一,路由器访问控制的安全配置

1,严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。

2,建议不要远程访问路由器。即使需要远程访问路由器，建议使用访问控制列表和高强度的密码控制。

3,严格控制CON端口的访问。具体的措施有：

A,如果可以开机箱的，则可以切断与CON口互联的物理线路。

B,可以改变默认的连接属性，例如修改波特率(默认是96000，可以改为其他的)。

C,配合使用访问控制列表控制对CON口的访问。

如：Router(Config)#Access-list 1 permit 192.168.0.1

Router(Config)#line con 0

Router(Config-line)#Transport input none

Router(Config-line)#Login local

Router(Config-line)#Exec-timeoute 5 0

Router(Config-line)#access-class 1 in

Router(Config-line)#end

D,给CON口设置高强度的密码。

4,如果不使用AUX端口，则禁止这个端口。默认是未被启用。禁止如：

Router(Config)#line aux 0

Router(Config-line)#transport input none

Router(Config-line)#no exec

5,建议采用权限分级策略。如：

Router(Config)#username BluShin privilege 10 XXX

Router(Config)#privilege EXEC level 10 telnet

Router(Config)#privilege EXEC level 10 show ip access-list

6,为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。

7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为加密，所以需要对其进行严格的控制。如：设置强壮的密码；控制连接的并发数目；采用访问列表严格控制访问的地址；可以采用AAA设置用户的访问控制等。

8,IOS的升级和备份，以及配置文件的备份建议使用FTP代替TFTP。如：

Router(Config)#ip ftp username BluShin

Router(Config)#ip ftp password XXX

Router#copy startup-config ftp:

9,及时的升级和修补IOS软件。

二,路由器网络服务安全配置

1,禁止CDP(Cisco Discovery Protocol)。如：

Router(Config)#no cdp run

Router(Config-if)# no cdp enable

2,禁止其他的TCP、UDP Small服务。

Router(Config)# no service tcp-small-servers

Router(Config)# no service udp-samll-servers

3,禁止Finger服务。

Router(Config)# no ip finger

Router(Config)# no service finger

4,建议禁止HTTP服务。

Router(Config)# no ip http server

如果启用了HTTP服务则需要对其进行安全配置：设置用户名和密码；采用访问列表进行控制。如：

Router(Config)# username BluShin privilege 10 XXX

Router(Config)# ip http auth local

Router(Config)# no access-list 10

Router(Config)# access-list 10 permit 192.168.0.1

Router(Config)# access-list 10 deny any

Router(Config)# ip http access-class 10

Router(Config)# ip http server

Router(Config)# exit

5,禁止BOOTp服务。

Router(Config)# no ip bootp server

禁止从网络启动和自动从网络下载初始配置文件。

Router(Config)# no boot network

Router(Config)# no servic config

6,禁止IP Source Routing。

Router(Config)# no ip source-route

7,建议如果不需要ARP-Proxy服务则禁止它，路由器默认识开启的。

Router(Config)# no ip proxy-arp

Router(Config-if)# no ip proxy-arp

8,明确的禁止IP Directed Broadcast。

Router(Config)# no ip directed-broadcast

9,禁止IP Classless。

Router(Config)# no ip classless

10,禁止ICMP协议的IP Unreachables,Redirects,Mask Replies。

Router(Config-if)# no ip unreacheables

Router(Config-if)# no ip redirects

Router(Config-if)# no ip mask-reply

11,建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。或者需要访问列表来过滤。如：

Router(Config)# no snmp-server community

步骤1：基本配置保证在没有做vpn之前网络连通

步骤2：创建IKE加密策略

r1(config)#crypto isakmp policy 1

r1(config-isakmp)#encryption des               （加密消息算法）

r1(config-isakmp)#authentication pre-share      （对等体验证方法）

r1(config-isakmp)#hash md5                  （消息完整性算法）

r1(config-isakmp)#group 1                  （密钥交换参数）

r1#show crypto isakmp policy                显示策略配置结果

Protection suite of priority 1
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
        hash algorithm:         Message Digest 5
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #1 (768 bit)
        lifetime:               86400 seconds, no volume limit
Default protection suite
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Rivest-Shamir-Adleman Signature
        Diffie-Hellman group:   #1 (768 bit)
        lifetime:               86400 seconds, no volume limit

B路由器配置同理，注意两端使用的各种方法要相同

步骤3：由于使用了共享密钥验证对等体，定义密钥。注意密钥和对等体要一起定义

r1(config)#crypto isakmp key cisco address 135.25.1.2

r2(config)#crypto isakmp key cisco address 135.25.1.1

步骤4：定义IPSEC变换集

r1(config)#crypto ipsec transform-set future esp-des

r2(config)#crypto ipsec transform-set future esp-des

注意两端的参数要相同

r1#show crypto ipsec transform-set

Transform set future: { esp-des  }
   will negotiate = { Tunnel,  }

步骤5：定义将要保护的数据流

r1(config)#access-list 101 permit ip 135.25.3.0 0.0.0.255 135.25.4.0 0.0.0.255

r2(config)# access-list 101 permit ip 135.25.4.0 0.0.0.255 135.25.3.0 0.0.0.255

步骤6：配置加密映射：将加密策略和流量联系起来

r1(config)#crypto map zhangyu 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer
        and a valid access list have been configured.

r1(config-crypto-map)#set peer 135.25.1.2

r1(config-crypto-map)#set transform-set future

r1(config-crypto-map)#match address 101

B路由器同理

步骤7：将加密映射应用到接口

r1(config)#int s 0

r1(config-if)#crypto map zhangyu

步骤8：测试显示A路由器上IPSEC连接

r1#show crypto engine connections active

ID Interface       IP-Address      State  Algorithm         Encrypt  Decrypt

在PC1上ping 135.25.4.1

r1#show crypto engine connections active

  ID Interface       IP-Address      State  Algorithm          Encrypt  Decrypt
2000 Serial0         135.25.1.1      set    DES_56_CBC               0        5
2001 Serial0         135.25.1.1      set    DES_56_CBC

    在Cisco路由器忘记或丢失enable密码的情况时，一共有两种方法恢复，
取决于你使用的路由器是哪一系列产品。

第一种方法：

   使用这种方法可恢复下列路由器：Cisco 2000系列、2500系列、3000系列、使用680x0
Motorol a CPU的Cisco 4000系列、运行10.0版本以上Cisco IOS系统的7000系列路由器。

实现步骤：

1.   在路由器的console口接上一个终端或用安装仿真终端软件的PC机。

2.   输入show version命令，然后记下寄存器值，通常是0x2102 or 0x102。这个值显示在最后一行，注意寄存器的配置是否把Break设为enable或disable。 缺省配置寄存器值是0x2102。这个值从左数第三个数字如果是1，则是disable Break；如果为零，则Break为enabled。

3.   切断电源后再重启。

4.   在路由器启动的60秒内在终端机上按Break键。将显示rommon> 提示符。如果提示符不是这样，则终端没有发出正确的中断信号，检查Break键是否正确或是否被设为disable。

5.   在提示符下输入o/r0x42或o/r0x41，o/r0x42意思是从Flash memory引导，o/r0x41意思是从ROMs引导(注意，第一个字符是字母o，不是数字0)。最好用0x42，在Flash memory没有装或erase的情况下，才用0x41，如果有0x41则只能view或erase配置，不能直接更改密码。

6.   在rommon>提示符下输入初始化命令。

7.   输入系统配置对话提示符敲no,一直等提示信息显示：Press RETURN to get started!

8.   敲回车，出现Router>提示符。

9.   输入enable命令，出现Router#提示符。

10.   选择下面选项中的一项：

   如果password没有加密，直接用more nvram:startup-config命令可以看密码；在password加密的情况下，无法看，只能修改，输入命令如下：

Router # configure memory

Router # configure terminal

Router(config)# enable secret 1234abcd

Router(config)# ctrl-z

Router # write memory

11.   在EXEC提示符输入configure terminal进入配置模式。输入config-register命令，把在第二步中记录的寄存器值复原。

12.   敲Ctrl-Z，退出配置状态。

13.  在特权模式下用write memory命令保存配置，然后reboot重启。

第二种方法

   使用这种方法可恢复下列路由器：Cisco 1003、1600系列、3600系列、4500系列、7200系列、7500系列和IDT Orion-Based路由器。

实现步骤：

前四步与上一种方法一样。

5.   在rommon>提示符下输入confreg命令，显示如下：

       Do you wish to change configuration[y/n]?

   输入yes，然后回车。在回答后面的问题时一直选择no，直到出现“ignore system config info[y/n]?”时输入yes。

   接着继续敲no回答，一直到看到“change boot characteristics[y/n]?”时输入yes
显示如下：
enter to boot:

   在这个提示符下可以有1和2两种选择。如果Flash memory is
erased选择1，这样只能view or erase配置，不能直接修改password。最好选择2。出现如下提示：
Do you wish to change configuration[y/n]?

回答no，然后回车，显示“rommon>”。

6.在特权EXEC下输入reload命令。

   后面操作同第一种方法。

一、网络说明

PC1接在Cisco3550 F0/1上，速率为1Ｍ

PC2接在Cisco3550 F0/2上，速率为2Ｍ

Cisco3550的G0/1为出口

二、详细配置过程

注：每个接口每个方向只支持一个策略；一个策略可以用于多个接口。因此所有PC的下载速率的限制都应该定义在同一个策略(在本例子当中为policy-map user-down)，而PC不同速率的区分是在Class-map分别定义。




1、在交换机上启动QOS

  Switch(config)#mls qos //在交换机上启动QOS




２、分别定义PC1(10.10.1.1)和PC2(10.10.2.1)访问控制列表

  Switch(config)#access-list 10 permit 10.10.1.0 0.0.0.255 //控制pc1上行流量

  Switch(config)#access-list 100 permit any 10.10.1.0 0.0.0.255 //控制pc1下行流量

  Switch(config)#access-list 11 permit 10.10.2.0 0.0.0.255 //控制pc2上行流量

  Switch(config)#access-list 111 permit any 10.10.2.0 0.0.0.255 //控制pc2下行流量




３、定义类，并和上面定义的访问控制列表绑定

  Switch(config)# class-map user1-up //定义PC１上行的类，并绑定访问列表10

  Switch(config-cmap)# match access-group 10

  Switch(config-cmap)# exit




  Switch(config)# class-map user2-up

  Switch(config-cmap)# match access-group 11 //定义PC2上行的类，并绑定访问列表10

  Switch(config-cmap)# exit

  Switch(config)# class-map user1-down

  Switch(config-cmap)# match access-group 100 //定义PC1下行的类，并绑定访问列表100

  Switch(config-cmap)# exit




  Switch(config)# class-map user2-down

  Switch(config-cmap)# match access-group 111 //定义PC2下行的类，并绑定访问列表111

  Switch(config-cmap)# exit




4、定义策略，把上面定义的类绑定到该策略

  Switch(config)# policy-map user1-up //定义PC１上行的速率为1M

  Switch(config-pmap)# class user1-up

  Switch(config-pmap-c)# trust dscp 信任差分服务代码点,用来对每一类流量实施各
种QOS策略，用户进来的数据包的DSCP缺省都为0

  Switch(config-pmap-c)# police 1024000 1024000 exceed-action drop 任何超过策略限制速率的通信流将会被丢弃（bits、bytes）

  Switch(config)# policy-map user2-up //定义PC２上行的速率为2M

  Switch(config-pmap)# class user2-up




  Switch(config-pmap-c)# trust dscp

  Switch(config-pmap-c)# police 2048000 1024000 exceed-action drop




  Switch(config)# policy-map user-down

  Switch(config-pmap)# class user1-down




  Switch(config-pmap-c)# trust dscp

  Switch(config-pmap-c)# police 1024000 1024000 exceed-action drop

  Switch(config-pmap-c)# exit

  Switch(config-pmap)# class user2-down

  Switch(config-pmap-c)# trust dscp

  Switch(config-pmap-c)# police 2048000 1024000 exceed-action dro

  Switch(config-pmap-c)# exit




５、在接口上运用策略
  Switch(config)# interface f0/1

  Switch(config-if)# service-policy input user1-up

  Switch(config)# interface f0/2

  Switch(config-if)# service-policy input user2-up

  Switch(config)# interface g0/1

  Switch(config-if)# service-policy input user-down