网络设备安装与调试【3.8】

学习活动 5 使用 ACL 过滤特定病毒报文

学习情境
        某公司的网络管理员早晨上班的时候发现公司的网络不正常，经过分析之后发现是公司的计算机中了病毒，使用杀毒软件查杀证实是冲击波和震荡波的病毒，于是网络管理员想在三层交换机上通过配置 ACL 来进行隔离。
情境分析
        冲击波、震荡波曾经给网络带来沉重的打击，到目前为止，整个 Internet 中还有这种病毒以及病毒的变种，它们无孔不入，伺机发作。因此在配置网络设备的时候，要采用ACL 进行过滤，把这些病毒拒之“门”外，保证网络的稳定运行。
所需设备：
（1）DCRS-5650 交换机 1 台
（2）PC 1 台。
（3）Console 线 1 条
（4）直通网线若干。
ACL 过滤特定病毒报文拓扑结构如图 4-2-14 所示。

相关知识
常用的端口号如下。
冲击波及冲击波变种：关闭 TCP 端口 135、139、445 和 593，关闭 UDP 端口 69（TFTP）、
135、137 和 138，关闭用于远程命令外壳程序的 TCP 端口 4444。
震荡波：关闭 TCP 端口 5554、445、9996。
SQL 蠕虫病毒：关闭 TCP 端口 1433、UDP 端口 1434。

步骤实现
步骤 1：按照图 4-2-14 连接网络拓扑结构。
步骤 2：清空交换机的配置。

switch>enable
switch#set default
Are you sure?[Y/N] = y
switch#write
switch#reload
Process with reboot? [Y/N]y	！进入特权配置模式
！恢复出厂设置
！重启交换机
步骤 3：配置 ACL。
switch>enable
switch#config
Switch(Config)#hostname Switch-A
Switch-A(Config)#access-list 110 deny tcp any any d-port 445
Switch-A(Config)#access-list 110 deny tcp any any d-port 4444
Switch-A(Config)#access-list 110 deny tcp any any d-port 5554
Switch-A(Config)#access-list 110 deny tcp any any d-port 9996
Switch-A(Config)#access-list 110 deny tcp any any d-port 1433
Switch-A(Config)#access-list 110 deny udp any any d-port 1434

步骤 4：启用 ACL。
Switch-A(Config)#firewall enable ！配置访问控制列表功能开启
Switch-A(Config)#firewall default permit ！默认动作为全部允许通过
步骤 5：应用 ACL。
Switch-A(Config)#interface ethernet 0/0/10 ！绑定ACL到各端口
Switch-A(Config-Ethernet0/0/10)#ip access-group 110 in

学习小结
本学习活动学习了如何使用 ACL 过滤特定病毒报文。在实际的工作岗位上，经常会遇到各种各样的病毒，使用 ACL 可以有效地过滤特定的病毒报文，以保证公司网络环境的稳定和安全。

学习任务 3 路由器 IPSec VPN 隧道的实现

学习情境
        由于公司规模的扩大，总公司和分公司之间出于安全性的考虑，想在两个公司的出口之间使用更安全的 VPN 连接方式，网络管理员认为路由器的 IPSec VPN 可以实现此功能。

        IPSec VPN 是现在互联网上最重要的网关到网关 VPN 技术，它已经成为企业分支机构间互连的首选。总部和分支之间要实现互访时，就涉及此类 VPN，或者需要将数据包进行加密时就涉及 IPSec VPN。
所需设备：
（1）DCR-2655 路由器 2 台。
（2）PC 2 台。
（3）CR-V35MT 1 条。
（4）CR-V35FC 1 条。
（5）Console 线 1 条。
（6）交叉线 2 条。
IPSec VPN 网络拓扑结构如图 4-3-1 所示。

IP 地址配置表见表 4-3-1。

相关知识
        VPN（Virtual Private Network，虚拟专用网）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路；还可用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN 可以提供的功能有防火墙功能、认证、加密、隧道化。

根据不同的划分标准，VPN 可以按以下几个标准进行分类。
1．按 VPN 的协议分类
VPN 的隧道协议主要有三种：PPTP、L2TP 和 IPSec。其中 PPTP 和 L2TP 协议工作在OSI 模型的第二层，又称为二层隧道协议；IPSec 是第三层隧道协议。
2．按 VPN 的应用分类
（1）Access VPN（远程接入 VPN）：客户端到网关，使用公网作为骨干网在设备之间传输 VPN 数据流量。
（2）Intranet VPN（内联网 VPN）：网关到网关，通过公司的网络架构连接来自同公司的资源。
（3）Extranet VPN（外联网 VPN）：与合作伙伴企业网构成 Extranet，将一个公司与另一个公司的资源进行连接。
3．按所用的设备类型分类
网络设备提供商针对不同客户的需求，开发出了不同的 VPN 网络设备，主要为交换机、路由器和防火墙。
（1）路由器式 VPN：部署较容易，只要在路由器上添加 VPN 服务即可。
（2）交换机式 VPN：主要应用于连接用户较少的 VPN 网络。
（3）防火墙式 VPN：最常见的一种 VPN 的实现方式，许多厂商提供这种配置类型。
4．按照实现原理分类
（1）重叠 VPN：此 VPN 需要用户自己建立端结点之间的 VPN 链路，主要包括 GRE、L2TP、IPSec 等众多技术。
（2）对等 VPN：由网络运营商在主干网上完成 VPN 通道的建立，主要包括 MPLS、VPN技术。
步骤实现
步骤 1：按照图 4-3-1 连接网络拓扑结构。
步骤 2：按照表 4-3-1 配置计算机的 IP 地址、子网掩码和网关。
步骤 3：恢复路由器的出厂配置。
 

Router>enable ！进入特权模式
Router#2004-1-1 00:32:10 User DEFAULT enter privilege mode from console 0,
level = 15
Router#delete ！删除配置文件
this file will be erased,are you sure?(y/n)y
Router#reboot ！重新启动
Do you want to reboot the router(y/n)?y
Please wait…

步骤 4：配置 RouterA 的名称及其接口 IP 地址。

Router>enable
Router#config
Router_config#hostname RouterA
RouterA_config#int fa0/0
RouterA_config_f0/0#ip add 192.168.10.1 255.255.255.0
RouterA_config_f0/0#no shut
RouterA_config_f0/0#int s0/1
RouterA_config_s0/1#physical-layer speed 2048000
RouterA_config_s0/1#no shut
RouterA_config_s0/1#Jan 1 00:02:40 Line on Interface Serial0/1, changed to
up

步骤 5：配置 RouterB 的名称及其接口 IP 地址。 

Router>
Router>enable
Router#config
Router_config#hostname RouterB
RouterB_config#int fa0/0
RouterB_config_f0/0#ip add 192.168.20.1 255.255.255.0
RouterB_config_f0/0#no shut
RouterB_config_f0/0#int s0/1
RouterB_config_s0/1#physical-layer speed 2048000
RouterB_config_s0/1#ip add 192.168.100.2 255.255.255.0
RouterB_config_s0/1#no shut
RouterB_config_s0/1#^Z
步骤 6：查看 RouterA 的接口配置情况。
RouterA#show ip int brief
Interface IP-Address Method Protocol-Status
Async0/0 unassigned manual down
Serial0/1 unassigned manual up
Serial0/2 unassigned manual down
FastEthernet0/0 192.168.10.1 manual up
FastEthernet0/3 unassigned manual down
RouterA#

步骤 7：查看 RouterB 的接口配置情况。 

RouterB#show ip int brief
Interface IP-Address Method Protocol-Status
Async0/0 unassigned manual down
Serial0/1 192.168.100.2 manual up
Serial0/2 unassigned manual down
FastEthernet0/0 192.168.20.1 manual up
FastEthernet0/3 unassigned manual down
RouterB#
步骤 8：在 RouterA 上配置静态路由。
RouterA#config
RouterA_config#ip route 192.168.20.0 255.255.255.0 192.168.100.2
RouterA_config#
步骤 9：在 RouterB 上配置静态路由。
RouterB#config
RouterB_config#ip route 192.168.10.0 255.255.255.0 192.168.100.1
RouterB_config#

步骤 10：查看 RouterA 的路由表。 

RouterA#show ip route
Codes: C - connected, S - static, R - RIP, B - BGP, BC - BGP connected
D - BEIGRP, DEX - external BEIGRP, O - OSPF, OIA - OSPF inter area
ON1 - OSPF NSSA external type 1, ON2 - OSPF NSSA external type 2
OE1 - OSPF external type 1, OE2 - OSPF external type 2
DHCP - DHCP type, L1 - IS-IS level-1, L2 - IS-IS level-2
VRF ID: 0
C 192.168.100.0/24 is directly connected, Serial0/1
C 192.168.10.0/24 is directly connected, FastEthernet0/0
S 192.168.20.0/24 [1,0] via 192.168.100.2(on Serial0/1)
步骤 11：查看 RouterB 的路由表。
RouterB#show ip route
Codes: C - connected, S - static, R - RIP, B - BGP, BC - BGP connected
D - BEIGRP, DEX - external BEIGRP, O - OSPF, OIA - OSPF inter area
ON1 - OSPF NSSA external type 1, ON2 - OSPF NSSA external type 2
OE1 - OSPF external type 1, OE2 - OSPF external type 2
DHCP - DHCP type, L1 - IS-IS level-1, L2 - IS-IS level-2
VRF ID: 0
C 192.168.100.0/24 is directly connected, Serial0/1
C 192.168.20.0/24 is directly connected, FastEthernet0/0
S 192.168.10.0/24 [1,0] via 192.168.1.1(on Serial0/1)
Router-B#

步骤 12：在 RouterA 上进行相关配置。
RouterA#
RouterA#config
RouterA_config#ip access-list extended 101 ！定义名为101的扩展访问列表
RouterA_config_ext_nacl#192.168.10.0 255.255.255.0 192.168.20.0
255.255.255.0 ！定义受保护数据
RouterA_config_ext_nacl#exit
RouterA_config#crypto isakmp policy 10 ！定义ISAKMP策略，优先级为10
RouterA_config_isakmp#authentication pre-share ！指定预共享密钥为其认证方法
RouterA_config_isakmp#hash md5 ！指定MD5为协商的哈希算法
RouterA_config_isakmp#exit
RouterA_config#crypto isakmp key dcn 192.168.100.2
！配置预共享密钥为dcn的远端IP地址为192.168.100.2
RouterA_config#crypto ipsec transform-set hello ！定义名称为hello的变换集
RouterA_config_crypto_trans#transform-type esp-des esp-md5-hmac
！设置变换类型为esp-des esp-md5-hmac
RouterA_config_crypto_trans#exit
RouterA_config#crypto map my 10 ipsec-isakmp
！创建一个名为my序号为10指定通信为ipsec-isakmp的加密映射表
RouterA_config_crypto_map#set peer 192.168.100.2
！在加密映射表中指定IPSec对端
RouterA_config_crypto_map#match address 101
！为加密映射表指定一个扩展访问控制列表
RouterA_config_crypto_map#set transform-set hello
！指定加密映射表使用的变换集合
RouterA_config_crypto_map#exit
RouterA_config#int s0/1
RouterA_config_s0/1#crypto map my ！将预先定义好的加密映射表集合运用到接口上
RouterA_config_s0/1#

步骤 13：在 RouterB 上进行相关配置。 

RouterB#
RouterB#config
RouterB_config#ip access-list extended 101 ！定义名为101的扩展访问列表
RouterB_config_ext_nacl#192.168.20.0 255.255.255.0 192.168.10.0
255.255.255.0 ！定义受保护数据
RouterB_config_ext_nacl#exit
RouterB_config#crypto isakmp policy 10 ！定义ISAKMP策略，优先级为10
RouterB_config_isakmp#authentication pre-share ！指定预共享密钥为认证方法
RouterB_config_isakmp#hash md5 ！指定MD5为协商的哈希算法
RouterB_config_isakmp#exit
RouterB_config#crypto isakmp key dcn 192.168.100.1
！配置预共享密钥为dcn的远端IP地址为192.168.100.1
RouterB_config#crypto ipsec transform-set hello ！定义名称为hello的变换集
RouterB_config_crypto_trans#transform-type esp-des esp-md5-hmac
！设置变换类型为esp-des esp-md5-hmac
RouterB_config_crypto_trans#exit
RouterB_config#crypto map my 10 ipsec-isakmp
！创建一个名为my、序号为10、指定通信为ipsec-isakmp的加密映射表
RouterB_config_crypto_map#set transform-set hello
！指定加密映射表使用的变换集合
RouterB_config_crypto_map#set peer 192.168.100.1
！在加密映射表中指定IPSec对端
RouterB_config_crypto_map#match address 101
！为加密映射表指定一个扩展访问控制列表
RouterB_config_crypto_map#exit
RouterB_config#int s0/1
RouterB_config_s0/1#crypto map my ！将预先定义好的加密映射表集合运用到接口上
RouterB_config_s0/1#