Cisco路由器交换机安全配置
“骑士王二”通过精心收集,向本站投稿了5篇Cisco路由器交换机安全配置,下面小编给大家整理后的Cisco路由器交换机安全配置,欢迎阅读与借鉴!
篇1:Cisco路由器交换机安全配置
一、 网络结构及安全脆弱性
为了使设备配置简单或易于用户使用,Router或Switch初始状态并没有配置安全措施,所以网络具有许多安全脆弱性,因此网络中常面临如下威胁:
1. DDOS攻击
2. 非法授权访问攻击,
口令过于简单,口令长期不变,口令明文创送,缺乏强认证机制。
3.IP地址欺骗攻击
….
利用Cisco Router和Switch可以有效防止上述攻击。
二、保护路由器
2.1 防止来自其它各省、市用户Ddos攻击
最大的威胁:Ddos, hacker控制其他主机,共同向Router访问提供的某种服务,导致Router利用率升高。
Ddos是最容易实施的攻击手段,不要求 有高深的网络知识就可以做到。
如SMURF DDOS 攻击就是用最简单的命令ping做到的。利用IP 地址欺骗,结合ping就可以实现DDOS攻击。
防范措施:
应关闭某些缺省状态下开启的服务,以节省内存并防止安全破坏行为/攻击
Router(config-t)#no service finger
Router(config-t)#no service pad
Router(config-t)#no service udp-small-servers
Router(config-t)#no service tcp-small-servers
Router(config-t)#no ip http server
Router(config-t)#no service ftp
Router(config-t)#no ip bootp server
以上均已经配置。
防止ICMP-flooging攻击
Router(config-t)#int e0
Router(config-if)#no ip redirects
Router(config-if)#no ip directed-broadcast
Router(config-if)#no ip proxy-arp
Router(config-t)#int s0
Router(config-if)#no ip redirects
Router(config-if)#no ip directed-broadcast
Router(config-if)#no ip proxy-arp
以上均已经配置。
除非在特别要求情况下,应关闭源路由:
Router(config-t)#no ip source-route
以上均已经配置。
禁止用CDP发现邻近的cisco设备、型号和软件版本
Router(config-t)#no cdp run
Router(config-t)#int s0
Router(config-if)#no cdp enable
如果使用works网管软件,则不需要此项操作
此项未配置。
使用CEF转发算法,防止小包利用fast cache转发算法带来的Router内存耗尽、CPU利用率升高。
Router(config-t)#ip cef
2.2 防止非法授权访问
通过单向算法对 “enable secret”密码进行加密
Router(config-t)#enable secret
Router(config-t)#no enable password
Router(config-t)#service password-encryption
?vty端口的缺省空闲超时为10分0秒
Router(config-t)#line vty 0 4
Router(config-line)#exec-timeout 10 0
应该控制到VTY的接入,不应使之处于打开状态;Console应仅作为最后的管理手段:
如只允许130.9.1.130 Host 能够用Telnet访问.
access-list 110 permit ip 130.9.1.130 0.0.0.0 130.1.1.254 0.0.0.0 log
line vty 0 4
access-class 101 in
exec-timeout 5 0
2.3 使用基于用户名和口令的强认证方法 Router(config-t)#username admin pass 5 434535e2
Router(config-t)#aaa new-model
Router(config-t)#radius-server host 130.1.1.1 key key-string
Router(config-t)#aaa authentication login neteng group radius local
Router(config-t)#line vty 0 4
Router(config-line)#login authen neteng
三、保护网络
3.1防止IP地址欺骗
经常冒充地税局内部网IP地址,获得一定的访问权限,
在省地税局和各地市的WAN Router上配置:
防止IP地址欺骗--使用基于unicast RPF(逆向路径转发)
包发送到某个接口,检查包的IP地址是否与CEF表中到达此IP地址的最佳路由是从此接口转发,若是,转发,否则,丢弃。
Router(config-t)#ip cef
Router(config-t)#interface e0
Router(config-if)# ip verify unicast reverse-path 101
Router(config-t)#access-list 101 permit ip any any log
注意:通过log日志可以看到内部网络中哪些用户试图进行IP地址欺骗。
此项已配置。
防止IP地址欺骗配置访问列表
防止外部进行对内部进行IP地址
Router(config-t)#access-list 190 deny ip 130.9.0.0 0.0.255.255 any
Router(config-t)#access-list 190 permit ip any any
Router(config-t)#int s4/1/1.1
Router(config-if)# ip access-group 190 in
防止内部对外部进行IP地址欺骗
Router(config-t)#access-list 199 permit ip 130.9.0.0 0.0.255.255 any
Router(config-t)#int f4/1/0
Router(config-if)# ip access-group 199 in
四、保护服务器
对于地税局内部的某些Server,如果它不向各地提供服务可以在总局核心Cisco Router上配置空路由。
ip route 130.1.1.1 255.255.255.255.0 null
在WAN Router上配置CBAC,cisco状态防火墙,防止Sync Flood攻击
hr(config)#int s0/0
hr(config-if)#ip access-group 100 in
hr(config)#int f0/0
hr(config-if)#ip inspect insp1 in
hr(config)#ip inspect audit-trial
hr(config)#ip inspect name insp1 tcp
hr(config)#ip inspect max-incomplete high 350
hr(config)#ip inspect max-incomplete low 240
hr(config)#ip audit
hr(config)#access-list 100 permit tcp any 130.1.1.2 eq 80
在WAN Router 上配置IDS入侵检测系统
hr(config)#ip audit name audit1 info action alarm
hr(config)#ip audit name audit1 attack action alarm drop
reset
hr(config)#ip audit audit1 notify log
hr(config)#int s0/0
hr(config)#ip audit audit1 in
五、网络运行监视
配置syslog server,将日志信息发送到syslog server上
Syslog Server纪录Router的平时运行产生的一些事件,如广域口的up, down
, OSPF Neighbour的建立或断开等,它对统计Router的运行状态、流量的一些状态,电信链路的稳定有非常重要的意义,用以指导对网络的改进。
篇2:交换机路由器配置:Cisco组网实例
本文讲述了Cisco 2950交换机基本配置和路由器Cisco 2611上单臂路由的配置以及IP地址划分这几个知识点,这两个设备是组网时经常用到的,所以本文专门为大家总结一下,
一、Cisco 2950交换机基本配置
switch>
switch>enable
switch#
switch#vlan database(进入vlan维护模式)
switch(vlan)#vlan 2 name vlan2(给vlan 2命名为vlan2)
switch(vlan)#vlan 4 name vlan4(给vlan 4命名为vlan4)
switch(vlan)#exit(这里要注意一下,要打入exit退出才有效,不能用ctrl+z或end直接退出,因为这么不能使配置生效!)
switch#show vlan(查看vlan的配置,默认有vlan1)
switch#configure terminal(进入全局配置模式)
switch(config)#interface f0/1(进入fastethernet0/1接口配置模式)
switch(config-if)#switchport mode access(这步可以省略)
switch(config-if)#switchport access vlan 2(把该接口划分到vlan2,记得vlan2之间有空格)
switch(config-if)#no shutdown(激活端口)
switch(config-if)#exit
switch(config)#interface f0/2
switch(config-if)#switchport mode access
switch(config-if)#switchport access vlan 4
switch(config-if)#no shutdown
switch(config-if)#exit
switch(config)#interface f0/3
switch(config-if)#switchport mode trunk(设置此口为中继模式)
switch(config-if)#no shutdown
witch(config-if)#exit(这里可以直接用ctrl+z或end直接退出到特权模式)
二。在路由器Cisco 2611上的配置(单臂路由)
router#configure terminal
router(config)#interface f0/0.1(进入子接口模式)
router(config-subif)#encapsulation dot1q 2(设置封装类型为dot1q,它是思科特有的。此外还有isl封装,要看该设备支不支持。数字2是vlan号)
router(config-subif)#ip address 192.168.1.1 255.255.255.0
router(config-subif)#exit
router(config)#interface f0/0.2
router(config-subif)#encapsulation dot1q 4
router(config-subif)#ip address 192.168.3.1 255.255.255.0
router(config-subif)#exit
router(config)#interface f0/0
router(config-if)#no shutdown
router(config-if)#^z
router#show running-config
router#copy running-config startup-config
三,
给PC1,PC2设置好IP地址,然后用ping命名令测试!
1、配置IP地址
交换机要能够被网管,必须给它标识一个管理IP地址,默认情况下CISCO交换机的VLAN 1为管理VLAN,为该VLAN配上IP 地址,交换机就可以被网管了。命令如下:
a、进入全局模式: Switch#configure terminal
b、进入VLAN 1接口模式:Switch(config)#interface vlan 1
c、配置管理IP地址:Switch(config-if) # ip address [A.B.C.D] [mask]
如果当前VLAN 不是管理VLAN ,只需要将上面第b处命令的vlan的号码换成管理VLAN的号码即可。
2、打开SNMP协议
a、进入全局模式: Switch#configure terminal
b、配置只读的Community,产品默认的只读Community名为public
Switch(config)#snmp-server community public ro
c、配置可写的Community,产品默认的可写Community名为private
Switch(config)#snmp-server community private rw
3、更改SNMP的Community密码
a、将设备分组,并使能支持的各种SNMP版本
Switch(config)#snmp-server group qycx123 v1
Switch(config)#snmp-server group qycx 123 v2c
Switch(config)#snmp-server group qycx123 v3 noauth
b、分别配置只读和可写community 如:
Switch(config)#snmp-server community qycx123 ro
Switch(config)#snmp-server community qycx123 rw
4、保存交换机配置
Switch#copy run start
交换机配置的常用命令读者如果不明白可以阅读:思科交换机常用命令总结
篇3:Cisco路由器安全配置命令
1、在路由器上配置一个登录帐户
我强烈建议在路由器和交换机上配置一个真实的用户名和口令帐号,这样做,意味着你需要用户和口令来获得访问权。
除此之外,我建议为用户名使用一个秘密口令,而不仅有一个常规口令。它用MD5加密方法来加密口令,并且大大提高了安全性。举例如下:
Router(config)#user name root secret My$Password
在配置了用户名后,你必须启用使用该用户名的端口。举例如下:
Router(config)# line con 0
Router(config-line)#login local
Router(config)#line aux 0
Router(config-line)#login local
Router(config)#line vty 0 4
Router(config-line)#login local
2、在路由器上设置一个主机名
我猜测路由器上缺省的主机名是router。你可以保留这个缺省值,路由器同样可以正常运行。然而,对路由器重新命名并唯一地标识它才有意义。举例如下:
Router(config)#hostname Router-Branch-23
除此之外,你可以在路由器上配置一个域名,这样它就知道所处哪个DNS域中。举例如下:
Router-Branch-23(config)#ip domain name TechRepublic.com
3、为进入特权模式设置口令
当谈到设置进入特权模式的口令时,许多人想到使用enablepassword命令。然而,代替使用这个命令,我强烈推荐使用enablesecret命令。
这个命令用MD5加密方法加密口令,所以提示符不以明文显示。举例如下:
Router(config)#enable secret My$Password
4、加密路由器口令
Cisco路由器缺省情况下在配置中不加密口令。然而,你可以很容易地改变这一点。举例如下:
Router(config)#service password-encryption
5、禁用Web服务
Cisco路由器还在缺省情况下启用了Web服务,它是一个安全风险。如果你不打算使用它,最好将它关闭。举例如下:
Router(config)#no ip http server
6、配置DNS,或禁用DNS查找
让我们讨论Cisco路由器中我个人认为的一个小毛病:缺省情况下,如果在特权模式下误输入了一个命令,路由器认为你试图Telnet到一个远程主机。然而它对你输入的内容却执行DNS查找。
如果你没有在路由器上配置DNS,命令提示符将挂起直到DNS查找失败。由于这个原因,我建议使用下面两个方法中的一个。
一个选择是禁用DNS。做法是:
Router(config)#no ip domain-lookup
或者,你可以正确地配置DNS指向一台真实的DNS服务器,
Router(config)#ip name-server
7、配置命令别名
许多网络管理员都知道在路由器上配置命令的缩写(也就是别名)。举例如下:
Router(config)#alias exec s sh run
这就是说你现在可以输入s,而不必输入完整的showrunning-configuration命令。
8、设置路由器时钟,或配置NTP服务器
多数Cisco设备没有内部时钟。当它们启动时,它们不知道时间是多少。即使你设置时间,如果你将路由器关闭或重启,它不会保留该信息。
首先设置你的时区和夏令时。例子如下:
Router(config)#clock timezone CST-6
Router(config)#clock summer-time CDT recurring
然后,为了确保路由器的事件消息显示正确的时间,设置路由器的时钟,或者配置一个NTP服务器。设置时钟的例子如下:
Router# clock set 10:54:00 Oct 5
如果你已经在网络中有了一个NTP服务器(或可以访问Internet的路由器),你可以命令路由器将之作为时间源。这是你最好的选择,当路由器启动时,它将通过NTP服务器设置时钟。举例如下:
Router(config)# ntp server 132.163.4.101
9、不让日志消息打扰你的配置过程
CiscoIOS中另一个我认为的小毛病就是在我配置路由器时,控制台界面就不断弹出日志消息(可能是控制台端口,AUX端口或VTY端口)。要预防这一点,你可以这样做。
所以在每一条端口线路上,我使用日志同步命令。举例如下:
Router(config)#line con 0
Router(config-line)#logging synchronous
Router(config)#line aux 0
Router(config-line)#logging synchronous
Router(config)#line vty 0 4
Router(config-line)#logging synchronous
除此之外,你可以在端口上修改这些端口的执行超时时间。例如,我们假设你想禁用VTY线路上默认的十分钟超时时间。在线路配置模式下使用exec-timeout00命令,使路由器永不退出。
10、在路由器缓冲区或系统日志服务器中记录系统消息
捕获路由器的错误和事件以及监视控制台是解决问题的关键。默认情况下,路由器不会将缓冲的事件记录发送到路由器内存中。
然而,你可以配置路由器将缓冲的事件记录发送到内存。举例如下:
Router(config)#logging buffered 16384
你还可以将路由器事件发送到一个系统日志服务器。由于该服务器处在路由器外部,就有一个附加的优点:即使路由器断电也会保留事件记录。
篇4:Cisco路由器安全配置方案
一、 路由器网络服务安全配置
1 禁止CDP(Cisco Discovery Protocol),如:
Router(Config)#no cdp run
Router(Config-if)# no cdp enable
2 禁止其他的TCP、UDP Small服务。
Router(Config)# no service tcp-small-servers
Router(Config)# no service udp-samll-servers
3 禁止Finger服务。
Router(Config)# no ip finger
Router(Config)# no service finger
4 建议禁止HTTP服务。
Router(Config)# no ip http server
如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制。
5 禁止BOOTp服务。
Router(Config)# no ip bootp server
6 禁止IP Source Routing。
Router(Config)# no ip source-route
7 建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的。
Router(Config)# no ip proxy-arp
Router(Config-if)# no ip proxy-arp
8禁止IP Directed Broadcast。
Router(Config)# no ip directed-broadcast
9 禁止IP Classless。
Router(Config)# no ip classless
10 禁止ICMP协议的IP Unreachables, Redirects, Mask Replies,
Router(Config-if)# no ip unreacheables
Router(Config-if)# no ip redirects
Router(Config-if)# no ip mask-reply
11 建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。如:
Router(Config)# no snmp-server community public Ro
Router(Config)# no snmp-server community admin RW
12 如果没必要则禁止WINS和DNS服务。
Router(Config)# no ip domain-lookup
如果需要则需要配置:
Router(Config)# hostname Router
Router(Config)# ip name-server 219.150.32.xxx
13 明确禁止不使用的端口。如:
Router(Config)# interface eth0/3
Router(Config)# shutdown
二、路由器访问控制的安全配置(可选)
路由器的访问控制是比较重要的安全措施,但是目前由于需求不明确,可以考虑暂时不实施。作为建议提供。
1 建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。
2 严格控制CON端口的访问。
配合使用访问控制列表控制对CON口的访问。
如:Router(Config)#Access-list 1 permit 192.168.0.1
Router(Config)#line con 0
Router(Config-line)#Transport input none
篇5:Cisco路由器简易安全配置
一,路由器访问控制的安全配置
1,严格控制可以访问路由器的管理员,任何一次维护都需要记录备案。
2,建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。
3,严格控制CON端口的访问。具体的措施有:
A,如果可以开机箱的,则可以切断与CON口互联的物理线路。B,可以改变默认的连接属性,例如修改波特率(默认是96000,可以改为其他的)。C,配合 使用访问控制列表控制对CON口的访问。如:Router(Config)#Access-list 1 permit 192.168.0.1Router(Config)#line con 0Router(Config-line)#Transport input noneRouter(Config-line)#Login localRouter(Config-line)#Exec-timeoute 5 0Router(Config-line)#access-class 1 inRouter(Config-line)#endD,给CON口设置高强度的密码。
4,如果不使用AUX端口,则禁止这个端口。默认是未被启用。禁止如:
Router(Config)#line aux 0Router(Config-line)#transport input noneRouter(Config-line)#no exec
5,建议采用权限分级策略。如:
Router(Config)#username BluShin privilege 10 G00dPa55w0rdRouter(Config)#privilege EXEC level 10 telnetRouter(Config)#privilege EXEC level 10 show ip access-list
6,为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。
7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为加密,所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址;可以采用AAA设置用户的访问控制等。
8,IOS的升级和备份,以及配置文件的备份建议使用FTP代替TFTP。如:
Router(Config)#ip ftp username BluShinRouter(Config)#ip ftp password 4tppa55w0rdRouter#copy startup-config ftp:
9,及时的升级和修补IOS软件。
二,路由器网络服务安全配置
1,禁止CDP(Cisco Discovery Protocol)。如:Router(Config)#no cdp runRouter(Config-if)# no cdp enable2,禁止其他的TCP、UDP Small服务。Router(Config)# no service tcp-small-serversRouter(Config)# no service udp-samll-servers3,禁止Finger服务。Router(Config)# no ip fingerRouter(Config)# no service finger4,建议禁止HTTP服务。Router(Config)# no ip http server如果启用了HTTP服务则需要对其进行安全配置:
设置用户名和密码;采用访问列表进行控制。如:Router(Config)# username BluShin privilege 10 G00dPa55w0rdRouter(Config)# ip http auth localRouter(Config)# no access-list 10Router(Config)# access-list 10 permit 192.168.0.1Router(Config)# access-list 10 deny anyRouter(Config)# ip http access-class 10Router(Config)# ip http serverRouter(Config)# exit5,禁止BOOTp服务。Router(Config)# no ip bootp server禁止从网络启动和自动从网络下载初始配置文件。Router(Config)# no boot networkRouter(Config)# no servic config6,禁止IP Source Routing。Router(Config)# no ip source-route7,建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的。Router(Config)# no ip proxy-arpRouter(Config-if)# no ip proxy-arp8,明确的禁止IP Directed Broadcast。Router(Config)# no ip directed-broadcast9,禁止IP Classless。Router(Config)# no ip classless10,禁止ICMP协议的IP Unreachables,Redirects,Mask Replies。Router(Config-if)# no ip unreacheablesRouter(Config-if)# no ip redirectsRouter(Config-if)# no ip mask-reply11,建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。
或者需要访问列表来过滤。如:Router(Config)# no snmp-server community public RoRouter(Config)# no snmp-server community admin RWRouter(Config)# no access-list 70Router(Config)# access-list 70 deny anyRouter(Config)# snmp-server community MoreHardPublic Ro 70Router(Config)# no snmp-server enable trapsRouter(Config)# no snmp-server system-shutdownRouter(Config)# no snmp-server trap-anthRouter(Config)# no snmp-serverRouter(Config)# end12,如果没必要则禁止WINS和DNS服务。Router(Config)# no ip domain-lookup如果需要则需要配置:Router(Config)# hostname RouterRouter(Config)# ip name-server 202.102.134.9613,明确禁止不使用的端口,
Router(Config)# interface eth0/3Router(Config)# shutdown
三,路由器路由协议安全配置
1,首先禁止默认启用的ARP-Proxy,它容易引起路由表的混乱。Router(Config)# no ip proxy-arp 或者Router(Config-if)# no ip proxy-arp2,启用OSPF路由协议的认证。默认的OSPF认证密码是明文传输的,建议启用MD5认证。并设置一定强度密钥(key,相对的路由器必须有相同的Key)。Router(Config)# router ospf 100Router(Config-router)# network 192.168.100.0 0.0.0.255 area 100! 启用MD5认证。! area area-id authentication 启用认证,是明文密码认证。!area area-id authentication message-digestRouter(Config-router)# area 100 authentication message-digestRouter(Config)# exitRouter(Config)# interface eth0/1!启用MD5密钥Key为routerospfkey。!ip ospf authentication-key key 启用认证密钥,但会是明文传输。!ip ospf message-digest-key key-id(1-255) md5 keyRouter(Config-if)# ip ospf message-digest-key 1 md5 routerospfkey3,RIP协议的认证。只有RIP-V2支持,RIP-1不支持。建议启用RIP-V2。并且采用MD5认证。普通认证同样是明文传输的。Router(Config)# config terminal! 启用设置密钥链Router(Config)# key chain mykeychainnameRouter(Config-keychain)# key 1!设置密钥字串Router(Config-leychain-key)# key-string MyFirstKeyStringRouter(Config-keyschain)# key 2Router(Config-keychain-key)# key-string MySecondKeyString!启用RIP-V2Router(Config)# router ripRouter(Config-router)# version 2Router(Config-router)# network 192.168.100.0Router(Config)# interface eth0/1! 采用MD5模式认证,并选择已配置的密钥链Router(Config-if)# ip rip authentication mode md5Router(Config-if)# ip rip anthentication key-chain mykeychainname4,启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口。建议对于不需要路由的端口,启用passive-interface。但是,在RIP协议是只是禁止转发路由信息,并没有禁止接收。
在OSPF协议中是禁止转发和接收路由信息。! Rip中,禁止端口0/3转发路由信息Router(Config)# router RipRouter(Config-router)# passive-interface eth0/3!OSPF中,禁止端口0/3接收和转发路由信息Router(Config)# router ospf 100Router(Config-router)# passive-interface eth0/35,启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流。Router(Config)# access-list 10 deny 192.168.1.0 0.0.0.255Router(Config)# access-list 10 permit any! 禁止路由器接收更新192.168.1.0网络的路由信息Router(Config)# router ospf 100Router(Config-router)# distribute-list 10 in!禁止路由器转发传播192.168.1.0网络的路由信息Router(Config)# router ospf 100Router(Config-router)# distribute-list 10 out6,建议启用IP Unicast Reverse-Path Verification。它能够检查源IP地址的准确性,从而可以防止一定的IP Spooling。但是它只能在启用CEF(Cisco Express Forwarding)的路由器上使用。Router# config t! 启用CEFRouter(Config)# ip cef!启用Unicast Reverse-Path VerificationRouter(Config)# interface eth0/1Router(Config)# ip verify unicast reverse-path四,路由器其他安全配置1,及时的升级IOS软件,并且要迅速的为IOS安装补丁。2,要严格认真的为IOS作安全备份。3,要为路由器的配置文件作安全备份。4,购买UPS设备,或者至少要有冗余电源。5,要有完备的路由器的安全访问和维护记录日志。6,要严格设置登录Banner。必须包含非授权用户禁止登录的字样。7, IP欺骗得简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地址;回环地址(127.0.0.0/8);
RFC1918私有地址;DHCP自定义地址(169.254.0.0/16);
科学文档作者测试用地址(192.0.2.0/24);
不用的组播地址(224.0.0.0/4);SUN公司的古老的测试地址(20.20.20.0/24;204.152.64.0/23);
全网络地址(0.0.0.0/8)。Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 any logRouter(Config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any logRouter(Config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any logRouter(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any logRouter(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any logRouter(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any logRouter(Config)# access-list 100 deny ip 192.0.2.0 0.0.0.255 any logRouter(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 anyRouter(Config)# access-list 100 deny ip 20.20.20.0 0.0.0.255
【Cisco路由器交换机安全配置】相关文章:
文档为doc格式
