4. 网络安全基础与网络接入

4.1 实验一：访问控制列表配置实验

4.1.1 实验介绍

4.1.1.1 关于本实验

访问控制列表 ACL（Access Control List）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。

ACL 本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用 ACL 的业务模块的处理策略来允许或阻止该报文通过。

4.1.1.2 实验目的

1. 掌握 ACL 的配置方法
2. 掌握 ACL 在接口下的应用方法
3. 掌握流量过滤的基本方式

4.1.1.3 实验组网介绍

4.1.1.4 实验背景

如组网图所示，R3 为服务器，R1 为客户端，客户端与服务器之间路由可达。其中 R1 和 R2 间互联物理接口地址分别为 10.1.2.1/24 和 10.1.2.2/24，R2 和 R3 间互联物理接口地址分别为10.1.3.2/24 和 10.1.3.1/24。另外，R1 上创建两个逻辑接口 LoopBack 0 和 LoopBack 1 分别模拟两个客户端用户，地址分别为 10.1.1.1/24 和 10.1.4.1/24。

其中一个用户（R1 的 LoopBack 1 接口）需要远程管理设备 R3，可以在服务器端配置 Telnet，用户通过密码登录，并配置基于 ACL 的安全策略，保证只有符合安全策略的用户才能登录设备。

4.1.2 实验配置

4.1.2.1 配置思路

1.配置设备 IP 地址

2.配置 OSPF，使得网络路由可达

3.配置 ACL，匹配特定流量

4.配置流量过滤

4.1.2.2 配置步骤

步骤 1、配置设备 IP 地址

配置 R1、R2 和 R3 的 IP 地址

步骤 2、配置 OSPF 使网络互通

在R1、R2 和 R3 上配置 OSPF，三台设备均在区域 0 中，实现全网互联互通

在 R3 上执行 Ping 命令，检测网络的连通性

步骤 3、配置 R3 为 Telnet 服务器

在 R3 使能 Telnet 功能，配置用户权限等级为 3 级，登录密码为 Huawei@123

开启 Telnet 服务器

telnet server enable

进入一个用户界面视图或多个用户界面视图.

user-interface

用户界面，用来管理和监控通过Telnet或SSH方式登录的用户

vty

步骤 4、配置 ACL 进行流量过滤

方式一：在 R3 的 VTY 接口匹配 ACL，允许 R1 通过 LoopBack 1 口地址 Telnet 到 R3。

在 R3 上配置 ACL

在 R3 的 VTY 接口上进行流量过滤

在 R3 上查看 ACL 配置信息

display acl

高级访问控制列表，序号为 3000，共 2 条规则

Advanced ACL 3000, 2 rules

ACL 的步长为 5

Acl's step is 5

规则 5，允许特定的流量通过，当没有匹配的报文时，不显示 matches 字段

rule 5 permit tcp source 10.1.4.1 0 destination 10.1.3.1 0 destination-port eq telnet

方式二：在 R2 的物理接口匹配 ACL，只允许 R1 通过物理接口地址 Telnet 到 R3

在 R2 上配置 ACL

在 R2 的 GE0/0/0 接口上进行流量过滤

在 R2 上查看 ACL 配置信息

4.1.3 结果验证

检测 Telnet 访问，验证 ACL 配置结果

1. 在 R1 上带源地址 10.1.1.1 telnet 到服务器

2. 在 R1 上带源地址 10.1.4.1 telnet 到服务器

4.2 实验二：本地 AAA 配置实验

4.2.1 实验介绍

4.2.1.1 关于本实验

AAA 是 Authentication（认证）、Authorization（授权）和 Accounting（计费）的简称，是网络安全的一种管理机制，提供了认证、授权、计费三种安全功能。

这三种安全功能的具体作用如下：

• 认证：验证用户是否可以获得网络访问权。
• 授权：授权用户可以使用哪些服务。
• 计费：记录用户使用网络资源的情况。

用户可以使用 AAA 提供的一种或多种安全服务。例如，公司仅仅想让员工在访问某些特定资源的时候进行身份认证，那么网络管理员只要配置认证服务器即可。但是若希望对员工使用网络的情况进行记录，那么还需要配置计费服务器。

如上所述，AAA 是一种管理框架，它提供了授权部分用户去访问特定资源，同时可以记录这些用户操作行为的一种安全机制，因其具有良好的可扩展性，并且容易实现用户信息的集中管理而被广泛使用。AAA 可以通过多种协议来实现，在实际应用中，最常使用 RADIUS 协议。

本实验将通过配置本地 AAA 对远程 Telnet 用户进行资源管控。

4.2.1.2 实验目的

1. 掌握本地 AAA 认证授权方案的配置方法
2. 掌握创建域的方法
3. 掌握本地用户的创建方法
4. 理解基于域的用户管理的原理

4.2.1.3 实验组网介绍

4.2.1.4 实验背景

R1 模拟一台客户端设备，R2 为一台网络设备。现在需要在 R2 上对管理 R2 的用户进行资源控制，只有通过认证的用户才能访问特定的资源，因此您需要在 R1 和 R2 两台路由器上配置本地AAA 认证，并基于域来对用户进行管理，并配置已认证用户的权限级别。

4.2.2 实验任务配置

4.2.2.1 配置思路

1. 配置 AAA 方案

2. 创建域并在域下应用 AAA 方案

3. 配置本地用户

4.2.2.2 配置步骤

步骤 1、设备基础配置

给 R1 和 R2 命名

略。

配置 R1 和 R2 互联的 IP 地址

步骤 2、配置 AAA 方案

配置认证、授权方案

进入 AAA 视图

创建名为 datacom 的认证方案

设置认证方案的认证方式为本地认证

创建名为 datacom 的授权方案

设置授权方案的授权方式为本地授权

设备作为 AAA 服务器时被称为本地 AAA 服务器，本地 AAA 服务器支持对用户进行认证和授权，不支持对用户进行计费。

与远端 AAA 服务器相似，本地 AAA 服务器需要配置本地用户的用户名、密码、授权信息等。使用本地 AAA 服务器进行认证和授权比远端 AAA 服务器的速度快，可以降低运营成本，但是存储信息量受设备硬件条件限制。

步骤 3、创建域并在域下应用 AAA 方案

设备对用户的管理是基于域的，每个用户都属于一个域，一个域是由属于同一个域的用户构成的群体。简单地说，用户属于哪个域就使用哪个域下的 AAA 配置信息。创建名为 datacom 的域

指定对该域内的用户采用名为 datacom 的授权方案

指定该域内的用户采用名为 datacom 的授权方案

步骤 4、配置本地用户

创建本地用户及其密码

如果用户名中带域名分隔符“@”，则认为@前面的部分是纯用户名，后面部分是域名。如果没有@，则整个字符串为用户名，域为默认域

配置本地用户的接入类型、级别等参数

配置本地用户的接入类型

ocal-user hcia@datacom service-type

指定本地用户的级别。不同级别的用户登录后，只能使用等于或低于自己级别的命令

步骤 5、开启 R2 上的 telnet 功能

设置登录用户界面的验证方式

authentication-mode aaa

步骤 6、检验配置效果

从 R1 远程 Telnet 访问 R2

设置登录用户界面的验证方式

authentication-mode aaa

步骤 6、检验配置效果

从 R1 远程 Telnet 访问 R2

此时 R1 已经登录到 R2 上

在R2上查看登录的用户

4.2.3 结果验证

略。

4.3 实验三：网络地址转换配置实验

4.3.1 实验介绍

4.3.1.1 关于本实验

网络地址转换 NAT（Network Address Translation）是将 IP 数据报文头中的 IP 地址转换为另一个 IP 地址的过程。作为减缓 IP 地址枯竭的一种过渡方案，NAT 通过地址重用的方法来满足 IP 地址的需要，可以在一定程度上缓解 IP 地址空间枯竭的压力。NAT 除了解决 IP 地址短缺的问题，还带来了两个好处：

• 有效避免来自外网的攻击，可以很大程度上提高网络安全性。
• 控制内网主机访问外网，同时也可以控制外网主机访问内网，解决了内网和外网不能互通的问题。

本实验将通过配置不同场景下的 NAT 帮助学员理解 NAT 技术的原理。

4.3.1.2 实验目的

1. 掌握动态 NAT 的配置方法
2. 掌握 Easy IP 的配置方法
3. 掌握 NAT Server 的配置方法

4.3.1.3 实验组网介绍

1. R1 和 R2 之间的网络属于企业内部网络，使用私网 IPv4 地址。

2. R1 模拟客户端，R2 作为 R1 的网关，同时也是连接公网的出口路由器。

3. R3 模拟公网。

4.3.1.4 实验背景

由于 IPv4 地址紧缺，企业内部一般使用私网 IPv4 地址。然而，企业网络用户时常会有访问公网的需求，同时部分企业还会对外提供相应的服务。此时需要配置 NAT 来实现这些需求。

4.3.2 实验任务配置

4.3.2.1 配置思路

1. 配置动态 NAT

2. 配置 Easy IP

3. 配置 NAT Server

4.3.2.2 配置步骤

步骤 1、基本配置

接口 IP 地址和路由配置

配置R1和R3的telnet功能（用于后续实验验证）

测试当前联通性

因为当前 R3 没有配置到 192.168.1.0/24 网段的路由，R1 无法访问 R3。

实际情况下，R3 也禁止配置到私网 IP 网段的路由。

步骤 2、假设该公司获得了 1.2.3.10 至 1.2.3.20 这段公网 IP，现需要配置动态 NAT

配置 NAT 地址池

这个命令用来配置 NAT 地址池。1 代表地址池的编号，地址池必须是一段连续的IP地址集合，当内部数据报文通过地址转换到达外部网络时，其源地址将被地址池转换为其他地址

nat address-group

配置 ACL

在 R2 的 G0/0/1 接口配置动态 NAT

这个命令用来将一个访问控制列表 ACL 和一个地址池关联起来，符合 ACL 中规定的地址可以使用地址池进行地址转换。当地址池中地址的数量足够时，可以添加 no-pat 参数，表示使用一对一的地址转换，只转换数据报文的地址而不转换端口信息。

nat outbound

测试联通性

R1 通过 telnet 远程登录到 R3（模拟 TCP 流量）

查看 R2 上的 NAT 会话表

尽管此时 R3 没有到 R1 的路由条目，但是由于转换后的源地址为 1.2.3.11，R3 会将数据回复给该地址，R2 收到后会根据 NAT 会话表中的数据重新转换为 R1 的地址并转发。所以此时 R1 可以主动发起到 R3 的访问。

步骤 3、假设 R2 的 G0/0/1 的地址不是固定的 IP 地址（DHCP 动态获取或 PPPoE 拨号获取），此时需要配置 Easy IP删除上一步骤的配置

配置 Easy IP

测试联通性

R1 通过 telnet 远程登录到 R3（模拟 TCP 流量）

步骤 4、假设 R3 要向公网提供网络服务（用 telnet 模拟），由于 R3 没有公网 IP 地址，故需要在 R2 的出接口上配置 NAT Server

在 R2 上配置 NAT Server

这个命令用来定义一个内部服务器的映射表，外部用户可以通过地址和端口转换来访问内部服务器的某项服务。配置内部服务器可以使外部网络主动访问私网中的服务器。当外部网络向内部服务器的外部地址（global-address）发起连接请求时，NAT 将该请求的目的地址替换为私网地址（inside-address）后，转发给私网内的服务器。

nat server

R3 通过 telnet 远程登录到 R1

查看 R2 上的 NAT 会话表

4.3.3 结果验证

略。

4.4 实验四：DHCP 基础配置实验

4.4.1 实验介绍

4.4.1.1 关于本实验

动态主机配置协议 DHCP（Dynamic Host Configuration Protocol）是一种用于集中对用户 IP 地址进行动态管理和配置的技术。即使规模较小的网络，通过 DHCP 也可以使后续增加网络设备变得简单快捷。

DHCP 协议由 RFC 2131 定义，采用客户端/服务器通信模式，由客户端（DHCP Client）向服务器（DHCP Server）提出配置申请，服务器返回为客户端分配的配置信息。

DHCP 可以提供两种地址分配机制，网络管理员可以根据网络需求为不同的主机选择不同的分配策略。

• 动态分配机制：通过 DHCP 为主机分配一个有使用期限（这个使用期限通常叫做租期）的 IP 地址。这种分配机制适用于主机需要临时接入网络或者空闲地址数小于网络主机总数且主机不需要永久连接网络的场景。
• 静态分配机制：网络管理员通过 DHCP 为指定的主机分配固定的 IP 地址。相比手工静态配置IP 地址，通过 DHCP 方式静态分配机制避免人工配置发生错误，方便管理员统一维护管理。

4.4.1.2 实验目的

1. 掌握 DHCP 接口地址池的配置方法
2. 掌握 DHCP 全局地址池的配置方法
3. 掌握通过 DHCP 分配静态 IP 地址的方法

4.4.1.3 实验组网介绍

1. R1 和 R3 模拟客户端，作为 DHCP Client。

2. R2 作为 DHCP Server 为 R1 和 R3 分配 IP 地址。

4.4.1.4 实验背景

某企业为了减少 IP 地址维护的工作量，增加 IP 地址的利用率，准备在网络内部部署 DHCP 协议。

4.4.2 实验任务配置

4.4.2.1 配置思路

1. 配置 DHCP 服务器

2. 配置 DHCP 客户端

4.4.2.2 配置步骤

步骤 1、基本配置

配置 R2 的接口 IP 地址

步骤 2、开启 DHCP 功能

这个命令是 DHCP 相关功能的总开关，DHCP Client 和 DHCP Server 等功能都要在执行dhcp enable 命令使能 DHCP 功能后才会生效。

dhcp enable

步骤 3、配置地址池

配置 R2 的 G0/0/0 的接口地址池，为 R1 分配 IP 地址

这个命令用来开启接口采用接口地址池的 DHCP Server 功能。若不执行此命令，则无法配置接口地址池的相关参数。

dhco select interface

这个命令用来指定接口地址池下的 DNS 服务器地址。最多可以配置 8 个 DNS Server 的 IP 地址，用空格分隔。

dhcp server dns-list

配置全局地址池

创建名为 GlobalPool 的地址池

这个命令用来配置全局地址池下可分配的网段地址。

network

这个命令用来为 DHCP Client 配置出口网关地址。R3 在获取地址之后，会生成一条默认路由，下一跳地址为 10.0.23.2。

gateway-list

这个命令用来配置地址池下的地址租期。当租约被设置为 unlimited 时，代表租期无限制。缺省情况下，IP 地址租期是 1 天。

lease

这个命令用来将 DHCP Server 全局地址池下的 IP 地址与 MAC 地址进行绑定。00e0-fc3d-5ba0 为当前实验环境下 R3 的 G0/0/0 接口的 MAC 地址，可以在 R3 上通过命令 “display interface G0/0/0” 来查看接口的 MAC 地址。配置完这条命令之后，R3 会获得固定的 IP--10.0.23.3。

static-bind ip-address 10.0.23.3 mac-address 00e0-fc3d-5ba0

步骤 4、开启 R2 G0/0/1 接口的 DHCP Server 功能，为 R3 分配 IP 地址

这个命令用来开启接口采用全局地址池的 DHCP Server 功能。当接口收到 DHCP Client 请求之后，会到所有全局地址池中查找对应的地址池，然后分配可用的地址给 DHCP Client。

dhcp select global

步骤 5、配置 DHCP Client

4.4.3 结果验证

4.4.3.1 查看 R1 和 R3 的地址及路由等信息

可以看到 R1 已经获取到了 IP 地址。

可以看到 R1 已经获取到了 DNS 地址。

可以看到 R1 已经获取到了默认路由

可以看到 R3 已经获取到了固定的 IP 地址。

可以看到 R3 已经获取到了 DNS 地址。

可以看到 R3 已经获取到了默认路由。

4.4.3.2 查看 R2 上的地址分配情况

这个命令用来查看已配置的 IP 地址池信息。包括地址池的名称、租期、锁定状态、地址池中 IP 地址的状态等。

dis ip pool name 地址池名称

当配置接口地址池时，地址池的名称为接口的名称。分配的网关地址为该接口的IP地址，且无法修改。

4.4.5 思考题

1. 全局地址池和接口地址池的应用场景有什么不同呢？

答：接口地址池适用于当前接口只给 DHCP client 分配与接口同一网段的 IP 地址的场景。

全局地址池可以给 DHCP Client 分配与接口同网段的IP地址，也可以分配不同网段的 IP 地址（DHCP中继组网）。

2. 若有多个全局地址池，如何确定该给 DHCP Client 分配哪一个全局地址池里的地址？

答：无中继场景：在所有全局地址池中查找与接口同一网段的地址池，根据该地址池设置的参数进行分配。有中继场景：根据中继器所请求的网段，在所有全局地址池中查找相同网段的地址池，根据该地址池设置的参数进行分配。