提高企业网络互联系统安全运行与管理维护
1.1场景描述
1.1.1 学习目的
通过学习,能够独立完成整个企业网里面所涉及到的所有的常用技术。
1.1.2 学习要求
掌握:配置网络设备的安全管理。
掌握:配置访问控制列表。
掌握:配置安全路由协议。
掌握:身份认证和准入机制。
掌握:配置虚拟专用网。
1.1.3 学习重点和难点
1.学习重点
配置安全管理路由器和路由器:重点讲解登录的密码不是特权密码。网络设备的登录认证是如何实现的。
配置访问控制的能力:理解什么是线路访问。如何控制不同的线路访问验证。
配置安全路由协议:理解各种路由协议之间是如何安全通信的。
配置虚拟专用网:掌握配置站点到站点的虚拟专用网的方法。
实施身份验证与网络接入控制:掌握各种身份验证的方法和使用场合。
2.学习难点
配置访问控制能力:区分各种控制技术的使用场合。
安全路由协议:理解路由协议之间是如何安全通信的。
1.2 知识准备
1.2.1 ACL概述
访问控制列表(Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。
信息点间通信,内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。简而言之,ACL可以过滤网络中的流量,控制访问的一种网络技术手段。
ACL的定义也是基于每一种协议的。如果路由器接口配置成为支持三种协议(IP、AppleTalk以及IPX)的情况,那么,用户必须定义三种ACL来分别控制这三种协议的数据包。
1.2.2 RIP
作为距离矢量路由协议,RIP使用距离矢量来决定最优路径,具体来讲,就是提供跳数(hop count)作为尺度来衡量路由距离。跳数(hop count)是一个报文从本节点到目的节点中途经的中转次数,也就是一个包到达目标所必须经过的路由器的数目。
RIP路由表中的每一项都包含了最终目的地址、到目的节点的路径中的下一跳节点(next hop)等信息。下一跳指的是本网上的报文欲通过本网络节点到达目的节点,如不能直接送达,则本节点应把此报文送到某个中转站点,此中转站点称为下一跳,这一中转过程叫“跳”(hop)。
如果到相同目标有两个不等速或不同带宽的路由器,但跳数相同,则RIP认为两个路由是等距离的。RIP最多支持的跳数为15,即在源和目的网间所要经过的最多路由器的数目为15,跳数16表示不可达。这样,对于超过15跳的大网络来说,RIP就有局限性。
RIP通过广播UDP(使用端口520)报文来交换路由信息,缺省情况下,路由器每隔30秒向与它相连的网络广播自己的路由表,接到广播的路由器将收到的信息添加至自身的路由表中。每个路由器都如此广播,最终网络上所有的路由器都会得知全部的路由信息。
广播更新的路由信息每经过一个路由器,就增加一个跳数。如果广播信息经过多个路由器到达,那么具有最低跳数的路径就是被选中的路径。如果首选的路径不能正常工作,那么其他具有次低跳数的路径(备份路径)将被启用。
1.2.3 OSPF
OSPF是一类Interior Gateway Protocol(内部网关协议IGP),用于属于单个自治体系(AS)的路由器之间的路由选择。OSPF 采用链路状态技术,路由器互相发送直接相连的链路信息和它所拥有的到其它路由器的链路信息。
每个 OSPF 路由器维护相同自治系统拓扑结构的数据库。从这个数据库里,构造出最短路径树来计算出路由表。当拓扑结构发生变化时,OSPF 能迅速重新计算出路径,而只产生少量的路由协议流量。OSPF 支持开销的多路径。区域路由选择功能使添加路由选择保护和降低路由选择协议流量均成为可能。此外,所有的 OSPF 路由选择协议的交换都是经过验证的
1.2.4 AAA
AAA系统的简称:
l 认证(Authentication):验证用户的身份与可使用的网络服务;
l 授权(Authorization):依据认证结果开放网络服务给用户;
l 计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。
AAA-----身份验证 (Authentication)、授权 (Authorization)和统计 (Accounting)Cisco开发的一个提供网络安全的系统。奏见authentication。authorization和accounting
常用的AAA协议是Radius,参见RFC 2865,RFC 2866。
另外还有 HWTACACS协议(Huawei Terminal Access Controller Access Control System)协议。HWTACACS是华为对TACACS进行了扩展的协议
1.3 注意事项
1、访问控制列表在一个接口的一个方向上只能应用一次;
2、身份验证技术一个网络中只需配置一种;
1.4 操作步骤
1.4.1 安全管理和维护路由设备
第一步:创建路由器RA和RB的管理密码
由于路由器RA和RB在网络中的安全级别比较高所以在这里不仅设置了密码验证登录,而且针对远程telnet连接还设置了SSH加密登录验证。
RA(config)#enable secrect level 15 ruijie
RA(config)#username ruijie password star
RA(config)#line con 0
RA(config-line)#login local
RA(config-line)#exit
RA(config)#enable services ssh-server
RA(config)#ip ssh version 2
RA(config)#ip ssh authentication-retries 3
RA(config)#line vty 0 4
RA(config-line)#login local
RA(config-line)#exit
RA(config)#
RB(config)#enable secrect level 15 ruijie
RB(config)#username ruijie password star
RB(config)#line con 0
RB(config-line)#login local
RB(config-line)#exit
RB(config)#
RB(config)#enable services ssh-server
RB(config)#ip ssh version 2
RB(config)#ip ssh authentication-retries 3
RB(config)#line vty 0 4
RB(config-line)#login local
RB(config-line)#exit
RB(config)#
第二步:创建路由器RC和RD的管理密码
路由器RC和RD的安全性级别比较低,所以这里没有使用SSH加密登录验证。
RC(config)#enable secrect level 15 ruijie
RC(config)#username ruijie password star
RC(config)#line vty 0 4
RC(config-line)#login local
RC(config-line)#exit
RC(config)#line con 0
RC(config-line)#login local
RC(config-line)#exit
RC(config)#
RD(config)#enable secrect level 15 ruijie
RD(config)#username ruijie password star
RD(config)#line vty 0 4
RD(config-line)#login local
RD(config-line)#exit
RD(config)#line con 0
RD(config-line)#login local
RD(config-line)#exit
RD(config)#
1.4.2 配置访问控制的能力
第一步:在路由器RA配置时间ACL
一般来讲,工作时间所有用户都是可以访问公司服务器的。过了工作时间就不允许访问,以此来防止在下班时间人员比较少的时候,某些人做一些非法访问的事情。
RA(config)#time-range off-work
RA(config-time-range)#periodic weekdays 09:00 to 18:00
RA(config-time-range)#exit
RA(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 any time-range off-work
RA(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 any time-range off-work
RA(config)#interface fastethernet 0/0
RA(config-if-range)#ip access-group 100 out
RA(config-if-range)#exit
RA(config)#
第二步:在路由器RA配置标准ACL