华为AR-FTP-主动模式Port-Mapping

最新推荐文章于 2024-07-23 13:44:29 发布
最新推荐文章于 2024-07-23 13:44:29 发布
阅读量2.8k 收藏 1
点赞数
分类专栏: Huawei 文章标签: FTP Port-Mapping

【AR路由器配置端口映射(port-mapping)】

配置端口映射
端口映射支持基于基本ACL的协议端口映射。设备支持的端口映射支持的应用层协议包括FTP、DNS、HTTP、SIP、PPTP和RTSP。

背景信息
应用层协议通常使用知名端口号进行通信。端口映射允许用户对不同的应用层协议定义一组新的端口号,使服务器更少地受到针对某种服务的恶意攻击。端口映射只有和ASPF、NAT等针对业务敏感的特性联合使用的时候才具有实际意义。

端口映射基于ACL进行,只有匹配某条ACL的报文,才会实施端口映射。端口映射使用基本ACL(编号2000~2999)。端口映射在使用ACL过滤报文时,使用报文的目的IP地址去匹配基本ACL规则中配置的IP地址。

操作步骤
执行命令system-view,进入系统视图。
执行命令port-mapping { dns | ftp | http | sip | rtsp | pptp } port port-number acl acl-number,配置端口映射。
补充:undo port-mapping命令用来清除端口和应用层协议的映射关系
配置端口映射时,一个协议可以配置多个映射端口;一个端口可以映射为多个协议,但是必须通过ACL进行区分,匹配不同ACL的报文使用不同的映射关系。

说明:
端口映射实际上是针对访问某个特定IP地址(例如WWW服务器)的报文进行协议识别,因此在匹配基本ACL规则时,使用报文的目的地址去匹配ACL规则中定义的源IP地址。

检查配置结果
执行命令display port-mapping [ dns | ftp | http | rtsp | sip | port port-number | pptp ],查看端口映射的相关信息。

配置ASPF和端口映射示例
组网需求
这里写图片描述

如图1所示,Router的接口Eth2/0/0连接一个高安全优先级的内部网络,接口GE3/0/0连接低安全优先级的外部网络,需要对内部网络和外部网络之间的通信实施包过滤和ASPF检查。具体要求如下:
外部特定主机(202.39.2.3)允许访问内部网络中的服务器。
其余的访问均不允许。
对上述访问的连接进行FTP状态检查,过滤不符合状态的报文。
对于外部主机访问FTP服务器的报文,识别2121端口为FTP协议。
图1 配置ASPF和端口映射组网图

配置思路
采用如下思路配置ASPF和端口映射:

配置安全区域和安全域间。

将接口加入安全区域。

配置ACL。

在安全域间配置基于ACL的包过滤。

在安全域间配置ASPF。

配置端口映射,将2121端口映射为FTP协议通信端口。

操作步骤
在Router上配置安全区域和安全域间。
system-view
[Huawei] firewall zone trust
[Huawei-zone-trust] priority 14
[Huawei-zone-trust] quit
[Huawei] firewall zone untrust
[Huawei-zone-untrust] priority 1
[Huawei-zone-untrust] quit
[Huawei] firewall interzone trust untrust
[Huawei-interzone-trust-untrust] firewall enable
[Huawei-interzone-trust-untrust] quit
在Router上将接口加入安全区域。
[Huawei] vlan 100
[Huawei-vlan100] quit
[Huawei] interface vlanif 100
[Huawei-Vlanif100] ip address 129.38.1.1 24
[Huawei-Vlanif100] quit
[Huawei] interface ethernet 2/0/0
[Huawei-Ethernet2/0/0] port link-type access
[Huawei-Ethernet2/0/0] port default vlan 100
[Huawei-Ethernet2/0/0] quit
[Huawei] interface vlanif 100
[Huawei-Vlanif100] zone trust
[Huawei-Vlanif100] quit
[Huawei] interface gigabitethernet 3/0/0
[Huawei-GigabitEthernet3/0/0] ip address 202.39.2.1 24
[Huawei-GigabitEthernet3/0/0] zone untrust
[Huawei-GigabitEthernet3/0/0] quit
在Router上配置ACL。
[Huawei] acl 2102
[Huawei-acl-basic-2102] rule permit source 129.38.1.2 0.0.0.0
[Huawei-acl-basic-2102] quit
[Huawei] acl 3102
[Huawei-acl-adv-3102] rule permit tcp source 202.39.2.3 0.0.0.0 destination 129.38.1.2 0.0.0.0
[Huawei-acl-adv-3102] rule permit tcp source 202.39.2.3 0.0.0.0 destination 129.38.1.3 0.0.0.0
[Huawei-acl-adv-3102] rule permit tcp source 202.39.2.3 0.0.0.0 destination 129.38.1.4 0.0.0.0
[Huawei-acl-adv-3102] rule deny ip
[Huawei-acl-adv-3102] quit
在Router上配置包过滤。
[Huawei] firewall interzone trust untrust
[Huawei-interzone-trust-untrust] packet-filter 3102 inbound
在Router上配置ASPF。
[Huawei-interzone-trust-untrust] detect aspf ftp
[Huawei-interzone-trust-untrust] quit
在Router上配置端口映射。
[Huawei] port-mapping ftp port 2121 acl 2102
检查配置结果。
在Router上执行display firewall interzone zone-name1 zone-name2,结果如下。

[Huawei] display firewall interzone trust untrust
interzone trust untrust
firewall enable
packet-filter default deny inbound
packet-filter default permit outbound
packet-filter 3102 inbound
detect aspf ftp
在Router上执行display port-mapping ftp,结果如下。

[Huawei] display port-mapping ftp

Service Port Acl Type

ftp 21 system defined
ftp 2121 2102 user defined

Total number is : 2
配置文件

vlan batch 100

acl number 2102
rule 5 permit source 129.38.1.2 0

acl number 3102
rule 5 permit tcp source 202.39.2.3 0 destination 129.38.1.2 0
rule 10 permit tcp source 202.39.2.3 0 destination 129.38.1.3 0
rule 15 permit tcp source 202.39.2.3 0 destination 129.38.1.4 0
rule 20 deny ip

port-mapping ftp port 2121 acl 2102

interface Vlanif100
ip address 129.38.1.1 255.255.255.0
zone trust

firewall zone trust
priority 14

firewall zone untrust
priority 1

firewall interzone trust untrust
firewall enable
packet-filter 3102 inbound
detect aspf ftp

interface Ethernet2/0/0
port link-type access
port default vlan 100

interface GigabitEthernet3/0/0
ip address 202.39.2.1 255.255.255.0
zone untrust

return

tttccabc
关注
专栏目录
M5683T OLT--HGU ONU配置指导(Port映射方式)
Shelly的博客
09-21 4067
1.针对HGU ONU 4FE+wifi设备 配置方式1: Port映射方式配置业务 步骤1:DBA模版配置 dba-profile add profile-id 10 profile-name “dba-profile_10” type4 max 1024000 步骤2:能力及模版配置,查看match state ont-srvprofile gpon profile-id 302 profil...
计算机网络——华为vlan Mapping及其实验配置
爱学习的JackYang的博客
10-24 2503
计算机网络 华为 vlan-mapping
端口映射和端口转发
Martin-share的博客
02-01 2281
端口映射的定义,端口转发的定义,LCX,转发工具,实验环境,实验操作
PortMapping
04-13
PortMapping是一款端口映射工具,本工具采用windows高效网络通讯模型完成端口开发,支持TCP映射和UDP映射,性能达到最优。操作简单,设置便捷,是外网穿透内网的便利工具,本工具完全免费,网友可以自由传播,有任何问题及需要可以邮件联系作者:dna2100@sina.cn 本程序经过长时间单元测试及系统稳定性测试和压力测试,作者提供稳定性功能。 TCP映射最多支持100个链接/每个映射,若需要更多连接请与作者联系。 聚焦高品质服务器程序。
华为路由器命令手册_华为路由器+蒲公英路由器,如何做双层路由器映射?
weixin_39894778的博客
12-10 448
今天上午,有一个客户反馈,他们的软件和linux系统无法实现外网访问了。客户的网络拓扑是这样的,光猫接蒲公英路由器X5,蒲公英路由器的LAN 口IP是192.168.0.1,然后从蒲公英路由器的LAN口连接一根网线到华为路由器WAN口,然后两台服务器都接在华为路由器LAN口下,两台服务器的局域网IP分别是192.168.3.222和192.168.3.223。首先我们进入华为路由器,查看端口映射情...
ftp主动模式(port)与被动模式(PASV) (转)
weixin_33860528的博客
05-22 110
  FTP是仅基于TCP的服务,不支持UDP。与众不同的是FTP使用2个端口,一个数据端口和一个命令端口(也可叫做控制端口)。通常来说这两个端口是21(命令端口)和20(数据端口)。但FTP工作方式的不同,数据端口并不总是20。这就是主动与被动FTP的最大不同之处。  (一)主动FTP           主动方式的FTP是这样的:客户端从一个任意的非特权端口N(>=1024)连接到FT...
windows下的port mapping
rocklee的专栏
10-12 1061
将本机的81映射至14.1的80 开一个管理员权限的控制台,输入命令行: netsh interface portproxy add v4tov4 listenport=81 connectaddress=128.30.14.1 connectport=80 显示已经映射的端口列表: netsh interface portproxy show all 删除端口映射: nets
一文读懂FTP主动模式和被动模式
weixin_47678667的博客
10-15 4047
文章目录一文读懂FTP主动模式和被动模式一.引子二.主动模式和被动模式结合TCP的三次握手详解 一文读懂FTP主动模式和被动模式 一.引子 又来到了一文读懂系列文章,哈哈,昨天刚整理完FTP的较为完整内容,为什么又要做这篇原理性的内容呢?第一是因为真正关于FTP主动模式和被动模式版本很多,但是适合笔者的不多,第二是因为通过FTP主动模式和被动模式来了解TCP的三次握手是一个非常好的手段。整合起来,利人利己。关于TCP的三次握手和FTP的原理及实验搭建大家可以犯我以前的文章。本次笔者只给大家整理FTP
华为HCIP-RS培训视频教程【共56集】.rar
10-17
12-vlan高级配置之vlanmapping 13-hybrid(上) 14-hybrid(下) 15-ssh 16-mstp 17-vrrp_mstp 18-ospf概要(上) 19-ospf概要(下) 20-ospfdr、Bdr 21-ospf认证、虚链路、静默接 22-ospf排错 23-ospf...
华为HCNP-RS三科全套图文学习笔记【共3章64节】.rar
08-02
5、 VLAN 5(VLAN Mapping) 51 6、 VLAN 6(端口隔离) 51 7、 QinQ配置 52 8、STP 54 9、RSTP 55 10、MSTP 56 11、 802.1x原理与配置 58 12、 DHCP Snooping 59 13、 DHCP原理 61 14、DHCP Snooping1 63 15、MPLS...
华为HCIE-RS V2.0培训视频教程【共77集】.rar
10-10
第27课 VLAN Mapping&端口隔离 第28课 镜像端口&端口安全 第29课 深入理解QINQ-1 第30课 深入理解QINQ-2 第31课 ETH-TRUNK链路聚合 第32课 STP协议原理回顾-1 第33课 STP协议原理回顾-2 第34课 RSTP协议详解-...
端口映射器 PortMapping
04-29
强大的端口映射功能,可以在不知道路由器用户密码的情况下使用。
display port 协议
05-04
这个是display port1.1 的协议,涉及dp的training,接口定义,配置,AUX通道,PHY通道等功能,上传方便大家做相关研发学习用。
华为路由web怎么设置?华为AR系列路由器web配置端口回流功能图文教程
10-01
华为路由怎么配置内网的服务器在外网能访问?下面就整理了华为AR系列路由器的配置方法,可以帮助那些像小编一样的小白了,大家可参看下吧
ar 华为路由器 端口映射_求教华为AR2200路由器端口映射配置
weixin_39593498的博客
01-17 3295
展开全部1、输入display version命令,查看路由器版本,32313133353236313431303231363533e59b9ee7ad9431333365666135硬件信息,系统启动时间等。2、修改路由器时间,包括时区设置clock timezone,时钟设置clock datetime,查看设置的时间display clock。3、在系统视图下修改路由器名称为R1,并配置co...
华为AR系列路由器web配置端口映射实现内网服务器对外开放
热门推荐
云深海阔专栏
08-08 7万+
华为AR系列路由一台,其他系列我就不知道行不行了。 连上路由的电脑一台 方法/步骤 我的网路拓扑图 PS:我需要内外网都能通过外网IP+端口号(193.25.48.25:50080)访问内网服务器(192.168.1.19:80)。 打开浏览器进入路由的管理网页 PS:默认地址192.168.1.1(这里以默认管理地址为例,后文也一样) ...
华为AR路由器多端口映射教程
最新发布
weixin_42803019的博客
07-23 1265
注意:该配置方法有限制,一个公网IP地址只能做一次NAT Server,也就是内网只能有一台服务器做映射,如果有其他服务器映射,会提示是否覆盖之前的NAT Server配置。注意:此方式可同一公网地址可映射内网多台服务器的不同连续端口号,且和单端口映射也不冲突,所以推荐使用此方式进行配置。2. NAT Server+ACL方式(适用于所有版本,一个公网IP地址只能映射一台服务器,不推荐)1. NAT Static方式(适用于V2R9及以后版本,推荐方式)(1) 创建ACL,匹配需要映射的端口号。
(转)ftpport和pasv模式
时间是把杀刀猪
07-17 288
转自:http://hi.baidu.com/xianyang1981/item/20d68be050a50aaccf2d4f8e   一、ftpport和pasv模式的工作方式       FTP使用2个TCP端口,首先是建立一个命令端口(控制端口),然后再产生一个数据端口。国内很多教科书都讲ftp使用21命令端口和20数据端口,这个应该是教书更新太慢的原因吧。实际上FTP分为主动模式和...
Loadrunner Port Mapping录制方法
littlebigbar的专栏
07-17 3022
Loadrunner Port Mapping录制方法(一种通用的录制脚本的方法)以下观点不一定正确,仅供大家参考!我们在很多时候因为无法录制脚本而困惑,如loadrunner使用FTP协议录制Core FTP Lite时,只能看到loadrunenr捕获到事件,但无法生成脚本,又比如使用POP3或SMTP协议录制邮件收发时也是只能捕获到时间,但无法生成脚本,此时我介绍一种万能的录制方法可
华为NE20E-S2路由器IP组播特性详解
"HUAWEI NE20E-S2 综合业务承载路由器V800R010C10SPC500的IP组播特性描述文档" 本文档详细介绍了华为NE20E-S2路由器在V800R010C10SPC500版本中的IP组播特性,旨在帮助读者理解IP组播的基本概念、工作原理和实际应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值