ISSUE 5.0
Copyright by Huawei-3Com Technologies Co., Ltd. May not be used or transmitted without prior consent
Objetivos
Perfeccionar la configuracin de
LCA con IP bsica y avanzada.
y la configuracin de la Traduccin
de las Direcciones de Red (TDR) o Network Address Translation (NAT)
Para cualquier paquete un ruteador necesita transferir, primero obtener la informacin del encabezado o header y luego
transferir o descartar el paquete, dependiendo de los resultados a comparar. La clave tecnolgica para implementar el filtrado de paquetes son las LCA (ACL).
Red Interna
Internet
Sucursales
Compaa
4
Usuario no autorizado
Las LCA pueden ser utilizadas como firewall. Las LCA pueden ser utilizadas como QoS (Quality of Service), para controlar el flujo de datos.
En el DCC (Dial Control Center), las LCA pueden ser utilizadas para definir las condiciones para accionar un enlace dial-up.
direcciones.
Cuando la poltica de ruteo es configurada, las LCA pueden ser utilizadas para filtrar la informacin de ruteo.
Encabezado IP
Encabezado TCP
Informacin
Direccin destino
La Lista de Control de Acceso utiliza las reglas definidas por estos elementos.
Identificar las LCA por nmeros seriales Clasificar las LCA en nmeros.
Rango para identificar un rango de nmeros
Tipos de listado
ACL Bsico
ACL Avanzado ACL Interfaz-base
2000 a 2999
3000 a 3999 1000 a 1999
MAC-basado en LCA
4000 a 4999
Las Listas de Control de Acceso Bsicas utiliza solamente la descripcin de la direccin principal para mostrar cundo habilitar o deshabilitar el paso de los paquetes.
Los paquetes de 202.110.10.0/24 pueden pasar!
Router
El comando formato o format para configurar una LCA Bsica es como sigue:
acl number acl-number [ match-order { config | auto } ] rule [ rule-id ] { permit | deny } [ source sour-addr sourwildcard | any ] [ time-range time-name ] [ logging ]
La Wildcard, cuando se utiliza en combinacin con la direccin IP, puede describir un rango de direcciones.
255
Solo los primeros 24 bits para ser comparados Solo los primeros 22 bits para ser comparados Solo los primeros 8 bits para ser comparados
10
0
0
0
255
3
255
255
255
Una LCA avanzada utiliza mayor informacin adicional para describir el paquete, indicando "permit (permitido) o "deny (denegado).
Los paquetes de 202.110.10.0/24 a 179.100.17.10 que utilizan protocolos TCP y ganan acceso via HTTP pueden pasar!
Router
11
rule [ rule-id ] { permit | deny } protocol [ source sour-addr sour-wildcard | any ] [ destination dest-addr dest-mask | any ] [ soucre-port operator port1 [ port2 ] ] [ destination-port operator port1 [ port2 ] ] [ icmp-type { icmp-message |icmp-type icmp-code} ] [ precedence precedence ] [ tos tos ] [ time-range time-name ] [ logging ] [ fragment ] [ vpn-instance vpninstanc-name ]
12
Carcter de Operacin y gramtica eq portnumber gt portnumber lt portnumber neq portnumber range portnumber1 portnumber2
Significado Igual al nmero de puerto Mayor al nmero de puerto Menor al nmero de puerto Desigual al nmero de puerto Entre el puerto nmero 1 y el puerto nmero 2
13
10.1.0.0/16 10.1.0.0/16
rule deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq www logging Paquetes TCP 129.9.0.0/16 Puertos WWW 202.38.160.0/24
14
Internet
Compaa
Rules of ACL
Depurando informacin
{ inbound | outbound }
Ethernet 0/0
Serial 0/0
17
Internet
Rules of ACL
Durante la hora de trabajo (8:00 17:00), slo sites especiales pueden ser accesados. Otros sitios pueden ser accesados en el resto del tiempo.
18
to end-time ] [ days ]
19
Una LCA puede estar compuesta por mltiples reglas. Existen dos tipos de secuencias a coincidir para estas reglas:
auto y config.
En caso de conflictos en cuanto a reglas, si la secuencia es auto (depth priority), las reglas que describen los rangos de las direcciones pequeas se considerarn primero.
En caso de conflictos en cuanto a reglas, si la secuencia es config, la regla que se configura primero, ser considerada primero.
20
21
Usuarios mltiples en una LAN para acceder a Internet por una direccin de IP pblica, la traduccin de direcciones puede ser utilizada.
Proteccin de seguridad de red: la Tecnologa de Traduccin de Direcciones puede esconder efectivamente a los usuarios
Mientras tanto, la traduccin de direcciones puede proveer tales servicios como el FTP, WWW y Telnet de la red interna a la red externa, de acuerdo a los requerimientos del usuario.
22
LAN1
Internet
LAN2
192.168.0.3
El rango de direcciones privadas: 10. 0. 0. 0 - 10.255.255.255 172. 16. 0. 0 - 172. 31.255.255 192.168. 0. 0 - 192.168.255.255
LAN3
23
Internet
IP:202.0.0.1 Port:4001
PC2
LAN
IP:192.168.0.2 Port:3010
24
Internet
PC2
LAN
Fijando las LCA, PC1 puede acceder a Internet a travs de la traduccin de direcciones, mientras PC2 no puede.
Las LCA pueden ser utilizadas para determinar qu usuarios pueden acceder a Internet y que usuarios no.
25
Adoptar EASY IP o conjunto de direcciones (Address Pool) para proveer direcciones pblicas.
De acuerdo al modo seleccionado ( EASY IP o Address Pool), la traduccin de direcciones es permitida en la interfaz conectada a Internet.
26
Propiedad Easy IP
Easy IP: Durante la traduccin de direcciones, la direccin IPA de la interfaz puede ser utilizada directamente como la
PC1
S0/0:202.0.0.1
Internet
PC2
LAN
27
PC1 y PC2 pueden directamente utilizar la direccin IP del Serial0/0 como direccin pblica.
Conjunto de Direcciones
Internet
PC2
LAN Address Pool o Conjunto de Direcciones es la coleccin de algunas direcciones IP continuas, identificadas por un
El conjunto de direcciones habilita mayor nmero de usuarios LAN para acceder a Internet simultneamente.
28
29
Serial 0/0
Internet
extranet user
nat server [ vpn-instance vpn-instance-name ] protocol protype global global-addr [ global-port ] inside host-addr [ hostport ]
nat server [ vpn-instance vpn-instance-name ] protocol protype global global-addr global-port 1 global-port2 inside hostaddr1 host-addr2 host-port
Ejemplo
31
display nat { address-group | aging-time | all | outbound | server | statistics | session [ vpn-instance vpn-instance-name ] [ slot slot-number ] [ destination ip-addr ] [source global globaladdr | source inside inside-addr ] }
nat aging-time { default | { dns | ftp-ctrl | ftp-data | icmp | pptp | tcp | tcp-fin | tcp-syn | udp } seconds }
Debugging o depuramiento
Es difcil para la traduccin de direcciones procesar paquetes que contengan informacin de direcciones til.
La traduccin de direcciones no puede ser ejecutada en caso de que el encabezado de la IP se encuentre encriptado.
Debido a que la direccin del usuario interno es escondido, a veces la depuracin de la red se vuelve muy compleja.
33
34
129.38.1.4
129.38.1.5
202.38.160.1
Internet
Usuario externo especfico
35
Habilitar el firewall. Definir Listas de Control de Acceso avanzadas Aplicar LCA a la interfaz. Definir la traduccin de direcciones en trminos de LCA en la interfaz.
36
Configuracin
[Quidway]firewall enable
Configuracin (continuacin)
[Quidway-acl-adv-3001]rule
permit
tcp
source
any
destination
Resumen
Principios de filtrado de paquetes. Configuracin de los principios de listas de acceso bsico y listas de acceso avanzadas.
LCA para funciones de firewall. Conceptos bsicos y principios de TDR. Configuracin de NAT.
39
Gracias !
Huawei-3Com Technology Co., Ltd.
www.huawei-3com.com