09安全操作NE40.docx

1、09安全操作NE40目 录第1章 网络安全配置 1-11.1 NE40系列通用交换路由器提供的网络安全特性 1-11.2 命令分级保护 1-11.3 基于RADIUS的AAA 1-11.4 端口镜像 1-21.5 包过滤和防火墙 1-21.6 NAT网关 1-31.7 URPF 1-3第2章 AAA及RADIUS协议配置 2-12.1 AAA及RADIUS协议介绍 2-12.1.1 AAA的功能 2-12.1.2 RADIUS协议 2-12.1.3 NE40系列通用交换路由器的AAA特性 2-12.2 AAA及RADIUS配置 2-22.2.1 使能AAA 2-22.2.2 配置AAA的Log

2、in验证方案 2-22.2.3 配置AAA的PPP验证方案 2-32.2.4 配置AAA的本地优先验证 2-32.2.5 配置PPP用户的IP地址 2-42.2.6 配置RADIUS服务器 2-42.2.7 设置用户属性 2-72.3 AAA和RADIUS显示与调试 2-92.4 AAA及RADIUS典型配置案例 2-92.4.1 为PPP对端配置IP地址 2-92.4.2 配置FTP用户 2-102.5 AAA及RADIUS故障诊断与排错 2-11第3章 端口镜像配置 3-13.1 端口镜像简介 3-13.2 端口镜像配置 3-13.2.1 配置镜像观测端口 3-13.2.2 配置端口镜像

3、3-23.3 端口镜像显示与调试 3-23.4 端口镜像典型配置案例 3-3第4章 网络地址转换配置 4-14.1 网络地址转换简介 4-14.1.1 网络地址转换概述 4-14.1.2 多对多的网络地址转换概述 4-44.2 NAT的配置 4-44.2.1 配置公网地址的地址池 4-54.2.2 定义流分类规则 4-54.2.3 定义不同服务级别享受服务的具体参数 4-64.2.4 设定NAT表项的老化时间 4-64.2.5 定义NAT动作 4-64.2.6 关联一个NAT动作与一个流分类规则 4-74.2.7 生效EACL 4-74.2.8 定义内部服务器 4-84.2.9 使能对网络地址

4、转换的日志记录 4-94.2.10 配置日志报文源地址 4-94.2.11 在以太网接口上配置响应ARP请求 4-104.2.12 清除NAT表中的表项 4-104.2.13 清零各种NAT计数器 4-104.3 地址转换显示和调试 4-114.4 典型NAT配置举例 4-114.5 NAT常见故障的诊断与排除 4-13第5章 URPF配置 5-15.1 URPF技术简介 5-15.1.1 URPF概述 5-15.1.2 URPF应用 5-15.2 URPF的配置 5-35.3 URPF显示和调试 5-45.4 URPF典型配置案例 5-4第1章 网络安全配置1.1 NE40系列通用交换路由器

5、提供的网络安全特性随着网络应用的日益普及，尤其是在一些敏感场合（如电子商务）的应用，网络安全成为日益迫切的需求。另外，有时用户无意识但有破坏性的访问也会导致设备的性能下降，甚至无法正常工作。因此，路由器的安全特性有特别重要的地位。NE40系列通用交换路由器产品提供的安全特性包括如下方面： 命令分级保护 基于RADIUS的AAA功能 端口镜像 包过滤和防火墙 NAT网关 URPF（Unicast Reverse Path Forwarding）本模块主要介绍基于RADIUS的AAA功能、端口镜像功能、NAT网关和URPF。1.2 命令分级保护将所有命令划分为4个级别：参观、监控、配置、管理。不同

6、的命令属于不同的级别。同时，将配置用户也分成4个级别，具有某一级别的用户可以使用相应级别及其以下级别的命令。1.3 基于RADIUS的AAAAAA是验证（Authentication）、授权（Authorization）、计费（Accounting）的缩写，用来实现访问用户管理功能。AAA可以用多种协议来实现。在NE40系列通用交换路由器产品中，AAA是基于RADIUS协议来实现的。NE40系列通用交换路由器的AAA提供如下功能： 用户的分级管理对用户进行严格分级管理，不同级别的用户有不同的权限。 PPP用户的验证建立PPP连接时，对用户名进行验证。 PPP用户的地址管理和分配建立PPP连接时

7、，可以为PPP接入用户分配IP地址。第2章将详细介绍RADIUS协议及其配置、用户配置、PPP用户地址配置。PPP验证协议请参见链路层协议的PPP配置。1.4 端口镜像端口镜像可以将一个接口上进出的报文复制到另外的接口输出，通过对输出报文的分析，从而发现有疑问的报文，保护网络不受恶意访问者的破坏。1.5 包过滤和防火墙1. 访问控制列表为了过滤数据包，需要配置一些规则，规定什么样的数据包可以通过，什么样的数据包不能通过。这些规则就是通过访问控制列表（Access Control List）实现的。2. 包过滤的功能包过滤一般是指对IP数据包的过滤。对路由器需要转发的数据包，先获取包头信息，包括

8、IP层所承载的上层协议的协议号，数据包的源地址、目的地址、源端口和目的端口等，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。在NE40系列通用交换路由器中，作为包过滤的访问控制列表和用于QoS的复杂流分类规则一同处理，二者在原理和操作上几乎相同，只是匹配后的动作有区别。访问控制列表的配置方法请参见QoS部分。3. 防火墙防火墙在企业内部网和外部网（例如Internet）之间起到隔离作用。一方面阻止来自外部网的用户对内部网络的非法访问，另一方面允许内部网络的用户对外部网进行访问。NE40系列通用交换路由器中的防火墙主要是通过包过滤来实现。1.6 NAT网关NE40系列路由器的

9、NAT网关功能由硬件（即NAT板）完成，实现内部网络的私有地址和外部网络的公网地址的转换。1.7 URPFURPF是单播反向路径查找，其主要功能是防止基于源地址欺骗的网络攻击行为。第2章 AAA及RADIUS协议配置2.1 AAA及RADIUS协议介绍2.1.1 AAA的功能AAA是Authentication（验证）、Authorization（授权）和Accounting（计费）的简称。它提供对用户进行验证、授权和计费三种安全功能。具体如下： 验证（Authentication）：验证用户是否可以获得访问权，确定哪些用户可以访问网络。 授权（Authorization）：授权用户可以使用哪

10、些服务。 计费（Accounting）：记录用户使用网络资源的情况。AAA一般采用客户/服务器结构，客户端运行于被管理的资源侧，服务器上则集中存放用户信息。这种结构既具有良好的可扩展性，又便于用户信息的集中管理。2.1.2 RADIUS协议AAA可以用多种协议来实现，但最常用的是RADIUS协议。RADIUS是Remote Authentication Dial In User Service的简称，最初用来管理使用串口和调制解调器的大量分散用户，后来广泛应用于网络接入服务器NAS（Network Access Server）系统。RADIUS协议规定了NAS与RADIUS服务器之间如何传递用

11、户信息和计费信息。RADIUS使用UDP作为传输协议，具有良好的实时性；同时也支持重传机制和多服务器机制，从而有较好的可靠性。2.1.3 NE40系列通用交换路由器的AAA特性在NE40系列通用交换路由器中，主要应用AAA来实现对本地用户和PPP用户的管理。同时，PPP协议仅限于POS等高速接口，PPP用户数据较少，因此一般不用RADIUS服务器，而只采用本地认证。2.2 AAA及RADIUS配置AAA和RADIUS的一般配置过程如下：首先使能AAA功能，并配置Login/PPP用户的验证方案，以确定用户的验证顺序；然后配置RADIUS服务器的参数和用户属性。具体配置包括： 使能AAA 配置A

12、AA的Login验证方案 配置AAA的PPP验证方案 配置AAA的本地优先验证 配置PPP用户的IP地址 配置RADIUS Server 配置用户属性2.2.1 使能AAA只有使用了使能AAA后，才能用AAA所提供的各种命令来对其进行配置。请在系统视图下进行下列配置。表2-1 使能或禁止AAA操作命令使能AAAaaa enable禁止AAAundo aaa enable缺省为禁止AAA。2.2.2 配置AAA的Login验证方案这里的Login服务是指通过各种终端服务方式（如Console口、Aux口等）进入到路由器对路由器进行配置的操作。请在系统视图下进行下列配置。表2-1 AAA的Logi

13、n验证方案配置操作命令配置AAA的Login验证方案aaa authentication-scheme login default | scheme-name method1 method2 取消AAA的Login验证方案或恢复缺省方案的缺省方法undo aaa authentication-scheme login default | scheme-name Login用户包括使用Telnet和超级终端登录到路由器进行配置操作的用户。对这两种用户在本地用户列表中需要用local-user service-type命令进行授权，如果使用RADIUS服务器进行验证，需要在RADIUS服务器上设置

14、相应用户的授权。2.2.3 配置AAA的PPP验证方案对通过与路由器或接入服务器建立PPP连接（例如拨号、PPPoE，PPPoA等），从而访问网络的用户，进行验证时使用PPP验证方案。请在系统视图下进行下列配置。表2-1 AAA的PPP验证方案配置操作命令对使用PPP服务的用户按指定方案进行验证aaa authentication-scheme ppp default | scheme-name method1 method2 取消PPP验证方案或恢复缺省方案为缺省验证方法undo aaa authentication-scheme ppp default | scheme-name 2.2.

15、4 配置AAA的本地优先验证本地优先验证配置是可选的，在未配置本地优先验证时，先对用户进行RADIUS验证。请在系统视图下进行下列配置。表2-1 AAA的本地优先验证配置操作命令本地优先验证aaa authentication-scheme local-first不使用本地优先验证undo aaa authentication-scheme local-first缺省为不使用本地优先验证。使用本地优先验证时，对用户首先进行本地验证，如果验证失败，再使用所配置的验证方案中的方法进行验证。配置了本地优先验证，对所有使用了AAA的应用均起作用，包括PPP和Login均将采用本地优先验证。2.2.5 配置PPP用户的IP地址可以为PPP用户分配IP地址，首先在系统视图下配置本地IP地址池，指明地址池的地址范围；然后在接口视图下指定该接口使用的地址池。1. 配置本地IP地址池配置IP地