华为双出口网络解决方案配置指导命令详解

1、华为3COM网吧网络解决方案之网关配置指导第页好网吧好网络华为3COM网吧网络解决方案之网关配置指导华为三康技术有限公司Huawei-3ComTechnologies Co., Ltd.x 侵权必究All rights reserved目录TOC o 1-3 h z u HYPERLINK l _Toc120775011 第一部分配置原则概述 PAGEREF _Toc120775011 h 4 HYPERLINK l _Toc120775012 1需要注意的配置事项 PAGEREF _Toc120775012 h 4 HYPERLINK l _Toc1207750一三 1.1配置ACL对非法报

2、文进行过滤 PAGEREF _Toc1207750一三 h 4 HYPERLINK l _Toc120775014 1.1.1进行源IP和目的IP过滤 PAGEREF _Toc120775014 h 4 HYPERLINK l _Toc1207750一五 1.1.2限制ICMP报文 PAGEREF _Toc1207750一五 h 6 HYPERLINK l _Toc120775016 1.1.3限制netbios协议端口 PAGEREF _Toc120775016 h 6 HYPERLINK l _Toc120775017 1.1.4限制常见病毒使用的端口 PAGEREF _Toc120775

3、017 h 7 HYPERLINK l _Toc1207750一八 1.1.5关闭没有使用的端口 PAGEREF _Toc1207750一八 h 8 HYPERLINK l _Toc120775019 1.2NAT配置注意事项 PAGEREF _Toc120775019 h 8 HYPERLINK l _Toc120775020 1.3路由配置注意事项 PAGEREF _Toc120775020 h 8 HYPERLINK l _Toc120775021 1.4进行IP-MAC地址绑定 PAGEREF _Toc120775021 h 9 HYPERLINK l _Toc120775022 1.

4、5限制P2P应用（根据实际情况可选） PAGEREF _Toc120775022 h 9 HYPERLINK l _Toc120775023 1.5.1通过ACL限制端口 PAGEREF _Toc120775023 h 9 HYPERLINK l _Toc120775024 1.5.2结合QOS和ACL限制端口流量 PAGEREF _Toc120775024 h 10 HYPERLINK l _Toc120775025 1.5.3限制单机的NAT会话数 PAGEREF _Toc120775025 h 12 HYPERLINK l _Toc120775026 1.5.4在客户机上通过软件限制 P

5、AGEREF _Toc120775026 h 12 HYPERLINK l _Toc120775027 2附：限制常见P2P软件端口的ACL PAGEREF _Toc120775027 h 12 HYPERLINK l _Toc120775028 第二部分典型配置实例 PAGEREF _Toc120775028 h 一三 HYPERLINK l _Toc120775029 1单出口典型配置 PAGEREF _Toc120775029 h 一三 HYPERLINK l _Toc120775030 1.1局域网内的主机地址是私网IP地址 PAGEREF _Toc120775030 h 一三 HYP

6、ERLINK l _Toc120775031 1.2局域网内的主机地址是公网IP地址 PAGEREF _Toc120775031 h 20 HYPERLINK l _Toc120775032 2双出口链路备份典型配置 PAGEREF _Toc120775032 h 28 HYPERLINK l _Toc120775033 2.1两条链路都是以太网链路的情况 PAGEREF _Toc120775033 h 28 HYPERLINK l _Toc120775034 2.2两条链路是以太网链路+PPPOE链路的情况 PAGEREF _Toc120775034 h 37 HYPERLINK l _To

7、c120775035 3双出口同时实现负载分担和链路备份典型配置 PAGEREF _Toc120775035 h 46第一部分配置原则概述随着网络建设和应用的不断深入，网络安全问题正逐渐成为一个突出的管理问题。AR一八系列路由器通过多种手段和配置可以控制和管理网络的流量，能够有效地实施各种防攻击策略。尤其在网吧这种复杂的网络环境中，全面合理的配置能够大大提高网络的稳定性和可靠性。由于网吧上网人员数量多、构成复杂、流动性大，因此网络流量具有流量大、协议种类多、流量复杂等特点。一般网吧局域网内均有一定程度主机感染病毒，同时也很容易被用来发起网络攻击，或者被他人攻击，这就对网吧中的核心设备网关提出了

8、较高的要求。本文以AR一八系列路由器为例讲解网关在网吧应用中需要注意的配置事项，同时给出了各种组网情况下的典型配置。需要注意的配置事项配置ACL对非法报文进行过滤ACL 是每个安全策略的组成部份，控制和监视什么数据包进入和离开网络几乎是网络安全的定义。尽管路由器的工作是进行数据包的转发而不是阻止它。但是有些数据包我们必须阻止它。进行源IP和目的IP过滤至少应该在所有的接口上对入方向的报文进行过滤。在RFC2827/BCP 38 ( HYPERLINK /tmRFC/RFC_share/Output/bcpIndex.html Best Current Practice)中高度建议使用入口过滤，

9、这不仅可以使你的网络安全，而且可以使其它的网络不会被来自你的网络的伪装的源IP给攻击。许多的网络攻击者使用伪装的源IP地址来隐藏它们的身份，在网络使用了入口过滤功能后，也更加容易定位网络攻击者，因为攻击者必须使用真实的源IP地址。例如：假设局域网接口的IP地址为/24，广域网接口的IP地址为/30，在局域网接口可以设置：acl number 3003rule 2000 permit ip source 55 rule 3000 deny ip 在广域网接口可以设置：acl number 3001rule 2000 permit ip destination rule 2001 permit i

10、p destination 55 rule 3000 deny ip 在广域网接口也可以通过静态包过滤结合ASPF进行更精确的包过滤和攻击防范。例如：#acl number 3011 rule 160 permit icmp icmp-type echo rule 161 permit icmp icmp-type echo-reply rule 162 permit icmp icmp-type ttl-exceeded rule 206 permit tcp destination-port eq telnet rule 3000 deny ip# interface Ethernet1/

11、0 ip address 52 firewall packet-filter 3011 inbound firewall aspf 1 outbound# 注意事项：由于目前ASPF对内存和性能的影响较大，网吧应用环境中不建议在AR一八系列路由器上进行配置。在所有的出报文都需要进行NAT的情况下一般也没有必要配置ASPF。限制ICMP报文ICMP 报文是另一种我们需要关心的数据包。大量的攻击和病毒使用ICMP报文作为攻击手段。但实际上internet是使用的ICMP绝大部分是ping和traceroute。大量的其它icmp类型并不使用。因此，实际上我们可以仅允许ICMP 的ping echo

12、 和 ping reply 及traceroute 所需要的TTL 开放。其它的均可以关闭。例如：acl number 3001rule 160 permit icmp icmp-type echo rule 161 permit icmp icmp-type echo-reply rule 162 permit icmp icmp-type ttl-exceeded rule 165 deny icmp限制netbios协议端口在现今的网络上，充斥着大量的网络扫描。基于UDP 一三7, 一三8 端口的扫描是常见的扫描，UDP 一三7和UDP一三8是netbios 的数据报和名字服务。通常情况

13、下，进入到路由器的一三7和一三8包是广播包，而路由器在默认情况下是不转发这些广播包的。但在某些情况下，一些扫描工具扫描UDP 一三7 和UDP一三8的端口，以图找出主机上的共享文件夹。这种情况下，进入路由器的数据包会是unicast的一三7和一三8，而且通常目的地址不停变化。因此我们可以将这些UDP 一三8和一三8的数据包通过ACL 挡断。保护用户和网络的安全。例如：acl number 3001rule 31 deny udp destination-port eq netbios-ns rule 41 deny udp destination-port eq netbios-dgm rul

14、e 51 deny udp destination-port eq netbios-ssn 限制常见病毒使用的端口一般网吧中存在大量的“冲击波”、“震荡波”等病毒，这类病毒会不断地变化源IP或目的IP进行扫描和发送攻击数据，这会极大地消耗网络设备的资源。笔者曾在一个网吧的实际环境中发现56的上行报文都是“震荡波”病毒的扫描报文。这些病毒一般使用固定的端口，比如TCP/一三5、TCP/4444、UDP/1434、TCP/5554、TCP/9996等，通过ACL对匹配这些目的端口的报文进行过滤会大大提高网络设备的安全性。例如：acl number 3001rule 10 deny tcp dest

15、ination-port eq 445 /Worm.Blaster rule 11 deny udp destination-port eq 445 /Worm.Blaster rule 20 deny tcp destination-port eq 一三5 /Worm.Blaster rule 21 deny udp destination-port eq 一三5 /Worm.Blaster rule 30 deny tcp destination-port eq 一三7 rule 40 deny tcp destination-port eq 一三8 rule 50 deny tcp de

16、stination-port eq 一三9 /Worm.Blaster rule 61 deny udp destination-port eq tftp /Worm.Blaster rule 70 deny tcp destination-port eq 593 /Worm.Blaster rule 80 deny tcp destination-port eq 4444 /Worm.Blaster rule 90 deny tcp destination-port eq 707 /NachiBlaster-D rule 100 deny tcp destination-port eq 14

17、33 rule 101 deny udp destination-port eq 1433 rule 110 deny tcp destination-port eq 1434 rule 111 deny udp destination-port eq 1434 /SQL Slammer rule 120 deny tcp destination-port eq 5554 / Sasser rule 一三0 deny tcp destination-port eq 9996 / Sasser关闭没有使用的端口网络中每时每刻都存在大量的扫描报文，扫描软件一般都会先探测目的主机开放了哪些端口。对于

18、常用的应用程序，如www、ftp、tftp等，如果局域网内并没有机器开放这些服务，可以在广域网接口通过ACL对匹配这些目的端口的报文进行过滤。例如：acl number 3001rule 200 deny tcp destination-port eq www rule 202 deny tcp destination-port eq ftp rule 204 deny tcp destination-port eq 3389NAT配置注意事项需要使用NAT转换地址池时，应尽量缩小NAT转换地址池的大小，因为地址池越大，占用的内存空间就可能会越大，大的地址池对于内存较小的设备很可能会导致内存耗

19、尽。AR系列路由器上每个NAT转换地址可以支持50000个会话，网吧每台机器正常上网时平均会创建30条会话，因此一般情况下地址池配置1个NAT转换地址就可以满足需求。建议在AR一八系列路由器上配置NAT地址池时只配置1个IP地址。例如：nat address-group 1 2一八.27.192.1 2一八.27.192.1路由配置注意事项RFC19一八中指定的保留的私有地址和其他已知的私有地址不应该存在于现有的internet网络上。可以通过黑洞路由进行过滤。避免局域网中存在攻击时占用大量的快转表项或者NAT表项。例如：ip route-static NULL 0 preference 60

20、 ip route-static NULL 0 preference 60 ip route-static NULL 0 preference 60 ip route-static NULL 0 preference 60 ip route-static 198.一八.0.0 NULL 0 preference 60进行IP-MAC地址绑定由于网吧上网人员比较复杂，可能有人有意或无意地更改IP地址，或者使用网络执法官等软件进行恶意地破坏，通过在网关和客户机上都进行IP-MAC地址绑定（静态ARP），可以有效地防止这类以ARP欺骗为基础的攻击。在网关上可以通过arp static命令对所有的客户

21、机进行静态ARP设置。在客户机上可以建立一个批处理文件放到启动组里，批处理文件的内容就是对网关进行IP-MAC绑定，这样每次启动就都会自动进行设置。客户机设置静态ARP的实例：xecho offarp s 00-0f-e2-21-a0-01限制P2P应用（根据实际情况可选）P2P应用对于网吧带宽来说是致命杀手，一个P2P客户端就有可能占用总带宽的90以上，这会严重影响网吧的其他用户的正常上网，尤其是玩在线游戏的用户。限制P2P应用有多种方式可以选择，但目前还没有非常有效的方法。下面分别介绍几种常用的方法。通过ACL限制端口通过ACL限制端口。一是只限制P2P的端口，开放所有的其他端口，这种方法

22、有其局限性，因为现在有的p2p软件，端口可以改变，封锁后会自动改端口，甚至可以改到80端口，如果连这个也封，那网络使用就无法正常工作了；二是只开放有用的端口，封闭其他端口，这种方法是对网络进行严格的控制，对简单的小型网络还可行，而如果是大型网络，数据流量又很复杂那么管理的难度将非常大；因此这两种方法对网吧都不太适合。结合QOS和ACL限制端口流量结合QOS和ACL来限制P2P端口的数据流量。因为多数蠕虫病毒和p2p的端口都是大于3000的，当然也有正常的应用是采用3000以上的端口，如果我们将3000以上的端口封闭，这样正常的应用也无法开展，所以折中的方法是对端口3000以上的数据流进行限速。

23、在实际应用中可能需要根据实际情况更改端口号的范围以使对其他应用的影响降低到最小。例如：在广域网接口和QOS结合使用的ACL。acl number 3100 rule 1000 permit tcp destination-portgt3000 rule 1010 permit udp destination-port gt3000在广域网接口配置的QOS。# traffic classifier p2pin operator or if-match acl 3100# traffic behavior p2pin car cir 2048000 cbs 1024000 ebs 0 green

24、pass red discard# qos policy p2pin classifier p2pin behavior p2pin# interface Ethernet1/0 ip address 52 qos apply policy p2pin inbound# 在局域网接口和QOS结合使用的ACL。acl number 3300rule 1000 permit tcp source-port gt3000 rule 1010 permit udp source-port gt3000在局域网接口配置的QOS。#traffic classifier p2pout operator or

25、 if-match acl 3300#traffic behavior p2pout car cir 2048000 cbs 1024000 ebs 0 green pass red discard#qos policy p2pout classifier p2pout behavior p2pout# interface Ethernet3/0 ip address qos apply policy p2pout inbound #限制单机的NAT会话数以后的VRP软件会支持NAT的单用户限制，即可以对做地址转换的单个IP限制其NAT的TCP连接数，因为P2P类软件如BT的一大特点就是同时会

26、有很多的连接数，从而占用了大量的NAT表项，因此应用该方法可有效限制BT的使用，比如我们为IP 设置最大的NAT表项数为100；正常的网络访问肯定够用了，但如果使用BT，那么很快此IP的NAT表项数会达到100，一旦达到峰值，该IP的其他访问就无法再进行NAT转换，必须等到部分NAT表项失效后，才能再次使用，这样既有效的保护了网络的带宽，也达到了警示的作用。在客户机上通过软件限制在客户机上通过软件设置来禁止使用P2P软件。有很多网吧管理软件可以根据需要禁止各种软件的运行，建议需要禁止P2P应用的网吧采用这种方式。以上我们总结了目前可用的限制P2P软件的一些方法，具体采用哪种方法只能根据具体网络

27、的状况来定，当然也可以将几种方法结合起来使用。附：限制常见P2P软件端口的ACL acl number 3100rule 1000 deny tcp destination-port eq 2710 rule 1010 deny tcp destination-port eq 6969 rule 1020 deny tcp destination-port range 8881 8999 rule 1030 deny tcp destination-port eq 10一三7 rule 1040 deny tcp destination-port eq 16881 rule 1050 deny

28、 tcp destination-port range 4661 4662 rule 1060 deny udp destination-port eq 4665 rule 1070 deny udp destination-port eq 4672 第二部分典型配置实例单出口典型配置这类网吧只有一个到ISP的出口，是最常见的一种情况，网络拓扑比较简单，下面根据局域网内的主机地址是私网IP地址还是公网IP地址分为两种情况举例。局域网内的主机地址是私网IP地址网络拓扑图如图1所示，AR一八-22-24通过/30网段和ISP相连，局域网内的IP地址段是/24，局域网内的主机上网需要通过AR一八-2

29、2-24进行NAT转换。/30/24ISPAR一八-22-24图1 单出口需要进行NAT转换拓扑图Quidway display current-configuration# sysname Quidway# clock summer-time BJ repeating 00:00:0006/01/200023:59:59 08/31/2000 01:00:00# clock timezone Peking add 08:00:00# FTP server enable# firewall enable# flow-interval 5# web set-package force flash

30、:/http.zip#radius scheme system#domain system#local-user admin password cipher .xUSE=B,53Q=QMAF41! service-type telnet terminal level 3 service-type ftp# 配置进行NAT转换时引用的ACL。acl number 2001 rule 10 permit source 55# 配置在接口上应用的过滤规则，主要用于攻击防范，强烈建议配置。acl number 3001 rule 10 deny tcp destination-port eq 445

31、rule 11 deny udp destination-port eq 445 rule 20 deny tcp destination-port eq 一三5 rule 21 deny udp destination-port eq 一三5 rule 30 deny tcp destination-port eq 一三7 rule 31 deny udp destination-port eq netbios-ns rule 40 deny tcp destination-port eq 一三8 rule 41 deny udp destination-port eq netbios-dg

32、m rule 50 deny tcp destination-port eq 一三9 rule 51 deny udp destination-port eq netbios-ssn rule 61 deny udp destination-port eq tftp rule 70 deny tcp destination-port eq 593 rule 80 deny tcp destination-port eq 4444 rule 90 deny tcp destination-port eq 707 rule 100 deny tcp destination-port eq 1433

33、 rule 101 deny udp destination-port eq 1433 rule 110 deny tcp destination-port eq 1434 rule 111 deny udp destination-port eq 1434 rule 120 deny tcp destination-port eq 5554 rule 一三0 deny tcp destination-port eq 9996 rule 141 deny udp source-port eq bootps rule 160 permit icmp icmp-type echo rule 161

34、 permit icmp icmp-type echo-reply rule 162 permit icmp icmp-type ttl-exceeded rule 165 deny icmp rule 2002 permit ip destination 0 rule 3000 deny ipacl number 3003 rule 10 deny tcp destination-port eq 445 rule 11 deny udp destination-port eq 445 rule 20 deny tcp destination-port eq 一三5 rule 21 deny

35、udp destination-port eq 一三5 rule 30 deny tcp destination-port eq 一三7 rule 31 deny udp destination-port eq netbios-ns rule 40 deny tcp destination-port eq 一三8 rule 41 deny udp destination-port eq netbios-dgm rule 50 deny tcp destination-port eq 一三9 rule 51 deny udp destination-port eq netbios-ssn rul

36、e 61 deny udp destination-port eq tftp rule 70 deny tcp destination-port eq 593 rule 80 deny tcp destination-port eq 4444 rule 90 deny tcp destination-port eq 707 rule 100 deny tcp destination-port eq 1433 rule 101 deny udp destination-port eq 1433 rule 110 deny tcp destination-port eq 1434 rule 111

37、 deny udp destination-port eq 1434 rule 120 deny tcp destination-port eq 5554 rule 一三0 deny tcp destination-port eq 9996 rule 141 deny udp source-port eq bootps rule 160 permit icmp icmp-type echo rule 161 permit icmp icmp-type echo-reply rule 162 permit icmp icmp-type ttl-exceeded rule 165 deny icm

38、p rule 2010 deny ip source 0 rule 2030 permit ip source 55 rule 3000 deny ip# 配置广域网接口E1/0，对入报文进行过滤（所有出报文均需要做NAT时可以不对入报文进行过滤），对出报文进行NAT。interface Ethernet1/0 ip address 52 firewall packet-filter 3001 inbound nat outbound 2001#interface Ethernet2/0# 配置局域网接口E3/0，对入报文进行过滤。interface Ethernet3/0 ip addres

39、s firewall packet-filter 3003 inbound#interface Ethernet3/1#interface Ethernet3/2#interface Ethernet3/3#interface Ethernet3/4#interface Ethernet3/5#interface Ethernet3/6#interface Ethernet3/7#interface Ethernet3/8#interface Ethernet3/9#interface Ethernet3/10 #interface Ethernet3/11#interface Etherne

40、t3/12#interface Ethernet3/一三#interface Ethernet3/14#interface Ethernet3/一五#interface Ethernet3/16#interface Ethernet3/17#interface Ethernet3/一八#interface Ethernet3/19#interface Ethernet3/20#interface Ethernet3/21 #interface Ethernet3/22#interface Ethernet3/23#interface Ethernet3/24#interface NULL0#

41、配置缺省路由和黑洞路由。 ip route-static preference 60 ip route-static NULL 0 preference 60 ip route-static NULL 0 preference 60 ip route-static NULL 0 preference 60 ip route-static NULL 0 preference 60 ip route-static 198.一八.0.0 NULL 0 preference 60#user-interface con 0user-interface vty 0 4 authentication-mod

42、e scheme#return局域网内的主机地址是公网IP地址网络拓扑图如图2所示，AR一八-22-24通过/30网段和ISP相连，局域网内的IP地址段是2一八.168.1.0/24，局域网内的主机上网只需要在AR一八-22-24上设置路由。/302一八.168.1.1/24ISPAR一八-22-24图2 单出口不需要进行NAT转换拓扑图Quidwaydisplay current-configuration# sysname Quidway# clock summer-time BJ repeating 00:00:0006/01/200023:59:59 08/31/2000 01:00:

43、00# clock timezone Peking add 08:00:00# FTP server enable# firewall enable# flow-interval 5# web set-package force flash:/http.zip#radius scheme system#domain system#local-user admin password cipher .xUSE=B,53Q=QMAF41! service-type telnet terminal level 3 service-type ftp# 配置在接口上应用的过滤规则，主要用于攻击防范，强烈建

44、议配置。acl number 3001 rule 10 deny tcp destination-port eq 445 rule 11 deny udp destination-port eq 445 rule 20 deny tcp destination-port eq 一三5 rule 21 deny udp destination-port eq 一三5 rule 30 deny tcp destination-port eq 一三7 rule 31 deny udp destination-port eq netbios-ns rule 40 deny tcp destinatio

45、n-port eq 一三8 rule 41 deny udp destination-port eq netbios-dgm rule 50 deny tcp destination-port eq 一三9 rule 51 deny udp destination-port eq netbios-ssn rule 61 deny udp destination-port eq tftp rule 70 deny tcp destination-port eq 593 rule 80 deny tcp destination-port eq 4444 rule 90 deny tcp desti

46、nation-port eq 707 rule 100 deny tcp destination-port eq 1433 rule 101 deny udp destination-port eq 1433 rule 110 deny tcp destination-port eq 1434 rule 111 deny udp destination-port eq 1434 rule 120 deny tcp destination-port eq 5554 rule 一三0 deny tcp destination-port eq 9996 rule 141 deny udp sourc

47、e-port eq bootps rule 160 permit icmp icmp-type echo rule 161 permit icmp icmp-type echo-reply rule 162 permit icmp icmp-type ttl-exceeded rule 165 deny icmp rule 200 deny tcp destination-port eq www rule 202 deny tcp destination-port eq ftp rule 204 deny tcp destination-port eq 3389 rule 2001 permi

48、t ip destination 2一八.168.1.0 55 rule 2002 permit ip destination 0 rule 3000 deny ipacl number 3003 rule 10 deny tcp destination-port eq 445 rule 11 deny udp destination-port eq 445 rule 20 deny tcp destination-port eq 一三5 rule 21 deny udp destination-port eq 一三5 rule 30 deny tcp destination-port eq

49、一三7 rule 31 deny udp destination-port eq netbios-ns rule 40 deny tcp destination-port eq 一三8 rule 41 deny udp destination-port eq netbios-dgm rule 50 deny tcp destination-port eq 一三9 rule 51 deny udp destination-port eq netbios-ssn rule 61 deny udp destination-port eq tftp rule 70 deny tcp destinati

50、on-port eq 593 rule 80 deny tcp destination-port eq 4444 rule 90 deny tcp destination-port eq 707 rule 100 deny tcp destination-port eq 1433 rule 101 deny udp destination-port eq 1433 rule 110 deny tcp destination-port eq 1434 rule 111 deny udp destination-port eq 1434 rule 120 deny tcp destination-

51、port eq 5554 rule 一三0 deny tcp destination-port eq 9996 rule 141 deny udp source-port eq bootps rule 160 permit icmp icmp-type echo rule 161 permit icmp icmp-type echo-reply rule 162 permit icmp icmp-type ttl-exceeded rule 165 deny icmp rule 2010 deny ip source 2一八.168.1.1 0 rule 2030 permit ip sour

52、ce 2一八.168.1.0 55 rule 3000 deny ip# 配置广域网接口E1/0，对入报文进行过滤。interface Ethernet1/0 ip address 52 firewall packet-filter 3001 inbound#interface Ethernet2/0# 配置局域网接口E3/0，对入报文进行过滤interface Ethernet3/0 ip address 2一八.168.1.1 firewall packet-filter 3003 inbound#interface Ethernet3/1#interface Ethernet3/2#in

53、terface Ethernet3/3#interface Ethernet3/4#interface Ethernet3/5#interface Ethernet3/6#interface Ethernet3/7#interface Ethernet3/8#interface Ethernet3/9#interface Ethernet3/10 #interface Ethernet3/11#interface Ethernet3/12#interface Ethernet3/一三#interface Ethernet3/14#interface Ethernet3/一五#interface

54、 Ethernet3/16#interface Ethernet3/17#interface Ethernet3/一八#interface Ethernet3/19#interface Ethernet3/20#interface Ethernet3/21 #interface Ethernet3/22#interface Ethernet3/23#interface Ethernet3/24#interface NULL0# 配置缺省路由和黑洞路由。 ip route-static preference 60 ip route-static NULL 0 preference 60 ip r

55、oute-static NULL 0 preference 60 ip route-static NULL 0 preference 60 ip route-static NULL 0 preference 60 ip route-static 198.一八.0.0 NULL 0 preference 60#user-interface con 0user-interface vty 0 4 authentication-mode scheme#return双出口链路备份典型配置双出口进行主备备份在一般出现在到一个ISP有两条链路，一条带宽比较宽，一条带宽比较低的情况下。下面就两种常见的组网给

56、出配置实例。两条链路都是以太网链路的情况网络拓扑图如图3所示，AR一八-22-24有两条到ISP的链路，E1/0为主用链路，网络地址为/30，E2/0为备用链路，网络地址为/30。正常工作时所有的流量通过主用链路E1/0发送，当主用链路出现异常时设备会自动切换到备用链路，主用链路恢复后会自动重新启用。1/30/30/24/30/30ISPAR一八-22-24ISP图3双以太网链路主备备份拓扑图Quidwaydisplay current-configuration# sysname Quidway# clock summer-time BJ repeating 00:00:0006/01/20

57、0023:59:59 08/31/2000 01:00:00# clock timezone Peking add 08:00:00# FTP server enable# firewall enable# flow-interval 5# web set-package force flash:/http.zip#radius scheme system#domain system#local-user admin password cipher .xUSE=B,53Q=QMAF41! service-type telnet terminal level 3 service-type ftp

58、# 配置自动侦测组1，侦测主用链路的对端地址是否可达，侦测间隔为5s。detect-group 1 detect-list 1 ip address timer loop 5# 配置接口应用NAT时引用的ACL。acl number 2001 rule 10 permit source 55# 配置在接口上应用的过滤规则，主要用于攻击防范，强烈建议配置。acl number 3001 rule 10 deny tcp destination-port eq 445 rule 11 deny udp destination-port eq 445 rule 20 deny tcp destina

59、tion-port eq 一三5 rule 21 deny udp destination-port eq 一三5 rule 30 deny tcp destination-port eq 一三7 rule 31 deny udp destination-port eq netbios-ns rule 40 deny tcp destination-port eq 一三8 rule 41 deny udp destination-port eq netbios-dgm rule 50 deny tcp destination-port eq 一三9 rule 51 deny udp desti

60、nation-port eq netbios-ssn rule 61 deny udp destination-port eq tftp rule 70 deny tcp destination-port eq 593 rule 80 deny tcp destination-port eq 4444 rule 90 deny tcp destination-port eq 707 rule 100 deny tcp destination-port eq 1433 rule 101 deny udp destination-port eq 1433 rule 110 deny tcp des