这是我3月14号和3月15号的学习内容,主要包括ACL、AAA、VPN相关知识、SNMP原理配置以及IPv6的一些基础知识。

网络安全知识

 

ACL

ACL(Access Control List)访问控制列表,定义一系列不同的规则,设备根据这些规则对数据包进行分类,针对不同类型的报文进行不同的处理。

三种ACL:基本ACL、高级ACL、二层ACL.

基本ACL:编号范围:2000-2999,使用报文的源IP地址、分片标记和时间段信息来匹配报文;

高级ACL:编号范围:3000-3999,使用报文的源/目的IP地址,源/目的端口号以及协议类型等信息来匹配报文;

二层ACL:编号范围:4000-4999,使用源/目的MAC地址以及二层协议等二层信息来匹配报文

ACL规则:一个ACL可以有多条deny|permit语句组成,ACL会逐条匹配ACL规则,如果不能匹配,则不对报文做任何处理。

匹配顺序有两种匹配顺序:配置顺序和自动排序。

配置顺序:按ACL规则编号rule-id从小到大的顺序进行匹配,设置步长。

自动排序:使用深度优先的原则进行匹配,即根据规则的精确度进行匹配。

基本ACL的配置:

2层as架构 二层acl与三层acl区别_IP

注意:这里再次使用了反向掩码,反向掩码主要用于数通设备的规则匹配。

高级ACL配置

2层as架构 二层acl与三层acl区别_2层as架构_02

ACL的一个显著应用,即是在HCNA学习笔记3讲到的NAT转换,

2层as架构 二层acl与三层acl区别_IP_03

步骤是:

1.    创建NAT地址池;

2.    配置ACL规则;

3.    进入接口视图,将NAT与ACL绑定。

 

AAA

AAA(authentication,authorization,accounting):认证、授权、计费,华为设备基于RADIUS协议或者HWTACACS协议来实现AAA。

AAA支持三种认证方式:

1.    不认证;

2.    本地认证:将本地用户信息配置在NAS上(NAS:网络接入服务器,连接用户主机设备的第一层设备)

3.    远端认证:将用户信息配置在认证服务器上,AAA支持通过RADIUS协议或者HWTACACS协议进行远端认证,NAS作为客户端,与RADIUS服务器等进行通信。

如果一个认证方案采用多种认证方式,这些认证方式按配置顺序生效。

授权:

1.    不授权;

2.    本地授权;

3.    远端授权

计费:

1.    不计费;

2.    远端计费

设备基于域对用户进行管理,每个域可以有不同的AAA方式,一般是通过域名分隔符@后的字符来决定。

AAA配置:

2层as架构 二层acl与三层acl区别_封装_04

如上图所示,依次配置认证、授权等方案,然后进入域视图,进行方案的配置

2层as架构 二层acl与三层acl区别_2层as架构_05

上图是一般配置telnet,web等方式登录数通设备的配置方式,如果用户名没有@,则默认是默认域

 

IPSec VPN原理与配置

 

IPSec(Internet Protocol Security),通信双方在IP层通过加密、完整性校验、数据源认证等方式,保证了报文在网络上传输的机密性、完整性、防重放(防止恶意用户通过重复发送捕获到的数据包所进行的攻击)

IPSec VPN体系结构主要由AH、ESP和IKE协议套件组成。

AH协议:主要功能:数据源认证、数据完整性校验、防重放,但不加密所保护的数据报;

ESP协议:提供AH协议的所有功能,完整性校验不包括IP头,提供对IP报文的加密功能;

IKE协议:用于自动协商AH和ESP所使用的密码算法。

2层as架构 二层acl与三层acl区别_链路_06

SA(Security Association):安全联盟,定义来IPSec通信对等体间将使用的数据封装模式、认证和加密算法、密钥等参数,由一个三元组来唯一标识,这个三元组包括安全参数索引SPI、目的IP地址、安全协议,建立SA方式主要由两种:手工方式、IKE动态协商方式。

IPSec协议有两种封装模式:传输模式和隧道模式。

传输模式:是在IP报文头和高层协议之间插入AH或ESP头,主要对上层协议数据提供保护;

隧道模式:AH或ESP头封装在原始IP报文头之前,并另外生成一个新的IP头封装到AH或ESP之前,隧道模式可以完全对原始IP数据包进行认证和加密,还可以隐藏客户机的IP地址。

IPSec VPN的配置:

2层as架构 二层acl与三层acl区别_2层as架构_07

2层as架构 二层acl与三层acl区别_封装_08

2层as架构 二层acl与三层acl区别_封装_09

配置步骤:

1.    首先确保两端可以双向通信;

2.    对流量过滤,选择需要进行IPSec处理的兴趣流

3.    配置IPSec安全提议,包括安全协议(AH还是其它)、加密算法(ESP加密算法)、认证算法(ESP或AH认证算法)、封装模式(传输还是隧道模式);

4.    配置IPSec安全策略;

5.    在接口上应用IPSec策略。

 

GRE原理与配置

GRE(generic routing encapsulation)通用路由封装协议,提供了将一种协议的报文封装在另一种协议报文的机制。

GRE封装和解封装的过程如下:

1.    设备从私网接口接收到报文后,检查目的ip地址,在路由表查找出接口,如果发现出接口是隧道接口,则将该报文发送给隧道模块进行处理;

2.    接收到报文根据乘客协议的类型和当前GRE隧道配置的校验和参数,对报文进行GRE封装,添加GRE报文头;

3.    设备给报文添加传输协议报文头,源地址是隧道源地址,目的地址是隧道目的地址;

4.    设备根据新添加的IP报文头目的地址,在路由表中查找相应的出接口,并发送报文。

keepalive检测:用于在任意时刻检测隧道链路是否处于Keepalive状态

GRE配置:

2层as架构 二层acl与三层acl区别_封装_10

2层as架构 二层acl与三层acl区别_链路_11

SNMP原理与配置

SNMP(简单网络管理协议),提供了一种通过通过运行网络管理软件NMS的网络管理工作站来管理网络设备的方法。

2层as架构 二层acl与三层acl区别_封装_12

三种版本,安全管理依序增强

2层as架构 二层acl与三层acl区别_IP_13

snmp-agent使能SNMP代理,trap使能,激活代理向NMS发送告警消息的功能,还需指定发送告警通告的接口。

 

ipv6基础知识

ipv6地址格式:长度为128比特,xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx,其中xxxx是4个十六进制数,八组xxxx共同组成一个128比特的ipv6地址,一个ipv6地址由ipv6地址前缀和接口ID组成,前缀用来标识ipv6网络,接口ID用来标识接口。

地址压缩格式:

2层as架构 二层acl与三层acl区别_链路_14

注意:“::”只能使用一次,不然无法确定0的个数了。

2层as架构 二层acl与三层acl区别_2层as架构_15

链路本地地址:只能在连接到同一本地链路的节点之间使用,不能通过路由器传播,可能类似于原ipv4中设置DHCP获取ip地址,而没有获取到ip地址的主机的地址(如169.254.x.x).

任播地址:用来标识一组网络接口,在给多个主机或者节点提供相同服务时提供冗余和负载分担。它们具有相同的地址。

2层as架构 二层acl与三层acl区别_IP_16

ipv6无状态地址自动配置,通过主机和路由器协商获取。主机从服务器获得ip地址前缀,主机再生成接口ID(EUI-64);生成完无状态地址后,将开启DAD检查(类似于免费ARP,检测是否具有地址冲突。

RIPng与RIPv2的区别在于组播地址不一样

2层as架构 二层acl与三层acl区别_IP_17

 

 

 

ipv6 address auto link-local命令用来为接口配置自动生成的链路本地地址。

 

OSPFv3是运行在IPv6网络的OSPF协议,运行该协议的路由器使用物理接口的链路本地单播地址为源地址来发送OSPF报文,相同链路上的路由器互相学习与之相连的其它路由器的链路本地地址,并在报文转发的过程中将这些地址当成下一跳信息使用。OSPFv3是基于链路的,不需要考虑路由器的接口是否配置在同一网段,只要路由器的接口连接在同一链路上即可。

OSPFv3的配置:

2层as架构 二层acl与三层acl区别_IP_18

这里的ipv6 address fe80::1 link local指手动为接口配置链路本地地址。

 

DHCPv6

主要是为了对主机的集中管理,DHCP设备唯一标识符DUID用来标识一台DHCPv6服务器或者客户端,DHCPv6分配主机地址分为有状态分配(分配地址)、无状态自动分配(主机的IPv6仍然通过路由通告方式自动生成,DHCPv6服务器只分配其它配置参数(如DNS参数等)

DHCPv6的配置:

2层as架构 二层acl与三层acl区别_封装_19

采取标识符DUID格式。

2层as架构 二层acl与三层acl区别_2层as架构_20

增加的ipv6地址前缀

2层as架构 二层acl与三层acl区别_封装_21

在接口上应用dhcpv6。