當(dāng)前位置 : 首頁(yè)>網(wǎng)絡(luò)\服務(wù)器>學(xué)堂>正文

限制路由器虛擬終端的連接訪(fǎng)問(wèn)

http://www.yibo1263.com　2008-10-10 8:34:01 　來(lái)源:東北IT網(wǎng) 　編輯:葉子

　　對(duì)于網(wǎng)絡(luò)管理員來(lái)說(shuō)，關(guān)于路由器的安全可以做的事情很多。如堵住安全漏洞、避免身份危機(jī)、限制邏輯訪(fǎng)問(wèn)等。我們也有可能為控制臺(tái)和虛擬終端連接配置了一個(gè)用戶(hù)名和密碼提示，這些措施固然重要。不過(guò)，我們還要注意實(shí)施其它方面的安全功能。

　　基礎(chǔ)知識(shí)

　　我們可以采取的一項(xiàng)重要的安全措施是實(shí)施訪(fǎng)問(wèn)控制列表(ACL)，它實(shí)現(xiàn)的是基本的安全。共有兩種類(lèi)型的訪(fǎng)問(wèn)控制列表：數(shù)字的和名稱(chēng)的。這兩種類(lèi)型中的每一種都可分為標(biāo)準(zhǔn)的和擴(kuò)展的。

　　數(shù)字式的訪(fǎng)問(wèn)列表：在操作系統(tǒng)中，數(shù)字1到99和1300到1999是為標(biāo)準(zhǔn)的訪(fǎng)問(wèn)列表準(zhǔn)備的，而數(shù)字100-199和數(shù)字2000-2699是為擴(kuò)展訪(fǎng)問(wèn)列表保留的。在本文中，我們僅僅使用一個(gè)基本的訪(fǎng)問(wèn)控制列表來(lái)保護(hù)我們的虛擬終端連接端口即VTY端口。簡(jiǎn)言之，我們僅允許某些IP地址或某些網(wǎng)絡(luò)地址能夠遠(yuǎn)程登錄(telnet)到我們的路由器。

　　名稱(chēng)式的訪(fǎng)問(wèn)列表：一個(gè)名稱(chēng)式訪(fǎng)問(wèn)控制列表允許我們通過(guò)一個(gè)包括文字和數(shù)字的名稱(chēng)來(lái)引用它。這也就意味著不再使用數(shù)字，我們的訪(fǎng)問(wèn)列表可以具備一個(gè)有意義的名字，如“manage_telnet”,這個(gè)名字使得其意義和目的非常清楚。

　　標(biāo)準(zhǔn)的訪(fǎng)問(wèn)列表：借助于標(biāo)準(zhǔn)的訪(fǎng)問(wèn)列表，我們可以指定數(shù)據(jù)包的源地址。因此，我們可以檢查數(shù)據(jù)包來(lái)自哪里，并且根據(jù)數(shù)據(jù)包的源IP地址，我們可以或者允許，或者拒絕這種通信。

　　擴(kuò)展的訪(fǎng)問(wèn)列表：通過(guò)擴(kuò)展的訪(fǎng)問(wèn)列表，我們能夠更加精細(xì)地控制細(xì)節(jié)。除了可以控制源IP地址，我們還可以控制目的IP地址，我們還可以檢查源端口號(hào)和目的端口號(hào)，甚至可以檢查許多其它的高級(jí)參數(shù)，如TCP與UDP、ICMP的比較等。

　　實(shí)例

　　在本文的例子中，我們將使用數(shù)字式的標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表。我們將使用訪(fǎng)問(wèn)列表號(hào)1，雖然可以從標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表范圍中選擇任意一個(gè)數(shù)字。也就是說(shuō)我們能夠檢查這個(gè)數(shù)據(jù)包的源IP地址。

　　在這里，筆者只想允許一個(gè)人能夠登錄到路由器(您該不會(huì)希望有很多人可以登錄到您的路由器吧?)。只需先寫(xiě)出訪(fǎng)問(wèn)列表，然后將其應(yīng)用于我們的VTY端口(用于遠(yuǎn)程登錄)。我們將用“*”來(lái)控制特定的位模式，并只允許采用幾乎任何組合的特定的網(wǎng)絡(luò)/子網(wǎng)。

　　此外，在這里有一些免費(fèi)的白皮書(shū)討論這些問(wèn)題。您可以根據(jù)自己的路由器和網(wǎng)絡(luò)參考其中的配置。

　　下面具體看一個(gè)實(shí)例：
　　
　　以下是引用片段：
　　bbone_ok>enable
　　bbone_ok #config t
　　bbone_ok (config)#access-list 1 permit 130.107.12.114

在這幾行中，我們僅僅進(jìn)入了全局配置模式，創(chuàng)建了一個(gè)訪(fǎng)問(wèn)列表號(hào)1，并只允許源自130.107.12.114的數(shù)據(jù)包。那么，我們?nèi)绾沃肋@是一個(gè)源地址而不是目標(biāo)地址呢?很簡(jiǎn)單，因?yàn)檫@是一個(gè)標(biāo)準(zhǔn)的訪(fǎng)問(wèn)列表(1是標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表范圍中的第一個(gè)數(shù)字)，而且此標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表所能做的唯一事情就是檢查源IP地址。

　　到目前為止，這個(gè)訪(fǎng)問(wèn)列表還沒(méi)有做任何事情，因?yàn)槲覀儾](méi)有將其運(yùn)用到任何地方。為了便于理解，我們可以將這個(gè)訪(fǎng)問(wèn)列表當(dāng)作一個(gè)安全警衛(wèi)。我們已經(jīng)雇用了這個(gè)安全警衛(wèi)，不過(guò)我們還沒(méi)有為他分配任務(wù)呢：該讓他警衛(wèi)哪一個(gè)門(mén)?可以通過(guò)使用show startup-config命令查看其“門(mén)”的配置，這個(gè)列表應(yīng)當(dāng)可以被運(yùn)用到我們希望控制的任何接口上。因?yàn)槲覀兿肟刂芕TY端口，所以先給出訪(fǎng)問(wèn)VTY接口的命令：

　　以下是引用片段：
　　bbone_ok(config)#line vty 0 4
　　bbone_ok(config-line)#access-class 1 in

一旦我們進(jìn)入了行配置模式，就可以通過(guò)“access-class”命令應(yīng)用前面所創(chuàng)建的訪(fǎng)問(wèn)列表1�！癮ccess-class”命令將此訪(fǎng)問(wèn)列表應(yīng)用于行配置模式(即此處的VTY)。

　　如此一來(lái)，這就僅允許擁有IP地址130.107.12.114的用戶(hù)能夠登錄到我們的設(shè)備，其它的工作站都被禁止。

　　這個(gè)簡(jiǎn)單的例子向我們展示了訪(fǎng)問(wèn)控制列表的功能，但愿對(duì)你有所幫助。

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·路由器ATM接口ping自己測(cè)試環(huán)路

·兩臺(tái)路由器之間建立鄰接關(guān)系的過(guò)程

·路由器密碼忘記五步暴力破解

·思科路由器常用配置命令大全

·從路由器入手改善網(wǎng)絡(luò)的安全性

·企業(yè)如何克服多功能路由器的效能瓶頸？

·俠諾路由器新增炒股與視頻雙封鎖

·家庭實(shí)用首選斐訊FR606無(wú)線(xiàn)路由器評(píng)測(cè)

·搭建穩(wěn)定安全的網(wǎng)絡(luò) 小型網(wǎng)吧路由器推薦

·用橋接解決網(wǎng)絡(luò)路由器的IP配置參數(shù)

·為路由器減負(fù)：關(guān)閉不需要的服務(wù)

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费