路由器优化配置
一、优化ACL
魔波等病毒肆虐、攻击工具的泛滥,通过NBR向导自动生成的ACL已不能满足需求。推荐ACL配置如下:
魔波等病毒肆虐、攻击工具的泛滥,通过NBR向导自动生成的ACL已不能满足需求。推荐ACL配置如下:
access-list 3198 deny tcp any any eq 135 //冲击波、震荡波
access-list 3198 deny tcp any any eq 139 //魔波
access-list 3198 deny tcp any any eq 445 //冲击波、震荡波、魔波
access-list 3198 deny udp any any eq 137 //137、138、139为netbios端口
access-list 3198 deny udp any any eq 138
access-list 3198 deny udp any any eq 139
access-list 3198 permit ip any any
access-list 3198 deny tcp any any eq 139 //魔波
access-list 3198 deny tcp any any eq 445 //冲击波、震荡波、魔波
access-list 3198 deny udp any any eq 137 //137、138、139为netbios端口
access-list 3198 deny udp any any eq 138
access-list 3198 deny udp any any eq 139
access-list 3198 permit ip any any
access-list 3199 deny icmp any any echo //禁止从外网ping路由器
access-list 3199 deny tcp any any eq 135
access-list 3199 deny tcp any any eq 139
access-list 3199 deny tcp any any eq 445
access-list 3199 deny tcp any host x.x.x.x eq 80 //禁止外网访问路由器管理页面,如果有多条接入线路,请依次配置,如果配置了WEB端口映射,请去掉。
access-list 3198 deny udp any any eq 137
access-list 3198 deny udp any any eq 138
access-list 3198 deny udp any any eq 139
access-list 3199 permit ip any any
access-list 3199 deny tcp any any eq 135
access-list 3199 deny tcp any any eq 139
access-list 3199 deny tcp any any eq 445
access-list 3199 deny tcp any host x.x.x.x eq 80 //禁止外网访问路由器管理页面,如果有多条接入线路,请依次配置,如果配置了WEB端口映射,请去掉。
access-list 3198 deny udp any any eq 137
access-list 3198 deny udp any any eq 138
access-list 3198 deny udp any any eq 139
access-list 3199 permit ip any any
其中3198应用在内网端口,3199应用在外网端口。
请注意配置步骤,错误的操作有可能导致无法访问路由器:
1.删除应用在端口的ACL(多条接入线路时请依次删除)
2.删除原有ACL
3.配置新ACL
4.将新ACL应有到端口上(多条接入线路时请依次添加)
请注意配置步骤,错误的操作有可能导致无法访问路由器:
1.删除应用在端口的ACL(多条接入线路时请依次删除)
2.删除原有ACL
3.配置新ACL
4.将新ACL应有到端口上(多条接入线路时请依次添加)
例:
NBR200>en
NBR200>en
Password:
NBR200#conf t
Enter configuration commands, one per line. End with CNTL/Z.
NBR200(config)#int f0/0
NBR200(config-if)#no ip access-group 3198 in //删除应用在接口上的ACL
NBR200(config-if)#int f1/0
NBR200(config-if)#no ip access-group 3199 in
NBR200(config-if)#exit
NBR200(config)#
NBR200(config)#no access-list 3198 //删除ACL
NBR200(config)#no access-list 3199
NBR200(config)#
NBR200(config)#access-list 3198 deny tcp any any eq 135
NBR200(config)#access-list 3198 deny tcp any any eq 139
NBR200(config)#access-list 3198 deny tcp any any eq 445
NBR200(config)#access-list 3198 deny udp any any eq 137
NBR200(config)#access-list 3198 deny udp any any eq 138
NBR200(config)#access-list 3198 deny udp any any eq 139
NBR200(config)#access-list 3198 permit ip any any //配置新ACL
NBR200(config)#
NBR200(config)#access-list 3199 deny icmp any any echo
NBR200(config)#access-list 3199 deny tcp any any eq 135
NBR200(config)#access-list 3199 deny tcp any any eq 139
NBR200(config)#access-list 3199 deny tcp any any eq 445
NBR200(config)#access-list 3199 deny tcp any host 192.168.33.28 eq 80
NBR200(config)#access-list 3199 deny udp any any eq 137
NBR200(config)#access-list 3199 deny udp any any eq 138
NBR200(config)#access-list 3199 deny udp any any eq 139
NBR200(config)#access-list 3199 permit ip any any
NBR200(config)#
NBR200(config)#int f0/0
NBR200(config-if)#ip access-group 3198 in //将新ACL应用在端口上
NBR200(config-if)#int f1/0
NBR200(config-if)#ip access-group 3199 in
NBR200(config-if)#exit
NBR200(config)#exit
NBR200#
NBR200#conf t
Enter configuration commands, one per line. End with CNTL/Z.
NBR200(config)#int f0/0
NBR200(config-if)#no ip access-group 3198 in //删除应用在接口上的ACL
NBR200(config-if)#int f1/0
NBR200(config-if)#no ip access-group 3199 in
NBR200(config-if)#exit
NBR200(config)#
NBR200(config)#no access-list 3198 //删除ACL
NBR200(config)#no access-list 3199
NBR200(config)#
NBR200(config)#access-list 3198 deny tcp any any eq 135
NBR200(config)#access-list 3198 deny tcp any any eq 139
NBR200(config)#access-list 3198 deny tcp any any eq 445
NBR200(config)#access-list 3198 deny udp any any eq 137
NBR200(config)#access-list 3198 deny udp any any eq 138
NBR200(config)#access-list 3198 deny udp any any eq 139
NBR200(config)#access-list 3198 permit ip any any //配置新ACL
NBR200(config)#
NBR200(config)#access-list 3199 deny icmp any any echo
NBR200(config)#access-list 3199 deny tcp any any eq 135
NBR200(config)#access-list 3199 deny tcp any any eq 139
NBR200(config)#access-list 3199 deny tcp any any eq 445
NBR200(config)#access-list 3199 deny tcp any host 192.168.33.28 eq 80
NBR200(config)#access-list 3199 deny udp any any eq 137
NBR200(config)#access-list 3199 deny udp any any eq 138
NBR200(config)#access-list 3199 deny udp any any eq 139
NBR200(config)#access-list 3199 permit ip any any
NBR200(config)#
NBR200(config)#int f0/0
NBR200(config-if)#ip access-group 3198 in //将新ACL应用在端口上
NBR200(config-if)#int f1/0
NBR200(config-if)#ip access-group 3199 in
NBR200(config-if)#exit
NBR200(config)#exit
NBR200#
二、设置SNTP服务器
设置SNTP服务器后可以让NBR的本地时钟与网络同步,以便我们对一些关键事件信息进行跟踪。设置方法如下:
NBR200#conf t
Enter configuration commands, one per line. End with CNTL/Z.
NBR200(config)#sntp enable //打开sntp功能
NBR200(config)#sntp interval 60 //配置sntp时间更新间隔,单位:秒
NBR200(config)#sntp server 128.9.176.30 //配置sntp服务器,128.9.176.30较稳定,可放心使用
NBR200(config)#
设置SNTP服务器后可以让NBR的本地时钟与网络同步,以便我们对一些关键事件信息进行跟踪。设置方法如下:
NBR200#conf t
Enter configuration commands, one per line. End with CNTL/Z.
NBR200(config)#sntp enable //打开sntp功能
NBR200(config)#sntp interval 60 //配置sntp时间更新间隔,单位:秒
NBR200(config)#sntp server 128.9.176.30 //配置sntp服务器,128.9.176.30较稳定,可放心使用
NBR200(config)#
三、设置syslog服务器
NBR默认情况下日志信息不保存在flash中,需设置,方法如下:
NBR200(config)#service timestamps log datetime //打开日志时间戳
NBR200(config)#exit
NBR200#
2006-10-25 15:54:34 NBR200: %5:Configured from console by console
使用show logging命令可对NBR的flash中记录的日志信息进行查看:
NBR200#show logging
Syslog logging: enabled
Console logging: level debugging, 1 messages logged
Monitor logging: level debugging, 0 messages logged
Buffer logging: level debugging, 1 messages logged
logging trace : disable
Timestamp debug messages: disabled
Timestamp log messages: datetime
Sequence log messages: disable
Trap logging: level informational, 0 message lines logged,0 reserved,0 fail
Log Buffer (Total 131072 Bytes) : have written 70
NBR默认情况下日志信息不保存在flash中,需设置,方法如下:
NBR200(config)#service timestamps log datetime //打开日志时间戳
NBR200(config)#exit
NBR200#
2006-10-25 15:54:34 NBR200: %5:Configured from console by console
使用show logging命令可对NBR的flash中记录的日志信息进行查看:
NBR200#show logging
Syslog logging: enabled
Console logging: level debugging, 1 messages logged
Monitor logging: level debugging, 0 messages logged
Buffer logging: level debugging, 1 messages logged
logging trace : disable
Timestamp debug messages: disabled
Timestamp log messages: datetime
Sequence log messages: disable
Trap logging: level informational, 0 message lines logged,0 reserved,0 fail
Log Buffer (Total 131072 Bytes) : have written 70
2006-10-25 15:54:34 NBR200: %5:Configured from console by console
四、限制每IP的nat进程数与流量
当前BT等P2P软件大量耗费路由器nat资源与带宽,是造成网速慢、掉线的罪魁祸首,默认NBR对每IP的nat进程限制数为350,流量则没有限制。根据实际应用的情况,推荐将每IP的nat进程限制数为200,每IP的上行流量设置为500kbit/s(约合50kbyte/s),下行流量设置为1000 kbit/s(约合100kbyte/s),配置方法如下:
NBR200>en
当前BT等P2P软件大量耗费路由器nat资源与带宽,是造成网速慢、掉线的罪魁祸首,默认NBR对每IP的nat进程限制数为350,流量则没有限制。根据实际应用的情况,推荐将每IP的nat进程限制数为200,每IP的上行流量设置为500kbit/s(约合50kbyte/s),下行流量设置为1000 kbit/s(约合100kbyte/s),配置方法如下:
NBR200>en
Password:
NBR200#conf t
Enter configuration commands, one per line. End with CNTL/Z.
NBR200(config)#ip nat translation per-user 0.0.0.0 200 //限制每IP的nat进程数为200
NBR200(config)# ip nat translation rate-limit iprange default inbound 500 outbound 1000 //限制上行速率为50kbyte/s,下行速率为100kbyte/s
NBR200(config)#
NBR200#conf t
Enter configuration commands, one per line. End with CNTL/Z.
NBR200(config)#ip nat translation per-user 0.0.0.0 200 //限制每IP的nat进程数为200
NBR200(config)# ip nat translation rate-limit iprange default inbound 500 outbound 1000 //限制上行速率为50kbyte/s,下行速率为100kbyte/s
NBR200(config)#
五、限制nat网段
某些病毒伪造原地址向外发起nat连接对路由器进行DDOS攻击,造成路由器内存耗尽。我们可以通过修改access-list 99避免这种攻击。
配置方法如下:
NBR200>en
某些病毒伪造原地址向外发起nat连接对路由器进行DDOS攻击,造成路由器内存耗尽。我们可以通过修改access-list 99避免这种攻击。
配置方法如下:
NBR200>en
Password:
NBR200#conf t
Enter configuration commands, one per line. End with CNTL/Z.
NBR200(config)# no access-list 99
NBR200(config)# access-list 99 permit 192.168.1.0 0.0.0.255 //只允许内网网段进行nat转换,该配置由内网接口F0/0地址决定。例如内网地址为192.168.0.1,则该命令为access-list 99 permit 192.168.0.0 0.0.0.255。
NBR200(config)#
注:配置过程中可能会造成网络短暂中断。
NBR200#conf t
Enter configuration commands, one per line. End with CNTL/Z.
NBR200(config)# no access-list 99
NBR200(config)# access-list 99 permit 192.168.1.0 0.0.0.255 //只允许内网网段进行nat转换,该配置由内网接口F0/0地址决定。例如内网地址为192.168.0.1,则该命令为access-list 99 permit 192.168.0.0 0.0.0.255。
NBR200(config)#
注:配置过程中可能会造成网络短暂中断。
六、ARP绑定
ARP欺骗是造成网吧掉线最主要的原因之一,要完全杜绝ARP,需满足以下条件:
1.路由器进行下面主机的arp绑定;
2.操作系统:“windows 2000 + sp4更新汇总1 ”或 以上(windowsXP,windows server2003,相关文章: http://support.microsoft.com/kb/842168)。
3.主机进行路由器网关arp绑定,路绑定方法:
ARP欺骗是造成网吧掉线最主要的原因之一,要完全杜绝ARP,需满足以下条件:
1.路由器进行下面主机的arp绑定;
2.操作系统:“windows 2000 + sp4更新汇总1 ”或 以上(windowsXP,windows server2003,相关文章: http://support.microsoft.com/kb/842168)。
3.主机进行路由器网关arp绑定,路绑定方法:
路由器绑定方法:
NBR200>en
NBR200>en
Password:
NBR200#conf t
Enter configuration commands, one per line. End with CNTL/Z.
NBR200(config)# arp 主机ip地址 主机mac地址 arpa //mac地址格式为xxxx.xxxx.xxxx
NBR200(config)#
请逐一绑定网络上所有的主机。
NBR200#conf t
Enter configuration commands, one per line. End with CNTL/Z.
NBR200(config)# arp 主机ip地址 主机mac地址 arpa //mac地址格式为xxxx.xxxx.xxxx
NBR200(config)#
请逐一绑定网络上所有的主机。
主机绑定方法:
命令提示符中输入 arp �Cs 网关ip地址 网关mac地址 //mac地址格式为xx-xx-xx-xx-xx-xx
可将上述命令创建到批处理文件中,并将该文件拷贝到windows启动菜单中。
命令提示符中输入 arp �Cs 网关ip地址 网关mac地址 //mac地址格式为xx-xx-xx-xx-xx-xx
可将上述命令创建到批处理文件中,并将该文件拷贝到windows启动菜单中。
PS:即将发行的9.0中具有ARP自动绑定功能,只需2条命令便可完成全网的ARP绑定。
七、配置向导
1.口令设置请不要使用admin、star或ruijie;
2.定时发送免费ARP功能开启,发送间隔为1s;
3.在单线路环境中请勿配置线路检测;
4.防外网攻击功能开启,并且设置等级为“高”。转自:杜松之家
七、配置向导
1.口令设置请不要使用admin、star或ruijie;
2.定时发送免费ARP功能开启,发送间隔为1s;
3.在单线路环境中请勿配置线路检测;
4.防外网攻击功能开启,并且设置等级为“高”。转自:杜松之家