路由器-IP单播策略路由典型配置

路由器-IP单播策略路由典型配置

【需求】

在Router上做策略路由，从40.1.1.0/25来的报文送往S1/0口，从40.1.1.128/25来的报文送往S1/1。

【组网图】

腾达Tenda无线路由器怎么安装设置之：静态IP上网设置篇

Q：路由器怎么安装设置之：静态IP上网设置 A：步骤1线路连接 步骤2登录路由器界面 步骤3设置路由器上网 步骤4更改无线密码 步骤5上网 常见问题：按照上面步骤设置好之后，还是上不了网的故障排查。 1、路由器界面打不开，怎么办？ 2、如何选择上网方式？ 3、动态IP方式上网设置。 4、ADSL方式上网设置。 5、设置之后“高级设置”—“系统状态”WAN口状态显示未连接，上不了网怎么办？ 6、设置之后“高级设置”—“系统状态”WAN口状态显示连接中，上不了网怎么办？ 7、设置之后“高级设置”—“系统状态”WAN口状态显示已连接，还是上不了网怎么办？ 上网设置具体操作步骤如下： 一、线路连接如下图：我们以静态IP上网设置为例 把宽带线连到路由器(WAN口)上，然后把连接电脑的网线接到路由器上（编号1/2/3/4的任意一个端口），常见接线方式如下图所示： 注意：通电以后正常情况下，路由器的的SYS灯闪烁，WAN口和连接电脑的端口指示灯常亮或闪烁。

二、登录路由器界面。 注意：如路由器界面打不开，请点击此链接，进行查看调试。 三、设置路由器上网。 注意：如不知如何选择自己的上网方式，请点击此链接确认自己的上网方式。

在页面中点击“高级设置”或者点击页面右上角的“高级设置”，如下图所示：

在随后的页面中依次点击“高级设置”—“WAN口设置”选择上网方式为“静态IP”输入固定IP地址、子网掩码、网关、DNS等参数，点击“确定”，如下图所示： 其它上网方式设置，请点击下列链接进行设置。 1、ADSL上网方式设置 2、动态IP上网方式设置

四、更改无线密码。 在页面中，点击“高级设置”—“无线设置”—“无线安全”，找到“密钥”，自己设置自己想要的无线密码（至少8位数字、字母或数字和字母组合），设置好之后，点击“系统工具”——“重启路由器”即可，如下图所示： 注意：ADSL拨号方式或者自动获取上网方式，可直接在设置页面首页（无线加密）处进行设置。

华为路由器路由策略和策略路由

路由策略和策略路由 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能，它通过改变路由属性（包括可达性）来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时，根据实际组网需求实施一些策略，以便对路由信息进行过滤和改变路由信息的属性，如： 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息，以控制路由表的容量，提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时，只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性，满足自身需要。 路由策略具有以下价值： 通过控制路由器的路由表规模，节约系统资源；通过控制路由的接收、发布和引入，提高网络安全性；通过修改路由属性，对网络数据流量进行合理规划，提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中，路由策略的6种过滤器也能单独使用，实现路由过滤。若设备支持BGP to IGP功能，还能在IGP引入BGP路由时，使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1，一个路由策略中包含N（N>=1）个节点（Node）。路由进入路由策略后，按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义，涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后，进入匹配模式选择，不再匹配其他节点。 匹配模式分permit和deny两种： permit：路由将被允许通过，并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny：路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后，进入下一节点。如果和所有节点都匹配失败，路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL（Access Control List）、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式，因此这6种过滤器在以下的特定情况中可以单独使用，实现路由过滤。 1、ACL

SR8800-X核心路由器策略路由配置指导

H3C SR8800-X 核心路由器 策略路由配置指导

目录 1 简介 (1) 2 配置前提 (1) 3 使用限制 (1) 4 IPv4 策略路由配置举例 (1) 4.1 组网需求 (1) 4.2 配置思路 (2) 4.3 使用版本 (2) 4.4 配置步骤 (2) 4.5 验证配置 (3) 4.6 配置文件 (3) 4.7 组网需求 (4) 4.8 配置思路 (5) 4.9 使用版本 (5) 4.10 配置步骤 (5) 4.11 验证配置 (6) 4.12 配置文件 (6) 5 相关资料 (7)

1 简介 本文档介绍了策略路由的配置举例。 普通报文是根据目的IP 地址来查找路由表转发的，策略路由是一种依据用户制定的策略进行路由选择的机制。策略路由可以基于到达报文的源地址、目的地址、IP 优先级、协议类型等字段灵活地进行路由选择。 2 配置前提 本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。 本文假设您已了解策略路由特性。 3 使用限制 ?本设备只支持转发策略路由。转发策略路由只对接口接收的报文起作用，指导其转发，对本地产生的报文不起作用； ?配置重定向到下一跳时，不能将IPv4 规则重定向到IPv6 地址，反之亦然。 4 IPv4 策略路由配置举例 4.1 组网需求 如图1 所示，缺省情况下，Device的接口GigabitEthernet 3/0/1 上收到的所有访问Server的报文根据路由表转发的下一跳均为10.4.1.2。 现要求在Device 上配置IPv4 策略路由，对于访问Server 的报文实现如下要求： (1) 首先匹配接口GigabitEthernet 3/0/1 上收到的源IP 地址为10.2.1.1 的报文，将该报文的下一 跳重定向到10.5.1.2； (2) 其次匹配接口GigabitEthernet 3/0/1 上收到的HTTP 报文，将该报文的下一跳重定向到 10.3.1.2。 图1 IPv4 策略路由特性典型配置组网图

tp-link路由器设置静态IP地址上网的方法

tp-link路由器设置静态IP地址上网的方法 静态IP配置一般的用户都很少使用到了，但有些用户可能会用到静态IP地址网了，下面小编就为大家介绍一下tp-link路由器怎么设置静态IP地址上网吧，欢迎大家参考和学习。 如果您的上网方式是静态IP，也就是说您向网络服务商(电信或网通)申请的宽带是固定IP地址，并且网络服务商提供您所有的外网的IP地址信息：包含IP地址(IP Address)、子网掩码(Subnet Mask)、网关(Gateway)、以及DNS服务器地址。那么您按照如下方式设置您的路由器： 物理连接 1、从宽带线路接路由器WAN口，电脑使用网线连接到路由器的LAN的1-4端口

2、检查指示灯，路由器运行正常情况下，系统指示灯(SYS)闪烁，WAN口指示灯以及LAN口指示灯常亮或者闪烁。 若SYS灯常亮或者熄灭，表明路由器出现故障;LAN口指示灯或者WAN口指示灯不亮，请检查物理连接是否接好，比如没有接网线或者是网线与接口接触不良;若连接正常但指示灯不亮，则可能是网线问题，建议您更换网线。 设置路由器

1、在浏览器中输入路由器LAN口的IP地址，在弹出的框中正确填写路由器的管理用户名和密码后进入管理页面。 若路由器为默认设置，则其管理地址为：192.168.1.1;用户名与密码均为：admin 2、在左边框中选择“网络参数”→“WAN口设置”，然后在右边框中的“WAN口连接类型”选择“静态IP”，在相应栏目填入IP地址(IP Address)、子网掩码(Subnet Mask)、网关(Gateway)、以及DNS服务器地址。如下图示。 3、若线路运营商限制使用路由器的话，可以通过克隆运营商绑定的mac地址来进行上网。如下图示。

无线路由器的安全配置方法

无线路由器的安全配置方法 随着越来越多的用户选择无线网络来提高工作的移 动性，无线网络的安全也开始备受大家关注。可以说，无线比有线网络更难保护，因为有线网络的固定物理访问点数量有限，而无线网络中信号能够达到的任何一点都可能被使用。 目前，各大品牌厂商在无线路由器的配置设计方面增加了密钥、禁止SSID广播等多种手段，以保证无线网络的安全。 设置网络密钥 无线加密协议(WEP)是对无线网络中传输的数据进行加 密的一种标准方法。目前，无线路由器或AP的密钥类型一 般有两种，分别为64位和128位的加密类型，它们分别需 要输入10个或26个字符串作为加密密码。许多无线路由器或AP在出厂时，数据传输加密功能是关闭的，必须在配置 无线路由器的时候人工打开。 禁用SSID广播 通常情况下，同一生产商推出的无线路由器或AP都使

用了相同的SSID，一旦那些企图非法连接的攻击者利用通用的初始化字符串来连接无线网络，就极易建立起一条非法的连接，给我们的无线网络带来威胁。因此，建议你最好能够将SSID命名为一些较有个性的名字。 无线路由器一般都会提供“允许SSID广播”功能。如果你不想让自己的无线网络被别人通过SSID名称搜索到，那么最好“禁止SSID广播”。你的无线网络仍然可以使用，只是不会出现在其他人所搜索到的可用网络列表中。 通过禁止SSID广播设置后，无线网络的效率会受到一定的影响，但以此换取安全性的提高，笔者认为还是值得的。 禁用DHCP DHCP功能可在无线局域网内自动为每台电脑分配IP地址，不需要用户设置IP地址、子网掩码以及其他所需要的TCP/IP参数。如果启用了DHCP功能，那么别人就能很容易使用你的无线网络。因此，禁用DHCP功能对无线网络而言很有必要。在无线路由器的“DHCP服务器”设置项下将DHCP 服务器设定为“不启用”即可。 启用MAC地址、IP地址过滤

juniper路由器配置

juniper路由器配置 一．路由器网络服务安全配置： 默认情况下，系统启动了许多无用服务，这些服务在占用系统资源的同时也造成一定的安全隐患，应该在尽可能的情况下停止或限制这些服务 1． SNMP服务 使用如下命令来停止SNMP服务： setsystemprocessessnmpdisable 使用如下命令来设置SNMP通讯字符串：setsnmpcommunitymysnmpauthorizationread-only 使用如下命令来在接口上设备SNMP通讯字符串： setsnmpinterfacefxp0communitymysnmp 使用如下命令来在接口上禁止SNMP服务trap： setinterfacesfxp0unit0trapsdisable 使用如下命令来限制SNMP的访问客户端：setsnmpcommunitymysnmpclients192.168.0.0/24 setsnmpcommunitymysnmpclients0.0.0.0/0restrict 上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务 2．停止接口广播转发： 广播转发容易造成smurf攻击，因此应该使用如下命令停止： setsystemno-redirects 接口级别停止广播转发使用如下命令： setinterfacesfxp0unit0familyinetno-redirects 3．停止dhcp-relay服务，dhcp-relay服务用于在不同网段使用同一个dhcp 服务器，如果没有使用，则应该使用如下命令停止： setsystemdhcp-relaydisable 4．禁止IGMP服务，IGMP服务如果在没有使用的情况下应该使用如下命令禁止：setprotocolsigmpinterfacealldisable 5．禁止PIM服务（？），PIM服务如果在没有使用的情况下应该使用如下命令禁止： setprotocolspimdisable 6．禁止SAP服务（？），SAP服务如果在没有使用的情况下应该使用如下命令禁止： setprotocolssapdisable 7．禁止IPSourceRouting源路由 setchassisno-source-route 二．路由器登录控制： 1．设置系统登录Banner: setsystemloginmessageWarning:ifyouNOTauthorizedtoaccessthissystem,dis connectNOW! 2．设置登录超时时间： 默认情况下，系统登录没有登录超时时间限制，应该将登录超时时间设置为15分钟： setcliidle-timeout15

策略路由配置命令

一、基于distribute的路由过滤1.定义acl (conf)#access-list 1 deny 192.168.1.0 0.0.0.255 (conf)#access-list 1 permit any 2.进入路由重发布(conf)#router rip (conf-router)#distribute-list 1 out ospf 1 在rip协议下，配置distribute 列表，引用acl 1，过滤从ospf 1重发布到rip的网络路由。也就是说，通过该路由器进行ospf的重发布到rip网络中，过滤acl 1的数据。在该例中的意思就是ospf中如果有数据属于192.168.1.0/24，那么在rip 网络中无法学习到这些路由。由于重发布的命令是redistribute，所以这里可以理解为发布到rip网络中。=============================================================================== ============================================ 二、基于route-map的路由过滤 1.定义acl (conf)#access-list 1 deny 192.168.1.0 0.0.0.255 (conf)#access-list 1 permit any 2.定义route-map (conf)# route-map ospf-rip permit 10 其中ospf-rip为route-map的名称，10为序列号，下述条件如果成立的话动作为permit。注意：route-map和acl相同的是，在尾部都有隐藏的默认拒绝所有的条件。 3.匹配条件(config-route-map)#match ip address 1 查询acl 1是否满足 4.进入路由重发布(conf)#router rip (conf-router)#redistribute ospf 1 metric 4 route-map ospf-rip 在路由重发布的时候，对route-map的ospf-rip条目进行匹配过滤。在该例中就是禁止192.168.1.0/24的网络通过路由重发布到rip网络中，也就阻止了rip网络中的路由器学习到该路由。 =============================================================================== ============================================ 三、策略路由 1.定义acl (conf)#access-list 1 permit host 192.168.1.1 2.定义route-map (conf)# route-map pdb permit 10 其中pdb为route-map的名称，10为序列号

TP-LINK静态IP上网设置

[TL-WR880N V3.0] 静态IP上网设置步骤 无线路由器可以实现宽带共享功能，为局域网内的电脑、手机、笔记本等终端提供有线、无线接入网络。本文指导如何快速设置路由器静态IP上网。 您也可以参考路由器上网设置视频教程，请点击访问： 根据入户宽带线路的不同，可以分为网线、电话线、光纤三种接入方式。具体连接方式请参考下列动态拓扑图。 连接完成后，检查路由器的指示灯是否正常：

设置路由器之前，需要将操作电脑设置为自动获取IP地址。如果您的电脑有线网卡已经设置为动态获取IP地址，则可以直接进行第二步。 请在下列图标选择您操作电脑对应的操作系统，按照设置指导，将电脑设置为自动获取IP地址。 1、输入管理地址 打开电脑桌面上的IE浏览器，清空地址栏并输入https://www.sodocs.net/doc/2f4731826.html,，回车后页面会弹出登录框。 2、登录管理界面 如果是第一次登录，需要设置路由器的管理密码。在设置密码框中设置管理密码，并在确认密码中再次输入，点击确定。如果已经设置好管理密码，请直接输入密码进入管理界面。

如果输入管理地址后，无法登录管理界面，请点击参考： 1、开始设置向导 进入路由器的管理界面后，点击设置向导，点击下一步。 2、选择上网方式 上网方式选择静态IP，点击下一步。 3、填写IP地址等参数 填写运营商指定的IP地址、子网掩码、网关以及DNS服务器地址。点击下一步：

4、设置无线参数 SSID即无线网络名称（可根据实际需求设置），勾选WPA-PSK/WPA2-PSK 并设置PSK 无线密码，点击下一步。 5、设置完成，重启路由 点击完成，设置向导完成。

设置完成后，进入路由器管理界面，点击运行状态，查看WAN口状态，参数显示正常，则表示设置成功。 至此，路由器已经设置完成，操作电脑可以进行上网。 如果此时无法上网，请点击参考： 不同类型的无线终端连接无线路由器的操作步骤不同，请您选择对应的操作系统图标并参考无线连接方法： [静态IP] 设置成功上不了网，怎么办？ 路由器WAN口静态IP上网已经设置完成，但是无法上网。该问题可能和线路连接、电脑网卡设置、路由器防火墙设置以及浏览器设置等原因相关，本文提供该问题的详细排查思路。

Juniper路由器安全配置方案

Juniper路由器安全配置方案 一． 路由器网络服务安全配置： 默认情况下，系统启动了许多无用服务，这些服务在占用系统资源的同时也造成一定的安全隐患，应该在尽可能的情况下停止或限制这些服务 1． SNMP服务 使用如下命令来停止SNMP服务： set system processes snmp disable 使用如下命令来设置SNMP通讯字符串： set snmp community mysnmp authorization read-only 使用如下命令来在接口上设备SNMP通讯字符串： set snmp interface fxp0 community mysnmp 使用如下命令来在接口上禁止SNMP服务trap： set interfaces fxp0 unit 0 traps disable 使用如下命令来限制SNMP的访问客户端： set snmp community mysnmp clients 192.168.0.0/24 set snmp community mysnmp clients 0.0.0.0/0 restrict 上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务< 2． 停止接口广播转发： 广播转发容易造成smurf攻击，因此应该使用如下命令停止： set system no-redirects 接口级别停止广播转发使用如下命令： set interfaces fxp0 unit 0 family inet no-redirects 3． 停止dhcp-relay服务，dhcp-relay服务用于在不同网段使用同一个dhcp服务器，如果没有使用，则应该使用如下命令停止： set system dhcp-relay disable 4． 禁止IGMP服务，IGMP服务如果在没有使用的情况下应该使用如下命令禁止： set protocols igmp interface all disable 5． 禁止PIM服务，PIM服务如果在没有使用的情况下应该使用如下命令禁止： set protocols pim disable

无线路由器安全设置详细步骤详解

无线路由器安全设置详细步骤详解 路由器安全设置十四步 1. 为路由器间的协议交换增加认证功能提高网络安全性。 路由器的一个重要功能是路由的管理和维护目前具有一定规模的网络都采用动态的路由协议,常用的有：RIP、EIGRP、OSPF、IS-IS、BGP等。当一台设置了相同路由协议和相同区域标示符的路由器加入网络后会学习网络上的路由信息表。但此种方法可能导致网络拓扑信息泄漏也可能由于向网络发送自己的路由信息表扰乱网络上正常工作的路由信息表严重时可以使整个网络瘫痪。这个问题的解决办法是对网络内的路由器之间相互交流的路由信息进行认证。当路由器配置了认证方式就会鉴别路由信息的收发方。 2. 路由器的物理安全防范。 路由器控制端口是具有特殊权限的端口如果攻击者物理接触路由器后断电重启实施密码修复流程进而登录路由器就可以完全控制路由器。 3. 保护路由器口令。 在备份的路由器配置文件中密码即使是用加密的形式存放密码明文仍存在被破解的可能。一旦密码泄漏网络也就毫无安全可言。 4. 阻止察看路由器诊断信息。

关闭命令如下： no service tcp-small-servers no service udp-small-servers 5. 阻止查看到路由器当前的用户列表。 关闭命令为：no service finger。 6. 关闭CDP服务。 在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息: 设备平台、操作系统版本、端口、IP地址等重要信息。可以用命令: no cdp running或no cdp enable关闭这个服务。 7. 阻止路由器接收带源路由标记的包将带有源路由选项的数据流丢弃。 IP source-route是一个全局配置命令允许路由器处理带源路由选项标记的数据流。启用源路由选项后源路由信息指定的路由使数据流能够越过默认的路由这种包就可能绕过防火墙。关闭命令如下： no ip source-route。 8. 关闭路由器广播包的转发。 Sumrf D.o.S攻击以有广播转发配置的路由器作为反射板占用网络资源甚至造成网络的瘫痪。应在每个端口应用no ip directed-broadcast关闭路由器广播包。 9. 管理服务。

策略路由配置详解

38策略路由配置 38.1理解策略路由 38.1.1策略路由概述 策略路由（PBR：Policy-Based Routing）提供了一种比基于目的地址进行路由转发更加灵活的数据包路由转发机制。策略路由可以根据IP/IPv6报文源地址、目的地址、端口、报文长度等内容灵 活地进行路由选择。 现有用户网络，常常会出现使用到多个ISP（Internet Server Provider，Internet服务提供商）资源的情形，不同ISP申请到的带宽不一；同时，同一用户环境中需要对重点用户资源保证等目的，对这部分用户不能够再依据普通路由表进行转发，需要有选择的进行数据报文的转发控制，因此，策略路由技术即能够保证ISP资源的充分利用，又能够很好的满足这种灵活、多样的应用。 IP/IPv6策略路由只会对接口接收的报文进行策略路由，而对于从该接口转发出去的报文不受策略路由的控制；一个接口应用策略路由后，将对该接口接收到的所有包进行检查，不符合路由图任何 策略的数据包将按照普通的路由转发进行处理，符合路由图中某个策略的数据包就按照该策略中 定义的操作进行转发。 一般情况下，策略路由的优先级高于普通路由，能够对IP/IPv6报文依据定义的策略转发；即数据报文先按照IP/IPv6策略路由进行转发，如果没有匹配任意一个的策略路由条件，那么再按照普 通路由进行转发。用户也可以配置策略路由的优先级比普通路由低，接口上收到的IP/IPv6报文 则先进行普通路由的转发，如果无法匹配普通路由，再进行策略路由转发。 用户可以根据实际情况配置设备转发模式，如选择负载均衡或者冗余备份模式，前者设置的多个下一跳会进行负载均衡，还可以设定负载分担的比重；后者是应用多个下一跳处于冗余模式，即前面优先生效，只有前面的下一跳无效时，后面次优的下一跳才会生效。用户可以同时配置多个下 一跳信息。 策略路由可以分为两种类型： 一、对接口收到的IP报文进行策略路由。该类型的策略路由只会对从接口接收的报文进行策略 路由，而对于从该接口转发出去的报文不受策略路由的控制； 二、对本设备发出的IP报文进行策略路由。该类型策略路由用于控制本机发往其它设备的IP报 文，对于外部设备发送给本机的IP报文则不受该策略路由控制。 38.1.2策略路由基本概念/特性 38.1.2.1策略路由应用过程 应用策略路由，必须先创建路由图，然后在接口上应用该路由图。一个路由图由很多条策略组成，每条策略都有对应的序号（Sequence），序号越小，该条策略的优先级越高。

如何在路由器上设置远程访问(有固定公网IP)

要实现远程访问，要在路由器上做端口映射。假如路由器用的公网IP是119.123.222.68 现在有一台摄像机IP是192.168.1.49需要外网访问，它默认的HTTP端口是80，数据端口553，那么该如何实现呢1．因为默认的80端口不能转发，所以首先修改这台摄像机的HTTP端口为801，方法如下： 2．修该后摄像机会重启，用DeviceSearch搜索工具，显示端口已经改成了801 接下来，需要在路由器上面进行设置，以TP—LINK路由器为例： 1．登陆到TP—LINK路由器。 2．打开虚拟服务器转发规则：

3．添加两个端口，一个是HTTP 801，一个是数据端口553： 此处的端口要和摄像机修改后的数据端口相一致，553端口也要转发，否则可能进行远程观看时会没有图像。

4如果路由器上面的IP与MAC绑定功能开启了，需要将摄像机的IP与MAC地址添加上去，如下图： 5．访问时，路由器公网IP加端口进行访问，打开IE浏览器，输入http://119.123.222.68:801 6．出现登陆页面，如下截图： 7．输入用户名admin，密码admin

8．根据你的上行带宽，调整摄像机的比特流率，调整方法如下：点击下图中的视频及音频按钮 9．将比特流率控制在你的最大上行带宽以内，否则图像会传不过来

注： 以上是通过IE浏览器，输入http://119.123.222.68:801，进行访问的摄像机，但一次只能看到一台摄像机，那如果内网中，有多台摄像机需要进行访问，该如何设置呢？ 方法有两种： 第一种：还是通过IE浏览器进行访问， 假如有第二台摄像机IP是192.168.1.50需要外网访问 1．同样的方法，要修改摄像机的HTTP端口和数据端口：

Cisco路由器安全配置简易方案

一,路由器访问控制的安全配置 1,严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。 2,建议不要远程访问路由器。即使需要远程访问路由器，建议使用访问控制列表和高强度的密码控制。 3,严格控制CON端口的访问。具体的措施有: 4,如果不使用AUX端口，则禁止这个端口。默认是未被启用。禁止如:

5,建议采用权限分级策略。如: 6,为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。 7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为，所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址;可以采用AAA设置用户的访问控制等。 8,IOS的升级和备份，以及配置文件的备份建议使用FTP代替TFTP。如: 9,及时的升级和修补IOS软件。 二,路由器网络服务安全配置

Router(Config)#no cdp run Router(Config-if)# no cdp enable 2,禁止其他的TCP、UDP Small服务。 Router(Config)# no service tcp-small-servers Router(Config)# no service udp-samll-servers 3,禁止Finger服务。 Router(Config)# no ip finger Router(Config)# no service finger 4,建议禁止HTTP服务。 Router(Config)# no ip http server 如果启用了HTTP服务则需要对其进行安全配置: 设置用户名和密码;采用访问列表进行控制。如: Router(Config)# username BluShin privilege 10 G00dPa55w0rd Router(Config)# ip http auth local Router(Config)# no access-list 10 Router(Config)# access-list 10 permit 192.168.0.1 Router(Config)# access-list 10 deny any Router(Config)# ip http access-class 10 Router(Config)# ip http server Router(Config)# exit 5,禁止BOOTp服务。 Router(Config)# no ip bootp server

ospf 路由策略配置

A B B路由器和A路由器之间运行OSPF协议，B路由器通过OSPF发布三条静态路由到A路由器，静态路由的目的网段为5.5.5.5，6.6.6.6，7.7.7.7，类型为第一类外部路由，A路由器学到的5.5.5.5.的cost值比6.6.6.6和7.7.7.7的cost值小。配置如下： B路由器 router id 2.2.2.2 # interface Ethernet4/2/0 ip address 11.11.11.12 255.255.255.0 # acl number 1 rule 0 permit source 5.5.5.5 0 # acl number 2 rule 0 deny source 5.5.5.5 0 rule 1 permit # ospf import-route static cost 100 type 1 route-policy cost # area 0.0.0.0 network 2.2.2.2 0.0.0.0 network 11.11.11.0 0.0.0.255 # route-policy cost permit node 10 if-match acl 1 apply cost 10 route-policy cost permit node 20 if-match acl 2 # ip route-static 5.5.5.5 255.255.255.255 NULL 0 preference 60 ip route-static 6.6.6.6 255.255.255.255 NULL 0 preference 60 ip route-static 7.7.7.7 255.255.255.255 NULL 0 preference 60 #

H3C-三层技术-IP路由配置指导-静态路由配置

目录 1 静态路由配置.....................................................................................................................................1-1 1.1 简介...................................................................................................................................................1-1 1.1.1 静态路由.................................................................................................................................1-1 1.1.2 缺省路由.................................................................................................................................1-1 1.1.3 静态路由应用..........................................................................................................................1-1 1.2 配置静态路由.....................................................................................................................................1-2 1.2.1 配置准备.................................................................................................................................1-2 1.2.2 配置静态路由..........................................................................................................................1-2 1.3 配置静态路由与BFD联动..................................................................................................................1-3 1.3.1 双向检测.................................................................................................................................1-3 1.3.2 单跳检测.................................................................................................................................1-3 1.4 配置静态路由快速重路由功能...........................................................................................................1-4 1.5 静态路由显示和维护..........................................................................................................................1-5 1.6 静态路由典型配置举例......................................................................................................................1-6 1.6.1 静态路由基本功能配置举例....................................................................................................1-6 1.6.2 静态路由快速重路由配置举例.................................................................................................1-8 1.6.3 配置静态路由与BFD联动........................................................................................................1-9

华为路由器路由策略和策略路由配置与管理

路由策略和策略路由配置管理 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能，它通过改变路由属性（包括可达性）来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时，根据实际组网需求实施一些策略，以便对路由信息进行过滤和改变路由信息的属性，如： 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息，以控制路由表的容量，提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时，只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性，满足自身需要。 路由策略具有以下价值： 通过控制路由器的路由表规模，节约系统资源；通过控制路由的接收、发布和引入，提高网络安全性；通过修改路由属性，对网络数据流量进行合理规划，提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中，路由策略的6种过滤器也能单独使用，实现路由过滤。若设备支持BGP to IGP功能，还能在IGP引入BGP路由时，使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1，一个路由策略中包含N（N>=1）个节点（Node）。路由进入路由策略后，按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义，涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后，进入匹配模式选择，不再匹配其他节点。

匹配模式分permit和deny两种： permit：路由将被允许通过，并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny：路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后，进入下一节点。如果和所有节点都匹配失败，路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL（Access Control List）、地址前缀列表、AS 路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式，因此这6种过滤器在以下的特定情况中可以单独使用，实现路由过滤。 1、ACL ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器，在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。 2、地址前缀列表（IP Prefix List） 地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器，可在各路由协议发布和接收路由时单独使用。 每个地址前缀列表可以包含多个索引（index），每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配，任意一个节点匹配成功，将不再检查其他节点。若所有节点都匹配失败，路由信息将被过滤。 根据匹配的前缀不同，前缀过滤列表可以进行精确匹配，也可以进行在一定掩码长度范围内匹配。 说明： 当IP地址为0.0.0.0时表示通配地址，表示掩码长度范围内的所有路由都被Permit或Deny。 3、AS路径过滤器（AS_Path Filter） AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器，在BGP发布、接收路由时单独使用。 AS_Path属性记录了BGP路由所经过的所有AS编号。 4、团体属性过滤器（Community Filter） 团体属性过滤器是将BGP中的团体属性作为匹配条件的过滤器，在BGP发布、接收路由时单独使用。 BGP的团体属性是用来标识一组具有共同性质的路由。 5、扩展团体属性过滤器（Extcommunity Filter） 扩展团体属性过滤器是将BGP中的扩展团体属性作为匹配条件的过滤器，可在VPN配置中利用VPN Target区分路由时单独使用。 目前，扩展团体属性过滤器仅应用于对VPN中的VPN Target属性的匹配。VPN Target属性在BGP/MPLS IP VPN 网络中控制VPN路由信息在各Site之间的发布和接收。 6、RD属性过滤器（Route Distinguisher Filter） RD团体属性过滤器是将VPN中的RD属性作为匹配条件的过滤器，可在VPN配置中利用RD属性区分路由时单独使用。 VPN实例通过路由标识符RD实现地址空间独立，区分使用相同地址空间的前缀。 BGP to IGP功能 BGP to IGP功能使IGP能够识别BGP路由的Community、Extcommunity、AS-Path等私有属性。 在IGP引入BGP路由时，可以应用路由策略。只有当设备支持BGP to IGP功能时，路由策略中才可以使用BGP 私有属性作为匹配条件。如果设备不支持BGP to IGP功能，那么IGP就不能够识别BGP路由的私有属性，将导致匹配条件失效。

静态IP,如何设置双路由器

静态IP，双路由器设置 假设前一级路由器为路由器A，后一级路由器为路由器B 方法一：将路由器B当作中继器使用。 方法要点：更改路由器B的IP地址，关闭路由器B的DHCP功能。 1．按说明书设置路由器A参数等，保证路由器A能正常上网。 2．计算机的设置，以win7为例，打开网络和共享中心----管理无线网络----适配器属性----网络----协议版本4（双击），将常规选项卡都设置为自动获取。 3．路由器的设置 路由器A：LAN口IP地址：192.168.1.1 （路由器A原来的IP地址） 子网掩码：255.255.255.0 DHCP服务DHCP服务器：启用（一般默认为启用状态）地址池开始：192.168.1.100 地址池结束：192.168.1.199 路由器B：LAN口IP地址：192.168.2.1 （必须修改为不和路由器A一样的IP地址）子网掩码：255.255.255.0 DHCP服务DHCP服务器：不启用 地址池开始：192.168.0.100 地址池结束：192.168.0.199 网关和DNS：如果不关闭DHCP服务，填写路由器A的IP地址和路由器A的DNS 4． 5． 在命令行输入CMD进入，输入IPCONFIG/ALL，查看是否正常。 6．说明 路由器B作为集线器HUB，接路由器B的电脑网关应和上级电脑一样的路由器A的IP 地址，但由于路由器B的DHCP可能造成分配IP地址给下级电脑时网关设置成自己，因此在出现这种情况时，需要指定一下电脑的IP地址。 方法二：将路由器B作为路由器使用。 方法要点：路由器B的WAN口设置为动态IP，更改路由器B的IP地址和DHCP服务到另一个网段，使之与路由器A不在同一网段。 1．按说明书设置路由器A参数等，保证路由器A能正常上网。 2．计算机的设置，以win7为例，打开网络和共享中心----管理无线网络----适配器属性----网络----协议版本4（双击），将常规选项卡都设置为自动获取。 3．路由器B的设置 WAN口连接类型：动态IP （将路由器A的DHCP服务设置为启用；若没有启用，则选择静态IP，然后手工指定IP地址为路由器A的LAN口同一网段的任意地址，且不同于其