NBR优化配置-优化ACL( 转自锐捷)

NBR优化配置-优化ACL   发贴心情 Post By:2008-9-18 17:03:00

一、优化ACL

魔波等病毒肆虐、攻击工具的泛滥,通过 NBR 向导自动生成的 ACL 已不能满足需求。推荐 ACL 配置如下:
 
 
access-list 3198 deny tcp any any eq 135      // 冲击波、震荡波
access-list 3198 deny tcp any any eq 139      // 魔波
access-list 3198 deny tcp any any eq 445      // 冲击波、震荡波、魔波
access-list 3198 deny udp any any eq 137     //137 138 139 netbios 端口
access-list 3198 deny udp any any eq 138
access-list 3198 deny udp any any eq 139
access-list 3198 permit tcp host 192.168.1.5 host 192.168.1.1 eq www  // 允许管理机访问 192.168.1.1 的管理页面,例如管理机 IP 192.168.1.5
access-list 3198 deny tcp any host 192.168.1.1 eq www  // 拒绝所有 PC 访问网关 192.168.1.1 WEB 管理页面
access-list 3198 permit ip any any
 
 
access-list 3199 deny icmp any any echo      // 禁止从外网 ping 路由器
access-list 3199 deny tcp any any eq 135
access-list 3199 deny tcp any any eq 139
access-list 3199 deny tcp any any eq 445
access-list 3199 deny tcp any host x.x.x.x eq 80   // 禁止外网访问路由器管理页面,如果有多条接入线路,请依次配置,如果配置了 WEB 端口映射,请去掉。
access-list 3199 deny udp any any eq 137
access-list 3199 deny udp any any eq 138
access-list 3199 deny udp any any eq 139
access-list 3199 permit ip any any
其中 3198 应用在内网端口, 3199 应用在外网端口。
请注意配置步骤,错误的操作有可能导致无法访问路由器:
1 .删除应用在端口的 ACL (多条接入线路时请依次删除)
2 .删除原有 ACL
3 .配置新 ACL
4 .将新 ACL 应有到端口上(多条接入线路时请依次添加)
 
例:
NBR200>en
 
Password:
NBR200#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
NBR200(config)#int f0/0
NBR200(config-if)#no ip access-group 3198 in    // 删除应用在接口上的 ACL
NBR200(config-if)#int f1/0
NBR200(config-if)#no ip access-group 3199 in
NBR200(config-if)#exit
NBR200(config)#
NBR200(config)#no access-list 3198    // 删除 ACL
NBR200(config)#no access-list 3199
NBR200(config)#
NBR200(config)#access-list 3198 deny tcp any any eq 135
NBR200(config)#access-list 3198 deny tcp any any eq 139
NBR200(config)#access-list 3198 deny tcp any any eq 445
NBR200(config)#access-list 3198 deny udp any any eq 137
NBR200(config)#access-list 3198 deny udp any any eq 138
NBR200(config)#access-list 3198 deny udp any any eq 139
NBR200(config)# access-list 3198 permit tcp host 192.168.1.5 host 192.168.1.1 eq www
NBR200(config)# access-list 3198 deny tcp any host 192.168.1.1 eq www
NBR200(config)#access-list 3198 permit ip any any    // 配置新 ACL
NBR200(config)#
NBR200(config)#access-list 3199 deny icmp any any echo                                                            
NBR200(config)#access-list 3199 deny tcp any any eq 135
NBR200(config)#access-list 3199 deny tcp any any eq 139
NBR200(config)#access-list 3199 deny tcp any any eq 445
NBR200(config)#access-list 3199 deny tcp any host 192.168.33.28 eq 80
NBR200(config)#access-list 3199 deny udp any any eq 137
NBR200(config)#access-list 3199 deny udp any any eq 138
NBR200(config)#access-list 3199 deny udp any any eq 139
NBR200(config)#access-list 3199 permit ip any any
NBR200(config)#
NBR200(config)#int f0/0
NBR200(config-if)#ip access-group 3198 in         // 将新 ACL 应用在端口上
NBR200(config-if)#int f1/0
NBR200(config-if)#ip access-group 3199 in
NBR200(config-if)#exit
NBR200(config)#exit
NBR200#

分享至
一键收藏,随时查看,分享好友!
0人
了这篇文章
类别: 路由┆阅读( 0)┆评论( 0) ┆ 返回博主首页┆ 返回博客首页
上一篇 批处理改DNS的批处理 下一篇 NBR100多IP出口解决方案的配置方法

职位推荐

  • 网络系统工程师
  • 网络运维工程师
  • 网络工程师
  • 行政网管
  • 网络运维工程师
  • 核心网络工程师

文章评论

 
[1楼]楼主        mr1311  回复
2008-12-15 21:48:37
锐捷NBR系统路由器的高级设置方法 及常用的路由器命令2008-09-28 00:13
Red-Giant>     普通用户模式     和路由器建立连接时即可进入,如果         Telnet模式需要输入密码      

Red-Giant#   特权用户模式   普通模式下输入enable,同时输入授权密码

Red-Giant(config)#   全局配置模式   在特权用户模式下输入configure terminal

Red-Giant(config-router)#   路由协议配置模式   在全局模式下根据路由协议用router命令进入

Red-Giant(config-if)#   接口配置模式   在全局模式下根据配置的接口用interface命令进入

Red-Giant(config-subif)#   子接口配置模式   在全局模式下根据指定的子接口用interface命令进入

Red-Giant(config-line)#   线路配置模式   在全局模式下根据要配置的线路用line命令进入

Red-Giant(config-dial-peer)#   拨号对等体配置模式   在全局模式下用dial-peer voice 100 pots 或者dial-peer voice 100 voip命令进入

Red-Giant(config-voice-port)#   语音端口配置模式   在全局模式下用voice port 0进入

Red-Giant(config-voice-service-vo)#   语音端口配置模式   在全局模式下用voice service voip进入

Red-Giant(cfg-crypto-trans)#   安全转换方式配置模式   在全局模式下用crypto ipsectransform-set mytran进入

Red-Giant(config-isakmp)#   IKE策略配置模式   在全局模式下用crypto isakmp policy 1进入

Red-Giant(config-crypto-map)#   安全策略配置模式   在全局模式下用crypto map mymap 1进入

boot:   ROM监控模式   在特权用户模式下用reboot命令重起路由器,在启动时3秒内按CTRL+BREAK键


--------------------------------------------------------------------------------

常用命令示范。搭建内部服务器的方法,既端口映射方法。

Red-Giant>enable               ------进入特权用户组

Red-Giant#config terminal       ------进入全局配置

Red-Giant(config)#interface fastethernet 0       ---进入WAN口配置层

Red-Giant(config-if)#ip address 61.175.200.116 255.255.255.248       ---配置WAN口地址

Red-Giant(config-if)#ip nat outside     ---设置WAN口为共享连接的internet的接入口

Red-Giant(config-if)#no shut         ----启用WAN口

Red-Giant(config-if)#end             ----返回普通用户层

系统会返回提示信息,提示WAN口处于UP状态

Red-Giant#config terminal       ------进入全局配置

Red-Giant(config)#interface fastethernet 1       ---进入LAN口配置层

Red-Giant(config-if)#ip address 192.168.0.1 255.255.255.0       ---配置LAN口地址

Red-Giant(config-if)#ip nat inside   ---设置LAN口为共享连接的internet的接入口

Red-Giant(config-if)#no shut         ----启用LAN口

Red-Giant(config-if)#end

Red-Giant#

Red-Giant#config terminal       ------进入全局配置

Red-Giant(config)#ip router 0.0.0.0 0.0.0.0 fastenhernet 0 61.175.200.116     ----配置默认路由以访问Internet

Red-Giant(config)#access-list 1 permit any     ---配置NAT应用的访问列表

Red-Giant(config)#ip nat inside source list 1 interface fastethernet 0   ---配置连接共享规则

Red-Giant(config)#ip nat inside source static tcp 192.168.0.20 21 61.175.200.116 21     ---配置192.168.0.20的机子FTP端口映射

Red-Giant(config)#ip nat inside source static tcp 192.168.0.30 80 61.175.200.116 80     ---配置192.168.0.30的机子HTTP端口映射

Red-Giant(config)#end

Red-Giant#

Red-Giant#config terminal

Red-Giant(config)#line vty 0 4     ----配置远程TELNET访问密码

Red-Giant(config-line)#password temoteuser

Red-Giant(config-line)#end

Red-Giant#

Red-Giant#config terminal

Red-Giant(config)#enable password puzzle

Red-Giant(config)#host name       ----设置路由器名字

name(config)#end

name#

name#write           ----保存配置

name#show running-config     ---查看当前运行的配置

这样就算配置完成了。附件是简单的配置说明。更详细的配置参数可以查看RGNOS的说明。


常用的路由器命令

常用的路由器命令

Exec commands:
<1-99>; 恢复一个会话
bfe 手工应急模式设置
clear 复位功能
clock 管理系统时钟
configure 进入设置模式
connect 打开一个终端
copy 从tftp服务器拷贝设置文件或把设置文件拷贝到tftp服务器上
debug 调试功能
disable 退出优先命令状态
disconnect 断开一个网络连接
enable 进入优先命令状态
erase 擦除快闪内存
exit 退出exce模式
help 交互帮助系统的描述
lat 打开一个本地传输连接
lock 锁定终端
login 以一个用户名登录
logout 退出终端
mbranch 向树形下端分支跟踪多路由广播
mrbranch 向树形上端分支跟踪反向多路由广播
name-connection 给一个存在的网络连接命名
no 关闭调试功能
pad 打开X.29 PAD连接
ping 发送回显信息
ppp 开始点到点的连接协议
reload 停机并执行冷启动
resume 恢复一个活动的网络连接
rlogin 打开远程注册连接
rsh 执行一个远端命令
send 发送信息到另外的终端行
setup 运行setup命令
show 显示正在运行系统信息
slip 开始SLIP协议
start-chat 在命令行上执行对话描述
systat 显示终端行的信息
telnet 远程登录
terminal 终端行参数
test 测试子系统内存和端口
tn3270 打开一个tin3270连接
trace 跟踪路由到目的地
undebug 退出调试功能
verify 验证检查闪烁文件的总数
where 显示活动的连接
which-route 执行OSI路由表查找并显示结果
write 把正在运行的设置写入内存、网络、或终端
x3 在PAD上设置X.3参数
xremote 进入xremote模式


#show ?
access-expression 显示访问控制表达式
access-lists 显示访问控制表
apollo Apollo 网络信息
appletalk Apple Talk 信息
arap 显示Appletalk 远端通道统计
arp 地址解析协议表
async 访问路由接口的终端行上的信息
bridge 前向网络数据库
buffers 缓冲池统计
clns CLNS网络信息
clock 显示系统时钟
cmns 连接模式网络服务信息
compress 显示压缩状态
configuration 非易失性内存的内容
controllers 端口控制状态
debugging 调试选项状态
decnet DEC网络信息
dialer 拨号参数和统计
dnsix 显示Dnsix/DMPP信息
entry 排队终端入口
extended 扩展端口信息
flash 系统闪烁信息
flh-log 闪烁装载帮助日志缓冲区
frame-relay 帧中继信息
history 显示对话层历史命令
hosts IP域名,查找方式,名字服务,主机表
interfaces 端口状态和设置
ip IP信息
ipx Novell IPX信息
isis IS-IS路由信息
keymap 终端键盘映射
lat DEC LAT信息
line 终端行信息
llc2 IBM LLC2 环路信息
lnm IBM 局网管理
local-ack 本地认知虚环路
memory 内存统计
netbios-cache NetBios命名缓冲存贮器内存
node 显示已知LAT节点
ntp 网络时间协议
processes 活动进程统计
protocols 活动网络路由协议
queue 显示队列内容
queueing 显示队列设置
registry 功能注册信息
rhosts 远程主机文件
rif RIF存贮器入口
route-map 路由器信息
sdlle 显示sdlc-llc2转换信息
services 已知LAT服务
sessions 远程连接信息
smds SMDS信息
source-bridge 源网桥参数和统计
spanning-tree 跨越树形拓朴
stacks 进程堆栈应用
standby 热支持协议信息
stun STUN状态和设置
subsystem 显示子系统
tcp TCP连接状态
terminal 显示终端设置
tn3270 TN3270 设置
translate 协议转换信息
ttycap 终端容易表
users 显示终端行的信息
version 系统硬、软件状态
vines VINES信息
whoami 当前终端行信息
x25 X.25信息
xns XNS信息
xermote Xremote统计

#config ?
memory 从非易失性内存设置
network 从TFTP网络主机设置
overwrite-network 从TFTP网络主机设置覆盖非易失性内存
terminal 从终端设置

Configure commads:
access-list 增加一个访问控制域
apollo Apollo全局设置命令
appletalk Appletalk 全局设置命令
arap Appletalk远程进出协议
arp 设置一个静态ARP入口
async-bootp 修改系统启动参数
autonomous-system 本地所拥有的特殊自治系统成员
banner 定义注册显示信息
boot 修改系统启动时参数
bridge 透明网桥
buffers 调整系统缓冲池参数
busy-message 定义当连接主机失败时显示信息
chat-script 定义一个调制解调器对话文本
clns 全局CLNS设置子命令
clock 设置时间时钟
config-register 定义设置寄存器
decnet 全局DEC网络设置子命令
default-value 缺省字符位值
dialer-list 创建一个拨号清单入口
dnsix-nat 为审计提供DMDM服务
enable 修改优先命令口令
end 从设置模式退出
exit 从设置模式退出
frame-relay 全局帧中继设置命令
help 交互帮助系统的描述
hostname 设置系统网络名
iterface 选择设置的端口
ip 全局地址设置子命令
ipx Novell/IPX全局设置命令
keymap 定义一个新的键盘映射
lat DEC本地传输协议
line 设置终端行
lnm IBM局网管理
locaddr-priority-list 在LU地址上建立优先队列
logging 修改注册(设备)信息
login-string 定义主机指定的注册字符串
map-class 设置静态表类
map-list 设置静态表清单
menu 定义用户接口菜单
mop 设置DEC MOP服务器
netbios NETBIOS通道控制过滤
no 否定一个命令或改为缺省设置
ntp 设置NTP
priority-list 建立特权列表
prompt 设置系统提示符
queue-list 建立常规队列列表
rcmd 远程命令设置命令
rcp-enable 打开Rep服务
rif 源路由进程
router-map 建立路由表或进入路由表命令模式
router 打开一个路由进程
rsh-enable 打开一个RSH服务
sap-priority-list 在SAP或MAC地址上建立一个优先队列
service 修改网络基本服务
snmp-server 修改SNMP参数
state-machine 定义一个TCP分配状态的机器
stun STUN全局设置命令
tacacs-server 修改TACACS队列参数
terminal-queue 终端队列命令
tftp-server 为网络装载请求提供TFTP服务
tn3270 tn3270设置命令
translate 解释全局设置命令
username 建立一个用户名及其权限
vines VINES全局设置命令
x25 X.25 的第三级
x29 X.29 命令
xns XNS 全局设置命令
xremote 设置Xremote

(config)#ip
Global IP configuration subcommands:
accounting-list 选择保存IP记帐信息的主机
accounting-threshold 设置记帐入口的最大数
accounting-transits 设置通过入口的最大数
alias TCP端口的IP地址取别名
as-path BGP自治系统路径过滤
cache-invalidate-delay 延迟IP路由存贮池的无效
classless 跟随无类前向路由规则
default-network 标志网络作为缺省网关候选
default-gateway 指定缺省网(如果没有路由IP)
domain-list 完成无资格主机的域名
domain-lookup 打开IP域名服务系统主机转换
domain-name 定义缺省域名
forward-protocol 控制前向的、物理的、直接的IP广播
host 为IP主机表增加一个入口
host-routing 打开基于主机的路由(代理ARP和再定向)
hp-host 打开HP代理探测服务
mobile-host 移动主机数据库
multicast-routing 打开前向IP
name-server 指定所用名字服务器的地址
ospf-name-lookup 把OSPF路由作为DNS名显示
pim PIM 全局命令
route 建立静态路由
routing 打开IP路由
security 指定系统安全信息
source-route 根据源路由头的选择处理包
subnet-zero 允许子网0子网
tcp 全局TCP参数


[2楼]楼主        mr1311  回复
2008-12-15 21:54:51
四、限制每IP的nat进程数与流量
当前BT等P2P软件大量耗费路由器nat资源与带宽,是造成网速慢、掉线的罪魁祸首,默认NBR对每IP的nat进程限制数为350,流量则没有限制。根据实际应用的情况,推荐将每IP的nat进程限制数为200,每IP的上行流量设置为500kbit/s(约合50kbyte/s),下行流量设置为1000 kbit/s(约合100kbyte/s),配置方法如下:

NBR200>en








Password:

NBR200#conf t

Enter configuration commands, one per line. End with CNTL/Z.

NBR200(config)#ip nat translation per-user 0.0.0.0 200   //限制每IP的nat进程数为200

NBR200(config)# ip nat translation rate-limit iprange default inbound 500 outbound 1000   //限制上行速率为50kbyte/s,下行速率为100kbyte/s

NBR200(config)#

注意:进程数与速率上行下行的值都只是个经验值,可根据实际的情况进行配置。


 

发表评论            

昵  称:
登录  快速注册
验证码:

点击图片可刷新验证码请点击后输入验证码博客过2级,无需填写验证码

内  容:

同时赞一个

每日博报 精彩不止一点关闭

你可能感兴趣的:(职场,休闲,NBR优化配置-优化ACL)