1樓:愛德華剪刀
最左邊的數字代表絕對線路,從0開始,表示各種線路的一個總的排序,比如console,aux,vty他們各自有各自的線路編號,就像你列出的vty 0代表vty線路中的0線路,而在匯流排路中它可能被編號67。
看下面的圖,你可以配合show line命令來觀察線路,配合著看你就明白了。
2樓:
vty 0表示第1條線路. 這個67 我也不清楚..
3樓:匿名使用者
* 67 是不是在tty列下的線路號, 0是vty埠號
cisco路由器提供一些基於tcp和udp協議的小服務,使用哪些命令可以關閉這些小服務
4樓:匿名使用者
cisco關閉一些不常用服務
一、cisco發現協議
cdp是一個cisco專用協議,執行在所有cisco產品的第二層,用來和其他直接相連的cisco裝置共享基本的裝置資訊。獨立於介質和協議。
黑客再勘測攻擊中使用cdp資訊,這種可能性是比較小的。因為必須在相同的廣播域才能檢視cdp組播幀。所以,建議在邊界路由器上關閉cdp,或至少在連線到公共網路的介面上關閉cdp.
****2cto.***
預設情況下是啟用的。全域性關閉cdp,使用no cdp run命令,關閉之後,應該使用show cdp驗證cdp是否已被關閉。
二、tcp和udp低埠服務
tcp和udp低埠服務是執行在裝置上的埠19和更低埠的服務。所有這些服務都已經過時:如日期和時間(daytime,埠13),測試連通性(echo,埠7)和生成字串(chargen,埠19)。
下面顯示了一個開啟的連線,被連線的路由器上開啟了chargen服務:router#tel*** 192.168.1.254 chargen
要在路由器上關閉這些服務,使用下面的配置:router(config)#no service tcp-**all-serversrouter(config)#no service udp-**all-servers
關閉了這些服務之後,用下面方法進行測試,如:router(config)#tel*** 192.168.1.254 daytime
三、finger
finger協議(埠79)允許網路上的使用者獲得當前正在使用特定路由選擇裝置的使用者列表,顯示的資訊包括系統中執行的程序、鏈路號、連線名、閒置時間和終端位置。通過show user命令來提供的。 ****
2cto.***
finger是一個檢測誰登入到一臺主機的unix程式,而不用親自登入到裝置來檢視。
下面顯示了一個驗證finger服務被開啟和如何關閉的例子:router#tel*** 192.168.1.254 finger
(connect 192.168.1.254 finger)router(config)#no ip fingerrouter(config)#no service finger
當對路由器執行一個finger操作時,路由器以show users命令的輸出來作為響應。要阻止響應,使用no ip finger命令,將關閉finger服務。在較老的版本中,使用no service finger命令。
在較新版本中,兩個命令都適用。
四、identd
ip鑑別支援對某個tcp埠身份的查詢。能夠報告一個發起tcp連線的客戶端身份,以及響應該連線的主機的身份。
identd允許遠端裝置為了識別目的查詢一個tcp埠。是一個不安全的協議,旨在幫助識別一個想要連線的裝置。一個裝置傳送請求到ident埠(tcp 113),目的裝置用其身份資訊作為響應,如主機和裝置名。
如果支援ip鑑別,攻擊者就能夠連線到主機的一個tcp埠上,釋出一個簡單的字串以請求資訊,得到一個返回的簡單字串響應。
要關閉identd服務,使用下面的命令:router(config)#no ip identd
可以通過tel***到裝置的113埠來進行測試
五、ip源路由
應該在所有的路由器上關閉,包括邊界路由器。可以使用下面的命令:router(config)#no ip source-route禁止對帶有源路由選項的ip資料包的**。
六、ftp和tftp
路由器可以用作ftp伺服器和tftp伺服器,可以將映像從一臺路由器複製到另一臺。建議不要使用這個功能,因為ftp和tftp都是不安全的協議。
預設地,ftp伺服器在路由器上是關閉的,然而,為了安全起見,仍然建議在路由器上執行以下命令:router(config)#no ftp-server write-enable (12.3版本開始)router(config)#no ftp-server enable
可以通過使用一個ftp客戶端從pc進行測試,嘗試建立到路由器的連線。
七、http
測試方法可以使用一個web瀏覽器嘗試訪問路由器。還可以從路由器的命令提示符下,使用下面的命令來進行測試:router#tel*** 192.
168.1.254 80router#tel*** 192.
168.1.254 443
要關閉以上兩個服務以及驗證,執行以下的步驟
1.254 80router#tel*** 192.168.
1.254 443
cisco安全裝置管理器(security device manager,sdm)用http訪問路由器,如果要用sdm來管理路由器,就不能關閉http服務。
如果選擇用http做管理,應該用ip http access-class命令來限制對ip地址的訪問。此外,也應該用ip http authentication命令來配置認證。對於互動式登入,http認證最好的選擇是使用一個tacacs+或radius伺服器,這可以避免將enable口令用作http口令。
八、snmp
snmp可以用來遠端監控和管理cisco裝置。然而,snmp存在很多安全問題,特別是snmp v1和v2中。要關閉snmp服務,需要完成以下三件事:
*從路由器配置中刪除預設的團體字串;
*關閉snmp陷阱和系統關機特徵;
*關閉snmp服務。
要檢視是否配置了snmp命令,執行show running-config命令。
下面顯示了用來完全關閉snmp的配置:router(config)#no snmp-server ***munity public rorouter(config)#no snmp-server ***munity private rwrouter(config)#no snmp-server enable trapsrouter(config)#no snmp-server system-shutdownrouter(config)#no snmp-server trap-authrouter(config)#no snmp-server
前兩個命令刪除了只讀和讀寫團體字串(團體字串可能不一樣)。接下來三個命令關閉snmp陷阱、系統關機和通過snmp的認證陷阱。最後在路由器上關閉snmp服務。
關閉snmp服務之後,使用show snmp命令驗證
九、域名解析
預設情況下,cisco路由器dns服務會向255.255.255.255廣播地址傳送名字查詢。應該避免使用這個廣播地址,因為攻擊者可能會藉機偽裝成一個dns伺服器。
如果路由器使用dns來解析名稱,會在配置中看到類似的命令:router(config)#hostname santa
router(config)#ip domain-name claus.gov
router(config)#ip name-server 200.1.1.1 202.1.1.1
router(config)#ip domain-lookup
可以使用show hosts命令來檢視已經解析的名稱。
因為dns沒有固有的安全機制,易受到會話攻擊,在目的dns伺服器響應之前,黑客先傳送一個偽造的回覆。如果路由器得到兩個回覆,通常忽略第二個回覆。
解決這個問題,要麼確保路由器有一個到dns伺服器的安全路徑,要麼不要使用dns,而使用手動解析。使用手動解析,可以關閉dns,然後使用ip host命令靜態定義主機名。如果想阻止路由器產生dns查詢,要麼配置一個具體的dns伺服器(ip name-server),要麼將這些查詢作為本地廣播(當dns伺服器沒有被配置時),使用下面的配置:
router#tel*******quizware.***80 (測試)
router(config)#no ip domain-lookup
router#tel*******cisco.***80
router(config)#no boot ***work remote-url-ftp:
[[[//[username:[:password]@]location]/directory]/filename]-rcp:
[[[//[username@]/location]/directory]/filename]-tftp:
[[[//location]/directory]/filename
載入了ios映像之後,開始發現一個配置檔案。如果在nvram中沒有配置檔案,路由器會使用系統配置對話方塊來建立配置檔案,或使用網路配置選項:使用tftp廣播來發現配置檔案。
所以,應該使用以下的命令關閉該特性:router(config)#no service config
十四、關閉無根據arp
大多數cisco路由器(預設情況下)都會向外傳送無根據的arp訊息,無論客戶端何時連線並基於ppp連線協商一個ip地址。arp毒害攻擊主要利用的就是這種arp訊息。
即使客戶端從一個本地地址池收到地址,cisco路由器也會生成一個無根據的arp傳送。
禁止無根據arp傳送,使用下面的命令:router(config)#no ip gratuitous-arps 十
五、關閉ip無類別路由選擇服務
路由器可能會收到一些發往一個沒有網路預設路由的子網的資料包,如果啟用了ip無類別服務時,會將這些資料包**給最有可能路由的超網。
要關閉ip無類別路由選擇,在全域性配置模式下使用no ip classless命令
求路由器大部分命令,路由器命令大全
一般登陸192.168.1.0,使用者名稱 admin,密碼admin或空。路由器買來後,復與網線直接連線就 制可以。ip地址需要自己設定一下。一般是 192。168。0。2 99或者100 199 舉例 192.168.0.111 255.255.255.0 192.168.0.1 dns 205...
華為路由器和cisco路由器不能對接嗎
為那 winertech 路由器可支援 p l2tp ipsec等方式。有結合多個路由器廠家如tp 華為 思科等多種企業路由器搭建vpn案例。華為三層交換機和思科路由器相連的問題 這個看你想把流量如何走,如果客戶端的gateway設定在華為3層交換機上,例如 router1 dhcp server ...
cisco路由器如何劃分vlan
一般路由器口使用子介面封裝對應的vlan號,與交換機的vlan對應。enconfig t vlan id exit 就想一樓說的 router config subif encapsulation dot1q 1 路由器如何下接二層交換機劃分vlan?你可以用一個路由器乙太網口與2960接,路由器口...