1、第5章 路由器安全配置,学习目标,了解PPP的建立过程、认证方式和作用; 掌握路由器的PAP和CHAP认证配置; 清楚MD5加密的原理 掌握RIP和OSPF的MD5认证配置方法; 领会网络地址转换的原理 掌握静态地址转换和动态地址转换的配置; 清楚访问控制列表在网络安全中的重要性 知道各种控制列表的作用、应用场合及配置方法。,学习内容,5.1 PPP协议简介 5.2 MD5认证技术 5.3 网络地址转换 5.4 访问控制列表,5.1 PPP协议简介,5.1 PPP协议简介,PPP链路建立过程 PPP(Point-to-Point Protocol点到点协议)是为在同等单元之间传输数据包这样的简
2、单链路设计的链路层协议。这种链路提供全双工操作,并按照顺序传递数据包。设计目的主要是用来通过拨号或专线方式建立点对点连接发送数据,使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。,5.1 PPP协议简介,PPP体系结构 NCP用于区分上层协议 LCP用于维护链路相关信息,5.1 PPP协议简介,PPP认证流程,5.1 PPP协议简介,PAP认证 PAP认证是简单的明文认证,中国大陆的ADSL就是使用的PAP认证,此处所示为单向的PAP认证,5.1 PPP协议简介,PAP配置示例,5.1 PPP协议简介,CHAP认证 CHAP认证是加密认证,更加安全,此处所示为单向的CHAP认证
3、,5.1 PPP协议简介,CHAP配置示例,5.1 PPP协议简介,实训5-1:配置PAP认证 实训5-2:配置CHAP认证,5.2 MD5认证技术,5.2 MD5认证技术,MD5介绍 MD5的全称是Message-Digest Algorithm 5,在90年代初由MIT的计算机科学实训室和RSA Data Security Inc发明,经MD2、MD3和MD4发展而来。 MD5将任意长度的“字节串”变换成一个128bit的大整数,并且它是一个不可逆的字符串变换算法,换句话说就是,即使你看到源程序和算法描述,也无法将一个MD5的值变换回原始的字符串,从数学原理上说,是因为原始的字符串有无穷多
4、个,这有点象不存在反函数的数学函数。,5.2 MD5认证技术,RIP的MD5认证配置 配置密钥链 Router(config)#key chain name 配置密钥ID Router(config-keychain)#key key-id 配置密钥 Router(config-keychian-key)#key-string key 配置验证方式 Router(config-if)#ip rip authentication mode text | md5 配置验证使用的密钥链 Router(config-if)#ip rip authentication key-chain name,5.
5、2 MD5认证技术,RIP的MD5认证配置案例,5.2 MD5认证技术,配置OSPF的md5验证 配置区域验证类型 Router(config-router)#area area-id authentication message-digest 配置接口验证类型 Router(config-if)#ip ospf authentication message-digest | null 配置明文验证密钥 Router(config-if)#ip ospf authentication-key key 配置MD5验证密钥 Router(config-if)#ip ospf message-dig
6、est-key key-id md5 key,5.2 MD5认证技术,OSPF的MD5认证配置案例,5.2 MD5认证技术,实训5-3:配置RIP路由的MD5认证 实训5-4:OSPF邻居明文认证配置 实训5-5:OSPF的MD5认证配置,5.3 网络地址转换,5.3 网络地址转换,NAT概念 NAT英文全称是“Network Address Translation”,中文意思是“网络地址转换”,它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准,允许一个整体机构以一个公用IP(Internet Protocol)地址出现在In
7、ternet上。 它是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。 NAT的典型应用是将使用私有IP地址(RFC 1918)的园区网络连接到Internet,5.3 网络地址转换,NAT术语 内部本地IP地址 内部全局IP地址 外部全局IP地址 外部本地IP地址,5.3 网络地址转换,NAT类型 静态NAT 按照一一对应的方式将每个内部IP地址转换为一个外部IP地址,这种方式经常用于企业网的内部设备需要能够被外部网络访问到时。,5.3 网络地址转换,NAT类型 动态NAT 将一个内部IP地址转换为一组外部IP地址(地址池)中的一个IP地址。,5.3 网络地址转换,NAT类型
8、 超载(Overloading)NAT 动态NAT的一种实现形式,利用不同端口号将多个内部IP地址转换为一个外部IP地址,也称为PAT、NAPT或端口复用NAT。,5.3 网络地址转换,配置NAT 静态NAT 指定一个内部接口和一个外部接口 Router(config-if)#ip nat inside | outside 配置静态转换条目 Router(config)#ip nat inside source static local-ip interface interface | global-ip 配置静态端口地址转换 Router(config)#ip nat inside sour
9、ce static tcp | udp local-ip local-port interface interface | global-ip global-port 定义IP访问控制列表 Router(config)#access-list access-list-number permit | deny ,5.3 网络地址转换,配置NAT 配置动态NAT 指定一个内部接口和一个外部接口 Router(config-if)#ip nat inside | outside 定义一个地址池 Router(config)#ip nat pool pool-name start-ip end-ip
10、netmask netmask | prefix-length prefix-length 配置动态转换条目 Router(config)#ip nat inside source list access-list-number interface interface | pool pool-name ,5.3 网络地址转换,配置NAT 配置NAPT 指定一个内部接口和一个外部接口 Router(config-if)#ip nat inside | outside 定义一个地址池 Router(config)#ip nat pool pool-name start-ip end-ip netm
11、ask netmask | prefix-length prefix-length 配置多路复用动态转换条目 Router(config)#ip nat inside source list access-list-number interface interface | pool pool-name overload,5.3 网络地址转换,实训5-6:网络地址转换配置,5.4 访问控制列表,5.4 访问控制列表,访问控制列表介绍 访问表(access list)是一个有序的语句集,它通过匹配报文中信息与访问表参数,来允许报文通过或拒绝报文通过某个接口。,5.4 访问控制列表,ACL工作原理及
12、规则 入站ACL,5.4 访问控制列表,ACL工作原理 出站 ACL,5.4 访问控制列表,ACL基本规则 ACL语句按名称或编号分组; 每条ACL语句都只有一组条件和操作,如果需要多个条件或多个行动,则必须生成多个ACL语句; 如果一条语句的条件中没有找到匹配,则处理列表中的下一条语句; 如果在ACL组的一条语句中找到匹配,则不再处理后面的语句; 如果处理了列表中的所有语句而没有指定匹配,不可见到的隐式拒绝语句拒绝该数据包; 由于在ACL语句组的最后隐式拒绝,所以至少要有一个允许操作,否则,所有数据包都会被拒绝; 语句的顺序很重要,约束性最强的语句应该放在列表的顶部,约束性最弱的语句应该放在
13、列表的底部;,5.4 访问控制列表,ACL基本规则 一个空的ACL组允许所有数据包,空的ACL组已经在路由器上被激活,但不包含语句的ACL,要使隐式拒绝语句起作用,则在ACL中至少要有一条允许或拒绝语句; 只能在每个接口、每个协议、每个方向上应用一个ACL; 在数据包被路由到其它接口之前,处理入站ACL; 在数据包被路由到接口之后,而在数据包离开接口之前,处理出站ACL; 当ACL应用到一个接口时,这会影响通过接口的流量,但ACL不会过滤路由器本身产生的流量。,5.4 访问控制列表,ACL的种类 标准ACL 标准ACL只能过滤IP数据包头中的源IP地址 标准ACL通常用在路由器配置以下功能:
14、限制通过VTY线路对路由器的访问(telnet、SSH); 限制通过HTTP或HTTPS对路由器的访问; 过滤路由更新。,5.4 访问控制列表,ACL的种类 标准ACL配置 使用编号 使用编号创建ACL Router(config)#access-list listnumber permit | deny address wildcardmask 在接口上应用 Router(config-if)#ip access-group id|name in|out 使用命名 定义ACL名称 Router(config)#ip access-list standard name 定义规则 Router(
15、config-std-nacl)#deny|permit source wildcard any 在接口上应用 Router(config-if)#ip access-group id|name in|out,5.4 访问控制列表,ACL的种类 标准ACL配置举例,5.4 访问控制列表,ACL的种类 标准ACL配置举例,5.4 访问控制列表,ACL的种类 扩展ACL 扩展的IP访问表用于扩展报文过滤能力。一个扩展的IP访问表允许用户根据如下内容过滤报文:源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特殊位比较的各种选项。,5.4 访问控制列表,ACL的种类 扩展ACL配置 使用编
16、号 使用编号创建ACL Router(config)#access-list listnumber permit | deny protocol source source- wildcardmask destination destination-wildcardmask operator operand 在接口上应用 Router(config-if)#ip access-group id|name in|out 使用命名 定义ACL名称 Router(config)#ip acess-list extended name 定义规则 Router(config-exy-nacl)#deny|permit protocol source source-wildcard |host source| anyoperator port 在接口上应用 Router(config-if)#ip access-group id|name in|out,5.4 访问控制列表,ACL的种类 扩展ACL配置举例,5.4 访问控制列表,实训5-7:配置访问控制列表限制网络流量,Thank You !,
