1、路由器安全技術(shù),技術(shù)基礎(chǔ)課程系列,講師介紹,邁普通信xxx部門：張三 電話郵箱：,課程內(nèi)容,路由器身份認(rèn)證體制,看是否有配置line,AAA認(rèn)證,用戶登錄,進(jìn)入Shell,未配置line,未配置AAA,已配置line,已配置AAA,看是否有配置AAA,line認(rèn)證,用戶及級(jí)別設(shè)置,設(shè)置用戶及相關(guān)屬性 使用user命令來(lái)配置本地用戶和相關(guān)用戶權(quán)限屬性。,用戶分015級(jí)，15最高；只有高級(jí)別用戶才能對(duì)低級(jí)別用戶操作； 設(shè)置用戶密碼時(shí)的參數(shù)0代表以明文輸入，而不是以密文輸入。,用戶及級(jí)別設(shè)置,修改命令的級(jí)別 在邁普路由器IOS中的每個(gè)shell命令都有一個(gè)默認(rèn)的級(jí)別，但是可

2、以通過(guò)命令privilege來(lái)修改其默認(rèn)級(jí)別。 保證只有相應(yīng)級(jí)別及以上的用戶才有配置、查看相應(yīng)命令的權(quán)限。,設(shè)置enable密碼 設(shè)置進(jìn)入各個(gè)用戶級(jí)別的本地enable密碼。也可以只設(shè)置一個(gè)共通的密碼。若沒(méi)有配置enable密碼，則非console用戶不能進(jìn)入特權(quán)模式。,用戶及級(jí)別設(shè)置,設(shè)置line屬性 路由器支持一個(gè)console口用戶最多16個(gè)telnet用戶和16個(gè)ssh用戶同時(shí)登錄到設(shè)備上，line命令可以為這些登錄設(shè)置不同的認(rèn)證、授權(quán)等屬性。,AAA技術(shù)概念,AAA是認(rèn)證、授權(quán)和統(tǒng)計(jì)（Authentication, Authorization and Accounting）的簡(jiǎn)稱。

3、它提供了一個(gè)用來(lái)對(duì)這三種安全功能進(jìn)行配置的一致性框架。AAA的配置實(shí)際上是對(duì)網(wǎng)絡(luò)安全的一種管理。 這里的網(wǎng)絡(luò)安全主要指訪問(wèn)控制。包括： 哪些用戶可以訪問(wèn)網(wǎng)絡(luò)服務(wù)器？ 具有訪問(wèn)權(quán)的用戶可以得到哪些服務(wù)？ 如何對(duì)正在使用網(wǎng)絡(luò)資源的用戶進(jìn)行記賬？,AAA基本原理,NAS：網(wǎng)絡(luò)接入服務(wù)器（Network Access Server）。在路由器上啟動(dòng)AAA安全服務(wù)作為NAS。當(dāng)用戶想要登錄NAS或與 NAS建立連接（比如撥號(hào)連接）從而獲得訪問(wèn)其他網(wǎng)絡(luò)的權(quán)限時(shí)，NAS起到了驗(yàn)證用戶的作用 RADIUS：遠(yuǎn)程身份認(rèn)證撥入用戶服務(wù)（Remote Authentication Dial In User Serv

4、ice） Tacacs：Tacacs是終端訪問(wèn)控制系統(tǒng)（Terminal Access Controller Access Control System）的簡(jiǎn)稱,AAA認(rèn)證相關(guān)配置,AAA認(rèn)證簡(jiǎn)單設(shè)置命令,配置范例,router(config-if)# aaa new-model 啟動(dòng)AAA功能 router(config-if)# aaa authentication login default local 對(duì)登陸用戶根據(jù)本地用戶數(shù)據(jù)庫(kù)進(jìn)行身份認(rèn)證,Dot1x接入認(rèn)證體系,802.1X IEEE802 LAN/WAN 委員會(huì)為解決無(wú)線局域網(wǎng)網(wǎng)絡(luò)安全問(wèn)題，提出了802.1X協(xié)議。后來(lái)，802.

5、1X協(xié)議作為局域網(wǎng)端口的一個(gè)普通接入控制機(jī)制在以太網(wǎng)中被廣泛應(yīng)用，主要解決以太網(wǎng)內(nèi)認(rèn)證和安全方面的問(wèn)題。 802.1X協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議（port based network acce ss control protocol）。“基于端口的網(wǎng)絡(luò)接入控制”是指在局域網(wǎng)接入設(shè)備的端口這一級(jí)對(duì)所接入的用戶設(shè)備進(jìn)行認(rèn)證和控制。連接在端口上的用戶設(shè)備如果能通過(guò)認(rèn)證，就可以訪問(wèn)局域網(wǎng)中的資源；如果不能通過(guò)認(rèn)證，則無(wú)法訪問(wèn)局域網(wǎng)中的資源。 802.1X系統(tǒng)為典型的Client/Server 結(jié)構(gòu)，如圖 所示，包括三個(gè)實(shí)體：客戶端（Client）、設(shè)備端（Device）和認(rèn)證服務(wù)器（Serv

6、er ）,802.1X的認(rèn)證方式,802.1X認(rèn)證系統(tǒng)使用EAP （Extensible Authentication Protocol ，可擴(kuò)展認(rèn)證協(xié)議），來(lái)實(shí)現(xiàn)客戶端、設(shè)備端和認(rèn)證服務(wù)器之間認(rèn)證信息的交換。 在客戶端與設(shè)備端之間，EAP協(xié)議報(bào)文使用 EAPOL封裝格式，直接承載于LAN 環(huán)境中。 在設(shè)備端與RADIUS 服務(wù)器之間，可以使用兩種方式來(lái)交換信息： EAP 協(xié)議報(bào)文由設(shè)備端進(jìn)行中繼，使用EAPOR（EAP over RADIUS）封裝格式承載于RADIUS 協(xié)議中 EAP 協(xié)議報(bào)文由設(shè)備端進(jìn)行終結(jié)，采用包含 PAP（Password Authentication Protoco

7、l ，密碼驗(yàn)證協(xié)議）或CHAP （Challenge Handshake Authentication Protocal，質(zhì)詢握手驗(yàn)證協(xié)議）屬性的報(bào)文與RADIUS 服務(wù)器進(jìn)行認(rèn)證交互,802.1X認(rèn)證流程,802.1X認(rèn)證相關(guān)配置,802.1X認(rèn)證常用命令,dot1x eap-relay 該命令配置端口的EAP模式，EAP中繼或者EAP終結(jié)。相關(guān)的no命令恢復(fù)配置缺省值。 dot1x eap-relay enable|disable; no dot1x eap-relay,dot1x port-control 該命令在端口啟用或者關(guān)閉802.1X功能。相關(guān)的no命令恢復(fù)配置缺省值。 dot1

8、x port-control enable|disable no dot1x port-control,dot1x port-method 該命令配置端口802.1X的認(rèn)證模式，基于端口 認(rèn)證模式或者基于用戶認(rèn)證模式。相關(guān)的no命令恢復(fù)配置缺省值。 dot1x port-method portbased|macbased no dot1x port-method 備注:Portbased:基于端口 的認(rèn)證模式 macbased:基于用戶的認(rèn)證模式,課程內(nèi)容,內(nèi)聯(lián)網(wǎng)通常采用一定的安全措施與企業(yè)或機(jī)構(gòu)外部的Internet用戶相隔離，這個(gè)安全措施就是防火墻（firewall）。防火墻技術(shù)一般分為兩

9、類: 網(wǎng)絡(luò)級(jí)防火墻:主要是用來(lái)防止整個(gè)網(wǎng)絡(luò)出現(xiàn)外來(lái)非法的入侵。屬于這類的有包過(guò)濾（packet filtering）和授權(quán)服務(wù)器（authorization server）。 應(yīng)用級(jí)防火墻:從應(yīng)用程序來(lái)進(jìn)行存取控制。通常使用應(yīng)用網(wǎng)關(guān)或委托服務(wù)器（proxy server）來(lái)區(qū)分各種應(yīng)用。例如，可以只允許通過(guò)萬(wàn)維網(wǎng)的應(yīng)用，而阻止FTP應(yīng)用的通過(guò)。,訪問(wèn)控制列表（ACL）技術(shù),邁普路由器采用的是包過(guò)濾式的防火墻技術(shù)； 包過(guò)濾式防火墻的核心就是通過(guò)訪問(wèn)控制列表來(lái)控制流入流出路由器的數(shù)據(jù)； 訪問(wèn)控制列表以IP包信息為基礎(chǔ)，對(duì)IP源地址、IP目標(biāo)地址、協(xié)議類型及各協(xié)議的字段（如：TCP、UDP的端口號(hào)，

10、ICMP的類型、代碼，IGMP的類型等）進(jìn)行篩選； 訪問(wèn)列表根據(jù)過(guò)濾的內(nèi)容可以分成2類，標(biāo)準(zhǔn)訪問(wèn)列表和擴(kuò)展訪問(wèn)列表；,標(biāo)準(zhǔn)訪問(wèn)列表配置實(shí)例,實(shí)例實(shí)現(xiàn)目標(biāo) 建立標(biāo)準(zhǔn)訪問(wèn)列表2，定義了三條規(guī)則; 將標(biāo)準(zhǔn)訪問(wèn)列表2應(yīng)用于以太接口0; 從以太接口0來(lái)的包中，只允許子網(wǎng)上的主機(jī)IP地址為發(fā)來(lái)的包通過(guò)，允許子網(wǎng)上所有機(jī)器發(fā)來(lái)的包，拒絕接收其它的包。,擴(kuò)展訪問(wèn)列表配置命令,定義擴(kuò)展訪問(wèn)控制列表 定義一個(gè)擴(kuò)展訪問(wèn)列表，可以用數(shù)字命名，也可以是用戶自定義名稱，該命令將進(jìn)入擴(kuò)展訪問(wèn)列表配置模式。no格式是刪掉某個(gè)訪問(wèn)列表，包含它下面的所有規(guī)則。 no ip a

11、ccess-list extended access-list-number | access-list-name ,規(guī)則定義 配置一條permit（或deny）擴(kuò)展訪問(wèn)列表規(guī)則，no格式是刪除指定的規(guī)則。 no sequence permit protocol source source-wildcard operator source-port source-port destination destination-wildcard icmp-type igmp-type operator destination-port destination-port ack / fin / esta

12、blished / psh / rst / syn / urg precedence precedence tos tos log audit time-range time-range-name,擴(kuò)展訪問(wèn)列表規(guī)則參數(shù),擴(kuò)展訪問(wèn)列表規(guī)則參數(shù),擴(kuò)展訪問(wèn)列表配置命令,在接口上應(yīng)用訪問(wèn)控制列表 對(duì)于往內(nèi)的訪問(wèn)列表，如果允許這個(gè)包，路由器軟件繼續(xù)處理這個(gè)包；如果拒絕這個(gè)包，防火墻軟件就會(huì)扔掉這個(gè)包，并向源地址發(fā)送ICMP管理狀態(tài)不可達(dá)的包。 對(duì)于往出的訪問(wèn)列表，收到并路由一個(gè)包到接口后，防火墻軟件根據(jù)訪問(wèn)列表檢測(cè)包。如果允許這個(gè)包，路由器軟件就會(huì)轉(zhuǎn)發(fā)這個(gè)包；如果拒絕這個(gè)包，防火墻軟件就會(huì)扔掉這個(gè)包，并

13、向源地址發(fā)送ICMP管理狀態(tài)不可達(dá)的包。,no ip access-group access-list-number | access-list-name in | out ,防火墻的其他安全功能,偽源地址檢測(cè)偽源地址一直是攻擊者最常利用的手段，常常被使用在會(huì)話劫持、DOS攻擊等場(chǎng)合，而對(duì)于這樣的報(bào)文進(jìn)行檢測(cè)也往往是很具有技術(shù)性的；最常規(guī)的檢測(cè)是在各接口上配置接收方向的訪問(wèn)列表，進(jìn)行包的過(guò)濾，但這種檢測(cè)是相當(dāng)有限的； 邁普路由器有相應(yīng)的檢測(cè)機(jī)制，從這樣幾個(gè)角度進(jìn)行： 接收接口是否正確，如果接收到某報(bào)文的接口根本沒(méi)有到達(dá)其源地址的路由，其路由應(yīng)該取決于其它接口，該報(bào)文將被攔截； 從本路由器上根本

14、找不到到達(dá)某報(bào)文源地址的路由，該報(bào)文被攔截； 從源地址來(lái)看，是直連路由且屬于以太網(wǎng)，但在ARP表中找不到該MAC地址與源IP地址的對(duì)應(yīng)，很可能是欺騙，攔截該報(bào)文； 不是直連路由，是接口路由，如果在ARP表中找不到該報(bào)文的MAC項(xiàng)，是不正常的，攔截該報(bào)文； 如果按照源地址來(lái)看是網(wǎng)關(guān)路由，但MAC地址卻不是對(duì)應(yīng)的網(wǎng)關(guān)的物理地址，很可能也是欺騙，攔截該報(bào)文； 其余的包，確定正常的或無(wú)法確定的，都放行；,防火墻的其他安全功能,攻擊檢測(cè) 根據(jù)開關(guān)檢測(cè)攻擊：ICMP flood、 Smurf、 Fraggle、 SYN flood、 LAND等； 幾種攻擊包的檢測(cè)（或監(jiān)控）：,攻擊檢測(cè)功能,ip icmp

15、 intercept ICMP flood，該攻擊通過(guò)向目的服務(wù)器發(fā)送大量ICMP包，占用帶寬，從而導(dǎo)致合法報(bào)文無(wú)法到達(dá)目的服務(wù)器，達(dá)到攻擊目的；檢測(cè)時(shí)，對(duì)于路由器所保護(hù)的各服務(wù)器地址為目的地址的ICMP報(bào)文進(jìn)行記數(shù)，一旦報(bào)文的接收頻率高出正常范圍，則懷疑存在攻擊行為，嚴(yán)格控制報(bào)文的流經(jīng)頻率；直到頻率低出范圍，又開始放行；此處理方式有一定的局限性：即當(dāng)拒絕過(guò)量包時(shí)也拒絕了合法的包，但在綜合考慮系統(tǒng)自身的承受能力的前提下，此方法是最合理的，且保證了目標(biāo)服務(wù)器不被淹沒(méi)；此方法只能用來(lái)保護(hù)路由器后面的目標(biāo)服務(wù)器，但不能保護(hù)路由器自身；,no ip icmp intercept list access

16、-list-number | access-list-name maxcount ,攻擊檢測(cè)功能,ip smurf intercept Smurf也是一種這種類型的攻擊，攻擊者先使用該受害主機(jī)的地址，向一個(gè)廣播地址發(fā)送ICMP回響請(qǐng)求，在此廣播網(wǎng)絡(luò)上，潛在的數(shù)以千計(jì)的計(jì)算機(jī)將會(huì)做出響應(yīng)，大量響應(yīng)將發(fā)送到受害主機(jī)，此攻擊后果同ICMP flood，但比之更為隱秘；此類包可通過(guò)兩種方式攔截，如果偽源地址檢測(cè)能夠檢測(cè)出來(lái)，直接拒絕該包，另外，可打開smurf檢測(cè)開關(guān)，如果源地址是受保護(hù)的目的服務(wù)器地址，而目的地址是一個(gè)廣播地址，則攔截這樣的包； smurf自身利用的是ICMP_ECHO包，但考慮到其

17、它的ICMP請(qǐng)求包也將導(dǎo)致同樣的后果，因此，將檢測(cè)擴(kuò)展到類型ICMP_TSTAMP、ICMP_IREQ、ICMP_MASKREQ；,no ip smurf intercept list access-list-number | access-list-name masklen number ,攻擊檢測(cè)功能,ip fraggle intercept 攻擊fraggle嚴(yán)格說(shuō)來(lái)，是一個(gè)smurf的變種，它針對(duì)許多防火墻對(duì)于ICMP包檢查比較嚴(yán)格的前提，不再向廣播地址發(fā)ICMP請(qǐng)求包，而是改為發(fā)送UDP包，當(dāng)目的網(wǎng)段的計(jì)算機(jī)收到該包并檢查到目的端口不可達(dá)時(shí)，將發(fā)給受害主機(jī)一個(gè)“目的端口不可達(dá)”的差錯(cuò)

18、報(bào)文，大量的報(bào)文同時(shí)涌向受害主機(jī)，因而達(dá)到攻擊目的；此檢測(cè)與smurf檢測(cè)大同小異，僅僅類型不同而已；,no ip fraggle intercept list access-list-number | access-list-name masklen number ,攻擊檢測(cè)功能,ip tcp intercept land LAND攻擊則利用了系統(tǒng)的另一個(gè)弱點(diǎn)：許多系統(tǒng)不知道如何處理源地址與端口號(hào)等同于目的地址與端口號(hào)的SYN建連請(qǐng)求，導(dǎo)致系統(tǒng)紊亂或死機(jī)；因此，如果檢測(cè)到了某個(gè)報(bào)文的源地址等于目的地址、源端口等于目的端口，當(dāng)即扔掉這樣的包。,no ip tcp intercept land,

19、攻擊檢測(cè)功能,ip tcp intercept land LAND攻擊則利用了系統(tǒng)的另一個(gè)弱點(diǎn)：許多系統(tǒng)不知道如何處理源地址與端口號(hào)等同于目的地址與端口號(hào)的SYN建連請(qǐng)求，導(dǎo)致系統(tǒng)紊亂或死機(jī)；因此，如果檢測(cè)到了某個(gè)報(bào)文的源地址等于目的地址、源端口等于目的端口，當(dāng)即扔掉這樣的包。,no ip tcp intercept list access-list-number | access-list-name maxcount number ,防火墻的監(jiān)控與維護(hù), show access-lists 顯示訪問(wèn)列表的內(nèi)容, 當(dāng)沒(méi)有名稱和編號(hào)時(shí)，顯示所有的訪問(wèn)列表。 show access-lists a

20、ccess-list-number | access-list-name audit, show ip interface list 顯示各接口上訪問(wèn)列表的應(yīng)用。, clear access-list counters 清除訪問(wèn)列表的計(jì)數(shù)器, 當(dāng)沒(méi)有名稱和編號(hào)時(shí)，清除所有的訪問(wèn)列表的計(jì)數(shù)器。, debug ip packet access-list 查看訪問(wèn)列表的過(guò)濾處理信息來(lái)監(jiān)控和維護(hù)防火墻。,課程內(nèi)容,NAT的概念,網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）主要用來(lái)完成局部地址與全局地址之間的轉(zhuǎn)換。NAT解決了Internet地址耗竭問(wèn)題，企業(yè)內(nèi)部網(wǎng)只需少量的全局地址就可達(dá)到與INTERNET的互連。 NAT

21、使一個(gè)組織在多個(gè)域內(nèi)重用注冊(cè)過(guò)的IP地址，只要離開該域以前將那些重用地址轉(zhuǎn)換為全局的唯一注冊(cè)IP地址即可。,NAT的相關(guān)術(shù)語(yǔ),內(nèi)部本地地址：分配給內(nèi)部網(wǎng)絡(luò)中的主機(jī)的IP地址。這個(gè)地址可能不是由網(wǎng)絡(luò)信息中心（NIC）或服務(wù)提供商（ISP）分配的合法的IP地址。 內(nèi)部全局地址：合法的IP地址（由NIC或ISP分配的），用于向外部世界表示一個(gè)或多個(gè)內(nèi)部本地IP地址。 外部本地地址：分配給外部網(wǎng)絡(luò)中的主機(jī)的IP地址。這個(gè)地址可能不是由網(wǎng)絡(luò)信息中心（NIC）或服務(wù)提供商（ISP）分配的合法的IP地址。 外部全局地址：合法的外部IP地址（由NIC或ISP分配的），internet上實(shí)際存在的地址。 靜態(tài)轉(zhuǎn)

22、換：在內(nèi)部本地地址與內(nèi)部全局地址之間建立一個(gè)一對(duì)一的映射。當(dāng)一個(gè)固定的地址必須從外界訪問(wèn)一個(gè)內(nèi)部主機(jī)時(shí)靜態(tài)轉(zhuǎn)換是有用的。 動(dòng)態(tài)轉(zhuǎn)換：在一個(gè)內(nèi)部本地地址與一個(gè)全局地址池之間建立一個(gè)映射。,NAT的分類應(yīng)用,你想接入Internet，但你的主機(jī)并不都具有全球唯一的IP地址 通常情況下，內(nèi)部本地地址通常采用127、192等保留網(wǎng)段作為內(nèi)部本地地址。而這些地址相對(duì)外網(wǎng)來(lái)說(shuō)不可達(dá)。為了要使得內(nèi)部網(wǎng)絡(luò)訪問(wèn)外部的某些地址，就需要使用內(nèi)部源NAT地址轉(zhuǎn)換。為了節(jié)省內(nèi)部全局地址池中的地址，可以重載內(nèi)部全局地址，允許路由器將多個(gè)本地地址映像為一個(gè)全局地址。 你想進(jìn)行基本的TCP信息流負(fù)載分配 如果內(nèi)部網(wǎng)絡(luò)中有多臺(tái)

23、提供同樣服務(wù)的主機(jī)（如Web Server），它們擁有連續(xù)的幾個(gè)內(nèi)部IP地址，通過(guò)配置內(nèi)部目的地址NAT轉(zhuǎn)換可以實(shí)現(xiàn)簡(jiǎn)單的TCP負(fù) 載分擔(dān)，而通過(guò)一個(gè)或幾個(gè)全局IP地址對(duì)外提供服務(wù)。 你希望只有部分外網(wǎng)段才能訪問(wèn)內(nèi)網(wǎng)服務(wù)器 可以在與外界通信時(shí)，使用外部源NAT地址轉(zhuǎn)換，把外部全局IP地址轉(zhuǎn)換成外部本地IP地址。,NAT常用配置命令,NAT常用配置命令,靜態(tài)轉(zhuǎn)換內(nèi)部源地址,在與外界通信時(shí)，使用轉(zhuǎn)換內(nèi)部源地址把你自己的IP地址轉(zhuǎn)換成全局唯一的IP地址?？梢赃x擇配置靜態(tài)或動(dòng)態(tài)轉(zhuǎn)換。 在本例中，建立到靜態(tài)轉(zhuǎn)換，然后將以太接口f0配置為內(nèi)部接口，串口s0/0配

24、置為外部接口。,靜態(tài)轉(zhuǎn)換內(nèi)部源地址,router 配置,如果分配的外部地址足夠多，也可將內(nèi)部整個(gè)網(wǎng)段映射到外部網(wǎng)段,動(dòng)態(tài)轉(zhuǎn)換內(nèi)部源地址,動(dòng)態(tài)轉(zhuǎn)換內(nèi)部源地址,router 配置, 注意：訪問(wèn)列表必須只允許那些將被轉(zhuǎn)換的地址。一個(gè)允許太多地址的訪問(wèn)列表會(huì)導(dǎo)致不可預(yù)期的結(jié)果。,重載一個(gè)內(nèi)部全局地址,為了節(jié)省內(nèi)部全局地址池中的地址，可以允許路由器將多個(gè)本地地址映像為一個(gè)全局地址。當(dāng)多個(gè)本地地址映像到一個(gè)全局地址時(shí)，則用每個(gè)內(nèi)部主機(jī)的TCP或UDP端口號(hào)來(lái)區(qū)分這些本地地址。,重載一個(gè)內(nèi)部全局地址,router 配置,轉(zhuǎn)換內(nèi)部目的地址,如果內(nèi)部網(wǎng)絡(luò)中有多臺(tái)提供同樣服務(wù)的主機(jī)（如多臺(tái)Web Server，它

25、們擁有連續(xù)的幾個(gè)內(nèi)部IP地址），通過(guò)配置內(nèi)部目的地址的NAT轉(zhuǎn)換可以實(shí)現(xiàn)簡(jiǎn)單的TCP負(fù)載分擔(dān)，而通過(guò)一個(gè)或幾個(gè)全局IP地址對(duì)外提供服務(wù)。,轉(zhuǎn)換內(nèi)部目的地址,訪問(wèn)列表必須只允許那些將被轉(zhuǎn)換的地址； 如果內(nèi)部主機(jī)只有一個(gè)就不再需要進(jìn)行TCP負(fù)載分擔(dān)，不需要使用此配置,router 配置,靜態(tài)轉(zhuǎn)換外部源地址,在與外界通信時(shí)，使用轉(zhuǎn)換外部原地址把外部全局IP地址轉(zhuǎn)換成外部本地IP地址?？梢耘渲渺o態(tài)或動(dòng)態(tài)轉(zhuǎn)換。,靜態(tài)轉(zhuǎn)換外部源地址,router 配置,如果分配的地址足夠多，也可以同時(shí)將外部整個(gè)網(wǎng)段映射到內(nèi)部網(wǎng)段,動(dòng)態(tài)轉(zhuǎn)換外部源地址,首先由外部主機(jī)向內(nèi)部主機(jī)發(fā)起連接，報(bào)文為195.1.1

26、.1- 經(jīng)過(guò)路由器后，使用地址池中的地址0替換源地址，報(bào)文變?yōu)?- 主機(jī)收到請(qǐng)求后，響應(yīng)請(qǐng)求，報(bào)文為-0 響應(yīng)報(bào)文經(jīng)過(guò)路由器后，使用外部地址替換目的地址，報(bào)文變?yōu)?，并根據(jù)目的地址轉(zhuǎn)發(fā)給主機(jī),動(dòng)態(tài)轉(zhuǎn)換外部源地址,router 配置,NAT配置注意事項(xiàng),全局地址和本地地址不能交迭。 配置時(shí)靜態(tài)的地址不能與動(dòng)態(tài)的地址池中的地址交迭。 作為連接問(wèn)題的一個(gè)解決方案，只有當(dāng)一個(gè)內(nèi)部網(wǎng)中有相對(duì)少量的主機(jī)同時(shí)與這個(gè)域的外界通信時(shí)，

27、NAT才是實(shí)用的。在這種情況下，在必須與外界通信時(shí)，這個(gè)域的IP地址中只有一個(gè)很小的子集必須被轉(zhuǎn)換成全球唯一的IP地址。當(dāng)不再使用時(shí)，這些地址還能被重新使用。 當(dāng)應(yīng)用程序中嵌入IP地址或端口時(shí)，NAT對(duì)端用戶來(lái)說(shuō)就成為不透明的，故NAT也不能用于此種情況，在應(yīng)用程序中嵌入了IP地址和端口的應(yīng)用協(xié)議中，現(xiàn)在只支持FTP，MMS，OICQ，TFTP。 路由信息只能向內(nèi)不能向外傳播。 需設(shè)定NAT與ISP的路由器之間的靜態(tài)路由配置。 IP OPTION 不能正常的支持。 當(dāng)有多個(gè)接口時(shí)，要使用同樣的NAT表。,NAT的監(jiān)控命令,NAT的監(jiān)控命令,NAT監(jiān)控信息實(shí)例,描述與分析： Type：NAT轉(zhuǎn)換

28、記錄的類型 Pro：IP協(xié)議類型 Inside global：內(nèi)部全局地址和端口 Inside local：內(nèi)部局部地址和端口 Outside local：外部局部地址和端口 Outside global：外部全局地址和端口 Age：記錄余下的生命期（秒） 括號(hào)中的內(nèi)容：當(dāng)前的TCP狀態(tài),router# show ip nat translations Type Pro Inside global Inside local Outside local Outside global Age NAT ICMP 41:1024 00:1024 - 128

29、.255.125.125:1024 50 NAT TCP 41:1916 00:1916 - :80 1785 (NORMAL:0) NAT TCP 41:1882 00:1882 - :80 1785 (NORMAL:0),該顯示結(jié)果表明內(nèi)部局部地址00分別向外部地址25發(fā)送了ICMP報(bào)文，向外部地址的80端口發(fā)起了兩條TCP連接。,NAT的監(jiān)控命令,show ip nat statistics信息分析（1

30、）,NAT的監(jiān)控命令,show ip nat statistics信息分析（2）,NAT的監(jiān)控命令,show running-config ip nat信息分析 顯示結(jié)果： ip nat pool pp 40 41 netmask ip nat inside source list 1 pool pp overload 描述與分析: 配置了一個(gè)地址池內(nèi)地址為40-41的地址池 pp，并將該地址池地址與access-list 1綁定，并采用端口重載方式,show ip na

31、t pool信息分析,NAT的監(jiān)控命令,描述與分析： source：地址信息 rcv_pkts/s：每秒接收的報(bào)文數(shù) rcv_bits/s：每秒接收的bit數(shù) send_pkts/s： 每秒平均的發(fā)送報(bào)文數(shù) send_bits/s： 每秒平均的發(fā)送bits數(shù) tcp/udp/other： 當(dāng)前的用戶的TCP/UDP/OTHER的分別的連接數(shù),show local stat信息分析,source rcv_pkts/s rcv_bits/s send_pkts/s send_bits/s tcp/udp/other : 5 42720 2 720 1 /1 /0 129

32、.255.104.104: 22 7140 416 3416580 2164/2615/0 all: 27 49860 418 3417300 4323/2616/0,NAT的調(diào)試命令,課程內(nèi)容,DHCP協(xié)議簡(jiǎn)介,當(dāng)網(wǎng)絡(luò)規(guī)模達(dá)到一定程度，它就開始變得難以管理。特別在手工分發(fā)IP地址的網(wǎng)絡(luò)環(huán)境中為了減輕管理員跟蹤記錄手工分配I P地址的負(fù)擔(dān)。 IETF為此設(shè)計(jì)了動(dòng)態(tài)主機(jī)配置協(xié)議（Dynamic Host Configuration Protocol，DHCP）。 DHCP采用客戶端/服務(wù)器模式，從一個(gè)地址池中把I P地址分配給請(qǐng)求主機(jī)，它提供一種機(jī)制，允許計(jì)算機(jī)不必手工參與即可加入新的網(wǎng)絡(luò)和獲取

33、IP地址，這個(gè)概念術(shù)語(yǔ)稱作即插即用網(wǎng)絡(luò)（ plug-and-play networking）。 DHCP也能提供其他信息，如網(wǎng)關(guān)IP、DNS服務(wù)器、缺省域和網(wǎng)絡(luò)范圍內(nèi)HOSTS文件的位置。,DHCP消息格式,DHCP的報(bào)文類型,DHCPDISCOVER：客戶端用于地址申請(qǐng)的廣播報(bào)文。 DHCPOFFER：服務(wù)器端對(duì)客戶端DHCPDISCOVER報(bào)文的回復(fù)，包含了所提供的IP地址和網(wǎng)絡(luò)配置信息。 DHCPREQUEST：在不同的狀態(tài)下，用途不同： (a) 在請(qǐng)求狀態(tài)時(shí)，請(qǐng)求服務(wù)器同意開始使用所提供的IP地址。 (b) 在更新?tīng)顟B(tài)，請(qǐng)求提供IP地址的服務(wù)器更新IP地址租用時(shí)間。 (c) 在重綁定狀

34、態(tài)，廣播請(qǐng)求子網(wǎng)中的服務(wù)器，是否允許繼續(xù)使用當(dāng)前的IP地址。 DHCPACK：服務(wù)器端對(duì)客戶端請(qǐng)求的同意報(bào)文。 DHCPNAK：服務(wù)器端對(duì)客戶端請(qǐng)求的否定報(bào)文。客戶端必須重新開始申請(qǐng)。 DHCPRELEASE：客戶端主動(dòng)終止IP地址的使用，用于釋放IP地址報(bào)文。 DHCPDECLINE：由于地址已經(jīng)被使用，客戶端對(duì)服務(wù)器提供的地址表示拒絕。 DHCPINFORM：客戶端要求服務(wù)器提供最新的網(wǎng)絡(luò)配置信息。,DHCP簡(jiǎn)單工作流程,客戶機(jī)通過(guò)DHCPDISCOVER廣播提出請(qǐng)求。也可直接請(qǐng)求租用的永久地址。 服務(wù)器收到請(qǐng)求，返回附有一個(gè)可用地址的DHCPOFFER報(bào)文。 客戶機(jī)若收到多個(gè)DHCPOF

35、FER報(bào)文，選擇第一個(gè)的地址或其所請(qǐng)求的那個(gè)。 客戶機(jī)廣播含有服務(wù)器標(biāo)識(shí)的DHCPREQUEST報(bào)文并等待。 服務(wù)器檢查收到的DHCPREQUEST報(bào)文，當(dāng)其中的標(biāo)識(shí)與服務(wù)器相符，發(fā)回DHCPACK報(bào)文，如果所請(qǐng)求的I P已被分配或者租期已滿，發(fā)回DHCPNAK報(bào)文。 如果客戶機(jī)收到DHCPACK報(bào)文，即開始使用IP地址。如它收到DHCPNAK，會(huì)重新開始整個(gè)過(guò)程。假如I P有問(wèn)題，客戶機(jī)會(huì)發(fā)送一個(gè)DHCPDECLINE報(bào)文給服務(wù)器并重新開始。,DHCP客戶端變遷,租用更新定時(shí)器,重綁定定時(shí)器,租用到期定時(shí)器,定時(shí)器重置為0,DHCP常用配置命令,DHCP配置范例,范例說(shuō)明：maipu路由器r

36、outerA的f0口通過(guò)一臺(tái)二層交換機(jī)與兩臺(tái)PC以及routerB相連，routerA作為DHCP服務(wù)器端，兩臺(tái)PC和routerB作為客戶端。其中routerA的f0口ip地址為。,DHCP配置范例,router A配置,router B配置,DHCP的中繼代理,中繼代理：能中繼服務(wù)器和客戶機(jī)之間的交互報(bào)文。這樣可以使服務(wù)器能處理不在該服務(wù)器所在子網(wǎng)的DHCP報(bào)文。這意味著不必為每一個(gè)子網(wǎng)設(shè)置一個(gè)服務(wù)器，為每一個(gè)子網(wǎng)設(shè)置一個(gè)服務(wù)器開銷很大 中繼代理工作原理： DHCP客戶機(jī)廣播一個(gè)消息。 中繼代理把收到報(bào)文的接口對(duì)應(yīng)的IP地址放到消息的giaddr（中繼IP地址）域中，然后

37、單播至服務(wù)器。 服務(wù)器給中繼代理返回應(yīng)答(通過(guò)單播)。應(yīng)答分配的IP地址與giaddr域地址相同。 中繼代理會(huì)從giaddr域中I P地址對(duì)應(yīng)的接口中廣播應(yīng)答。,/24,租用,DHCP消息,DHCP中繼代理配置范例,范例說(shuō)明：如圖所示，router A是一個(gè)dhcp的服務(wù)器，router B是一個(gè)dhcp中繼，router A的f0口地址為，和router B的f0為 ，e0的ip地址為，所以router A的地址池，是一個(gè)跨網(wǎng)段的為pc1和pc2分配地址。,DHCP中繼代理配置范例,router A配置,ro

38、uter B配置,DHCP監(jiān)控命令,DHCP調(diào)試命令,課程內(nèi)容,多機(jī)冗余熱備協(xié)議介紹,VBRP：Virtual Backup Router Protocol(MP)HSRP: Hot Standby Router Protocol(Cisco) VRRP: Virtual Router Redundancy Protocol(RFC2338)GLBP: Gateway Load Balancing Protocol(Cisco),一個(gè)網(wǎng)絡(luò)內(nèi)的主機(jī)設(shè)置一條缺省路由，主機(jī)發(fā)出的目的地址不在本網(wǎng)段的報(bào)文將通過(guò)缺省路由發(fā)往網(wǎng)關(guān)路由器。 為了提高網(wǎng)絡(luò)穩(wěn)定性和可靠性，采用多臺(tái)機(jī)器共同承擔(dān)網(wǎng)關(guān)的角色，形成主

39、備關(guān)系或者負(fù)載均衡的冗余方式。,VRRP協(xié)議介紹,VRRP：虛擬路由冗余協(xié)議（Virtual Router Redundancy Protocol） 就是為解決多機(jī)冗余備份問(wèn)題而提出的，它為具有多播或廣播能力的局域網(wǎng)（如：以太網(wǎng)）設(shè)計(jì)。 VRRP協(xié)議是在CISCO的私有協(xié)議HSRP基礎(chǔ)上進(jìn)行簡(jiǎn)化后指定出來(lái)的（RFC2338）。VRRP將局域網(wǎng)的一組路由器組織成一個(gè)虛擬的路由器，稱之為一個(gè)備份組。這個(gè)虛擬的路由器（即備份組）擁有自己的IP地址，網(wǎng)絡(luò)內(nèi)的主機(jī)就通過(guò)這個(gè)虛擬的路由器來(lái)與其它網(wǎng)絡(luò)進(jìn)行通信。 當(dāng)備份組內(nèi)的MASTER路由器壞掉時(shí)，備份組內(nèi)的其它BACKUP路由器將會(huì)接替成為新的MASTE

40、R，繼續(xù)向網(wǎng)絡(luò)內(nèi)的主機(jī)提供路由服務(wù)，從而實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)的主機(jī)不間斷地與外部網(wǎng)絡(luò)進(jìn)行通信。,VRRP相關(guān)概念,Master：VRRP的一個(gè)狀態(tài)，活動(dòng)路由器處于該狀態(tài)，且保證相關(guān)IP報(bào)文的轉(zhuǎn)發(fā)。優(yōu)先級(jí)高的路由器為master狀態(tài)。 Backup：VRRP的一個(gè)狀態(tài)，備份路由器處于該狀態(tài)，且保證在活動(dòng)路由器失效時(shí)，及時(shí)切換。 Priority：接口上配置的優(yōu)先級(jí),VRRP報(bào)文結(jié)構(gòu),VRRP報(bào)文是一種多播IP報(bào)文（8），協(xié)議號(hào)是112（0 x70） VRID：接口配置的Virtual Router Identifier (VRID)虛擬路由器ID。 Priority：接口上配置的優(yōu)先級(jí)。

41、 擁有虛擬IP地址的路由器（VIP等于接口IP的路由器），priority等于255，其余路由器只能為1254，缺省是100。 Count IP Addr：虛擬IP地址的個(gè)數(shù)，一般等于1。,VRRP工作流程,虛擬路由器的三種狀態(tài)： 初始化狀態(tài)（Initialize） 活動(dòng)狀態(tài)（master） 備份狀態(tài)（backup）,VRRP競(jìng)爭(zhēng)原則,優(yōu)先級(jí)為255的接口UP后自動(dòng)成為Master，不進(jìn)行競(jìng)爭(zhēng)； 優(yōu)先級(jí)不為255的接口先進(jìn)入Backup狀態(tài)，設(shè)置dead定時(shí)器，在定時(shí)器超時(shí)前若沒(méi)有收到VRRP報(bào)文則將自己設(shè)為Master參與競(jìng)爭(zhēng)； 各個(gè)接口通過(guò)VRRP報(bào)文比較優(yōu)先級(jí)，優(yōu)先級(jí)大者為Master；

42、優(yōu)先級(jí)相同則IP地址大的為Master； 在若一個(gè)接口因?yàn)閁P較早先進(jìn)入Master狀態(tài)，后來(lái)者的優(yōu)先級(jí)比其高時(shí)搶占其為Master（需配置搶占功能），優(yōu)先級(jí)相同時(shí)不取代； Master接口DOWN，重新進(jìn)行競(jìng)爭(zhēng)； 若VRRP對(duì)路由器其他接口進(jìn)行Track，則相應(yīng)接口狀態(tài)變化會(huì)對(duì)Master的優(yōu)先級(jí)造成影響，引起重新競(jìng)爭(zhēng),VRRP相關(guān)命令,VRRP相關(guān)命令,VRRP配置范例,范例說(shuō)明：如圖所示，局域網(wǎng)里的pc1和pc2通過(guò)路由器router-a、router-b與Internet相連。pc1、pc2均配置默認(rèn)網(wǎng)關(guān)/16。,VRRP配置范例,routerA配置,rout

43、erB配置,VRRP的監(jiān)控命令,VRRP的調(diào)試命令,debug vrrp event信息,VRRP的調(diào)試命令,debug vrrp packet信息,debug vrrp timer信息,VBRP協(xié)議介紹,VBRP：虛擬備份路由協(xié)議（Virtual Backup Router Protocol）,兼容Cisco的HSRP熱備份路由協(xié)議（Hot Standby Router Protocol） VBRP通過(guò)使多個(gè)路由器能夠發(fā)出關(guān)于單個(gè)IP地址的請(qǐng)求來(lái)解決多機(jī)冗余備份問(wèn)題 在局域網(wǎng)中的用戶將必須選擇兩個(gè)路由器之一為默認(rèn)網(wǎng)關(guān)。當(dāng)兩個(gè)路由器上的VBRP起作用時(shí)，就產(chǎn)生了第三個(gè)虛擬路由器并且給它分配一個(gè)

44、自己的IP地址，然后使用這個(gè)地址作為主機(jī)的默認(rèn)網(wǎng)關(guān)。 在任何一個(gè)給定的時(shí)間里，一個(gè)VBRP路由器是活動(dòng)的路由器，同時(shí)一個(gè)VBRP路由器是備份路由器。 活動(dòng)的路由器對(duì)通過(guò)虛擬的IP地址的流量起作用。如果活動(dòng)的路由器變得不可用了，備份的路由器將接管操作。,VBRP相關(guān)概念,Active Router：活動(dòng)路由器，當(dāng)前負(fù)責(zé)轉(zhuǎn)發(fā)報(bào)文的路由器。 Standby Router：備份路由器，主備份路由器。 Standby Group：加入VBRP的一組路由器，它們共同維護(hù)一個(gè)虛擬的路由器。,VBRP報(bào)文結(jié)構(gòu),VBRP報(bào)文是一種UDP報(bào)文，源和目的端口都是1985，在VBRP中定義了三種類型的報(bào)文： Hello報(bào)文：由活動(dòng)路由器