本文主要給大家詳細(xì)的介紹了對于路由器交換機之中我們常用到的一些配置問題，并給出了詳細(xì)的操作說明，希望看過此文之后對你有所幫助。

反向訪問列表在交換技術(shù)中的應(yīng)用方式

公司需求各個VLAN之間不能互相訪問，但一些基本的應(yīng)用不能受影響。假設(shè)有5個部門，就有5個VLAN，分別是管理（63）、辦公（48）、業(yè)務(wù)（49）、財務(wù)（50）、其他（51）。

方法一： 只在管理VLAN的接口上配置，其它VLAN接口不用配置。

在入方向放置reflect
ip access-list extended infilter
permit ip any any reflect cciepass
在出方向放置evaluate
ip access-list extended outfilter
evaluate cciepass
deny ip 10.54.48.0 0.0.0.255 any
deny ip 10.54.49.0.0.0.0.255 any
deny ip 10.54.50.0 0.0.0.255 any
deny ip 10.54.51.0 0.0.0.255 any
permit ip any any

應(yīng)用到管理接口
int vlan 63
ip access-group infilter in
ip access-group outfilter out

方法二：在管理VLAN接口上不放置任何訪問列表，而是在其它VLAN接口都放。

以辦公VLAN為例：

在出方向放置reflect
ip access-list extended outfilter
permit ip any any reflect cciepass

在入方向放置evaluate

ip access-list extended infilter
deny ip 10.54.48.0 0.0.0.255 10.54.49.0 0.0.0.255
deny ip 10.54.48.0 0.0.0.255 10.54.50.0 0.0.0.255
deny ip 10.54.48.0 0.0.0.255 10.54.51.0 0.0.0.255
deny ip 10.54.48.0 0.0.0.255 10.54.63.0 0.0.0.255
evaluate cciepass
permit ip any any

應(yīng)用到辦公VLAN接口：

int vlan 48
ip access-group infilter in
ip access-group outfilter out

IP欺騙得簡單防護。如過濾非公有地址訪問內(nèi)部網(wǎng)絡(luò)。過濾自己內(nèi)部網(wǎng)絡(luò)地址；回環(huán)地址(127.0.0.0/8)；RFC1918私有地址；DHCP自定義地址(169.254.0.0/16)；科學(xué)文檔作者測試用地址(192.0.2.0/24)；不用的組播地址(224.0.0.0/4)；SUN公司的古老的測試地址(20.20.20.0/24;204.152.64.0/23)；全網(wǎng)絡(luò)地址(0.0.0.0/8)。

Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 any log
Router(Config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any log
Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any log
Router(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any log
Router(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any log
Router(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any log
Router(Config)# access-list 100 deny ip 192.0.2.0 0.0.0.255 any log
Router(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any
Router(Config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 any log
Router(Config)# access-list 100 deny ip 204.152.64.0 0.0.2.255 any log
Router(Config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any log

建議采用訪問列表控制流出內(nèi)部網(wǎng)絡(luò)的地址必須是屬于內(nèi)部網(wǎng)絡(luò)的。如：

Router(Config)# no access-list 101
Router(Config)# access-list 101 permit ip 192.168.0.0 0.0.0.255 any
Router(Config)# access-list 101 deny ip any any log
Router(Config)# interface eth 0/1
Router(Config-if)# description “internet Ethernet”
Router(Config-if)# ip address 192.168.0.254 255.255.255.0
Router(Config-if)# ip access-group 101 in

關(guān)閉路由器不需要的服務(wù)
在邊界路由器上關(guān)閉不安全和不需要的服務(wù)，這里假設(shè)路由器有Ethernet0和Ethernet1端口
Router(config)#  no cdp run//關(guān)閉CDP協(xié)議，CDP使用多播地址，能夠發(fā)現(xiàn)對端路由器的Hostname，硬件設(shè)備類型，IOS版本，三層接口地址，
發(fā)送CDP多播的地址

Router(config)#  no service tcp-small-servers
Router(config)#  no service udp-small-servers//關(guān)閉TCP和UDP的一些無用的小服務(wù)，這些小服務(wù)的端口小于19，通常用在以前的UNIX環(huán)境中，如chargen，daytime等
Router(config)#  no service finger//finger通常用在UNIX中，用來確定誰登陸到設(shè)備上：telnet 192.168.1.254 finger
Router(config)#  no ip finger//關(guān)閉對于finger查詢的應(yīng)答
Router(config)#  no ip identd//關(guān)閉用戶認(rèn)證服務(wù)，一個設(shè)備發(fā)送一個請求到Ident接口（TCP 113), 目標(biāo)會回答一個身份識別，如host名稱或者設(shè)備名稱
Router(config)#  no ip source-route//關(guān)閉IP源路由，通過源路由，能夠在IP包頭中指定數(shù)據(jù)包實際要經(jīng)過的路徑
Router(config)#  no ftp-server enable//關(guān)閉FTP服務(wù)
Router(config)#  no ip http server//關(guān)閉HTTP路由器登陸服務(wù)
Router(config)#  no ip http secure-server//關(guān)閉HTTPS路由器登陸服務(wù)
Router(config)#  no snmp-server community public RO
Router(config)#  no snmp-server community private RW
Router(config)#  no snmp-server enable traps
Router(config)#  no snmp-server system-shutdown
Router(config)#  no snmp-server trap-auth
Router(config)#  no snmp-server//關(guān)閉SNMP服務(wù)
Router(config)#  no ip domain-lookup//關(guān)閉DNS域名查找
Router(config)#  no ip bootp server//bootp服務(wù)通常用在無盤站中，為主機申請IP地址
Router(config)#  no service dhcp//關(guān)閉DHCP服務(wù)
Router(config)#  no service pad//pad服務(wù)一般用在X.25網(wǎng)絡(luò)中為遠(yuǎn)端站點提供可靠連接
Router(config)#  no boot network//關(guān)閉路由器通過TFTP加載IOS啟動
Router(config)#  no service config//關(guān)閉路由器加載IOS成功后通過TFTP加載配置文件
Router(config)#  interface ethernet 0
Router(config -if)# no ip proxy-arp//關(guān)閉代理ARP服務(wù)
Router(config -if)# no ip directed-broadcast//關(guān)閉直連廣播，因為直連廣播是能夠被路由的
Router(config -if)# no ip unreachable
Router(config -if)# no ip redirect
Router(config -if)# no ip mask-reply//關(guān)閉三種不可靠的ICMP消息
Router(config -if)# exit

注意：使用show ip interface查看接口啟用的服務(wù)
Router(config)#  interface ethernet 0
Router(config -if)# shutdown//手動關(guān)閉沒有使用的接口
Router(config -if)# exit
Router(config)#  service tcp-keepalives -in
Router(config)#  service tcp-keepalives -out
//對活動的tcp連接進行監(jiān)視，及時關(guān)閉已經(jīng)空閑超時的tcp連接，通常和telnet，ssh一起使用
Router(config)#  username admin1 privilege 15 secret geekboy
Router(config)#  hostname jwy
Bullmastiff(config)#  ip domain-name godupgod.com
Bullmastiff(config)#  crypto key generate rsa
Bullmastiff(config)#  line vty 0 4
Bullmastiff(config -line)# login local
Bullmastiff(config -line)# transport input ssh
Bullmastiff(config -line)# transport output ssh
//只允許其他設(shè)備通過SSH登陸到路由器

風(fēng)暴控制

當(dāng)端口接收到大量的廣播、單播、多播時，就會發(fā)生廣播風(fēng)暴。轉(zhuǎn)發(fā)這些包將導(dǎo)致網(wǎng)絡(luò)速度變慢或超時。借助對端口的廣播風(fēng)暴控制，可以有效地避免硬件順壞或鏈路故障而導(dǎo)致網(wǎng)絡(luò)癱瘓。默認(rèn)狀態(tài)下，廣播、多播和單播風(fēng)暴控制被禁用。 配置實例：在快速以太網(wǎng)端口開啟風(fēng)暴控制，當(dāng)網(wǎng)絡(luò)廣播包、多播包和單播包分別占到帶寬10%、30%、50%時，即自動 關(guān)閉該端口。當(dāng)寬帶占用降低至9%、25%、45%時，再自動啟用該端口，配置如下：

interface fastEthernet0/1
swithcport access vlan 2
no ip addres
storm-control broadcast level 10.00 9.00
strom-control multicast level 30.00 25.00
strom-control unicast level 50.00 45.00
strom-control action shutdown

其他要求風(fēng)暴控制端口配置基本相同。
show storm-control unicast f0/1
storm-control broadcast level 50 30

當(dāng) 廣播到50%的時候，開始丟棄，并持續(xù)丟棄到 30%。30%以下開始正常轉(zhuǎn)發(fā)。
如果不配置 30%， 那么 低于50% 就開始轉(zhuǎn)發(fā)，高于50%就丟棄。
30% -50% 之間，你可以認(rèn)為是 到達(dá)50%開始丟棄開始，到 低于30% 開始轉(zhuǎn)發(fā) 之間的一個 繼續(xù)丟棄的 “緩沖”區(qū)。