美国CISCO公司的路由器产品在我国有广大的用户市场,但由于有关的技术资料还很少,一般的用户在实际运用中往往只涉及几个基本的命令,对其提供的强大功能却少有了解,更谈不上深入应用了 。我在实际工作中摸索出了其中一个非常有用的功能,对加强网络安全治理具有很高的实用价值,现奉献给同我一样渴望深入了解的读者 。
CISCO 2505路由器有S0、S1两个串口可与广域网连接,1个E0口与局域网(以太网)连接,与CISCO 2500系列其它产品相比,其最大的特点是提供了8口的HUB(集线器)功能,HUB的任一端口都享有E0口的IP地址,用双绞线组网的用户常选用此种型号的路由器 。据我所知,有许多用户仅仅把CISCO 2505的HUB功能当做普通的HUB在用,在网络的安全治理上存在着一定的漏洞,例如,可用一台已设置好IP地址的计算机替换双绞线对端的合法设备,从而骗过防火墙的检查等等 。实际上,CISCO 2505路由器本身已经提供了对HUB各端口进行权限控制的命令,操作步骤如下:
1>enable /*进入特权维护模式*/
2#config term /*从主控终端上输入配置命令*/
3(config)#hub e 0 n/*进入指定的HUB端口(n)
的设置模式 。
n的取值范围是1-8,但只能是一个数字 。*/
4(config-hub)#? /*求得可用命令的简单描述*/
auto-polarity Enable automatic receiver polarity reversal exit Exit from hub configuration mode help Description of the interactive help system link-test Enable Link Test Function of Hub port no Negate or set default values of a command shutdown Shutdown the selected port source-address Enable Source Address control for Hub port
以上命令常用的是no和shutdown,但对注重安全防范的网络治理员来说,把握source-address命令则非常重要 。该命令的格式如下:
(config-hub)#source-addrerss xxxx.xxxx.xxxx
其中xxxx.xxxx.xxxx是与该端口(n)物理相连的网卡(或其它网络设备)的MAC地址(注重每个x都是16进制的数,如0000.21bc.6ac6等),该地址可用网卡附带的驱动程序或诊断程序查出,在UNIX下也可用hwconfig命令查看,得到的地址常是6组两位的16进制数,应转换成上述格式 。
5(config-hub)#exit
6(config)#exit
7#show hub /*查看设置情况*/
8#write mem /*将所做修改保存到NVRAM */
由于MAC地址(Medium Access Control)是在世界范围内进行了唯一性编码的,任何一个厂家生产的任何一块网卡,其MAC地址都截然不同,因此,用此命令指定了端口的连接对象必须是某一台特定的设备,再辅以其它的屏蔽功能(如关闭闲置端口、设置防火墙等),则可有效地防止非法的网络连接,从数据链路层开始,就可提供一个可靠的安全屏障了 。经实用,效果非常良好 。
推荐阅读
- 在低端路由器上实现双机热备份和EIGRP的路由调整实例
- Cisco1600和800系列路由器运行OSPF的注意事项
- CISCO学习问题之RIP网络中路由器的timer必须一致吗?
- 精品原创 企业级路由器产品概述
- CISCO路由器问题解决方法
- 路由器应用分析
- 一个路由器做桥的配置
- 图 华山论剑 2005无线宽带路由器横评
- 无线网络优化——选择AP还是路由器?
- 优化路由器让网络管理效率更高