校園與Internet相連,可以使老師和學(xué)生得到大量的信息資源,開闊眼界和知識面,所以組建校園網(wǎng)成了促進(jìn)學(xué)校教育現(xiàn)代化的必經(jīng)之路。作為校園網(wǎng)內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)連接樞紐的路由器,在其中發(fā)揮著舉足輕重的作用,因此對于路由器的管理和維護(hù)是每個(gè)校園網(wǎng)管理員必不可少的主修課。
考慮到中小學(xué)校園的通用性,我們主要介紹校園網(wǎng)中常見的路由器Cisco 2612的維護(hù)內(nèi)容,當(dāng)然本文內(nèi)容也可以適用于更高性能的Cisco 7600等路由器。Cisco 2612的模塊化體系結(jié)構(gòu)能夠提供適應(yīng)網(wǎng)絡(luò)技術(shù)變化所需的通用性,它配置了強(qiáng)大的RISC處理器,能夠支持當(dāng)今不斷發(fā)展的網(wǎng)絡(luò)中所需的高級服務(wù)質(zhì)量(QoS)、安全和網(wǎng)絡(luò)集成特性。通過將多個(gè)獨(dú)立設(shè)備的功能集成到一個(gè)單元之中,Cisco 2612還降低了管理遠(yuǎn)程網(wǎng)絡(luò)的復(fù)雜性,為Internet、校園內(nèi)部網(wǎng)訪問、多服務(wù)語音/數(shù)據(jù)集成、模擬和數(shù)字撥號訪問服務(wù)、VPN訪問、ATM訪問集中、VLAN以及路由帶寬管理等應(yīng)用提供經(jīng)濟(jì)有效的解決方案。
連接前的準(zhǔn)備
很多中小學(xué)的校園網(wǎng)采用了ADSL或者HDSL的連接方式,首先看Modem的狀態(tài),如果Modem的DCD不亮,則表示線路連接故障。請先檢查接入線路連接,再檢查路由器的電纜連接,將控制終端連接到路由器上,按回車數(shù)下,出現(xiàn)路由器名稱。
用終端或運(yùn)行仿真軟件的PC節(jié)接入CONSOLE口。終端或PC配置信息為:9600 baud 8 data bits no parity 2 stop bits (9600,8/N/2),意思是:波特率9600,數(shù)據(jù)位8,停止位1,奇偶校驗(yàn)無。管理員也可以在遠(yuǎn)端通過Telnet address進(jìn)行遠(yuǎn)程設(shè)置。但如果是對路由器進(jìn)行第一次配置時(shí),必須采用前一種配置方式。
以太端口故障判斷
我們使用show interface ethernet 0(端口0)命令來判斷以太端口故障,用來檢查一條鏈路的狀態(tài),此外,當(dāng)我們懷疑端口有物理性故障時(shí),可用shown version顯示出物理性正常的端口,而出現(xiàn)物理故障的端口將不被顯示出來。
串行端口故障判斷
我們可以用show interface serial 0(串行端口0)命令來判斷串行端口故障,檢查鏈路的狀態(tài)。如下所示:
router# show int serial 0
此外,當(dāng)我們懷疑端口有物理性故障時(shí),可用 shown version,將顯示出物理性正常的端口,而出現(xiàn)物理故障的端口將不被顯示出來。
路由器安全維護(hù)
利用路由器的漏洞發(fā)起攻擊的事件經(jīng)常發(fā)生。路由器攻擊會(huì)浪費(fèi)CPU周期,誤導(dǎo)信息流量,使網(wǎng)絡(luò)異常甚至陷于癱瘓。因此需要采取相應(yīng)的安全措施來保護(hù)路由器的安全。
(1)避免口令泄露危機(jī)
據(jù)卡內(nèi)基梅隆大學(xué)的CERT/CC(計(jì)算機(jī)應(yīng)急反應(yīng)小組/控制中心)稱,80%的安全突破事件是由薄弱的口令引起的。黑客常常利用弱口令或默認(rèn)口令進(jìn)行攻擊。加長口令、選用30到60天的口令有效期等措施有助于防止這類漏洞。
(2)關(guān)閉IP直接廣播
Smurf攻擊是一種拒絕服務(wù)攻擊。在這種攻擊中,攻擊者使用假冒的源地址向你的網(wǎng)絡(luò)廣播地址發(fā)送一個(gè)“ICMP echo”請求。這要求所有的主機(jī)對這個(gè)廣播請求做出回應(yīng)。這種情況會(huì)降低網(wǎng)絡(luò)性能。使用no ip source-route關(guān)閉IP直接廣播地址。
(3)禁用不必要的服務(wù)
強(qiáng)調(diào)路由器的安全性就不得不禁用一些不必要的本地服務(wù),例如SNMP和DHCP這些用戶很少用到的服務(wù),都可以禁用,只有絕對必要的時(shí)候才使用。另外,可能時(shí)關(guān)閉路由器的HTTP設(shè)置,因?yàn)镠TTP使用的身份識別協(xié)議相當(dāng)于向整個(gè)網(wǎng)絡(luò)發(fā)送一個(gè)未加密的口令。然而,HTTP協(xié)議中沒有一個(gè)用于驗(yàn)證口令或者一次性口令的有效規(guī)定。
(4)限制邏輯訪問
限制邏輯訪問主要借助于合理處置訪問控制列表,限制遠(yuǎn)程終端會(huì)話有助于防止黑客獲得系統(tǒng)邏輯訪問。SSH是優(yōu)先的邏輯訪問方法,但如果無法避免Telnet,不妨使用終端訪問控制,以限制只能訪問可信主機(jī)。因此,用戶需要給Telnet在路由器上使用的虛擬終端端口添加一份訪問列表。
(5)封鎖ICMP ping請求
控制消息協(xié)議(ICMP)有助于排除故障,識別正在使用的主機(jī),這樣為攻擊者提供了用來瀏覽網(wǎng)絡(luò)設(shè)備、確定本地時(shí)間戳和網(wǎng)絡(luò)掩碼以及對OS修正版本作出推測的信息。因此通過取消遠(yuǎn)程用戶接收ping請求的應(yīng)答能力,就能更容易的避開那些無人注意的掃描活動(dòng)或者防御那些尋找容易攻擊的目標(biāo)的“腳本小子”(script kiddies)。
(6)關(guān)閉IP源路由
IP協(xié)議允許一臺主機(jī)指定數(shù)據(jù)包通過你的網(wǎng)絡(luò)路由,而不是允許網(wǎng)絡(luò)組件確定最佳的路徑。這個(gè)功能的合法應(yīng)用是診斷連接故障。但是,這種用途很少得到應(yīng)用,事實(shí)上,它最常見的用途是為了偵察目的對網(wǎng)絡(luò)進(jìn)行鏡像,或者用于攻擊者在專用網(wǎng)絡(luò)中尋找一個(gè)后門。除非指定這項(xiàng)功能只能用于診斷故障,否則應(yīng)該關(guān)閉這個(gè)功能。
(7)監(jiān)控配置更改
用戶在對路由器配置進(jìn)行改動(dòng)之后,需要對其進(jìn)行監(jiān)控。如果用戶使用SNMP,那么一定要選擇功能強(qiáng)大的共用字符串,最好是使用提供消息加密功能的SNMP。如果不通過SNMP管理對設(shè)備進(jìn)行遠(yuǎn)程配置,用戶最好將SNMP設(shè)備配置成只讀。拒絕對這些設(shè)備進(jìn)行寫訪問,用戶就能防止黑客改動(dòng)或關(guān)閉接口。 此外,用戶還需將系統(tǒng)日志消息從路由器發(fā)送至指定服務(wù)器。
進(jìn)一步確保安全管理,用戶可以使用SSH等加密機(jī)制,利用SSH與路由器建立加密的遠(yuǎn)程會(huì)話。為了加強(qiáng)保護(hù),用戶還應(yīng)該限制SSH會(huì)話協(xié)商,只允許會(huì)話用于用戶經(jīng)常使用的幾個(gè)可信系統(tǒng)進(jìn)行通信。
(8)地址過濾
在校園網(wǎng)邊界路由器上建立政策以便根據(jù)IP地址過濾進(jìn)出網(wǎng)絡(luò)的違反安全規(guī)定的行為。除了特殊的案例之外,所有試圖從網(wǎng)絡(luò)內(nèi)部訪問互聯(lián)網(wǎng)的IP地址都應(yīng)該有一個(gè)分配的局域網(wǎng)地址。例如,192.168.0.1通過這個(gè)路由器訪問互聯(lián)網(wǎng)也許是合法的。但是,216.239.55.99這個(gè)地址很可能是欺騙性的,并且是一場攻擊的一部分。相反,來自互聯(lián)網(wǎng)外部的通信的源地址應(yīng)該不是內(nèi)部網(wǎng)絡(luò)的一部分。因此,應(yīng)該封鎖入網(wǎng)的192.168.X.X、172.16.X.X和10.X.X.X等地址。最后,擁有源地址的、保留的和無法路由目標(biāo)地址的所有通信都應(yīng)該允許通過這臺路由器。這包括回送地址127.0.0.1或者E類地址段。
在組建校園網(wǎng)的時(shí)候,只有選擇合適的路由器,經(jīng)過正確配置和采用對應(yīng)的維護(hù)策略后,才能使校園網(wǎng)網(wǎng)絡(luò)流暢,安全可靠,充分發(fā)揮校園網(wǎng)在學(xué)校管理、獲取信息資源等方面的作用。
相關(guān)知識:
路由器工作原理
路由器是用來連接不同網(wǎng)段或網(wǎng)絡(luò)的,其方法是通過識別不同網(wǎng)絡(luò)的網(wǎng)絡(luò)ID號進(jìn)行。路由器要識別另一個(gè)網(wǎng)絡(luò),首先要識別對方的網(wǎng)絡(luò)ID,看是不是與目的節(jié)點(diǎn)地址中的網(wǎng)絡(luò)ID號相一致。如果是就向這個(gè)網(wǎng)絡(luò)的路由器發(fā)送,接收網(wǎng)絡(luò)的路由器在接收到源網(wǎng)絡(luò)發(fā)來的報(bào)文后,根據(jù)報(bào)文中所包括的目的節(jié)點(diǎn)IP地址中的主機(jī)ID號來識別是發(fā)給哪一個(gè)節(jié)點(diǎn)的,然后再直接發(fā)送。
