《網(wǎng)絡系統(tǒng)建設(shè)與運維》課件-第6章 網(wǎng)絡安全技術(shù)

第6章網(wǎng)絡安全技術(shù)學習目標理解訪問控制列表（ACL）的基本原理和基本作用。掌握訪問控制列表（ACL）的分類及其配置。理解網(wǎng)絡地址轉(zhuǎn)換（NAT）的基本知識。掌握網(wǎng)絡地址轉(zhuǎn)換（NAT）的分類及其配置。理解AAA認證的基本知識。掌握AAA的基本配置。網(wǎng)絡安全技術(shù)訪問控制列表網(wǎng)絡地址轉(zhuǎn)換NATAAA認證NAT的工作原理NAT的配置AAA認證的基本概念AAA認證服務器的配置ACL的基本原理基本ACL和高級ACLACL的典型應用一、ACL的基本原理1、ACL的基本概念

訪問控制列表ACL（AccessControlList）是由一系列規(guī)則組成的集合，ACL通過這些規(guī)則對報文進行分類，從而使設(shè)備可以對不同類報文進行不同的處理。

一個ACL通常由若干條“deny｜permit”語句組成，每條語句就是該ACL的一條規(guī)則，每條語句中的“deny｜permit”就是與這條規(guī)則相對應的處理動作。處理動作“permit”的含義是“允許”，處理動作“deny”的含義是“拒絕”。ACL是一種應用非常廣泛的網(wǎng)絡安全技術(shù)，配置了ACL的網(wǎng)絡設(shè)備的工作過程可以分為以下兩個步驟。（1）根據(jù)事先設(shè)定好的報文匹配規(guī)則對經(jīng)過該設(shè)備的報文進行匹配；（2）對匹配的報文執(zhí)行事先設(shè)定好的處理動作。一、ACL的基本原理2、ACL的規(guī)則ACL負責管理用戶配置的所有規(guī)則，并提供報文匹配規(guī)則的算法。ACL的規(guī)則管理的基本思想如下：①每個ACL作為一個規(guī)則組，一般可以包含多個規(guī)則。②ACL中的每一條規(guī)則通過規(guī)則ID（rule-id）來標識，規(guī)則ID可以自行設(shè)置，也可以由系統(tǒng)根據(jù)步長自動生成，即設(shè)備會在創(chuàng)建ACL的過程中自動為每一條規(guī)則分配一個ID。③默認情況下，ACL中的所有規(guī)則均按照規(guī)則ID從小到大的順序與規(guī)則進行匹配。④規(guī)則ID之間會留下一定的間隔。如果不指定規(guī)則ID時，具體間隔大小由“ACL的步長”來設(shè)定。一、ACL的基本原理3、ACL的規(guī)則匹配

配置了ACL的設(shè)備在接收到一個報文之后，會將該報文與ACL中的規(guī)則逐條進行匹配。如果不能匹配上當前這條規(guī)則，則會繼續(xù)嘗試去匹配下一條規(guī)則。一旦報文匹配上了某條規(guī)則，則設(shè)備會對該報文執(zhí)行這條規(guī)則中定義的處理動作（permit或deny），并且不再繼續(xù)嘗試與后續(xù)規(guī)則進行匹配。如果報文不能匹配上ACL的任何一條規(guī)則，則設(shè)備會對該報文執(zhí)行“permit”這個處理動作。一、ACL的基本原理4、ACL分類

根據(jù)ACL所具備的特性不同，我們可以將ACL分成不同的類型。分別是基本ACL、高級ACL、二層ACL、用戶自定義ACL，其中應用最為廣泛的是基本ACL和高級ACL。各種類型ACL的區(qū)別，如表所示。ACL類型編號范圍規(guī)則制訂的主要依據(jù)基本ACL2000～2999報文的源IP地址等信息。高級ACL3000～3999報文的源IP地址、目的IP地址、報文優(yōu)先級、IP承載的協(xié)議類型及特性等三、四層信息。二層ACL4000～4999報文的源MAC地址、目的MAC地址、802.1p優(yōu)先級、鏈路層協(xié)議類型等二層信息用戶自定義ACL5000～5999用戶自定義報文的偏移位置和偏移量、從報文中提取出相關(guān)內(nèi)容等信息二、基本ACL和高級ACL1、基本ACL的命令格式基本ACL只能基于IP報文的源IP地址、報文分片標記和時間段信息來定義規(guī)則。配置基本ACL規(guī)則的命令具有如下結(jié)構(gòu)：rule[rule-id]{permit|deny}[source{source-addresssource-wildcard｜any}|fragment|logging|time-rangetime-name]二、基本ACL和高級ACL2、案例6-1基本ACL的配置（1）案例背景與要求：某公司網(wǎng)絡包含了外來人員辦公區(qū)、項目部辦工區(qū)和財務部辦公區(qū)域。在外來人員辦公區(qū)中，有一臺專門供外來人員使用的計算機PC2，IP地址為/24，出于網(wǎng)絡安全方面的考慮，我們需要禁止財務部辦公區(qū)接收外來人員發(fā)送的IP報文。為了滿足這樣的網(wǎng)絡需求，我們可以在路由器R1上配置基本ACL。基本ACL可以根據(jù)源IP地址信息識別出外來辦公人員發(fā)出的IP報文，然后在GE0/0/3接口的出方向（Outbound方向）上拒絕放行這樣的IP報文。二、基本ACL和高級ACL基本ACL的配置示意圖如下。二、基本ACL和高級ACL（2）案例配置過程①配置路由器R1。首先，我們在路由器R1的系統(tǒng)視圖下，創(chuàng)建一個編號為2000的基本ACL。[R1]acl2000[R1-acl-basic-2000]二、基本ACL和高級ACL（2）案例配置過程②然后，在ACL2000的視圖下創(chuàng)建如下的規(guī)則。[R1-acl-basic-2000]ruledenysource[R1-acl-basic-2000]二、基本ACL和高級ACL（2）案例配置過程③最后，使用報文過濾技術(shù)中的traffic-filter命令將ACL2000應用在路由器R1的GE0/0/3接口的出方向上。[R1-acl-basic-2000]quit[R1]interfacegigabitethernet0/0/3[R1-GigabitEthernet0/0/3]traffic-filteroutboundacl2000[R1-GigabitEthernet0/0/3]二、基本ACL和高級ACL3、高級ACL的命令格式高級ACL可以根據(jù)IP報文的源IP地址、IP報文的目的IP地址、IP報文的協(xié)議字段的值、IP報文的優(yōu)先級的值、IP報文的長度值、TCP報文的源端口號、TCP報文的目的端口號、UDP報文的源端口號、UDP報文的目的端口號等信息來定義規(guī)則?；続CL的功能只是高級ACL的功能的一個子集，高級ACL可以比基本ACL定義出更精準、更復雜、更靈活的規(guī)則。下面是針對所有IP報文的一種簡化了的配置命令格式。rule[rule-id]{permit|deny}ip[destination{destination-addressdestination-wildcard|any}][source{source-addresssource-wildcard|any}]二、基本ACL和高級ACL4、案例6-2高級ACL的配置（1）案例背景與要求：本配置示例的網(wǎng)絡結(jié)構(gòu)與基本ACL的網(wǎng)絡結(jié)構(gòu)基本一樣，所不同的是，我們要求外來人員無法接收到來自財務部辦公區(qū)的IP報文B。在這種情況下，我們可以在路由器R1上配置高級ACL。高級ACL可以根據(jù)目的IP地址信息識別去往目的地為外來人員辦公區(qū)的IP報文，然后在GE0/0/3接口的入方向（Inbound方向）上拒絕放行這樣的IP報文。二、基本ACL和高級ACL高級ACL的配置示意圖如下。二、基本ACL和高級ACL（2）案例配置過程①置路由器R1。首先，我們在路由器R1的系統(tǒng)視圖下創(chuàng)建一個編號為3000的ACL。[R1]acl3000[R1-acl-adv-3000]二、基本ACL和高級ACL（2）案例配置過程②然后，在ACL3000的視圖下創(chuàng)建如下的規(guī)則。[R1-acl-adv-3000]ruledenyipdestination[R1-acl-adv-3000]二、基本ACL和高級ACL（2）案例配置過程③最后，使用報文過濾技術(shù)中的traffic-filter命令將ACL3000應用在路由器R1的GE0/0/3接口的入方向上。[R1-acl-adv-3000]quit[R1]interfacegigabitethernet0/0/3[R1-GigabitEthernet0/0/3]traffic-filterinboundacl3000[R1-GigabitEthernet0/0/3]

三、ACL的典型應用1、案例6-3基本ACL配置實例（1）案例背景與要求：Jan16公司有網(wǎng)管辦公區(qū)、市場部辦公區(qū)、項目部辦公區(qū)、財務部辦公區(qū)和服務器區(qū)。出于網(wǎng)絡安全方面的考慮，我們希望只有網(wǎng)管辦公區(qū)的PC1才能通過Telnet方式登錄到路由器R1上，其他區(qū)域的PC都不能通過Telnet方式登錄到路由器R1。公司基礎(chǔ)網(wǎng)絡拓撲如圖所示。

三、ACL的典型應用（2）案例配置思路①在路由器R1上創(chuàng)建基本ACL。②在制定基本ACL規(guī)則。③在路由器的VTY（VirtualTypeTerminal）上應用所配置的基本ACL。

三、ACL的典型應用（3）案例配置過程①在路由器R1上創(chuàng)建ACL。<Router>system-view[R1]acl2000[R1-acl-basic-2000]

三、ACL的典型應用（3）案例配置過程②配置路由器R1的允許規(guī)則和拒絕規(guī)則。[R1-acl-basic-2000]rulepermitsource0[R1-acl-basic-2000]ruledenysourceany

三、ACL的典型應用（3）案例配置過程③制定完路由器R1的允許規(guī)則和拒絕規(guī)則之后，我們可以使用displayacl2000命令來查看ACL2000的配置信息。[R1-acl-basic-2000]quit[R1]quit<R1>displayacl2000BasicACL2000,2rulesACL'sstepis5rule5permitsource0(0timesmatched)rule10deny(0timesmatched)

三、ACL的典型應用（3）案例配置過程④在路由器R1的VTY上應用ACL。<R1>system-view[R1]user-interfacevty04[R1-ui-vty0-4]acl2000inbound

三、ACL的典型應用（4）案例驗證①在PC1上驗證Telnet功能。<PC>telnet54Trying54...PressCTRL+KtoabortConnectedto54...Info：ThemaxnumberofVTYusersis10,andthenumberofcurrentVTYusersonlineis1Thecurrentlogintimeis2020-01-2209:08:00

三、ACL的典型應用（4）案例驗證②在路由器上重新查看ACL2000的配置信息。<R1>displayacl2000BasicACL2000，2rulesACL'sstepis5rule5permitsource0(1timesmatched)rule10deny(0timesmatched)

三、ACL的典型應用（4）案例驗證③在市場部PC上驗證Telnet功能。<PC>telnet54Trying54...PressCTRL+KtoabortError:Failedtoconnecttotheremotehost.

三、ACL的典型應用（4）案例驗證④再次在路由器R1上查看ACL2000的配置信息。<R1>displayacl2000BasicACL2000,2rulesACL'sstepis5rule5permitsource0(1timesmatched)rule10deny(1timesmatched)

三、ACL的典型應用2、案例6-4高級ACL配置示例（1）案例背景與要求：如圖所示網(wǎng)絡拓撲，在路由器R1和R2上配置OSPF協(xié)議實現(xiàn)網(wǎng)絡通信。在路由器R2上配置高級ACL，要求如下：①允許主機PC1訪問路由器R2的TELNET服務。②允許主機PC2訪問路由器R2的的FTP服務。

三、ACL的典型應用（2）案例配置思路①配置路由器R1和R2的接口IP、OSPF協(xié)議等，實現(xiàn)全網(wǎng)通信。②在路由器R2上創(chuàng)建高級ACL服務。③在路由器R2的GE0/0/0接口的入方向和VTY（VirtualTypeTerminal）上應用所配置的高級ACL服務。

三、ACL的典型應用（3）案例配置過程①配置路由器R2的高級ACL<R2>system-view[R2]acl3000[R2-acl-adv-3000]rule5permittcpsourcedestinationdestination-porteq23[R2-acl-adv-3000]rule10permittcpsourcedestination53destination-portrange2021[R2-acl-adv-3000]rule15denyip

三、ACL的典型應用（3）案例配置過程②在路由器R2的GE0/0/0接口應用ACL3000[R2]interfaceGigabitEthernet0/0/0[R2-GigabitEthernet0/0/0]traffic-filterinboundacl3000

三、ACL的典型應用（3）案例配置過程③在路由器R2的VTY上應用ACL3000<R2>system-view[R2]user-interfacevty04[R2-ui-vty0-4]acl3000inbound

三、ACL的典型應用（4）案例驗證①在路由器上使用displayacl3000命令來查看ACL3000的配置信息。[R2-acl-adv-3000]displayacl3000AdvancedACL3000,3rulesAcl'sstepis5rule5permittcpsourcedestinationdestination-porteqtelnetrule10permittcpsourcedestination53destination-portrangeftp-dataftprule15denyip

三、ACL的典型應用（4）案例驗證②我們在主機PC1上使用Telnet方式登錄路由器，發(fā)現(xiàn)可以正常登錄。<PC>telnetTrying...PressCTRL+KtoabortConnectedto...Info：ThemaxnumberofVTYusersis10,andthenumberofcurrentVTYusersonlineisIThecurrentlogintimeis2019-12-0903:09:00

三、ACL的典型應用（4）案例驗證③我們在主機PC2上登錄Server1的FTP，發(fā)現(xiàn)可以正常登錄。<PC>ftp53Trying53...PressCTRL+KtoabortConnectedto53.220FTPserviceready.User(53:(none)):huawei331Passwordrequiredforhuawei.Enterpassword:230Userloggedin.

三、ACL的典型應用（4）案例驗證④我們在主機PC2上使用Telnet方式登錄路由器，發(fā)現(xiàn)無法正常登錄。<PC>telnetPressCTRL_]toquittelnetmodeTrying...Error:Can'tconnecttotheremotehost

四、NAT的工作原理1、NAT的基本概念（1）NAT的概念NAT的英文全稱是“NetworkAddressTranslation”，即“網(wǎng)絡地址轉(zhuǎn)換”，它是一個IETF(InternetEngineeringTaskForce,Internet工程任務組)標準，NAT是一種把內(nèi)部私有網(wǎng)絡地址轉(zhuǎn)換成合法的外部公有網(wǎng)絡地址的技術(shù)。由于當前TCP/IP協(xié)議版本是IPv4，它具有天生的缺陷，就是IP地址數(shù)量不夠多，難以滿足目前爆炸性增長的IP需求。

如果專用網(wǎng)絡的計算機要訪問Internet，則組織機構(gòu)在連接Internet的設(shè)備上至少需要一個公有的IP地址，然后采用NAT技術(shù)，將內(nèi)部專用網(wǎng)絡的計算機專用私有IP地址轉(zhuǎn)換為公有的IP地址，從而讓使用專用IP地址的計算機能夠和Internet的計算機進行通信。

四、NAT的工作原理（2）NAT地址轉(zhuǎn)換示意圖通過NAT設(shè)備，能夠?qū)Ｓ镁W(wǎng)絡內(nèi)的專用IP地址和公有IP地址互相轉(zhuǎn)換，從而實現(xiàn)專用網(wǎng)絡內(nèi)使用專用地址的計算機能夠和Internet的計算機通信。NAT地址轉(zhuǎn)換示意圖如下：

四、NAT的工作原理2、NAT的類型（1）靜態(tài)NAT（2）動態(tài)NAT（3）動態(tài)NAPT

四、NAT的工作原理（1）靜態(tài)NAT：靜態(tài)NAT是指在路由器中，將內(nèi)網(wǎng)IP地址固定的轉(zhuǎn)換為外網(wǎng)IP地址，通常應用在允許外網(wǎng)用戶訪問內(nèi)網(wǎng)服務器的場景。靜態(tài)NAT的工作過程如圖6-6所示。

四、NAT的工作原理（2）動態(tài)NAT：動態(tài)NAT，是將一個內(nèi)部IP地址轉(zhuǎn)換為一組外部IP地址池中的一個IP地址（公有地址）。動態(tài)NAT和靜態(tài)NAT的在地址轉(zhuǎn)換上很相似，只是可用的公有IP地址不是被某個專用網(wǎng)絡的計算機所永久獨自占有。動態(tài)NAT的工作過程如圖所示。

四、NAT的工作原理（3）動態(tài)NAPT：動態(tài)NAPT，是以IP地址及端口號（TCP或UDP）為轉(zhuǎn)換條件，將專用網(wǎng)絡的內(nèi)部私有IP地址及端口號轉(zhuǎn)換成外部公有IP地址及端口號。在靜態(tài)NAT和動態(tài)NAT中，都是“IP地址”到“IP地址”的轉(zhuǎn)換關(guān)系，而動態(tài)NAPT，則是“IP地址+端口”到“IP地址+端口”的轉(zhuǎn)換關(guān)系。動態(tài)NAPT的工作過程如圖所示。

四、NAT的工作原理（4）靜態(tài)NAPT：靜態(tài)NAPT，是指在路由器中以“IP+端口”形式，將內(nèi)網(wǎng)IP及端口固定的轉(zhuǎn)換為外網(wǎng)IP及端口，應用在允許外網(wǎng)用戶訪問內(nèi)網(wǎng)計算機特定服務的場景。靜態(tài)NAPT的工作工程如圖所示。

四、NAT的工作原理（5）EasyIP：EasyIP技術(shù)，是NAPT的一種簡化情況。EasyIP無需建立公有IP地址資源池，因為EasyIP只會用到一個公有IP地址，該IP地址就是路由器R連接公網(wǎng)的出口IP地址。EasyIP也會建立并維護一張動態(tài)地址及端口映射表，并且，EasyIP會將這張表中的公有IP地址綁定成路由器R的公網(wǎng)的出口IP地址。路由器RTA的出口IP地址如果發(fā)生了變化，那么，這張表中的公有IP地址也會自動跟著變化。路由器RTA的出口IP地址可以是手工配置的，也可以是動態(tài)分配的。下圖所示的網(wǎng)絡是一個典型的小型公司EasyIP拓撲。五、NAT的配置1、案例6-5靜態(tài)NAT配置示例（1）案例背景與要求：如圖所示，Jan16公司通過路由器R1接入到Internet，網(wǎng)絡拓撲如圖6-11所示，項目背景和需求如下。①公司向Internet申請了2個公網(wǎng)IP：和。②公司的Web服務器需要以靜態(tài)NAT的方式對外提供服務，映射IP為。五、NAT的配置（2）案例配置思路①為各設(shè)備接口配置IP地址。②在路由器R1配置NAT，將Web服務器映射到。③案例測試。五、NAT的配置（3）案例配置過程①路由器R1的配置。②其他設(shè)備的IP配置（省略）。

[R1]interfaceg0/0/0[R1-GigabitEthernet0/0/0]ipadd5424[R1-GigabitEthernet0/0/0]quit[R1]interfaceg0/0/1[R1-GigabitEthernet0/0/1]ipadd24[R1-GigabitEthernet0/0/1]natstaticglobal200.10.1.3inside[R1-GigabitEthernet0/0/1]quit五、NAT的配置（4）案例驗證①在路由器R1上執(zhí)行【displaynatstatic】命令，查看公有IP地址與私有IP地址的映射關(guān)系。<R1>displaynatstaticStaticNatInformation:Interface:GigabitEthernet0/0/1GlobalIP/Port:/----InsideIP/Port:/----Protocol:----VPNinstance-name:----Aclnumber:----Netmask:55Description:----Total:1五、NAT的配置（4）案例驗證②在公網(wǎng)主機PC1中，執(zhí)行【ping】命令，測試與內(nèi)網(wǎng)WEB服務器的連通性，結(jié)果顯示可以成功連接Web服務器。PC>pingPing:32databytes,PressCtrl_CtobreakFrom:bytes=32seq=1ttl=127time=47msFrom:bytes=32seq=2ttl=127time=47msFrom:bytes=32seq=3ttl=127time=47msFrom:bytes=32seq=4ttl=127time=31msFrom:bytes=32seq=5ttl=127time=63ms

---pingstatistics---5packet(s)transmitted5packet(s)received0.00%packetlossround-tripmin/avg/max=31/47/63ms五、NAT的配置2、案例6-6動態(tài)NAT配置示例（1）案例背景與要求：Jan16公司通過路由器R1接入到Internet，網(wǎng)絡拓撲如圖6-12所示，案例背景和需求如下。①公司向Internet申請了1批公網(wǎng)IP：~0。②公司的內(nèi)網(wǎng)計算機（/24）可通過路由器R1隨機映射到公網(wǎng)，實現(xiàn)內(nèi)外網(wǎng)互訪。五、NAT的配置（2）案例配置思路①為各設(shè)備接口配置IP地址。②在路由器R1配置公網(wǎng)IP地址池。③在路由器R1配置ACL規(guī)則，該規(guī)則定義了可用于映射公網(wǎng)的主機。④在路由器R1配置動態(tài)NAT，將符合ACL規(guī)則的主機自動映射到公網(wǎng)地址池IP中。⑤案例測試。五、NAT的配置（3）案例配置過程①路由器R1的主要配置。

[R1]interfaceg0/0/0[R1-GigabitEthernet0/0/0]ipadd192.168.1.25424[R1-GigabitEthernet0/0/0]quit[R1]interfaceg0/0/1[R1-GigabitEthernet0/0/1]ipadd24[R1]nataddress-group10[R1]acl2000[R1-acl-basic-2000]rule5permitsource55[R1-acl-basic-2000]quit[R1]interfaceg0/0/1[R1-GigabitEthernet0/0/1]natoutbound2000address-group1no-pat五、NAT的配置（4）案例驗證在路由器R1上執(zhí)行【displaynataddress-groupgroup-index】命令，查看NAT地址池配置信息或執(zhí)行【displaynatoutbound】命令，查看動態(tài)NAT配置信息。[R1]displaynataddress-group1NATAddress-GroupInformation:--------------------------------------IndexStart-addressEnd-address10[R1]displaynatoutboundNATOutboundInformation:----------------------------------------------------------------InterfaceAclAddress-group/IP/InterfaceType----------------------------------------------------------------GigabitEthernet0/0/120001no-pat----------------------------------------------------------------Total:1五、NAT的配置3、案例6-7NAPT配置示例（1）案例背景與要求：Jan16公司通過動態(tài)NAT實現(xiàn)了內(nèi)網(wǎng)主機和公網(wǎng)之間的通信，但隨著人員的增加，有限的公網(wǎng)IP地址已不能滿足所有員工上網(wǎng)的需求，公司希望采用NAPT來解決更多員工的外網(wǎng)接入需求。公司拓撲圖如圖所示。五、NAT的配置（2）案例配置思路①為各設(shè)備接口配置IP地址。②在路由器R1配置公網(wǎng)IP地址池。③在路由器R1配置ACL規(guī)則，該規(guī)則定義了可用于映射公網(wǎng)的主機。④在路由器R1配置NAPT，將符合ACL規(guī)則的主機自動映射到公網(wǎng)地址池IP中。⑤案例測試。五、NAT的配置（3）案例配置過程①路由器R1的主要配置。

[R1]interfaceg0/0/0[R1-GigabitEthernet0/0/0]ipadd192.168.1.25424[R1-GigabitEthernet0/0/0]quit[R1]interfaceg0/0/1[R1-GigabitEthernet0/0/1]ipadd24[R1]nataddress-group10[R1]acl2000[R1-acl-basic-2000]rule5permitsource55[R1-acl-basic-2000]quit[R1]interfaceg0/0/1[R1-GigabitEthernet0/0/1]natoutbound2000address-group1五、NAT的配置（4）案例驗證①私網(wǎng)主機PC1和PC2中，執(zhí)行【ping01】命令，測試內(nèi)網(wǎng)主機與外網(wǎng)的連通性，結(jié)果顯示可以成功連接外網(wǎng)。PC>ping01Ping01:32databytes,PressCtrl_CtobreakFrom01:bytes=32seq=1ttl=127time=15msFrom01:bytes=32seq=2ttl=127time=15msFrom01:bytes=32seq=3ttl=127time=32msFrom01:bytes=32seq=4ttl=127time=31msFrom01:bytes=32seq=5ttl=127time=16ms---01pingstatistics---5packet(s)transmitted5packet(s)received0.00%packetlossround-tripmin/avg/max=15/21/32ms五、NAT的配置（4）案例驗證②在路由器R1上執(zhí)行【displaynatsessionall】命令，查看NAPT會話信息。[R1]dispnatsessionallNATSessionTableInformation:Protocol:ICMP(1)SrcAddrVpn:DestAddrVpn:01TypeCodeIcmpId:0816411NAT-InfoNewSrcAddr:

NewDestAddr:----NewIcmpId:10263Protocol:ICMP(1)SrcAddrVpn:DestAddrVpn:01TypeCodeIcmpId:0816416NAT-InfoNewSrcAddr:5NewDestAddr:----NewIcmpId:10265……（省略部分）Total:9五、NAT的配置4、案例6-8EasyIP配置示例（1）案例背景與要求：Jan16公司通過路由器R1接入到Internet，網(wǎng)絡拓撲如圖6-13所示，項目案例背景和需求如下。①公司通過撥號接入Internet，并申請到一個固定公網(wǎng)IP：。②公司要求使用EasyIP技術(shù)實現(xiàn)全部內(nèi)網(wǎng)計算機快速訪問Internet。五、NAT的配置（2）案例配置思路①為各設(shè)備接口配置IP地址。②在路由器R1配置公網(wǎng)IP地址池。③在路由器R1配置ACL規(guī)則，該規(guī)則定義了可用于映射公網(wǎng)的主機。④在路由器R1配置EasyIP，將符合ACL規(guī)則的主機允許訪問外網(wǎng)。⑤案例測試。五、NAT的配置（3）案例配置過程路由器R1的主要配置如下。[R1]interfaceg0/0/0[R1-GigabitEthernet0/0/0]ipadd5424[R1-GigabitEthernet0/0/0]quit[R1]interfaceg0/0/1[R1-GigabitEthernet0/0/1]ipadd24[R1]acl2000[R1-acl-basic-2000]rule5permitsource55[R1-acl-basic-2000]quit[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]natoutbound2000五、NAT的配置（4）案例驗證在路由器R1上執(zhí)行【displaynatoutbound】命令，查看【natoutbound】命令的配置結(jié)果。[R1]displaynatoutboundNATOutboundInformation:---------------------------------------------------------------------InterfaceAclAddress-group/IP/InterfaceType---------------------------------------------------------------------GigabitEthernet0/0/12000easyip---------------------------------------------------------------------Total:1六、AAA認證的基本概念1、AAA認證的基本概念：AAA是Authentication（認證）、Authorization（授權(quán)）和Accounting（計費）的簡稱，它提供了認證、授權(quán)、計費三種安全功能。（1）認證：驗證用戶的身份和可使用的網(wǎng)絡服務。（2）授權(quán)：依據(jù)認證結(jié)果開放網(wǎng)絡服務給用戶。（3）計費：記錄用戶對各種網(wǎng)絡服務的用量，并提供給計費系統(tǒng)。六、AAA認證的基本概念2、AAA認證的基本模型（1）認證：1）AAA支持的認證方式有：不認證，本地認證，遠端認證。①不認證：完全信任用戶，不對用戶身份進行合法性檢查。鑒于安全考慮，這種認證方式很少被采用。②本地認證：將用戶信息（包括用戶名、密碼等屬性）配置在本地的接入服務器上。本地認證的優(yōu)點是處理速度快、運營成本低；缺點是存儲信息量受設(shè)備硬件條件限制。在華為解決方案中，通常使用路由器作為接入服務器。③遠端認證：將用戶信息配置在認證服務器上。AAA支持通過RADIUS協(xié)議或HWTACACS協(xié)議進行遠端認證。六、AAA認證的基本概念（1）認證2）認證模型1：大規(guī)模公司的認證模型如圖所示，總公司部署了AAA服務器，用戶將通過AAA服務器進行身份認證；分公司的接入路由器作為AAAClient，負責將用戶的認證、授權(quán)和計費信息發(fā)給AAAServer，能加快驗證用戶，提高AAA認證的效率；出差的員工則通過遠程方式連接到總公司AAA服務器進行身份認證。用戶通過身份認證后，就能訪問公司網(wǎng)絡的相關(guān)服務。

六、AAA認證的基本概念（1）認證3）認證模型2：小公司的認證模型如圖6-15所示，公司在路由器上部署了AAA服務器，用戶通過身份認證后，就能訪問公司網(wǎng)絡的相關(guān)服務。需要注意的是，在路由器上部署AAA服務只能實現(xiàn)簡單的認證和授權(quán)業(yè)務，不具備計費功能。六、AAA認證的基本概念（2）授權(quán)AAA支持的授權(quán)方式有不授權(quán)，本地授權(quán)，遠端授權(quán)。①不授權(quán)：不對用戶進行授權(quán)處理。②本地授權(quán)：根據(jù)接入服務器上配置的本地用戶賬號的相關(guān)屬性進行授權(quán)。③遠端授權(quán)：由HWTACACS或RADIUS授權(quán)。其中，RADIUS協(xié)議的認證和授權(quán)是綁定在一起的，不能單獨使用RADIUS進行授權(quán)。如果在一個授權(quán)方案中使用多種授權(quán)方式，這些授權(quán)方式按照配置順序生效，不授權(quán)方式最后生效。六、AAA認證的基本概念

（3）計費計費功能用于監(jiān)控授權(quán)用戶的網(wǎng)絡行為和網(wǎng)絡資源的使用情況。AAA支持以下兩種計費方式。①不計費：為用戶提供免費上網(wǎng)服務，不產(chǎn)生相關(guān)活動日志。②計費：通過RADIUS服務器或HWTACACS服務器進行計費。六、AAA認證的基本概念3、路由器AAA認證服務的配置（1）當采用本地方式進行認證和授權(quán)時，需要在設(shè)備上配置用戶的認證和授權(quán)信息，如用戶名、密碼、優(yōu)先級等。（2）下面的一段配置用于在路由器（AAA認證服務器）創(chuàng)建用戶，配置密碼和優(yōu)先級，演示了在路由器創(chuàng)建本地用戶jan16，設(shè)置密碼為huawei@123，權(quán)限等級為15即最高權(quán)限。（3）下面端配置用于設(shè)置用戶的服務類型，演示了在路由器中進一步配置了用戶jan16服務于telnet協(xié)議，即終端采用telnet協(xié)議遠程登錄到該路由器時，可以使用jan16作為身份認證信息。[Huawei]aaa[Huawei-aaa]local-userjan16passwordcipherhuawei@123Info:Addanewuser.[Huawei-aaa]local-userjan16privilegelevel15[Huawei-aaa]local-userjan16service-typetelnet七、AAA認證服務器的配置1、案例6-9AAA認證服務器的配置（1）案例背景與要求：以Jan16公司為例，公司出口路由器采用企業(yè)級路由器，為方便遠程管理，計劃創(chuàng)建admin和public兩個遠程賬號，admin賬號作為管理員賬號，擁有最高權(quán)限可以配置路由器，public賬號作為普通用戶賬號，僅可以查看路由器當前狀態(tài)信息。案例拓撲如圖所示。七、AAA認證服務器的配置（2）案例配置思路①配置設(shè)備的接口IP。②在路由器R1配置本地用戶admin和public的賬戶、密碼和權(quán)限。③配置路由器的遠程登錄認證方式為aaa。七、AAA認證服務器的配置（3）案例配置過程①在路由器R1的接口上配置IP地址。<Huawei>sys[Huawei]sysnameR1[R1]interfaceGigabitEthernet0/0/0[R1-GigabitEthernet0/0/0]ipaddress5424七、AAA認證服務器的配置（3）案例配置過程②創(chuàng)建本地用戶admin和public，配置用戶的權(quán)限等級。[R1]aaa[R1-aaa]local-useradminpasswordcipheradmin@123[R1-aaa]local-useradminprivilegelevel15[R1-aaa]local-useradminservice-typetelnet[R1-aaa]local-userpublicpasswordcipher123456@p[R1-aaa]local-userpublicprivilegelevel2[R1-aaa]local-userpublicservice-typetelnet七、AAA認證服務器的配置（3）案例配置過程③配置路由器啟用telnet服務，認證方式為aaa認證。[R1]user-interfacevty04[R1-ui-vty0-4]protocolinboundtelnet[R1-ui-vty0-4]authentication-modeaaa七、AAA認證服務器的配置（4）案例驗證在路由器上使用【displaylocal-user】命令查看創(chuàng)建的用戶信息，結(jié)果如下所示。[R1]dislocal-user---------------------------------------------------------------------------User-nameStateAuthMaskAdminLevel---------------------------------------------------------------------------adminAT15publicAT2---------------------------------------------------------------------------Total2user(s)本章總結(jié)本章我們首先介紹了ACL的基本概念及其分類，基本ACL和高級ACL的工作過程，然后介紹了基本ACL和高級ACL的基本配置，其次介紹了NAT的基本原理、分類和基本配置，最后介紹了AAA認證的概念，介紹了AAA認證、授權(quán)和計費的工作模式和相關(guān)的配置案例。通過對本章的學習，讀者應該對網(wǎng)絡安全技術(shù)有一定的了解，能夠充分理解ACL所實現(xiàn)的報文過濾的原理，可以熟練地配置ACL、NAT和AAA。思考題一.單選題1.下列選項中，哪一項才是一條合法的基本ACL的規(guī)則？（）A.rulepermitipB.ruledenyipC.rulepermitsourceanyD.rulepermittcpsourceany2.如果希望利用基本ACL來識別源IP地址為172.16.10024網(wǎng)段的IP報文并執(zhí)行“允許”的動作，那么應該采用下面哪一條規(guī)則？（）A.rulepermitsourceB.rulepermitsource255.255255.255C.rulepermitsource172.16.10.055D.rulepermitsource55思考題3.如果希望利用高級ACL來識別源IP地址為且目的IP地址是/24網(wǎng)段的IP報文并執(zhí)行“拒絕”的動作，那么應該采用下面哪一條規(guī)則？（）A.ruledenysourceB.ruledenysourcedestination55C.ruledenytcpsource172.16.10.1destination55D.ruledenyipsource172.16.10.1destination55思考題4.以下選項中，哪一項暗含了公有IP地址利用率從低到高的順序？（）A.動態(tài)NAT，靜態(tài)NAT，NAPTB.NAPT，動態(tài)NAT，靜態(tài)NATC.靜態(tài)NAT，NAPT，動態(tài)NATD.靜態(tài)NAT，動態(tài)NAT