配置指导命令详解.docVIP

第一部分 配置原则概述 2 1 需要注意的配置事项 2 1.1 配置ACL对非法报文进行过滤 2 1.1.1 进行源IP和目的IP过滤 2 1.1.2 限制ICMP报文 4 1.1.3 限制netbios协议端口 4 1.1.4 限制常见病毒使用的端口 4 1.1.5 关闭没有使用的端口 5 1.2 NAT配置注意事项 6 1.3 路由配置注意事项 6 1.4 进行IP-MAC地址绑定 7 1.5 限制P2P应用（根据实际情况可选） 7 1.5.1 通过ACL限制端口 7 1.5.2 结合QOS和ACL限制端口流量 7 1.5.3 限制单机的NAT会话数 9 1.5.4 在客户机上通过软件限制 9 2 附：限制常见P2P软件端口的ACL 10 第二部分 典型配置实例 11 1 单出口典型配置 11 1.1 局域网内的主机地址是私网IP地址 11 1.2 局域网内的主机地址是公网IP地址 17 2 双出口链路备份典型配置 24 2.1 两条链路都是以太网链路的情况 24 2.2 两条链路是以太网链路+PPPOE链路的情况 33 3 双出口同时实现负载分和链路备份典型配置 41 第一部分 配置原则概述 随着网络建设和应用的不断深入，网络安全问题正逐渐成为一个突出的管理问题。AR18系列路由器通过多种手段和配置可以控制和管理网络的流量，能够有效地实施各种防攻击策略。尤其在网吧这种复杂的网络环境中，全面合理的配置能够大大提高网络的稳定性和可靠性。 由于网吧上网人员数量多、构成复杂、流动性大，因此网络流量具有流量大、协议种类多、流量复杂等特点。一般网吧局域网内均有一定程度主机感染病毒，同时也很容易被用来发起网络攻击，或者被他人攻击，这就对网吧中的核心设备――网关提出了较高的要求。本文以AR18系列路由器为例讲解网关在网吧应用中需要注意的配置事项，同时给出了各种组网情况下的典型配置。 需要注意的配置事项 配置ACL对非法报文进行过滤 ACL 是每个安全策略的组成部份，控制和监视什么数据包进入和离开网络几乎是网络安全的定义。尽管路由器的工作是进行数据包的转发而不是阻止它。但是有些数据包我们必须阻止它。 进行源IP和目的IP过滤 至少应该在所有的接口上对入方向的报文进行过滤。在RFC2827/BCP 38 (Best Current Practice ) 中高度建议使用入口过滤，这不仅可以使你的网络安全，而且可以使其它的网络不会被来自你的网络的伪装的源IP给攻击。许多的网络攻击者使用伪装的源IP地址来隐藏它们的身份，在网络使用了入口过滤功能后，也更加容易定位网络攻击者，因为攻击者必须使用真实的源IP地址。 例如： 假设局域网接口的IP地址为/24，广域网接口的IP地址为/30，在局域网接口可以设置： acl number 3003 rule 2000 permit ip source 55 rule 3000 deny ip 在广域网接口可以设置： acl number 3001 rule 2000 permit ip destination rule 2001 permit ip destination 55 rule 3000 deny ip 在广域网接口也可以通过静态包过滤结合ASPF进行更精确的包过滤和攻击防范。 例如： # acl number 3011 rule 160 permit icmp icmp-type echo rule 161 permit icmp icmp-type echo-reply rule 162 permit icmp icmp-type ttl-exceeded rule 206 permit tcp destination-port eq telnet rule 3000 deny ip # interface Ethernet1/0 ip address 52 firewall packet-filter 3011 inbound firewall aspf 1 outbound # 注意事项：由于目前ASPF对内存和性能的影响较大，网吧应用环境中不建议在AR18系列路由器上进行配置。在所有的出报文都需要进行NAT的情况下一般也没有必要配置ASPF。 限制ICMP报文 ICMP 报文是另一种我们需要关心的数据包。大量的攻击和病毒使用ICMP报文作为攻击手段。但实际上internet是使用的ICMP绝大部分是ping和traceroute。大量的其它icmp类型并不使用。因此，实际上我们可以仅允许ICMP 的ping echo 和 ping reply 及traceroute 所需要的TTL 开放。其它的均可以