本文主要給大家詳細的介紹了對于路由器交換機之中我們常用到的一些配置問題，并給出了詳細的操作說明，希望看過此文之后對你有所幫助。

反向訪問列表在交換技術中的應用方式

公司需求各個VLAN之間不能互相訪問，但一些基本的應用不能受影響。假設有5個部門，就有5個VLAN，分別是管理（63）、辦公（48）、業務（49）、財務（50）、其他（51）。

方法一： 只在管理VLAN的接口上配置，其它VLAN接口不用配置。

在入方向放置reflect
ip access-list extended infilter
permit ip any any reflect cciepass
在出方向放置evaluate
ip access-list extended outfilter
evaluate cciepass
deny ip 10.54.48.0 0.0.0.255 any
deny ip 10.54.49.0.0.0.0.255 any
deny ip 10.54.50.0 0.0.0.255 any
deny ip 10.54.51.0 0.0.0.255 any
permit ip any any

應用到管理接口
int vlan 63
ip access-group infilter in
ip access-group outfilter out

方法二：在管理VLAN接口上不放置任何訪問列表，而是在其它VLAN接口都放。

以辦公VLAN為例：

在出方向放置reflect
ip access-list extended outfilter
permit ip any any reflect cciepass

在入方向放置evaluate

ip access-list extended infilter
deny ip 10.54.48.0 0.0.0.255 10.54.49.0 0.0.0.255
deny ip 10.54.48.0 0.0.0.255 10.54.50.0 0.0.0.255
deny ip 10.54.48.0 0.0.0.255 10.54.51.0 0.0.0.255
deny ip 10.54.48.0 0.0.0.255 10.54.63.0 0.0.0.255
evaluate cciepass
permit ip any any

應用到辦公VLAN接口：

int vlan 48
ip access-group infilter in
ip access-group outfilter out

IP欺騙得簡單防護。如過濾非公有地址訪問內部網絡。過濾自己內部網絡地址；回環地址(127.0.0.0/8)；RFC1918私有地址；DHCP自定義地址(169.254.0.0/16)；科學文檔作者測試用地址(192.0.2.0/24)；不用的組播地址(224.0.0.0/4)；SUN公司的古老的測試地址(20.20.20.0/24;204.152.64.0/23)；全網絡地址(0.0.0.0/8)。

Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 any log
Router(Config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any log
Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any log
Router(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any log
Router(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any log
Router(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any log
Router(Config)# access-list 100 deny ip 192.0.2.0 0.0.0.255 any log
Router(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any
Router(Config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 any log
Router(Config)# access-list 100 deny ip 204.152.64.0 0.0.2.255 any log
Router(Config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any log

建議采用訪問列表控制流出內部網絡的地址必須是屬于內部網絡的。如：

Router(Config)# no access-list 101
Router(Config)# access-list 101 permit ip 192.168.0.0 0.0.0.255 any
Router(Config)# access-list 101 deny ip any any log
Router(Config)# interface eth 0/1
Router(Config-if)# description “internet Ethernet”
Router(Config-if)# ip address 192.168.0.254 255.255.255.0
Router(Config-if)# ip access-group 101 in

關閉路由器不需要的服務
在邊界路由器上關閉不安全和不需要的服務，這里假設路由器有Ethernet0和Ethernet1端口
Router(config)#  no cdp run//關閉CDP協議，CDP使用多播地址，能夠發現對端路由器的Hostname，硬件設備類型，IOS版本，三層接口地址，
發送CDP多播的地址

Router(config)#  no service tcp-small-servers
Router(config)#  no service udp-small-servers//關閉TCP和UDP的一些無用的小服務，這些小服務的端口小于19，通常用在以前的UNIX環境中，如chargen，daytime等
Router(config)#  no service finger//finger通常用在UNIX中，用來確定誰登陸到設備上：telnet 192.168.1.254 finger
Router(config)#  no ip finger//關閉對于finger查詢的應答
Router(config)#  no ip identd//關閉用戶認證服務，一個設備發送一個請求到Ident接口（TCP 113), 目標會回答一個身份識別，如host名稱或者設備名稱
Router(config)#  no ip source-route//關閉IP源路由，通過源路由，能夠在IP包頭中指定數據包實際要經過的路徑
Router(config)#  no ftp-server enable//關閉FTP服務
Router(config)#  no ip http server//關閉HTTP路由器登陸服務
Router(config)#  no ip http secure-server//關閉HTTPS路由器登陸服務
Router(config)#  no snmp-server community public RO
Router(config)#  no snmp-server community private RW
Router(config)#  no snmp-server enable traps
Router(config)#  no snmp-server system-shutdown
Router(config)#  no snmp-server trap-auth
Router(config)#  no snmp-server//關閉SNMP服務
Router(config)#  no ip domain-lookup//關閉DNS域名查找
Router(config)#  no ip bootp server//bootp服務通常用在無盤站中，為主機申請IP地址
Router(config)#  no service dhcp//關閉DHCP服務
Router(config)#  no service pad//pad服務一般用在X.25網絡中為遠端站點提供可靠連接
Router(config)#  no boot network//關閉路由器通過TFTP加載IOS啟動
Router(config)#  no service config//關閉路由器加載IOS成功后通過TFTP加載配置文件
Router(config)#  interface ethernet 0
Router(config -if)# no ip proxy-arp//關閉代理ARP服務
Router(config -if)# no ip directed-broadcast//關閉直連廣播，因為直連廣播是能夠被路由的
Router(config -if)# no ip unreachable
Router(config -if)# no ip redirect
Router(config -if)# no ip mask-reply//關閉三種不可靠的ICMP消息
Router(config -if)# exit

注意：使用show ip interface查看接口啟用的服務
Router(config)#  interface ethernet 0
Router(config -if)# shutdown//手動關閉沒有使用的接口
Router(config -if)# exit
Router(config)#  service tcp-keepalives -in
Router(config)#  service tcp-keepalives -out
//對活動的tcp連接進行監視，及時關閉已經空閑超時的tcp連接，通常和telnet，ssh一起使用
Router(config)#  username admin1 privilege 15 secret geekboy
Router(config)#  hostname jwy
Bullmastiff(config)#  ip domain-name godupgod.com
Bullmastiff(config)#  crypto key generate rsa
Bullmastiff(config)#  line vty 0 4
Bullmastiff(config -line)# login local
Bullmastiff(config -line)# transport input ssh
Bullmastiff(config -line)# transport output ssh
//只允許其他設備通過SSH登陸到路由器

風暴控制

當端口接收到大量的廣播、單播、多播時，就會發生廣播風暴。轉發這些包將導致網絡速度變慢或超時。借助對端口的廣播風暴控制，可以有效地避免硬件順壞或鏈路故障而導致網絡癱瘓。默認狀態下，廣播、多播和單播風暴控制被禁用。 配置實例：在快速以太網端口開啟風暴控制，當網絡廣播包、多播包和單播包分別占到帶寬10%、30%、50%時，即自動 關閉該端口。當寬帶占用降低至9%、25%、45%時，再自動啟用該端口，配置如下：

interface fastEthernet0/1
swithcport access vlan 2
no ip addres
storm-control broadcast level 10.00 9.00
strom-control multicast level 30.00 25.00
strom-control unicast level 50.00 45.00
strom-control action shutdown

其他要求風暴控制端口配置基本相同。
show storm-control unicast f0/1
storm-control broadcast level 50 30

當 廣播到50%的時候，開始丟棄，并持續丟棄到 30%。30%以下開始正常轉發。
如果不配置 30%， 那么 低于50% 就開始轉發，高于50%就丟棄。
30% -50% 之間，你可以認為是 到達50%開始丟棄開始，到 低于30% 開始轉發 之間的一個 繼續丟棄的 “緩沖”區。