本文主要給大家詳細(xì)的介紹了對(duì)于路由器交換機(jī)之中我們常用到的一些配置問(wèn)題，并給出了詳細(xì)的操作說(shuō)明，希望看過(guò)此文之后對(duì)你有所幫助。

反向訪問(wèn)列表在交換技術(shù)中的應(yīng)用方式

公司需求各個(gè)VLAN之間不能互相訪問(wèn)，但一些基本的應(yīng)用不能受影響。假設(shè)有5個(gè)部門(mén)，就有5個(gè)VLAN，分別是管理（63）、辦公（48）、業(yè)務(wù)（49）、財(cái)務(wù)（50）、其他（51）。

方法一： 只在管理VLAN的接口上配置，其它VLAN接口不用配置。

在入方向放置reflect
ip access-list extended infilter
permit ip any any reflect cciepass
在出方向放置evaluate
ip access-list extended outfilter
evaluate cciepass
deny ip 10.54.48.0 0.0.0.255 any
deny ip 10.54.49.0.0.0.0.255 any
deny ip 10.54.50.0 0.0.0.255 any
deny ip 10.54.51.0 0.0.0.255 any
permit ip any any

應(yīng)用到管理接口
int vlan 63
ip access-group infilter in
ip access-group outfilter out

方法二：在管理VLAN接口上不放置任何訪問(wèn)列表，而是在其它VLAN接口都放。

以辦公VLAN為例：

在出方向放置reflect
ip access-list extended outfilter
permit ip any any reflect cciepass

在入方向放置evaluate

ip access-list extended infilter
deny ip 10.54.48.0 0.0.0.255 10.54.49.0 0.0.0.255
deny ip 10.54.48.0 0.0.0.255 10.54.50.0 0.0.0.255
deny ip 10.54.48.0 0.0.0.255 10.54.51.0 0.0.0.255
deny ip 10.54.48.0 0.0.0.255 10.54.63.0 0.0.0.255
evaluate cciepass
permit ip any any

應(yīng)用到辦公VLAN接口：

int vlan 48
ip access-group infilter in
ip access-group outfilter out

IP欺騙得簡(jiǎn)單防護(hù)。如過(guò)濾非公有地址訪問(wèn)內(nèi)部網(wǎng)絡(luò)。過(guò)濾自己內(nèi)部網(wǎng)絡(luò)地址；回環(huán)地址(127.0.0.0/8)；RFC1918私有地址；DHCP自定義地址(169.254.0.0/16)；科學(xué)文檔作者測(cè)試用地址(192.0.2.0/24)；不用的組播地址(224.0.0.0/4)；SUN公司的古老的測(cè)試地址(20.20.20.0/24;204.152.64.0/23)；全網(wǎng)絡(luò)地址(0.0.0.0/8)。

Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 any log
Router(Config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any log
Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any log
Router(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any log
Router(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any log
Router(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any log
Router(Config)# access-list 100 deny ip 192.0.2.0 0.0.0.255 any log
Router(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any
Router(Config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 any log
Router(Config)# access-list 100 deny ip 204.152.64.0 0.0.2.255 any log
Router(Config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any log

建議采用訪問(wèn)列表控制流出內(nèi)部網(wǎng)絡(luò)的地址必須是屬于內(nèi)部網(wǎng)絡(luò)的。如：

Router(Config)# no access-list 101
Router(Config)# access-list 101 permit ip 192.168.0.0 0.0.0.255 any
Router(Config)# access-list 101 deny ip any any log
Router(Config)# interface eth 0/1
Router(Config-if)# description “internet Ethernet”
Router(Config-if)# ip address 192.168.0.254 255.255.255.0
Router(Config-if)# ip access-group 101 in

關(guān)閉路由器不需要的服務(wù)
在邊界路由器上關(guān)閉不安全和不需要的服務(wù)，這里假設(shè)路由器有Ethernet0和Ethernet1端口
Router(config)#  no cdp run//關(guān)閉CDP協(xié)議，CDP使用多播地址，能夠發(fā)現(xiàn)對(duì)端路由器的Hostname，硬件設(shè)備類型，IOS版本，三層接口地址，
發(fā)送CDP多播的地址

Router(config)#  no service tcp-small-servers
Router(config)#  no service udp-small-servers//關(guān)閉TCP和UDP的一些無(wú)用的小服務(wù)，這些小服務(wù)的端口小于19，通常用在以前的UNIX環(huán)境中，如chargen，daytime等
Router(config)#  no service finger//finger通常用在UNIX中，用來(lái)確定誰(shuí)登陸到設(shè)備上：telnet 192.168.1.254 finger
Router(config)#  no ip finger//關(guān)閉對(duì)于finger查詢的應(yīng)答
Router(config)#  no ip identd//關(guān)閉用戶認(rèn)證服務(wù)，一個(gè)設(shè)備發(fā)送一個(gè)請(qǐng)求到Ident接口（TCP 113), 目標(biāo)會(huì)回答一個(gè)身份識(shí)別，如host名稱或者設(shè)備名稱
Router(config)#  no ip source-route//關(guān)閉IP源路由，通過(guò)源路由，能夠在IP包頭中指定數(shù)據(jù)包實(shí)際要經(jīng)過(guò)的路徑
Router(config)#  no ftp-server enable//關(guān)閉FTP服務(wù)
Router(config)#  no ip http server//關(guān)閉HTTP路由器登陸服務(wù)
Router(config)#  no ip http secure-server//關(guān)閉HTTPS路由器登陸服務(wù)
Router(config)#  no snmp-server community public RO
Router(config)#  no snmp-server community private RW
Router(config)#  no snmp-server enable traps
Router(config)#  no snmp-server system-shutdown
Router(config)#  no snmp-server trap-auth
Router(config)#  no snmp-server//關(guān)閉SNMP服務(wù)
Router(config)#  no ip domain-lookup//關(guān)閉DNS域名查找
Router(config)#  no ip bootp server//bootp服務(wù)通常用在無(wú)盤(pán)站中，為主機(jī)申請(qǐng)IP地址
Router(config)#  no service dhcp//關(guān)閉DHCP服務(wù)
Router(config)#  no service pad//pad服務(wù)一般用在X.25網(wǎng)絡(luò)中為遠(yuǎn)端站點(diǎn)提供可靠連接
Router(config)#  no boot network//關(guān)閉路由器通過(guò)TFTP加載IOS啟動(dòng)
Router(config)#  no service config//關(guān)閉路由器加載IOS成功后通過(guò)TFTP加載配置文件
Router(config)#  interface ethernet 0
Router(config -if)# no ip proxy-arp//關(guān)閉代理ARP服務(wù)
Router(config -if)# no ip directed-broadcast//關(guān)閉直連廣播，因?yàn)橹边B廣播是能夠被路由的
Router(config -if)# no ip unreachable
Router(config -if)# no ip redirect
Router(config -if)# no ip mask-reply//關(guān)閉三種不可靠的ICMP消息
Router(config -if)# exit

注意：使用show ip interface查看接口啟用的服務(wù)
Router(config)#  interface ethernet 0
Router(config -if)# shutdown//手動(dòng)關(guān)閉沒(méi)有使用的接口
Router(config -if)# exit
Router(config)#  service tcp-keepalives -in
Router(config)#  service tcp-keepalives -out
//對(duì)活動(dòng)的tcp連接進(jìn)行監(jiān)視，及時(shí)關(guān)閉已經(jīng)空閑超時(shí)的tcp連接，通常和telnet，ssh一起使用
Router(config)#  username admin1 privilege 15 secret geekboy
Router(config)#  hostname jwy
Bullmastiff(config)#  ip domain-name godupgod.com
Bullmastiff(config)#  crypto key generate rsa
Bullmastiff(config)#  line vty 0 4
Bullmastiff(config -line)# login local
Bullmastiff(config -line)# transport input ssh
Bullmastiff(config -line)# transport output ssh
//只允許其他設(shè)備通過(guò)SSH登陸到路由器

風(fēng)暴控制

當(dāng)端口接收到大量的廣播、單播、多播時(shí)，就會(huì)發(fā)生廣播風(fēng)暴。轉(zhuǎn)發(fā)這些包將導(dǎo)致網(wǎng)絡(luò)速度變慢或超時(shí)。借助對(duì)端口的廣播風(fēng)暴控制，可以有效地避免硬件順壞或鏈路故障而導(dǎo)致網(wǎng)絡(luò)癱瘓。默認(rèn)狀態(tài)下，廣播、多播和單播風(fēng)暴控制被禁用。 配置實(shí)例：在快速以太網(wǎng)端口開(kāi)啟風(fēng)暴控制，當(dāng)網(wǎng)絡(luò)廣播包、多播包和單播包分別占到帶寬10%、30%、50%時(shí)，即自動(dòng) 關(guān)閉該端口。當(dāng)寬帶占用降低至9%、25%、45%時(shí)，再自動(dòng)啟用該端口，配置如下：

interface fastEthernet0/1
swithcport access vlan 2
no ip addres
storm-control broadcast level 10.00 9.00
strom-control multicast level 30.00 25.00
strom-control unicast level 50.00 45.00
strom-control action shutdown

其他要求風(fēng)暴控制端口配置基本相同。
show storm-control unicast f0/1
storm-control broadcast level 50 30

當(dāng) 廣播到50%的時(shí)候，開(kāi)始丟棄，并持續(xù)丟棄到 30%。30%以下開(kāi)始正常轉(zhuǎn)發(fā)。
如果不配置 30%， 那么 低于50% 就開(kāi)始轉(zhuǎn)發(fā)，高于50%就丟棄。
30% -50% 之間，你可以認(rèn)為是 到達(dá)50%開(kāi)始丟棄開(kāi)始，到 低于30% 開(kāi)始轉(zhuǎn)發(fā) 之間的一個(gè) 繼續(xù)丟棄的 “緩沖”區(qū)。