本文主要面向CISCO路由器用戶，主要介紹了網絡基礎設備的問題，定期升級系統，思科路由器的使用等方面的技術問題，希望本文的內容能對你有所幫助。

這兩種工具使連接到網絡上的設備之間以及其它網絡相互通信。雖然路由器和交換機看起來很像，但是它們在網絡中的功能卻截然不同：交換機主要用于將一棟大廈或一個校園里的多臺設備連接到同一個網絡上。路由器主要用于將多個網絡連接起來。首先，路由器會分析網絡發送的數據，改變數據的打包方式，然后將數據發送到另一個網絡上或者其他類型的網絡上。

它們將公司與外界連接起來，保護信息不受安全威脅，甚至可以決定哪些計算機擁有更高的優先級。系統管理員和安全專家經常花費大量的精力配置各種防火墻、Web服務器和那些組成企業網絡的基礎設備。但是，他們經常會忽略路由器和交換機。這經常會導致黑客監聽網絡數據包、修改路由和其他一些惡意攻擊行為。本文對Cisco路由器和交換機技術應用進行分析和探討。

1.網絡基礎設備的問題

盡管很多攻擊的目標是終端主機——如web服務器、應用服務器和數據庫服務器，許多用戶忽略了網絡基礎設備的安全問題。路由器和交換機不僅可以被攻擊還可以作為黑客進行攻擊的工具，還是黑客收集有用信息的合適設備。Cisco路由器和交換機有自己的操作系統，或者被稱為CiscoIOS(網絡操作系統)。同其他操作系統一樣，早期的版本有許多漏洞，如果用戶沒有升級，會帶來很多問題。

從應用的角度看，路由器和交換機不僅可以作為攻擊目標，還可以幫助黑客隱瞞身份、創建監聽設備或者產生噪音。例如，很多Cisco交換機可以創建一個監視端口來監聽交換機的其他端口。這樣管理員和黑客就可以把交換機上看到的網絡數據包備份到一個指定的交換機端口。盡管管理員努力在系統中杜絕集線器造成的監聽問題，但是如果黑客可以通過交換機訪問網絡，網絡安全便面臨危險。

2.定期升級系統

任何系統都必須注重及時升級。Cisco公司一直注重IOS在版本更新、升級與發布策略，且Cisco公布的系統版本相對穩定。分析網絡基礎設備時要做的第一件事情就是調查在系統上運行的各種IOS系統的情況。使用ShowVersion命令可以方便地查到這些信息。如果用戶發現系統中有的10S系統版本比較老，在進行升級前最好與升級所花費的精力和金錢比較一下，考慮一下“如果沒有問題，不需要升級”這句話。比IOS系統版本更重要的是這個版本是否已超過了使用周期。Cisco定義了三種階段：

早期開發階段(EarlyDeployment，ED)。這個時期的10S系統有一些還不成熟的新特性，會有許多毛病。局部開發階段(LimitedDeployment，LD)。處于這個狀態的IOS主要是針對ED系統中漏洞而進行改進的版本。普通開發階段(GeneralDeployment，GD)。這個階段的IOS系統更強調系統的穩定性，基本上沒有漏洞。盡管用戶都希望使用最新的I0S系統，但我還要提醒用戶注意自己的實際需求，GD版本將指出系統的大量已經發現的漏洞，通常是一個已經解決了發現的漏洞的版本。除非發現此版本的系統有很嚴重的漏洞這別無選擇，只有升級。

3.配置Cisco路由器

Cisco路由器在主機級上比UNIX系統容易保護，這是因為系統提供的可遠程訪問的服務較少。路由器要進行復雜的路由計算并在網絡中起著舉足輕重的作用，它沒有BIND、IMAP、POP、sendmail等服務——而這些是UNIX系統中經常出問題的部分。盡管訪問路由器的方式相對少一些，但是還要進行進一步的配置以限制對路由器更深一步的訪問。

大多數Cisco 路由器還是通過遠程登錄方式進行控制的，沒有采用任何形式的加密方法。采用遠程登錄方式進行的通信都是以明文傳輸，很容易泄露登錄口令。盡管CiscoIOS12.1采用了SSHl的加密手段，仍然存在很多問題。在Cisco公司考慮使用SSH之前(希望他們采用SSH2版本)，用戶都只能使用Telnet。但是，還是有很多方法可以控制對路由器的訪問，從而限制非授權用戶對路由器的訪問。登錄到路由器的方式有：通過物理控制臺端口;通過物理輔助端口;通過其他物理串行端口(僅指在具有端口的模型上);通過遠程登錄方式進入一個單元的IP地址中。前三種方式需要物理接口，這樣很容易控制。下面主要討論第四種方式。

Cisco路由器有5個可以遠程登錄的虛擬終端或稱為vty。采用遠程登錄時要注意兩點。首先，要確認通過所有的vty登錄都需要口令。配置時可以采用如下命令：

Router1(config)#linevty04

Router1(config)#passwordfabi0!

這樣通過vty登錄時需要輸人口令“fabi0!”。其次，用戶可以增加控制級別來防止黑客的入侵，可以同時綁定5個vty。具體的命令如下：

Router1(config)#linevty04

Router1(config-line)#exec-timeout1

Router1(config-line)#exit

Router1(config)#servicetcp-keepalives.in

這些命令設置vty的時間限制為1分鐘，限制TCP連接的時間長度。除了上述命令，用戶還可以設置標準的訪問列表以限制可以遠程登錄到路由器本身內的工作站的數量。例如，假定系統的管理網段是10.1.1.0，你將被遠程登錄的地方，下列命令可以限制對該范圍內的進站遠程登錄會話的數量，命令如下：

Router1(config)#access-list1permit10.1.1.00.0.0.255

Router1(config)#access-list1denyany

Router1(config)#linevty04

Router1(config.line)#access-class1in

說到考慮物理訪問，有兩點要注意：控制臺端口和輔助管理端口，輔助端口是為通過調制解調器等設備訪問路由器而設置的，對這個端口進行保護很重要。cCisco 路由器可以通過如下命令:

Router1(config)#lineaux0

Router1(config.line)#passwordfabi0!

Router1(config)#lineconsole0

Router1(config.line)#passwordfabi0!