資源描述:
《cisco路由器交換機(jī)的技術(shù)應(yīng)用 》由會(huì)員上傳分享��,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在工程資料-天天文庫。
1�����、Cisco路由器交換機(jī)的技術(shù)應(yīng)用摘要:無論是數(shù)據(jù)��、語音���、視頻還是無線接入����,路由器和交換機(jī)都是所有企業(yè)通信不可缺少的組成部分。它們能夠促進(jìn)解決一個(gè)公司的關(guān)鍵問題��,幫助該公司提高生產(chǎn)力����,降低業(yè)務(wù)成本,改善安全性和客戶服務(wù)質(zhì)量�。文章對Cisco路由器和交換機(jī)的技術(shù)應(yīng)用進(jìn)行了分析和闡述。關(guān)鍵詞:Cisco����;路由器;交換機(jī)中圖分類號(hào):TP393網(wǎng)絡(luò)的工作方式是使用兩種設(shè)備���,交換機(jī)和路由器將計(jì)算機(jī)和外圍設(shè)備連接起來���。這兩種工具使連接到網(wǎng)絡(luò)上的設(shè)備之間以及其它網(wǎng)絡(luò)相互通信。雖然路由器和交換機(jī)看起來很像�����,但是它們在網(wǎng)絡(luò)
2�、中的功能卻截然不同:交換機(jī)主要用于將一棟大廈或一個(gè)校園里的多臺(tái)設(shè)備連接到同一個(gè)網(wǎng)絡(luò)上��。路由器主要用于將多個(gè)網(wǎng)絡(luò)連接起來��。首先�,路由器會(huì)分析網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)�����,改變數(shù)據(jù)的打包方式�����,然后將數(shù)據(jù)發(fā)送到另一個(gè)網(wǎng)絡(luò)上或者其他類型的網(wǎng)絡(luò)上���。它們將公司與外界連接起來,保護(hù)信息不受安全威脅���,甚至可以決定哪些計(jì)算機(jī)擁有更高的優(yōu)先級��。系統(tǒng)管理員和安全專家經(jīng)?��;ㄙM(fèi)大量的精力配置各種防火墻、AP���、POP��、sendmail等服務(wù)——而這些是UNIX系統(tǒng)中經(jīng)常出問題的部分�。盡管訪問路由器的方式相對少一些,但是還要進(jìn)行進(jìn)一步的配置以限制
3�、對路由器更深一步的訪問。3.1保護(hù)登錄點(diǎn)大多數(shù)Cisco路由器還是通過遠(yuǎn)程登錄方式進(jìn)行控制的���,沒有采用任何形式的加密方法����。采用遠(yuǎn)程登錄方式進(jìn)行的通信都是以明文傳輸��,很容易泄露登錄口令���。盡管CiscoIOS12.1采用了SSHl的加密手段��,仍然存在很多問題����。在Cisco公司考慮使用SSH之前(希望他們采用SSH2版本)��,用戶都只能使用Tel�����。但是,還是有很多方法可以控制對路由器的訪問��,從而限制非授權(quán)用戶對路由器的訪問��。登錄到路由器的方式有:通過物理控制臺(tái)端口���;通過物理輔助端口����;通過其他物理串行端口(僅指在
4��、具有端口的模型上)���;通過遠(yuǎn)程登錄方式進(jìn)入一個(gè)單元的IP地址中。前三種方式需要物理接口�,這樣很容易控制。下面主要討論第四種方式�����。Cisco路由器有5個(gè)可以遠(yuǎn)程登錄的虛擬終端或稱為vty�。采用遠(yuǎn)程登錄時(shí)要注意兩點(diǎn)�����。首先�����,要確認(rèn)通過所有的vty登錄都需要口令�����。配置時(shí)可以采用如下命令:Router1(config)#linevty04Router1(config)#passeout1Router1(config-line)#exitRouter1(config)#servicetcp-keepalives.in
5�、這些命令設(shè)置vty的時(shí)間限制為1分鐘��,限制TCP連接的時(shí)間長度�����。除了上述命令��,用戶還可以設(shè)置標(biāo)準(zhǔn)的訪問列表以限制可以遠(yuǎn)程登錄到路由器本身內(nèi)的工作站的數(shù)量��。例如�����,假定系統(tǒng)的管理網(wǎng)段是10.1.1.0,你將被遠(yuǎn)程登錄的地方����,下列命令可以限制對該范圍內(nèi)的進(jìn)站遠(yuǎn)程登錄會(huì)話的數(shù)量,命令如下:Router1(config)#access-list1permit10.1.1.00.0.0.255Router1(config)#access-list1denyanyRouter1(config)#linevty04Ro
6�、uter1(config.line)#access-class1in說到考慮物理訪問,有兩點(diǎn)要注意:控制臺(tái)端口和輔助管理端口�����,輔助端口是為通過調(diào)制解調(diào)器等設(shè)備訪問路由器而設(shè)置的�,對這個(gè)端口進(jìn)行保護(hù)很重要?���?梢酝ㄟ^如下命令:Router1(config)#lineaux0Router1(config.line)#passD5散列算法保存重要口令,采用一般加密算法保存一般口令�����。4.3時(shí)鐘同步網(wǎng)絡(luò)時(shí)鐘協(xié)議(NTP)定義了網(wǎng)絡(luò)設(shè)備的時(shí)鐘與系統(tǒng)的時(shí)鐘同步規(guī)則����。NTP是業(yè)界標(biāo)準(zhǔn)��,NTP相當(dāng)準(zhǔn)確并且兼容性好——多種操
7、作系統(tǒng)及各種路由器和交換設(shè)備都支持�����。4.4SNMP管理許多組織經(jīng)常使用SNMP��,還有些組織現(xiàn)在希望將來使用����。不論其應(yīng)用前景如何,有兩點(diǎn)要注意:如果用戶不需要SNMP����,最好取消;如果要使用SNMP��,最好正確配置����。但是,如果用戶一定要使用SNMP�����,可以對其進(jìn)行保護(hù)。首先��,SNMP有兩種模式:只讀模式(RO)和讀寫模式(RP進(jìn)行偵察的目的��,還能阻止攻擊者利用其修改配置���。如果必須使用讀寫模式����,最好把只讀模式與讀寫模式使用的通信字符串區(qū)別開來�����。最后可以通過訪問控制列表來限制使用SNMP的用戶�����。
