思科路由器怎么配置限速和記錄登錄失敗的嘗試次數(shù)的方法
今天,小編就給大家介紹下思科路由器怎么配置限速和記錄登錄失敗的嘗試次數(shù)的方法。
思科路由器怎么配置限速?
在路由器設(shè)置ACL(訪問控制列表)將該服務(wù)所用的端口封掉,從而阻止該服務(wù)的正常運(yùn)行。對(duì)BT軟件,我們可以嘗試封它的端口。一般情況下,BT軟件使用的是6880-6890端口,在公司的核心思科路由器上使用以下命令將6880-6890端口全部封鎖。
路由器設(shè)置限速:
access-list130remarkbt
access-list130permittcpanyanyrange68816890
access-list130permittcpanyrange68816890any
rate-limitinputaccess-group13071200080008000conform-actiontransmitexceed-actiondrop
rate-limitoutputaccess-group13071200080008000conform-actiontransmitexceed-actiondrop
路由器設(shè)置禁止下載:
access-list130denytcpanyanyrange68816890
access-list130denytcpanyrange68816890any
ipaccess-group130in/out
不過現(xiàn)在的bt軟件,再封鎖后會(huì)自動(dòng)改端口,一些軟件還是用到8000、8080、2070等端口,限制這些端口這樣網(wǎng)絡(luò)不正常!第二種方法是使用:NVAR(Network-BasedApplicationRecognition,網(wǎng)絡(luò)應(yīng)用識(shí)別)。
NBAR(Network-BasedApplicationRecognition)的意思是網(wǎng)絡(luò)應(yīng)用識(shí)別。NBAR是一種動(dòng)態(tài)能在四到七層尋找協(xié)議的技術(shù),它不但能做到普通ACL能做到那樣控制靜態(tài)的、簡單的網(wǎng)絡(luò)應(yīng)用協(xié)議TCP/UDP的端口號(hào)。例如我們熟知的WEB應(yīng)用使用的TCP80,也能做到控制一般ACLs不能做到動(dòng)態(tài)的端口的那些協(xié)議,例如VoIP使用的H.323,SIP等。
要實(shí)現(xiàn)對(duì)BT流量的控制,就要在思科路由器上實(shí)現(xiàn)對(duì)PDLM的支持。PDLM是PacketDescriptionLanguageModule的所寫,意思是數(shù)據(jù)包描述語言模塊。它是一種對(duì)網(wǎng)絡(luò)高層應(yīng)用的協(xié)議層的描述,例如協(xié)議類型,服務(wù)端口號(hào)等。它的優(yōu)勢(shì)是讓NBAR適應(yīng)很多已有的網(wǎng)絡(luò)應(yīng)用,像HTTPURL,DNS,F(xiàn)TP,VoIP等,同時(shí)它還可以通過定義,來使NBAR支持許多新興的網(wǎng)絡(luò)應(yīng)用。例如peer2peer工具。
PDLM在思科的網(wǎng)站上可以下載,并且利用PDLM可以限制一些網(wǎng)絡(luò)上的惡意流量。CISCO在其官方網(wǎng)站提供了三個(gè)PDLM模塊,分別為KAZAA2.pdlm,bittorrent.pdlm.emonkey.pdlm可以用來封鎖KAZAA,BT,電驢得到PDLM然后通過TFTP服務(wù)器將bittorrent.pdlm拷貝到路由中。
功能啟動(dòng)利用ipnbarpdlmbittorrent.pdlm命令將NBAR中的BT。再創(chuàng)建一個(gè)class-map和policymap并且把它應(yīng)用到相應(yīng)的思科路由器的接口上。一般是連接Internet(Chinanet)的接口是FastEthernet或10M的以太網(wǎng)接口。
Cisco路由器的CEF rate-limit限速方法:
目前在Cisco路由器設(shè)備中,只有支持思科快速轉(zhuǎn)發(fā)(CEF)的路由器或交換機(jī)才能使用rate-limit來限速,具體設(shè)置可以按如下步驟進(jìn)行。
Cisco路由器限速第一步. 在全局模式下開啟cef:
Router(config)#ip cef cisco
Cisco路由器限速第二步. 定義標(biāo)準(zhǔn)或者擴(kuò)展訪問列表:
注:定義一個(gè)方向就可以了,主要用于控制被限速的IP地址
Router(config)#access-list 111 permit ip 192.168.1.0 0.0.0.255 any cisco
Cisco路由器限速第三步. 在希望限制的端口上進(jìn)行
rate-limit:
Router(config)#interface FastEthernet 0/1
Rounter(config-if)#rate-limit input www.45fan.com/a/pojie/1773.html access-group 111 2000000 40000 60000 conform-action transmit exceed-action drop
這樣我們就對(duì)192.168.1.0網(wǎng)段進(jìn)行了限速,速率為2Mbps。
您可以根據(jù)實(shí)際情況,定義acl先控制被限速的電腦范圍。
Cisco路由器的rate-limit命令格式:#rate-limit {input|output} [access-group number] bps burst-normal burst-max conform-action action exceed-action action input|output:這是定義數(shù)據(jù)流量的方向。
access-group number:定義的訪問列表的號(hào)碼。這個(gè)用來控制被限速的主機(jī)網(wǎng)段,本例中的acl 111。
bps:定義流量速率的上限,單位是bps。
burst-normal burst-max:定義的數(shù)據(jù)容量的大小,單位是字節(jié),當(dāng)?shù)竭_(dá)的數(shù)據(jù)超過此容量時(shí),將觸發(fā)某個(gè)動(dòng)作,丟棄或轉(zhuǎn)發(fā)等,從而達(dá)到限速的目的。
conform-action和exceed-action:分別指在速率限制以下的流量和超過速率限制的流量的處理策略。
思科路由器怎么記錄登錄失敗的嘗試次數(shù)?
自Cisco IOS軟件版本12.3之后,IOS就可以記錄失敗登陸的嘗試次數(shù)。下例中解釋了如何建立驗(yàn)證失敗日志。
Router(config)#aaa new-model
Router(config)#aaa authentication attempts login 5
Router(config)#aaa authentication login local-policy local
Router(config)#security authentication failure rate threshold-rate log
Router(config)#
只有正確配置了AAA之后,Security authentication功能特性才能正常工作。默認(rèn)情況下,Cisco IOS僅允許3次嘗試登陸,可以用AAA來調(diào)整該參數(shù),在上例中,AAA:
1、被啟用了(aaa new-model);
2、將登陸嘗試次數(shù)增加到了5次(IOS默認(rèn)為3次);
3、創(chuàng)建一個(gè)被成為local-policy策略,使用本地用戶名數(shù)據(jù)庫來驗(yàn)證登陸到路由器的用戶。
命令Security authentication只有一個(gè)參數(shù)threshold-rate,該參數(shù)定義了一分鐘內(nèi)失敗的登陸嘗試次數(shù)。此時(shí)將會(huì)生成一條syslog消息,threshold-rate的取值范圍是2~1024,默認(rèn)值為10。除了生成syslog消息,再次允許登陸嘗試之前需要延時(shí)15秒。
需要注意的是,threshold-rate必須小于等于aaa authentication attempts login的設(shè)置值。否則,AAA將命令security authentication記錄時(shí)間之前斷開連接嘗試。