cisco路由器交换机的技术应用

《cisco路由器交换机的技术应用 》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、Cisco路由器交换机的技术应用摘要：无论是数据、语音、视频还是无线接入，路由器和交换机都是所有企业通信不可缺少的组成部分。它们能够促进解决一个公司的关键问题，帮助该公司提高生产力，降低业务成本，改善安全性和客户服务质量。文章对Cisco路由器和交换机的技术应用进行了分析和阐述。关键词：Cisco；路由器；交换机中图分类号：TP393网络的工作方式是使用两种设备，交换机和路由器将计算机和外围设备连接起来。这两种工具使连接到网络上的设备之间以及其它网络相互通信。虽然路由器和交换机看起来很像，但是它们在网络

2、中的功能却截然不同：交换机主要用于将一栋大厦或一个校园里的多台设备连接到同一个网络上。路由器主要用于将多个网络连接起来。首先，路由器会分析网络发送的数据，改变数据的打包方式，然后将数据发送到另一个网络上或者其他类型的网络上。它们将公司与外界连接起来，保护信息不受安全威胁，甚至可以决定哪些计算机拥有更高的优先级。系统管理员和安全专家经常花费大量的精力配置各种防火墙、AP、POP、sendmail等服务——而这些是UNIX系统中经常出问题的部分。尽管访问路由器的方式相对少一些，但是还要进行进一步的配置以限制

3、对路由器更深一步的访问。3.1保护登录点大多数Cisco路由器还是通过远程登录方式进行控制的，没有采用任何形式的加密方法。采用远程登录方式进行的通信都是以明文传输，很容易泄露登录口令。尽管CiscoIOS12.1采用了SSHl的加密手段，仍然存在很多问题。在Cisco公司考虑使用SSH之前(希望他们采用SSH2版本)，用户都只能使用Tel。但是，还是有很多方法可以控制对路由器的访问，从而限制非授权用户对路由器的访问。登录到路由器的方式有：通过物理控制台端口；通过物理辅助端口；通过其他物理串行端口(仅指在

4、具有端口的模型上)；通过远程登录方式进入一个单元的IP地址中。前三种方式需要物理接口，这样很容易控制。下面主要讨论第四种方式。Cisco路由器有5个可以远程登录的虚拟终端或称为vty。采用远程登录时要注意两点。首先，要确认通过所有的vty登录都需要口令。配置时可以采用如下命令：Router1(config)#linevty04Router1(config)#passeout1Router1(config-line)#exitRouter1(config)#servicetcp-keepalives.in

5、这些命令设置vty的时间限制为1分钟，限制TCP连接的时间长度。除了上述命令，用户还可以设置标准的访问列表以限制可以远程登录到路由器本身内的工作站的数量。例如，假定系统的管理网段是10.1.1.0，你将被远程登录的地方，下列命令可以限制对该范围内的进站远程登录会话的数量，命令如下：Router1(config)#access-list1permit10.1.1.00.0.0.255Router1(config)#access-list1denyanyRouter1(config)#linevty04Ro

6、uter1(config.line)#access-class1in说到考虑物理访问，有两点要注意：控制台端口和辅助管理端口，辅助端口是为通过调制解调器等设备访问路由器而设置的，对这个端口进行保护很重要。可以通过如下命令：Router1(config)#lineaux0Router1(config.line)#passD5散列算法保存重要口令，采用一般加密算法保存一般口令。4.3时钟同步网络时钟协议(NTP)定义了网络设备的时钟与系统的时钟同步规则。NTP是业界标准，NTP相当准确并且兼容性好——多种操

7、作系统及各种路由器和交换设备都支持。4.4SNMP管理许多组织经常使用SNMP，还有些组织现在希望将来使用。不论其应用前景如何，有两点要注意：如果用户不需要SNMP，最好取消；如果要使用SNMP，最好正确配置。但是，如果用户一定要使用SNMP，可以对其进行保护。首先，SNMP有两种模式：只读模式(RO)和读写模式(RP进行侦察的目的，还能阻止攻击者利用其修改配置。如果必须使用读写模式，最好把只读模式与读写模式使用的通信字符串区别开来。最后可以通过访问控制列表来限制使用SNMP的用户。