本文为大家介绍思科路由器基本配置(思科路由器配置教程图解),下面和小编一起看看详细内容吧。
cisco路由器典型配置总结(二)
使用car(控制访问速率)限制icmp 数据包流量速率的cisco 路由器配置
参考以下示例:www.ttep.cn
接口xy
速率限制输出访问组2020 3000000 512000 786000 一致行动
传输超动作下降
访问列表2020 允许icmp 任何任何回显回复
有关详细信息,请参阅ios 基本功能。
cisco路由器配置设置syn包流量速率
界面
速率限制输出访问组153 45000000 100000 100000 一致行动
传输超动作下降
速率限制输出访问组152 1000000 100000 100000 一致行动
传输超动作下降
访问列表152 允许tcp 任何主机eq www
访问列表153 允许tcp 任何主机eq www 已建立
需要在实施申请中进行必要的修改,替换:
45000000 是最大连接带宽
1000000 是syn 泛洪流量速率的30% 到50% 之间的值。
burst normal(正常突变)和burst max(最大突变)这两个速率是正确的值。
注意如果变异率设置在30%以上,可能会丢失很多合法的syn包。使用“show interfaces rate-limit”命令查看网络接口的正常和超速速率,这有助于确定合适的突变率。 syn rate limit 值设置标准是尽可能小的保证正常通信。
警告:一般建议在网络正常工作时测量syn包流量速率,并以此基准值为基础进行调整。进行测量时需要保证网络的正常运行,避免出现较大误差。
此外,建议考虑在可能成为syn攻击的主机上安装ip过滤工具包,如ip filter。
收集cisco 路由器配置的证据并联系网络安全部门或机构
如果可能,捕获攻击包进行分析。推荐使用sun工作站或linux等高速电脑抓取数据包。常用的抓包工具有tcpdump和snoop。基本语法是:
tcpdump -i 接口-s 1500 -w capture_file
snoop -d interface -o capture_file -s 1500
本例中假设mtu大小为1500,如果mtu大于1500,需要修改相应的参数。将这些捕获的数据包和日志作为证据提供给相关网络安全部门或机构。
好了,思科路由器基本配置(思科路由器配置教程图解)的介绍到这里就结束了,想知道更多相关资料可以收藏我们的网站。