路由器安全配置策略(通用8篇)
1,严格控制可以访问路由器的管理员,任何一次维护都需要记录备案。
2,建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。
3,严格控制CON端口的访问。具体的措施有:
A,如果可以开机箱的,则可以切断与CON口互联的物理线路。B,可以改变默认的连接属性,例如修改波特率(默认是96000,可以改为其他的)。C,配合 使用访问控制列表控制对CON口的访问。如:Router(Config)#Access-list 1 permit 192.168.0.1Router(Config)#line con 0Router(Config-line)#Transport input noneRouter(Config-line)#Login localRouter(Config-line)#Exec-timeoute 5 0Router(Config-line)#access-class 1 inRouter(Config-line)#endD,给CON口设置高强度的密码。
4,如果不使用AUX端口,则禁止这个端口。默认是未被启用。禁止如:
Router(Config)#line aux 0Router(Config-line)#transport input noneRouter(Config-line)#no exec
5,建议采用权限分级策略。如:
Router(Config)#username BluShin privilege 10 G00dPa55w0rdRouter(Config)#privilege EXEC level 10 telnetRouter(Config)#privilege EXEC level 10 show ip access-list
6,为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。
7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为加密,所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址;可以采用AAA设置用户的访问控制等。
8,IOS的升级和备份,以及配置文件的备份建议使用FTP代替TFTP。如:
Router(Config)#ip ftp username BluShinRouter(Config)#ip ftp password 4tppa55w0rdRouter#copy startup-config ftp:
9,及时的升级和修补IOS软件。
二,路由器网络服务安全配置
1,禁止CDP(Cisco Discovery Protocol)。如:Router(Config)#no cdp runRouter(Config-if)# no cdp enable2,禁止其他的TCP、UDP Small服务。Router(Config)# no service tcp-small-serversRouter(Config)# no service udp-samll-servers3,禁止Finger服务。Router(Config)# no ip fingerRouter(Config)# no service finger4,建议禁止HTTP服务。Router(Config)# no ip http server如果启用了HTTP服务则需要对其进行安全配置:
设置用户名和密码;采用访问列表进行控制。如:Router(Config)# username BluShin privilege 10 G00dPa55w0rdRouter(Config)# ip http auth localRouter(Config)# no access-list 10Router(Config)# access-list 10 permit 192.168.0.1Router(Config)# access-list 10 deny anyRouter(Config)# ip http access-class 10Router(Config)# ip http serverRouter(Config)# exit5,禁止BOOTp服务。Router(Config)# no ip bootp server禁止从网络启动和自动从网络下载初始配置文件。Router(Config)# no boot networkRouter(Config)# no servic config6,禁止IP Source Routing。Router(Config)# no ip source-route7,建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的。Router(Config)# no ip proxy-arpRouter(Config-if)# no ip proxy-arp8,明确的禁止IP Directed Broadcast。Router(Config)# no ip directed-broadcast9,禁止IP Classless。Router(Config)# no ip classless10,禁止ICMP协议的IP Unreachables,Redirects,Mask Replies。Router(Config-if)# no ip unreacheablesRouter(Config-if)# no ip redirectsRouter(Config-if)# no ip mask-reply11,建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。
或者需要访问列表来过滤。如:Router(Config)# no snmp-server community public RoRouter(Config)# no snmp-server community admin RWRouter(Config)# no access-list 70Router(Config)# access-list 70 deny anyRouter(Config)# snmp-server community MoreHardPublic Ro 70Router(Config)# no snmp-server enable trapsRouter(Config)# no snmp-server system-shutdownRouter(Config)# no snmp-server trap-anthRouter(Config)# no snmp-serverRouter(Config)# end12,如果没必要则禁止WINS和DNS服务。Router(Config)# no ip domain-lookup如果需要则需要配置:Router(Config)# hostname RouterRouter(Config)# ip name-server 202.102.134.9613,明确禁止不使用的端口,
Router(Config)# interface eth0/3Router(Config)# shutdown
三,路由器路由协议安全配置
1,首先禁止默认启用的ARP-Proxy,它容易引起路由表的混乱。Router(Config)# no ip proxy-arp 或者Router(Config-if)# no ip proxy-arp2,启用OSPF路由协议的认证。默认的OSPF认证密码是明文传输的,建议启用MD5认证。并设置一定强度密钥(key,相对的路由器必须有相同的Key)。Router(Config)# router ospf 100Router(Config-router)# network 192.168.100.0 0.0.0.255 area 100! 启用MD5认证。! area area-id authentication 启用认证,是明文密码认证。!area area-id authentication message-digestRouter(Config-router)# area 100 authentication message-digestRouter(Config)# exitRouter(Config)# interface eth0/1!启用MD5密钥Key为routerospfkey。!ip ospf authentication-key key 启用认证密钥,但会是明文传输。!ip ospf message-digest-key key-id(1-255) md5 keyRouter(Config-if)# ip ospf message-digest-key 1 md5 routerospfkey3,RIP协议的认证。只有RIP-V2支持,RIP-1不支持。建议启用RIP-V2。并且采用MD5认证。普通认证同样是明文传输的。Router(Config)# config terminal! 启用设置密钥链Router(Config)# key chain mykeychainnameRouter(Config-keychain)# key 1!设置密钥字串Router(Config-leychain-key)# key-string MyFirstKeyStringRouter(Config-keyschain)# key 2Router(Config-keychain-key)# key-string MySecondKeyString!启用RIP-V2Router(Config)# router ripRouter(Config-router)# version 2Router(Config-router)# network 192.168.100.0Router(Config)# interface eth0/1! 采用MD5模式认证,并选择已配置的密钥链Router(Config-if)# ip rip authentication mode md5Router(Config-if)# ip rip anthentication key-chain mykeychainname4,启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口。建议对于不需要路由的端口,启用passive-interface。但是,在RIP协议是只是禁止转发路由信息,并没有禁止接收。
在OSPF协议中是禁止转发和接收路由信息。! Rip中,禁止端口0/3转发路由信息Router(Config)# router RipRouter(Config-router)# passive-interface eth0/3!OSPF中,禁止端口0/3接收和转发路由信息Router(Config)# router ospf 100Router(Config-router)# passive-interface eth0/35,启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流。Router(Config)# access-list 10 deny 192.168.1.0 0.0.0.255Router(Config)# access-list 10 permit any! 禁止路由器接收更新192.168.1.0网络的路由信息Router(Config)# router ospf 100Router(Config-router)# distribute-list 10 in!禁止路由器转发传播192.168.1.0网络的路由信息Router(Config)# router ospf 100Router(Config-router)# distribute-list 10 out6,建议启用IP Unicast Reverse-Path Verification。它能够检查源IP地址的准确性,从而可以防止一定的IP Spooling。但是它只能在启用CEF(Cisco Express Forwarding)的路由器上使用。Router# config t! 启用CEFRouter(Config)# ip cef!启用Unicast Reverse-Path VerificationRouter(Config)# interface eth0/1Router(Config)# ip verify unicast reverse-path四,路由器其他安全配置1,及时的升级IOS软件,并且要迅速的为IOS安装补丁。2,要严格认真的为IOS作安全备份。3,要为路由器的配置文件作安全备份。4,购买UPS设备,或者至少要有冗余电源。5,要有完备的路由器的安全访问和维护记录日志。6,要严格设置登录Banner。必须包含非授权用户禁止登录的字样。7, IP欺骗得简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地址;回环地址(127.0.0.0/8);
RFC1918私有地址;DHCP自定义地址(169.254.0.0/16);
科学文档作者测试用地址(192.0.2.0/24);
不用的组播地址(224.0.0.0/4);SUN公司的古老的测试地址(20.20.20.0/24;204.152.64.0/23);
关键词:路由器,配置策略,智能提取
目前互联网已经和各行各业形成了交融模式, 特别是对于某些高技术行业而言技术水平越高则网络也会越大, 其复杂度也越高。在这种高复杂度网络环境下若要实现正常化的数据传输以及资源共享就需要在供给新型设备。新型网络设备的使用为网络运营提供良好的技术支持, 但是其中只要某个设备出现问题就有可能造成大规模的网络故障并给相关维护工作人员带来巨大的压力。在网络单元中路由器是重要的组成部分, 为了让路由器的管理效率得到提升就需要对路由器配置进行优化, 这样不仅仅能够对路由器故障进行有效的控制, 还可以提高维护速度从而让路由器工作更为顺畅从而提升网络的整体性能。
1 路由器配置问题分析
人为设置出错是最为常见的路由器配置问题, 由于路由器设置体现了一定的专业化, 因此在手动设置的过程中可能会出现一定的错误, 具体表现如下:
1.1 密码设置错误
在路由器使用过程中一般会设定密码, 只有密码验证合格的用户才有权限使用网络, 密码保存方式主要则包括了明码文本以及加密文本。明码文本可经过配置文件直接看到密码而加密文本不能对其进行直接读取, 然而人为设置过程中常常会将密码设定为缺省密码甚至不设定密码, 这就给路由器使用带来了一定的风险。
1.2 配置错误
路由器配置过程中常常会出现访问控制错误以及广播服务识别码错误。
1.3 对远程管理控制不够到位
在对网络设备进行管理的过程中一般会涉及到网络管理软件以及telnet命令等, 但是部分用户对于以上环节却未进行合理的限制从而带来了安全风险。另外网络设备上运行的软件存在漏洞、泄漏路由设备位置和网络拓扑、拒绝服务攻击的目标、攻击者的攻击跳板以及交换机端口监听等错误或行为都会给路由器配置带来影响。
2 路由器配置策略智能提取技术分析
在本研究中主要是对路由器的配置文本进行了重点分析, 通过配置文本分段技术来对配置文本功能进行模块分割, 然后再对配置文本进行读取并由编译识别器对文本配置命令进行识别, 应用数据库对相关信息进行识别、标注从而鉴定出命令对象并构成一个命令元组集。在对文本配置进行优化或修正的过程中必然会涉及到支持数据库, 由于支持数据库当中的命令对象之前已经进行了标注, 这些标注具有一定的特异性, 这主要体现在不同类型的命令行其标注内容是存在差异的。假设将路由器的命令对象以二元组 (
事实上路由器配置文本具有有序化特征, 在实现相关策略的过程中配置指令会体现出一定的共性, 具体运算过程如图1所示。
以图1的算法为基础可以得到分段后命令元组集合 (Pi) , 这样就已经初步地构建出了路由器配置策略的模糊分段。而在上述配置中相关配置命令其实也体现了一定程度的特殊性, 配置与命令相当于一一对应, 可视其两者之间形成了一种函数联系, 这也就体现了命令与配置策略的特异性和单一性。在集合Pa当中基本上都是由单元组或是双元组构建而成, 这样就让二义性得到了有效的控制, 从而提升了整个路由器文本配置的精确度。
在上述基础上还需要应用到策略提取推理技术才能够让路由器配置优化得以实现。通过推理的形式可以发现策略与配置之间存在的关系, 就可以对策略进行深度优化。在本研究中构建出了一个以策略推理为基础的智能提取模型, 其表示为P→A, B, C。上式其实表达的是在条件P被满足的情况下可以得到某结论A可信度则为B。其中A代表了应用条件 (条件可以是单独的简单条件或者是复合条件) , B即为可信度强度并可视其为规则强度, C表示了规则与阙值相匹配的规则。在路由器配置的文本文件当中命令对象不止一个, 这些对象都能够与独立证据相对应匹配, 这些证据当中包含了一种依存关系, 正是这种差异化让结论的支持度也不尽相同, 在其中掺入加权因子让权与证据匹配, 并采取可信度来给予表示。在种模式下可信度就成为了路由器配置的最高权限规则。
3 结语
路由器合理配置关系到了整个网络的正常运行化, 本研究所构建的路由器配置策略智能提取技术是基于推理而来, 在策略划分程度越细时就说明与元策略的接近度越大, 此时的策略提取准确度也就越高。故此在对路由器文本进行配置时需要对策略进行精密划分来保证路由器配置的合理性。
参考文献
[1]时荣, 吴阅帆.一个简单路由器模拟配置实验的设计和实现[J].信息与电脑 (理论版) , 2010 (12) .
[2]让企业路由器配置保持安全[J].每周电脑报, 2007 (09) .
[关键词] 校园网 策略路由 双线路 NAT
随着信息化水平的不断提高,中职学校校园网作为信息化建设的基础设施,正逐渐成为教学、科研和管理信息化的重要平台。宁波地区中职学校早期均通过教育部门的城教网接入Internet,基于校园网的办公系统、FTP、邮件系统、内部网站、选课系统等,都可以通过这个平台对用户提供服务,随着信息化水平的普遍提高,对网络的要求也越来越高,单一通过城教网访问Internet速度越来越不满足要求,很多中职学校也相继通过中国电信或中国网通接入Internet,结果促使许多校园网都采用同时接入城教网与电信(或网通)的双出口网络方案。这样使得校园网的出口比较复杂,如果设计不当,容易造成设备性能得不到充分发挥,通信质量下降,甚至网络无法访问等问题。下面,以我校宁波电子职高一个电信出口和一个城教网出口的网络为例,说明多出口校园网中的策略路由配置。
一、校园网体系结构和需求分析
我校园网共有两个出口,一个是城教网出口,另外一个是电信出口,拓扑结构采用当前校园网典型架构,其出口拓扑如上图所示。
由于采用双线路出口,那么如何设置路由以充分利用二条线路的资源是一个必须面对的问题。处理两条线路的带宽分配,最简单的办法是直接将默认路由设置为两条线路对端的路由上,这样路由器能够动态分配网络流量。但实际运行后发现,校园网访问公网速度并没有明显提高,出现网络访问时快时慢的现象,有时甚至出现网络中断现象。通过路由器NAT转换分析发现,路由器并没按照带宽多少动态分量数据流量,而是随机根据用户访问进行NAT转换,这种负载均衡的方法实际意义并不大,城教网总的出口带宽是共享易受干扰,网络访问高峰时分配带宽更突显不足,部分走城教网线路出口的客户没有明显感受访问速度的提升,为了更好地利用城教网线路,发挥该线路分担流量和备份功能,提出如下需求:
1.全面提高网络的访问速度。自动判断用户访问的目标地址,从不同线路出口,达到高效访问城教网资源和高速访问互联网的目的。
2.实行负载均衡。机房均通过城教网出去,其它所有的公网流量都从电信出口出去。
3.城教网线路作为电信线路备份,一条电信出口线路出现故障时,所有出口均通过城教网访问,保障网络不会中断。
二、基于策略的路由技术概述
策略路由(Policy-Basedrouting)是路由器的一项扩展功能。它不仅能以目的地址为依据来进行路由选择,还能根据源IP地址、目的IP址、协议字段,甚至于TCP、UDP的源、目的端口等多种组合进行路由选择。简单地说,只要IP 标准或扩展的访问控制列表(Standard/ExtendedACL)能设置的,都可以作为策略路由的匹配规则进行转发。
基于策略的路由比传统路由强并使用更灵活,它使网络管理者能够根据报文大小、应用或IP源地址来选择转发路径,策略可以定义为通过多路由器的负载平衡或根据总流量在各线上进行转发的服务质量(QOS)。
在具体的应用中,基于策略的路由有目的策略和源地址策略。基于目的地址的策略路由一般用于网络的出口,针对访问不同的目的地设置不同的路由。如我校内网访问城教网资源使用城教网线路就是基于目的地址策略路由。基于源地址的策略路由,主要针对数据包的来源设置不同策略规则,这样可以根据用户IP地址的不同设置不同的策略路由,源地址策略路由适合于对不同级别的用户设置不同的路由策略。
三、双线路策略路由在校园网中的实施及主要配置
校园网内使用的IP 地址范围为192.168.0.0/16,城教网出口网关地址为10.10.2.2/24,电信出口网关地址为201.64.12.2/28,主要配置如下:
1.接口配置
2.定义策略路由
(1) 定义ACL 规则
对于机房访问公网,定义源地址策略,对于访问城教网资源定义基于目的地址的策略。
(2) 定义策略路由
定义策略路由名字为out,指定ACL 111 到策略中,符合ACL 111中规则的信息指定下一跳地址为10.10.2.1 (城教网)。
3.把策略路由out 指定给内网口f0/2 使其能使用:
4.设置浮动路由
浮动路由不能被永久地保存在路由表中,它仅仅出现在一条首选路由选择失败的时候,通常用作路由备份它是在原有的静态路由条目后面加上管理距离值来实现的。
在这里,当下一跳201.64.12.2不可用,路由选择会自动走10.10.2.2这条路,当首选链路起来后备份链路又会闲置。通过浮动路由设置,保证线路正常时内网访问城教网资源和机房访问公网时走城教网线路,同时城教网线路作为电信线路备份。
结论:通过以上配置达到了预期目的,使校园网用户访问城教网和电信网站均达到了较高的速度。同时,城教网线路作为电信线路备份,当电信线路出故障后不影响整个网络的访问。
由于网络的结构越来越复杂,对于一些有特殊要求的组网,需要仔细地分析用户网络的拓扑结构,了解各种数据的流向,然后采取相应的对策。使用策略路由可以按照既定的策略灵活地控制网络数据包的流向,满足校园网络用户对多条网络出口组网的需求。
参考文献:
[1]董民,周卫东,沈庆国.路由器原理、操作及应用[M].北京:国防工业出版社,2006.
定义策略aaa的策略路为由控制所有从以太网口E3/0/0接口接收的TCP报文,使用串口serial1/0/0发送,对其它报文,仍然按照查找路由表的方式进行转发,5号节点,表示匹配acl 3101的以太网报文将被发往串口serial1/0/0;10号节点,表示匹配acl 3102的任何报文不做策略路由处理。
来自Ethernet3/0/0的报文将依次试图匹配5、10号节点的if-match子句。如果匹配了permit语句的节点,执行相应的apply子句;如果匹配了deny语句的节点,退出策略路由处理。
【配置脚本】
Router配置脚本
[Quidway] firewall default deny
[Quidway] acl number 3101
[Quidway-acl-adv-3101] rule permit tcp
[Quidway-acl-adv-3101] quit
[Quidway] acl number 3102
[Quidway-acl-adv-3102] rule permit ip
[Quidway-acl-adv-3102] quit
[Quidway] route-policy aaa permit node 5
[Quidway-route-policy] if-match acl 3101
[Quidway-route-policy] apply output-interface serial 1/0/0
[Quidway-route-policy] quit
//定义5号节点,使匹配acl 3101的任何TCP报文被发往串口serial 1/0/0
[Quidway] route-policy aaa deny node 10
[Quidway-route-policy] if-match acl 3102
[Quidway-route-policy] quit
//定义10号节点,表示匹配acl 3102的报文不做策略路由处理
[Quidway] interface ethernet 3/0/0
[Quidway-Ethernet3/0/0] ip policy route-policy aaa
(1)创建标准访问列表
access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]
(2)创建扩展访问列表
access-list [ normal | specia l ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]
(3)删除访问列表
no access-list { normal | special } { all | listnumber [ subitem ] }
【参数说明】
normal 指定规则加入普通时间段。
special 指定规则加入特殊时间段。
listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。
listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。
permit 表明允许满足条件的报文通过。
deny 表明禁止满足条件的报文通过。
protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。
source-addr 为源地址。
source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。
dest-addr 为目的地址。
dest-mask 为目的地址通配位。
operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。
port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值。icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。
log [可选] 表示如果报文符合条件,需要做日志。
listnumber 为删除的规则序号,是1~199之间的一个数值。
subitem[可选] 指定删除序号为listnumber的访问列表中规则的序号。
【缺省情况】
系统缺省不配置任何访问规则。
【命令模式】
全局配置模式
【使用指南】
同一个序号的规则可以看作一类规则;所定义的规则不仅可以用来在接口上过滤报文,也可以被如DDR等用来判断一个报文是否是感兴趣的报文,此时,permit与deny表示是感兴趣的还是不感兴趣的。
使用协议域为IP的扩展访问列表来表示所有的IP协议。
同一个序号之间的规则按照一定的原则进行排列和选择,这个顺序可以通过 show access-list 命令看到。
【举例】
允许源地址为10.1.1.0 网络、目的地址为10.1.2.0网络的WWW访问,但不允许使用FTP。
Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www
Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp
【相关命令】
ip access-group
二、clear access-list counters 清除访问列表规则的统计信息,
电脑资料
clear access-list counters [ listnumber ]
【参数说明】
listnumber [可选] 要清除统计信息的规则的序号,如不指定,则清除所有的规则的统计信息。
【缺省情况】
任何时候都不清除统计信息。
【命令模式】
特权用户模式
【使用指南】
使用此命令来清除当前所用规则的统计信息,不指定规则编号则清除所有规则的统计信息。
【举例】例1:清除当前所使用的序号为100的规则的统计信息。
Quidway#clear access-list counters 100
例2:清除当前所使用的所有规则的统计信息。
Quidway#clear access-list counters
【相关命令】
access-list
三、firewall 启用或禁止防火墙。
firewall { enable | disable }
【参数说明】
enable 表示启用防火墙。
disable 表示禁止防火墙。
【缺省情况】
系统缺省为禁止防火墙。
【命令模式】
全局配置模式
【使用指南】
使用此命令来启用或禁止防火墙,可以通过show firewall命令看到相应结果。如果采用了时间段包过滤,则在防火墙被关闭时也将被关闭;该命令控制防火墙的总开关。在使用 firewall disable 命令关闭防火墙时,防火墙本身的统计信息也将被清除。
【举例】
启用防火墙。
Quidway(config)#firewall enable
【相关命令】
access-list,ip access-group
四、firewall default 配置防火墙在没有相应的访问规则匹配时,缺省的过滤方式。
firewall default { permit | deny }
【参数说明】
permit 表示缺省过滤属性设置为“允许”。
deny 表示缺省过滤属性设置为“禁止”。
【缺省情况】
在防火墙开启的情况下,报文被缺省允许通过。
【命令模式】
全局配置模式
【使用指南】
当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时,缺省的过滤属性将起作用;如果缺省过滤属性是“允许”,则报文可以通过,否则报文被丢弃。
【举例】
设置缺省过滤属性为“允许”。
Quidway(config)#firewall default permit
五、ip access-group 使用此命令将规则应用到接口上。使用此命令的no形式来删除相应的设置。
ip access-group listnumber { in | out }
[ no ] ip access-group listnumber { in | out }
【参数说明】
listnumber 为规则序号,是1~199之间的一个数值。
目录
一,DHCP中继代理配置实验案例(多个DHCP服务器).............................3 二,IPsecVPN穿越NAT实例配置..............................................5 三,双PPPOE线路实验(神码)..................................................9 四,外网通过IPsec_VPN服务器(在内网)访问内网服务器.........................15 五,DCR-2800和BSR-2800配置RIP路由.....................................21 六,DCR-2800 L2TP服务器配置..............................................24 七,总分部之间IPsecVPN对接................................................29 一,DHCP中继代理配置实验案例(多个DHCP服务器)1,需求描述
如果DHCP客户机与DHCP服务器在同一个物理网段,则客户机可以正确地获得动态分配的ip地址。如果不在同一个物理网段,则需要DHCP Relay Agent(中继代理)。用DHCP Relay代理可以去掉在每个物理的网段都要有DHCP服务器的必要,它可以传递消息到不在同一个物理子网的DHCP服务器,也可以将服务器的消息传回给不在同一个物理子网的DHCP客户机,而且一个网络中有可能存在多个DHCP服务器作为冗余备份。2,拓扑图
3,配置步骤
R1# interface FastEthernet0/0 ip address dhcp client-id FastEthernet0/0 //启用DHCP客户端模式 R2# interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip helper-address 192.168.2.2 //真正的DHCP服务器1的地址 ip helper-address 192.168.2.3 //真正的DHCP服务器2的地址!interface FastEthernet1/0 ip address 192.168.2.1 255.255.255.0 R2(config)#ip forward-protocol udp 67(sh run 看不到)//有限广播DHCP报文 R3# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.2 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R3(config)#service dhcp(开启DHCP服务,sh run 看不到)R4# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.3 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R4#(config)#service dhcp(开启DHCP服务,sh run 看不到)4,配置验证
Sh ip int br//查看端口信息
Show ip dhcp binding //查看所有的地址绑定信息
R1上抓包
R3上抓包
R4上抓包
5,注意事项
(1)必须开启DHCP服务 service dhcp(2)客户端获取一个地址后,广播发送Request报文包含此地址的DHCP服务器(R3)ID,R4收到后回收已分配的地址,避免造成地址浪费。
二,IPsecVPN穿越NAT实例配置
1,需求描述
IPSec协议的主要目标是保护IP数据包的完整性,这意味着IPSec会禁止任何对数据包的修改。但是NAT处理过程是需要修改IP数据包的IP 包头、端口号才能正常工作的。所以,如果从我们的网关出去的数据包经过了ipsec的处理,当这些数据包经过NAT设备时,包内容被NAT设备所改动,修 改后的数据包到达目的地主机后其解密或完整性认证处理就会失败,于是这个数据包被认为是非法数据而丢弃。无论传输模式还是隧道模式,AH都会认证整个包 头,不同于ESP 的是,AH 还会认证位于AH头前的新IP头,当NAT修改了IP 头之后,IPSec就会认为这是对数以完整性的破坏,从而丢弃数据包。因此,AH是约 可能与NAT一起工作的。
意思就是说,AH处理数据时,所使用的数据是整个数据包,甚至是IP包头的IP地址,也是处理数据的一部分,对这些数据作整合,计算出一个值,这个值是唯一的,即只有相同的数据,才可能计算出相同的值。当NAT设备修改了IP地址时,就不符合这个值了。这时,这个数据包就被破坏了。而ESP并不保护IP包头,ESP保护的内容是ESP字段到ESP跟踪字段之间的内容,因此,如何NAT只是转换IP的话,那就不会影响ESP的计算。但是如果是使用PAT的话,这个数据包仍然会受到破坏。
所以,在NAT网络中,只能使用IPSec的ESP认证加密方法,不能用AH。但是也是有办法解决这个缺陷的,不能修改受ESP保护的TCP/UDP,那就再加一个UDP报头。解决方案:NAT穿越 2,拓扑图
3,配置步骤 R1# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.2!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ip route 0.0.0.0 0.0.0.0 10.1.1.2 R2# interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside ip nat inside source static esp 10.1.1.1 interface FastEthernet1/0 //支持ESP协议
ip nat inside source static udp 10.1.1.1 4500 interface FastEthernet1/0 4500 //NAT-T ipsecvpn端口地址转换
ip nat inside source static udp 10.1.1.1 500 interface FastEthernet1/0 500 //普通 ipsecvpn 端口地址转换
R3# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.1!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.1 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 4,配置验证
R1#f0/0上抓包
ISAKMP报文
ESP报文
R2#f1/0上抓包
ISAKMP报文
ESP报文
5,注意事项
(1)R1与R3上的对端地址均为公网地址,R1上要配缺省路由。
(2)IPsecVPN穿越NAT时要变换IP地址和端口,从而导致对方认证失败,所以应该保证变换后的IP地址和端口和对端一致。
三,双PPPOE线路实验(神码)1.需求描述
现实网络中有很多企业和机构都采用双线路来互相冗余备份,而其中有很多通过pppoe拨号(ADSL宽带接入方式)来实现对每个接入用户的控制和计费。2.拓扑图
3,配置步骤
R1# interface Virtual-tunnel0 //配置虚拟通道0 mtu 1492 //最大传输单元
ip address negotiated //IP地址自协商 no ip directed-broadcast ppp chap hostname DCN //chap认证方式用户名DCN ppp chap password 0 DCN //chap认证方式密码DCN
ppp pap sent-username DCN password 0 DCN //pap认证方式用户名DCN1密码DCN1 ip nat outside!interface Virtual-tunnel1 mtu 1492 ip address negotiated no ip directed-broadcast ppp chap hostname DCN1 ppp chap password 0 DCN1 ip nat outside!interface f2/0 ip address 10.1.1.1 255.255.255.0 no ip directed-broadcast ip nat inside!ip route default Virtual-tunnel0 //默认路由走虚拟隧道0 ip route default Virtual-tunnel1 //默认隧道走虚拟隧道1!ip access-list extended natacl permit ip 10.1.1.0 255.255.255.0 any!vpdn enable 启用VPDN!vpdn-group poe0 建vpdn组 request-dialin 请求拨号
port Virtual-tunnel0 绑定虚拟隧道0 protocol pppoe 封装PPPOE协议
pppoe bind f0/0 绑定到物理接口f0/0!vpdn-group pppoe1 request-dialin port Virtual-tunnel1 protocol pppoe pppoe bind f1/0!!ip nat inside source list natacl interface Virtual-tunnel0 //NAT走虚拟隧道0 ip nat inside source list natacl interface Virtual-tunnel1!R2# config# ip local pool pppoe 172.16.1.2 10 //配置分配给客户端的地址池 aaa authentication ppp default local //开启本地ppp认证 username DCN password 0 DCN //本地认证的用户名密码!interface Virtual-template0 //建立虚拟模版0 ip address 172.16.1.1 255.255.0.0 //设置ip地址 no ip directed-broadcast ppp authentication chap //PPP认证为chap认证方式(virtual-tunnel隧道不能配置此参数,否则只能完成发现阶段,不能建立会话阶段)ppp chap hostname DCN //chap认证用户名DCN ppp chap password 0 DCN //chap认证密码DCN
peer default ip address pool pppoe //给拨号上来的客户端分配地址池里的地址 ip nat inside!interface f0/0 ip address 192.168.3.3 255.255.255.0 ip nat outside!ip route default 192.168.3.1!ip access-list extended natacl permit ip 172.16.1.0 255.255.255.0 any!vpdn enable //启用vpdn!vpdn-group pppoe //建立vpdn组 accept-dialin //允许拨入
port Virtual-template0 //绑定虚拟模版0 protocol pppoe //封装pppoe协议
pppoe bind fastEthernet0/0 //绑定到物理接口fsatethnet0/0!ip nat inside source list natacl interface f1/0
R3# ip local pool pppoe 192.168.1.2 10!aaa authentication ppp default local!
username DCN1 password 0 DCN1!interface Virtual-template0 mtu 1492 ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast ppp authentication chap
ppp chap hostname DCN1 ppp chap password 0 DCN1 peer default ip address pool pppoe ip nat inside!Interface f 1/0 ip address 192.168.3.2 255.255.255.0 no ip directed-broadcast ip nat outside!ip route default 192.168.3.1!ip access-list extended natacl permit ip 192.168.1.0 255.255.255.0 any!vpdn enable!vpdn-group pppoe accept-dialin port Virtual-template0 protocol pppoe pppoe bind FastEthernet0/0!
ip nat inside source list natacl interface f1/0!
4,验证配置
R1#sh ip int br
Fastethnet2/0 10.1.1.1 manual up Fastethnet0/0 unassigned manual up Fastethnet1/0 unassigned manual up Virtual-tunnel0 172.16.1.2 manual up Virtual-tunnel1 192.168.1.2 manual up #sh pppoe session
PPPOE Session Information: Total sessions 2
ID Remote_Address State Role Interface BindOn 306 FC:FA:F7:B0:06:AE Established client vn1 f0/0 307 FC:FA:F7:7E:0C:A2 Established client vn0 f1/0 R2#sh ip int br
Interface IP-Address Method Protocol-Status fastEthernet0/0 unassigned manual up fastEthernet0/1 192.168.3.3 manual up Virtual-template0 172.16.1.1 manual down Virtual-access0 172.16.1.1 manual up
#sh pppoe session
PPPOE Session Information: Total sessions 1
ID Remote_Address State Role Interface BindOn 1 FC:FA:F7:D2:07:EA Established server va0 f0/0 R3#sh ip int br
Interface
IP-Address
Method Protocol-Status FastEthernet0/0
unassigned
manual up
FastEthernet0/1
192.168.3.2
manual up Virtual-template0
192.168.1.1
manual down Virtual-access0
192.168.1.1
manual up
#sh pppoe session
PPPOE Session Information: Total sessions 1
ID
Remote_Address
State
Role
Interface BindOn
FC:FA:F7:D2:07:E9 Established
server
va0
f0/0
5,注意事项
(1),pppoe-client配置虚拟通道时,最大传输单元为1492(默认),ip地址为自协商,ppp认证方式为chap和pap(服务器提供的认证方式有可能为chap或pap)。注意:不能配置ppp authentication chap(认证方式为任意)。
(2),pppoe-client配置vpdn时,先启用vpdn,创建vpdn组,请求拨号,应用虚拟隧道,封装pppoe协议,绑定到物理接口。
(3),pppoe-client配置默认路由下一跳为虚拟隧道virual-tunnel0/virtual-tunnel1,配置NAT时,出接口为虚拟隧道virual-tunnel0/virtual-tunnel1。
(4),pppoe-server配置时注意配置分配给客户端的地址池,开启本地ppp认证,配置本地认证用户名和密码。
(5),pppoe-server配置虚拟模版时,最大传输单元1492,ip地址为固定ip(与地址池在同一网段,但不包含在地址池里),ppp认证方式为chap或pap,认证的用户名和密码,给拨号上来的客户端分配地址池里的地址。
(6),pppoe-server配置vpdn时,先启用vpdn,创建vpdn组,允许拨号,应用虚拟模版,封装pppoe协议,绑定到物理接口。
四,外网通过IPsec_VPN服务器(在内网)访问内网服务器
1,需求描述
有些企业单位将VPN服务器放在内网,需要让在外网出差的用户拨上VPN后能访问内网部分资源(如WEB服务器,办公系统等)。2,拓扑图
3,配置步骤 IPsecVPN_Server# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.2!
crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1
match address ipsecacl!interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 crypto map map1 //绑定转换图!ip route 11.1.1.0 255.255.255.0 10.1.1.1 //隧道协商的路由
ip route 172.16.1.0 255.255.255.0 10.1.1.1 //转发VPN客户端流量的路由!ip access-list extended ipsecacl permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
Telnet_Server# aaa new-model //开启AAA认证!aaa authentication login default none //无认证登录 aaa authentication enable default none //无enable认证!interface FastEthernet0/0 ip address 10.1.1.3 255.255.255.0!ip route 0.0.0.0 0.0.0.0 10.1.1.1 //网关
NAT_Over# interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside!ip route 172.16.1.0 255.255.255.0 10.1.1.2 //指向VPN服务器!ip nat inside source static esp 10.1.1.2 interface FastEthernet1/0 //封装ESP协议 ip nat inside source static udp 10.1.1.2 500 interface FastEthernet1/0 500 //端口映射 ip nat inside source static udp 10.1.1.2 4500 interface FastEthernet1/0 4500 //端口映射
IPsecVPN_Client# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.1!
crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp
set peer 11.1.1.1 set transform-set tran1
match address ipsecacl!interface FastEthernet0/0 ip address 11.1.1.2 255.255.255.0 crypto map map1 //绑定转换图!interface FastEthernet1/0 ip address 172.16.1.1 255.255.255.0!ip route 10.1.1.0 255.255.255.0 11.1.1.1 //转发VPN流量的路由!ip access-list extended ipsecacl permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
4,验证配置 172.16.1.1访问Telnet_Server Ping 10.1.1.3 source 172.16.1.1
IPsecVPN_Client f0/0上抓包
IPsecVPN_Server f0/0上抓包
NAT_Over f0/0上抓包
Telnet_Sever f0/0上抓包
5,注意事项
(1),配置ipsecvpn时,注意将map绑定到物理接口。
(2),nat_over路由器上配置的一条指向ipsecvpn服务器的路由。
(3),ipsecvpn_sever和ipsecvpn_client上配置隧道路由和数据路由,数据转发时先查找路由从接口转发时再看是否匹配ipsecacl,匹配才走ipsecvpn隧道。天津多外线内部vpn服务器案例
五,DCR-2800和BSR-2800配置RIP路由
1,需求描述
路由信息协议(Routing Information Protocol,缩写:RIP)是一种使用最广泛的内部网关协议(IGP)。(IGP)是在内部网络上使用的路由协议(在少数情形下,也可以用于连接到因特网的网络),它可以通过不断的交换信息让路由器动态的适应网络连接的变化,这些信息包括每个路由器可以到达哪些网络,这些网络有多远等。RIP 属于网络层协议,并使用UDP作为传输协议。(RIP是位于网络层的)
虽然RIP仍然经常被使用,但大多数人认为它将会而且正在被诸如OSPF和IS-IS这样的路由协议所取代。当然,我们也看到EIGRP,一种和RIP属于同一基本协议类(距离矢量路由协议,Distance Vector Routing Protocol)但更具适应性的路由协议,也得到了一些使用。2,拓扑描述
3,配置步骤 DCR-2800上配置 DCR-2800# interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.2.1 255.255.255.0 ip rip 1 enable!router rip 1
neighbor 192.168.1.2 DCR-2800#sh ip route C
192.168.1.0/24
is directly connected, GigaEthernet0/0 C
192.168.2.0/24
is directly connected, GigaEthernet0/1 R
192.168.3.0/24
[120,1] via 192.168.1.2(on GigaEthernet0/0)
BSR-2800上配置 BSR-2800# interface GigaEthernet0/0 ip address 192.168.1.2 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.3.1 255.255.255.0 ip rip 1 enable!router rip 1
neighbor 192.168.1.1 BSR-2800#sh ip route C
192.168.1.0/24
is directly connected, GigaEthernet0/0 R
192.168.2.0/24
[120,1] via 192.168.1.1(on GigaEthernet0/0)C
192.168.3.0/24
is directly connected, GigaEthernet0/1 4,验证配置
DCR-2800#ping 192.168.3.1 PING 192.168.3.1(192.168.3.1): 56 data bytes!!!---192.168.3.1 ping statistics---5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 0/0/0 ms 5,注意事项
(1),neighbor 为对端ip(2),在接口下 ip rip 1 enable 则宣告了这个接口的地址所在的网段,如果这个接口有两个地址,例如 interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip address 192.168.4.1 255.255.255.0 secondary 则只能成功宣告192.168.1.0 这个网段 如果一个接口分两个逻辑子接口,例如 interface GigaEthernet0/0.0 ip address 192.168.1.1 255.255.255.0 interface GigaEthernet0/0.1 ip address 192.168.4.1 255.255.255.0 则能成功宣告两个网段192.168.1.0,192.168.4.0 六,DCR-2800 L2TP服务器配置
1,需求描述
L2TP是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。2,拓扑描述
3,配置步骤 DCR-2800上配置 int g0/0 ip add 192.168.1.1 255.255.255.0 ip local pool l2tp_pool 172.16.1.1 10 //配置l2tp地址池 aaa authentication ppp default local //开启ppp认证!interface Virtual-template0 //创建虚拟接口模版
ip add 192.168.2.1 255.255.255.0//virtual-template接口的地址为任意地址
no ip directed-broadcast
ppp authentication chap //认证方式为chap ppp chap hostname admin //认证用户名
ppp chap password 0 admin //认证密码
peer default ip address pool l2tp_pool //调用地址池!vpdn enable //开启虚拟专用拨号!
vpdn-group l2tp //定义vpdn组
accept-dialin //允许拨入
port Virtual-template0 //绑定虚拟接口模版
protocol l2tp //定义协议为l2tp local-name default force-local-chap //强制进行CHAP验证
lcp-renegotiation //重新进行LCP协商!PC上配置
网络和共享中心->设置新的连接或网络->连接到工作区->使用我的Internet连接VPN
4,验证配置
拨号成功
5,注意事项
(1),L2TP服务器上virtual-template接口的地址为任意地址
(2),force-local-chap //强制进行CHAP验证,lcp-renegotiation //重新进行LCP协商(3),PC客户端上配置可选加密,勾选三种认证方式PAP,CHAP,MS-CHAP
七,总分部之间IPsecVPN对接
1,需求描述
导入IPSEC协议,原因有2个,一个是原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路,即可分析所有的通讯数据。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能。另外一个原因,是因为Internet迅速发展,接入越来越方便,很多客户希望能够利用这种上网的带宽,实现异地网络的的互连通。
IPSEC协议通过包封装技术,能够利用Internet可路由的地址,封装内部网络的IP地址,实现异地网络的互通。总部和分部之间通过IPsecVPN隧道通信,分部和分部之间通过和总部建立的IPsecVPN隧道通信。2,拓扑需求
3,配置步骤 总部:
crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 2.1.1.2 255.255.255.0 crypto isakmp key 123456 address 3.1.1.2 255.255.255.0!
crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp
set peer 2.1.1.2 set peer 3.1.1.2 set transform-set tran1 match address ipsecacl!interface Loopback0 ip address 192.168.1.1 255.255.255.0!interface FastEthernet0/0 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 1.1.1.2!ip access-list extended ipsecacl permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 分部A:
crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp
set peer 1.1.1.1 set transform-set tran1
match address ipsecacl!interface Loopback0 ip address 192.168.2.1 255.255.255.0!interface FastEthernet0/0 ip address 2.1.1.2 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 2.1.1.1!ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.255.255 分部B: crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp
set peer 1.1.1.1 set transform-set tran1
match address ipsecacl!interface Loopback0 ip address 192.168.3.1 255.255.255.0!interface FastEthernet0/0 ip address 3.1.1.2 255.255.255.0 crypto map map1!ip route 0.0.0.0 0.0.0.0 3.1.1.1!ip access-list extended ipsecacl permit ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.255.255
Internet:
interface FastEthernet0/0 ip address 1.1.1.2 255.255.255.0!interface FastEthernet1/0 ip address 2.1.1.1 255.255.255.0!interface FastEthernet2/0 ip address 3.1.1.1 255.255.255.0 4,验证配置
总部:
Router#sh crypto isakmp sa dst
src
state
1.1.1.1
3.1.1.2
QM_IDLE 1.1.1.1
2.1.1.2
QM_IDLE 分部A:
Router#sh crypto isakmp sa dst
src
state
1.1.1.1
2.1.1.2
QM_IDLE 总部和分部A通信:
conn-id slot status
0 ACTIVE
0 ACTIVE
conn-id slot status
0 ACTIVE
Router#ping 192.168.1.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 40/55/84 ms 分部A上抓包:
分部A与分部B通信:
Router#ping 192.168.3.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 60/94/140 ms 总部上抓包:
分部B上抓包:
分部B:
Router#sh crypto isakmp sa dst
src
state
conn-id slot status 1.1.1.1
3.1.1.2
QM_IDLE
0 ACTIVE 分部B与总部A通信:
Router#ping 192.168.1.1 source 192.168.3.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 16/50/92 ms 分部B上抓包:
分部B与分部A通信:
Router#ping 192.168.2.1 source 192.168.3.1
Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 68/95/144 ms 总部上抓包:
分部A上抓包:
5,注意事项
(1),思科IPsecvpn内网流量先查找路由后匹配策略,只有到达对端私网的路由,才能匹配策略加密封装。
RIP现有v1和v2两个版本, 无论v1还是v2版本, RIP协议都是一个是基于UDP协议的应用层协议, 所使用源端口和目的端口都是UDP端口520, 在经过IP封装时, RIPv1版本和RIPv2版本有一些区别, RIPv1的目的IP地址为255.255.255.255 (有限广播) , RIPv2的目的IP地址为组播地址224.0.0.9, 源IP为发送RIP报文的路由器接口IP地址。
由于RIPv1版本为有类路由, 不支持可变长子网掩码VLSM (Variable Length Subnet Mask) , 因此在实际应用中, 主要使用RIP的v2版本。
RIPv2的路由信息报文封装结构与RIPv1基本相同, 主要是在路由信息中增加了4个字段, 分别是路由标记、子网掩码、下一跳路由器IP地址、RIP验证。如图1为RIPv2路由信息报文, 图2为RIPv2验证信息报文, 如果是RIPv2路由信息报文, 则报文内容部分最多可以有25个路由信息, 如果是RIPv2验证信息报文, 则报文内容包含20字节的验证信息和最多24个路由信息, 故RIPv2最大报文为25×20+4=504字节。
RIPv2各字段的含义解释如下:
1) 命令:1字节, 值为1时表示路由信息请求, 值为2时表示路由信息响应。
2) 版本:1字节, 值为1表示RIP协议版本为1, 值为2表示RIP协议版本为2。
3) 地址类型标识:2字节, 用来标识所使用的地址协议, 如果该字段值为2, 表示后面网络地址使用的是IP协议。
4) 路由标记:2字节, 提供这个字段来标记外部路由或重分发到RIPv2协议中的路由。如果某路由器收到路由标记为0的RIPv2路由信息报文, 说明该报文是和本路由器同属一个自治系统的路由器发出的, 如果收到路由标记不为0的RIPv2路由信息报文, 说明该报文是路由标记数字所指示的自治系统发出的。使用这个字段, 可以提供一种从外部路由中分离内部路由的方法, 用于传播从外部路由协议EGP获得的路由信息。
5) 网络地址:路由表中路由条目的目的网络地址。
6) 子网掩码:路由表中路由条目的子网掩码。
7) 下一跳路由器IP地址:路由表中路由条目的下一跳路由器IP地址。
8) 代价值:表示到达某个网络的跳数, 最大有效值为15。
RIPv2在v1版的基础上新增了验证功能, 这样就避免了许多不安全因素。没有验证的情况下, 路由器可能会接收到一些不合法的路由更新, 而这些路由更新的源头可能是一些恶意的攻击者, 他们试图通过欺骗路由器, 使得路由器将正常数据转发到黑客的路由器上, 通过Sniffer等工具抓包来获得一些机密信息。
RIPv2支持明文验证, 它的实现方法是将RIP报文中, 原本属于第一个路由信息的20字节交给验证功能。0x FFFF为验证标志。现在没有公开的标准来支持RIPv2的密文验证, 不过在CISCO公司的产品中, 支持MD5密文验证。
9) 验证类型:当验证类型为0x0002时, 表示采用明文验证。
10) 验证信息:16个字节存放的为RIP的明文密码, 不足16位时用0补足。
以下以图3为例, 使用Cisco公司路由器产品说明RIPv2协议验证的配置方法。注意两台路由器配置用于RIP验证的密码必须相同。
通过以上配置R1、R2之间可以验证后相互学习路由, 如果验证不能通过 (如密码不一样或验证模式不一样) , 则两台路由器之间不能相互学习路由。
这里需要注意的是, 在Cisco的路由器上RIP验证的时候, 验证方向被验证方发送的是最小key值所对应的keystring密码, 只要被验证方有和验证方一样的密码, 验证就可以通过, 验证过程中只与key-string密码有关, 而与key值无关。如图4所示。
R1向R2发出验证请求, 发出key1的key-string apple, R2收到后没有相应的密码对应, 所以R2没有通过R1的验证, 因此R2学不到R1上的路由信息。
R2向R1发出验证请求, 发出key1的key-string watermelon, R2收到后可以找到相应的密码对应, 所以R1通过R2的验证, 因此R1可以学到R2上的路由信息。
综上所述, 虽然RIP协议在网络规模、安全性方面有着本身协议性上的不足, 例如RIP并没有国际性标准化的安全认证和加密方案, 但是由于RIP协议的简单便捷, 并且随着广域网络带宽速率的不断增加, 在中小型网络中RIP有着其独特的应用范围和环境, 通过RIP标准中的明文验证和企业私有标准的密文验证, 同样可以使得在路由网络中RIP安全可靠地运行。
摘要:在路由网络中, RIP协议由于简单便捷得到了广泛的使用, 但是网络安全的问题逐渐突出, 如何保证RIP协议的安全运行成为了路由网络不容忽视的问题, 通过在路由器之间建立RIP协议的验证机制, 从而保证路由网络的正常安全运行。
关键词:路由信息协议,可变长子网掩码,MD5加密,钥匙串,钥匙字符串
参考文献
[1]《CCNP学习指南:组建Cisco多层交换网络 (BCMSN) (第4版) 》 (, 美) Richard Froom著, 人民邮电出版社, 2007年.
[2]《CCNP学习指南:组建可扩展的Cisco互连网络 (BSCI) (第3版) 》, (美) Diane Teare著, 人民邮电出版社, 2007年.
[3]《CCNP四合一学习指南 (中文版) 》, (美) Wade Edward著, 人民邮电出版社, 2005年.
[4]《思科网络技术学院教程CCNA交换基础与中级路由》, (美) Wayne Lewis著, 人民邮电出版社, 2008年.
[5]《思科网络技术学院教程CCNA路由器与路由基础》, (美) Wendell Odom著, 人民邮电出版社, 2008年.
[6]《网络互联设备》, (美) Kenneth D著, 电子工业出版社, 2002年.
[7]《思科网络实验室路由、交换实验指南》, 梁广民著, 电子工业出版社, 2007年.
[8]“RIP Version2-Carrying Additional Information”, Malkin.G., RFC1388, Xylogics, January1993.
摘 要:从单臂路由的配置入手,分析了单臂路由的优缺点,对怎么配置单臂路由进行了说明,并对单臂路由造成的网络瓶颈,提出了优化方案。
关键词:单臂路由;VLAN;封装;子接口;优化
中图分类号:TP393.04 文献标识码:A 文章编号:1006-8937(2016)24-0086-02
单臂路由是指在路由器的一个接口上通过配置子接口的方式,实现原来互相隔离的VLAN之间互联互通。 其主要优点是节约接口和成本,缺点是单臂路由不具有好的扩展性,当VLAN的数量不断增加,流经路由器与交换机之间的流量也会变得越来越大,这时,这条链路就成了整个网络的瓶颈,即使網络带宽在大,也是如此,因为他们的数据交换要在路由器虚拟的子接口上进行,接口处理数据速率较低,且非常消耗路由器CPU和内存资源,容易造成接口过载,形成网络单点故障;或者是VLAN数目不多,但接入的终端较多,也会造成网络瓶颈。
1 单臂路由的配置
单臂路由的配置主要把握四点,简单来说就是VLAN、子接口、封装和Trunk。设备主要有路由器、二层交换机各一台,拓扑,如图1所示,基本配置如下:
主交换机主要配置:
interface FastEthernet0/1(设置Trunk)
switchport mode trunk
interface FastEthernet0/2(设置接口属于Vlan10)
switchport access vlan 10
interface FastEthernet0/3(设置接口属于Vlan20)
switchport access vlan 20
interface FastEthernet0/4(设置接口属于Vlan30)
switchport access vlan 30
本级路由器主要配置:
interface FastEthernet0/0.1(子接口)
encapsulation dot1Q 10(封装,标志号为10)
ip address 192.168.1.1 255.255.255.0
interface FastEthernet0/0.2(子接口)
encapsulation dot1Q 20(封装,标志号为20)
ip address 192.168.2.1 255.255.255.0
interface FastEthernet0/0.3(子接口)
encapsulation dot1Q 30(封装,标志号为30)
ip address 192.168.3.1 255.255.255.0
interface Serial2/0(互联地址设置)
ip address 172.19.35.2 255.255.255.128
router ospf 1(Ospf路由设置)
network 172.19.35.0 0.0.0.127 area 0
network 192.168.1.0 0.0.0.255 area 0
network 192.168.2.0 0.0.0.255 area 0
network 192.168.3.0 0.0.0.255 area 0
上级路由器主要配置:
interface Serial2/0(互联地址设置)
ip address 172.19.35.1 255.255.255.128
router ospf 1(Ospf路由设置)
network 172.19.35.0 0.0.0.127 area 0
network 192.168.30.0 0.0.0.255 area 0
可以用Ping命令进行检测。在实际使用中我们发现当主交换机业务增加时,虚拟接口交换能力有限,造成整个网络拥塞,因此,需要用三层交换机进行调整,确保网络畅通。
2 优化单臂路由
要改变单臂路由带来的网络瓶颈,需用三层交换机对二层交换机进行替代,这样,当VLAN不断增多时,相互间通信就在三层交换机上进行。拓扑,如图2所示,具体配置及如下:
主交换机主要配置:
ip routing(务必记得打开交换机路由功能)
interface FastEthernet0/1(设置接口为Trunk)
switchport trunk encapsulation dot1q
switchport mode trunk
interface FastEthernet0/2(设置接口属于vlan10)
switchport access vlan 10
interface FastEthernet0/3(设置接口属于vlan20)
switchport access vlan 20
interface FastEthernet0/4(设置接口属于vlan10)
switchport access vlan 30
interface Vlan1(设置vlan1地址,其为互联接口)
ip address 8.11.168.2 255.255.255.0
interface Vlan10(设置vlan10地址)
ip address 192.168.1.1 255.255.255.0
interface Vlan20(设置vlan20地址)
ip address 192.168.2.1 255.255.255.0
interface Vlan30(设置vlan30地址)
ip address 192.168.3.1 255.255.255.0
ip classless
ip route 0.0.0.0 0.0.0.0 8.11.168.1 (默认静态路由)
且接口fa0/2、fa0/3、fa0/4属于相对应的Vlan。
本级路由器主要配置:
interface FastEthernet0/0(设置互联接口地址)
ip address 8.11.168.1 255.255.255.0
interface Serial2/0(设置互联接口地址)
ip address 172.19.35.2 255.255.255.128
router ospf 1(Ospf路由配置)
redistribute static subnets (静态路由重分布)
network 172.19.35.0 0.0.0.127 area 0
network 8.11.168.0 0.0.0.255 area 0
ip classless
ip route 192.168.1.0 255.255.255.0 8.11.168.2
ip route 192.168.2.0 255.255.255.0 8.11.168.2
ip route 192.168.3.0 255.255.255.0 8.11.168.2
上級路由器主要配置:
interface FastEthernet0/0(设置互联接口地址)
ip address 192.168.30.1 255.255.255.0
interface Serial2/0(设置互联接口地址)
ip address 172.19.35.1 255.255.255.128
router ospf 1(Ospf路由配置)
network 172.19.35.0 0.0.0.127 area 0
network 192.168.30.0 0.0.0.255 area 0
经过优化后,不会因为VLAN间相互通信的增多而影响整个网络的稳定性,且随着主交换机业务增多,VLAN间的相互通信在三层交换机进行,同时,交换数据的速度也大大提高了。
参考文献:
【路由器安全配置策略】推荐阅读:
路由器配置操作步骤12-23
路由器的配置实验报告11-08
H3C交换机路由器配置总结09-11
路由器故障常见路由器故障的解决办法02-21
智能路由器10-10
排除路由器网络故障10-19
电信光纤宽带接路由器02-13
笔记本怎么连接无线路由器05-29
路由器在网络地址转换中的应用网络知识01-17
路由协议实验报告07-02
