华为路由器防火墙基本原理及典型配置讲解

路由器防火墙典型配置讲解华为公司多媒体技术支援部路由和路由协议简介第二章NAT第三章防火墙简介第四章课后作业什么是路由器•简单的说就是在IP网络上连接不同子网，实现IP报文转发功能的设备•每台路由器都有一张路由表，路由器就是根据路由表来进行IP报文转发的。RoutingTables:Destination/MaskProtoPrefMetricNexthopInterface0.0.0.0/0Static6001.1.6.2Tunnel61.1.6.0/30Direct001.1.6.2Tunnel61.1.6.2/32Direct00127.0.0.1LoopBack010.0.0.0/8Static60010.78.32.1Ethernet010.78.32.0/23Direct0010.78.32.84Ethernet010.78.32.84/32Direct00127.0.0.1LoopBack0127.0.0.0/8Direct00127.0.0.1LoopBack0127.0.0.1/32Direct00127.0.0.1LoopBack0219.133.94.128/27Direct00219.133.94.137Ethernet1219.133.94.137/32Direct00127.0.0.1LoopBack0主机的处理过程•每台主机都有自己的路由表ActiveRoutes:NetworkDestinationNetmaskGatewayInterfaceMetric0.0.0.00.0.0.010.78.32.110.78.32.882010.78.32.0255.255.254.010.78.32.8810.78.32.882010.78.32.88255.255.255.255127.0.0.1127.0.0.12010.255.255.255255.255.255.25510.78.32.8810.78.32.8820127.0.0.0255.0.0.0127.0.0.1127.0.0.11224.0.0.0240.0.0.010.78.32.8810.78.32.8820255.255.255.255255.255.255.25510.78.32.8810.78.32.88110.78.74.0255.255.255.010.78.32.25410.78.32.8820DefaultGateway:10.78.32.1===============================================================问题：上图中主机访问10.78.32.100、10.72.58.72、10.78.74.100时分别会把报文转发给那个网关设备。静态路由协议•路由器上配置iproute-static0.0.0.00.0.0.0Tunnel6preference60iproute-static10.0.0.0255.0.0.010.78.32.1preference60oriproute0.0.0.00.0.0.0202.112.0.63iproute192.168.0.0255.255.255.0172.16.16.1•WindowsrouteADD157.0.0.0MASK255.0.0.0157.55.80.1动态路由协议•路由协议也叫做动态选路协议，就是路由器获得路由表的过程。•RIPIGRPEIGRPOSPF等等都是路由协议DistanceVectorProtocolsRIPIGRPEIGRPLinkStateProtocolsOSPFIS-IS第一章路由和路由协议简介第二章NAT第三章防火墙简介第四章课后作业什么是NAT•随着IP网络的普及，目前广泛应用的IPv4版本的ip地址出现严重不足，运行TCP/IP协议的设备原来越多，无法满足每个设备拥有一个IP地址的需求•NAT(NetworkAddressTranslation)网络地址转换，又称地址代理，用来实现私有网络地址与公有网络地址之间的转换。•私有地址是指内部网络(局域网内部)的主机地址，而公有地址是局域网的外部地址（在因特网上的全球唯一的IP地址）。因特网地址分配组织规定以下的三个网络地址保留用做私有地址：•10.0.0.0-10.255.255.255172.16.0.0-172.31.255.255192.168.0.0-192.168.255.255也就是说这三个网络的地址不会在因特网上被分配，但可以在一个企业（局域网）内部使用。典型NAT组网NAT的几种实现方式•StaticNAT（静态地址映射）•DynamicNAT（动态地址映射）•NAPT（PortAddressTranslation）（端口映射）StaticNAT把私网地址转化为互联网地址，而且是一对一的，私网内的一个地址总会被转换成一个固定的互联网地址。StaticNAT（续）StaticNAT（续）•在上例中client192.168.0.2和192.168.0.3分别被转换为206.245.160.2和206.245.160.3。•注意源地址发生了变化，而源端口并没有变化。•而且这种转换关系是固定的。DynamicNAT•多个私网地址会被转换成多个公网地址，但这种转换关系是不确定的，并不能保证某个私网地址一定会被转换成某个公网地址。•一般我们把这些公网地址成为地址池（natpool）。DynamicNAT（续）DynamicNAT（续）•在上例中client192.168.0.2和192.168.0.3分别被转换为206.245.160.5和206.245.160.6•注意源地址发生了变化，而源端口并没有变化。•需要注意的是在动态NAT的情况下，这种地址映射的关系是会发生变化的NAPT（PortAddressTranslation）•有时也称为Overloading，多个私网地址会被转换成一个个公网地址，同时端口也会转换成，以便区别不同的连接。NAPT（续）NAPT（续）•在上例中client192.168.0.2和192.168.0.3都被映射为地址206.245.160.1，用于区别各通信连接的是端口号。•注意源地址和源端口在NAT后都发生的变化。•需要注意的是在NAPT的情况下，这种地址和端口的映射关系是会发生变化的。关于NAT更多……•RFC1631:TheIPNetworkAddressTranslator(NAT)•RFC1918:AddressAllocationforPrivateInternets•HownatworksCisco•IPJ2000Volume3number4典型的NAT应用(1)Firewall192.168.0.2/24192.168.0.3/24192.168.0.4/24192.168.0.5/24192.168.0.1/24219.133.94.142/28219.133.94.137CiscoPIXnameifethernet0outsidesecurity0nameifethernet1insidesecurity100interfaceethernet0autointerfaceethernet1autoipaddressoutside219.133.94.142255.255.255.224ipaddressinside192.168.0.254255.255.255.0global(outside)1219.133.94.142nat(inside)1192.168.0.0255.255.255.000routeoutside0.0.0.00.0.0.0219.133.94.1371Eudemon#interfaceEthernet0/0ipaddress192.168.0.254255.255.255.0#interfaceEthernet1/0ipaddress219.133.94.142255.255.255.224#aclnumber2001rule0permitsource192.168.0.00.0.0.255#firewallzonelocalsetpriority100#firewallzonetrustaddinterfaceEthernet0/0setpriority85#firewallzoneuntrustaddinterfaceEthernet1/0setpriority5#firewallinterzonelocaltrust#firewallinterzonetrustuntrustnatoutbound2001interfaceEthernet0/0/0#iproute-static0.0.0.00.0.0.0219.133.94.137配置NAT和NAPT•natoutbound2001interfaceEthernet0/0/0•natoutbound2001address-group1•natoutbound2001address-group1no-pat端口映射表EudemondispfirewallsessiontableHTTP:vpn:0,192.168.0.11:2537[219.133.94.142:36998]--218.30.66.49:80HTTP:vpn:0,192.168.0.11:2554[219.133.94.142:56279]--61.172.201.130:80RAS:vpn:0,192.168.0.5:1719[219.133.94.142:1719]--222.75.254.117:21298RAS:vpn:0,192.168.0.5:1719[219.133.94.142:1719]--218.1.178.205:1719HTTP:vpn:0,192.168.0.11:2535[219.133.94.142:47765]--216.239.53.99:80RAS:vpn:0,192.168.0.5:1719[219.133.94.142:1719]--154.20.31.29:1719RAS:vpn:0,192.168.0.5:1719[219.133.94.142:1719]--222.75.254.117:10308TELNET:vpn:0,192.168.0.1:23--192.168.0.11:2568HTTP:vpn:0,192.168.0.11:2538[219.133.94.142:36999]--218.30.66.49:80RAS:vpn:0,192.168.0.5:1719[219.133.94.142:1719]--211.96.99.249:1719HTTP:vpn:0,192.168.0.11:2555[219.133.94.142:56280]--61.172.201.130:80RAS:vpn:0,192.168.0.5:1719[219.133.94.142:1719]--210.82.32.42:45224RAS:vpn:0,192.168.0.5:1719[219.133.94.142:1719]--218.75.227.62:64470老化时间Eudemondispfirewallsessionaging-timetcpprotocoltimeout:600udpprotocoltimeout:120icmpprotocoltimeout:20fragmenttimeout:5fin-rstprotocoltimeout:10synprotocoltimeout:5h225timeout:10800h245timeout:10800h323-rtcptimeout:120h323-rtptimeout:120h323-t120timeout:10800ftptimeout:600ftp-datatimeout:240hwcc