思科路由器配置作业指导书讨论稿Word文档下载推荐.docx

思科路由器配置作业指导书讨论稿Word文档下载推荐.docx

《思科路由器配置作业指导书讨论稿Word文档下载推荐.docx》由会员分享，可在线阅读，更多相关《思科路由器配置作业指导书讨论稿Word文档下载推荐.docx（37页珍藏版）》请在冰豆网上搜索。

1.3.4审计8

1.4设备管理方面规范10

1.4.1NTP配置10

1.4.2SNMP配置11

1.4.3日志记录12

1.5安全方面配置12

1.5.1全局下关闭设备不必要服务12

1.5.2三层接口下禁用不必要服务13

1.5.3关闭CDP功能13

2控制层面14

2.1静态路由配置14

2.2OSPF路由配置规范14

2.2.1基本配置14

2.2.2路由重分布

（1）14

2.2.3路由重分布

（2）16

2.2.4引入默认路由进OSPF17

2.2.5认证方式18

2.2.6OSPF路由汇总18

2.2.7OSPF路由过滤19

2.3ISIS路由配置20

2.3.1基本配置20

2.3.2认证方式20

2.4BGP路由规范配置21

2.4.1基本配置21

2.4.2BGP路由宣告22

2.4.3BGP路由汇总22

2.4.4配置路由反射器23

2.4.5BGP会话加密23

2.4.6BGP属性操作24

2.5路由震荡抑制24

2.5.1IGP路由抑制24

2.5.2BGP路由抑制25

2.6MPLS–VPN配置规范25

2.6.1标签分发配置25

2.6.2定义VRF26

2.6.3配置MP-BGP26

2.6.4PE-CE的路由配置26

2.7COPP28

3数据层面31

3.1解决网络攻击的手段31

3.1.1带宽消耗的碎片攻击31

3.1.2smurf攻击31

3.1.3IPsnoofing攻击32

3.1.4TCPSYN-flooding32

3.1.5组播IGMP请求攻击32

3.2QOS32

3.2.1QOS限速32

3.2.2LLQ34

1管理层面

1.1设备基本配置

1.1.1设备名称

说明：

设备命名应该具有较强可读性和一致性，需要包含的信息有：

网络区域、网络角色、设备角色、设备属性、场所性质、场所描述、设备编号等。

适用场合：

网内每一台设备。

具体配置：

步骤

命令

目的

Step 

1 

Router（config）#hostnameNSCR-DWLJF2-ZJ

进入配置模式，关键字hostname

1.1.2接口描述

为了便于维护、增加配置文件的可读性，利于在故障处理期间节省时间。

描述规则可为：

To对端设备名所连端口。

路由器上的每个在用接口，特别是互联接口。

Router（config）#interfaceF0/0

进入接口配置模式下

2

Router（config-if）#description

To_NSCR-DWLJF2-ZJG1/1

关键字description后跟文字描述，字节不能超过240个字节

1.1.3Loopback地址

一般情况下路由器使用loopback地址做为设备的管理地址，loopback地址用处很多，例如router-id、做为日志、NTP等应用的识别源地址等。

每台设备

Router（config）#interfaceloopback0

Router（config-if）#ipaddressxxxxx/32

Ip地址一般为32位

1.1.4三层接口地址

设备配置三层接口地址，进行多层交换。

三层交换机、路由器。

二层交换机只能启用一个三层接口

Router（config-if）#ipaddxxxxx/24

配置Ip地址段

3

Router（config-if）#ipaddyyyyyy/24secondary

配置第二个地址段，注意同一个三层接口下的网段数据转发是通过MLS转发，不会通过CEF转发，所以secondary地址段尽量控制在两个内

1.2设备登陆

1.2.1配置ssh设备登陆

ssh是加密登陆方式，弥补TELNET明文显示方式的不足，ssh需要IOS版本的支持，IOS名字带K的版本支持SSH登陆。

每台设备但需要IOS支持

Router（config）#hostnameRouter1

SSH配置要素之一

Router（config）#ipdomain-nameDLXX.com

Router（config）#cryptokeygeneratersa1024

生成SSH密钥，1024位，默认512

4

Router（config）#ipsshtime-out120

SSH空闲时间为2分钟

5

Router（config）#ipsshauthentication-retries3

登录认证重复次数为3次

6

Router（config）#exit

退出配置模式

7

Router#wr

要保存配置，不然后续配置反应很慢

8

Router（config）#usernamexxxprivilege15password7xxx

配置本地用户名和密码

9

Router1（config）#linevty04

进入线程配置模式

10

Router1config-line）#transportinputSSH

只允许SSH登陆

11

Router1（Config-line）# 

login 

local

采用本地认证方式

1.2.2登陆提示

登陆后需要配置提示信息，提示信息为法律条文警示，禁止有欢迎之词。

不必要透露网络设备的作用、位置等信息。

Router（config）#bannerlogin*

关键字login，登陆设备后即可看到，*号键后回车

bannerlogin

Authorisedaccessonly

ThissystemisthepropertyofSTATEGRID

DisconnectIMMEDIATELYifyouarenotanauthoriseduser!

输入提示信息

以*号键结束

1.2.3登陆安全限制

默认情况下，设备登陆线程对所有地址开放，存在安全隐患，必要时通过ACL限制非法地址登陆。

Router（config）#access-list10permit10.1.1.00.0.0.255

创建ACL，用常规控制列表即可

Router（config）#linevty04

进入设备线程配置模式

Router（config-line）#access-class10in

加载ACL

Router（config-line）#exec-timeout50

防止线程吊死，强制5分钟无操作动作后退出

Router（config）#servicetcp-keepalives-in

全局开始TCP常连接（选配）

1.3AAA配置

1.3.1AAA全局配置

配置路由器和AAA服务器之间的通信。

2

Router（config）#iptacacssource-interfaceloopback0

指定设备识别地址为loopback0地址

Router（config）#tacacs-serverhost10.136.1.10keytest

指定AAA服务器地址为10.136.1.10，匹配的密码为test

Router（config）#tacacs-serverdirected-request

支持用户名扩展

Router（config）#tacacs-servertimeout60

定义超时时间

1.3.2认证

对TELNET、SSH登陆到设备的用户名进行AAA认证

Router（config）#aaanew-model

开启AAA认证

Router（config）#aaaauthenticationlogindefaultgrouptacacs+local

对登陆到路由器的用户进行认证，关键字“authentication”一般情况下采用默认defaultgroup。

首先采用AAA服务器认证，如果服务器失效采用本地认证

1.3.3授权

对TELNET、SSH登陆到设备的用户名进行命令等级区分，不同等级的用户名持有不同等级的命令操作权限。

AAA授权方式有多种方式，常见的是结合privilege授权、AAA直接授权命令关键字。

从操作及维护的角度上考虑，采用直接命令关键字授权利于维护，可执行命令定义通过ACS定义，设备无需定义等级命令。

Router（config）#aaaauthorizationexecdefaultgrouptacacs+local

对用户在EXEC模式进行授权

Router（config）#aaaauthorizationconfig-commands

对用户在配置模式下输入的命令进行授权检查（选配，高版本无需配置）

Router（config）#aaaauthorizationcommands1defaultgrouptacacs+localnone

对等级1的命令进行授权检查

Router（config）#aaaauthorizationcommands15de