本文主要從網(wǎng)絡(luò)基礎(chǔ)設(shè)備的問(wèn)題，定期升級(jí)系統(tǒng)，思科路由器的使用等方面詳細(xì)的介紹了如何理解思科路由器的技術(shù)。相信你看完之后會(huì)有所幫助。

這兩種工具使連接到網(wǎng)絡(luò)上的設(shè)備之間以及其它網(wǎng)絡(luò)相互通信。雖然路由器和交換機(jī)看起來(lái)很像，但是它們?cè)诰W(wǎng)絡(luò)中的功能卻截然不同：交換機(jī)主要用于將一棟大廈或一個(gè)校園里的多臺(tái)設(shè)備連接到同一個(gè)網(wǎng)絡(luò)上。路由器主要用于將多個(gè)網(wǎng)絡(luò)連接起來(lái)。首先，路由器會(huì)分析網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)，改變數(shù)據(jù)的打包方式，然后將數(shù)據(jù)發(fā)送到另一個(gè)網(wǎng)絡(luò)上或者其他類型的網(wǎng)絡(luò)上。

它們將公司與外界連接起來(lái)，保護(hù)信息不受安全威脅，甚至可以決定哪些計(jì)算機(jī)擁有更高的優(yōu)先級(jí)。系統(tǒng)管理員和安全專家經(jīng)常花費(fèi)大量的精力配置各種防火墻、Web服務(wù)器和那些組成企業(yè)網(wǎng)絡(luò)的基礎(chǔ)設(shè)備。但是，他們經(jīng)常會(huì)忽略路由器和交換機(jī)。這經(jīng)常會(huì)導(dǎo)致黑客監(jiān)聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)包、修改路由和其他一些惡意攻擊行為。本文對(duì)Cisco路由器和交換機(jī)技術(shù)應(yīng)用進(jìn)行分析和探討。

1.網(wǎng)絡(luò)基礎(chǔ)設(shè)備的問(wèn)題

盡管很多攻擊的目標(biāo)是終端主機(jī)——如web服務(wù)器、應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器，許多用戶忽略了網(wǎng)絡(luò)基礎(chǔ)設(shè)備的安全問(wèn)題。路由器和交換機(jī)不僅可以被攻擊還可以作為黑客進(jìn)行攻擊的工具，還是黑客收集有用信息的合適設(shè)備。Cisco路由器和交換機(jī)有自己的操作系統(tǒng)，或者被稱為CiscoIOS(網(wǎng)絡(luò)操作系統(tǒng))。同其他操作系統(tǒng)一樣，早期的版本有許多漏洞，如果用戶沒(méi)有升級(jí)，會(huì)帶來(lái)很多問(wèn)題。

從應(yīng)用的角度看，路由器和交換機(jī)不僅可以作為攻擊目標(biāo)，還可以幫助黑客隱瞞身份、創(chuàng)建監(jiān)聽(tīng)設(shè)備或者產(chǎn)生噪音。例如，很多Cisco交換機(jī)可以創(chuàng)建一個(gè)監(jiān)視端口來(lái)監(jiān)聽(tīng)交換機(jī)的其他端口。這樣管理員和黑客就可以把交換機(jī)上看到的網(wǎng)絡(luò)數(shù)據(jù)包備份到一個(gè)指定的交換機(jī)端口。盡管管理員努力在系統(tǒng)中杜絕集線器造成的監(jiān)聽(tīng)問(wèn)題，但是如果黑客可以通過(guò)交換機(jī)訪問(wèn)網(wǎng)絡(luò)，網(wǎng)絡(luò)安全便面臨危險(xiǎn)。

2.定期升級(jí)系統(tǒng)

任何系統(tǒng)都必須注重及時(shí)升級(jí)。Cisco公司一直注重IOS在版本更新、升級(jí)與發(fā)布策略，且Cisco公布的系統(tǒng)版本相對(duì)穩(wěn)定。分析網(wǎng)絡(luò)基礎(chǔ)設(shè)備時(shí)要做的第一件事情就是調(diào)查在系統(tǒng)上運(yùn)行的各種IOS系統(tǒng)的情況。使用ShowVersion命令可以方便地查到這些信息。如果用戶發(fā)現(xiàn)系統(tǒng)中有的10S系統(tǒng)版本比較老，在進(jìn)行升級(jí)前最好與升級(jí)所花費(fèi)的精力和金錢比較一下，考慮一下“如果沒(méi)有問(wèn)題，不需要升級(jí)”這句話。比IOS系統(tǒng)版本更重要的是這個(gè)版本是否已超過(guò)了使用周期。Cisco定義了三種階段：

早期開(kāi)發(fā)階段(EarlyDeployment，ED)。這個(gè)時(shí)期的10S系統(tǒng)有一些還不成熟的新特性，會(huì)有許多毛病。局部開(kāi)發(fā)階段(LimitedDeployment，LD)。處于這個(gè)狀態(tài)的IOS主要是針對(duì)ED系統(tǒng)中漏洞而進(jìn)行改進(jìn)的版本。普通開(kāi)發(fā)階段(GeneralDeployment，GD)。這個(gè)階段的IOS系統(tǒng)更強(qiáng)調(diào)系統(tǒng)的穩(wěn)定性，基本上沒(méi)有漏洞。盡管用戶都希望使用最新的I0S系統(tǒng)，但我還要提醒用戶注意自己的實(shí)際需求，GD版本將指出系統(tǒng)的大量已經(jīng)發(fā)現(xiàn)的漏洞，通常是一個(gè)已經(jīng)解決了發(fā)現(xiàn)的漏洞的版本。除非發(fā)現(xiàn)此版本的系統(tǒng)有很嚴(yán)重的漏洞這別無(wú)選擇，只有升級(jí)。

3.配置Cisco路由器

Cisco路由器在主機(jī)級(jí)上比UNIX系統(tǒng)容易保護(hù)，這是因?yàn)橄到y(tǒng)提供的可遠(yuǎn)程訪問(wèn)的服務(wù)較少。路由器要進(jìn)行復(fù)雜的路由計(jì)算并在網(wǎng)絡(luò)中起著舉足輕重的作用，它沒(méi)有BIND、IMAP、POP、sendmail等服務(wù)——而這些是UNIX系統(tǒng)中經(jīng)常出問(wèn)題的部分。盡管訪問(wèn)路由器的方式相對(duì)少一些，但是還要進(jìn)行進(jìn)一步的配置以限制對(duì)路由器更深一步的訪問(wèn)。

大多數(shù)Cisco 路由器還是通過(guò)遠(yuǎn)程登錄方式進(jìn)行控制的，沒(méi)有采用任何形式的加密方法。采用遠(yuǎn)程登錄方式進(jìn)行的通信都是以明文傳輸，很容易泄露登錄口令。盡管CiscoIOS12.1采用了SSHl的加密手段，仍然存在很多問(wèn)題。在Cisco公司考慮使用SSH之前(希望他們采用SSH2版本)，用戶都只能使用Telnet。但是，還是有很多方法可以控制對(duì)路由器的訪問(wèn)，從而限制非授權(quán)用戶對(duì)路由器的訪問(wèn)。登錄到路由器的方式有：通過(guò)物理控制臺(tái)端口;通過(guò)物理輔助端口;通過(guò)其他物理串行端口(僅指在具有端口的模型上);通過(guò)遠(yuǎn)程登錄方式進(jìn)入一個(gè)單元的IP地址中。前三種方式需要物理接口，這樣很容易控制。下面主要討論第四種方式。

Cisco路由器有5個(gè)可以遠(yuǎn)程登錄的虛擬終端或稱為vty。采用遠(yuǎn)程登錄時(shí)要注意兩點(diǎn)。首先，要確認(rèn)通過(guò)所有的vty登錄都需要口令。配置時(shí)可以采用如下命令：

Router1(config)#linevty04

Router1(config)#passwordfabi0!

這樣通過(guò)vty登錄時(shí)需要輸人口令“fabi0!”。其次，用戶可以增加控制級(jí)別來(lái)防止黑客的入侵，可以同時(shí)綁定5個(gè)vty。具體的命令如下：

Router1(config)#linevty04

Router1(config-line)#exec-timeout1

Router1(config-line)#exit

Router1(config)#servicetcp-keepalives.in

這些命令設(shè)置vty的時(shí)間限制為1分鐘，限制TCP連接的時(shí)間長(zhǎng)度。除了上述命令，用戶還可以設(shè)置標(biāo)準(zhǔn)的訪問(wèn)列表以限制可以遠(yuǎn)程登錄到路由器本身內(nèi)的工作站的數(shù)量。例如，假定系統(tǒng)的管理網(wǎng)段是10.1.1.0，你將被遠(yuǎn)程登錄的地方，下列命令可以限制對(duì)該范圍內(nèi)的進(jìn)站遠(yuǎn)程登錄會(huì)話的數(shù)量，命令如下：

Router1(config)#access-list1permit10.1.1.00.0.0.255

Router1(config)#access-list1denyany

Router1(config)#linevty04

Router1(config.line)#access-class1in

說(shuō)到考慮物理訪問(wèn)，有兩點(diǎn)要注意：控制臺(tái)端口和輔助管理端口，輔助端口是為通過(guò)調(diào)制解調(diào)器等設(shè)備訪問(wèn)路由器而設(shè)置的，對(duì)這個(gè)端口進(jìn)行保護(hù)很重要。cCisco 路由器可以通過(guò)如下命令:

Router1(config)#lineaux0

Router1(config.line)#passwordfabi0!

Router1(config)#lineconsole0

Router1(config.line)#passwordfabi0!

 【編輯推薦】

1. 常用思科路由器密碼恢復(fù)經(jīng)典案例
2. 思科路由器口令恢復(fù)辦法全解
3. 思科路由器安全性管理
4. cisco路由器配置ACL詳解
5. cisco路由器啟動(dòng)進(jìn)程