銳捷路由過濾
⑴ 銳捷路由器、交換機在網吧里用得上的配置有哪些
用好路由器就行了,交換機當成傻瓜的用即可。
網吧應用的話主要關注好以下幾個方面,其他都是浮雲,你總不能限制別人訪問好玩的網站吧,你懂的。
1、防火牆
支持標准和擴展ACL(訪問控制列表),可根據指定的IP地址范圍、埠范圍進行數據包的檢測和過濾,可靈活調整防火牆規則順序。支持專家ACL和時間ACL。(監測即可,可不控制)
支持域名過濾,阻斷對非法、惡意網站的訪問(可不設置,有時候就有人愛看不該看的)。
支持內外網防攻擊和防IP/埠掃描,可防禦目前幾乎所有類型的攻擊,如:SYN flood,UDP flood,ICMP flood,Smurf/Fraggle攻擊,分片報文攻擊等。同時可記錄攻擊主機的地址信息,定位攻擊源;也可將內網攻擊主機列入黑名單,禁止其上網功能,硬體過濾攻擊報文,不佔用CPU資源。 (很重要,有的人下些軟體喜歡內網掃描些東西)
DDOS一般抗不了太大流量,沒什麼太大作用,可關注。
ARP
這個很重要,防止內網PC中毒導致的ARP攻擊,可能會讓你的局網緩慢或掉網,一定要用。
防病毒
通過添加防火牆規則過濾病毒報文,支持自動檢測沖擊波和震盪波病毒。
基於IP地址和MAC地址的雙重NAT會話數限制,有效抑制病毒發作的影響。
可識別並阻斷機器狗病毒的中毒過程,同時顯示試圖訪問帶毒網站的主機信息和帶毒網站的IP地址。NBR系列路由器是業內唯一徹底阻斷機器狗病毒的路由器。
智能QOS帶寬管理
支持NAT或公網模式下的基本IP限速功能,可針對全網、單個IP或IP段進行上傳下載速率的分別限制。
支持NAT或公網模式下的彈性帶寬限速功能,可針對全網、單個IP或IP段進行上傳下載速率的分別彈性限制。彈性帶寬功能會根據網路帶寬的實時使用情況,按照設定的方式自動為每台在線PC智能分配最佳帶寬。在網路繁忙的時候自動抑制佔用大帶寬的下載流量,保證網路不卡、不慢;在網路空閑的時候允許用戶進行高速下載,充分利用網路資源,增強上網體驗。
網路游戲硬體加速,通過對游戲埠和報文大小的雙重識別,可為游戲報文劃分高優先順序的綠色通道,時刻保證快速游戲體驗。
人性化的網路管理
在面板上提供了網路狀態指示燈,有「空閑」、「正常」、「繁忙」、「飽和」四種狀態,輕鬆了解CPU運行狀況。面板上還提供攻擊告警燈,輕鬆了解是否遭受攻擊。
全新設計、高易用性的WEB界面。獨有的管理頁面與監控頁面分開設計,實現許可權分離;在一個監控頁面下集中顯示了介面流量、IP流量、ARP綁定、NAT會話數、系統日誌等信息,並可按上傳速率、下載速率和IP地址對IP流量進行排序,輕鬆了解網路運行狀況;提供系統事件告警頁面和中文日誌,快速定位網路故障。
⑵ 銳捷MSTP配置
交換機
密碼
1234(config)#enable secret level 1 0 100
1234(config)#enable secret level 15 0 100
遠程登入密碼
1234(config)#line vty 0 4
1234(config-line)#password 100
1234(config-line)#end
交換機管理IP
1234(config)#interface vlan 1
1234(config-if)#ip address 192.168.1.10 255.255.255.0
1234(config-if)#no shutdown
修改交換機老化時間
1234(config)#mac-address-table aging-time 20
1234(config)#end
添刪vlan
1234(config)#vlan 888
1234(config-vlan)#name a888
1234(config)#no vlan 888
添加access口
1234(config)#interface gigabitEthernet 0/10
1234(config-if)#switchport mode access
1234(config-if)#switchport access vlan 10
切換assess trunk
1234(config-if)#switchport mode access
1234(config-if)#switchport mode trunk
指定特定一個native vlan
1234(config-if)#switchport trunk native vlan 10
配置trunk口的許可vlan列表
1234(config-if)#switchport trunk allowed vlan ?
add Add VLANs to the current list
all All VLANs
except All VLANs except the following
remove Remove VLANs from the current list
速成樹協議
1234(config)#spanning-tree
1234(config)#spanning-tree mode rstp/stp
配置網關:
switch(config)#ip default-gateway 192.168.1.254
交換機基本配置-常見查看命令
查看CPU利用率
show cpu
查看交換機時鍾
show clock
查看交換機日誌
show logging
查看交換機動態學習到的MAC地址表
show mac-address-table dynamic
查看當前交換機運行的配置文件
show running-config
查看交換機硬體、軟體信息
show version
查看交換機的arp表
show arp
顯示介面詳細信息的命令
show interfaces gigabitEthernet 4/1 counters
介面配置
Switch(config)#interface gigabitethernet 0/1
把介面工作模式改為光口。
Switch(config-if)#medium-type fiber
把介面工作模式改為電口。
Switch(config-if)#medium-type copper
速度/雙工配置
進入介面配置模式。
Switch(config)#interface interface-id
設置介面的速率參數,或者設置為auto。
Switch(config-if)#speed {10 | 100 | 1000 | auto }
設置介面的雙工模式。
Switch(config-if)#plex {auto | full | half}
例子
Switch(config)#interface gigabitethernet 0/1
Switch(config-if)#speed 1000
Switch(config-if)#plex full
光口不能修改速度和雙工配置,只能auto。
在故障處理的時候,如果遇到規律性的時斷時續或掉包,在排除其他原因後,可以考慮是否和對端設備的速率和雙工模式不匹配,尤其是兩端設備為不同廠商的時候。
VLAN
建立VLAN 100
Switch (config)#vlan 100
該VLAN名稱為ruijie
Switch (config)#name ruijie
將交換機介面劃入VLAN 中:
range表示選取了系列埠1-48,這個對多個埠進行相同配置時非常有用。
Switch (config)#interface range f 0/1-48
將介面劃到VLAN 100中。
Switch (config-if-range)#switchport access vlan 100
將介面劃回到默認VLAN 1中,即埠初始配置。
Switch (config-if-range)#no switchport access vlan
Switch(config)#interface fastEthernet 0/1
該埠工作在access模式下
Switch(config-if)#switchport mode access
該埠工作在trunk模式下
Switch(config-if)#switchport mode trunk
Switch(config)#interface fastEthernet 0/2
設定VLAN要修剪的VLAN。
Switch(config-if)#switchport trunk allowed vlan remove 2-9,11-19,21-4094
取消埠下的VLAN修剪。
Switch(config-if)#no switchport trunk allowed vlan
生成樹
開啟生成樹協議。
Switch(config)#spanning-tree
禁止生成樹協議。
Switch(config)#no spanning-tree
配置生成樹優先順序:
配置設備優先順序為4096。
Switch(config)#spanning-tree priority 4096
數值越低,優先順序別越高。
埠鏡像
配置G0/2為鏡像埠。
Switch (config)# monitor session 1 destination interface G 0/2
配置G0/1為被鏡像埠,且出入雙向數據均被鏡像。
Switch (config)# monitor session 1 source interface G 0/1 both
去掉鏡像1。
Switch (config)# no monitor session 1
埠聚合
Switch(config)#interface fastEthernet 0/1
把埠f0/1加入到聚合組1中。
Switch (config-if)#port-group 1
把埠f0/1從聚合組1中去掉
Switch (config-if)#no port-group 1
建立ACL:
建立ACL訪問控制列表名為ruijie,extend表示建立的是擴展訪
Switch(config)# Ip access-list exten ruijie
問控制列表。
添加ACL的規則:
禁止PING IP地址為192.168.1.1的設備。
Switch (config-ext-nacl)#deny icmp any 192.168.1.1 255.255.255.0
禁止埠號為135的應用。
Switch (config-ext-nacl)# deny tcp any any eq 135
禁止協議為www的應用。
Switch (config-ext-nacl)#deny udp any any eq www
允許所有行為。
Switch(config-ext-nacl)# permit ip any any
將ACL應用到具體的介面上:
Switch (config)#interface range f 0/1
把名為ruijie的ACL應用到埠f 0/1上。
Switch (config-if)#ip access-group ruijie in
從介面去除ACL。
Switch (config-if)#no ip access-group ruijie in
刪除ACL:
刪除名為ruijie的ACL。
Switch(config)#no Ip access-list exten ruijie
增加ACE項後,是增加到ACL最後,不可以中間插入,如果要調整ACE的順序,必須整個刪除ACL後再重新配置。
埠安全
Switch (config)#interface range f 0/1
開啟埠安全。
Switch(config-if)# switchport port-security
關閉埠安全。
Switch(config-if)# no switchport port-security
設置埠能包含的最大安全地址數為8。
Switch(config-if)# switchport port-security maximum 8
在介面fastethernet0/1配置一個安全地址00d0.f800.073c,並為其綁定一個IP地址192.168.1.1
Switch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 192.168.1.1
刪除介面上配置的安全地址。
Switch(config-if)#no switchport port-security mac-address 00d0.f800.073c ip-address 192.168.1.1
防ARP攻擊
IP和MAC地址的綁定
Switch(config)#arp ip-address hardware-address [type] interface-id
Switch(config)#arp 192.168.12.111 00d0.f800.073c arpa g 0/1
綁定網關
進入指定埠進行配置。
Switch(config)#Interface interface-id
配置防止ip-address的ARP欺騙。
Switch(config-if)#Anti-ARP-Spoofing ip ip-address
防STP攻擊
進入埠Fa0/1。
Switch(config)# inter fastEthernet 0/1
打開該埠的的BPDU guard功能。
Switch(config-if)# spanning-tree bpguard enable
關閉該埠的的BPDU guard功能。
Switch(config-if)# spanning-tree bpguard diaable
埠關閉後只能shutdown然後再no shutdown
或者重新啟動交換機才能恢復!
防DOS/DDOS攻擊
進入埠Fa0/1。
Switch(config)# inter fastEthernet 0/1
預防偽造源IP的DOS攻擊的入口過濾功能。
Switch(config-if)#ip deny spoofing-source
關閉入口過濾功能只能在三層介面上配置。
Switch(config-if)#no ip deny spoofing-source
和ACL不能同時存在。
埠關閉後只能shutdown然後再no shutdown
或者重新啟動交換機才能恢復!
防IP掃描攻擊配置:
打開系統保護。
Switch(config)#system-guard enable
關閉系統保護功能。
Switch(config)#no system-guard
DHCP配置
打開DHCP Relay Agent:
Switch(config)#service dhcp
配置DHCP Server的IP地址:
Switch(config)#ip helper-address address
VRRP配置
Switch(config)#Interface interface-id
Switch(config-if)#Standby [group-number] ip ip-address
設置虛擬機的優先順序。
standby [group-number] priority priority
三層交換機配置
SVI:
把VLAN 10配置成SVI。
switch (config)#interface vlan 10
給該SVI介面配置一個IP地址
switch (config-if)#ip address 192.168.1.1 255.255.255.0
Routed Port:
switch (config)#interface fa 0/1
把f 0/1變成路由口。
switch (config-if)#no switch
路由配置:
添加一條路由。
switch (config)#ip route 目的地址 掩碼 下一跳
switch (config)#ip route 210.10.10.0 255.255.255.0 218.8.8.8
⑶ 網件路由器R7000刷梅林固件可以用校園網嗎我用的是銳捷客戶端如果
你好,無線網路上網速度變慢的可能原因是:
1.開啟了迅雷、windows更新等網路佔用軟體。
2.路由器設置內了帶寬控制。
3.無線容路由器被蹭網。
4.線路問題,如網線未接穩,網線質量差、線序錯誤等。
5.路由器運行時間過長,內部過熱。
6.無線干擾。
解決方法:
1.啟用殺軟的流量監控功能,查看哪些軟體嘗鄲佰肝脂菲拌十飽姜佔用網速。
2.進入路由器網關的流量管理界面,查看哪台設備佔用網速高,並記錄。
3.進入路由器網關的DHCP界面,查看是否有未知蹭網設備聯網。記錄蹭網設備MAC地址,通過高級設置中的MAC過濾,禁止其網路訪問。
4.關閉路由器5分鍾,檢查線路連接是否正常。
5.將無線路由器遠離電磁設備。縮短網路設備與無線路由器距離,減少信號衰減與干擾的可能,還可增加無線中繼放大擴展WiFi信號覆蓋范圍。
⑷ 在銳捷網路中如何配置NAT
但有很多用戶,認為網路中已經有了路由器,可以實現一些簡單的包過濾功能,所以,為什麼還要用防火牆呢?以下我們針對NetEye防火牆與業界應用最多、最具代表性的CISCO路由器在安全方面的對比,來闡述為什麼用戶網路中有了路由器還需要防火牆。
一、 兩種設備產生和存在的背景不同
1.兩種設備產生的根源不同
路由器的產生是基於對網路數據包路由而產生的。路由器需要完成的是將不同網路的數據包進行有效的路由,至於為什麼路由、是否應該路由、路由過後是否有問題等根本不關心,所關心的是:能否將不同的網段的數據包進行路由從而進行通訊。
防火牆是產生於人們對於安全性的需求。數據包是否可以正確的到達、到達的時間、方向等不是防火牆關心的重點,重點是這個(一系列)數據包是否應該通過、通過後是否會對網路造成危害。
2.根本目的不同
路由器的根本目的是:保持網路和數據的"通"。
防火牆根本的的目的是:保證任何非允許的數據包"不通"。
二、核心技術的不同
Cisco路由器核心的ACL列表是基於簡單的包過濾,從防火牆技術實現的角度來說,NetEye防火牆是基於狀態包過濾的應用級信息流過濾。
下面是一個最為簡單的應用:企業內網的一台主機,通過路由器對內網提供服務(假設提供服務的埠為tcp 1455)。為了保證安全性,在路由器上需要配置成:外-》內 只允許client訪問 server的tcp 1455埠,其他拒絕。
針對現在的配置,存在的安全脆弱性如下:
1、IP地址欺騙(使連接非正常復位)
2、TCP欺騙(會話重放和劫持)
存在上述隱患的原因是,路由器不能監測TCP的狀態。如果在內網的client和路由器之間放上NetEye防火牆,由於NetEye防火牆能夠檢測TCP的狀態,並且可以重新隨機生成TCP的序列號,則可以徹底消除這樣的脆弱性。同時,NetEye 防火牆的一次性口令認證客戶端功能,能夠實現在對應用完全透明的情況下,實現對用戶的訪問控制,其認證支持標準的Radius協議和本地認證資料庫,可以完全與第三方的認證伺服器進行互操作,並能夠實現角色的劃分。
雖然,路由器的"Lock-and-Key"功能能夠通過動態訪問控制列表的方式,實現對用戶的認證,但該特性需要路由器提供Telnet服務,用戶在使用時也需要先Telnet到路由器上,使用起來不很方便,同時也不夠安全(開放的埠為黑客創造了機會)。
三、安全策略制定的復雜程度不同
路由器的默認配置對安全性的考慮不夠,需要一些高級配置才能達到一些防範攻擊的作用,安全策略的制定絕大多數都是基於命令行的,其針對安全性的規則的制定相對比較復雜,配置出錯的概率較高。
NetEye 防火牆的默認配置既可以防止各種攻擊,達到既用既安全,安全策略的制定是基於全中文的GUI的管理工具,其安全策略的制定人性化,配置簡單、出錯率低。
四、對性能的影響不同
路由器是被設計用來轉發數據包的,而不是專門設計作為全特性防火牆的,所以用於進行包過濾時,需要進行的運算非常大,對路由器的CPU和內存的需要都非常大,而路由器由於其硬體成本比較高,其高性能配置時硬體的成本都比較大。
NetEye防火牆的硬體配置非常高(採用通用的INTEL晶元,性能高且成本低),其軟體也為數據包的過濾進行了專門的優化,其主要模塊運行在操作系統的內核模式下,設計之時特別考慮了安全問題,其進行數據包過濾的性能非常高。
由於路由器是簡單的包過濾,包過濾的規則條數的增加,NAT規則的條數的增加,對路由器性能的影響都相應的增加,而NetEye防火牆採用的是狀態包過濾,規則條數,NAT的規則數對性能的影響接近於零。
五、審計功能的強弱差異巨大
路由器本身沒有日誌、事件的存儲介質,只能通過採用外部的日誌伺服器(如syslog,trap)等來完成對日誌、事件的存儲;路由器本身沒有審計分析工具,對日誌、事件的描述採用的是不太容易理解的語言;路由器對攻擊等安全事件的相應不完整,對於很多的攻擊、掃描等操作不能夠產生准確及時的事件。審計功能的弱化,使管理員不能夠對安全事件進行及時、准確的響應。
NetEye防火牆的日誌存儲介質有兩種,包括本身的硬碟存儲,和單獨的日誌伺服器;針對這兩種存儲,NetEye 防火牆都提供了強大的審計分析工具,使管理員可以非常容易分析出各種安全隱患;NetEye 防火牆對安全事件的響應的及時性,還體現在他的多種報警方式上,包括蜂鳴、trap、郵件、日誌;NetEye 防火牆還具有實時監控功能,可以在線監控通過防火牆的連接,同時還可以捕捉數據包進行分析,非分析網路運行情況,排除網路故障提供了方便。
六、防範攻擊的能力不同
對於像Cisco這樣的路由器,其普通版本不具有應用層的防範功能,不具有入侵實時檢測等功能,如果需要具有這樣的功能,就需要升級IOS為防火牆特性集,此時不單要承擔軟體的升級費用,同時由於這些功能都需要進行大量的運算,還需要進行硬體配置的升級,進一步增加了成本,而且很多廠家的路由器不具有這樣的高級安全功能。可以得出:
·具有防火牆特性的路由器成本 > 防火牆 + 路由器
·具有防火牆特性的路由器功能 < 防火牆 + 路由器
·具有防火牆特性的路由器可擴展性 < 防火牆 + 路由器
綜上所述,可以得出結論:用戶的網路拓撲結構的簡單與復雜、用戶應用程序的難易程度不是決定是否應該使用防火牆的標准,決定用戶是否使用防火牆的一個根本條件是用戶對網路安全的需求!
即使用戶的網路拓撲結構和應用都非常簡單,使用防火牆仍然是必需的和必要的;如果用戶的環境、應用比較復雜,那麼防火牆將能夠帶來更多的好處,防火牆將是網路建設中不可或缺的一部分,對於通常的網路來說,路由器將是保護內部網的第一道關口,而防火牆將是第二道關口,也是最為嚴格的一道關口。
⑸ 電腦網路 銳捷1100E路由器如何禁用單獨IP訪問網路
銳捷的路由器本質上和思科的配置相同。你說的這個應該是設置訪問控制列表acl吧。首先是允許所有,因為默認隱式拒絕所有。access-list 1 permit any。然後對該ip拒絕。access-list 1 deny xxx.(xxx為你想拒絕的ip地址和mask)。最後在埠上啟用該規則就可以了。還不清楚的話我這里正好有銳捷科技的配置手冊,想要的話再跟我講好了
⑹ 銳捷雙wan口企業路由器一個外網一個專線
對路由器來說,wan1、wan2都屬於外網,安全策略限制訪問外網,肯定會同時內阻斷對wan1、wan2的訪問。
這款路由容器只有一組安全策略,對兩個WAN口同時生效。要麼限定指定用戶(群)走wan1或者wan2,要麼判定用戶能訪問外網或不能訪問外網,二者只能滿足其一。如果要實現你所說的功能,既要判定能否訪問外網,又要判定對wan1或wan2是否有訪問許可權,需要換更高端的路由。
⑺ 銳捷NBR1100E 路由器怎麼配置(讓一台電腦只能內網訪問,無法訪問外網)
幹嘛那麼麻煩,登錄路由器管理頁面,在安全設置里的mac地址過濾里禁止這個網卡上網就行了.
⑻ 路由器刷入銳捷認證,軟體包在哪下,求指導。
點系統-軟體包-刷新列表-過濾器輸入 mentohust 出來後 點安裝,安裝完成後再服務裡面可以找到,然後填入你的信息就可以愉快的上網了!
⑼ 關於銳捷三層交換機ip route配置的問題
估計是型號太老,不支持vlan路由。銳捷的確有不少命令是提前預置的,但沒有對回應程序。應該是答總體設計時就存在的功能,基本功能實現後就會推出產品,附加功能則會陸續實現。
這種設置其實意義不大,按我的理解就是目標路由到物理介面或虛擬介面。其中如果10.12.1.33 就是vlan 19的網關,則這個ip都可省略。這種操作對於總是面向vlan進行處理的人而言,可以簡單一點,畢竟vID就一個數字,IP是四段數字。當然,如果希望目標對應的路由可變時,採用這種方式比較方便,也就是改變目標路由物理埠時,不必修改路由項。
⑽ 銳捷交換機如何查看每一個埠的配置狀態,如何查看每一個埠
1、確認電腦與交換機網路通暢(也可採用Console介面直連配置)。
