华为双出口网络解决方案配置指导命令详解

好网吧 好网络 ——华为3COM网吧网络解决方案之网关配置指导——    华为三康技术有限公司 Huawei-3Com Technologies Co., Ltd. 版权所有  侵权必究 All rights reserved 目  录 第一部分 配置原则概述    4 1    需要注意的配置事项    4 1.1    配置ACL对非法报文进行过滤    4 1.1.1    进行源IP和目的IP过滤    4 1.1.2    限制ICMP报文    6 1.1.3    限制netbios端口    6 1.1.4    限制常见病毒使用的端口    7 1.1.5    关闭没有使用的端口    8 1.2    NAT配置注意事项    8 1.3    路由配置注意事项    8 1.4    进行IP-MAC地址绑定    9 1.5    限制P2P应用（根据实际情况可选）    9 1.5.1    通过ACL限制端口    9 1.5.2    结合QOS和ACL限制端口流量    10 1.5.3    限制单机的NAT会话数    12 1.5.4    在客户机上通过软件限制    12 2    附：限制常见P2P软件端口的ACL    12 第二部分 典型配置实例    13 1    单出口典型配置    13 1.1    局域网内的主机地址是私网IP地址    13 1.2    局域网内的主机地址是公网IP地址    20 2    双出口链路备份典型配置    28 2.1    两条链路都是以太网链路的情况    28 2.2    两条链路是以太网链路+PPPOE链路的情况    37 3    双出口同时实现负载分担和链路备份典型配置    46 第一部分 配置原则概述 随着网络建设和应用的不断深入，网络安全问题正逐渐成为一个突出的管理问题。AR18系列路由器通过多种手段和配置可以控制和管理网络的流量，能够有效地实施各种防攻击策略。尤其在网吧这种复杂的网络环境中，全面合理的配置能够大大提高网络的稳定性和可靠性。 由于网吧上网人员数量多、构成复杂、流动性大，因此网络流量具有流量大、协议种类多、流量复杂等特点。一般网吧局域网内均有一定程度主机感染病毒，同时也很容易被用来发起网络攻击，或者被他人攻击，这就对网吧中的核心设备――网关提出了较高的要求。本文以AR18系列路由器为例讲解网关在网吧应用中需要注意的配置事项，同时给出了各种组网情况下的典型配置。 1 需要注意的配置事项 1.1 配置ACL对非法报文进行过滤 ACL 是每个安全策略的组成部份，控制和监视什么数据包进入和离开网络几乎是网络安全的定义。尽管路由器的工作是进行数据包的转发而不是阻止它。但是有些数据包我们必须阻止它。 1.1.1 进行源IP和目的IP过滤 至少应该在所有的接口上对入方向的报文进行过滤。在RFC2827/BCP 38 (Best Current Practice ) 中高度建议使用入口过滤，这不仅可以使你的网络安全，而且可以使其它的网络不会被来自你的网络的伪装的源IP给攻击。许多的网络攻击者使用伪装的源IP地址来隐藏它们的身份，在网络使用了入口过滤功能后，也更加容易定位网络攻击者，因为攻击者必须使用真实的源IP地址。 例如： 假设局域网接口的IP地址为192.168.1.0/24，广域网接口的IP地址为162.1.1.0/30，在局域网接口可以设置： acl number 3003 rule 2000 permit ip source 192.168.1.0 0.0.0.255 rule 3000 deny ip  在广域网接口可以设置： acl number 3001 rule 2000 permit ip destination 162.1.1.0 0.0.0.3 rule 2001 permit ip destination 192.168.1.0 0.0.0.255 rule 3000 deny ip  在广域网接口也可以通过静态包过滤结合ASPF进行更精确的包过滤和攻击防范。 例如： # acl number 3011 rule 160 permit icmp icmp-type echo rule 161 permit icmp icmp-type echo-reply rule 162 permit icmp icmp-type ttl-exceeded rule 206 permit tcp destination-port eq telnet rule 3000 deny ip #                interface Ethernet1/0 ip address 172.30.79.6 255.255.255.252 firewall packet-filter 3011 inbound firewall aspf 1 outbound #      注意事项：由于目前ASPF对内存和性能的影响较大，网吧应用环境中不建议在AR18系列路由器上进行配置。在所有的出报文都需要进行NAT的情况下一般也没有必要配置ASPF。 1.1.2 限制ICMP报文 ICMP 报文是另一种我们需要关心的数据包。大量的攻击和病毒使用ICMP报文作为攻击手段。但实际上internet是使用的ICMP绝大部分是ping和traceroute。大量的其它icmp类型并不使用。因此，实际上我们可以仅允许ICMP 的ping echo 和 ping reply 及traceroute 所需要的TTL 开放。其它的均可以关闭。 例如： acl number 3001 rule 160 permit icmp icmp-type echo rule 161 permit icmp icmp-type echo-reply rule 162 permit icmp icmp-type ttl-exceeded rule 165 deny icmp                1.1.3 限制netbios协议端口 在现今的网络上，充斥着大量的网络扫描。 基于UDP 137, 138 端口的扫描是常见的扫描，UDP 137和UDP138是netbios 的数据报和名字服务。通常情况下，进入到路由器的137和138包是广播包，而路由器在默认情况下是不转发这些广播包的。但在某些情况下，一些扫描工具扫描UDP 137 和UDP138的端口，以图找出主机上的共享文件夹。这种情况下，进入路由器的数据包会是unicast的137和138，而且通常目的地址不停变化。因此我们可以将这些UDP 138和138的数据包通过ACL 挡断。保护用户和网络的安全。 例如： acl number 3001 rule 31 deny udp destination-port eq netbios-ns rule 41 deny udp destination-port eq netbios-dgm rule 51 deny udp destination-port eq netbios-ssn    1.1.4 限制常见病毒使用的端口 一般网吧中存在大量的“冲击波”、“震荡波”等病毒，这类病毒会不断地变化源IP或目的IP进行扫描和发送攻击数据，这会极大地消耗网络设备的资源。笔者曾在一个网吧的实际环境中发现56％的上行报文都是“震荡波”病毒的扫描报文。这些病毒一般使用固定的端口，比如TCP/135、TCP/4444、UDP/1434、TCP/5554、TCP/9996等，通过ACL对匹配这些目的端口的报文进行过滤会大大提高网络设备的安全性。 例如： acl number 3001 rule 10 deny tcp destination-port eq 445      / Worm.Blaster rule 11 deny udp destination-port eq 445      / Worm.Blaster rule 20 deny tcp destination-port eq 135      / Worm.Blaster rule 21 deny udp destination-port eq 135    / Worm.Blaster rule 30 deny tcp destination-port eq 137 rule 40 deny tcp destination-port eq 138 rule 50 deny tcp destination-port eq 139      / Worm.Blaster rule 61 deny udp destination-port eq tftp      / Worm.Blaster