版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、路由器配置基礎(chǔ)及科技網(wǎng)網(wǎng)絡(luò)介紹,中國(guó)科技網(wǎng)技術(shù)部 陳江寧,內(nèi)容介紹,路由器配置介紹路由器基礎(chǔ)知識(shí)介紹監(jiān)控與故障診斷 基本測(cè)試方法設(shè)備配置存取及其備份路由器啟動(dòng)順序及密碼恢復(fù)保護(hù)Internet連接安全中國(guó)科技網(wǎng)介紹中國(guó)科技網(wǎng)的結(jié)構(gòu)簡(jiǎn)介中國(guó)科技網(wǎng)網(wǎng)絡(luò)設(shè)備簡(jiǎn)介國(guó)內(nèi)外出口簡(jiǎn)介網(wǎng)絡(luò)管理簡(jiǎn)介,路由器基礎(chǔ)知識(shí)介紹,外部配置的途徑Router 各種模式配置模式,配置模式及方法,,主要內(nèi)容,外部配置的途徑,可以通過(guò)各種
2、途徑進(jìn)行配置,,Setup Mode,初始配置狀態(tài)以對(duì)話的方式來(lái)創(chuàng)建一個(gè)基本配置才出廠的機(jī)器或刪了startup-config的機(jī)器開(kāi)機(jī)后自動(dòng)進(jìn)入或手動(dòng)用 setup命令進(jìn)入,,Router(config)#,Global Configuration Mode,全局配置狀態(tài)在特權(quán)執(zhí)行態(tài)輸入config terminal,,Other Configuration Modes,Router(config - mode)#,,開(kāi)機(jī)后6
3、0秒內(nèi)按 ctrl+break鍵則進(jìn)入該態(tài)在機(jī)器不能正常自動(dòng)引導(dǎo)時(shí)進(jìn)行,RXBOOT Mode,Router 模式,其他的配置狀態(tài)在特權(quán)執(zhí)行狀態(tài)輸入相應(yīng)的命令時(shí)進(jìn)入.,,,,,,Router(config)#,Router>,Router#,路由器配置模式綜述,User EXEC modePrivileged EXEC modeGlobal configuration mode,基本的路由器設(shè)置,步驟一:配置主機(jī)名;步驟
4、二:在路由器上設(shè)置口令;步驟三:在路由器的接口上配置IP地址;步驟四:在路由器上配置路由協(xié)議;步驟五:配置路由器串行接口參數(shù);步驟六:激活接口,檢查網(wǎng)絡(luò)的連通性;步驟七:創(chuàng)建IP主機(jī)表;步驟八:配置“no ip domain-lookup”;步驟九:利用CDP協(xié)議查看與該路由器相連的網(wǎng)絡(luò)設(shè)備,基本的路由器設(shè)置(續(xù)),步驟十 :顯示路由器上的IP路由表,檢查網(wǎng)絡(luò)的連通性,應(yīng)確認(rèn)能夠成功的ping通網(wǎng)絡(luò)中其他的路由器;
5、步驟十一:檢查路由器的路由表,并通過(guò)“show ip protocols”檢查路由器的協(xié)議配置;步驟十二:診斷網(wǎng)絡(luò)利用debug等命令來(lái)捕獲路由更新信息;步驟十三:利用show version查看Cisco IOS版本和路由器的類型;步驟十四:保存路由器的配置;,配置路由器的標(biāo)示,為路由器及其端口配置標(biāo)示信息,配置密碼,,,,Router(config)# line console 0Router(config-line)#ex
6、ec-timeout 15 0Router(config-line)# loginRouter(config-line)# password cisco,Console Password,Router (config-if) #,分配地址和掩碼針對(duì)端口配置IP地址設(shè)定允許使用子網(wǎng)掩碼,配置 IP 地址,ip address ip-address subnet-mask,定義靜態(tài)ARP緩存,Arp ip-address har
7、dware-address type [alias],ARP 封裝類型,Arp arpa:IEEE 802.3 Ethernet(缺省值),Arp probe:IEEE 802.3網(wǎng)絡(luò)的HP-Probe協(xié)議,Arp snap:支持RFC 1402的FDDI和令牌環(huán)網(wǎng)絡(luò)的arp報(bào)文,提供有主機(jī)名到IP地址的解析,Router (config) #,使用DNS服務(wù),ip name-server server-address1 [[serv
8、er-address2 ]... server-address6 ],ip domain-name wiscom.com.cn,ip domain-lookup,BOOT SYSTEM列表,從flash啟動(dòng)系統(tǒng)從網(wǎng)絡(luò)服務(wù)器啟動(dòng)系統(tǒng)從ROM啟動(dòng)系統(tǒng)(Cisco 7500上BOOTFLASH),Router(config)#boot system flash: rsp-IOS,Router(config)#boot system fl
9、ash slot0: rsp-IOS,Router(config)#config-register 0x010F,Router(config)#boot system rom,Router(config)#boot system FTP rsp-IOS 10.6.1.11,Router(config)#boot system flash slot1: rsp-IOS,Router#wr,Router#reload,Defines a p
10、ath to an IP destinationnetwork or subnet,,ip route network [ mask ] { address | interface } [ distance ],Router (config) #,配置靜態(tài)路由,舉例:靜態(tài)路由,,ip route 172.16.1.0 255.255.255.0 172.16.2.1,172.16.2.0,Cisco A,172.16.1.0
11、 255.255.255.0,172.16.2.1,Cisco B,E0,S0,S1,S2,S0,,,,172.16.2.2,Make changes in configuration modes修改配置,配置修改后的保存,監(jiān)控與故障診斷,,show version 命令,,,Router# show running-configBuilding configuration...Current configuration:!
12、version 11.2!-- More --,Router# show startup-configUsing 1108 out of 130048 bytes!version 11.2!hostname router-- More --,show running-config 命令 show startup-config 命令,Use write terminal with Release 10.3 and
13、earlier,Use show config with Release 10.3 and earlier,,Router# show interface serial 1Serial1 is up, line protocol is up Hardware is cxBus Serial Description: 56Kb Line San Jose - MP :: :: :: :: :: :: ::
14、:: :: ::,,,激活信號(hào)Keepalives,載波信號(hào)Carrier Detect,,,,,show interface serial,清除show interface 中的計(jì)數(shù)器,列出 IP 路由表,show ip protocol 命令,,RAM,,Internetwork Operating System,,Programs,,Tables and Buffers,,ActiveConfigurationFile
15、,,,BackupConfigurationFile,Operating Systems,Interfaces,Router 狀態(tài)檢查命令,,Router# show version,Flash,NVRAM,Showing CDP Neighbors,RouterA#show cdp neighborsCapability Codes: R - Router, T - Trans Bridge,
16、 B - Source Route Bridge, S - Switch, H - Host, I - IGMPDevice ID Local Intrfce Holdtme Capability Platform Port ID Router Ser 0 151 R 2522 Ser
17、1 SwitchA0050BD855780 Eth 0 165 T s 1900 2RouterA#show cdp neighbors detail-------------------------Device ID: RouterBEntry address(es): IP address: 198.121.200.1 Novell address: 1002.0000
18、.0c01.1111Platform: cisco 2522, Capabilities: RouterInterface: Serial1, Port ID (outgoing port): Serial0Holdtime : 149 sec,show cdp entry,,,,,,RouterA#sh cdp entry *-------------------------Device ID: RouterB En
19、try address(es): IP address: 10.1.1.2 Platform: cisco 2522, Capabilities: Router Interface: Serial0, Port ID (outgoing port): Serial1Holdtime : 168 secVersion :Cisco Internetwork Operating System Software IO
20、S (tm) 2500 Software (C2500-JS-L), Version 12.0(3), RELEASE SOFTWARE (fci)Copyright (c) 1986-1999 by cisco Systems, Inc.Compiled Mon 08-Feb-99 18:18 by phanguye,,,,,SwitchB,RouterA,RouterB,SwitchA,10.3.3.2,10.3.3.1,10.
21、1.1.1,10.1.1.2,10.2.2.1,10.2.2.2,S0,S1,telnet 操作,Initiate a session,Denver> telnet paris,,Tokyo,Paris,Denver,理解cisco錯(cuò)誤消息,,系統(tǒng)錯(cuò)誤消息格式:,%Facility –subfacility –Severity –Mnemonic: Message Text,Facility 指出錯(cuò)誤消息涉及的設(shè)備名。該值可以是協(xié)
22、議、硬件設(shè)備或者系統(tǒng)軟件模塊;,Subfacility 它僅與通道接口處理器(CIP)卡有關(guān);,Sererity 它是一個(gè)范圍在0到7之間的數(shù)字。數(shù)字的值越小,嚴(yán)重程度越高;,Mnemonic 唯一標(biāo)識(shí)錯(cuò)誤信息的單值代碼,該代碼通常可以暗示錯(cuò)誤的類型;,Message Text 它是錯(cuò)誤信息的簡(jiǎn)短描述,其中包括涉及的路由器硬件和軟件信息;,注:并不是所有的消息都涉及到故障或者問(wèn)題的狀況,某些消息顯示的是狀態(tài)方面的信息,信息記錄,指定記錄
23、到系統(tǒng)日志服務(wù)器中消息的調(diào)試級(jí)別,命令: logging trap level指定系統(tǒng)日志數(shù)據(jù)包含有特定接口的ip地址,而不管數(shù)據(jù)包通過(guò)哪個(gè)接口流出路由器,命令: logging source-interface type number將消息記錄到系統(tǒng)日志服務(wù)器主機(jī),命令: logging on啟用在日志消息中加入時(shí)戳功能,命令: service timestamps{log|debu
24、g} datetime [msec][localtime][show-timezone],事件日志記錄步驟:,信息記錄,ConsoleTerminal,UNIX Host(Running Syslog Server),Buffers,131.108.1.8,(default),Telnet Terminal,,,,,,,,,,,no logging buffered,terminal monitor,logging onlo
25、gging 131.108.1.8,show logging,logging buffered,Debug OutputandSystem ErrorMessages,基本測(cè)試方法,測(cè)試綜述,驗(yàn)證地址的配置,,使用 ping 命令測(cè)試,各種協(xié)議的報(bào)文能夠被正確的路由嗎?,,測(cè)試網(wǎng)絡(luò)的連接狀況,Ping,!響應(yīng)成功接收 .請(qǐng)求超時(shí)U目的不可達(dá)P協(xié)議不可達(dá)N 網(wǎng)絡(luò)不可達(dá)Iping被中斷 (for exa
26、mple, Ctrl-Shift-6 X)? ?不可知報(bào)文類型,,,,Router# pingProtocol [ip]:Target IP address: 192.168.101.162Repeat count [5]:Datagram size [100]:Timeout in seconds [2]:Extended commands [n]: ySource address:Type of ser
27、vice [0]:Set DF bit in IP header? [no]: yesData pattern [0xABCD]:Loose, Strict, Record, Timestamp, Verbose[none]:Sweep range of sizes [n]:Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.101.
28、162, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 24/26/28 msRouter#,Ping 命令支持多協(xié)議,Ping(擴(kuò)展),使用 trace 命令,數(shù)據(jù)報(bào)文傳輸時(shí)經(jīng)過(guò)那條路徑?,通過(guò)端口地址表示數(shù)據(jù)到達(dá)的地點(diǎn),IP Trace,,H—主機(jī)不可達(dá)P—協(xié)議不可達(dá)N—網(wǎng)絡(luò)不可達(dá)U
29、—端口不可達(dá)*—報(bào)文超時(shí)?_ 報(bào)文類型不能識(shí)別,測(cè)試Application Layer使用telnet,你能登陸遠(yuǎn)程的路由器嗎?,設(shè)備代碼、配置存取及其備份,從NVRAM中加載配置文件,Console,IOS,,,Setup utility,showstartup-config,showrunning-config,,,Load and execute config from NVRAMIf no config
30、in NVRAM, enter setup mode,Config,Config,,RAM,NVRAM,,,,,,Router# show running-configBuilding configuration...Current configuration:!version 11.2!-- More --,Router# show startup-configUsing 1108 out of 130048 byt
31、es!version 11.2!hostname router-- More --,show running-config 命令 show startup-config 命令,Display current and saved configuration,保存配置文件,Config,Config,,RAM,NVRAM,NVRAM,,copy running startup=write,,copy startup runni
32、ng (merge),,保存配置文件,Config,,Config,Console,,RAM,NVRAM,NVRAMTerminalTFTP server,,copy running startup,,copy startup running (merge),TFTPserver,,copy start tftp,copy tftp start,copy run tftp,copy tftp run (merge),,,,,co
33、nfig term(merge),Copy startup tftp,,,Access_Server#copy ?,flash Copy from system flash flh-log Copy FLH log file to server mop Copy from a MOP server rcp
34、 Copy from an rcp server running-config Copy from current system configuration startup-config Copy from startup configuration tftp Copy from a TFTP server,Access_Server#copy startu
35、p-config ?,rcp Copy to an rcp serverrunning-config Update (merge with) current system configurationtftp Copy to a TFTP server,,Access_Server#copy startup-config tftp,Remote host
36、 []? 172.18.7.114,Name of configuration file to write [access_server-confg]?,Write file access_server-confg on host 172.18.7.114? [confirm],Writing access_server-confg !! [OK],備份IOS Images,Networkserver,,,,FLASH,Router,
37、,Networkserver,備份IOS Images,Check access to the server,Router,,Networkserver,,,wg_ro_a#show flashSystem flash directory:File Length Name/status 1 10084696 c2500-js-l_120-3.bin [10084760 bytes used, 669245
38、6 available, 16777216 total]16384K bytes of processor board System flash (Read ONLY),查看IOS Images,Verify Flash memory has room for the IOS image,創(chuàng)建 Image備份,Back up current files prior to updating Flash,Networkserver,,,
39、,FLASH,copy flash tftp,創(chuàng)建 Image備份(續(xù)),Access_Server#copy flash tftp,System flash directory:File Length Name/status 1 3988176 /igs-im-l_111-22.bin [3988240 bytes used, 4400368 available, 8388608 total],Address o
40、r name of remote host [255.255.255.255]? 172.18.7.114,Source file name? /igs-im-l_111-22.bin,Destination file name [/igs-im-l_111-22.bin]?,Verifying checksum for '/igs-im-l_111-22.bin' (file # 1)... OK,Copy '
41、;/igs-im-l_111-22.bin' from Flash to server as '/igs-im-l_111-22.bin'? [yes/no] yes,!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Upload to server doneFlash copy took 00:00:53 [hh:mm:ss],恢復(fù) Image備份,Erase Flash occurs
42、before loading new imageNote message that image already exists,Networkserver,,,,FLASH,系統(tǒng)啟動(dòng)綜述,系統(tǒng)啟動(dòng)的順序 通過(guò)終端不斷反饋啟動(dòng)的信息,啟動(dòng)的順序,,RAM,Configuration register bits 3, 2, 1, and 0 set boot optionCheck configuration regis
43、ter value with show version,配置注冊(cè)號(hào),,,,,,,,Configuration Register Boot Field Value,0x0,0x2 to 0xF,0x1,Meaning,Use ROM monitor mode(Manually boot using the b command),Examine NVRAM for boot system commands (0x2 default if
44、 router has Flash),Automatically boot from ROM(Provides IOS subset),,Router#configure terminalRouter(config)#config-register 0x2102[Ctrl-Z]Router#reload,默認(rèn)0x2102,即:0010 0001 0000 0010從右開(kāi)始數(shù),為第0位…..第15位第0-3位:0000-ROM
45、MON,0001-MinIOS 其它正常啟動(dòng)第6位:即0x2142,忽略配置文件,注冊(cè)號(hào),Recovering a Lost Password(例),重新啟動(dòng)路由器,在60秒內(nèi)按 ctrl + break 鍵, 后按回車;在 > 下鍵入 o/r 0x2142在 > 下鍵入 i ;在進(jìn)入setup模式后,不進(jìn)行配置(鍵入no),進(jìn)入 Router(boot)>狀態(tài);Rout
46、er(boot)> enableRouter(boot)# config terminalRouter(boot)(config)# enable secret 你所配置的口令Router(boot)(config)# config-register 0x2102Router(boot)(config)# ^ +ZRouter(boot)# write Router(boot) #reload,保護(hù)管理接口的安全
47、細(xì)調(diào)線路參數(shù)特權(quán)級(jí)允許對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行受限制的訪問(wèn)限制Telnet的訪問(wèn)控制對(duì)路由器的http訪問(wèn),網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全,,主要內(nèi)容,保護(hù)管理接口的安全,初始安裝之后立即配置口令確保特權(quán)級(jí)口令與用戶級(jí)口令不同在口令中使用混合字符以使口令破解企圖難于成功不要將口令保存在易發(fā)現(xiàn)的地方不要使用易被猜出來(lái)的口令經(jīng)常更換口令不要在生產(chǎn)環(huán)境中使用“cisco”或其他明顯的衍生詞作為cisco路由器的口令,設(shè)置安全口令的技巧,保護(hù)管理接
48、口的安全,保護(hù)控制臺(tái)(console)端口訪問(wèn)安全特權(quán)模式口令口令加密,Router(config)#line console 0,Router(config-line)#login,Router(config-line)#password cisco,Router(config)#enable secret [level level] {password|[encryption-type] encrypted-pass
49、word},Router(config)#service password-encryption,,Router(config)#line console 0,設(shè)置線路超時(shí)值,Router(config-line)#exec-timeout 2 30,可調(diào)節(jié)的其他線路類型,Router(config)#line ? Fisrt line number aux Auxiliary line console Prim
50、ary terminal line tty Terminal controller vty Virtual terminal,細(xì)調(diào)線路參數(shù),級(jí)別1被預(yù)先定義為啟用用戶模式訪問(wèn)特權(quán),級(jí)別2到14時(shí)可以定制的用戶模式特權(quán)級(jí)別,級(jí)別15被預(yù)先定義為啟用特權(quán)模式訪問(wèn)級(jí)別,與“enable”命令所允許的訪問(wèn)級(jí)別相同,Priviledge mode {level level command|reset command},M
51、ode : 指定配置模式,包括可執(zhí)行(exec)、配置(configure)、線 路(line)、接口(interface)模式以及所有其他路由器配置模式,level level: 設(shè)置一個(gè)從0到15的特權(quán)級(jí)別與指定的命令向關(guān)聯(lián),Command: 指定上述特權(quán)級(jí)別與其之關(guān)聯(lián)的命令,reset command:重置所指定命令的特權(quán)級(jí)別,設(shè)置多個(gè)特權(quán)級(jí)別,,特權(quán)級(jí)別,,通過(guò)修改用戶的特權(quán)級(jí)別,你可以為用戶分配更細(xì)微的權(quán)限,,IOS路由
52、器,privilege configure level 3 usernameprivilege exec level 3 copy run startprivilege exec level 3 pingprivilege exec level 3 show runprivilege exec level 3 showenable secret level 3 cisco,Telnet端口在路由器上被稱為虛擬終端端口(vty)
53、必須配置一個(gè)啟用口令在路由器上才能通過(guò)telnet獲得啟用訪問(wèn)權(quán)采用“access-class” 和“access-list”命令限制telnet訪問(wèn)限制由“transport input”命令允許連接到路由器上的連接類型關(guān)閉入“ip alias”、“no cdp enable”等命令,以防止通過(guò)vty端口對(duì)路由器的攻擊,-限制來(lái)自特定IP地址的telnet訪問(wèn)-定義一個(gè)包含所允許IP地址的標(biāo)準(zhǔn)訪問(wèn)控制列表-通過(guò)“acc
54、ess-class” 命令將訪問(wèn)控制列表施加到vty線路上去,控制Telnet訪問(wèn),,,,Virtual Ports (vty 0 through 4),控制虛擬終端的訪問(wèn),RSM143(config)#access-list 1 permit 172.16.41.3RSM143(config)#line vty 0 4RSM143(config-line)#access-class 1 in,,Telnet 172.16.41.1
55、43,,172.16.41.3,172.16.41.143,,,控制HTTP訪問(wèn),RSM143(config)#access-list 1 permit 172.16.41.3RSM143(config)#ip http serverRSM143(config)#ip http access-class 1RSM143(config)#ip http authentication localRSM143(config)#user
56、name student password cisco,172.16.41.3,172.16.41.143,HTTP 管理站點(diǎn),缺省情況下HTTP訪問(wèn)時(shí)關(guān)閉的;,配置一個(gè)訪問(wèn)控制列表指定訪問(wèn)路由器上的tcp端口80的地址;,HTTP使用與控制臺(tái)和vty訪問(wèn)相似的口令安全機(jī)制;,控制TCP/IP服務(wù)訪問(wèn)控制DoS攻擊防護(hù)記錄(logging)邊界路由器事件,保護(hù)Internet連接安全,,主要內(nèi)容,控制TCP/IP服務(wù),控制路由器所
57、提供TCP/IP服務(wù)的命令,,No service tcp-small-servers,禁止對(duì)網(wǎng)絡(luò)主機(jī)的一些低端口tcp服務(wù)進(jìn)行訪問(wèn),包括Discard、Charagen、Daytime端口,No service udp-small-servers,,,No service finger,禁止路由器處理finger協(xié)議請(qǐng)求,阻止遠(yuǎn)程用戶查詢,,No ip domain-lookup,在邊界路由器上禁止基于IP DNS的主機(jī)名對(duì)地址的轉(zhuǎn)換
58、,禁止對(duì)網(wǎng)絡(luò)主機(jī)的一些低端口udp服務(wù)進(jìn)行訪問(wèn),包括Discard、Charagen、Daytime端口,,No ip tcp selective-ack,禁止TCP選擇性應(yīng)答,對(duì)性能有所影響,但是增加了抵御DoS攻擊的能力,,No cdp run,全局性禁止Cisco發(fā)現(xiàn)協(xié)議,,No ip rsh-enable,將路由器配置成不允許遠(yuǎn)端用戶用rsh在路由器上執(zhí)行命令,,,控制TCP/IP服務(wù),在接口模式下控制TCP/IP服務(wù)的命令,
59、,No ip proxy-arp,在接口上禁止代理arp,No ip redirects,,,No ip tcp path-mtu-discovery,在接口上禁止所有從路由器自身發(fā)起的新TCP連接的MTU發(fā)現(xiàn)。啟用MTU發(fā)現(xiàn)會(huì)增加遭受DOS攻擊的可能性,,No ip unreachable,在接口上禁止產(chǎn)生icmp不可到達(dá)信息,禁止cisco ios軟件在被要求經(jīng)與數(shù)據(jù)包接受端口相同的端口上重發(fā)該數(shù)據(jù)包發(fā)送重定向消息。這可以限制在端口
60、上掃描情況下路由器的反饋信息,,No cdp enable,在接口上禁止cdp,,No ip directed-broadcast,關(guān)閉ip定向廣播,防止路由器在分布式DoS攻擊中變?yōu)閺V播放大器。缺省命令,,,路由安全,靜態(tài)路由控制路由通告路由認(rèn)證,控制訪問(wèn),進(jìn)入數(shù)據(jù)包過(guò)濾外出數(shù)據(jù)包過(guò)濾,DoS攻擊防護(hù),防止DDos攻擊,防止網(wǎng)絡(luò)設(shè)備成為DDos攻擊的參與者采用訪問(wèn)控制列表對(duì)所有的入流量進(jìn)行過(guò)濾,濾除源地址為私有和保留地址的數(shù)
61、據(jù)包過(guò)濾所有的外出流量,以防止源ip地址欺騙采用承諾訪問(wèn)速率(committed access rate,CAR)對(duì)icmp數(shù)據(jù)包風(fēng)暴進(jìn)行限速對(duì)SYN包進(jìn)行速率限制使用ip verify unicast reverse-path網(wǎng)絡(luò)接口命令用NAT和PAT管理地址,防范分布式D.O.S攻擊的配置,對(duì)ICMP報(bào)文設(shè)置流率限制,Router(config)#interface serial 0Router(config-if)#
62、 rate-limit output access-group 105 1540000 512000 786000 conform-action transmit exceed-action dropRouter(config)#access-list 105 permit icmp any any echo-reply,首先,利用訪問(wèn)控制對(duì)數(shù)據(jù)包進(jìn)行分類,定義出icmp數(shù)據(jù)流,再次,CAR有選擇的將數(shù)據(jù)流量限制在指定的帶寬之內(nèi),其
63、次,確定在配置CAR之前,接口上的CEF功能已經(jīng)打開(kāi),防范分布式D.O.S攻擊的配置,為SYN報(bào)文設(shè)置流率限制,Router#show interfaces rate-limit,首先,測(cè)量正常的SYN流量,幫助建立接口上正常流量速率的基準(zhǔn),其次,我們應(yīng)盡量將SYN的速率限制得盡可能低,Router(config)#interface serial 0Router(config-if)# rate-limit output acces
64、s-group 150 1540000 512000 786000 conform-action transmit exceed-action dropRouter(config)#access-list 150 permit tcp any host eq wwwRouter(config)#access-list 150 permit tcp any host eq established,再次,啟用邊界設(shè)備的日志功能,以幫助
65、追蹤DDoS攻擊,路由器防止病毒的安全配置,1、 用于控制Nachi蠕蟲(chóng)的掃描 access-list 110 deny icmp any any echo 2、用于控制Blaster蠕蟲(chóng)的傳播 access-list 110 deny tcp any any eq 4444 access-list 110 deny udp any any eq 69 3、用于控制Blaster蠕蟲(chóng)的掃描和攻擊
66、 access-list 110 deny tcp any any eq 135 access-list 110 deny udp any any eq 135 access-list 110 deny tcp any any eq 139 access-list 110 deny udp any any eq 139 access-list 110 deny tcp any any eq 445 acce
67、ss-list 110 deny udp any any eq 445 access-list 110 deny tcp any any eq 593 access-list 110 deny udp any any eq 593 4、用于控制 Slammer 蠕蟲(chóng)的傳播 access-list 110 deny udp any any eq 1434 access-list 110 permit i
68、p any any 5、關(guān)閉可能存在的漏洞 access-list 101 deny ip 127.0.0.0 0.255.255.255 any access-list 101 deny ip 172.16.0.0 0.240.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any,中國(guó)科技網(wǎng)介紹,中國(guó)科技網(wǎng)的結(jié)構(gòu)簡(jiǎn)介中國(guó)科技網(wǎng)網(wǎng)絡(luò)設(shè)
69、備簡(jiǎn)介國(guó)內(nèi)外出口簡(jiǎn)介網(wǎng)絡(luò)管理簡(jiǎn)介,,,中國(guó)科技網(wǎng)發(fā)展簡(jiǎn)介,CSTNET是中國(guó)最早實(shí)現(xiàn)與Internet全功能互聯(lián)的網(wǎng)絡(luò),經(jīng)歷了三個(gè)不同的發(fā)展階段: NCFC——CASNET——CSTNETNCFC:中關(guān)村地區(qū)教育與科研示范網(wǎng)絡(luò)CASNET:中國(guó)科學(xué)院網(wǎng)接入類型: *光纖 *衛(wèi)星 *DDN *微波 *ISDN *HDSLCSTNET:以NCFC及CASNET為基礎(chǔ),連接中科院以外的一批中國(guó)科技
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 應(yīng)急預(yù)案-中國(guó)科技網(wǎng),引領(lǐng)科技的中國(guó)互聯(lián)網(wǎng)絡(luò)!
- 路由器的廣域網(wǎng)協(xié)議配置
- 銀行網(wǎng)絡(luò)故障應(yīng)急處理預(yù)案
- 配置路由器的廣域網(wǎng)接口
- 路由器基本配置與管理
- 路由器配置實(shí)驗(yàn)
- 路由器廣域網(wǎng)ppp封裝配置
- 局域網(wǎng)中多臺(tái)路由器如何配置
- cisco路由器配置手冊(cè)
- cisco路由器配置手冊(cè)
- 路由器及其配置分析
- cisco路由器配置過(guò)程
- 路由器基礎(chǔ)與配置
- 路由器串行端口的配置
- 路由再發(fā)布的配置-路由器配置(內(nèi)部培訓(xùn))神州數(shù)碼網(wǎng)絡(luò)大學(xué)
- 中國(guó)創(chuàng)新驛站網(wǎng)絡(luò)方案-河南科技網(wǎng)
- cisco路由器配置實(shí)例(經(jīng)典)
- 第5章 路由器配置
- 基于IXP425網(wǎng)絡(luò)處理器的接入路由器.pdf
- 實(shí)驗(yàn)四路由器廣域網(wǎng)協(xié)議配置
評(píng)論
0/150
提交評(píng)論