HCIA网络工程师必学：五大访问控制技术实战解析（NAT/ACL/AAA/IPSec/GRE）

1. 网络地址转换NAT实战指南刚入行时我最头疼的就是公司内网电脑上不了网的问题。后来发现NAT技术就像公司的前台接待员负责把内部员工的请求私有IP转换成对外统一的名片公有IP。这种技术让企业用少量公网IP就能支撑整个局域网的上网需求简直是中小企业的省钱神器。静态NAT适合给服务器开小灶。比如把内网192.168.1.10的Web服务器映射到公网202.10.10.1配置就像给设备办身份证[Huawei] nat static global 202.10.10.1 inside 192.168.1.10动态NAT更适合普通员工上网相当于给大家发临时工牌。我常这样配置地址池[Huawei] nat address-group 1 202.10.10.100 202.10.10.200 [Huawei] acl 2000 [Huawei-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [Huawei-GigabitEthernet0/0/1] nat outbound 2000 address-group 1Easy IP更省事直接把接口IP当公网IP用。有次客户路由器只有1个公网IP我就用这招救了急[Huawei] acl 2001 [Huawei-acl-basic-2001] rule permit source 192.168.2.0 0.0.0.255 [Huawei-Serial1/0/0] nat outbound 2001遇到FTP服务器映射时记得要加上端口转换。有次配置完发现外网访问不了排查半天才发现忘了开21端口[Huawei] nat server protocol tcp global 202.10.10.1 21 inside 192.168.1.100 21注意NAT配置后一定要测试双向访问。我吃过亏内网能访问外网但外网访问不了服务器最后发现是安全策略没放行。2. 访问控制列表ACL精准管控术ACL就像网络世界的交通警察我在项目中最常用它来做流量管控。有次客户要求市场部不能访问财务服务器用基本ACL轻松搞定[Huawei] acl 2000 [Huawei-acl-basic-2000] rule deny source 192.168.10.0 0.0.0.255 [Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl 2000高级ACL能精确到谁在什么时候能做什么。上周帮学校机房做的防游戏配置就很典型[Huawei] acl 3000 [Huawei-acl-adv-3000] rule deny tcp destination-port eq 80 [Huawei-acl-adv-3000] rule deny udp destination-port range 8000 9000 [Huawei-GigabitEthernet0/0/2] traffic-filter outbound acl 3000时间ACL更智能给客户做的上班禁视频规则是这样的[Huawei] time-range worktime 09:00 to 18:00 working-day [Huawei] acl 3001 [Huawei-acl-adv-3001] rule deny ip source 192.168.1.0 0.0.0.255 time-range worktime实测经验ACL规则是从上往下匹配的。有次配置不生效原来是permit规则放在了deny前面。建议最后加条rule permit ip兜底。3. AAA安全认证体系搭建AAA系统就像公司的门禁打卡机财务系统三合一。给客户做无线认证时RADIUS服务器配置是关键[Huawei] aaa [Huawei-aaa] authentication-scheme radius [Huawei-aaa-authen-radius] authentication-mode radius [Huawei-aaa] accounting-scheme radius [Huawei-aaa-accounting-radius] accounting-mode radius本地认证适合小规模场景我常这样配置管理员权限[Huawei] local-user admin password cipher Admin123 [Huawei] local-user admin service-type ssh [Huawei] local-user admin privilege level 15混合认证更灵活。有次客户既有本地账号又有域账号我是这样解决的[Huawei-aaa] domain huawei [Huawei-aaa-domain-huawei] authentication-scheme radius local [Huawei-aaa-domain-huawei] accounting-scheme radius踩坑提醒计费周期设置太短会导致日志爆炸。建议默认改成30分钟accounting interim interval 304. IPSec VPN安全隧道实战IPSec就像给数据装上防弹运钞车。给分支机构做互联时我习惯先用IKE协商密钥[Huawei] ike proposal 10 [Huawei-ike-proposal-10] encryption-algorithm aes-cbc-256 [Huawei-ike-proposal-10] dh group14ESP配置是核心我常用的安全组合拳[Huawei] ipsec proposal huawei [Huawei-ipsec-proposal-huawei] esp authentication-algorithm sha2-256 [Huawei-ipsec-proposal-huawei] esp encryption-algorithm aes-192隧道模式适合站点间互联有次客户要加密整个分支机构流量[Huawei] interface Tunnel0/0/1 [Huawei-Tunnel0/0/1] tunnel-protocol ipsec [Huawei-Tunnel0/0/1] ipsec policy policy1排障技巧display ike sa和display ipsec sa是救命命令。有次隧道不通就是靠这个发现是NAT穿越没开。5. GRE隧道灵活组网方案GRE像给数据包套上快递袋。给客户做多协议传输时基础配置只要三条命令[Huawei] interface Tunnel0/0/1 [Huawei-Tunnel0/0/1] tunnel-protocol gre [Huawei-Tunnel0/0/1] source 202.10.10.1 [Huawei-Tunnel0/0/1] destination 203.20.20.1结合IPSec更安全我做的金融网点方案是这样的[Huawei-Tunnel0/0/1] ipsec policy policy1Keepalive功能防假死。有次客户隧道时断时续加上心跳检测就稳了[Huawei-Tunnel0/0/1] keepalive period 5 retry 3经验之谈GRE隧道要配合路由协议使用。记得在OSPF里把tunnel接口宣告出去否则流量不会走隧道。