为路由器配置备份的ACL调整

2020-12-29 18:53湖南工业大学现代教育技术中心郭兆宏
网络安全和信息化 2020年5期
关键词:拷贝配置文件网关

■ 湖南工业大学现代教育技术中心 郭兆宏

编者按:提到路由器ACL配置,网络管理者们都不会陌生。为了保证路由器正常工作,本文介绍了笔者在实际工作中总结的关于路由器备份的ACL修改调整的策略经验,

路由器的配置文件需定期备份,一般是拷贝配置文件到TFTP服务器如:copy running-config tftp://X.X.X.X/XYZ-run-config.txt。为减少攻击影响保护路由器正常工作,在路由器RG-RSR7716上加流表过滤保护即ip fpm session filter ABC,因为路由器的流表数是有限的,ip fpm session filter ABC的原理就是:在建立流表前去匹配调用的ACL-ABC,如果被ACLABC拒绝就不会再去建流了,只有允许的才能建流从而保障流表不会给占满,即正常的数据能建立流表而不会因流表占满而被丢弃。但这样做后对路由器的配置文件通过TFTP备份无法成功,备份出来的文件是空的,这是因为流表过滤ip fpm session filter ABC中的ACL-ABC过滤掉拷贝备份了,必须要增加一些允许的策略,为此做了以下的调整试验。

在流表过滤的ACL中增加TFTP服务允许

因为在路由器RSR7716启用流表过滤后即ip fpm session filter 199后,而ip fpm session filter 是全局生效的,开启这项功能后不管从那个接口进入的数据,都会先匹配到被调用的ACL上。

所以,在配置此策略的ACL时一定要注意:一是放通内外网管理路由器的流量;二是放通内网用户到外网的数据;三是放通外网的用户访问内网流量,即服务器所映射的公网IP及端口。

对路由器RSR7716的配置文件备份不成功,肯定是因这条ACL199给禁止了,ACL199最后一条是deny ip any any,ip fpm session filter 199类似防火墙功能,没有放通的流量就会被阻止,必须在ACL199里面增加对拷贝的允许。而配置文件拷贝到TFTP服务器使用了TFTP服务,而TFTP即简单文件传输协议是基于UDP实现,该协议简单到只能从远程服务器读取数据或向远程服务器上传数据,TFTP默认情况下,作为TFTP服务器的主机A会监听69端口,当作为客户端的主机B想要下载或上传文件时,会向主机A的69端口发送包含读文件(下载)请求或写文件(上传)请求的数据包。

主机A收到读写请求后,会打开另外一个随机的端口,通过这个端口向主机B发送确认包、数据包或者错误包。TFTP服务使用的是UDP协议69端口,要允许UDP协议的69端口,于是在路由器RSR7716的流表过滤ACL199里增加1 permit udp any any eq 69(tftp),然后在路由器里copy running-config tftp://172.X.X.2/6-config-2.txt,备份文件还是空的,换成另外一个网段的电脑做TFTP服务器172.x.B.99,还是备份配置文件不成功,而这台172.x.B.99的TFTP服务器曾经备份过几百台交换机的配置,TFTP服务器应是正常的,为确定TFTP服务器是否正常又找2台交换机对配置备份都成功的,TFTP服务器肯定是正常的,但也发现一个问题就是TFTP服务器的版本较老,于是又重新又找一个TFTP服务器安装,还是先用2台交换机对配置备份测试下TFTP服务器,2台次交换机的备份都成功后再次对路由器配置备份,但还是备份配置不成功,备份文件还是空的,TFTP服务器不停地显示端口号是32770,估计备份路由器配置与UDP协议的69端口无关,应是32770端口。

在流表过滤的ACL中增加UDP任何对任何的允许

因为ACL199允许UDP协议的69端口而备份却是空的肯定还是没允许拷贝,ACL199是扩展ACL,而扩展ACL可以匹配数据流有5个参数:源IP地址、目的IP地址、源端口、目的端口、协议号。先试下允许所有UDP协议是否能备份成功,于是在ACL199里面修改成1 permit udp any any 即对所有UDP协议允许,再次对路由器配置备份即copy runningconfig tftp://172.X.X.2/6-config-3.txt,这次一下就备份成功,且TFTP服务器显示端口号是32770。允许UDP协议肯定是对的,但对所有源地址和所有目的地址的UDP协议的所有端口都允许肯定不安全,必须增加限制地址及端口号。

在流表过滤的ACL中增加UDP的路由器IP对TFTP服务器的允许

因为使用1 permit udp any any 肯定不安全,且TFTP服务器传输时显示是路由器10.X.X.6:32770端口,估计备份配置时TFTP服务使用的是32770端口,于在ACL199里面增加路由器及TFTP服务器地址及32770端口,于是把ACL199修改成1 permit udp host 10.X.X.6 host 172.X.X.2 any eq 32770,从源地址即路由器地址10.X.X.6到目的地址即TFTP服务器地址172.X.X.2,再次备份配置文件copy running-config tftp://172.X.X.2/6-confi g-4.txt,TFTP服务器的传输列表不停显示可已传输是0,而端口显示都是32770,等一会传输完了,可一看备份文件是空的。32770端口没错,UDP协议没错,可为什么备份不成功?估计只有与地址有关了。

在流表过滤的ACL中增加UDP的TFTP服务器对路由器IP的允许

因为1 permit udp host 10.X.X.6 host 172.X.X.2 any eq 32770,可路由器RSR7716备份配置还是不成功,协议和端口都没错,只能是地址错了,可路由器地址与TFTP服务器地址也没错啊,哪就只能把源地址与目的地址对换下,即允许从源地址即TFTP服务器地址到目的地址即路由器的地址,ACL199修改成1 permit udp host 172.X.X.2 host 10.X.X.6 eq 32770,再次备份路由器配置copy running-config tftp://172.X.X.2/6-config-5.txt,这次备份一下就成功了,打开备份的配置文件6-config-5.txt里面是完整的路由器的配置。对另外2台路由器RSR7716的10.X.X.2和10.X.X.10也做同样增加的UDP协议的TFTP服务器地址对路由器地址的32770端口允许即1 permit udp host 172.X.X.2 host 10.X.X.Y any eq 32770,再备份这2台路由器配置都成功了。

在流表过滤的ACL中增加IP协议的TFTP服务器对路由器IP的允许

因为TFTP使用的是UDP协议,而UDP协议使用IP协议,就在流表过滤的ACL199增加2 permit ip host 172.X.X.2 host 10.X.X.6,即IP地议的TFTP服务器地址对路由器地址的允许,在1 permit udp host 172.X.X.2 host 10.X.X.2 eq 32770取消的情况下,备份路由器配置copy running-config tftp://172.X.X.2/6-config-6.txt,备份是成功的,备份的配置文件可见完整的路由器配置。

在另一个网关的ACL中只能增加UDP的TFTP服务器对路由器的允许不能带端口

在对另一个网关设备EG3000即10.X.X.34做配置备份时一下就成功,发现不需要UDP协议下的TFTP服务器对路由器IP地址的允许都能备份成功,这个网关EG3000里也有流表过滤,只不过是ip session filter 190,ACL是190,有过滤为什么不需要允许,细细找ACL190才发现因为做TFTP服务器几个段地址都是对此网关10.X.X.34的IP允许了,于是缩小允许地址段改用host地址,TFTP服务器地址不在IP允许里面,再次备份这个网关配置,发现TFTP服务器的端口不停的变动,备份不成功,且每次备份时TFTP服务器显示端口不固定也没规律,只能在ACL190里改成1 permit udp host 172.x.B.99 host 10.X.X.34,再 次 备份EG3000的配置这次备份成功,也试验下2 permit ip host 172.x.B.99 host 10.X.X.34,在1 permit udp host 172.x.B.99 host 10.X.X.34取消情况下,备份配置成功。

说明下,在试验EG3000中遇到过ACL190里面有1 permit udp host 172.X.X.2 host 10.X.X.34,和2 permit ip host 172.X.X.2 host 10.X.X.34,而备份配置不成功的,是因为在10.X.X.34上面无法Ping通172.X.X.2,而172.X.X.2的认证用户名认证后走路由器10.X.X.6的出口了,不是走EG3000的10.X.X.34出口出去的,且在172.X.X.2上面也无法登录10.X.X.34;如果在172.X.X.2的使用另一个认证用户名认证后走EG3000出去的话就可以备份成功,也可以登录EG3000。这是因为网络结构的原因,三台RSR7716是并联的,而EG3000是接在一台RSR7716的下面,是默认的最后出口,在三台RSR7716上面通过不同的认证分组走不同的策略路由出去了。

总结

在路由器RSR7716流表过滤即ip fpm session filter ABC,拷贝路由器的配置文件到TFTP服务器,需要在过滤的ACL-ABC中允许UDP协议的TFTP服务器地址对路由器地址的32770端口放通,也可以是允许IP协议的TFTP服务器地址对路由器地址的放通;而网关EG3000因使用TFTP服务器的端口不固定,在流表过滤的ACL里只能是允许IP协议或UDP协议的TFTP服务器地址对网关地址的放通,这只是针对锐捷的路由器及网关,且只针对RSR7716及EG3000这2种型号,且只针对本单位的3台路由和一台网关,同型号其它路由器或其它型号或品牌的路由器是否使用32770端口不确定,请查阅相关资料或有条件的去测试试验。

猜你喜欢
拷贝配置文件网关
基于Docker的实时数据处理系统配置文件管理软件的设计与实现
基于FPGA的工业TSN融合网关设计
一种主从冗余网关的故障模式分析与处理
从Windows 10中删除所有网络配置文件
用软件处理Windows沙盒配置文件
互不干涉混用Chromium Edge
天地一体化网络地面软网关技术及其应用
车联网网关架构的设计
文化拷贝应该如何“拷”
食管腺癌DNA拷贝变化相关基因的生物信息学分析