考虑到中小学校园的通用性,我们主要介绍校园网中常见的路由器Cisco 2612的维护内容,当然本文内容也可以适用于更高性能的Cisco 7600等路由器。Cisco 2612的模块化体系结构能够提供适应网络技术变化所需的通用性,它配置了强大的RISC处理器,能够支持当今不断发展的网络中所需的高级服务质量(QoS)、安全和网络集成特性。通过将多个独立设备的功能集成到一个单元之中,Cisco 2612还降低了治理远程网络的复杂性,为Internet、校园内部网访问、多服务语音/数据集成、模拟和数字拨号访问服务、VPN访问、ATM访问集中、VLAN以及路由带宽治理等应用提供经济有效的解决方案。
连接前的预备
很多中小学的校园网采用了ADSL或者HDSL的连接方式,首先看Modem的状态,假如Modem的DCD不亮,则表示线路连接故障。请先检查接入线路连接,再检查路由器的电缆连接,将控制终端连接到路由器上,按回车数下,出现路由器名称。
用终端或运行仿真软件的PC节接入CONSOLE口。终端或PC配置信息为:9600 baud 8 data bits no parity 2 stop bits (9600,8/N/2),意思是:波特率9600,数据位8,停止位1,奇偶校验无。治理员也可以在远端通过Telnet address进行远程设置。但假如是对路由器进行第一次配置时,必须采用前一种配置方式。
以太端口故障判定
我们使用show interface ethernet 0(端口0)命令来判定以太端口故障,用来检查一条链路的状态,此外,当我们怀疑端口有物理性故障时,可用shown version显示出物理性正常的端口,而出现物理故障的端口将不被显示出来。
串行端口故障判定
我们可以用show interface serial 0(串行端口0)命令来判定串行端口故障,检查链路的状态。如下所示:
router# show int serial 0
此外,当我们怀疑端口有物理性故障时,可用 shown version,将显示出物理性正常的端口,而出现物理故障的端口将不被显示出来。
路由器安全维护
利用路由器的漏洞发起攻击的事件经常发生。路由器攻击会浪费CPU周期,误导信息流量,使网络异常甚至陷于瘫痪。因此需要采取相应的安全措施来保护路由器的安全。
(1)避免口令泄露危机
据卡内基梅隆大学的CERT/CC(计算机应急反应小组/控制中心)称,80%的安全突破事件是由薄弱的口令引起的。黑客经常利用弱口令或默认口令进行攻击。加长口令、选用30到60天的口令有效期等措施有助于防止这类漏洞。
(2)关闭IP直接广播
Smurf攻击是一种拒绝服务攻击。在这种攻击中,攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应。这种情况会降低网络性能。使用no ip source-route关闭IP直接广播地址。
(3)禁用不必要的服务
强调路由器的安全性就不得不禁用一些不必要的本地服务,例如SNMP和DHCP这些用户很少用到的服务,都可以禁用,只有绝对必要的时候才使用。另外,可能时关闭路由器的HTTP设置,因为HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而,HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。
(4)限制逻辑访问
限制逻辑访问主要借助于合理处置访问控制列表,限制远程终端会话有助于防止黑客获得系统逻辑访问。SSH是优先的逻辑访问方法,但假如无法避免Telnet,不妨使用终端访问控制,以限制只能访问可信主机。因此,用户需要给Telnet在路由器上使用的虚拟终端端口添加一份访问列表。
(5)封锁ICMP ping请求
控制消息协议(ICMP)有助于排除故障,识别正在使用的主机,这样为攻击者提供了用来浏览网络设备、确定本地时间戳和网络掩码以及对OS修正版本作出推测的信息。因此通过取消远程用户接收ping请求的应答能力,就能更轻易的避开那些无人注重的扫描活动或者防御那些寻找轻易攻击的目标的“脚本小子”(script kiddies)。
(6)关闭IP源路由
IP协议答应一台主机指定数据包通过你的网络路由,而不是答应网络组件确定最佳的路径。这个功能的合法应用是诊断连接故障。但是,这种用途很少得到应用,事实上,它最常见的用途是为了侦察目的对网络进行镜像,或者用于攻击者在专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障,否则应该关闭这个功能。
标签:
