锐捷路由过滤
⑴ 锐捷路由器、交换机在网吧里用得上的配置有哪些
用好路由器就行了,交换机当成傻瓜的用即可。
网吧应用的话主要关注好以下几个方面,其他都是浮云,你总不能限制别人访问好玩的网站吧,你懂的。
1、防火墙
支持标准和扩展ACL(访问控制列表),可根据指定的IP地址范围、端口范围进行数据包的检测和过滤,可灵活调整防火墙规则顺序。支持专家ACL和时间ACL。(监测即可,可不控制)
支持域名过滤,阻断对非法、恶意网站的访问(可不设置,有时候就有人爱看不该看的)。
支持内外网防攻击和防IP/端口扫描,可防御目前几乎所有类型的攻击,如:SYN flood,UDP flood,ICMP flood,Smurf/Fraggle攻击,分片报文攻击等。同时可记录攻击主机的地址信息,定位攻击源;也可将内网攻击主机列入黑名单,禁止其上网功能,硬件过滤攻击报文,不占用CPU资源。 (很重要,有的人下些软件喜欢内网扫描些东西)
DDOS一般抗不了太大流量,没什么太大作用,可关注。
ARP
这个很重要,防止内网PC中毒导致的ARP攻击,可能会让你的局网缓慢或掉网,一定要用。
防病毒
通过添加防火墙规则过滤病毒报文,支持自动检测冲击波和震荡波病毒。
基于IP地址和MAC地址的双重NAT会话数限制,有效抑制病毒发作的影响。
可识别并阻断机器狗病毒的中毒过程,同时显示试图访问带毒网站的主机信息和带毒网站的IP地址。NBR系列路由器是业内唯一彻底阻断机器狗病毒的路由器。
智能QOS带宽管理
支持NAT或公网模式下的基本IP限速功能,可针对全网、单个IP或IP段进行上传下载速率的分别限制。
支持NAT或公网模式下的弹性带宽限速功能,可针对全网、单个IP或IP段进行上传下载速率的分别弹性限制。弹性带宽功能会根据网络带宽的实时使用情况,按照设定的方式自动为每台在线PC智能分配最佳带宽。在网络繁忙的时候自动抑制占用大带宽的下载流量,保证网络不卡、不慢;在网络空闲的时候允许用户进行高速下载,充分利用网络资源,增强上网体验。
网络游戏硬件加速,通过对游戏端口和报文大小的双重识别,可为游戏报文划分高优先级的绿色通道,时刻保证快速游戏体验。
人性化的网络管理
在面板上提供了网络状态指示灯,有“空闲”、“正常”、“繁忙”、“饱和”四种状态,轻松了解CPU运行状况。面板上还提供攻击告警灯,轻松了解是否遭受攻击。
全新设计、高易用性的WEB界面。独有的管理页面与监控页面分开设计,实现权限分离;在一个监控页面下集中显示了接口流量、IP流量、ARP绑定、NAT会话数、系统日志等信息,并可按上传速率、下载速率和IP地址对IP流量进行排序,轻松了解网络运行状况;提供系统事件告警页面和中文日志,快速定位网络故障。
⑵ 锐捷MSTP配置
交换机
密码
1234(config)#enable secret level 1 0 100
1234(config)#enable secret level 15 0 100
远程登入密码
1234(config)#line vty 0 4
1234(config-line)#password 100
1234(config-line)#end
交换机管理IP
1234(config)#interface vlan 1
1234(config-if)#ip address 192.168.1.10 255.255.255.0
1234(config-if)#no shutdown
修改交换机老化时间
1234(config)#mac-address-table aging-time 20
1234(config)#end
添删vlan
1234(config)#vlan 888
1234(config-vlan)#name a888
1234(config)#no vlan 888
添加access口
1234(config)#interface gigabitEthernet 0/10
1234(config-if)#switchport mode access
1234(config-if)#switchport access vlan 10
切换assess trunk
1234(config-if)#switchport mode access
1234(config-if)#switchport mode trunk
指定特定一个native vlan
1234(config-if)#switchport trunk native vlan 10
配置trunk口的许可vlan列表
1234(config-if)#switchport trunk allowed vlan ?
add Add VLANs to the current list
all All VLANs
except All VLANs except the following
remove Remove VLANs from the current list
速成树协议
1234(config)#spanning-tree
1234(config)#spanning-tree mode rstp/stp
配置网关:
switch(config)#ip default-gateway 192.168.1.254
交换机基本配置-常见查看命令
查看CPU利用率
show cpu
查看交换机时钟
show clock
查看交换机日志
show logging
查看交换机动态学习到的MAC地址表
show mac-address-table dynamic
查看当前交换机运行的配置文件
show running-config
查看交换机硬件、软件信息
show version
查看交换机的arp表
show arp
显示接口详细信息的命令
show interfaces gigabitEthernet 4/1 counters
接口配置
Switch(config)#interface gigabitethernet 0/1
把接口工作模式改为光口。
Switch(config-if)#medium-type fiber
把接口工作模式改为电口。
Switch(config-if)#medium-type copper
速度/双工配置
进入接口配置模式。
Switch(config)#interface interface-id
设置接口的速率参数,或者设置为auto。
Switch(config-if)#speed {10 | 100 | 1000 | auto }
设置接口的双工模式。
Switch(config-if)#plex {auto | full | half}
例子
Switch(config)#interface gigabitethernet 0/1
Switch(config-if)#speed 1000
Switch(config-if)#plex full
光口不能修改速度和双工配置,只能auto。
在故障处理的时候,如果遇到规律性的时断时续或掉包,在排除其他原因后,可以考虑是否和对端设备的速率和双工模式不匹配,尤其是两端设备为不同厂商的时候。
VLAN
建立VLAN 100
Switch (config)#vlan 100
该VLAN名称为ruijie
Switch (config)#name ruijie
将交换机接口划入VLAN 中:
range表示选取了系列端口1-48,这个对多个端口进行相同配置时非常有用。
Switch (config)#interface range f 0/1-48
将接口划到VLAN 100中。
Switch (config-if-range)#switchport access vlan 100
将接口划回到默认VLAN 1中,即端口初始配置。
Switch (config-if-range)#no switchport access vlan
Switch(config)#interface fastEthernet 0/1
该端口工作在access模式下
Switch(config-if)#switchport mode access
该端口工作在trunk模式下
Switch(config-if)#switchport mode trunk
Switch(config)#interface fastEthernet 0/2
设定VLAN要修剪的VLAN。
Switch(config-if)#switchport trunk allowed vlan remove 2-9,11-19,21-4094
取消端口下的VLAN修剪。
Switch(config-if)#no switchport trunk allowed vlan
生成树
开启生成树协议。
Switch(config)#spanning-tree
禁止生成树协议。
Switch(config)#no spanning-tree
配置生成树优先级:
配置设备优先级为4096。
Switch(config)#spanning-tree priority 4096
数值越低,优先级别越高。
端口镜像
配置G0/2为镜像端口。
Switch (config)# monitor session 1 destination interface G 0/2
配置G0/1为被镜像端口,且出入双向数据均被镜像。
Switch (config)# monitor session 1 source interface G 0/1 both
去掉镜像1。
Switch (config)# no monitor session 1
端口聚合
Switch(config)#interface fastEthernet 0/1
把端口f0/1加入到聚合组1中。
Switch (config-if)#port-group 1
把端口f0/1从聚合组1中去掉
Switch (config-if)#no port-group 1
建立ACL:
建立ACL访问控制列表名为ruijie,extend表示建立的是扩展访
Switch(config)# Ip access-list exten ruijie
问控制列表。
添加ACL的规则:
禁止PING IP地址为192.168.1.1的设备。
Switch (config-ext-nacl)#deny icmp any 192.168.1.1 255.255.255.0
禁止端口号为135的应用。
Switch (config-ext-nacl)# deny tcp any any eq 135
禁止协议为www的应用。
Switch (config-ext-nacl)#deny udp any any eq www
允许所有行为。
Switch(config-ext-nacl)# permit ip any any
将ACL应用到具体的接口上:
Switch (config)#interface range f 0/1
把名为ruijie的ACL应用到端口f 0/1上。
Switch (config-if)#ip access-group ruijie in
从接口去除ACL。
Switch (config-if)#no ip access-group ruijie in
删除ACL:
删除名为ruijie的ACL。
Switch(config)#no Ip access-list exten ruijie
增加ACE项后,是增加到ACL最后,不可以中间插入,如果要调整ACE的顺序,必须整个删除ACL后再重新配置。
端口安全
Switch (config)#interface range f 0/1
开启端口安全。
Switch(config-if)# switchport port-security
关闭端口安全。
Switch(config-if)# no switchport port-security
设置端口能包含的最大安全地址数为8。
Switch(config-if)# switchport port-security maximum 8
在接口fastethernet0/1配置一个安全地址00d0.f800.073c,并为其绑定一个IP地址192.168.1.1
Switch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 192.168.1.1
删除接口上配置的安全地址。
Switch(config-if)#no switchport port-security mac-address 00d0.f800.073c ip-address 192.168.1.1
防ARP攻击
IP和MAC地址的绑定
Switch(config)#arp ip-address hardware-address [type] interface-id
Switch(config)#arp 192.168.12.111 00d0.f800.073c arpa g 0/1
绑定网关
进入指定端口进行配置。
Switch(config)#Interface interface-id
配置防止ip-address的ARP欺骗。
Switch(config-if)#Anti-ARP-Spoofing ip ip-address
防STP攻击
进入端口Fa0/1。
Switch(config)# inter fastEthernet 0/1
打开该端口的的BPDU guard功能。
Switch(config-if)# spanning-tree bpguard enable
关闭该端口的的BPDU guard功能。
Switch(config-if)# spanning-tree bpguard diaable
端口关闭后只能shutdown然后再no shutdown
或者重新启动交换机才能恢复!
防DOS/DDOS攻击
进入端口Fa0/1。
Switch(config)# inter fastEthernet 0/1
预防伪造源IP的DOS攻击的入口过滤功能。
Switch(config-if)#ip deny spoofing-source
关闭入口过滤功能只能在三层接口上配置。
Switch(config-if)#no ip deny spoofing-source
和ACL不能同时存在。
端口关闭后只能shutdown然后再no shutdown
或者重新启动交换机才能恢复!
防IP扫描攻击配置:
打开系统保护。
Switch(config)#system-guard enable
关闭系统保护功能。
Switch(config)#no system-guard
DHCP配置
打开DHCP Relay Agent:
Switch(config)#service dhcp
配置DHCP Server的IP地址:
Switch(config)#ip helper-address address
VRRP配置
Switch(config)#Interface interface-id
Switch(config-if)#Standby [group-number] ip ip-address
设置虚拟机的优先级。
standby [group-number] priority priority
三层交换机配置
SVI:
把VLAN 10配置成SVI。
switch (config)#interface vlan 10
给该SVI接口配置一个IP地址
switch (config-if)#ip address 192.168.1.1 255.255.255.0
Routed Port:
switch (config)#interface fa 0/1
把f 0/1变成路由口。
switch (config-if)#no switch
路由配置:
添加一条路由。
switch (config)#ip route 目的地址 掩码 下一跳
switch (config)#ip route 210.10.10.0 255.255.255.0 218.8.8.8
⑶ 网件路由器R7000刷梅林固件可以用校园网吗我用的是锐捷客户端如果
你好,无线网络上网速度变慢的可能原因是:
1.开启了迅雷、windows更新等网络占用软件。
2.路由器设置内了带宽控制。
3.无线容路由器被蹭网。
4.线路问题,如网线未接稳,网线质量差、线序错误等。
5.路由器运行时间过长,内部过热。
6.无线干扰。
解决方法:
1.启用杀软的流量监控功能,查看哪些软件尝郸佰肝脂菲拌十饱姜占用网速。
2.进入路由器网关的流量管理界面,查看哪台设备占用网速高,并记录。
3.进入路由器网关的DHCP界面,查看是否有未知蹭网设备联网。记录蹭网设备MAC地址,通过高级设置中的MAC过滤,禁止其网路访问。
4.关闭路由器5分钟,检查线路连接是否正常。
5.将无线路由器远离电磁设备。缩短网络设备与无线路由器距离,减少信号衰减与干扰的可能,还可增加无线中继放大扩展WiFi信号覆盖范围。
⑷ 在锐捷网络中如何配置NAT
但有很多用户,认为网络中已经有了路由器,可以实现一些简单的包过滤功能,所以,为什么还要用防火墙呢?以下我们针对NetEye防火墙与业界应用最多、最具代表性的CISCO路由器在安全方面的对比,来阐述为什么用户网络中有了路由器还需要防火墙。
一、 两种设备产生和存在的背景不同
1.两种设备产生的根源不同
路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由,至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心,所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。
防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个(一系列)数据包是否应该通过、通过后是否会对网络造成危害。
2.根本目的不同
路由器的根本目的是:保持网络和数据的"通"。
防火墙根本的的目的是:保证任何非允许的数据包"不通"。
二、核心技术的不同
Cisco路由器核心的ACL列表是基于简单的包过滤,从防火墙技术实现的角度来说,NetEye防火墙是基于状态包过滤的应用级信息流过滤。
下面是一个最为简单的应用:企业内网的一台主机,通过路由器对内网提供服务(假设提供服务的端口为tcp 1455)。为了保证安全性,在路由器上需要配置成:外-》内 只允许client访问 server的tcp 1455端口,其他拒绝。
针对现在的配置,存在的安全脆弱性如下:
1、IP地址欺骗(使连接非正常复位)
2、TCP欺骗(会话重放和劫持)
存在上述隐患的原因是,路由器不能监测TCP的状态。如果在内网的client和路由器之间放上NetEye防火墙,由于NetEye防火墙能够检测TCP的状态,并且可以重新随机生成TCP的序列号,则可以彻底消除这样的脆弱性。同时,NetEye 防火墙的一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制,其认证支持标准的Radius协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。
虽然,路由器的"Lock-and-Key"功能能够通过动态访问控制列表的方式,实现对用户的认证,但该特性需要路由器提供Telnet服务,用户在使用时也需要先Telnet到路由器上,使用起来不很方便,同时也不够安全(开放的端口为黑客创造了机会)。
三、安全策略制定的复杂程度不同
路由器的默认配置对安全性的考虑不够,需要一些高级配置才能达到一些防范攻击的作用,安全策略的制定绝大多数都是基于命令行的,其针对安全性的规则的制定相对比较复杂,配置出错的概率较高。
NetEye 防火墙的默认配置既可以防止各种攻击,达到既用既安全,安全策略的制定是基于全中文的GUI的管理工具,其安全策略的制定人性化,配置简单、出错率低。
四、对性能的影响不同
路由器是被设计用来转发数据包的,而不是专门设计作为全特性防火墙的,所以用于进行包过滤时,需要进行的运算非常大,对路由器的CPU和内存的需要都非常大,而路由器由于其硬件成本比较高,其高性能配置时硬件的成本都比较大。
NetEye防火墙的硬件配置非常高(采用通用的INTEL芯片,性能高且成本低),其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操作系统的内核模式下,设计之时特别考虑了安全问题,其进行数据包过滤的性能非常高。
由于路由器是简单的包过滤,包过滤的规则条数的增加,NAT规则的条数的增加,对路由器性能的影响都相应的增加,而NetEye防火墙采用的是状态包过滤,规则条数,NAT的规则数对性能的影响接近于零。
五、审计功能的强弱差异巨大
路由器本身没有日志、事件的存储介质,只能通过采用外部的日志服务器(如syslog,trap)等来完成对日志、事件的存储;路由器本身没有审计分析工具,对日志、事件的描述采用的是不太容易理解的语言;路由器对攻击等安全事件的相应不完整,对于很多的攻击、扫描等操作不能够产生准确及时的事件。审计功能的弱化,使管理员不能够对安全事件进行及时、准确的响应。
NetEye防火墙的日志存储介质有两种,包括本身的硬盘存储,和单独的日志服务器;针对这两种存储,NetEye 防火墙都提供了强大的审计分析工具,使管理员可以非常容易分析出各种安全隐患;NetEye 防火墙对安全事件的响应的及时性,还体现在他的多种报警方式上,包括蜂鸣、trap、邮件、日志;NetEye 防火墙还具有实时监控功能,可以在线监控通过防火墙的连接,同时还可以捕捉数据包进行分析,非分析网络运行情况,排除网络故障提供了方便。
六、防范攻击的能力不同
对于像Cisco这样的路由器,其普通版本不具有应用层的防范功能,不具有入侵实时检测等功能,如果需要具有这样的功能,就需要升级IOS为防火墙特性集,此时不单要承担软件的升级费用,同时由于这些功能都需要进行大量的运算,还需要进行硬件配置的升级,进一步增加了成本,而且很多厂家的路由器不具有这样的高级安全功能。可以得出:
·具有防火墙特性的路由器成本 > 防火墙 + 路由器
·具有防火墙特性的路由器功能 < 防火墙 + 路由器
·具有防火墙特性的路由器可扩展性 < 防火墙 + 路由器
综上所述,可以得出结论:用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准,决定用户是否使用防火墙的一个根本条件是用户对网络安全的需求!
即使用户的网络拓扑结构和应用都非常简单,使用防火墙仍然是必需的和必要的;如果用户的环境、应用比较复杂,那么防火墙将能够带来更多的好处,防火墙将是网络建设中不可或缺的一部分,对于通常的网络来说,路由器将是保护内部网的第一道关口,而防火墙将是第二道关口,也是最为严格的一道关口。
⑸ 电脑网络 锐捷1100E路由器如何禁用单独IP访问网络
锐捷的路由器本质上和思科的配置相同。你说的这个应该是设置访问控制列表acl吧。首先是允许所有,因为默认隐式拒绝所有。access-list 1 permit any。然后对该ip拒绝。access-list 1 deny xxx.(xxx为你想拒绝的ip地址和mask)。最后在端口上启用该规则就可以了。还不清楚的话我这里正好有锐捷科技的配置手册,想要的话再跟我讲好了
⑹ 锐捷双wan口企业路由器一个外网一个专线
对路由器来说,wan1、wan2都属于外网,安全策略限制访问外网,肯定会同时内阻断对wan1、wan2的访问。
这款路由容器只有一组安全策略,对两个WAN口同时生效。要么限定指定用户(群)走wan1或者wan2,要么判定用户能访问外网或不能访问外网,二者只能满足其一。如果要实现你所说的功能,既要判定能否访问外网,又要判定对wan1或wan2是否有访问权限,需要换更高端的路由。
⑺ 锐捷NBR1100E 路由器怎么配置(让一台电脑只能内网访问,无法访问外网)
干嘛那么麻烦,登录路由器管理页面,在安全设置里的mac地址过滤里禁止这个网卡上网就行了.
⑻ 路由器刷入锐捷认证,软件包在哪下,求指导。
点系统-软件包-刷新列表-过滤器输入 mentohust 出来后 点安装,安装完成后再服务里面可以找到,然后填入你的信息就可以愉快的上网了!
⑼ 关于锐捷三层交换机ip route配置的问题
估计是型号太老,不支持vlan路由。锐捷的确有不少命令是提前预置的,但没有对回应程序。应该是答总体设计时就存在的功能,基本功能实现后就会推出产品,附加功能则会陆续实现。
这种设置其实意义不大,按我的理解就是目标路由到物理接口或虚拟接口。其中如果10.12.1.33 就是vlan 19的网关,则这个ip都可省略。这种操作对于总是面向vlan进行处理的人而言,可以简单一点,毕竟vID就一个数字,IP是四段数字。当然,如果希望目标对应的路由可变时,采用这种方式比较方便,也就是改变目标路由物理端口时,不必修改路由项。
⑽ 锐捷交换机如何查看每一个端口的配置状态,如何查看每一个端口
1、确认电脑与交换机网络通畅(也可采用Console接口直连配置)。
