本文所写内容为ACL,AAA,NAT,FTP,DHCP,DNS,HTTP,Telnet,NTP。内容相对较多且杂乱,遂将其整合为一篇。以供后续查看。
常见协议端口号
TCP协议端口:
21:FTP文件传输协议
22:SSH安全外壳协议
23:Telnet远程终端协议
25:SMTP简单邮件传输协议
80:HTTP超文本传输协议
110:POP3邮局协议
143:IMAP4互联网邮件访问协议
443:HTTPS安全超文本传输协议
UDP协议端口:
53:DNS域名系统
67/68:DHCP动态主机配置协议
69:TFTP简单文件传输协议
123:NTP网络时间协议
161:SNMP简单网络管理协议
500:IPSec Internet协议安全性
514:Syslog系统日志协议
常见协议号
1对应ICMP协议
2对应IGMP协议
6对应TCP协议(包含:FTP/SSH/Telnet/SMTP/DNS/HTTP/POP3/HTTPS/RDP)
17对应UDP协议(包含:SNMP/DHCP/TFTP/DNS/RIP)
41对应IPv6
89对应OSPF协议
ACL的分类与标识
ACL的rule-id缺省情况下是以5进行递增,如写入第一条时未写明为顺序时,默认为5,第二条未写明为顺序时,默认为10,rule-id顺序将影响访问控制权限。ACL作用于接口,写ACL时需注意流量流向,应以流量来源为参照物。如防止某设备流量进入路由器,可在流量inbound的直连接口中配置deny。如流量在路由器中,需在某个端口中做限制,则需要在此端口中outbound配置deny。而不是配置inbound。
ACL匹配原则
1)由严到松:如在同一ACL中,需将小范围或需要严格管控的rule编码靠前排列;
2)逐条匹配:如流量进入端口并此端口配置ACL。此流量则会逐一匹配ACL,直至匹配完成。如匹配条件击中则进行管控;如未击中则正常放行。
基本ACL
ACL取值范围:2000-2999,仅使用报文的源IP地址,分片信息和生效时间端信息来定义规则。
基本ACL命令:
[Huawei] acl [ number ] /*使用编号(2000~2999)创建一个数字型的基本ACL,并进入基本ACL视图。
[Huawei-acl-basic-2000] rule [ rule-id ] { deny | permit } [ source { source-address source-wildcard | any } | time-range time-name ] /*在基本ACL视图下,通过此命令来配置基本ACL的规则。
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 /*设置完ACL后进入路由器中的出接口或入接口进行调用,如控制出去流量,则使用outbound,如控制进入流量则使用inbound。
高级ACL
ACL取值范围:3000-3999,可使用IPV4报文的源IP地址,目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口号、UDP源/目的端口号、生效时间段来定义规则。
高级ACL命令:
[Huawei] acl [ number ] /*使用编号(3000~3999)创建一个数字型的高级ACL,并进入基本ACL视图。
[Huawei-acl-adv-3000] rule [ rule-id ] { deny | permit } ip [ destination { destination-address destination-wildcard | any } | source { source-address source-wildcard | any } | time-range time-name | [ dscp dscp | [ tos tos | precedence precedence ] ] ]
上述写的较为抽象,以下为配置高级ACL的详细过程:
例子1:
[AR1-acl-adv-3001]rule deny tcp source 192.168.1.1 0 destination 172.16.10.10 destination-port eq 21(阻止192.168.1.1的访问IP地址为172.16.10.10端口为21的TCP报文)
例子2:
[Router-acl-adv-3001] rule 10 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255(阻止10.1.1.0网段的访问IP地址10.1.2.0网段)
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 3001 /*设置完ACL后进入路由器中的出接口或入接口进行调用,如控制出去流量,则使用outbound,如控制进入流量则使用inbound。
二层ACL
编码4000-4999,使用报文的以太网帧头信息来定义规则,如根据源MAC地址,目的MAC地址二层协议类型等。
用户自定义ACLL:编码5000-5999,使用报文头偏移位置,字符串掩码和用户自定义字符串来定义。
用户ACL
6000-6999,既可使用IPV4报文的源IP地址或源UCL组,也可使用目的IP地址或目的UCL组,IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口来定义。
基于ACL标识方法分类
数字型:就是指定一个编码为它的ACL类型。
命名型:设置一个名字后,再定义他是哪种类型的ACL,方便直观查看ACL作用于哪。
AAA
AAA是Authentication认证,Authorization授权和Accounting 计费的简称。是网络安全的一种管理机制。提供了认证、授权和计费三种安全功能。
AAA常见架构:AAA常见网络架构中包括用户、NAS和AAA服务器。
NAS负责收集和管理用户的访问请求,在NAS上会创建多个域来管理用户。不同的域可以关联不同的AAA方案。AAA方案包括认证方案,授权方案和计费方案。
当收到用户接入网络的请求时,NAS会根据用户名来判断用户所在域,根据该域对应的AAA方案对用户进行管控。
认证(Authentication)
AAA支持认证方式由:不认证,本地认证和远端认证。如在NAS上进行认证则为本地认证,由NAS到AAA再返回到用户则是远端认证。
授权(Authorization)
AAA支持授权方式有:不授权,本地授权和远端授权。如在NAS上进行认证则为本地授权,由NAS到AAA再返回到用户则是远端授权。
计费(Accounting)
AAA支持授权方式有:不计费,远端计费。
AAA实现协议-RADIUS
AAA可以用多种协议来实现,最常用的是RADIUS。
用户到NAS,可以有不同的协议,如802.1X,WEB,PPPOE,但NAS到AAA服务器用的协议为RADIUS.
AAA常见的应用场景
1)通过RADIUS提供上网用户的AAA。
2)对管理用户进行本地认证和授权。
NAT
静态NAT
每个私有地址都有一个与之对应且固定的共有地址,即私有地址和公有地址之间的关系是一对一映射。支持双向互访,私有地址访问Internet经过出口设备NAT转换时,会被转换成为对应的公有地址。同时,外部网络访问内部网络时,其报文中携带的公有地址也会被NAT设备转换为对应的私有地址。
配置命令
[Huawei-GigabitEthernet0/0/0]nat static global 202.100.1.253 inside 10.1.1.1 netmask 255.255.255.255 /*在路由器出接口中配置。将内部的IP地址10.1.1.1转换成为公网的IP地址202.100.1.253
动态NAT
动态NAT提出了地址池概念,所有公有地址组成地址池。当内部主机访问外部网络临时分配一个地址池未使用的地址,并将该地址标记为“In use”.该主机不在访问外部网络时回收分配地址,重新标记为“Not use”。需新建公网地址池,然后借助ACL进行控制。
配置命令:
[Huawei]nat address-group 1 100.1.1.3 100.1.1.7 /*创建NAT公网地址池,地址池编号为1,开始地址为100.1.1.3,结束地址为100.1.1.7,如只有一个公网地址100.1.1.3则写法为nat address-group 1 100.1.1.3 100.1.1.3
[Huawei]acl 2001
[Huawei-acl-basic-2001]rule permit source 10.1.1.0 0.0.0.255 /*此处为10.1.1.0网段的IP地址允许操作。
[Huawei-GigabitEthernet0/0/0]nat outbound 2001 address-group 1 no-pat /*在出接口配置,此处为出接口的ACL策略与公网地址池NAT
NAPT
动态NAT选择地址池中的地址进行地址转换时不会转换端口号。(即no-pat)公有地址与私有地址还是1:1的对应关系。
NAPT从地址池中选择地址进行地址转换时不仅转换IP地址,同时也会对端口号进行转换,从而实现公有地址与私有地址的1:n映射。需新建公网地址池,然后借助ACL进行控制。
[Huawei]nat address-group 1 100.1.1.3 100.1.1.7 /*创建NAT公网地址池,地址池编号为1,开始地址为100.1.1.3,结束地址为100.1.1.7,如只有一个公网地址100.1.1.3则写法为nat address-group 1 100.1.1.3 100.1.1.3
[Huawei]acl 2001
[Huawei-acl-basic-2001]rule permit source 10.1.1.0 0.0.0.255 /*此处为10.1.1.0网段的IP地址允许操作。
[Huawei-GigabitEthernet0/0/0]nat outbound 2001 address-group 1 /*在出接口配置,此处为出接口的ACL策略与公网地址池NAT。区别于动态NAT,NAPT去掉了后面的no-pat。
Easy IP
实现原理和NAPT相同,同时转换IP地址,传输层端口,区别在于Easy IP没有地址池的概念,使用接口地址作为NAT转换的公有地址。Easy IP适用于不具备固定公网IP地址的场景:如通过DHCP,PPPOE拨号获取地址的私有网络出口,可以直接使用获取到的动态地址进行转换。Easy IP需要借助于ACL进行控制。
配置命令
[Huawei]acl 2001
[Huawei-acl-basic-2001]rule premit source 10.1.1.100 0 /*定义一个基本ACL,定义10.1.1.100允许操作。
[Huawei-GigabitEthernet0/0/0]nat server protocol tcp global 202.100.1.253 4444 inside 10.1.1.1 telnet /*在路由器出接口中配置。公网用户访问的202.100.1.253:4444时将变成访问内部的IP地址10.1.1.1的23号端口。
[Huawei-GigabitEthernet0/0/0]nat outbound 2001 /*在接口配置Easy IP,调用ACL2001
NAT Server使用场景
NAT Server指定公有地址:端口与私有地址:端口的一对一映射关系,将内网服务器映射到公网,当私有网络中的服务器需要对公网服务时使用。外网主机主动访问公有地址:端口实现对内网服务器的访问。
配置命令
[Huawei-GigabitEthernet0/0/0]nat server protocol tcp global 202.100.1.253 4444 inside 10.1.1.1 telnet /*在路由器出接口中配置。公网用户访问的202.100.1.253:4444时将变成访问内部的IP地址10.1.1.1的23号端口。
此时外网用户需要telnet时需要执行以下命令:
<AR>telnet 202.100.1.253 4444
FTP
FTP采用典型的C/S架构,客户端域服务器端建立TCP连接后即可实现文件的上传,下载。
针对传输文件的类型不同,FTP可以采用的不同的传输模式:
ASCII模式:传输文本文件。
Binary(二进制)模式:非文本文件。
FTP传输过程(使用TCP协议)
主动模式(PORT)
1)由客户端向服务器端的TCP PORT 21 发起TCP三次握手,建立控制连接。
2)用户登录认证。
3)客户端通过FTP PORT 命令,通知服务器端自身开放端口:P(随机端口,大于1024)。
4)由于服务器端向客户端的TCP PORT P发起了三次握手,建立传输连接,其中服务器端的源端口为20。
5)开始传输。
被动模式(PASV)
1)由客户端向服务器端的TCP PORT 21发起TCP三次握手,建立控制连接。
2)用户登录认证。
3)客户端发送PASV命令。
4)服务器端通过Enter PASV命令告知客户端自身开放端口号N(随机端口,大于1024)
5)由于客户端向服务器端的TCP PORT N发起TCP三次握手,建立传输连接。
6)开始传输文件。
配置命令:
[Huawei]ftp [ ipv6 ] server enable
[Huawei]aaa
[Huawei-aaa]local-user user-name password irreversible-cipher password /*设置用户名密码
[Huawei-aaa]local-user user-name privilege level X /*设置用户级别,必须将用户级别配置在3级或者3级以上,否则FTP连接将无法成功
[Huawei-aaa]local-user user-name service-type ftp /*设置用户模式为访问FTP
[Huawei-aaa]local-user user-name ftp-directory directory /*可以访问的目录
客户端访问命令:
<Huawei>ftp 10.1.1.1
TFTP传输过程(使用UDP协议)
相对于FTP,TFTP的设计就是已传输小文件为目标,使用UDP进行传输(端口号69),无需认证,只能直接向服务器端请求某个文件或上传某个文件,无法查看服务器端的文件目录。(目前VRP设备只支持作为TFTP客户端)
<Huawei> tftp TFTP_Server-IP-address get filename /*VRP作为TFTP客户端下载文件
<Huawei> tftp TFTP_Server-IP-address put filename /*VRP作为TFTP客户端上传文件
DHCP工作原理
用户端发送DHCP Discover(广播):用于发现当前网络中的DHCP服务器。
DHCP发送:DHCP Offer(单播):携带分配给客户端的IP地址。
用户端发送DHCP Request(广播):告知服务器端自己将使用该IP地址。
DHCP发送DHCP ACK(单播):最终确认,告知客户端可以使用该IP地址。
DHCP租期更新
用户端发送DHCP Request(单播):向服务器端发送请求继续使用该IP地址,延长使用时间。
DHCP发送DHCP ACK(单播):告知客户端可以继续使用该IP地址,可使用的时间刷新到租期时长lease。最短时长为24小时。
如果在50%租期时客户端未得到原客户端的回应,则客户端在87.5%租期时会发送DHCP Request,任意一台DHCP服务器端都可以回应,该过程称之为重绑定。
[HUAWEI] DHCP enable
[HUAWEI] ip pool 1
[HUAWEI-ip-pool-1] network 192.168.10.0 mask 24 /*分配网段192.168.10.0/24
[HUAWEI-ip-pool-1] gateway-list 192.168.10.254 /*默认网关为192.168.10.254
[HUAWEI-ip-pool-1] dns-list 223.5.5.5 /*设置DNS,可以有两个。
[Huawei-ip-pool-1] lease { day day [ hour hour [ minute minute ] ] | unlimited } /*设置租期时间,缺省情况下,IP地址的租期为1天。
[HUAWEI-ip-pool-1] interface GigabitEthernet0/0/1 /*确保此接口配置为192.168.10.254,此接口将充当默认网关。
[HUAWEI-GigabitEthernet0/0/1] dhcp select global /*在此接口下打开DHCP的全局模式。
[Huawei-GigabitEthernet0/0/1]] dhcp server excluded-ip-address start-ip-address [ end-ip-address ] /*除去
某些IP不分配。可将DHCP的IP地址排除。
DNS
DNS是一个分布式系统,绝大多数的DNS服务器端的数据库不会拥有所有的域名记录。当客户端向一个DNS服务器端查询域名但该DNS端上没有该域名的记录时,此时会有两种继续查询的方式
递归查询:由DNS服务器向其他DNS服务器进行查询,将最终查询结果返回给DNS客户端。
迭代查询:DNS服务器告知NDS客户端其他DNS服务器地址,客户端自行向其他DNS服务器进行查询。
HTTP
WWW由三部分组成:在浏览器中显示文档内容的页面标记语言HTML(Hypertext Markup Language,超文本标记语言)、在网络上传输文档的协议HTTP、在网络上表明文档位置的URL。
Telnet
开启命令
[HUAWEI] telnet server enable
[HUAWEI] user-interface vty 0 4
[HUAWEI-ui-vty0-4] protocol inbound telnet /*指定VTY用户界面所支持的协议为Telnet
[HUAWEI-ui-vty0-4] authentication-mode aaa /*配置认证方式为AAA
[HUAWEI-ui-vty0-4] quit
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin123 password irreversible-cipher abcd@123 /*创建本地用户admin123,登录密码为abcd@123
[HUAWEI-aaa] local-user admin123 service-type telnet /*配置本地用户admin123的接入类型为Telnet方式
[HUAWEI-aaa] local-user admin123 privilege level 15 /*配置本地用户admin123的级别为15
NTP
NTP网络时间协议,是TCP/IP协议族里面的一个应用层协议。NTP用于一系列分布式时间服务器与客户端之间的时间同步。NTP的实现基于IP和UDP。NTP报文通过UDP 传输,端口号123。企业园区网络中很多场景需要所有设备保持时钟一致:网络管理,计费系统,多系统协同处理同一个复杂事情,备份服务器和客户端之间的增量备份,系统时间。
NTP网络结构
主时间服务器:通过线缆或无线电来直接同步到标准参考时钟,标准参考时钟通常是Radio Clock 或微信定位系统等。
二级时间服务器:通过网络中的主时间服务器或其他耳机服务器取得同步,耳机时间服务器通过NTP将时间信息传输到局域网内部的其他主机。
层数(startum):层数书对时钟同步情况的一个分级标准,代表了一个适时钟的精确度,取值范围为1-15,数值越小,精确度越高,1表示时钟精确度最高,15表示未同步。
本文由 yorickbao 创作,采用 知识共享署名4.0 国际许可协议进行许可。
本站文章除注明转载/出处外,均为本站原创或翻译,转载前请务必署名。