萬盛學電腦網

 萬盛學電腦網 >> 路由器知識 >> 路由器設置 >> cisco思科 >> 思科路由器怎麼配置限速和記錄登錄失敗的嘗試次數的方法

思科路由器怎麼配置限速和記錄登錄失敗的嘗試次數的方法

  今天,小編就給大家介紹下cisco/' target='_blank'>思科路由器怎麼配置限速和記錄登錄失敗的嘗試次數的方法。

  思科路由器怎麼配置限速?

  在路由器設置ACL(訪問控制列表)將該服務所用的端口封掉,從而阻止該服務的正常運行。對BT軟件,我們可以嘗試封它的端口。一般情況下,BT軟件使用的是6880-6890端口,在公司的核心思科路由器上使用以下命令將6880-6890端口全部封鎖。

  路由器設置限速:

  access-list130remarkbt

  access-list130permittcpanyanyrange68816890

  access-list130permittcpanyrange68816890any

  rate-limitinputaccess-group13071200080008000conform-actiontransmitexceed-actiondrop

  rate-limitoutputaccess-group13071200080008000conform-actiontransmitexceed-actiondrop

  路由器設置禁止下載:

  access-list130denytcpanyanyrange68816890

  access-list130denytcpanyrange68816890any

  ipaccess-group130in/out

  不過現在的bt軟件,再封鎖後會自動改端口,一些軟件還是用到8000、8080、2070等端口,限制這些端口這樣網絡不正常!第二種方法是使用:NVAR(Network-BasedApplicationRecognition,網絡應用識別)。

  NBAR(Network-BasedApplicationRecognition)的意思是網絡應用識別。NBAR是一種動態能在四到七層尋找協議的技術,它不但能做到普通ACL能做到那樣控制靜態的、簡單的網絡應用協議TCP/UDP的端口號。例如我們熟知的WEB應用使用的TCP80,也能做到控制一般ACLs不能做到動態的端口的那些協議,例如VoIP使用的H.323,SIP等。

  要實現對BT流量的控制,就要在思科路由器上實現對PDLM的支持。PDLM是PacketDescriptionLanguageModule的所寫,意思是數據包描述語言模塊。它是一種對網絡高層應用的協議層的描述,例如協議類型,服務端口號等。它的優勢是讓NBAR適應很多已有的網絡應用,像HTTPURL,DNS,FTP,VoIP等,同時它還可以通過定義,來使NBAR支持許多新興的網絡應用。例如peer2peer工具。

  PDLM在思科的網站上可以下載,並且利用PDLM可以限制一些網絡上的惡意流量。CISCO在其官方網站提供了三個PDLM模塊,分別為KAZAA2.pdlm,bittorrent.pdlm.emonkey.pdlm可以用來封鎖KAZAA,BT,電驢得到PDLM然後通過TFTP服務器將bittorrent.pdlm拷貝到路由中。

  功能啟動利用ipnbarpdlmbittorrent.pdlm命令將NBAR中的BT。再創建一個class-map和policymap並且把它應用到相應的思科路由器的接口上。一般是連接Internet(Chinanet)的接口是FastEthernet或10M的以太網接口。

  Cisco路由器的CEF rate-limit限速方法:

  目前在Cisco路由器設備中,只有支持思科快速轉發(CEF)的路由器或交換機才能使用rate-limit來限速,具體設置可以按如下步驟進行。

  Cisco路由器限速第一步. 在全局模式下開啟cef:

  Router(config)#ip cef cisco

  Cisco路由器限速第二步. 定義標准或者擴展訪問列表:

  注:定義一個方向就可以了,主要用於控制被限速的IP地址

  Router(config)#access-list 111 permit ip 192.168.1.0 0.0.0.255 any cisco

  Cisco路由器限速第三步. 在希望限制的端口上進行

  rate-limit:

  Router(config)#interface FastEthernet 0/1

  Rounter(config-if)#rate-limit input www.45fan.com/a/pojie/1773.html access-group 111 2000000 40000 60000 conform-action transmit exceed-action drop

  這樣我們就對192.168.1.0網段進行了限速,速率為2Mbps

  您可以根據實際情況,定義acl先控制被限速的電腦范圍。

  Cisco路由器的rate-limit命令格式:#rate-limit {input|output} [access-group number] bps burst-normal burst-max conform-action action exceed-action action input|output:這是定義數據流量的方向。

  access-group number:定義的訪問列表的號碼。這個用來控制被限速的主機網段,本例中的acl 111。

  bps:定義流量速率的上限,單位是bps。

  burst-normal burst-max:定義的數據容量的大小,單位是字節,當到達的數據超過此容量時,將觸發某個動作,丟棄或轉發等,從而達到限速的目的。

  conform-action和exceed-action:分別指在速率限制以下的流量和超過速率限制的流量的處理策略。

  思科路由器怎麼記錄登錄失敗的嘗試次數?

  自Cisco IOS軟件版本12.3之後,IOS就可以記錄失敗登陸的嘗試次數。下例中解釋了如何建立驗證失敗日志。

  Router(config)#aaa new-model

  Router(config)#aaa authentication attempts login 5

  Router(config)#aaa authentication login local-policy local

  Router(config)#security authentication failure rate threshold-rate log

  Router(config)#

  只有正確配置了AAA之後,Security authentication功能特性才能正常工作。默認情況下,Cisco IOS僅允許3次嘗試登陸,可以用AAA來調整該參數,在上例中,AAA:

  1、被啟用了(aaa new-model);

  2、將登陸嘗試次數增加到了5次(IOS默認為3次);

  3、創建一個被成為local-policy策略,使用本地用戶名數據庫來驗證登陸到路由器的用戶。

  命令Security authentication只有一個參數threshold-rate,該參數定義了一分鐘內失敗的登陸嘗試次數。此時將會生成一條syslog消息,threshold-rate的取值范圍是2~1024,默認值為10。除了生成syslog消息,再次允許登陸嘗試之前需要延時15秒。

  需要注意的是,threshold-rate必須小於等於aaa authentication attempts login的設置值。否則,AAA將命令security authentication記錄時間之前斷開連接嘗試。

copyright © 萬盛學電腦網 all rights reserved