Cisco路由器

Cisco路由器（精选6篇）

Cisco路由器 篇1

路由器是一种连接多个网络或网段的网络设备，它能将不同网络或网段之间的数据信息进行“翻译”，以使它们能够相互“读”懂对方的数据，从而构成一个更大的网络。目前大多数的企事业单位和部门连接Internet，都是通过一台路由器与ISP连结实现。这台路由器就是沟通外部Internet和内部网络的桥梁。因此，配置安全的路由器是解决网络安全问题的关键设备。

考虑到路由器的作用和位置，路由器配置的好坏不仅影响其本身的安全，也影响整个网络的安全。目前路由器(以Cisco为例)自带一定的安全功能，如访问列表、加密等，但是在缺省配置下，这些功能大多数是关闭的，需要进行手工配置。怎样的配置才能最大的满足安全需要，且不降低网络的性能?本文以Cisco路由器的安全配置为例，从以下几个部分加以说明：

1 常用的安全配置

1.1 在路由器上配置一个登录帐户

强烈建议在路由器和交换机上配置一个真实的用户名和口令帐号。这就意味着，访问权的获得需要用户名和口令来实现。除此之外，建议为用户名配置一个秘密口令，而不仅只有一个常规口令。它用MD5加密方法来加密口令，大大提高了安全性。举例如下:

在配置了用户名后，必须启用使用该用户名的端口。如：

1.2 在路由器上设置一个主机名

在保留路由器上缺省主机名(假设为Router)的情况下，路由器同样可以正常运行。但是，重新命名并唯一地标识路由器才有意义。举例如下:

除此之外，可以通过在路由器上配置一个域名，以获知它所处的DNS域。举例如下:

1.3 为进入特权模式设置口令

当谈到设置进入特权模式的口令时，许多人想到使用enable password命令。在此，强烈推荐使用enable secret命令来代替上述命令。这个命令用MD5加密方法加密口令，所以提示符不以明文显示。举例如下:

1.4 加密路由器口令

缺省情况下，Cisco路由器在配置中不加密口令。通过以下设置可以很容易地改变这一点：

1.5 禁用Web服务

Cisco路由器在缺省情况下启用了Web服务(注：只有一部分Cisco路由器有Web服务功能)，它是一个安全风险。如果你不打算使用它，最好将它关闭。设置如下:

1.6 配置DNS或禁用DNS查找

Cisco路由器中存在一个问题：缺省情况下，如果在特权模式下误输入了一个命令，路由器默认为你试图Telnet到一个远程主机，从而对你输入的内容执行DNS查找。如果没有在路由器上配置DNS，命令提示符将挂起直到DNS查找失败。因此，建议使用以下方法：

(1)禁用DNS。做法如下:

(2)正确地配置DNS指向一台真实的DNS服务器。如：

1.7 配置命令别名

路由器上命令的别名也就是命令缩写。举例如下:

这就是说，可以输入s来代替输入完整的show running-configuration命令。

1.8 设置路由器时钟或配置NTP服务器

多数Cisco设备没有内部时钟，它们的启动时间不可知。即使设置时间，如果你将路由器关闭或重启，它也不会保留该信息。我们可以按以下步骤设置：

首先设置你的时区和夏令时。例如:

然后，为了确保路由器的事件消息显示正确时间，需要设置路由器的时钟，或者配置一个NTP服务器。设置时钟的例子如下:

如果你在网络中已有了一个NTP服务器(或可以访问Internet的路由器)，最好的选择是命令路由器将之作为时间源。当路由器启动时，它将通过NTP服务器设置时钟。如:

1.9 不让日志消息打扰配置过程

在Cisco IOS中配置路由器时，控制台界面不断弹出日志消息(可能是控制台端口、AUX端口或VTY端口)。要预防这一点，可以在每一条端口线路上使用日志同步命令，来对路由器进行配置，如：

此外，还可以在端口上修改这些端口的执行超时时间。例如，若想禁用VTY线路上默认的十分钟超时时间，可在线路配置模式下使用“exec-timeout 0 0”命令，使路由器永不退出。

1.1 0 在路由器缓冲区或系统日志服务器中记录系统消息

捕获路由器的错误和事件以及监视控制台是解决问题的关键。可以通过以下配置，改变默认状态下路由器不会将缓冲的事件记录发送到其内存中的情况。

还可以将路由器事件发送到一个系统日志服务器。由于该服务器处在路由器外部，即使路由器断电，事件记录也不会消失。

2 路由器其它安全配置

(1) 及时升级IOS软件并为其安装补丁。

(2) 要严格认真的为IOS作安全备份。

(3) 要为路由器的配置文件作安全备份。

(4) 购买UPS设备, 或者至少要有冗余电源。

(5)要有完备的路由器的安全访问和维护记录日志。

(6)要严格设置登录Banner。必须包含非授权用户禁止登录的字样。

(7) IP欺骗的简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地址;回环地址(127.0.0.0/8);RFC1918私有地址;DHCP自定义地址(169.254.0.0/16);科学文档作者测试用地址(192.0.2.0/24);不用的组播地址(224.0.0.0/4);SUN公司的古老的测试地址(20.20.20.0/24;204.152.64.0/23);全网络地址(0.0.0.0/8)。以SUN公司的古老测试地址为例，相应设置如下：

摘要：通过分析Cisco路由器的配置, 提出了数种对路由器进行安全配置的方法, 对广大网络管路员具有一定的指导作用。

关键词：路由器,Internet,网络攻击

参考文献

[1]张兵.几种不同路由器的Frame-Relay的配置[M].北京:清华大学出版社, 2001.

[2]辛海院, 吴伟, 吕述望, 等.一种基于网络处理器的高性能安全路由器研究[J].微电子学与计算机, 2003 (11) .

[3]张公忠.现代网络技术教程[M].北京:电子工业出版社, 2000.

Cisco路由器 篇2

说明：

一家子公司使用2M专线上网，内部网段为192.168.23.0/24(普通员工)和192.168.24.0/24(总经办所在的VLAN)，其中路由器IP地址为：192.168.23.1，内部cisco3560交换机IP为：192.168.23.254。现需要作流量控制，使总经办的流量比较优先，并优先传送一些声音与视频及网管流量。其它的服务如：smtp、pop3及ftp等为低优先级，并禁止bt下载等。

配置如下：

Current configuration : 3590 bytes

!

!

version 12.3

service timestamps debug datetime

service timestamps log datetime

service password-encryption

!

hostname xxxxxx

!

enable secret 5 $44adf#dfdfj090$on

!

clock timezone China 8

ip subnet-zero

no ip source-route

ip cef

!

!

ip name-server 192.168.23.2

ip name-server x.x.x.x

!

no ip bootp server

!

ip nbar pdlm flash:bittorrent.pdlm

class-map match-any premium_class

description For premium

match protocol http

match protocol icmp

match protocol netshow

match protocol pcanywhere

match protocol realaudio

match protocol secure-http

match access-group 111

注：以上有省略，嘿嘿!

class-map match-any normal_calss

description For normal

match protocol ftp

match protocol imap

match protocol pop3

match protocol smtp

match access-group 110

class-map match-any bt_download

description For drop

match protocol bittorrent

!

!

policy-map qos_policy_map

class premium_class

bandwidth percent 50

random-detect

random-detect exponential-weighting-constant 4

police cir 000 bc 10000 be 10000

conform-action transmit

exceed-action transmit

class normal_calss

bandwidth percent 25

random-detect

random-detect exponential-weighting-constant 4

police cir 2000000 bc 2000 be 2000

conform-action transmit

exceed-action drop

class bt_download

drop

!

!

!

!

interface FastEthernet0/0

ip address 192.168.23.1 255.255.255.0

ip verify unicast reverse-path

ip nat inside

ip route-cache same-interface

ip route-cache policy

duplex auto

speed auto

no cdp enable

!

interface Serial0/0

bandwidth 2048

ip address 210.88.44.x 255.255.255.252

ip verify unicast reverse-path

no ip proxy-arp

ip nat outside

rate-limit input 2000000 20000 20000 conform-action transmit exceed-action drop

ip route-cache policy

service-policy output qos_policy_map

no cdp enable

!

ip nat inside source list 10 interface Serial0/0 overload

ip classless

ip route 0.0.0.0 0.0.0.0 210.88.44.y

ip route 192.168.24.0 255.255.255.0 192.168.23.254

no ip http server

!

!

access-list 10 remark NAT

access-list 10 permit 192.168.23.0 0.0.0.255

access-list 10 permit 192.168.24.0 0.0.0.255

access-list 110 remark normal

access-list 110 permit ip 192.168.23.0 0.0.0.255 any

access-list 111 remark premium

access-list 111 permit ip 192.168.24.0 0.0.0.255 any

no cdp run

!

banner motd ^cml system router !!!^C

!

line con 0

exec-timeout 0 0

line aux 0

line vty 0 4

password 7 121A0C0411045D5D7C

login

!

!

!

end

Cisco路由器 篇3

根据目前的事实情况, 黑客的DOS攻击、恶意蠕虫的入侵还有冲击波的爆发, 往往都是从路由器进入, 而且这些破坏行为导致路由器工作不正常, 甚至处于瘫痪状态[1]。所以, 网络路由器的安全性越来越成为网络管理人员关注的问题, 尤其是冲击波、Slammer等破坏性极大的病毒出现以后。针对这种情况, 路由器生产厂商一方面加强了产品的安全性研究, 另一方面建议用户从路由器安全设置入手, 加强防范。

1 两种破坏性极强的病毒特征分析

1.1 冲击波病毒特征

冲击波病毒[1]是一个针对Microsoft Windows DCOMRPC接口远程缓冲区溢出漏洞的蠕虫。冲击波病毒之所以危害很大, 是因为无论是服务器, 还是个人计算机, 只要没有安装修复该漏洞的MS06—026补丁文件, 那么它安装的Windows 2000、Windows XP、Windows 2003系统就会受到攻击。蠕虫所带的攻击代码来自一个公开发布的攻击代码, 当攻击失败时, 可能造成没有打补丁的Windows系统RPC服务崩溃, WindowsXP系统可能会自动重启。该蠕虫不能成功侵入Windows 2003, 但是可以造成Win2dows 2003系统的RPC服务崩溃。通过对于病毒的传染机制的分析, 可以看出, 病毒是通过TCP的135、136、137、138、139、445、4444端口, UDP的69、135、136、137、138、139、445、4444端口来发动攻击的。

1.2 W32 Slam m er.Worm蠕虫特征

Slammer[2]利用MS—SQL的一个漏洞进行传播。SQL Server 2000对多个instance进行操作时, 不能都同时使用它的TCPl433标难会话端口。这就意味着当默认instance在TCP端口1433监听的时候, 另外的instance就只能在系统分配给它们的其它端口监听。

2 路由器“防毒”措施

2.1 应用分析

路由器作为网络中的关键设备, 是否可以阻隔病毒的传染呢?在了解了病毒的攻击机制后, 便可以作出对应的防范措施了。路由器作为内部PC机的跨网段访问的通道, 将这些端口限制掉, 便可以防止病毒通过路由器从外网进入, 同时也可以防止内部的病毒通过路由器向外传染病毒。

2.2 端口加固

要想路由器这座城墙固若金汤, 密码的设置当然非常重要。一般情况下, 网络管理人员可以通过路由器的Console、Aux和Ethernet口, 登录到路由器后进行配置。这种情况虽然方便了管理, 但非法之徒也可以乘虚而入。所以, 给相应的端口加上密码是必须的。

2.3 禁止ping命令

恶性的ping是最近的一些病毒常常采用的攻击方式[3]。病毒随机生成ping的目标地址, 然后通过路由器来报文转发。因此, 在路由器中, 就需要为每个ping的ICMP报文创建一条NAT的对应表。在特权用户模式下查看该表时, 若是用户看到大量的ICMP的NAT的session, 就应该警惕地想到是否已经“中招了”, 即遭到拒绝服务攻击了。如果病毒恶性的发动ICMP的ping攻击, 在几秒钟内发出上万个ping报文, 则会在NAT表中占用了大量的NAT的Session的连接, 而UDP的NAT的SESSl ON的存在时间为5分钟, TCP连接的NAT的SESSION的保存时间为24小时, 这种恶性的ping攻击, 便可能将NAT的SESSION的值全部占用。

2.4 设备优化

服务器的设备要尽量地少, 虽然不能说设备越少越安全, 但是禁掉一些不必要的服务, 除了可以节省内存之外, 最大的好处就是安全性的提高。如何保障路由器的“简约的工作”, 防止内存的消耗, 可以通过以下方法进行:首先, 用户可以关闭路由器的报文快速转发机制。通过关闭接口的报文快速转发机制, 采用正常的报文转发机制, 便会杜绝路由器由于快速转发造成的内存不足问题了。其次, 在内存分配方面进行优化, 关闭快速转发。最后, 用户还应该检查是否已经正确的配置静态路由。

2.5 物理安全

其实, 无论网络管理人员多么辛苦地防范, 但是堡垒往往会从内部被攻破。若是路由器的物理安全得不到保障, 其他一切都是空谈。

2.6 策略应用

在路由器的出口和进口都应用这样的访问列表来控制病毒的出入, 通过察看包的数目可以调整他们的顺序, 就是将转换多的包放在前面, 可以提高速度。

Access-list 110 permit tcp any any然后, 将列表应用到相应的端口即可以了。

3 结论

总之, 只要掌握病毒特点就可以利用cisco路由器的本身功能将它拒之门外。当然, 这只是在缺少其它保护的前提下应用的策略, 以上措施保护网络并不完全, 在很多实际应用中, 还需要很多辅助设备和配置。为了保护网络的安全, 可采用多种安全产品, 再加上网管高度的责任心, 一定可筑起防病毒的钢铁长城。

摘要：当前计算机病毒无孔不入, 主要的传播途径是网络, 要想遏制病毒的传播, 首先要在传播途径上将病毒放住。本文主要分析冲击波、Slammer病毒特性出发, 从不同角度, 探讨了路由器在网络防病毒、防攻击方面的功能及其具体实现过程。

关键词：路由器,攻击,病毒

参考文献

[1]戚文静.网络安全与管理.中国水利水电出版社, 2003年.

[2]陈克忠.Cisco路由器防火墙安全.人民邮电出版社, 2006年.

远程异步登陆Cisco 路由器 篇4

关键词：

在商业银行广域网建设中，采用PSTN作为DDN线的备份，用cisco2511路由器(共16个异步口，用了6个)作为异步拨号服务器。当技术人员在异地要处理问题时，必须到原地才行。因此，能否用现有网络设备：空闲cisco2511的异步口、Modem、电话线，实现远程登陆到本地局域网?从而实现技术人员在异地可处理问题。我们寻找到不影响目前网络运行，实现远程异步登陆到路由器办法。该方案具体解决如下：

在cisco2511建立一个本地拨号地址池，从已建好的拨号地址池中取出一个地址分配给远程工作站,完成连接。(不能用ipaddress-poollocal命令建立ip地址池，各支行的.异步拨号已分配了ip地址)。远程网点可用客户端程序Netterm来实现或通过Windows95的拨号网络来实现，但需要编写一个脚本程序。网络图如下:

Cisco2511路由器需要完成以下配置:

1、广域网口配置

intgroup-async1/*建立一个异步拨号组*/

ipunnumbedEthernet0/*异步口地址与以太口地址一致*/

encapsulationppp/*封装ppp协议*/

autodectencapsulationppp/*自动检测ppp协议*/

asyncmodeinteractive/*激活异步模式*/

peerdefaultipaddresspooldialpool

dialerin-band

dialer-group1

nocdpenable

pppauthenticationchap/*ppp鉴定握手授权协议*/

group-range810/*拨号异步组的端口的范围*/

2、IP地址和映射表的配置

Iplocalpooldialpool10.141.230.5610.141.230.57

/*设置拨号IP地址池的起始地址和目的地址，容量是2个*/

3、line端的配置

line1214

autoselectduring-login

autoselectppp

loginlocal

modemInOut/*modem自动in和out*/transportinputall

flowcontrolhardware

4、安全检查的配置

username用户名password密码

此用户名，密码定期更改。

5、客户端netterm的配置

启动PC机客户端程序netterm，在“地址薄”加入一个地址。操作过程为：输入主机名称，电话号码(要拨入的号码，此电话只在解决问题时才插入联在异步口的modem上)，连接形态选“调制解调器”，端口填“23”，模拟形态选“ansi”,键盘定义选“default”。在“调制解调器设置”中设定端口、速率(与modem支持速率有关)、资料位为“8”、同位为“无”、停止位为“1”，使用“调制解调器启始指令”。地址加好以后，即可进行“连接”。输入用户名、密码，登陆到路由器上;用win95拨号连接,须选中拨号连接图标,右击该图标,在“属性”对话框中单击“制作脚本”项下的“编辑”按钮,编辑制作脚本文件。

地址：合肥市安庆路235号商业银行计算中心

Cisco路由器 篇5

1 Cisco路由的安全缺陷

1.1 IOS本身存在的缺陷

IOS是一种特殊的软件, 可以使Cisco路由的信息传输到网络, 它是网络连接的桥梁, 是网际相互连接的中心枢纽, 可以说, Cisco路由器的工作离不开IOS系统。但是, IOS系统的设计本身就存在一些缺陷, 其中, Show的命令中, 虽然有一些信息普通用户不能看到, 但是一旦用户有高级的权限也是可以得知路由的配置信息。

虽然IOS系统在不断升级, 通过WCCP可以更好的缩短网页请求的响应时间, 但是也会让不法份子更加容易窃听到一些隐私信息。而最近很火爆的远程管理虽然给管理员带来了极大的便利之处, 但是也存在着一定的隐患问题。例如Do S的漏洞, 可以直接导致路由器停止对网络的请求。

1.2 SNMP协议所带来的一些缺陷

SNMP是简单网络管理协议, 有一定的标准, 包含应用层协议、数据库模型的一组资源对象, 它支持网络管理系统, 对于路由器的配置和管理都有一定规范。但是SNMP协议也存在很多漏洞。

首先, IOS系统和SNMP协议两者之间并不完全和谐, 尤其在处理一些信息时还存在很大的漏洞, 对于SNMP信息的处理, 系统一直处理协商的请求, 而且对于随机的端口不断的初始化, 这样就容易耗损内存直到耗尽, 系统就重新启动。

对于SNMP的验证也只需要提供团体名就可以通过, 其安全机制过于简单, 不能很好的起到防范作用。

1.3 第三方攻击

对于路由器的安全问题, 第三方攻击也对其存在一定的威胁, 尤其是热衷于攻击路由器的爱好者们会想方设法的破解其安全机制。对于路由器的配置以及它的密码系统已经不是机密的事, 攻击者们只需要简单的工具就可以轻松破解。而路由器的审核工具也并不完善, 仍然存在很多缺点和漏洞。IOS系统的安全配置检测工具虽然能够检测出其安全漏洞, 但是, 对于其使用者并不能鉴别出来, 一旦使用者是攻击的一方, 那么就会导致严重的后果, 并且该工具是用telnet来进行信息传递, 这样也容易使不法分子有机可乘。

2 相关的对策分析

2.1 提高路由器本身的安全性能, 加强其安全设计

对于Cisco路由的本身系统的安全漏洞, 应尽快改良, 加强其安全设计。首先在硬件上可以设计成模块化的硬件体系结构, 尽量加大各个模块间的联系密切度。其次, 在软件上可以将其设计成高模块化结构, 这样就能很好的隔离各个数据流和数据流。然后, 对于路由器的网络安全也要加大保护力度, 尤其是传输层和网络层上要采取相应的措施, 这样才能更好的减少攻击者的可能性。最后, 可以将起到终端保护作用的防火墙运用到路由器的安全设计中, 这样就可以很好的过滤掉一些不安全数据, 提高路由器的安全性能。

2.2 制定严密的安全策略

(1) 对于路由器访问机制的权限要重新设置, 避免之前有名无实的保护策略, 可以利用访问通过列表来提高网络的安全性。

(2) 对于路由器的默认口令应在使用后尽快修改, Cisco路由的IOS系统有多个默认口令, 其中最重要的5个口令如控制台口令、启用密码口令等在用户开始使用后都要尽快修改, 防止攻击者侵袭的时候有如“入无人境地”的状态。

(3) 虽然路由器的业务能力越来越多, 服务内容也越来越全面, 但是对于一些不必要的服务应尽量禁止, 这样不仅能减少系统负担, 而且也能很好的降低因服务内容过多而带来的漏洞问题。

(4) Cisco路由可以提供很好的远程服务, 虽然这在一定程度上满足了用户的需求, 但是远程服务很容易带来安全隐患问题。所以, 用户在使用该服务时, 应注意控制。比如可以将远程管理固定在某个网段或者某个IP在路由器的某个固定端口上进行操作。在进行远程操作时还要注意其认证模式应设置为用户名和正确的密码登陆, 这样的认证模式可以减少攻击者对其进行暴力密码破解[4]。

(5) Cisco路由是目前流行的一款路由器, 它所提供的硬件设备被广大用户所认可, 并且Cisco的网络提供商也为用户提供其他的服务和以及路由器所附带的其它软件。Cisco作为世界有名的网络设备制造商其网络设备的安全问题也是人们一直关注的问题, 所以其官方网站也会随时更新软件版本以及各种安全防范措施, 针对出现的新的漏洞也会有专业人员进行应对, 所以, Cisco的用户应经常浏览Cisco的官方网站, 确保路由处于安全的运行状态。

(6) 在路由器的使用过程中, 使用者应对其配置经常进行检查, 并且尽量对每一条配置进行修改, 以降低攻击者的侵犯, 防患于未然。

3 结束语

综上所述, Cisco路由是目前广泛流行的路由器, 其安全隐患问题也是人们需要研究的一个重要课题, 本文主要阐述了Cisco路由存在的安全缺陷问题并对此提出了一些对策分析。网络危险无时不在, 要想更好的维护网络安全, 不仅要提高路由器的安全防范功能, 还要及时更新路由系统软件, 用户也要留心观察, 这样才能保证网络环境的安全、稳定。

参考文献

[1]李光辉, 江顺亮, 肖燕.以太网数据链路层网络拓扑发现算法研究[J].电脑知识与技术, 2011, (5) :44-46.

[2]何丰, 保文星.路由器安全技术研究[J].西北民族学院学报 (自然科学版) , 2012, (6) :55-56.

[3]杨晓东, 刘玉珍, 张焕国.基于SNMP的安全威胁及防范策略分析[J].计算机工程, 2012, (55) :66-67.

Cisco路由器 篇6

1、ACL概述

1.1 ACL技术

ACL也叫访问控制列表,是Cisco IOS所提供的一种最常见的流量过滤方法。它用在路由器接口上,可以告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。不过,数据包是被接收还是拒绝,主要是由源地址、目的地址、端口号等的特定指示条件来决定的。

1.2 ACL处理方法

ACL由一条或多条语句组成,而且必须将其应用到某个接口才能生效。ACL控制的对象是进出接口的流量,它会将流量与列表中的每条语句逐一进行比较,直至找到匹配项或比较完所有语句为止。如果数据包与permit语句匹配,则该数据包可以进出路由器。如果数据包与deny语句匹配,则将停止传输。如果ACL中没有任何permit语句,则会阻止所有流量。这是因为每个ACL的末尾都有一条隐含的deny语句。也正因此,ACL会拒绝所有未明确允许的流量。

1.3 ALC的分类

ACL有很多种,但是比较常用的分为两类:标准ACL和扩展ACL,而需要哪种类型的ACL主要取决于设计要求的复杂程度。

(1)标准ACL:是最简单的一类,它的标识号的范围是1到99和1300到1999。它主要是根据数据包的源IP地址过滤数据包,而且它对流量的允许或拒绝是基于整个协的。因此,如果某台主机设备被标准ACL拒绝访问,则该主机提供的所有服务也会被拒绝访问。

创建标准ACL语句的语法:

Router(config-if)#access-list[access-list-number][deny|permit][source address][source-wildcard][log]

应用到接口的语句:

Router(config-if)#ip Access-group access-list-number{in|out}

(2)扩展ACL:也是高级的ACL,其编号范围是100到199和2000到2699。它不仅可以根据源IP地址过滤,也可根据目的IP地址、协议和端口号过滤流量。它的应用更广泛,因为它们更具体,能够提供更精确的控制。

创建扩展ACL语句的语句:

Router(config)#access-listaccess-list-number{permit|deny}{protocol}source-address sourcewildcard[operator source-port-number]destination-address destination-wildcard[perator destination-port-number][established][options]

应用到接口的语句:

Router(config-if)#ip Access-group access-list-number{in|out}

3、ACL在中小型网络中的应用实例

ACL应用十分广泛,现以某小型网络拓扑为例,分析ACL在中小型网络中的基本应用。如下图所示:此网络中的Host 3包含专有信息,此网络的安全要求规定,只能允许特定设备访问这台计算机。Host 1应该是允许访问该计算机的唯一主机。此网络中的所有其它主机均用于访客访问,因此不得允许其访问Host 3。此外,Host3也是该网络中允许访问R1接口进行远程管理的唯一计算机。

步骤1:

分析:Host 1可以访问Host 3。该网络中的所有其它主机均不能访问Host 3。而其它网络的未来新增主机因为是访客无法访问的计算机,所以应该可以访问Host 3。需要控制的通信是由R2的Fa0/0接口送出的通信以及发往Host 3的通信。因此,访问控制列表应该位于R2的Fa0/0接口。

(1)创建执行所述任务的扩展ACL并将其应用于R2:

R2(config)#access-list 101 permit ip host 192.168.1.10host 192.168.5.10

R2(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 host 192.168.5.10

R2(config)#access-list 101 permit ip any any

(2)在R2的Fa0/0接口出站方向应用访问列表。

R2(config)#interface fastethernet 0/0R2(config-if)#ip access-group 101 out步骤2:

分析:Host 3应该是允许连接到R1进行远程管理的唯一主机。(1)创建符合此要求的访问控制列表。

R1(config)#access-list 101 permit ip host 192.168.5.10host 192.168.15.1

R1(config)#access-list 101 permit ip host 192.168.5.10host 192.168.1.1

R1(config)#access-list 101 deny ip any host 192.168.15.1

R1(config)#access-list 101 deny ip any host 192.168.1.1

R1(config)#access-list 101 permit ip any any

(2)由于源通信可能来自任何方向,所以需要对R1上的两个接口都应用此ACL。要控制的通信是该路由器的入站通信。

R1(config)#interface fastethernet 0/0

R1(config-if)#ip access-group 101 in

R1(config-if)#interface serial 0/0/0

R1(config-if)#ip access-group 101 in

4、结语

ACL是一种功能非常强大的过滤工具,它们除了可以过滤进出网络的流量外,还可以通过控制病毒的攻击、传播、限制VTY访问等方法来提高网络的安全性。但是设计欠佳的ACL会给路由器带来更加沉重的负载,甚至可能导致网络中断,因此,我们应该合理地规划和设计ALC,使其更加高效的管理和服务于中小型网络。

参考文献

[1]思科网络学院教程:企业中的路由和交换.人民邮电出版社,2009-01.

[2]董会国,李军.基于ACL技术在高校校园网安全管理的应用与研究.邢台职业技术学院学报,(2012)01—0086—04.

[3]沈忠诚.ACL技术在校园网中的应用.计算机工程应用技术,(2010)29-8376-02.