路由器安全配置.ppt

第5章 路由器安全配置,学习目标,了解PPP的建立过程、认证方式和作用；掌握路由器的PAP和CHAP认证配置；清楚MD5加密的原理掌握RIP和OSPF的MD5认证配置方法；领会网络地址转换的原理掌握静态地址转换和动态地址转换的配置；清楚访问控制列表在网络安全中的重要性知道各种控制列表的作用、应用场合及配置方法。,学习内容,5.1 PPP协议简介5.2 MD5认证技术5.3 网络地址转换5.4 访问控制列表,5.1 PPP协议简介,5.1 PPP协议简介,PPP链路建立过程PPP（Point-to-Point Protocol点到点协议）是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。这种链路提供全双工操作，并按照顺序传递数据包。设计目的主要是用来通过拨号或专线方式建立点对点连接发送数据，使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。,5.1 PPP协议简介,PPP体系结构NCP用于区分上层协议LCP用于维护链路相关信息,5.1 PPP协议简介,PPP认证流程,5.1 PPP协议简介,PAP认证 PAP认证是简单的明文认证，中国大陆的ADSL就是使用的PAP认证，此处所示为单向的PAP认证,5.1 PPP协议简介,PAP配置示例,5.1 PPP协议简介,CHAP认证 CHAP认证是加密认证，更加安全，此处所示为单向的CHAP认证,5.1 PPP协议简介,CHAP配置示例,5.1 PPP协议简介,实训5-1：配置PAP认证实训5-2：配置CHAP认证,5.2 MD5认证技术,5.2 MD5认证技术,MD5介绍MD5的全称是Message-Digest Algorithm 5，在90年代初由MIT的计算机科学实训室和RSA Data Security Inc发明，经MD2、MD3和MD4发展而来。MD5将任意长度的“字节串”变换成一个128bit的大整数，并且它是一个不可逆的字符串变换算法，换句话说就是，即使你看到源程序和算法描述，也无法将一个MD5的值变换回原始的字符串，从数学原理上说，是因为原始的字符串有无穷多个，这有点象不存在反函数的数学函数。,5.2 MD5认证技术,RIP的MD5认证配置配置密钥链Router(config)#key chain name 配置密钥IDRouter(config-keychain)#key key-id 配置密钥Router(config-keychian-key)#key-string key配置验证方式Router(config-if)#ip rip authentication mode text|md5 配置验证使用的密钥链Router(config-if)#ip rip authentication key-chain name,5.2 MD5认证技术,RIP的MD5认证配置案例,5.2 MD5认证技术,配置OSPF的md5验证配置区域验证类型Router(config-router)#area area-id authentication message-digest 配置接口验证类型Router(config-if)#ip ospf authentication message-digest|null 配置明文验证密钥Router(config-if)#ip ospf authentication-key key配置MD5验证密钥Router(config-if)#ip ospf message-digest-key key-id md5 key,5.2 MD5认证技术,OSPF的MD5认证配置案例,5.2 MD5认证技术,实训5-3：配置RIP路由的MD5认证实训5-4：OSPF邻居明文认证配置实训5-5：OSPF的MD5认证配置,5.3 网络地址转换,5.3 网络地址转换,NAT概念NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force,Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。NAT的典型应用是将使用私有IP地址（RFC 1918）的园区网络连接到Internet,5.3 网络地址转换,NAT术语内部本地IP地址内部全局IP地址外部全局IP地址外部本地IP地址,5.3 网络地址转换,NAT类型静态NAT按照一一对应的方式将每个内部IP地址转换为一个外部IP地址，这种方式经常用于企业网的内部设备需要能够被外部网络访问到时。,5.3 网络地址转换,NAT类型动态NAT将一个内部IP地址转换为一组外部IP地址（地址池）中的一个IP地址。,5.3 网络地址转换,NAT类型超载（Overloading）NAT动态NAT的一种实现形式，利用不同端口号将多个内部IP地址转换为一个外部IP地址，也称为PAT、NAPT或端口复用NAT。,5.3 网络地址转换,配置NAT静态NAT指定一个内部接口和一个外部接口Router(config-if)#ip nat inside|outside 配置静态转换条目Router(config)#ip nat inside source static local-ip interface interface|global-ip 配置静态端口地址转换Router(config)#ip nat inside source static tcp|udp local-ip local-port interface interface|global-ip global-port定义IP访问控制列表Router(config)#access-list access-list-number permit|deny,5.3 网络地址转换,配置NAT配置动态NAT指定一个内部接口和一个外部接口Router(config-if)#ip nat inside|outside 定义一个地址池Router(config)#ip nat pool pool-name start-ip end-ip netmask netmask|prefix-length prefix-length 配置动态转换条目Router(config)#ip nat inside source list access-list-number interface interface|pool pool-name,5.3 网络地址转换,配置NAT配置NAPT指定一个内部接口和一个外部接口Router(config-if)#ip nat inside|outside 定义一个地址池Router(config)#ip nat pool pool-name start-ip end-ip netmask netmask|prefix-length prefix-length 配置多路复用动态转换条目Router(config)#ip nat inside source list access-list-number interface interface|pool pool-name overload,5.3 网络地址转换,实训5-6：网络地址转换配置,5.4 访问控制列表,5.4 访问控制列表,访问控制列表介绍 访问表（access list）是一个有序的语句集，它通过匹配报文中信息与访问表参数，来允许报文通过或拒绝报文通过某个接口。,5.4 访问控制列表,ACL工作原理及规则入站ACL,5.4 访问控制列表,ACL工作原理出站 ACL,5.4 访问控制列表,ACL基本规则ACL语句按名称或编号分组；每条ACL语句都只有一组条件和操作，如果需要多个条件或多个行动，则必须生成多个ACL语句；如果一条语句的条件中没有找到匹配，则处理列表中的下一条语句；如果在ACL组的一条语句中找到匹配，则不再处理后面的语句；如果处理了列表中的所有语句而没有指定匹配，不可见到的隐式拒绝语句拒绝该数据包；由于在ACL语句组的最后隐式拒绝，所以至少要有一个允许操作，否则，所有数据包都会被拒绝；语句的顺序很重要，约束性最强的语句应该放在列表的顶部，约束性最弱的语句应该放在列表的底部；,5.4 访问控制列表,ACL基本规则一个空的ACL组允许所有数据包，空的ACL组已经在路由器上被激活，但不包含语句的ACL，要使隐式拒绝语句起作用，则在ACL中至少要有一条允许或拒绝语句；只能在每个接口、每个协议、每个方向上应用一个ACL；在数据包被路由到其它接口之前，处理入站ACL；在数据包被路由到接口之后，而在数据包离开接口之前，处理出站ACL；当ACL应用到一个接口时，这会影响通过接口的流量，但ACL不会过滤路由器本身产生的流量。,5.4 访问控制列表,ACL的种类 标准ACL标准ACL只能过滤IP数据包头中的源IP地址标准ACL通常用在路由器配置以下功能：限制通过VTY线路对路由器的访问（telnet、SSH）；限制通过HTTP或HTTPS对路由器的访问；过滤路由更新。,5.4 访问控制列表,ACL的种类 标准ACL配置使用编号使用编号创建ACLRouter(config)#access-list listnumber permit|deny address wildcardmask 在接口上应用Router(config-if)#ip access-group id|name in|out使用命名定义ACL名称Router(config)#ip access-list standard name定义规则Router(config-std-nacl)#deny|permit source wildcard any 在接口上应用Router(config-if)#ip access-group id|name in|out,5.4 访问控制列表,ACL的种类 标准ACL配置举例,5.4 访问控制列表,ACL的种类 标准ACL配置举例,5.4 访问控制列表,ACL的种类 扩展ACL扩展的IP访问表用于扩展报文过滤能力。一个扩展的IP访问表允许用户根据如下内容过滤报文：源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特殊位比较的各种选项。,5.4 访问控制列表,ACL的种类 扩展ACL配置使用编号使用编号创建ACLRouter(config)#access-list listnumber permit|deny protocol source source-wildcardmask destination destination-wildcardmask operator operand在接口上应用Router(config-if)#ip access-group id|name in|out使用命名定义ACL名称Router(config)#ip acess-list extended name定义规则Router(config-exy-nacl)#deny|permit protocol source source-wildcard|host source|anyoperator port 在接口上应用Router(config-if)#ip access-group id|name in|out,5.4 访问控制列表,ACL的种类 扩展ACL配置举例,5.4 访问控制列表,实训5-7：配置访问控制列表限制网络流量,Thank You!,