CISCO 2505 路由器HUB 端口的安全性配置
江浩
更多资源请关注鸿鹄论坛:http://bbs.hh010.com
美国CISCO 公司的路由器产品在我国有广大的用户市场,但由于有关的技术资料还很少,一般的用户
在实际运用中往往只涉及几个基本的命令,对其提供的强大功能却少有了解,更谈不上深入应用了。我在
实际工作中摸索出了其中一个非常有用的功能,对加强网络安全管理具有很高的实用价值,现奉献给同我
一样渴望深入了解的读者。
CISCO 2505 路由器有S0、S1 两个串口可与广域网连接,1 个E0 口与局域网(以太网)连接,与CISCO 2
500 系列其它产品相比,其最大的特点是提供了8 口的HUB(集线器)功能,HUB 的任一端口都享有E0 口的I
P 地址,用双绞线组网的用户常选用此种型号的路由器。据我所知,有许多用户仅仅把CISCO 2505 的HU
B 功能当做普通的HUB 在用,在网络的安全管理上存在着一定的漏洞,例如,可用一台已设置好IP 地址的
计算机替换双绞线对端的合法设备,从而骗过防火墙的检查等等。实际上,CISCO 2505 路由器本身已经
提供了对HUB 各端口进行权限控制的命令,操作步骤如下:
1>enable /*进入特权维护模式*/
2#config term /*从主控终端上输入配置命令*/
3(config)#hub e 0 n /*进入指定的HUB 端口(n)
的设置模式。
n 的取值范围是1-8,但只能是一个数字。*/
4(config-hub)#? /*求得可用命令的简单描述*/
auto-polarity Enable automatic receiver polarity reversal exit Exit from hu
b configuration mode help Description of the interactive help system link-test E
nable Link Test Function of Hub port no Negate or set default values of a com
mand shutdown Shutdown the selected port source-address Enable Source Addres
s control for Hub port
以上命令常用的是no 和shutdown,但对注重安全防范的网络管理员来说,掌握source-address 命
令则非常重要。该命令的格式如下:
(config-hub)#source-addrerss xxxx.xxxx.xxxx
其中xxxx.xxxx.xxxx 是与该端口(n)物理相连的网卡(或其它网络设备)的MAC 地址(注意每个x 都是1
6 进制的数,如0000.21bc.6ac6 等),该地址可用网卡附带的驱动程序或诊断程序查出,在UNIX 下也可用
hwconfig 命令查看,得到的地址常是6 组两位的16 进制数,应转换成上述格式。
5(config-hub)#exit
6(config)#exit
7#show hub /*查看设置情况*/
8#write mem /*将所做修改保存到NVRAM */
由于MAC 地址(Medium Access Control)是在世界范围内进行了唯一性编码的,任何一个厂家生产的
任何一块网卡,其MAC 地址都截然不同,因此,用此命令指定了端口的连接对象必须是某一台特定的设备,
再辅以其它的屏蔽功能(如关闭闲置端口、设置防火墙等),则可有效地防止非法的网络连接,从数据链路
层开始,就可提供一个可靠的安全屏障了。经实用,效果非常良好。
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2013-12-5 16:31:50
置顶卡
喧嚣卡
变色卡
千斤顶