华为数通--NAT、ACL、IPSec

NAT(网络地址转换）
1.1静态NAT转换
1.2NAT服务器
1.3动态NAT
1.4easy IP （PAT，端口和地址转换)
ACL
规则
高级ACL
IPSEC VPN
.1 路由最重要！

NAT

(网络地址转换）
不要依赖ping来验证，地址是否成功的做了转换

1.1静态NAT转换

• 私有地址和公有地址一对一的转换，并不常用。整个的唯一的公网地址全部被占用 只能转换成同一网段的另一个地址
• 不能和拨号接口ip相同发.

nat  static  global 202.100.1.251   inside  10.1.1.250  netmask
255.255.255.255  //整个ip协议全部做了转换

1.2NAT服务器

• nat server （转换某个特定协议或端口，用于把服务器的某种应用映射到公网） 能被内网访问也能被外网访问

int  g/0/0
ip add 。。。
nat  server  protocol  tcp  global  202.10.1.1  80 www inside  192.167.1.11 8080
                                 // 必须是相近的地址

display  nat  session  protocol  tcp //查看nat状态  
display  tcp status   //查看tcp的状态
display   users //查看哪一个用户访问到设备

#测试
net  202.100.1.251 2323 //在外网访问公网地址的对外公布端口

1.3动态NAT

• 没有端口转换

nat  address-group  1   200.1.1.1   200.1.1.200 //地址池
//必须要有路由表，不然数据包就会被丢弃

• NAPT：多对一的转换，多个私有使用一个公有

1.4easy IP

（PAT，端口和地址转换)
enty nat 转换表

• 定义一个acl，其作用是定义那些主机可以被转换，只有转换的主机才可以访问互联网，不被定义的不能访问，然后在出接口上应用easy ip
• 作用：把公网地址和端口的复用
• 流量 traffic data forwarding 数据转发层
• 路由 控制层面、决策层面
• 一个报文的源目ip不做变化，源目mac（如果跨网络）会重新封装

ACL 2000
description nat //描述  用于nat
rule  5  permit  source  192.167.1.0 0.0.0.255  //配置范围
//规则  序列号  允许 ip源 范围
rule  10  permit  source  192.167.1.250 0  //0是关键字，只允许一个
q
int s/0/0/0
nat  outbound  2000 //出接口下应用easy  ip
#
#验证
display nat  outbound 
dis  acl  all
ping 。。。。 //通了不一定成功

• nat和ACL和密切关联的
• 名称 静态nat nat server 动态server 动态nat

ACL

访问控制列表ACL（Access Control List）可以定义一系列不同的规则，设备根据这些规则对数据包进行分类，并针对不同类型的报文进行不同的处理，从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。

很多应用
a、对流量的应用
b、对路由表的应用

• 基本acl （标准)
• 高级acl (扩展）

二层acl (端口）： 二层帧的字段

规则
源：只能匹配源，没有目的也有没port

source ：来源
traffic-filter：流量过滤
outbound：出站、出外地的
inbound：入站、回内地的

#基本ACL
ACL 2000
rule  deny  source  192.168.1.0  0.0.0.255 
                        前缀         通配符（可以不连续，本质就是范围） 
int  g/0/0
traffic-filter  outbound  ACL  2000 //在流量的出接口设置ACL2000   

• mask

  • 0 ：hit match 不允许变化
  • 1：ignore 忽略，无所谓，任意变化

• 通配符掩码

  • 指一个范围，匹配奇偶

• 10.1.1.0 0 //就代表他

• 华为的acl在对流量进行匹配的时候，最后一行隐含允许所有流量通过（思科：最后一行隐含拒绝所有流量。deny any）

acl 2000
...
acl  2001
rule  2001  permit  // 默认允许了所有

检查：

display traffic-filter  applied-record //查看ACl应用在哪个接口

高级ACL

#基本ACL
[R1]acl 2000
[R1-acl-basic-2000]rule deny source 10.1.1.1 0
[R1-acl-basic-2000]q
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

#扩展ACL
[R1]acl 3000
[R1-acl-adv-3000]rule deny ip source 10.1.1.1 0 destination 20.1.1.2
0  //            规则  拒绝  ip  源   地址        目的       地址
[R1-acl-adv-3000]q
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
[R1-GigabitEthernet0/0/0]q

配置时发生的问题：
在配置完基础ACL后，想清除掉配置做扩展ACL，已经用undo ACL 2000，还是没有去除掉

#第一种方法
第一步
undo  ACL 2000

第二步
[r1]reset traffic-filter statistics interface g0/0/1 outbound  //去掉出接口上出站的流量过滤

第三步
ping   20.1.1.2
#r1
int g/0/0/1
display th 

#第二种方法
ACL 2000
rule permit  //允许所有

IPSEC VPN

IPSec（Internet Protocol Security）作为一种开放标准的安全框架结构，可以用来保证IP数据报文在网络上传输的机密性、完整性和防重放。

LAN2LAN IPSEC VPN
基本的模式：

• 隧道模式
• 传输模式

IPSec VPN体系结构主要由AH（Authentication Header）、ESP（Encapsulating Security Payload）和IKE（Internet Key Exchange）协议套件组成。

AH协议：主要提供的功能有数据源验证、数据完整性校验和防报文重放功能。然而，AH并不加密所保护的数据报。
ESP协议：提供AH协议的所有功能外（但其数据完整性校验不包括IP头），还可提供对IP报文的加密功能。
IKE协议：用于自动协商AH和ESP所使用的密码算法，提供密钥。

配置IPSec V-P-N：

• 第一步：检查。

  • 需要检查报文发送方和接收方之间的网络层可达性，确保双方只有建立IPSec VPN隧道才能进行IPSec通信。

• 第二步：定义数据流。

  • 因为部分流量无需满足完整性和机密性要求，所以需要对流量进行过滤，选择出需要进行IPSec处理的兴趣流。可以通过配置ACL来定义和区分不同的数据流。

• 第三步是配置IPSec安全提议。

  • IPSec提议定义了保护数据流所用的安全协议、认证算法、加密算法和封装模式。安全协议包括AH和ESP，两者可以单独使用或一起使用。AH支持MD5和SHA-1认证算法；ESP支持两种认证算法（MD5和SHA-1）和三种加密算法（DES、3DES和AES）。为了能够正常传输数据流，安全隧道两端的对等体必须使用相同的安全协议、认证算法、加密算法和封装模式。如果要在两个安全网关之间建立IPSec隧道，建议将IPSec封装模式设置为隧道模式，以便隐藏通信使用的实际源IP地址和目的IP地址。

• 第四步是配置IPSec安全策略。

  • IPSec策略中会应用IPSec提议中定义的安全协议、认证算法、加密算法和封装模式。每一个IPSec安全策略都使用唯一的名称和序号来标识。IPSec策略可分成两类：手工建立SA的策略和IKE协商建立SA的策略。

• 第五步是在一个接口上应用IPSec安全策略。

.1 加解密点

路由最重要！

a、到达对端加解密点 （直连）
b、到达本端的通信点 （直连）
c、到达对端的通信点 （静态默认路由）

.2 IPSEC的SPD（ACL）、提议（protocol）和IPSEC 策略

rule 10  permit  ip  source  10.1.1.0  0.0.0.255  destination  10.1.2.0 0.0.0.255
ipsec  protocol   xxx //提议
esp  authentication-algorithm  shal  //提议内容，复制到对端通信点，保证一致，不会出错

配置

[RTA]ipsec  policy P1 10 manual //名字p1，手工定义，策略
[RTA-ipsec-policy-manual-P1-10]security acl 3001
[RTA-ipsec-policy-manual-P1-10]proposal tran1
[RTA-ipsec-policy-manual-P1-10]tunnel remote 20.1.1.2  //公网地址，隧道的对端地址
[RTA-ipsec-policy-manual-P1-10]tunnel local 20.1.1.1  //公网地址，隧道的本地地址
[RTA-ipsec-policy-manual-P1-10]sa spi outbound esp 54321 //入方向安全参考缩影
[RTA-ipsec-policy-manual-P1-10]sa spi inbound esp 12345   //出方向安全参考缩影
[RTA-ipsec-policy-manual-P1-10]sa string-key outbound esp simple huawei //用esp进行封装入方向的密码
[RTA-ipsec-policy-manual-P1-10]sa string-key inbound esp simple huawei  //用esp进行封装出方向的密码

int  dial 1
ipsec  policy  xxx-  //接口应用

验证

dis  ipsec  sa //看到所有的策略，可用于排错
dis  ipsec  props //查看配置
dis  ipsec  sta  esp  //查看ipsec的状态

往期内容:

• 深入理解MPLS，和你一起详谈MPLS标签和动作！）
• 【计算机网络】-边界网关协议(BGP)
• 什么是组播?让我们一起解密组播协议（IGMP、PIM）
• HCIE面试题：MPLS网络对路由做出汇总后会有什么问题？

---

本文作者： 肉肉
版权声明： 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明出处！