首页 考试吧论坛 Exam8视线 考试商城 网络课程 模拟考试 考友录 实用文档 求职招聘 论文下载
2011中考 | 2011高考 | 2012考研 | 考研培训 | 在职研 | 自学考试 | 成人高考 | 法律硕士 | MBA考试
MPA考试 | 中科院
四六级 | 职称英语 | 商务英语 | 公共英语 | 托福 | 雅思 | 专四专八 | 口译笔译 | 博思 | GRE GMAT
新概念英语 | 成人英语三级 | 申硕英语 | 攻硕英语 | 职称日语 | 日语学习 | 法语 | 德语 | 韩语
计算机等级考试 | 软件水平考试 | 职称计算机 | 微软认证 | 思科认证 | Oracle认证 | Linux认证
华为认证 | Java认证
公务员 | 报关员 | 银行从业资格 | 证券从业资格 | 期货从业资格 | 司法考试 | 法律顾问 | 导游资格
报检员 | 教师资格 | 社会工作者 | 外销员 | 国际商务师 | 跟单员 | 单证员 | 物流师 | 价格鉴证师
人力资源 | 管理咨询师考试 | 秘书资格 | 心理咨询师考试 | 出版专业资格 | 广告师职业水平
驾驶员 | 网络编辑
卫生资格 | 执业医师 | 执业药师 | 执业护士
会计从业资格考试会计证) | 经济师 | 会计职称 | 注册会计师 | 审计师 | 注册税务师
注册资产评估师 | 高级会计师 | ACCA | 统计师 | 精算师 | 理财规划师 | 国际内审师
一级建造师 | 二级建造师 | 造价工程师 | 造价员 | 咨询工程师 | 监理工程师 | 安全工程师
质量工程师 | 物业管理师 | 招标师 | 结构工程师 | 建筑师 | 房地产估价师 | 土地估价师 | 岩土师
设备监理师 | 房地产经纪人 | 投资项目管理师 | 土地登记代理人 | 环境影响评价师 | 环保工程师
城市规划师 | 公路监理师 | 公路造价师 | 安全评价师 | 电气工程师 | 注册测绘师 | 注册计量师
缤纷校园 | 实用文档 | 英语学习 | 作文大全 | 求职招聘 | 论文下载 | 访谈 | 游戏
您现在的位置: 考试吧(Exam8.com) > 软件水平考试 > 网络技术 > 正文

网络技术:学习Cisco路由器应用的先进技术

讲述Cisco路由器一级交换机的技术应用。

  这是一篇关于Cisco路由器的专业性文章,希望学习这方面知识的学生们,能够得到一些论文写作方面的参考。文章主要讲述了Cisco路由器一级交换机的技术应用。网络的工作方式是使用两种设备,交换机和路由器将计算机和外围设备连接起来。

  这两种工具使连接到网络上的设备之间以及其它网络相互通信。虽然路由器和交换机看起来很像,但是它们在网络中的功能却截然不同:交换机主要用于将一栋大厦或一个校园里的多台设备连接到同一个网络上。路由器主要用于将多个网络连接起来。首先,路由器会分析网络发送的数据,改变数据的打包方式,然后将数据发送到另一个网络上或者其他类型的网络上。

  它们将公司与外界连接起来,保护信息不受安全威胁,甚至可以决定哪些计算机拥有更高的优先级。系统管理员和安全专家经常花费大量的精力配置各种防火墙、Web服务器和那些组成企业网络的基础设备。但是,他们经常会忽略路由器和交换机。这经常会导致黑客监听网络数据包、修改路由和其他一些恶意攻击行为。本文对Cisco路由器和交换机技术应用进行分析和探讨。

  1、网络基础设备的问题

  尽管很多攻击的目标是终端主机——如web服务器、应用服务器和数据库服务器,许多用户忽略了网络基础设备的安全问题。路由器和交换机不仅可以被攻击还可以作为黑客进行攻击的工具,还是黑客收集有用信息的合适设备。Cisco路由器和交换机有自己的操作系统,或者被称为CiscoIOS(网络操作系统)。同其他操作系统一样,早期的版本有许多漏洞,如果用户没有升级,会带来很多问题。

  从应用的角度看,路由器和交换机不仅可以作为攻击目标,还可以帮助黑客隐瞒身份、创建监听设备或者产生噪音。例如,很多Cisco交换机可以创建一个监视端口来监听交换机的其他端口。这样管理员和黑客就可以把交换机上看到的网络数据包备份到一个指定的交换机端口。尽管管理员努力在系统中杜绝集线器造成的监听问题,但是如果黑客可以通过交换机访问网络,网络安全便面临危险。

  2、定期升级系统

  任何系统都必须注重及时升级。Cisco公司一直注重IOS在版本更新、升级与发布策略,且Cisco公布的系统版本相对稳定。分析网络基础设备时要做的第一件事情就是调查在系统上运行的各种IOS系统的情况。使用ShowVersion命令可以方便地查到这些信息。如果用户发现系统中有的 10S系统版本比较老,在进行升级前最好与升级所花费的精力和金钱比较一下,考虑一下“如果没有问题,不需要升级”这句话。比IOS系统版本更重要的是这个版本是否已超过了使用周期。Cisco定义了三种阶段:

  早期开发阶段(EarlyDeployment,ED)。这个时期的10S系统有一些还不成熟的新特性,会有许多毛病。局部开发阶段 (LimitedDeployment,LD)。处于这个状态的IOS主要是针对ED系统中漏洞而进行改进的版本。普通开发阶段 (GeneralDeployment,GD)。这个阶段的IOS系统更强调系统的稳定性,基本上没有漏洞。尽管用户都希望使用最新的I0S系统,但我还要提醒用户注意自己的实际需求,GD版本将指出系统的大量已经发现的漏洞,通常是一个已经解决了发现的漏洞的版本。除非发现此版本的系统有很严重的漏洞这别无选择,只有升级。

  3、配置Cisco路由器

  Cisco路由器在主机级上比UNIX系统容易保护,这是因为系统提供的可远程访问的服务较少。路由器要进行复杂的路由计算并在网络中起着举足轻重的作用,它没有BIND、IMAP、POP、sendmail等服务——而这些是UNIX系统中经常出问题的部分。尽管访问路由器的方式相对少一些,但是还要进行进一步的配置以限制对路由器更深一步的访问。

  大多数Cisco 路由器还是通过远程登录方式进行控制的,没有采用任何形式的加密方法。采用远程登录方式进行的通信都是以明文传输,很容易泄露登录口令。尽管 CiscoIOS12.1采用了SSHl的加密手段,仍然存在很多问题。在Cisco公司考虑使用SSH之前(希望他们采用SSH2版本),用户都只能使用Telnet。但是,还是有很多方法可以控制对路由器的访问,从而限制非授权用户对路由器的访问。登录到路由器的方式有:通过物理控制台端口;通过物理辅助端口;通过其他物理串行端口(仅指在具有端口的模型上);通过远程登录方式进入一个单元的IP地址中。前三种方式需要物理接口,这样很容易控制。下面主要讨论第四种方式。

  Cisco路由器有5个可以远程登录的虚拟终端或称为vty。采用远程登录时要注意两点。首先,要确认通过所有的vty登录都需要口令。配置时可以采用如下命令:

  Router1(config)#linevty04

  Router1(config)#passwordfabi0!

  这样通过vty登录时需要输人口令“fabi0!”。其次,用户可以增加控制级别来防止黑客的入侵,可以同时绑定5个vty。具体的命令如下:

  Router1(config)#linevty04

  Router1(config-line)#exec-timeout1

  Router1(config-line)#exit

  Router1(config)#servicetcp-keepalives.in

  这些命令设置vty的时间限制为1分钟,限制TCP连接的时间长度。除了上述命令,用户还可以设置标准的访问列表以限制可以远程登录到路由器本身内的工作站的数量。例如,假定系统的管理网段是10.1.1.0,你将被远程登录的地方,下列命令可以限制对该范围内的进站远程登录会话的数量,命令如下:

  Router1(config)#access-list1permit10.1.1.00.0.0.255

  Router1(config)#access-list1denyany

  Router1(config)#linevty04

  Router1(config.line)#access-class1in

  说到考虑物理访问,有两点要注意:控制台端口和辅助管理端口,辅助端口是为通过调制解调器等设备访问路由器而设置的,对这个端口进行保护很重要。cCisco 路由器可以通过如下命令:

  Router1(config)#lineaux0

  Router1(config.line)#passwordfabi0!

  Router1(config)#lineconsole0

  Router1(config.line)#passwordfabi0!

  相关推荐:Cisco路由器故障判断及排除
文章责编:niufeifei  
看了本文的网友还看了
文章搜索
软件水平考试栏目导航
版权声明:如果软件水平考试网所转载内容不慎侵犯了您的权益,请与我们联系800@exam8.com,我们将会及时处理。如转载本软件水平考试网内容,请注明出处。