史上最细致的Cisco路由安全配置(集锦7篇)由网友“晚上吃啥”投稿提供,下面就是小编给大家分享的史上最细致的Cisco路由安全配置,希望大家喜欢!
篇1:史上最细致的Cisco路由安全配置
很多网络管理员在刚开始使用思科路由器时都会忽略安全设置,本文介绍的内容非常适合此类应用者在使用思科路由器时对网络安全进行配置,
一.路由器“访问控制”的安全配置
1.严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。
2.建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。
3.严格控制CON端口的访问。具体的措施有:
A.如果可以开机箱的,则可以切断与CON口互联的物理线路。
B.可以改变默认的连接属性,例如修改波特率(默认是96000,可以改为其他的)。
C.配合使用访问控制列表控制对CON口的访问。
如:Router(Config)#Access-list 1 permit 192.168.0.1
Router(Config)#line con 0
Router(Config-line)#Transport input none
Router(Config-line)#Login local
Router(Config-line)#Exec-timeoute 5 0
Router(Config-line)#access-class 1 in
Router(Config-line)#end
D.给CON口设置高强度的密码。
4.如果不使用AUX端口,则禁止这个端口。默认是未被启用。禁止如:
Router(Config)#line aux 0
Router(Config-line)#transport input none
Router(Config-line)#no exec
5.建议采用权限分级策略。如:
Router(Config)#username BluShin privilege 10 G00dPa55w0rd
Router(Config)#privilege EXEC level 10 telnet
Router(Config)#privilege EXEC level 10 show ip access-list
6.为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。
7.控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为加密,所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址;可以采用AAA设置用户的访问控制等。
8.IOS的升级和备份,以及配置文件的备份建议使用FTP代替TFTP。如:
Router(Config)#ip ftp username BluShin
Router(Config)#ip ftp password 4tppa55w0rd
Router#copy startup-config ftp:
9.及时的升级和修补IOS软件。
二.路由器“网络服务”的安全配置
1.禁止CDP(Cisco Discovery Protocol)。如:
Router(Config)#no cdp run
Router(Config-if)# no cdp enable
2.禁止其他的TCP、UDP Small服务。
Router(Config)# no service tcp-small-servers
Router(Config)# no service udp-samll-servers
3.禁止Finger服务。
Router(Config)# no ip finger
Router(Config)# no service finger
4.建议禁止HTTP服务。
Router(Config)# no ip http server
如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制。如:
Router(Config)# username BluShin privilege 10 G00dPa55w0rd
Router(Config)# ip http auth local
Router(Config)# no access-list 10
Router(Config)# access-list 10 permit 192.168.0.1
Router(Config)# access-list 10 deny any
Router(Config)# ip http access-class 10
Router(Config)# ip http server
Router(Config)# exit
5.禁止BOOTp服务,
Router(Config)# no ip bootp server
禁止从网络启动和自动从网络下载初始配置文件。
Router(Config)# no boot network
Router(Config)# no servic config
6.禁止IP Source Routing。
Router(Config)# no ip source-route
7.建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的。
Router(Config)# no ip proxy-arp
Router(Config-if)# no ip proxy-arp
8.明确的禁止IP Directed Broadcast。
Router(Config)# no ip directed-broadcast
9.禁止IP Classless。
Router(Config)# no ip classless
10.禁止ICMP协议的IP Unreachables,Redirects,Mask Replies。
Router(Config-if)# no ip unreacheables
Router(Config-if)# no ip redirects
Router(Config-if)# no ip mask-reply
11.建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。或者需要访问列表来过滤。如:
Router(Config)# no snmp-server community public Ro
Router(Config)# no snmp-server community admin RW
Router(Config)# no access-list 70
Router(Config)# access-list 70 deny any
Router(Config)# snmp-server community MoreHardPublic Ro 70
Router(Config)# no snmp-server enable traps
Router(Config)# no snmp-server system-shutdown
Router(Config)# no snmp-server trap-anth
Router(Config)# no snmp-server
Router(Config)# end
12.如果没必要则禁止WINS和DNS服务。
Router(Config)# no ip domain-lookup
如果需要则需要配置:
Router(Config)# hostname Router
Router(Config)# ip name-server 202.102.134.96
13.明确禁止不使用的端口。
Router(Config)# interface eth0/3
Router(Config)# shutdown
三.路由器“路由协议”的安全配置
1.首先禁止默认启用的ARP-Proxy,它容易引起路由表的混乱。
Router(Config)# no ip proxy-arp 或者
Router(Config-if)# no ip proxy-arp
2.启用OSPF路由协议的认证。默认的OSPF认证密码是明文传输的,建议启用MD5认证。
并设置一定强度密钥(key,相对的路由器必须有相同的Key)。
Router(Config)# router ospf 100
Router(Config-router)# network 192.168.100.0 0.0.0.255 area 100
! 启用MD5认证。
! area area-id authentication 启用认证,是明文密码认证。
!area area-id authentication message-digest
Router(Config-router)# area 100 authentication message-digest
Router(Config)# exit
Router(Config)# interface eth0/1
!启用MD5密钥Key为routerospfkey。
篇2:Cisco路由配置语句Windows系统
启动接口,分配IP地址: router router enable router# router# configure terminal router(config)# router(config)# interface Type Port router(config-if)# no shutdown router(config-if)# ip address IP-Address Subnet-Mask router(config-if)# ^z
启动接口,分配IP地址:router>
router> enable
router#
router# configure terminal
router(config)#
router(config)# interface Type Port
router(config-if)# no shutdown
router(config-if)# ip address IP-Address Subnet-Mask
router(config-if)# ^z
配置RIP路由协议:30秒更新一次
router(config)# router rip
router(config-if)# network Network-Number <--通告标准A,B,C类网-->
router(config-if)# ^z
配置IGRP路由协议:90秒更新一次
router(config)# router igrp AS-Number <-- AS-Number范围1~65535-->
router(config-if)# network Network-Number <--通告标准A,B,C类网-->
router(config-if)# ^z
配置Novell IPX路由协议:Novell RIP 60秒更新一次
router(config)# ipx routing [node address]
router(config)# ipx maximum-paths Paths <--设置负载平衡,范围1~512-->
router(config)# interface Type Port
router(config-if)# ipx network Network-Number [encapsulation encapsulation-type] [secondary] <--通告标准A,B,C类网-->
router(config-if)# ^z
配置DDR:
router(config)# dialer-list Group-Number protocol Protocol-Type permit [list ACL-Number]
router(config)# interface bri 0
router(config-if)# dialer-group Group-Number
router(config-if)# dialer map Protocol-Type Next-Hop-Address name Hostname Telphone-Number
router(config-if)# ^z
配置ISDN:
router(config)# isdn swith-type Swith-Type <--配置ISDN交换机类型,中国使用basic-net3-->
router(config-if)# ^z
配置Frame. Relay:
router(config-if)# encapsulation frame-relay [cisco | ietf ]
router(config-if)# frame-relay lmi-type [ansi | cisco | q933a ]
router(config-if)# bandwidth kilobits
router(config-if)# frame-relay invers-arp [ Protocol ] [dlci ]
<--配置静态Invers ARP表:
router(config)# frame-relay Protocol Protocol-Address DLCI [ Broadcast ] [ ietf | cisco ] [ payload-compress | packet-by-packet ]
-->
<--设置Keepalive间隔:
router(config-if)# keepalive Number
-->
<--为本地接口指定DLCI:
router(config-if)# frame-lelay local-dlci Number
-->
<--子接口配置:
router(config-if)# interface Type Port.Subininterface-Number [ multipoint | point-to-point ]
router(config-subif)# ip unnumbered Interface
router(config-subif)# frame-lelay local-dlci Number
-->
router(config-if)# ^z
配置标准ACL:
router(config)# aclearcase/“ target=”_blank“ >ccess-list Access-List-Number [ permit | deny ] source [ source-mask ] <-- Access-List-Number 范围:1~99标准ACL;100~199扩展ACL;800~899标准IPX ACL;900~999扩展IPX ACL;1000~1099 IPX SAP ACL;600~699Apple Talk ACL-->
router(config)# interface Type Port
router(config-if)# ip access-group Access-List-Number [ in | out ]
router(config-if)# ^z
配置扩展ACL:
router(config)# access-list Access-List-Number [ permit | deny ] [ Protocol | Protocol-Number ] source source-wildcard [ Source-Port ] destination destination-wildcard [ Destination-Port ] [ established ]
router(config)# interface Type Port
router(config-if)# ip access-group Access-List-Number [ in | out ]
router(config-if)# ^z
配置命名ACL:
router(config)# ip access-list [ standard | extended ] ACL-Name
router(config [ std- | ext- ] nacl)# [ permit | deny ] [ IP-Access-List-Test-Conditions ]
router(config [ std- | ext- ] nacl)# no [ permit | deny ] [ IP-Access-List-Test-Conditions ]
router(config [ std- | ext- ] nacl)# ^z
router(config)# interface Type Port
router(config-if)# ip access-group [ACL-Name | 1~199 ] [ in | out ]
router(config-if)# ^z
配置DCE时钟:
router# show controllers Type Port <--确定DCE接口-->
router(confin-if)# clock rate 64000 <--进入DCE接口设置时钟速率-->
router(config-if)# ^z
配置PPP协议:
router(config)# username Name password Set-Password-Here <--验证方建立数据库-->
router(config)# interface Type Port
router(config-if)# encapsulation ppp <--启动PPP协议-->
router(config-if)# ppp outhentication [ chap | chap pap | pap chap | pap ] <--选择PPP认证-->
router(config-if)# ppp pap sent-username Name password Password <--发送验证信息-->
router(config-if)# ^z
PAP单向认证配置实例:
验证方:
router-server(config)# username Client password 12345 <--验证方建立数据库-->
router-server(config)# interface serial 0
router-server(config-if)# encapsulation ppp
router-server(config-if)# ppp authentication pap <--选择使用PAP实现PPP认证-->
router-server(config-if)# ^z
被验证方:
router-client(config-if)# encapsulation ppp
router-client(config-if)# ppp pap sent-username Client password 12345 <--发送验证信息-->
router-client(config-if)# ^z
PAP双向认证配置实例:
路由器 A:
routerA(config)# username B password 12345
routerA(config)# interface serial 0
routerA(config-if)# encapsulation ppp
routerA(config-if)# ppp authentication pap
routerA(config-if)# ppp pap sent-username A password 54321
routerA(config-if)# ^z
路由器 B:
routerB(config)# username A password 54321
routerB(config)# interface serial 1
routerB(config-if)# encapsulation ppp
routerB(config-if)# ppp authentication pap
routerB(config-if)# ppp pap sent-username B password 12345
routerB(config-if)# ^z
CHAP单向认证配置实例:
验证方:
router-server(config)# username router-client password 12345
router-server(config)# interface serial 0
router-server(config-if)# encapsulation ppp
router-server(config-if)# ppp authentication chap
router-server(config-if)# ^z
被验证方:
router-client(config-if)# encapsulation ppp
router-client(config-if)# ppp authentication chap
router-client(config-if)# ppp chap hostname router-client
router-client(config-if)# ppp chap password 12345
router-client(config-if)# ^z
CHAP双向认证配置实例:
路由器 A:
routerA(config)# username routerB password 12345
routerA(config)# interface serial 0
routerA(config-if)# encapsulation ppp
routerA(config-if)# ppp authentication chap
routerA(config-if)# ppp chap hostname routerA
routerA(config-if)# ppp chap password 54321
routerA(config-if)# ^z
路由器 B:
routerB(config)# username routerA password 54321
routerB(config)# interface serial 1
routerB(config-if)# encapsulation ppp
routerB(config-if)# ppp authentication chap
routerB(config-if)# ppp chap hostname routerB
routerB(config-if)# ppp chap password 12345
routerB(config-if)# ^z
Telnet使用:
routerA# terminal monitor <--可以传回在远端主机执行Debug命令的结果-->
routerA# telnet IP-Address [ Router-Name ] <--Telnet到指定的地址或名字的主机-->
routerB# [ exit | logout ] <--退出Telnet-->
routerB# ++<6>再按 <--挂起Telnet-->
routerA# show sessions <--显示当前所有Telnet的信息,包括Connect-Number -->
routerA# Connect-Number <--返回指定的Telnet连接-->
routerA# disconnect IP-Address [ Router-Name ] <--断开指定地址或名字的主机的连接-->
routerA# show user <--显示Telnet到本机的连接信息-->
routerA# clear line [ 0 | 1 | 2 | 3 | 4 ] <--断开指定Telnet到本机的连接-->
禁止任何Telnet到本机:
router(config)# line vty 0 4
router(config-line)# access-class ACL-Number
router(config)# ^z
设置主机名:
router(config)# hostname Set-Hostname
router(config)# ^z
router(config)# ^z
设置用户模式密码:
router(config)# line console 0
router(config-line)# login
router(config-line)# password Set-Password
router(config-line)# ^z
设置Telnet密码:
router(config)# line vty 0 4
router(config-line)# login
router(config-line)# password Set-Password
router(config-line)# ^z
设置特权模式密码:
router(config)# enable password Set-Password <--不加密的密码,明码-->
router(config)# enable secret Set-Password <--经过加密的密码-->
router(config)# ^z
给所有密码加密:
router(config)# service password-ancryption Set-Password-Here
router(config)# no service password-ancryption <--取消加密-->
router(config)# ^z
设置登录Banner:
router(config)# banner motd 分隔符 Set-Banner-InFORMation-Here 分隔符 <--前后分隔符一定要一致-->
设置接口的描述信息:
router(config-if)# description Set-Port-InFORMation-Here
router(config)# ^z
CDP的控制:
router(config-if)# cdp enable <--在指定端口启用CDP,缺省-->
router(config-if)# no cdp enable <--在指定端口关闭CDP-->
router(config)# cdp run <--使所有端口启用CDP-->
router(config)# no cdp run <--使所有端口关闭CDP-->
Ping的使用:
router# ping IP-Address
router# ping <--扩展Ping命令-->
Protocol [ip]:[ Protocol-Type ] <--选择协议类型-->
Target IP address:IP-Address <--输入测试地址-->
Repeat count [5]: <--选择发送的ICMP包数量-->
Datagram size [100]: <--选择每个包的大小-->
Timeout in seconds [2]: <--设置每个包的超时时间-->
Extended commands [n]:y <--使用扩展Ping命令-->
Sweep range of sizes [n]:
Tracke的使用:
router# trace IP-Address [ Host-Name ]
为Cisco 4000路由器指定媒体类型:
router(config-if)# media-type 10baset <--使AUI(默认)失效,改为使用RJ-45-->
router(config-if)# ^z
更改路由器启动顺序:
router(config)# boot system flash IOS-FileName
router(config)# boot system tftp IOS-FileName TFTP-IP-Address
router(config)# boot system rom
router(config)# ^z
修改寄存器数值:
router(config)# config-register value <--Cisco出厂默认value=0x2102,value范围:0x2100(进入ROM监视器),0x2101(使系统从ROM启动),0x2102~0x210F(使系统从NVRAM启动),
Cisco路由配置语句汇总Windows系统
,
0x1=0x2101,从最小位开始改变-->
在ROM监视器中更改寄存器数值:
> o/r value
路由器密码的恢复:
冷关机,然后再开机并在60秒内按< Ctrl>+进入ROM监视器模式
> o/r 0x2142 <--25xx型路由器--> 或 > confreg 0x2142 <--16xx型路由器-->
router> I
router> n
router> enable
router# copy startup-config running-config
router# configure terminal
router(config)# enable secret New-Password
router(config)# config-register 0x2102
router(config)# ^z
router# copy running-config startup-config
router# reload
配置名称-主机入口:
router(config)# ip host Set-Name [ TCP-Port-Number ] IP-Address [ IP-Address 2 ]...
router(config)# ^z
定义DNS主机:
router(config)# ip name-server Server-Address [ Server-Address 2 ]...
router(config)# ^z
禁用DNS:
router(config)# no ip domain-lookup
router(config)# ^z
配置水平分割:
router(config-if)# ip split-horizon
router(config-if)# no ip split-horizon
router(config-if)# ^z
配置静态路由:
router(config)# ip route IP-Address Subnet-Mask [ Next-Hop-Address | Local-Out-Port ] [Distace ]
<--Distance范围:1~255,相当于优先权,越小越好。RIP=120;DSPF=110;IGRP=100;EIGRP=90-->
router(config)# ^z
配置缺省路由:
router(config)# ip defoult-network IP-Address <--动态缺省路由-->
router(config)# ip route 0.0.0.0 0.0.0.0 [ Next-Hop-Address | Local-Out-Port ] [Distace ] <--静态缺省路由-->
router(config)# ^z
其它命令:
router# show version
router# show running-config
router# show startup-config
router# show flash
router# show interface [ Type Port ]
router# show buffers
router# show protocol
router# show mem
router# show stacks
router# show processes
router# show cdp entry [ Device-Name ] <--显示指定邻居三层信息-->
router# show cdp neighbors
router# show cdp neighbors detail <---显示所有邻居三层信息->
router# show ip router
router# show ipx router
router# show host
router# show ip protocol
router# show ip interface Type Port
router# show ipx interface Type Port
router# show ipx servers
router# show ipx traffic
router# show access-lists [ ACL-Number ]
router# show isdn status
router# show dialer <--查看ISDN拨号信息-->
router# show isdn active
router# show frame-relay pvc
router# show frame-relay map
router# show frame-relay lmi
router# erase startup-config
router# reload
router# setup
router# copy running-config startup-config
router# copy startup-config running-config
router# copy tftp running-config
router# copy running-config tftp
router# debug ipx routing activity
router# debug ipx sap
router# debug isdn q921
router# debug isdn q931
router# debug dialer
router# debug ip rip
router# clear interface bri
,原文转自:www.ltesting.net
篇3:Cisco基于策略路由的配置实例
问题描述
您可以定义自己的规则来进行数据包的路由而不仅仅由目的地地址所决定,在这里
您可以学到怎么使用基于策略路由的办法来解决这一问题。
在具体的应用中,基于策略的路由有:
☆ 基于源IP地址的策略路由☆ 基于数据包大小的策略路由☆ 基于应用的策略路由☆ 通过缺省路由平衡负载
这里,讲述了第一种情况的路由策略。
举例
在这个例子中,防火墙的作用是:把10.0.0.0/8内部网地址翻译成可路由的172.16
.255.0/24子网地址。
下面的防火墙配置是为了完整性而加进去的,它不是策略路由配置所必需的。在这
里的防火墙可以被其它类似的产品代替,如PIX或其它类似防火墙设备。这里的防火墙的
配置如下:
!ip nat pool net-10 172.16.255.1 172.16.255.254 prefix-length 24ip nat inside source list 1 pool net-10!interface Ethernet0 ip address 172.16.20.2 255.255.255.0 ip nat outside!interface Ethernet1 ip address 172.16.39.2 255.255.255.0 ip nat inside!router eigrp 1 redistribute static network 172.16.0.0 default-metric 10000 100 255 1 1500!ip route 172.16.255.0 255.255.255.0 Null0access-list 1 permit 10.0.0.0 0.255.255.255!end
在我们的例子中,Cisco WAN路由器上运行策略路由来保证从10.0.0.0/8网络来的I
P数据包被发送到防火墙去。配置中定义了两条net-10策略规则。第一条策略就定义了从
10.0.0.0/8网络来的IP数据包被发送到防火墙去(我们很快会看到这里的配置有问题)
。而第二条规则允许所有的其它数据包能按正常路由。这里的Cisco WAN路由器的配置如
下:
!interface Ethernet0/0 ip address 172.16.187.3 255.255.255.0 no ip directed-broadcast!interface Ethernet0/1 ip address 172.16.39.3 255.255.255.0 no ip directed-broadcast!interface Ethernet3/0 ip address 172.16.79.3 255.255.255.0 no ip directed-broadcast ip policy route-map net-10!router eigrp 1 network 172.16.0.0!access-list 110 permit ip 10.0.0.0 0.255.255.255 172.16.36.0 0.0.0.255access-list 111 permit ip 10.0.0.0 0.255.255.255 any!route-map net-10 permit 10 match ip address 111 set interface Ethernet0/1!route-map net-10 permit 20!end
我们可以这样测试我们所做的配置。在名为Cisco-1的路由器10.1.1.1上发送ping命
令到Internet上的一个主机(这里就是192.1.1.1主机)。要查看名为Internet Router
的路由器上的情况,我们在特权命令模式下执行debug ip packet 101 detail命令。(
其中,在此路由器上有access-list 101 permit icmp any any配置命令)。下面是输出结果:
Results of ping from Cisco-1 to 192.1.1.1/internet taken from Internet_Router:Pakcet never makes it to Internet_Router
正如您所看到的:数据包没有到达Internet_Router路由器,
下面的在Cisco WAN路
由器上的debug命令给出了原因:
Debug commands run from Cisco_WAN_Router:”debug ip policy“2d15h: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1, len 100, policy match2d15h: IP: route map net-10, item 10, permit2d15h: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1 (Ethernet0/1), len 100,policy routed2d15h: IP: Ethernet3/0 to Ethernet0/1 192.1.1.1
这里,数据包确实匹配了net-10策略图中的第一条规则。但为什么还是没有达到预
期的目的呢?用”debug arp“来看一下。
”debug arp“2d15h: IP ARP: sent req src 172.16.39.3 0010.7bcf.5b02,dst 192.1.1.1 0000.0000.0000 Ethernet0/12d15h: IP ARP rep filtered src 192.1.1.1 00e0.b064.243d, dst 172.16.39.30010.7bcf.5b02 wrong cable, interface Ethernet0/1
debug arp的输出给出了原因。路由器努力完成它被指示要做的动作,而且试图把数
据包发向Ethernet0/1接口,但失败了。这要求路由器为目的地址192.1.1.1执行地址解
析协议操作,当执行该任务时,路由器知道了目的地址不处于该接口。接下来,路由器
发生封装错误。所以,最后数据包不能到达192.1.1.1。
我们怎样避免这个问题呢?修改路由图使防火墙地址为下一跳。
Config changed on Cisco_WAN_Router:!route-map net-10 permit 10 match ip address 111 set ip next-hop 172.16.39.2!
修改后,在Internet Router上运行同样的命令:debug ip packet 101 detail。这时,
数据包可以按配置前进。我们也能看到数据包被防火墙翻译成了172.16.255.1。192.1.
1.1主机的回应:
Results of ping from Cisco_1 to 192.1.1.1/internet taken from Internet_Router:2d15h: IP: s=172.16.255.1 (Ethernet1), d=192.1.1.1 (Serial0), g=192.1.1.1, len 100, forward2d15h: ICMP type=8, code=02d15h:2d15h: IP: s=192.1.1.1 (Serial0), d=172.16.255.1 (Ethernet1), g=172.16.20.2, len 100, forward2d15h: ICMP type=0, code=02d15h:
在Cisco WAN路由器上执行debug ip policy命令后,我们可以看到数据包被传递到了防火墙,172.16.39.2:
Debug commands run from Cisco_WAN_Router:”debug ip policy"2d15h: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1, len 100, policy match2d15h: IP: route map net-10, item 20, permit2d15h: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1 (Ethernet0/1), len 100,policy routed2d15h: IP: Ethernet3/0 to Ethernet0/1 172.16.39.2
篇4:Cisco路由静态路由配置试验步骤
静态路由配置试验步骤
试验步骤:1、在SW1中新建VLAN,并将VPCS1-3加入各个VLAN:
sw1>enable
sw1#vlan da
sw1(vlan)#vlan 2
sw1(vlan)#vlan 3
sw1(vlan)#vlan 4
sw1(vlan)#apply
sw1(vlan)#exit
Sw2>enable
Sw2#vlan da
Sw2(vlan)#vlan 2
Sw2(vlan)#vlan 3
Sw2(vlan)#vlan 4
Sw2(vlan)#apply
Sw2(vlan)#exit
Sw3>enable
Sw3#vlan da
Sw3(vlan)#vlan 3
Sw2(vlan)#vlan 5
Sw2(vlan)#apply
Sw2(vlan)#exit
-------------------------------------------------
2、 将VPCS加入VLAN:
Sw1>enable
Sw1#config terminal
Sw1(config)#interface f0/2
Sw1(config-if)#switchport access vlan 2
Sw1(config-if)#no shutdown (打开端口)
Sw1(config-if)#exit
Sw1(config)#exit
Sw1#show interface status (查看端口状态)
Sw1#show running-config (查看运行状态)
分别将Sw1-3的VPCS加入到VLAN并打开端口,
--------------------------------------------------
3、 给SW1、SW2和SW3配置中继链路:
Sw1>enable
Sw1#config terminal
Sw1(config)#interface f0/1
Sw1(config-if)#switchport mode trunk
Sw1(config-if)#no shutdown
Sw1(config-if)#exit
Sw3>enable
Sw3#config terminal
Sw3(config)#interface f0/1
Sw3(config-if)#switchport mode trunk
Sw3(config-if)#no shutdown
Sw3(config-if)#exit
Sw2>enable
Sw2#config terminal
Sw2(config)#interface f0/0
Sw2(config-if)#switchport mode trunk
Sw2(config-if)#no shutdown
Sw2(config-if)#exit
Sw2>enable
Sw2#config terminal
Sw2(config)#interface f0/1
Sw2(config-if)#switchport mode trunk
Sw2(config-if)#no shutdown
Sw2(config-if)#exit
4、配置R1、R2和R3的IP地址及路由:
R1(config)#interf e0/0
R1(config-if)#duplex full (将e0/0端口设为全双工模式或将与其相连的交换机端口设为半双工模式)
R1(config-if)#no shutdown (将e0/0端口启用)
R1(config)#interf e0/0.1
R1(config-subif)#encapsolution dot1q 2 (和VLAN2连接的端口e0/0.1启用dot1q协议)
R1(config-subif)#ip addr 192.168.1.1 255.255.255.0
R1(config-subif)# no shutdown
R1(config)#interf e0/0.2
R1(config-subif)#encapsolution dot1q 3 (和VLAN3连接的端口e0/0.2启用dot1q协议)
R1(config-subif)#ip addr 192.168.2.1 255.255.255.0
R1(config-subif)# no shutdown
R1(config)#interf e0/0.3
R1(config-subif)#encapsolution dot1q 4 (和VLAN4连接的端口e0/0.3启用dot1q协议)
R1(config-subif)#ip addr 192.168.3.1 255.255.255.0
R1(config-subif)# no shutdown
R1(config)#interf e0/1
R1(config-if)#duplex full
R1(config-if)#ip addr 192.168.7.1 255.255.255.0 (给端口e0/1设置IP地址)
R1(config-if)#no shutdown
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.7.2 (开启默认路由,192.168.7.2为下一跳地址)
R1(config)#exit
R1#show ip interface (查看端口状态)
R1#show ip route (查看路由表)
R2(config)#inter e0/0
篇5:Cisco路由器安全配置命令
1、在路由器上配置一个登录帐户
我强烈建议在路由器和交换机上配置一个真实的用户名和口令帐号,这样做,意味着你需要用户和口令来获得访问权。
除此之外,我建议为用户名使用一个秘密口令,而不仅有一个常规口令。它用MD5加密方法来加密口令,并且大大提高了安全性。举例如下:
Router(config)#user name root secret My$Password
在配置了用户名后,你必须启用使用该用户名的端口。举例如下:
Router(config)# line con 0
Router(config-line)#login local
Router(config)#line aux 0
Router(config-line)#login local
Router(config)#line vty 0 4
Router(config-line)#login local
2、在路由器上设置一个主机名
我猜测路由器上缺省的主机名是router。你可以保留这个缺省值,路由器同样可以正常运行。然而,对路由器重新命名并唯一地标识它才有意义。举例如下:
Router(config)#hostname Router-Branch-23
除此之外,你可以在路由器上配置一个域名,这样它就知道所处哪个DNS域中。举例如下:
Router-Branch-23(config)#ip domain name TechRepublic.com
3、为进入特权模式设置口令
当谈到设置进入特权模式的口令时,许多人想到使用enablepassword命令。然而,代替使用这个命令,我强烈推荐使用enablesecret命令。
这个命令用MD5加密方法加密口令,所以提示符不以明文显示。举例如下:
Router(config)#enable secret My$Password
4、加密路由器口令
Cisco路由器缺省情况下在配置中不加密口令。然而,你可以很容易地改变这一点。举例如下:
Router(config)#service password-encryption
5、禁用Web服务
Cisco路由器还在缺省情况下启用了Web服务,它是一个安全风险。如果你不打算使用它,最好将它关闭。举例如下:
Router(config)#no ip http server
6、配置DNS,或禁用DNS查找
让我们讨论Cisco路由器中我个人认为的一个小毛病:缺省情况下,如果在特权模式下误输入了一个命令,路由器认为你试图Telnet到一个远程主机。然而它对你输入的内容却执行DNS查找。
如果你没有在路由器上配置DNS,命令提示符将挂起直到DNS查找失败。由于这个原因,我建议使用下面两个方法中的一个。
一个选择是禁用DNS。做法是:
Router(config)#no ip domain-lookup
或者,你可以正确地配置DNS指向一台真实的DNS服务器,
Router(config)#ip name-server
7、配置命令别名
许多网络管理员都知道在路由器上配置命令的缩写(也就是别名)。举例如下:
Router(config)#alias exec s sh run
这就是说你现在可以输入s,而不必输入完整的showrunning-configuration命令。
8、设置路由器时钟,或配置NTP服务器
多数Cisco设备没有内部时钟。当它们启动时,它们不知道时间是多少。即使你设置时间,如果你将路由器关闭或重启,它不会保留该信息。
首先设置你的时区和夏令时。例子如下:
Router(config)#clock timezone CST-6
Router(config)#clock summer-time CDT recurring
然后,为了确保路由器的事件消息显示正确的时间,设置路由器的时钟,或者配置一个NTP服务器。设置时钟的例子如下:
Router# clock set 10:54:00 Oct 5
如果你已经在网络中有了一个NTP服务器(或可以访问Internet的路由器),你可以命令路由器将之作为时间源。这是你最好的选择,当路由器启动时,它将通过NTP服务器设置时钟。举例如下:
Router(config)# ntp server 132.163.4.101
9、不让日志消息打扰你的配置过程
CiscoIOS中另一个我认为的小毛病就是在我配置路由器时,控制台界面就不断弹出日志消息(可能是控制台端口,AUX端口或VTY端口)。要预防这一点,你可以这样做。
所以在每一条端口线路上,我使用日志同步命令。举例如下:
Router(config)#line con 0
Router(config-line)#logging synchronous
Router(config)#line aux 0
Router(config-line)#logging synchronous
Router(config)#line vty 0 4
Router(config-line)#logging synchronous
除此之外,你可以在端口上修改这些端口的执行超时时间。例如,我们假设你想禁用VTY线路上默认的十分钟超时时间。在线路配置模式下使用exec-timeout00命令,使路由器永不退出。
10、在路由器缓冲区或系统日志服务器中记录系统消息
捕获路由器的错误和事件以及监视控制台是解决问题的关键。默认情况下,路由器不会将缓冲的事件记录发送到路由器内存中。
然而,你可以配置路由器将缓冲的事件记录发送到内存。举例如下:
Router(config)#logging buffered 16384
你还可以将路由器事件发送到一个系统日志服务器。由于该服务器处在路由器外部,就有一个附加的优点:即使路由器断电也会保留事件记录。
篇6:Cisco路由器安全配置方案
一、 路由器网络服务安全配置
1 禁止CDP(Cisco Discovery Protocol),如:
Router(Config)#no cdp run
Router(Config-if)# no cdp enable
2 禁止其他的TCP、UDP Small服务。
Router(Config)# no service tcp-small-servers
Router(Config)# no service udp-samll-servers
3 禁止Finger服务。
Router(Config)# no ip finger
Router(Config)# no service finger
4 建议禁止HTTP服务。
Router(Config)# no ip http server
如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制。
5 禁止BOOTp服务。
Router(Config)# no ip bootp server
6 禁止IP Source Routing。
Router(Config)# no ip source-route
7 建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的。
Router(Config)# no ip proxy-arp
Router(Config-if)# no ip proxy-arp
8禁止IP Directed Broadcast。
Router(Config)# no ip directed-broadcast
9 禁止IP Classless。
Router(Config)# no ip classless
10 禁止ICMP协议的IP Unreachables, Redirects, Mask Replies,
Router(Config-if)# no ip unreacheables
Router(Config-if)# no ip redirects
Router(Config-if)# no ip mask-reply
11 建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。如:
Router(Config)# no snmp-server community public Ro
Router(Config)# no snmp-server community admin RW
12 如果没必要则禁止WINS和DNS服务。
Router(Config)# no ip domain-lookup
如果需要则需要配置:
Router(Config)# hostname Router
Router(Config)# ip name-server 219.150.32.xxx
13 明确禁止不使用的端口。如:
Router(Config)# interface eth0/3
Router(Config)# shutdown
二、路由器访问控制的安全配置(可选)
路由器的访问控制是比较重要的安全措施,但是目前由于需求不明确,可以考虑暂时不实施。作为建议提供。
1 建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。
2 严格控制CON端口的访问。
配合使用访问控制列表控制对CON口的访问。
如:Router(Config)#Access-list 1 permit 192.168.0.1
Router(Config)#line con 0
Router(Config-line)#Transport input none
篇7:Cisco路由器交换机安全配置
一、 网络结构及安全脆弱性
为了使设备配置简单或易于用户使用,Router或Switch初始状态并没有配置安全措施,所以网络具有许多安全脆弱性,因此网络中常面临如下威胁:
1. DDOS攻击
2. 非法授权访问攻击,
口令过于简单,口令长期不变,口令明文创送,缺乏强认证机制。
3.IP地址欺骗攻击
….
利用Cisco Router和Switch可以有效防止上述攻击。
二、保护路由器
2.1 防止来自其它各省、市用户Ddos攻击
最大的威胁:Ddos, hacker控制其他主机,共同向Router访问提供的某种服务,导致Router利用率升高。
Ddos是最容易实施的攻击手段,不要求 有高深的网络知识就可以做到。
如SMURF DDOS 攻击就是用最简单的命令ping做到的。利用IP 地址欺骗,结合ping就可以实现DDOS攻击。
防范措施:
应关闭某些缺省状态下开启的服务,以节省内存并防止安全破坏行为/攻击
Router(config-t)#no service finger
Router(config-t)#no service pad
Router(config-t)#no service udp-small-servers
Router(config-t)#no service tcp-small-servers
Router(config-t)#no ip http server
Router(config-t)#no service ftp
Router(config-t)#no ip bootp server
以上均已经配置。
防止ICMP-flooging攻击
Router(config-t)#int e0
Router(config-if)#no ip redirects
Router(config-if)#no ip directed-broadcast
Router(config-if)#no ip proxy-arp
Router(config-t)#int s0
Router(config-if)#no ip redirects
Router(config-if)#no ip directed-broadcast
Router(config-if)#no ip proxy-arp
以上均已经配置。
除非在特别要求情况下,应关闭源路由:
Router(config-t)#no ip source-route
以上均已经配置。
禁止用CDP发现邻近的cisco设备、型号和软件版本
Router(config-t)#no cdp run
Router(config-t)#int s0
Router(config-if)#no cdp enable
如果使用works2000网管软件,则不需要此项操作
此项未配置。
使用CEF转发算法,防止小包利用fast cache转发算法带来的Router内存耗尽、CPU利用率升高。
Router(config-t)#ip cef
2.2 防止非法授权访问
通过单向算法对 “enable secret”密码进行加密
Router(config-t)#enable secret
Router(config-t)#no enable password
Router(config-t)#service password-encryption
?vty端口的缺省空闲超时为10分0秒
Router(config-t)#line vty 0 4
Router(config-line)#exec-timeout 10 0
应该控制到VTY的接入,不应使之处于打开状态;Console应仅作为最后的管理手段:
如只允许130.9.1.130 Host 能够用Telnet访问.
access-list 110 permit ip 130.9.1.130 0.0.0.0 130.1.1.254 0.0.0.0 log
line vty 0 4
access-class 101 in
exec-timeout 5 0
2.3 使用基于用户名和口令的强认证方法 Router(config-t)#username admin pass 5 434535e2
Router(config-t)#aaa new-model
Router(config-t)#radius-server host 130.1.1.1 key key-string
Router(config-t)#aaa authentication login neteng group radius local
Router(config-t)#line vty 0 4
Router(config-line)#login authen neteng
三、保护网络
3.1防止IP地址欺骗
经常冒充地税局内部网IP地址,获得一定的访问权限,
在省地税局和各地市的WAN Router上配置:
防止IP地址欺骗--使用基于unicast RPF(逆向路径转发)
包发送到某个接口,检查包的IP地址是否与CEF表中到达此IP地址的最佳路由是从此接口转发,若是,转发,否则,丢弃。
Router(config-t)#ip cef
Router(config-t)#interface e0
Router(config-if)# ip verify unicast reverse-path 101
Router(config-t)#access-list 101 permit ip any any log
注意:通过log日志可以看到内部网络中哪些用户试图进行IP地址欺骗。
此项已配置。
防止IP地址欺骗配置访问列表
防止外部进行对内部进行IP地址
Router(config-t)#access-list 190 deny ip 130.9.0.0 0.0.255.255 any
Router(config-t)#access-list 190 permit ip any any
Router(config-t)#int s4/1/1.1
Router(config-if)# ip access-group 190 in
防止内部对外部进行IP地址欺骗
Router(config-t)#access-list 199 permit ip 130.9.0.0 0.0.255.255 any
Router(config-t)#int f4/1/0
Router(config-if)# ip access-group 199 in
四、保护服务器
对于地税局内部的某些Server,如果它不向各地提供服务可以在总局核心Cisco Router上配置空路由。
ip route 130.1.1.1 255.255.255.255.0 null
在WAN Router上配置CBAC,cisco状态防火墙,防止Sync Flood攻击
hr(config)#int s0/0
hr(config-if)#ip access-group 100 in
hr(config)#int f0/0
hr(config-if)#ip inspect insp1 in
hr(config)#ip inspect audit-trial
hr(config)#ip inspect name insp1 tcp
hr(config)#ip inspect max-incomplete high 350
hr(config)#ip inspect max-incomplete low 240
hr(config)#ip audit
hr(config)#access-list 100 permit tcp any 130.1.1.2 eq 80
在WAN Router 上配置IDS入侵检测系统
hr(config)#ip audit name audit1 info action alarm
hr(config)#ip audit name audit1 attack action alarm drop
reset
hr(config)#ip audit audit1 notify log
hr(config)#int s0/0
hr(config)#ip audit audit1 in
五、网络运行监视
配置syslog server,将日志信息发送到syslog server上
Syslog Server纪录Router的平时运行产生的一些事件,如广域口的up, down
, OSPF Neighbour的建立或断开等,它对统计Router的运行状态、流量的一些状态,电信链路的稳定有非常重要的意义,用以指导对网络的改进。
★ 网络社区简介范文
★ 财会毕业论文范文
★ 科技部工作总结
★ RFC1058路由信息协议(RoutingInformationProtocol)网络知识
【史上最细致的Cisco路由安全配置(集锦7篇)】相关文章:
有关光纤交换机部署疑问进行说明探讨2023-06-13
计算机网络综合实验报告参考2022-05-26
Cisco高档路由器故障排除2023-10-23
计算机实验报告2023-03-03
企业解决方案2023-04-06
应用视点:解析三层交换机实际应用2022-05-06
网络工程师简历2022-08-15
何正确配置Nginx+PHP2022-05-06
CISCO学习问题之两台通过WAN连接的路由器的以太网和Tokenring之网络知识2023-03-01
大学大学计算机实验报告2023-04-10