當(dāng)前位置 : 首頁>網(wǎng)絡(luò)\服務(wù)器>學(xué)堂>正文

2505路由器HUB端口的安全性配置

http://www.yibo1263.com　2008-5-16 8:16:49 　來源:本站　編輯:張佳奇

　　美國CISCO公司的路由器產(chǎn)品在我國有廣大的用戶市場，但由于有關(guān)的技術(shù)資料還很少，一般的用戶在實際運用中往往只涉及幾個基本的命令，對其提供的強大功能卻少有了解，更談不上深入應(yīng)用了。我在實際工作中摸索出了其中一個非常有用的功能，對加強網(wǎng)絡(luò)安全管理具有很高的實用價值，現(xiàn)奉獻給同我一樣渴望深入了解的讀者。

　　CISCO 2505路由器有S0、S1兩個串口可與廣域網(wǎng)連接，1個E0口與局域網(wǎng)(以太網(wǎng))連接，與CISCO 2500系列其它產(chǎn)品相比，其最大的特點是提供了8口的HUB(集線器)功能，HUB的任一端口都享有E0口的IP地址，用雙絞線組網(wǎng)的用戶常選用此種型號的路由器。據(jù)我所知，有許多用戶僅僅把CISCO 2505的HUB功能當(dāng)做普通的HUB在用，在網(wǎng)絡(luò)的安全管理上存在著一定的漏洞，例如，可用一臺已設(shè)置好IP地址的計算機替換雙絞線對端的合法設(shè)備，從而騙過防火墻的檢查等等。實際上，CISCO 2505路由器本身已經(jīng)提供了對HUB各端口進行權(quán)限控制的命令，操作步驟如下：

　　1>enable /＊進入特權(quán)維護模式＊/

　　2＃config term /＊從主控終端上輸入配置命令＊/

　　3(config)＃hub e 0 n 　/＊進入指定的HUB端口(n)的設(shè)置模式。

　　n的取值范圍是1－8，但只能是一個數(shù)字。＊/

　　4(config－h(huán)ub)＃? /＊求得可用命令的簡單描述＊/

　　auto－polarity Enable automatic receiver polarity reversal exit Exit from hub configuration mode help Description of the interactive help system link－test Enable Link Test Function of Hub port no Negate or set default values of a command shutdown Shutdown the selected port source－address Enable Source Address control for Hub port

　　以上命令常用的是no和shutdown，但對注重安全防范的網(wǎng)絡(luò)管理員來說，掌握source－address命令則非常重要。該命令的格式如下：

　　(config－h(huán)ub)＃source－addrerss xxxx.xxxx.xxxx

　　其中xxxx.xxxx.xxxx是與該端口(n)物理相連的網(wǎng)卡(或其它網(wǎng)絡(luò)設(shè)備)的MAC地址(注意每個x都是16進制的數(shù)，如0000.21bc.6ac6等)，該地址可用網(wǎng)卡附帶的驅(qū)動程序或診斷程序查出，在UNIX下也可用hwconfig命令查看，得到的地址常是6組兩位的16進制數(shù)，應(yīng)轉(zhuǎn)換成上述格式。

　　5(config－h(huán)ub)＃exit

　　6(config)＃exit

　　7＃show hub /＊查看設(shè)置情況＊/

　　8＃write mem /＊將所做修改保存到NVRAM ＊/

　　由于MAC地址(Medium Access Control)是在世界范圍內(nèi)進行了唯一性編碼的，任何一個廠家生產(chǎn)的任何一塊網(wǎng)卡，其MAC地址都截然不同，因此，用此命令指定了端口的連接對象必須是某一臺特定的設(shè)備，再輔以其它的屏蔽功能(如關(guān)閉閑置端口、設(shè)置防火墻等)，則可有效地防止非法的網(wǎng)絡(luò)連接，從數(shù)據(jù)鏈路層開始，就可提供一個可靠的安全屏障了。經(jīng)實用，效果非常良好。

【收藏】【打印】【進入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费