2023年12月16日发(作者:戎平良)
好网吧 好网络
——华为3COM网吧网络解决方案之网关配置指导——
华为三康技术有限公司
Huawei-3Com Technologies Co., Ltd.
华为3COM网吧网络解决方案之网关配置指导
目 录
第一部分 配置原则概述 ................................................................................................................... 3
1 需要注意的配置事项 ................................................................................................................... 3
1.1
配置ACL对非法报文进行过滤................................................................................................... 3
1.1.1
进行源IP和目的IP过滤 .................................................................................................. 3
1.1.2
限制ICMP报文 ............................................................................................................... 5
1.1.3
限制netbios协议端口 ..................................................................................................... 5
1.1.4
限制常见病毒使用的端口 .............................................................................................. 6
1.1.5
关闭没有使用的端口...................................................................................................... 7
1.2
NAT配置注意事项 .................................................................................................................... 7
1.3
路由配置注意事项 .................................................................................................................... 7
1.4
进行IP-MAC地址绑定 ............................................................................................................... 8
1.5
限制P2P应用(根据实际情况可选) ........................................................................................ 8
1.5.1
通过ACL限制端口 ......................................................................................................... 8
1.5.2
结合QOS和ACL限制端口流量 ...................................................................................... 9
1.5.3
限制单机的NAT会话数 ................................................................................................ 11
1.5.4
在客户机上通过软件限制 ............................................................................................ 11
2 附:限制常见P2P软件端口的ACL ............................................................................................ 11
第二部分 典型配置实例 ................................................................................................................. 12
1 单出口典型配置 ........................................................................................................................ 12
1.1
局域网内的主机地址是私网IP地址 ......................................................................................... 12
1.2
局域网内的主机地址是公网IP地址 ......................................................................................... 19
2 双出口链路备份典型配置 .......................................................................................................... 27
2.1
两条链路都是以太网链路的情况 ............................................................................................. 27
2.2
两条链路是以太网链路+PPPOE链路的情况 .......................................................................... 36
3 双出口同时实现负载分担和链路备份典型配置 ......................................................................... 45
第2页, 共56页
华为3COM网吧网络解决方案之网关配置指导
第一部分 配置原则概述
随着网络建设和应用的不断深入,网络安全问题正逐渐成为一个突出的管理问题。AR18系列路由器通过多种手段和配置可以控制和管理网络的流量,能够有效地实施各种防攻击策略。尤其在网吧这种复杂的网络环境中,全面合理的配置能够大大提高网络的稳定性和可靠性。
由于网吧上网人员数量多、构成复杂、流动性大,因此网络流量具有流量大、协议种类多、流量复杂等特点。一般网吧局域网内均有一定程度主机感染病毒,同时也很容易被用来发起网络攻击,或者被他人攻击,这就对网吧中的核心设备――网关提出了较高的要求。本文以AR18系列路由器为例讲解网关在网吧应用中需要注意的配置事项,同时给出了各种组网情况下的典型配置。
1 需要注意的配置事项
1.1 配置ACL对非法报文进行过滤
ACL 是每个安全策略的组成部份,控制和监视什么数据包进入和离开网络几乎是网络安全的定义。尽管路由器的工作是进行数据包的转发而不是阻止它。但是有些数据包我们必须阻止它。
1.1.1 进行源IP和目的IP过滤
至少应该在所有的接口上对入方向的报文进行过滤。在RFC2827/BCP 38 (Best Current
Practice ) 中高度建议使用入口过滤,这不仅可以使你的网络安全,而且可以使其它的网络不会被来自你的网络的伪装的源IP给攻击。许多的网络攻击者使用伪装的源IP地址来隐藏它们的身份,在网络使用了入口过滤功能后,也更加容易定位网络攻击者,因为攻击者必须使用真实的源IP地址。
例如:
假设局域网接口的IP地址为192.168.1.0/24,广域网接口的IP地址为162.1.1.0/30,在局域网接口可以设置:
第3页, 共56页
华为3COM网吧网络解决方案之网关配置指导
acl number 3003
rule 2000 permit ip source 192.168.1.0 0.0.0.255
rule 3000 deny ip
在广域网接口可以设置:
acl number 3001
rule 2000 permit ip destination 162.1.1.0 0.0.0.3
rule 2001 permit ip destination 192.168.1.0 0.0.0.255
rule 3000 deny ip
在广域网接口也可以通过静态包过滤结合ASPF进行更精确的包过滤和攻击防范。
例如:
#
acl number 3011
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 206 permit tcp destination-port eq telnet
rule 3000 deny ip
#
interface Ethernet1/0
ip address 172.30.79.6 255.255.255.252
firewall packet-filter 3011 inbound
firewall aspf 1 outbound
#
注意事项:由于目前ASPF对内存和性能的影响较大,网吧应用环境中不建议在AR18
第4页, 共56页
华为3COM网吧网络解决方案之网关配置指导
系列路由器上进行配置。在所有的出报文都需要进行NAT的情况下一般也没有必要配置ASPF。
1.1.2 限制ICMP报文
ICMP 报文是另一种我们需要关心的数据包。大量的攻击和病毒使用ICMP报文作为攻击手段。但实际上internet是使用的ICMP绝大部分是ping和traceroute。大量的其它icmp类型并不使用。因此,实际上我们可以仅允许ICMP 的ping echo 和 ping reply 及traceroute
所需要的TTL 开放。其它的均可以关闭。
例如:
acl number 3001
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
1.1.3 限制netbios协议端口
在现今的网络上,充斥着大量的网络扫描。 基于UDP 137, 138 端口的扫描是常见的扫描,UDP 137和UDP138是netbios 的数据报和名字服务。通常情况下,进入到路由器的137和138包是广播包,而路由器在默认情况下是不转发这些广播包的。但在某些情况下,一些扫描工具扫描UDP 137 和UDP138的端口,以图找出主机上的共享文件夹。这种情况下,进入路由器的数据包会是unicast的137和138,而且通常目的地址不停变化。因此我们可以将这些UDP 138和138的数据包通过ACL 挡断。保护用户和网络的安全。
例如:
acl number 3001
rule 31 deny udp destination-port eq netbios-ns
rule 41 deny udp destination-port eq netbios-dgm
rule 51 deny udp destination-port eq netbios-ssn
第5页, 共56页
华为3COM网吧网络解决方案之网关配置指导
1.1.4 限制常见病毒使用的端口
一般网吧中存在大量的“冲击波”、“震荡波”等病毒,这类病毒会不断地变化源IP或目的IP进行扫描和发送攻击数据,这会极大地消耗网络设备的资源。笔者曾在一个网吧的实际环境中发现56%的上行报文都是“震荡波”病毒的扫描报文。这些病毒一般使用固定的端口,比如TCP/135、TCP/4444、UDP/1434、TCP/5554、TCP/9996等,通过ACL对匹配这些目的端口的报文进行过滤会大大提高网络设备的安全性。
例如:
acl number 3001
rule 10 deny tcp destination-port eq 445 / r
rule 11 deny udp destination-port eq 445 / r
rule 20 deny tcp destination-port eq 135 / r
rule 21 deny udp destination-port eq 135 / r
rule 30 deny tcp destination-port eq 137
rule 40 deny tcp destination-port eq 138
rule 50 deny tcp destination-port eq 139 / r
rule 61 deny udp destination-port eq tftp / r
rule 70 deny tcp destination-port eq 593 / r
rule 80 deny tcp destination-port eq 4444 / r
rule 90 deny tcp destination-port eq 707 /Nachi Blaster-D
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434 /
SQL Slammer
rule 120 deny tcp destination-port eq 5554 /
Sasser
rule 130 deny tcp destination-port eq 9996 /
Sasser
第6页, 共56页
华为3COM网吧网络解决方案之网关配置指导
1.1.5 关闭没有使用的端口
网络中每时每刻都存在大量的扫描报文,扫描软件一般都会先探测目的主机开放了哪些端口。对于常用的应用程序,如www、ftp、tftp等,如果局域网内并没有机器开放这些服务,可以在广域网接口通过ACL对匹配这些目的端口的报文进行过滤。
例如:
acl number 3001
rule 200 deny tcp destination-port eq www
rule 202 deny tcp destination-port eq ftp
rule 204 deny tcp destination-port eq 3389
1.2 NAT配置注意事项
需要使用NAT转换地址池时,应尽量缩小NAT转换地址池的大小,因为地址池越大,占用的内存空间就可能会越大,大的地址池对于内存较小的设备很可能会导致内存耗尽。AR系列路由器上每个NAT转换地址可以支持50000个会话,网吧每台机器正常上网时平均会创建30条会话,因此一般情况下地址池配置1个NAT转换地址就可以满足需求。
建议在AR18系列路由器上配置NAT地址池时只配置1个IP地址。
例如:
nat address-group 1 218.27.192.1 218.27.192.1
1.3 路由配置注意事项
RFC1918中指定的保留的私有地址和其他已知的私有地址不应该存在于现有的internet网络上。可以通过黑洞路由进行过滤。避免局域网中存在攻击时占用大量的快转表项或者NAT表项。
第7页, 共56页
华为3COM网吧网络解决方案之网关配置指导
例如:
ip route-static 10.0.0.0 255.0.0.0 NULL 0 preference 60
ip route-static 169.254.0.0 255.255.0.0 NULL 0 preference 60
ip route-static 172.16.0.0 255.240.0.0 NULL 0 preference 60
ip route-static 192.168.0.0 255.255.0.0 NULL 0 preference 60
ip route-static 198.18.0.0 255.254.0.0 NULL 0 preference 60
1.4 进行IP-MAC地址绑定
由于网吧上网人员比较复杂,可能有人有意或无意地更改IP地址,或者使用网络执法官等软件进行恶意地破坏,通过在网关和客户机上都进行IP-MAC地址绑定(静态ARP),可以有效地防止这类以ARP欺骗为基础的攻击。
在网关上可以通过arp static命令对所有的客户机进行静态ARP设置。
在客户机上可以建立一个批处理文件放到启动组里,批处理文件的内容就是对网关进行IP-MAC绑定,这样每次启动就都会自动进行设置。
客户机设置静态ARP的实例:
@echo off
arp –s 192.168.1.1 00-0f-e2-21-a0-01
1.5 限制P2P应用(根据实际情况可选)
P2P应用对于网吧带宽来说是致命杀手,一个P2P客户端就有可能占用总带宽的90%以上,这会严重影响网吧的其他用户的正常上网,尤其是玩在线游戏的用户。限制P2P应用有多种方式可以选择,但目前还没有非常有效的方法。下面分别介绍几种常用的方法。
1.5.1 通过ACL限制端口
第8页, 共56页
华为3COM网吧网络解决方案之网关配置指导
通过ACL限制端口。一是只限制P2P的端口,开放所有的其他端口,这种方法有其局限性,因为现在有的p2p软件,端口可以改变,封锁后会自动改端口,甚至可以改到80端口,如果连这个也封,那网络使用就无法正常工作了;二是只开放有用的端口,封闭其他端口,这种方法是对网络进行严格的控制,对简单的小型网络还可行,而如果是大型网络,数据流量又很复杂那么管理的难度将非常大;因此这两种方法对网吧都不太适合。
1.5.2 结合QOS和ACL限制端口流量
结合QOS和ACL来限制P2P端口的数据流量。因为多数蠕虫病毒和p2p的端口都是大于3000的,当然也有正常的应用是采用3000以上的端口,如果我们将3000以上的端口封闭,这样正常的应用也无法开展,所以折中的方法是对端口3000以上的数据流进行限速。在实际应用中可能需要根据实际情况更改端口号的范围以使对其他应用的影响降低到最小。
例如:
在广域网接口和QOS结合使用的ACL。
acl number 3100
rule 1000 permit tcp destination-port gt 3000
rule 1010 permit udp destination-port gt 3000
在广域网接口配置的QOS。
#
traffic classifier p2pin operator or
if-match acl 3100
#
traffic behavior p2pin
car cir 2048000 cbs 1024000 ebs 0 green pass red discard
#
qos policy p2pin
classifier p2pin behavior p2pin
第9页, 共56页
华为3COM网吧网络解决方案之网关配置指导
#
interface Ethernet1/0
ip address 162.1.1.2 255.255.255.252
qos apply policy p2pin inbound
#
在局域网接口和QOS结合使用的ACL。
acl number 3300
rule 1000 permit tcp source-port gt 3000
rule 1010 permit udp source-port gt 3000
在局域网接口配置的QOS。
#
traffic classifier p2pout operator or
if-match acl 3300
#
traffic behavior p2pout
car cir 2048000 cbs 1024000 ebs 0 green pass red discard
#
qos policy p2pout
classifier p2pout behavior p2pout
#
interface Ethernet3/0
ip address 192.168.1.1 255.255.255.0
qos apply policy p2pout inbound
#
第10页, 共56页
华为3COM网吧网络解决方案之网关配置指导
1.5.3 限制单机的NAT会话数
以后的VRP软件会支持NAT的单用户限制,即可以对做地址转换的单个IP限制其NAT的TCP连接数,因为P2P类软件如BT的一大特点就是同时会有很多的连接数,从而占用了大量的NAT表项,因此应用该方法可有效限制BT的使用,比如我们为IP 192.168.1.2设置最大的NAT表项数为100;正常的网络访问肯定够用了,但如果使用BT,那么很快此IP的NAT表项数会达到100,一旦达到峰值,该IP的其他访问就无法再进行NAT转换,必须等到部分NAT表项失效后,才能再次使用,这样既有效的保护了网络的带宽,也达到了警示的作用。
1.5.4 在客户机上通过软件限制
在客户机上通过软件设置来禁止使用P2P软件。有很多网吧管理软件可以根据需要禁止各种软件的运行,建议需要禁止P2P应用的网吧采用这种方式。
以上我们总结了目前可用的限制P2P软件的一些方法,具体采用哪种方法只能根据具体网络的状况来定,当然也可以将几种方法结合起来使用。
2 附:限制常见P2P软件端口的ACL
acl number 3100
rule 1000 deny tcp destination-port eq 2710
rule 1010 deny tcp destination-port eq 6969
rule 1020 deny tcp destination-port range 8881 8999
rule 1030 deny tcp destination-port eq 10137
rule 1040 deny tcp destination-port eq 16881
rule 1050 deny tcp destination-port range 4661 4662
rule 1060 deny udp destination-port eq 4665
rule 1070 deny udp destination-port eq 4672
第11页, 共56页
华为3COM网吧网络解决方案之网关配置指导
第二部分 典型配置实例
1 单出口典型配置
这类网吧只有一个到ISP的出口,是最常见的一种情况,网络拓扑比较简单,下面根据局域网内的主机地址是私网IP地址还是公网IP地址分为两种情况举例。
1.1 局域网内的主机地址是私网IP地址
网络拓扑图如图1所示,AR18-22-24通过142.1.1.0/30网段和ISP相连,局域网内的IP地址段是192.168.1.0/24,局域网内的主机上网需要通过AR18-22-24进行NAT转换。
ISP
142.1.1.2/30
AR18-22-24
192.168.1.1/24
图1 单出口需要进行NAT转换拓扑图
[Quidway] display current-configuration
#
第12页, 共56页
华为3COM网吧网络解决方案之网关配置指导
sysname Quidway
#
clock summer-time BJ repeating 00:00:00 06/01/2000 23:59:59 08/31/2000 01:00:00
#
clock timezone Peking add 08:00:00
#
FTP server enable
#
firewall enable
#
flow-interval 5
#
web set-package force flash:/
#
radius scheme system
#
domain system
#
local-user admin
password cipher .]@USE=B,53Q=^Q`MAF4<1!!
service-type telnet terminal
level 3
service-type ftp
#
# 配置进行NAT转换时引用的ACL。
第13页, 共56页
华为3COM网吧网络解决方案之网关配置指导
acl number 2001
rule 10 permit source 192.168.1.0 0.0.0.255
#
# 配置在接口上应用的过滤规则,主要用于攻击防范,强烈建议配置。
acl number 3001
rule 10 deny tcp destination-port eq 445
rule 11 deny udp destination-port eq 445
rule 20 deny tcp destination-port eq 135
rule 21 deny udp destination-port eq 135
rule 30 deny tcp destination-port eq 137
rule 31 deny udp destination-port eq netbios-ns
rule 40 deny tcp destination-port eq 138
rule 41 deny udp destination-port eq netbios-dgm
rule 50 deny tcp destination-port eq 139
rule 51 deny udp destination-port eq netbios-ssn
rule 61 deny udp destination-port eq tftp
rule 70 deny tcp destination-port eq 593
rule 80 deny tcp destination-port eq 4444
rule 90 deny tcp destination-port eq 707
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434
rule 120 deny tcp destination-port eq 5554
rule 130 deny tcp destination-port eq 9996
第14页, 共56页
华为3COM网吧网络解决方案之网关配置指导
rule 141 deny udp source-port eq bootps
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
rule 2002 permit ip destination 142.1.1.2 0
rule 3000 deny ip
acl number 3003
rule 10 deny tcp destination-port eq 445
rule 11 deny udp destination-port eq 445
rule 20 deny tcp destination-port eq 135
rule 21 deny udp destination-port eq 135
rule 30 deny tcp destination-port eq 137
rule 31 deny udp destination-port eq netbios-ns
rule 40 deny tcp destination-port eq 138
rule 41 deny udp destination-port eq netbios-dgm
rule 50 deny tcp destination-port eq 139
rule 51 deny udp destination-port eq netbios-ssn
rule 61 deny udp destination-port eq tftp
rule 70 deny tcp destination-port eq 593
rule 80 deny tcp destination-port eq 4444
rule 90 deny tcp destination-port eq 707
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434
rule 120 deny tcp destination-port eq 5554
第15页, 共56页
华为3COM网吧网络解决方案之网关配置指导
rule 130 deny tcp destination-port eq 9996
rule 141 deny udp source-port eq bootps
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
rule 2010 deny ip source 192.168.1.1 0
rule 2030 permit ip source 192.168.1.0 0.0.0.255
rule 3000 deny ip
#
# 配置广域网接口E1/0,对入报文进行过滤(所有出报文均需要做NAT时可以不对入报文进行过滤),对出报文进行NAT。
interface Ethernet1/0
ip address 142.1.1.2 255.255.255.252
firewall packet-filter 3001 inbound
nat outbound 2001
#
interface Ethernet2/0
#
# 配置局域网接口E3/0,对入报文进行过滤。
interface Ethernet3/0
ip address 192.168.1.1 255.255.255.0
firewall packet-filter 3003 inbound
第16页, 共56页
华为3COM网吧网络解决方案之网关配置指导
#
interface Ethernet3/1
#
interface Ethernet3/2
#
interface Ethernet3/3
#
interface Ethernet3/4
#
interface Ethernet3/5
#
interface Ethernet3/6
#
interface Ethernet3/7
#
interface Ethernet3/8
#
interface Ethernet3/9
#
interface Ethernet3/10
#
interface Ethernet3/11
#
interface Ethernet3/12
#
interface Ethernet3/13
#
第17页, 共56页
华为3COM网吧网络解决方案之网关配置指导
interface Ethernet3/14
#
interface Ethernet3/15
#
interface Ethernet3/16
#
interface Ethernet3/17
#
interface Ethernet3/18
#
interface Ethernet3/19
#
interface Ethernet3/20
#
interface Ethernet3/21
#
interface Ethernet3/22
#
interface Ethernet3/23
#
interface Ethernet3/24
#
interface NULL0
#
# 配置缺省路由和黑洞路由。
第18页, 共56页
华为3COM网吧网络解决方案之网关配置指导
ip route-static 0.0.0.0 0.0.0.0 142.1.1.1 preference 60
ip route-static 10.0.0.0 255.0.0.0 NULL 0 preference 60
ip route-static 169.254.0.0 255.255.0.0 NULL 0 preference 60
ip route-static 172.16.0.0 255.240.0.0 NULL 0 preference 60
ip route-static 192.168.0.0 255.255.0.0 NULL 0 preference 60
ip route-static 198.18.0.0 255.254.0.0 NULL 0 preference 60
#
user-interface con 0
user-interface vty 0 4
authentication-mode scheme
#
return
1.2 局域网内的主机地址是公网IP地址
网络拓扑图如图2所示,AR18-22-24通过142.1.1.0/30网段和ISP相连,局域网内的IP地址段是218.168.1.0/24,局域网内的主机上网只需要在AR18-22-24上设置路由。
第19页, 共56页
华为3COM网吧网络解决方案之网关配置指导
ISP
142.1.1.2/30
AR18-22-24
218.168.1.1/24
图2 单出口不需要进行NAT转换拓扑图
[Quidway]display current-configuration
#
sysname Quidway
#
clock summer-time BJ repeating 00:00:00 06/01/2000 23:59:59 08/31/2000 01:00:00
#
clock timezone Peking add 08:00:00
#
FTP server enable
#
firewall enable
#
第20页, 共56页
华为3COM网吧网络解决方案之网关配置指导
flow-interval 5
#
web set-package force flash:/
#
radius scheme system
#
domain system
#
local-user admin
password cipher .]@USE=B,53Q=^Q`MAF4<1!!
service-type telnet terminal
level 3
service-type ftp
#
# 配置在接口上应用的过滤规则,主要用于攻击防范,强烈建议配置。
acl number 3001
rule 10 deny tcp destination-port eq 445
rule 11 deny udp destination-port eq 445
rule 20 deny tcp destination-port eq 135
rule 21 deny udp destination-port eq 135
rule 30 deny tcp destination-port eq 137
rule 31 deny udp destination-port eq netbios-ns
rule 40 deny tcp destination-port eq 138
rule 41 deny udp destination-port eq netbios-dgm
rule 50 deny tcp destination-port eq 139
第21页, 共56页
华为3COM网吧网络解决方案之网关配置指导
rule 51 deny udp destination-port eq netbios-ssn
rule 61 deny udp destination-port eq tftp
rule 70 deny tcp destination-port eq 593
rule 80 deny tcp destination-port eq 4444
rule 90 deny tcp destination-port eq 707
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434
rule 120 deny tcp destination-port eq 5554
rule 130 deny tcp destination-port eq 9996
rule 141 deny udp source-port eq bootps
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
rule 200 deny tcp destination-port eq www
rule 202 deny tcp destination-port eq ftp
rule 204 deny tcp destination-port eq 3389
rule 2001 permit ip destination 218.168.1.0 0.0.0.255
rule 2002 permit ip destination 142.1.1.2 0
rule 3000 deny ip
acl number 3003
rule 10 deny tcp destination-port eq 445
rule 11 deny udp destination-port eq 445
rule 20 deny tcp destination-port eq 135
rule 21 deny udp destination-port eq 135
第22页, 共56页
华为3COM网吧网络解决方案之网关配置指导
rule 30 deny tcp destination-port eq 137
rule 31 deny udp destination-port eq netbios-ns
rule 40 deny tcp destination-port eq 138
rule 41 deny udp destination-port eq netbios-dgm
rule 50 deny tcp destination-port eq 139
rule 51 deny udp destination-port eq netbios-ssn
rule 61 deny udp destination-port eq tftp
rule 70 deny tcp destination-port eq 593
rule 80 deny tcp destination-port eq 4444
rule 90 deny tcp destination-port eq 707
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434
rule 120 deny tcp destination-port eq 5554
rule 130 deny tcp destination-port eq 9996
rule 141 deny udp source-port eq bootps
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
rule 2010 deny ip source 218.168.1.1 0
rule 2030 permit ip source 218.168.1.0 0.0.0.255
rule 3000 deny ip
#
# 配置广域网接口E1/0,对入报文进行过滤。
第23页, 共56页
华为3COM网吧网络解决方案之网关配置指导
interface Ethernet1/0
ip address 142.1.1.2 255.255.255.252
firewall packet-filter 3001 inbound
#
interface Ethernet2/0
#
# 配置局域网接口E3/0,对入报文进行过滤
interface Ethernet3/0
ip address 218.168.1.1 255.255.255.0
firewall packet-filter 3003 inbound
#
interface Ethernet3/1
#
interface Ethernet3/2
#
interface Ethernet3/3
#
interface Ethernet3/4
#
interface Ethernet3/5
#
interface Ethernet3/6
#
interface Ethernet3/7
第24页, 共56页
华为3COM网吧网络解决方案之网关配置指导
#
interface Ethernet3/8
#
interface Ethernet3/9
#
interface Ethernet3/10
#
interface Ethernet3/11
#
interface Ethernet3/12
#
interface Ethernet3/13
#
interface Ethernet3/14
#
interface Ethernet3/15
#
interface Ethernet3/16
#
interface Ethernet3/17
#
interface Ethernet3/18
#
interface Ethernet3/19
#
interface Ethernet3/20
#
第25页, 共56页
华为3COM网吧网络解决方案之网关配置指导
interface Ethernet3/21
#
interface Ethernet3/22
#
interface Ethernet3/23
#
interface Ethernet3/24
#
interface NULL0
#
# 配置缺省路由和黑洞路由。
ip route-static 0.0.0.0 0.0.0.0 142.1.1.1 preference 60
ip route-static 10.0.0.0 255.0.0.0 NULL 0 preference 60
ip route-static 169.254.0.0 255.255.0.0 NULL 0 preference 60
ip route-static 172.16.0.0 255.240.0.0 NULL 0 preference 60
ip route-static 192.168.0.0 255.255.0.0 NULL 0 preference 60
ip route-static 198.18.0.0 255.254.0.0 NULL 0 preference 60
#
user-interface con 0
user-interface vty 0 4
authentication-mode scheme
#
return
第26页, 共56页
华为3COM网吧网络解决方案之网关配置指导
2 双出口链路备份典型配置
双出口进行主备备份在一般出现在到一个ISP有两条链路,一条带宽比较宽,一条带宽比较低的情况下。下面就两种常见的组网给出配置实例。
2.1 两条链路都是以太网链路的情况
网络拓扑图如图3所示,AR18-22-24有两条到ISP的链路,E1/0为主用链路,网络地址为142.1.1.0/30,E2/0为备用链路,网络地址为162.1.1.0/30。正常工作时所有的流量通过主用链路E1/0发送,当主用链路出现异常时设备会自动切换到备用链路,主用链路恢复后会自动重新启用。
ISP
142.1.1.1/30
ISP
162.1.1.1/30
142.1.1.2/30 162.1.1.2/30
AR18-22-24
192.168.1.1/24
图3 双以太网链路主备备份拓扑图
[Quidway]display current-configuration
#
第27页, 共56页
华为3COM网吧网络解决方案之网关配置指导
sysname Quidway
#
clock summer-time BJ repeating 00:00:00 06/01/2000 23:59:59 08/31/2000 01:00:00
#
clock timezone Peking add 08:00:00
#
FTP server enable
#
firewall enable
#
flow-interval 5
#
web set-package force flash:/
#
radius scheme system
#
domain system
#
local-user admin
password cipher .]@USE=B,53Q=^Q`MAF4<1!!
service-type telnet terminal
level 3
service-type ftp
#
# 配置自动侦测组1,侦测主用链路的对端地址是否可达,侦测间隔为5s。
第28页, 共56页
华为3COM网吧网络解决方案之网关配置指导
detect-group 1
detect-list 1 ip address 142.1.1.1
timer loop 5
#
# 配置接口应用NAT时引用的ACL。
acl number 2001
rule 10 permit source 192.168.1.0 0.0.0.255
#
# 配置在接口上应用的过滤规则,主要用于攻击防范,强烈建议配置。
acl number 3001
rule 10 deny tcp destination-port eq 445
rule 11 deny udp destination-port eq 445
rule 20 deny tcp destination-port eq 135
rule 21 deny udp destination-port eq 135
rule 30 deny tcp destination-port eq 137
rule 31 deny udp destination-port eq netbios-ns
rule 40 deny tcp destination-port eq 138
rule 41 deny udp destination-port eq netbios-dgm
rule 50 deny tcp destination-port eq 139
rule 51 deny udp destination-port eq netbios-ssn
rule 61 deny udp destination-port eq tftp
rule 70 deny tcp destination-port eq 593
rule 80 deny tcp destination-port eq 4444
第29页, 共56页
华为3COM网吧网络解决方案之网关配置指导
rule 90 deny tcp destination-port eq 707
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434
rule 120 deny tcp destination-port eq 5554
rule 130 deny tcp destination-port eq 9996
rule 141 deny udp source-port eq bootps
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
rule 2002 permit ip destination 142.1.1.2 0
rule 3000 deny ip
acl number 3002
rule 10 deny tcp destination-port eq 445
rule 11 deny udp destination-port eq 445
rule 20 deny tcp destination-port eq 135
rule 21 deny udp destination-port eq 135
rule 30 deny tcp destination-port eq 137
rule 31 deny udp destination-port eq netbios-ns
rule 40 deny tcp destination-port eq 138
rule 41 deny udp destination-port eq netbios-dgm
rule 50 deny tcp destination-port eq 139
rule 51 deny udp destination-port eq netbios-ssn
rule 61 deny udp destination-port eq tftp
rule 70 deny tcp destination-port eq 593
第30页, 共56页
华为3COM网吧网络解决方案之网关配置指导
rule 80 deny tcp destination-port eq 4444
rule 90 deny tcp destination-port eq 707
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434
rule 120 deny tcp destination-port eq 5554
rule 130 deny tcp destination-port eq 9996
rule 141 deny udp source-port eq bootps
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
rule 2002 permit ip destination 162.1.1.2 0
rule 3000 deny ip
acl number 3003
rule 10 deny tcp destination-port eq 445
rule 11 deny udp destination-port eq 445
rule 20 deny tcp destination-port eq 135
rule 21 deny udp destination-port eq 135
rule 30 deny tcp destination-port eq 137
rule 31 deny udp destination-port eq netbios-ns
rule 40 deny tcp destination-port eq 138
rule 41 deny udp destination-port eq netbios-dgm
rule 50 deny tcp destination-port eq 139
rule 51 deny udp destination-port eq netbios-ssn
rule 61 deny udp destination-port eq tftp
第31页, 共56页
华为3COM网吧网络解决方案之网关配置指导
rule 70 deny tcp destination-port eq 593
rule 80 deny tcp destination-port eq 4444
rule 90 deny tcp destination-port eq 707
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434
rule 120 deny tcp destination-port eq 5554
rule 130 deny tcp destination-port eq 9996
rule 141 deny udp source-port eq bootps
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
rule 2010 deny ip source 192.168.1.1 0
rule 2030 permit ip source 192.168.1.0 0.0.0.255
rule 3000 deny ip
#
# 配置广域网接口E1/0,对入报文进行过滤(所有出报文均需要做NAT时可以不对入报文进行过滤),对出报文进行NAT。
interface Ethernet1/0
ip address 142.1.1.2 255.255.255.252
firewall packet-filter 3001 inbound
nat outbound 2001
#
第32页, 共56页
华为3COM网吧网络解决方案之网关配置指导
# 配置广域网接口E2/0,做为主接口E1/0的备份,对入报文进行过滤(所有出报文均需要做NAT时可以不对入报文进行过滤),对出报文进行NAT。
interface Ethernet2/0
standby detect-group 1
ip address 162.1.1.2 255.255.255.252
firewall packet-filter 3002 inbound
nat outbound 2001
#
# 配置局域网接口E3/0,对入报文进行过滤。
interface Ethernet3/0
ip address 192.168.1.1 255.255.255.0
firewall packet-filter 3003 inbound
#
interface Ethernet3/1
#
interface Ethernet3/2
#
interface Ethernet3/3
#
interface Ethernet3/4
#
interface Ethernet3/5
#
第33页, 共56页
华为3COM网吧网络解决方案之网关配置指导
interface Ethernet3/6
#
interface Ethernet3/7
#
interface Ethernet3/8
#
interface Ethernet3/9
#
interface Ethernet3/10
#
interface Ethernet3/11
#
interface Ethernet3/12
#
interface Ethernet3/13
#
interface Ethernet3/14
#
interface Ethernet3/15
#
interface Ethernet3/16
#
interface Ethernet3/17
#
interface Ethernet3/18
#
interface Ethernet3/19
第34页, 共56页
华为3COM网吧网络解决方案之网关配置指导
#
interface Ethernet3/20
#
interface Ethernet3/21
#
interface Ethernet3/22
#
interface Ethernet3/23
#
interface Ethernet3/24
#
interface NULL0
#
# 配置缺省路由和黑洞路由。通过主接口的缺省路由和自动侦测组1相关联。当自动侦测组# 1可达时,备份接口down,主接口的缺省路由生效,当自动侦测组1不可达时,主接口# 的缺省路由失效,备份接口启用,备份接口的缺省路由生效。
ip route-static 0.0.0.0 0.0.0.0 162.1.1.1 preference 60
ip route-static 0.0.0.0 0.0.0.0 142.1.1.1 preference 60 detect-group 1
ip route-static 10.0.0.0 255.0.0.0 NULL 0 preference 60
ip route-static 169.254.0.0 255.255.0.0 NULL 0 preference 60
ip route-static 172.16.0.0 255.240.0.0 NULL 0 preference 60
ip route-static 192.168.0.0 255.255.0.0 NULL 0 preference 60
ip route-static 198.18.0.0 255.254.0.0 NULL 0 preference 60
#
user-interface con 0
第35页, 共56页
华为3COM网吧网络解决方案之网关配置指导
user-interface vty 0 4
authentication-mode scheme
#
return
2.2 两条链路是以太网链路+PPPOE链路的情况
网络拓扑图如图4所示,AR18-22-24有两条到ISP的链路,E1/0为主用链路,网络地址为142.1.1.0/30;ETH2/0连接ADSL modem通过PPPOE方式连接ISP,Dialer0做备用链路。正常工作时所有的流量通过主用链路E1/0发送,当主用链路出现异常时,设备会自动发起PPPOE拨号,流量切换到备用链路,主用链路恢复后会自动重新启用。主链路启用60秒后PPPOE连接会自动挂断。
ISP
142.1.1.1/30
ISP
162.1.1.1/30
142.1.1.2/30 Dialer0
AR18-22-24
192.168.1.1/24
图4 以太网链路+PPPOE链路进行主备备份拓扑图
第36页, 共56页
华为3COM网吧网络解决方案之网关配置指导
[Quidway]display current-configuration
#
sysname Quidway
#
clock summer-time BJ repeating 00:00:00 06/01/2000 23:59:59 08/31/2000 01:00:00
#
clock timezone Peking add 08:00:00
#
FTP server enable
#
firewall enable
#
flow-interval 5
dialer-rule 1 ip permit
#
web set-package force flash:/
#
radius scheme system
#
domain system
#
local-user admin
password cipher .]@USE=B,53Q=^Q`MAF4<1!!
service-type telnet terminal
level 3
service-type ftp
#
第37页, 共56页
华为3COM网吧网络解决方案之网关配置指导
# 配置自动侦测组1,侦测主用链路的对端地址是否可达,侦测间隔为5s。
detect-group 1
detect-list 1 ip address 142.1.1.1
timer loop 5
#
# 配置接口应用NAT时引用的ACL。
acl number 2001
rule 10 permit source 192.168.1.0 0.0.0.255
#
# 配置在接口上应用的过滤规则,主要用于攻击防范,强烈建议配置。
acl number 3001
rule 10 deny tcp destination-port eq 445
rule 11 deny udp destination-port eq 445
rule 20 deny tcp destination-port eq 135
rule 21 deny udp destination-port eq 135
rule 30 deny tcp destination-port eq 137
rule 31 deny udp destination-port eq netbios-ns
rule 40 deny tcp destination-port eq 138
rule 41 deny udp destination-port eq netbios-dgm
rule 50 deny tcp destination-port eq 139
rule 51 deny udp destination-port eq netbios-ssn
第38页, 共56页
华为3COM网吧网络解决方案之网关配置指导
rule 61 deny udp destination-port eq tftp
rule 70 deny tcp destination-port eq 593
rule 80 deny tcp destination-port eq 4444
rule 90 deny tcp destination-port eq 707
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434
rule 120 deny tcp destination-port eq 5554
rule 130 deny tcp destination-port eq 9996
rule 141 deny udp source-port eq bootps
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
rule 2002 permit ip destination 142.1.1.2 0
rule 3000 deny ip
acl number 3002
rule 10 deny tcp destination-port eq 445
rule 11 deny udp destination-port eq 445
rule 20 deny tcp destination-port eq 135
rule 21 deny udp destination-port eq 135
rule 30 deny tcp destination-port eq 137
rule 31 deny udp destination-port eq netbios-ns
rule 40 deny tcp destination-port eq 138
rule 41 deny udp destination-port eq netbios-dgm
rule 50 deny tcp destination-port eq 139
第39页, 共56页
华为3COM网吧网络解决方案之网关配置指导
rule 51 deny udp destination-port eq netbios-ssn
rule 61 deny udp destination-port eq tftp
rule 70 deny tcp destination-port eq 593
rule 80 deny tcp destination-port eq 4444
rule 90 deny tcp destination-port eq 707
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434
rule 120 deny tcp destination-port eq 5554
rule 130 deny tcp destination-port eq 9996
rule 141 deny udp source-port eq bootps
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
rule 2000 permit ip
acl number 3003
rule 10 deny tcp destination-port eq 445
rule 11 deny udp destination-port eq 445
rule 20 deny tcp destination-port eq 135
rule 21 deny udp destination-port eq 135
rule 30 deny tcp destination-port eq 137
rule 31 deny udp destination-port eq netbios-ns
rule 40 deny tcp destination-port eq 138
rule 41 deny udp destination-port eq netbios-dgm
rule 50 deny tcp destination-port eq 139
第40页, 共56页
华为3COM网吧网络解决方案之网关配置指导
rule 51 deny udp destination-port eq netbios-ssn
rule 61 deny udp destination-port eq tftp
rule 70 deny tcp destination-port eq 593
rule 80 deny tcp destination-port eq 4444
rule 90 deny tcp destination-port eq 707
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434
rule 120 deny tcp destination-port eq 5554
rule 130 deny tcp destination-port eq 9996
rule 141 deny udp source-port eq bootps
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
rule 2010 deny ip source 192.168.1.1 0
rule 2030 permit ip source 192.168.1.0 0.0.0.255
rule 3000 deny ip
#
# 配置广域网接口Dialer0,拨号的用户名和口令均为test,对入报文进行过滤(所有出报文均需要做NAT时可以不对入报文进行过滤),对出报文进行NAT。
interface Dialer0
link-protocol ppp
ppp pap local-user test password simple test
第41页, 共56页
华为3COM网吧网络解决方案之网关配置指导
ip address ppp-negotiate
dialer user test
dialer-group 1
dialer bundle 1
nat outbound 2001
firewall packet-filter 3002 inbound
#
# 配置广域网接口E1/0,对入报文进行过滤(所有出报文均需要做NAT时可以不对入报文进行过滤),对出报文进行NAT。
interface Ethernet1/0
ip address 142.1.1.2 255.255.255.252
firewall packet-filter 3001 inbound
nat outbound 2001
#
# 配置广域网接口E2/0,做为拨号接口,链路空闲60秒钟后自动切断。
interface Ethernet2/0
pppoe-client dial-bundle-number 1 idle-timeout 60
#
# 配置局域网接口E3/0,对入报文进行过滤。
interface Ethernet3/0
ip address 192.168.1.1 255.255.255.0
第42页, 共56页
华为3COM网吧网络解决方案之网关配置指导
firewall packet-filter 3003 inbound
#
interface Ethernet3/1
#
interface Ethernet3/2
#
interface Ethernet3/3
#
interface Ethernet3/4
#
interface Ethernet3/5
#
interface Ethernet3/6
#
interface Ethernet3/7
#
interface Ethernet3/8
#
interface Ethernet3/9
#
interface Ethernet3/10
#
interface Ethernet3/11
#
interface Ethernet3/12
#
interface Ethernet3/13
第43页, 共56页
华为3COM网吧网络解决方案之网关配置指导
#
interface Ethernet3/14
#
interface Ethernet3/15
#
interface Ethernet3/16
#
interface Ethernet3/17
#
interface Ethernet3/18
#
interface Ethernet3/19
#
interface Ethernet3/20
#
interface Ethernet3/21
#
interface Ethernet3/22
#
interface Ethernet3/23
#
interface Ethernet3/24
#
interface NULL0
#
# 配置缺省路由和黑洞路由。通过主接口的缺省路由和自动侦测组1相关联。当自动侦测
第44页, 共56页
华为3COM网吧网络解决方案之网关配置指导
组1可达时,主接口的缺省路由生效,当自动侦测组1不可达时,主接口的缺省路由失效,备份接口启用,备份接口的缺省路由生效。
ip route-static 0.0.0.0 0.0.0.0 Dialer 0 preference 100
ip route-static 0.0.0.0 0.0.0.0 142.1.1.1 preference 60 detect-group 1
ip route-static 10.0.0.0 255.0.0.0 NULL 0 preference 60
ip route-static 169.254.0.0 255.255.0.0 NULL 0 preference 60
ip route-static 172.16.0.0 255.240.0.0 NULL 0 preference 60
ip route-static 192.168.0.0 255.255.0.0 NULL 0 preference 60
ip route-static 198.18.0.0 255.254.0.0 NULL 0 preference 60
#
user-interface con 0
user-interface vty 0 4
authentication-mode scheme
#
return
3 双出口同时实现负载分担和链路备份典型配置
这是目前新建网络中最流行的组网方式,通过申请到两个ISP的两条线路(一般情况是一条到电信,一条到网通),配置路由使客户机访问电信服务器走电信链路,访问网通的服务器走网通链路,可以大大提高很多网络应用的访问速度,同时两条链路互为备份,也提高了网络的可靠性。
网络拓扑图如图5所示:AR18-22-24以太网口ETH1/0连接到ISP1,网络地址为142.1.1.0/30,以太网口ETH2/0连接到ISP2,网络地址为162.1.1.0/30;以太网口ETH3/0连接到局域网,局域网内既有ISP1的公网IP,网络地址为218.247.28.0/24,又有私网IP,网络地址为192.168.1.0/24。ISP2为用户分配了一段公网IP,IP地址段为220.231.48.64/26,其中220.231.48.66用来做NAT转换地址池地址。
局域网用户上网的时候公网IP用户通过ISP1接口出去的时候直接走三层路由,通过ISP2接口
第45页, 共56页
华为3COM网吧网络解决方案之网关配置指导
出去的时候进行NAT转换;私网IP用户通过AR18-22-24进行NAT转换后访问Internet,在两条上行链路都正常工作时二者进行负载分担、互为备份;当其中一条链路出现异常时,网络流量会自动切换到另一条链路。
由于通过一个ISP的网络访问另外一个ISP的网络时延一般较大,因此可以在AR18-22-24上设置了静态路由,当报文的目的IP地址是ISP2网络中的地址时会通过ISP2的接口转发,其余的报文会根据缺省路由通过ISP1的接口转发,这样就根据目的IP确保了提供最快的访问速度。
ISP1
142.1.1.1/30
ISP2
162.1.1.1/30
142.1.1.2/30 162.1.1.2/30
AR18-22-24
218.247.28.1/24
192.168.1.1/24 sub
图5 双出口同时实现负载分担和链路备份拓扑图
[Quidway]display current-configuration
#
sysname Quidway
第46页, 共56页
华为3COM网吧网络解决方案之网关配置指导
#
clock summer-time BJ repeating 00:00:00 06/01/2000 23:59:59 08/31/2000 01:00:00
#
clock timezone Peking add 08:00:00
#
FTP server enable
#
firewall enable
#
# 配置2个地址转换用地址池,分别用于到ISP1和ISP2的两个接口。
nat address-group 1 218.247.28.243 218.247.28.243
nat address-group 2 220.231.48.66 220.231.48.66
#
flow-interval 5
#
web set-package force flash:/
#
radius scheme system
#
domain system
#
local-user admin
password cipher .]@USE=B,53Q=^Q`MAF4<1!!
service-type telnet terminal
level 3
service-type ftp
第47页, 共56页
华为3COM网吧网络解决方案之网关配置指导
#
# 配置自动侦测组1,侦测的IP地址为到ISP1的网关142.1.1.1,侦测间隔为5s。
detect-group 1
detect-list 1 ip address 142.1.1.1
timer loop 5
#
# 配置自动侦测组2,侦测的IP地址为到ISP2的网关162.1.1.1,侦测间隔为5s。
detect-group 2
detect-list 1 ip address 162.1.1.1
timer loop 5
#
# 配置接口启用NAT时所引用的ACL。
acl number 2001
rule 10 permit source 192.168.1.0 0.0.0.255
acl number 2002
rule 10 permit source 192.168.1.0 0.0.0.255
rule 20 permit source 218.247.28.0 0.0.0.255
#
# 配置在接口上应用的过滤规则,主要用于攻击防范,强烈建议配置。
acl number 3001
第48页, 共56页
华为3COM网吧网络解决方案之网关配置指导
rule 10 deny tcp destination-port eq 445
rule 11 deny udp destination-port eq 445
rule 20 deny tcp destination-port eq 135
rule 21 deny udp destination-port eq 135
rule 30 deny tcp destination-port eq 137
rule 31 deny udp destination-port eq netbios-ns
rule 40 deny tcp destination-port eq 138
rule 41 deny udp destination-port eq netbios-dgm
rule 50 deny tcp destination-port eq 139
rule 51 deny udp destination-port eq netbios-ssn
rule 61 deny udp destination-port eq tftp
rule 70 deny tcp destination-port eq 593
rule 80 deny tcp destination-port eq 4444
rule 90 deny tcp destination-port eq 707
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434
rule 120 deny tcp destination-port eq 5554
rule 130 deny tcp destination-port eq 9996
rule 141 deny udp source-port eq bootps
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
rule 200 deny tcp destination-port eq www
rule 202 deny tcp destination-port eq ftp
第49页, 共56页
2023年12月16日发(作者:戎平良)
好网吧 好网络
——华为3COM网吧网络解决方案之网关配置指导——
华为三康技术有限公司
Huawei-3Com Technologies Co., Ltd.
华为3COM网吧网络解决方案之网关配置指导
目 录
第一部分 配置原则概述 ................................................................................................................... 3
1 需要注意的配置事项 ................................................................................................................... 3
1.1
配置ACL对非法报文进行过滤................................................................................................... 3
1.1.1
进行源IP和目的IP过滤 .................................................................................................. 3
1.1.2
限制ICMP报文 ............................................................................................................... 5
1.1.3
限制netbios协议端口 ..................................................................................................... 5
1.1.4
限制常见病毒使用的端口 .............................................................................................. 6
1.1.5
关闭没有使用的端口...................................................................................................... 7
1.2
NAT配置注意事项 .................................................................................................................... 7
1.3
路由配置注意事项 .................................................................................................................... 7
1.4
进行IP-MAC地址绑定 ............................................................................................................... 8
1.5
限制P2P应用(根据实际情况可选) ........................................................................................ 8
1.5.1
通过ACL限制端口 ......................................................................................................... 8
1.5.2
结合QOS和ACL限制端口流量 ...................................................................................... 9
1.5.3
限制单机的NAT会话数 ................................................................................................ 11
1.5.4
在客户机上通过软件限制 ............................................................................................ 11
2 附:限制常见P2P软件端口的ACL ............................................................................................ 11
第二部分 典型配置实例 ................................................................................................................. 12
1 单出口典型配置 ........................................................................................................................ 12
1.1
局域网内的主机地址是私网IP地址 ......................................................................................... 12
1.2
局域网内的主机地址是公网IP地址 ......................................................................................... 19
2 双出口链路备份典型配置 .......................................................................................................... 27
2.1
两条链路都是以太网链路的情况 ............................................................................................. 27
2.2
两条链路是以太网链路+PPPOE链路的情况 .......................................................................... 36
3 双出口同时实现负载分担和链路备份典型配置 ......................................................................... 45
第2页, 共56页
华为3COM网吧网络解决方案之网关配置指导
第一部分 配置原则概述
随着网络建设和应用的不断深入,网络安全问题正逐渐成为一个突出的管理问题。AR18系列路由器通过多种手段和配置可以控制和管理网络的流量,能够有效地实施各种防攻击策略。尤其在网吧这种复杂的网络环境中,全面合理的配置能够大大提高网络的稳定性和可靠性。
由于网吧上网人员数量多、构成复杂、流动性大,因此网络流量具有流量大、协议种类多、流量复杂等特点。一般网吧局域网内均有一定程度主机感染病毒,同时也很容易被用来发起网络攻击,或者被他人攻击,这就对网吧中的核心设备――网关提出了较高的要求。本文以AR18系列路由器为例讲解网关在网吧应用中需要注意的配置事项,同时给出了各种组网情况下的典型配置。
1 需要注意的配置事项
1.1 配置ACL对非法报文进行过滤
ACL 是每个安全策略的组成部份,控制和监视什么数据包进入和离开网络几乎是网络安全的定义。尽管路由器的工作是进行数据包的转发而不是阻止它。但是有些数据包我们必须阻止它。
1.1.1 进行源IP和目的IP过滤
至少应该在所有的接口上对入方向的报文进行过滤。在RFC2827/BCP 38 (Best Current
Practice ) 中高度建议使用入口过滤,这不仅可以使你的网络安全,而且可以使其它的网络不会被来自你的网络的伪装的源IP给攻击。许多的网络攻击者使用伪装的源IP地址来隐藏它们的身份,在网络使用了入口过滤功能后,也更加容易定位网络攻击者,因为攻击者必须使用真实的源IP地址。
例如:
假设局域网接口的IP地址为192.168.1.0/24,广域网接口的IP地址为162.1.1.0/30,在局域网接口可以设置:
第3页, 共56页
华为3COM网吧网络解决方案之网关配置指导
acl number 3003
rule 2000 permit ip source 192.168.1.0 0.0.0.255
rule 3000 deny ip
在广域网接口可以设置:
acl number 3001
rule 2000 permit ip destination 162.1.1.0 0.0.0.3
rule 2001 permit ip destination 192.168.1.0 0.0.0.255
rule 3000 deny ip
在广域网接口也可以通过静态包过滤结合ASPF进行更精确的包过滤和攻击防范。
例如:
#
acl number 3011
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 206 permit tcp destination-port eq telnet
rule 3000 deny ip
#
interface Ethernet1/0
ip address 172.30.79.6 255.255.255.252
firewall packet-filter 3011 inbound
firewall aspf 1 outbound
#
注意事项:由于目前ASPF对内存和性能的影响较大,网吧应用环境中不建议在AR18
第4页, 共56页
华为3COM网吧网络解决方案之网关配置指导
系列路由器上进行配置。在所有的出报文都需要进行NAT的情况下一般也没有必要配置ASPF。
1.1.2 限制ICMP报文
ICMP 报文是另一种我们需要关心的数据包。大量的攻击和病毒使用ICMP报文作为攻击手段。但实际上internet是使用的ICMP绝大部分是ping和traceroute。大量的其它icmp类型并不使用。因此,实际上我们可以仅允许ICMP 的ping echo 和 ping reply 及traceroute
所需要的TTL 开放。其它的均可以关闭。
例如:
acl number 3001
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
1.1.3 限制netbios协议端口
在现今的网络上,充斥着大量的网络扫描。 基于UDP 137, 138 端口的扫描是常见的扫描,UDP 137和UDP138是netbios 的数据报和名字服务。通常情况下,进入到路由器的137和138包是广播包,而路由器在默认情况下是不转发这些广播包的。但在某些情况下,一些扫描工具扫描UDP 137 和UDP138的端口,以图找出主机上的共享文件夹。这种情况下,进入路由器的数据包会是unicast的137和138,而且通常目的地址不停变化。因此我们可以将这些UDP 138和138的数据包通过ACL 挡断。保护用户和网络的安全。
例如:
acl number 3001
rule 31 deny udp destination-port eq netbios-ns
rule 41 deny udp destination-port eq netbios-dgm
rule 51 deny udp destination-port eq netbios-ssn
第5页, 共56页
华为3COM网吧网络解决方案之网关配置指导
1.1.4 限制常见病毒使用的端口
一般网吧中存在大量的“冲击波”、“震荡波”等病毒,这类病毒会不断地变化源IP或目的IP进行扫描和发送攻击数据,这会极大地消耗网络设备的资源。笔者曾在一个网吧的实际环境中发现56%的上行报文都是“震荡波”病毒的扫描报文。这些病毒一般使用固定的端口,比如TCP/135、TCP/4444、UDP/1434、TCP/5554、TCP/9996等,通过ACL对匹配这些目的端口的报文进行过滤会大大提高网络设备的安全性。
例如:
acl number 3001
rule 10 deny tcp destination-port eq 445 / r
rule 11 deny udp destination-port eq 445 / r
rule 20 deny tcp destination-port eq 135 / r
rule 21 deny udp destination-port eq 135 / r
rule 30 deny tcp destination-port eq 137
rule 40 deny tcp destination-port eq 138
rule 50 deny tcp destination-port eq 139 / r
rule 61 deny udp destination-port eq tftp / r
rule 70 deny tcp destination-port eq 593 / r
rule 80 deny tcp destination-port eq 4444 / r
rule 90 deny tcp destination-port eq 707 /Nachi Blaster-D
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434 /
SQL Slammer
rule 120 deny tcp destination-port eq 5554 /
Sasser
rule 130 deny tcp destination-port eq 9996 /
Sasser
第6页, 共56页
华为3COM网吧网络解决方案之网关配置指导
1.1.5 关闭没有使用的端口
网络中每时每刻都存在大量的扫描报文,扫描软件一般都会先探测目的主机开放了哪些端口。对于常用的应用程序,如www、ftp、tftp等,如果局域网内并没有机器开放这些服务,可以在广域网接口通过ACL对匹配这些目的端口的报文进行过滤。
例如:
acl number 3001
rule 200 deny tcp destination-port eq www
rule 202 deny tcp destination-port eq ftp
rule 204 deny tcp destination-port eq 3389
1.2 NAT配置注意事项
需要使用NAT转换地址池时,应尽量缩小NAT转换地址池的大小,因为地址池越大,占用的内存空间就可能会越大,大的地址池对于内存较小的设备很可能会导致内存耗尽。AR系列路由器上每个NAT转换地址可以支持50000个会话,网吧每台机器正常上网时平均会创建30条会话,因此一般情况下地址池配置1个NAT转换地址就可以满足需求。
建议在AR18系列路由器上配置NAT地址池时只配置1个IP地址。
例如:
nat address-group 1 218.27.192.1 218.27.192.1
1.3 路由配置注意事项
RFC1918中指定的保留的私有地址和其他已知的私有地址不应该存在于现有的internet网络上。可以通过黑洞路由进行过滤。避免局域网中存在攻击时占用大量的快转表项或者NAT表项。
第7页, 共56页
华为3COM网吧网络解决方案之网关配置指导
例如:
ip route-static 10.0.0.0 255.0.0.0 NULL 0 preference 60
ip route-static 169.254.0.0 255.255.0.0 NULL 0 preference 60
ip route-static 172.16.0.0 255.240.0.0 NULL 0 preference 60
ip route-static 192.168.0.0 255.255.0.0 NULL 0 preference 60
ip route-static 198.18.0.0 255.254.0.0 NULL 0 preference 60
1.4 进行IP-MAC地址绑定
由于网吧上网人员比较复杂,可能有人有意或无意地更改IP地址,或者使用网络执法官等软件进行恶意地破坏,通过在网关和客户机上都进行IP-MAC地址绑定(静态ARP),可以有效地防止这类以ARP欺骗为基础的攻击。
在网关上可以通过arp static命令对所有的客户机进行静态ARP设置。
在客户机上可以建立一个批处理文件放到启动组里,批处理文件的内容就是对网关进行IP-MAC绑定,这样每次启动就都会自动进行设置。
客户机设置静态ARP的实例:
@echo off
arp –s 192.168.1.1 00-0f-e2-21-a0-01
1.5 限制P2P应用(根据实际情况可选)
P2P应用对于网吧带宽来说是致命杀手,一个P2P客户端就有可能占用总带宽的90%以上,这会严重影响网吧的其他用户的正常上网,尤其是玩在线游戏的用户。限制P2P应用有多种方式可以选择,但目前还没有非常有效的方法。下面分别介绍几种常用的方法。
1.5.1 通过ACL限制端口
第8页, 共56页
华为3COM网吧网络解决方案之网关配置指导
通过ACL限制端口。一是只限制P2P的端口,开放所有的其他端口,这种方法有其局限性,因为现在有的p2p软件,端口可以改变,封锁后会自动改端口,甚至可以改到80端口,如果连这个也封,那网络使用就无法正常工作了;二是只开放有用的端口,封闭其他端口,这种方法是对网络进行严格的控制,对简单的小型网络还可行,而如果是大型网络,数据流量又很复杂那么管理的难度将非常大;因此这两种方法对网吧都不太适合。
1.5.2 结合QOS和ACL限制端口流量
结合QOS和ACL来限制P2P端口的数据流量。因为多数蠕虫病毒和p2p的端口都是大于3000的,当然也有正常的应用是采用3000以上的端口,如果我们将3000以上的端口封闭,这样正常的应用也无法开展,所以折中的方法是对端口3000以上的数据流进行限速。在实际应用中可能需要根据实际情况更改端口号的范围以使对其他应用的影响降低到最小。
例如:
在广域网接口和QOS结合使用的ACL。
acl number 3100
rule 1000 permit tcp destination-port gt 3000
rule 1010 permit udp destination-port gt 3000
在广域网接口配置的QOS。
#
traffic classifier p2pin operator or
if-match acl 3100
#
traffic behavior p2pin
car cir 2048000 cbs 1024000 ebs 0 green pass red discard
#
qos policy p2pin
classifier p2pin behavior p2pin
第9页, 共56页
华为3COM网吧网络解决方案之网关配置指导
#
interface Ethernet1/0
ip address 162.1.1.2 255.255.255.252
qos apply policy p2pin inbound
#
在局域网接口和QOS结合使用的ACL。
acl number 3300
rule 1000 permit tcp source-port gt 3000
rule 1010 permit udp source-port gt 3000
在局域网接口配置的QOS。
#
traffic classifier p2pout operator or
if-match acl 3300
#
traffic behavior p2pout
car cir 2048000 cbs 1024000 ebs 0 green pass red discard
#
qos policy p2pout
classifier p2pout behavior p2pout
#
interface Ethernet3/0
ip address 192.168.1.1 255.255.255.0
qos apply policy p2pout inbound
#
第10页, 共56页
华为3COM网吧网络解决方案之网关配置指导
1.5.3 限制单机的NAT会话数
以后的VRP软件会支持NAT的单用户限制,即可以对做地址转换的单个IP限制其NAT的TCP连接数,因为P2P类软件如BT的一大特点就是同时会有很多的连接数,从而占用了大量的NAT表项,因此应用该方法可有效限制BT的使用,比如我们为IP 192.168.1.2设置最大的NAT表项数为100;正常的网络访问肯定够用了,但如果使用BT,那么很快此IP的NAT表项数会达到100,一旦达到峰值,该IP的其他访问就无法再进行NAT转换,必须等到部分NAT表项失效后,才能再次使用,这样既有效的保护了网络的带宽,也达到了警示的作用。
1.5.4 在客户机上通过软件限制
在客户机上通过软件设置来禁止使用P2P软件。有很多网吧管理软件可以根据需要禁止各种软件的运行,建议需要禁止P2P应用的网吧采用这种方式。
以上我们总结了目前可用的限制P2P软件的一些方法,具体采用哪种方法只能根据具体网络的状况来定,当然也可以将几种方法结合起来使用。
2 附:限制常见P2P软件端口的ACL
acl number 3100
rule 1000 deny tcp destination-port eq 2710
rule 1010 deny tcp destination-port eq 6969
rule 1020 deny tcp destination-port range 8881 8999
rule 1030 deny tcp destination-port eq 10137
rule 1040 deny tcp destination-port eq 16881
rule 1050 deny tcp destination-port range 4661 4662
rule 1060 deny udp destination-port eq 4665
rule 1070 deny udp destination-port eq 4672
第11页, 共56页
华为3COM网吧网络解决方案之网关配置指导
第二部分 典型配置实例
1 单出口典型配置
这类网吧只有一个到ISP的出口,是最常见的一种情况,网络拓扑比较简单,下面根据局域网内的主机地址是私网IP地址还是公网IP地址分为两种情况举例。
1.1 局域网内的主机地址是私网IP地址
网络拓扑图如图1所示,AR18-22-24通过142.1.1.0/30网段和ISP相连,局域网内的IP地址段是192.168.1.0/24,局域网内的主机上网需要通过AR18-22-24进行NAT转换。
ISP
142.1.1.2/30
AR18-22-24
192.168.1.1/24
图1 单出口需要进行NAT转换拓扑图
[Quidway] display current-configuration
#
第12页, 共56页
华为3COM网吧网络解决方案之网关配置指导
sysname Quidway
#
clock summer-time BJ repeating 00:00:00 06/01/2000 23:59:59 08/31/2000 01:00:00
#
clock timezone Peking add 08:00:00
#
FTP server enable
#
firewall enable
#
flow-interval 5
#
web set-package force flash:/
#
radius scheme system
#
domain system
#
local-user admin
password cipher .]@USE=B,53Q=^Q`MAF4<1!!
service-type telnet terminal
level 3
service-type ftp
#
# 配置进行NAT转换时引用的ACL。
第13页, 共56页
华为3COM网吧网络解决方案之网关配置指导
acl number 2001
rule 10 permit source 192.168.1.0 0.0.0.255
#
# 配置在接口上应用的过滤规则,主要用于攻击防范,强烈建议配置。
acl number 3001
rule 10 deny tcp destination-port eq 445
rule 11 deny udp destination-port eq 445
rule 20 deny tcp destination-port eq 135
rule 21 deny udp destination-port eq 135
rule 30 deny tcp destination-port eq 137
rule 31 deny udp destination-port eq netbios-ns
rule 40 deny tcp destination-port eq 138
rule 41 deny udp destination-port eq netbios-dgm
rule 50 deny tcp destination-port eq 139
rule 51 deny udp destination-port eq netbios-ssn
rule 61 deny udp destination-port eq tftp
rule 70 deny tcp destination-port eq 593
rule 80 deny tcp destination-port eq 4444
rule 90 deny tcp destination-port eq 707
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434
rule 120 deny tcp destination-port eq 5554
rule 130 deny tcp destination-port eq 9996
第14页, 共56页
华为3COM网吧网络解决方案之网关配置指导
rule 141 deny udp source-port eq bootps
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
rule 2002 permit ip destination 142.1.1.2 0
rule 3000 deny ip
acl number 3003
rule 10 deny tcp destination-port eq 445
rule 11 deny udp destination-port eq 445
rule 20 deny tcp destination-port eq 135
rule 21 deny udp destination-port eq 135
rule 30 deny tcp destination-port eq 137
rule 31 deny udp destination-port eq netbios-ns
rule 40 deny tcp destination-port eq 138
rule 41 deny udp destination-port eq netbios-dgm
rule 50 deny tcp destination-port eq 139
rule 51 deny udp destination-port eq netbios-ssn
rule 61 deny udp destination-port eq tftp
rule 70 deny tcp destination-port eq 593
rule 80 deny tcp destination-port eq 4444
rule 90 deny tcp destination-port eq 707
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434
rule 120 deny tcp destination-port eq 5554
第15页, 共56页
华为3COM网吧网络解决方案之网关配置指导
rule 130 deny tcp destination-port eq 9996
rule 141 deny udp source-port eq bootps
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
rule 2010 deny ip source 192.168.1.1 0
rule 2030 permit ip source 192.168.1.0 0.0.0.255
rule 3000 deny ip
#
# 配置广域网接口E1/0,对入报文进行过滤(所有出报文均需要做NAT时可以不对入报文进行过滤),对出报文进行NAT。
interface Ethernet1/0
ip address 142.1.1.2 255.255.255.252
firewall packet-filter 3001 inbound
nat outbound 2001
#
interface Ethernet2/0
#
# 配置局域网接口E3/0,对入报文进行过滤。
interface Ethernet3/0
ip address 192.168.1.1 255.255.255.0
firewall packet-filter 3003 inbound
第16页, 共56页
华为3COM网吧网络解决方案之网关配置指导
#
interface Ethernet3/1
#
interface Ethernet3/2
#
interface Ethernet3/3
#
interface Ethernet3/4
#
interface Ethernet3/5
#
interface Ethernet3/6
#
interface Ethernet3/7
#
interface Ethernet3/8
#
interface Ethernet3/9
#
interface Ethernet3/10
#
interface Ethernet3/11
#
interface Ethernet3/12
#
interface Ethernet3/13
#
第17页, 共56页
华为3COM网吧网络解决方案之网关配置指导
interface Ethernet3/14
#
interface Ethernet3/15
#
interface Ethernet3/16
#
interface Ethernet3/17
#
interface Ethernet3/18
#
interface Ethernet3/19
#
interface Ethernet3/20
#
interface Ethernet3/21
#
interface Ethernet3/22
#
interface Ethernet3/23
#
interface Ethernet3/24
#
interface NULL0
#
# 配置缺省路由和黑洞路由。
第18页, 共56页
华为3COM网吧网络解决方案之网关配置指导
ip route-static 0.0.0.0 0.0.0.0 142.1.1.1 preference 60
ip route-static 10.0.0.0 255.0.0.0 NULL 0 preference 60
ip route-static 169.254.0.0 255.255.0.0 NULL 0 preference 60
ip route-static 172.16.0.0 255.240.0.0 NULL 0 preference 60
ip route-static 192.168.0.0 255.255.0.0 NULL 0 preference 60
ip route-static 198.18.0.0 255.254.0.0 NULL 0 preference 60
#
user-interface con 0
user-interface vty 0 4
authentication-mode scheme
#
return
1.2 局域网内的主机地址是公网IP地址
网络拓扑图如图2所示,AR18-22-24通过142.1.1.0/30网段和ISP相连,局域网内的IP地址段是218.168.1.0/24,局域网内的主机上网只需要在AR18-22-24上设置路由。
第19页, 共56页
华为3COM网吧网络解决方案之网关配置指导
ISP
142.1.1.2/30
AR18-22-24
218.168.1.1/24
图2 单出口不需要进行NAT转换拓扑图
[Quidway]display current-configuration
#
sysname Quidway
#
clock summer-time BJ repeating 00:00:00 06/01/2000 23:59:59 08/31/2000 01:00:00
#
clock timezone Peking add 08:00:00
#
FTP server enable
#
firewall enable
#
第20页, 共56页
华为3COM网吧网络解决方案之网关配置指导
flow-interval 5
#
web set-package force flash:/
#
radius scheme system
#
domain system
#
local-user admin
password cipher .]@USE=B,53Q=^Q`MAF4<1!!
service-type telnet terminal
level 3
service-type ftp
#
# 配置在接口上应用的过滤规则,主要用于攻击防范,强烈建议配置。
acl number 3001
rule 10 deny tcp destination-port eq 445
rule 11 deny udp destination-port eq 445
rule 20 deny tcp destination-port eq 135
rule 21 deny udp destination-port eq 135
rule 30 deny tcp destination-port eq 137
rule 31 deny udp destination-port eq netbios-ns
rule 40 deny tcp destination-port eq 138
rule 41 deny udp destination-port eq netbios-dgm
rule 50 deny tcp destination-port eq 139
第21页, 共56页
华为3COM网吧网络解决方案之网关配置指导
rule 51 deny udp destination-port eq netbios-ssn
rule 61 deny udp destination-port eq tftp
rule 70 deny tcp destination-port eq 593
rule 80 deny tcp destination-port eq 4444
rule 90 deny tcp destination-port eq 707
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434
rule 120 deny tcp destination-port eq 5554
rule 130 deny tcp destination-port eq 9996
rule 141 deny udp source-port eq bootps
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
rule 200 deny tcp destination-port eq www
rule 202 deny tcp destination-port eq ftp
rule 204 deny tcp destination-port eq 3389
rule 2001 permit ip destination 218.168.1.0 0.0.0.255
rule 2002 permit ip destination 142.1.1.2 0
rule 3000 deny ip
acl number 3003
rule 10 deny tcp destination-port eq 445
rule 11 deny udp destination-port eq 445
rule 20 deny tcp destination-port eq 135
rule 21 deny udp destination-port eq 135
第22页, 共56页
华为3COM网吧网络解决方案之网关配置指导
rule 30 deny tcp destination-port eq 137
rule 31 deny udp destination-port eq netbios-ns
rule 40 deny tcp destination-port eq 138
rule 41 deny udp destination-port eq netbios-dgm
rule 50 deny tcp destination-port eq 139
rule 51 deny udp destination-port eq netbios-ssn
rule 61 deny udp destination-port eq tftp
rule 70 deny tcp destination-port eq 593
rule 80 deny tcp destination-port eq 4444
rule 90 deny tcp destination-port eq 707
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434
rule 120 deny tcp destination-port eq 5554
rule 130 deny tcp destination-port eq 9996
rule 141 deny udp source-port eq bootps
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
rule 2010 deny ip source 218.168.1.1 0
rule 2030 permit ip source 218.168.1.0 0.0.0.255
rule 3000 deny ip
#
# 配置广域网接口E1/0,对入报文进行过滤。
第23页, 共56页
华为3COM网吧网络解决方案之网关配置指导
interface Ethernet1/0
ip address 142.1.1.2 255.255.255.252
firewall packet-filter 3001 inbound
#
interface Ethernet2/0
#
# 配置局域网接口E3/0,对入报文进行过滤
interface Ethernet3/0
ip address 218.168.1.1 255.255.255.0
firewall packet-filter 3003 inbound
#
interface Ethernet3/1
#
interface Ethernet3/2
#
interface Ethernet3/3
#
interface Ethernet3/4
#
interface Ethernet3/5
#
interface Ethernet3/6
#
interface Ethernet3/7
第24页, 共56页
华为3COM网吧网络解决方案之网关配置指导
#
interface Ethernet3/8
#
interface Ethernet3/9
#
interface Ethernet3/10
#
interface Ethernet3/11
#
interface Ethernet3/12
#
interface Ethernet3/13
#
interface Ethernet3/14
#
interface Ethernet3/15
#
interface Ethernet3/16
#
interface Ethernet3/17
#
interface Ethernet3/18
#
interface Ethernet3/19
#
interface Ethernet3/20
#
第25页, 共56页
华为3COM网吧网络解决方案之网关配置指导
interface Ethernet3/21
#
interface Ethernet3/22
#
interface Ethernet3/23
#
interface Ethernet3/24
#
interface NULL0
#
# 配置缺省路由和黑洞路由。
ip route-static 0.0.0.0 0.0.0.0 142.1.1.1 preference 60
ip route-static 10.0.0.0 255.0.0.0 NULL 0 preference 60
ip route-static 169.254.0.0 255.255.0.0 NULL 0 preference 60
ip route-static 172.16.0.0 255.240.0.0 NULL 0 preference 60
ip route-static 192.168.0.0 255.255.0.0 NULL 0 preference 60
ip route-static 198.18.0.0 255.254.0.0 NULL 0 preference 60
#
user-interface con 0
user-interface vty 0 4
authentication-mode scheme
#
return
第26页, 共56页
华为3COM网吧网络解决方案之网关配置指导
2 双出口链路备份典型配置
双出口进行主备备份在一般出现在到一个ISP有两条链路,一条带宽比较宽,一条带宽比较低的情况下。下面就两种常见的组网给出配置实例。
2.1 两条链路都是以太网链路的情况
网络拓扑图如图3所示,AR18-22-24有两条到ISP的链路,E1/0为主用链路,网络地址为142.1.1.0/30,E2/0为备用链路,网络地址为162.1.1.0/30。正常工作时所有的流量通过主用链路E1/0发送,当主用链路出现异常时设备会自动切换到备用链路,主用链路恢复后会自动重新启用。
ISP
142.1.1.1/30
ISP
162.1.1.1/30
142.1.1.2/30 162.1.1.2/30
AR18-22-24
192.168.1.1/24
图3 双以太网链路主备备份拓扑图
[Quidway]display current-configuration
#
第27页, 共56页
华为3COM网吧网络解决方案之网关配置指导
sysname Quidway
#
clock summer-time BJ repeating 00:00:00 06/01/2000 23:59:59 08/31/2000 01:00:00
#
clock timezone Peking add 08:00:00
#
FTP server enable
#
firewall enable
#
flow-interval 5
#
web set-package force flash:/
#
radius scheme system
#
domain system
#
local-user admin
password cipher .]@USE=B,53Q=^Q`MAF4<1!!
service-type telnet terminal
level 3
service-type ftp
#
# 配置自动侦测组1,侦测主用链路的对端地址是否可达,侦测间隔为5s。
第28页, 共56页
华为3COM网吧网络解决方案之网关配置指导
detect-group 1
detect-list 1 ip address 142.1.1.1
timer loop 5
#
# 配置接口应用NAT时引用的ACL。
acl number 2001
rule 10 permit source 192.168.1.0 0.0.0.255
#
# 配置在接口上应用的过滤规则,主要用于攻击防范,强烈建议配置。
acl number 3001
rule 10 deny tcp destination-port eq 445
rule 11 deny udp destination-port eq 445
rule 20 deny tcp destination-port eq 135
rule 21 deny udp destination-port eq 135
rule 30 deny tcp destination-port eq 137
rule 31 deny udp destination-port eq netbios-ns
rule 40 deny tcp destination-port eq 138
rule 41 deny udp destination-port eq netbios-dgm
rule 50 deny tcp destination-port eq 139
rule 51 deny udp destination-port eq netbios-ssn
rule 61 deny udp destination-port eq tftp
rule 70 deny tcp destination-port eq 593
rule 80 deny tcp destination-port eq 4444
第29页, 共56页
华为3COM网吧网络解决方案之网关配置指导
rule 90 deny tcp destination-port eq 707
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434
rule 120 deny tcp destination-port eq 5554
rule 130 deny tcp destination-port eq 9996
rule 141 deny udp source-port eq bootps
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
rule 2002 permit ip destination 142.1.1.2 0
rule 3000 deny ip
acl number 3002
rule 10 deny tcp destination-port eq 445
rule 11 deny udp destination-port eq 445
rule 20 deny tcp destination-port eq 135
rule 21 deny udp destination-port eq 135
rule 30 deny tcp destination-port eq 137
rule 31 deny udp destination-port eq netbios-ns
rule 40 deny tcp destination-port eq 138
rule 41 deny udp destination-port eq netbios-dgm
rule 50 deny tcp destination-port eq 139
rule 51 deny udp destination-port eq netbios-ssn
rule 61 deny udp destination-port eq tftp
rule 70 deny tcp destination-port eq 593
第30页, 共56页
华为3COM网吧网络解决方案之网关配置指导
rule 80 deny tcp destination-port eq 4444
rule 90 deny tcp destination-port eq 707
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434
rule 120 deny tcp destination-port eq 5554
rule 130 deny tcp destination-port eq 9996
rule 141 deny udp source-port eq bootps
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
rule 2002 permit ip destination 162.1.1.2 0
rule 3000 deny ip
acl number 3003
rule 10 deny tcp destination-port eq 445
rule 11 deny udp destination-port eq 445
rule 20 deny tcp destination-port eq 135
rule 21 deny udp destination-port eq 135
rule 30 deny tcp destination-port eq 137
rule 31 deny udp destination-port eq netbios-ns
rule 40 deny tcp destination-port eq 138
rule 41 deny udp destination-port eq netbios-dgm
rule 50 deny tcp destination-port eq 139
rule 51 deny udp destination-port eq netbios-ssn
rule 61 deny udp destination-port eq tftp
第31页, 共56页
华为3COM网吧网络解决方案之网关配置指导
rule 70 deny tcp destination-port eq 593
rule 80 deny tcp destination-port eq 4444
rule 90 deny tcp destination-port eq 707
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434
rule 120 deny tcp destination-port eq 5554
rule 130 deny tcp destination-port eq 9996
rule 141 deny udp source-port eq bootps
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
rule 2010 deny ip source 192.168.1.1 0
rule 2030 permit ip source 192.168.1.0 0.0.0.255
rule 3000 deny ip
#
# 配置广域网接口E1/0,对入报文进行过滤(所有出报文均需要做NAT时可以不对入报文进行过滤),对出报文进行NAT。
interface Ethernet1/0
ip address 142.1.1.2 255.255.255.252
firewall packet-filter 3001 inbound
nat outbound 2001
#
第32页, 共56页
华为3COM网吧网络解决方案之网关配置指导
# 配置广域网接口E2/0,做为主接口E1/0的备份,对入报文进行过滤(所有出报文均需要做NAT时可以不对入报文进行过滤),对出报文进行NAT。
interface Ethernet2/0
standby detect-group 1
ip address 162.1.1.2 255.255.255.252
firewall packet-filter 3002 inbound
nat outbound 2001
#
# 配置局域网接口E3/0,对入报文进行过滤。
interface Ethernet3/0
ip address 192.168.1.1 255.255.255.0
firewall packet-filter 3003 inbound
#
interface Ethernet3/1
#
interface Ethernet3/2
#
interface Ethernet3/3
#
interface Ethernet3/4
#
interface Ethernet3/5
#
第33页, 共56页
华为3COM网吧网络解决方案之网关配置指导
interface Ethernet3/6
#
interface Ethernet3/7
#
interface Ethernet3/8
#
interface Ethernet3/9
#
interface Ethernet3/10
#
interface Ethernet3/11
#
interface Ethernet3/12
#
interface Ethernet3/13
#
interface Ethernet3/14
#
interface Ethernet3/15
#
interface Ethernet3/16
#
interface Ethernet3/17
#
interface Ethernet3/18
#
interface Ethernet3/19
第34页, 共56页
华为3COM网吧网络解决方案之网关配置指导
#
interface Ethernet3/20
#
interface Ethernet3/21
#
interface Ethernet3/22
#
interface Ethernet3/23
#
interface Ethernet3/24
#
interface NULL0
#
# 配置缺省路由和黑洞路由。通过主接口的缺省路由和自动侦测组1相关联。当自动侦测组# 1可达时,备份接口down,主接口的缺省路由生效,当自动侦测组1不可达时,主接口# 的缺省路由失效,备份接口启用,备份接口的缺省路由生效。
ip route-static 0.0.0.0 0.0.0.0 162.1.1.1 preference 60
ip route-static 0.0.0.0 0.0.0.0 142.1.1.1 preference 60 detect-group 1
ip route-static 10.0.0.0 255.0.0.0 NULL 0 preference 60
ip route-static 169.254.0.0 255.255.0.0 NULL 0 preference 60
ip route-static 172.16.0.0 255.240.0.0 NULL 0 preference 60
ip route-static 192.168.0.0 255.255.0.0 NULL 0 preference 60
ip route-static 198.18.0.0 255.254.0.0 NULL 0 preference 60
#
user-interface con 0
第35页, 共56页
华为3COM网吧网络解决方案之网关配置指导
user-interface vty 0 4
authentication-mode scheme
#
return
2.2 两条链路是以太网链路+PPPOE链路的情况
网络拓扑图如图4所示,AR18-22-24有两条到ISP的链路,E1/0为主用链路,网络地址为142.1.1.0/30;ETH2/0连接ADSL modem通过PPPOE方式连接ISP,Dialer0做备用链路。正常工作时所有的流量通过主用链路E1/0发送,当主用链路出现异常时,设备会自动发起PPPOE拨号,流量切换到备用链路,主用链路恢复后会自动重新启用。主链路启用60秒后PPPOE连接会自动挂断。
ISP
142.1.1.1/30
ISP
162.1.1.1/30
142.1.1.2/30 Dialer0
AR18-22-24
192.168.1.1/24
图4 以太网链路+PPPOE链路进行主备备份拓扑图
第36页, 共56页
华为3COM网吧网络解决方案之网关配置指导
[Quidway]display current-configuration
#
sysname Quidway
#
clock summer-time BJ repeating 00:00:00 06/01/2000 23:59:59 08/31/2000 01:00:00
#
clock timezone Peking add 08:00:00
#
FTP server enable
#
firewall enable
#
flow-interval 5
dialer-rule 1 ip permit
#
web set-package force flash:/
#
radius scheme system
#
domain system
#
local-user admin
password cipher .]@USE=B,53Q=^Q`MAF4<1!!
service-type telnet terminal
level 3
service-type ftp
#
第37页, 共56页
华为3COM网吧网络解决方案之网关配置指导
# 配置自动侦测组1,侦测主用链路的对端地址是否可达,侦测间隔为5s。
detect-group 1
detect-list 1 ip address 142.1.1.1
timer loop 5
#
# 配置接口应用NAT时引用的ACL。
acl number 2001
rule 10 permit source 192.168.1.0 0.0.0.255
#
# 配置在接口上应用的过滤规则,主要用于攻击防范,强烈建议配置。
acl number 3001
rule 10 deny tcp destination-port eq 445
rule 11 deny udp destination-port eq 445
rule 20 deny tcp destination-port eq 135
rule 21 deny udp destination-port eq 135
rule 30 deny tcp destination-port eq 137
rule 31 deny udp destination-port eq netbios-ns
rule 40 deny tcp destination-port eq 138
rule 41 deny udp destination-port eq netbios-dgm
rule 50 deny tcp destination-port eq 139
rule 51 deny udp destination-port eq netbios-ssn
第38页, 共56页
华为3COM网吧网络解决方案之网关配置指导
rule 61 deny udp destination-port eq tftp
rule 70 deny tcp destination-port eq 593
rule 80 deny tcp destination-port eq 4444
rule 90 deny tcp destination-port eq 707
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434
rule 120 deny tcp destination-port eq 5554
rule 130 deny tcp destination-port eq 9996
rule 141 deny udp source-port eq bootps
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
rule 2002 permit ip destination 142.1.1.2 0
rule 3000 deny ip
acl number 3002
rule 10 deny tcp destination-port eq 445
rule 11 deny udp destination-port eq 445
rule 20 deny tcp destination-port eq 135
rule 21 deny udp destination-port eq 135
rule 30 deny tcp destination-port eq 137
rule 31 deny udp destination-port eq netbios-ns
rule 40 deny tcp destination-port eq 138
rule 41 deny udp destination-port eq netbios-dgm
rule 50 deny tcp destination-port eq 139
第39页, 共56页
华为3COM网吧网络解决方案之网关配置指导
rule 51 deny udp destination-port eq netbios-ssn
rule 61 deny udp destination-port eq tftp
rule 70 deny tcp destination-port eq 593
rule 80 deny tcp destination-port eq 4444
rule 90 deny tcp destination-port eq 707
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434
rule 120 deny tcp destination-port eq 5554
rule 130 deny tcp destination-port eq 9996
rule 141 deny udp source-port eq bootps
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
rule 2000 permit ip
acl number 3003
rule 10 deny tcp destination-port eq 445
rule 11 deny udp destination-port eq 445
rule 20 deny tcp destination-port eq 135
rule 21 deny udp destination-port eq 135
rule 30 deny tcp destination-port eq 137
rule 31 deny udp destination-port eq netbios-ns
rule 40 deny tcp destination-port eq 138
rule 41 deny udp destination-port eq netbios-dgm
rule 50 deny tcp destination-port eq 139
第40页, 共56页
华为3COM网吧网络解决方案之网关配置指导
rule 51 deny udp destination-port eq netbios-ssn
rule 61 deny udp destination-port eq tftp
rule 70 deny tcp destination-port eq 593
rule 80 deny tcp destination-port eq 4444
rule 90 deny tcp destination-port eq 707
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434
rule 120 deny tcp destination-port eq 5554
rule 130 deny tcp destination-port eq 9996
rule 141 deny udp source-port eq bootps
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
rule 2010 deny ip source 192.168.1.1 0
rule 2030 permit ip source 192.168.1.0 0.0.0.255
rule 3000 deny ip
#
# 配置广域网接口Dialer0,拨号的用户名和口令均为test,对入报文进行过滤(所有出报文均需要做NAT时可以不对入报文进行过滤),对出报文进行NAT。
interface Dialer0
link-protocol ppp
ppp pap local-user test password simple test
第41页, 共56页
华为3COM网吧网络解决方案之网关配置指导
ip address ppp-negotiate
dialer user test
dialer-group 1
dialer bundle 1
nat outbound 2001
firewall packet-filter 3002 inbound
#
# 配置广域网接口E1/0,对入报文进行过滤(所有出报文均需要做NAT时可以不对入报文进行过滤),对出报文进行NAT。
interface Ethernet1/0
ip address 142.1.1.2 255.255.255.252
firewall packet-filter 3001 inbound
nat outbound 2001
#
# 配置广域网接口E2/0,做为拨号接口,链路空闲60秒钟后自动切断。
interface Ethernet2/0
pppoe-client dial-bundle-number 1 idle-timeout 60
#
# 配置局域网接口E3/0,对入报文进行过滤。
interface Ethernet3/0
ip address 192.168.1.1 255.255.255.0
第42页, 共56页
华为3COM网吧网络解决方案之网关配置指导
firewall packet-filter 3003 inbound
#
interface Ethernet3/1
#
interface Ethernet3/2
#
interface Ethernet3/3
#
interface Ethernet3/4
#
interface Ethernet3/5
#
interface Ethernet3/6
#
interface Ethernet3/7
#
interface Ethernet3/8
#
interface Ethernet3/9
#
interface Ethernet3/10
#
interface Ethernet3/11
#
interface Ethernet3/12
#
interface Ethernet3/13
第43页, 共56页
华为3COM网吧网络解决方案之网关配置指导
#
interface Ethernet3/14
#
interface Ethernet3/15
#
interface Ethernet3/16
#
interface Ethernet3/17
#
interface Ethernet3/18
#
interface Ethernet3/19
#
interface Ethernet3/20
#
interface Ethernet3/21
#
interface Ethernet3/22
#
interface Ethernet3/23
#
interface Ethernet3/24
#
interface NULL0
#
# 配置缺省路由和黑洞路由。通过主接口的缺省路由和自动侦测组1相关联。当自动侦测
第44页, 共56页
华为3COM网吧网络解决方案之网关配置指导
组1可达时,主接口的缺省路由生效,当自动侦测组1不可达时,主接口的缺省路由失效,备份接口启用,备份接口的缺省路由生效。
ip route-static 0.0.0.0 0.0.0.0 Dialer 0 preference 100
ip route-static 0.0.0.0 0.0.0.0 142.1.1.1 preference 60 detect-group 1
ip route-static 10.0.0.0 255.0.0.0 NULL 0 preference 60
ip route-static 169.254.0.0 255.255.0.0 NULL 0 preference 60
ip route-static 172.16.0.0 255.240.0.0 NULL 0 preference 60
ip route-static 192.168.0.0 255.255.0.0 NULL 0 preference 60
ip route-static 198.18.0.0 255.254.0.0 NULL 0 preference 60
#
user-interface con 0
user-interface vty 0 4
authentication-mode scheme
#
return
3 双出口同时实现负载分担和链路备份典型配置
这是目前新建网络中最流行的组网方式,通过申请到两个ISP的两条线路(一般情况是一条到电信,一条到网通),配置路由使客户机访问电信服务器走电信链路,访问网通的服务器走网通链路,可以大大提高很多网络应用的访问速度,同时两条链路互为备份,也提高了网络的可靠性。
网络拓扑图如图5所示:AR18-22-24以太网口ETH1/0连接到ISP1,网络地址为142.1.1.0/30,以太网口ETH2/0连接到ISP2,网络地址为162.1.1.0/30;以太网口ETH3/0连接到局域网,局域网内既有ISP1的公网IP,网络地址为218.247.28.0/24,又有私网IP,网络地址为192.168.1.0/24。ISP2为用户分配了一段公网IP,IP地址段为220.231.48.64/26,其中220.231.48.66用来做NAT转换地址池地址。
局域网用户上网的时候公网IP用户通过ISP1接口出去的时候直接走三层路由,通过ISP2接口
第45页, 共56页
华为3COM网吧网络解决方案之网关配置指导
出去的时候进行NAT转换;私网IP用户通过AR18-22-24进行NAT转换后访问Internet,在两条上行链路都正常工作时二者进行负载分担、互为备份;当其中一条链路出现异常时,网络流量会自动切换到另一条链路。
由于通过一个ISP的网络访问另外一个ISP的网络时延一般较大,因此可以在AR18-22-24上设置了静态路由,当报文的目的IP地址是ISP2网络中的地址时会通过ISP2的接口转发,其余的报文会根据缺省路由通过ISP1的接口转发,这样就根据目的IP确保了提供最快的访问速度。
ISP1
142.1.1.1/30
ISP2
162.1.1.1/30
142.1.1.2/30 162.1.1.2/30
AR18-22-24
218.247.28.1/24
192.168.1.1/24 sub
图5 双出口同时实现负载分担和链路备份拓扑图
[Quidway]display current-configuration
#
sysname Quidway
第46页, 共56页
华为3COM网吧网络解决方案之网关配置指导
#
clock summer-time BJ repeating 00:00:00 06/01/2000 23:59:59 08/31/2000 01:00:00
#
clock timezone Peking add 08:00:00
#
FTP server enable
#
firewall enable
#
# 配置2个地址转换用地址池,分别用于到ISP1和ISP2的两个接口。
nat address-group 1 218.247.28.243 218.247.28.243
nat address-group 2 220.231.48.66 220.231.48.66
#
flow-interval 5
#
web set-package force flash:/
#
radius scheme system
#
domain system
#
local-user admin
password cipher .]@USE=B,53Q=^Q`MAF4<1!!
service-type telnet terminal
level 3
service-type ftp
第47页, 共56页
华为3COM网吧网络解决方案之网关配置指导
#
# 配置自动侦测组1,侦测的IP地址为到ISP1的网关142.1.1.1,侦测间隔为5s。
detect-group 1
detect-list 1 ip address 142.1.1.1
timer loop 5
#
# 配置自动侦测组2,侦测的IP地址为到ISP2的网关162.1.1.1,侦测间隔为5s。
detect-group 2
detect-list 1 ip address 162.1.1.1
timer loop 5
#
# 配置接口启用NAT时所引用的ACL。
acl number 2001
rule 10 permit source 192.168.1.0 0.0.0.255
acl number 2002
rule 10 permit source 192.168.1.0 0.0.0.255
rule 20 permit source 218.247.28.0 0.0.0.255
#
# 配置在接口上应用的过滤规则,主要用于攻击防范,强烈建议配置。
acl number 3001
第48页, 共56页
华为3COM网吧网络解决方案之网关配置指导
rule 10 deny tcp destination-port eq 445
rule 11 deny udp destination-port eq 445
rule 20 deny tcp destination-port eq 135
rule 21 deny udp destination-port eq 135
rule 30 deny tcp destination-port eq 137
rule 31 deny udp destination-port eq netbios-ns
rule 40 deny tcp destination-port eq 138
rule 41 deny udp destination-port eq netbios-dgm
rule 50 deny tcp destination-port eq 139
rule 51 deny udp destination-port eq netbios-ssn
rule 61 deny udp destination-port eq tftp
rule 70 deny tcp destination-port eq 593
rule 80 deny tcp destination-port eq 4444
rule 90 deny tcp destination-port eq 707
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434
rule 120 deny tcp destination-port eq 5554
rule 130 deny tcp destination-port eq 9996
rule 141 deny udp source-port eq bootps
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
rule 200 deny tcp destination-port eq www
rule 202 deny tcp destination-port eq ftp
第49页, 共56页