HSRP双组双备份试验

Posted on 2009-08-04 by

HSRP

HSRP双组双备份试验

1.初始化:

no ip domain-lookup
alias exec a show ip route
alias exec b show ip interface brief
alias exec c show running

line con 0
no exec-t
logging synchronous

line aux 0
no exec-t
logging synchronous

line vty 0 4
no exec-t
password cisco
login
logging synchronous
exit

 

PC1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
PC1(config)#no ip routing
PC1(config)#ip default-gateway 192.168.1.100
PC1(config)#int f0/0
PC1(config-if)#ip add 192.168.1.50 255.255.255.0
PC1(config-if)#no sh
PC1(config)#int f0/0
PC1(config-if)#duplex full (no cdp enable)

 
PC2(config)#no ip routing
PC2(config)#ip default-gateway 192.168.2.100
PC2(config)#int f1/0
PC2(config-if)#ip add 192.168.2.50 255.255.255.0
PC2(config-if)#no sh
PC2(config)#int f1/0
PC2(config-if)#duplex full  (no cdp enable)

 
R1(config)#int f0/0
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int f1/0
R1(config-if)#ip add 192.168.2.1 255.255.255.0
R1(config-if)#no sh
R2(config)#int f0/0
R2(config-if)#ip add 192.168.1.2 255.255.255.0
R2(config-if)#no sh
R2(config-if)#int f1/0
R2(config-if)#ip add 192.168.2.2 255.255.255.0
R2(config-if)#no sh
R2(config)#int f0/0
R2(config-if)#duplex full
R2(config-if)#int f1/0
R2(config-if)#duplex full 

 

 2.HSRP配置

R1(config)#int f0/0
R1(config-if)#standby 100 ip 192.168.1.100
R1(config-if)#standby 100 priority 200   (组100里面的活跃路由器,设置优先级默认100)
R1(config)#int f1/0
R1(config-if)#standby 200 ip 192.168.2.100

R2(config)#int f0/0
R2(config-if)#standby 100 ip 192.168.1.100
R2(config-if)#int f1/0
R2(config-if)#standby 200 ip 192.168.2.100
R2(config-if)#standby 200 priority 200

++++++++++++++++++++++++++++++++++++++++

R1#sh standby bri
                   P indicates configured to preempt.
                   |
Interface Grp  Pri P State   Active          Standby         Virtual IP
Fa0/0     100  200   Active  local           192.168.1.2     192.168.1.100
Fa1/0     200  100   Active  local           192.168.2.2     192.168.2.100

Fa0/0 在组100里面是活跃的,备份的是192.168.1.2
Fa1/0 在组200里面是活跃的,备份的是192.168.2.2(这个不满足我们的要求,应该反过来,因为我们先启动和后

启动HSRP,产生的这个效果。)
R2#sh standby bri
                   P indicates configured to preempt.
                   |
Interface Grp  Pri P State   Active          Standby         Virtual IP
Fa0/0     100  100   Standby 192.168.1.1     local           192.168.1.100
Fa1/0     200  200   Standby 192.168.2.1     local           192.168.2.100
Fa0/0 在组100里面是备份的,活跃的是192.168.1.1
Fa1/0 在组200里面是备份的,活跃的是192.168.2.1(这个不满足我们的要求,应该反过来,优先级大的没有为活

跃路由器)
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

3.抢占模式配置(谁的优先级大谁是活跃的)

R2(config-if)#standby 200 preempt

+++++++++++++++++++++++++
R2#sh standby bri
                   P indicates configured to preempt.
                   |
Interface Grp  Pri P State   Active          Standby         Virtual IP
Fa0/0     100  100   Standby 192.168.1.1     local           192.168.1.100
Fa1/0     200  200 P Active  local           192.168.2.1     192.168.2.100

R1#sh standby bri
                   P indicates configured to preempt.
                   |
Interface Grp  Pri P State   Active          Standby         Virtual IP
Fa0/0     100  200   Active  local           192.168.1.2     192.168.1.100
Fa1/0     200  100   Standby 192.168.2.2     local           192.168.2.100  (现在满足要求谁的优先级大谁就把活跃的路由器抢掉)
++++++++++++++++++++++++++

R1(config)#int f0/0
R1(config-if)#standby 100 preempt
R1(config-if)#int f1/0
R1(config-if)#standby 200 preempt

R2(config)#int f0/0
R2(config-if)#standby 100 preempt

 
PC1#ping 192.168.2.50

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.50, timeout is 2 seconds:
!!!!!

当R1 F0/0 Down 掉, R2的F0/0 备份变为活跃的。

3.端口跟踪配置
当R1的F1/0 Down掉。默认组100不知情,PC1把数据发给F0/0,结果不通

在R1的F0/0 设置跟踪,F1/0 当F1/0 出现错误,自动降低优先级把活跃的路由器让出来变成备份的。
R1的F0/0 优先级为200 ,R2的F0/0为100 默认的话降低10 ,200-10 =190,190>100降不下来,所以手动指定降低101

R1(config)#int f0/0

R1(config-if)#standby 100 track f1/0   (默认减10,达不到效果)
R1(config-if)#standby 100 track f1/0 101

 

热备份路由器

作用:用户缺省路由器第一跳冗余备份。
目的:实现缺省路由器高可用性。

功能:
大多数主机系统,缺省路由器选项只能设定一台路由器的ip地址。(即便在一个网路有多台路由器,主机也只能用一台路由器作为缺省路由器,这样做不高高可用性的要求,一旦缺省路由器死掉,即便有其他的路由器也不能自动成为主机的缺省路由器在这中情况诞生了HSRP协议)

HSRP 协议:能够把一台或着多台路由器用做备份目的,这种热备份是在当前主用路由器不能正常工作的时候候补路由器实现平滑的替换不被用户察觉

HSRP 是一组路由器在协议控制下形成一个虚拟的高可用路由器,为终端用户提供服务

解决了单一故障点的问题

HSRP,之前其他类似功能的协议 Proxy ARP

Proxy ARP :主机设置的网路范围大于实际的网络范围(主机设置的掩码长度短于真实的掩码长度)

主机发送一个到目的节点的ip数据包,当然主机认为目的主机节点和自己在同一个网络,处于同一个网络的2台主机需要用ARP解析IP地址所对应的MAC地址,主机发送一个ARP请求我需要到达172.16.3.127,
主机期待对方给出回应,回应中会包含3.127的地址,然后源主机用这个MAC地址封帧,然后用下层传输方法把这个IP数据包传送到目的地

当前的网络没有目的主机。只有2台路由器,那么路由器回应给源主机

(例如R2 说你要找的3.127这台主机他的MAC地址是0010.0b79.58000 也就是说路由器欺骗了源主机说我这是MAC地址就是你要找的MAC地址,实际路由器将源主机发送的数据包通过这种方式引到路由器上来,当然路由器对这个包做路由分析决策,做转发。在这个过程中利用了代理了ARP机制 :路由器不是目标主机,但它代理目标主机回应了源主机ARP的请求,利用这种代理ARP机制使得多台路由器可以运行工作)

每台路由器都可以发送ARP回应的代理ARP消息

Proxy ARP 缺点
ARP 有缓存时间一次查询时间后,这种数据(ARP绑定的信息会在源主机缓存相当长的时间在Windows600秒,在600秒是时间内缺省路由器发生了改变,源主机绑定的ARP关系不会立刻改变的,照成网络收敛速度减慢

HSRP组(是一逻辑的概念)
在一个组中要包含多台路由器,第一台路由器叫做主用的路由器,例外一台叫备用路由器,主用备用的路由器和其他路由器形成一虚拟路由器,这个虚拟的路由器才是终端用户面临的路由器,虚拟的路由器有可能运行在主用和备用路由器之上也可能运行在备用路由器之上

主路由器是.1备用是.2 他们支持虚拟的路由器.3 。用户端就是.3

虚拟的路由器:
(优先级+MAC)优先级高的被使用
有自己的MAC有IP地址:0000.eca7.ac0a

0000.0c 是产商编号
07.ac HRC众所周知的MAC地址
dk2 HRC组的编号

主备路由器交互
依靠:HSRP 协议数据包来交互
当备用路由器收不到主路由器的包

HSRP 协议数据包 结构

Vresion 1 Op code

Posted in ccnp, procotol | Tagged | Leave a comment

理性选择宽带 ADSL多大的带宽最适合你

Posted on 2009-07-26 by

宽带提速似乎成为今年的一个潮流,无论是网通还是电信,都在高喊提速。细心的用户不难发现,宽带提速的背后其实是一种变相的提价,以北京网通为例,2Mbps的ADSL与1Mbps的ADSL资费差距高达42元每月,与512Kbps的ADSL资费差距达68元每月。如果用户上网仅仅是浏览网页,收发邮件,用2Mbps带宽的ADSL没必要。为此,ADSL宽带用户要理性消费,根据需求选择合适带宽的ADSL。

     每位ADSL宽带用户的互联网应用不尽相同,用户对于这些互联网应用所需要的带宽也不熟悉。要想理性消费,用户必须对各种常见互联网应用所需要的带宽有一个充分的了解。

    常见互联网应用需要多大带宽?

     对于众多的ADSL宽带用户而言,最大的困惑就是512Kbps的带宽可以做什么,1Mbps带宽可以做什么,2Mbps带宽又可以做什么?在实际应用中,用户到底需要多大的带宽。用户要想合理选择一种合适的带宽,必须明白日常的互联网应用对带宽的消耗。

     就国内网民上网行为来分析,大多数用户上网的目的是为了休闲娱乐,浏览网页,使用BT等P2P下载软件下载流行大片或时尚音乐,还有一部分用户上网是为了打网络游戏。在了解互联网应用对带宽的消耗之前,必须弄清楚网络速度与下载速度之间的关系,因为很多用户经常混淆这个概念,而一些互联网应用所消耗的带宽经常用下载速度做参照。

011

在互联网世界里,网络速度的基本单位是bps即比特位每秒,下载速度是Byte/S,简写为B/S,在一些书面资料中,一定要注意bps与B/S的区别。bps是bits per second的缩写,指每秒可以传输多少比特位数据,1比特位数据所占的磁盘空间大小为1/8字节(Bytes)。

     其中1kbps=1024bps,1Mbps=1024kbps,也就是说,1Mbps带宽的ADSL,用下载速度来形容的话是1024/8=125KB/S,一秒钟可以下载125KB数据。通俗地说,宽带的理论下载速度等于带宽除以8,由于宽带线路会有损耗,实际下载速度与理论下载速度通常会有20%左右的差距。

     在线音乐,浏览网页,网络游戏,P2P下载是国内网民的几种常用互联网消费,这些互联网消费对带宽的消耗如下:

    浏览网页:以IT168家庭组网频道为例,该页面的所占的磁盘空间大小在80KB左右,流畅浏览该网页的标准是下载该页面所用时间不超过2秒,每秒必须下载40KB数据,所需要的带宽为40*8=320Kbps。

021

  在线音乐:一般来讲,能够非常流畅的欣赏在线音乐,所需要的带宽至少要在300Kbps以上,如果是音质比较高的在线音乐,在线欣赏所需要的带宽也更高。能够流畅欣赏在线MTV,所需要的带宽至少在1Mbps以上,高清晰度电影至少需要2Mbps以上的带宽。

    网络游戏:网络游戏并非带宽消耗大户,大多数网络游戏,在进入游戏时对带宽的要求比较高,游戏运行时所需要的带宽就非常小了。平均下来,一款网络游戏所需要的带宽在80Kbps左右,一些非3D的网络游戏,所需要的带宽在40Kbps左右,电话拨号上网都可以满足需求。

    P2P相关应用:众所周知,P2P下载及在线视频等相关应用对于网络带宽并没有什么严格的要求,带宽越大,下载速度越快。由于P2P下载速度与ADSL宽带的上行速率有关,上行40KB/S的宽带才能达到最佳的下载速度,转化为带宽即上行320Kbps的宽带才能使用P2P下载应用。如果使用P2P等在线影视程序,只200Kbps的下行带宽即可以流畅运行。

     从上文的叙述可以知道常见互联网应用对带宽的需求,目前,电信运营商所推出的ADSL宽带速率有512Kbps,1Mbps,2Mbps,只有部分地区提供了8Mbps以上的ADSL宽带接入服务。512Kbps和1Mbps的宽带可以做些什么呢?

你的ADSL能承载哪些互联网应用?

     目前,2Mbps带宽的ADSL宽带是主流,北京、上海等一些大城市的ADSL宽带主流速率仍然在512Kbps与1Mbps,罕有城市提供2Mbps速率的ADSL宽带接入服务。在实际应用中,上述速率的ADSL宽带能够承载哪些互联网应用呢?

    512Kbps的ADSL:

    通常情况下,512Kbps的ADSL宽带,其理论下行速率为512Kbps,理论上行速率为256Kbps,部分地区的上行速率仅为128Kbps。由于ADSL宽带在实际应用中会有一定的损耗,加之提供512Kbps速率ADSL接入服务的城市ADSL宽带普及率高,宽带资源相对资源,这种情况下,速率为512Kbps的ADSL宽带,其实际速率约在450-480Kbps之间。

     从上文的叙述中可以得知,即便是流畅的浏览网页,至少需要320Kbps的网络带宽。512Kbps的ADSL宽带完全可以胜任流畅浏览网页的需要,但无法胜任在线音乐及在线视频等互联网应用,更无法胜任P2P相关应用这个时髦的互联网应用。不过,512Kbps的ADSL宽带,完全可以承载网络游戏这个互联网应用。

 

031

 

1Mbps的ADSL:

     目前,1Mbps的ADSL宽带,无论是网通还是电信,所提供的理论下行带宽为1024Kbps,上行速率为512Kbps。除去ADSL宽带的传输损耗,1Mbps的ADSL宽带在实际应用中,下行速率可以稳定在960Kbps左右,上行速率可以稳定在480Kbps左右。就目前常见的互联网应用而言,无论是流畅的浏览网页,还是在线音乐,以及网络游戏,还有时髦的P2P下载都可以胜任。

     在ADSL线路传输质量非常好的地区,1Mbps的ADSL宽带可以非常流畅的欣赏在线电影。不过,在实际应用中,大部分地区的1Mbps   ADSL宽带无法流畅的欣赏在线电影,这不得不说是一大软肋。

    2Mbps的ADSL:

     按规定,2Mbps带宽的ADSL宽带,其理论下行带宽为2048Kbps,上行带宽为512Kbps。一些地区的电信运营商为了吸引用户,自行修改了速率文件,将上行带宽扩大第一代ADSL的最大理论带宽640Kbps。在实际应用中,速率为2Mbps的ADSL带宽损耗可以忽略不计。

041

速率为2Mbps的ADSL

     上行速率为512Kbps下行速率为2048Kbps的宽带,完全可以承载浏览网页、网络游戏、在线音乐、在线电影及P2P下载等常见的互联网应用。即便是对带宽要求比较高的高清晰电影,2Mbps的ADSL也能胜任。显然,上行速率为640Kbps的ADSL宽带,也可以应付各种常见的互联网应用。

     既然2Mbps的ADSL就可以胜任目前各种常见的互联网应用,4Mbps或8Mbps以及12Mbps的ADSL可以承载的互联网应用毋需多言。在带宽与资费成正比的今天,用户到底选择多大带宽的ADSL呢?

理性选择合适带宽的ADSL宽带

     用户自然想选择一种带宽比较大的ADSL宽带,可一个非常现实的问题是,带宽越大,宽带资费也越高。以北京为例,网通512Kbps的ADSL宽带,包月费用为120元;1Mbps的ADSL宽带包月费用为138元;而2Mbps的ADSL宽带,包月费用为188元,而且必须包年才可以使用2Mbps的ADSL服务。巨大的价格差之下,用户必须选择一个合适带宽的ADSL宽带。

05

 

除了北京之外,其他地区的ADSL宽带资费也是与速率成正比的。这种情况之下,用户必须谨慎的选择带宽。对于上网只浏览网页,收发邮件的用户来说,512Kbps的ADSL完全可以胜任,这种情况之下,用户没有必要申请1Mbps的ADSL。

     如果用户上网既要浏览网页,收发邮件,还要欣赏在线音乐及一些时髦的影视大片,可以先申请1Mbps的ADSL,如果该地区的带宽损耗比较大,用户可以申请2Mbps的ADSL服务。

     在理性选择合适带宽的ADSL宽带时,除了考虑自己的互联网应用需求外,还要考虑到以下几个因素:

    1、ADSL宽带线路损耗:

     每个地区的ADSL宽带线路传输质量不同,用户在选择带宽时,必须将ADSL宽带的线路损耗考虑在内。打个比方讲,用户要满足自己的互联网应用,需要900Kbps左右的带宽,而当地的ADSL宽带传输质量比较差,1Mbps的ADSL宽带,其实际下行速率仅在800Kbps,这种情况下,用户只能申请2Mbps的ADSL。

    2、当地ADSL用户数量:

     在实际应用中,当地ADSL用户的数量,也会影响ADSL宽带的实际速率。在用户稀少的地区,物理传输线路质量相当的情况下,1Mbps的ADSL宽带,其实际速率为960Kbps左右;而在用户多的地区,同样的物理传输线路,1Mbps的ADSL宽带,其实际速率可以仅为800Kbps甚至500Kbps。

     在选择合适的带宽时,用户不仅要考虑自己所需要的互联网应用,还要根据当地的网络状况及网络容量进行选择,因为这些因素都会影响ADSL宽带的实际传输速度。申请了合适的带宽之后,不少用户备感困惑,如何测试电信运营商分配给自己的带宽是否缩水。

如何判断自己的带宽没缩水

     电信运营商分配给ADSL用户的带宽看不见摸不着,如何判断自己的带宽没有缩水呢?其实,通过一些方法,用户可以看到电信运营商分配给自己的真实带宽。

    1、查看ADSL宽带Modem信息:

     电信运营商分配给ADSL用户的实际带宽,用户可以在ADSL宽带Modem的系统状态中查看。ADSL用户的宽带Modem在初始化时,会与电信运营商局端的Modem握手,局端Modem会把ADSL用户所占用的端口相关信息传送过来,包括电信运营商分配给ADSL用户的实际带宽。如图所示,我们可以看到该ADSL用户的实际带宽。

 

06

 

 2、用下载速度测试:

     查看ADSL宽带Modem信息所得到的带宽是ADSL用户的理论带宽,要想准确的知道自己的实际带宽,可以用下载的方法进行测试。ADSL用户可以登录所在地的信息港或者电信运营商自己的网站,找一个软件进行下载,根据下载速度来判断自己的ADSL带宽。

     笔者是网通用户,在当地的网通信息港下载一个文件,平均下载速度为1.23MB/S,从上述的叙述可以得知,笔者的实际带宽为1.23*8=9.84Mbps,考虑到线路损耗的因素,笔者的ADSL带宽应该是10Mbps。实际上,电信运营商分配给笔者的实际带宽是10Mbps。

     用下载速度测试时,考虑到线路损耗的因素,下载速度会与理论下载速度有差异。在进行下载测试时,尽量选择网络空闲时进行,而且要多次下载同一软件,将结果平均一下,这样所得到的结果更贴近真实。需要说明的是,用下载速度来测试电信运营商分配的带宽,一定要选择该运营商的直属站点,这样才能保证数据的可信度。

    3、专业测速网站:

     一些专业的网站提供了测试网络速度的网站,用户登录该网站后,点击“网络测试”,系统会给出该用户当前的网络速度。其实,该种方法的本质是测试一个asp页面的打开速度,然后通过计算得出用户的网络速度。在所有测试网络速度的方法中,用测速网站测试网络速度的方法失真最大。

 

07

网络测速网站

     综上所述,最精确的测试网络速度方法就是通过查看ADSL宽带Modem信息和下载速度相结合,由此可以得知电信运营商分配给用户的真实带宽。

     最近一段时间,宽带提速呼声不断高涨,宽带资费也随着网络速度的提高而升高。对于网民而言,要想不花冤枉钱,必须理性消费,根据自己的应用情况选择合适的带宽,并且要学会测试电信运营商分配给自己的实际带宽,保障自己的切身利益。

Posted in zuwang | Leave a comment

思科ASA防火墙精华配置总结

Posted on 2009-07-19 by

防火墙已经从PIX发展到ASA了,IOS也已经从早期的6.0发展到7.2。但总体的配置思路并没有多少变化。只是更加人性化,更加容易配置和管理了。
下面是我学习以来的配置总结,有些东西是6.3版本的,但不影响在7.*版本的配置。

一:6个基本命令: nameif、 interface、 ip address 、nat、 global、 route。

二:基本配置步骤:
step1: 命名接口名字
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50

**7版本的配置是先进入接口再命名。

step2:配置接口速率

interface ethernet0 10full auto
interface ethernet1 10full auto
interface ethernet2 10full

step3:配置接口地址

ip address outside 218.106.185.82
ip address inside 192.168.100.1 255.255.255.0
ip address dmz 192.168.200.1 255.255.255.0

step4:地址转换(必须)

* 安全高的区域访问安全低的区域(即内部到外部)需NAT和global;
nat(inside) 1 192.168.1.1 255.255.255.0
global(outside) 1 222.240.254.193 255.255.255.248

*** nat (inside) 0 192.168.1.1 255.255.255.255 表示192.168.1.1这个地址不需要转换。直接转发出去。

* 如果内部有服务器需要映射到公网地址(外网访问内网)则需要static和conduit或者acl.
static (inside, outside) 222.240.254.194 192.168.1.240
static (inside, outside) 222.240.254.194 192.168.1.240 10000 10

后面的10000为限制连接数,10为限制的半开连接数。

conduit permit tcp host 222.240.254.194 eq www any
conduit permit icmp any any (这个命令在做测试期间可以配置,测试完之后要关掉,防止不必要的漏洞)

ACL实现的功能和conduit一样都可实现策略访问,只是ACL稍微麻烦点。conduit现在在7版本已经不能用了。
Access-list 101 permit tcp any host 222.240.254.194 eq www
Access-group 101 in interface outside (绑定到接口)

***允许任何地址到主机地址为222.240.254.194的www的tcp访问。

Step5:路由定义:
Route outside 0 0 222.240.254.193 1
Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1

**如果内部网段不是直接接在防火墙内口,则需要配置到内部的路由。

Step6:基础配置完成,保存配置。
Write memory write erase 清空配置
reload

Posted in ccnp | Leave a comment

PIX防火墙的实际应用配置

Posted on 2009-07-19 by
PIX:一个合法IP完成inside、outside和dmz之间的访问   现有条件:

  100M宽带接入,分配一个合法的IP(222.134.135.98)(只有1个静态IP是否够用?);Cisco防火墙PiX515e-r-DMZ-BUN1台(具有Inside、Outside、DMZ三个RJ45接口)!

  请问能否实现以下功能:

  1、内网中的所有用户可以防问Internet和DMZ中的WEB服务器。

  2、外网的用户可以防问DMZ区的Web平台。

  3、DMZ区的WEB服务器可以防问内网中的SQL数据库服务器和外网中的其它服务器。

  注:DMZ区WEB服务器作为应用服务器,使用内网中的数据库服务器。

  解决方案:

  一、 概述

  本方案中,根据现有的设备,只要1个合法的IP地址(电信的IP地址好贵啊,1年租期10000元RMB),分别通过PIX515所提供的NAT、PAT、端口重定向、ACL和route功能完全可以实现所提的功能要求。

  二、 实施步骤

  初始化Pix防火墙:

  给每个边界接口分配一个名字,并指定安全级别

pix515e(config)# nameif ethernet0 outside security0
pix515e(config)# nameif ethernet1 inside security100
pix515e(config)# nameif ethernet2 dmz security50

 

 

 

 

 

给每个接口分配IP地址

pix515e(config)# ip address outside 222.134.135.98 255.255.255.252

pix515e(config)# ip address inside 192.168.1.1 255.255.255.0

pix515e(config)# ip address dmz 10.0.0.1 255.255.255.0

  为Pix防火墙每个接口定义一条静态或缺省路由

pix515e(config)# route outside 0.0.0.0 0.0.0.0 222.134.135.97 1
(通过IP地址为222.134.135.97的路由器路由所有的出站数据包/外部接口/)
pix515e(config)# route dmz 10.0.0.0 255.255.255.0 10.0.0.1 1
pix515e(config)# route inside 192.168.1.0 255.255.255.0 192.168.1.1 1
pix515e(config)# route outside 222.134.135.96 255.255.255.252 222.134.135.98 1

 

 

 

 

 

 

 

配置Pix防火墙作为内部用户的DPCH服务器

pix515e(config)# dhcpd address 192.168.1.2-192.168.1.100 inside
pix515e(config)# dhcpd dns 202.102.152.3 202.102.134.68
pix515e(config)# dhcpd enable inside

 

 

 

1、配置Pix防火墙来允许处于内部接口上的用户防问Internet和堡垒主机

  同时允许DMZ接口上的主机可以防问Internet

  通过设置NAT和PAT来实现高安全级别接口上的主机对低安全级别接口上的主机的防问。

  (1)命令如下:

pix515e(config)# nat (inside) 10 192.168.1.0 255.255.255.0
pix515e(config)# nat (dmz) 10 10.0.0.0 255.255.255.0
pix515e(config)# global (outside) 10 interface
pix515e(config)# global (dmz) 10 10.0.0.10-10.0.0.254 netmask 255.255.255.0

 

 

 

 

 

 

(2)第一个nat命令允许在安全级别为100的内部接口上的主机,去连接那些安全级别比它低的接口上的主机。在第一个命令中,低安全级别接口上的主机包括外部接口上的主机和非军事区/DMZ/上的主机。第二个nat命令允许在安全级别为50的DMZ上的主机,去连接那些安全级别比它低的接口上的主机。而在第二个命令中,低安全级别的接口只包含外部接口。

  (3)因为全局地址池和nat (inside)命令都使用nat_id为10,所以在192.168.1.0网络上的主机地址将被转换成任意地址池中的地址。因此,当内部接口上用户访问DMZ上的主机时,它的源地址被转换成global (dmz)命令定义的10.0.0.10-10.0.0.254范围中的某一个地址。当内部接口上的主机防问Internet时,它的源地址将被转换成global (outside)命令定义的222.134.135.98和一个源端口大于1024的结合。

  (4)当DMZ上用户访问外部主机时,它的源地址被转换成global (outside)命令定义的222.134.135.98和一个源端口大于1024的结合。Global (dmz)命令只在内部用户访问DMZ接口上的Web服务器时起作用。

  (5)内部主机访问DMZ区的主机时,利用动态内部NAT——把在较安全接口上的主机地址转换成不太安全接口上的一段IP地址或一个地址池(10.0.0.10-10.0.0.254)。内部主机和DMZ区的主机防问Internet时,利用PAT——1个IP地址和一个源端口号的结合,它将创建一个惟一的对话,即PAT全局地址(222.134.135.98)的源端口号对应着内部或DMZ区中的唯一的IP地址来标识唯一的对话。PAT全局地址(222.134.135.98)的源端口号要大于1024.理论上,在使用PAT时,最多可以允许64000台内部主机使用一个外部IP地址,从实际环境中讲大约4000台内部的主机可以共同使用一个外部IP地址。)

  2、 配置PIX防火墙允许外网的用户可以防问DMZ区的Web服务器

  通过配置静态内部转换、ACL和端口重定向来实现外网对DMZ区的Web防问。

  (1)命令如下

static (dmz,outside) tcp interface www 10.0.0.2 www dns netmask 255.255.255.255 0 0
access-list outside_access_in line 1 permit tcp any interface outside
access-group 101 in interface outside

 

 

 

 

 

 

(2)PIX防火墙静态PAT所使用的共享全局地址可以是一个惟一的地址,也可以是一个共享的出站PAT地址,还可以与外部接口共享一个地址。

  (3)Static静态转换中“DNS”表示进行“DNS记录转换”

  DNS记录转换应用在当内部的主机通过域名连接处于内部的服务器,并且用来进行域名解析的服务器处于PIX防火墙外部的情况下。

  一个处于内网中的客户端通过域名向地址为10.0.0.2的Web服务器发送一个HTTP请示。首先要通过PIX防火墙外部接口上的DNS服务器进行域名解析,因此客户端将DNS解析请求包发送到PIX防火墙上。当PIX防火墙收到客户端的DNS解析请求包时,将IP头中不可路由的源地址进行转换,并且将这个DNS解析请求转发到处于PIX防火墙外部接口上的DNS服务器。DNS服务器通过A-记录进行地址解析,并将结果返回到客户端。当PIX防火墙收到 DNS解析回复后,它不仅要将目的地址进行转换,而且还要将DNS解析回复中的地址替换成Web服务器的实际地址。然后PIX防火墙将DNS解析发回客户端。这样所产生的结果是,当客户端收到这个DNS解析回复,它会认为它与Web服务器处于内部网络中,可以通过DMZ接口直接到达。

  3、DMZ区的WEB服务器可以防问内网中的SQL数据库服务器和外网中的其它服务器

  通过静态内部转换可以实现DMZ区的主机对内网中的主机的防问。

  (1)命令如下:

static (inside,dmz) 10.0.0.9 192.168.1.200 netmask 255.255.255.255 0 0
access-list dmz_access_in line 1 permit tcp any any
access-group dmz_access_in in interface dmz

 

 

 

  

 

 

(2)静态内部地址转换可以让一台内部主机固定地使用PIX防火墙全局网络中的一个地址。使用Static命令可以配置静态转换。Static命令创建一个在本地IP地址和一个全局IP地址之间的永久映射(被称为静态转换槽或xlate),可以用来创建入站和出站之间的转换。

  除了Static命令之外,还必须配置一个适当的访问控制列表(ACL),用来允许外部网络对内部服务器的入站访问。

 

 

 

 

 

 
Posted in ccnp | Leave a comment

华为Secpath典型配置案例

Posted on 2009-07-19 by

 一:时间段访问控制列表(ACL)
 

功能需求及组网说明:

01

『组网需求』:

要求内部用户,在8:00-12:00和13:30-18:00可以出公网,其它的时间都不可以出公网

『配置实例』:

1.在系统视图下配置时间段:

[Secpath] time-range huawei1 08:00 to 18:00 daily

[Secpath] time-range huawei2 12:00 to 13:30 daily

 

2.配置高级访问控制列表:

[Secpath] acl number 3001

[Secpath-acl-adv-3001] rule deny ip time-range huawei2

[Secpath-acl-adv-3001] rule permit ip time-range huawei1

[Secpath-acl-adv-3001] rule deny ip

 

3.进入内网接口视图,下发时间段ACL规则:

[Secpath-GigabitEthernet0/1] firewall packet-filter 3001 inbound

 

4.对于其它的规则配置请查看操作手册。

 

『注意事项』:

1、在同一个名字下可以配置多个时间段,这些时间段是“或”关系。

2、在SECPATH系列产品中,只有SECPATH10F是不可以保存系统时间的,重启设备后,时间就会丢失。

3、要将基于MAC地址的访问控制列表应用到接口上,防火墙必须工作在透明模式下,否则系统会提示“Please firstly active the Transparent mode !”。

 

二:地址转换NAT
 

『配置实例』:

 1.配置域名与外部地址、端口号、协议类型之间的映射。

[Secpath] nat dns-map www.zc.com 10.153.49.197 80 tcp

[Secpath] nat dns-map ftp.zc.com 10.153.49.197 21 tcp

 

 2.相关NAT地址转换及映射配置,请参考手册。

 

『注意事项』:

 1、地址池转换方式是实现多对多地址转换

 2、NAPT的转换方式是多对一地址转换。

 3、NAT ALG是解决特殊协议穿越NAT的一种常用方式,此种方式对载荷中的IP地址和端口号进行替换,从而实现对该协议的透明中继。目前VRP的NAT ALG支持PPTP、DNS、FTP、ILS、NBT、SIP、H.323等协议。

 

功能需求及组网说明

 02

 

三:防火墙特性

3.1        透明模式
 
『功能说明』:
 当防火墙工作在透明模式时,防火墙表现为透明网桥,但防火墙和网桥存在不同,因为防火墙收到IP报文后,会到上层进行
相关过滤处理,此外还可防攻击检查,如ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等功能。而网桥是不行的。

 

『配置实例』:

1.  配置防火墙工作在透明模式:(必配)

[Secpath]firewall mode transparent

 

2.  配置防火墙的管理IP地址,此地址可用在TELNET、SNMP等管理中。

[Secpath]firewall system-ip 192.168.1.1 255.255.255.0

 

3.  配置防火墙对未知目的MAC地址的IP报文的处理方式。默认情况单播采用“arp”方式处理,广播和组播都是采“drop”方式处理。

[Secpath]firewall unknown-mac flood

 

4.  配置其它参数,请参考手册。

 

 『注意事项』:

1、当透明模式防火墙在某接口接收到广播帧或多播帧时,会向其它接口进行转发。(查找MAC地址表成功后,转发)

2、在同一个物理网段上,透明模式防火墙对此帧进行过滤,不转发该帧。(查找MAC地址表成功后,不转发)

3、目的未知的MAC地址帧,透明模式防火墙会向除发送该帧的源接口外的其它所有接口进行转发。(查找MAC地址表失败后,转发)

4、基于MAC地址的访问控制列表,只能在透明模式下配置。

5、在透明模式下,MAC地址表老化的时间是300秒。

 

3.2        ASPF配置
 『组网需求』:

       要求内部网络用户发起的FTP连接的返回报文,允许其通过防火墙进入内部网络,其他报文被禁止。例:要求192.168.1.100向10.153.49.41发起FTP连接的返回报文,允许通过SECPATH进入到内部网络。

 

『配置实例』:

1.  将SECPATH产品默认规则改为“permit”,因为目前VRP3.4-0006的版本默认规则是“deny”。

    [Secpath]firewall packet-filter default permit

2.  在配置访问控制列表3333拒绝所有TCP和UDP流量进入内部网络,通过ASPF来允许返回的报文(通过临时访问控制列表来判断)进入内部网络。

           [Secpath]acl number 3333

                 [Secpath-acl-adv-3333] rule deny ip

3.  配置ASPF策略来检测应用层FTP等协议,默认FTP协议的超时时间为3600秒。

    [Secpath]aspf-policy 1

    [Secpath-aspf-policy-1]detect ftp

5.  在外网接口上应用ASPF策略,用来检测内部FTP协议。

  [Secpath-GigabitEthernet0/1]firewall aspf 1 outbound

6.  在外网接口上应用访问控制列表3333,用来过滤非FTP协议的报文。

  [Secpath-GigabitEthernet0/1]firewall packet-filter 3333 inbound

7.  当ASPF检测到会话后。

[Secpath]dis aspf sess

[已建立的会话]

 会话       源发方                响应方       应用协议    状态 

-----------------------------------------------------------------------

 0x265E7864 192.168.1.254:1027  10.153.49.41:21    ftp         FTP_CONXN_UP

 

 『注意事项』:

  1、在配置ASPF时,必须和静态访问控制列表结合使用。

  2、在配置传输层协议检测时,对于FTP,H.323这样的多通道应用层协议,在不配置应用层检测而直接配置TCP检测的情况下会导致连

接无法建立。

  3、当接口同时下发ASPF和ACL策略时,ASPF先生效。

  4、目前ASPF可检测应用层协议包括:ftp、http、h323、smtp、rtsp;传输层协议包括:tcp、udp 。

  5、此配置也适合在透明模式下使用。

 

3.3        黑名单 『组网需求』:

       要求将内部用户“192.168.1.254”用户手动设置成黑名单用户,并将攻击的用户自动加入到黑名单中。

 

『配置实例』:

1.  在系统视图下使能黑名单功能。

  [Secpath]firewall blacklist enable

2.  手动添加“192.168.1.254” 客户机地址到黑名单表项中。

  [Secpath]firewall blacklist 192.168.1.254 timeout 10(十分钟后自动解除,不配置timeout,将永久有效。)

  [Secpath]dis firewall blacklist item

 Firewall blacklist item :

 Current manual insert items : 1

 Current automatic insert items : 0

 Need aging items : 1

 

 IP Address      Insert reason    Insert time             Age time(minutes)

 --------------------------------------------------------------------------

 192.168.1.254   Manual           2006/02/28 11:31:01     10

3.  自动添加客户地址到黑名单表项的前提是,通过统计攻击首的信息。

[Secpath]firewall zone trust

[Secpath-zone-trust]statistic enable ip inzone

[Secpath-zone-trust]statistic enable ip outzone

[Secpath]firewall zone untrust

[Secpath-zone-untrust]statistic en ip inzone

[Secpath-zone-untrust]statistic en ip outzone

4.  在全局开启攻击防范功能。

  [Secpath]firewall defend all

 

 『注意事项』:

1、黑名单表项中使用命令行多次配置同一IP地址的表项到黑名单中,则后配置的表项会覆盖原有表项。

2、如果防火墙相关模块准备向黑名单插入的IP地址已经存在于黑名单之中,则老化时间长的表项会被保留。

3、通过Telnet方式登录防火墙时,如果连续三次输错密码,系统也自动将Telnet客户端的IP地址添加到黑名单中,并设置老化时间为10分钟。

4、攻击防范模块察觉到特定IP地址的攻击之后,会将这个IP地址自动插入到黑名单表中。

5、如果将客户地址加入到黑名单后,所有从客户机发出的ICMP报文都会被防火墙过滤掉。

 

3.4        MAC和IP地址绑定
 『组网需求』:

       要求将客户机“192.168.1.100”的MAC和IP地址绑定,来避免IP地址假冒攻击的一种方式。

『配置实例』:

1.  配置客户机“192.168.1.100”的IP地址和MAC地址的绑定。

  [Secpath]firewall mac-binding 192.168.1.100 000f-e200-da32

2.  在系统视图下使能地址绑定功能。

  [Secpath]firewall mac-binding enable

3.  查看绑定信息。

  [Secpath]dis firewall mac-binding item

 Firewall Mac-binding item(s) :

 Current items : 1

192.168.1.100    000f-e200-da32 

 

 『注意事项』:

1、在配置MAC和IP地址绑定时,同一个MAC地址可以同多个不同的IP地址绑定。

2、如果配置静态ARP时已经存在相同IP地址的地址绑定关系表项,该静态ARP将配置失败,同时返回提示信息;如果配置的地址绑定关系

中的IP地址已经存在于静态ARP表中,则静态ARP表中的表项将被删除。

3、MAC和IP地址绑定对于PPPoE的地址是不起作用的,因为以太帧上面承载的是PPP报文,所以无法进行判断和处理。

4、当配置MAC和IP地址绑定功能后,下接所有客户机都必须配置MAC和IP地址绑定,否则不可能过防火墙。

5、如果将PC的IP改为192.168.1.101,此时还可上网。这是因为绑定关系中只以IP为索引进行查找。不以mac为索引查找。所以只有当发现IP

为 192.168.1.100且其 MAC不是000f-e200-da32才不能上网。

 

3.5        Web地址、内容过滤及SQL攻击防范功能
 『组网需求』:

       要求“192.168.1.100”不可访问外部的www.163.com、www.sohu.com网址,而且载入“123.txt”文件过滤掉网页内容,并将缺省的SQL攻击防范开启。

『配置实例』:

1.  要求参考“ASPF配置”,开启“HTTP、TCP”检测,并在“trust和untrust”域中开启报文统计功能。

2.  在系统视图分别开启Web地址、内容过滤功能及SQL注入攻击防范。

[Secpath]firewall url-filter host enable

[Secpath]firewall webdata-filter enable

[Secpath]firewall url-filter parameter enable

3.  在系统视图下配置网址过滤。

[Secpath]firewall url-filter host add deny www.163.com

[Secpath]firewall url-filter host add deny www.sohu.com

[Secpath]dis firewall url-filter host item-all

   SN  Match-Times  Keywords

   ----------------------------------------------

    1          0    <deny>www.163.com

    2          0    <deny>www.sohu.com

4.  在系统视图下配置WEB内容过滤。

[Secpath]firewall webdata-filter load-file 123.txt

[Secpath]dis fir webdata-filter item-all

   SN  Match-Times  Keywords

   ----------------------------------------------

    1          0    gogo

    2          0    安全

5.  在系统视图下配置缺省的SQL攻击防范开启,也可手动添加。

[Secpath]firewall url-filter parameter add-default

[Secpath]dis firewall url-filter parameter item-all

   SN  Match-Times  Keywords

   ----------------------------------------------

    1          0    ^select^

    2          0    ^insert^

    3          0    ^update^

    4          0    ^delete^

    5          0    ^drop^

    6          0    --

    7          0    '

    8          0    ^exec^

    9          0    %27

 

 『注意事项』:

1、开启Web地址、内容过滤功能及SQL注入攻击防范功能之前,要先配置ASPF策略,detect http,detect tcp,才能使Web地址和Web内容过

滤功能生效。

2、在配置Web地址过滤时,可以设置默认规则,如果规则是“permit”,则配置的过滤表项都是“deny”,反之亦然。

3、目前SECPATH产品支持中英文过滤,对于中文必须通过文件方式载入。

4、防火墙还提供了对Web中SQL(Structure Query Language,结构化查询语言)注入攻击进行防范的功能。目前缺省情况下,系统预定义了

以下关键字:^select^、^insert^、^update^、^delete^、^drop^、--、'、^exec^和%27。

5、目前SECPATH系列产品,路由和透明模式均支持内容过滤。对于web-filter规则,目前可配置2K个,而“*”可匹配0~4个字符或2个汉

字。

 

3.6        邮件过滤『组网需求』:

      要求内部向外发送邮件时,对附件文件名、内容、收件人、主题进行过滤。

『配置实例』:

1.  要求参考“ASPF配置”,开启“HTTP、TCP”检测功能。

2.  在系统视图分别开启attach、content、rcptto、subject相关过滤。

[Secpath]firewall smtp-filter attach enable

[Secpath]firewall smtp-filter content enable

[Secpath]firewall smtp-filter subject enable

3.  在系统视图下配置附件文件名过滤(attach)。

[Secpath]firewall smtp-filter attach add word

[Secpath]firewall smtp-filter attach add huawei

[Secpath]dis firewall smtp-filter attach item-all

   SN  Match-Times  Keywords

   ----------------------------------------------

    1          0    word

    2          0    huawei

4.  在系统视图下配置内容过滤(content)。

[Secpath]firewall smtp-filter content load-file 123.txt

[Secpath]dis firewall smtp-filter content item-all

   SN  Match-Times  Keywords

   ----------------------------------------------

    1          0    安全

    2          0    gogo

5.  在系统视图下配置收件人过滤(rcptto)。

[Secpath]firewall smtp-filter rcptto add deny yuyankui@126.com

[Secpath]dis firewall smtp-filter rcptto item-all

   SN  Match-Times  Keywords

   ----------------------------------------------

    1          0    <deny>yuyankui@126.com

6.  在系统视图下配置主题过滤(subject)。

[Secpath]firewall smtp-filter subject load-file 456.txt

[Secpath]dis firewall smtp-filter subject item-all

   SN  Match-Times  Keywords

   ----------------------------------------------

    1          0    公告

    2          0    案例

    3          0    安全

    4          0    gogo

 

 『注意事项』:

1、  目前可对邮件的附件文件名(attach)、内容(content)、收件人(rcptto)、主题(subject)进行过滤。

2、  开启附件文件名(attach)、内容(content)、收件人(rcptto)、主题(subject)过滤,要先配置ASPF策略,detect smtp,detect tcp,

才能使以上过滤功能生效。

3、  在配置ASPF时,ASPF和ACL分别应下发在内网接口的inbound和outbound方向。

4、  SMTP是发送邮件协议,因此在发送邮件时进行相关的过滤。

 

 

3.7        攻击防范『组网需求』:

      要求防火墙的攻击防范功能能够检测出多种类型的网络攻击,并能采取相应的措施保护内部网络免受恶意攻击,保证内部网

络及系统的正常运行。

『配置实例』:

1.  在“trust”和“untrust”域当中启用报文统计功能。

[Secpath]firewall zone trust

[Secpath-zone-trust]statistic enable ip inzone

[Secpath-zone-trust]statistic enable ip outzone

[Secpath]firewall zone untrust

[Secpath-zone-untrust]statistic en ip inzone

[Secpath-zone-untrust]statistic en ip outzone

2.  在系统视图下开启所有的攻击防范功能。

[Secpath]firewall defend all

3.  对于相应的防范功能的意义,请查看相关资料。

 

 『注意事项』:

1、   1,对于攻击防范功能,某些是可以在透明模式下使用。例如:IP欺骗攻击防范功能就不可以在透明模式下使用。

2、必须在域中使能受保护域的IP统计功能。

3、SecPath的系统统计功能提供了对连接数量、连接速率的限制,在配置流量限制功能前,必须开启对应的统计功能。

4、请慎重使用关闭系统统计功能的命令,如果关闭系统统计功能后,和系统统计相关的检测功能也失效。

Posted in H3c | Leave a comment

Eudemon 100E

Posted on 2009-07-16 by

Eudemon 100E是有初始用户名和密码的,初始用户名为admin,密码为Admin@123,请注意大小写,谢谢! 华为赛门铁克技术支持中心地址:成都市天辰路88号电子科技大学高新科技园邮编:611731 电话:4008882333 传真:028-87897555
admin,密码为Admin@123

 

1.3.4 配置系统时钟
为了保证与其他设备协调工作,需要准确配置系统时间。Eudemon 防火墙支持时区和夏
时制的配置。

dis clock
clock
 clock datetime 2004-10-01 20:00:00
clock timezone Shanghai add 08
clock summer-time zone-name { one-off | repeating } start-time start-date
end-time end-date offset,配置采用夏时制。

开启时间列表
timer enable
settr 16:40 16:41
dis time
acl 101
rule special deny icmp s 1.1.1.1 0 dest 4.4.4.1 0
qu

下发接口
int s 0
fire pa 101 out
dis isinttr

 

 
# 配置Ethernet 0/0/0 的IP 地址。
[Eudemon200] interface Ethernet 0/0/0
[Eudemon200-Ethernet0/0/0] ip address 200.225.197.58 255.255.255.0

[Eudemon200-Ethernet0/0/0] description Connect to Internet
[Eudemon200-Ethernet0/0/0] quit

[Eudemon200] interface Ethernet 0/0/1
[Eudemon200-Ethernet0/0/1] ip address 172.29.8.1 255.255.255.0

[Eudemon200-Ethernet0/0/1] description Connect to trust
[Eudemon200-Ethernet0/0/1] quit
[Eudemon200] firewall zone trust
[Eudemon200-zone-trust] add interface ethernet 0/0/1
[Eudemon200-zone-trust] quit
[Eudemon200] firewall zone untrust
[Eudemon200-zone-untrust] add interface ethernet 0/0/0
[Eudemon200-zone-untrust] quit

# 配置防火墙ACL 规则及域间包过滤规则

配置防火墙能够阻挡外部的smurf 攻击。
# 使能防火墙smurf 攻击防范功能。
[Eudemon200] firewall defend smurf enable
################
配置Trust 区域的用户可以使用私网地址访问Platform 区域的服务器。
# 配置ACL 规则,确定符合要求的数据流。
[Eudemon200] acl number 3602
[Eudemon200-acl-adv-3602] rule 5 permit tcp source 172.29.8.3 0.0.0.255 destination
172.29.7.10 0 destination-port eq 5016
# 配置域间包过滤规则。
[Eudemon200] firewall interzone trust platform
[Eudemon200-interzone-trust-platform] packet-filter 3602 outbound

#################
配置某本地用户可以通过Telnet 方式登录并管理防火墙。
# 配置本地用户pc1。
[Eudemon200] aaa
[Eudemon200-aaa] local-user pc1 password simple pc1
[Eudemon200-aaa] local-user pc1 service-type telnet ftp ssh
[Eudemon200-aaa] local-user pc1 level 3
[Eudemon200-aaa] local-user pc1 ftp-directory flash:
# 配置pc1 的认证方式为本地password。
[Eudemon200-aaa] authentication-scheme pc1
[Eudemon200-aaa-authen-pc1] authentication-mode local
[Eudemon200] ssh user pc1 authentication-type password
# 配置各用户接口的认证模式和用户级别。
[Eudemon200] user-interface vty 0 4
[Eudemon200-ui-vty0-4] authentication-mode aaa
[Eudemon200-ui-vty0-4] user privilege level 3

 

 
在接口下配置ACL,带time-range的ACL。可以再接口下配置ACL,带time-range的ACL。
# 在接口上启用防火墙。
[H3C] interface ethernet 0/0/1
[H3C-Ethernet0/0/1] ip address 192.168.100.1 24
[H3C-Ethernet0/0/1] firewall packet-filter 3001 inbound
[H3C-Ethernet0/0/1] firewall packet-filter 3002 outbound
# 配置time-range的acl。
[H3C] acl number 3001
[H3C-acl-adv-3001] rule permit ip time-range aaa
[H3C] acl number 3002
[H3C-acl-adv-3002] rule permit ip time-range aaa

配置time-range
[H3C]time-range aaa 6:00 to 21:00

 

##################################################

『组网需求』:

要求内部用户,在8:00-12:00和13:30-18:00可以出公网,其它的时间都不可以出公网

『配置实例』:

1.  在系统视图下配置时间段:

[Secpath] time-range huawei1 08:00 to 18:00 daily

[Secpath] time-range huawei2 12:00 to 13:30 daily

 

2.  配置高级访问控制列表:

[Secpath] acl number 3001

[Secpath-acl-adv-3001] rule deny ip time-range huawei2

[Secpath-acl-adv-3001] rule permit ip time-range huawei1

[Secpath-acl-adv-3001] rule deny ip

 

3.  进入内网接口视图,下发时间段ACL规则:

        [Secpath-GigabitEthernet0/1] firewall packet-filter 3001 inbound

 

4.对于其它的规则配置请查看操作手册。

Posted in ccnp | Leave a comment

H3C SecPath F100-C 防火墙配置

Posted on 2009-07-15 by

H3C SecPath F100-C 防火墙配置
上一篇 / 下一篇  2008-10-31 07:22:33

查看( 1346 ) / 评论( 0 ) / 评分( 0 / 0 )
下边是一个项目中的文档
fw100>dis cur
#
sysname fw100
#
super password level 3 simple asdasd
#
l2tp enable
#
ip pool 1 10.10.10.2 10.10.10.50
#
ike local-name jzcdc-vpn
#
firewall packet-filter enable
firewall packet-filter default permit
#
insulate
#
connection-limit enable
connection-limit default permit
connection-limit default amount upper-limit 50 lower-limit 20
#
nat address-group 1 start ip add end ip add
#
firewall statistic system enable
#

radius scheme system
server-type extended
#
domain system
#
local-user asdf
password cipher >T2OET:6,>OQ=^Q`MAF4<1!!
service-type telnet
level 3
#
ike peer 1
pre-shared-key lllll
#
ipsec proposal 1
encapsulation-mode transport
#
ipsec policy-template temp 1
ike-peer 1
proposal 1
#
ipsec policy 1 1 isakmp template temp
#
ipsec policy jzcdc 100 isakmp template temp
#
acl number 2001
rule 0 permit source 192.168.0.0 0.0.255.255
rule 1 permit source 10.0.0.0 0.0.0.255
#
acl number 3002
rule 0 deny tcp source-port eq 3127
rule 1 deny tcp source-port eq 1025
rule 2 deny tcp source-port eq 5554
rule 3 deny tcp source-port eq 9996
rule 4 deny tcp source-port eq 1068
rule 5 deny tcp source-port eq 135
rule 6 deny udp source-port eq 135
rule 7 deny tcp source-port eq 137
rule 8 deny udp source-port eq netbios-ns
rule 9 deny tcp source-port eq 138
rule 10 deny udp source-port eq netbios-dgm
rule 11 deny tcp source-port eq 139
rule 12 deny udp source-port eq netbios-ssn
rule 13 deny tcp source-port eq 593
rule 14 deny tcp source-port eq 4444
rule 15 deny tcp source-port eq 5800
rule 16 deny tcp source-port eq 5900
rule 18 deny tcp source-port eq 8998
rule 19 deny tcp source-port eq 445
rule 20 deny udp source-port eq 445
rule 21 deny udp source-port eq 1434
rule 30 deny tcp destination-port eq 3127
rule 31 deny tcp destination-port eq 1025
rule 32 deny tcp destination-port eq 5554
rule 33 deny tcp destination-port eq 9996
rule 34 deny tcp destination-port eq 1068
rule 35 deny tcp destination-port eq 135
rule 36 deny udp destination-port eq 135
rule 37 deny tcp destination-port eq 137
rule 38 deny udp destination-port eq netbios-ns
rule 39 deny tcp destination-port eq 138
rule 40 deny udp destination-port eq netbios-dgm
rule 41 deny tcp destination-port eq 139
rule 42 deny udp destination-port eq netbios-ssn
rule 43 deny tcp destination-port eq 593
rule 44 deny tcp destination-port eq 4444
rule 45 deny tcp destination-port eq 5800
rule 46 deny tcp destination-port eq 5900
rule 48 deny tcp destination-port eq 8998
rule 49 deny tcp destination-port eq 445
rule 50 deny udp destination-port eq 445
rule 51 deny udp destination-port eq 1434
rule 52 deny tcp destination-port eq telnet
acl number 3003
rule 0 permit icmp
rule 1 permit tcp source-port eq telnet
rule 5 permit tcp destination-port eq telnet
#
interface Virtual-Template1
ppp authentication-mode pap
ip address 10.10.10.1 255.255.255.0
#
interface Aux0
async mode flow
#
interface Ethernet0/0
description link to luyouqi
ip address 10.0.0.1 255.255.255.252
firewall packet-filter 3003 inbound
firewall packet-filter 3003 outbound
#
interface Ethernet0/1
#
interface Ethernet0/2
#
interface Ethernet0/3
description link to fuwuqi dmz
ip address 10.0.0.129 255.255.255.128
#
interface Ethernet1/0
description link to internet
ip address 1.1.1.1 255.255.255.224
firewall packet-filter 3002 inbound
nat outbound 2001 address-group 1
nat server protocol tcp global 1.1.1.1 ftp inside 10.0.0.130 ftp
#
interface Ethernet1/1
#
interface Ethernet1/2
#
interface NULL0
#
firewall zone local
set priority 100
#
firewall zone trust
add interface Ethernet0/0
add interface Virtual-Template1
set priority 85
#
firewall zone untrust
add interface Ethernet1/0
set priority 5
#
firewall zone DMZ
add interface Ethernet0/3
set priority 50
#
firewall interzone local trust
#
firewall interzone local untrust
#
firewall interzone local DMZ
#
firewall interzone trust untrust
#
firewall interzone trust DMZ
#
firewall interzone DMZ untrust
#
l2tp-group 1
undo tunnel authentication
allow l2tp virtual-template 1
#
ip route-static 0.0.0.0 0.0.0.0 9.9.9.9 preference 60
ip route-static 192.168.1.0 255.255.255.0 10.0.0.2 preference 60

#
firewall defend ip-spoofing
firewall defend land
firewall defend smurf
firewall defend fraggle
firewall defend winnuke
firewall defend icmp-redirect
firewall defend icmp-unreachable
firewall defend source-route
firewall defend route-record
firewall defend tracert
firewall defend ping-of-death
firewall defend tcp-flag
firewall defend ip-fragment
firewall defend large-icmp
firewall defend teardrop
firewall defend ip-sweep
firewall defend port-scan
firewall defend arp-spoofing
firewall defend arp-reverse-query
firewall defend arp-flood
firewall defend frag-flood
firewall defend syn-flood enable
firewall defend udp-flood enable
firewall defend icmp-flood enable
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4
authentication-mode scheme
accounting commands scheme
set authentication password simple asdfasfd
idle-timeout 3 0
#
return

Posted in H3c | Leave a comment

锐捷IP访问列表

Posted on 2009-06-21 by

03

 

实验内容

  标准访问列表只对数据包的源地址进行规则匹配。标准访问列表应该支持各种规则定义和规则排列。
  实验配置

  标准访问列表的格式如下:
   access-list  list_number  { permit | deny }  address  [ wildcard-mask ]
  在接口上应用访问列表

操作

操作

指定接口上过滤接收报文的规则

ip access-group listnumber in

取消接口上过滤接收报文的规则

no ip access-group listnumber in

指定接口上过滤发送报文的规则

ip access-group listnumber out

取消接口上过滤发送报文的规则

no ip access-group listnumber out

  实验方法

  1) 被测设备和标准设备的串行口背靠背连接,封装PPP协议。
  2) 被测设备上定义访问列表10,第一条规则为允许主机192.168.170.5,第二条规则否定以奇数结尾的主机(192.168.170.1 0.0.0.254),第三条规则为允许以偶数结尾的主机(192.168.170.0 0.0.0.254),缺省规则为否定。
  3) 被测设备的以太网端口应用访问列表10,对进来的数据包进行规则过滤。
  4) 配置PC的缺省网关,被测设备、标准设备分别增加到对方局域网的路由。
  5) 将PC1的IP地址设为192.168.170.5。
  6) PC 1 ping 192.168.180.2。
  7) 将PC1的IP地址设为192.168.170.6。
   8)  PC 1 ping 192.168.180.2。
  9) 将PC1的IP地址设为192.168.170.7。
  10) PC 1 ping 192.168.180.2。
  11) 取消访问列表10应用在被测设备的以太网端口,将访问列表10应用在被测设备的串行端口上,对出去的数据包进行规则过滤。
  12) 重复步骤5)到步骤10)。
  测试结果

  1) 步骤6)中,测试应该成功。
  2) 步骤8)中,测试应该成功。
  3) 步骤10)中,测试应该失败。

 

  扩展访问列表
  网络拓扑

04

 

实验内容

  扩展访问列表可以对数据包的源目的地址、端口以及对控制比特位进行规则匹配。扩展访问列表应该支持各种规则定义和规则排列。
  实验配置

  扩展访问列表的格式如下: 
   access-list listnumber { permit | deny } protocol source source-wildcard-mask destination destination-wildcard-mask [ operator operand ]
  在接口上应用访问列表

操作

操作

指定接口上过滤接收报文的规则

ip access-group listnumber in

取消接口上过滤接收报文的规则

no ip access-group listnumber in

指定接口上过滤发送报文的规则

ip access-group listnumber out

取消接口上过滤发送报文的规则

no ip access-group listnumber out

  实验方法

  1) 被测设备和标准设备的串行口背靠背连接,封装PPP协议。
  2) 被测设备上定义应用在以太网进来或者串行口出去的数据包访问列表100,规则定义如下:第一条规则,permit tcp 192.168.170.5 0.0.0.0 gt 1024 192.168.168.2 0.0.0.0 eq Telnet;第二条规则,permit udp 192.168.170.5 0.0.0.0 eq 69 192.168.168.168.0 0.0.0.254 gt 1024;第三条规则,deny tcp any 192.168.180.0 0.0.0.255 syn;第四条规则,permit tcp any 192.168.180.0 0.0.0.255;第五条规则,permit icmp any 192.168.180.0 0.0.0.255 8;缺省规则为否定。
  3) 被测设备的以太网端口应用访问列表10,对进来的数据包进行规则过滤。
  4) 配置PC的缺省网关,被测设备、标准设备分别增加到对方局域网的路由。
  5) PC 1 Telnet 192.168.168.2。
  6) PC 1 Telnet 192.168.180.2。
  7) 标准设备上载配置文件到192.168.170.5。
   8)  PC 1 Ping 192.168.180.2。
  9) PC 1 Ping 192.168.168.2。

 
  10) 取消访问列表10应用在被测设备的以太网端口,将访问列表10应用在被测
  设备的串行端口上,对出去的数据包进行规则过滤。
  11) 重复步骤5)到步骤9)。

 

  实验结果

  1) 步骤5)中,Telnet应该成功。
  2) 步骤6)中,Telnet应该失败。
  3) 步骤7)中,TFTP上载应该成功。
  4) 步骤8)中,Ping 应该成功。
  5) 步骤9)中,Ping 应该失败。

Posted in Ruijie | Leave a comment

锐捷交换机的配置命令

Posted on 2009-06-21 by

交换机

  >Enable 进入特权模式
  #ExIT   返回上一级操作模式
  #End   返回到特权模式
  #write memory 或copy running-config startup-config   保存配置文件
  #del flash:config.text   删除配置文件(交换机及1700系列路由器)
  #erase startup-config   删除配置文件(2500系列路由器)
  #del flash:vlan.dat 删除Vlan配置信息(交换机)
  #Configure terminal 进入全局配置模式
  (config)# hostname switchA   配置设备名称为switchA
  (config)#banner motd &      配置每日提示信息 &为终止符
  (config)#enable secret level 1 0 star   配置远程登陆密码为star
  (config)#enable secret level 15 0 star 配置特权密码为star
  Level 1为普通用户级别,可选为1~15,15为最高权限级别;0表示密码不加密
  (config)#enable services web-server 开启交换机WEB管理功能
  Services 可选以下:web-server(WEB管理)、telnet-server(远程登陆)等

  查看信息
  #show running-config       查看当前生效的配置信息
  #show interface fastethernet 0/3   查看F0/3端口信息
  #show interface serial 1/2       查看S1/2端口信息
  #show interface                查看所有端口信息
  #show ip interface brief          以简洁方式汇总查看所有端口信息
  #show ip interface         查看所有端口信息
  #show version               查看版本信息
  #show mac-address-table       查看交换机当前MAC地址表信息
  #show running-config       查看当前生效的配置信息
  #show vlan                 查看所有VLAN信息
  #show vlan id 10          查看某一VLAN (如VLAN10)的信息
  #show interface fastethernet 0/1 switchport 查看某一端口模式(如F 0/1)
  #show aggregateport 1 summary    查看聚合端口AG1的信息
  #show spanning-tree        查看生成树配置信息
  #show spanning-tree interface fastethernet 0/1 查看该端口的生成树状态
  #show port-security         查看交换机的端口安全配置信息
  #show port-security address   查看地址安全绑定配置信息
  #show ip access-lists listname 查看名为listname的列表的配置信息
  #show access-lists

  端口的基本配置
  (config)#Interface fastethernet 0/3 进入F0/3的端口配置模式
  (config)#interface range fa 0/1-2,0/5,0/7-9 进入F0/1、F0/2、F0/5、F0/7、F0/8、F0/9的端口配置模式
  (config-if)#speed 10             配置端口速率为10M,可选10,100,auto
  (config-if)#duplex full   配置端口为全双工模式,可选full(全双工),half(半双式),auto(自适应)
  (config-if)#no shutdown       开启该端口
  (config-if)#switchport access vlan 10 将该端口划入VLAN10中,用于VLAN
  (config-if)#switchport mode trunk     将该端口设为trunk模式,用于Tag vlan
  可选模式为access , trunk
  (config-if)#port-group 1    将该端口划入聚合端口AG1中,用于聚合端口

  聚合端口的创建
  (config)# interface aggregateport 1   创建聚合接口AG1
  (config-if)# switchport mode trunk   配置并保证AG1为 trunk 模式
  (config)#int f0/23-24
  (config-if-range)#port-group 1       将端口(端口组)划入聚合端口AG1中

  生成树
  (config)#spanning-tree    开启生成树协议
  (config)#spanning-tree mode stp 指定生成树类型为stp
  可选模式stp , rstp , mstp
  (config)#spanning-tree priority 4096 设置交换机的优先级为4096 , 优先级值小为高。优先级可选值为0,4096,8192,……,为4096的倍数。交换机默认值为32768

  VLAN的基本配置
  (config)#vlan 10   创建VLAN10
  (config-vlan)#name vlanname 命名VLAN为vlanname
  (config-if)#switchport access vlan 10 将该端口划入VLAN10中
  某端口的接口配置模式下进行
  (config)#interface vlan 10   进入VLAN 10的虚拟端口配置模式
  (config-if)# ip address 192.168.1.1 255.255.255.0 为VLAN10的虚拟端口配置IP及掩码,二层交换机只能配置一个IP,此IP是作为管理IP使用,例如,使用Telnet的方式登录的IP地址
  (config-if)# no shutdown    启用该端口

  端口安全
  (config)# interface fastethernet 0/1     进入一个端口
  (config-if)# switchport port-security    开启该端口的安全功能
  1.配置最大连接数限制
  (config-if)# switchport port-secruity maxmum 1 配置端口的最大连接数为1,最大连接数为128
  (config-if)# switchport port-secruity violation shutdown
  配置安全违例的处理方式为shutdown,可选为protect (当安全地址数满后,将未知名地址丢弃)、restrict(当违例时,发送一个Trap通知)、shutdown(当违例时将端口关闭,并发送Trap通知,可在全局模式下用errdisable recovery来恢复)
  2.IP和MAC地址绑定
  (config-if)#switchport port-security mac-address xxxx.xxxx.xxxx ip-address 172.16.1.1
  接口配置模式下配置MAC地址xxxx.xxxx.xxxx和IP172.16.1.1进行绑定(MAC地址注意用小写)

  三层路由功能(针对三层交换机)
  (config)# ip routing       开启三层交换机的路由功能
  (config)# interface fastethernet 0/1   
  (config-if)# no switchport      开启端口的三层路由功能(这样就可以为某一端口配置IP)
  (config-if)# ip address 192.168.1.1 255.255.255.0
  (config-if)# no shutdown
  三层交换机路由协议
  (config)# ip route 172.16.1.0 255.255.255.0 172.16.2.1 配置静态路由
  注:172.16.1.0 255.255.255.0 为目标网络的网络号及子网掩码
  172.16.2.1 为下一跳的地址,也可用接口表示,如ip route 172.16.1.0 255.255.255.0 serial 1/2(172.16.2.0所接的端口)
  (config)# router rip    开启RIP协议进程
  (config-router)# network 172.16.1.0    申明本设备的直连网段信息
  (config-router)# version 2           开启RIP V2,可选为version 1(RIPV1)、version 2(RIPV2)
  (config-router)# no auto-summary    关闭路由信息的自动汇总功能(只有在RIPV2支持)

  (config)# router ospf        开启OSPF路由协议进程(针对1762,无需使用进程ID)
  (config)# router ospf 1      开启OSPF路由协议进程(针对2501,需要加OSPF进程ID)
  (config-router)# network 192.168.1.0 0.0.0.255 area 0  
  申明直连网段信息,并分配区域号(area0为骨干区域)

  IP ACL:
  交换机采用命名的访问控制列表;分标准(stand)和扩展(extended)两种
  1.标准ACL
  (config)#ip access-list stand listname 定义命名标准列表,命名为listname,stand为标准列表
  (config-std-nacl)#deny 192.168.30.0 0.0.0.255 拒绝来自192.168.30.0网段的IP流量通过
  注:deny:拒绝通过;可选:deny(拒绝通过)、permit(允许通过)
  192.168.30.0 0.0.0.255:源地址及源地址通配符;可使用any表示任何IP
  (config-std-nacl)#permit any
  (config-std-nacl)#end          返回
  2.扩展ACL
  (config)#ip access-list extended listname
  定义命名扩展列表,命名为listname,extended为扩展
  (config-ext-nacl)#deny tcp 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 eq www 拒绝源地址为192.168.30.0网段的IP访问目的地址为192.168.10.0网段的WWW服务
  注:deny:拒绝通过,可选:deny(拒绝通过)、permit(允许通过)
  tcp: 协议名称,协议可以是udp, ip,eigrp, gre, icmp, igmp, igrp等等。
  192.168.10.0 0.0.0.255:源地址及源地址通配符
  192.168.30.0 0.0.0.255:目的地址及目的地址通配符
  eq:操作符(lt-小于,eq-等于,gt-大于,neg-不等于,range-包含)
  www:端口号,可使用名称或具体编号
  可以使用的协议名称(或编号)和端口名称(或编号)请打?查询。
  (config-ext-nacl)#permit ip any any   允许其它通过
  (config-ext-nacl)#end             返回
  (config)#interface vlan 10     进入端口配置模式
  (config-if)# ip access-group listname in   访问控制列表在端口下in方向应用;可选:in(入栈)、out(出栈)
  (config-if)#end                 返回
  注:配置ACL时,若只想对其中部分IP进行限制访问时,必须配置允许其流量通过,否则设备只会对限制IP进行处理,不会对非限制IP进行允许通过处理。

Posted in Ruijie | Leave a comment

锐捷NAT和NAPT实验

Posted on 2009-06-21 by

锐捷网络:NAT和NAPT的实验参考资料
  一、补充原因:实验书里面只有“动态NAPT”和“静态NAPT”两个实验,而没有“静态NAT”和“动态NAT”!

  二、“静态NAT”参考配置命令
  定义内部源地址静态转换关系
  Red-Giant(config)#ip nat inside source static local-address global-address

  定义该接口连接内部网络:
  Red-Giant(config)# interface interface-type interface-number
  Red-Giant(config-if)#ip nat inside

  定义接口连接外部网络 :
  Red-Giant(config)# interface interface-type interface-number
  Red-Giant(config-if)#ip nat outside

  三、“静态NAT” 实验方案
  1、参考“下面的网络拓扑图”进行实验:
01

 

2、要求:将内网主机IP(192.168.1.1)转换成公网IP(172.1.1.10),它可以出公网,而其他主机不能出公网。

  四、 “动态NAT”参考配置命令
  定义全局IP地址池:
  Red-Giant(config)#ip nat pool address-pool-name start-address end-address {netmask mask | prefix-length prefix-length}

  定义访问列表,只有匹配该列表的地址才转换:
  Red-Giant(config)#access-list access-list-number permIT ip-address wildcard

  定义内部源地址动态转换关系:
  Red-Giant(config)#ip nat inside sourcelist access-list-number pool address-pool-name

  定义该接口连接内部网络:
  Red-Giant(config)# interface interface-type interface-number
  Red-Giant(config-if)#ip nat inside

  定义接口连接外部网络 :
  Red-Giant(config)# interface interface-type interface-number
  Red-Giant(config-if)#ip nat outside

  五、 “动态NAT”实验方案
  1、参考“下面的网络拓扑图”进行实验:

02

 

2、要求:将内网三个主机的IP(192.168.1.1,192.168.1.2,192.168.1.3)转换成公网的IP(有两个可供选择:172.1.1.10和172.1.1.20,实际转换的过程将动态选择,从这两个公网IP中选择一个)

  六、“静态NAPT”参考配置命令

  第一类步骤:定义内网的服务器的数据包出外网时(响应外网的请求数据包),数据包(响应数据包)的源地址与源端口的转换规则。

  定义转换规则:
  Red-Giant(config)#ip nat inside source static {UDP | TCP} local-address port global-address port
  inside 意味着内部网络的数据包转换
  source 意味着源地址转换
  定义该接口连接内部网络:
  Red-Giant(config)# interface interface-type interface-number
  Red-Giant(config-if)#ip nat inside

  定义接口连接外部网络:
  Red-Giant(config)# interface interface-type interface-number
  Red-Giant(config-if)#ip nat outside

  第二类步骤:定义外网的客户端请求数据包进入内网路由器后,路由器对数据包的目标地址的转换(必须要将目标地址转换成内网服务器在内网的IP地址才可路由到内网服务器)。

   定义地址池:
  Red-Giant(config)#ip nat pool address-pool-name start-address end-address {netmask mask | prefix-length prefix-length}
  注意:start-address 和end-address必须是同样的IP,指向同一台内网服务器,是内网服务器在内网的IP地址

  定义访问列表,只有匹配该列表的地址才转换:
  Red-Giant(config)#access-list access-list-number permit ip-address wildcard
  注意:ip-address是指内网服务器对外的公网IP地址

  定义转换规则:
  Red-Giant(config)#ip nat inside destination sourcelist access-list-number pool address-pool-name
   destination 意味着目的地址转换,是请求数据包中的目的地址

Posted in Ruijie | Leave a comment