BGP协议应用实例
AS100 L1:1.1.1.1/8 RTA S1/0:11.1.1.1/16 S0/0:11.1.1.2/16 AS200
RTB RTD E0/0:11.2.1.1/16 L2:10.1.1.1/8 E0/0:11.1.1.2/16 RTC L1:3.3.3.3/8
配置RTA的接口地址
[RTA-Serial1/0] ip add 11.1.1.1 255.255.0.0 [RTA-Ethernet0/0] ip add 11.2.1.1 255.255.0.0 [RTA-loopback2] ip add 10.1.1.1 255.0.0.0 [RTA-loopback1] ip add 1.1.1.1 255.0.0.0 启动BGP [RTA] bgp 100 设置BGP邻居
[RTA-bgp] group as200 external
[RTA-bgp] peer as200 as-number 200 [RTA-bgp] peer 11.1.1.2 group as200 [RTA-bgp] peer 11.2.1.2 group as200 配置RTC的接口地址
[RTC-Ethernet0/0] ip add 11.2.1.2 255.255.0.0 [RTC-loopback1] ip add 3.3.3.3 255.0.0.0 启动BGP [RTC] bgp 200 设置BGP邻居
[RTC-bgp] group as100 external
[RTC-bgp] peer as100 as-number 100 [RTC-bgp] peer 11.2.1.1 group as100 配置RTB的接口地址
[RTC-Serial0/0] ip add 11.1.1.2 255.255.0.0 启动BGP
[RTB] bgp 200 设置BGP邻居
[RTB-bgp] group as100 external [RTB-bgp] peer as100 as-number 100 [RTB-bgp] peer 11.1.1.1 group as100 在RTA上显示邻居 [RTA] display bgp peer
结果:显示两邻居已建立
在RTA、RTB、RTC上显示bgp路由 [RTX] display bgp routing-table 结果:无bgp路由
在RTA上引入路由 [RTA-bgp] network 10.0.0.0
在RTA上显示bgp路由 [RTA] display bgp routing-table 结果:有去往10.0.0.0的bgp路由
在RTB上显示bgp路由 [RTB] display bgp routing-table 结果:有去往10.0.0.0的bgp路由
在RTB上ping 10.1.1.1 [RTB] ping 10.1.1.1 结果:可ping通
7.5.2 PPP协议(Point to Point Protocol)
? PPP协议是在点到点链路上承载网络层数据包的一种链路层协议。
? PPP的特点:
能够提供用户验证
易于扩充
并且支持同异步通信
? PPP定义了一整套的协议,包括链路控制协议(LCP)、网络层控制协议(NCP)和
验证协议(PAP和CHAP)等。其中:
1.链路控制协议:Link Control Protocol(LCP)主要用来建立、拆除和监控数据链路。
2.网络控制协议:Network Control Protocol(NCP)主要用来协商在该数据链路上所传输的数据包的格式与类型。 3.验证协议:用于网络安全方面的验证协议族。
第 8 章 网络安全技术
8.1 网络系统安全技术概述
8.1.1 网络系统面临的安全问题
1.物理层的安全风险(环境和物理特性) 2.网络层安全风险(传输)
3.系统层的安全风险(操作系统、数据库等)
4.应用层安全风险
身份认证漏洞;DNS服务威胁;WWW服务漏洞;电子邮件系统漏洞。 5.管理层安全风险(人员)
8.1.2 网络系统安全技术和网络安全产品
1.数据加密技术 2.防火墙技术 3.网络安全扫描技术
网络远程安全扫描;防火墙系统扫描; Web网站扫描;系统安全扫描。
4.网络入侵检测技术 5.黑客诱骗技术 6.网络安全产品
防火墙;安全路由器;虚拟专用网(VPN);安全服务器;CA和PKI; 用户认证产品;安全管理中心;数据恢复与容灾系统; 入侵检测系统(IDS);安全数据库;安全操作系统。
8.2 以太网安全技术
主要作用:在整个网络中分布实施接入安全性 1.访问列表
(1)对到达端口的数据包进行分类,并打上不同的动作标记。
(2)访问列表作用于交换机的部分或所有端口。
(3)访问列表的主要用途:包过滤;镜像;流量限制;流量统计;分配队列优先级。 2.流分类
2层流分类项:以太网帧承载的数据类型;源/目的MAC地址;
以太网封装格式; Vlan ID;入/出端口。
3/4层流分类项:协议类型;源/目的IP地址;源/目的端口号。 3.访问控制列表的构成
(1)Rule(访问控制列表的子规则) (2)Time-range(时间段机制)
ACL=rules [+ time-range]
访问控制列表由一系列规则组成,有必要时会和时间段结合
8.2.2访问控制列表的配置
1.时间段的相关配置
在系统视图下,配置时间段:
time-range time-name [ start-time to end-time ] [ days-of-the-week ] [ from start-time start- date] [ to end-time end-date ] 在系统视图下,删除时间段:
undo time-range time-name [ start-time to end-time ] [ days-of-the-week ] [ from start- date
ACL配置举例
假设管理员需要在从2002年12月1日上午8点到2003年1月1日下午18点的时间段内实施安全策略,可以定义时间段名为denytime,具体配置如下: [H3C]time-range denytime from 8:00 12-01-2002 to 18:00 01-01-2003
2.定义访问控制列表
在系统视图下,定义ACL并进入访问控制列表视图:
acl { number acl-number | name acl-name basic | advanced | link |user} [ match-order { config | auto } ]
在系统视图下,删除ACL:
undo acl { number acl-number | name acl-name | all }
进入访问控制列表视图后,就可以用rule命令来为ACL定义子规则。 3. 访问控制列表的类型
访问控制列表数字取值范围为:2000~5999 2000~2999:基本访问控制列表(basic) 3000~3999:高级访问控制列表(advanced ) 4000~4999:基于二层的访问控制列表(link ) 5000~5999:用户自定义访问控制列表(user) 4.基本访问控制列表的子规则配置
在基本访问控制列表视图下,配置相应的规则
rule [ rule-id ] { permit | deny } [ source source-addr source-wildcard | any ]
[ fragment ] [ time-range time-range-name ] 在基本访问控制列表视图下,删除一条子规则 undo rule rule-id [ source ] [ fragment ] [ time-range ]
rule-id:0 ~127
5.高级访问控制列表的子规则配置
在高级访问控制列表视图下,配置相应的规则
rule [ rule-id ] { permit | deny } protocol [ source source-addr source-wildcard | any ] [ destination dest-addr dest-mask | any ] [ soure-port operator port1 [ port2 ] ] [ destination-port operator port1 [ port2 ] ] [ icmp-type icmp-type icmp-code ] [ established ] [ precedence precedence ] [ tos tos ] | [ dscp dscp ] [ fragment ] [ time-range time-range-name ]
在高级访问控制列表视图下,删除一条子规则
undo rule rule-id [ source ] [ destination ] [ soure-port ] [ destination-port ] [ precedence ] [ tos ] | [ dscp ] [ fragment ] [ time-range ] 6.二层访问控制列表的子规则配置
在二层访问控制列表视图下,配置相应的规则
rule [ rule-id ] { permit | deny } [ protocol ] [ cos vlan-pri ] ingress { { [ source-vlan-id ] [ source-mac-addr source-mac-wildcard ] [ interface { interface-name | interface-type interface-num } ] } | any } egress { { [ dest-mac-addr dest-mac-wildcard ] [ interface { interface-name | interface-type interface-num } ] } | any } [ time-range time-range-name ] 在二层访问控制列表视图下,删除一条子规则 undo rule rule-id
7.自定义访问控制列表的规则配置
在自定义访问控制列表视图下,配置相应的规则
rule [ rule-id ] { permit | deny } { rule-string rule-mask offset }&<1-20> [ time-range time-range-name ]
在自定义访问控制列表视图下,删除一条子规则
undo rule rule-id
用户自定义访问控制列表的数字标识取值范围为300~399 8.规则匹配原则
一条访问控制列表往往会由多条规则组成,这样在匹配一条访问控制列表的时候就存在匹配顺序的问题。在华为系列交换机产品上,支持下列两种匹配顺序: Config:指定匹配该规则时按用户的配置顺序
Auto:指定匹配该规则时系统自动排序(按“深度优先”的顺序) 9.激活访问控制列表
在系统视图下,激活ACL:
packet-filter { user-group { acl-number | acl-name } [ rule rule ] | { [ ip-group { acl-number | acl-name } [ rule rule ] ] [ link-group { acl-number | acl-name } [ rule rule ] ] } } 在系统视图下,取消激活ACL:
undo packet-filter { user-group { acl-number | acl-name } [ rule rule ] | { [ ip-group { acl-number | acl-name } [ rule rule ] ] [ link-group { acl-number | acl-name } [ rule rule ] ] } }
10.配置ACL进行包过滤的步骤
配置时间段(可选)
定义访问控制列表(四种类型:基本、高级、基于接口、基于二层和用户自定义) 激活访问控制列表
访问控制列表配置举例
总裁办公室 IP:129.111.1.2 工资查询服务器
IP:129.110.1.2
S3526 E0/1 管理部门
财务部门
限制其它部门在上班时间8:00至12:00访问工资服务器,而总裁办公室不受限制。 (1)定义上班时间
[H3C]time-range worktime 8:00 to 12:00 daily (2)定义acl
[H3C]acl triffic-to-salaryserver advanced
[H3C-acl- triffic-to-salaryserver]rule 1 deny ip source any destination 192.110.1.2 0.0.0.0
time-range worktime
[H3C-acl- triffic-to-salaryserver]rule 2 permit ip source 192.111.1.2 0.0.0.0 destination
192.110.1.2 0.0.0.0
[H3C-acl- triffic-to-salaryserver]rule 3 permit ip source 129.110.1.2 0.0.0.0 destination
129.111.1.2 0.0.0.0
(3)激活acl
[H3C]packet-filter ip-group riffic-to-salaryserver 10.访问控制列表的维护和调试
显示时间段状况: display time-range [ all | time-range-name ]
显示访问控制列表的详细配置信息: display acl config { all | acl-number | acl-name } 显示访问控制列表的下发应用信息: display acl runtime all
清除访问控制列表的统计信息: reset acl counter { all | acl-number | acl-name }
8.2.2 802.1X协议
传统远程用户接入采用拨号形式,主要问题是带宽受限。
标准以太网可以提高带宽,远程用户通过以太网接入成为主流。
对接入用户进行验证、授权、计费(AAA:Authentication, Authorization,Accounting)的方法:
? PPPOE
? 802.1X
1. 802.1X的作用
? IEEE 802.1X定义了基于端口的网络接入控制协议
? 该协议适用于接入设备与接入端口间点到点的连接方式,实现对局域网用户接入的
认证与服务管理
? 802.1X的认证接入基于逻辑端口