本站小編為你精心準備了Cisco路由器交換機技術應用參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

摘要：無論是數據、語音、視頻還是無線接入，路由器和交換機都是所有企業通信不可缺少的組成部分。它們能夠促進解決一個公司的關鍵問題，幫助該公司提高生產力，降低業務成本，改善安全性和客戶服務質量。文章對cisco路由器和交換機的技術應用進行了分析和闡述。

關鍵詞：Cisco；路由器；交換機中圖分類號：TP393

網絡的工作方式是使用兩種設備，交換機和路由器將計算機和外圍設備連接起來。這兩種工具使連接到網絡上的設備之間以及其它網絡相互通信。雖然路由器和交換機看起來很像，但是它們在網絡中的功能卻截然不同：交換機主要用于將一棟大廈或一個校園里的多臺設備連接到同一個網絡上。路由器主要用于將多個網絡連接起來。首先，路由器會分析網絡發送的數據，改變數據的打包方式，然后將數據發送到另一個網絡上或者其他類型的網絡上。它們將公司與外界連接起來，保護信息不受安全威脅，甚至可以決定哪些計算機擁有更高的優先級。

系統管理員和安全專家經常花費大量的精力配置各種防火墻、Web服務器和那些組成企業網絡的基礎設備。但是，他們經常會忽略路由器和交換機。這經常會導致黑客監聽網絡數據包、修改路由和其他一些惡意攻擊行為。本文對Cisco路由器和交換機技術應用進行分析和探討。

1網絡基礎設備的問題

盡管很多攻擊的目標是終端主機——如web服務器、應用服務器和數據庫服務器，許多用戶忽略了網絡基礎設備的安全問題。路由器和交換機不僅可以被攻擊還可以作為黑客進行攻擊的工具，還是黑客收集有用信息的合適設備。Cisco路由器和交換機有自己的操作系統，或者被稱為CiscoIOS(網絡操作系統)。同其他操作系統一樣，早期的版本有許多漏洞，如果用戶沒有升級，會帶來很多問題。

從應用的角度看，路由器和交換機不僅可以作為攻擊目標，還可以幫助黑客隱瞞身份、創建監聽設備或者產生噪音。例如，很多Cisco交換機可以創建一個監視端口來監聽交換機的其他端口。這樣管理員和黑客就可以把交換機上看到的網絡數據包備份到一個指定的交換機端口。盡管管理員努力在系統中杜絕集線器造成的監聽問題，但是如果黑客可以通過交換機訪問網絡，網絡安全便面臨危險。

2定期升級系統

任何系統都必須注重及時升級。Cisco公司一直注重IOS在版本更新、升級與策略，且Cisco公布的系統版本相對穩定。分析網絡基礎設備時要做的第一件事情就是調查在系統上運行的各種IOS系統的情況。使用ShowVersion命令可以方便地查到這些信息。如果用戶發現系統中有的10S系統版本比較老，在進行升級前最好與升級所花費的精力和金錢比較一下，考慮一下“如果沒有問題，不需要升級”這句話。比IOS系統版本更重要的是這個版本是否已超過了使用周期。Cisco定義了三種階段：

早期開發階段(EarlyDeployment，ED)。這個時期的10S系統有一些還不成熟的新特性，會有許多毛病。

局部開發階段(LimitedDeployment，LD)。處于這個狀態的IOS主要是針對ED系統中漏洞而進行改進的版本。

普通開發階段(GeneralDeployment，GD)。這個階段的IOS系統更強調系統的穩定性，基本上沒有漏洞。

盡管用戶都希望使用最新的I0S系統，但我還要提醒用戶注意自己的實際需求，GD版本將指出系統的大量已經發現的漏洞，通常是一個已經解決了發現的漏洞的版本。除非發現此版本的系統有很嚴重的漏洞這別無選擇，只有升級。

3配置Cisco路由器

Cisco路由器在主機級上比UNIX系統容易保護，這是因為系統提供的可遠程訪問的服務較少。路由器要進行復雜的路由計算并在網絡中起著舉足輕重的作用，它沒有BIND、IMAP、POP、sendmail等服務——而這些是UNIX系統中經常出問題的部分。

盡管訪問路由器的方式相對少一些，但是還要進行進一步的配置以限制對路由器更深一步的訪問。

3.1保護登錄點

大多數Cisco路由器還是通過遠程登錄方式進行控制的，沒有采用任何形式的加密方法。采用遠程登錄方式進行的通信都是以明文傳輸，很容易泄露登錄口令。盡管CiscoIOS12.1采用了SSHl的加密手段，仍然存在很多問題。

在Cisco公司考慮使用SSH之前(希望他們采用SSH2版本)，用戶都只能使用Telnet。但是，還是有很多方法可以控制對路由器的訪問，從而限制非授權用戶對路由器的訪問。登錄到路由器的方式有：通過物理控制臺端口；通過物理輔助端口；通過其他物理串行端口(僅指在具有端口的模型上)；通過遠程登錄方式進入一個單元的IP地址中。前三種方式需要物理接口，這樣很容易控制。下面主要討論第四種方式。

Cisco路由器有5個可以遠程登錄的虛擬終端或稱為vty。采用遠程登錄時要注意兩點。首先，要確認通過所有的vty登錄都需要口令。配置時可以采用如下命令：

Router1(config)#linevty04

Router1(config)#passwordfabi0!

這樣通過vty登錄時需要輸人口令“fabi0！”。其次，用戶可以增加控制級別來防止黑客的入侵，可以同時綁定5個vty。具體的命令如下：

Router1(config)#linevty04

Router1(config-line)#exec-timeout1

Router1(config-line)#exit

Router1(config)#servicetcp-keepalives.in

這些命令設置vty的時間限制為1分鐘，限制TCP連接的時間長度。除了上述命令，用戶還可以設置標準的訪問列表以限制可以遠程登錄到路由器本身內的工作站的數量。例如，假定系統的管理網段是10.1.1.0，你將被遠程登錄的地方，下列命令可以限制對該范圍內的進站遠程登錄會話的數量，命令如下：

Router1(config)#access-list1permit10.1.1.00.0.0.255

Router1(config)#access-list1denyany

Router1(config)#linevty04

Router1(config.line)#access-class1in

說到考慮物理訪問，有兩點要注意：控制臺端口和輔助管理端口，輔助端口是為通過調制解調器等設備訪問路由器而設置的，對這個端口進行保護很重要。可以通過如下命令：

Router1(config)#lineaux0

Router1(config.line)#passwordfabi0！

Router1(config)#lineconsole0

Router1(config.line)#passwordfabi0！

3.2系統日志管理

多個用戶共享一個賬戶是無法區分他們之間的活動的。默認的情況下，Cisco設備有兩級的訪問模式：用戶模式和特權用戶模式。用戶可以認為特權用戶同UNIX中的root或WindowsNT中的系統管理員是類似的。

一般情況下，用戶認證時不需要用戶名只需要口令。普通用戶登錄模式和特權用戶登錄模式都是如此。但是許多機構是很多人同時共享同一口令，這樣就有許多人共享路由器的口令。通過將RADIUS或者TACACS和AAA(認證、授權和審計)相結合，系統管理員可以將路由器基本結構信息存貯在NDS、AD或者其他中心口令庫中。通過這種認證方式可以強制用戶在登錄時輸入賬戶名和口令，這樣便于清除審計痕跡。

3.3取消不必要的服務;首先，取消一些不重要的、很少被使用服務；取消finger服務，因為它會給黑客提供許多有用信息。取消finger服務后，還要確認沒有打開HTTP(Web)服務器。雖然系統的默認配置是這樣的，還必須經過用戶再確認一下。Cisco設備有Cisco專用協議，CDP(CiscoDiscoveryProtocol)。同finger一樣，CDP本身沒有什么威脅，但是它可以讓黑客獲得許多自己無法訪問的信息。

4網絡管理注意事項

限制終端訪問和取消不必要的服務是保護系統安全的重要部分。但是只進行這些工作是遠遠不夠的，在管理方面還有很多有關系統程序上和管理上值得考慮的因素。

4.1集中日志瞥理

安全專家認為大多數系統日志協議采用UDP的形式進行傳輸是不安全的。但是現在還沒有較好的改進方法。如果系統有一個系統日志登錄服務器，用戶可以采用命令將輸出集中到這個服務器。

4.2口令存儲注意事項

許多用戶在FTP和TFTP服務器上保存路由配置文件和鏡像信息。盡管保留備份是個良好的習慣，但是要確保這些文件的安全。要保證這些服務器有可靠的訪問控制。

接下來還可以采取兩種預防措施。首先，使用Cisco的“加密”口令規則來代替普通的“使能”口令規則。使用無法逆轉的MD5散列算法保存重要口令，采用一般加密算法保存一般口令。

4.3時鐘同步

網絡時鐘協議(NTP)定義了網絡設備的時鐘與系統的時鐘同步規則。NTP是業界標準，NTP相當準確并且兼容性好——多種操作系統及各種路由器和交換設備都支持。

4.4SNMP管理

許多組織經常使用SNMP，還有些組織現在希望將來使用。不論其應用前景如何，有兩點要注意：如果用戶不需要SNMP，最好取消；如果要使用SNMP，最好正確配置。

但是，如果用戶一定要使用SNMP，可以對其進行保護。首先，SNMP有兩種模式：只讀模式(RO)和讀寫模式(RW)。如果可能，使用只讀模式，這樣可以最大限度的控制用戶的操作，即使在攻擊者發現了通信中的字符串時，也能限制其利用SNMP進行偵察的目的，還能阻止攻擊者利用其修改配置。如果必須使用讀寫模式，最好把只讀模式與讀寫模式使用的通信字符串區別開來。最后可以通過訪問控制列表來限制使用SNMP的用戶。

參考文獻：

[1]秦建文.基于Cisco路由器的網絡安全控制技術及其實現[J].電腦開發與應用,2002,(7).

[2]朱培棟,盧澤新,盧錫城.網絡路由器核心安全技術[J].國防科技參考,2000,(1).

[3]周婕.安全路由器關鍵技術探討[J].海軍航空工程學院學報,2008,(3).

[4]柳文波.路由器和交換機的安全策略[J].華南金融電腦,2003,(12).

[5]胡宇翔,蘭巨龍,程東年,等.核心路由器中安全機制的分布式設計與實現[J].計算機工程,2008,(7).