《网络安全技术与实施》课程教案201 --201 学年度学期所属系部：任课教师：授课教师：年月日教学过程：[引入新课]：交换机作为局域网信息交换的主要设备，特别是核心、汇聚交换机承载着极高的数据流量，在突发异常数据或攻击时，极易造成负载过重或宕机现象。

交换机的安全性能已经成为网络建设必须考虑的重中之重。

为了尽可能抑制攻击带来的影响，减轻交换机的负载，使局域网稳定运行，交换机厂商在交换机上应用了一些安全防范。

技术，网络管理人员应该根据不同的设备型号，有效地启用和配置这些技术，净化局域网环境。

[讲授新课]：一、项目背景A企业是一个跨地区的大型企业，它由A企业长春总部、A企业上海分公司、A企业北京办事处组成，A企业三个分部处于不同城市，具有各自的内部网络，并且都已经连接到互联网中。

小张作为A企业北京办事处网络管理人员，时常会遇到某些局域网用户对企业路由器进行非法登录、篡改配置、用户在上班时间上网或QQ聊天及非法用户访问特殊用户等情形。

请从路由器械安全管理的角度来分析一下，产生上述情况的原因及解决措施。

二、路由器概述1．路由器的主要作用（1）隔离广播路由器用来连接不同网段，各个子网间的广播不会被路由器转发到其他网段，这样可以隔离广播，避免广播风暴。

（2）网间互连路由器属于第3 层设备。

它执行下层设备的所有任务，并且根据第3 层信息选择抵达目的地的最佳路线。

路由器是用于连接不同网络的主要设备，通常用于WAN与LAN两种连接。

路由器上的每个端口都连接到一个不同的网络，并且在网络之间路由数据包。

2．路由器的工作原理路由器的主要作用是转发数据包，将每一个IP数据包由一个端口转发到另一个端口。

转发行为既可以由硬件完成，也可以由软件完成，显然硬件转发的速度要快于软件转发的速度，无论那种转发都根据“转发表”或“路由表”来进行，该表指明了到某一目的地址的数据包将从路由器的某个端口发送出去，并且指定了下一个接收路由器的地址。

每一个IP数据包都携带一个目的IP地址，沿途的各个路由器根据该地址到表中寻找对应的路由，如果没有合适的路由，路由器将丢弃该数据包，并向发送改包的主机送一个通知，表明要去的目的地址“不可达”。

3．路由器的组成（1）CPU：中央处理单元，是路由器的控制和运算部件。

（2）RAM/DRAM：内存是路由器主要的存储部件，用于存储临时的运算结果。

如路由表、ARP表、快速交换缓存、当前配置文件等。

（3）Flash Memory：可擦除、可编程的ROM，用于存放路由器的IOS，断电后，其内容不会丢失，可存放多个版本IOS。

（4）NVRAM：非易失性RAM，用于存放路由器的配置文件，断电后，其内容不会丢失。

（5）ROM：只读存储器，存储了路由器的开机诊断程序、引导程序和特殊版本的IOS软件。

4．路由器和网络层路由器借助目的IP地址转发数据包，路由表决定数据包的路径，从而确定最佳路径。

然后IP数据包被封装成数据帧，数据帧通过传输介质以比特流的形式排列输出。

三、路由器的基本配置1．基本配置方式（1）通过Console口连接，利用运行终端软件的PC机。

（2）通过AUX口接MODEM，利用电话线与远方的终端或运行终端仿真软件的PC机。

（3）通过TELNET或SSH连接。

（4）通过WEB方式连接。

但路由器的第一次设置必须通过第一种方式进行，此时终端的硬件设置如下：波特率：9600，数据位：8，停止位：1，奇偶校验：无。

2．基本模式切换（1）router>用户模式：是进入路由器后得到的第一个模式，在该模式下可以查看路由器的软件硬件版本信息，并进行简单的配置。

在该模式下，可以使用“enable”命令进入特权模式。

（2）router#特权模式：由户模式进入的下一级模式，在该模式下可以对交换机的配置文件进行管理，查看交换机的配置信息。

在该模式下，可以使用“config terminal”命令进入特权模式。

（3）router（config)#全局配置模式：属于特权模式的下一级模式，在该模式下可以对交换机的全局参数（主机名，登陆信息等）。

在全局配置模式下，执行“interface”命令，即可进入端口配置模式。

（4）router（config-if）#端口配置模式：可以对端口的速率工作方式进行配置管理。

使用“exit”返回上一级命令模式，使用“end”可以直接返回到特权模式。

3．常见的错误信息（1）Ambiguous command：‘command’：表示输入的字符不足，致使IOS无法识别该命令。

解决的方法是重新输入该命令，后跟问号（？），命令与问号之间不留空格。

（2）Imcomplete command：表示未输入必填的全部关键字或参数。

解决的方法是重新输入该命令，后跟问号（？），最后一个字符后留一个空格，此时会显示必填的关键字或参数。

（3）Invlid input detected at ‘^’marker：表示命令输入不正确，显示插入标记（^）的位置出现了该错误。

解决方法是在‘^’标记所指的位置重新输入该命令，后跟问号（？），可能还需要删除最后的关键字或参数。

4．基本配置命令（1）帮助在IOS操作中，无论任何状态和位置，都可以键入“？”得到系统的帮助。

（2）显示命令1）show version：查看版本及引导信息。

2）show running-config：查看运行设置。

3）show startup-config：查看开机设置。

4）show interface：显示端口信息。

5）show ip router：显示路由信息。

（3）拷贝命令使用copy命令，实现IOS及config 的备份和升级。

（4）网络命令1）telnet hostname|ip address：登录远程主机。

2）ping hostname|ip address：网络侦测，测试是否可达。

3）trace hostname|ip address：路由跟踪。

（5）保存命令使用write命令，可以对其做的配置进行保存。

（6）清除配置直接在特权模式下，使用“earse startup-config”命令，再使用“reload”命令，重启即可清空配置。

四、路由器的安全管理1.口令管理下面显示了设置口令的常用命令：（1）Line console 0：为控制台终端建立一个口令（2）Line vty 0：为TELNET连接建立一个口令（3）Enable password：为特权exec模式建立一个口令（4）Enable secret：使用MD5加密方法建立密码口令2.报文过滤在Cisco的路由器上通过报文的过滤实现安全的管理。

通过访问控制列表使用包过滤技术，访问控制列表简称为ACL，它可以实现对多种数据流的控制，如限制流入、以及流出等。

通过对访问列表的编写，可以实现对特定网络或主机的数据流限制。

访问控制列表ACL分很多种，不同场合应用不同种类的ACL。

（1）标准访问控制列表标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL。

（2）扩展访问控制列表上面我们提到的标准访问控制列表是基于IP地址进行过滤的，是最简单的ACL。

那么如果希望将过滤细到端口怎么办呢？或者希望对数据包的目的地址进行过滤。

这时候就需要使用扩展访问控制列表了。

使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务（例如WWW，FTP等）。

扩展访问控制列表使用的ACL号为100到199。

例如定义如下的访问表来实现允许任何主机到主机22.11.5.8的报文：Accsess-list 101 permit ip any host 22.11.5.8而下面的语句允许使用客户源端口（小于1024的端口留给服务器用）方式的主机发往22.11.5.8的udp报文通过，且报文的目的端口必须为dns端口（53）。

其中gt为great than。

其中的in表示对入站（针对此端口来说）的数据进行过滤。

要注意的是，一个端口只能有一个入站和出站的列表，如果有多个，则只有第一个起作用。

（3）基于名称的访问控制列表不管是标准访问控制列表还是扩展访问控制列表都有一个弊端，那就是当设置好ACL 的规则后发现其中的某条有问题，希望进行修改或删除的话只能将全部ACL信息都删除。

也就是说修改一条或删除一条都会影响到整个ACL列表。

这一个缺点影响了工作效率，带来了繁重的负担。

可以用基于名称的访问控制列表来解决这个问题。

（4）基于时间的访问控制列表上面介绍了标准ACL与扩展ACL，实际上掌握了这两种访问控制列表就可以应付大部分过滤网络数据包的要求了。

不过实际工作中总会有人提出这样或那样的苛刻要求，这时还需要掌握一些关于ACL的高级技巧。

基于时间的访问控制列表就属于高级技巧之一。

这种基于时间的访问列表就是在原来的标准访问列表和扩展访问列表中加入有效的时间范围来更合理有效的控制网络。

它需要先定义一个时间范围，然后在原来的各种访问列表的基础上应用它。

并且，对于名称访问列表都适用。

用time-range 命令来指定时间范围的名称，然后用absolute命令或者一个或多个periodic命令来具体定义时间范围。

IOS命令格式为：time-range time-range-name absolute [start time date] [end time date] periodic days-of-the week hh:mm to [days-of-the week] hh:mm参数含义：time-range：用来定义时间范围的命令。

time-range-name：时间范围名称，用来标识时间范围，以便于在后面的访问列表中引用。

absolute：该命令用来指定绝对时间范围。

它后面紧跟这start和end两个关键字。

在这两个关键字后面的时间要以24小时制、hh:mm（小时：分钟）表示，日期要按照日/月/年来表示。

可以看到，他们两个可以都省略。

如果省略start及其后面的时间，那表示与之相联系的permit 或deny语句立即生效，并一直作用到end处的时间为止；若省略如果省略end及其后面的时间，那表示与之相联系的permit 或deny语句在start处表示的时间开始生效，并且永远发生作用，当然把访问列表删除了的话就不会起作用了。

（5）访问控制列表流量记录有效的记录ACL流量信息可以第一时间的了解网络流量和病毒的传播方式。

方法就是在扩展ACL规则最后加上LOG命令。

实现方法：log 192.168.1.100//为路由器指定一个日志服务器地址，该地址为192.168.1.100access-list 101 permit tcp any 10.10.10.10 0.0.0.0 eq www log//在希望监测的扩展ACL最后加上LOG命令，这样就会把满足该条件的信息保存到指定的日志服务器192.168.1.100中。