校园是
连接互联网的,能使教师和学生获得大量的信息资源,开阔视野和知识,从而形成校园网,促进教育现代化。必由之路。
作为校园网,内部
路由器和
网络连接枢纽在其中起着决定性的
作用。因此,路由器的
管理和
维护是每个校园网络
管理员必不可少的过程。
连接前的准备
许多小学和中学的网络使用ADSL和HDSL的连接方式。首先,看看
调制解调器的状态。如果调制解调器的DCD不亮,这意味着线连接失败。请
检查第一接入线路的连接,然后检查路由器的电缆连接,连接
控制端的路由器,并根据返回的数量进入路由器的
名字。
通过终端的PC部分或
运行仿真软件访问控制台端口。终端或PC
配置信息是9600波特,8位数据没有奇偶校验2停止位(9600, 8 n 2),意思是:波特率9600,数据位8,停止位1,奇偶校验无。
管理员还可以通过telnet
地址在远程侧远程
设置。但如果路由器是第一次配置的,则必须在以前的配置中使用它。
以太网端口的
故障判断
我们使用
显示接口以太网0(端口0)
命令来确定以太网端口故障,用于检查链路状态,此外,当我们怀疑物理端口故障时,可用的版本显示端口正常的物理和物理故障,端口不会显示。
串行端口的故障判断
我们可以使用显示接口串行0(串行端口0)命令来确定串行端口故障并检查链路状态:
路由器#显示串列0
此外,当我们怀疑端口有物理故障时,我们可以使用显示的版本来显示物理上正常的端口,而不会显示物理故障的端口。
路由器的安全维护
使用路由器漏洞进行发射攻击的事件
经常发生,路由器攻击浪费CPU周期,误导信息流量,使网络异常甚至瘫痪,因此需要采取适当的安全措施来
保护路由器的安全性。
(1)避免
密码泄露的危机。
根据卡内基梅隆大学的CERT / CC(
计算机急救响应团队/控制中心),的安全突破80%的弱密码造成的。黑客们经常利用弱口令或
默认密码攻击。措施如加长密码并选择30到60天的口令,有助于防止这样的漏洞。
(2)
关闭IP直接广播
Smurf攻击是拒绝
服务攻击,在这种攻击中,攻击者使用假冒的源地址发送一个你的网络地址;ICMP echo要求。这就要求所有的主机响应广播请求。这样可以降低网络的
性能。不使用IP源路由关闭IP直接广播地址。
(3)禁用不需要的服务
为了强调路由器的安全性,我们必须禁用一些不必要的
本地服务,如SNMP和DHCP,
用户很少使用这些服务。它们可以被禁用,只有在绝对必要时才使用。
此外,它可能会关闭HTTP路由器的设置,因为使用的HTTP身份
识别协议相当于发送未加密的密码到整个网络。然而,有验证HTTP协议的密码或一次性密码没有有效监管。
(4)受限逻辑访问
限制逻辑访问主要是基于访问控制列表的合理处置,并限制远程终端会话可以帮助防止黑客获得
系统的逻辑access.ssh是优先的逻辑访问
方法,但如果telnet是无法避免的,它可能会使用终端访问控制来限制访问受信任的主机只。
因此,用户需要向telnet在路由器上使用的虚拟终端端口添加一个访问列表。
(5)封锁ICMP ping请求
控制
消息协议(ICMP)有助于诊断和识别主机正在使用,从而为攻击者提供
浏览网络设备信息,确定本地时间戳和网络掩码,和OS版本制作假定的信息。因此,消除远程用户接收ping请求的响应能力,它是容易的避开那些无人值守扫描活动,或保卫易于攻击,和
脚本(脚本小子)的孩子。
(6)关闭IP源路由
IP协议允许主机指定通过网络
传输的数据包,而不是允许网络
组件来确定最佳
路径。这个
功能的合理应用是诊断连接故障。事实上,它最常见的用途是监视
镜像网络的目的,或者攻击者在私有网络中找到后门。除非指定此功能只能用于诊断故障,否则该功能应该关闭。
(7)监控配置更改
更改路由器的配置后,用户需要监视它。如果用户使用SNMP,则选择强共享字符串。最好使用SNMP。它提供消息加密功能。如果您不通过SNMP管理配置远程设备,用户应该配置SNMP设备以便只读,拒绝写入对这些设备的访问,用户可以阻止黑客更改或关闭接口。此外,用户还需要将系统日志消息从路由器发送到指定
服务器。
为了进一步确保安全管理,用户可以使用SSH之类的加密机制,并使用SSH与路由器建立加密的远程会话。为了加强保护,用户还应限制SSH会话协商,只允许会话与用户经常使用的几个可信系统通信。
(8)地址过滤
在校园网边界路由器建立政策是根据IP地址的网络安全违反规则的过滤器。除特殊
情况,所有的IP地址来访问Internet网络中应该有一个分配
局域网地址。例如,它可以通过合法为192.168.0.1此路由器上网的。然而,这216.239.55.99地址可能是一个打击欺诈和部分。
相反,外部的互联网通信的源地址不应该是内部网络的一部分。因此,192.168,XX,XX,172.16,和10。X.X.X地址的网络应该被阻止。
最后,所有的通信的源地址,
目标地址的路由保留不应该被允许通过路由器。这包括返回地址127.0.0.1或E类地址段。
在构建校园网时,只有选择合适的路由器,经过适当的配置和相应的维护
策略,才能使校园网平稳、安全、可靠,充分发挥校园网在学校管理、信息资源获取等方面的作用。
相关知识:
路由器
工作原理
路由器通过识别不同网络的网络ID号码来连接不同的段或网络。为了识别另一个网络,路由器首先识别另一个网络ID,以确定它是否与目的地地址中的网络ID号相一致。
如果发送到该网络的路由器,在接收来自源网络的消息之后,接收该网络的路由器将根据消息中所包含的目的节点的IP地址,确定根据主机ID发送的节点,然后直接发送该节点。
考虑到中小学校园的普遍性,主要
介绍了路由器Cisco 2612在校园网中的维护内容。当然,这个内容也可以应用到更高性能的路由器,如Cisco 7600。
Cisco 2612的模块化结构可以为适应网络技术的变化提供通用性。它配备了强大的RISC
处理器,以
支持不断发展的网络的先进服务质量(QoS)、安全性和网络集成特性。
通过多个
独立设备的功能集成到一个单位,思科2612还降低了管理远程网络的复杂性,为网络提供具有成本效益的
解决方案,校园网接入、多业务集成的语音/数据、
模拟和数字拨号接入服务、VPN、ATM、VLAN访问集中接入和路由带宽管理中的应用。