路由器配置操作步骤(共10篇)
他是这样写的:“我有一台Cisco 2600,平时一般 用它作为互联网服务器。现在我希望可以屏蔽某些特定网站,我该怎么做呢?”这不是一个很困难的任务――只要您知道Cisco IOS是如何工作的。这里我将指导您如何进行这项工作,并告诉您使用这种方式应当注意些什么 。
步骤1:配置一个DNS服务器
我们并不知道该网站的具体IP地址,而且我们也不想知道。没问题――Cisco IOS会自己 把地址找出来并填上它。要做到这一点,我们需要至少在路由器配置一台DNS服务器。若想配置一台DNS服务器,应使用ip name-server命令。下面是个例子:Router(config)# ip name-server 1.1.1.1 2.2.2.2。
本例中,我们配置了一个主DNS服务器1.1.1.1,以及一个备用DNS服务器2.2.2.2,以便路由器对域名进行解析。这不会影响路由器的任何流量 。当我们需要对某个域名进行Ping服务时,路由器配置将使用这些DNS服务器。
Typeescapesequencetoabort. Sending5,100-byteICMPEchosto216.239.113.101,timeoutis2seconds: !!!!! Successrateis100percent(5/5),round-tripmin/avg/max=1/1/4ms Router#
步骤2:建立ACL
想真正阻止访问某个网站,我们必须建立一个存取控制列表(access control list,简称ACL)来具体定义我们想阻止什么,
最后,由于ACL的隐含禁止,除WWW外所有的其他通信将全部被禁止。如果您想知道到底是哪些IP地址在试图访问被阻止的网站,可以通过使用LOG关键字,记录相关信息。下面是个例子。
步骤3:避免“遗漏”
有一点需要注意。在我们输入了上述ACL的第一行之后,留意路由器配置是如何使用DNS服务器来解析域名的。然后它会用解析域名所得的IP地址替 换掉ACL中的主机名。我们来仔细看看配置:
Router#shrun|incaccess-list101 access-list101denytcpanyhost66.116.109.62eqwww
这是个很好的功能,但是可能由于几个原因导致出现问题。首先,该IP仅仅是DNS服务器响应的第一个IP。如果这是个大型网站,有多台服务器 (比如一个搜索引擎),而ACL却仅仅包含了DNS首先响应的第一个IP――您将不得不手工屏蔽其余的IP地址。
步骤4:实施ACL
仅仅创建了ACL并不意味着路由器配置就用上了它――我们还必须对ACL进行实施。下面,假设我们要建立一个ACL,以阻止内部局域网访问外部的广 域网(比如Internet)。因此我们应当用ACL的源地址过滤,而不是目标地址的过滤。同样,基于设计的目的,我们需要在路由器配置的Out方向实施这个ACL。下面是示例。
进入贝尔金无线路由器设置首页界面后,映入眼帘的是路由器的状态参数,其中包括了版本信息、LAN设定值、网际网络设定值以及功能的各项参数,一目了然。
一、目前使用的最多的是ADSL拨号上网方式,属于第三种PPPoE联网类型,选中它,点击下一步,进入设置页面。
在使用者名称和密码中填入网络服务商给的帐号密,服务名称和MTU数值一般是默认不填,还可以根据自身需要选择一定时间内无活动自动断线,若想一直保持上网状态的话,则将功能前面的小勾去掉即可,
二、设置完WAN之后,接着对无线参数进行调整,首先设置无线网名称,即SSID和无线频道。
无线信道选项,可选择自己设备所支持的信道,如果不清楚的话,保持Auto便可,SSID则可以随便输入一个名称用于识别本网络,无线模式保持 g and b模式就基本上适合了目前大部分的无线设备了,广播SSID功能我们将其勾选,方便我们找到此无线网络,QoS配置基本上不需修改,让其保持默认即可。
三、接下来对无线安全进行配置,进入安全性界面后,选择安全性模式,不同模式的相应设置有所不同,为了无线网安全,建议选择WPA/WPA2安全模式。
选择好验证方式,加密技术,并在下面的密码框内输入密码,笔记本将通过此密码连接到贝尔金路由器上。
(1)创建标准访问列表
access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]
(2)创建扩展访问列表
access-list [ normal | specia l ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]
(3)删除访问列表
no access-list { normal | special } { all | listnumber [ subitem ] }
【参数说明】
normal 指定规则加入普通时间段。
special 指定规则加入特殊时间段。
listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。
listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。
permit 表明允许满足条件的报文通过。
deny 表明禁止满足条件的报文通过。
protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。
source-addr 为源地址。
source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。
dest-addr 为目的地址。
dest-mask 为目的地址通配位。
operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。
port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值。icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。
log [可选] 表示如果报文符合条件,需要做日志。
listnumber 为删除的规则序号,是1~199之间的一个数值。
subitem[可选] 指定删除序号为listnumber的访问列表中规则的序号。
【缺省情况】
系统缺省不配置任何访问规则。
【命令模式】
全局配置模式
【使用指南】
同一个序号的规则可以看作一类规则;所定义的规则不仅可以用来在接口上过滤报文,也可以被如DDR等用来判断一个报文是否是感兴趣的报文,此时,permit与deny表示是感兴趣的还是不感兴趣的。
使用协议域为IP的扩展访问列表来表示所有的IP协议。
同一个序号之间的规则按照一定的原则进行排列和选择,这个顺序可以通过 show access-list 命令看到。
【举例】
允许源地址为10.1.1.0 网络、目的地址为10.1.2.0网络的WWW访问,但不允许使用FTP。
Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www
Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp
【相关命令】
ip access-group
二、clear access-list counters 清除访问列表规则的统计信息,
电脑资料
clear access-list counters [ listnumber ]
【参数说明】
listnumber [可选] 要清除统计信息的规则的序号,如不指定,则清除所有的规则的统计信息。
【缺省情况】
任何时候都不清除统计信息。
【命令模式】
特权用户模式
【使用指南】
使用此命令来清除当前所用规则的统计信息,不指定规则编号则清除所有规则的统计信息。
【举例】例1:清除当前所使用的序号为100的规则的统计信息。
Quidway#clear access-list counters 100
例2:清除当前所使用的所有规则的统计信息。
Quidway#clear access-list counters
【相关命令】
access-list
三、firewall 启用或禁止防火墙。
firewall { enable | disable }
【参数说明】
enable 表示启用防火墙。
disable 表示禁止防火墙。
【缺省情况】
系统缺省为禁止防火墙。
【命令模式】
全局配置模式
【使用指南】
使用此命令来启用或禁止防火墙,可以通过show firewall命令看到相应结果。如果采用了时间段包过滤,则在防火墙被关闭时也将被关闭;该命令控制防火墙的总开关。在使用 firewall disable 命令关闭防火墙时,防火墙本身的统计信息也将被清除。
【举例】
启用防火墙。
Quidway(config)#firewall enable
【相关命令】
access-list,ip access-group
四、firewall default 配置防火墙在没有相应的访问规则匹配时,缺省的过滤方式。
firewall default { permit | deny }
【参数说明】
permit 表示缺省过滤属性设置为“允许”。
deny 表示缺省过滤属性设置为“禁止”。
【缺省情况】
在防火墙开启的情况下,报文被缺省允许通过。
【命令模式】
全局配置模式
【使用指南】
当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时,缺省的过滤属性将起作用;如果缺省过滤属性是“允许”,则报文可以通过,否则报文被丢弃。
【举例】
设置缺省过滤属性为“允许”。
Quidway(config)#firewall default permit
五、ip access-group 使用此命令将规则应用到接口上。使用此命令的no形式来删除相应的设置。
ip access-group listnumber { in | out }
[ no ] ip access-group listnumber { in | out }
【参数说明】
listnumber 为规则序号,是1~199之间的一个数值。
1无线路由连接设置:无线网卡与路由器连接设置各项知识
首先要确认无线网卡已经装好,在设备治理器可以确认?然后查看路由器的设置,用网线连上路由器,在IE地址栏192.168.1.1(不同路由器IP地址可能不一样),然后选择无线网络,可以看到无线路由器里一些关于无线的设置,这里可以看到网络的SSID是linksys?
接着咱们来设置无线网卡,先启动无线管理程序,可以直接点击桌面的右下角的无线网卡的程序?然后选择添加(直接点击添加,不用点旁边的下拉箭头),会弹出下面对话框,找到的无线网络的列表里选择linksys,就是刚才在路由器里看到的SSID,点下一步,弹出下面窗口,选连接,连接就建立起来了?
2无线路由连接设置:Intel Wireless无线网卡与路由器连接设置
首先要确认无线网卡已经装好,在设备管理器可以确认?然后查看路由器的设置,用网线连上路由器,在IE地址栏192.168.1.1(不同路由器IP地址可能不一样),然后选择无线网络,可以看到无线路由器里一些关于无线的设置,这里可以看到网络的SSID,待会就需要连接这个SSID?
接着咱们来设置无线网卡,先启动无线管理程序,可以直接点击桌面的右下角的无线网卡的程序?启动无线管理程序,选刷新,可以看见咱们刚刚在路由器里看到的SSID,选连接就可以正常连接路由器了,点击连接后:假如选择的无线网络有加密过,点连接后会弹出如下窗口让您连接密码?
3无线路由连接设置:Vista系统下的无线网卡连接设
在vista桌面的网络图标上右击,选择属性,打开网络和共享中央的对话框,在左边任务列表里选择管理无线网络,弹出下面对话框,选择添加,弹出下面对话框,选这个(添加位于此计算机范围内的网络),弹出下面的对话框,选择SSID(linksys),点下一步?成功连接,会弹出如下提市,把保存这个网络和自动启动这个连接打上勾,选关闭,这样在vista系统下就可以正常连接路由器了?
4无线路由连接设置:Vista下连接网络
咱们在路由器里可以设置让路由器不广播SSID,这样,按照默许的搜枉无线网络,可能就无法找到无线网络了,无线路由器里普通都有会类似如下图的设置,咱们把启用SSID广播前的对勾取消,这样,在无线管理软件就无法按正常操作搜枉无线网络了,需要手动添加无线网络,以vista系统为例,在网络和共享中心里点击管理无线网络,然后点击添加?
弹出下面对话框,在网络名的框里无线网络的SSID,这里linksys1(这个SSID可以在路由器的无线网络设置下找到并设置,每台路由器不尽相同),安谦类型选无身份验证(不需要密码),自动启动这个连接和即使网络未进行广播也连接都打上对勾,然后点下一步,弹出对话框,选关闭就可以了,这时,在管理无线网络的对话框里就可以看到就建的无线连接了?
5无线路由连接设置:Xp下连接网络
xp dns服务器 设置
configterminal:进入全局设置状态
end:退出全局设置状态
interfacetypeslot/number:进入端口设置状态
exit:退出局部设置状态
hostnamename:设置交换机名
showversion:查看版本及引导信息
showrunning-config:查看运行设置
showvlan:查看VLAN设置
showinterfacetypeslot/number:显示端口信息
pinghostname|IPaddress:网络侦测
1、进入特权模式
Switch>enable(进入特权模式)
Switch#
2、进入全局配置与返回模式
Switch>enable
Switch#configterminal (进入全局配置模式)
Switch(config)#exit(退回上一级模式)
(cisco)路由器动态路由协议命令
3、RIP协议
router:指定使用RIP协议
version:指定与该路由器相连的网络
showiproute:查看路由表信息
showiprouterip:查看RIP协议路由信息
R1:ipadd192.168.1.254255.255.255.0
clockrate500000/指定该端口时钟频率
bankwidth64/指定相应接口的网络带宽单位KB
iproutting
routerigrp100/指定igrp协议,100为当前网络环境
network192.168.1.0/声明网络192.168.1.0/24
network192.168.2.0
network192.168.3.0
4、ospf协议
routeospfprocess-id指定使用OSPF协议
networkaddresswildcard-maskareaarea-id指定与该路由器相连的网络
showiproute查看路由表信息
showiprouteospf查看OSPF协议路由信息
5、EIGRP协议
routeeigrpprocess-id指定使用EIGRP协议
networknetwork指定与该路由器相连的网络
noauto-summary关闭EIGRP协议自动汇总功能
R1:routereigrp200
network192.168.1.2540.0.0.1
network192.168.2.2540.0.0.1
1禁止CDP(CiscoDiscoveryProtocol),如:
Router(Config)#nocdprun
Router(Config-if)#nocdpenable
2禁止其他的TCP、UDPSmall服务。
Router(Config)#noservicetcp-small-servers
Router(Config)#noserviceudp-samll-servers
3禁止Finger服务。
Router(Config)#noipfinger
Router(Config)#noservicefinger
4建议禁止HTTP服务。
Router(Config)#noiphttpserver
如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制。
5禁止BOOTp服务。
Router(Config)#noipbootpserver
6禁止IPSourceRouting。
Router(Config)#noipsource-route
7建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的。
Router(Config)#noipproxy-arp
Router(Config-if)#noipproxy-arp
8禁止IPDirectedBroadcast。
Router(Config)#noipdirected-broadcast
9禁止IPClassless。
Router(Config)#noipclassless
10禁止ICMP协议的IPUnreachables,Redirects,MaskReplies,
Router(Config-if)#noipunreacheables
Router(Config-if)#noipredirects
Router(Config-if)#noipmask-reply
11建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。如:
Router(Config)#nosnmp-servercommunitypublicRo
Router(Config)#nosnmp-servercommunityadminRW
12如果没必要则禁止WINS和DNS服务。
Router(Config)#noipdomain-lookup
如果需要则需要配置:
Router(Config)#hostnameRouter
Router(Config)#ipname-server219.150.32.xxx
13明确禁止不使用的端口。如:
Router(Config)#interfaceeth0/3
Router(Config)#shutdown
二、路由器访问控制的安全配置(可选)
路由器的访问控制是比较重要的安全措施,但是目前由于需求不明确,可以考虑暂时不实施。作为建议提供。
1建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。
2严格控制CON端口的访问。
配合使用访问控制列表控制对CON口的访问。
如:Router(Config)#Access-list1permit192.168.0.1
Router(Config)#linecon0
一、关闭IP直接广播,不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击。在这种攻击中,攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMPecho”请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能。
二、关闭路由器的HTTP设置, HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而,遗憾的是,HTTP协议中没有一个用于验证口令或者一次性口令的有效规定,虽然这种未加密的口令对于你从远程位置设置你的路由器也许是非常方便的,但是,你能够做到的事情其他人也照样可以做到。
三、封锁ICMPping请求,ping的主要目的是识别目前正在使用的主机。因此,ping通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收ping请求的应答能力,你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的 ,请注意,这样做实际上并不能保护你的网络不受攻击,但是,这将使你不太可能成为一个攻击目标。
四、关闭IP源路由,IP协议允许一台主机指定数据包通过你的网络的路由,而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是,这种用途很少应用。这项功能最常用的用途是为了侦察目的对你的网络进行镜像,或者用于攻击者在你的专用网络中寻找一个后门,
除非指定这项功能只能用于诊断故障,否则应该关闭这个功能。
五、确定你的数据包过滤的需求,封锁端口有两项理由。其中之一根据你对网络安全水平的要求对于你的网络是合适的,对于高度网络安全来说,特别是在存储或者保持秘密数据的时候,通常要求经过允许才可以过滤。在这种规定中,除了网路功能需要的之外,所有的端口和IP地址都必要要封锁。
六、大多数网络将通过使用“按拒绝请求实施过滤”的方案享受可以接受的安全水平。当使用这种过滤政策时,可以封锁你的网络没有使用的端口和特洛伊木马或者侦查活动常用的端口来增强你的网络的安全性。封锁139端口和445(TCP和UDP)端口将使 更难对你的网络实施穷举攻击,封锁31337(TCP和UDP)端口将使BackOrifice木马程序更难攻击你的网络。
七、建立准许进入和外出的地址过滤政策,在你的边界路由器上建立政策以便根据IP地址过滤进出网络的违反安全规定的行为。除了特殊的不同寻常的案例之外,所有试图从你的网络内部访问互联网的IP地址都应该有一个分配给你的局域网的地址,来自互联网外部的通信的源地址应该不是你的内部网络的一部分,最后,拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过这台路由器。
八、保持路由器的物理安全
从网络嗅探的角度看,路由器比集线器更安全。这是因为路由器根据IP地址智能化地路由数据包,而集线器相所有的节点播出数据。如果连接到那台集线器的一个系统将其网络适配器置于混乱的模式,它们就能够接收和看到所有的广播,包括口令、POP3通信和Web通信。
无线路由器摆放位置
无线路由器的摆放位置很重要,因为无线网络速率受距离和障碍物影响明显,作为中心节点的无无线路由器最好要在物理位置上居中,并且与各屋空间都没有阻隔,比如摆在客厅,如果是复式结构或者别墅则可以考虑加装增益天线。找到合适的位置摆放完毕之后,就到了无线路由器配置时间了。
无线路由器配置说明
在网络连接好了以后,在IE中输入路由器管理的IP地址,一般TP-link的默认的地址都是168.192.1.1。出现登陆界面后输入用户名和密码就可以看到路由器的设置界面了。其他设置项都跟同档次的有线路由产品一样,其设置方法也都雷同,所以本文只说明无线设置部分。进入无线设置界面。
其中“无线功能”可决定其无线的功能是否启用。“SSID”也缩写为ESSID,是无无线路由器的标识字符,有时也翻译成“服务集标识符或服务区标示符”,是作为接入此无线网络的验证标识。无线客户端要加入此无线网络时,必须拥有相同的SSID号,否则不能进入网络。此项默认为TP-LINK,建议改成不常见的名称,可以作为一种最简单的安全保障措施,当然还需要禁止SSID广播的配合使用。
“频段”即“Channel”也叫信道,以无线信号作为传输媒体的数据信号传送通道。IEEE 802.11b/g工作在2.4~2.4835GHz频段,这些频段被分为11或13个信道。在无线路由器可以选择11个频段,当使用环境中有两个以上的AP或者与邻居的AP覆盖范围重叠时,需要为每个AP设定不同的频段,以免冲突。这步无线路由器配置完成后,最基本的网络参数就都设置完了,
如果用户对安全方面没有任何要求,那么此时,客户机无线网卡在默认状态下即可连入了。然后进入无线网络的基本设置界面。
此页中除了向导中设置过的无线功能的开启、SSID、频段之外,还有更多安全机制的设定。其中如果勾选了“允许SSID广播”,此路由器将向所有的无线主机广播自己的SSID号,也就是说未指定SSID的无线网卡都能获得AP广播的SSID并连入。如果用户不想附近有别的无线客户端都可连入网络,那么建议取消此选项,并在客户端网卡无线设置中手动指定相同的SSID来连入。
“安全认证类型”中可以选择允许任何访问的“开放系统”模式,基于WEP加密机制的“共享密钥”模式,以及“自动选择”方式。为安全着想,建议选择“共享密钥”模式。“密钥格式选择”中可以选择下面密钥中使用的ASCII码还是16进制数。一般我们选择16进制数。下面的密钥信息中,内容项按说明自由填写-“选择64位密钥需输入16进制数字符10个,或者ASCII码字符5个。选择128位密钥需输入16进制数字符26个,或者ASCII码字符13个”。
然后在“密钥类型”处选择加密位数,可以选择64位或128位,选择“禁用”将不使用该密钥。需要注意的是:同一时刻,只能选择一条生效的密钥,但最多可以保存4条。而且加密位数越高,则通信的效率越低,也就是说连接速率会受到影响,所以建议在家庭WLAN这种对安全不太敏感的环境中,不必选择过高的加密位数。选择无线网络MAC地址过滤设置进入下面的无线路由器配置界面。
在此页中,MAC地址过滤功能默认为关闭,先点击“启用过滤”按钮将其启用。一般情况下,我们只想让自己的这几台客户端主机加入此无线网络,那么在“过滤规则”中选择“仅允许......”,并点击其下的“添加新条目”按钮,填写刚才记录的MAC地址,描述里随便写上自己的计算机名称就可以,选择生效,然后选择保存就可以完成了。这样,只有在表中的MAC地址无线网卡才能够接入此WLAN,比默认配置安全很多了。
第一步:进入全局配置模式。
Switch# config terminal
第二步:指定欲配置的接口。
Switch(config)# interface interface-id
第三步:将接口配置为保护端口,
Switch(config-if)# switchport protected
第四步:返回特权配置模式。
Switch(config-if)# end
第五步:显示并校验该接口当前的配置。
Switch# show interfaces interface-id switchport
第六步:保存配置。
Switch# copy running-config startup-config
为了使设备配置简单或易于用户使用,Router或Switch初始状态并没有配置安全措施,所以网络具有许多安全脆弱性,因此网络中常面临如下威胁:
1. DDOS攻击
2. 非法授权访问攻击,
口令过于简单,口令长期不变,口令明文创送,缺乏强认证机制。
3.IP地址欺骗攻击
….
利用Cisco Router和Switch可以有效防止上述攻击。
二、保护路由器
2.1 防止来自其它各省、市用户Ddos攻击
最大的威胁:Ddos, hacker控制其他主机,共同向Router访问提供的某种服务,导致Router利用率升高。
Ddos是最容易实施的攻击手段,不要求 有高深的网络知识就可以做到。
如SMURF DDOS 攻击就是用最简单的命令ping做到的。利用IP 地址欺骗,结合ping就可以实现DDOS攻击。
防范措施:
应关闭某些缺省状态下开启的服务,以节省内存并防止安全破坏行为/攻击
Router(config-t)#no service finger
Router(config-t)#no service pad
Router(config-t)#no service udp-small-servers
Router(config-t)#no service tcp-small-servers
Router(config-t)#no ip http server
Router(config-t)#no service ftp
Router(config-t)#no ip bootp server
以上均已经配置。
防止ICMP-flooging攻击
Router(config-t)#int e0
Router(config-if)#no ip redirects
Router(config-if)#no ip directed-broadcast
Router(config-if)#no ip proxy-arp
Router(config-t)#int s0
Router(config-if)#no ip redirects
Router(config-if)#no ip directed-broadcast
Router(config-if)#no ip proxy-arp
以上均已经配置。
除非在特别要求情况下,应关闭源路由:
Router(config-t)#no ip source-route
以上均已经配置。
禁止用CDP发现邻近的cisco设备、型号和软件版本
Router(config-t)#no cdp run
Router(config-t)#int s0
Router(config-if)#no cdp enable
如果使用works2000网管软件,则不需要此项操作
此项未配置。
使用CEF转发算法,防止小包利用fast cache转发算法带来的Router内存耗尽、CPU利用率升高。
Router(config-t)#ip cef
2.2 防止非法授权访问
通过单向算法对 “enable secret”密码进行加密
Router(config-t)#enable secret
Router(config-t)#no enable password
Router(config-t)#service password-encryption
?vty端口的缺省空闲超时为10分0秒
Router(config-t)#line vty 0 4
Router(config-line)#exec-timeout 10 0
应该控制到VTY的接入,不应使之处于打开状态;Console应仅作为最后的管理手段:
如只允许130.9.1.130 Host 能够用Telnet访问.
access-list 110 permit ip 130.9.1.130 0.0.0.0 130.1.1.254 0.0.0.0 log
line vty 0 4
access-class 101 in
exec-timeout 5 0
2.3 使用基于用户名和口令的强认证方法 Router(config-t)#username admin pass 5 434535e2
Router(config-t)#aaa new-model
Router(config-t)#radius-server host 130.1.1.1 key key-string
Router(config-t)#aaa authentication login neteng group radius local
Router(config-t)#line vty 0 4
Router(config-line)#login authen neteng
三、保护网络
3.1防止IP地址欺骗
经常冒充地税局内部网IP地址,获得一定的访问权限,
在省地税局和各地市的WAN Router上配置:
防止IP地址欺骗--使用基于unicast RPF(逆向路径转发)
包发送到某个接口,检查包的IP地址是否与CEF表中到达此IP地址的最佳路由是从此接口转发,若是,转发,否则,丢弃。
Router(config-t)#ip cef
Router(config-t)#interface e0
Router(config-if)# ip verify unicast reverse-path 101
Router(config-t)#access-list 101 permit ip any any log
注意:通过log日志可以看到内部网络中哪些用户试图进行IP地址欺骗。
此项已配置。
防止IP地址欺骗配置访问列表
防止外部进行对内部进行IP地址
Router(config-t)#access-list 190 deny ip 130.9.0.0 0.0.255.255 any
Router(config-t)#access-list 190 permit ip any any
Router(config-t)#int s4/1/1.1
Router(config-if)# ip access-group 190 in
防止内部对外部进行IP地址欺骗
Router(config-t)#access-list 199 permit ip 130.9.0.0 0.0.255.255 any
Router(config-t)#int f4/1/0
Router(config-if)# ip access-group 199 in
四、保护服务器
对于地税局内部的某些Server,如果它不向各地提供服务可以在总局核心Cisco Router上配置空路由。
ip route 130.1.1.1 255.255.255.255.0 null
在WAN Router上配置CBAC,cisco状态防火墙,防止Sync Flood攻击
hr(config)#int s0/0
hr(config-if)#ip access-group 100 in
hr(config)#int f0/0
hr(config-if)#ip inspect insp1 in
hr(config)#ip inspect audit-trial
hr(config)#ip inspect name insp1 tcp
hr(config)#ip inspect max-incomplete high 350
hr(config)#ip inspect max-incomplete low 240
hr(config)#ip audit
hr(config)#access-list 100 permit tcp any 130.1.1.2 eq 80
在WAN Router 上配置IDS入侵检测系统
hr(config)#ip audit name audit1 info action alarm
hr(config)#ip audit name audit1 attack action alarm drop
reset
hr(config)#ip audit audit1 notify log
hr(config)#int s0/0
hr(config)#ip audit audit1 in
五、网络运行监视
配置syslog server,将日志信息发送到syslog server上
Syslog Server纪录Router的平时运行产生的一些事件,如广域口的up, down
【路由器配置操作步骤】推荐阅读:
路由器的配置实验报告11-08
H3C交换机路由器配置总结09-11
智能路由器10-10
排除路由器网络故障10-19
笔记本怎么连接无线路由器05-29
路由器在网络地址转换中的应用网络知识01-17
路由协议实验报告07-02
动态路由实验报告10-25
浅述RIP路由协议06-01
动态路由协议链路状态11-04
