09安全操作NE40.docx

09安全操作NE40.docx

《09安全操作NE40.docx》由会员分享，可在线阅读，更多相关《09安全操作NE40.docx（34页珍藏版）》请在冰豆网上搜索。

09安全操作NE40

目录

第1章网络安全配置1-1

1.1NE40系列通用交换路由器提供的网络安全特性1-1

1.2命令分级保护1-1

1.3基于RADIUS的AAA1-1

1.4端口镜像1-2

1.5包过滤和防火墙1-2

1.6NAT网关1-3

1.7URPF1-3

第2章AAA及RADIUS协议配置2-1

2.1AAA及RADIUS协议介绍2-1

2.1.1AAA的功能2-1

2.1.2RADIUS协议2-1

2.1.3NE40系列通用交换路由器的AAA特性2-1

2.2AAA及RADIUS配置2-2

2.2.1使能AAA2-2

2.2.2配置AAA的Login验证方案2-2

2.2.3配置AAA的PPP验证方案2-3

2.2.4配置AAA的本地优先验证2-3

2.2.5配置PPP用户的IP地址2-4

2.2.6配置RADIUS服务器2-4

2.2.7设置用户属性2-7

2.3AAA和RADIUS显示与调试2-9

2.4AAA及RADIUS典型配置案例2-9

2.4.1为PPP对端配置IP地址2-9

2.4.2配置FTP用户2-10

2.5AAA及RADIUS故障诊断与排错2-11

第3章端口镜像配置3-1

3.1端口镜像简介3-1

3.2端口镜像配置3-1

3.2.1配置镜像观测端口3-1

3.2.2配置端口镜像3-2

3.3端口镜像显示与调试3-2

3.4端口镜像典型配置案例3-3

第4章网络地址转换配置4-1

4.1网络地址转换简介4-1

4.1.1网络地址转换概述4-1

4.1.2多对多的网络地址转换概述4-4

4.2NAT的配置4-4

4.2.1配置公网地址的地址池4-5

4.2.2定义流分类规则4-5

4.2.3定义不同服务级别享受服务的具体参数4-6

4.2.4设定NAT表项的老化时间4-6

4.2.5定义NAT动作4-6

4.2.6关联一个NAT动作与一个流分类规则4-7

4.2.7生效EACL4-7

4.2.8定义内部服务器4-8

4.2.9使能对网络地址转换的日志记录4-9

4.2.10配置日志报文源地址4-9

4.2.11在以太网接口上配置响应ARP请求4-10

4.2.12清除NAT表中的表项4-10

4.2.13清零各种NAT计数器4-10

4.3地址转换显示和调试4-11

4.4典型NAT配置举例4-11

4.5NAT常见故障的诊断与排除4-13

第5章URPF配置5-1

5.1URPF技术简介5-1

5.1.1URPF概述5-1

5.1.2URPF应用5-1

5.2URPF的配置5-3

5.3URPF显示和调试5-4

5.4URPF典型配置案例5-4

第1章网络安全配置

1.1NE40系列通用交换路由器提供的网络安全特性

随着网络应用的日益普及，尤其是在一些敏感场合（如电子商务）的应用，网络安全成为日益迫切的需求。

另外，有时用户无意识但有破坏性的访问也会导致设备的性能下降，甚至无法正常工作。

因此，路由器的安全特性有特别重要的地位。

NE40系列通用交换路由器产品提供的安全特性包括如下方面：

●命令分级保护

●基于RADIUS的AAA功能

●端口镜像

●包过滤和防火墙

●NAT网关

●URPF（UnicastReversePathForwarding）

本模块主要介绍基于RADIUS的AAA功能、端口镜像功能、NAT网关和URPF。

1.2命令分级保护

将所有命令划分为4个级别：

参观、监控、配置、管理。

不同的命令属于不同的级别。

同时，将配置用户也分成4个级别，具有某一级别的用户可以使用相应级别及其以下级别的命令。

1.3基于RADIUS的AAA

AAA是验证（Authentication）、授权（Authorization）、计费（Accounting）的缩写，用来实现访问用户管理功能。

AAA可以用多种协议来实现。

在NE40系列通用交换路由器产品中，AAA是基于RADIUS协议来实现的。

NE40系列通用交换路由器的AAA提供如下功能：

●用户的分级管理

对用户进行严格分级管理，不同级别的用户有不同的权限。

●PPP用户的验证

建立PPP连接时，对用户名进行验证。

●PPP用户的地址管理和分配

建立PPP连接时，可以为PPP接入用户分配IP地址。

第2章将详细介绍RADIUS协议及其配置、用户配置、PPP用户地址配置。

PPP验证协议请参见链路层协议的PPP配置。

1.4端口镜像

端口镜像可以将一个接口上进出的报文复制到另外的接口输出，通过对输出报文的分析，从而发现有疑问的报文，保护网络不受恶意访问者的破坏。

1.5包过滤和防火墙

1.访问控制列表

为了过滤数据包，需要配置一些规则，规定什么样的数据包可以通过，什么样的数据包不能通过。

这些规则就是通过访问控制列表（AccessControlList）实现的。

2.包过滤的功能

包过滤一般是指对IP数据包的过滤。

对路由器需要转发的数据包，先获取包头信息，包括IP层所承载的上层协议的协议号，数据包的源地址、目的地址、源端口和目的端口等，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。

在NE40系列通用交换路由器中，作为包过滤的访问控制列表和用于QoS的复杂流分类规则一同处理，二者在原理和操作上几乎相同，只是匹配后的动作有区别。

访问控制列表的配置方法请参见QoS部分。

3.防火墙

防火墙在企业内部网和外部网（例如Internet）之间起到隔离作用。

一方面阻止来自外部网的用户对内部网络的非法访问，另一方面允许内部网络的用户对外部网进行访问。

NE40系列通用交换路由器中的防火墙主要是通过包过滤来实现。

1.6NAT网关

NE40系列路由器的NAT网关功能由硬件（即NAT板）完成，实现内部网络的私有地址和外部网络的公网地址的转换。

1.7URPF

URPF是单播反向路径查找，其主要功能是防止基于源地址欺骗的网络攻击行为。

第2章AAA及RADIUS协议配置

2.1AAA及RADIUS协议介绍

2.1.1AAA的功能

AAA是Authentication（验证）、Authorization（授权）和Accounting（计费）的简称。

它提供对用户进行验证、授权和计费三种安全功能。

具体如下：

●验证（Authentication）：

验证用户是否可以获得访问权，确定哪些用户可以访问网络。

●授权（Authorization）：

授权用户可以使用哪些服务。

●计费（Accounting）：

记录用户使用网络资源的情况。

AAA一般采用客户/服务器结构，客户端运行于被管理的资源侧，服务器上则集中存放用户信息。

这种结构既具有良好的可扩展性，又便于用户信息的集中管理。

2.1.2RADIUS协议

AAA可以用多种协议来实现，但最常用的是RADIUS协议。

RADIUS是RemoteAuthenticationDialInUserService的简称，最初用来管理使用串口和调制解调器的大量分散用户，后来广泛应用于网络接入服务器NAS（NetworkAccessServer）系统。

RADIUS协议规定了NAS与RADIUS服务器之间如何传递用户信息和计费信息。

RADIUS使用UDP作为传输协议，具有良好的实时性；同时也支持重传机制和多服务器机制，从而有较好的可靠性。

2.1.3NE40系列通用交换路由器的AAA特性

在NE40系列通用交换路由器中，主要应用AAA来实现对本地用户和PPP用户的管理。

同时，PPP协议仅限于POS等高速接口，PPP用户数据较少，因此一般不用RADIUS服务器，而只采用本地认证。

2.2AAA及RADIUS配置

AAA和RADIUS的一般配置过程如下：

首先使能AAA功能，并配置Login/PPP用户的验证方案，以确定用户的验证顺序；然后配置RADIUS服务器的参数和用户属性。

具体配置包括：

●使能AAA

●配置AAA的Login验证方案

●配置AAA的PPP验证方案

●配置AAA的本地优先验证

●配置PPP用户的IP地址

●配置RADIUSServer

●配置用户属性

2.2.1使能AAA

只有使用了使能AAA后，才能用AAA所提供的各种命令来对其进行配置。

请在系统视图下进行下列配置。

表2-1使能或禁止AAA

操作

命令

使能AAA

aaaenable

禁止AAA

undoaaaenable

缺省为禁止AAA。

2.2.2配置AAA的Login验证方案

这里的Login服务是指通过各种终端服务方式（如Console口、Aux口等）进入到路由器对路由器进行配置的操作。

请在系统视图下进行下列配置。

表2-1AAA的Login验证方案配置

操作

命令

配置AAA的Login验证方案

aaaauthentication-schemelogin{default|scheme-name}[method1][method2]

取消AAA的Login验证方案或恢复缺省方案的缺省方法

undoaaaauthentication-schemelogin{default|scheme-name}

Login用户包括使用Telnet和超级终端登录到路由器进行配置操作的用户。

对这两种用户在本地用户列表中需要用local-userservice-type命令进行授权，如果使用RADIUS服务器进行验证，需要在RADIUS服务器上设置相应用户的授权。

2.2.3配置AAA的PPP验证方案

对通过与路由器或接入服务器建立PPP连接（例如拨号、PPPoE，PPPoA等），从而访问网络的用户，进行验证时使用PPP验证方案。

请在系统视图下进行下列配置。

表2-1AAA的PPP验证方案配置

操作

命令

对使用PPP服务的用户按指定方案进行验证

aaaauthentication-schemeppp{default|scheme-name}[method1][method2]

取消PPP验证方案或恢复缺省方案为缺省验证方法

undoaaaauthentication-schemeppp{default|scheme-name}

2.2.4配置AAA的本地优先验证

本地优先验证配置是可选的，在未配置本地优先验证时，先对用户进行RADIUS验证。

请在系统视图下进行下列配置。

表2-1AAA的本地优先验证配置

操作

命令

本地优先验证

aaaauthentication-schemelocal-first

不使用本地优先验证

undoaaaauthentication-schemelocal-first

缺省为不使用本地优先验证。

使用本地优先验证时，对用户首先进行本地验证，如果验证失败，再使用所配置的验证方案中的方法进行验证。

配置了本地优先验证，对所有使用了AAA的应用均起作用，包括PPP和Login均将采用本地优先验证。

2.2.5配置PPP用户的IP地址

可以为PPP用户分配IP地址，首先在系统视图下配置本地IP地址池，指明地址池的地址范围；然后在接口视图下指定该接口使用的地址池。

1.配置本地IP地址池

配置IP地