路由器安全性管理

1、口令管理

下面显示了设置控制从终端进行访问的口令的命令。

命令 操作效果

Line console 0 为控制台终端建立一个口令

Line vty 0 4 telnet连接建立一个口令

Enable-password 为特权exec模式建立一个口令

Enable-secret 使用MD5加密方法建立密码口令

Service password-encryption 保护口令，避免其通过idsplay命令

将口令显示出来

2、报文过滤

cisco的防火墙功能主要是通过报文的过滤实现的。

它可以实现对多种数据流的控制，如限制流入、以及流出等。通过对访问列表的编写，我们可以实现对特定网络或主机的数据流限制。

Accsess-list 的编号有特定的范围：

<1-99> IP standard access list

<100-199> IP extended access list

<1100-1199> Extended 48-bit MAC address access list

<200-299> Protocol type-code access list

<700-799> 48-bit MAC address access list

例如我们可以定义如下的访问表来实现允许任何主机到主机160..10.2.101的报文：

Accsess-list 101 permit ip any host 160.10.2.101

而下面的语句允许使用客户源端口（小于1024的端口留给服务器用）方式的主机发往160.10.2.100的udp报文通过，且报文的目的端口必须为dns端口（53）。其中gt为great than。

Accsess-list 101 permit udp any gt 1023 host 160.10.2.100 eq 53

建立好访问列表以后，要想让它进行报文过滤，必须将它应用到端口上。在进入要控制的端口后，用如下的命令应用此访问表：

router(config-if)#ip access-group 101 in

其中的in表示对向里（针对此端口来说）的数据进行过滤。要注意的是，一个端口只能有一个向里和向外的列表，如果有几个，则只有***个起作用。

参考：

CiscoCisco思科路由器口令恢复

当CiscoCisco思科路由器的口令被错误修改或忘记时，可以按如下步骤进行操作：

1.开机时按使进入ＲOM监控状态

2.按o 命令读取配置寄存器的原始值

> o#p#

3.作如下设置，使忽略NVRAM引导

>o/r0x**4*Cisco2500系列命令

rommon 1 >confreg 0x**4*Cisco2600、1600系列命令

一般正常值为0x2102

4.重新启动Cisco思科路由器

>I

rommon 2 >reset

5.在“Setup”模式，对所有问题回答No

6.进入特权模式

Router>enable

7.下载NVRAM

Router>configure memory

8.恢复原始配置寄存器值并激活所有端口

“hostname”#configure terminal

“hostname”(config)#config-register 0x“value”

“hostname”(config)#interface xx

“hostname”(config)#no shutdown

9.查询并记录丢失的口令

“hostname”#show configuration (show startup-config)

10.修改口令

“hostname”#configure terminal

“hostname”(config)line console 0

“hostname”(config-line)#login

“hostname”(config-line)#password xxxxxxxxx

“hostname”(config-line)#

“hostname”(config-line)#write memory(copy running-config startup-config)

２、IP地址分配

地址类网络主机网络地址范围标准二进制掩码

ＡN.H.H.H1-1261111 1111 0000 0000 0000 0000 0000 0000

ＢN.N.H.H128-1911111 1111 1111 1111 0000 0000 0000 0000

ＣN.N.N.H192-2231111 1111 1111 1111 1111 1111 0000 0000

子网位个数子网掩码子网数主机数

B类地址

2255.255.192.0216382

3255.255.224.068198

4255.255.240.0144894

5255.255.248.0302846

6255.255.252.0621822

7255.255.254.0126518

8255.255.255.0254254

9255.255.255.128518126

10255.255.255.192182262

11255.255.255.224284630

12255.255.255.240489414

13255.255.255.24881986

14255.255.255.252163822

C类地址

2255.255.255.192262

3255.255.255.224630

4255.255.255.2401414

5255.255.255.248306

6255.255.255.252622

 

【编辑推荐】

1. 思科路由器-广域网协议设置
2. 如何安装和设置无线路由器--无线局域网设置
3. 双路由器上网的连接和设置方法!!
4. 无线路由器设置详细图解
5. 路由器常见软件故障的问题解决