HC110310005HCNA-Security-CBSN第五章防火墙网络互联技术V1.0

修订记录课程编码适用产品产品版本课程版本ISSUEHC1103华为防火墙V300R001V1.0开发/优化者时间审核人开发类型（新开发/优化）陈灵光2011.7余雷第一版本页不打印第五章防火墙网络互联技术

目标学完本课程后，您将能够:掌握VLAN的基本技术掌握SA与E1广域接口技术掌握ADSL的基本技术掌握WLAN与3G无线技术目录VLAN特性技术SA与E1特性技术ADSL特性技术WLAN特性技术3G特性技术广播域……VLAN产生背景－广播风暴广播广播域广播域通过VLAN划分广播域……广播Port1:VLAN-1Port2:VLAN-2VLAN帧格式DASATYPEDATACRCDASATAGTYPEDATACRC标准以太网帧带有IEEE802.1Q标记以太网帧0x8100PRICFIVLANIDTPIDTCI以太网交换机端口分类Access端口一般用于接用户计算机的端口，access端口只能属于1个VLAN。Trunk端口一般用于交换机之间连接的端口，trunk端口可以属于多个VLAN，可以接收和发送多个VLAN的报文。Hybrid端口可以用于交换机之间连接，也可以用于接用户的计算机，hybrid端口可以属于多个VLAN，可以接收和发送多个VLAN的报文。缺省ID（PVID)作用是什么？Access-Link配置默认情况下，交换机所有端口都是Access-Link端口，并属于VLAN-1，即PVID(PortVLANID)为1Port-0/1:VLAN3Port-0/2:VLAN3

配置端口类型：

port

link-type

access创建VLAN：

vlan3

向VLAN中添加端口：

port

ethernet0/1

或向端口中添加VLAN：

port

accessvlan3Trunk-Link配置负责传输多个VLAN的数据Trunk-Link端口PVID默认为1配置端口类型：portlink-typetrunk配置Trunk-Link所允许传递VLAN：porttrunkpermitvlanall配置Trunk-Link端口PVID：

porttrunkpvid1Port-0/3Port-0/3Hybrid-Link配置负责传输多个VLAN的数据，并确定是否剥离TagHybrid-Link端口PVID默认为1配置端口类型：portlink-typehybrid配置hybrid端口允许通过的VLAN信息及PVID：porthybridpvid1vlan10to20taggedPort-0/3Port-0/3VLAN间路由不同VLAN之间的流量不能直接跨越VLAN的边界，需要通过三层设备，将报文从一个VLAN转发到另外一个VLAN。VLAN100VLAN200VLAN300目录VLAN特性技术SA与E1特性技术ADSL特性技术WLAN特性技术3G特性技术SA串口概述串口是最常用的广域网接口之一，分为同步串口和异步串口；SA接口为同步串口，支持V2.4、V3.5、X.21、RS449、RS530式线缆，其波特率有多种选择，以适应不同的对端设备，最大带宽为2.048Mb/s；SA可以工作在DTE和DCE两种方式；SA作为上行接口，链路上可以承载多种类型的业务，如HTTP、FTP等；SA支持的链路层协议类型包括PPP、HDLC；SA支持IP网络层协议；SA串口-配置举例-命令行方式SA接口承载PPP协议配置USG2200A#配置serial1/0/0接口，封装协议采用PPP，其他采用默认值<USG2200A>system-view[USG2200A]interfaceserial1/0/0[USG2200A-serial1/0/0]ipaddress1[USG2200A-serial1/0/0]link-protocolppp[USG2200A-serial1/0/0]shutdown[USG2200A-serial1/0/0]undoshutdown注意：配置完毕后，要将serial1/0/0接口加入安全域中，并打开域间默认包过滤规则。Serial1/0/0Serial1/0/00/241/24USG2200BUSG2200ASA串口-配置举例(Web)什么是E1E1/T1接口是广泛应用的低速WAN物理接口，处于PDH速率体系的底层，通过不同的应用模式为用户提供灵活的低速接入方式。E1/T1接口为地区性标准，E1为ITU-T定义，用于欧洲、中国；T1为ANSI定义，用于北美、日本（也叫J1）。E1/T1接口的本质是时分复用（TDM）。E1/T1接口具有多种应用模式：非通道化（仅E1支持）/通道化/部分通道化/PRI。E1/T1接口的物理特性包括：时钟、编码、帧格式、帧同步、空闲码、帧间填充、环回。E1的时分复用机制在E1系统中帧同步信号的频率是8KHz，即每秒中有8000个重复的帧，采样段时长为1s/8000=125us，125us均分为32份（叫时隙，timeslot），每个时隙有8个bit，因此，E1速率为：8000×32×8＝2,048,000bps，下图为E1基本PCM帧结构E1的一些概念标准时分复用E1是欧洲标准，除美国、加拿大、日本之外使用。速率为：2.048M对应美国、加拿大、日本的T1标准。使用PCM脉冲编码调制。E1采取时分复用（取样周期125微秒）划分为32相等的时隙，时隙的编号为0~31。每个时隙传送8bit，共用256bit。每秒传送8000个帧，PCM一次群E1的数据率就是2.048Mbit/s。TSTS：Timeslot时隙，在E1信道中每8bit组成一个TS，32个TS组成1个Frame（帧），16个F组成一个MF（复帧）TS0TS0，用于传送帧定位信号(FAS)、CRC4（循环冗余校验码）、对端告警指示。TS16TS16，用于传送随路信令(CAS)、复帧定位信号、复帧对端告警指示。E1的应用模式**非成帧也叫ClearChannel净通道**成复帧使用TS16作为信令通道，主要用于语音类传输，如ISDNPRI非成帧(Unframed)成帧(Framed）通道化(Channelled)非通道化(Unchannelled)分类成复帧PCM30PCM31E1应用相关的部件E1模块(1E1/2E1/4E1/1cE1/2cE1/4cE1)转接电缆（配合多路E1模块使用的1托n转接线）阻抗转换（75欧转120欧，75欧转100欧）E1电缆（DB15转BNC，DB15转RJ45等）协议转换器（E1转以太网，E1转V.35）E1接口类型（DB15，RJ45，SMB，BNC）E1典型组网--点对点互联运营商SDH/PDHE1E1运营商SDH/PDHE1协议转换器串口运营商SDH/PDH协议转换器串口串口协议转换器123E1典型组网--点对多点互联1运营商SDH/PDHE12M协议转换器串口总部E1分支1分支2运营商SDH/PDHcPOS155M协议转换器串口总部E1分支1分支222M2M512K128K配置方法

配置时钟

配置线路编码(AMI/HDB3)配置帧格式(校验CRC)配置信道的时隙捆绑

配置时钟

配置线路编码(AMI/HDB3)配置链路层参数，PPP/HDLC物理接口参数逻辑接口参数配置网络层参数，IP地址，路由协议等E1/cE1配置举例-命令行方式物理接口配置controllere9/0/0

clockmastercodehdb3frame-formatno-crc4usingce1channel-set0timeslot-list1-4channel-set1timeslot-list5-8#逻辑接口配置interfaceSerial9/0/0:0

link-protocolpppipaddress52#interfaceSerial9/0/0:1

link-protocolpppipaddress52#E1/cE1配置举例(Web)目录VLAN特性技术SA与E1特性技术ADSL特性技术WLAN特性技术3G特性技术xDSL概述AsymmetricDigitalSubscriber'sLine

非对称数字用户线路,其特点是从服务提供商到用户端（下行）与从用户端到服务提供商（上行）具有不同的数据速率。在一对电话线上同时承载语音业务和数据业务，利用现有的PSTN网络设施，采用特殊的调制技术，在保证不影响正常电话使用的前提下，利用原有的电话双绞线进行高速数据传输。实现用户接入网络运行数据业务的需求。目前主要的xDSL接入技术有三个系列：ADSL/ADSL2/ADSL2+；VDSL/VDSL2；G.SHDSL(SHDSL系列)ADSL概述ADSL2+技术是利用现有的双绞线资源，为用户提供上、下行非对称传输速率的一种技术；G.SHDSL/.bis则可以在普通双绞线上为用户提供对称的高速专线接入业务，主要适用于中小企业互联、移动基站中继、ISDN基群接入；VDSL2宽带接入技术，适用于酒店、网吧用户高速上网、视频会议等，实现专线互连和专线接入。ADSL2+模型双绞线ATU-R分离器分离器PSTNInternet1、配置拨号接口。<USG>system-view[USG]dialer-rule1ippermit#创建Dialer接口，并进入Dialer视图。[USG]interfaceDialer1#指定要拨号的远端用户名。[USG-Dialer1]dialeruserUSG#指定拨号口使用的dialerbundle。[USG-Dialer1]dialerbundle1#配置Dialer1接口所属的拨号访问组。[USG-Dialer1]dialer-group1#配置链路层协议为PPP。[USG-Dialer1]link-protocolppp#使用协商方式获取IP地址。[USG-Dialer1]ipaddressppp-negotiate#使用协商方式获取DNS地址。[USG-Dialer1]pppipcpdnsadmit-any#使用PAP认证方式，用户名和密码均Abcdefgh~。[USG-Dialer1]ppppaplocal-userAbcdefgh~passwordsimpleAbcdefgh~#退回系统视图。[USG-Dialer1]quitADSL配置举例1(命令行)ADSL配置举例2(命令行)2、创建接口Virtual-Ethernet1。[USG]interfaceVirtual-Ethernet1

[USG-Virtual-Ethernet1]quit

3、配置接口Atm2/0/0的PVC值，并配置PVC的封装类型为LLC。[USG]interfaceAtm2/0/0[USG-Atm2/0/0]PVC8/35[USG-Atm2/0/0-8/35]mapbridgevirtual-ethernet1[USG-Atm2/0/0-8/35]encapsulationllc4、配置PPPoE会话。[USG]interfaceVirtual-Ethernet1[USG-Virtual-Ethernet1]pppoe-clientdial-bundle-number1

ADSL配置举例3(命令行)5、将Vlanif接口和Dialer接口分别加入安全区域。[USG]interfaceVlanif1[USG-Vlanif1]ipaddress24

[USG-Vlanif1]quit[USG]firewallzonetrust

[USG-zone-trust]addinterfaceVlanif1

6、将Dialer1接口加入Untrust域。[USG]firewallzoneuntrust[USG-zone-untrust]addinterfaceDialer7、对于USG系列，配置域间包过滤，以保证网络基本通信正常。对于USGBSR/HSR系列，不需要执行此步骤。[USG]policyinterzonetrustuntrustinbound

[USG-policy-interzone-trust-untrust-inbound]policy0

[USG-policy-interzone-trust-untrust-inbound-0]actionpermit

ADSL配置举例4(命令行)8、配置NAT和缺省路由。[USG]nat-policyinterzonetrustuntrustoutbound

[USG-nat-policy-interzone-trust-untrust-outbound]policy1[USG-nat-policy-interzone-trust-untrust-outbound-1]actionsource-nat[USG-nat-policy-interzone-trust-untrust-outbound-1]policysource55

[USG-nat-policy-interzone-trust-untrust-outbound-1]easy-ipDialer1

9、配置缺省路由。[USG]iproute-staticDialer1

ADSL配置举例(Web)目录VLAN特性技术SA与E1特性技术ADSL特性技术WLAN特性技术3G特性技术WLAN概述WLAN（WirelessLocalAreaNetwork，无线局域网)技术是当今通信领域的热点之一，其主要原因是WLAN系统便于搭建和使用，部署时不需要考虑复杂的布线和变迁。然而，WLAN系统不是完全的无线系统，它的服务器和骨干网仍然安置在固定网络，只是用户可以移动。使用WLAN解决方案，网络运营商和企业能够为用户提供无线局域网服务，服务内容包括：应用具有无线局域网功能的设备建立无线网络，带有无线网卡的用户可以连接到无线网络，并能够接入固定网络或因特网。无线用户可以访问传统802.3局域网。使用不同认证和加密方式，安全地访问WLAN。为无线用户提供安全的网络接入和移动区域内的无缝漫游WLAN,WIFI,802.11是一个概念WLAN安全概述802.11协议提供的无线安全性能可以很好地抵御一般性网络攻击，但是仍有少数黑客能够入侵无线网络，从而无法充分保护包含敏感数据的网络。为了更好的防止未授权用户接入网络，需要实施一种性能高于802.11的高级安全机制。USG2000系统通过合入WLAN安全特性，来增强系统的安全性和健壮性。该特性通过检查WLAN-MAC的方式提供802.11客户端的安全接入WLAN基本概念无线客户端（STA）在一个网络中，所有的连接到无线介质的设备都可以称之为无线客户端。每一个无线客户端都装有支持802.11的无线网卡。无线客户端可以分为两大类：AP和客户端。AP（AccessPoint，接入点）AP提供无线用户到局域网的桥接功能，在用户同局域网间进行无线到有线和有线到无线的帧转换。我们的USG2100/2200就是个AP接入点。客户端可以是便携式笔记本电脑、个人数字助理、IP电话、台式机或者装有无线网卡的工作站等其他固定设备。无线路由器能提供无线接入功能的路由器，如一台提供三层接口并可作为FatAP的路由器。所有的无线客户端可以通过无线路由器连接到有线网络、固定网络或者互联网。在本文档中，FatAP和无线路由器的概念是可以互换的。USG2100/USG2200WLAN基本概念开放系统认证（Opensystemauthentication）开放系统认证是缺省使用的认证机制，也是最简单的认证算法，即不认证。如果认证类型设置为开放系统认证，则所有请求认证的客户端都会通过认证。共享密钥认证（Sharedkeyauthentication）共享密钥认证是除开放系统认证以外的另外一种认证机制，主要用于pre-RSN设备。这种认证机制只有在使用WEP加密时才可用。用来兼容老的设备WEP加密WEP（WiredEquivalentPrivacy，有线等效加密）用来保护无线局域网中的授权用户所交换的数据的机密性，防止这些数据被随机窃听。TKIP加密TKIP是一种加密方法，用于增强pre-RSN硬件上的WEP协议的加密的安全性，其加密的安全性远远高于WEP。AES加密AES（AdvancedEncryptionStandard，高级加密标准）加密机制仅用于RSNA客户端。CCM结合CTR（Countermode，计数器模式）进行机密性校验，级别最高。WPAWi-Fi保护访问（Wi-FiProtectedAccess，WPA）是一种使无线电脑网络更安全的系统。WPA实现了IEEE802.11i的主要标准。WPA改进了WEP的认证和加密特性。WLAN网络拓扑结构WLAN配置举例1(命令行)组网需求AP通过Ethernet0/0/0接口（已经加入非信任区域）连接Router。Ethernet0/0/0有固定IP地址：/24；Router上Ethernet1/0/0的IP地址为/24。Station的IP地址分别为/24和/24。Station使用无线网卡连接到AP（SRG），SSID为WLAN100。使用WPA2-PSK认证模式，CCMP加密套件，预共享（PSK）密钥为abcdefgh。要求通过配置WLAN，实现Station的无线上网

WLAN配置举例2(命令行)配置步骤创建Vlanif2接口。[SRG]interfaceVlanif2[SRG-Vlanif2]ipaddress24配置WLAN-BSS接口[SRG]interfacewlan-bss2[SRG-Wlan-Bss2]portaccessvlan2配置服务类[SRG]wlanservice-class2

crypto[SRG-wlan-sc-2]ssidWLAN100[SRG-wlan-sc-2]authentication-methodwpa2-psk[SRG-wlan-sc-2]encryption-suiteccmp[SRG-wlan-sc-2]pre-shared-keypass-phraseabcdefgh[SRG-wlan-sc-2]service-classenable配置射频接口[SRG]interfacewlan-rf4/0/0[SRG-Wlan-rf4/0/0]radio-typedot11gn[SRG-Wlan-rf4/0/0]bindservice-class2interfacewlan-bss2配置客户端无线网卡配置无线网卡IP地址：0/24。无线网卡上的SSID、加密方式、预共享（PSK）密钥应与SRG设备上保持一致。WLAN配置举例3(命令行)WLAN配置举例(Web)目录VLAN特性技术SA与E1特性技术ADSL特性技术WLAN特性技术3G特性技术3G概述什么是3G3G的标准WCDMATD-SCDMACDMA2003G的应用3G是ThirdGeneration的缩写，全称第三代移动通信系统，最早由国际电信联盟ITU于1985年提出，当时称为FPLMTS（FuturePublicLandMobileTelecommunicationSystem），1996年更名为IMT-2000（InternationalMobileTelecommunications-2000），意即该系统工作在2000MHz频段，最高业务速率可达2000kbit/s，在2000年以后得到商用。3G标准：它们分别是WCDMA（欧洲版）、CDMA2000（美国版）和TD-SCDMA（中国版）。国际电信联盟（ITU）在2000年5月确定WCDMA、CDMA2000、TD-SCDMA以及WiMAX四大主流无线接口标准，写入3G技术指导性文件《2000年国际移动通讯计划》（简称IMT—2000）。CDMA是CodeDivisionMultipleAccess(码分多址)的缩写，是第三代移动通信系统的技术基础。3G实现方式具体支持那些无线接口标准取决于所使用的数据卡，目前USG系列支持Express接口形式、USB接口形式和MIC卡接口形式的3类数据卡。Express接口的3G数据库USB接口的3G数据库MIC接口的3G数据库3G数据卡的安装通过3G数据卡，局域网用户可以上行接入广域网。设备同一时间只支持一块3G数据卡工作，禁止在设备上安装多块3G数据卡。当需要更换3G数据卡时，请先将第一块数据卡拔出，再安装新的数据卡。数据卡中已安装相应的SIM（SubscriberIdentityModule）/USIM（UMTSSubscriberIdentityModule）卡，并检查SIM卡的插入方向是否正确。(SIM卡由移动运营商提供)将3G数据卡插入到USG2100的相应接口当中3G实现原理 3G实现主要通过以下几个模块完成:拨号控制管理（DCC） 确定以何种方式触发拨号。MODEM模拟 模拟MODEM，发送相应的拨号串数据卡管理 管理并获取当前数据卡，包括APN配置，状态信息获取等链路控制把收到的数据转化成需要的格式，从而实现转发及各种其他功能3G应用配置举例－命令行方式USG2200使用Ethernet1/0/0接口连接企业内部网络，使用USB3G5/0/0接口接入Internet。要求：企业内网所在网段为/24。使用Dialer0接口进行按需拨号。Express-3G接口的IP地址由无线网络协商分配。通过Dialer接口按需拨号组网图/24Ethernet1/0/09Dialer0USG21003G典型配置(命令行)电信CDMA2000(E169C)联通WCDMA(E180)移动TD-SCDMA(ET128)firewallpacket-filterdefaultpermitalldialer-rule1ippermit#interfaceDialer0link-protocolppp//CDMA2000需配置PPP认证信息；pppchapusercardpppchappasswordsimplecardpppipcpdnsadmit-anyipaddressppp-negotiatedialerenable-circulardialer-group1

//此序号应与相应dialer-rule的序号一致dialertimeridle60dialertimerautodial10dialernumber#777autodial//CDMA2000的拨号串是#777#interfaceCellular5/0/0

//CDMA2000无APN参数配置；

link-protocolpppdialercircular-group0//此序号应与相应dialer接口的序号一致#iproute-staticDialer0firewallpacket-filterdefaultpermitalldialer-rule1