“过路人”为你分享10篇“Cisco路由器配置帧中继子接口和流量整形”,经本站小编整理后发布,但愿对你的工作、学习、生活带来方便。
篇1:Cisco路由器配置帧中继子接口和流量整形
,
R2(config)#map-class frame-relay CIR
R2(config-map-class)#frame-relay traffic-rate 19200
R2(config-map-class)#exit
R2(config)#int s3/0
R2(config-if)#frame-relay class CIR
第三步:查看更为详细的流量整流的统计结果
R1#show frame. pvc 102
PVC Statistics for interface Serial3/0 (Frame. Relay DTE)
DLCI = 102, DLCI USAGE = LOCAL, PVC STATUS = INACTIVE, INTERFACE = Serial3/0.1
input pkts 0
output pkts 0
in bytes 0
out bytes 0
dropped pkts 0
in pkts dropped 0
out pkts dropped 0
out bytes dropped 0
in FECN pkts 0
in BECN pkts 0
out FECN pkts 0
out BECN pkts 0
in DE pkts 0
out DE pkts 0
out bcast pkts 0
out bcast bytes 0
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
pvc create time 00:50:40, last time pvc status changed 00:50:40
cir 19200
bc 19200
be 0
byte limit 300
interval 125
mincir 9600
byte increment 300
Adaptive Shaping none
pkts 0
bytes 0
pkts delayed 0
bytes delayed 0
shaping inactive
traffic shaping drops 0
Queueing strategy: fifo
Output queue 0/40, 0 drop, 0 dequeued
R2#show frame. pvc 201
PVC Statistics for interface Serial3/0 (Frame. Relay DTE)
DLCI = 201, DLCI USAGE = LOCAL, PVC STATUS = DeleteD, INTERFACE = Serial3/0
input pkts 0
output pkts 0
in bytes 0
out bytes 0
dropped pkts 0
in pkts dropped 0
out pkts dropped 0
out bytes dropped 0
in FECN pkts 0
in BECN pkts 0
out FECN pkts 0
out BECN pkts 0
in DE pkts 0
out DE pkts 0
out bcast pkts 0
out bcast bytes 0
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
pvc create time 00:49:50, last time pvc status changed 00:49:37
篇2:Cisco路由器基本配置命令
一、
1.router(config)#router rip 启动rip进程
2.router(conifg-router)#network 172.17.0.0指定rip协议的主网络
3.router(config-router)#passive-interface f0/1把f0/1配置成passive端口
4.router(config-router)#neighbor 172.17.12.67 以单波方式通告rip更新给路由器
5.router(config-if)#ip address 192.168.83.244 255.255.255.0 主ip地址
router(config-if)#ip address 10.33.55.1 255.255.255.0 secondary辅助ip地址
二、
1.router(config-router)#version 2将rip配置成版本2
2.router(config-ip)#ip rip send version 1只发rip 1数据包
router(config-ip)#ip rip receive version 2只接收rip 2数据包
3.router(config-router)#no auto-summary 关闭汇总功能
4.router(config-if)#no ip split-horizon关闭水平分割
5.router#show ip ospf database router 192.168.30.10显示路由器LSA通告
router#show ip ospf database network 192.168.17.18显示网络LSA通告
router#show ip ospf database summary 172.16.121.0显示网络汇总LSA通告
router#show ip ospf database asbr-summary显示ASBR汇总LSA通告
router#show ip ospf database external 10.83.10.0显示自主系统外部LSA通告
router#show ip ospf database nssa-external显示NSSA外部LSA通告
三、
1.router(config)#router ospf 10配置ospf进程id
2.router(config)#interface loopback0
router(config-if)#ip address 192.168.10.1 255.255.255.0配置loopback0接口
3.router(config-router)#area 1 stub 配置stub区域
4.router(config-router)#area 1 stub no-summary配置totally stubby区域
5.router(config-router)#area 1 nssa配置nssa区域
6.router(config-router)#area 25 range 172.16.0.0 255.240.0.0 配置地址汇总
7.router(config-router)#area 100 virtual-link 192.168.100.33 配置虚链路
四、
1.router(config)#standby 172 ip 172.16.10.254加入备份组172 指定虚拟IP 地址
2.router(config-if)#standby 47 priority 150配置HSRP的优先级150
3.router(config-if)#standby 47 preempt 配置HSRP的占先权
4.router(config-if)#standby 47 ip time 2 9 2表示HELLO时间,9表示保持时间
5.router(config)#interface s0
6.router(config-if)#standby 47 track s0 100配置跟踪端口s0并在端口down时减少100
7.router#show standby brief 查看HSRP的状态
8.router#no debuge all关闭调试功能
五、
1.router(config-if)#ip access-group 1 in 访问列表的入
router(config-if)#ip access-group 1 out访问列表的出
2.router(config)#access-list 1 premit 192.168.10.0 0.0.0.255 允许192.168.10.0的网段通过
router(config)#access-list 1 deny 192.168.10.0 2.0.0.255 拒绝192.168.10.2的主机通过
3.router(config)#access-list 1 premit any ;any表示0.0.0.0 255.255.255.255
router(config)#access-list 1 premit host 172.30.16.29 ;host表示0.0.0.0
4.router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21拒绝来自172.16.4.0去往172.16.3.0的FTP流量
5.router(config)#ip access-list extended cisco创建名为cisco的命名访问控制列表
六、静态地址转换
1.配置外部端口的IP地址
Router(config)#interface s0
Router(config-if)#ip address 61.159.62.129 255.255.255.248
2.配置内部端口的IP地址
Router(config)#interface e0
Router(config-if)#ip address 192.168.100.1 255.255.255.0
3.静态地址转换
Router(config)#ip nat inside source static 192.168.100.2 61.159.62.130
4.在内部和外部端口上启用NAT
Router(config)#interafce s0
Router(config-if)#ip nat outside
Router(config)#interafce e0
Router(config-if)#ip nat inside
七、动态NAT配置
1.配置外部端口的IP地址
Router(config)#interface s0
Router(config-if)#ip address 61.159.62.129 255.255.255.248
2.配置内部端口的IP地址
Router(config)#interface e0
Router(config-if)#ip address 192.168.100.1 255.255.255.0
3.定义内部网络允许访问外部网络
Router(config)#access-list 1 permit 192.168.100.0 0.0.0.255
4.定义合法的IP地址池
Router(config)#ip nat pool chen 61.159.62.129 61.159.62.190 netmask 255.255.255.248
5.实现网络地址转换
Router(config)#ip nat inside source list 1 pool chen
6.在内部和外部端口上启用NAT
Router(config)#interafce s0
Router(config-if)#ip nat outside
Router(config)#interafce e0
Router(config-if)#ip nat inside
八、PAT的配置
1.配置外部端口的IP地址
Router(config)#interface s0
Router(config-if)#ip address 61.159.62.129 255.255.255.248
2.配置内部端口的IP地址
Router(config)#interface e0
Router(config-if)#ip address 192.168.100.1 255.255.255.0
3.定义内部网络允许访问外部网络
Router(config)#access-list 1 permit 192.168.100.0 0.0.0.255
4.定义合法的IP地址池
Router(config)#ip nat pool chen 61.159.62.129 61.159.62.190 netmask 255.255.255.248
5.实现复用IP地址转换
Router(config)#ip nat inside source list 1 pool chen overload
6.在内部和外部端口上启用NAT
Router(config)#interafce s0
Router(config-if)#ip nat outside
篇3:Cisco路由器的基本配置
Router#clock set 小时:秒 日 月 年 设置路由器时间
Router#config terminal 进入全局配置模式
Router(config)#hostmame 主机名 配置路由器主机名
Router(config)#line console 0
Router(config-line)#exec-timeout 0 0
(第一个0表示分钟,第二个0表示秒) 配置会话时间默认10分钟
Router(config-line)#logging synchronous 显示同步信息
Router(config-line)#password 密码 配置Console密码
Router(config)#enable password 密码 配置特权模式密码
Router(config)#enable secret 密码 配置加密保存密码
Router(config)#service password-encryption 给所有密码加密
Router(config)#banner motd $banner信息内容$配置路由器提示信息
Router(config)#interface 接口类型/接口号 进入接口配置模式
Router(config-if)#ip address IP地址 掩码 配置接口的IP地址
Router(config)#ip route 目标网段地址 掩码 下一跳地址 配置静态路由
Router(config)#ip route 0.0.0.0 0.0.0.0 下一跳地址 配置默认路由
Router(config)#no ip domain-lookup 配置禁用DNS
Router#show ip route 查看路由表
Router#show int f0/1 查看接口状态
Router#show running-config 查看全部配置
Router#show clock 查看路由器当前时间
Router#show version 查看路由器版本信息
篇4:Cisco路由器简易安全配置
一,路由器访问控制的安全配置
1,严格控制可以访问路由器的管理员,任何一次维护都需要记录备案。
2,建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。
3,严格控制CON端口的访问。具体的措施有:
A,如果可以开机箱的,则可以切断与CON口互联的物理线路。B,可以改变默认的连接属性,例如修改波特率(默认是96000,可以改为其他的)。C,配合 使用访问控制列表控制对CON口的访问。如:Router(Config)#Access-list 1 permit 192.168.0.1Router(Config)#line con 0Router(Config-line)#Transport input noneRouter(Config-line)#Login localRouter(Config-line)#Exec-timeoute 5 0Router(Config-line)#access-class 1 inRouter(Config-line)#endD,给CON口设置高强度的密码。
4,如果不使用AUX端口,则禁止这个端口。默认是未被启用。禁止如:
Router(Config)#line aux 0Router(Config-line)#transport input noneRouter(Config-line)#no exec
5,建议采用权限分级策略。如:
Router(Config)#username BluShin privilege 10 G00dPa55w0rdRouter(Config)#privilege EXEC level 10 telnetRouter(Config)#privilege EXEC level 10 show ip access-list
6,为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。
7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为加密,所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址;可以采用AAA设置用户的访问控制等。
8,IOS的升级和备份,以及配置文件的备份建议使用FTP代替TFTP。如:
Router(Config)#ip ftp username BluShinRouter(Config)#ip ftp password 4tppa55w0rdRouter#copy startup-config ftp:
9,及时的升级和修补IOS软件。
二,路由器网络服务安全配置
1,禁止CDP(Cisco Discovery Protocol)。如:Router(Config)#no cdp runRouter(Config-if)# no cdp enable2,禁止其他的TCP、UDP Small服务。Router(Config)# no service tcp-small-serversRouter(Config)# no service udp-samll-servers3,禁止Finger服务。Router(Config)# no ip fingerRouter(Config)# no service finger4,建议禁止HTTP服务。Router(Config)# no ip http server如果启用了HTTP服务则需要对其进行安全配置:
设置用户名和密码;采用访问列表进行控制。如:Router(Config)# username BluShin privilege 10 G00dPa55w0rdRouter(Config)# ip http auth localRouter(Config)# no access-list 10Router(Config)# access-list 10 permit 192.168.0.1Router(Config)# access-list 10 deny anyRouter(Config)# ip http access-class 10Router(Config)# ip http serverRouter(Config)# exit5,禁止BOOTp服务。Router(Config)# no ip bootp server禁止从网络启动和自动从网络下载初始配置文件。Router(Config)# no boot networkRouter(Config)# no servic config6,禁止IP Source Routing。Router(Config)# no ip source-route7,建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的。Router(Config)# no ip proxy-arpRouter(Config-if)# no ip proxy-arp8,明确的禁止IP Directed Broadcast。Router(Config)# no ip directed-broadcast9,禁止IP Classless。Router(Config)# no ip classless10,禁止ICMP协议的IP Unreachables,Redirects,Mask Replies。Router(Config-if)# no ip unreacheablesRouter(Config-if)# no ip redirectsRouter(Config-if)# no ip mask-reply11,建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。
或者需要访问列表来过滤。如:Router(Config)# no snmp-server community public RoRouter(Config)# no snmp-server community admin RWRouter(Config)# no access-list 70Router(Config)# access-list 70 deny anyRouter(Config)# snmp-server community MoreHardPublic Ro 70Router(Config)# no snmp-server enable trapsRouter(Config)# no snmp-server system-shutdownRouter(Config)# no snmp-server trap-anthRouter(Config)# no snmp-serverRouter(Config)# end12,如果没必要则禁止WINS和DNS服务。Router(Config)# no ip domain-lookup如果需要则需要配置:Router(Config)# hostname RouterRouter(Config)# ip name-server 202.102.134.9613,明确禁止不使用的端口,
Router(Config)# interface eth0/3Router(Config)# shutdown
三,路由器路由协议安全配置
1,首先禁止默认启用的ARP-Proxy,它容易引起路由表的混乱。Router(Config)# no ip proxy-arp 或者Router(Config-if)# no ip proxy-arp2,启用OSPF路由协议的认证。默认的OSPF认证密码是明文传输的,建议启用MD5认证。并设置一定强度密钥(key,相对的路由器必须有相同的Key)。Router(Config)# router ospf 100Router(Config-router)# network 192.168.100.0 0.0.0.255 area 100! 启用MD5认证。! area area-id authentication 启用认证,是明文密码认证。!area area-id authentication message-digestRouter(Config-router)# area 100 authentication message-digestRouter(Config)# exitRouter(Config)# interface eth0/1!启用MD5密钥Key为routerospfkey。!ip ospf authentication-key key 启用认证密钥,但会是明文传输。!ip ospf message-digest-key key-id(1-255) md5 keyRouter(Config-if)# ip ospf message-digest-key 1 md5 routerospfkey3,RIP协议的认证。只有RIP-V2支持,RIP-1不支持。建议启用RIP-V2。并且采用MD5认证。普通认证同样是明文传输的。Router(Config)# config terminal! 启用设置密钥链Router(Config)# key chain mykeychainnameRouter(Config-keychain)# key 1!设置密钥字串Router(Config-leychain-key)# key-string MyFirstKeyStringRouter(Config-keyschain)# key 2Router(Config-keychain-key)# key-string MySecondKeyString!启用RIP-V2Router(Config)# router ripRouter(Config-router)# version 2Router(Config-router)# network 192.168.100.0Router(Config)# interface eth0/1! 采用MD5模式认证,并选择已配置的密钥链Router(Config-if)# ip rip authentication mode md5Router(Config-if)# ip rip anthentication key-chain mykeychainname4,启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口。建议对于不需要路由的端口,启用passive-interface。但是,在RIP协议是只是禁止转发路由信息,并没有禁止接收。
在OSPF协议中是禁止转发和接收路由信息。! Rip中,禁止端口0/3转发路由信息Router(Config)# router RipRouter(Config-router)# passive-interface eth0/3!OSPF中,禁止端口0/3接收和转发路由信息Router(Config)# router ospf 100Router(Config-router)# passive-interface eth0/35,启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流。Router(Config)# access-list 10 deny 192.168.1.0 0.0.0.255Router(Config)# access-list 10 permit any! 禁止路由器接收更新192.168.1.0网络的路由信息Router(Config)# router ospf 100Router(Config-router)# distribute-list 10 in!禁止路由器转发传播192.168.1.0网络的路由信息Router(Config)# router ospf 100Router(Config-router)# distribute-list 10 out6,建议启用IP Unicast Reverse-Path Verification。它能够检查源IP地址的准确性,从而可以防止一定的IP Spooling。但是它只能在启用CEF(Cisco Express Forwarding)的路由器上使用。Router# config t! 启用CEFRouter(Config)# ip cef!启用Unicast Reverse-Path VerificationRouter(Config)# interface eth0/1Router(Config)# ip verify unicast reverse-path四,路由器其他安全配置1,及时的升级IOS软件,并且要迅速的为IOS安装补丁。2,要严格认真的为IOS作安全备份。3,要为路由器的配置文件作安全备份。4,购买UPS设备,或者至少要有冗余电源。5,要有完备的路由器的安全访问和维护记录日志。6,要严格设置登录Banner。必须包含非授权用户禁止登录的字样。7, IP欺骗得简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地址;回环地址(127.0.0.0/8);
RFC1918私有地址;DHCP自定义地址(169.254.0.0/16);
科学文档作者测试用地址(192.0.2.0/24);
不用的组播地址(224.0.0.0/4);SUN公司的古老的测试地址(20.20.20.0/24;204.152.64.0/23);
全网络地址(0.0.0.0/8)。Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 any logRouter(Config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any logRouter(Config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any logRouter(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any logRouter(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any logRouter(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any logRouter(Config)# access-list 100 deny ip 192.0.2.0 0.0.0.255 any logRouter(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 anyRouter(Config)# access-list 100 deny ip 20.20.20.0 0.0.0.255
篇5:cisco路由器的DNS配置
domain Dynamic Lookup 三大配置
ip domain name cisco.com
缺省domain-name
ip name-server 131.108.1.111 131.108.1.2
定义DNS SERVER
ip domain lookup
实现DNS 寻址
option dns config
ip name-server 131.108.1.111 131.108.1.2
primary secondary 配置多个DNS SERVER
no ip domain-lookup
no ip domain-lookup [nsap]
当需要配置多个default domain-name时,(default domain-name可以不止一个)
ip domain-list csi.com
ip domain-list telecomprog.edu
ip domain-list merit.edu
DNS spooning (三句)
no ip domain-lookup
ip dns server
使ROUTER作为DNS SERVER
ip dns spooning [acl]
enable使ROUTER对DNS query , request做应答
[acl] 缺省是针对所有主机,可用acl 定义具体主机
篇6:Cisco路由器的dhcp配置
R1(服务端)-----------------------R2(客户端)
Cisco 路由器的dhcp 配置
配置的命令及其解释如下:
R1dhcp服务的配置
dhcp#configure terminal
//进入全局模式
dhcp(config)#service dhcp
//打开dhcp功能
dhcp(config)#no ip dhcp conflictlogging
//关闭dhcp日志记录
dhcp(config)#ip dhcp pool cisco
//配置dhcp服务器的名称为cisco
dhcp(dhcp-config)#network 192.168.1.0 255.255.255.0
//配置dhcp服务器要分配的网段
dhcp(dhcp-config)#default-router 192.168.1.1
//配置默认网关为192.168.1.1
dhcp(dhcp-config)#dns-server 192.168.1.1
//配置dns服务器为192.168.1.1
dhcp(dhcp-config)#exit
//退出dhcp配置模式
dhcp(config)#ipdhcpexcluded-address 192.168.1.200 192.168.1.254
//配置dhcp不分配的地址
2、R2客户端获取IP地址
Client#configureterminal
//进入全局模式
dhcp(config)#interfacefastethernet0/0
//进入fastethernet0/0接口
dhcp(config-if)#ipaddress dhcp
//从dhcp服务器获取IP地址
篇7:Cisco路由器安全配置方案
一、 路由器网络服务安全配置
1 禁止CDP(Cisco Discovery Protocol),如:
Router(Config)#no cdp run
Router(Config-if)# no cdp enable
2 禁止其他的TCP、UDP Small服务。
Router(Config)# no service tcp-small-servers
Router(Config)# no service udp-samll-servers
3 禁止Finger服务。
Router(Config)# no ip finger
Router(Config)# no service finger
4 建议禁止HTTP服务。
Router(Config)# no ip http server
如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制。
5 禁止BOOTp服务。
Router(Config)# no ip bootp server
6 禁止IP Source Routing。
Router(Config)# no ip source-route
7 建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的。
Router(Config)# no ip proxy-arp
Router(Config-if)# no ip proxy-arp
8禁止IP Directed Broadcast。
Router(Config)# no ip directed-broadcast
9 禁止IP Classless。
Router(Config)# no ip classless
10 禁止ICMP协议的IP Unreachables, Redirects, Mask Replies,
Router(Config-if)# no ip unreacheables
Router(Config-if)# no ip redirects
Router(Config-if)# no ip mask-reply
11 建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。如:
Router(Config)# no snmp-server community public Ro
Router(Config)# no snmp-server community admin RW
12 如果没必要则禁止WINS和DNS服务。
Router(Config)# no ip domain-lookup
如果需要则需要配置:
Router(Config)# hostname Router
Router(Config)# ip name-server 219.150.32.xxx
13 明确禁止不使用的端口。如:
Router(Config)# interface eth0/3
Router(Config)# shutdown
二、路由器访问控制的安全配置(可选)
路由器的访问控制是比较重要的安全措施,但是目前由于需求不明确,可以考虑暂时不实施。作为建议提供。
1 建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。
2 严格控制CON端口的访问。
配合使用访问控制列表控制对CON口的访问。
如:Router(Config)#Access-list 1 permit 192.168.0.1
Router(Config)#line con 0
Router(Config-line)#Transport input none
篇8:cisco路由器配置TCP拦截
TCP建立连接的三次握手过程中,一方向另一方发送的第一个报文设置了SYN位,当某台设备接收到一个请求服务的初始报文时,该设备响应这个报文,发回一个设置了SYN和ACK位的报文,并等待源端来的ACK应答,那么,如果发送方并不回复ACK,主机就会因为超时而结束连接。当主机在等待这个连接超时的过程中,连接处于半开(Half-open)状态,半开连接消耗了主机的资源。在等待三次握手过程中耗尽主机资源就形成了SYN攻击,尤其是将成千上万的SYN发往某台主机,则该主机将很快崩溃掉。
在TCP连接请求到达目标主机之前,TCP拦截通过对其进行拦截和验证来阻止这种攻击,也就是说,路由器会代替主机进行连接。这时我就需要在路由器上配置TCP拦截(TCP intercept)来防止这种攻击了。
TCP拦截(TCP intercept)可以在两种模式上工作:拦截和监视。在拦截模式下(intercept mode),路由器拦截所有到达的TCP同步请求,并代表服务器建立与客户机的连接,并代表客户机建立与服务器的连接。如果两个连接都成功地实现,路由器就会将两个连接进行透明的合并。路由器有更为严格的超时限制,以防止其自身的资源被SYN攻击耗尽。在监视模式下(watch mode),路由器被动地观察half-open连接的数目。如果超过了所配置的时间,路由器也会关闭连接。ACL则用来定义要进行TCP拦截的源和目的地址。
基本配置命令:
ip tcp intercept mode{intercept/watch}设置TCP拦截的工作模式,默认是intercept。
ip tcp intercept list ACL编号调用ACL(扩展的)用来定义要进行TCP拦截的源和目的地址。
当一个路由器因为其所定义的门限值被超出而确认服务器正遭受攻击时,路由器就主动删除连接,直到half-open的连接值降到小于门限值。默认关闭的是最早的连接,除非使用了“ip tcp interceptdrop-mode random”命令(随机关闭半开连接)。当所设置的门限值被超时时,路由器进行下面的动作:
1)每一个新的连接导致一个最早的(或随机的)连接被删除。
2)初始的重传超时时间被减少一半,直到0.5秒,
3)如果处于监视模式,则超时时间减半,直到15秒。
有两个因素用来判断路由器是否正在遭受攻击。如果超过了两个高门限值中的一个,则表明路由器正遭受攻击,直到门限值已经降至两个低门限值以下。下面显示了有关的参数及其默认值,并对其加以简单描述。
1)ip tcp intercept max-incomplete high number 1100
在路由器开始删除连接之前,能够存在的half-open连接的最大数目。
2)ip tcp inercept max-incomplete low number 900
在路由器停止删除half-open连接之前,能够存在的最大half-open连接数目。
3)ip tcp intercept one-minute high number 1100
在路由器开始删除连接之前,每分钟内能存在的最大half-open连接数目。
4)ip tcp intercept one-minute low number 900
在路由器停止删除连接之前,每分钟内能存在的最小half-open连接数目。
half-open连接总数与每分钟half-open连接的数量比率是相联系的。任何一个最大值到达,TCP拦截就被激活并且开始删除half-open连接。一旦TCP拦截被激活,这两个值都必须下降到TCP拦截的低设置值,以便停止删除连接。
注意:
拦截模式下,路由器响应到达的SYN请求,并代替服务器发送一个响应初始源IP地址的SYN、ACK报文,然后等待客户机的ACK。如果收到ACK,再将原来的SYN报文发往服务器,路由器代替原来的客户机与服务器一起完成三次握手过程。这种模式会增加路由器的内存和CPU的额外开销,并且增加了一些初始会话的延时。
在监视模式下,路由器允许SYN请求直接到达服务器。
如果这个会话在30秒钟内(默认值)没有建立起来,路由器就给服务器发送一个RST,以清除这个连接。
篇9:Cisco路由器安全配置命令
1、在路由器上配置一个登录帐户
我强烈建议在路由器和交换机上配置一个真实的用户名和口令帐号,这样做,意味着你需要用户和口令来获得访问权。
除此之外,我建议为用户名使用一个秘密口令,而不仅有一个常规口令。它用MD5加密方法来加密口令,并且大大提高了安全性。举例如下:
Router(config)#user name root secret My$Password
在配置了用户名后,你必须启用使用该用户名的端口。举例如下:
Router(config)# line con 0
Router(config-line)#login local
Router(config)#line aux 0
Router(config-line)#login local
Router(config)#line vty 0 4
Router(config-line)#login local
2、在路由器上设置一个主机名
我猜测路由器上缺省的主机名是router。你可以保留这个缺省值,路由器同样可以正常运行。然而,对路由器重新命名并唯一地标识它才有意义。举例如下:
Router(config)#hostname Router-Branch-23
除此之外,你可以在路由器上配置一个域名,这样它就知道所处哪个DNS域中。举例如下:
Router-Branch-23(config)#ip domain name TechRepublic.com
3、为进入特权模式设置口令
当谈到设置进入特权模式的口令时,许多人想到使用enablepassword命令。然而,代替使用这个命令,我强烈推荐使用enablesecret命令。
这个命令用MD5加密方法加密口令,所以提示符不以明文显示。举例如下:
Router(config)#enable secret My$Password
4、加密路由器口令
Cisco路由器缺省情况下在配置中不加密口令。然而,你可以很容易地改变这一点。举例如下:
Router(config)#service password-encryption
5、禁用Web服务
Cisco路由器还在缺省情况下启用了Web服务,它是一个安全风险。如果你不打算使用它,最好将它关闭。举例如下:
Router(config)#no ip http server
6、配置DNS,或禁用DNS查找
让我们讨论Cisco路由器中我个人认为的一个小毛病:缺省情况下,如果在特权模式下误输入了一个命令,路由器认为你试图Telnet到一个远程主机。然而它对你输入的内容却执行DNS查找。
如果你没有在路由器上配置DNS,命令提示符将挂起直到DNS查找失败。由于这个原因,我建议使用下面两个方法中的一个。
一个选择是禁用DNS。做法是:
Router(config)#no ip domain-lookup
或者,你可以正确地配置DNS指向一台真实的DNS服务器,
Router(config)#ip name-server
7、配置命令别名
许多网络管理员都知道在路由器上配置命令的缩写(也就是别名)。举例如下:
Router(config)#alias exec s sh run
这就是说你现在可以输入s,而不必输入完整的showrunning-configuration命令。
8、设置路由器时钟,或配置NTP服务器
多数Cisco设备没有内部时钟。当它们启动时,它们不知道时间是多少。即使你设置时间,如果你将路由器关闭或重启,它不会保留该信息。
首先设置你的时区和夏令时。例子如下:
Router(config)#clock timezone CST-6
Router(config)#clock summer-time CDT recurring
然后,为了确保路由器的事件消息显示正确的时间,设置路由器的时钟,或者配置一个NTP服务器。设置时钟的例子如下:
Router# clock set 10:54:00 Oct 5
如果你已经在网络中有了一个NTP服务器(或可以访问Internet的路由器),你可以命令路由器将之作为时间源。这是你最好的选择,当路由器启动时,它将通过NTP服务器设置时钟。举例如下:
Router(config)# ntp server 132.163.4.101
9、不让日志消息打扰你的配置过程
CiscoIOS中另一个我认为的小毛病就是在我配置路由器时,控制台界面就不断弹出日志消息(可能是控制台端口,AUX端口或VTY端口)。要预防这一点,你可以这样做。
所以在每一条端口线路上,我使用日志同步命令。举例如下:
Router(config)#line con 0
Router(config-line)#logging synchronous
Router(config)#line aux 0
Router(config-line)#logging synchronous
Router(config)#line vty 0 4
Router(config-line)#logging synchronous
除此之外,你可以在端口上修改这些端口的执行超时时间。例如,我们假设你想禁用VTY线路上默认的十分钟超时时间。在线路配置模式下使用exec-timeout00命令,使路由器永不退出。
10、在路由器缓冲区或系统日志服务器中记录系统消息
捕获路由器的错误和事件以及监视控制台是解决问题的关键。默认情况下,路由器不会将缓冲的事件记录发送到路由器内存中。
然而,你可以配置路由器将缓冲的事件记录发送到内存。举例如下:
Router(config)#logging buffered 16384
你还可以将路由器事件发送到一个系统日志服务器。由于该服务器处在路由器外部,就有一个附加的优点:即使路由器断电也会保留事件记录。
篇10:Cisco路由器DHCP配置浅析(一)
在DHCP的设置中,我们通常会与路由器一起相结合使用,那么这里我们就来介绍一下Cisco路由器与DHCP的调试和设置。某单位使用Cisco 3620作为IOS DHCP Server,它和内网相连的fastethernet0端口的IP地址为192.168.1.4,二层交换机采用两台Cisco 2950,三层交换机采用一台Cisco 3550。
在整个网络中有二个VLAN,为简化描述,假设每个VLAN都采用24位网络地址,其中VLAN1的IP地址为192.168.1.254,VLAN2的IP地址为192.168.2.254。在Cisco设备上实现IOS DHCP Server功能以使各VLAN中的主机自动获得IP地址,如下图所示。
配置DHCP地址池、附加信息以及租约期限
DHCP服务器的数据库被组织成一个树形结构,树根是用于动态分配的所有网络段的地址池,树枝是子网地址池,树叶是手工绑定给节点的地址。具体操作步骤如下:
首先登陆到Cisco 3640路由器上:
ghq>enable Password(输入路由器的特权口令) ghq#configterminal(进入配置模式) Enterconfigurationcommandsoneperline. EndwithCNTL/Z. ghq??config#ipdhcppoolglobal(配置一个根地址池,global是地址池的名称,你可以采用有意义的字符串来表示) ghqdhcp-config#network192.168.0.0255.255.0.0(动态分配的地址段) ghq??dhcp-config#domain-nameghq.com(为客户机配置域后缀) ghq??dhcp-config#dns-server192.168.1.1(为客户机配置DNS服务器) ghq??dhcp-config#netbios-name-server192.168.1.1(为客户机配置wins服务器) ghq??dhcp-config#netbios-node-typeh-node(为客户机配置h节点模式) ghq??dhcp-config#lease30(地址租用期为30天) ghq??dhcp-config#ipdhcppoolvlan1(为VLAN1配置地址池,本池是global池的子池,将从global继承域后缀、DNS服务器、wins服务器等参数) ghq??dhcp-config#network192.168.1.0255.255.255.0(VLAN1动态分配192.168.1这个网段内可以被分配的地址,没有被排除的地址) ghq??dhcp-config#default-router192.168.1.254(为客户机配置默认的网关,即VLAN1的IP地址) ghq??dhcp-config #ipdhcppoolvlan2(为VLAN2配置地址池,本池是global池的子池,将从global继承域后缀、DNS服务器、wins服务器等可继承的参数) ghq??dhcp-config#network192.168.2.0255.255.255.0 ghq??dhcp-config #default-router192.168.2.254
设置不能用于动态分配的IP地址
在整个网络中,有些IP地址需要静态的指定给一些特定的设备,例如路由器的端口、DNS服务器、wins服务器以及VLAN的地址等。显然,这些静态IP地址是不能用于动态分配的,这就需要将它们排除掉。其步骤如下:
ghq??config #ipdhcpexcluded-address192.168.1.1192.168.1.5 (IP地址192.168.1.1至192.168.1.5不能用于动态分配) ghq??config #ipdhcpexcluded-address192.168.1.254 (IP地址192.168.1.254固定为VLAN1的地址,不能用于动态分配) ghq??config #ipdhcpexcluded-address192.168.2.254 (IP地址192.168.2.254固定为VLAN2的地址,不能用于动态分配)
设置DHCP数据库代理
DHCP数据库代理是用于存储DHCP绑定信息的一台主机,它可以是FTP、TFTP或者是RCP服务器,
当然,如有必要,你可以配置多个DHCP数据库代理。同样,不配置DHCP数据库代理也是允许的,但这是以不能在DHCP数据库代理上存储地址冲突日志为代价的。如果我们不想配置数据库代理,只要取消掉地址冲突日志的记录功能即可,操作命令如下:
ghq??config #noipdhcpconflictlogging(取消地址冲突记录日志)
配置路由器的静态路由表
要使客户机能从用作DHCP Server的路由器中自动获得IP地址,首要条件就是各个VLAN中的客户机都能和路由器通信,因此首先就需要在路由器中设置一个路由以使路由器能和各个客户机通信。我们可以按如下设置 :
ghq??config #iproute192.168.1.0255.255.255.0FastEthernet0 (FastEthernet0为路由器和内网相连的以太网接口,该命令的作用是在以太网接口和VLAN1192.168.1.254间建立一条静态路由。)
ghq??config #iproute192.168.2.0255.255.255.0FastEthernet0 (该命令在以太网接口和VLAN2192.168.2.254间建立一条静态路由)
设置好之后,在配置模式中键入EXIT命令回到特权模式下,Ping一下VLAN1和VLAN2的IP地址??192.168.1.254和192.168.2.254 ,如果能够Ping通则表明配置正确,可以直接进入下一步的保存过程。编辑推荐TCP/IP协议
TCP/IP(传输入控制地议/网际协议)是一种网络通信协议,它规范了网络上的所有通信设备,尤其是一个主机与..
直击非法DHCP手把手教您解析路由器网络故障什么是DHCP?什么是DHCP服务器?DHCP服务器的安装和配置无线路由器外网访问故障剖析
在交换机上为不同的VLAN指定DHCP服务器地址
这一步骤只须在不同的VLAN中通过设置IP HELPER-ADDRESS即可搞定,指令如下:
switch>enable (进入交换机的特权模式) Password?? switch#configt(进入配置模式) Enterconfigurationcommands??oneperline. EndwithCNTL/Z. switch??config #interfacevlan1(配置VLAN1) switch??config-if #iphelper-address192.168.1.4(指定DHCP服务器的地址,即路由器的地址) ghq??config-if #interfacevlan2(配置VLAN2) ghq??config-if #iphelper-address192.168.1.4
★ PPP 配置协议
★ 如何选择路由协议
★ 网络基础知识总结
【Cisco路由器配置帧中继子接口和流量整形(共10篇)】相关文章:
网络系统工程填空题2023-07-27
下半年网络工程师填空题总结2022-08-11
路由器0-15级的作用2022-05-22
网络交换机?什么是MAC地址表2022-06-04
CiscoRouter之间CallBack典型配置网络知识2022-05-06
网络边缘层设备简介2023-03-21
有关光纤交换机部署疑问进行说明探讨2023-06-13
网络工程师应掌握的路由器协议知识2022-05-21
交换机安装不当故障的解析及其解决方案2022-06-30
网络工程师试题2024-01-25