配置安全的路由器 狙击入侵
“xiaojiao325”通过精心收集,向本站投稿了9篇配置安全的路由器 狙击入侵,下面小编给大家整理后的配置安全的路由器 狙击入侵,欢迎阅读!
篇1:配置安全的路由器 狙击入侵
本文主要给大家介绍了如何加强路由器的安全性,详细的介绍了修改默认口令,关闭IP直接广播,关闭HTTP设置等方面详细的给大家进行了介绍,
对于大多数企业局域网来说,路由器已经成为正在使用之中的最重要的安全设备之一。一般来说,大多数网络都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。经过恰当的设置,边缘路由器能够把几乎所有的最顽固的坏分子挡在网络之外。如果你愿意的话,这种路由器还能够让好人进入网络。不过,没有恰当设置的路由器只是比根本就没有安全措施稍微好一点。
1.修改默认的口令
据国外调查显示,80%的安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的广泛的默认口令列表。你可以肯定在某些地方的某个人会知道你的生日。SecurityStats.com网站维护一个详尽的可用/不可用口令列表,以及一个口令的可靠性测试
2.关闭IP直接广播(IP Directed Broadcast)
你的服务器是很听话的。让它做什么它就做什么,而且不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击。在这种攻击中,攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应,
这种情况至少会降低你的网络性能。
参考你的路由器信息文件,了解如何关闭IP直接广播。例如,“Central(config)#no ip source-route”这个指令将关闭思科路由器的IP直接广播地址。
3.如果可能,关闭路由器的HTTP设置
正如思科的技术说明中简要说明的那样,HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而,遗憾的是,HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。
虽然这种未加密的口令对于你从远程位置(例如家里)设置你的路由器也许是非常方便的,但是,你能够做到的事情其他人也照样可以做到。特别是如果你仍在使用默认的口令!如果你必须远程管理路由器,你一定要确保使用SNMPv3以上版本的协议,因为它支持更严格的口令。
4.封锁ICMP ping请求
ping的主要目的是识别目前正在使用的主机。因此,ping通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收ping请求的应答能力,你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的“脚本小子”(script. kiddies)。
请注意,这样做实际上并不能保护你的网络不受攻击,但是,这将使你不太可能成为一个攻击目标。
篇2:Cisco路由器安全配置命令
1、在路由器上配置一个登录帐户
我强烈建议在路由器和交换机上配置一个真实的用户名和口令帐号,这样做,意味着你需要用户和口令来获得访问权。
除此之外,我建议为用户名使用一个秘密口令,而不仅有一个常规口令。它用MD5加密方法来加密口令,并且大大提高了安全性。举例如下:
Router(config)#user name root secret My$Password
在配置了用户名后,你必须启用使用该用户名的端口。举例如下:
Router(config)# line con 0
Router(config-line)#login local
Router(config)#line aux 0
Router(config-line)#login local
Router(config)#line vty 0 4
Router(config-line)#login local
2、在路由器上设置一个主机名
我猜测路由器上缺省的主机名是router。你可以保留这个缺省值,路由器同样可以正常运行。然而,对路由器重新命名并唯一地标识它才有意义。举例如下:
Router(config)#hostname Router-Branch-23
除此之外,你可以在路由器上配置一个域名,这样它就知道所处哪个DNS域中。举例如下:
Router-Branch-23(config)#ip domain name TechRepublic.com
3、为进入特权模式设置口令
当谈到设置进入特权模式的口令时,许多人想到使用enablepassword命令。然而,代替使用这个命令,我强烈推荐使用enablesecret命令。
这个命令用MD5加密方法加密口令,所以提示符不以明文显示。举例如下:
Router(config)#enable secret My$Password
4、加密路由器口令
Cisco路由器缺省情况下在配置中不加密口令。然而,你可以很容易地改变这一点。举例如下:
Router(config)#service password-encryption
5、禁用Web服务
Cisco路由器还在缺省情况下启用了Web服务,它是一个安全风险。如果你不打算使用它,最好将它关闭。举例如下:
Router(config)#no ip http server
6、配置DNS,或禁用DNS查找
让我们讨论Cisco路由器中我个人认为的一个小毛病:缺省情况下,如果在特权模式下误输入了一个命令,路由器认为你试图Telnet到一个远程主机。然而它对你输入的内容却执行DNS查找。
如果你没有在路由器上配置DNS,命令提示符将挂起直到DNS查找失败。由于这个原因,我建议使用下面两个方法中的一个。
一个选择是禁用DNS。做法是:
Router(config)#no ip domain-lookup
或者,你可以正确地配置DNS指向一台真实的DNS服务器,
Router(config)#ip name-server
7、配置命令别名
许多网络管理员都知道在路由器上配置命令的缩写(也就是别名)。举例如下:
Router(config)#alias exec s sh run
这就是说你现在可以输入s,而不必输入完整的showrunning-configuration命令。
8、设置路由器时钟,或配置NTP服务器
多数Cisco设备没有内部时钟。当它们启动时,它们不知道时间是多少。即使你设置时间,如果你将路由器关闭或重启,它不会保留该信息。
首先设置你的时区和夏令时。例子如下:
Router(config)#clock timezone CST-6
Router(config)#clock summer-time CDT recurring
然后,为了确保路由器的事件消息显示正确的时间,设置路由器的时钟,或者配置一个NTP服务器。设置时钟的例子如下:
Router# clock set 10:54:00 Oct 5
如果你已经在网络中有了一个NTP服务器(或可以访问Internet的路由器),你可以命令路由器将之作为时间源。这是你最好的选择,当路由器启动时,它将通过NTP服务器设置时钟。举例如下:
Router(config)# ntp server 132.163.4.101
9、不让日志消息打扰你的配置过程
CiscoIOS中另一个我认为的小毛病就是在我配置路由器时,控制台界面就不断弹出日志消息(可能是控制台端口,AUX端口或VTY端口)。要预防这一点,你可以这样做。
所以在每一条端口线路上,我使用日志同步命令。举例如下:
Router(config)#line con 0
Router(config-line)#logging synchronous
Router(config)#line aux 0
Router(config-line)#logging synchronous
Router(config)#line vty 0 4
Router(config-line)#logging synchronous
除此之外,你可以在端口上修改这些端口的执行超时时间。例如,我们假设你想禁用VTY线路上默认的十分钟超时时间。在线路配置模式下使用exec-timeout00命令,使路由器永不退出。
10、在路由器缓冲区或系统日志服务器中记录系统消息
捕获路由器的错误和事件以及监视控制台是解决问题的关键。默认情况下,路由器不会将缓冲的事件记录发送到路由器内存中。
然而,你可以配置路由器将缓冲的事件记录发送到内存。举例如下:
Router(config)#logging buffered 16384
你还可以将路由器事件发送到一个系统日志服务器。由于该服务器处在路由器外部,就有一个附加的优点:即使路由器断电也会保留事件记录。
篇3:Cisco路由器安全配置方案
一、 路由器网络服务安全配置
1 禁止CDP(Cisco Discovery Protocol),如:
Router(Config)#no cdp run
Router(Config-if)# no cdp enable
2 禁止其他的TCP、UDP Small服务。
Router(Config)# no service tcp-small-servers
Router(Config)# no service udp-samll-servers
3 禁止Finger服务。
Router(Config)# no ip finger
Router(Config)# no service finger
4 建议禁止HTTP服务。
Router(Config)# no ip http server
如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制。
5 禁止BOOTp服务。
Router(Config)# no ip bootp server
6 禁止IP Source Routing。
Router(Config)# no ip source-route
7 建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的。
Router(Config)# no ip proxy-arp
Router(Config-if)# no ip proxy-arp
8禁止IP Directed Broadcast。
Router(Config)# no ip directed-broadcast
9 禁止IP Classless。
Router(Config)# no ip classless
10 禁止ICMP协议的IP Unreachables, Redirects, Mask Replies,
Router(Config-if)# no ip unreacheables
Router(Config-if)# no ip redirects
Router(Config-if)# no ip mask-reply
11 建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。如:
Router(Config)# no snmp-server community public Ro
Router(Config)# no snmp-server community admin RW
12 如果没必要则禁止WINS和DNS服务。
Router(Config)# no ip domain-lookup
如果需要则需要配置:
Router(Config)# hostname Router
Router(Config)# ip name-server 219.150.32.xxx
13 明确禁止不使用的端口。如:
Router(Config)# interface eth0/3
Router(Config)# shutdown
二、路由器访问控制的安全配置(可选)
路由器的访问控制是比较重要的安全措施,但是目前由于需求不明确,可以考虑暂时不实施。作为建议提供。
1 建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。
2 严格控制CON端口的访问。
配合使用访问控制列表控制对CON口的访问。
如:Router(Config)#Access-list 1 permit 192.168.0.1
Router(Config)#line con 0
Router(Config-line)#Transport input none
篇4:Cisco路由器交换机安全配置
一、网络结构及安全脆弱性
为了使设备配置简单或易于用户使用,Router或Switch初始状态并没有配置安全措施,所以网络具有许多安全脆弱性,因此网络中常面临如下威胁:
1. DDOS攻击
2. 非法授权访问攻击,
口令过于简单,口令长期不变,口令明文创送,缺乏强认证机制。
3.IP地址欺骗攻击
….
利用Cisco Router和Switch可以有效防止上述攻击。
二、保护路由器
2.1 防止来自其它各省、市用户Ddos攻击
最大的威胁:Ddos, hacker控制其他主机,共同向Router访问提供的某种服务,导致Router利用率升高。
Ddos是最容易实施的攻击手段,不要求 有高深的网络知识就可以做到。
如SMURF DDOS 攻击就是用最简单的命令ping做到的。利用IP 地址欺骗,结合ping就可以实现DDOS攻击。
防范措施:
应关闭某些缺省状态下开启的服务,以节省内存并防止安全破坏行为/攻击
Router(config-t)#no service finger
Router(config-t)#no service pad
Router(config-t)#no service udp-small-servers
Router(config-t)#no service tcp-small-servers
Router(config-t)#no ip http server
Router(config-t)#no service ftp
Router(config-t)#no ip bootp server
以上均已经配置。
防止ICMP-flooging攻击
Router(config-t)#int e0
Router(config-if)#no ip redirects
Router(config-if)#no ip directed-broadcast
Router(config-if)#no ip proxy-arp
Router(config-t)#int s0
Router(config-if)#no ip redirects
Router(config-if)#no ip directed-broadcast
Router(config-if)#no ip proxy-arp
以上均已经配置。
除非在特别要求情况下,应关闭源路由:
Router(config-t)#no ip source-route
以上均已经配置。
禁止用CDP发现邻近的cisco设备、型号和软件版本
Router(config-t)#no cdp run
Router(config-t)#int s0
Router(config-if)#no cdp enable
如果使用works网管软件,则不需要此项操作
此项未配置。
使用CEF转发算法,防止小包利用fast cache转发算法带来的Router内存耗尽、CPU利用率升高。
Router(config-t)#ip cef
2.2 防止非法授权访问
通过单向算法对 “enable secret”密码进行加密
Router(config-t)#enable secret
Router(config-t)#no enable password
Router(config-t)#service password-encryption
?vty端口的缺省空闲超时为10分0秒
Router(config-t)#line vty 0 4
Router(config-line)#exec-timeout 10 0
应该控制到VTY的接入,不应使之处于打开状态;Console应仅作为最后的管理手段:
如只允许130.9.1.130 Host 能够用Telnet访问.
access-list 110 permit ip 130.9.1.130 0.0.0.0 130.1.1.254 0.0.0.0 log
line vty 0 4
access-class 101 in
exec-timeout 5 0
2.3 使用基于用户名和口令的强认证方法 Router(config-t)#username admin pass 5 434535e2
Router(config-t)#aaa new-model
Router(config-t)#radius-server host 130.1.1.1 key key-string
Router(config-t)#aaa authentication login neteng group radius local
Router(config-t)#line vty 0 4
Router(config-line)#login authen neteng
三、保护网络
3.1防止IP地址欺骗
经常冒充地税局内部网IP地址,获得一定的访问权限,
在省地税局和各地市的WAN Router上配置:
防止IP地址欺骗--使用基于unicast RPF(逆向路径转发)
包发送到某个接口,检查包的IP地址是否与CEF表中到达此IP地址的最佳路由是从此接口转发,若是,转发,否则,丢弃。
Router(config-t)#ip cef
Router(config-t)#interface e0
Router(config-if)# ip verify unicast reverse-path 101
Router(config-t)#access-list 101 permit ip any any log
注意:通过log日志可以看到内部网络中哪些用户试图进行IP地址欺骗。
此项已配置。
防止IP地址欺骗配置访问列表
防止外部进行对内部进行IP地址
Router(config-t)#access-list 190 deny ip 130.9.0.0 0.0.255.255 any
Router(config-t)#access-list 190 permit ip any any
Router(config-t)#int s4/1/1.1
Router(config-if)# ip access-group 190 in
防止内部对外部进行IP地址欺骗
Router(config-t)#access-list 199 permit ip 130.9.0.0 0.0.255.255 any
Router(config-t)#int f4/1/0
Router(config-if)# ip access-group 199 in
四、保护服务器
对于地税局内部的某些Server,如果它不向各地提供服务可以在总局核心Cisco Router上配置空路由。
ip route 130.1.1.1 255.255.255.255.0 null
在WAN Router上配置CBAC,cisco状态防火墙,防止Sync Flood攻击
hr(config)#int s0/0
hr(config-if)#ip access-group 100 in
hr(config)#int f0/0
hr(config-if)#ip inspect insp1 in
hr(config)#ip inspect audit-trial
hr(config)#ip inspect name insp1 tcp
hr(config)#ip inspect max-incomplete high 350
hr(config)#ip inspect max-incomplete low 240
hr(config)#ip audit
hr(config)#access-list 100 permit tcp any 130.1.1.2 eq 80
在WAN Router 上配置IDS入侵检测系统
hr(config)#ip audit name audit1 info action alarm
hr(config)#ip audit name audit1 attack action alarm drop
reset
hr(config)#ip audit audit1 notify log
hr(config)#int s0/0
hr(config)#ip audit audit1 in
五、网络运行监视
配置syslog server,将日志信息发送到syslog server上
Syslog Server纪录Router的平时运行产生的一些事件,如广域口的up, down
, OSPF Neighbour的建立或断开等,它对统计Router的运行状态、流量的一些状态,电信链路的稳定有非常重要的意义,用以指导对网络的改进。
篇5:Cisco路由器简易安全配置
一,路由器访问控制的安全配置
1,严格控制可以访问路由器的管理员,任何一次维护都需要记录备案。
2,建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。
3,严格控制CON端口的访问。具体的措施有:
A,如果可以开机箱的,则可以切断与CON口互联的物理线路。B,可以改变默认的连接属性,例如修改波特率(默认是96000,可以改为其他的)。C,配合 使用访问控制列表控制对CON口的访问。如:Router(Config)#Access-list 1 permit 192.168.0.1Router(Config)#line con 0Router(Config-line)#Transport input noneRouter(Config-line)#Login localRouter(Config-line)#Exec-timeoute 5 0Router(Config-line)#access-class 1 inRouter(Config-line)#endD,给CON口设置高强度的密码。
4,如果不使用AUX端口,则禁止这个端口。默认是未被启用。禁止如:
Router(Config)#line aux 0Router(Config-line)#transport input noneRouter(Config-line)#no exec
5,建议采用权限分级策略。如:
Router(Config)#username BluShin privilege 10 G00dPa55w0rdRouter(Config)#privilege EXEC level 10 telnetRouter(Config)#privilege EXEC level 10 show ip access-list
6,为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。
7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为加密,所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址;可以采用AAA设置用户的访问控制等。
8,IOS的升级和备份,以及配置文件的备份建议使用FTP代替TFTP。如:
Router(Config)#ip ftp username BluShinRouter(Config)#ip ftp password 4tppa55w0rdRouter#copy startup-config ftp:
9,及时的升级和修补IOS软件。
二,路由器网络服务安全配置
1,禁止CDP(Cisco Discovery Protocol)。如:Router(Config)#no cdp runRouter(Config-if)# no cdp enable2,禁止其他的TCP、UDP Small服务。Router(Config)# no service tcp-small-serversRouter(Config)# no service udp-samll-servers3,禁止Finger服务。Router(Config)# no ip fingerRouter(Config)# no service finger4,建议禁止HTTP服务。Router(Config)# no ip http server如果启用了HTTP服务则需要对其进行安全配置:
设置用户名和密码;采用访问列表进行控制。如:Router(Config)# username BluShin privilege 10 G00dPa55w0rdRouter(Config)# ip http auth localRouter(Config)# no access-list 10Router(Config)# access-list 10 permit 192.168.0.1Router(Config)# access-list 10 deny anyRouter(Config)# ip http access-class 10Router(Config)# ip http serverRouter(Config)# exit5,禁止BOOTp服务。Router(Config)# no ip bootp server禁止从网络启动和自动从网络下载初始配置文件。Router(Config)# no boot networkRouter(Config)# no servic config6,禁止IP Source Routing。Router(Config)# no ip source-route7,建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的。Router(Config)# no ip proxy-arpRouter(Config-if)# no ip proxy-arp8,明确的禁止IP Directed Broadcast。Router(Config)# no ip directed-broadcast9,禁止IP Classless。Router(Config)# no ip classless10,禁止ICMP协议的IP Unreachables,Redirects,Mask Replies。Router(Config-if)# no ip unreacheablesRouter(Config-if)# no ip redirectsRouter(Config-if)# no ip mask-reply11,建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。
或者需要访问列表来过滤。如:Router(Config)# no snmp-server community public RoRouter(Config)# no snmp-server community admin RWRouter(Config)# no access-list 70Router(Config)# access-list 70 deny anyRouter(Config)# snmp-server community MoreHardPublic Ro 70Router(Config)# no snmp-server enable trapsRouter(Config)# no snmp-server system-shutdownRouter(Config)# no snmp-server trap-anthRouter(Config)# no snmp-serverRouter(Config)# end12,如果没必要则禁止WINS和DNS服务。Router(Config)# no ip domain-lookup如果需要则需要配置:Router(Config)# hostname RouterRouter(Config)# ip name-server 202.102.134.9613,明确禁止不使用的端口,
Router(Config)# interface eth0/3Router(Config)# shutdown
三,路由器路由协议安全配置
1,首先禁止默认启用的ARP-Proxy,它容易引起路由表的混乱。Router(Config)# no ip proxy-arp 或者Router(Config-if)# no ip proxy-arp2,启用OSPF路由协议的认证。默认的OSPF认证密码是明文传输的,建议启用MD5认证。并设置一定强度密钥(key,相对的路由器必须有相同的Key)。Router(Config)# router ospf 100Router(Config-router)# network 192.168.100.0 0.0.0.255 area 100! 启用MD5认证。! area area-id authentication 启用认证,是明文密码认证。!area area-id authentication message-digestRouter(Config-router)# area 100 authentication message-digestRouter(Config)# exitRouter(Config)# interface eth0/1!启用MD5密钥Key为routerospfkey。!ip ospf authentication-key key 启用认证密钥,但会是明文传输。!ip ospf message-digest-key key-id(1-255) md5 keyRouter(Config-if)# ip ospf message-digest-key 1 md5 routerospfkey3,RIP协议的认证。只有RIP-V2支持,RIP-1不支持。建议启用RIP-V2。并且采用MD5认证。普通认证同样是明文传输的。Router(Config)# config terminal! 启用设置密钥链Router(Config)# key chain mykeychainnameRouter(Config-keychain)# key 1!设置密钥字串Router(Config-leychain-key)# key-string MyFirstKeyStringRouter(Config-keyschain)# key 2Router(Config-keychain-key)# key-string MySecondKeyString!启用RIP-V2Router(Config)# router ripRouter(Config-router)# version 2Router(Config-router)# network 192.168.100.0Router(Config)# interface eth0/1! 采用MD5模式认证,并选择已配置的密钥链Router(Config-if)# ip rip authentication mode md5Router(Config-if)# ip rip anthentication key-chain mykeychainname4,启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口。建议对于不需要路由的端口,启用passive-interface。但是,在RIP协议是只是禁止转发路由信息,并没有禁止接收。
在OSPF协议中是禁止转发和接收路由信息。! Rip中,禁止端口0/3转发路由信息Router(Config)# router RipRouter(Config-router)# passive-interface eth0/3!OSPF中,禁止端口0/3接收和转发路由信息Router(Config)# router ospf 100Router(Config-router)# passive-interface eth0/35,启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流。Router(Config)# access-list 10 deny 192.168.1.0 0.0.0.255Router(Config)# access-list 10 permit any! 禁止路由器接收更新192.168.1.0网络的路由信息Router(Config)# router ospf 100Router(Config-router)# distribute-list 10 in!禁止路由器转发传播192.168.1.0网络的路由信息Router(Config)# router ospf 100Router(Config-router)# distribute-list 10 out6,建议启用IP Unicast Reverse-Path Verification。它能够检查源IP地址的准确性,从而可以防止一定的IP Spooling。但是它只能在启用CEF(Cisco Express Forwarding)的路由器上使用。Router# config t! 启用CEFRouter(Config)# ip cef!启用Unicast Reverse-Path VerificationRouter(Config)# interface eth0/1Router(Config)# ip verify unicast reverse-path四,路由器其他安全配置1,及时的升级IOS软件,并且要迅速的为IOS安装补丁。2,要严格认真的为IOS作安全备份。3,要为路由器的配置文件作安全备份。4,购买UPS设备,或者至少要有冗余电源。5,要有完备的路由器的安全访问和维护记录日志。6,要严格设置登录Banner。必须包含非授权用户禁止登录的字样。7, IP欺骗得简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地址;回环地址(127.0.0.0/8);
RFC1918私有地址;DHCP自定义地址(169.254.0.0/16);
科学文档作者测试用地址(192.0.2.0/24);
不用的组播地址(224.0.0.0/4);SUN公司的古老的测试地址(20.20.20.0/24;204.152.64.0/23);
全网络地址(0.0.0.0/8)。Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 any logRouter(Config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any logRouter(Config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any logRouter(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any logRouter(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any logRouter(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any logRouter(Config)# access-list 100 deny ip 192.0.2.0 0.0.0.255 any logRouter(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 anyRouter(Config)# access-list 100 deny ip 20.20.20.0 0.0.0.255
篇6:多个路由器怎么配置
教大家如何设置2个或多个路由器连接一个宽带不掉线,看到其他技术员的发贴,帮他纠正一下
他第一个方法 方法一:很简单就是用一根网线从第一个路由器引导第二个路由器的LAN上的任意一个端口就行,切记不可以插到WAN口,一般这种方法大家采用的也比较多,基本没什么技术含量。只要第一个路由跟猫连好了。设置好能上网就可以让第二个路由器用了。 这样肯定掉线,两个路由器一样的IP段一定会冲突,会一直掉线,必须把第2个路由器IP段设成192.168.2.1 才不会掉线 ,这个方法还可以,不怎么好用必须每台连上路由器的电脑要设IP很麻烦
我说的第2种方法就很好用:就是设置一下 1、第一个路由器正常设好上网就可以 2、先把第2个路由器先单独连上一台电脑,进入设置,第一也是把IP段设成192.168.2.1 ,这时会重启路由器,重启完进去路由器要输入192.168.2.1才能进去,进去点WAN口设置 设成静态IP 下面DNS服务器要填你们自己地方的DNS服务器IP保存就可以 还有无线设下密码保存一下就OK ,最后就是拿一条网线拿第2个路由器WAN口连第一个路由器LAN口,现在就肯定好用,如果有不懂请留言,我上线的时候会回复大家。
接三个路由器 1、先把第3个路由器先单独连上一台电脑,进入设置,把IP段设成192.168.3.1 ,这时会重启路由器,重启完进去路由器要输入192.168.3.1才能进去,进去点WAN口设置 设成静态IP
WAN口 192.168.1.2到192.168.1.244正常都可以 但是192.168.1.2 和192.168.1.100 这两个最好连基本没有不行的 接也是拿一条网线随便接哪个路由器LAN口上接到刚设好的路由器WAN口上,四个 五个路由器以此类推,主要记住IP和IP段 不一样就不会冲突掉线 就OK。
篇7:保障路由器安全的配置策略
路由器是信息网络中实现网络互联的关键设备,它将不同网络或网段之间的数据信息进行“翻译”,以实现网络互联和资源共享,因此,路由器安全问题直接影响整个网络的安全。笔者认为,保护路由器安全可采取以下安全措施。
堵住安全漏洞
路由器同计算机及其他网络设备一样,自身也存在一些缺陷和漏洞。利用路由器自身缺点进行网络攻击,是 常用的手段。因此,我们必须在堵住路由器安全漏洞上采取必要的措施。限制系统物理访问是最有效的方法之一。它是将控制台和终端会话配置成在较短闲置时间后,自动退出系统,以堵住路由器的安全漏洞,保护整个网络的安全。此外,应避免将调制解调器连接到路由器的辅助端口。
避免身份危机
常常利用弱口令或默认口令进行攻击。加长口令,有助于防御这类攻击。当网络管理人员调离或退出本岗位时,应立即更换口令。另外,还应启用路由器的口令加密功能。在大多数的路由器上,可以配置一些协议,如远程验证拨入用户服务,结合验证服务器提供经过加密、验证的路由器访问,以加强路由器的安全系数,提高整个网络的安全性。
限制逻辑访问
限制逻辑访问,主要是借助于合理处置访问控制列表,限制远程终端会话,有助于防止 获得系统逻辑访问。SSH是优先的逻辑访问方法,但如果无法避免TELNET,不妨使用终端访问控制,以限制只能访问可信主机。因此,需要给TELNET在路由器上使用的虚拟终端端口添加一份访问列表。
控制消息协议ICMP有助于排除故障,但也为攻击者提供了用来浏览网络设备、确定时间戳和网络掩码以及对OS修正版本作出推测的信息。为了防止 搜集上述信息,只允许以下类型的ICMP流量进入网络:ICMP网无法到达的、主机无法到达的、端口无法到达的、包太大的、源抑制的以及超出生存时间(TTL)的。此外,逻辑访问控制还应禁止ICMP流量以外的所有流量。
使用入站访问控制,可将特定服务器引导至对应的服务器。例如,只允许SMTP流量进入邮件服务器;DNS流量进入DNS服务器;通过安全套接协议层(SSL)的HTTP(HTTPS)流量进入WEB服务器。为了避免路由器成为DoS攻击目标,应拒绝以下流量进入:没有IP地址的包,采用本地主机地址、广播地址、多播地址以及任何假冒的内部地址的包。还可以采取增加SYM ACK队列长度、缩短ACK超时等措施,来保护路由器免受TCP SYN攻击。
监控配置更改
在对路由器配置进行改动时,需要对其进行监控。如果使用了SNMP,则一定要选择功能强大的共用字符串,最好是使用提供消息加密功能的 SNMP。如果不通过SNMP管理而对设备进行远程配置,最好将SNMP设备配置成只读,拒绝对这些设备进行写访问。这样,能防止 改动或关闭接口。此外,还要将系统日志信息从路由器发送至指定服务器。同时,为进一步确保安全管理,还可使用SSH等加密机制,利用SSH与路由器建立加密的远程会话。
实施配置管理
配置管理的一个重要部分,就是确保网络使用合理的路由器协议,避免使用路由信息协议(RIP)。因为RIP很容易被欺骗而接受不合法的路由更新。所以,必须实施控制存放、检索及更新路由器配置,以便在新配置出现问题时能更换、重装或恢复到原先的配置。另外,还可以通过两种方法,将配置文档存放在支持命令行接口(CLT)的路由器平台上。一种是运行脚本,脚本能在配置服务器到路由器之间建立SSH会话、登录系统、关闭控制器日志功能、显示配置、保存配置到本地文件以及退出系统。另一种是在配置服务器到路由器之间建立IPSEC遂道,通过该安全遂道内的TFTP,将配置文件拷贝到服务器。同时,还应明确哪些人员可以更改路由器配置、何时进行更改以及如何进行更改,在进行任何更改之前,制定详细的逆序操作规程。
篇8:华为路由器配置命令
华为路由器配置命令
[Quidway]display version ;显示版本信息
[Quidway]display current-configuration ;显示当前配置
[Quidway]display interfaces ;显示接口信息
[Quidway]display ip route ;显示路由信息
[Quidway]sysname aabbcc ;更改主机名
[Quidway]super passwrod 123456 ;设置口令
[Quidway]interface serial0 ;进入接口
[Quidway-serial0]ip address
[Quidway-serial0]undo shutdown ;激活端口
[Quidway]link-protocol hdlc ;绑定hdlc协议
[Quidway]user-interface vty 0 4
[Quidway-ui-vty0-4]authentication-mode password
[Quidway-ui-vty0-4]set authentication-mode password simple 222
[Quidway-ui-vty0-4]user privilege level 3
[Quidway-ui-vty0-4]quit
[Quidway]debugging hdlc all serial0 ;显示所有信息
[Quidway]debugging hdlc event serial0 ;调试事件信息
[Quidway]debugging hdlc packet serial0 ;显示包的信息
静态路由:
[Quidway]ip route-static
例如:
[Quidway]ip route-static 129.1.0.0 16 10.0.0.2
[Quidway]ip route-static 129.1.0.0 255.255.0.0 10.0.0.2
[Quidway]ip route-static 129.1.0.0 16 Serial 2
[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.0.0.2
动态路由:
[Quidway]rip ;设置动态路由
[Quidway]rip work ;设置工作允许
[Quidway]rip input ;设置入口允许
[Quidway]rip output ;设置出口允许
[Quidway-rip]network 1.0.0.0 ;设置交换路由网络
[Quidway-rip]network all ;设置与所有网络交换
[Quidway-rip]peer ip-address ;
[Quidway-rip]summary ;路由聚合
[Quidway]rip version 1 ;设置工作在版本1
[Quidway]rip version 2 multicast ;设版本2,多播方式
[Quidway-Ethernet0]rip split-horizon ;水平分隔
[Quidway]router id A.B.C.D ;配置路由器的ID
[Quidway]ospf enable ;启动OSPF协议
[Quidway-ospf]import-route direct ;引入直联路由
[Quidway-Serial0]ospf enable area ;配置OSPF区域
篇9:路由器基础配置及数据传输浅析
在现今网络飞速发展的时代中,路由器有着举足轻重的作用,因为路由器作为网络层中的中继系统,提供着一个在第三层网络间数据的路由选择与转发功能。因此,路由器的功能、作用及基础配置都是作为IT行业成员的我们必须熟练掌握的。
以下,我们将从两方面对路由器作一个简要的分析:即如何在实验中搭建一个最简单的网络环境,并在其配置中常会碰到的情况及相对应的解决方法;以及对在网际中的数据传输中应用不同的数据封装协议(HDLC与PPP)、链路压缩进行传输速率的比较。
路由器配置及网络搭建
要组建一个网络,就须在应用中对网络结构要有一个很清晰的了解,而在物理上的正确连接、路由器中的分配IP地址、广域网路由协议的选择及局域网的接入等都是在实际应用中必需十分注意的。以下则是我们经过实验总结出来的使整个网络运行起来的三个主要方面。
一、网间的物理连接
在我们的实验环境中,运用了最简单的点对点环境,通过一对MODEM把两台路由器的广域网口连接起来进行数据传输。MODEM间连接双绞线(直通线) ,还要给予线路传输的带宽。而在局域网口,路由器直接与一台微机相连。但在实际的应用中,往往并不单单是两台路由器相连,或要多台路由器、交换机、集线器等。这要视网络结构来对网络设备的数量、位置,根据环境和要求进一步考虑。
二、路由器的配置
因为今天的路由器所包含的已不仅仅是对数据转发与路由转换的概念,它还可以实现多种意义和功能,如:安全限制、流量控制等。所以,在此我们只是简要介绍一下实现其原始功能的几个步骤。首先,进入端口模式,给予每个广域网口及以太网口一个IP地址与相应的地址掩码。其次,在广域网口要设置带宽与数据的链路传输封装协议(在实验中我们分别使用了HDLC及PPP协议)。最后,要配置路由协议,在大型的网络中,可选用的有很多不同的协议(静态路由、动态的OSPF、EIGRP)。而我们则选用的是CISCO的专有动态路由协议EIGRP。
三、用户终端的设定
为了实验的简便,为此我们只在以太网内放置了一台微机与以太网口相连。从以太口接出的所有设备都必须要对其指定一个IP地址且是与路由器的以太网口同一网段的,同时以路由器的以太网口为网关,才能保证以太网与外网段正常交换信息。
经过上面的三点配置,这个实验网络就能运行起来。利用PING命令即可检测两台微机间是否能正常通信。但在实验的过程中,在以上的每一个方面中,还有很多需要注意的小地方。以下即是我们在实验当中所得的几点体会。
一.广域网中连接的ASCOM是智能的,因此在连接后等待两个MODEM的时钟同步后即可进行通信。但需要注意的是在此对MODEM中会自定义一主一从或手工设定也可,当主MODEM改变传输的速率时,链路自动断开,从MODEM会与主MODEM进行时钟重同步以新设定的速率通信。
二.在路由器的端口状态检查中,当接口与下联设备连接,端口为UP;当下联设备处于开启状态,而且连接的链路协议也配置完成,端口的协议状态才会呈现UP。
三.配置路由协议时,如果协议还没有起来,检查路由器的状态则是所有端口都是UP,但链路却不通。这是由于路由器没有把下连设备的路由信息传给上连路由器的路由表,数据转发时就只能通过上连路由器的路由表找到直接相连的网段却找不到下一跳相连的网段地址。只有在协议正常运行后,路由器通过路由协议学习到网络中的路由,才能把得到的数据对其下一跳进行转发。还要注意起用路由协议时,网络号的指定是指运用此路由协议的整个网络。
四.路由器广域网的数据链路层封装协议要同步,就是收发数据必须用同一种封装协议,否则广域网口会丢掉与接口封装类型不相同的数据包,导致链路的不通。
五.由于微机与路由器的接口属于同类网络接入设备,要用反双绞线(交叉线)进行连接。同样的情况还有交换机与集线器的相连。也可以通过端口的标识判定。同种标识则用交叉线,反之,用直通线。
数据的传输
网络本身的意义就在于它能使信息更快,更便捷的传送到网络所覆盖的整个区域范围,从而实现信息化和全球化的时代要求。但信息的传送必须要得到正确、完整的保证。在计算机通信的早期人们就已发现,对于经常产生误码的实际链路,只要加上合适的控制规程,就可以使通信变为比较可靠的。这些规程演变到现在,成为网际间的数据传输封装协议有HDLC、PPP、ATM、帧中继等。于是,在两台微机可以在这个实验网络通信后,我们不但对HDLC与PPP进行了传输速率,还用CISCO路由器分别在这两种协议下的加压缩与不加压缩时的状态做了一个比较,
用于测试传输速度的软件是5.58M的一个注册表文件,使用FTP进行数据传输。传输过程应用了二进制算法和HASH排序,得出的结果在下表中列出。
从实验的结果,可以看出在同样的网络环境中,HDLC与PPP相比,在正常的情况下,PPP要稍快一点。在加压缩后,两协议都明显要比未压缩前要快。这是什么原因呢?那么就从他们的结构开始说起吧。
HDLC(High-level Data Link Control),高级数据链路控制。前身是面向比特的规程SDLC,后经ISO修改才称为HDLC的。在CISCO的路由器中,HDLC是默认的传输协议,与普通的HDLC的结构相似,为此,我们就以普通的HDLC对其结构进行分析。
HDLC的帧结构
数据链路层的数据是以帧为单位的。一个帧的结构具有固定的格式。标志字段F(Flag ),放在帧的开头和结尾,作为帧的边界,用于解决比特同步的问题。帧校验序列FCS(Frame. Check Sequence)字段共占16bit,它采用的生成多项式是CRC-CCITT。所检验的范围是从地址字段的第1个比特起,到信息字段的最末1个为止。控制字段C共8bit。HDLC的许多重要功能都要靠控制字段来实现。
PPP的帧格式和HDLC的相似。与HDLC不同的是多了2个字节的协议字段。当协议字段为0x0021时,信息字段就是IP数据报。若为0xC021,则信息字段是链路控制数据,而0x8021表示这是网络控制数据。PPP不提供使用序号和确认的可靠传输。PPP工作在网络层与数据链路层中,包括NCP与LCP协议。NCP是在第三层用于局域网中的多协议封装,LCP用于第二层的广域网链路控制协议。
从两者的结构上来看,PPP有比HDLC更复杂的控制机制,处理的时候需要的时间相对要多些。从通信的连接来看,HDLC在连接与断开时采取的是双方握手协议;PPP使用的是一个鉴别认证机制,双方通过连接,然后协商,身份的鉴别,LCP的配置,打开通信到通信结束,完成整个过程。所以在整个测试中,PPP在链路的连接到数据的处理,所耗费的时间都要比HDLC要多。特别在大行的数据传输时,更能体现出HDLC的传输速度。但PPP在安全方面却比HDLC要更胜一筹,其身份验证可以根据安全的要求对所有接收的数据进行检测,通过鉴定后才会把数据接收转发否则丢弃掉。因此,对两协议的选用可视传输的要求来考虑。(以下分别是两协议的通信链路连接状态图)
此外,我们对两种协议进行了链路的压缩传送。结果,在速度方面,两者都有了显著的提高。其实,所谓的压缩也就是对传输实体进行的,对包头和负载的压缩。链路压缩并不是指单单一个特别的协议功能,而CISCO就提供了两种专用于路由器传输数据的压缩算法----Stac与Predictor。但在HDLC结构中,Stac是唯一的选择。STAC对数据的压缩实际上是通过对一些多余字串的数据流用特定的标记替代,而这些带有信息量的标记都是明显短于所替代的数据流的。如果算法在数据中不能找到可以替代的字串,那么将不会有压缩的情况发生,或者在传输中就像压缩功能没有被激活一般。在一些应用中,例如是在发送加密数据时,压缩就只会增加传输的开销,所以在这类情况中,是不会对原始传输进行修改。而且Stac压缩算法对占用CPU的资源有较高要求,往往不被采用于高CPU利用率的路由器中。Predictor压缩算法就如其名字一般。这一CISCO优先算法是通过尝试从一个操作检索系统中预测出即将到来的特征数据序列,而这个系统就是基于压缩字典生成的。何为压缩字典,其实它就是一本由众多可能出现的数据序列组合成的编码书。如果一个特征数据流在此字典中被发现,且与字典中的其中一条目完全吻合,那么,此字典条目将会用来替代数据流。得出的条目包含的是更小更短的特征序列。在远端,这些特征将会与数据字典再次做一个对比进行解码。数据流就会被找出及用合适的信息替换。Predictor压缩算法就如形体语言一般,利用一个手势即可表达整个的句子与含义(压缩),远比拼出由一个个单独的词语所组成的句子与含义(无压缩)来得简单。因为所有的群体对手势语言都能理解,所以相互间能够很好的沟通。相反,当其中一人在交流时包含了一个未知的形体语言,那么相互间的沟通将不会产生。在压缩中同样会出现缺少交流的情况。如在一方选用了压缩算法,那么在另一方也必须使用。(需要注意的是,两端所使用的算法必须一致。)Stac是高CPU占用,而Predictor却是极端的高内存占用。因此,如果路由器没有配备大容量的RAM,那就想也别想实行Predictor算法。但如果RAM充足的话,使用Predictor也是一个不错的选择。
因为上述实验在一个理想化的网络环境中进行,并受到条件和设备等限制,测试得出的数据并不能在所有环境中适用。我们的水平有限,经验尚浅,本文的不足之处,还望同行多予指点。
【配置安全的路由器 狙击入侵】相关文章:
8.入侵检测
文档为doc格式
