英文模式切换为中文模式

<Quidway>language-mode chinese

中文模式切换为英文模式

<Quidway>language-mode english

查看当前的配置命令是：<Quidway>display current-configuration

使用地址池方式做地址转换

【需求】

内网192.168.1.0网段的PC机，通过AR18-23-1上配置的公网地址池做地址转换后上公网。
这样做的目的，是让别人不知你网吧的真实ip，这样就不好攻击了。。。

【配置步骤】

新买的路由,只要用com线连接好,

local-user h3c /创建本地帐号“h3c”/

password simple h3c /设置密码为“h3c”/

service-type terminal /设置服务类型为terminal/

level 3 /设置用户优先级为3/

先设好用户.再进入设以下的。。。

tcp mss 1024

然后设防火墙…

进入防火墙，真接粘贴上去就行了。

acl number 3000

rule 0 deny udp destination-port eq tftp

rule 1 deny tcp destination-port eq 135

rule 2 deny udp destination-port eq 135

rule 3 deny udp destination-port eq netbios-ns

rule 4 deny udp destination-port eq netbios-dgm

rule 5 deny tcp destination-port eq 139

rule 6 deny udp destination-port eq netbios-ssn

rule 7 deny tcp destination-port eq 445

rule 8 deny udp destination-port eq 445

rule 9 deny tcp destination-port eq 539

rule 10 deny udp destination-port eq 539

rule 11 deny udp destination-port eq 593

rule 12 deny tcp destination-port eq 593

rule 13 deny udp destination-port eq 1434

rule 14 deny udp destination-port eq 1433

rule 15 deny tcp destination-port eq 4444

rule 16 deny tcp destination-port eq 9996

rule 17 deny tcp destination-port eq 5554

rule 18 deny udp destination-port eq 9996

rule 19 deny udp destination-port eq 5554

rule 20 deny tcp destination-port eq 137

rule 21 deny tcp destination-port eq 138

rule 22 deny tcp destination-port eq 1025

rule 23 deny udp destination-port eq 1025

rule 24 deny tcp destination-port eq 9995

rule 25 deny udp destination-port eq 9995

rule 26 deny tcp destination-port eq 1068

rule 27 deny udp destination-port eq 1068

rule 28 deny tcp destination-port eq 1023

rule 29 deny udp destination-port eq 1023

rule 30 permit icmp icmp-type echo

rule 31 permit icmp icmp-type echo-reply

rule 32 permit icmp icmp-type ttl-exceeded

rule 33 deny icmp

然后进入相应的内网口和外网口,下发到inbound方向

如interface ethernet 1/0

firewall packet-filter 3000 inbound

防arp，进入内网和外网接口分别加入arp send-gratuitous-arp 1

这样就不会因为arp而掉线了。

用华为的，有些人说卡，大多数是因为没限速，超出了总流量.华为的qos很灵活.

举一个例子：网吧带宽只有8M，内网PC机有200多台，很可能就是因为有人在下载或者用QQ live等软件导致内网流量过大，远远超过8M。
所以一般情况下面都需要做速率的限制，对每台PC机都做。我们处理得很多掉线问题，就是因为没有做限制速度而导致的。通过dis int e1/0看一下内网流量，如果有Overruns，则多半说明内网流量太大，路由器处理不过来了。
[Quidway]dis int e1/0
Ethernet1/0 current state :UP
Line protocol current state :UP
Description : Ethernet1/0 Interface
The Maximum Transmit Unit is 1500, Hold timer is 10(sec)
Internet Address is 192.168.1.1/24
IP Sending Frames Format is PKTFMT_ETHNT_2, Hardware address is 000f-e239-0260
Media type is twisted pair, loopback not set, promiscuous mode not set
100Mb/s, Full-duplex, link type is autonegotiation
Output flow-control is disabled, input flow-control is disabled
Output queue : (Urgent queuing : Size/Length/Discards) 0/50/0
Output queue : (Protocol queuing : Size/Length/Discards) 0/500/0
Output queue : (FIFO queuing : Size/Length/Discards) 0/75/0
Last clearing of counters: Never
Last 300 seconds input rate 220900.42 bytes/sec, 1767203 bits/sec, 572.95 pa
ckets/sec
Last 300 seconds output rate 464099.40 bytes/sec, 3712795 bits/sec, 655.10 p
ackets/sec
Input: 4414550 packets, 3834890077 bytes, 4414550 buffers
58297 broadcasts, 2 multicasts, 0 pauses
127451 errors, 0 runts, 0 giants
0 crc, 0 align errors, 127451 overruns
0 dribbles, 0 drops, 0 no buffers
Output:1206335 packets, 871172966 bytes, 1206335 buffers
955 broadcasts, 0 multicasts, 0 pauses
0 errors, 0 underruns, 0 collisions
0 deferred, 0 lost carriers AR18-2X在升级到F1707之后，可以实现基于每个IP地址的限速。1863-1最新版本也支持该功能，命令一样。
网吧中限制内网PC的速率，上传速度200K，下载速率300K。
定义192.168.0.2 to 192.168.0.200内每台主机上传的流量
[Quidway] qos carl 1 source-ip-address range 192.168.0.2 to 192.168.0.200 per-address
定义192.168.0.2 to 192.168.0.200内每台主机下载的流量
[Quidway] qos carl 2 destination-ip-address range 192.168.0.2 to 192.168.0.200 per-address
[Quidway] interface ethernet 1/0
——-限制上行速率
[Qudiway-Ethernet1/0] qos car inbound carl 1 cir 200000 cbs 200000 ebs 200000 green pass red discard
——限制下行速率
[Qudiway-Ethernet1/0] qos car outbound carl 2 cir 300000 cbs 300000 ebs 300000 green pass red discard

使用display qos car interface detail命令可以查看内网的流量。

对外提供WWW或FTP服务

[Quidway-Ethernet3/0] nat server protocol tcp global 200.200.200.1 www inside 192.168.1.254 www[Quidway-Ethernet3/0] nat server protocol tcp global 200.200.200.1 ftp inside 192.168.1.254 ftp

常用的命令。。。。

如何查看设备的CPU利用率

display cpu-usage

===== Current CPU usage info =====

CPU Usage Stat. Cycle: 60 (Second)

CPU Usage : 6% /当前的CPU利用率/

CPU Usage Stat. Time : 2000-01-01 04:55:10

CPU Usage Stat. Tick : 0×14(CPU Tick High) 0xa92edfb6(CPU Tick Low)

Actual Stat. Cycle : 0×0(CPU Tick High) 0x11e1e06b(CPU Tick Low)

TaskName CPU Runtime(CPU Tick High/CPU Tick Low)

VIDL 94% 0/10eb5340/空闲任务,表示当前CPU空闲比率/

TICK 0% 0/ 1a3b32

ROUT 0% 0/ 53801

SapT 1% 0/ 32b90e

SOCK 0% 0/ 9b481

VTYD 0% 0/ 3a98c

IPSP 0% 0/ 1fe1

IKE 0% 0/ 2328

DVPN 0% 0/ 6979

TAC 0% 0/ 52091

SC 0% 0/ 3efdd

RDSO 0% 0/ deaa

RDS 0% 0/ 3633b

ACM 0% 0/ fd6e6

LSSO 0% 0/ deaa

TRAP 0% 0/ 2ee0

DTCT 0% 0/ 23fb6b

NTPT 0% 0/ a1dfa

PIMT 0% 0/ c73a

HTTP 0% 0/ 3a98

DHCP 0% 0/ f61b

RMON 0% 0/ 7531

DHCC 0% 0/ ea63

FTPS 1% 0/ 46aeb2

如何查看内存占用率

display memory

System Available Memory(bytes): 32360064

System Used Memory(bytes): 18016084

Used Rate: 55%

不超过70都算是很正常。。。

因为防火墙一般内存都会占那么高的。。

如何恢复配置到出厂设置

reset saved-configuration

The saved configuration will be erased.

Are you sure?[Y/N]y /提示是否擦除配置文件/

Configuration in the device is being cleared.

Please wait …

…

Configuration in the device is cleared.

reboot

This command will reboot the system. Since the current configuration may have b

een changed, all changes may be lost if you continue. Continue? [Y/N] Y

/提示是否重启设备,按Y将重新启动/

【提示】

1、 可以只键入reset sa，reset sa是reset saved-configuration的缩写。

2、 擦除配置文件后，必须要重启设备后才能恢复到出厂设置。

如何查看当前的软件版本

确认当前的软件版本是进行软件升级、定位问题的前提。

查看当前的版本命令是：display version

输出信息如下：

dis ver

Huawei Versatile Routing Platform Software

VRP software, Version 3.40, Feature 0112P01 /软件版本号/

Copyright (c) 1998-2006 Huawei Technologies Co., Ltd. All rights reserved.

Without the owners prior written consent, no decompiling

nor reverse-engineering shall be allowed.

Quidway AR18-20S uptime is 0 week, 0 day, 1 hour, 41 minutes

/******设备型号 运 行 时 间 ******/

Last reboot 2000/01/01 00:00:00

/*****上次重启的时间*****/

CPU type: PowerPC 859DSL 80MHz /CPU型号/

64M bytes SDRAM Memory /内存容量/

8M bytes Flash Memory /FLASH容量/

0K bytes NvRAM Memory /NvRAM容量/

Pcb Version:5.0

Logic Version:4.0

BootROM Version:7.67 /BootROM版本号/

[SLOT 1] 4LS (Hardware)5.0, (Driver)1.0, (Cpld)4.0

[SLOT 2] 1ETH (Hardware)5.0, (Driver)1.0, (Cpld)4.0

【提示】

1、 在提供版本信息的时候，请一定要提供大版本号（Version 3.40）后面的小版本号(Feature 0112P01) !

2、 必要时需要通过vrbd命令来查看内部版本号

　　PC1接在Cisco3550 F0/1上，速率为1M；

　　PC2接在Cisco3550 F0/2上，速率为2M；

　　Cisco3550的G0/1为出口。

　　二、详细配置过程

　　注：每个接口每个方向只支持一个策略；一个策略可以用于多个接口。因此所有PC的下载速率的限制都应该定义在同一个策略（在本例子当中为policy-map user-down），而PC不同速率的区分是在Class-map分别定义。

　　1、在交换机上启动QOS

　　2、分别定义PC1（10.10.1.1）和PC2（10.10.2.1）访问控制列表

　　3、定义类，并和上面定义的访问控制列表绑定

　　4、定义策略，把上面定义的类绑定到该策略

　　5、在接口上运用策略

　　虽然在TCP／IP网络中，计算机往往需要设置IP地址后才能通讯，然而，实际上计算机之间的通讯并不是通过IP地址，而是借助于网卡的MAC地址。IP地址只是被用于查询欲通讯的目的计算机的MAC地址。

　　ARP协议是用来向对方的计算机、网络设备通知自己IP对应的MAC地址的。在计算机的 ARJ缓存中包含一个或多个表，用于存储IP地址及其经过解析的以太网MAC地址。一台计算机与另一台IP地址的计算机通讯后，在ARP缓存中会保留相应的MAC地址。所以，下次和同一个IP地址的计算机通讯，将不再查询MAC地址，而是直接引用缓存中的MAC地址。

　　在交换式网络中，交换机也维护一张MAC地址表，并根据MAC地址，将数据发送至目的计算机。

　　为什么要绑定MAC与IP 地址：IP地址的修改非常容易，而MAC地址存储在网卡的EEPROM中，而且网卡的MAC地址是唯一确定的。因此，为了防止内部人员进行非法IP盗用（例如盗用权限更高人员的IP地址，以获得权限外的信息），可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP地址，也因MAC地址不匹配而盗用失败：而且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。

　　目前，很多单位的内部网络，都采用了MAC地址与IP地址的绑定技术。下面我们就针对Cisco的交换机介绍一下IP和MAC绑定的设置方案。

　　在Cisco中有以下三种方案可供选择，方案1和方案2实现的功能是一样的，即在具体的交换机端口上绑定特定的主机的MAC地址（网卡硬件地址），方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址（网卡硬件地址）和IP地址。

　　1.方案1——基于端口的MAC地址绑定

　　思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：

　　注意：

　　以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。

　　注意：

　　以上功能适用于思科2950、3550、4500、6500系列交换机

　　2.方案2——基于MAC地址的扩展访问列表

　　此功能与应用一大体相同，但它是基于端口做的MAC地址访问控制列表限制，可以限定特定源MAC地址与目的地址范围。

　　注意：

　　以上功能在思科2950、3550、4500、6500系列交换机上可以实现，但是需要注意的是2950、3550需要交换机运行增强的软件镜像（Enhanced Image）。

　　3.方案3——IP地址的MAC地址绑定

　　只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。

　　上述所提到的应用1是基于主机MAC地址与交换机端口的绑定，方案2是基于MAC地址的访问控制列表，前两种方案所能实现的功能大体一样。如果要做到IP 与MAC地址的绑定只能按照方案3来实现，可根据需求将方案1或方案2与IP访问控制列表结合起来使用以达到自己想要的效果。

　　注意：以上功能在思科2950、3550、4500、6500系列交换机上可以实现，但是需要注意的是2950、3550需要交换机运行增强的软件镜像（Enhanced Image）。

　　后注：从表面上看来，绑定MAC地址和IP地址可以防止内部IP地址被盗用，但实际上由于各层协议以及网卡驱动等实现技术，MAC地址与IP地址的绑定存在很大的缺陷，并不能真正防止内部IP地址被盗用。
 

1.严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。

2.建议不要远程访问路由器。即使需要远程访问路由器，建议使用访问控制列表和高强度的密码控制。

3.严格控制CON端口的访问。具体的措施有：

A.如果可以开机箱的，则可以切断与CON口互联的物理线路。

B.可以改变默认的连接属性，例如修改波特率(默认是96000，可以改为其他的)。

C.配合使用访问控制列表控制对CON口的访问。

如：Router(Config)#Access-list 1 permit 192.168.0.1
Router(Config)#line con 0
Router(Config-line)#Transport input none
Router(Config-line)#Login local
Router(Config-line)#Exec-timeoute 5 0
Router(Config-line)#access-class 1 in
Router(Config-line)#end

D.给CON口设置高强度的密码。

4.如果不使用AUX端口，则禁止这个端口。默认是未被启用。禁止如：

Router(Config)#line aux 0
Router(Config-line)#transport input none
Router(Config-line)#no exec

5.建议采用权限分级策略。如：

Router(Config)#username BluShin privilege 10 G00dPa55w0rd
Router(Config)#privilege EXEC level 10 telnet
Router(Config)#privilege EXEC level 10 show ip access-list

6.为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。

7.控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为加密，所以需要对其进行严格的控制。如：设置强壮的密码；控制连接的并发数目；采用访问列表严格控制访问的地址；可以采用AAA设置用户的访问控制等。

8.IOS的升级和备份，以及配置文件的备份建议使用FTP代替TFTP。如：

Router(Config)#ip ftp username BluShin
Router(Config)#ip ftp password 4tppa55w0rd
Router#copy startup-config ftp:

9.及时的升级和修补IOS软件。

二.路由器网络服务安全配置
1.禁止CDP(Cisco Discovery Protocol)。如：

Router(Config)#no cdp run
Router(Config-if)# no cdp enable

2.禁止其他的TCP、UDP Small服务。

Router(Config)# no service tcp-small-servers
Router(Config)# no service udp-samll-servers

3.禁止Finger服务。

Router(Config)# no ip finger
Router(Config)# no service finger

4.建议禁止HTTP服务。

Router(Config)# no ip http server

如果启用了HTTP服务则需要对其进行安全配置：设置用户名和密码；采用访问列表进行控制。如：

Router(Config)# username BluShin privilege 10 G00dPa55w0rd
Router(Config)# ip http auth local
Router(Config)# no access-list 10
Router(Config)# access-list 10 permit 192.168.0.1
Router(Config)# access-list 10 deny any
Router(Config)# ip http access-class 10
Router(Config)# ip http server
Router(Config)# exit

5.禁止BOOTp服务。

Router(Config)# no ip bootp server

禁止从网络启动和自动从网络下载初始配置文件。

Router(Config)# no boot network

Router(Config)# no servic config

6.禁止IP Source Routing。

Router(Config)# no ip source-route

7.建议如果不需要ARP-Proxy服务则禁止它，路由器默认识开启的。

Router(Config)# no ip proxy-arp

Router(Config-if)# no ip proxy-arp

8.明确的禁止IP Directed Broadcast。

Router(Config)# no ip directed-broadcast

9.禁止IP Classless。

Router(Config)# no ip classless

10.禁止ICMP协议的IP Unreachables,Redirects,Mask Replies。

Router(Config-if)# no ip unreacheables
Router(Config-if)# no ip redirects
Router(Config-if)# no ip mask-reply

11.建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。或者需要访问列表来过滤。如：

Router(Config)# no snmp-server community public Ro
Router(Config)# no snmp-server community admin RW
Router(Config)# no access-list 70
Router(Config)# access-list 70 deny any
Router(Config)# snmp-server community MoreHardPublic Ro 70
Router(Config)# no snmp-server enable traps
Router(Config)# no snmp-server system-shutdown
Router(Config)# no snmp-server trap-anth
Router(Config)# no snmp-server
Router(Config)# end

12.如果没必要则禁止WINS和DNS服务。

Router(Config)# no ip domain-lookup

如果需要则需要配置：

Router(Config)# hostname Router

Router(Config)# ip name-server 202.102.134.96

13.明确禁止不使用的端口。

Router(Config)# interface eth0/3

Router(Config)# shutdown

三.路由器路由协议安全配置

1.首先禁止默认启用的ARP-Proxy，它容易引起路由表的混乱。

Router(Config)# no ip proxy-arp 或者

Router(Config-if)# no ip proxy-arp

2.启用OSPF路由协议的认证。默认的OSPF认证密码是明文传输的，建议启用MD5认证。并设置一定强度密钥(key,相对的路由器必须有相同的Key)。

Router(Config)# router ospf 100
Router(Config-router)# network 192.168.100.0 0.0.0.255 area 100
! 启用MD5认证。
! area area-id authentication 启用认证，是明文密码认证。
！area area-id authentication message-digest
Router(Config-router)# area 100 authentication message-digest
Router(Config)# exit
Router(Config)# interface eth0/1
！启用MD5密钥Key为routerospfkey。
！ip ospf authentication-key key 启用认证密钥，但会是明文传输。
！ip ospf message-digest-key key-id(1-255) md5 key
Router(Config-if)# ip ospf message-digest-key 1 md5 routerospfkey

3.RIP协议的认证。只有RIP-V2支持，RIP-1不支持。建议启用RIP-V2。并且采用MD5认证。普通认证同样是明文传输的。

Router(Config)# config terminal
! 启用设置密钥链
Router(Config)# key chain mykeychainname
Router(Config-keychain)# key 1
！设置密钥字串
Router(Config-leychain-key)# key-string MyFirstKeyString
Router(Config-keyschain)# key 2
Router(Config-keychain-key)# key-string MySecondKeyString
！启用RIP-V2
Router(Config)# router rip
Router(Config-router)# version 2
Router(Config-router)# network 192.168.100.0
Router(Config)# interface eth0/1
! 采用MD5模式认证，并选择已配置的密钥链
Router(Config-if)# ip rip authentication mode md5
Router(Config-if)# ip rip anthentication key-chain mykeychainname

4.启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口。建议对于不需要路由的端口，启用passive- interface。但是，在RIP协议是只是禁止转发路由信息，并没有禁止接收。在OSPF协议中是禁止转发和接收路由信息。

! Rip中，禁止端口0/3转发路由信息
Router(Config)# router Rip
Router(Config-router)# passive-interface eth0/3
！OSPF中，禁止端口0/3接收和转发路由信息
Router(Config)# router ospf 100
Router(Config-router)# passive-interface eth0/3

5.启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流。

Router(Config)# access-list 10 deny 192.168.1.0 0.0.0.255
Router(Config)# access-list 10 permit any
! 禁止路由器接收更新192.168.1.0网络的路由信息
Router(Config)# router ospf 100
Router(Config-router)# distribute-list 10 in
！禁止路由器转发传播192.168.1.0网络的路由信息
Router(Config)# router ospf 100
Router(Config-router)# distribute-list 10 out

6.建议启用IP Unicast Reverse-Path Verification。它能够检查源IP地址的准确性，从而可以防止一定的IP Spooling。但是它只能在启用CEF(Cisco Express Forwarding)的路由器上使用。

Router# config t
! 启用CEF
Router(Config)# ip cef
！启用Unicast Reverse-Path Verification
Router(Config)# interface eth0/1
Router(Config)# ip verify unicast reverse-path

四.路由器其他安全配置

1.及时的升级IOS软件，并且要迅速的为IOS安装补丁。

2.要严格认真的为IOS作安全备份。

3.要为路由器的配置文件作安全备份。

4.购买UPS设备，或者至少要有冗余电源。

5.要有完备的路由器的安全访问和维护记录日志。

6.要严格设置登录Banner。必须包含非授权用户禁止登录的字样。

7.IP欺骗得简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地址；回环地址(127.0.0.0/8)；RFC1918私有地址； DHCP自定义地址(169.254.0.0/16)；科学文档作者测试用地址(192.0.2.0/24)；不用的组播地址 (224.0.0.0/4)；SUN公司的古老的测试地址(20.20.20.0/24;204.152.64.0/23)；全网络地址 (0.0.0.0/8)。

Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 any log
Router(Config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any log
Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any log
Router(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any log
Router(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any log
Router(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any log
Router(Config)# access-list 100 deny ip 192.0.2.0 0.0.0.255 any log
Router(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any
Router(Config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 any log
Router(Config)# access-list 100 deny ip 204.152.64.0 0.0.2.255 any log
Router(Config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any log

8.建议采用访问列表控制流出内部网络的地址必须是属于内部网络的。如：

Router(Config)# no access-list 101
Router(Config)# access-list 101 permit ip 192.168.0.0 0.0.0.255 any
Router(Config)# access-list 101 deny ip any any log
Router(Config)# interface eth 0/1
Router(Config-if)# description “internet Ethernet”
Router(Config-if)# ip address 192.168.0.254 255.255.255.0
Router(Config-if)# ip access-group 101 in

9.TCP SYN的防范。如：

A: 通过访问列表防范。
Router(Config)# no access-list 106
Router(Config)# access-list 106 permit tcp any 192.168.0.0 0.0.0.255 established
Router(Config)# access-list 106 deny ip any any log
Router(Config)# interface eth 0/2
Router(Config-if)# description “external Ethernet”
Router(Config-if)# ip address 192.168.1.254 255.255.255.0
Router(Config-if)# ip access-group 106 in
B：通过TCP截获防范。(这会给路由器产生一定负载)
Router(Config)# ip tcp intercept list 107
Router(Config)# access-list 107 permit tcp any 192.168.0.0 0.0.0.255
Router(Config)# access-list 107 deny ip any any log
Router(Config)# interface eth0
Router(Config)# ip access-group 107 in

10.LAND.C 进攻的防范。

Router(Config)# access-list 107 deny ip host 192.168.1.254 host 192.168.1.254 log
Router(Config)# access-list permit ip any any
Router(Config)# interface eth 0/2
Router(Config-if)# ip address 192.168.1.254 255.255.255.0
Router(Config-if)# ip access-group 107 in

11.Smurf进攻的防范。

Router(Config)# access-list 108 deny ip any host 192.168.1.255 log

Router(Config)# access-list 108 deny ip any host 192.168.1.0 log

12.ICMP协议的安全配置。对于进入ICMP流，我们要禁止ICMP协议的ECHO、Redirect、Mask request。也需要禁止TraceRoute命令的探测。对于流出的ICMP流，我们可以允许ECHO、Parameter Problem、Packet too big。还有TraceRoute命令的使用。

! outbound ICMP Control
Router(Config)# access-list 110 deny icmp any any echo log
Router(Config)# access-list 110 deny icmp any any redirect log
Router(Config)# access-list 110 deny icmp any any mask-request log
Router(Config)# access-list 110 permit icmp any any
! Inbound ICMP Control
Router(Config)# access-list 111 permit icmp any any echo
Router(Config)# access-list 111 permit icmp any any Parameter-problem
Router(Config)# access-list 111 permit icmp any any packet-too-big
Router(Config)# access-list 111 permit icmp any any source-quench
Router(Config)# access-list 111 deny icmp any any log
! Outbound TraceRoute Control
Router(Config)# access-list 112 deny udp any any range 33400 34400
! Inbound TraceRoute Control
Router(Config)# access-list 112 permit udp any any range 33400 34400

13.DDoS(Distributed Denial of Service)的防范。

! The TRINOO DDoS system
Router(Config)# access-list 113 deny tcp any any eq 27665 log
Router(Config)# access-list 113 deny udp any any eq 31335 log
Router(Config)# access-list 113 deny udp any any eq 27444 log
! The Stacheldtraht DDoS system
Router(Config)# access-list 113 deny tcp any any eq 16660 log
Router(Config)# access-list 113 deny tcp any any eq 65000 log
! The TrinityV3 System
Router(Config)# access-list 113 deny tcp any any eq 33270 log
Router(Config)# access-list 113 deny tcp any any eq 39168 log
! The SubSeven DDoS system and some Variants
Router(Config)# access-list 113 deny tcp any any range 6711 6712 log
Router(Config)# access-list 113 deny tcp any any eq 6776 log
Router(Config)# access-list 113 deny tcp any any eq 6669 log
Router(Config)# access-list 113 deny tcp any any eq 2222 log
Router(Config)# access-list 113 deny tcp any any eq 7000 log

14.建议启用SSH，废弃掉Telnet。但只有支持并带有IPSec特征集的IOS才支持SSH。并且IOS12.0-IOS12.2仅支持SSH-V1。如下配置SSH服务的例子：

Router(Config)# config t
Router(Config)# no access-list 22
Router(Config)# access-list 22 permit 192.168.0.22
Router(Config)# access-list deny any
Router(Config)# username BluShin privilege 10 G00dPa55w0rd
! 设置SSH的超时间隔和尝试登录次数
Router(Config)# ip ssh timeout 90
Router(Config)# ip ssh anthentication-retries 2
Router(Config)# line vty 0 4
Router(Config-line)# access-class 22 in
Router(Config-line)# transport input ssh
Router(Config-line)# login local
Router(Config-line)# exit
！启用SSH服务，生成RSA密钥对。
Router(Config)# crypto key generate rsa
The name for the keys will be: router.blushin.org
Choose the size of the key modulus in the range of 360 to 2048 for your General
Purpose keys .Choosing a key modulus greater than 512 may take a few minutes.
How many bits in the modulus[512]: 2048
Generating RSA Keys…
[OK]
Router(Config)#

网通
add dst-address=58.16.0.0/16 gateway=网关
add dst-address=58.17.0.0/17 gateway=网关
add dst-address=58.18.0.0/16 gateway=网关
add dst-address=58.19.0.0/16 gateway=网关
add dst-address=58.20.0.0/16 gateway=网关
add dst-address=58.22.0.0/15 gateway=网关
add dst-address=58.100.0.0/15 gateway=网关
add dst-address=58.240.0.0/12 gateway=网关
add dst-address=59.80.0.0/14 gateway=网关
add dst-address=60.0.0.0/13 gateway=网关
add dst-address=60.8.0.0/14 gateway=网关
add dst-address=60.12.0.0/16 gateway=网关
add dst-address=60.13.0.0/18 gateway=网关
add dst-address=60.13.128.0/17 gateway=网关
add dst-address=60.14.0.0/15 gateway=网关
add dst-address=60.16.0.0/12 gateway=网关
add dst-address=60.55.0.0/16 gateway=网关
add dst-address=60.208.0.0/12 gateway=网关
add dst-address=60.216.0.0/15 gateway=网关
add dst-address=60.220.0.0/14 gateway=网关
add dst-address=61.4.64.0/20 gateway=网关
add dst-address=61.47.128.0/18 gateway=网关
add dst-address=61.48.0.0/13 gateway=网关
add dst-address=61.128.210.0/24 gateway=网关
add dst-address=61.133.0.0/17 gateway=网关
add dst-address=61.134.96.0/19 gateway=网关
add dst-address=61.134.128.0/17 gateway=网关
add dst-address=61.135.0.0/16 gateway=网关
add dst-address=61.136.0.0/16 gateway=网关
add dst-address=61.137.128.0/17 gateway=网关
add dst-address=61.138.0.0/17 gateway=网关
add dst-address=61.139.128.0/18 gateway=网关
add dst-address=61.148.0.0/13 gateway=网关
add dst-address=61.148.0.0/15 gateway=网关
add dst-address=61.156.0.0/16 gateway=网关
add dst-address=61.158.0.0/16 gateway=网关
add dst-address=61.159.0.0/18 gateway=网关
add dst-address=61.161.0.0/18 gateway=网关
add dst-address=61.161.128.0/17 gateway=网关
add dst-address=61.162.0.0/15 gateway=网关
add dst-address=61.167.0.0/16 gateway=网关
add dst-address=61.168.0.0/16 gateway=网关
add dst-address=61.176.0.0/16 gateway=网关
add dst-address=61.179.0.0/16 gateway=网关
add dst-address=61.180.13.0/24 gateway=网关
add dst-address=61.180.128.0/17 gateway=网关
add dst-address=61.181.0.0/16 gateway=网关
add dst-address=61.182.0.0/16 gateway=网关
add dst-address=61.189.0.0/17 gateway=网关
add dst-address=61.236.0.0/15 gateway=网关
add dst-address=61.237.148.0/24 gateway=网关
add dst-address=125.32.0.0/16 gateway=网关
add dst-address=125.58.128.0/17 gateway=网关
add dst-address=202.4.252.0/22 gateway=网关
add dst-address=202.8.128.0/19 gateway=网关
add dst-address=202.10.64.0/20 gateway=网关
add dst-address=202.14.235.0/24 gateway=网关
add dst-address=202.14.236.0/23 gateway=网关
add dst-address=202.14.238.0/24 gateway=网关
add dst-address=202.38.164.0/22 gateway=网关
add dst-address=202.63.248.0/22 gateway=网关
add dst-address=202.69.4.0/22 gateway=网关
add dst-address=202.85.208.0/20 gateway=网关
add dst-address=202.90.224.0/20 gateway=网关
add dst-address=202.91.0.0/22 gateway=网关
add dst-address=202.91.128.0/22 gateway=网关
add dst-address=202.91.176.0/20 gateway=网关
add dst-address=202.94.0.0/19 gateway=网关
add dst-address=202.95.0.0/19 gateway=网关
add dst-address=202.96.0.0/12 gateway=网关
add dst-address=202.122.32.0/21 gateway=网关
add dst-address=202.122.64.0/19 gateway=网关
add dst-address=202.123.96.0/20 gateway=网关
add dst-address=202.127.0.0/21 gateway=网关
add dst-address=202.127.212.0/22 gateway=网关
add dst-address=202.136.252.0/22 gateway=网关
add dst-address=202.180.128.0/19 gateway=网关
add dst-address=203.79.0.0/20 gateway=网关
add dst-address=203.90.0.0/22 gateway=网关
add dst-address=203.90.192.0/19 gateway=网关
add dst-address=203.93.0.0/16 gateway=网关
add dst-address=203.128.128.0/19 gateway=网关
add dst-address=203.134.240.0/21 gateway=网关
add dst-address=203.175.128.0/19 gateway=网关
add dst-address=203.175.192.0/18 gateway=网关
add dst-address=203.196.0.0/21 gateway=网关
add dst-address=203.207.64.0/18 gateway=网关
add dst-address=203.207.128.0/17 gateway=网关
add dst-address=210.12.0.0/15 gateway=网关
add dst-address=210.14.160.0/19 gateway=网关
add dst-address=210.14.192.0/18 gateway=网关
add dst-address=210.15.0.0/17 gateway=网关
add dst-address=210.15.128.0/18 gateway=网关
add dst-address=210.21.0.0/16 gateway=网关
add dst-address=210.22.0.0/16 gateway=网关
add dst-address=210.45.128.0/20 gateway=网关
add dst-address=210.51.0.0/16 gateway=网关
add dst-address=210.52.0.0/15 gateway=网关
add dst-address=210.72.96.0/20 gateway=网关
add dst-address=210.73.32.0/19 gateway=网关
add dst-address=210.74.96.0/19 gateway=网关
add dst-address=210.74.128.0/19 gateway=网关
add dst-address=210.78.0.0/19 gateway=网关
add dst-address=210.82.0.0/15 gateway=网关
add dst-address=211.64.0.0/13 gateway=网关
add dst-address=211.95.192.0/18 gateway=网关
add dst-address=211.97.245.0/24 gateway=网关
add dst-address=211.144.0.0/12 gateway=网关
add dst-address=211.163.0.0/16 gateway=网关
add dst-address=218.4.0.0/14 gateway=网关
add dst-address=218.8.0.0/14 gateway=网关
add dst-address=218.12.0.0/16 gateway=网关
add dst-address=218.21.128.0/17 gateway=网关
add dst-address=218.24.0.0/14 gateway=网关
add dst-address=218.28.0.0/15 gateway=网关
add dst-address=218.56.0.0/14 gateway=网关
add dst-address=218.60.0.0/15 gateway=网关
add dst-address=218.62.0.0/17 gateway=网关
add dst-address=218.67.128.0/17 gateway=网关
add dst-address=218.68.0.0/15 gateway=网关
add dst-address=218.96.0.0/14 gateway=网关
add dst-address=218.108.0.0/15 gateway=网关
add dst-address=218.104.0.0/16 gateway=网关
add dst-address=218.106.0.0/15 gateway=网关
add dst-address=218.108.0.0/15 gateway=网关
add dst-address=219.82.0.0/16 gateway=网关
add dst-address=219.141.128.0/17 gateway=网关
add dst-address=219.142.0.0/15 gateway=网关
add dst-address=219.154.0.0/15 gateway=网关
add dst-address=219.156.0.0/15 gateway=网关
add dst-address=219.158.0.0/16 gateway=网关
add dst-address=219.159.0.0/18 gateway=网关
add dst-address=220.192.0.0/12 gateway=网关
add dst-address=219.216.0.0/13 gateway=网关
add dst-address=220.248.0.0/14 gateway=网关
add dst-address=220.250.0.0/16 gateway=网关
add dst-address=220.252.0.0/16 gateway=网关
add dst-address=221.0.0.0/13 gateway=网关
add dst-address=221.6.0.0/16 gateway=网关
add dst-address=221.7.0.0/18 gateway=网关
add dst-address=221.7.64.0/19 gateway=网关
add dst-address=221.7.128.0/17 gateway=网关
add dst-address=221.8.0.0/15 gateway=网关
add dst-address=221.10.0.0/16 gateway=网关
add dst-address=221.11.0.0/17 gateway=网关
add dst-address=221.11.128.0/18 gateway=网关
add dst-address=221.11.192.0/19 gateway=网关
add dst-address=221.12.0.0/17 gateway=网关
add dst-address=221.13.0.0/16 gateway=网关
add dst-address=221.14.0.0/15 gateway=网关
add dst-address=221.122.0.0/15 gateway=网关
add dst-address=221.136.0.0/15 gateway=网关
add dst-address=221.172.0.0/14 gateway=网关
add dst-address=221.192.0.0/14 gateway=网关
add dst-address=221.196.0.0/15 gateway=网关
add dst-address=221.198.0.0/16 gateway=网关
add dst-address=221.199.0.0/19 gateway=网关
add dst-address=221.199.32.0/20 gateway=网关
add dst-address=221.199.128.0/18 gateway=网关
add dst-address=221.199.192.0/20 gateway=网关
add dst-address=221.200.0.0/13 gateway=网关
add dst-address=221.207.0.0/18 gateway=网关
add dst-address=221.208.0.0/14 gateway=网关
add dst-address=221.208.0.0/12 gateway=网关
add dst-address=222.32.0.0/11 gateway=网关
add dst-address=222.128.0.0/12 gateway=网关
add dst-address=222.160.0.0/14 gateway=网关