■ 湖南工業(yè)大學(xué)現(xiàn)代教育技術(shù)中心 郭兆宏

編者按：提到路由器ACL配置，網(wǎng)絡(luò)管理者們都不會陌生。為了保證路由器正常工作，本文介紹了筆者在實際工作中總結(jié)的關(guān)于路由器備份的ACL修改調(diào)整的策略經(jīng)驗，

路由器的配置文件需定期備份，一般是拷貝配置文件到TFTP服務(wù)器如：copy running-config tftp://X.X.X.X/XYZ-run-config.txt。為減少攻擊影響保護路由器正常工作，在路由器RG-RSR7716上加流表過濾保護即ip fpm session filter ABC，因為路由器的流表數(shù)是有限的，ip fpm session filter ABC的原理就是:在建立流表前去匹配調(diào)用的ACL-ABC，如果被ACLABC拒絕就不會再去建流了，只有允許的才能建流從而保障流表不會給占滿，即正常的數(shù)據(jù)能建立流表而不會因流表占滿而被丟棄。但這樣做后對路由器的配置文件通過TFTP備份無法成功，備份出來的文件是空的，這是因為流表過濾ip fpm session filter ABC中的ACL-ABC過濾掉拷貝備份了，必須要增加一些允許的策略，為此做了以下的調(diào)整試驗。

在流表過濾的ACL中增加TFTP服務(wù)允許

因為在路由器RSR7716啟用流表過濾后即ip fpm session filter 199后，而ip fpm session filter 是全局生效的，開啟這項功能后不管從那個接口進入的數(shù)據(jù)，都會先匹配到被調(diào)用的ACL上。

所以，在配置此策略的ACL時一定要注意：一是放通內(nèi)外網(wǎng)管理路由器的流量；二是放通內(nèi)網(wǎng)用戶到外網(wǎng)的數(shù)據(jù)；三是放通外網(wǎng)的用戶訪問內(nèi)網(wǎng)流量，即服務(wù)器所映射的公網(wǎng)IP及端口。

對路由器RSR7716的配置文件備份不成功，肯定是因這條ACL199給禁止了，ACL199最后一條是deny ip any any，ip fpm session filter 199類似防火墻功能，沒有放通的流量就會被阻止，必須在ACL199里面增加對拷貝的允許。而配置文件拷貝到TFTP服務(wù)器使用了TFTP服務(wù)，而TFTP即簡單文件傳輸協(xié)議是基于UDP實現(xiàn)，該協(xié)議簡單到只能從遠(yuǎn)程服務(wù)器讀取數(shù)據(jù)或向遠(yuǎn)程服務(wù)器上傳數(shù)據(jù)，TFTP默認(rèn)情況下，作為TFTP服務(wù)器的主機A會監(jiān)聽69端口，當(dāng)作為客戶端的主機B想要下載或上傳文件時，會向主機A的69端口發(fā)送包含讀文件（下載）請求或?qū)懳募ㄉ蟼鳎┱埱蟮臄?shù)據(jù)包。

主機A收到讀寫請求后，會打開另外一個隨機的端口，通過這個端口向主機B發(fā)送確認(rèn)包、數(shù)據(jù)包或者錯誤包。TFTP服務(wù)使用的是UDP協(xié)議69端口，要允許UDP協(xié)議的69端口，于是在路由器RSR7716的流表過濾ACL199里增加1 permit udp any any eq 69（tftp），然后在路由器里copy running-config tftp://172.X.X.2/6-config-2.txt，備份文件還是空的，換成另外一個網(wǎng)段的電腦做TFTP服務(wù)器172.x.B.99，還是備份配置文件不成功，而這臺172.x.B.99的TFTP服務(wù)器曾經(jīng)備份過幾百臺交換機的配置，TFTP服務(wù)器應(yīng)是正常的，為確定TFTP服務(wù)器是否正常又找2臺交換機對配置備份都成功的，TFTP服務(wù)器肯定是正常的，但也發(fā)現(xiàn)一個問題就是TFTP服務(wù)器的版本較老，于是又重新又找一個TFTP服務(wù)器安裝，還是先用2臺交換機對配置備份測試下TFTP服務(wù)器，2臺次交換機的備份都成功后再次對路由器配置備份，但還是備份配置不成功，備份文件還是空的，TFTP服務(wù)器不停地顯示端口號是32770，估計備份路由器配置與UDP協(xié)議的69端口無關(guān)，應(yīng)是32770端口。

在流表過濾的ACL中增加UDP任何對任何的允許

因為ACL199允許UDP協(xié)議的69端口而備份卻是空的肯定還是沒允許拷貝，ACL199是擴展ACL，而擴展ACL可以匹配數(shù)據(jù)流有5個參數(shù)：源IP地址、目的IP地址、源端口、目的端口、協(xié)議號。先試下允許所有UDP協(xié)議是否能備份成功，于是在ACL199里面修改成1 permit udp any any 即對所有UDP協(xié)議允許，再次對路由器配置備份即copy runningconfig tftp://172.X.X.2/6-config-3.txt，這次一下就備份成功，且TFTP服務(wù)器顯示端口號是32770。允許UDP協(xié)議肯定是對的，但對所有源地址和所有目的地址的UDP協(xié)議的所有端口都允許肯定不安全，必須增加限制地址及端口號。

在流表過濾的ACL中增加UDP的路由器IP對TFTP服務(wù)器的允許

因為使用1 permit udp any any 肯定不安全，且TFTP服務(wù)器傳輸時顯示是路由器10.X.X.6:32770端口，估計備份配置時TFTP服務(wù)使用的是32770端口，于在ACL199里面增加路由器及TFTP服務(wù)器地址及32770端口，于是把ACL199修改成1 permit udp host 10.X.X.6 host 172.X.X.2 any eq 32770，從源地址即路由器地址10.X.X.6到目的地址即TFTP服務(wù)器地址172.X.X.2，再次備份配置文件copy running-config tftp://172.X.X.2/6-confi g-4.txt，TFTP服務(wù)器的傳輸列表不停顯示可已傳輸是0，而端口顯示都是32770，等一會傳輸完了，可一看備份文件是空的。32770端口沒錯，UDP協(xié)議沒錯，可為什么備份不成功？估計只有與地址有關(guān)了。

在流表過濾的ACL中增加UDP的TFTP服務(wù)器對路由器IP的允許

因為1 permit udp host 10.X.X.6 host 172.X.X.2 any eq 32770，可路由器RSR7716備份配置還是不成功，協(xié)議和端口都沒錯，只能是地址錯了，可路由器地址與TFTP服務(wù)器地址也沒錯啊，哪就只能把源地址與目的地址對換下，即允許從源地址即TFTP服務(wù)器地址到目的地址即路由器的地址，ACL199修改成1 permit udp host 172.X.X.2 host 10.X.X.6 eq 32770，再次備份路由器配置copy running-config tftp://172.X.X.2/6-config-5.txt，這次備份一下就成功了，打開備份的配置文件6-config-5.txt里面是完整的路由器的配置。對另外2臺路由器RSR7716的10.X.X.2和10.X.X.10也做同樣增加的UDP協(xié)議的TFTP服務(wù)器地址對路由器地址的32770端口允許即1 permit udp host 172.X.X.2 host 10.X.X.Y any eq 32770，再備份這2臺路由器配置都成功了。

在流表過濾的ACL中增加IP協(xié)議的TFTP服務(wù)器對路由器IP的允許

因為TFTP使用的是UDP協(xié)議，而UDP協(xié)議使用IP協(xié)議，就在流表過濾的ACL199增加2 permit ip host 172.X.X.2 host 10.X.X.6，即IP地議的TFTP服務(wù)器地址對路由器地址的允許，在1 permit udp host 172.X.X.2 host 10.X.X.2 eq 32770取消的情況下，備份路由器配置copy running-config tftp://172.X.X.2/6-config-6.txt，備份是成功的，備份的配置文件可見完整的路由器配置。

在另一個網(wǎng)關(guān)的ACL中只能增加UDP的TFTP服務(wù)器對路由器的允許不能帶端口

在對另一個網(wǎng)關(guān)設(shè)備EG3000即10.X.X.34做配置備份時一下就成功，發(fā)現(xiàn)不需要UDP協(xié)議下的TFTP服務(wù)器對路由器IP地址的允許都能備份成功，這個網(wǎng)關(guān)EG3000里也有流表過濾，只不過是ip session filter 190，ACL是190，有過濾為什么不需要允許，細(xì)細(xì)找ACL190才發(fā)現(xiàn)因為做TFTP服務(wù)器幾個段地址都是對此網(wǎng)關(guān)10.X.X.34的IP允許了，于是縮小允許地址段改用host地址，TFTP服務(wù)器地址不在IP允許里面，再次備份這個網(wǎng)關(guān)配置，發(fā)現(xiàn)TFTP服務(wù)器的端口不停的變動，備份不成功，且每次備份時TFTP服務(wù)器顯示端口不固定也沒規(guī)律，只能在ACL190里改成1 permit udp host 172.x.B.99 host 10.X.X.34，再 次 備份EG3000的配置這次備份成功，也試驗下2 permit ip host 172.x.B.99 host 10.X.X.34，在1 permit udp host 172.x.B.99 host 10.X.X.34取消情況下，備份配置成功。

說明下，在試驗EG3000中遇到過ACL190里面有1 permit udp host 172.X.X.2 host 10.X.X.34，和2 permit ip host 172.X.X.2 host 10.X.X.34，而備份配置不成功的，是因為在10.X.X.34上面無法Ping通172.X.X.2，而172.X.X.2的認(rèn)證用戶名認(rèn)證后走路由器10.X.X.6的出口了，不是走EG3000的10.X.X.34出口出去的，且在172.X.X.2上面也無法登錄10.X.X.34；如果在172.X.X.2的使用另一個認(rèn)證用戶名認(rèn)證后走EG3000出去的話就可以備份成功，也可以登錄EG3000。這是因為網(wǎng)絡(luò)結(jié)構(gòu)的原因，三臺RSR7716是并聯(lián)的，而EG3000是接在一臺RSR7716的下面，是默認(rèn)的最后出口，在三臺RSR7716上面通過不同的認(rèn)證分組走不同的策略路由出去了。

總結(jié)

在路由器RSR7716流表過濾即ip fpm session filter ABC，拷貝路由器的配置文件到TFTP服務(wù)器，需要在過濾的ACL-ABC中允許UDP協(xié)議的TFTP服務(wù)器地址對路由器地址的32770端口放通，也可以是允許IP協(xié)議的TFTP服務(wù)器地址對路由器地址的放通；而網(wǎng)關(guān)EG3000因使用TFTP服務(wù)器的端口不固定，在流表過濾的ACL里只能是允許IP協(xié)議或UDP協(xié)議的TFTP服務(wù)器地址對網(wǎng)關(guān)地址的放通，這只是針對銳捷的路由器及網(wǎng)關(guān)，且只針對RSR7716及EG3000這2種型號，且只針對本單位的3臺路由和一臺網(wǎng)關(guān)，同型號其它路由器或其它型號或品牌的路由器是否使用32770端口不確定，請查閱相關(guān)資料或有條件的去測試試驗。