路由器访问控制的安全配置
路由器访问控制的安全配置
1,严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。2,建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。3,严格控制CON端口的访问。具体的措施有:A,如果可以开机箱的,则可以切断与CON口互联的物理线路。B,可以改变默认的连接属性,例如修改波特率(默认是96000,可以改为其他的)。C,配合使用访问控制列表控制对CON 口的访问。如:
D,给CON口设置高强度的密码。4,如果不使用AUX端口,则禁止这个端口。默认是未被启用。禁止如:
5,建议采用权限分级策略。如:
6,为特权模式的进入设置强壮的密码。不要采用enable password 设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为,所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址;可以采用AAA设置用户的访问控制等。8,IOS的升级和备份,以及配置文件的备份建议使用FTP代替TFTP。如:
9,及时的升级和修补IOS软件。
教你如何破解公司的网络限制接入路由器
教你如何破解公司的网络限制接入路由器
如果你碰到这样的情况而束手无策时,请接着看此文:公司的电脑都设置了“静态”IP地址、子网掩码、 默认网关等信息,如果自行更换IP就不能上网,甚至是换一台电脑设置同样的网络参数,还是不能上网, 就更不用说接入路由器了。 在手机上网需求的当下,真是让人着急。那保云这就和你一起看看如何破解,接入一个无线路由器吧。 【使用能上网的电脑登陆无线路由器】 找一台能够在公司网络内正常上网的电脑,接入无线路由器,并进入路由器的管理界面。 对于笔记本那要特别注意(插了无线网卡的台式机也一样),如果采用无线方式可以上网,那么一定要用 无线连接并登录路由器;如果是插网线才可以上网,那么一定要用网线连接路由器并登录。这是因为笔 记本的无线和有线上网,分别是由无线网卡和有线网卡实现的,每一片网卡都有自己的MAC地址,而MAC地 址就决定了我们能否上网的哦。 【克隆MAC地址】 通常,路由器都有个”MAC地址克隆“的功能,下面以tp-link路由器为例来做说明。
2、当电脑上采用”使用下面的IP地址“、"使用下面的DNS服务器地址”时,路由器WAN口连接类型选择“ 静态IP”,并且IP地址等参数与电脑设置一模一样。其他值保持默认。
设置好了最后别忘记保存哦。 【收尾】 路由器我们设置好了,接下来就将其接入网络吧。把原来插在可以上网电脑上的网线插在路由器的WAN口
上,原来的电脑接到此路由器下即可。现在我们就可以将手机等接入无线路由器上网啦。 当然,如果接入路由器之前,网络的地址段与我们接入的路由器地址段冲突,那么还需要更改路由器的 LAN口地址,这里就不多说了。 【分析】 在很多企业网络中,网络管理员为了保障网络的稳定,会在核心路由设备上对全网的电脑设置IP地址与 MAC地址绑定,且让路由器不转发非绑定的电脑网络数据。这样做的结果就是我们随意更换的电脑无法上 网。 我们将能够上网的电脑MAC地址克隆给了路由器,这个路由器就会“冒充”那个能上网的电脑与上级路由 器交换数据,上级路由器当然就被”骗“了。 【小知识】 每片网卡,都有一个全球唯一的MAC地址,原则上这个地址是不可以更改的,之所以说原则上,是因为根 据MAC地址的分配规则,这个MAC地址被固定在网卡中,且全球唯一不重复,但我们还是可以通过驱动程序 参数设定更改的。在网络的上层,我们虽然使用的是IP地址,但到了协议底层,都被转换成了MAC 地址。
实验三 路由器及其基本配置
实验三路由器及其基本配置 项目1 路由器基本配置命令 一.实验目的: 掌握手工对路由器进行初始配置的步骤和方法 二.实验要点: 通过控制台电缆,利用超级终端软件对路由器进行手工初始配置。 三.实验设备: 路由器Cisco 2621一台,工作站PC 一台,控制台电缆一条。 四、“路由器基本配置”实验环境 Com 口学名RS232 五.实验步骤: 1.使用控制台电缆,按图1 连接路由器Router和PC 工作站。 2.启动超级终端程序,并设置相关参数。 3.打开路由器电源,待路由器启动完毕出现“Press RETURN to get started!”提示后,按“回 车”键直到出现用户EXEC 模式提示符Router>。(若为新路由器或空配置的路由器,则在路由 器启动结束出现配置向导时键入“N”退回到路由器CLI提示符Router>)。 4.练习常用路由器基本配置命令,如下: 路由器显示命令: 设置口令: router>enable 进入特权模式 router#config terminal 进入全局配置模式 router(config)#hostname
router(config-line)#password ccc 设置控制线密码为ccc router(config-line)#line vty 0 4 进入虚拟终端virtual vty router(config-line)#login 允许登录 router(config-line)#password ddd 设置登录口令ddd router(config)# (Ctrl+z) 返回特权模式 router#exit 返回命令 六.实验总结: 1.总结如何利用超级终端控制路由器。 2.总结路由器的有关基本配置命令。 项目2 路由器的密码设置、保存与破解方法 一.实验目的: 1.掌握路由器的密码设置与保存方法。 2.熟悉路由器的密码破解方法。 二.实验要点: 1.对路由器设置密码保证路由器的登录安全。 2.能够对Cisco 2621路由器进行密码破解。 三.实验设备: 路由器Cisco 2621一台,工作站PC 一台,控制台电缆一条,交叉双绞线一条。 四、实验环境 五.实验步骤: 5.1 路由器密码设置 router>enable 进入特权模式 router#config terminal 进入全局配置模式 1. 设置特权非加密口令 router(config)#enable password aaa 2.设置特权加密口令 router(config)#enable secret bbb
华为路由器路由策略和策略路由
路由策略和策略路由 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 路由策略具有以下价值: 通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1,一个路由策略中包含N(N>=1)个节点(Node)。路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。 匹配模式分permit和deny两种: permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny:路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。 1、ACL
企业路由器设置方案
[企业路由器] 多WAN口带宽控制设置指导 网络的带宽资源是有限的,但是在带宽的使用上,经常会出现“20%的主机占用了80%的资源”,从而导致网络的应用经常出现“上网慢、网络卡”等现象。企业路由器提供了基于IP地址的带宽控制功能,可以有效防止少部分主机占用大多数 的资源,为整个网络带宽资源的合理利用提供保证。 本文介绍企业路由器的带宽控制的配置步骤。 某企业内网有50台主机,使用多WAN口企业路由器,申请20M光纤和10M的ADSL线路。其中计划给市场部10M 带宽,剩余的20M给其它部门,内网IP地址段为192.168.1.100~149,根据需求,制定以下需求表格: 注意:ADSL线路一般上行为512Kbps, 带宽控制的算法:最小上行(下行)带宽=总带宽/电脑数,上述表格仅考参考,实际参数设置可以参考文档结尾的参考表。 登录路由器管理界面,点击接口设置 >> WAN设置,设置两个(或多个)WAN口的上网参数,填写宽带线路真实上行、下行的带宽,参数填写完成后,点击保存。以WAN1口为例,如下图所示: 注意:1Mb=1024Kb,为了便于计算,文档以1Mb=1000Kb为例。
添加市场部和其他部门的用户组,后续的控制规则中针对两个组进行带宽控制。 添加用户组的具体设置方法,请点击参考: 1、添加市场部规则 点击传输控制>>带宽控制>>带宽控制规则,自定义规则名称,数据流向选择LAN->WAN-ALL,用户组选择市场部,带宽模式选择独立,填写计划好的上下行带宽值,如下: 注意:带宽模式中的“独立”表示受控组中的每一个IP地址最小带宽为1000Kbps,最大带宽均为2000Kbps。 2、添加其它部门规则 填写其他部门的控制规则,如下:
路由器的基本配置
实验一:路由器的基本配置 实验目的 1、掌握配置线、直通线、交叉线的使用 2、子网划分(地址块192.168.1.0/24) 3、路由器不同模式之间的关系和转换 4、通过超级终端对路由器进行基本配 5、路由器密码的配置 6、利用telnet登陆路由器并对其配置 7、验证并保存配置 实验设备 1、路由器1台 2、PC机4台 3、配置线(console)线1条、交叉线1条、直通线3条 实验过程分解 1、一个网段的配置 (1)目标:PC2能ping通路由器对应接口或PC1\PC0能ping通路由器对应接口 使用的命令(略) 2、两个网段的配置 (1)目标:PC0、PC1、PC2能相互ping通 (2)配置PC0、PC1、PC2网关前:PC0、PC1、PC2互ping的结果 (3)配置PC0、PC1、PC2网关后:PC0、PC1、PC2互ping的结果 实验过程 1.先向界面中添加一台router0 ,4台pc机和一台switch,先用控制线(console)连 接router0的console接口和pc0的RS232接口,用交叉线(copper cross-over)连接router0的FastEthernet 0/1接口和pc3的FastEthernet接口,用直通线(copper straight-through)连接router0的FastEthernet 0/0接口和switch,pc1,pc2的FastEthernet接口。如图(配置钱的网络拓扑)
2.点击pc0进入Desktop的Terminal,如图 3.进入Terminal后,如图 4.点击OK进入代码,进入代码编辑界面,如图
无线路由器的安全配置方法
无线路由器的安全配置方法 随着越来越多的用户选择无线网络来提高工作的移 动性,无线网络的安全也开始备受大家关注。可以说,无线比有线网络更难保护,因为有线网络的固定物理访问点数量有限,而无线网络中信号能够达到的任何一点都可能被使用。 目前,各大品牌厂商在无线路由器的配置设计方面增加了密钥、禁止SSID广播等多种手段,以保证无线网络的安全。 设置网络密钥 无线加密协议(WEP)是对无线网络中传输的数据进行加 密的一种标准方法。目前,无线路由器或AP的密钥类型一 般有两种,分别为64位和128位的加密类型,它们分别需 要输入10个或26个字符串作为加密密码。许多无线路由器或AP在出厂时,数据传输加密功能是关闭的,必须在配置 无线路由器的时候人工打开。 禁用SSID广播 通常情况下,同一生产商推出的无线路由器或AP都使
用了相同的SSID,一旦那些企图非法连接的攻击者利用通用的初始化字符串来连接无线网络,就极易建立起一条非法的连接,给我们的无线网络带来威胁。因此,建议你最好能够将SSID命名为一些较有个性的名字。 无线路由器一般都会提供“允许SSID广播”功能。如果你不想让自己的无线网络被别人通过SSID名称搜索到,那么最好“禁止SSID广播”。你的无线网络仍然可以使用,只是不会出现在其他人所搜索到的可用网络列表中。 通过禁止SSID广播设置后,无线网络的效率会受到一定的影响,但以此换取安全性的提高,笔者认为还是值得的。 禁用DHCP DHCP功能可在无线局域网内自动为每台电脑分配IP地址,不需要用户设置IP地址、子网掩码以及其他所需要的TCP/IP参数。如果启用了DHCP功能,那么别人就能很容易使用你的无线网络。因此,禁用DHCP功能对无线网络而言很有必要。在无线路由器的“DHCP服务器”设置项下将DHCP 服务器设定为“不启用”即可。 启用MAC地址、IP地址过滤
华为企业级路由器配置命令大全
华为华为路由器交换机配置命令大全 一、计算机命令 PCAlogin:root;使用root用户 password:linux;口令是linux #shutdown-hnow;关机 #init 0;关机 #logout;用户注销 #login;用户登录 #ifconfig;显示IP地址 #ifconfig eth0 netmask;设置IP地址 #ifconfig eht0 netmask down;禁用IP地址 #route add 0.0.0.0 gw;设置网关 #route del 0.0.0.0 gw;删除网关 #route add default gw;设置网关 #route del default gw;删除网关 #route;显示网关 #ping;发ECHO包 #telnet;远程登录 二、华为路由器交换机配置命令:交换机命令 [Quidway]dis cur;显示当前配置 [Quidway]display current-configuration;显示当前配置 [Quidway]display interfaces;显示接口信息 [Quidway]display vlan;显示vlan信息 [Quidway]display version;显示版本信息 [Quidway]super password;修改特权用户密码 [Quidway]sysname;交换机命名 [Quidway]interface ethernet0/1;进入接口视图 [Quidway]interface vlan x;进入接口视图 [Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0;配置VLAN的IP地址[Quidway]Ip route-static 0.0.0.0 0.0.0.0 10.65.1.2;静态路由=网关[Quidway]rip; rip协议 [Quidway]local-user ftp [Quidway]user-interface vty 0 4;进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password;设置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple 222;设置口令 [S3026-ui-vty0-4]user privilege level 3;用户级别 [Quidway]interface ethernet0/1;进入端口模式 [Quidway]int e0/1;进入端口模式 [Quidway-Ethernet0/1]duplex{half|full|auto};配置端口工作状态 [Quidway-Ethernet0/1]speed{10|100|auto};配置端口工作速率 [Quidway-Ethernet0/1]flow-control;配置端口流控
路由器基本配置_实验报告
路由器基本配置_实验报告 《组网技术》实验报告 姓名学号教学班计算机网络 任课教师王丽娟指导教师王丽娟班主任 2013-6-3 实验地点广西某家具公司机房实验时间 实验项目名称:路由器基本配置 实验目标及要求: 通过CISCO路由器,了解路由器的各个接口的用途、配接方法,路由器配置命令、状态模式的功能,在此基础上通过超级终端完成对路由器的各种基本配置,如:路由器的命名、特权密码的设置、LAN接口的配置、WAN接口的配置、静态路由的配置等等。并用命令保存和查验配置信息。 实验环境及工具: CISCO路由器,PC机,网线,专用电缆(RS232,V35),CONSOLE。 实验内容及过程: 实验内容: 观察CISCO路由器,了解路由器基本知识; 学习电缆连接; 查看CISCO路由器的操作,了解路由器工作原理; 学习基本的路由器配置。 实验步骤: 配置相应的IP参数 打开计算机的“超级终端”程序 此超级终端内输入的命令都是对路由器A的操作,超级终端窗口内所有输出都是路由器A的 输出。 键入“,”列入命令提示。 7-A>? Exec commands: <1-99> Session number to resume access-enable Create a temporary Access-List entry access-profile Apply user-profile to interface clear Reset functions connect Open a terminal connection disable Turn off privileged commands disconnect Disconnect an existing network connection
配置策略路由命令 锐捷
33.1配置相关命令 33.1.1ip policy route-map 要在一个接口启用策略路由,请使用接口配置命令ip policy route-map。 该命令的no形式关闭策略路由的应用。 ip policy route-map route-map no ip policy route-map 【参数说明】 【缺省情况】 缺省关闭策略路由。 【命令模式】 接口配置模式。 【使用指南】 策略路由必须在指定的接口上应用,该接口只对接收到的数据包进行策略 路由,该接口发送的数据包路由将正常按照路由表进行转发。 应用策略路由,必须要指定策略路由使用的路由图,并且要创建路由图。 一个路由图由很多条策略组成,每个策略都定义了1个或多个的匹配规 则和对应操作。一个接口应用策略路由后,将对该接口接收到的所有包进 行检查,不符合路由图任何策略的数据包将按照通常的路由转发进行处理, 符合路由图中某个策略的数据包就按照该策略中定义的操作进行处理。 注意: 我司产品一个接口最多只能配置一个路由图,在同一个接口上多次配置路 由图,后的路由图会覆盖先前配置的路由图。 【举例】
以下的配置例子中,当快速以太网接口FE0接收到数据报,如果数据报 源地址为10.0.0.1,则设置下一跳为196.168.4.6,如果源地址为20.0.0.1 则设置下一跳为196.168.5.6,否则进行普通转发。 access-list 1 permit 10.0.0.1 access-list 2 permit 20.0.0.1 route-map lab1 permit 10 match ip address 1 set ip next-hop 196.168.4.6 exit route-map lab1 permit 20 match ip address 2 set ip next-hop 196.168.5.6 exit interface GigabitEthernet 0/0 ip policy route-map lab1 exit 【相关命令】 注:route-map配置的相关命令请参考《协议无关命令参考》 ip local policy route-map 要对本地发送的报文启用策略路由,请使用命令ip local policy route-map。该命令的no形式关闭策略路由的应用。 ip local policy route-map route-map no ip local policy route-map
juniper路由器配置
juniper路由器配置 一.路由器网络服务安全配置: 默认情况下,系统启动了许多无用服务,这些服务在占用系统资源的同时也造成一定的安全隐患,应该在尽可能的情况下停止或限制这些服务 1. SNMP服务 使用如下命令来停止SNMP服务: setsystemprocessessnmpdisable 使用如下命令来设置SNMP通讯字符串:setsnmpcommunitymysnmpauthorizationread-only 使用如下命令来在接口上设备SNMP通讯字符串: setsnmpinterfacefxp0communitymysnmp 使用如下命令来在接口上禁止SNMP服务trap: setinterfacesfxp0unit0trapsdisable 使用如下命令来限制SNMP的访问客户端:setsnmpcommunitymysnmpclients192.168.0.0/24 setsnmpcommunitymysnmpclients0.0.0.0/0restrict 上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务 2.停止接口广播转发: 广播转发容易造成smurf攻击,因此应该使用如下命令停止: setsystemno-redirects 接口级别停止广播转发使用如下命令: setinterfacesfxp0unit0familyinetno-redirects 3.停止dhcp-relay服务,dhcp-relay服务用于在不同网段使用同一个dhcp 服务器,如果没有使用,则应该使用如下命令停止: setsystemdhcp-relaydisable 4.禁止IGMP服务,IGMP服务如果在没有使用的情况下应该使用如下命令禁止:setprotocolsigmpinterfacealldisable 5.禁止PIM服务(?),PIM服务如果在没有使用的情况下应该使用如下命令禁止: setprotocolspimdisable 6.禁止SAP服务(?),SAP服务如果在没有使用的情况下应该使用如下命令禁止: setprotocolssapdisable 7.禁止IPSourceRouting源路由 setchassisno-source-route 二.路由器登录控制: 1.设置系统登录Banner: setsystemloginmessageWarning:ifyouNOTauthorizedtoaccessthissystem,dis connectNOW! 2.设置登录超时时间: 默认情况下,系统登录没有登录超时时间限制,应该将登录超时时间设置为15分钟: setcliidle-timeout15
H3C路由器在企业中的常用配置
H3C路由器常用操作 接口的常规操作: int g0/4 port link-mode route 将此接口设置为路由模式(3层模式) ip address 1.1.1.1 16 给此接口设置IP地址,掩码长度 映射内网主机(或主机端口)到公网(电信或联通)的方法映射电信公网IP(61开头)的方法: int g0/1 nat server protocol tcp global 61.183.228.46 80 inside 10.2.199.3 80 映射内网主机10.2.199.3的80端口到外网IP 61.183.228.46的80端口 映射联通公网IP(220开头)的方法: int g0/0 nat server protocol tcp global 220.249.86.235 3389 inside 10.2.199.100 3389映射内网主机10.2.199.100的3389端口到外网IP 220.249.86.235的3389端口 NAT转换的配置: 1. 定义acl,将容许进行转换的内部IP地址定义进来 acl number 3000 rule 0 permit ip 容许内部所有IP地址转换为外部公网IP 2. 配置nat 转换地址池(公网IP) nat address-group 1 进入地址组1 address 220.249.86.235 220.249.86.238 定义地址池 3. 在物理接口上应用 int g0/0 nat outbound 3000 address-group 1 将acl3000中定义的网络转换为地址组1中的地址 策略路由的配置(让有的部门走电信,让有的部门走联通) 1. 设置一条默认路由(默认走电信) ip route-static 0.0.0.0 0.0.0.0 61.183.228.33 去往电信的默认路由2.定义acl,将允许走联通线路的内部IP地址定义进来 acl number 3010 定义一条acl
路由器实验1 路由器基本配置
实验1 路由器的基本配置 实验目标 掌握路由器几种常用配置方法和基本配置命令; 掌握采用 Console线缆配置路由器的方法; 掌握采用 Telnet方式配置路由器的方法; 熟悉路由器不同的命令行操作模式以及各种模式之间的切换; 实验背景 作为网络管理员,须对新购进的路由器设备进行了初次配置后,希望以后在办公室或出差时可以对设备进行远程管理,现要在路由器上做适当配置。 实验拓扑: (见本实验中所附的图R1.JPG) 实验设备 Router_2621 1 台;PC 1 台;交叉线;配置线 说明:交叉线:路由器与计算机相连路由器与交换机相连 直连线:计算机与交换机相连 实验要求: 按照图R1.JPG创建packet tracer 拓扑图后进行以下各项操作: (1)在计算机上启用超级终端,并配置超级终端的参数(模拟器最好按默认的),是计算机(RS 232)与路由器通过console 接口建立连接;更改路由器的主机名为R1;计算机(FastEthernet)与路由器FastEthernet0/0接口建立连接. (2)配置路由器的管理的 IP地址为192.168.1.254,并为 Telnet 用户配置用户密码5ijsj和enable 登录口令123456。配置计算机的 IP地址192.168.1.1(与路由器管理 IP地址在同一个网段),通过网线将计算机和路由器相连,通过计算机 Telnet到路由器上对交换机进行验证; (3)先为路由器添加有串行口的模块,然后配置路由器的串行口S0/0为DCE端,并设定其时钟频率是64000 ,接口IP地址和网络掩码为 192.168.10.1,255.255.255.0. (4)保存配置信息,显示配置信息; (5)显示历史命令。 1、 按上图连线,更改路由器的主机名为R1; Router#conf terminal Router(config)#hostname R1 2、(1)配置Int F0/0 IP Router(config)#interface f0/0 Router(config-if)#ip address 192.168.1.254 255.255.255.0 Router(config-if)#no shutdown %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
策略路由配置命令
一、基于distribute的路由过滤1.定义acl (conf)#access-list 1 deny 192.168.1.0 0.0.0.255 (conf)#access-list 1 permit any 2.进入路由重发布(conf)#router rip (conf-router)#distribute-list 1 out ospf 1 在rip协议下,配置distribute 列表,引用acl 1,过滤从ospf 1重发布到rip的网络路由。也就是说,通过该路由器进行ospf的重发布到rip网络中,过滤acl 1的数据。在该例中的意思就是ospf中如果有数据属于192.168.1.0/24,那么在rip 网络中无法学习到这些路由。由于重发布的命令是redistribute,所以这里可以理解为发布到rip网络中。=============================================================================== ============================================ 二、基于route-map的路由过滤 1.定义acl (conf)#access-list 1 deny 192.168.1.0 0.0.0.255 (conf)#access-list 1 permit any 2.定义route-map (conf)# route-map ospf-rip permit 10 其中ospf-rip为route-map的名称,10为序列号,下述条件如果成立的话动作为permit。注意:route-map和acl相同的是,在尾部都有隐藏的默认拒绝所有的条件。 3.匹配条件(config-route-map)#match ip address 1 查询acl 1是否满足 4.进入路由重发布(conf)#router rip (conf-router)#redistribute ospf 1 metric 4 route-map ospf-rip 在路由重发布的时候,对route-map的ospf-rip条目进行匹配过滤。在该例中就是禁止192.168.1.0/24的网络通过路由重发布到rip网络中,也就阻止了rip网络中的路由器学习到该路由。 =============================================================================== ============================================ 三、策略路由 1.定义acl (conf)#access-list 1 permit host 192.168.1.1 2.定义route-map (conf)# route-map pdb permit 10 其中pdb为route-map的名称,10为序列号
Juniper路由器安全配置方案
Juniper路由器安全配置方案 一. 路由器网络服务安全配置: 默认情况下,系统启动了许多无用服务,这些服务在占用系统资源的同时也造成一定的安全隐患,应该在尽可能的情况下停止或限制这些服务 1. SNMP服务 使用如下命令来停止SNMP服务: set system processes snmp disable 使用如下命令来设置SNMP通讯字符串: set snmp community mysnmp authorization read-only 使用如下命令来在接口上设备SNMP通讯字符串: set snmp interface fxp0 community mysnmp 使用如下命令来在接口上禁止SNMP服务trap: set interfaces fxp0 unit 0 traps disable 使用如下命令来限制SNMP的访问客户端: set snmp community mysnmp clients 192.168.0.0/24 set snmp community mysnmp clients 0.0.0.0/0 restrict 上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务< 2. 停止接口广播转发: 广播转发容易造成smurf攻击,因此应该使用如下命令停止: set system no-redirects 接口级别停止广播转发使用如下命令: set interfaces fxp0 unit 0 family inet no-redirects 3. 停止dhcp-relay服务,dhcp-relay服务用于在不同网段使用同一个dhcp服务器,如果没有使用,则应该使用如下命令停止: set system dhcp-relay disable 4. 禁止IGMP服务,IGMP服务如果在没有使用的情况下应该使用如下命令禁止: set protocols igmp interface all disable 5. 禁止PIM服务,PIM服务如果在没有使用的情况下应该使用如下命令禁止: set protocols pim disable
无线路由器安全设置详细步骤详解
无线路由器安全设置详细步骤详解 路由器安全设置十四步 1. 为路由器间的协议交换增加认证功能提高网络安全性。 路由器的一个重要功能是路由的管理和维护目前具有一定规模的网络都采用动态的路由协议,常用的有:RIP、EIGRP、OSPF、IS-IS、BGP等。当一台设置了相同路由协议和相同区域标示符的路由器加入网络后会学习网络上的路由信息表。但此种方法可能导致网络拓扑信息泄漏也可能由于向网络发送自己的路由信息表扰乱网络上正常工作的路由信息表严重时可以使整个网络瘫痪。这个问题的解决办法是对网络内的路由器之间相互交流的路由信息进行认证。当路由器配置了认证方式就会鉴别路由信息的收发方。 2. 路由器的物理安全防范。 路由器控制端口是具有特殊权限的端口如果攻击者物理接触路由器后断电重启实施密码修复流程进而登录路由器就可以完全控制路由器。 3. 保护路由器口令。 在备份的路由器配置文件中密码即使是用加密的形式存放密码明文仍存在被破解的可能。一旦密码泄漏网络也就毫无安全可言。 4. 阻止察看路由器诊断信息。
关闭命令如下: no service tcp-small-servers no service udp-small-servers 5. 阻止查看到路由器当前的用户列表。 关闭命令为:no service finger。 6. 关闭CDP服务。 在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息: 设备平台、操作系统版本、端口、IP地址等重要信息。可以用命令: no cdp running或no cdp enable关闭这个服务。 7. 阻止路由器接收带源路由标记的包将带有源路由选项的数据流丢弃。 IP source-route是一个全局配置命令允许路由器处理带源路由选项标记的数据流。启用源路由选项后源路由信息指定的路由使数据流能够越过默认的路由这种包就可能绕过防火墙。关闭命令如下: no ip source-route。 8. 关闭路由器广播包的转发。 Sumrf D.o.S攻击以有广播转发配置的路由器作为反射板占用网络资源甚至造成网络的瘫痪。应在每个端口应用no ip directed-broadcast关闭路由器广播包。 9. 管理服务。
小型企业交换机-路由器配置
第六组实验报告 田熠蒋凌峰张哲皓张勇周祥【组网环境】 某小型IT企业现有员工50余人,总经理1名,部门4个,分别是研发部,技术支持部,财务部和人事部。研发部分为研发1部和研发2部,共有员工30人,分别位于不同的办公区域;技术支持部共有员工15人;财务部共有员工2名;人事部共有员工3名。另有3层交换机2台,不可配置2层交换机数台。 【组网要求】 1.所有部门独立工作,相互之间不能互访,且都不能访问总经理的主机;(20分) 2.每个部门的员工实现动态地址分配;(20分) 3.实现研发部员工内部的互访;(20分) 4.实现研发部员工和技术支持部员工的互访;(20分) 5.禁止所有部门对财务部的访问,但允许总经理访问财务部。(20分) 网络拓扑图 路由器0/1接交换机1/0/1
1.所有部门独立工作,相互之间不能互访,且都不能访问总经理的主机 实现这项要求可以在交换机上划分vlan实现,因为研发部分为两个部分,所以划分成两个vlan。 交换机配置
策略路由配置详解
38策略路由配置 38.1理解策略路由 38.1.1策略路由概述 策略路由(PBR:Policy-Based Routing)提供了一种比基于目的地址进行路由转发更加灵活的数据包路由转发机制。策略路由可以根据IP/IPv6报文源地址、目的地址、端口、报文长度等内容灵 活地进行路由选择。 现有用户网络,常常会出现使用到多个ISP(Internet Server Provider,Internet服务提供商)资源的情形,不同ISP申请到的带宽不一;同时,同一用户环境中需要对重点用户资源保证等目的,对这部分用户不能够再依据普通路由表进行转发,需要有选择的进行数据报文的转发控制,因此,策略路由技术即能够保证ISP资源的充分利用,又能够很好的满足这种灵活、多样的应用。 IP/IPv6策略路由只会对接口接收的报文进行策略路由,而对于从该接口转发出去的报文不受策略路由的控制;一个接口应用策略路由后,将对该接口接收到的所有包进行检查,不符合路由图任何 策略的数据包将按照普通的路由转发进行处理,符合路由图中某个策略的数据包就按照该策略中 定义的操作进行转发。 一般情况下,策略路由的优先级高于普通路由,能够对IP/IPv6报文依据定义的策略转发;即数据报文先按照IP/IPv6策略路由进行转发,如果没有匹配任意一个的策略路由条件,那么再按照普 通路由进行转发。用户也可以配置策略路由的优先级比普通路由低,接口上收到的IP/IPv6报文 则先进行普通路由的转发,如果无法匹配普通路由,再进行策略路由转发。 用户可以根据实际情况配置设备转发模式,如选择负载均衡或者冗余备份模式,前者设置的多个下一跳会进行负载均衡,还可以设定负载分担的比重;后者是应用多个下一跳处于冗余模式,即前面优先生效,只有前面的下一跳无效时,后面次优的下一跳才会生效。用户可以同时配置多个下 一跳信息。 策略路由可以分为两种类型: 一、对接口收到的IP报文进行策略路由。该类型的策略路由只会对从接口接收的报文进行策略 路由,而对于从该接口转发出去的报文不受策略路由的控制; 二、对本设备发出的IP报文进行策略路由。该类型策略路由用于控制本机发往其它设备的IP报 文,对于外部设备发送给本机的IP报文则不受该策略路由控制。 38.1.2策略路由基本概念/特性 38.1.2.1策略路由应用过程 应用策略路由,必须先创建路由图,然后在接口上应用该路由图。一个路由图由很多条策略组成,每条策略都有对应的序号(Sequence),序号越小,该条策略的优先级越高。
Cisco路由器安全配置简易方案
一,路由器访问控制的安全配置 1,严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。 2,建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。 3,严格控制CON端口的访问。具体的措施有: 4,如果不使用AUX端口,则禁止这个端口。默认是未被启用。禁止如:
5,建议采用权限分级策略。如: 6,为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。 7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为,所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址;可以采用AAA设置用户的访问控制等。 8,IOS的升级和备份,以及配置文件的备份建议使用FTP代替TFTP。如: 9,及时的升级和修补IOS软件。 二,路由器网络服务安全配置
Router(Config)#no cdp run Router(Config-if)# no cdp enable 2,禁止其他的TCP、UDP Small服务。 Router(Config)# no service tcp-small-servers Router(Config)# no service udp-samll-servers 3,禁止Finger服务。 Router(Config)# no ip finger Router(Config)# no service finger 4,建议禁止HTTP服务。 Router(Config)# no ip http server 如果启用了HTTP服务则需要对其进行安全配置: 设置用户名和密码;采用访问列表进行控制。如: Router(Config)# username BluShin privilege 10 G00dPa55w0rd Router(Config)# ip http auth local Router(Config)# no access-list 10 Router(Config)# access-list 10 permit 192.168.0.1 Router(Config)# access-list 10 deny any Router(Config)# ip http access-class 10 Router(Config)# ip http server Router(Config)# exit 5,禁止BOOTp服务。 Router(Config)# no ip bootp server
企业级网络ip地址规划与配置
企业级网络ip地址规划与配置 以设计具有三层结构的大型企业级网络设计为例,完成IP地址的分配、NAT 地址转换、三层网络拓扑结构等功能,并选择合适的设备实现该网络,用模拟器验证通连性。 二、实验拓扑结构图与IP规划 拓扑实现: ROUTER0为本园区网络的出口,并在出口处通过NAT转换来实现与外网的连接,出口网络地址为10.2.145.91,三台路由器构成的主路由区域使用RIP 动态路由协议,ROUTER1所连为园区网络服务器群,网段为10.0.10.0 /24;由于设备限制在此只设置WEB与FTP服务器模拟现实中的服务器群,ROUTER3所连网段为192.168.10.0/24。 Switch0模拟现实中的新交换机,并与switch3做链路负载均衡,switch1与switch1之间使用PVLAN技术连接,做到本交换机上VLAN之间的隔离与整体的透传,Switch3模拟学生机房主交换机,与switch1之间使用两条普通链路,利用端口汇聚技术实现带宽的增加,并在交换机上连接一台DHCP服务器实现IP地址的自动分配,DHCP服务器使用windows 2003 server 附带的DHCP组建实现,由于设备限制,本次试验采用架设在VM虚拟机中的windows 2003 server
操作系统实现,虚拟机与现实网络通过桥接网络通信,wlan部分采用单AP布局,AP型号为NETGEAR————,internet接口地址为:192.168.10.254,LAN地址段为192.168.20.1 /24。 三、实验器材: 设备名称设备数量设备作用华为R2501路由器 3 路由、寻径 华为s2008交换机 4 Web服务器服务器 2 /DHCP服务器无线AP(netgear) 1 构建无线网络PC机 6 笔记本(带无线网卡) 2 四、配置过程: 配置命令: Router0: [Quidway]sysname router0 /重新命名交路由器 [router0]int s0 /配置串行链路接口 [router0-Serial0]ip add 172.16.32.5 255.255.255.252 /配置接口IP地址 [router0-Serial0]link-protocol ppp /链路层启用PPP协议 [router0-Serial0]quit [router0]int s1 [router0-Serial1]ip add 172.16.32.2 255.255.255.252 [router0-Serial1]link-protocol ppp [router0-Serial1]quit [router0]rip /启用RIP协议 [router0-rip]network all /发布直连网络 [router0-rip]quit [router0]nat address-group 10.2.145.91 10.2.145.91 pool 1 /设定nat地址池 [router0]acl 1 [router0-acl-2]rule permit source 192.168.20.8 /设定ACL规则