收藏
下载资源

R2501E路由器操作手册--7--安全(ACL相关)

上传人:woxinch****an2018 文档编号:38997283 上传时间:2018-05-10 格式:DOC 页数:71 大小:511.35KB
返回 下载 相关 举报
R2501E路由器操作手册--7--安全(ACL相关)_第1页
第1页 / 共71页
R2501E路由器操作手册--7--安全(ACL相关)_第2页
第2页 / 共71页
R2501E路由器操作手册--7--安全(ACL相关)_第3页
第3页 / 共71页
R2501E路由器操作手册--7--安全(ACL相关)_第4页
第4页 / 共71页
R2501E路由器操作手册--7--安全(ACL相关)_第5页
第5页 / 共71页
点击查看更多>>
资源描述

《R2501E路由器操作手册--7--安全(ACL相关)》由会员分享,可在线阅读,更多相关《R2501E路由器操作手册--7--安全(ACL相关)(71页珍藏版)》请在金锄头文库上搜索。

1、目 录第 1 章 终端访问安全配置1.1 终端访问安全简介1.1.1 终端访问用户的分类1.1.2 命令行接口为终端用户提供的安全特性1.2 终端访问安全的配置1.2.1 配置终端用户名1.2.2 配置 EXEC 用户的登录认证1.3 EXEC 典型配置案例1.3.1 配置 adminstrator 用户从 Console 口的登录认证1.3.2 配置 operator 用户进行 Telnet 的登录认证第 2 章 AAA 和 RADIUS 协议配置2.1 AAA 和 RADIUS 简介2.1.1 AAA 概述2.1.2 RADIUS 概述2.2 AAA 和 RADIUS 的配置2.2.1 使

2、能 AAA2.2.2 配置对 Login 登录用户的认证方法表2.2.3 配置对 PPP 登录用户的认证方法表2.2.4 配置 AAA 本地优先认证2.2.5 配置 AAA 计费选择开关2.2.6 配置本地 IP 地址池2.2.7 为 PPP 用户分配 IP 地址2.2.8 配置本地用户数据库2.2.9 配置 RADIUS 服务器2.3 AAA 和 RADIUS 的显示和调试2.4 AAA 和 RADIUS 典型配置举例2.4.1 对接入用户的认证举例 12.4.2 对接入用户的认证举例 22.4.3 对 FTP 用户的认证2.5 AAA 和 RADIUS 常见故障的诊断与排除第 3 章 防火

3、墙配置3.1 防火墙简介3.1.1 防火墙概述3.1.2 包过滤3.1.3 访问控制列表3.2 防火墙的配置3.2.1 允许/禁止防火墙3.2.2 配置标准访问控制列表3.2.3 配置扩展访问控制列表3.2.4 设置防火墙的缺省过滤方式3.2.5 设置特殊时间段3.2.6 配置在接口上应用访问控制列表的规则3.2.7 指定日志主机3.3 防火墙的显示和调试3.4 防火墙典型配置举例第 4 章 IPSec 配置4.1 IPSec 协议简介4.2 IPSec 的配置4.2.1 创建加密访问控制列表4.2.2 定义安全提议4.2.3 选择加密算法与认证算法4.2.4 创建安全策略4.2.5 在接口上

4、应用安全策略组4.3 IPSec 的显示和调试4.3.1 VRP 主体软件 IPSec 的显示和调试4.4 IPSec 典型配置举例4.4.1 采用手工方式创建安全联盟4.4.2 采用 IKE 协商方式创建安全联盟第 5 章 IKE 配置5.1 IKE 协议简介5.2 IKE 的配置5.2.1 创建 IKE 安全策略5.2.2 选择加密算法5.2.3 选择认证方法5.2.4 配置预共享密钥(pre-shared key)5.2.5 选择哈希散列算法5.2.6 选择 DH 的组标识5.2.7 设置 IKE 协商安全联盟的生存周期5.2.8 配置 IKE keepalive 定时器5.3 IKE

5、的显示和调试5.4 IKE 典型配置举例5.5 IKE 常见故障的诊断与排除第第 1 章章 终端访问安全配置终端访问安全配置1.1 终端访问安全简介1.1.1 终端访问用户的分类Quidway 系列路由器对命令行接口按用户类型实行分级保护,将终端访问用户分为三类: administrator 用户 operator 用户 guest 用户guest 用户只能登录到路由器上执行 ping、tracert、pad 等连通性测试命令,operator 用户用户只能查看路由器运行信息和调试信息,administrator 用户不仅能查看路由器全部运行信息,还可以对路由器进行配置和维护。所有用户访问路由

6、器都需要验证用户名和口令。1.1.2 命令行接口为终端用户提供的安全特性命令行接口为终端用户提供的安全特性包括: 为了保密,用户在输入口令时,终端屏幕上不做显示输出。 为了防止非法用户进行多次口令尝试,在三次输入口令错误之后,自动断开与该用户的连接。 可以设置终端超时时间(使用 idle-timeout 命令设置),终端用户在设定的时间内如果没有输入任何字符,则自动断开与该用户连接。这样可以防止非法用户访问路由器。1.2 终端访问安全的配置终端访问安全配置包括: 配置终端用户名 配置 EXEC 用户的登录认证1.2.1 配置终端用户名请在系统视图下进行下列配置。表 1-1 配置用户操作命令配置

7、用户local-user user-name service-type type password cipher password 删除用户undo local-user user-name缺省情况下,路由器没有设置用户。关于用户的详细说明请参考VRP 操作手册 (入门)的用户身份管理部分。1.2.2 配置 EXEC 用户的登录认证通过各种终端方式访问路由器的用户都称为终端用户。Quidway 系列路由器将终端用户分为五种类型:异步拨号口终端用户、X.25 PAD 呼叫用户、配置口(Console)用户、哑终端接入用户、Telnet 终端用户。Quidway 系列路由器现在支持从五种接口上进入

8、终端命令行解释器,如下:1. 通过本地 Console 口访问路由器仅适用于本地配置,且路由器第一次上电时必须采用此种方式。通过Console 口配置,有助于避免远程配置和维护带来的安全隐患,提高安全性。不利之处在于配置受地理位置制约。请在系统视图下进行下列配置。表 1-2 通过本地 Console 口访问 路由器操作命令设置 Console 口进入的用户登录认证login con取消 Console 口进入的用户登录认证undo login con2. 通过异步拨号口(工作在 Interactive 方式)访问路由器适用于本地或远程配置。若路由器不是第一次上电,可通过 Modem 拨号与路由

9、器的异步串口(包括同/异步串口、8/16 异步口及 AUX 口等)建立连接来搭建远程配置环境。一方面突破了地域维护的限制,有助于远程查询路由器配置,降低了维护成本;另一方面远程配置也产生了安全隐患。请在系统视图下进行下列配置。表 1-3 通过异步拨号口访问路 由器操作命令设置异步拨号口进入的用户登录认证login async取消异步拨号口进入的用户登录认证undo login async3. 通过异步串口以哑终端接入方式访问路由器适用于本地或远程配置。PC 机 RS-232 串口与路由器的异步串口(包括异步串口、同/异步串口、AUX 口)通过串口线相连,并且路由器的异步串口工作在交互方式下,则

10、用户可经由异步串口对路由器进行配置,这种方式称为哑终端工作方式。就本地配置而言,和 Console 口完全相同;对于远程配置,主要为 Reverse Telnet 服务提供支持。请在系统视图下进行下列配置。表 1-4 通过异步串口以哑终端接入方式 访问路由器操作命令设置对哑终端进入的用户登录认证login hwtty取消对哑终端进入的用户登录认证undo login hwtty4. 通过本地/远程 Telnet 终端访问路由器适用于本地或远程配置。若路由器不是第一次上电,用户已经正确配置了路由器各接口的 IP 地址,则可通过局域网或广域网,使用 Telnet 客户端程序建立与路由器的连接并登录

11、到路由器,然后对路由器进行配置。表 1-5 通过本地/远程 Telnet 终端访 问路由器操作命令设置 Telnet 进入的用户登录认证login telnet取消 Telnet 进入的用户登录认证undo login telnet5. 通过远程 X.25 PAD 呼叫用户访问路由器适用于远程配置。有助于用户在不支持 X.25 规程的终端上,通过 X.25 PAD 功能登录到远端路由器上进行配置,方便了通过 X.25 网络对路由器进行配置管理。请在系统视图下进行下列配置。表 1-6 配置 EXEC 登录认 证操作命令设置对远程 X.25 PAD 呼叫用户的登录认证login pad取消对远程

12、X.25 PAD 呼叫用户的登录认证undo login pad1.3 EXEC 典型配置案例1.3.1 配置 adminstrator 用户从 Console 口的登录认证# 配置 adminstrator 类型的用户本地认证用户名和口令。Quidway local-user abc service-type exec-adminstrator password cipher hello# 设置通过 Console 口进入的用户登录认证。Quidway login con# 使能 AAA。Quidway aaa-enable# 配置终端用户的缺省认证方法表。Quidway aaa authe

13、ntication-scheme login default radius local# 配置 RADIUS 服务器及密钥。Quidway radius server 172.17.0.30 authentication-port 1645 accouting-port 1646 Quidway radius shared-keyquidway本例中用户名为 abc,密文密码为 hello,先采用 RADIUS 服务器认证,若认证无法正常进行,再采用本地认证。在登录到 Console 口连接的路由器上时,只有用户名为 abc,密码为 hello 的用户才能通过登录成功,不符合此条件的用户将被拒

14、绝访问路由器。1.3.2 配置 operator 用户进行 Telnet 的登录认证# 配置 operator 类型用户的本地认证用户名和口令。Quidway user abcd service-type exec-operator password simple hello# 使能 AAA。Quidway aaa-enable# 设置通过 Telnet 方式进入的用户登录认证。Quidway login telnet# 配置 EXEC 用户的认证方法表。Quidway aaa authentication-scheme login default local本例中用户名为 abcd,明文密码

15、为 hello,直接进行本地认证,只有在本地认证通过后才可登录成功。不符合此条件的用户将被拒绝访问路由器。第第 2 章章 AAA 和和 RADIUS 协议配协议配 置置2.1 AAA 和 RADIUS 简介2.1.1 AAA 概述AAA 是 Authentication,Authorization and Accounting(认证、授权和计费)的简称,它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架,它是对网络安全的一种管理。这里的网络安全主要是指访问控制,包括: 哪些用户可以访问网络服务器? 具有访问权的用户可以得到哪些服务? 如何对正在使用网络资源的用户进行计费?AAA 可完成下列服务: 认证:验证用户是否可获得访问权,可选择使用 RADIUS 协议。 授权:授权用户可使用哪些服务。 计费:记录用户使用网络资源的情况。2.1.2 RADIUS 概述1. 什么是 RADIUSRADIUS 是 Remote Authentication Dial-In User Service(远程认证拨号用户服务)的简称,最初由 Livinggston Enterprise 公司开发,作为一种分布式的客户机/服务器系统,能提供 AAA 功能。RADIUS 技术可以保护网络不受未授权访问的干扰,

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 中学教育 > 其它中学文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号