思科路由器怎麼配置限速和記錄登錄失敗的嘗試次數的方法

　　今天，小編就給大家介紹下cisco/' target='_blank'>思科路由器怎麼配置限速和記錄登錄失敗的嘗試次數的方法。

　　思科路由器怎麼配置限速?

　　在路由器設置ACL(訪問控制列表)將該服務所用的端口封掉，從而阻止該服務的正常運行。對BT軟件，我們可以嘗試封它的端口。一般情況下，BT軟件使用的是6880-6890端口，在公司的核心思科路由器上使用以下命令將6880-6890端口全部封鎖。

　　路由器設置限速：

　　access-list130remarkbt

　　access-list130permittcpanyanyrange68816890

　　access-list130permittcpanyrange68816890any

　　rate-limitinputaccess-group13071200080008000conform-actiontransmitexceed-actiondrop

　　rate-limitoutputaccess-group13071200080008000conform-actiontransmitexceed-actiondrop

　　路由器設置禁止下載：

　　access-list130denytcpanyanyrange68816890

　　access-list130denytcpanyrange68816890any

　　ipaccess-group130in/out

　　不過現在的bt軟件，再封鎖後會自動改端口，一些軟件還是用到8000、8080、2070等端口，限制這些端口這樣網絡不正常!第二種方法是使用：NVAR(Network-BasedApplicationRecognition，網絡應用識別)。

　　NBAR(Network-BasedApplicationRecognition)的意思是網絡應用識別。NBAR是一種動態能在四到七層尋找協議的技術，它不但能做到普通ACL能做到那樣控制靜態的、簡單的網絡應用協議TCP/UDP的端口號。例如我們熟知的WEB應用使用的TCP80，也能做到控制一般ACLs不能做到動態的端口的那些協議，例如VoIP使用的H.323，SIP等。

　　要實現對BT流量的控制，就要在思科路由器上實現對PDLM的支持。PDLM是PacketDescriptionLanguageModule的所寫，意思是數據包描述語言模塊。它是一種對網絡高層應用的協議層的描述，例如協議類型，服務端口號等。它的優勢是讓NBAR適應很多已有的網絡應用，像HTTPURL，DNS，FTP，VoIP等，同時它還可以通過定義，來使NBAR支持許多新興的網絡應用。例如peer2peer工具。

　　PDLM在思科的網站上可以下載，並且利用PDLM可以限制一些網絡上的惡意流量。CISCO在其官方網站提供了三個PDLM模塊，分別為KAZAA2.pdlm，bittorrent.pdlm.emonkey.pdlm可以用來封鎖KAZAA，BT，電驢得到PDLM然後通過TFTP服務器將bittorrent.pdlm拷貝到路由中。

　　功能啟動利用ipnbarpdlmbittorrent.pdlm命令將NBAR中的BT。再創建一個class-map和policymap並且把它應用到相應的思科路由器的接口上。一般是連接Internet(Chinanet)的接口是FastEthernet或10M的以太網接口。

　　Cisco路由器的CEF rate-limit限速方法：

　　目前在Cisco路由器設備中，只有支持思科快速轉發(CEF)的路由器或交換機才能使用rate-limit來限速，具體設置可以按如下步驟進行。

　　Cisco路由器限速第一步. 在全局模式下開啟cef：

　　Router(config)#ip cef cisco

　　Cisco路由器限速第二步. 定義標准或者擴展訪問列表：

　　注：定義一個方向就可以了，主要用於控制被限速的IP地址

　　Router(config)#access-list 111 permit ip 192.168.1.0 0.0.0.255 any cisco

　　Cisco路由器限速第三步. 在希望限制的端口上進行

　　rate-limit：

　　Router(config)#interface FastEthernet 0/1

　　Rounter(config-if)#rate-limit input www.45fan.com/a/pojie/1773.html access-group 111 2000000 40000 60000 conform-action transmit exceed-action drop

　　這樣我們就對192.168.1.0網段進行了限速，速率為2Mbps。

　　您可以根據實際情況，定義acl先控制被限速的電腦范圍。

　　Cisco路由器的rate-limit命令格式：#rate-limit {input|output} [access-group number] bps burst-normal burst-max conform-action action exceed-action action input|output：這是定義數據流量的方向。

　　access-group number：定義的訪問列表的號碼。這個用來控制被限速的主機網段，本例中的acl 111。

　　bps：定義流量速率的上限，單位是bps。

　　burst-normal burst-max：定義的數據容量的大小，單位是字節，當到達的數據超過此容量時，將觸發某個動作，丟棄或轉發等，從而達到限速的目的。

　　conform-action和exceed-action：分別指在速率限制以下的流量和超過速率限制的流量的處理策略。

　　思科路由器怎麼記錄登錄失敗的嘗試次數?

　　自Cisco IOS軟件版本12.3之後，IOS就可以記錄失敗登陸的嘗試次數。下例中解釋了如何建立驗證失敗日志。

　　Router(config)#aaa new-model

　　Router(config)#aaa authentication attempts login 5

　　Router(config)#aaa authentication login local-policy local

　　Router(config)#security authentication failure rate threshold-rate log

　　Router(config)#

　　只有正確配置了AAA之後，Security authentication功能特性才能正常工作。默認情況下，Cisco IOS僅允許3次嘗試登陸，可以用AAA來調整該參數，在上例中，AAA：

　　1、被啟用了(aaa new-model);

　　2、將登陸嘗試次數增加到了5次(IOS默認為3次);

　　3、創建一個被成為local-policy策略，使用本地用戶名數據庫來驗證登陸到路由器的用戶。

　　命令Security authentication只有一個參數threshold-rate，該參數定義了一分鐘內失敗的登陸嘗試次數。此時將會生成一條syslog消息，threshold-rate的取值范圍是2~1024，默認值為10。除了生成syslog消息，再次允許登陸嘗試之前需要延時15秒。

　　需要注意的是，threshold-rate必須小於等於aaa authentication attempts login的設置值。否則，AAA將命令security authentication記錄時間之前斷開連接嘗試。