摘要:3550配置dhcp,网络上多有讨论,但大都存在错漏,按照网上介绍的配置一句“ip helper-address dhcp服务器地址”后,工程当中发现客户机不能从dhcp服务器获取ip地址,本人最近也刚好配置了3550作为dhcp服务 器中继代理,最初也曾困惑很久,后来在网上查找资料及在论坛上寻求众人帮助,终于在工程当中测试通过,为避免大家在工程当中遇到此类情况左调右调,特将配置过程写出来,给大家......
摘要:cisco路由器中的access-list(访问列表)最基本的有两种,分别是标准访问列表和扩展访问列表,二者的区别主要是前者是基于目标地址的数据包过滤,而后者是基于目标地址、源地址和网络协议极其端口的数据包过滤。随着网络的发展和用户要求的变化,从ios12.0开始,cisco路由器新增加了一种基于时间的访问列表。通过它,可以根据一天中的不同时间或者根据一星期中的不同日期(当然也可以二者结合起来)控......
Cisco路由器的安全配置简易方案
一.路由器访问控制的安全配置 2.建议不要远程访问路由器.即使需要远程访问路由器,建议使用访问控制列表与高强度的密码控制. 【程序编程相关:
VPN设置实例(运营商为移动公司)】1.严格控制可以访问路由器的管理员.任何一次维护都需要记录备案. 【推荐阅读:
PIX与VPN client的pre-s】a.如果可以开机箱的,则可以切断与con口互联的物理线路. 【扩展信息:
多播调试命令】3.严格控制con端口的访问.具体的措施有: b.可以 改变默认的连接属性,例如修改波特率(默认是96000,可以改为其他的). c.配合使用访问控制列表控制对con口的访问. 如:router(config)#access-list 1 permit 192.168.0.1
router(config)#line con 0router(config-line)#transport input nonerouter(config-line)#login localrouter(config-line)#exec-timeoute 5 0router(config-line)#access-class 1 inrouter(config-line)#end d.给con口设置高强度的密码. 4.如果不使用aux端口,则禁止这个端口.默认是未被启用.禁止如:
router(config)#line aux 0router(config-line)#transport input nonerouter(config-line)#no exec 5.建议采用权限分级策略.如:
router(config)#username blushin privilege 10 g00dpa55w0rdrouter(config)#privilege exec level 10 telnetrouter(config)#privilege exec level 10 show ip access-list6.为特权模式的进入设置强壮的密码.不要采用enable password设置密码.而要采用enable secret命令设置.并且要启用service password-encryption. 7.控制对vty的访问.如果不需要远程访问则禁止它.如果需要则一定要设置强壮的密码.由于vty在网络的传输过程中为加密,所以需要对其进行严格的控制.如:设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址;可以采用aaa设置用户的访问控制等. 8.ios的升级与备份,以及配置文件的备份建议使用ftp代替tftp.如:
router(config)#ip ftp username blushinrouter(config)#ip ftp password 4tppa55w0rdrouter#copy startup-config ftp:9.及时的升级与修补ios软件. 二.路由器网络服务安全配置 1.禁止cdp(cisco discovery protocol).
如: router(config)#no cdp run router(config-if)# no cdp enable2.禁止其他的tcp.udp small服务....
下一页 摘要:
前言:最近我设置防火墙vpn和服务器,dmz区服务器发布的问题,从互联网访问inside或dmz的服务器都很正常,从inside可以上互联网,但就是不能通过互联网域名访问inside和dmz的服务器,很是苦恼,用google搜索资料,逛到这个论坛来了,这里还不错,有很多新手和大虾。在我用google搜索的过程中,不停的遇到很多朋友和我一样的问题,但始终没有看到一个妥善解决的办法。有的朋友提到用......
