事实：学校网络的通用路由器方法

欢迎进入网络技术社区论坛，与200万技术人员进行互动>>进入校园并连接互联网可以使师生获得大量信息资源，拓宽视野和知识，因此建立校园网络已成为促进学校现代化教育的唯一途径.

作为连接校园网内部网络和Internet的路由器，它在其中起着举足轻重的作用. 因此，路由器的管理对于每个园区网络管理员来说都是必不可少的课程.

连接前的准备工作

许多中小学校园网络使用ADSL或HDSL连接方法. 首先，查看调制解调器的状态. 如果调制解调器的DCD关闭，则表明线路连接有问题. 请首先检查访问线路的连接，然后检查路由器的电缆连接，将控制终端连接到路由器，然后按Enter键，然后出现路由器名称.

使用运行模拟软件的终端或PC部分连接到CONSOLE端口. 终端或PC的配置信息为: 9600baud8databitsnoparity2stopbits（9600，8 / N / 2），表示: 波特率9600，数据位8，停止位1，奇偶校验无.

管理员还可以通过远端的Telnet地址执行远程设置. 但是，如果是路由器的第一配置，则必须采用前一种配置方法.

以太网端口故障判断

我们使用showinteceethernet0（端口0）命令确定以太网端口故障，该故障用于检查链接的状态. 另外，当我们怀疑该端口有故障时，可以使用显示的版本显示正常的端口，并在发生物理故障时不显示该端口.

串口故障判断

我们可以使用showinteceserial0（串行端口0）命令确定串行端口故障并检查链接状态. 如下图所示:

router#showintserial0

此外，当我们怀疑端口上存在物理故障时，我们可以使用showvert版本显示正常端口，但不会显示物理故障端口.

路由器安全性

利用路由器漏洞发起的事件经常发生. 路由器将浪费CPU周期，信息流，使网络异常甚至瘫痪. 因此，有必要对路由器的安全性采取相应的安全措施.

（1）避免密码泄漏危机

根据卡内基梅隆大学的CERT / CC（计算机紧急响应小组/控制中心），安全漏洞中的80％由弱密码引起. 黑客通常使用弱密码或默认密码. 延长密码和选择30至60天的密码有效期等措施可以帮助防止此类漏洞.

（2）直接关闭IP

蓝精灵是一项服务. 在这种情况下，此人使用伪造的源地址向您的网络地址发送“ ICMPecho”请求. 这要求所有主机都响应此请求. 这种情况会降低网络性能. 使用noipsource-route关闭直接IP地址.

（3）禁用不必要的服务

为了强调路由器的安全性，必须禁用一些不必要的本地服务. 例如，用户很少使用的SNMP和DHCP可以被禁用，并且仅在绝对必要时使用.

此外，请尽可能关闭路由器的HTTP设置，因为HTTP使用的识别协议等效于向整个网络发送未加密的密码. 但是，没有一种HTTP协议可用于验证密码或一次性密码的有效性.

（4）逻辑访问

逻辑访问主要依靠对访问控制列表的合理处理，并且远程终端会话有助于防止黑客获得对系统的逻辑访问. SSH是首选的逻辑访问方法，但是如果无法避免Telnet，则可能希望使用终端访问控制仅访问受信任的主机.

因此，用户需要向路由器上的Telnet使用的虚拟终端端口添加访问列表.

（5）ICMPping请求

控制消息协议（ICMP）有助于对正在使用的主机进行故障排除和识别，从而为浏览网络设备，确定本地时间戳和网络掩码以及猜测操作系统版本提供信息. 因此，通过取消远程用户响应ping请求的功能，可以更轻松地避免无人值守的扫描活动或防御容易找到目标的“脚本小子”.

（6）关闭IP源路由

IP协议允许主机指定要通过您的网络路由的数据包，而不是允许网络组件确定最佳路径. 此功能的应用是诊断连接故障. 但是，这种用法很少使用. 实际上，其最常见的用途是为侦察目的镜像网络，或在专用网络中找到后门. 除非您指定此功能仅可用于诊断故障，否则应关闭此功能.

（7）配置更改

用户更改路由器配置后，需要进行更改. 如果使用SNMP，则必须选择功能强大的共享字符串，最好是提供消息加密的SNMP. 如果不通过SNMP管理远程配置设备，则最好将SNMP设备配置为只读. 通过对这些设备的写访问权，用户可以防止黑客更改或关闭界面. 此外，用户需要将系统日志消息从路由器发送到指定的服务器.

为了进一步确保安全管理，用户可以使用诸如SSH之类的加密机制与路由器建立加密的远程会话. 为了加强功能，用户还应该协商SSH会话，仅将会话用于与用户经常使用的多个受信任系统进行通信.

（8）地址过滤

在园区网络边界路由器上建立策略，以基于IP地址过滤进入和退出网络的安全违规行为. 除特殊情况外，所有试图从网络内部访问Internet的IP地址都应分配有一个LAN地址. 例如，192.168.0.1可能可以通过此路由器访问Internet. 但是，地址216.239.55.99可能是内容，并且可能是游戏的一部分.

相反，来自Internet外部的通信的源地址不应成为内部网络的一部分. 因此，应该将诸如192.168.X.X，172.16.X.X和10.X.X.X的地址连接到网络.

最后，所有带有源地址，保留的和未路由的目标地址的通信都应被允许通过此路由器. 其中包括回送地址127.0.0.1或E类地址段.

在建立校园网时，只有选择合适的路由器，正确配置并采取相应的策略，校园网才能流畅，安全可靠，充分发挥校园网管理学校和获取信息的能力. 资源. 效果.

相关知识:

路由器的工作方式

路由器用于标识不同网络的网络ID号来连接不同的网段或网络. 要标识另一个网络，路由器必须首先标识另一方的网络ID，以查看其与目标节点地址中的网络ID号是否一致.

如果是，请将其发送到该网络的路由器. 从源网络接收到消息后，接收网络的路由器将根据消息中包含的目标节点IP地址中的主机ID号对其进行标识. 哪个节点，然后直接发送.

考虑到中小学校园的性，我们主要介绍校园网络中的通用路由器Cisco2612的内容. 当然，本文的内容也可以应用于更高性能的路由器，例如Cisco7600.

Cisco2612的模块化体系结构可以提供适应网络技术变化所需的性. 它配备了功能强大的RISC处理器，可以支持当今不断发展的网络所需要的高级服务质量（QoS），安全性和安全性. 网络集成功能.

通过将多个设备的功能集成到一个单元中，Cisco2612还降低了管理远程网络的复杂性，提供了对Internet，校园内联网，多服务语音/数据集成，模拟和数字拨号访问服务的访问，VPN访问，ATM访问集中，VLAN和路由带宽管理等应用程序提供了具有成本效益的解决方案.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxingongju/article-310384-1.html