當(dāng)前位置 : 首頁>網(wǎng)絡(luò)\服務(wù)器>學(xué)堂>正文

限制路由器虛擬終端的連接訪問

http://www.yibo1263.com　2008-10-10 8:34:01 　來源:東北IT網(wǎng) 　編輯:葉子

　　對于網(wǎng)絡(luò)管理員來說，關(guān)于路由器的安全可以做的事情很多。如堵住安全漏洞、避免身份危機(jī)、限制邏輯訪問等。我們也有可能為控制臺和虛擬終端連接配置了一個用戶名和密碼提示，這些措施固然重要。不過，我們還要注意實施其它方面的安全功能。

　　基礎(chǔ)知識

　　我們可以采取的一項重要的安全措施是實施訪問控制列表(ACL)，它實現(xiàn)的是基本的安全。共有兩種類型的訪問控制列表：數(shù)字的和名稱的。這兩種類型中的每一種都可分為標(biāo)準(zhǔn)的和擴(kuò)展的。

　　數(shù)字式的訪問列表：在操作系統(tǒng)中，數(shù)字1到99和1300到1999是為標(biāo)準(zhǔn)的訪問列表準(zhǔn)備的，而數(shù)字100-199和數(shù)字2000-2699是為擴(kuò)展訪問列表保留的。在本文中，我們僅僅使用一個基本的訪問控制列表來保護(hù)我們的虛擬終端連接端口即VTY端口。簡言之，我們僅允許某些IP地址或某些網(wǎng)絡(luò)地址能夠遠(yuǎn)程登錄(telnet)到我們的路由器。

　　名稱式的訪問列表：一個名稱式訪問控制列表允許我們通過一個包括文字和數(shù)字的名稱來引用它。這也就意味著不再使用數(shù)字，我們的訪問列表可以具備一個有意義的名字，如“manage_telnet”,這個名字使得其意義和目的非常清楚。

　　標(biāo)準(zhǔn)的訪問列表：借助于標(biāo)準(zhǔn)的訪問列表，我們可以指定數(shù)據(jù)包的源地址。因此，我們可以檢查數(shù)據(jù)包來自哪里，并且根據(jù)數(shù)據(jù)包的源IP地址，我們可以或者允許，或者拒絕這種通信。

　　擴(kuò)展的訪問列表：通過擴(kuò)展的訪問列表，我們能夠更加精細(xì)地控制細(xì)節(jié)。除了可以控制源IP地址，我們還可以控制目的IP地址，我們還可以檢查源端口號和目的端口號，甚至可以檢查許多其它的高級參數(shù)，如TCP與UDP、ICMP的比較等。

　　實例

　　在本文的例子中，我們將使用數(shù)字式的標(biāo)準(zhǔn)訪問列表。我們將使用訪問列表號1，雖然可以從標(biāo)準(zhǔn)訪問列表范圍中選擇任意一個數(shù)字。也就是說我們能夠檢查這個數(shù)據(jù)包的源IP地址。

　　在這里，筆者只想允許一個人能夠登錄到路由器(您該不會希望有很多人可以登錄到您的路由器吧?)。只需先寫出訪問列表，然后將其應(yīng)用于我們的VTY端口(用于遠(yuǎn)程登錄)。我們將用“*”來控制特定的位模式，并只允許采用幾乎任何組合的特定的網(wǎng)絡(luò)/子網(wǎng)。

　　此外，在這里有一些免費的白皮書討論這些問題。您可以根據(jù)自己的路由器和網(wǎng)絡(luò)參考其中的配置。

　　下面具體看一個實例：
　　
　　以下是引用片段：
　　bbone_ok>enable
　　bbone_ok #config t
　　bbone_ok (config)#access-list 1 permit 130.107.12.114

在這幾行中，我們僅僅進(jìn)入了全局配置模式，創(chuàng)建了一個訪問列表號1，并只允許源自130.107.12.114的數(shù)據(jù)包。那么，我們?nèi)绾沃肋@是一個源地址而不是目標(biāo)地址呢?很簡單，因為這是一個標(biāo)準(zhǔn)的訪問列表(1是標(biāo)準(zhǔn)訪問列表范圍中的第一個數(shù)字)，而且此標(biāo)準(zhǔn)訪問列表所能做的唯一事情就是檢查源IP地址。

　　到目前為止，這個訪問列表還沒有做任何事情，因為我們并沒有將其運用到任何地方。為了便于理解，我們可以將這個訪問列表當(dāng)作一個安全警衛(wèi)。我們已經(jīng)雇用了這個安全警衛(wèi)，不過我們還沒有為他分配任務(wù)呢：該讓他警衛(wèi)哪一個門?可以通過使用show startup-config命令查看其“門”的配置，這個列表應(yīng)當(dāng)可以被運用到我們希望控制的任何接口上。因為我們想控制VTY端口，所以先給出訪問VTY接口的命令：

　　以下是引用片段：
　　bbone_ok(config)#line vty 0 4
　　bbone_ok(config-line)#access-class 1 in

一旦我們進(jìn)入了行配置模式，就可以通過“access-class”命令應(yīng)用前面所創(chuàng)建的訪問列表1�！癮ccess-class”命令將此訪問列表應(yīng)用于行配置模式(即此處的VTY)。

　　如此一來，這就僅允許擁有IP地址130.107.12.114的用戶能夠登錄到我們的設(shè)備，其它的工作站都被禁止。

　　這個簡單的例子向我們展示了訪問控制列表的功能，但愿對你有所幫助。

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·路由器ATM接口ping自己測試環(huán)路

·兩臺路由器之間建立鄰接關(guān)系的過程

·路由器密碼忘記五步暴力破解

·思科路由器常用配置命令大全

·從路由器入手改善網(wǎng)絡(luò)的安全性

·企業(yè)如何克服多功能路由器的效能瓶頸？

·俠諾路由器新增炒股與視頻雙封鎖

·家庭實用首選斐訊FR606無線路由器評測

·搭建穩(wěn)定安全的網(wǎng)絡(luò) 小型網(wǎng)吧路由器推薦

·用橋接解決網(wǎng)絡(luò)路由器的IP配置參數(shù)

·為路由器減負(fù)：關(guān)閉不需要的服務(wù)

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费