【正文】 eny udp any any eq 139accesslist 3198 permit ip any anyaccesslist 3199 deny icmp any any echo //禁止從外網(wǎng)ping路由器accesslist 3199 deny tcp any any eq 135accesslist 3199 deny tcp any any eq 139accesslist 3199 deny tcp any any eq 445accesslist 3199 deny tcp any host eq 80 //禁止外網(wǎng)訪(fǎng)問(wèn)路由器管理頁(yè)面，如果有多條接入線(xiàn)路，請(qǐng)依次配置，如果配置了WEB端口映射，請(qǐng)去掉。帶交換口的NBR的內(nèi)網(wǎng)口可增加1條基于MAC的ACL。 遠(yuǎn)程登錄更改ACL時(shí)的注意事項(xiàng)（WEB和telnet）遠(yuǎn)程配置ACL時(shí)首先應(yīng)提醒用戶(hù)，配置可能引起網(wǎng)絡(luò)中斷，若中斷僅需花一分鐘時(shí)間重啟即可。等運(yùn)行正常后再刪除原ACL。而ACL是按順序從上往下匹配的，故一般不對(duì)原ACL直接進(jìn)行更改。ACL默認(rèn)是deny的。限telnet管理主機(jī)配置如下： NBR (config)accesslist 11 permit //定義一條ACL，允許一個(gè)主機(jī) NBR(config)line vty 0 4 //進(jìn)入TELNET模式 NBR(configline)accessclass 11 in //配置在接口上。 配置的ACL不起作用可能的故障原因有：l 配置順序不對(duì)，ACL是從上往下逐條匹配，一旦上條已經(jīng)匹配，下調(diào)將不起作用。l 配置時(shí)間ACL后，由于系統(tǒng)時(shí)間更改，引發(fā)控制改變。 只允許瀏覽網(wǎng)頁(yè)，禁止訪(fǎng)問(wèn)其他業(yè)務(wù)配置方法：只打開(kāi)80和53端口。4 NAT 如何在NBR上配置DDNS？NBR (config)ddns 88ip abcNBR(configddns)password abcNBR(configddns)bind f 1/0公司的產(chǎn)品現(xiàn)在只支持88IP，需要使用bind命令來(lái)綁定使用DDNS 服務(wù)的接口。 如何配置反向映射（即反向端口映射、反向NAT）？NBR (config)ip nat inside source static permitinside。 動(dòng)態(tài)獲得IP時(shí)可以在web下配置反向NAT嗎？在WEB下不可以配置動(dòng)態(tài)地址的反向NAT，要解決這個(gè)問(wèn)題必須在命令行下配置：NBR (config)ip nat inside source static tcp 80 interface dial 0 80 //注意，必須映射dial接口，而非物理接口。然后，再檢查用戶(hù)主機(jī)是否開(kāi)啟相關(guān)服務(wù)。 gateway or host down則表示該主機(jī)的web服務(wù)沒(méi)有打開(kāi)。 能更改路由器登錄管理的默認(rèn)端口嗎？不可以更改登錄管理默認(rèn)端口。NBR (config)ip nat application qq 1024 K 。受到攻擊，經(jīng)常會(huì)出現(xiàn)內(nèi)存被消耗光的現(xiàn)象。 5 VLAN 如何配置VLAN？在NBR路由器（）中可以分成兩個(gè)系列，提供交換機(jī)Trunk連入外，其他型號(hào)不支持該功能，只能對(duì)每個(gè)LAN口配置一個(gè)VLAN。配置如下：interface FastEthernet 0/0 //LAN0口的配置不用配成子接口，也不用封裝ip address interface FastEthernet 0/ //LAN1LAN3分別對(duì)應(yīng)0/ encapsulation dot1Q 1 //LAN1LAN3分別對(duì)應(yīng)dot1Q 1 dot1Q 3 ip address vlan port 1 //LAN1LAN3分別配成port13，LAN0口不用配置 NBR2000配置如下： interface GigabitEthernet 0/0 //物理口不能封裝成dot1Qinterface GigabitEthernet 0/ //2000子接口和其他不同，不止配置3個(gè)子接口 encapsulation dot1Q 10 //VLAN ID可配置范圍1506 ip address ，不再需要每個(gè)vlan一根線(xiàn)連接到路由器的LAN口。交換機(jī)通過(guò)trunk只需一根網(wǎng)絡(luò)線(xiàn)與他相連，就能達(dá)到多個(gè)VLAN間路由功能，即單臂路由。其他雖然有帶多個(gè)LAN口，但每個(gè)口只能屬于一個(gè)VLAN，只能提供4個(gè)VLAN接入，非標(biāo)準(zhǔn)dot1Q。物理口配置成LAN0口。 兩條不同ISP線(xiàn)路，做主備，路由如何配置？如果兩條ISP線(xiàn)路，一般選帶寬大的做主路由，另一條做備份路由，配置如下：Ip route interface f1/0 //靜態(tài)路由Ip route interface f1/1 100 //浮動(dòng)靜態(tài)路由ip route //需配置備份線(xiàn)路路由表 兩條都是同一ISP又不同網(wǎng)段的呢？同一網(wǎng)段呢？（列出不同版本不同配置方法）如果都是同一ISP不同網(wǎng)段的兩條個(gè)地址。但需和ISP協(xié)商配成AP，否則會(huì)引起環(huán)路，不能實(shí)現(xiàn)增大帶寬目的。 雙線(xiàn)路不同運(yùn)營(yíng)商的網(wǎng)吧為什么玩游戲會(huì)卡？ 出現(xiàn)這種現(xiàn)像的原因是某條運(yùn)營(yíng)商的路由表不全，造成應(yīng)該從A運(yùn)營(yíng)商線(xiàn)路走的跑到B運(yùn)營(yíng)商去了。7 DNS和DHCP 如何配置DNS relay？配置命令如下：NBR（config） accesslist 1 permit anyNBR（config） ip nat application source list 1 destination udp 53 destchange 53 // relay地址。如果使用路由器的DNS中繼功能，不慎泄露路由器密碼，或者密碼設(shè)置被猜破，將會(huì)造成MITM攻擊（ManintheMiddle Attack，譯為“中間人攻擊”）。然后入侵者把這臺(tái)計(jì)算機(jī)模擬一臺(tái)或兩臺(tái)原始計(jì)算機(jī)，使“中間人”能夠與原始計(jì)算機(jī)建立活動(dòng)連接并允許其讀取或修改傳遞的信息，然而兩個(gè)原始計(jì)算機(jī)用戶(hù)卻認(rèn)為他們是在互相通信。DNS欺騙（DNS Spoofing），就是其中的一種慣用手法。如果攻擊者只是想監(jiān)聽(tīng)雙方會(huì)話(huà)的數(shù)據(jù)，他會(huì)轉(zhuǎn)發(fā)所有的數(shù)據(jù)到真正的目標(biāo)機(jī)器上，讓目標(biāo)機(jī)器進(jìn)行處理，再把處理結(jié)果發(fā)回到原來(lái)的受害者機(jī)器；如果攻擊者要進(jìn)行徹底的破壞，他會(huì)偽裝目標(biāo)機(jī)器返回?cái)?shù)據(jù)，這樣受害者接收處理的就不再是原來(lái)期望的數(shù)據(jù)，而是攻擊者所期望的了。另外，DNS通過(guò)路由器做中繼，多了一個(gè)可能的故障點(diǎn)。 如何配置DHCP？能否指定分配MAC？DHCP配置如下：NBR(config)service dhcp //啟用DHCP功能NBR(config)ip dhcp excluded //排斥地址，不分配給客戶(hù)端NBR(config)ip dhcp pool test //配置地址池信息NBR(configdhcp)network //地址段NBR(configdhcp)defaultrouter //網(wǎng)關(guān)NBR(configdhcp)dnsserver //客戶(hù)端的DNS可以對(duì)MAC進(jìn)行指定分配：ip dhcp pool XiaoLi //地址池 hardwareaddress //指定MAC host //指定IPdnsserver defaultrouter 8 日志 如何打開(kāi)日志及設(shè)置各項(xiàng)日志顯示？打開(kāi)日志配置： NBR（config）logging on //開(kāi)啟日志 NBR（config）service sequencenumbers //日志信息序列號(hào)NBR（config）service timestamps log datetime //日志信息的時(shí)間戳格式為日期形式NBR（config）service timestamps debug uptime //時(shí)間戳格式為路由器啟動(dòng)時(shí)間形式NBR（config）logging //將日志信息發(fā)給Syslog serverNBR（config）logging trace enable //開(kāi)啟定時(shí)統(tǒng)計(jì)，必須在開(kāi)啟日志序列號(hào)的前提下才能開(kāi)啟該功能 NBR（config）logging buffered //將日志信息記錄到內(nèi)存緩沖區(qū)NBR（config）logging file flash: //將日志信息記錄在擴(kuò)展FLASH 上NBR（config）logging console //設(shè)置允許在控制臺(tái)上顯示的日志信息級(jí)別NBR（config）logging monitor //設(shè)置允許在VTY 窗口上顯示的日志信息級(jí)別NBR（config）logging trap //設(shè)置允許發(fā)送給syslog server 的日志信息級(jí)別設(shè)置各項(xiàng)日志顯示：security antiwanattack level high //打開(kāi)外網(wǎng)攻擊的日志信息security antiarpspoofing　　　　 //打開(kāi)內(nèi)網(wǎng)ARP欺騙的日志信息security antilanattack　　　　　 //打開(kāi)內(nèi)網(wǎng)攻擊的日志功能其他ACL的應(yīng)用，也能在日志里顯示匹配統(tǒng)計(jì)信息。%6:arp update , mac address of bee change to new mac :。%6:ipff_proc_default_route_event taicang: %6:DFC update:L2 head請(qǐng)確認(rèn)線(xiàn)路是否正常。 taicang: %5:%LINE PROTOCOL CHANGE: Interface FastEthernet 1/0, changed state to UP 上述信息顯示接口發(fā)生了up/down。200689 14:0:17 NBR1000: %5:Configured from console by vty0 ()上述信息顯示有人對(duì)路由器配置進(jìn)行改動(dòng)，從遠(yuǎn)程登錄進(jìn)行了配置。200687 15:27:9 如何設(shè)置日志服務(wù)器？1. 在日志服務(wù)器（）上安裝第三方日志軟件。詳情請(qǐng)參見(jiàn)命令手冊(cè)。 限速參數(shù)如何建議？限速單位限速參數(shù)應(yīng)根據(jù)外網(wǎng)帶寬，內(nèi)網(wǎng)PC數(shù)量，PC用途等一些因素進(jìn)行。建議inbound上傳數(shù)值設(shè)置為200左右，outbound下載數(shù)值設(shè)置為400以上。NAT會(huì)話(huà)數(shù)一般限制在250到350。10 病毒攻擊 怎么做網(wǎng)吧ARP綁定（包括web和CLI）？把LAN口上學(xué)到的MAC地址和IP地址進(jìn)行綁定，操作方法如下：手動(dòng)綁定NBR（config）arp arpa //需一個(gè)個(gè)綁定自動(dòng)綁定：NBR (config)arp scan interface g0/0 //只需掃描內(nèi)網(wǎng)口 NBR(config)arp convert interface g0/0 //動(dòng)態(tài)轉(zhuǎn)為靜態(tài) NBR(configif)macip bind //綁定完可以鎖定MAC地址表，只有在地址表里的PC才可以登錄，該方法可以用來(lái)控制某些PC上網(wǎng)WEB方式1. 在“MAC/IP綁定”中點(diǎn)擊“掃描LAN口”2. 在“ARP表”中點(diǎn)擊“全選”3. 點(diǎn)擊“動(dòng)態(tài)→靜態(tài)” 綁定時(shí)給用戶(hù)的建議對(duì)于網(wǎng)吧所有PC都安裝了還原精靈的用戶(hù)，為了保證綁定時(shí)沒(méi)有ARP病毒，建議用戶(hù)在非營(yíng)業(yè)或客戶(hù)少的時(shí)候進(jìn)行綁定操作。綁定時(shí)注意不能落下一臺(tái)PC。以上要求所有內(nèi)網(wǎng)網(wǎng)關(guān)設(shè)在NBR上。WEB方式ARP選項(xiàng)——MAC/IP綁定——選擇需要修改的ARP條目——?jiǎng)h除――LAN口掃描――動(dòng)態(tài)轉(zhuǎn)靜態(tài)。（沒(méi)有雙綁時(shí)）l 局域網(wǎng)所有的機(jī)器都上不了網(wǎng)，也Ping不通網(wǎng)關(guān)。（雙綁后）可以通過(guò)兩種辦法來(lái)查看：l 第一種辦法查看ARP表，看看是不是有相同MAC對(duì)應(yīng)不同IP的表項(xiàng)。l 第二種辦法是打開(kāi)內(nèi)網(wǎng)防ARP欺騙的功能，然后查看日志。l 二是找到欺騙主機(jī)進(jìn)行殺毒。一般觀(guān)察內(nèi)外網(wǎng)口的燈閃爍的頻率基本能定位外網(wǎng)還是內(nèi)網(wǎng)攻擊。通過(guò)NBR show security信息可以確定攻擊是外網(wǎng)發(fā)起的還是內(nèi)網(wǎng)發(fā)起的。若是外網(wǎng)攻擊，可以通過(guò)NBR隱藏的調(diào)試命令模式下面查出DDOS攻擊源IP地址（UDP以及ICMP攻擊等無(wú)法記錄）：NBRdebug net NBR(debugnet)tcp由于外網(wǎng)的攻擊多是偽造源IP地址的攻擊，很難查出攻擊者。如果擔(dān)心網(wǎng)監(jiān)不重視，可以通過(guò)以網(wǎng)吧協(xié)會(huì)的名義出面。網(wǎng)吧也可以通過(guò)網(wǎng)協(xié)名義聯(lián)合向運(yùn)營(yíng)商報(bào)案，讓運(yùn)營(yíng)商重視該問(wèn)題。開(kāi)啟防內(nèi)外網(wǎng)攻擊功能。這種情況下主要通過(guò)ACL和限速來(lái)防止外網(wǎng)攻擊。（L2TP/PPTP）作為客戶(hù)端也支持作為服務(wù)器端。也有可能是客戶(hù)端設(shè)置的問(wèn)題。無(wú)控制線(xiàn)請(qǐng)勿升級(jí)。當(dāng)升級(jí)失敗時(shí)，無(wú)法遠(yuǎn)程解決。 升級(jí)步驟及注意事項(xiàng)正常升級(jí)步驟1