HC110310005HCNA-Security-CBSN第五章防火墙网络互联技术V1.0_第1页
HC110310005HCNA-Security-CBSN第五章防火墙网络互联技术V1.0_第2页
HC110310005HCNA-Security-CBSN第五章防火墙网络互联技术V1.0_第3页
HC110310005HCNA-Security-CBSN第五章防火墙网络互联技术V1.0_第4页
HC110310005HCNA-Security-CBSN第五章防火墙网络互联技术V1.0_第5页
已阅读5页,还剩50页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

修订记录课程编码适用产品产品版本课程版本ISSUEHC1103华为防火墙V300R001V1.0开发/优化者时间审核人开发类型(新开发/优化)陈灵光2011.7余雷第一版本页不打印第五章防火墙网络互联技术

目标学完本课程后,您将能够:掌握VLAN的基本技术掌握SA与E1广域接口技术掌握ADSL的基本技术掌握WLAN与3G无线技术目录VLAN特性技术SA与E1特性技术ADSL特性技术WLAN特性技术3G特性技术广播域……VLAN产生背景-广播风暴广播广播域广播域通过VLAN划分广播域……广播Port1:VLAN-1Port2:VLAN-2VLAN帧格式DASATYPEDATACRCDASATAGTYPEDATACRC标准以太网帧带有IEEE802.1Q标记以太网帧0x8100PRICFIVLANIDTPIDTCI以太网交换机端口分类Access端口一般用于接用户计算机的端口,access端口只能属于1个VLAN。Trunk端口一般用于交换机之间连接的端口,trunk端口可以属于多个VLAN,可以接收和发送多个VLAN的报文。Hybrid端口可以用于交换机之间连接,也可以用于接用户的计算机,hybrid端口可以属于多个VLAN,可以接收和发送多个VLAN的报文。缺省ID(PVID)作用是什么?Access-Link配置默认情况下,交换机所有端口都是Access-Link端口,并属于VLAN-1,即PVID(PortVLANID)为1Port-0/1:VLAN3Port-0/2:VLAN3

配置端口类型:

port

link-type

access创建VLAN:

vlan3

向VLAN中添加端口:

port

ethernet0/1

或向端口中添加VLAN:

port

accessvlan3Trunk-Link配置负责传输多个VLAN的数据Trunk-Link端口PVID默认为1配置端口类型:portlink-typetrunk配置Trunk-Link所允许传递VLAN:porttrunkpermitvlanall配置Trunk-Link端口PVID:

porttrunkpvid1Port-0/3Port-0/3Hybrid-Link配置负责传输多个VLAN的数据,并确定是否剥离TagHybrid-Link端口PVID默认为1配置端口类型:portlink-typehybrid配置hybrid端口允许通过的VLAN信息及PVID:porthybridpvid1vlan10to20taggedPort-0/3Port-0/3VLAN间路由不同VLAN之间的流量不能直接跨越VLAN的边界,需要通过三层设备,将报文从一个VLAN转发到另外一个VLAN。VLAN100VLAN200VLAN300目录VLAN特性技术SA与E1特性技术ADSL特性技术WLAN特性技术3G特性技术SA串口概述串口是最常用的广域网接口之一,分为同步串口和异步串口;SA接口为同步串口,支持V2.4、V3.5、X.21、RS449、RS530式线缆,其波特率有多种选择,以适应不同的对端设备,最大带宽为2.048Mb/s;SA可以工作在DTE和DCE两种方式;SA作为上行接口,链路上可以承载多种类型的业务,如HTTP、FTP等;SA支持的链路层协议类型包括PPP、HDLC;SA支持IP网络层协议;SA串口-配置举例-命令行方式SA接口承载PPP协议配置USG2200A#配置serial1/0/0接口,封装协议采用PPP,其他采用默认值<USG2200A>system-view[USG2200A]interfaceserial1/0/0[USG2200A-serial1/0/0]ipaddress1[USG2200A-serial1/0/0]link-protocolppp[USG2200A-serial1/0/0]shutdown[USG2200A-serial1/0/0]undoshutdown注意:配置完毕后,要将serial1/0/0接口加入安全域中,并打开域间默认包过滤规则。Serial1/0/0Serial1/0/00/241/24USG2200BUSG2200ASA串口-配置举例(Web)什么是E1E1/T1接口是广泛应用的低速WAN物理接口,处于PDH速率体系的底层,通过不同的应用模式为用户提供灵活的低速接入方式。E1/T1接口为地区性标准,E1为ITU-T定义,用于欧洲、中国;T1为ANSI定义,用于北美、日本(也叫J1)。E1/T1接口的本质是时分复用(TDM)。E1/T1接口具有多种应用模式:非通道化(仅E1支持)/通道化/部分通道化/PRI。E1/T1接口的物理特性包括:时钟、编码、帧格式、帧同步、空闲码、帧间填充、环回。E1的时分复用机制在E1系统中帧同步信号的频率是8KHz,即每秒中有8000个重复的帧,采样段时长为1s/8000=125us,125us均分为32份(叫时隙,timeslot),每个时隙有8个bit,因此,E1速率为:8000×32×8=2,048,000bps,下图为E1基本PCM帧结构E1的一些概念标准时分复用E1是欧洲标准,除美国、加拿大、日本之外使用。速率为:2.048M对应美国、加拿大、日本的T1标准。使用PCM脉冲编码调制。E1采取时分复用(取样周期125微秒)划分为32相等的时隙,时隙的编号为0~31。每个时隙传送8bit,共用256bit。每秒传送8000个帧,PCM一次群E1的数据率就是2.048Mbit/s。TSTS:Timeslot时隙,在E1信道中每8bit组成一个TS,32个TS组成1个Frame(帧),16个F组成一个MF(复帧)TS0TS0,用于传送帧定位信号(FAS)、CRC4(循环冗余校验码)、对端告警指示。TS16TS16,用于传送随路信令(CAS)、复帧定位信号、复帧对端告警指示。E1的应用模式**非成帧也叫ClearChannel净通道**成复帧使用TS16作为信令通道,主要用于语音类传输,如ISDNPRI非成帧(Unframed)成帧(Framed)通道化(Channelled)非通道化(Unchannelled)分类成复帧PCM30PCM31E1应用相关的部件E1模块(1E1/2E1/4E1/1cE1/2cE1/4cE1)转接电缆(配合多路E1模块使用的1托n转接线)阻抗转换(75欧转120欧,75欧转100欧)E1电缆(DB15转BNC,DB15转RJ45等)协议转换器(E1转以太网,E1转V.35)E1接口类型(DB15,RJ45,SMB,BNC)E1典型组网--点对点互联运营商SDH/PDHE1E1运营商SDH/PDHE1协议转换器串口运营商SDH/PDH协议转换器串口串口协议转换器123E1典型组网--点对多点互联1运营商SDH/PDHE12M协议转换器串口总部E1分支1分支2运营商SDH/PDHcPOS155M协议转换器串口总部E1分支1分支222M2M512K128K配置方法

配置时钟

配置线路编码(AMI/HDB3)配置帧格式(校验CRC)配置信道的时隙捆绑

配置时钟

配置线路编码(AMI/HDB3)配置链路层参数,PPP/HDLC物理接口参数逻辑接口参数配置网络层参数,IP地址,路由协议等E1/cE1配置举例-命令行方式物理接口配置controllere9/0/0

clockmastercodehdb3frame-formatno-crc4usingce1channel-set0timeslot-list1-4channel-set1timeslot-list5-8#逻辑接口配置interfaceSerial9/0/0:0

link-protocolpppipaddress52#interfaceSerial9/0/0:1

link-protocolpppipaddress52#E1/cE1配置举例(Web)目录VLAN特性技术SA与E1特性技术ADSL特性技术WLAN特性技术3G特性技术xDSL概述AsymmetricDigitalSubscriber'sLine

非对称数字用户线路,其特点是从服务提供商到用户端(下行)与从用户端到服务提供商(上行)具有不同的数据速率。在一对电话线上同时承载语音业务和数据业务,利用现有的PSTN网络设施,采用特殊的调制技术,在保证不影响正常电话使用的前提下,利用原有的电话双绞线进行高速数据传输。实现用户接入网络运行数据业务的需求。目前主要的xDSL接入技术有三个系列:ADSL/ADSL2/ADSL2+;VDSL/VDSL2;G.SHDSL(SHDSL系列)ADSL概述ADSL2+技术是利用现有的双绞线资源,为用户提供上、下行非对称传输速率的一种技术;G.SHDSL/.bis则可以在普通双绞线上为用户提供对称的高速专线接入业务,主要适用于中小企业互联、移动基站中继、ISDN基群接入;VDSL2宽带接入技术,适用于酒店、网吧用户高速上网、视频会议等,实现专线互连和专线接入。ADSL2+模型双绞线ATU-R分离器分离器PSTNInternet1、配置拨号接口。<USG>system-view[USG]dialer-rule1ippermit#创建Dialer接口,并进入Dialer视图。[USG]interfaceDialer1#指定要拨号的远端用户名。[USG-Dialer1]dialeruserUSG#指定拨号口使用的dialerbundle。[USG-Dialer1]dialerbundle1#配置Dialer1接口所属的拨号访问组。[USG-Dialer1]dialer-group1#配置链路层协议为PPP。[USG-Dialer1]link-protocolppp#使用协商方式获取IP地址。[USG-Dialer1]ipaddressppp-negotiate#使用协商方式获取DNS地址。[USG-Dialer1]pppipcpdnsadmit-any#使用PAP认证方式,用户名和密码均Abcdefgh~。[USG-Dialer1]ppppaplocal-userAbcdefgh~passwordsimpleAbcdefgh~#退回系统视图。[USG-Dialer1]quitADSL配置举例1(命令行)ADSL配置举例2(命令行)2、创建接口Virtual-Ethernet1。[USG]interfaceVirtual-Ethernet1

[USG-Virtual-Ethernet1]quit

3、配置接口Atm2/0/0的PVC值,并配置PVC的封装类型为LLC。[USG]interfaceAtm2/0/0[USG-Atm2/0/0]PVC8/35[USG-Atm2/0/0-8/35]mapbridgevirtual-ethernet1[USG-Atm2/0/0-8/35]encapsulationllc4、配置PPPoE会话。[USG]interfaceVirtual-Ethernet1[USG-Virtual-Ethernet1]pppoe-clientdial-bundle-number1

ADSL配置举例3(命令行)5、将Vlanif接口和Dialer接口分别加入安全区域。[USG]interfaceVlanif1[USG-Vlanif1]ipaddress24

[USG-Vlanif1]quit[USG]firewallzonetrust

[USG-zone-trust]addinterfaceVlanif1

6、将Dialer1接口加入Untrust域。[USG]firewallzoneuntrust[USG-zone-untrust]addinterfaceDialer7、对于USG系列,配置域间包过滤,以保证网络基本通信正常。对于USGBSR/HSR系列,不需要执行此步骤。[USG]policyinterzonetrustuntrustinbound

[USG-policy-interzone-trust-untrust-inbound]policy0

[USG-policy-interzone-trust-untrust-inbound-0]actionpermit

ADSL配置举例4(命令行)8、配置NAT和缺省路由。[USG]nat-policyinterzonetrustuntrustoutbound

[USG-nat-policy-interzone-trust-untrust-outbound]policy1[USG-nat-policy-interzone-trust-untrust-outbound-1]actionsource-nat[USG-nat-policy-interzone-trust-untrust-outbound-1]policysource55

[USG-nat-policy-interzone-trust-untrust-outbound-1]easy-ipDialer1

9、配置缺省路由。[USG]iproute-staticDialer1

ADSL配置举例(Web)目录VLAN特性技术SA与E1特性技术ADSL特性技术WLAN特性技术3G特性技术WLAN概述WLAN(WirelessLocalAreaNetwork,无线局域网)技术是当今通信领域的热点之一,其主要原因是WLAN系统便于搭建和使用,部署时不需要考虑复杂的布线和变迁。然而,WLAN系统不是完全的无线系统,它的服务器和骨干网仍然安置在固定网络,只是用户可以移动。使用WLAN解决方案,网络运营商和企业能够为用户提供无线局域网服务,服务内容包括:应用具有无线局域网功能的设备建立无线网络,带有无线网卡的用户可以连接到无线网络,并能够接入固定网络或因特网。无线用户可以访问传统802.3局域网。使用不同认证和加密方式,安全地访问WLAN。为无线用户提供安全的网络接入和移动区域内的无缝漫游WLAN,WIFI,802.11是一个概念WLAN安全概述802.11协议提供的无线安全性能可以很好地抵御一般性网络攻击,但是仍有少数黑客能够入侵无线网络,从而无法充分保护包含敏感数据的网络。为了更好的防止未授权用户接入网络,需要实施一种性能高于802.11的高级安全机制。USG2000系统通过合入WLAN安全特性,来增强系统的安全性和健壮性。该特性通过检查WLAN-MAC的方式提供802.11客户端的安全接入WLAN基本概念无线客户端(STA)在一个网络中,所有的连接到无线介质的设备都可以称之为无线客户端。每一个无线客户端都装有支持802.11的无线网卡。无线客户端可以分为两大类:AP和客户端。AP(AccessPoint,接入点)AP提供无线用户到局域网的桥接功能,在用户同局域网间进行无线到有线和有线到无线的帧转换。我们的USG2100/2200就是个AP接入点。客户端可以是便携式笔记本电脑、个人数字助理、IP电话、台式机或者装有无线网卡的工作站等其他固定设备。无线路由器能提供无线接入功能的路由器,如一台提供三层接口并可作为FatAP的路由器。所有的无线客户端可以通过无线路由器连接到有线网络、固定网络或者互联网。在本文档中,FatAP和无线路由器的概念是可以互换的。USG2100/USG2200WLAN基本概念开放系统认证(Opensystemauthentication)开放系统认证是缺省使用的认证机制,也是最简单的认证算法,即不认证。如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证。共享密钥认证(Sharedkeyauthentication)共享密钥认证是除开放系统认证以外的另外一种认证机制,主要用于pre-RSN设备。这种认证机制只有在使用WEP加密时才可用。用来兼容老的设备WEP加密WEP(WiredEquivalentPrivacy,有线等效加密)用来保护无线局域网中的授权用户所交换的数据的机密性,防止这些数据被随机窃听。TKIP加密TKIP是一种加密方法,用于增强pre-RSN硬件上的WEP协议的加密的安全性,其加密的安全性远远高于WEP。AES加密AES(AdvancedEncryptionStandard,高级加密标准)加密机制仅用于RSNA客户端。CCM结合CTR(Countermode,计数器模式)进行机密性校验,级别最高。WPAWi-Fi保护访问(Wi-FiProtectedAccess,WPA)是一种使无线电脑网络更安全的系统。WPA实现了IEEE802.11i的主要标准。WPA改进了WEP的认证和加密特性。WLAN网络拓扑结构WLAN配置举例1(命令行)组网需求AP通过Ethernet0/0/0接口(已经加入非信任区域)连接Router。Ethernet0/0/0有固定IP地址:/24;Router上Ethernet1/0/0的IP地址为/24。Station的IP地址分别为/24和/24。Station使用无线网卡连接到AP(SRG),SSID为WLAN100。使用WPA2-PSK认证模式,CCMP加密套件,预共享(PSK)密钥为abcdefgh。要求通过配置WLAN,实现Station的无线上网

WLAN配置举例2(命令行)配置步骤创建Vlanif2接口。[SRG]interfaceVlanif2[SRG-Vlanif2]ipaddress24配置WLAN-BSS接口[SRG]interfacewlan-bss2[SRG-Wlan-Bss2]portaccessvlan2配置服务类[SRG]wlanservice-class2

crypto[SRG-wlan-sc-2]ssidWLAN100[SRG-wlan-sc-2]authentication-methodwpa2-psk[SRG-wlan-sc-2]encryption-suiteccmp[SRG-wlan-sc-2]pre-shared-keypass-phraseabcdefgh[SRG-wlan-sc-2]service-classenable配置射频接口[SRG]interfacewlan-rf4/0/0[SRG-Wlan-rf4/0/0]radio-typedot11gn[SRG-Wlan-rf4/0/0]bindservice-class2interfacewlan-bss2配置客户端无线网卡配置无线网卡IP地址:0/24。无线网卡上的SSID、加密方式、预共享(PSK)密钥应与SRG设备上保持一致。WLAN配置举例3(命令行)WLAN配置举例(Web)目录VLAN特性技术SA与E1特性技术ADSL特性技术WLAN特性技术3G特性技术3G概述什么是3G3G的标准WCDMATD-SCDMACDMA2003G的应用3G是ThirdGeneration的缩写,全称第三代移动通信系统,最早由国际电信联盟ITU于1985年提出,当时称为FPLMTS(FuturePublicLandMobileTelecommunicationSystem),1996年更名为IMT-2000(InternationalMobileTelecommunications-2000),意即该系统工作在2000MHz频段,最高业务速率可达2000kbit/s,在2000年以后得到商用。3G标准:它们分别是WCDMA(欧洲版)、CDMA2000(美国版)和TD-SCDMA(中国版)。国际电信联盟(ITU)在2000年5月确定WCDMA、CDMA2000、TD-SCDMA以及WiMAX四大主流无线接口标准,写入3G技术指导性文件《2000年国际移动通讯计划》(简称IMT—2000)。CDMA是CodeDivisionMultipleAccess(码分多址)的缩写,是第三代移动通信系统的技术基础。3G实现方式具体支持那些无线接口标准取决于所使用的数据卡,目前USG系列支持Express接口形式、USB接口形式和MIC卡接口形式的3类数据卡。Express接口的3G数据库USB接口的3G数据库MIC接口的3G数据库3G数据卡的安装通过3G数据卡,局域网用户可以上行接入广域网。设备同一时间只支持一块3G数据卡工作,禁止在设备上安装多块3G数据卡。当需要更换3G数据卡时,请先将第一块数据卡拔出,再安装新的数据卡。数据卡中已安装相应的SIM(SubscriberIdentityModule)/USIM(UMTSSubscriberIdentityModule)卡,并检查SIM卡的插入方向是否正确。(SIM卡由移动运营商提供)将3G数据卡插入到USG2100的相应接口当中3G实现原理 3G实现主要通过以下几个模块完成:拨号控制管理(DCC) 确定以何种方式触发拨号。MODEM模拟 模拟MODEM,发送相应的拨号串数据卡管理 管理并获取当前数据卡,包括APN配置,状态信息获取等链路控制把收到的数据转化成需要的格式,从而实现转发及各种其他功能3G应用配置举例-命令行方式USG2200使用Ethernet1/0/0接口连接企业内部网络,使用USB3G5/0/0接口接入Internet。要求:企业内网所在网段为/24。使用Dialer0接口进行按需拨号。Express-3G接口的IP地址由无线网络协商分配。通过Dialer接口按需拨号组网图/24Ethernet1/0/09Dialer0USG21003G典型配置(命令行)电信CDMA2000(E169C)联通WCDMA(E180)移动TD-SCDMA(ET128)firewallpacket-filterdefaultpermitalldialer-rule1ippermit#interfaceDialer0link-protocolppp//CDMA2000需配置PPP认证信息;pppchapusercardpppchappasswordsimplecardpppipcpdnsadmit-anyipaddressppp-negotiatedialerenable-circulardialer-group1

//此序号应与相应dialer-rule的序号一致dialertimeridle60dialertimerautodial10dialernumber#777autodial//CDMA2000的拨号串是#777#interfaceCellular5/0/0

//CDMA2000无APN参数配置;

link-protocolpppdialercircular-group0//此序号应与相应dialer接口的序号一致#iproute-staticDialer0firewallpacket-filterdefaultpermitalldialer-rule1

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论