思科路由器怎么配置限速和記錄登錄失敗的嘗試次數(shù)的方法
今天,小編就給大家介紹下思科路由器怎么配置限速和記錄登錄失敗的嘗試次數(shù)的方法。
思科路由器怎么配置限速?
在路由器設(shè)置ACL(訪問控制列表)將該服務(wù)所用的端口封掉,從而阻止該服務(wù)的正常運行。對BT軟件,我們可以嘗試封它的端口。一般情況下,BT軟件使用的是6880-6890端口,在公司的核心思科路由器上使用以下命令將6880-6890端口全部封鎖。
路由器設(shè)置限速:
access-list130remarkbt
access-list130permittcpanyanyrange68816890
access-list130permittcpanyrange68816890any
rate-limitinputaccess-group13071200080008000conform-actiontransmitexceed-actiondrop
rate-limitoutputaccess-group13071200080008000conform-actiontransmitexceed-actiondrop
路由器設(shè)置禁止下載:
access-list130denytcpanyanyrange68816890
access-list130denytcpanyrange68816890any
ipaccess-group130in/out
不過現(xiàn)在的bt軟件,再封鎖后會自動改端口,一些軟件還是用到8000、8080、2070等端口,限制這些端口這樣網(wǎng)絡(luò)不正常!第二種方法是使用:NVAR(Network-BasedApplicationRecognition,網(wǎng)絡(luò)應(yīng)用識別)。
NBAR(Network-BasedApplicationRecognition)的意思是網(wǎng)絡(luò)應(yīng)用識別。NBAR是一種動態(tài)能在四到七層尋找協(xié)議的技術(shù),它不但能做到普通ACL能做到那樣控制靜態(tài)的、簡單的網(wǎng)絡(luò)應(yīng)用協(xié)議TCP/UDP的端口號。例如我們熟知的WEB應(yīng)用使用的TCP80,也能做到控制一般ACLs不能做到動態(tài)的端口的那些協(xié)議,例如VoIP使用的H.323,SIP等。
要實現(xiàn)對BT流量的控制,就要在思科路由器上實現(xiàn)對PDLM的支持。PDLM是PacketDescriptionLanguageModule的所寫,意思是數(shù)據(jù)包描述語言模塊。它是一種對網(wǎng)絡(luò)高層應(yīng)用的協(xié)議層的描述,例如協(xié)議類型,服務(wù)端口號等。它的優(yōu)勢是讓NBAR適應(yīng)很多已有的網(wǎng)絡(luò)應(yīng)用,像HTTPURL,DNS,F(xiàn)TP,VoIP等,同時它還可以通過定義,來使NBAR支持許多新興的網(wǎng)絡(luò)應(yīng)用。例如peer2peer工具。
PDLM在思科的網(wǎng)站上可以下載,并且利用PDLM可以限制一些網(wǎng)絡(luò)上的惡意流量。CISCO在其官方網(wǎng)站提供了三個PDLM模塊,分別為KAZAA2.pdlm,bittorrent.pdlm.emonkey.pdlm可以用來封鎖KAZAA,BT,電驢得到PDLM然后通過TFTP服務(wù)器將bittorrent.pdlm拷貝到路由中。
功能啟動利用ipnbarpdlmbittorrent.pdlm命令將NBAR中的BT。再創(chuàng)建一個class-map和policymap并且把它應(yīng)用到相應(yīng)的思科路由器的接口上。一般是連接Internet(Chinanet)的接口是FastEthernet或10M的以太網(wǎng)接口。
Cisco路由器的CEF rate-limit限速方法:
目前在Cisco路由器設(shè)備中,只有支持思科快速轉(zhuǎn)發(fā)(CEF)的路由器或交換機才能使用rate-limit來限速,具體設(shè)置可以按如下步驟進行。
Cisco路由器限速第一步. 在全局模式下開啟cef:
Router(config)#ip cef cisco
Cisco路由器限速第二步. 定義標準或者擴展訪問列表:
注:定義一個方向就可以了,主要用于控制被限速的IP地址
Router(config)#access-list 111 permit ip 192.168.1.0 0.0.0.255 any cisco
Cisco路由器限速第三步. 在希望限制的端口上進行
rate-limit:
Router(config)#interface FastEthernet 0/1
Rounter(config-if)#rate-limit input www.45fan.com/a/pojie/1773.html access-group 111 2000000 40000 60000 conform-action transmit exceed-action drop
這樣我們就對192.168.1.0網(wǎng)段進行了限速,速率為2Mbps。
您可以根據(jù)實際情況,定義acl先控制被限速的電腦范圍。
Cisco路由器的rate-limit命令格式:#rate-limit {input|output} [access-group number] bps burst-normal burst-max conform-action action exceed-action action input|output:這是定義數(shù)據(jù)流量的方向。
access-group number:定義的訪問列表的號碼。這個用來控制被限速的主機網(wǎng)段,本例中的acl 111。
bps:定義流量速率的上限,單位是bps。
burst-normal burst-max:定義的數(shù)據(jù)容量的大小,單位是字節(jié),當?shù)竭_的數(shù)據(jù)超過此容量時,將觸發(fā)某個動作,丟棄或轉(zhuǎn)發(fā)等,從而達到限速的目的。
conform-action和exceed-action:分別指在速率限制以下的流量和超過速率限制的流量的處理策略。
思科路由器怎么記錄登錄失敗的嘗試次數(shù)?
自Cisco IOS軟件版本12.3之后,IOS就可以記錄失敗登陸的嘗試次數(shù)。下例中解釋了如何建立驗證失敗日志。
Router(config)#aaa new-model
Router(config)#aaa authentication attempts login 5
Router(config)#aaa authentication login local-policy local
Router(config)#security authentication failure rate threshold-rate log
Router(config)#
只有正確配置了AAA之后,Security authentication功能特性才能正常工作。默認情況下,Cisco IOS僅允許3次嘗試登陸,可以用AAA來調(diào)整該參數(shù),在上例中,AAA:
1、被啟用了(aaa new-model);
2、將登陸嘗試次數(shù)增加到了5次(IOS默認為3次);
3、創(chuàng)建一個被成為local-policy策略,使用本地用戶名數(shù)據(jù)庫來驗證登陸到路由器的用戶。
命令Security authentication只有一個參數(shù)threshold-rate,該參數(shù)定義了一分鐘內(nèi)失敗的登陸嘗試次數(shù)。此時將會生成一條syslog消息,threshold-rate的取值范圍是2~1024,默認值為10。除了生成syslog消息,再次允許登陸嘗試之前需要延時15秒。
需要注意的是,threshold-rate必須小于等于aaa authentication attempts login的設(shè)置值。否則,AAA將命令security authentication記錄時間之前斷開連接嘗試。