為路由器配置備份的ACL調整

■ 湖南工業大學現代教育技術中心 郭兆宏

編者按：提到路由器ACL配置，網絡管理者們都不會陌生。為了保證路由器正常工作，本文介紹了筆者在實際工作中總結的關于路由器備份的ACL修改調整的策略經驗，

路由器的配置文件需定期備份，一般是拷貝配置文件到TFTP服務器如：copy running-config tftp://X.X.X.X/XYZ-run-config.txt。為減少攻擊影響保護路由器正常工作，在路由器RG-RSR7716上加流表過濾保護即ip fpm session filter ABC，因為路由器的流表數是有限的，ip fpm session filter ABC的原理就是:在建立流表前去匹配調用的ACL-ABC，如果被ACLABC拒絕就不會再去建流了，只有允許的才能建流從而保障流表不會給占滿，即正常的數據能建立流表而不會因流表占滿而被丟棄。但這樣做后對路由器的配置文件通過TFTP備份無法成功，備份出來的文件是空的，這是因為流表過濾ip fpm session filter ABC中的ACL-ABC過濾掉拷貝備份了，必須要增加一些允許的策略，為此做了以下的調整試驗。

在流表過濾的ACL中增加TFTP服務允許

因為在路由器RSR7716啟用流表過濾后即ip fpm session filter 199后，而ip fpm session filter 是全局生效的，開啟這項功能后不管從那個接口進入的數據，都會先匹配到被調用的ACL上。

所以，在配置此策略的ACL時一定要注意：一是放通內外網管理路由器的流量；二是放通內網用戶到外網的數據；三是放通外網的用戶訪問內網流量，即服務器所映射的公網IP及端口。

對路由器RSR7716的配置文件備份不成功，肯定是因這條ACL199給禁止了，ACL199最后一條是deny ip any any，ip fpm session filter 199類似防火墻功能，沒有放通的流量就會被阻止，必須在ACL199里面增加對拷貝的允許。而配置文件拷貝到TFTP服務器使用了TFTP服務，而TFTP即簡單文件傳輸協議是基于UDP實現，該協議簡單到只能從遠程服務器讀取數據或向遠程服務器上傳數據，TFTP默認情況下，作為TFTP服務器的主機A會監聽69端口，當作為客戶端的主機B想要下載或上傳文件時，會向主機A的69端口發送包含讀文件（下載）請求或寫文件（上傳）請求的數據包。

主機A收到讀寫請求后，會打開另外一個隨機的端口，通過這個端口向主機B發送確認包、數據包或者錯誤包。TFTP服務使用的是UDP協議69端口，要允許UDP協議的69端口，于是在路由器RSR7716的流表過濾ACL199里增加1 permit udp any any eq 69（tftp），然后在路由器里copy running-config tftp://172.X.X.2/6-config-2.txt，備份文件還是空的，換成另外一個網段的電腦做TFTP服務器172.x.B.99，還是備份配置文件不成功，而這臺172.x.B.99的TFTP服務器曾經備份過幾百臺交換機的配置，TFTP服務器應是正常的，為確定TFTP服務器是否正常又找2臺交換機對配置備份都成功的，TFTP服務器肯定是正常的，但也發現一個問題就是TFTP服務器的版本較老，于是又重新又找一個TFTP服務器安裝，還是先用2臺交換機對配置備份測試下TFTP服務器，2臺次交換機的備份都成功后再次對路由器配置備份，但還是備份配置不成功，備份文件還是空的，TFTP服務器不停地顯示端口號是32770，估計備份路由器配置與UDP協議的69端口無關，應是32770端口。

在流表過濾的ACL中增加UDP任何對任何的允許

因為ACL199允許UDP協議的69端口而備份卻是空的肯定還是沒允許拷貝，ACL199是擴展ACL，而擴展ACL可以匹配數據流有5個參數：源IP地址、目的IP地址、源端口、目的端口、協議號。先試下允許所有UDP協議是否能備份成功，于是在ACL199里面修改成1 permit udp any any 即對所有UDP協議允許，再次對路由器配置備份即copy runningconfig tftp://172.X.X.2/6-config-3.txt，這次一下就備份成功，且TFTP服務器顯示端口號是32770。允許UDP協議肯定是對的，但對所有源地址和所有目的地址的UDP協議的所有端口都允許肯定不安全，必須增加限制地址及端口號。

在流表過濾的ACL中增加UDP的路由器IP對TFTP服務器的允許

因為使用1 permit udp any any 肯定不安全，且TFTP服務器傳輸時顯示是路由器10.X.X.6:32770端口，估計備份配置時TFTP服務使用的是32770端口，于在ACL199里面增加路由器及TFTP服務器地址及32770端口，于是把ACL199修改成1 permit udp host 10.X.X.6 host 172.X.X.2 any eq 32770，從源地址即路由器地址10.X.X.6到目的地址即TFTP服務器地址172.X.X.2，再次備份配置文件copy running-config tftp://172.X.X.2/6-confi g-4.txt，TFTP服務器的傳輸列表不停顯示可已傳輸是0，而端口顯示都是32770，等一會傳輸完了，可一看備份文件是空的。32770端口沒錯，UDP協議沒錯，可為什么備份不成功？估計只有與地址有關了。

在流表過濾的ACL中增加UDP的TFTP服務器對路由器IP的允許

因為1 permit udp host 10.X.X.6 host 172.X.X.2 any eq 32770，可路由器RSR7716備份配置還是不成功，協議和端口都沒錯，只能是地址錯了，可路由器地址與TFTP服務器地址也沒錯啊，哪就只能把源地址與目的地址對換下，即允許從源地址即TFTP服務器地址到目的地址即路由器的地址，ACL199修改成1 permit udp host 172.X.X.2 host 10.X.X.6 eq 32770，再次備份路由器配置copy running-config tftp://172.X.X.2/6-config-5.txt，這次備份一下就成功了，打開備份的配置文件6-config-5.txt里面是完整的路由器的配置。對另外2臺路由器RSR7716的10.X.X.2和10.X.X.10也做同樣增加的UDP協議的TFTP服務器地址對路由器地址的32770端口允許即1 permit udp host 172.X.X.2 host 10.X.X.Y any eq 32770，再備份這2臺路由器配置都成功了。

在流表過濾的ACL中增加IP協議的TFTP服務器對路由器IP的允許

因為TFTP使用的是UDP協議，而UDP協議使用IP協議，就在流表過濾的ACL199增加2 permit ip host 172.X.X.2 host 10.X.X.6，即IP地議的TFTP服務器地址對路由器地址的允許，在1 permit udp host 172.X.X.2 host 10.X.X.2 eq 32770取消的情況下，備份路由器配置copy running-config tftp://172.X.X.2/6-config-6.txt，備份是成功的，備份的配置文件可見完整的路由器配置。

在另一個網關的ACL中只能增加UDP的TFTP服務器對路由器的允許不能帶端口

在對另一個網關設備EG3000即10.X.X.34做配置備份時一下就成功，發現不需要UDP協議下的TFTP服務器對路由器IP地址的允許都能備份成功，這個網關EG3000里也有流表過濾，只不過是ip session filter 190，ACL是190，有過濾為什么不需要允許，細細找ACL190才發現因為做TFTP服務器幾個段地址都是對此網關10.X.X.34的IP允許了，于是縮小允許地址段改用host地址，TFTP服務器地址不在IP允許里面，再次備份這個網關配置，發現TFTP服務器的端口不停的變動，備份不成功，且每次備份時TFTP服務器顯示端口不固定也沒規律，只能在ACL190里改成1 permit udp host 172.x.B.99 host 10.X.X.34，再 次 備份EG3000的配置這次備份成功，也試驗下2 permit ip host 172.x.B.99 host 10.X.X.34，在1 permit udp host 172.x.B.99 host 10.X.X.34取消情況下，備份配置成功。

說明下，在試驗EG3000中遇到過ACL190里面有1 permit udp host 172.X.X.2 host 10.X.X.34，和2 permit ip host 172.X.X.2 host 10.X.X.34，而備份配置不成功的，是因為在10.X.X.34上面無法Ping通172.X.X.2，而172.X.X.2的認證用戶名認證后走路由器10.X.X.6的出口了，不是走EG3000的10.X.X.34出口出去的，且在172.X.X.2上面也無法登錄10.X.X.34；如果在172.X.X.2的使用另一個認證用戶名認證后走EG3000出去的話就可以備份成功，也可以登錄EG3000。這是因為網絡結構的原因，三臺RSR7716是并聯的，而EG3000是接在一臺RSR7716的下面，是默認的最后出口，在三臺RSR7716上面通過不同的認證分組走不同的策略路由出去了。

總結

在路由器RSR7716流表過濾即ip fpm session filter ABC，拷貝路由器的配置文件到TFTP服務器，需要在過濾的ACL-ABC中允許UDP協議的TFTP服務器地址對路由器地址的32770端口放通，也可以是允許IP協議的TFTP服務器地址對路由器地址的放通；而網關EG3000因使用TFTP服務器的端口不固定，在流表過濾的ACL里只能是允許IP協議或UDP協議的TFTP服務器地址對網關地址的放通，這只是針對銳捷的路由器及網關，且只針對RSR7716及EG3000這2種型號，且只針對本單位的3臺路由和一臺網關，同型號其它路由器或其它型號或品牌的路由器是否使用32770端口不確定，請查閱相關資料或有條件的去測試試驗。