACL)、提议(protocol)和IPSEC 策略

rule 10  permit  ip  source  10.1.1.0  0.0.0.255  destination  10.1.2.0 0.0.0.255
ipsec  protocol   xxx //提议
esp  authentication-algorithm  shal  //提议内容,复制到对端通信点,保证一致,不会出错

配置

[RTA]ipsec  policy P1 10 manual //名字p1,手工定义,策略
[RTA-ipsec-policy-manual-P1-10]security acl 3001
[RTA-ipsec-policy-manual-P1-10]proposal tran1
[RTA-ipsec-policy-manual-P1-10]tunnel remote 20.1.1.2  //公网地址,隧道的对端地址
[RTA-ipsec-policy-manual-P1-10]tunnel local 20.1.1.1  //公网地址,隧道的本地地址
[RTA-ipsec-policy-manual-P1-10]sa spi outbound esp 54321 //入方向安全参考缩影
[RTA-ipsec-policy-manual-P1-10]sa spi inbound esp 12345   //出方向安全参考缩影
[RTA-ipsec-policy-manual-P1-10]sa string-key outbound esp simple huawei //用esp进行封装入方向的密码
[RTA-ipsec-policy-manual-P1-10]sa string-key inbound esp simple huawei  //用esp进行封装出方向的密码

int  dial 1
ipsec  policy  xxx-vpn  //接口应用

验证

dis  ipsec  sa //看到所有的策略,可用于排错
dis  ipsec  props //查看配置
dis  ipsec  sta  esp  //查看ipsec的状态

往期内容:

  • 深入理解MPLS,和你一起详谈MPLS标签和动作!)
  • 【计算机网络】-边界网关协议(BGP)
  • 什么是组播?让我们一起解密组播协议(IGMP、PIM)
  • HCIE面试题:MPLS网络对路由做出汇总后会有什么问题?

本文作者: 肉肉
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明出处!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/171347.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

设计模式 (一) 单例模式 Java

目录 一、饿汉式单例模式 二、懒汉式单例模式 三、最完美的单例模式写法 单例模式一般分为饿汉式与懒汉式(类似于懒加载)。饿汉式会在类加载时即刻创建实例对象,线程安全;懒汉式由于是在调用时才创建,所以需要考虑线…

vue3中的v-for

一.列表渲染v-for 真实开发中,往往会从服务器中拿到一组数据,并且需要对其进行渲染,这个时候可以使用v-for完成。 1.v-for的基本使用 1)基本格式:“item in 数组” 数组通常是来自data或者prop,也可以是…

Swift(2)

因为要在31号之前用swift写一个系统,我不得不把我的电脑系统更新了一下,之后便下载了这个, 做了一些简单的测试,部分软件还是可以打开的。 这个软件用着的确比那个网站用着要舒服很多。 目录 问号 感叹号 ​编辑if else ​编…

Ubuntu18.04下linuxdeployqt下载安装

开发环境:Ubuntu18.04QT5.14.2 使用需求:使用QT开发完成后的项目需要使用linuxdeployqt工具打包生成相关文件 下载安装: 1.使用火狐浏览器打开linuxdeployqt下载地址: https://github.com/probonopd/linuxdeployqt/releases h…

Diffusion Models, CLIP与 DALLE 的学习与感悟

整合了一下关于Diffusion Models, CLIP与 DALLE 的介绍,应用,以及后续的拓展路线。 (Generative) Diffusion Models 还是先横向对一下最近比较火的几个生成模型 GAN、VAE、Flow-based Models、Diffusion Models。 在这里,可以将Diffusion…

SAP FICO 批量成本估算

批量成本估算 【前言】 单个物料的成本估算我们使用事务代码CK11N,标记/发布使用事务代码CK24,那么若有大批量新建的物料需要做成本估算,怎么办? 这里首先需要检查“成本核算变式”。 后台路径:SPRO→控制→产品成…

SpringBoot+Vue项目图书个性化推荐系统

文末获取源码 开发语言:Java 框架:springboot JDK版本:JDK1.8 服务器:tomcat7 数据库:mysql 5.7/8.0 数据库工具:Navicat11 开发软件:eclipse/myeclipse/idea Maven包:Maven3.3.9 浏…

Java设计模式-观察者模式Observer

介绍 观察者模式是行为设计模式之一。当您对对象的状态感兴趣并希望在任何更改时得到通知时,观察者设计模式非常有用。在观察者模式中,观察另一个对象状态的对象被称为观察者,而被观察的对象则被称为主体。 优点 观察者模式设计后&#xff0…

手撕RTSP协议中 从零开始学习RTSP协议 持续更新中....

RTSP协议在安防监控 摄像头有着广泛的运用 ,基本上只要是做摄像头 是必须支持的协议。 我个人理解 RTSP基本上算是一个局域网的协议,广域网不太适合因为rtsp传输的视频码率 分辨率 都是比较高的 所有注定了他只适合局域网不适合互联网。 下午就要回家…

Node.js+Vue.js全栈开发王者荣耀手机端官网和管理后台(二) || 后台及接口完结篇

文章目录Node.jsVue.js全栈开发王者荣耀手机端官网和管理后台(二)通用CRUD接口装备(物品)管理图片上传英雄管理英雄编辑【模型字段】英雄编辑【编辑表单】技能编辑【UI】技能编辑【交互】文章管理富文本编辑器(quill)富文本编辑器…

23种设计模式(八)——工厂方法模式【对象创建】

文章目录 意图什么时候使用工厂方法真实世界类比工厂方法模式的实现工厂方法模式的优缺点亦称: 虚拟构造函数、Virtual Constructor、Factory Method 意图 在工厂方法模式中,工厂父类负责定义创建产品对象的公共接口,而工厂子类则负责生成具体的产品对象,这样做的目的是将…

大数据-hadoop-MapReduce原理详解

MapReduce[1]是Google提出的一个软件架构,用于大规模数据集的并行运算。概念“Map(映射)”和“Reduce(归约)”,及他们的主要思想,都是从函数式编程语言借鉴的,还有从矢量编程语言借来…

【基于crul库编写源码实现上传文件到http服务器】

基于crul库编写源码实现上传文件到http服务器编译crul库(可以去我下载资源里面找)用postman生成代码postman生成的代码对应的http服务器的设置_msnap_send_to_httpserver函数有http通过json发送jpeg文件、以及上传ftp服务器、发邮件的实例编译crul库(可以去我下载资源里面找) …

MySQL数据库及数据表相关操作

一,前言1.典型数据库数据库圈子中典型代表:MySQLOracleSQL Server(一般在学校学习的时候用到的是这个数据库)Oracle是世界上公认的最好的数据库,但是我们现在所学习以及以后上班中大部分时候用到的数据库是MySQL,因为MySQL是开源免费的(任何人都可以阅读…

86.编码器-解码器架构以及代码实现

1. 重新考察CNN 2. 重新考察RNN 3. 编码器-解码器架构 4. 总结 使用编码器-解码器架构的模型,编码器负责表示输入,解码器负责输出 5. 代码实现 5.1 编码器 在编码器接口中,我们只指定长度可变的序列作为编码器的输入X。 任何继承这个Enco…

数据结构 - 学习笔记 - 红黑树前传——234树

数据结构 - 学习笔记 - 红黑树前传——234树简介结点类型与红黑树对应关系插入逻辑插入步骤演示2结点插入3结点插入(红黑树旋转)共对应6种红黑树情形有4种情形需要再平衡4结点插入(红黑树变色)234树转红黑树触发分裂有4种情形需要…

234. 回文链表

1、题目描述 额外要求:你能否用 O(n) 时间复杂度和 O(1) 空间复杂度解决此题? 2、题解 2.1 解题思路1 使用额外的栈空间,先将链表中所有的元素依次压入栈中,得到链表的逆序,然后将栈中的元素依次弹出和链表中的元素从…

C++关于初始化列表的细节(必须/不能使用初始化列表的情况、初始化列表的效率分析)

必须使用初始化列表初始化的变量 const修饰的成员变量。 class A { public:A() { a 1; }int a; };构造函数内使用a 1初始化变量a,但这本质上是一种赋值,而我们都知道,const类型的变量是不允许赋值的。 没有默认构造函数的成员变量 所有变量…

百度安全在线查询提示风险原因分析与解决思路

很多站长看到自己的网站被百度提示:“百度网址安全中心提醒您:该页面可能存在违法信息”,这样的提示,都会惊讶自己网站昨天还好好的,怎么今天就提示这样的信息呢?在弄清楚这个问题之前,我们要知…

实时频谱仪的外部I、Q输出端口的同步扫描介绍

实时频谱分析仪与外部GPIO,I、Q输出端口等集成在一起。外部GPIO由外部触发功能组成,通过使用外部硬件和/或多个RTSA设备,可以实现同步扫描设置,以自动进行频谱扫描和捕获。同时,I、Q输出端口有助于与外部高速数字化仪集…