路由器配置基础及科技网网络介绍.ppt

* * No ip reirects 禁止icmp重定向报文 缺省时，icmp重定向报文再路由器上所有支持ip的接口上都被启用。Icmp重定向报文被发送到报文的源发送者，指明报文的目的地或者再同一个子网上，或者有到达目的地更直接的路径，在这种情况下，源发送主机将发送icmp重定向报文的路由器所提供的ip地址放在报文中。同样，黑客可以使用icmp重定向报文闯入私有网络中。 禁止icmp掩码回答报文 黑客们使用的另一个技巧时用icmp掩码请求报文来请求一个ip地址掩码。Icmp掩码回答报文给黑客们获得对用户网络的访问提供了最终答案。 No ip mask-reply Cisco ios自动发送一个icmp协议不可到达报文给发送ip地址来回答未知协议的icmp报文，同样，若icmp报文不能被送到目的ip主机地址，它返回给发送者一个icmp主机不可到达报文。黑客有时利用这种信息来获取可到达性和允许透过防火墙的可用协议。 No ip unreachable 控制和管理广播报文 广播报文在几个重要的internet协议中使用，因为广播报文有使网络超载的潜在可能，所以控制这些报文对一个ip网络的正常运行使必要的。 Cisco ios软件支持两种类型的广播报文 一、定向广播，定向广播是一个使用ip地址中网络和子网域的ip地址，一旦识别出此ip地址是一个定向广播，路由器将把报文重新封装在一个具有广播目的mac地址 Xffff.fffff.ffff 的幀中，使所有设备存取该幀以处理。 二、泛洪广播（也称局部广播），泛洪广播被所有网络上的所有设备回答。泛洪广播被定义成目的地址全为1，发送一个这样的广播报文可以引起网络严重超载，这就是所说的广播风暴。路由器在缺省时不转发全1ip地址。从而将广播限制在局部网络上。 * 1 确保采取一切可能的手段以防止通过对堡垒主机的非授权访问在上面放置DDoS软件，关闭所有不必要的ip服务，在所有的接口上使用命令no ip directed-broadcast以防止我们的边界路由器变成DDoS攻击的广播放大器 3 只允许允许的地址的数据包流出边界路由器，可以采用访问控制列表和ip verify unicast reverse-path 接口命令过滤外出流量 4 要求式ios版本ios 11.1cc或12.0＋。 首先利用访问控制列表对数据包进行分类，定义出icmp数据流 其次对数据流分完类之后，CAR可以有选择的将数据流量限制在指定的带宽之内，如果超出了约定的速率，就会触发策略行动，对数据包进行丢弃。 rate－limit接口配置命令被用来配置CAR 再次，在我们配置CAR前，接口上的cef（cisco 特快转发 cisco express forwarding）功能必须打开。 Ip verify unicast reverse-path网络接口命令： 这个功能检查每一个经过路由器的数据包。在路由器的cef（cisco express forwarding）表该数据包所到达网络接口的所有路由项中，如果没有该数据包源ip地址的路由，路由器将丢弃该数据包。例如，路由器接收到一个源IP地址为的数据包，如果CEF路由表中没有为IP地址提供任何路由（即反向数据包传输时所需的路由），则路由器会丢弃它。单一地址反向传输路径转发（Unicast Reverse Path Forwarding）在ISP（局端）实现阻止SMURF攻击和 其它基于IP地址伪装的攻击。这能够保护网络和客户免受来自互联网其它地方的侵扰。使用Unicast RPF 需要打开路由器的CEF swithing或CEF distributed switching选项。不需要将输入接口配置为CEF交换（switching）。只要该路由器打开了CEF功能，所有独立的网络接口都可以配置为其它交换（switching）模式。RPF（反向传输路径转发）属于在一个网络接口或子接口上激活的输入端功能，处理路由器接收的数据包。在路由器上打开CEF功能是非常重要的，因为RPF必须依靠CEF。Unicast RPF包含在支持CEF的Cisco IOS 12.0及以上版本中，但不支持Cisco IOS 11.2或11.3版本。 * 在实现应用中需要进行必要的修改，1540000为最大连接带宽 512000为syn flood流量速率的30％到50％之间的数值。Burst nomal（正常突变）和burst（最大突变）两个速率为正确的数值 注意： 如果突变速率设置超过30％，可能会丢失许多合法的syn数据包。使用“show interfaces rate-limit”命令查看该网络接口的正常和过度速率，能过帮助确定合适的突变速率。这个syn速率限制数