cisco路由器配置命令(cisco静态路由配置)

许多网络管理员在首次使用Cisco路由器时会忽略安全设置。本文介绍的内容非常适合此类应用在使用Cisco路由器时配置网络安全。

一、路由器访问控制的安全配置

1.严格控制可以访问路由器的管理员。任何维护都需要记录和存档。

2.建议不要远程访问路由器。即使需要远程访问路由器，也建议使用访问控制列表和强密码控制。

3.严格控制端口的访问。具体措施是：

A.如果机箱可以打开，就可以切断连接到con端口的物理线路。

B.您可以更改默认的连接属性，例如波特率(默认值为96000，可以更改为其他值)。

C.使用访问控制列表来控制对端口的访问。

例如路由器(配置)# access-list1permit 192.168.0。

路由器(配置)#线路配置0

路由器(配置行)#传输输入无

路由器(配置行)#登录本地

路由器(配置线路)#执行超时5 0

路由器(配置线)#接入-1类

路由器(配置行)#end

D.为CON端口设置一个强密码。

4.如果不使用AUX端口，则禁止使用该端口。默认情况下不启用。如禁止：

路由器(配置)#线路辅助0

路由器(配置行)#传输输入无

路由器(配置行)#无执行

5.建议采用权限分级策略。比如：

路由器(配置)#用户名BluShin特权10 G00dPa55w0rd

路由器(配置)#特权执行10级远程登录

路由器(配置)#特权执行级别10显示ip访问列表

6.为特权模式设置一个强密码。不要使用启用密码来设置密码。而是使用enable secret命令来设置。并启用服务密码加密。

7.控制对VTY的访问。如果不需要，禁用远程访问。如有必要，请务必设置强密码。因为VTY在网络传输过程中是加密的，所以需要严格控制。比如设置强密码；控制连接的并发数量；使用访问列表严格控制访问地址；AAA可以用来设置用户的访问控制等。

8.对于8，建议使用FTP而不是TFTP。IOS升级和备份，以及配置文件的备份。比如：

路由器(配置)#ip ftp用户名BluShin

路由器(配置)#ip ftp密码4tppa55w0rd

路由器#复制启动配置ftp:

9.及时升级和修补IOS软件。

二。路由器“网络服务”的安全配置

1.禁止CDP(思科发现协议)。比如：

路由器(配置)#无cdp运行

路由器(配置-if)#无cdp启用

2.禁止其他TCP和UDP小服务。

路由器(配置)#无服务TCP-小型服务器

路由器(配置)#无服务UDP-samll-服务器

3.手指服务是禁止的。

路由器(配置)#无ip指针

路由器(配置)#无服务指针

4.建议禁用HTTP服务。

路由器(配置)#无ip http服务器

如果启用了HTTP服务，需要进行安全配置：设置用户名和密码；使用访问列表进行控制。比如：

路由器(配置)#用户名BluShin特权10 G00dPa55w0rd

路由器(配置)# ip http认证本地

路由器(配置)#无访问列表10

路由器(配置)#访问列表10允许192.168.0.1

路由器(配置)#访问列表10拒绝任何

路由器(配置)# ip http访问-10类

路由器(配置)# ip http服务器

路由器(配置)#退出

5.禁止BOOTp服务。

路由器(配置)#无ip bootp服务器

禁止从网络启动，自动从网络下载初始配置文件。

路由器(配置)#无引导网络

路由器(配置)#无服务配置

6.禁止IP源路由。

路由器(配置)#无ip源路由

7.建议如果不需要ARP-Proxy服务，应该禁止，路由器知道默认开启。

路由器(配置)#无ip代理-arp

路由器(配置-if)#无ip代理-arp

8.明确禁止IP定向广播。

路由器(配置)#无ip定向广播

9.禁止IP无类。

路由器(配置)#无ip无类

10.禁止IP不可达、重定向和屏蔽ICMP协议副本。

路由器(配置-if)#无ip不可达

路由器(配置-if)#无ip重定向

路由器(配置-if)#无ip掩码-回复

11.建议禁止SNMP协议服务。某些SNMP服务的默认配置在被禁止时必须被删除。或者您需要访问列表来过滤。比如：

路由器（配置)#无SNMP-服务器社区公共Romania罗马尼亚

路由器（配置)#没有SNMP-服务器社区管理员辐射武器（radiation weapon的缩写）

路由器（配置)#无访问列表70

路由器（配置)#访问列表70拒绝任何

路由器（配置)# SNMP-服务器社区更硬公共Ro 70

路由器（配置)#无simple network management protocol 简单网络管理协议服务器启用陷阱

路由器（配置)#没有SNMP-服务器系统-关闭

路由器（配置)#没有SNMP-服务器陷阱-安东尼

路由器（配置)#无simple network management protocol 简单网络管理协议服务器

路由器（配置)#结束

12.如果没必要则禁止视窗网际网路名称服务和域名服务器(域名服务器)服务。

路由器（配置)#无互联网协议（Internet Protocol的缩写）域-查找

如果需要则需要配置：

路由器（配置)#主机名路由器

路由器（配置)# ip名称-服务器202.102.134.96

13.明确禁止不使用的端口。

路由器（配置)#接口eth0/3

路由器（配置)#关闭

三。路由器"路由协议"的安全配置

1.首先禁止默认启用的空袭预防措施代理，它容易引起路由表的混乱。

路由器（配置)#无互联网协议（Internet Protocol的缩写）代理-arp或者

路由器（配置-如果)#无互联网协议（Internet Protocol的缩写）代理-arp

2.启用开放式最短路径优先(开放式最短路径优先内部网关协议)路由协议的认证。默认的开放式最短路径优先(开放式最短路径优先内部网关协议)认证密码是明文传输的，建议启用讯息摘要5认证。

并设置一定强度密钥（关键，相对的路由器必须有相同的关键点).

路由器（配置)#路由器ospf 100

路由器（配置路由器)#网络192.168.100.0 0.0.0.255区域100

！启用讯息摘要5认证。

！区域区域身份认证启用认证，是明文密码认证。

！面积面积标识认证消息摘要

路由器（配置路由器)#区域100认证消息摘要

路由器（配置)#退出

路由器（配置)#接口eth0/1

！启用讯息摘要5密钥钥匙为routerospfkey。

！ip ospf验证密钥密钥启用认证密钥，但会是明文传输。

！ip ospf消息摘要密钥密钥id(1-255) md5密钥

路由器（配置-if)# ip ospf消息-摘要-密钥1 md5 routerospfkey

3.长裂口协议的认证。只有里普V2支持，RIP-1不支持。建议启用瑞普-V2。

并且采用讯息摘要5认证。普通认证同样是明文传输的。

路由器（配置)#配置终端

！启用设置密钥链

路由器（配置)#钥匙链我的钥匙串名称

路由器（配置-钥匙串)#键一

！设置密钥字串

路由器(配置密钥链)#密钥串MyFirstKeyString

路由器（配置密钥链)#密钥2

路由器(Config-keychain-key)# key-string我的第二个密钥字符串

！启用里普V2

路由器（配置)#路由器裂口

路由器（配置路由器)#版本2

路由器（配置路由器)#网络192.168.100.0

路由器（配置)#接口eth0/1

！采用讯息摘要5模式认证，并选择已配置的密钥链

路由器（配置-if)# ip rip身份验证模式讯息摘要5

路由器（配置-if)# ip rip认证密钥链我的钥匙串名称

4.启用无源接口命令可以禁用一些不需要接收和转发路由信息的端口。

建议对于不需要路由的端口，启用被动接口。

但是，在长裂口协议是只是禁止转发路由信息，并没有禁止接收。在开放式最短路径优先(开放式最短路径优先内部网关协议)协议中是禁止转发和接收路由信息。

！裂口中，禁止端口0/3转发路由信息

路由器（配置)#路由器裂口

路由器（配置路由器)#无源接口eth0/3

！开放式最短路径优先(开放式最短路径优先内部网关协议)中，禁止端口0/3接收和转发路由信息

路由器（配置)#路由器ospf 100

路由器（配置路由器)#被动接口