对于大多数企业局域网来说,路由器已经成为正在使用之中的最重要的安全设备之一。一般来说,大多数网络都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。
经过恰当的设置,边缘路由器能够把几乎所有的最顽固的坏分子挡在网络之外。如果你愿意的话,这种路由器还能够让好人进入网络。不过,没有恰当设置的路由器只是比根本就没有安全措施稍微好一点。
在下列指南中,我们将研究一下你可以用来保护网络安全的9个方便的步骤。这些步骤能够保证你拥有一道保护你的网络的砖墙,而不是一个敞开的大门。
1.修改默认的口令!
据卡内基梅隆大学的CERT/CC(计算机应急反应小组/控制中心)称,80%的安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的广泛的默认口令列表。你可以肯定在某些地方的某个人会知道你的生日。SecurityStats.com网站维护一个详尽的可用/不可用口令列表,以及一个口令的可靠性测试。
2.关闭IP直接广播(IP Directed Broadcast)
你的服务器是很听话的。让它做什么它就做什么,而且不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击。在这种攻击中,攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能。
参考你的路由器信息文件,了解如何关闭IP直接广播。例如,“Central(config)#no ip source-route”这个指令将关闭思科路由器的IP直接广播地址。
阅读全文...
HSRP:热备份路由器协议(HSRP:Hot Standby Router Protocol)
热备份路由器协议(HSRP)的设计目标是支持特定情况下 IP 流量失败转移不会引起混乱、并允许主机使用单路由器,以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说,当源主机不能动态知道第一跳路由器的 IP 地址时,HSRP 协议能够保护第一跳路由器不出故障。该协议中含有多种路由器,对应一个虚拟路由器。HSRP 协议只支持一个路由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。
负责转发数据包的路由器称之为主动路由器(Active Router)。一旦主动路由器出现故障,HSRP 将激活备份路由器(Standby Routers)取代主动路由器。HSRP 协议提供了一种决定使用主动路由器还是备份路由器的机制,并指定一个虚拟的 IP 地址作为网络系统的缺省网关地址。如果主动路由器出现故障,备份路由器(Standby Routers)承接主动路由器的所有任务,并且不会导致主机连通中断现象。
HSRP 运行在 UDP 上,采用端口号1985。路由器转发协议数据包的源地址使用的是实际 IP 地址,而并非虚拟地址,正是基于这一点,HSRP 路由器间能相互识别.
HSRP技术在网络中的应用
随着Internet的日益普及,人们对网络的依赖性也越来越强。这同时对网络的稳定性提出了更高的要求,人们自然想到了基于设备的备份结构,就像在服务器中为提高数据的安全性而采用双硬盘结构一样。路由器是整个网络的核心和心脏,如果路由器发生致命性的故障,将导致本地网络的瘫痪,如果是骨干路由器,影响的范围将更大,所造成的损失也是难以估计的。因此,对路由器采用热备份是提高网络可靠性的必然选择。在一个路由器完全不能工作的情况下,它的全部功能便被系统中的另一个备份路由器完全接管,直至出现问题的路由器恢复正常,这就是热备份路由协议(HotStandbyRouterProtocal),HSRPRFC2281技术要解决的问题。
一、HSRP协议概述
实现HSRP的条件是系统中有多台路由器,它们组成一个“热备份组”,这个组形成一个虚拟路由器。在任一时刻,一个组内只有一个路由器是活动的,并由它来转发数据包,如果活动路由器发生了故障,将选择一个备份路由器来替代活动路由器,但是在本网络内的主机看来,虚拟路由器没有改变。所以主机仍然保持连接,没有受到故障的影响,这样就较好地解决了路由器切换的问题。
为了减少网络的数据流量,在设置完活动路由器和备份路由器之后,只有活动路由器和备份路由器定时发送HSRP报文。如果活动路由器失效,备份路由器将接管成为活动路由器。如果备份路由器失效或者变成了活动路由器,将有另外的路由器被选为备份路由器。
在实际的一个特定的局域网中,可能有多个热备份组并存或重叠。每个热备份组模仿一个虚拟路由器工作,它有一个Well-known-MAC地址和一个 IP地址。该IP地址、组内路由器的接口地址、主机在同一个子网内,但是不能一样。当在一个局域网上有多个热备份组存在时,把主机分布到不同的热备份组,可以使负载得到分担。
二、HSRP的工作原理
HSRP协议利用一个优先级方案来决定哪个配置了HSRP协议的路由器成为默认的主动路由器。如果一个路由器的优先级设置的比所有其他路由器的优先级高,则该路由器成为主动路由器。路由器的缺省优先级是100,所以如果只设置一个路由器的优先级高于100,则该路由器将成为主动路由器。
通过在设置了HSRP协议的路由器之间广播HSRP优先级,HSRP协议选出当前的主动路由器。当在预先设定的一段时间内主动路由器不能发送hello消息时,优先级最高的备用路由器变为主动路由器。路由器之间的包传输对网络上的所有主机来说都是透明的。
配置了HSRP协议的路由器交换以下三种多点广播消息:
Hello———hello消息通知其他路由器发送路由器的HSRP优先级和状态信息,HSRP路由器默认为每3秒钟发送一个hello消息;
Coup———当一个备用路由器变为一个主动路由器时发送一个coup消息;
Resign———当主动路由器要宕机或者当有优先级更高的路由器发送hello消息时,主动路由器发送一个resign消息。
在任一时刻,配置了HSRP协议的路由器都将处于以下六种状态之一:
Initial———HSRP启动时的状态,HSRP还没有运行,一般是在改变配置或端口刚刚启动时进入该状态。
learn———路由器已经得到了虚拟IP地址,但是它既不是活动路由器也不是等待路由器。它一直监听从活动路由器和等待路由器发来的HELLO报文。
Listen———路由器正在监听hello消息。
Speak———在该状态下,路由器定期发送HELLO报文,并且积极参加活动路由器或等待路由器的竞选。
Standby———当主动路由器失效时路由器准备接管包传输功能。
Active———路由器执行包传输功能。
下面转一个例子:
============================================================================
在企业中,如果有自己的局域网,而且还规划了各个部门,那么部门之间可能会被规划到了不同的IP网段中,那么各部门之间的互相访问,则需要路由器来完成,那么各个部门因为在不同的子网中,所以它们的出口网关也不同。
看上面这个图。左下角有一台用路由器来模拟的PC机。交换机无法和真实的PC连接,一个小BUG,只好用了一台3620来代替PC.变通一下,也可以完成任务的)。它用F0/0口连接到了S3上。
现在在Router上有一个网段为1.1.1.1/24,而PC机的IP为192.168.1.200/24,很显然它们不在同一个网段中。那么如果PC要访问Router,则需要配置一个网关。
这里,S3将不做任何的配置,只把它看成一台连接设备,集线设备……
这里的网关选择有两个,S1和S2的FA0/1口。随便给PC配上哪一个就可以了。
但是,如果只配一个网关的话,这个网关失效了怎么办呢?那么PC将无法访问外部。而对于一个企业内部的员工而言,除非懂点这个……一般情况下,并不是每个员工能真正弄的清楚网关是干什么的或者怎么在PC上配网关。这样一来的话,那个指定的网关失效了,假设有200多台员工机器现在需要修改网关,对管理员来说,将是一项很艰巨的任务!
HSRP——路由热备份协议解决了这个问题。
刚才在图中谈到,S1和S2的F0/1口都可以成为PC的网关。认真看一下这个图,就能想清楚的哦。S1到PC和S2到PC其实都差不多,只是S2到PC中间多了一台S4而已。
在HSRP中,能把可以做为网关的设备集合起来形成一个虚拟的组——就好象windows的服务器集群。对外来看,它们是一台设备……
这里,我们把S1和S2看成是一台新的虚拟设备——S0,那么它有一个接口,这个接口就是PC的网关。这个接口必须和S1、S2的F0/1口在同一个网段中。
HSRP不仅为这个新的虚拟设备虚拟出了一个接口,我们还将给其配上IP信息,而且它
还会自动的为该接口虚拟出一个MAC地址,在我的BLOG里有篇文章是关于ARP的,里面讲到过,MAC和IP的关系。
这个MAC地址是有规律的,格式如下
0000.0c07.acXX
这是一段十六进制的MAC,前六位是厂商代码
第七位到第十位为HSRP标识
十一位和十二位是我们配置HSRP时的组号,换成二进制(比如我们定义了一个HSRP组,组号为1,那么这里就是01)
HSRP有五种状态:
1、Initial(初始化)
2、listen(监听)
3、speak(发言)
4、standby(备份)
5、Active(活动——主)
例如现在有两台网关设备被定义到一个HSRP组中,虽然HSRP承担了网关的功能,但其实是这个组中的某一台设备来承担起来的。到底是谁被HSRP映射了呢?这里需要进行一个选举。它们根据优先级来通过在指定接口上向外发送HSRP的hello报文来进行选举,而且默认为非抢占式的。在选举时,有的设备可能会经历如上5种状态,那么该设备将会到达active,即为担当重任的那台网关设备。其次就是standby,也就是在active设备down后,它将启用并接管曾经的active的工作变成新的active设备。也可以有多台网关设备。在HSRP中,活动设备只有一台。
根据上面的图。把实际的配置完成。
PC:
PC(config-if)#ip add 192.168.1.200 255.255.255.0
PC(config-if)# no shut
PC(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.100
//默认网关指向HSRP虚拟接口
S1:
S1(config)#int fa0/1
S1(config-if)#no switchport
//定义该接口为一个三层接口
S1(config-if)#ip add 192.168.1.1 255.255.255.0
S1(config-if)#no shut
S1(config-if)#standby 1 ip 192.168.1.100
//定义一个组号为一的虚拟HSRP组
S1(config-if)#standby 1 proiority 210
//定义该组在F0/1接口下的优先级为210
S1(config-if)#standby 1 preempt *把HSRP定义为抢占式
S1(config-if)#standby 1 track fa0/0 30
//监测上行接口,当上行接口down后,优先级自动减30,也就是变成180
S1(config-if)#int fa0/0
S1(config-if)#ip add 172.16.1.1 255.255.255.0
S1(config-if)#no shut
S1(config)#router rip
S1(config)#ver 2
S1(config)#no auto
S1(config)#net 172.16.1.0
S1(config#net 192.168.1.0
S2:
S2(config)#int fa0/1
S2(config-if)#ip add 192.168.1.2 255.255.255.0
S2(config-if)#no shut
S2(config-if)#standby 1 ip 192.168.1.100
S2(config-if)#standby 1 priority 200(默认为200)
S2(config-if)#standby 1 preempt
S2(config-if)#int fa0/0
S2(config-if)#no switchport
S2(config-if)#ip add 172.16.2.1 255.255.255.0
S2(config-if)#no shut
S2(config)#router rip
S2(config-router)#ver 2
S2(config-router)#no auto
S2(config-router)#net 192.168.1.0
S2(config-router)#net 172.16.0.0
Router:
Router(config)#int fa0/0
Router(config-if)#ip add 172.16.1.2 255.255.255.0
Router(config-if)#no shut
Router(config)#int fa0/1
Router(config-if)#ip add 172.16.2.2 255.255.255.0
Router(config-if)#no shut
Router(config)#int lo 0
Router(config-if)#ip add 1.1.1.1 255.255.255.0
Router(config)#router rip
Router(config-router)#net 172.16.0.0
Router(config-router)#net 1.1.1.1
项目上用户忘记路由器密码,找了点资料,顺便发出来。
在网络日常管理与维护的工作中,你是否遇到过这种现象:由于忘记了口令,你被原来亲切的“朋友”——路由器或交换机强行拒于门外,无法进行参数的重新设置、信息统计。下面就针对几种常见而重要的网络设备的口令清除方法谈谈本人的一点“小窍门”。
Cisco 路由器配置信息及口令的清除
适用范围:所有IOS在10.0及以上版本的Cisco 2000、2500、3000、4000、7000系列路由器。
清除步骤如下:
1.用路由器所带的串口线连接到Console口,以下通过Win95的超级终端进行;
2.路由器加电后60秒内,按下CTRL(如果不行按CTRL-BREAK)键,等待出现“〉”提示符;
3.键入“〉e/s 2000002”命令,并记录下返回值,用在后面“Router(config)#config-register 0x2102”命令中;(通常返回值是2102)
4.在“〉”符号后键入“o/r 0x42”;
5.键入“i”, 路由器将重新初始化,对于出现的提示问题,回答No;
6.键入“Enable”(没有口令,按回车即可);
7.改变口令(无论是否加密):
a. 输入“config mem”或“copy startup-config mem”;
b. 输入“write”;
c. 输入“config term”并输入“enable secret〈password〉”和“enable password〈password〉”,改变口令;
8.去掉用户提示及口令:
a.进入虚拟行配置模式,输入“line vty 0 4”;
b.输入“password〈password〉”,改变口令;
c.输入“login”(可以去掉用户提示,原来是login local);
9.完成后按Ctrl-z结束;
10.输入“write”保存所做的改变;
11.进入特权配置模式,键入“config-register 0x2102”(注意,必须完成此步);
12.Write保存配置信息;
13.退出配置模式,Reload完成重新启动路由器即可。
说明:o/r 0x42是从Flash中引导路由器,如果不成功,可采用o/r 0x41从ROM中引导路由器,其余操作与o/r 0x42相同,但是最好只在Flash引导不成功或Flash内容被删除、没有Flash情况下才用。使用0x41只能查看或删除配置信息而不能更改口令。
Cisco Catalyst 3000配置信息的清除
1.在交换机加电启动时,按住交换机后面板上的Sys Req按钮5秒钟,然后松开;
2.进入配置选单,选择“Clear Non-Volatile RAM”,即可清除交换机的所有配置信息(包括口令)。
3.根据需要,重新配置参数、口令等。
Intel Express交换机口令的清除
适用范围:Intel Express 10 Switch/10 Switch+/100FX Switch交换机
方法一:
1.进入交换机的维护模式(Maintenance Mode),输入:run defparm,以重启交换机,把原来的配置变成原始默认设置(原始默认没有口令)。
2.进入维护模式:
a.关闭交换机后按下面板上的Maint按钮,然后给交换机加电;
b.按下按钮保持3秒钟至System LED 绿色灯快速闪烁;
c.释放Maint按钮。
3.通过交换机的串口,用直连式串口线以9600/N/8/1,兼容VT100的终端模式进入交换机;
4.按Enter键,直到屏幕上出现命令行提示。
方法二:利用Intel交换机的后门
Telnet登录到交换机上,提示输入用户名时,随便输入一个,然后输入通用的口令“debug”,即可进入交换机。
3COM NetServer远程访问服务器
口令的清除
查看NetServer Configuration DIP开关,它控制NetServer的硬件配置信息。其中DIP4控制“Erase/Reinitialize Flash Configuration”。
清除步骤如下:
1.把DIP4拨到ON状态,当NETServer启动时,保于Flash的配置信息将会被删除;
2.关闭机器再把DIP4拨到OFF,加电启动,然后就可以重新配置了。
姓名:Chinadu
近期评论