思科路由器ACL封堵端口问题 求教
使用扩展ACL就可以:
Router(config)#ip access-list extend TEXT
//定义名字为TEXT的ACL
Router(config-acl)#permit tcp (udp) 源IP 反掩码 [eq 端口号] 目的IP 反掩码 eq 端口号
//定义ACL的条目,允许特定访问端口号
Router(config)#int f0/0(接口号)
Router(config-if)#ip access-group TEXT in(out)
//接口调用名字为TEXT的ACL
1、例子,在接口F0/0上允许任何IP访问TCP端口80(HTTP端口),其余均过滤
ip access-list extend per_HTTP
permit tcp any any eq http
deny ip any any
exit
int f0/0
ip access-group per_HTTP in
2、例,在接口F0/0阻止1.1.1.1访问到2.2.2.2的tcp和udp139端口其余流量均放行:
access-list 199 deny tcp host 1.1.1.1 host 2.2.2.2 eq 139 //ACL另一种做法
access-list 199 deny udp host 1.1.1.1 host 2.2.2.2 eq 139
access-list 199 permit any any //ACL默认隐式deny any any
int f0/0
ip access-group 199 in
网吧路由器在上网高峰经常掉线是什么原因
你网吧多少台机器。路由器肯定是不行了 换路由器吧路由器上做负载均衡。弹性带宽。限制NAT会话数。
你要是有这样的路由器会掉线么
NBR3000全千兆防攻击核心宽带路由器
带机数量 2000 台
从底层硬件架构保证:采用1.3GHz /64位RISC高性能专用 *** 处理器, 512M DDRII内存,支持60万条超大容量的NAT会话数,内嵌锐捷 *** 自主研发的RGNOS *** 操作平台,提供电信级 *** 产品的高性能和高稳定性。
重视设备线速转发能力:包转发率高达1.5Mpps,可满足多条百兆/千兆光纤的线速转发。能够在遭受千兆DDoS攻击情况下仍然稳定运行。
关注硬件设计和支持:支持硬件端口镜像功能,监控口在提供监控功能的同时不影响 *** 性能,并兼容常见信息监控过滤系统。内置电信级宽频开关电源,具有防雷、防过压、防浪涌设计,适应电压不稳定场合。
双启动映像文件:升级过程断电依然可以自动恢复,让您升级无忧。
技术参数
参数描述
产品型号
RG-NBR3000
固化WAN端口
2个10/100M/1000M光/电复用端口(Combo)
1个10/100M /1000M自适应RJ45端口(Auto MDI/MDIX)
固化LAN端口
5个10/100M/1000M自适应RJ45端口,(Auto MDI/MDIX)
CPU处理器
1.3GHz主频,64位RISC专业 *** 处理器
存储模块
DDRII:512M
FLASH:512M
BOOTROM:2M
指示灯
每端口:Link/Active(连接/工作)、Speed(速度)
每设备:Power、攻击告警、系统状态(饱和/繁忙/正常/空闲)
*** 协议
l 支持TCP/IP 协议簇,实现了IP、ICMP、IGMP、TCP和UDP等协议
l 支持多种路由协议:静态路由、RIP(V1/V2)
l 支持DHCP Relay 、DHCP Server
l 支持PPPoE
l 支持NAT,支持多种NAT ALG,包括FTP、H.323、DNS等
l 支持DDNS
l 支持Ping、Tracert故障检测
l 支持QoS(PQ、CQ、FIFO、WFQ、CBWFQ等)
l 安全应用:PAP、CHAP、Firewall、ACL、端口镜像
管理协议
中文WEB配置管理和监控
支持SNMPv1/v2
CLI(Telnet/Console)
TFTP升级和配置文件管理
支持异步文件传输协议X-MODEM 升级方式
*** 安全
l 彻底ARP 防攻击
l 防机器狗病毒
l 防内网攻击/外网攻击
l 支持安全地址绑定
l 防止WAN 口Ping
l 防端口扫描攻击
l 防止分片报文攻击
l 防止ICMP flood攻击
l 防止TearDrop攻击
l 防止Ping of Death
l 防止Land 攻击
l 防止Smurf/Fraggled攻击
l 防止Syn Flood
特色功能
支持弹性带宽(带宽动态分配,可设置上传、下载更大速率)
支持基于IP和MAC地址的限速
支持游戏带宽保证(跑跑卡丁车、魔兽、征途等16种游戏)
支持域名过滤、流量均衡、流量监控
支持对网内设备的联动管理
外型尺寸(高
×长×宽)
44.4mm×437mm×268mm
输入电压
AC: 100~240V 48/60Hz
整机功率
小于30W
网管型交换机、路由器一般都设置什么功能???
CISCO和H3C 的命令事完全不一样的。没什么相同的地方。
交换机
高性能IPv4/IPv6双栈协议多层交换
高背板带宽为所有的端口提供非阻塞性能;
硬件支持IPv4/IPv6双协议栈多层线速交换,硬件区分和处理IPv4、IPv6协议报文,支持多种Tunnel隧道技术(如手工配置隧道、6to4隧道和 ISATAP隧道等等,可根据IPv6 *** 的需求规划和 *** 现状,提供灵活的IPv6 *** 间通信方案;
双协议栈的支持和处理,使得无需改变 *** 架构,即可将现有 *** 无缝地升级为下一代IPv6方案;
丰富完善的路由性能和超大容量路由表资源可满足大型 *** 动态路由需要;
基于LPM硬件路由转发方式使得RG-S3760系列不仅适用于大型 *** 环境,而且可防御各种 *** 病毒的侵袭,保障所有报文线速转发,有效保证了设备的安全性。
灵活完备的安全控制策略
具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击,如预防Dos攻击、防黑客IP扫描机制、端口ARP报文的合法性检查、多种硬件ACL策略等,还 *** 一片绿色;
业界领先的硬件CPU保护机制:特有的CPU保护策略(CPP技术),对发往CPU的数据流,进行流区分和优先级队列分级处理,并根据需要实施带宽限速,充分保护CPU不被非法流量占用、恶意攻击和资源消耗,保障了CPU安全,充分保护了交换机的安全;
硬件实现端口或交换机整机与用户IP地址和MAC地址的灵活绑定,严格限定端口上的用户接入或交换机整机上的用户接入问题;
专用的硬件防范ARP网关和ARP主机欺骗功能,有效遏制了 *** 中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象,保障了用户的正常上网;
SSH(Secure Shell)和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息,保证管理设备信息的安全性,防止黑客攻击和控制设备;
控制非法用户使用 *** ,保证合法用户合理化使用 *** ,如多元素绑定、端口安全、时间ACL、基于数据流的带宽限速等,满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。
强大的多应用支持能力
支持各种单播和组播动态路由协议,可适应不同的 *** 规模和需要进行大量多播服务的环境,实现 *** 的可扩展和多业务应用;
支持IGMPv1/v2/v3全部版本,适应不同组播环境,满足组播安全应用的需要;
支持丰富的路由协议如等价路由、权重路由等丰富的三层特性和业务特性,满足不同 *** 链路规划下的通信需要。
完善的QoS策略
以DiffServ标准为核心的QoS保障系统,支持802.1P、IP TOS、二到七层流过滤、SP、WRR等完整的QoS策略,实现基于全网系统多业务的QoS逻辑;
具备MAC流、IP流、应用流等多层流分类和流控制能力,实现精细的流带宽控制、转发优先级等多种流策略,支持 *** 根据不同的应用、以及不同应用所需要的服务质量特性,提供服务。
高可靠性
支持生成树协议802.1d、802.1w、802.1s,完全保证快速收敛,提高容错能力,保证 *** 的稳定运行和链路的负载均衡,合理使用 *** 通道,提供冗余链路利用率;
支持VRRP虚拟路由器冗余协议,有效保障 *** 稳定;
支持RLDP,可快速检测链路的通断和光纤链路的单向性,并支持端口下的环路检测功能,防止端口下因私接Hub等设备形成的环路而导致 *** 故障的现象。
方便易用易管理
RG-S3760-24灵活复用的千兆接口形式,可灵活满足需要多个千兆链路上链、或多个千兆服务器的连接,方便用户灵活选择和 *** 扩展;
RG-S3760-12SFP/GT的SFP和电口任意选用的架构设计,可选配多种规格千兆接口模块,支持千兆铜缆、单/多模光纤接口模块的混合配置,支持模块热插拔,极大方便用户灵活配置和扩展 *** ;
*** 时间协议保证交换机时间的准确性,并与 *** 中时间服务器时间统一化,方便日志信息和流量信息的分析、故障诊断等管理;
Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份,便于管理员 *** 维护和管理;
CLI界面,方便高级用户配置和使用;
Java-based Web管理方式,实现对交换机的可视化图形界面管理,快速和高效地配置设备。
路由器
高数据处理能力
采用先进的PowerPC 通讯专用处理器,2G带宽的PCI总线技术,包转发延迟小,高效的数据处理能力支持高密度端口,保证在高速环境下的 *** 应用。
高汇聚能力
R3740可以同时插4个NM-1CPOS-STM1模块,每个模块提供63路的2M接入,最多可以达到252路2M的接入。
主控板固化2个10/100/1000M快速以太网口,光口电口可选
主控板卡上固化两个10/100/1000M快速以太网口,可以根据实际情况,选择光口或者电口模块,在不购买任何模块的情况下,便可以实现宽带互联。
主控板可以拔插、更换,今后可以通过升级主控板升级路由器。
高可靠性
关键部件热插拔:所有电源、风扇都支持热插拔功能,充分满足 *** 维护、升级、优化的需求;
支持链路备份、路由备份等多种方式的备份技术,提高整个 *** 的可靠性;
支持VRRP热备份协议,实现线路和设备的冗余备份。
RPS冗余电源支持。
模块化结构设计
RG-R3740具有4个 *** /语音模块插槽,支持种类丰富、功能齐全、高密度的 *** /语音模块,可实现更多的组合应用。
良好的语音支持功能
支持G.711、G.723、G.729等多种语音编码格式,支持H.323协议栈,可以和多家VOIP厂商的设备互通;
支持实时传真功能;
支持语音网守功能。
良好的VPN功能
支持IPSec的VPN功能;
支持GRE的VPN功能;
支持L2TP/PPTP的VPDN应用;
在NAT应用下,支持L2TP/PPTP的穿透功能。
完善的QoS策略
支持PQ、CQ、FIFO、WFQ、CBWFQ、LLQ、RTPQ等拥塞管理排队策略;
支持WRED、RED的拥塞避免策略;
支持GTS流量整形策略;
支持CAR流量监管策略;
支持CTCP、CRTP等提高链路效率的QOS策略;
支持设置语音数据包优先级,可以为中小型企业提供满足要求的、高性价比的多功能服务平台。
高安全性
完善的防火墙技术,支持基于源目的IP、协议、端口以及时间段的访问列表控制策略;
支持IP与MAC地址的绑定,有效防止IP地址的欺骗;
支持认证、授权、记录用户信息的AAA认证技术,支持Radius认证协议;
支持动态路由协议中的路由信息认证技术,保证动态路由 *** 中路由信息的安全和可靠;
支持PPP协议中的PAP、CHAP认证及回拨技术;
方便易用易管理
采用标准CLI界面,操作更简单;
支持SNMP协议,配置文件的TFTP上传下载,方便 *** 管理;
支持Telnet/Console,方便的实现远程管理和控制;
多样的在线升级,为将来的功能扩展预留空间;
产品型号
RG-R3740
固定端口(主控板)
1个Console端口
1个AUX端口
2个10/100/1000M自适应快速以太网口
2个SFP光模块插槽(支持千兆以太网,与电口只能2选1)
主控板插槽
1个主控板卡插槽
模块插槽
4个 *** /语音模块插槽
内部AIM插槽
1个
存储模块
Nor-Flash:2M
Nand-Flash:缺省32M,可以扩展到96M
DDR-RAM:缺省512M,更大1G
CPU
PowerPC通讯专用处理器
报文转发能力
600Kpps-1.2Mpps
可用模块
NM-2FE-TX :2端口10Base-T/100Base-TX快速以太网接口模块
NM-2HAS:2端口高速同异步串口模块
NM-4HAS:4端口高速同异步串口模块
NM-8A:8端口异步串口模块
NM-16A:16端口异步串口模块
NM-2cE1:2端口可拆分通道化cE1模块
NM-4cE1:4端口可拆分通道化cE1模块
NM-1B-S/T:1端口ISDN模块(S/T接口)
NM-1B-U:1端口ISDN模块(U接口)
NM-4B-U:4端口ISDN模块(U接口)
NM- 4FXS:4端口语音模块(FXS接口)
NM- 8FXS:8端口语音模块(FXS接口)
NM- 4FXO:4端口语音模块(FXO接口)
NM-1E1V1:E1语音模块
AIM-VPN:硬件加密模块
NM-1CPOS-STM1:通道化POS模块
尺寸(宽 x高x深)
442mm×118mm×410mm,可以上19”标准机柜
电源
85VAC~265VAC,47Hz~63Hz,支持RPS冗余电源
整机功率
小于150W
温度
工作温度: 0℃ 到 40℃
存储温度:-40ºC 到 55ºC
湿度
工作湿度: 10% 到 90% RH
存储湿度: 5% 到 90% RH
建立运营基础:搭建一个高速、稳定的 *** 出口
从底层硬件架构保证:采用1.3GHz /64位RISC高性能专用 *** 处理器, 512M DDRII内存,支持60万条超大容量的NAT会话数,内嵌锐捷 *** 自主研发的RGNOS *** 操作平台,提供电信级 *** 产品的高性能和高稳定性。
重视设备线速转发能力:包转发率高达1.5Mpps,可满足多条百兆/千兆光纤的线速转发。能够在遭受千兆DDoS攻击情况下仍然稳定运行。
关注硬件设计和支持:支持硬件端口镜像功能,监控口在提供监控功能的同时不影响 *** 性能,并兼容常见信息监控过滤系统。内置电信级宽频开关电源,具有防雷、防过压、防浪涌设计,适应电压不稳定场合。
双启动映像文件:升级过程断电依然可以自动恢复,让您升级无忧。
做好运营保障:做好内、外网的安全保护
全方位的ARP防御体系:通过扫描LAN口和“一键静态绑定”可迅速完成内网的IP/MAC静态绑定。支持关闭LAN口的MAC地址学习功能,拒绝非法用户上网。支持“可信任ARP”专利技术,实现动态ARP绑定和静态ARP绑定的完美结合。可智能验证ARP信息的真实性,即不需要进行静态绑定也不会被欺骗,同时还可以分等级显示存在ARP欺骗行为的主机信息,定位欺骗源。
抗DDoS攻击应对不正当竞争:具备1000M DDoS攻击防御能力。在100M DDoS攻击下,CPU利用率不高于15%,依然可以实现小包的线速转发。在1000M DDoS攻击下,CPU稳定在90%,设备正常转发。
防内外网攻击和防IP/端口扫描:可防御目前几乎所有类型的攻击,如:SYN flood,UDP flood,ICMP flood,Smurf/Fraggle攻击,分片报文攻击等。同时可记录攻击主机的地址信息,定位攻击源;也可将内网攻击主机列入黑名单,禁止其上网功能,硬件过滤攻击报文,不占用CPU资源。
硬件防病毒:通过添加规则过滤病毒报文,支持自动检测冲击波和震荡波病毒。可识别并阻断机器狗病毒的中毒过程,同时显示试图访问带毒网站的主机信息和带毒网站的IP地址。NBR系列路由器是业内唯一彻底阻断机器狗病毒的路由器。
访问控制/过滤:支持标准和扩展ACL(访问控制列表),可根据指定的IP地址范围、端口范围进行数据包的检测和过滤,支持专家ACL和时间ACL。支持域名过滤,阻断对非法、恶意网站的访问,健康上网。
业务提升关键:定制的智能特性提升用户上网体验
灵活的内外网应用:3个千兆WAN口实现多ISP线路接入,光电复用口满足运营商多种形态线路接入。VRRP热备份协议和基于Ping/DNS的线路检测,实现多台设备、多条宽带线路的负载均衡和线路备份。电信、网通自动选路功能,实现“电信数据自动走电信线路,网通数据自动走网通线路”。支持南方、北方选路策略,实用效果更好。
弹性带宽、智能限速:可针对全网、单个IP或IP段进行上传下载速率的分别弹性限制。弹性带宽功能会根据 *** 带宽的实时使用情况,按照设定的方式自动为每台在线PC智能分配更佳带宽。在 *** 繁忙的时候自动抑制占用大带宽的下载流量,保证 *** 不卡、不慢;在 *** 空闲的时候允许用户进行高速下载,充分利用 *** 资源,增强上网体验。
*** 游戏硬件加速:通过对游戏端口和报文大小的双重识别,可为游戏报文划分高优先级的绿色通道,时刻保证快速游戏体验。
其他特性:支持GRE的VPN功能。支持L2TP/PPTP的VPDN应用。NAT应用下,支持L2TP/PPTP的穿透功能。
*** 管理利器:智能联动控制、全web管理和监控见面
支持“智能联动”专利技术:在NBR的WEB界面上就可对全网交换机(锐捷系列安全交换机)进行统一管理配置。核心/接入交换机自动完成端口安全策略配置和全网PC的IP/MAC/端口三元素绑定,硬件过滤ARP欺骗、DDoS攻击等非法报文,完美解决内网完全问题。
高可用性的全WEB界面:独有的管理页面与监控页面分开设计,实现权限分离;在一个监控页面下集中显示了接口流量、IP流量、ARP绑定、NAT会话数、系统日志等信息,并可按上传速率、下载速率和IP地址对IP流量进行排序,轻松了解 *** 运行状况;提供系统事件告警页面和中文日志,快速定位 *** 故障。
针对高级用户,还提供命令行配置模式,实现更深入更细致的功能应用,体验RGNOS操作平台强大的路由特性。
技术参数
参数描述
产品型号
RG-NBR3000
固化WAN端口
2个10/100M/1000M光/电复用端口(Combo)
1个10/100M /1000M自适应RJ45端口(Auto MDI/MDIX)
固化LAN端口
5个10/100M/1000M自适应RJ45端口,(Auto MDI/MDIX)
CPU处理器
1.3GHz主频,64位RISC专业 *** 处理器
存储模块
DDRII:512M
FLASH:512M
BOOTROM:2M
指示灯
每端口:Link/Active(连接/工作)、Speed(速度)
每设备:Power、攻击告警、系统状态(饱和/繁忙/正常/空闲)
*** 协议
l 支持TCP/IP 协议簇,实现了IP、ICMP、IGMP、TCP和UDP等协议
l 支持多种路由协议:静态路由、RIP(V1/V2)
l 支持DHCP Relay 、DHCP Server
l 支持PPPoE
l 支持NAT,支持多种NAT ALG,包括FTP、H.323、DNS等
l 支持DDNS
l 支持Ping、Tracert故障检测
l 支持QoS(PQ、CQ、FIFO、WFQ、CBWFQ等)
l 安全应用:PAP、CHAP、Firewall、ACL、端口镜像
管理协议
中文WEB配置管理和监控
支持SNMPv1/v2
CLI(Telnet/Console)
TFTP升级和配置文件管理
支持异步文件传输协议X-MODEM 升级方式
*** 安全
l 彻底ARP 防攻击
l 防机器狗病毒
l 防内网攻击/外网攻击
l 支持安全地址绑定
l 防止WAN 口Ping
l 防端口扫描攻击
l 防止分片报文攻击
l 防止ICMP flood攻击
l 防止TearDrop攻击
l 防止Ping of Death
l 防止Land 攻击
l 防止Smurf/Fraggled攻击
l 防止Syn Flood
特色功能
支持弹性带宽(带宽动态分配,可设置上传、下载更大速率)
支持基于IP和MAC地址的限速
支持游戏带宽保证(跑跑卡丁车、魔兽、征途等16种游戏)
支持域名过滤、流量均衡、流量监控
支持对网内设备的联动管理
外型尺寸(高
×长×宽)
44.4mm×437mm×268mm
输入电压
AC: 100~240V 48/60Hz
整机功率
小于30W
参考
如何分清Cisco 路由器ACL中的五个“防止”
1.防止Cisco 分组泄露,Cisco分组泄露脆弱点最初是JoeJ在Bugtraq上公开的,他与Cisco设备在1999端口(ident端口)上对TCP SYN请求的响应有关。下面就是针对这个脆弱点的 *** :access-list 101 deny tcp anyanyeq 1999 log ! Block Ciscoident scan。
2.防止Cisco旗标攫取与查点,Cisco finger 及2001,4001,6001号虚拟终端端口都对攻击者提供不少信息,比如访问URL为那么所的结果可能大体是:User Access VerificationPassword: Password: % Bad passwords,另外Cisco Xremote 服务(9001端口),当攻击者用netcat连接该端口时,路由器也会发送回一个普通旗标。针对这些查点,采取的措施就是使用安全的Cisco 路由器ACL规则限制访问这些服务,比如:
access-list 101 deny tcp anyany 79
access-list 101 deny tcp anyany 9001
3.防止TFTP下载,几乎所有路由器都支持TFTP,攻击者发掘TFTP漏洞用以下载配置文件通常轻而易举,在配置文件里含有很多敏感信息,比如SNMP管理群名字及任意Cisco 路由器ACL。执行下面措施可去除TFTP脆弱点:access-list 101 deny udp anyany eq 69 log ! Block tftp access
4.防止RIP欺骗,支持RIP v1或RIP v2的路由器很容易被RIP攻击。针对这类攻击在边界路由器上禁止所有RIP分组(端口号为520的TCP/UDP分组),要求使用静态路由,禁止RIP。
5.保护防火墙,比如CheckPoint的Firewall-1在256,257,258TCP端口上监听,Microsoft的Proxy Server在1080和1745 TCP端口上监听,使用扫描程序发现这些防火墙就很容易了。为了防止来自因特网上的防火墙扫描,就需要在防火墙之前的路由器上使用Cisco 路由器ACL规则阻塞这些扫描:
access-list 101 deny tcp anyanyeq 256 log ! Block Firewall-1scan
access-list 101 deny tcp anyanyeq 257 log ! Block Firewall-1scan
access-list 101 deny tcp anyanyeq 258 log ! Block Firewall-1scan
access-list 101 deny tcp anyanyeq 1080 log ! Block Socks scan
access-list 101 deny tcp anyanyeq 1745 log ! Block Winsockscan
ICMP和UDP隧道攻击能够绕过防火墙,针对这种攻击可以对ICMP分组采用限制访问控制,比如下面Cisco 路由器ACL规则将因管理上的目的而禁止穿行不是来往于10.16.10.0子网的所有ICMP分组:
access-list 101 permit icmpany 10.16.10.0 0.255.255.255 8 ! echo
access-list 101 permit icmpany 10.16.10.0 0.255.255.255 0 ! echo-reply
access-list 102 deny ip anyany log ! deny and log all else
如何通过ACL屏蔽80端口
我是学思科的 照思科的命令应该是
Switch(config)#access-list 110 deny tcp 172.16.132.60 0.0.0.0 any eq 80 (封堵80端口)
Switch(config)#access-list 110 permit ip any any (开通除80以外的所有流量)
进入连接此机子的交换机接口Switch(config-if)#ip access-group 110 in(在接口中启用此ACL)
我看了下你的命令,你的反掩码有问题。也就是0.0.0.1 如果是特定IP的话,那么就要全部匹配,不应该是.1
我的局域网中的计算机被电信公司进行端口扫描,出现浏览器页面被屏蔽现象,怎么办?
如果你是用一个PC做 *** , *** 另一个PC上网的,就把那个 *** 的进程隐藏掉。网上很多隐藏进程的软件,下一个就行。然后隐藏那个进程。一般那个进程较syaserv。就是一个 *** 进程。要是用路由器,不想被别人扫描,那你设置ACL限制就好了。限制掉一些特殊的端口1080,应该是共享端口。
0条大神的评论