三种策略让路由器更加安全

传统的网络安全技术侧重于系统入侵检测、反病毒软件或防火墙。在网络安全构造中，交换机和路由器是非常重要的，在七层网络中每一层都必须是安全的。很多交换机和路由器都有丰富的安全功能，要了解有些什么，如何工作，如何部署，一层有问题时不会影响整个网络。交换机和路由器被设计成缺省安全的，出厂时就处于安全设置的状态，特别操作的设置在用户要求时才会被激活，所有其他选项都是关闭的，以减少危险，网管员也无需了解哪些选项应该关闭。

在初始登录时会被强制要求更改密码，也有密码的期限选项及登录尝试的次数限制，而且以加密方式存储。限期的帐号(维护帐号或后门)是不会存在的。交换机及路由器在掉电、热启动、冷启动、升级ios、硬件或一个模块失败的情况下都必须是安全的，而且在这些事件发生后应该不会危及安全并可恢复运作。因为日志的原因，网络设备应该通过网络时间协议保持安全精确的时间。通过snmp协议连接管理的名称也应该被改变。

抵挡dos攻击

从可用性出发，交换机和路由器需要能抵挡拒绝服务式dos攻击，并在攻击期间保持可用性。理想状态是他们在受到攻击时应该能够做出反应，屏蔽攻击ip及端口。每件事件都会立即反应并记录在日志中，同时他们也能识别并对蠕虫攻击做出反应。

交换机及路由器中使用ftp、htfp、telnet或ssh都有可能有代码漏洞，在漏洞被发现报告后，厂商可以开发、创建、测试、发布升级包或补丁。

基于角色的管理给予管理员最低程序的许可来完成任务，允许分派任务，提供检查及平衡，只有受信任的连接才能管理他们。管理权限可赋予设备或其他主机，例如管理权限可授予一定ip地址及特定的tcp/udp端口。

控制管理权限的最好办法是在授权进入前分权限，可以通过认证和帐户服务器，例如远程接入服务、终端服务或ldap服务。

远程连接的加密

snmp用来发现、监控、配置网络设备，snmp3是足够安全的版本，可以保证授权的通信。

建立登录控制可以减轻受攻击的可能性，设定尝试登录的次数，在遇到这种扫描时能做出反应。详细的日志在发现尝试破解密码及端口扫描时是非常有效的。

交换机及路由器的配置文件的安全也是不容忽视的，通常配置文件保存在安全的位置，在混乱的情况下，可以取出备份文件，安装并激活系统，恢复到已知状态。有些交换机结合了入侵检测的功能，一些通过端口映射支持，允许管理员选择监控端口。

虚拟网络的角色

虚拟的本地网络vlan是第二层上的有限广播域，由一组计算机设备组成，通常位于多个lan上，可能跨越一千或多个lan交换机，而与它们的物理位置无关，设备之间好像在同一个网络间通信一样，允许管理员将网络分为多个可管理运行良好的小块，将移动、更改设备、用户及权限的任务简化。

vlan可在各种形式上形成，如交换口、mac地址、il地址、协议类型、dhcp、802.1q 标志或用户自定义。这些可以单独或组合部署。

vlan认证技术在用户通过认证过程后授权给用户进入一个或多个vlan，该授权不是给予

设备的。

防火墙可以控制网络之间的访问，最广泛应用的是嵌在传统路由器和多层交换机上的，也称作acls，防火墙的不同主要在于他们扫描包的深度，是端到端的直接通讯还是通过代理，是否有session。

在网络之间的访问控制中，路由过滤措施可以基于源／目标交换槽或端口、源／目标vlan、源／目标ip或tcp/udp端口、icmp类型或mac地址。对于某些交换机和?由器，动态acl标准可以在用户通过认证过程后被创建，就像是认证的vlan，不过是在第三层上。当未知的源地址要求连入已知的内部目标时是有用的。

现在的网络要求设计成各层次都是安全的，通过部署交换机和路由器的安全设置，企业可以用传统的安全技术创建强壮的、各层都安全的系统。

华为路由器路由策略和策略路由

路由策略和策略路由 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能，它通过改变路由属性（包括可达性）来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时，根据实际组网需求实施一些策略，以便对路由信息进行过滤和改变路由信息的属性，如： 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息，以控制路由表的容量，提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时，只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性，满足自身需要。 路由策略具有以下价值： 通过控制路由器的路由表规模，节约系统资源；通过控制路由的接收、发布和引入，提高网络安全性；通过修改路由属性，对网络数据流量进行合理规划，提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中，路由策略的6种过滤器也能单独使用，实现路由过滤。若设备支持BGP to IGP功能，还能在IGP引入BGP路由时，使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1，一个路由策略中包含N（N>=1）个节点（Node）。路由进入路由策略后，按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义，涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后，进入匹配模式选择，不再匹配其他节点。 匹配模式分permit和deny两种： permit：路由将被允许通过，并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny：路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后，进入下一节点。如果和所有节点都匹配失败，路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL（Access Control List）、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式，因此这6种过滤器在以下的特定情况中可以单独使用，实现路由过滤。 1、ACL

SR8800-X核心路由器策略路由配置指导

H3C SR8800-X 核心路由器 策略路由配置指导

目录 1 简介 (1) 2 配置前提 (1) 3 使用限制 (1) 4 IPv4 策略路由配置举例 (1) 4.1 组网需求 (1) 4.2 配置思路 (2) 4.3 使用版本 (2) 4.4 配置步骤 (2) 4.5 验证配置 (3) 4.6 配置文件 (3) 4.7 组网需求 (4) 4.8 配置思路 (5) 4.9 使用版本 (5) 4.10 配置步骤 (5) 4.11 验证配置 (6) 4.12 配置文件 (6) 5 相关资料 (7)

1 简介 本文档介绍了策略路由的配置举例。 普通报文是根据目的IP 地址来查找路由表转发的，策略路由是一种依据用户制定的策略进行路由选择的机制。策略路由可以基于到达报文的源地址、目的地址、IP 优先级、协议类型等字段灵活地进行路由选择。 2 配置前提 本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。 本文假设您已了解策略路由特性。 3 使用限制 ?本设备只支持转发策略路由。转发策略路由只对接口接收的报文起作用，指导其转发，对本地产生的报文不起作用； ?配置重定向到下一跳时，不能将IPv4 规则重定向到IPv6 地址，反之亦然。 4 IPv4 策略路由配置举例 4.1 组网需求 如图1 所示，缺省情况下，Device的接口GigabitEthernet 3/0/1 上收到的所有访问Server的报文根据路由表转发的下一跳均为10.4.1.2。 现要求在Device 上配置IPv4 策略路由，对于访问Server 的报文实现如下要求： (1) 首先匹配接口GigabitEthernet 3/0/1 上收到的源IP 地址为10.2.1.1 的报文，将该报文的下一 跳重定向到10.5.1.2； (2) 其次匹配接口GigabitEthernet 3/0/1 上收到的HTTP 报文，将该报文的下一跳重定向到 10.3.1.2。 图1 IPv4 策略路由特性典型配置组网图

路由器登陆方法与基本设置

路由器登陆方法与基本设置 首先，用一根普通网线把无线路由器跟电脑连接，设置好电脑网卡的IP地址，IP地址的前三个数字跟路由器内置IP 地址的前三个数字相同； 比如，如果路由器的IP地址为：192.168.0.1 （说明书里面有），那么电脑网卡的IP地址可以设置为192.168.0.3，子网掩码设置为255.255.255.0 ，网关设置为192.168.0.1 (就是路由器的IP地址）。 然后，电脑网络连接状态会显示本地连接已连接； 打开浏览器，在地址栏输入路由器的IP地址，比如：192.168.0.1 ，确定； 如果电脑IP地址与路由器IP地址在同一网段，就会弹出路由器的登陆界面，如图1 ： 图1 路由器登陆界面 输入路由器的登陆用户名和口令，默认的登录名和口令在说明书里面有，默认的登录名大多为admin，默认口令为admin 或者为空； 进入WEB界面的路由器设置界面，可以使用设置向导完成设置，也可以不用向导进行设置。关键的设置项目是"网络参数“和”无线参数“。 网络参数里面，最关键的是WAN口参数，需要正确选择WAN口链接类型； 如果是通过电话线宽带拨号上网，就选择PPPOE连接类型，并设置好上网帐户和口令，就是安装宽带时ISP提供的帐户和口令； 还可以设置网络连接方式，如：按需连接，自动连接，定时连接，手动连接等方式。对于包月不限时用户，选择自动连接即可；对于有上网时间限制的用户，最好选择按需连接；

至于LAN口参数，设置一下本地连接的IP地址和子网掩码就行了，一般填路由器的IP地址，保持默认即可。如果改变了LAN口IP地址，那么重启后需要使用新 的IP地址登陆路由器，并且本地网卡的IP地址也需要改变到同一网段。 图2 路由器网络参数设置界面 无线网络参数的设置 点击图2左边工具栏里面的”无线参数“，进入无线网络基本设置界面，在这里必须设置SSID号（网络名），在无线上网电脑里面设置无线网络属性时，需要用到SSID号，名称由自己定。模式有11Mbps、54Mbps等，如果接入的宽带是1Mbps或2Mbps的，改变模式没有实际意义； 这里有两个选项比较重要，”开启无线功能“、”允许SSID无线广播“。 如果不选择”开启无线功能“，无线路由器只能当普通的有线路由器使用，不发出无线网络信号； 如果没有选择”允许SSID无线广播“，在电脑上设置无线网络时，不能自动搜索到无线信号，必须手动设置SSID号，无线网卡才能跟无线路由器建立无线连接； 允许SSID无线广播后，电脑的无线网卡会自动搜索到无线路由器的信号，如果没有加密，就可以自动建立连接，如果使用了加密，在设置密钥后建立连接； 不过，允许SSID无线广播后，凡是有无线网卡的电脑，在信号覆盖范围内，都可以搜索到无线路由器发出的无线网络信号，自由连接到无线路由器共享上网； 如果不想让不明电脑共享自己的无线宽带，可以使用无线网络密钥；

2.实验二、路由器的日常维护与管理(详解版)资料

实验二、路由器的日常维护与管理 1、实验目的 通过本实验可以： 1)掌握路由接口IP地址的配置及接口的激活 2)掌握telnet的使用及配置 3)熟悉CDP的使用及配置 4)了解基本的debug调试命令 5)理解并实现设备之间的桥接 6)绘制基本的网络拓扑图 7)掌握数据通信的可达性测试 8)掌握路由器的密码恢复步骤 9)熟悉TFTP服务器的使用 10)掌握路由器配置文件的备份与恢复 11)掌握路由器IOS文件的备份、升级和恢复 2、拓扑结构 路由器的日常维护与管理拓扑 3、实验需求 1)设置主机名，并关闭域名解析、关闭同步、关闭控制台超时 2)使用相关命令查看当前配置信息，并保存当前的配置文件 3)桥接PC到机架路由器，配置路由器接口的IP地址，开启接口并测试路由器与 本机的连通性，开启debug观察现象 4)使用TFTP传送文件，分别实现拷贝路由器的配置文件到TFTP服务器和从TFTP

服务器导入配置文件到路由器 a)将当前配置文件保存到本机，并在本机打开并修改所保存的配置文件 b)将当前配置文件保存到同学电脑 c)将保存在本机的配置文件导入所使用的设备 d)将同学保存的配置文件导入所使用的设备 e)注意观察导入配置文件时设备提示信息的变化 5)使用TFTP备份路由器的IOS文件 6)IOS文件的升级和灾难恢复 7)路由器的密码恢复 8)使用CDP发现邻居设备，实现telnet远程登入到邻居设备 9)用主机名绑定IP，实现telnet主机名与telnet IP一致的效果 10)实现GNS3模拟器与本机之间的桥接，并将模拟器的配置文件保存到本机4、参考配置 1.配置基本命令 设置主机名、关闭域名解析、同步、控制台超时 Router>enable Router#config terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname r14//命名主机 r14(config)#no ip domain-lookup//关闭域名解析 r14(config)#line console 0 r14(config-line)#logging synchronous //关闭日志同步 r14(config-line)#exec-timeout 0 0//关闭控制台超时 r14(config-line)#end r14# 2.查看当前配置信息，并保存当前的配置文件 r14#show running-config //查看当前运行的配置文件 Building configuration... Current configuration : 420 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname r14 ! ! ip subnet-zero ! ! no ip domain-lookup !

无线路由器的安全配置方法

无线路由器的安全配置方法 随着越来越多的用户选择无线网络来提高工作的移 动性，无线网络的安全也开始备受大家关注。可以说，无线比有线网络更难保护，因为有线网络的固定物理访问点数量有限，而无线网络中信号能够达到的任何一点都可能被使用。 目前，各大品牌厂商在无线路由器的配置设计方面增加了密钥、禁止SSID广播等多种手段，以保证无线网络的安全。 设置网络密钥 无线加密协议(WEP)是对无线网络中传输的数据进行加 密的一种标准方法。目前，无线路由器或AP的密钥类型一 般有两种，分别为64位和128位的加密类型，它们分别需 要输入10个或26个字符串作为加密密码。许多无线路由器或AP在出厂时，数据传输加密功能是关闭的，必须在配置 无线路由器的时候人工打开。 禁用SSID广播 通常情况下，同一生产商推出的无线路由器或AP都使

用了相同的SSID，一旦那些企图非法连接的攻击者利用通用的初始化字符串来连接无线网络，就极易建立起一条非法的连接，给我们的无线网络带来威胁。因此，建议你最好能够将SSID命名为一些较有个性的名字。 无线路由器一般都会提供“允许SSID广播”功能。如果你不想让自己的无线网络被别人通过SSID名称搜索到，那么最好“禁止SSID广播”。你的无线网络仍然可以使用，只是不会出现在其他人所搜索到的可用网络列表中。 通过禁止SSID广播设置后，无线网络的效率会受到一定的影响，但以此换取安全性的提高，笔者认为还是值得的。 禁用DHCP DHCP功能可在无线局域网内自动为每台电脑分配IP地址，不需要用户设置IP地址、子网掩码以及其他所需要的TCP/IP参数。如果启用了DHCP功能，那么别人就能很容易使用你的无线网络。因此，禁用DHCP功能对无线网络而言很有必要。在无线路由器的“DHCP服务器”设置项下将DHCP 服务器设定为“不启用”即可。 启用MAC地址、IP地址过滤

juniper路由器配置

juniper路由器配置 一．路由器网络服务安全配置： 默认情况下，系统启动了许多无用服务，这些服务在占用系统资源的同时也造成一定的安全隐患，应该在尽可能的情况下停止或限制这些服务 1． SNMP服务 使用如下命令来停止SNMP服务： setsystemprocessessnmpdisable 使用如下命令来设置SNMP通讯字符串：setsnmpcommunitymysnmpauthorizationread-only 使用如下命令来在接口上设备SNMP通讯字符串： setsnmpinterfacefxp0communitymysnmp 使用如下命令来在接口上禁止SNMP服务trap： setinterfacesfxp0unit0trapsdisable 使用如下命令来限制SNMP的访问客户端：setsnmpcommunitymysnmpclients192.168.0.0/24 setsnmpcommunitymysnmpclients0.0.0.0/0restrict 上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务 2．停止接口广播转发： 广播转发容易造成smurf攻击，因此应该使用如下命令停止： setsystemno-redirects 接口级别停止广播转发使用如下命令： setinterfacesfxp0unit0familyinetno-redirects 3．停止dhcp-relay服务，dhcp-relay服务用于在不同网段使用同一个dhcp 服务器，如果没有使用，则应该使用如下命令停止： setsystemdhcp-relaydisable 4．禁止IGMP服务，IGMP服务如果在没有使用的情况下应该使用如下命令禁止：setprotocolsigmpinterfacealldisable 5．禁止PIM服务（？），PIM服务如果在没有使用的情况下应该使用如下命令禁止： setprotocolspimdisable 6．禁止SAP服务（？），SAP服务如果在没有使用的情况下应该使用如下命令禁止： setprotocolssapdisable 7．禁止IPSourceRouting源路由 setchassisno-source-route 二．路由器登录控制： 1．设置系统登录Banner: setsystemloginmessageWarning:ifyouNOTauthorizedtoaccessthissystem,dis connectNOW! 2．设置登录超时时间： 默认情况下，系统登录没有登录超时时间限制，应该将登录超时时间设置为15分钟： setcliidle-timeout15

路由器的设置方法(图解)

[教程资料] 路由器的设置方法(图解) 路由器, 图解, 设置 路由器的设置方法(图解) tp-link各产品开启路由器的方法首先介绍一下利用路由器实现多台电脑同时上网的方法．首先具备的条件是：路由器一个（可以为４口，８口，１６口，甚至更多的），如果你有很多台电脑，可以买个多口的交换机．网线直通线数条，电信mode一个（或者你是专线那就不需要mode了）,pc电脑至少２台以上（如果只有一台，使用路由器是可以的，但是就失去了使用路由器的意义了．其实tp-link公司出的路由器，比如TP-LINKTL-402M 或者是401M或者是其他型号的tp-link路由器，路由开启方法大多差不多．下面本文以 TP-LINKTL-402M为例，请看图片 只要按图片里的介绍，将ＰＣ，电信宽带ＭＯＤＥ，路由器，相互正确连接，那么一个网络就已经组好了．下面介绍怎么样开起路由功能．如果线都已经接好．我们这个时候随便打开一台连好的ＰＣ电脑．打开网上邻居属性(图片2)，本地连接属性(图片3)，tcp/ip协议属性(图片4)，设置ip为192.168.1.2子网:255.255.255.0网关:192.168.1.1(图片5)确定，DNS在配置路由器完后在行设置.注：如果是98和me系统，请到控制面板网络连接

去设置．这里xp为例，请看图

对了,这里提醒一下大家,ip设置网段,可以设置在192.168.1.2-192.168.1.254之间都可以,不要将同一IP设置为多台电脑,这样就会引起IP冲突了.切记.好了当设置到这里.我就可以打开桌面的InternetExplorer,输入192.168.1.1回车,请看图片

策略路由配置命令

一、基于distribute的路由过滤1.定义acl (conf)#access-list 1 deny 192.168.1.0 0.0.0.255 (conf)#access-list 1 permit any 2.进入路由重发布(conf)#router rip (conf-router)#distribute-list 1 out ospf 1 在rip协议下，配置distribute 列表，引用acl 1，过滤从ospf 1重发布到rip的网络路由。也就是说，通过该路由器进行ospf的重发布到rip网络中，过滤acl 1的数据。在该例中的意思就是ospf中如果有数据属于192.168.1.0/24，那么在rip 网络中无法学习到这些路由。由于重发布的命令是redistribute，所以这里可以理解为发布到rip网络中。=============================================================================== ============================================ 二、基于route-map的路由过滤 1.定义acl (conf)#access-list 1 deny 192.168.1.0 0.0.0.255 (conf)#access-list 1 permit any 2.定义route-map (conf)# route-map ospf-rip permit 10 其中ospf-rip为route-map的名称，10为序列号，下述条件如果成立的话动作为permit。注意：route-map和acl相同的是，在尾部都有隐藏的默认拒绝所有的条件。 3.匹配条件(config-route-map)#match ip address 1 查询acl 1是否满足 4.进入路由重发布(conf)#router rip (conf-router)#redistribute ospf 1 metric 4 route-map ospf-rip 在路由重发布的时候，对route-map的ospf-rip条目进行匹配过滤。在该例中就是禁止192.168.1.0/24的网络通过路由重发布到rip网络中，也就阻止了rip网络中的路由器学习到该路由。 =============================================================================== ============================================ 三、策略路由 1.定义acl (conf)#access-list 1 permit host 192.168.1.1 2.定义route-map (conf)# route-map pdb permit 10 其中pdb为route-map的名称，10为序列号

Juniper路由器安全配置方案

Juniper路由器安全配置方案 一． 路由器网络服务安全配置： 默认情况下，系统启动了许多无用服务，这些服务在占用系统资源的同时也造成一定的安全隐患，应该在尽可能的情况下停止或限制这些服务 1． SNMP服务 使用如下命令来停止SNMP服务： set system processes snmp disable 使用如下命令来设置SNMP通讯字符串： set snmp community mysnmp authorization read-only 使用如下命令来在接口上设备SNMP通讯字符串： set snmp interface fxp0 community mysnmp 使用如下命令来在接口上禁止SNMP服务trap： set interfaces fxp0 unit 0 traps disable 使用如下命令来限制SNMP的访问客户端： set snmp community mysnmp clients 192.168.0.0/24 set snmp community mysnmp clients 0.0.0.0/0 restrict 上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务< 2． 停止接口广播转发： 广播转发容易造成smurf攻击，因此应该使用如下命令停止： set system no-redirects 接口级别停止广播转发使用如下命令： set interfaces fxp0 unit 0 family inet no-redirects 3． 停止dhcp-relay服务，dhcp-relay服务用于在不同网段使用同一个dhcp服务器，如果没有使用，则应该使用如下命令停止： set system dhcp-relay disable 4． 禁止IGMP服务，IGMP服务如果在没有使用的情况下应该使用如下命令禁止： set protocols igmp interface all disable 5． 禁止PIM服务，PIM服务如果在没有使用的情况下应该使用如下命令禁止： set protocols pim disable

无线路由器安全设置详细步骤详解

无线路由器安全设置详细步骤详解 路由器安全设置十四步 1. 为路由器间的协议交换增加认证功能提高网络安全性。 路由器的一个重要功能是路由的管理和维护目前具有一定规模的网络都采用动态的路由协议,常用的有：RIP、EIGRP、OSPF、IS-IS、BGP等。当一台设置了相同路由协议和相同区域标示符的路由器加入网络后会学习网络上的路由信息表。但此种方法可能导致网络拓扑信息泄漏也可能由于向网络发送自己的路由信息表扰乱网络上正常工作的路由信息表严重时可以使整个网络瘫痪。这个问题的解决办法是对网络内的路由器之间相互交流的路由信息进行认证。当路由器配置了认证方式就会鉴别路由信息的收发方。 2. 路由器的物理安全防范。 路由器控制端口是具有特殊权限的端口如果攻击者物理接触路由器后断电重启实施密码修复流程进而登录路由器就可以完全控制路由器。 3. 保护路由器口令。 在备份的路由器配置文件中密码即使是用加密的形式存放密码明文仍存在被破解的可能。一旦密码泄漏网络也就毫无安全可言。 4. 阻止察看路由器诊断信息。

关闭命令如下： no service tcp-small-servers no service udp-small-servers 5. 阻止查看到路由器当前的用户列表。 关闭命令为：no service finger。 6. 关闭CDP服务。 在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息: 设备平台、操作系统版本、端口、IP地址等重要信息。可以用命令: no cdp running或no cdp enable关闭这个服务。 7. 阻止路由器接收带源路由标记的包将带有源路由选项的数据流丢弃。 IP source-route是一个全局配置命令允许路由器处理带源路由选项标记的数据流。启用源路由选项后源路由信息指定的路由使数据流能够越过默认的路由这种包就可能绕过防火墙。关闭命令如下： no ip source-route。 8. 关闭路由器广播包的转发。 Sumrf D.o.S攻击以有广播转发配置的路由器作为反射板占用网络资源甚至造成网络的瘫痪。应在每个端口应用no ip directed-broadcast关闭路由器广播包。 9. 管理服务。

策略路由配置详解

38策略路由配置 38.1理解策略路由 38.1.1策略路由概述 策略路由（PBR：Policy-Based Routing）提供了一种比基于目的地址进行路由转发更加灵活的数据包路由转发机制。策略路由可以根据IP/IPv6报文源地址、目的地址、端口、报文长度等内容灵 活地进行路由选择。 现有用户网络，常常会出现使用到多个ISP（Internet Server Provider，Internet服务提供商）资源的情形，不同ISP申请到的带宽不一；同时，同一用户环境中需要对重点用户资源保证等目的，对这部分用户不能够再依据普通路由表进行转发，需要有选择的进行数据报文的转发控制，因此，策略路由技术即能够保证ISP资源的充分利用，又能够很好的满足这种灵活、多样的应用。 IP/IPv6策略路由只会对接口接收的报文进行策略路由，而对于从该接口转发出去的报文不受策略路由的控制；一个接口应用策略路由后，将对该接口接收到的所有包进行检查，不符合路由图任何 策略的数据包将按照普通的路由转发进行处理，符合路由图中某个策略的数据包就按照该策略中 定义的操作进行转发。 一般情况下，策略路由的优先级高于普通路由，能够对IP/IPv6报文依据定义的策略转发；即数据报文先按照IP/IPv6策略路由进行转发，如果没有匹配任意一个的策略路由条件，那么再按照普 通路由进行转发。用户也可以配置策略路由的优先级比普通路由低，接口上收到的IP/IPv6报文 则先进行普通路由的转发，如果无法匹配普通路由，再进行策略路由转发。 用户可以根据实际情况配置设备转发模式，如选择负载均衡或者冗余备份模式，前者设置的多个下一跳会进行负载均衡，还可以设定负载分担的比重；后者是应用多个下一跳处于冗余模式，即前面优先生效，只有前面的下一跳无效时，后面次优的下一跳才会生效。用户可以同时配置多个下 一跳信息。 策略路由可以分为两种类型： 一、对接口收到的IP报文进行策略路由。该类型的策略路由只会对从接口接收的报文进行策略 路由，而对于从该接口转发出去的报文不受策略路由的控制； 二、对本设备发出的IP报文进行策略路由。该类型策略路由用于控制本机发往其它设备的IP报 文，对于外部设备发送给本机的IP报文则不受该策略路由控制。 38.1.2策略路由基本概念/特性 38.1.2.1策略路由应用过程 应用策略路由，必须先创建路由图，然后在接口上应用该路由图。一个路由图由很多条策略组成，每条策略都有对应的序号（Sequence），序号越小，该条策略的优先级越高。

网络设备的配置和管理

实验二网络设备的配置和管理 1、 实验项目名称：网络设备的配置和管理 (实验编 号：05210102) 二、实验目的：通过配置路由器等网络设备，一是巩固和加深理解网络互连原理。二是增强实际操作网络设备的能力。 3、实验仪器和材料工具：pc机器，以太网交换机，路 由器。 四、原理概述：路由器在网络层以IP协议互联各种物理网络，进行路由选择，在网络之间转发IP数据报。路由器是一种多端口专用设备，每个端口连接不同的网络，具有不同的硬件地址和IP地址。五．实验内容步骤 首先熟悉routersim ccna 2软件的使用方法和功能.以及网络结构.然后进行下面的配置。 使用说明: 1.本文档中蓝色字体为系统自动出现的提示符,提示符号后面黑色字母为我们要输入的命令,后面或下面一行( )内为解释并且输入完每一行命令之后,都按回车键) 2. 在软件的网络结构图上点击任何一种网络设备,就进入该设备的配置界面.点击该配置界面右下方的netword visuallize按钮,又能切换回到网络结构图界面.在网络结构图界面上点击任何一种设备,又进入该设备刚才的配置界面.可以这样来回切换.) 3. 系统给网络中各个设备的地址分配,建议了一个分配方案. 在软件的network visulize界面(即网络结构图界面)下方,有一个按钮view suggested lab,点击可以见到所有设备各个端口的建议地址分配方案,我们下面的配置采用这些方案,如果能力强,也可以自己设计地址分配方案) 第一部分：配置路由器router A,包括主机名配置,每个端口的ip地址配置.在网络结构图上点击路由器A进入配置界面.输入回车出现router>字样的提示符 router>en (enable的缩写,进入特权模式) router#config t (config terminal 的缩写,进入终端配置模式) router(config)#hostname routerA (配置路由器的主机名为routerA) routerA(config)#int e0 (interface Ethernet 0 的缩写,表示进入以太网接口E0进行配置,系统进入接

Cisco路由器安全配置简易方案

一,路由器访问控制的安全配置 1,严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。 2,建议不要远程访问路由器。即使需要远程访问路由器，建议使用访问控制列表和高强度的密码控制。 3,严格控制CON端口的访问。具体的措施有: 4,如果不使用AUX端口，则禁止这个端口。默认是未被启用。禁止如:

5,建议采用权限分级策略。如: 6,为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。 7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为，所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址;可以采用AAA设置用户的访问控制等。 8,IOS的升级和备份，以及配置文件的备份建议使用FTP代替TFTP。如: 9,及时的升级和修补IOS软件。 二,路由器网络服务安全配置

Router(Config)#no cdp run Router(Config-if)# no cdp enable 2,禁止其他的TCP、UDP Small服务。 Router(Config)# no service tcp-small-servers Router(Config)# no service udp-samll-servers 3,禁止Finger服务。 Router(Config)# no ip finger Router(Config)# no service finger 4,建议禁止HTTP服务。 Router(Config)# no ip http server 如果启用了HTTP服务则需要对其进行安全配置: 设置用户名和密码;采用访问列表进行控制。如: Router(Config)# username BluShin privilege 10 G00dPa55w0rd Router(Config)# ip http auth local Router(Config)# no access-list 10 Router(Config)# access-list 10 permit 192.168.0.1 Router(Config)# access-list 10 deny any Router(Config)# ip http access-class 10 Router(Config)# ip http server Router(Config)# exit 5,禁止BOOTp服务。 Router(Config)# no ip bootp server

ospf 路由策略配置

A B B路由器和A路由器之间运行OSPF协议，B路由器通过OSPF发布三条静态路由到A路由器，静态路由的目的网段为5.5.5.5，6.6.6.6，7.7.7.7，类型为第一类外部路由，A路由器学到的5.5.5.5.的cost值比6.6.6.6和7.7.7.7的cost值小。配置如下： B路由器 router id 2.2.2.2 # interface Ethernet4/2/0 ip address 11.11.11.12 255.255.255.0 # acl number 1 rule 0 permit source 5.5.5.5 0 # acl number 2 rule 0 deny source 5.5.5.5 0 rule 1 permit # ospf import-route static cost 100 type 1 route-policy cost # area 0.0.0.0 network 2.2.2.2 0.0.0.0 network 11.11.11.0 0.0.0.255 # route-policy cost permit node 10 if-match acl 1 apply cost 10 route-policy cost permit node 20 if-match acl 2 # ip route-static 5.5.5.5 255.255.255.255 NULL 0 preference 60 ip route-static 6.6.6.6 255.255.255.255 NULL 0 preference 60 ip route-static 7.7.7.7 255.255.255.255 NULL 0 preference 60 #

华为路由器路由策略和策略路由配置与管理

路由策略和策略路由配置管理 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能，它通过改变路由属性（包括可达性）来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时，根据实际组网需求实施一些策略，以便对路由信息进行过滤和改变路由信息的属性，如： 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息，以控制路由表的容量，提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时，只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性，满足自身需要。 路由策略具有以下价值： 通过控制路由器的路由表规模，节约系统资源；通过控制路由的接收、发布和引入，提高网络安全性；通过修改路由属性，对网络数据流量进行合理规划，提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中，路由策略的6种过滤器也能单独使用，实现路由过滤。若设备支持BGP to IGP功能，还能在IGP引入BGP路由时，使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1，一个路由策略中包含N（N>=1）个节点（Node）。路由进入路由策略后，按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义，涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后，进入匹配模式选择，不再匹配其他节点。

匹配模式分permit和deny两种： permit：路由将被允许通过，并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny：路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后，进入下一节点。如果和所有节点都匹配失败，路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL（Access Control List）、地址前缀列表、AS 路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式，因此这6种过滤器在以下的特定情况中可以单独使用，实现路由过滤。 1、ACL ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器，在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。 2、地址前缀列表（IP Prefix List） 地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器，可在各路由协议发布和接收路由时单独使用。 每个地址前缀列表可以包含多个索引（index），每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配，任意一个节点匹配成功，将不再检查其他节点。若所有节点都匹配失败，路由信息将被过滤。 根据匹配的前缀不同，前缀过滤列表可以进行精确匹配，也可以进行在一定掩码长度范围内匹配。 说明： 当IP地址为0.0.0.0时表示通配地址，表示掩码长度范围内的所有路由都被Permit或Deny。 3、AS路径过滤器（AS_Path Filter） AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器，在BGP发布、接收路由时单独使用。 AS_Path属性记录了BGP路由所经过的所有AS编号。 4、团体属性过滤器（Community Filter） 团体属性过滤器是将BGP中的团体属性作为匹配条件的过滤器，在BGP发布、接收路由时单独使用。 BGP的团体属性是用来标识一组具有共同性质的路由。 5、扩展团体属性过滤器（Extcommunity Filter） 扩展团体属性过滤器是将BGP中的扩展团体属性作为匹配条件的过滤器，可在VPN配置中利用VPN Target区分路由时单独使用。 目前，扩展团体属性过滤器仅应用于对VPN中的VPN Target属性的匹配。VPN Target属性在BGP/MPLS IP VPN 网络中控制VPN路由信息在各Site之间的发布和接收。 6、RD属性过滤器（Route Distinguisher Filter） RD团体属性过滤器是将VPN中的RD属性作为匹配条件的过滤器，可在VPN配置中利用RD属性区分路由时单独使用。 VPN实例通过路由标识符RD实现地址空间独立，区分使用相同地址空间的前缀。 BGP to IGP功能 BGP to IGP功能使IGP能够识别BGP路由的Community、Extcommunity、AS-Path等私有属性。 在IGP引入BGP路由时，可以应用路由策略。只有当设备支持BGP to IGP功能时，路由策略中才可以使用BGP 私有属性作为匹配条件。如果设备不支持BGP to IGP功能，那么IGP就不能够识别BGP路由的私有属性，将导致匹配条件失效。

2020年(安全生产)C路由器的安全配置方案

（安全生产）C路由器的安 全配置方案

Cisco路由器的安全配置方案 壹,路由器访问控制的安全配置 1,严格控制能够访问路由器的管理员。任何壹次维护都需要记录备案。 2,建议不要远程访问路由器。即使需要远程访问路由器，建议使用访问控制列表和高强度的密码控制。 3,严格控制CON端口的访问。具体的措施有： A,如果能够开机箱的，则能够切断和CON口互联的物理线路。 B,能够改变默认的连接属性，例如修改波特率(默认是96000，能够改为其他的)。C,配合使用访问控制列表控制对CON口的访问。 如：Router(Config)#Access-list1permit192.168.0.1 Router(Config)#linecon0 Router(Config-line)#Transportinputnone Router(Config-line)#Loginlocal Router(Config-line)#Exec-timeoute50 Router(Config-line)#access-class1in Router(Config-line)#end D,给CON口设置高强度的密码。 4,如果不使用AUX端口，则禁止这个端口。默认是未被启用。禁止如：Router(Config)#lineaux0 Router(Config-line)#transportinputnone Router(Config-line)#noexec 5,建议采用权限分级策略。如：

Router(Config)#usernameBluShinprivilege10G00dPa55w0rd Router(Config)#privilegeEXEClevel10telnet Router(Config)#privilegeEXEClevel10showipaccess-list 6,为特权模式的进入设置强壮的密码。不要采用enablepassword设置密码。而要采用enablesecret命令设置。且且要启用Servicepassword-encryption。7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则壹定要设置强壮的密码。由于VTY在网络的传输过程中为加密，所以需要对其进行严格的控制。如：设置强壮的密码；控制连接的且发数目；采用访问列表严格控制访问的地址；能够采用AAA设置用户的访问控制等。 8,IOS的升级和备份，以及配置文件的备份建议使用FTP代替TFTP。如：Router(Config)#ipftpusernameBluShin Router(Config)#ipftppassword4tppa55w0rd Router#copystartup-configftp: 9,及时的升级和修补IOS软件。 二,路由器网络服务安全配置 1,禁止CDP(CiscoDiscoveryProtocol)。如： Router(Config)#nocdprun Router(Config-if)#nocdpenable 2,禁止其他的TCP、UDPSmall服务。 Router(Config)#noservicetcp-small-servers Router(Config)#noserviceudp-samll-servers 3,禁止Finger服务。

信翼路由器设置方法

信翼d521路由器设置方法： 【家庭网络环境布线】： 1、有猫(modem)：猫(modem)----路由器wan口；路由器lan口----电脑。 2、没有猫(modem)：网线----路由器wan口；路由器lan口----电脑。 【电脑进入路由器】： 1、电脑ip、dns设置自动获取。 2、打开浏览器，在地址栏输入192.168.1.1(一般路由器地址是这个或者查看路由器背面的登录信息)进路由-输入用户名,密码,（默认一般是admin）。 【设置路由器拨号】： 1、在【设置向导】里，选择【PPPoE拨号】（有些是ADSL拨号）这一项，按提示步骤输入上网的用户名和密码，保存。 2、在【网络参数】--【WAN设置】里，选【正常模式】，在【连接】的三个选项，选择【PPPoE 拨号】这一项。下面就是选择【自动连接】，保存，退出。

你好！设置无线路由器的方法步骤如下： 1、进入路由器地址，连接好无线路由器后，在浏览器输入在路由器看到的地址，一般是192.168.1.1(当然如果你家是用电话线上网那就还要多准备一个调制调解器，俗称“猫”)。 2、输入相应的账号密码，进入后会看到输入相应的帐号跟密码，一般新买来的都是admin。 3、选择设置向导，确实后进入操作界面，你会在左边看到一个设置向导，进击进入(一般的都是自动弹出来的)。 4、进入上网方式设置，设置向导的界面。 5、点击下一步，进入上网方式设置，我们可以看到有三种上网方式的选择，如果你家是拨号的话那么就用PPPoE。动态IP一般电脑直接插上网络就可以用的，上层有DHCP 服务器的。静态IP一般是专线什么的，也可能是小区带宽等，上层没有DHCP服务器的，或想要固定IP的。因为我拨号所以选择pppoe。 6、输入账号密码，选择PPPOE拨号上网就要填上网帐号跟密码，这个应该大家都明白，开通宽带都会有帐号跟，填进去就OK啦。 7、设置路由器的密码，然后下一步后进入到的是无线设置，我们可以看到信道、模式、