图3-1 广域网接入路由器InternetRouter
5.3.1配置接入路由器InternetRouter的基本参数
对接入路由器InternetRouter的基本参数的配置步骤与对访问层交换机AcessSwitch1的基本参数的配置类似。这里,只给出实际的配置步骤,不再给出具体解释。如下所示。 Router#configure terminal
Enter configuration commands.one per line. End with CNTL/Z Router(config)#hostname InternetRouter InternetRoute(config)#enable secret youguess InternetRoute(config)#line con 0
InternetRoute(config-line)#logging synchronous InternetRoute(config-line)#exec-timeout 7 30 InternetRoute(config-line)#line vty 0 4 InternetRoute(config-line)#password abc InternetRoute(config-line)#login
InternetRoute(config-line)#exec-timeout 7 30 InternetRoute(config-line)#exit
InternetRoute(config)#no ip domain-lookup
5.3.2 配置接入路由器InternetRouter的各接口参数
以下为接入路由器InternetRouter的各个接口的ip地址、子网掩码的具体配置。
26
InternetRoute(config)#interface fastethernet0/0
InternetRoute(config-if)#ip address 192.168.0.254 255.255.255.0 InternetRoute(config-if)#no shutdown InternetRoute(config-if)#interface serial0/0
InternetRoute(config-if)#ip address 193.1.1.1 255.255.255.252 InternetRoute(config-if)#no shutdown
5.3.3配置接入路由器InternetRouter的路由功能
定义接入路由器InternetRouter到Internet上的缺省路由。 InternetRoute(config)#ip route 0.0.0.0 0.0.0.0 serial0/0 定义接入路由器InternetRouter到校园网内部的路由,经汇总后形成两个路由条目。
InternetRoute(config)#ip route 192.168.0.0 255.255.248.0 192.168.0.3
InternetRoute(config)#ip route 192.168.100.0 255.255.255.0 192.168.0.3
5.3.4 配置接入路由器InternetRouter上的NAT
由于目前IP地址资源非常稀缺,为了解决所有工作站访问Internet的需要,必须使用NAT技术。
为了接入Internet,本校园网相当ISP申请了9个IP地址,193.1.1.1和202.206.222.1-202.206.222.8用作NAT。 NAT的配置可以分为以下几个步骤: 1.定义NAT内部、外部接口
InternetRoute(config)#interface fastethernet0/0 InternetRoute(config-if)#ip nat inside InternetRoute(config-if)#interface serial0/0 InternetRoute(config-if)#ip nat outside 2.定义允许进行NAT的工作站的内部局部IP地址范围
27
InternetRoute(config)#ip access-list 1 permit 192.168.0.0 0.0.7.255 3.为服务器定义静态地址转换
InternetRoute(config)# ip nat inside source static 192.168.100.1 202.206.222.1
InternetRoute(config)# ip nat inside source static192.168.100.2 202.206.222.2
InternetRoute(config)# ip nat inside source static 192.168.100.3 202.206.222.3
4.为其它工作站定义复用地址转换
InternetRoute(config)# ip nat inside source list 1 interface serial0/0 overload
5.3.5 配置接入路由器InternetRouter上的ACL
路由器是外网进入校园网内网的第一道关卡。路由器上的ACL是保护校园网内网安全的有效手段。一个良好的ACL不仅可以起到控制网络流量、流向的作用。还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬防火墙产品的功能。
在本实例设计中,将针对服务器以及内网工作站的安全给出广域网接入路由器InternetRouter上的ACL的配置方案。 1. 对外屏蔽简单网管协议,即SNMP利用这个协议
利用这个协议,远程主机可以监视、控制网络上的其它网络设备。它有两种服务类型:SNMN和SNMPTRAP。
以下是具体的如何设置对外屏蔽简单网管协议。
InternetRoute(config)#access-list 101 deny udp any any eq anmp InternetRoute(config)#access-list 101 deny udp any any eq anmptrap InternetRoute(config)#access-list 101 permit ip any any InternetRoute(config)# interface serial0/0 InternetRoute(config-if)#ip access-group 101 in 2.对外屏蔽远程登录协议telnet
28
telnet是一种不安全的协议类型。用户在使用telnet登录网络设备或服务器时所使用的用户名和口令在网络中是明文传输的,很容易被网络上的非法协议分析设备截获。这是及其危险的,必须加以屏蔽。
InternetRoute(config)#access-list 101 deny tcp any any eq telnet InternetRoute(config)#access-list 101 permit ip any any InternetRoute(config)# interface serial0/0 InternetRoute(config-if)#ip access-group 101 in 3.对外屏蔽其它不安全协议或服务
这样的协议主要有SUN OS的文件共享协议端口2049,远程执行(rsh),远程登录(rlogin)和远程命令(rcmd)的端口512、513、514,远程调用端口(SUNRPC)的端口111,以下为针对以上协议进行的综合设计。
InternetRoute(config)#access-list 101 deny tcp any any range 512 514
InternetRoute(config)#access-list 101 deny tcp any any eq 111 InternetRoute(config)#access-list 101 deny udp any any eq 111 InternetRoute(config)#access-list 101 deny tcp any any range 2049 InternetRout InternetRoute(config)#access-list 101 permit ip any any InternetRout InternetRoute(config)#interface serial0/0 InternetRoute(config-if)#ip access-group 101 in 4.针对DoS攻击[4]的设计
DoS攻击是一种非常常见的且极具破坏力的攻击手段,它可以导致服务器、网络设备的正常服务进程停止,严重时会导致服务器操作系统崩溃。以下设计了针对常见的DoS攻击的ACL。
InternetRoute(config)#access-list 101 deny icmp any any eq echo-request
InternetRoute(config)#access-list 101 deny udp any any eq echo InternetRoute(config)#access-list 101 permit ip any any InternetRoute(config)#interface serial0/0
29
InternetRoute(config-if)#ip access-group 101 in InternetRoute(config-if)#interface fastenthernet0/0 InternetRoute(config-if)#no ip directed-broadcast 5.保护路由器自身安全
作为内网、外网间屏蔽的路由器,保护自身安全的的重要性是不言而喻的, 为了阻止黑客入侵服务器,必须对路由器的访问位置加以限制。应只允许来自服务器群的IP地址访问并配置路由器。具体设计如下:
InternetRoute(config)#line vty 0 4
InternetRoute(config-line)#access-class 2 in InternetRoute(config-line)#exit
InternetRoute(config)#access-list 2 permit 192.168.100.0 0.0.0.255 5.3.6 其它配置
为了实现对无类网络以及全零子网的支持,在接入路由器InternetRouter上,还需进行以下配置。
InternetRoute(config)#ip classless InternetRoute(config)#ip subnet-zero
30