目录
[1、基本ACL配置 编号范围:2000~2999](#1、基本ACL配置 编号范围:2000~2999)
[2、高级ACL配置 编号范围:3000~3999](#2、高级ACL配置 编号范围:3000~3999)
[1、Basic NAT:一对一,只换IP](#1、Basic NAT:一对一,只换IP)
[2、NAPT:多对一,IP 和 端口一起换,可以只设置一个公网IP](#2、NAPT:多对一,IP 和 端口一起换,可以只设置一个公网IP)使用场景
[3、Easy IP:适用于出接口地址无法预知的场合](#3、Easy IP:适用于出接口地址无法预知的场合)
[4、NAT Server (只有一条命令)](#4、NAT Server (只有一条命令))
一、ACL包过滤
使用访问控制列表实现包过滤
ACL包过滤是一种被广泛使用的网络安全技术,它使用ACL来实现数据识别,并决定是转发还是丢弃这些数据包。
网络安全的关键技术有哪些:
- 访问控制列表技术
- 网络地址转换技术
- 认证、授权和计费
- 交换机端口安全技术
- VPN虚拟私有网技术
- 端点准入防御技术
(1)ACL概述
ACL(Access Control List,访问控制列表)是用来实现数据包识别功能。
ACL可以应用于诸多方面:

ACL的类型包括:
- 基本ACL:只根据报文的源IP地址
- 高级ACL:需根据报文的源IP地址、目的IP地址、IP协议类型、端口等三、四层信息
- 二层ACL:根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息

(2)ACL配置
首先需要先理清配置ACL包过滤的相关问题:
- 需要使用何种ACL?
- ACL规则的动作是deny 还是permit?
- ACL规则中的反掩码应该是什么?
- ACL包过滤应该应用在路由器的哪个接口的哪个方向上?
包过滤功能默认开启,且系统默认的过滤方式是permit,及允许所有未匹配ACL规则的报文可以通过
配置包过滤的缺省动作为deny
[H3C] packet-filter default deny
1、基本ACL配置 编号范围:2000~2999
注意:ACL的通配符掩码是反掩码
[RTA]acl basic 2001
[RTA-acl-basic-2001] rule 0 deny source 1.1.1.1 0.0.0.0
通配符掩码 0.0.0.0,代表精确匹配,只认准 1.1.1.1 这一个 IP
整句话的意思:在基础 ACL 2001 里,创建 0 号规则:禁止源 IP 是 1.1.1.1 的所有数据包通行。
如果通配符掩码是0.0.0.255,说明匹配整个网段
如果通配掩码为255.255.255.255 意味着正常的掩码为全零,0.0.0.0可以匹配这个网段中所有IP
ACL 默认最后隐含一条 rule permit any(没被拒绝的全都放行)
注意:配置好基本ACL后,要在RTA的接口上应用ACL才能确保ACL生效
[RTA-GigabitEthernet0/1] packet-filter 2001 outbound
2、高级ACL配置 编号范围:3000~3999
例如:在路由器上实施高级ACL来禁止从PCA到网络192.168.2.0/24的FTP数据流(TCP),但是允许ping(ICMP)
[RTA]acl advanced 3002
[RTA-acl-adv-3002] rule 0 permit icmp source 1.1.1.1 0 destionation 3.3.3.0 0.0.0.255
[RTA-acl-adv-3002] rule 5 deny tcp source 1.1.1.1 0 destination 3.3.3.0 0.0.0.255 destination-port eq ftp
最后别忘在相应接口上应用
[RTA-GigabitEthernet0/0] packet-filter 3002 inbound
3、查看ACL包过滤与调试
display acl acl-number|all
查看包过滤的统计信息
display packet-filter statistics { interface [ interface-type interface-number ] { inbound | outbound } { acl-number | name acl-name } }
4、ACL规则的匹配顺序

- config:按rule定义的先后顺序来
- auto:按rule编号从小到大
5、在网络中的正确位置配置ACL包过滤
要求:尽可能在靠近数据源的路由器接口上配置ACL,以减少不必要的流量转发

结论:Basic ACL尽量靠近目标IP;高级ACL尽量靠近源IP


二、NAT技术
网络迅速发展,IPv4地址不够使用,为了解决IPv4地址短缺的问题 ,并提高安全性,IETF提出了NAT解决方案。
NAT技术主要作用:是将私有地址转换成公有地址
注意:私有地址在Internet上无法路由,如果采用私有地址的网络需要访问Internet,必须在出口处部署NAT设备
1、Basic NAT:一对一,只换IP
配置Basic NAT的步骤:
(1)配置ACL
- 确定哪些数据包的地址可以被转换
- 被ACL允许(permit)的报文将被进行NAT转换,被拒绝(deny)的报文将不会被转换
(2)配置地址池
- nat address-group group-number
- address start-address end-address
(3)进接口配置地址转换
nat outbound acl-number address-group group-number no-pat

2、NAPT:多对一,IP 和 端口一起换,可以只设置一个公网IP
NAPT采用端口号 更能提高公网IP的利用效率,适用于私网作为客户端访问公网服务器 的场合。
即:内网多个私网 IP → 同一个公网 IP ,通过不同端口号区分不同主机。
使用场景
- 企业、校园、网吧、家庭:大量内网用户共享少量公网 IP 上网。


注意:没有no-pat
3、Easy IP,适用于出接口地址无法预知的场合
不用配置公网IP地址池,直接使用出接口的IP地址作为转换后的源地址,工作原理与普通NAPT相同,是NAPT的一种特例
一般用于拨号接入Internet 或动态获得IP地址的场合


注意:没有address-group
4、NAT Server (只有一条命令)
外网(global)主动访问内网(inside)

注意:用什么协议

interface GigabitEthernet 1/0/1
ip address 202.1.1.1 255.255.255.0
# 例1. 内网 Web 服务器:公网 80 → 内网 192.168.1.100:80
nat server protocol tcp global 202.1.1.1 80 inside 192.168.1.100 80
# 例2. 内网 FTP 服务器:公网 21 → 内网 192.168.1.101:21
nat server protocol tcp global 202.1.1.1 21 inside 192.168.1.101 21
# 例3. 也可以用域名/别名(www、ftp)
nat server protocol tcp global 202.1.1.1 www inside 192.168.1.100 www
NAT的信息显示和调试
1、显示地址转换信息
<H3C> display nat { address-group group-number | all | outbound port-block-group | server | statistics | session }
三、广域网基础
局域网主要完成工作站、终端、服务器等在较小物理范围内的互联,只能解决局部的资源共享
广域网协议需要适应多变的链路类型,并提供一定的安全特性,PPP支持同异步线路 ,能够提供验证,并且易于扩展。
广域网的作用:在相距遥远的局域网之间建立连接性

一、什么是HDLC?
面向比特,透明传输,不支持验证, 标准HDLC不支持多协议,用于点到点的同步链路
HDLC一般用于广域网中点对点专线连接,是一种比较常用和简单的协议
注意:HDLC:不支持 IP 地址自动协商,两端接口必须手动配置静态 IP

HDLC状态检测
- HDLC设备以轮询时间 间隔为周期,向链路上发送Keepalive消息
- 5个周期内无法收到对方发出的Keepalive消息,HDLC设备就认为链路不可用
- 同一链路两端设备的轮询时间间隔应设为相同的值
HDLC的配置
# 在RTA上配置广域网接口S1/0封装HDLC协议
[RTA-Serial1/0]link-protocol hdlc
# 更改HDLC的Keepalive轮询时间间隔为20(默认是10s)
[RTA-Serial1/0]timer-hold 20
二、PPP协议
- PPP协议支持同步和异步线路
- PPP协议支持验证和地址协商
为什么要用PPP?
广域网协议需要适应多变的网络类型,HDLC只支持同步串行链路 ,并且不支持验证。
而PPP支持同异步线路 ,能够提供验证,易于扩展。

PPP :自带的IPCP 协商协议,可实现一端分配 IP、对端自动获取 IP


PPP的两种验证方式------PAP和CHAP



PPP基本配置
1、设置接口报文的封装PPP
[H3C-Serial1/0] link-protocol ppp
2、设置验证类型
[H3C-Serial1/0] ppp authentication-mode pap | chap
3、设置用户名、密码、服务类型
[H3C] local-user user-name class network
[H3C-luser-network-name] password simple password
[H3C-luser-network-name] service-type ppp
配置PAP验证

配置CHAP验证

