华为双出口网络解决方案配置指导命令详解.docx

1、华为双出口网络解决方案配置指导命令详解好网吧 好网络 华为3COM网吧网络解决方案之网关配置指导 华为三康技术有限公司Huawei-3Com Technologies Co., Ltd. 第一部分 配置原则概述随着网络建设和应用的不断深入，网络安全问题正逐渐成为一个突出的管理问题。AR18系列路由器通过多种手段和配置可以控制和管理网络的流量，能够有效地实施各种防攻击策略。尤其在网吧这种复杂的网络环境中，全面合理的配置能够大大提高网络的稳定性和可靠性。由于网吧上网人员数量多、构成复杂、流动性大，因此网络流量具有流量大、协议种类多、流量复杂等特点。一般网吧局域网内均有一定程度主机感染病毒，同时也很

2、容易被用来发起网络攻击，或者被他人攻击，这就对网吧中的核心设备网关提出了较高的要求。本文以AR18系列路由器为例讲解网关在网吧应用中需要注意的配置事项，同时给出了各种组网情况下的典型配置。1 需要注意的配置事项1.1 配置ACL对非法报文进行过滤ACL 是每个安全策略的组成部份，控制和监视什么数据包进入和离开网络几乎是网络安全的定义。尽管路由器的工作是进行数据包的转发而不是阻止它。但是有些数据包我们必须阻止它。1.1.1 进行源IP和目的IP过滤至少应该在所有的接口上对入方向的报文进行过滤。在RFC2827/BCP 38 (Best Current Practice ) 中高度建议使用入口过滤

3、，这不仅可以使你的网络安全，而且可以使其它的网络不会被来自你的网络的伪装的源IP给攻击。许多的网络攻击者使用伪装的源IP地址来隐藏它们的身份，在网络使用了入口过滤功能后，也更加容易定位网络攻击者，因为攻击者必须使用真实的源IP地址。例如：假设局域网接口的IP地址为192.168.1.0/24，广域网接口的IP地址为162.1.1.0/30，在局域网接口可以设置：acl number 3003rule 2000 permit ip source 192.168.1.0 0.0.0.255 rule 3000 deny ip 在广域网接口可以设置：acl number 3001rule 2000

4、permit ip destination 162.1.1.0 0.0.0.3 rule 2001 permit ip destination 192.168.1.0 0.0.0.255 rule 3000 deny ip 在广域网接口也可以通过静态包过滤结合ASPF进行更精确的包过滤和攻击防范。例如：#acl number 3011 rule 160 permit icmp icmp-type echo rule 161 permit icmp icmp-type echo-reply rule 162 permit icmp icmp-type ttl-exceeded rule 206

5、permit tcp destination-port eq telnet rule 3000 deny ip# interface Ethernet1/0 ip address 172.30.79.6 255.255.255.252 firewall packet-filter 3011 inbound firewall aspf 1 outbound# 注意事项：由于目前ASPF对内存和性能的影响较大，网吧应用环境中不建议在AR18系列路由器上进行配置。在所有的出报文都需要进行NAT的情况下一般也没有必要配置ASPF。1.1.2 限制ICMP报文ICMP 报文是另一种我们需要关心的数据包。

6、大量的攻击和病毒使用ICMP报文作为攻击手段。但实际上internet是使用的ICMP绝大部分是ping和traceroute。大量的其它icmp类型并不使用。因此，实际上我们可以仅允许ICMP 的ping echo 和 ping reply 及traceroute 所需要的TTL 开放。其它的均可以关闭。例如：acl number 3001rule 160 permit icmp icmp-type echo rule 161 permit icmp icmp-type echo-reply rule 162 permit icmp icmp-type ttl-exceeded rule 1

7、65 deny icmp 1.1.3 限制netbios协议端口在现今的网络上，充斥着大量的网络扫描。 基于UDP 137, 138 端口的扫描是常见的扫描，UDP 137和UDP138是netbios 的数据报和名字服务。通常情况下，进入到路由器的137和138包是广播包，而路由器在默认情况下是不转发这些广播包的。但在某些情况下，一些扫描工具扫描UDP 137 和UDP138的端口，以图找出主机上的共享文件夹。这种情况下，进入路由器的数据包会是unicast的137和138，而且通常目的地址不停变化。因此我们可以将这些UDP 138和138的数据包通过ACL 挡断。保护用户和网络的安全。例如

8、：acl number 3001rule 31 deny udp destination-port eq netbios-ns rule 41 deny udp destination-port eq netbios-dgm rule 51 deny udp destination-port eq netbios-ssn 1.1.4 限制常见病毒使用的端口一般网吧中存在大量的“冲击波”、“震荡波”等病毒，这类病毒会不断地变化源IP或目的IP进行扫描和发送攻击数据，这会极大地消耗网络设备的资源。笔者曾在一个网吧的实际环境中发现56的上行报文都是“震荡波”病毒的扫描报文。这些病毒一般使用固定的端口

9、，比如TCP/135、TCP/4444、UDP/1434、TCP/5554、TCP/9996等，通过ACL对匹配这些目的端口的报文进行过滤会大大提高网络设备的安全性。例如：acl number 3001rule 10 deny tcp destination-port eq 445 / Worm.Blaster rule 11 deny udp destination-port eq 445 / Worm.Blaster rule 20 deny tcp destination-port eq 135 / Worm.Blaster rule 21 deny udp destination-po

10、rt eq 135 / Worm.Blaster rule 30 deny tcp destination-port eq 137 rule 40 deny tcp destination-port eq 138 rule 50 deny tcp destination-port eq 139 / Worm.Blaster rule 61 deny udp destination-port eq tftp / Worm.Blaster rule 70 deny tcp destination-port eq 593 / Worm.Blaster rule 80 deny tcp destina

11、tion-port eq 4444 / Worm.Blaster rule 90 deny tcp destination-port eq 707 /Nachi Blaster-D rule 100 deny tcp destination-port eq 1433 rule 101 deny udp destination-port eq 1433 rule 110 deny tcp destination-port eq 1434 rule 111 deny udp destination-port eq 1434 / SQL Slammer rule 120 deny tcp desti

12、nation-port eq 5554 / Sasser rule 130 deny tcp destination-port eq 9996 / Sasser1.1.5 关闭没有使用的端口网络中每时每刻都存在大量的扫描报文，扫描软件一般都会先探测目的主机开放了哪些端口。对于常用的应用程序，如www、ftp、tftp等，如果局域网内并没有机器开放这些服务，可以在广域网接口通过ACL对匹配这些目的端口的报文进行过滤。例如：acl number 3001rule 200 deny tcp destination-port eq www rule 202 deny tcp destination-p

13、ort eq ftp rule 204 deny tcp destination-port eq 33891.2 NAT配置注意事项需要使用NAT转换地址池时，应尽量缩小NAT转换地址池的大小，因为地址池越大，占用的内存空间就可能会越大，大的地址池对于内存较小的设备很可能会导致内存耗尽。AR系列路由器上每个NAT转换地址可以支持50000个会话，网吧每台机器正常上网时平均会创建30条会话，因此一般情况下地址池配置1个NAT转换地址就可以满足需求。建议在AR18系列路由器上配置NAT地址池时只配置1个IP地址。例如：nat address-group 1 218.27.192.1 218.27.

14、192.11.3 路由配置注意事项RFC1918中指定的保留的私有地址和其他已知的私有地址不应该存在于现有的internet网络上。可以通过黑洞路由进行过滤。避免局域网中存在攻击时占用大量的快转表项或者NAT表项。例如：ip route-static 10.0.0.0 255.0.0.0 NULL 0 preference 60 ip route-static 169.254.0.0 255.255.0.0 NULL 0 preference 60 ip route-static 172.16.0.0 255.240.0.0 NULL 0 preference 60 ip route-stat

15、ic 192.168.0.0 255.255.0.0 NULL 0 preference 60 ip route-static 198.18.0.0 255.254.0.0 NULL 0 preference 601.4 进行IP-MAC地址绑定由于网吧上网人员比较复杂，可能有人有意或无意地更改IP地址，或者使用网络执法官等软件进行恶意地破坏，通过在网关和客户机上都进行IP-MAC地址绑定（静态ARP），可以有效地防止这类以ARP欺骗为基础的攻击。在网关上可以通过arp static命令对所有的客户机进行静态ARP设置。在客户机上可以建立一个批处理文件放到启动组里，批处理文件的内容就是对网关进

16、行IP-MAC绑定，这样每次启动就都会自动进行设置。客户机设置静态ARP的实例：echo offarp s 192.168.1.1 00-0f-e2-21-a0-011.5 限制P2P应用（根据实际情况可选）P2P应用对于网吧带宽来说是致命杀手，一个P2P客户端就有可能占用总带宽的90以上，这会严重影响网吧的其他用户的正常上网，尤其是玩在线游戏的用户。限制P2P应用有多种方式可以选择，但目前还没有非常有效的方法。下面分别介绍几种常用的方法。1.5.1 通过ACL限制端口通过ACL限制端口。一是只限制P2P的端口，开放所有的其他端口，这种方法有其局限性，因为现在有的p2p软件，端口可以改变，封锁

17、后会自动改端口，甚至可以改到80端口，如果连这个也封，那网络使用就无法正常工作了；二是只开放有用的端口，封闭其他端口，这种方法是对网络进行严格的控制，对简单的小型网络还可行，而如果是大型网络，数据流量又很复杂那么管理的难度将非常大；因此这两种方法对网吧都不太适合。1.5.2 结合QOS和ACL限制端口流量结合QOS和ACL来限制P2P端口的数据流量。因为多数蠕虫病毒和p2p的端口都是大于3000的，当然也有正常的应用是采用3000以上的端口，如果我们将3000以上的端口封闭，这样正常的应用也无法开展，所以折中的方法是对端口3000以上的数据流进行限速。在实际应用中可能需要根据实际情况更改端口号

18、的范围以使对其他应用的影响降低到最小。例如：在广域网接口和QOS结合使用的ACL。acl number 3100 rule 1000 permit tcp destination-port gt 3000 rule 1010 permit udp destination-port gt 3000 在广域网接口配置的QOS。# traffic classifier p2pin operator or if-match acl 3100# traffic behavior p2pin car cir 2048000 cbs 1024000 ebs 0 green pass red discard#

19、 qos policy p2pin classifier p2pin behavior p2pin# interface Ethernet1/0 ip address 162.1.1.2 255.255.255.252 qos apply policy p2pin inbound# 在局域网接口和QOS结合使用的ACL。acl number 3300 rule 1000 permit tcp source-port gt 3000 rule 1010 permit udp source-port gt 3000在局域网接口配置的QOS。# traffic classifier p2pout o

20、perator or if-match acl 3300#traffic behavior p2pout car cir 2048000 cbs 1024000 ebs 0 green pass red discard#qos policy p2pout classifier p2pout behavior p2pout# interface Ethernet3/0 ip address 192.168.1.1 255.255.255.0 qos apply policy p2pout inbound #1.5.3 限制单机的NAT会话数以后的VRP软件会支持NAT的单用户限制，即可以对做地址

21、转换的单个IP限制其NAT的TCP连接数，因为P2P类软件如BT的一大特点就是同时会有很多的连接数，从而占用了大量的NAT表项，因此应用该方法可有效限制BT的使用，比如我们为IP 192.168.1.2设置最大的NAT表项数为100；正常的网络访问肯定够用了，但如果使用BT，那么很快此IP的NAT表项数会达到100，一旦达到峰值，该IP的其他访问就无法再进行NAT转换，必须等到部分NAT表项失效后，才能再次使用，这样既有效的保护了网络的带宽，也达到了警示的作用。1.5.4 在客户机上通过软件限制在客户机上通过软件设置来禁止使用P2P软件。有很多网吧管理软件可以根据需要禁止各种软件的运行，建议需

22、要禁止P2P应用的网吧采用这种方式。以上我们总结了目前可用的限制P2P软件的一些方法，具体采用哪种方法只能根据具体网络的状况来定，当然也可以将几种方法结合起来使用。2 附：限制常见P2P软件端口的ACL acl number 3100rule 1000 deny tcp destination-port eq 2710 rule 1010 deny tcp destination-port eq 6969 rule 1020 deny tcp destination-port range 8881 8999 rule 1030 deny tcp destination-port eq 1013

23、7 rule 1040 deny tcp destination-port eq 16881 rule 1050 deny tcp destination-port range 4661 4662 rule 1060 deny udp destination-port eq 4665 rule 1070 deny udp destination-port eq 4672 第二部分 典型配置实例1 单出口典型配置 这类网吧只有一个到ISP的出口，是最常见的一种情况，网络拓扑比较简单，下面根据局域网内的主机地址是私网IP地址还是公网IP地址分为两种情况举例。1.1 局域网内的主机地址是私网IP地址

24、网络拓扑图如图1所示，AR18-22-24通过142.1.1.0/30网段和ISP相连，局域网内的IP地址段是192.168.1.0/24，局域网内的主机上网需要通过AR18-22-24进行NAT转换。 图1 单出口需要进行NAT转换拓扑图Quidway display current-configuration# sysname Quidway# clock summer-time BJ repeating 00:00:00 06/01/2000 23:59:59 08/31/2000 01:00:00# clock timezone Peking add 08:00:00# FTP ser

25、ver enable# firewall enable# flow-interval 5# web set-package force flash:/http.zip#radius scheme system#domain system#local-user admin password cipher .USE=B,53Q=QMAF41! service-type telnet terminal level 3 service-type ftp# 配置进行NAT转换时引用的ACL。acl number 2001 rule 10 permit source 192.168.1.0 0.0.0.2

26、55# 配置在接口上应用的过滤规则，主要用于攻击防范，强烈建议配置。acl number 3001 rule 10 deny tcp destination-port eq 445 rule 11 deny udp destination-port eq 445 rule 20 deny tcp destination-port eq 135 rule 21 deny udp destination-port eq 135 rule 30 deny tcp destination-port eq 137 rule 31 deny udp destination-port eq netbios-

27、ns rule 40 deny tcp destination-port eq 138 rule 41 deny udp destination-port eq netbios-dgm rule 50 deny tcp destination-port eq 139 rule 51 deny udp destination-port eq netbios-ssn rule 61 deny udp destination-port eq tftp rule 70 deny tcp destination-port eq 593 rule 80 deny tcp destination-port

28、eq 4444 rule 90 deny tcp destination-port eq 707 rule 100 deny tcp destination-port eq 1433 rule 101 deny udp destination-port eq 1433 rule 110 deny tcp destination-port eq 1434 rule 111 deny udp destination-port eq 1434 rule 120 deny tcp destination-port eq 5554 rule 130 deny tcp destination-port e

29、q 9996 rule 141 deny udp source-port eq bootps rule 160 permit icmp icmp-type echo rule 161 permit icmp icmp-type echo-reply rule 162 permit icmp icmp-type ttl-exceeded rule 165 deny icmp rule 2002 permit ip destination 142.1.1.2 0 rule 3000 deny ipacl number 3003 rule 10 deny tcp destination-port e

30、q 445 rule 11 deny udp destination-port eq 445 rule 20 deny tcp destination-port eq 135 rule 21 deny udp destination-port eq 135 rule 30 deny tcp destination-port eq 137 rule 31 deny udp destination-port eq netbios-ns rule 40 deny tcp destination-port eq 138 rule 41 deny udp destination-port eq netb

31、ios-dgm rule 50 deny tcp destination-port eq 139 rule 51 deny udp destination-port eq netbios-ssn rule 61 deny udp destination-port eq tftp rule 70 deny tcp destination-port eq 593 rule 80 deny tcp destination-port eq 4444 rule 90 deny tcp destination-port eq 707 rule 100 deny tcp destination-port eq 1433 rule 101 deny udp destination-port eq 1433 rule 110 deny tcp destination-port eq 1434 rule 111 deny udp destination-port eq 1434 rule 120 deny tcp destination-port eq 55