《cisco路由器安全管理》由会员分享,可在线阅读,更多相关《cisco路由器安全管理(38页珍藏版)》请在金锄头文库上搜索。
1、第4章 路由器安全管理路由器基本配置路由器基本配置实验目目标 掌握路由器几种常用配置方法;掌握路由器几种常用配置方法; 掌握采用掌握采用Console线缆配置路由器的方法;配置路由器的方法; 掌握采用掌握采用telnet方式配置路由器的方法;方式配置路由器的方法; 熟悉路由器不同的命令行操作模式以及各种模式之熟悉路由器不同的命令行操作模式以及各种模式之间的切的切换; 掌握路由器的基本配置命令;掌握路由器的基本配置命令; 实验背景背景 你是某公司新你是某公司新进的网管,公司要求你熟悉网的网管,公司要求你熟悉网络产品,首先要求品,首先要求你登你登录路由器,了解、掌握路由器的命令行操作;路由器,了解
2、、掌握路由器的命令行操作; 作作为网网络管理管理员,你第一次在,你第一次在设备机房机房对路由器路由器进行了初次配行了初次配置后,希望以后在置后,希望以后在办公室或出差公室或出差时也可以也可以对设备进行行远程管程管理,理,现要在路由器上做适当配置要在路由器上做适当配置技技术原理原理 路由器的管理方式基本分路由器的管理方式基本分为两种:两种:带内管理和内管理和带外管理。通外管理。通过路由器的路由器的Console口管理路由器口管理路由器属于属于带外管理,不占用路由器的网外管理,不占用路由器的网络接口,其特接口,其特点是需要使用配置点是需要使用配置线缆,近距离配置。第一次配,近距离配置。第一次配置置
3、时必必须利用利用Console端口端口进行配置。行配置。路由器基本配置路由器基本配置 实验步步骤 新建新建packet tracer 拓扑拓扑图(如(如图) (1)用)用标准准console线缆用于用于连接接计算机的串口和路由器的算机的串口和路由器的console上。在上。在计算机上启用超算机上启用超级终端,并配置超端,并配置超级终端的的参端的的参数,使数,使计算机与路由器通算机与路由器通过console口建立口建立连接;接; (2)配置路由器的管理)配置路由器的管理IP地址,并地址,并为telnet用用户配置用配置用户名和名和登登陆口令。配置口令。配置计算机的算机的IP地址(与路由器管理地址
4、(与路由器管理IP地址在同一地址在同一个网段),通个网段),通过网网线将将计算机和路由器相算机和路由器相连,通,通过计算机算机telnet到路由器上到路由器上进行行查看配置;看配置; (3)更改路由器的主机名;)更改路由器的主机名; (4)擦除配置信息、保存配置信息、)擦除配置信息、保存配置信息、显示配置信息;示配置信息; (5)显示当前配置信息;示当前配置信息; (6)显示示历史命令。史命令。交交换机的机的Telnet远程登程登陆配置配置 实验目目标 掌握采用掌握采用telnet方式配置交方式配置交换机的方法。机的方法。 实验背景背景 第一次在第一次在设备机房机房对交交换机机进行了初次配置后
5、,行了初次配置后,你希望以后在你希望以后在办公室或出差公室或出差时也可以也可以对设备进行行远程管理,程管理,现要在交要在交换机上做适当配置。机上做适当配置。技技术原理原理 配置交配置交换机的管理机的管理IP地址地址(计算机的算机的IP地址与交地址与交换机管理机管理IP地址在同地址在同一个网段一个网段); 为telnet用用户配置用配置用户名和登名和登陆口令:口令: 交交换机、路由器中有很多密机、路由器中有很多密码,设置好置好这些密些密码可以有效地提高可以有效地提高设备的安全的安全性。性。 switch(config)#enable password设置置进入特入特权模式模式进的密的密码; sw
6、itch(config-line)可以可以设置通置通过console端口端口连接接设备及及telnet远程登程登录时所需要的密所需要的密码。 Switch(config)#line console 0 Switch(config-line)#password 5ijsj Switch(config)#login Switch(config)#line vty 0 4 Switch(config-line)#password 5ijsj Switch(config)#login4.1 Telnet会话管理4.1.1 呼出Telnet会话管理 图4-1 远程登录1)设置安全的口令 2)关闭Ping
7、命令测试。 Smurf攻击3)关闭虚拟服务器。 4)关闭IP源路由 5)MAC地址控制 6)确定数据包过滤的需求 确定数据包过滤实际上就是封锁端口 (7)保证路由器的物理安全防止未经允许的用户将嗅探设备放在内部网络中 (8)审阅安全记录 使用主机名直接远程登录 显示呼出Telnet会话 断开呼出Telnet会话 同时发起多个Telnet会话 返回某次Telnet会话过程 断开指定Telnet连接 4.1 Telnet会话管理4.1.2 呼入Telnet会话管理 采用相对线号断开远程Telnet连接 用绝对线号断开远程Telnet连接 4.2 访问控制ACL 4.2.1 访问控制列表概述 1访问
8、控制列表概述2配置访问控制列表访问控制列表访问控制列表是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝 访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡,路由器上的访问控制列表成为保护内网安全的有效手段。 表4-1 通过编号指定的访问列表所支持的协议 协议协议范围范围标准IP协议199扩展IP协议100199Ethernet类型码200299DECnet300399XNS400499扩展XNS500599AppleTalk600699Ethernet地址70079
9、9IPX800899扩展IPX900999IPX SAP10001099MAC11001199IPX汇总地址12001299标准IP协议:13001999(IOS v12.0 and later)扩展IP协议:20002699(IOS v12.0 and later)4.2 访问控制ACL 4.2.2 标准ACL配置方法 1标准IP访问控制列表语句ACCESS-LIST access-list-number DENY|PERMIT|REMARK SOURCE source-wildcard|ANY 2IP访问控制组语句 IP ACCESS-GROUP access-list-number IN
10、|OUT 标准IP访问控制列表配置实例1 标准IP访问控制列表配置实例2 4.2 访问控制ACL 4.2.3 扩展ACL配置方法 1扩展IP访问控制列表语句ACCESS-LIST access-list-number DENY|PERMIT|REMARK protocol source source-wildcard destination destination-wildcard option 2IP访问控制组语句 IP ACCESS-GROUP access-list-number IN|OUT 扩展IP访问控制列表配置实例4.2 访问控制ACL 4.2.4 命名访问控制列表 1标准命名访
11、问控制列表 ip access-list standard aclname ip access-group aclname in|out2扩展命名访问控制列表ip access-list extended aclname ip access-group aclname in|out3命名访问控制列表的修改4.2.5ACL日志 ACL语句中的关键字“log” 及其作用 4.3 路由器的安全管理 4.3.1 本地登录认证图4-23 配置本地登录认证 4.3 路由器的安全管理 4.3.1 本地登录认证图4-24 本地登录认证 4.3.2 访问类语句 图4-25 限制对路由器的管理性访问 4.3.2 访问类语句 图4-26 进行VTY访问控制 4.3.3 HTTP/HTTPS 1HTTP管理方式 图4-29 HTTP访问本地认证配置 图4-31 限制HTTP访问位置图4-33 关闭路由器上的HTTP服务 4.3.3 HTTP/HTTPS 2HTTPS管理方式 图4-34 配置路由器支持HTTPS访问方式4.3.4 SSH 图4-39 配置路由器上的SSH服务的步骤 4.3.4 SSH 2SSH客户端 图4-47 SSH命令的上下文帮助信息 图4-48 以SSH方式登录到路由器R1思考与练习
