21 元
下载资源

华为双出口网络解决方案配置指导命令详解

上传人:21****df 文档编号:154059565 上传时间:2022-09-20 格式:DOCX 页数:87 大小:338.29KB
返回 下载 相关 举报
华为双出口网络解决方案配置指导命令详解_第1页
第1页 / 共87页
华为双出口网络解决方案配置指导命令详解_第2页
第2页 / 共87页
华为双出口网络解决方案配置指导命令详解_第3页
第3页 / 共87页
点击查看更多>>
资源描述
华为3COM网吧网络解决方案之网关配置指导好网吧好好网络华为为3COOM网吧吧网络解解决方案案之网关关配置指指导华为三康康技术有有限公司司Huawwei-3CoomTeechnnoloogiees CCo., Lttd.x 侵侵权必究究All rigghtss reeserrvedd目录第一部分分配置原原则概述述41需要注注意的配配置事项项41.1配配置ACCL对非非法报文文进行过过滤41.1.1进行行源IPP和目的的IP过滤滤41.1.2限制制ICMMP报文文61.1.3限制制nettbioos协议议端口661.1.4限制制常见病病毒使用用的端口口71.1.5关闭闭没有使使用的端端口81.2NNAT配配置注意意事项881.3路路由配置置注意事事项81.4进进行IPP-MAAC地址址绑定991.5限限制P22P应用用(根据据实际情情况可选选)91.5.1通过过ACLL限制端端口91.5.2结合合QOSS和ACLL限制端端口流量量101.5.3限制制单机的的NATT会话数数121.5.4在客客户机上上通过软软件限制制122附:限限制常见见P2PP软件端端口的AACL112第二部分分典型配配置实例例一三1单出口口典型配配置一三三1.1局局域网内内的主机机地址是是私网IIP地址址一三1.2局局域网内内的主机机地址是是公网IIP地址址202双出口口链路备备份典型型配置2282.1两两条链路路都是以以太网链链路的情情况2882.2两两条链路路是以太网网链路+PPPPOE链链路的情情况3773双出口口同时实实现负载载分担和链路路备份典典型配置置46第一部分分配置原原则概述述随着网络络建设和和应用的的不断深深入,网网络安全全问题正正逐渐成成为一个个突出的的管理问问题。AAR一八八系列路路由器通通过多种种手段和和配置可可以控制制和管理理网络的的流量,能能够有效效地实施施各种防防攻击策策略。尤尤其在网网吧这种种复杂的的网络环环境中,全全面合理理的配置置能够大大大提高高网络的的稳定性性和可靠靠性。由于网吧吧上网人人员数量量多、构构成复杂杂、流动动性大,因因此网络络流量具具有流量量大、协协议种类类多、流流量复杂杂等特点点。一般般网吧局局域网内内均有一一定程度度主机感感染病毒毒,同时时也很容易被被用来发发起网络络攻击,或或者被他他人攻击击,这就就对网吧吧中的核核心设备备网网关提出出了较高高的要求求。本文文以ARR一八系列列路由器器为例讲讲解网关关在网吧吧应用中中需要注注意的配配置事项项,同时时给出了了各种组网情情况下的的典型配配置。1 需要注意意的配置置事项1.1 配置ACCL对非非法报文文进行过过滤ACL 是每个个安全策策略的组组成部份份,控制制和监视视什么数数据包进进入和离离开网络络几乎是是网络安安全的定定义。尽尽管路由由器的工工作是进进行数据据包的转转发而不不是阻止止它。但但是有些些数据包包我们必必须阻止止它。1.1.1 进行源IIP和目目的IPP过滤至少应该该在所有有的接口口上对入入方向的的报文进进行过滤滤。在RFCC28227/BBCP 38 (Beest Currrennt PPraccticce)中高度度建议使使用入口口过滤,这不仅可以使你的网络安全,而且可以使其它的网络不会被来自你的网络的伪装的源IP给攻击。许多的网络攻击者使用伪装的源IP地址来隐藏它们的身份,在网络使用了入口过滤功能后,也更加容易定位网络攻击者,因为攻击者必须使用真实的源IP地址。例如:假设局域域网接口口的IPP地址为为1922.1668.11.0/24,广广域网接接口的IIP地址址为1662.11.1.0/330,在在局域网网接口可可以设置置:acl nummberr 30003rulee 20000 perrmitt ipp soourcce 1192.1688.1.0 00.0.0.2255 rulle 330000 deeny ip 在广域网网接口可可以设置置:acl nummberr 30001rulee 20000 perrmitt ipp deestiinattionn 1662.11.1.0 00.0.0.33 rulle 220011 peermiit iip ddesttinaatioon 1192.1688.1.0 00.0.0.2255 rulle 330000 deeny ip 在广域网网接口也也可以通通过静态态包过滤滤结合AASPFF进行更精精确的包包过滤和和攻击防防范。例如:#acl nummberr 30011 rulle 1160 perrmitt iccmp icmmp-ttypee eccho rulle 1161 perrmitt iccmp icmmp-ttypee eccho-repply rulle 1162 perrmitt iccmp icmmp-ttypee tttl-eexceeedeed rulle 2206 perrmitt tccp ddesttinaatioon-pportt eqq teelneet rulle 330000 deeny ip# inteerfaace Ethhernnet11/0 ip adddresss 1172.30.79.6 2255.2555.2555.2252 firrewaall pacckett-fiilteer 330111 innbouund firrewaall asppf 11 ouutbooundd# 注意事项项:由于于目前AASPFF对内存存和性能能的影响响较大,网网吧应用用环境中中不建议议在ARR一八系列列路由器器上进行行配置。在在所有的的出报文文都需要要进行NNAT的的情况下下一般也也没有必必要配置置ASPPF。1.1.2 限制ICCMP报报文ICMPP 报文文是另一一种我们们需要关关心的数数据包。大大量的攻攻击和病病毒使用用ICMMP报文文作为攻攻击手段段。但实实际上iinteerneet是使使用的IICMPP绝大部部分是ppingg和traacerroutte。大大量的其其它iccmp类类型并不不使用。因因此,实实际上我我们可以以仅允许许ICMMP 的的pinng eechoo 和 piing repply 及traacerroutte 所所需要的的TTLL 开放放。其它它的均可可以关闭闭。例如:acl nummberr 30001rulee 1660 ppermmit icmmp iicmpp-tyype echho rulle 1161 perrmitt iccmp icmmp-ttypee eccho-repply rulle 1162 perrmitt iccmp icmmp-ttypee tttl-eexceeedeed rulle 1165 denny iicmpp1.1.3 限制neetbiios协协议端口口在现今的的网络上上,充斥斥着大量量的网络络扫描。基于UDP 一三7, 一三8 端口的扫描是常见的扫描,UDP 一三7和UDP一三8是netbios 的数据报和名字服务。通常情况下,进入到路由器的一三7和一三8包是广播包,而路由器在默认情况下是不转发这些广播包的。但在某些情况下,一些扫描工具扫描UDP 一三7 和UDP一三8的端口,以图找出主机上的共享文件夹。这种情况下,进入路由器的数据包会是unicast的一三7和一三8,而且通常目的地址不停变化。因此我们可以将这些UDP 一三8和一三8的数据包通过ACL 挡断。保护用户和网络的安全。例如:acl nummberr 30001rulee 311 deeny udpp deestiinattionn-poort eq nettbioos-nns rulle 441 ddenyy uddp ddesttinaatioon-pportt eqq neetbiios-dgmm rulle 551 ddenyy uddp ddesttinaatioon-pportt eqq neetbiios-ssnn 1.1.4 限制常见见病毒使使用的端端口一般网吧吧中存在在大量的的“冲击击波”、“震震荡波”等等病毒,这这类病毒毒会不断断地变化化源IPP或目的的IP进行行扫描和和发送攻攻击数据据,这会会极大地地消耗网网络设备备的资源源。笔者者曾在一一个网吧吧的实际际环境中中发现556的的上行报报文都是是“震荡荡波”病病毒的扫扫描报文文。这些些病毒一一般使用用固定的的端口,比如TCP/一三5、TCP/4444、UDP/1434、TCP/5554、TCP/9996等,通过ACL对匹配这些目的端口的报文进行过滤会大大提高网络设备的安全性。例如:acl nummberr 30001rulee 100 deeny tcpp deestiinattionn-poort eq 4455 /Woorm.Blaasteer rulle 111 ddenyy uddp ddesttinaatioon-pportt eqq 4445 /WWormm.Bllastter rulle 220 ddenyy tccp ddesttinaatioon-pportt eqq 一三三5 /Woorm.Blaasteer rulle 221 ddenyy uddp ddesttinaatioon-pportt eqq 一三三5 /Worrm.BBlassterr rulle 330 ddenyy tccp ddesttinaatioon-pportt eqq 一三三7 rulle 440 ddenyy tccp ddesttinaatioon-pportt eqq 一三三8 rulle 550 ddenyy tccp ddesttinaatioon-pportt eqq 一三三9 /Woorm.Blaasteer rulle 661 ddenyy uddp ddesttinaatioon-pportt eqq tfftp /Worrm.BBlassterr rulle 770 ddenyy tccp ddesttinaatioon-pportt eqq 5993 /WWormm.Bllastter rulle 880 ddenyy tccp ddesttinaatioon-pportt eqq 44444 /WWormm.Bllastter rulle 990 ddenyy tccp ddesttinaatioon-pportt eqq 7007 /NNachhiBllastter-D rulle 1100 denny ttcp desstinnatiion-porrt eeq 114333 rulle 1101 denny uudp desstinnatiion-porrt eeq 114333 rulle 1110 denny ttcp desstinnatiion-porrt eeq 114344 rulle 1111 denny uudp desstinnatiion-porrt eeq 114344 /SSQL Slaammeer rulle 1120 denny ttcp desstinnatiion-porrt eeq 555544 / Sassserr rulle 一一三0 denny ttcp desstinnatiion-porrt eeq 999966 / Sassserr1.1.5 关闭没有有使用的的端口网络中每每时每刻刻都存在在大量的的扫描报报文,扫描软软件一般般都会先先探测目目的主机机开放了了哪些端端口。对对于常用用的应用用程序,如如wwww、ftpp、tfttp等,如如果局域域网内并并没有机机器开放放这些服服务,可可以在广广域网接接口通过过ACLL对匹配配这些目目的端口口的报文文进行过过滤。例如:acl nummberr 30001rulee 2000 ddenyy tccp ddesttinaatioon-pportt eqq wwww rulle 2202 denny ttcp desstinnatiion-porrt eeq fftp rulle 2204 denny ttcp desstinnatiion-porrt eeq 3338991.2 NAT配配置注意意事项需要使用用NATT转换地地址池时时,应尽尽量缩小小NATT转换地地址池的的大小,因因为地址址池越大大,占用用的内存存空间就就可能会会越大,大大的地址址池对于于内存较较小的设设备很可可能会导导致内存存耗尽。AR系列路由器上每个NAT转换地址可以支持50000个会话,网吧每台机器正常上网时平均会创建30条会话,因此一般情况下地址池配置1个NAT转换地址就可以满足需求。建议在AAR一八八系列路路由器上上配置NNAT地地址池时时只配置置1个IP地址址。例如:nat adddresss-ggrouup 11 2一一八.227.1192.1 22一八.227.1192.11.3 路由配置置注意事事项RFC119一八八中指定定的保留留的私有有地址和和其他已已知的私私有地址址不应该该存在于于现有的的intternnet网网络上。可可以通过过黑洞路路由进行行过滤。避避免局域域网中存存在攻击击时占用用大量的的快转表表项或者者NATT表项。例如:ip rroutte-sstattic 10.0.00.0 2555.0.0.00 NUULL 0 ppreffereencee 600 ip rouute-staaticc 1669.2254.0.00 2555.2255.0.00 NUULL 0 ppreffereencee 600 ip rouute-staaticc 1772.116.00.0 2555.2440.00.0 NULLL 00 prrefeerennce 60 ip rouute-staaticc 1992.1168.0.00 2555.2255.0.00 NUULL 0 ppreffereencee 600 ip rroutte-sstattic 1988.一八八.0.0 2255.2544.0.0 NNULLL 0 preeferrencce 6601.4 进行IPP-MAAC地址址绑定由于网吧吧上网人人员比较较复杂,可能有人有意或无意地更改IP地址,或者使用网络执法官等软件进行恶意地破坏,通过在网关和客户机上都进行IP-MAC地址绑定(静态ARP),可以有效地防止这类以ARP欺骗为基础的攻击。在网关上上可以通通过arrp sstattic命命令对所所有的客客户机进进行静态态ARPP设置。在客户机机上可以以建立一一个批处处理文件件放到启启动组里里,批处处理文件件的内容容就是对对网关进进行IPP-MAAC绑定定,这样样每次启启动就都都会自动动进行设设置。客户机设设置静态态ARPP的实例例:xechho ooffarp s 1922.1668.11.1 00-0f-e2-21-a0-011.5 限制P22P应用用(根据据实际情情况可选选)P2P应应用对于于网吧带带宽来说说是致命命杀手,一一个P22P客户户端就有有可能占占用总带带宽的990以以上,这这会严重重影响网网吧的其其他用户户的正常常上网,尤尤其是玩玩在线游游戏的用用户。限限制P22P应用用有多种种方式可可以选择择,但目目前还没没有非常常有效的的方法。下下面分别别介绍几几种常用用的方法法。1.5.1 通过ACCL限制制端口通过ACCL限制制端口。一一是只限限制P22P的端端口,开开放所有有的其他他端口,这种方法有其局限性,因为现在有的p2p软件,端口可以改变,封锁后会自动改端口,甚至可以改到80端口,如果连这个也封,那网络使用就无法正常工作了;二是只开放有用的端口,封闭其他端口,这种方法是对网络进行严格的控制,对简单的小型网络还可行,而如果是大型网络,数据流量又很复杂那么管理的难度将非常大;因此这两种方法对网吧都不太适合。1.5.2 结合QOOS和ACLL限制端端口流量量结合QOOS和ACLL来限制制P2PP端口的的数据流流量。因因为多数数蠕虫病病毒和pp2p的的端口都都是大于于30000的,当当然也有有正常的的应用是是采用330000以上的的端口,如如果我们们将30000以以上的端端口封闭闭,这样样正常的的应用也也无法开开展,所所以折中中的方法法是对端端口30000以以上的数数据流进进行限速速。在实实际应用用中可能能需要根根据实际际情况更更改端口口号的范范围以使使对其他他应用的的影响降降低到最最小。例如:在广域网网接口和和QOSS结合使使用的AACL。acl nummberr 31100 rulle 110000 peermiit ttcp desstinnatiion-porrtgtt30000 rulle 110100 peermiit uudp desstinnatiion-porrt ggt30000在广域网网接口配配置的QQOS。# traffficc cllasssifiier p2ppin opeerattor or if-mattch acll 31100# traffficc beehavviorr p22pinn caar ccir 204480000 ccbs 102240000 eebs 0 ggreeen ppasss reed ddisccardd# qos pollicyy p22pinn claassiifieer pp2piin bbehaavioor pp2piin# inteerfaace Ethhernnet11/0 ip adddresss 1162.1.11.2 2555.2555.2255.2522 qoss appplyy pooliccy pp2piin iinbooundd# 在局域网网接口和和QOSS结合使使用的AACL。acl nummberr 33300rulee 10000 perrmitt tccp ssourrce-porrt ggt30000 rulle 110100 peermiit uudp souurcee-poort gt30000在局域网网接口配配置的QQOS。#traffficc cllasssifiier p2ppoutt opperaatorr orr if-mattch acll 33300#traffficc beehavviorr p22pouut caar ccir 204480000 ccbs 102240000 eebs 0 ggreeen ppasss reed ddisccardd#qos pollicyy p22pouut claassiifieer pp2poout behhaviior p2ppoutt# inteerfaace Ethhernnet33/0 ip adddresss 1192.1688.1.1 2255.2555.2555.00 qoss appplyy pooliccy pp2poout inbbounnd #1.5.3 限制单机机的NAAT会话话数以后的VVRP软软件会支支持NAAT的单单用户限限制,即即可以对对做地址址转换的的单个IIP限制制其NAAT的TCPP连接数,因因为P22P类软软件如BBT的一一大特点点就是同同时会有有很多的的连接数数,从而而占用了了大量的的NATT表项,因因此应用用该方法法可有效效限制BBT的使使用,比比如我们们为IPP 1992.1168.11.2设置最最大的NNAT表表项数为为100;正正常的网网络访问问肯定够够用了,但但如果使使用BTT,那么么很快此此IP的NATT表项数数会达到100,一一旦达到到峰值,该该IP的其其他访问问就无法法再进行行NATT转换,必必须等到到部分NAAT表项项失效后后,才能能再次使使用,这这样既有有效的保保护了网网络的带带宽,也也达到了了警示的的作用。1.5.4 在客户机机上通过过软件限限制在客户机机上通过过软件设设置来禁禁止使用用P2PP软件。有有很多网网吧管理理软件可可以根据据需要禁禁止各种种软件的的运行,建建议需要要禁止PP2P应应用的网网吧采用用这种方方式。以上我们们总结了了目前可可用的限限制P22P软件件的一些些方法,具具体采用用哪种方方法只能能根据具具体网络络的状况况来定,当当然也可可以将几几种方法法结合起起来使用用。2 附:限制制常见PP2P软软件端口口的ACCL acll nuumbeer 331000rulee 10000 denny ttcp desstinnatiion-porrt eeq 227100 rulle 110100 deeny tcpp deestiinattionn-poort eq 69669 rulle 110200 deeny tcpp deestiinattionn-poort rannge 88881 889999 rulle 110300 deeny tcpp deestiinattionn-poort eq 10一一三7 rulle 110400 deeny tcpp deestiinattionn-poort eq 168881 rulle 110500 deeny tcpp deestiinattionn-poort rannge 46661 446622 rulle 110600 deeny udpp deestiinattionn-poort eq 46665 rulle 110700 deeny udpp deestiinattionn-poort eq 46772 第二部分分典型配配置实例例1 单出口典典型配置置这类网吧吧只有一一个到IISP的的出口,是是最常见见的一种种情况,网网络拓扑扑比较简简单,下下面根据据局域网网内的主主机地址址是私网网IP地址址还是公网网IP地址址分为两两种情况况举例。1.1 局域网内内的主机机地址是是私网IIP地址址网络拓扑扑图如图图1所示,AAR一八八-222-244通过1442.11.1.0/330网段段和ISSP相连连,局域域网内的的IP地址址段是1192.1688.1.0/224,局局域网内内的主机机上网需需要通过过AR一八八-222-244进行NAAT转换换。142.1.1.2/30192.168.1.1/24ISPAR一八-22-24图1 单单出口需需要进行行NATT转换拓拓扑图Quiidwaay dissplaay ccurrrentt-coonfiigurratiion# syssnamme QQuiddwayy# cloock summmerr-tiime BJ reppeattingg 000:000:00006/01/20000233:599:599 088/311/20000 011:000:000# cloock timmezoone Pekkingg addd 008:000:000# FTPP seerveer eenabble# firrewaall enaablee# floow-iinteervaal 55# webb seet-ppackkagee foorcee fllashh:/hhttpp.ziip#radiius schhemee syysteem#domaain sysstemm#locaal-uuserr addminn passswoord cippherr .xUSSE=BB,533Q=QMMAF441! serrvicce-ttypee teelneet ttermminaal levvel 3 serrvicce-ttypee fttp# 配置置进行NNAT转转换时引引用的AACL。acl nummberr 20001 rulle 110 ppermmit souurcee 1992.1168.1.00 0.0.00.2555# 配置置在接口口上应用用的过滤滤规则,主主要用于于攻击防防范,强强烈建议议配置。acl nummberr 30001 rulle 110 ddenyy tccp ddesttinaatioon-pportt eqq 4445 rulle 111 ddenyy uddp ddesttinaatioon-pportt eqq 4445 rulle 220 ddenyy tccp ddesttinaatioon-pportt eqq 一三三5 rulle 221 ddenyy uddp ddesttinaatioon-pportt eqq 一三三5 rulle 330 ddenyy tccp ddesttinaatioon-pportt eqq 一三三7 rulle 331 ddenyy uddp ddesttinaatioon-pportt eqq neetbiios-ns rulle 440 ddenyy tccp ddesttinaatioon-pportt eqq 一三三8 rulle 441 ddenyy uddp ddesttinaatioon-pportt eqq neetbiios-dgmm rulle 550 ddenyy tccp ddesttinaatioon-pportt eqq 一三三9 rulle 551 ddenyy uddp ddesttinaatioon-pportt eqq neetbiios-ssnn rulle 661 ddenyy uddp ddesttinaatioon-pportt eqq tfftp rulle 770 ddenyy tccp ddesttinaatioon-pportt eqq 5993 rulle 880 ddenyy tccp ddesttinaatioon-pportt eqq 44444 rulle 990 ddenyy tccp ddesttinaatioon-pportt eqq 7007 rulle 1100 denny ttcp desstinnatiion-porrt eeq 114333 rulle 1101 denny uudp desstinnatiion-porrt eeq 114333 rulle 1110 denny ttcp desstinnatiion-porrt eeq 114344 rulle 1111 denny uudp desstinnatiion-porrt eeq 114344 rulle 1120 denny ttcp desstinnatiion-porrt eeq 555544 rulle 一一三0 denny ttcp desstinnatiion-porrt eeq 999966 rulle 1141 denny uudp souurcee-poort eq boootpss rulle 1160 perrmitt iccmp icmmp-ttypee eccho rulle 1161 perrmitt iccmp icmmp-ttypee eccho-repply rulle 1162 perrmitt iccmp icmmp-ttypee tttl-eexceeedeed rulle 1165 denny iicmpp rulle 220022 peermiit iip ddesttinaatioon 1142.1.11.2 0 rulle 330000 deeny ipacl nummberr 30003 rulle 110 ddenyy tccp ddesttinaatioon-pportt eqq 4445 rulle 111 ddenyy uddp ddesttinaatioon-pportt eqq 4445 rulle 220 ddenyy tccp ddesttinaatioon-pportt eqq 一三三5 rulle 221 ddenyy uddp ddesttinaatioon-pportt eqq 一三三5 rulle 330 ddenyy tccp ddesttinaatioon-pportt eqq 一三三7 rulle 331 ddenyy uddp ddesttinaatioon-pportt eqq neetbiios-ns rulle 440 ddenyy tccp ddesttinaatioon-pportt eqq 一三三8 rulle 441 ddenyy uddp ddesttinaatioon-pportt eqq neetbiios-dgmm rulle 550 ddenyy tccp ddesttinaatioon-pportt eqq 一三三9 rulle 551 ddenyy uddp ddesttinaatioon-pportt eqq neetbiios-ssnn rulle 661 ddenyy uddp ddesttinaatioon-pportt eqq tfftp rulle 770 ddenyy tccp ddesttinaatioon-pportt eqq 5993 rulle 880 ddenyy tccp ddesttinaatioon-pportt eqq 44444 rulle 990 ddenyy tccp ddesttinaatioon-pportt eqq 7007 rulle 1100 denny ttcp desstinnatiion-porrt eeq 114333 rulle 1101 denny uudp desstinnatiion-porrt eeq 114333 rulle 1110 denny ttcp desstinnatiion-porrt eeq 114344 rulle 1111 denny uudp desstinnatiion-porrt eeq 114344 rulle 1120 denny ttcp desstinnatiion-porrt eeq 555544 rulle 一一三0 denny ttcp desstinnatiion-porrt eeq 999966 rulle 1141 denny uudp souurcee-poort eq boootpss rulle 1160 perrmitt iccmp icmmp-ttypee eccho rulle 1161 perrmitt iccmp icmmp-ttypee eccho-repply rulle 1162 perrmitt iccmp icmmp-ttypee tttl-eexceeedeed rulle 1165 denny iicmpp rulle 220100 deeny ip souurcee 1992.1168.1.11 0 rulle 220300 peermiit iip ssourrce 1922.1668.11.0 0.00.0.2555 rulle 330000 deeny ip# 配置置广域网网接口EE1/00,对入入报文进进行过滤滤(所有有出报文文均需要要做NAAT时可可以不对对入报文文进行过过滤),对对出报文文进行NNAT。inteerfaace Ethhernnet11/0 ip adddresss 1142.1.11.2 2555.2555.2255.2522 firrewaall pacckett-fiilteer 330011 innbouund natt ouutbooundd 20001#inteerfaace Ethhernnet22/0# 配置置局域网网接口EE3/00,对入入报文进进行过滤滤。inteerfaace Ethhernnet33/0 ip adddresss 1192.1688.1.1 2255.2555.2555.00 firrewaall pacckett-fiilteer 330033 innbouund#inteerfaace Ethhernnet33/1#inteerfaace Ethhernnet33/2#inteerfaace Ethhernnet33/3#inteerfaace Ethhernnet33/4#inteerfaace Ethhernnet33/5#inteerfaace Ethhernnet33/6#inteerfaace Ethhernnet33/7#inteerfaace Ethhernnet33/8#inteerfaace Ethhernnet33/9#inteerfaace Ethhernnet33/100 #inteerfaace Ethhernnet33/111#inteerfaace Ethhernnet33/122#inteerfaace Ethhernnet33/一三三#inteerfaace Ethhernnet33/144#inteerfaace Ethhernnet33/一五五#inteerfaace Ethhernnet33/166#inteerfaace Ethhernnet33/177#inteerfaace Ethhernnet33/一八八#inteerfaace Ethhernnet33/199#inteerfaace Ethhernnet33/200#inteerfaace Ethhernnet33/211 #inteerfaace Ethhernnet33/222#inteerfaace Ethhernnet33/233#inteerfaace Ethhernnet33/244#inteerfaace NULLL0# 配置置缺省路路由和黑黑洞路由由。 ip rouute-staaticc 0.0.00.0 0.00.0.0 1142.1.11.1 preeferrencce 660 ip rouute-staaticc 100.0.0.00 2555.00.0.0 NNULLL 0 preeferrencce 660 ip rouute-staaticc 1669.2254.0.00 2555.2255.0.00 NUULL 0 ppreffereencee 600 ip rouute-staaticc 1772.116.00.0 2555.2440.00.0 NULLL 00 prrefeerennce 60 ip rouute-staaticc 1992.1168.0.00 2555.2255.0.00 NUULL 0 ppreffereencee 600 ip rouute-staaticc 1998.一一八.00.0 2555.2554.00.0 NULLL 00 prrefeerennce 60#userr-innterrfacce ccon 0userr-innterrfacce vvty 0 44 autthennticcatiion-modde sscheeme#retuurn1.2 局域网内内的主机机地址是是公网IIP地址址网络拓扑扑图如图图2所示,AAR一八八-222-244通过1442.11.1.0/330网段段和ISSP相连连,局域域网内的的IP地址址段是22一八.1168.1.00/244,局域域网内的的主机上上网只需需要在AAR一八八-222-244上设置置路由。142.1.1.2/302一八.168.1.1/24ISPAR一八-22-24图2 单单出口不不需要进进行NAAT转换换拓扑图图Quiidwaayddispplayy cuurreent-connfigguraatioon# syssnamme QQuiddwayy# cloock summmerr-tiime BJ reppeattingg 000:000:00006/01/20000233:599:599 088/311/20000 011:000:000# cloock timmezoone Pekkingg addd 008:000:000# FTPP seerveer eenabble# firrewaall enaablee# floow-iinteervaal 55# webb seet-ppackkagee foorcee fllashh:/hhttpp.ziip#radiius schhemee syysteem#domaain sysstemm#locaal-uuserr addminn passswoord cippherr .xUSSE=BB,533Q=QMMAF441! serrvicce-ttypee teelneet ttermminaal levvel 3 serrvicce-ttypee fttp# 配置置在接口口上应用用的过滤滤规则,主主要用于于攻击防防范,强强烈建议议配置。acl nummberr 30001 rulle 110 ddenyy tccp ddesttinaatioon-pportt eqq 4445 rulle 111 ddenyy uddp ddesttinaatioon-pportt eqq 4445 rulle 220 ddenyy tccp ddesttinaatioon-pportt eqq 一三三5 rulle 221 ddenyy uddp ddesttinaatioon-pportt eqq 一三三5 rulle 330 ddenyy tccp ddesttinaatioon-pportt eqq 一三三7 rulle 331 ddenyy uddp ddesttinaatioon-pportt eqq neetbiios-ns rulle 440 ddenyy tccp ddesttinaatioon-pportt eqq 一三三8 rulle 441 ddenyy uddp ddesttinaatioon-pportt eqq neetbiios-dgmm rulle 550 ddenyy tccp ddesttinaatioon-pportt eqq 一三三9 rulle 551 ddenyy uddp ddesttinaatioon-pportt eqq neetbiios-ssnn rulle 661 ddenyy uddp ddesttinaatioon-pportt eqq tfftp rulle 770 ddenyy tccp ddesttinaatioon-pportt eqq 5993 rulle 880 ddenyy tccp ddesttinaatioon-pportt eqq 44444 rulle 990 ddenyy tccp ddesttinaatioon-pportt eqq 7007 rulle 1100 denny ttcp desstinnatiion-porrt eeq 114333 rulle 1101 denny uudp desstinnatiion-porrt eeq 114333 rulle 1110 denny ttcp desstinnatiion-porrt eeq 114344 rulle 1111 denny uudp desstinnatiion-porrt eeq 114344 rulle 1120 denny ttcp desstinnatiion-porrt eeq 555544 rulle 一一三0 denny ttcp desstinnatiion-porrt eeq 999966 rulle 1141 denny uudp souurcee-poort eq boootpss rulle 1160 perrmitt iccmp icmmp-ttypee eccho rulle 1161 perrmitt iccmp icmmp-ttypee eccho-repply rulle 1162 perrmitt iccmp icmmp-ttypee tttl-eexceeedeed rulle 1165 denny iicmpp rulle 2200 denny ttcp desstinnatiion-porrt eeq wwww rulle 2202 denny ttcp desstinnatiion-porrt eeq fftp rulle 2204 denny ttcp desstinnatiion-porrt eeq 333899 rulle 220011 peermiit iip ddesttinaatioon 22一八.1168.1.00 0.0.00.2555 rulle 220022 peermiit iip ddesttinaatioon 1142.1.11.2 0 rulle 330000 deeny ipacl nummberr 30003 rulle 110 ddenyy tccp ddesttinaatioon-pportt eqq 4445 rulle 111 ddenyy uddp ddesttinaatioon-pportt eqq 4445 rulle 220 ddenyy tccp ddesttinaatioon-pportt eqq 一三三5 rulle 221 ddenyy uddp ddesttinaatioon-pportt eqq 一三三5 rulle 330 ddenyy tccp ddesttinaatioon-pportt eqq 一三三7 rulle 331 ddenyy uddp ddesttinaatioon-pportt eqq neetbiios-ns rulle 440 ddenyy tccp ddesttinaatioon-pportt eqq 一三三8 rulle 441 ddenyy uddp ddesttinaatioon-pportt eqq neetbiios-dgmm rulle 550 ddenyy tccp ddesttinaatioon-pportt eqq 一三三9 rulle 551 ddenyy uddp ddesttinaatioon-pportt eqq neetbiios-ssnn rulle 661 ddenyy uddp ddesttinaatioon-pportt eqq tfftp rulle 770 ddenyy tccp ddesttinaatioon-pportt eqq 5993 rulle 880 ddenyy tccp ddesttinaatioon-pportt eqq 44444 rulle 990 ddenyy tccp ddesttinaatioon-pportt eqq 7007 rulle 1100 denny ttcp desstinnatiion-porrt eeq 114333 rulle 1101 denny uudp desstinnatiion-porrt eeq 114333 rulle 1110 denny ttcp desstinnatiion-porrt eeq 114344 rulle 1111 denny uudp desstinnatiion-porrt eeq 114344 rulle 1120 denny ttcp desstinnatiion-porrt eeq 555544 rulle 一一三0 denny ttcp desstinnatiion-porrt eeq 999966 rulle 1141 denny uudp souurcee-poort eq boootpss rulle 1160 perrmitt iccmp icmm
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 商业管理 > 市场营销


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!