博文
实战手记之Advanced NAT(2006-05-27 01:59:00)
摘要:最近一台CheckPoint防火墙出了问题:在事件查看器中可以查到“No License for Routers”的错误,经常死机。这个错误在CheckPoing文档中没有记录, 据说是有一个“路由器管理模块”没有购买。最后发现,其实只要在安装正式License时不要将试用License去掉就没有这个问题。
在等待有关方面支持的同时,我们将该防火墙撤下来,暂时用路由器实现原来由防火墙完成的地址转换、访问控制等部分功能,新旧拓朴图如下:
设置方法比较简单:
如果临时使用的交换机SW不支持VLAN,则可以在路由器内网端口上使用secondary address,注意这样做会把DMZ跟内网出口混在一起,要在内网多层交换机上设置好访问控制列表,阻止通过DMZ入侵内网。配置形如:
interface FastEthernet0/0
ip address 202.1.1.1 255.255.255.252
ip access-group 101 in
ip nat outside
!
interface FastEthernet1/0
ip address 192.168.1.254 255.255.255.0 secondary
ip address 10.0.0.1 255.255.255.0
ip nat inside
!
ip nat pool inet 202.2.2.1 202.2.2.9 netmask 255.255.255.0
ip nat inside source list 1 pool inet overload
ip nat inside source static 192.168.1.230 202.2.2.230
ip nat inside source static 192.168.1.231 202.2.2.231
ip classless
ip route 0.0.0.0 0.0.0.0 202.1.1.2
ip route 10.0.0.0 255.0.0.0 10.0.0.254
!
access-list 1 permit 10.0.0.0 0.0.0.255
access-list 101 permit tcp any any established
access......
Configuring Static and Dynamic NAT(2006-05-27 01:59:00)
摘要:NAT Router
ip nat pool test 172.16.131.2 172.16.131.10 netmask 255.255.255.0
ip nat inside source list 7 pool test
ip nat inside source static 10.10.10.1 172.16.131.1
interface e 0
ip address 10.10.10.254 255.255.255.0
ip nat inside
interface s 0
ip address 172.16.131.254 255.255.255.0
ip nat outside
access-list 7 deny host 10.10.10.1
access-list 7 permit 10.10.10.0 0.0.0.255......
配置网络地址转换和静态端口地址转换支持内部服务器(2006-05-27 01:58:00)
摘要:
前言
® Cisco IOS网络地址转换(NAT)为IP地址简单 化和保存设计,因为启用使用未注册的IP 地址连接到互联网的专 用的IP内部网络。 NAT在内部网络动手术在一个Cisco路由器 ,一起通常连接二个网络,并且转换专用的(内部本地)地址为公共 地址(Outside Local)在信息包转发到另一个网络之前。作为 此功能一部分,NAT只可以配置为整个网络做通告一个地址对外界。 这从世界有效隐藏内部网络因而提供附加安全性。
背景理论
其中一个NAT主要功能是静态端口地址转换(PAT),也 指"超载"在Cisco IOS配置。 静态PAT设计允许本地和全局地 址的之间一对一映射。普通的使用为静态PAT是允许互联网用 户从公共网络访问位于专用网络的网络服务器。
下面 的表显示IP地址空间三个块可用为专用网络。
IP地址空间
组
10.0.0.0 - 10.255.255.255 (/8 前缀或255.0.0.0子网)
A类
172.16.0.0 - 172.31.255.255 (/16前缀或255.255.0.0子网)
B类
192.168.0.0 - 192.168.255.255 (/24 前缀或255.255.255.0子网)
C类
在下面的示例,互 联网服务提供商(ISP) 分配DSL订户仅单个IP地址,171.68.1.1/24 。 指定的IP地址是一个注册的独立IP地址和称为内部全局地 址。此注册的IP地址在专用网络将由来自公共网络的互联网 用户用于通过整个专用网络访问互联网并且到达网络服务器。
专用LAN,192.168.0.0/24,连接到 NAT路由器的以太网接口。此专用LAN包含几台个人计算机和 一个网络服务器。配置NAT路由器转换来自这些个人计算机的 未注册的IP地址(内部本地地址)到单个公共IP地址 (Inside Global - 171.68.1.1)访问互联网。
注意192.168.0.5 (网络服务器)是一个地址在不可能 路由对互联网的专用地址空间。 唯一的可视IP地址为了能到 达网络服务器的公共互联网用户将是171.68.1.1。所以,配 置NAT路由器执行IP地址171.68.1......
配置路由器和交换机上的安全Shell运行的CiscoIOS(2006-05-27 01:58:00)
摘要:
前言
本文讨论配置和调试安 全外壳(SSH)在运行的Cisco IOS软件的版本支持 SSH® Cisco 路由器或交换机。欲知关于特定 版本和软件镜象的,下面请参阅更多信息。
使 用的组件
本文的信息根 据以下的软件及硬件版本。
Cisco IOS 3600软件(C3640-IK9S-M),版本 12.2(2)T1
SSH介绍到 IOS platforms/images如下所示。
SSH版本1.0 (SSHv1)服务器在起动在12.0.5.S 的一 些IOS platforms/images被引入了。
SSH客户端在开始在12.1.3.T的一些IOS platforms/images介绍。
SSH终端线 路接入(亦称反向Telnet)在开始在12.2.2.T的一些 IOS platforms/images被引入。
关 于信息关于SSH技术支持在交换机,参见 如何 配置SSH在运行CatcOs的Catalyst交换机。
关于一张完全特性集列表不同的平台 支持用不同的Cisco IOS版本和,参见 软件 顾问 (注册的用户)。
本文提供的信息在特定实验室环境里从设备被创建了 。用于本文的所有设备开始了以一个缺省(默认)配置。 如果在一个真实网络工作,保证您使用它以前了解所有命令 的潜在影响。
SSHv1与SSHv2
此时,IOS只支持SSHv1; Cisco没有计划实现 SSHv2。有此的几个原因,如下所述。
Cisco在Cisco IOS实现SSH当IP安全(IPSec) 通过互 联网工程任务组(IETF)被开发。在IPSec 开发过程期间,而 SSH的实施在IOS是更多一项战术措施提供接入路由器一个安全的方 法IPSec 是核心功能。Cisco投入人员维护SSH功能为修正, 但增进将制定要求低优先级。Cisco 做到配置IPSec为获取 所有数据流,包括管理数据流到/从Cisco网络设备。
如果弱点在SSHv1的协议或实施被发 现,将制定他们的复核最优先考虑的事,和所有潜在安全漏洞。 注意Cisco IOS编码不是相同作为代码在UNIX、Windows,或 者所有其他设备查找。同样地,一个编码问题在那些实施之 一中在Cisco IOS很可能不会查找。 另外,不是所有的S......
QoS术语说明(2006-05-27 01:56:00)
摘要: 无线辨识系统(RFID)的应用情形、标准化程度以及技术上的革新正在持续不断地改变当中。由于处于刚被采用的阶段,这项科技拥有许多不为广泛大众了解的特色。在此同时,无线辨识系统的技术也持续不断地创造出更大的内存容量、更广的读取范围,以及更高的运算处理速度。 一般都认为无线辨识系统极不可能完全取代条形码系统,理由是即使是面对生产原料必然的减少,再加上生产过程到达相当程度的经济规模,无线辨识系统所使用的询答器芯片,再怎么样都不能与生产条形码的高成本效益相比。尽管如此,无线辨识系统仍然拥有其特殊的利基,在条形码或其它光学技术无法发挥功效之市场中,持续地成长。
而且,若是在规格的标准化上再取得共识,使得各家厂商所制造的无线辨识系统能够相互地交替使用,那么这个市场的规模预计将呈指数成长。
何谓无线辨识系统? 无线辨识系统的主要目的如下:透过一般称为卷标(TAG)的询答器来传递资料,并在适当的时间与地点,利用计算机可读的方式来撷取资料,以满足其产品应用的特定需求。而这个卷标内所储存的数据可以用来辨识许多物体,从尚在制造中的对象、运输中的货品、地点、车辆识别认证、动物以致于人类,都可以透过这个卷标来辨识。
其作法是在产品的询答器卷标上储存该产品的附加信息,之后只要该产品的卷标一被读取,就可马上得到产品支持用途、产品特殊信息或使用说明等产品相关的信息,例如车体在进入生产线上的喷漆区时需确认的烤漆颜色、弹性制造区内的生产设定指示、以及船运货品所附的清单等等。
除了以上所述的询答器卷标之外,无线辨识系统仍需要一个质问或辨读询答器资料的方式,以及与主机或信息管理系统间联络与传输资料的方法。另外,如果系统制造商没有在出厂前将资料烧入询答器的芯片中,使用者也需要某种装置来进行资料的输入或程序的设定。
在讨论无线辨识系统的时候,常常强调其中天线装置的重要性,程度足以让人认为天线装置是无线辨识系统中的一个独立的部分。事实上天线装置的重要性也在无线辨识系统的外观上表露无遗,因为在读取机以及询答器上都有这项装置,而其主要的功能是让两个装置能够互相沟通。
&......
Qos技术入门篇(2006-05-27 01:56:00)
摘要: 当移动用户或远程用户通过拨号方式远程访问公司或企业内部专用网络的时候,采用传统的远程访问方式不但通讯费用比较高,而且在与内部专用网络中的计算机进行数据传输时,不能保证通信的安全性。为了 避免以上的问题,通过拨号与企业内部专用网络建立VPN连接是一个理想的选择。
VPN带来的好处
降低费用 首先远程用户可以通过向当地的ISP申请账户登录到Internet,以Internet作为隧道与企业内部专用网络相连,通信费用大幅度降低;其次企业可以节省购买和维护通讯设备的费用。
增强的安全性 VPN通过使用点到点协议(PPP)用户级身份验证的方法进行验证,这些验证方法包括:密码身份验证协议 (PAP)、质询握手身份验证协议 (CHAP)、Shiva 密码身份验证协议 (SPAP)、Microsoft 质询握手身份验证协议 (MS-CHAP) 和可选的可扩展身份验证协议 (EAP);并且采用微软点对点加密算法(MPPE)和网际协议安全(IPSec)机制对数据进行加密。以上的身份验证和加密手段由远程VPN服务器强制执行。对于敏感的数据,可以使用VPN连接通过VPN服务器将高度敏感的数据服务器物理地进行分隔,只有企业Intranet上拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接,并且可以访问敏感部门网络中受到保护的资源。
网络协议支持 VPN支持最常用的网络协议,基于IP、IPX和NetBEUI协议网络中的客户机都可以很容易地使用VPN。这意味着通过VPN连接可以远程运行依赖于特殊网络协议的应用程序。
IP地址安全 因为VPN是加密的, VPN数据包在Internet中传输时,Internet上的用户只看到公用的IP地址,看不到数据包内包含的专有网络地址。因此远程专用网络上指定的地址是受到保护的。
VPN使用的协议
VPN使用两种隧道协议:点到点隧道协议(PPTP)和第二层隧道协议(L2TP)。
PPTP PPTP是PPP的扩展,它增加了一个新的安全等级,并且可以通过Internet 进行多协议通信,它支持通过公共网络(如Internet)建立按需的、多协议的、虚拟专用网络。PPTP 可以建立隧道或将 IP、IPX 或 NetBEUI 协议封装在 PPP 数据包内,因此允许用户远程运行依赖特......
现代银行网络路由及QoS解决方案(2006-05-27 01:55:00)
摘要:对于那些无论何时何地都有上网需求的朋友来说,GPRS的无线上网则有着特别的吸引力。利用GPRS上网的方法很多,但是对于大多数朋友来说,使用手机+笔记本电脑来体验GPRS的魅力恐怕才是最为常用的,下面我们就一步步教大家该如何操作。
一、准备工作
我们以爱立信T68i为例,首先要安装Ericsson Communications Suite软件,它包含有Ericsson手机的Modem驱动程序,所以必须要安装它。可以到http://mobile.ericsson.com.cn/t68/resources/R3APackage6.exe进行下载。自解压后会出现语言选择菜单,选择“中文-->简体”后按确定进行安装,完成后按照要求重启计算机。
二、安装Modem驱动
在使用T68上网时,T68的作用就是一个调制解调器,所以我们在使用它时一定要先安装相应的驱动程序,安装方法如下。
在控制面板中双击调制解调器图标。 进入调制解调器属性窗口。并点击添加按钮,开始添加调制解调器。
从驱动列表中选取Ericsson T68 IR Modem,按下一步继续。
从驱动列表中选取Ericsson T68 IR Modem,按下一步继续。 将端口设置为Virtual Infrared COM Port,也就是红外端口,按下一步继续即可完成安装过程。 这时在调制解调器属性页面中,已经出现了我们刚安装的“Ericsson T68 IR Modem”,下面点击属性按钮。 将最快速度设为“115200”,以获得最好的连接效果。 至此T68i调制解调器便安装成功,下面就开始进行拨号设置。 在拨号网络中双击“建立新连接”,创建使用T68i调制解调器的连接。在这里给它起个名字,比如“T68”,并在设备中选择刚才安装的“Ericsson T68 IR Modem”,按下一步继续。 在电话号码处输入“*99#”,这是GPRS的专用号码,然后按下一步便成功创建了T68连接。 连接建立后,还要对它进行一些设置。在拨号网络中右击新建的T68连接,然后选择属性,在常规标签中去掉“使用区号与拨号属性”前面的勾,这样才能正常拨号。
接下来打开笔记本电脑的红外端口。 然后再打开T68i的红外线端口,并将它与......
TCP/IP协议(2006-05-27 01:53:00)
摘要:TCP/IP协议,或称为TCP/IP协议栈,或互联网协议系列。
TCP/IP协议栈(按TCP/IP参考模型划分)
应用层
FTP
SMTP
HTTP
...
传输层
TCP
UDP
网络层
IP ICMP
ARP
链路层
以太网
令牌环
FDDI
...
包含了一系列构成互联网基础的网络协议。这些协议最早发源于美国国防部的DARPA互联网项目。TCP/IP字面上代表了两个协议:TCP传输控制协议和IP互联网协议。时间回放到1983年1月1日,在这天,互联网的前身Arpanet中,TCP/IP协议取代了旧的网络核心协议NCP(Network Core Protocol),从而成为今天的互联网的基石。最早的的TCP/IP由Vinton Cerf和Robert Kahn两位开发,慢慢地通过竞争战胜了其它一些网络协议的方案,比如国际标准化组织ISO的OSI模型。TCP/IP的蓬勃发展发生在上世纪的90年代中期。当时一些重要而可靠的工具的出世,例如页面描述语言HTML和浏览器Mosaic,导致了互联网应用的飞速发展。
随着互联网的发展,目前流行的IPv4协议(IP Version 4,IP版本四)已经接近它的功能上限。IPv4最致命的两个缺陷在与:
地址只有32位,IP地址空间有限; 不支持服务等级(Quality of Service, Qos)的想法,无法管理带宽和优先级,故而不能很好的支持现今越来越多的实时的语音和视频应用。因此IPv6 (IP Version 6, IP版本六) 浮出海面,用以取代IPv4。 TCP/IP成功的另一个因素在与对为数众多的低层协议的支持。这些低层协议对应与OSI模型 中的第一层(物理层)和第二层(数据链路层)。每层的所有协议几乎都有一半数量的支持TCP/IP,例如: 以太网(Ethernet),令牌环(Token Ring),光纤数据分布接口(FDDI),端对端协议( PPP),X.25,帧中继(Frame Relay),ATM,Sonet, SDH等。
TCP/IP协议栈组成整个通信网络的任务,可以划分成不同的功能块,即抽象成所谓的 ” 层” 。用于互联网的协议可以比照TCP/IP参考模型进行分类。TCP/IP协议栈起始于第三层协议IP(互联网协议) 。所有这些协议都......
二层虚拟专用网(L2VPN)技术实现及标准(2006-05-27 01:52:00)
摘要:摘要 IP/MPLS网络运营商如果采用L2VPN技术,就可以利用IP/MPLS网络同时支持IP业务和数据业务,提高网络资源的使用和管理效率,这项技术因此得到了运营商的关注。本文概要介绍了L2VPN技术的三种实现方式,并介绍国内外标准制定的有关情况。关键词 IP MPLS L2VPN 虚拟专用网1、引言 L2VPN技术是为了充分利用IP/MPLS网络资源来支持数据业务而推出的,用IP/MPLS网络为二层数据链路包(如ATM信元、FR帧、以太网帧)提供传送通道,以便实现IP网和数据网的融合。业务提供商可以提供给用户的L2VPN业务有三种不同的形式,即VPWS,VPLS和IPLS。2、L2VPN的业务形式 2.1 虚拟专用线路业务(VPWS) VPWS提供点到点的二层数据链路帧传送业务,其业务系统的基本参考模型如图1所示。运营商网络边缘路由器(PE)和运营商网络内部的路由器(P)都是由运营商来维护管理的路由器,用户边缘设备(CE)通过以太网、ATM或FR等二层链路接入系统。参考模型中各个功能组件完成的功能分别为:
图1 VPWS基本参考模型
(1)CE是用户侧的接入设备,负责将用户业务流通过直连电路(AC)发往PE; (2)PE路由器上要支持L2VPN协议规程,包括在控制面上通过信令建立PE到PE的伪线路连接,数据面上完成二层数据链路帧到IP/MPLS标记包的封装/去封装和相应处理功能,并通过PSN隧道中的伪线路将标记包传送到对端PE; (3)P路由器支持L2VPN业务流的透明传送,不支持L2VPN规程,只起提供承载通道的作用,PE之间建立的包交换(PSN)隧道可以经过多个P路由器; (4)直连电路(AC)是指用户接入L2VPN系统所使用的ATM虚电路、FR虚电路或以太网VLAN链路; (5)伪线路(PW)是指PE之间利用L2VPN信令建立的连接,PE将AC传来的二层数据帧通过PW传送到对端PE,对端PE再恢复或重新生成二层链路帧传送到对端AC; (6)包交换(PSN)隧道是指IP/MPLS网络上的MPLS LSP(标记交换路径)或L2TP隧道,多条PW可以复用在一条PSN隧道中从PE传往对端PE。 可以看出,VPWS可以充分利用IP/MPLS网络资源来支持点到点的数据业务,但是骨干网内PE到PE的信令会话数量和PSN隧道数量可能会......
虚拟专用网VPN在企业中应用(2006-05-27 01:52:00)
摘要:导读-- 随着企业规模逐渐扩大,远程用户、远程办公人员、分支机构、合作伙伴也在不断增多,关键业务的需求增加,出现了一种通过公共网络(如Internet)来建立自己的专用网络的技术,这种技术就是虚拟专用网(简称VPN)。 一、概述 随着企业规模逐渐扩大,远程用户、远程办公人员、分支机构、合作伙伴也在不断增多,关键业务的需求增加,出现了一种通过公共网络(如Internet)来建立自己的专用网络的技术,这种技术就是虚拟专用网(简称VPN)。VPN集灵活性、安全性、经济性以及扩展性于一身,可充分满足分支机构、移动办公安全通信的需求。在北美和欧洲,VPN已成为一项相当普及的网络业务。目前国内的VPN应用主要集中在大型企业和行业用户。随着宽带网的普及,Internet接入的性价比提高,中小企业也能利用VPN技术来扩展自己的网络。通过宽带网组建的VPN增值潜力大,除了用于数据业务,还可用于语音、视频通信业务,从而实现三网合一的需求。除了租用电信运营商的VPN服务外,还可通过自购VPN产品,在公网上建立更加安全的专用通道,来连接自己的分支机构和移动用户。 二、VPN概念 VPN的基本思想就是在公共网络上建立安全的专用网络,来传输内部信息而形成逻辑网络,从而为企业用户提供比专线价格更低廉,安全性更高的资源共享和互联服务。VPN是企业内部网的扩展。 虚拟专用网指的是在公用网络上建立专用网络的技术,即通过对网络数据的封包和加密传输,在公用网络上传输私有数据,形成一种逻辑上的专用网络。它向用户提供一般专用网络所具有的功能,但本身却不是一个独立的物理网络。 顾名思义,所谓“虚拟”(Virtual),说明它是一种仿真物理连接的逻辑网络连接,没有固定的物理连接,利用的是公共网络资源。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用公用网络资源(如Internet、ATM网络、帧中继网络等)动态组成的。所谓“专用”(Private,或译为“私用”),说明它在功能上等同于传统的专用网络,具有与内部网络相同的安全性、易管理性和稳定性,可被当作专用网络使用。 VPN至少应能提供如下功能:加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露;信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份;提供访问控制,不同的用户有不同的访问权限......