Ⅰ 阃氲繃璺鐢卞櫒镄勫熀纭璁剧疆浣跨绣缁沧洿锷犲畨鍏
璺鐢卞櫒鏄灞锘熺绣杩炴帴澶栭儴缃戠粶镄勯吨瑕佹ˉ姊侊纴鏄缃戠粶绯荤粺涓涓嶅彲鎴栫己镄勯吨瑕侀儴浠讹纴涔熸槸缃戠粶瀹夊叏镄勫墠娌垮叧鍙c备絾鏄璺鐢卞櫒镄勭淮鎶ゅ嵈寰埚皯琚澶у舵墍閲嶈嗐傝瘯𨱍筹纴濡傛灉璺鐢卞櫒杩炶嚜韬镄勫畨鍏ㄩ兘娌℃湁淇濋㱩锛屾暣涓缃戠粶涔熷氨姣镞犲畨鍏ㄥ彲瑷銆傚洜姝ゅ湪缃戠粶瀹夊叏绠$悊涓婏纴蹇呴’瀵硅矾鐢卞櫒杩涜屽悎鐞呜勫垝銆侀厤缃锛岄噰鍙栧繀瑕佺殑瀹夊叏淇濇姢鎺鏂斤纴阆垮厤锲犺矾鐢卞櫒镊韬镄勫畨鍏ㄩ梾棰樿岀粰鏁翠釜缃戠粶绯荤粺甯︽潵婕忔礊鍜岄庨橹銆傛垜浠涓嬮溃灏辩粰澶у朵粙缁崭竴浜涜矾鐢卞櫒锷犲己璺鐢卞櫒瀹夊叏镄勬帾鏂藉拰鏂规硶锛岃╂垜浠镄勭绣缁沧洿瀹夊叏銆
銆銆1. 涓鸿矾鐢卞櫒闂寸殑鍗忚浜ゆ崲澧炲姞璁よ瘉锷熻兘锛屾彁楂樼绣缁滃畨鍏ㄦс
銆銆璺鐢卞櫒镄勪竴涓閲嶈佸姛鑳芥槸璺鐢辩殑绠$悊鍜岀淮鎶わ纴鐩鍓嶅叿链変竴瀹氲勬ā镄勭绣缁滈兘閲囩敤锷ㄦ佺殑璺鐢卞岗璁锛屽父鐢ㄧ殑链夛细RIP銆丒IGRP銆丱SPF銆両S-IS銆丅GP绛夈傚綋涓鍙拌剧疆浜嗙浉钖岃矾鐢卞岗璁鍜岀浉钖屽尯锘熸爣绀虹︾殑璺鐢卞櫒锷犲叆缃戠粶钖庯纴浼氩︿範缃戠粶涓婄殑璺鐢变俊鎭琛ㄣ备絾姝ょ嶆柟娉曞彲鑳藉艰嚧缃戠粶𨰾撴墤淇℃伅娉勬纺锛屼篃鍙鑳界敱浜庡悜缃戠粶鍙戦佽嚜宸辩殑璺鐢变俊鎭琛锛屾𡒄涔辩绣缁滀笂姝e父宸ヤ綔镄勮矾鐢变俊鎭琛锛屼弗閲嶆椂鍙浠ヤ娇鏁翠釜缃戠粶鐦䦅銆傝繖涓闂棰樼殑瑙e喅锷炴硶鏄瀵圭绣缁滃唴镄勮矾鐢卞櫒涔嬮棿鐩镐簰浜ゆ祦镄勮矾鐢变俊鎭杩涜岃よ瘉銆傚綋璺鐢卞櫒閰岖疆浜呜よ瘉鏂瑰纺锛屽氨浼氶壌鍒璺鐢变俊鎭镄勬敹鍙戞柟銆
銆銆2. 璺鐢卞櫒镄勭墿鐞嗗畨鍏ㄩ槻锣冦
銆銆璺鐢卞櫒鎺у埗绔鍙f槸鍏锋湁鐗规畩𨱒冮檺镄勭鍙o纴濡傛灉鏀诲嚮钥呯墿鐞嗘帴瑙﹁矾鐢卞櫒钖庯纴鏂鐢甸吨钖锛屽疄鏂解滃瘑镰佷慨澶嶆祦绋嬧濓纴杩涜岀橱褰曡矾鐢卞櫒锛屽氨鍙浠ュ畬鍏ㄦ带鍒惰矾鐢卞櫒銆
銆銆3. 淇濇姢璺鐢卞櫒鍙d护銆
銆銆鍦ㄥ囦唤镄勮矾鐢卞櫒閰岖疆鏂囦欢涓锛屽瘑镰佸嵆浣挎槸鐢ㄥ姞瀵嗙殑褰㈠纺瀛樻斁锛屽瘑镰佹槑鏂囦粛瀛桦湪琚镰磋В镄勫彲鑳姐备竴镞﹀瘑镰佹硠婕忥纴缃戠粶涔熷氨姣镞犲畨鍏ㄥ彲瑷銆
銆銆4. 阒绘㈠疗鐪嬭矾鐢卞櫒璇婃柇淇℃伅銆
銆銆鍏抽棴锻戒护濡备笅锛 no service tcp-small-servers no service udp-small-servers
銆銆5. 阒绘㈡煡鐪嫔埌璺鐢卞櫒褰揿墠镄勭敤鎴峰垪琛ㄣ
銆銆鍏抽棴锻戒护涓猴细no service finger.
銆銆6. 鍏抽棴CDP链嶅姟銆
銆銆鍦∣SI浜屽眰鍗忚鍗抽摼璺灞傜殑锘虹涓婂彲鍙戠幇瀵圭璺鐢卞櫒镄勯儴鍒嗛厤缃淇℃伅锛 璁惧囧钩鍙般佹搷浣灭郴缁熺増链銆佺鍙c両P鍦板潃绛夐吨瑕佷俊鎭銆傚彲浠ョ敤锻戒护锛 no cdp running鎴杗o cdp enable鍏抽棴杩欎釜链嶅姟銆
銆銆7. 阒绘㈣矾鐢卞櫒鎺ユ敹甯︽簮璺鐢辨爣璁扮殑鍖咃纴灏嗗甫链夋簮璺鐢遍夐”镄勬暟鎹娴佷涪寮冦
銆銆钬泪P source-route钬濇槸涓涓鍏ㄥ眬閰岖疆锻戒护锛屽厑璁歌矾鐢卞櫒澶勭悊甯︽簮璺鐢遍夐”镙囱扮殑鏁版嵁娴併傚惎鐢ㄦ簮璺鐢遍夐”钖庯纴婧愯矾鐢变俊鎭鎸囧畾镄勮矾鐢变娇鏁版嵁娴佽兘澶熻秺杩囬粯璁ょ殑璺鐢憋纴杩欑嶅寘灏卞彲鑳界粫杩囬槻𨱔澧欍傚叧闂锻戒护濡备笅锛 no ip source-route.
銆銆8. 鍏抽棴璺鐢卞櫒骞挎挱鍖呯殑杞鍙戙
銆銆Sumrf D.o.S鏀诲嚮浠ユ湁骞挎挱杞鍙戦厤缃镄勮矾鐢卞櫒浣滀负鍙嶅皠𨱒匡纴鍗犵敤缃戠粶璧勬簮锛岀敋镊抽犳垚缃戠粶镄勭槴䦅銆傚簲鍦ㄦ疮涓绔鍙e簲鐢ㄢ渘o ip directed-broadcast钬濆叧闂璺鐢卞櫒骞挎挱鍖呫
銆銆9. 绠$悊HTTP链嶅姟銆
銆銆HTTP链嶅姟鎻愪緵Web绠$悊鎺ュ彛銆傗渘o ip http server钬濆彲浠ュ仠姝HTTP链嶅姟銆傚傛灉蹇呴’浣跨敤HTTP锛屼竴瀹氲佷娇鐢ㄨ块梾鍒楄〃钬渋p http access-class钬濆懡浠わ纴涓ユ牸杩囨护鍏佽哥殑IP鍦板潃锛屽悓镞剁敤钬渋p http authentication 钬濆懡浠よ惧畾鎺堟潈闄愬埗銆
銆銆10. 鎶靛尽spoofing锛堟洪獥锛 绫绘敾鍑汇
銆銆浣跨敤璁块梾鎺у埗鍒楄〃锛岃繃婊ゆ帀镓链夌洰镙囧湴鍧涓虹绣缁滃箍鎾鍦板潃鍜屽gО𨱒ヨ嚜鍐呴儴缃戠粶锛屽疄闄呭嵈𨱒ヨ嚜澶栭儴镄勫寘銆 鍦ㄨ矾鐢卞櫒绔鍙i厤缃锛 ip access-group list in number 璁块梾鎺у埗鍒楄〃濡备笅锛 access-list number deny icmp any any redirect access-list number deny ip 127.0.0.0 0.255.255.255 any access-list number deny ip 224.0.0.0 31.255.255.255 any access-list number deny ip host 0.0.0.0 any 娉锛 涓婅堪锲涜屽懡浠ゅ皢杩囨护BOOTP/DHCP 搴旂敤涓镄勯儴鍒嗘暟鎹鍖咃纴鍦ㄧ被浼肩幆澧冧腑浣跨敤镞惰佹湁鍏呭垎镄勮よ瘑銆
銆銆11. 阒叉㈠寘鍡呮帰銆
銆銆榛戝㈢粡甯稿皢鍡呮帰杞浠跺畨瑁呭湪宸茬粡渚靛叆镄勭绣缁滀笂镄勮$畻链哄唴锛岀洃瑙嗙绣缁沧暟鎹娴侊纴浠庤岀洍绐冨瘑镰侊纴鍖呮嫭SNMP 阃氢俊瀵嗙爜锛屼篃鍖呮嫭璺鐢卞櫒镄勭橱褰曞拰鐗规潈瀵嗙爜锛岃繖镙风绣缁灭$悊锻橀毦浠ヤ缭璇佺绣缁灭殑瀹夊叏镐с傚湪涓嶅彲淇′换镄勭绣缁滀笂涓嶈佺敤闱炲姞瀵嗗岗璁锏诲綍璺鐢卞櫒銆傚傛灉璺鐢卞櫒鏀鎸佸姞瀵嗗岗璁锛岃蜂娇鐢⊿SH 鎴 Kerberized Telnet锛屾垨浣跨敤IPSec锷犲瘑璺鐢卞櫒镓链夌殑绠$悊娴併
銆銆12.镙¢獙鏁版嵁娴佽矾寰勭殑钖堟硶镐с
銆銆浣跨敤RPF 锛坮everse path forwarding锛夊弽鐩歌矾寰勮浆鍙戯纴鐢变簬鏀诲嚮钥呭湴鍧鏄杩濇硶镄勶纴镓浠ユ敾鍑诲寘琚涓㈠纯锛屼粠钥岃揪鍒版姷寰spoofing 鏀诲嚮镄勭洰镄勚俣PF鍙岖浉璺寰勮浆鍙戠殑閰岖疆锻戒护涓猴细 ip verify unicast rpf. 娉ㄦ剰锛 棣栧厛瑕佹敮鎸 CEF锛圕isco Express Forwarding锛 蹇阃熻浆鍙戙
銆銆13. 阒叉SYN 鏀诲嚮銆
銆銆鐩鍓嶏纴涓浜涜矾鐢卞櫒镄勮蒋浠跺钩鍙板彲浠ュ紑钖疶CP 𨰾︽埅锷熻兘锛岄槻姝SYN 鏀诲嚮锛屽伐浣沧ā寮忓垎𨰾︽埅鍜岀洃瑙嗕袱绉嶏纴榛樿ゆ儏鍐垫槸𨰾︽埅妯″纺銆傦纸𨰾︽埅妯″纺锛 璺鐢卞櫒鍝嶅簲鍒拌揪镄凷YN璇锋眰锛屽苟涓斾唬镟挎湇锷″櫒鍙戦佷竴涓猄YN-ACK鎶ユ枃锛岀劧钖庣瓑寰呭㈡埛链篈CK.濡傛灉鏀跺埌ACK锛屽啀灏嗗师𨱒ョ殑SYN鎶ユ枃鍙戦佸埌链嶅姟鍣锛涚洃瑙嗘ā寮忥细璺鐢卞櫒鍏佽窼YN璇锋眰鐩存帴鍒拌揪链嶅姟鍣锛屽傛灉杩欎釜浼氲瘽鍦30绉掑唴娌℃湁寤虹珛璧锋潵锛岃矾鐢卞櫒灏变细鍙戦佷竴涓猂ST锛屼互娓呴櫎杩欎釜杩炴帴銆傦级棣栧厛锛岄厤缃璁块梾鍒楄〃锛屼互澶囧紑钖闇瑕佷缭鎶ょ殑IP鍦板潃锛 access list [1-199] [deny銆permit] tcp any destination destination-wildcard 铹跺悗锛屽紑钖疶CP𨰾︽埅锛 Ip tcp intercept mode intercept Ip tcp intercept list access list-number Ip tcp intercept mode watch
銆銆14. 浣跨敤瀹夊叏镄凷NMP绠$悊鏂规堛
銆銆SNMP骞挎硾搴旂敤鍦ㄨ矾鐢卞櫒镄勭洃鎺с侀厤缃鏂归溃銆係NMP Version 1鍦ㄧ┛瓒婂叕缃戠殑绠$悊搴旂敤鏂归溃锛屽畨鍏ㄦт绠锛屼笉阃傚悎浣跨敤銆傚埄鐢ㄨ块梾鍒楄〃浠呬粎鍏佽告潵镊鐗瑰畾宸ヤ綔绔欑殑SNMP璁块梾阃氲繃杩欎竴锷熻兘鍙浠ユ潵鎻愬崌SNMP链嶅姟镄勫畨鍏ㄦц兘銆傞厤缃锻戒护锛 snmp-server community xxxxx RW xx 锛泋x鏄璁块梾鎺у埗鍒楄〃鍙 SNMP Version 2浣跨敤MD5鏁板瓧韬浠介壌鍒鏂瑰纺銆备笉钖岀殑璺鐢卞櫒璁惧囬厤缃涓嶅悓镄勬暟瀛楃惧悕瀵嗙爜锛岃繖鏄鎻愰珮鏁翠綋瀹夊叏镐ц兘镄勬湁鏁堟坠娈点
銆銆缁艰堪锛
銆銆璺鐢卞櫒浣滀负鏁翠釜缃戠粶镄勫叧阌镐ц惧囷纴瀹夊叏闂棰樻槸闇瑕佹垜浠鐗瑰埆閲嶈嗐傚綋铹讹纴濡傛灉浠呬粎鏄闱犱笂闱㈢殑杩欎簺璁剧疆鏂规硶锛屾潵淇濇姢鎴戜滑镄勭绣缁沧槸杩滆繙涓嶅熺殑锛岃缮闇瑕侀厤钖埚叾浠栫殑璁惧囨潵涓璧峰仛濂藉畨鍏ㄩ槻锣冩帾鏂斤纴灏嗘垜浠镄勭绣缁沧墦阃犳垚涓轰竴涓瀹夊叏绋冲畾镄勪俊鎭浜ゆ祦骞冲彴銆
Ⅱ 大神们 cisco1921路由器 怎样设置专线上网。不会设,求具体步骤
路由器基本配置
在本企业网中采用的是CISCO3825的路由器,它通过自己的串行接口serial0/0使用DDN技术接入Internet。其作用主要是在Internet和企业网之间路由数据包。除了完成主要的路由任务外,利用访问控制列表(Access Control List,ACL),路由器ZZrouter还可用来完成以自身为中心的流量控制和过滤功能并实现一定的安全功能。
其基本配置与接入层交换机的配置类似,配置命令如下:(需说明的是由普通用户进入特权模式输入命令enable,由特权模式进入全局配置模式输入命令config t(全写为configure terminal))
Router#configure terminal
Router(config)#hostname R1-out
R1-OUT(config)#enable secret cisco
R1-OUT(config)#no ip domain-lookup
R1-OUT(config)#logging synchronous
R1-OUT(config)#line con 0
R1-OUT(config-line)#exec-timeout 5 30
R1-OUT(config-line)#line vty 0 4
R1-OUT(config-line)#password cisco
R1-OUT(config-line)#login
R1-OUT(config-line)#exec-timeout 5 30
R1-OUT(config-line)#exit
主要是对接口FastEthernet0/0以及接口serial0/0的IP地址、子网掩码的配置。配置命令如下:
R1-OUT(config)#interface fastethernet 0/0
R1-OUT(config-if)#ip address 192.168.1.254 255.255.255.0
R1-OUT(config-if)#no shutdown
R1-OUT(config-if)#interface serial 0/0
R1-OUT(config-if)#ip address 202.168.1.1
R1-OUT(config-if)#no shutdown
配置静态路由
在R1-OUT路由器上需要定义两个路由:到企业内部的静态路由和到Internet上的缺省路由。
R1-OUT(config)#ip route 0.0.0.0 0.0.0.0 202.168.1.1
到企业网内部的路由经过路由汇总后形成两个路由条目如下所示:
R1-OUT(config)#ip route 192.168.0.0 255.255.240.0 192.168.1.3
R1-OUT(config)#ip route 192.168.0.0 255.255.240.0 192.168.1.4
配置NAT
由于目前IP地址资源非常稀缺,不可能给企业网内部的每台工作站都分配一个公有IP地址,为了解决所有工作站访问Internet的需要,必须使用NAT(网络地址转换)技术。
为了接入Internet,本企业网向当地的ISP申请了10个IP地址。202.168.1.1.-202.168.1.10,其中202.168.1.1分配给了serial0/0,202.168.1.2和202.168.1.3分配给两个经理办公室。其它就进行NAT转换。
R1-OUT(config)#interface fastethernet 0/0
R1-OUT(config-if)#ip nat inside
R1-OUT(config-if)#interface serial 0/0
R1-OUT(config-if)#ip nat outside
R1-OUT(config)#ip access-list 1 permit 192.168.2.0 0.0.10.255(定义允许进行NAT转换的工作站的IP地址范围)
在路由器上配置访问控制列表(ACL)
路由器是外网进入企业内网的第一道关卡,是网络防御的前沿阵地。路由器上的访问控制列表(ACL)是保护内网安全的有效手段。一个设计良好的访问控制列表(ACL)不仅可以起到控制网络流量、流向的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。
由于路由器介于企业内网和外网之间,是外网与内网进行通信时的第一道屏障,所以即使在网络系统安装了防火墙产品后,仍然有必要对路由器的访问控制列表(ACL)进行缜密的设计,来对企业内网包括对防火墙本身实施保护。
屏蔽文件共享协议端口2049,远程执行(rsh)端口512,远程登录(rlogin)端口513,远程命令(rcmd) 端口514,远程过程调用(sunrpc)端口111。命令如下:
R1-OUT(config)#access-list 101 deny udp any any ep snmp
R1-OUT(config)#access-list 101 deny udp any any ep snmptrap
R1-OUT(config)#access-list 101 deny tcp any any ep telnet
R1-OUT(config)#access-list 101 deny tcp any any range 512 514/屏蔽远程执行(rsh)端口512和远程命令(rcmd) 端口514
R1-OUT(config)#access-list 101 deny tcp any any eq 111/屏蔽远程过程调用(sunrpc)端口111
R1-OUT(config)#access-list 101 deny udp any any eq 111/屏蔽远程过程调用(sunrpc)端口111
R1-OUT(config)#access-list 101 deny tcp any any eq 2049/屏蔽文件共享协议端口2049
R1-OUT(config)#access-list 101 permit ip any any
R1-OUT(config)#interface serial 0/0
R1-OUT(config-if)#ip access-group 101 in /acl端口应用
设置只允许来自服务器的IP地址才能访问并配置路由器
命令如下:
R1-OUT(config)#line vty 0 4
R1-OUT(config-line)#access-class 2 in/建立访问控制列表2(ACL2)
R1-OUT(config-line)#exit
R1-OUT(config)#access-list 2 permit 192.168.10.0 0.0.0.255
为了支持无类别网络以及全零子网进行如下的配置:
R1-OUT(config)#ip classless
R1-OUT(config)#ip subnet-zero
配置路由器的封装协议和身份认证
R1-OUT(config)#interface serial 0/0
R1-OUT(config-if)#encapsulation ppp
Ppp提供了两种可选的身份验证方法:口令验证协议PAP(Password Authentication protocol, PAP)和质询握手验证协议CHAP(Challenge Handshake Authentication Protocol, CHAP)。CHAP比PAP更安全,因为CHAP不在线路上发送明文密码,而是发送经过摘要算法加工过的随机序列。
但CHAP对端系统要求很高,需要耗费较多的CPU资源,一般只用在对安全性要求很高的场合。而PAP虽然用户名和密码是以明文的形式发送的,但它对端系统要求不高,所以我们普遍采用这种身份验证机制。
配置命令如下:
首先要建立本地口令数据库
R1-OUT(config)#username remoteuser password zhangguoyou
R1-OUT(config)#interface serial 0/0
R1-OUT(config-if)#ppp authentication pap
到此路由器的配置就基本上完成了。