2、比起前者,第二个漏洞问题就大啦,利用该漏洞可以破解掉论坛上所有注册会员的密码(恐怖~~~),由于论坛管理员通常直接把论坛程序载下来梢加以美工就拿来使用了,图方便直接导致了漏洞的出现,我们也载一个回来,只要看一下动网的数据库,就知道了密码的字段为userpassword,接着例如要破一个名叫abc的用户密码,首先察看abc的用户资料,给出的连接是http://xxxxx/dispuser.asp?name=abc ,在dispuser.asp中,读取参数的语句是:username=trim(request(“name”)),数据库的查询的语句是: sql=”select * from [user] where username=’”&username&”‘”,看得出来, abc就是直接被作为了dispuer的一个参数username,另外,如果该用户不存在,程序就会给出提示,既然如此,我们就再写入个查询密码的条件,在where username=abc后面加上and userpassword=”******”,理论上这样就可以实现对密码的破解了,但这么破要破到何年何月,现在就要轮到VBS函数大显身手了,可以先用len函数试出用户的密码位数,地址就这么写http://xxxxx/dispuser.asp?name=abc'%20and%20len(userpassword)=5%20and%20’1′=’1,这么看可能不好理解,放到sql语句里其实就是这副样子:sql=”select * from [User] where username=’abc’ and len(UserPassword)=5 and ’1′=’1′”,现在明白点了吧,%20是空格,abc后面的单引号和’1′=’1里的单引号都是为了和sql语句相匹配。奇怪,该用户不存在,喔?那就说明符合这个条件的用户没有,继续,把5换成6,7,8,依此类推,只要能显示出用户资料了,就说明密码位数猜对了。接下来要做的就是试每位的密码是多少了,继续要用到VBS,可以用left或right或mid函数,http://xxxxx/dispuser.asp?name=abc'%20and%20left(userpassword,1)=’a,如果猜对了就给出用户资料,猜对了就给出该用户不存在的提示,这样子还是嫌太慢,那就在外面再套个asc函数,http://xxxxx/dispuser.asp?name=abc'%20and%20asc(mid(userpassword,1,1))>’50 试出用户密码的ASCII码是否大于50,不断地缩小范围,相信很快就能将范围缩小至个位数,看到这里你是否惊出了一身冷汗,起码我是如此,*几个函数的灵活运用,保守地说,不出半小时就能破解出密码。真是不幸中的大幸,动网开发者在后来的05**版后使用了MD5的加密,这下子总算放心了,但介于国内还有许多地方在使用老版本的动网论坛(包括一个小有名气的flash站点)
要在无线网络中隐藏自己的电脑,方法有很多,例如单击“开始/运行”,然后输入“cmd”开启命令提示符窗口,在该窗口中输入“net config server /hidden:yes”,或者在无线网络连接的属性窗口中,取消“Microsoft网络的文件和打印机共享”,这样其他人通过网上邻居就无法找到自己的电脑了。
三、常用命令 1.帮助 在IOS操作中,无论任何状态和位置,都可以键入“?”得到系统的帮助。系统会显示此时可以使用的命令。 2.改变命令状态 任务命令 进入特权命令状态enable 退出特权命令状态disable 进入设置对话状态Setup 进入全局设置状态config terminal 退出全局设置状态End 进入端口设置状态interface type slot/number 进入子端口设置状态interface type number.subinterface [point-to-point | multipoint] 进入线路设置状态line type slot/number 进入路由设置状态router protocol 退出局部设置状态Exit 3.显示命令 任务命令 查看版本及引导信息show version 查看运行设置show running-config 查看开机设置show startup-config 显示端口信息show interface type slot/number 显示路由信息show ip router 4.拷贝命令 用于IOS及CONFIG的备份和升级 5.网络命令 任务命令 登录远程主机telnet hostname|IP address 网络侦测ping hostname|IP address 路由跟踪Trace hostname|IP address 6.基本设置命令 任务命令 全局设置config terminal 设置访问用户及密码username username password password 设置特权密码enable secret password 设置Cisco思科路由器名hostname name 设置静态路由ip route destination subnet-mask next-hop 启动IP路由ip routing 启动IPX路由Ipx routing 端口设置interface type slot/number 设置IP地址ip address address subnet-mask 设置IPX网络Ipx network network 激活端口no shutdown 物理线路设置line type number 启动登录进程login [local|tacacs server] 设置登录密码password password
四、总体设置 在router#特权命令状态下,可以用setup对Cisco思科路由器进行总体设计,利用这个设计过程可以省略手工设置的烦琐。但它还不能完全代替手工设置,一些特殊的设置还必须通过手工输入的方式完成。 进入设置对话过程后,Cisco思科路由器首先会显示一些提示信息: — System Configuration Dialog — At any point you may enter a question mark ‘?’ for help. Use ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets ‘[]‘. 这是告诉你在设置对话过程中的任何地方都可以键入“?”得到系统的帮助,按ctrl-c可以退出设置过程,缺省设置将显示在‘[]’中。然后Cisco思科路由器会问是否进入设置对话: Would you like to enter the initial configuration dialog? [yes]: 如果按y或回车,Cisco思科路由器就会进入设置对话过程。首先你可以看到各端口当前的状况: First, would you like to see the current interface summary? [yes]: Any interface listed with OK? value “NO” does not have a valid configuration InterfaceIP-AddressOK?MethodStatusProtocol Ethernet0unassignedNOunsetupup Serial0unassignedNOunsetupup …………………………… 然后,Cisco思科路由器就开始全局参数的设置: Configuring global parameters: 1.设置Cisco思科路由器名: Enter host name [Router]: 2.设置进入特权状态的密文(secret),此密文在设置以后不会以明文方式显示: The enable secret is a one-way cryptographic secret used instead of the enable password when it exists. Enter enable secret: cisco 3.设置进入特权状态的密码(password),此密码只在没有密文时起作用,并且在设置以后会以明文方式显示: The enable password is used when there is no enable secret and when using older software and some boot images. Enter enable password: pass 4.设置虚拟终端访问时的密码: Enter virtual terminal password: cisco 5.询问是否要设置Cisco思科路由器支持的各种网络协议: Configure SNMP Network Management? [yes]: Configure DECnet? [no]: Configure AppleTalk? [no]: Configure IPX? [no]: Configure IP? [yes]: Configure IGRP routing? [yes]: Configure RIP routing? [no]: ……… 6.如果配置的是拨号访问服务器,系统还会设置异步口的参数: Configure Async lines? [yes]:] 1)设置线路的最高速度: Async line speed [9600]: 2)是否使用硬件流控: Configure for HW flow control? [yes]: 3)是否设置modem: Configure for modems? [yes/no]: yes 4)是否使用默认的modem命令: Configure for default chat script? [yes]: 5)是否设置异步口的PPP参数: Configure for Dial-in IP SLIP/PPP access? [no]: yes 6)是否使用动态IP地址: Configure for Dynamic IP addresses? [yes]: 7)是否使用缺省IP地址: Configure Default IP addresses? [no]: yes 是否使用TCP头压缩: Configure for TCP Header Compression? [yes]: 9)是否在异步口上使用路由表更新: Configure for routing updates on async links? [no]: y 10)是否设置异步口上的其它协议。接下来,系统会对每个接口进行参数的设置。 1.Configuring interface Ethernet0: 1)是否使用此接口: Is this interface in use? [yes]: 2)是否设置此接口的IP参数: Configure IP on this interface? [yes]: 3)设置接口的IP地址: IP address for this interface: 192.168.162.2 4)设置接口的IP子网掩码: Number of bits in subnet field [0]: Class C network is 192.168.162.0, 0 subnet bits; mask is /24 在设置完所有接口的参数后,系统会把整个设置对话过程的结果显示出来: The following configuration comm
and script was created: hostname Router enable secret 5 $1$W5Oh$p6J7tIgRMBOIKVXVG53Uh1 enable password pass ………… 请注意在enable secret后面显示的是乱码,而enable password后面显示的是设置的内容。就是说,secret密码的优先级比较高,在两个密码都设了的情况下,secret密码起作用。 显示结束后,系统会问是否使用这个设置: Use this configuration? [yes/no]: yes 如果回答yes,系统就会把设置的结果存入Cisco思科路由器的NVRAM中,然后结束设置对话过程,使Cisco思科路由器开始正常的工作。 广域网协议设置 PPP PPP(Point-to-Point Protocol)是SLIP(Serial Line IP protocol)的继承者,它提供了跨过同步和异步电路实现Cisco思科路由器到Cisco思科路由器(router-to-router)和主机到网络(host-to-network)的连接。 CHAP(Challenge Handshake Authentication Protocol)和PAP(Password Authentication Protocol) (PAP)通常被用于在PPP封装的串行线路上提供安全性认证。使用CHAP和PAP认证,每个Cisco思科路由器通过名字来识别,可以防止未经授权的访问。 任务命令 设置PPP封装encapsulation ppp1 设置认证方法ppp authentication {chap | chap pap | pap chap | pap} [if-needed] [list-name | default] [callin] 指定口令username name password secret 设置DCE端线路速度clockrate speed 举例 Cisco思科路由器Router1和Router2的S0口均封装PPP协议,采用CHAP做认证,在Router1中应建立一个用户,以对端Cisco思科路由器主机名作为用户名,即用户名应为router2。同时在Router2中应建立一个用户,以对端Cisco思科路由器主机名作为用户名,即用户名应为router1。所建的这两用户的password必须相同。 设置如下: Router1: hostname router1 username router2 password xxx interface Serial0 ip address 192.200.10.1 255.255.255.0 clockrate 1000000 ppp authentication chap ! Router2: hostname router2 username router1 password xxx interface Serial0 ip address 192.200.10.2 255.255.255.0 ppp authentication chap ! ISDN 1.综合数字业务网(ISDN) 综合数字业务网(ISDN)由数字电话和数据传输服务两部分组成,一般由电话局提供这种服务。ISDN的基本速率接口(BRI)服务提供2个B信道和1个D信道(2B+D)。BRI的B信道速率为64Kbps,用于传输用户数据。D信道的速率为16Kbps,主要传输控制信号。在北美和日本,ISDN的主速率接口(PRI)提供23个B信道和1个D信道,总速率可达1.544Mbps,其中D信道速率为64Kbps。而在欧洲、澳大利亚等国家,ISDN的PRI提供30个B信道和1个64Kbps D信道,总速率可达2.048Mbps。我国电话局所提供ISDN PRI为30B+D。 2.基本命令 任务命令 设置ISDN交换类型isdn switch-type switch-type1 接口设置interface bri 0 设置PPP封装encapsulation ppp 设置协议地址与电话号码的映射dialer map protocol next-hop-address [name hostname] [broadcast] [dial-string] 启动PPP多连接ppp multilink 设置启动另一个B通道的阈值dialer load-threshold load 显示ISDN有关信息show isdn {active | history | memory | services | status [dsl | interface-type number] | timers} 注:1.交换机类型如下表,国内交换机一般为basic-net3。 按区域分关键字 交换机类型 Australia basic-ts013 Australian TS013 switches Europe basic-1tr6 German 1TR6 ISDN switches basic-nwnet3 Norway NET3 switches (phase 1) basic-net3 NET3 ISDN switches (UK, Denmark, and other nations); covers the Euro-ISDN E-DSS1 signalling system primary-net5 NET5 switches (UK and Europe) vn2 French VN2 ISDN switches vn3 French VN3 ISDN switches Japan ntt Japanese NTT ISDN switches primary-ntt Japanese ISDN PRI switches North America basic-5ess AT&T basic rate switches basic-dms100 NT DMS-100 basic rate switches basic-ni1 National ISDN-1 switches primary-4ess AT&T 4ESS switch type for the U.S. (ISDN PRI only) primary-5ess AT&T 5ESS switch type for the U.S. (ISDN PRI only) primary-dms100 NT DMS-100 switch type for the U.S. (ISDN PRI only) New Zealand basic-nznet3 New Zealand Net3 switches 3.ISDN实现DDR(dial-on-demand routing)实例: 设置如下: Router1: hostname router1 user router2 password cisco ! isdn switch-type basic-net3 ! interface bri 0 ip address 192.200.10.1 255.255.255.0 encapsulation ppp dialer map ip 192.200.10.2 name router2 572 dialer load-threshold 80 ppp multilink dialer-group 1 ppp authentication chap ! dialer-list 1 protocol ip permit ! Router2: hostname router2 user router1 password cisco ! isdn switch-type basic-net3 ! interface bri 0 ip address 192.200.10.2 255.255.255.0 encapsulation ppp dialer map ip 192.200.10.1 name router1 571 dialer load-threshold 80 ppp multilink dialer-group 1 ppp authentication chap ! dialer-list 1 protocol ip permit ! CiscoCisco思科路由器同时支持回拨功能,我们将Cisco思科路由器Router1作为Callback Server,Router2作为Callback Client。 与回拨相关命令: 任务命令 映射协议地址和电话号码,并在接口上使用在全局模式下定义的PPP回拨的映射类别。dialer map protocol address name hostname class classname dial-string 设置接口支持PPP回拨ppp callback accept 在全局模式下为PPP回拨设置映射类别map-class dialer classname 通过查找注册在dialer map里的主机名来决定回拨. dialer callback-server [username] 设置接口要求PPP回拨ppp callback request 设置如下: Router1: hostname router1 user router2 password cisco ! isdn switch-type basic-net3 ! interface bri 0 ip address 192.200.10.1 255.255.255.0 encapsulation ppp dialer map ip 192.200.10.2 name router2 class s3 572 dialer load-threshold 80 ppp callback accept ppp multilink dialer-group 1 ppp authentication chap ! map-class dialer s3 dialer callback-server username dialer-list 1 protocol ip permit ! Router2: hostname router2 user router1 password cisco ! isdn switch-type basic-net3 ! interface bri 0 ip address 192.200.10.2 255.255.255.0 encapsulation ppp dialer map ip 192.200.10.1 name router1 571 dialer load-threshold 80 ppp callback request ppp multilink dialer-group 1 ppp authentication chap ! dialer-list 1 protocol ip permit ! 相关调试命令: debug dialer debug isdn event debug isdn q921 debug isdn q931 debug ppp authentication debug ppp error debug ppp negotiation debug ppp packet show dialer show isdn status 举例: 执行debug dialer命令观察router2呼叫router1,router1回拨router2的过程. router1#debug dialer router2#ping 192.200.10.1 router1# 00:03:50: %LINK-3-UPDOWN: Interface BRI0:1, changed state to up 00:03:50: BRI0:1PP callback Callback server starting to router2 572 00:03:50: BRI0:1: disconnecting call 00:03:50: %LINK-3-UPDOWN: Interface BRI0:1, changed state to down 00:03:50: BRI0:1: disconnecting call 00:03:50: BRI0:1: disconnecting call 00:03:51: %LINK-3-UPDOWN: Interface BRI0:2, changed state to up 00:03:52: callback to router2 already started 00:03:52: BRI0:2: disconnecting call 00:03:52: %LINK-3-UPDOWN: Interface BRI0:2, changed state to down 00:03:52: BRI0:2: disconnecting call 00:03:52: BRI0:2: disconnecting call 00:04:05: : Callback timer expired 00:04:05: BRI0:beginning callback to router2 572 00:04:05: BRI0: Attempting to dial 572 00:04:05: Freeing callback to router2 572 00:04:05: %LINK-3-UPDOWN: Interface BRI0:1, changed state to up 00:04:05: BRI0:1: No callback negotiated 00:04
:05: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up 00:04:05: dialer Protocol up for Vi1 00:04:06: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0:1, changed state to up 00:04:06: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access1, chang ed state to up 00:04:11: %ISDN-6-CONNECT: Interface BRI0:1 is now connected to 572 #router1 4.ISDN访问首都在线263网实例: 本地局部网地址为10.0.0.0/24,属于保留地址,通过NAT地址翻译功能,局域网用户可以通过ISDN上263网访问Internet。263的ISDN电话号码为2633,用户为263,口令为263,所涉及的命令如下表: 任务命令 指定接口通过PPP/IPCP地址协商获得IP地址ip address negotiated 指定内部和外部端口ip nat {inside | outside} 使用ppp/pap作认证ppp authentication pap callin 指定接口属于拨号组1dialer-group 1 定义拨号组1允许所有IP协议dialer-list 1 protocol ip permit 设定拨号,号码为2633dialer string 2633 设定登录263的用户名和口令ppp pap sent-username 263 password 263 设定默认路由ip route 0.0.0.0 0.0.0.0 bri 0 设定符合访问列表2的所有源地址被翻译为bri 0所拥有的地址ip nat inside source list 2 interface bri 0 overload 设定访问列表2,允许所有协议access-list 2 permit any 具体配置如下: hostname Cisco2503 ! isdn switch-type basic-net3 ! ip subnet-zero no ip domain-lookup ip routing ! interface Ethernet 0 ip address 10.0.0.1 255.255.255.0 ip nat inside no shutdown ! interface Serial 0 shutdown no description no ip address ! interface Serial 1 shutdown no description no ip address ! interface bri 0 ip address negotiated ip nat outside encapsulation ppp ppp authentication pap callin ppp multilink dialer-group 1 dialer hold-queue 10 dialer string 2633 dialer idle-timeout 120 ppp pap sent-username 263 password 263 no cdp enable no ip split-horizon no shutdown ! ip classless ! ! Static Routes ! ip route 0.0.0.0 0.0.0.0 bri 0 ! ! Access Control List 2 ! access-list 2 permit any ! dialer-list 1 protocol ip permit ! ! Dynamic NAT ! ip nat inside source list 2 interface bri 0 overload snmp-server community public ro ! line console 0 exec-timeout 0 0 ! line vty 0 4 ! end
路由协议配置 RIP协议 RIP(Routing information Protocol)是应用较早、使用较普遍的内部网关协议(Interior Gateway Protocol,简称IGP),适用于小型同类网络,是典型的距离向量(distance-vector)协议。文档见RFC1058、RFC1723。 RIP通过广播UDP报文来交换路由信息,每30秒发送一次路由信息更新。RIP提供跳跃计数(hop count)作为尺度来衡量路由距离,跳跃计数是一个包到达目标所必须经过的Cisco思科路由器的数目。如果到相同目标有二个不等速或不同带宽的Cisco思科路由器,但跳跃计数相同,则RIP认为两个路由是等距离的。RIP最多支持的跳数为15,即在源和目的网间所要经过的最多Cisco思科路由器的数目为15,跳数16表示不可达。 1.有关命令 任务命令 指定使用RIP协议router rip 指定RIP版本version {1|2}1 指定与该Cisco思科路由器相连的网络network network 注:1.Cisco的RIP版本2支持验证、密钥管理、路由汇总、无类域间路由(CIDR)和变长子网掩码(VLSMs) 2.举例 Router1: router rip version 2 network 192.200.10.0 network 192.20.10.0 ! 相关调试命令: show ip protocol show ip route IGRP协议 IGRP (Interior Gateway Routing Protocol)是一种动态距离向量路由协议,它由Cisco公司八十年代中期设计。使用组合用户配置尺度,包括延迟、带宽、可靠性和负载。 缺省情况下,IGRP每90秒发送一次路由更新广播,在3个更新周期内(即270秒),没有从路由中的第一个Cisco思科路由器接收到更新,则宣布路由不可访问。在7个更新周期即630秒后,Cisco IOS 软件从路由表中清除路由。 1.有关命令 任务命令 指定使用igrp协议router igrp autonomous-system1 指定与该Cisco思科路由器相连的网络network network 指定与该Cisco思科路由器相邻的节点地址neighbor ip-address 注:1、autonomous-system可以随意建立,并非实际意义上的autonomous-system,但运行IGRP的Cisco思科路由器要想交换路由更新信息其autonomous-system需相同。 2.举例 Router1: router igrp 200 network 192.200.10.0 network 192.20.10.0 ! 虚拟局域网(VLAN) 当前在我们构造企业网络时所采用的主干网络技术一般都是基于交换和虚拟网络的。交换技术将共享介质改为独占介质,大大提高网络速度。虚拟网络技术打破了地理环境的制约,在不改动网络物理连接的情况下可以任意将工作站在工作组或子网之间移动,工作站组成逻辑工作组或虚拟子网,提高信息系统的运作性能,均衡网络数据流量,合理利用硬件及信息资源。同时,利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低网络维护费用。随着虚拟网络技术的应用,随之必然产生了在虚拟网间如何通讯的问题. 交换机间链路(ISL)协议 ISL(Interior Switching Link)协议用于实现交换机间的VLAN中继。它是一个信息包标记协议,在支持ISL接口上发送的帧由一个标准以太网帧及相关的VLAN信息组成。如下图所示,在支持ISL的接口上可以传送来自不同VLAN的数据。 虚拟局域网(VLAN)路由实例 3.1. 例一: 设备选用Catalyst5500交换机1台,安装WS-X5530-E3管理引擎,多块WS-X5225R及WS-X5302路由交换模块,WS-X5302被直接插入交换机,通过二个通道与系统背板上的VLAN 相连,从用户角度看认为它是1个1接口的模块,此接口支持ISL。在交换机内划有3个虚拟网,分别名为default、qbw、rgw,通过WS-X5302实现虚拟网间路由。 以下加重下横线部分,如set system name 5500C为需设置的命令。 设置如下: Catalyst 5500配置: begin set password $1$FMFQ$HfZR5DUszVHIRhrz4h6V70 set enablepass $1$FMFQ$HfZR5DUszVHIRhrz4h6V70 set prompt Console> set length 24 default set logout 20 set banner motd ^C^C ! #system set system baud 9600 set system modem disable set system name 5500C set system location set system contact ! #ip set interface sc0 1 10.230.4.240 255.255.255.0 10.230.4.255 set interface sc0 up set interface sl0 0.0.0.0 0.0.0.0 set interface sl0 up set arp agingtime 1200 set ip redirect enable set ip unreachable enable set ip fragmentation enable set ip route 0.0.0.0 10.230.4.15 1 set ip alias default 0.0.0.0 ! #Command alias ! #vtp set vtp domain hne set vtp mode server set vtp v2 disable set vtp pruning disable set vtp pruneeligible 2-1000 clear vtp pruneeligible 1001-1005 set vlan 1 name default type ethernet mtu 1500 said 100001 state active set vlan 777 name rgw type ethernet mtu 1500 said 100777 state active set vlan 888 name qbw type ethernet mtu 1500 said 100888 state active set vlan 1002 name fddi-default type fddi mtu 1500 said 101002 state active set vlan 1004 name fddinet-default type fddinet mtu 1500 said 101004 state active bridge 0×0 stp ieee set vlan 1005 name trnet-default type trbrf mtu 1500 said 101005 state active bridge 0×0 stp ibm set vlan 1003 name token-ring-default type trcrf mtu 1500 said 101003 state active parent 0 ring 0×0 mode srb aremaxhop 7 stemaxhop 7 ! #set boot command set boot config-register 0×102 set boot system flash bootflash:cat5000-sup3
.4-3-1a.bin ! #module 1 : 2-port 1000BaseLX Supervisor set module name 1 set vlan 1 1/1-2 set port enable 1/1-2 ! #module 2 : empty ! #module 3 : 24-port 10/100BaseTX Ethernet set module name 3 set module enable 3 set vlan 1 3/1-22 set vlan 777 3/23 set vlan 888 3/24 set trunk 3/1 on isl 1-1005 #module 4 empty ! #module 5 empty ! #module 6 : 1-port Route Switch set module name 6 set port level 6/1 normal set port trap 6/1 disable set port name 6/1 set cdp enable 6/1 set cdp interval 6/1 60 set trunk 6/1 on isl 1-1005 ! #module 7 : 24-port 10/100BaseTX Ethernet set module name 7 set module enable 7 set vlan 1 7/1-22 set vlan 888 7/23-24 set trunk 7/1 on isl 1-1005 set trunk 7/2 on isl 1-1005 ! #module 8 empty ! #module 9 empty ! #module 10 : 12-port 100BaseFX MM Ethernet set module name 10 set module enable 10 set vlan 1 10/1-12 set port channel 10/1-4 off set port channel 10/5-8 off set port channel 10/9-12 off set port channel 10/1-2 on set port channel 10/3-4 on set port channel 10/5-6 on set port channel 10/7-8 on set port channel 10/9-10 on set port channel 10/11-12 on #module 11 empty ! #module 12 empty ! #module 13 empty ! #switch port analyzer !set span 1 1/1 both inpkts disable set span disable ! #cam set cam agingtime 1-2,777,888,1003,1005 300 end 5500C> (enable) WS-X5302路由模块设置: Router#wri t Building configuration… Current configuration: ! version 11.2 no service password-encryption no service udp-small-servers no service tcp-small-servers ! hostname Router ! enable secret 5 $1$w1kK$AJK69fGOD7BqKhKcSNBf6. ! ip subnet-zero ! interface Vlan1 ip address 10.230.2.56 255.255.255.0 ! interface Vlan777 ip address 10.230.3.56 255.255.255.0 ! interface Vlan888 ip address 10.230.4.56 255.255.255.0 ! no ip classless ! line con 0 line aux 0 line vty 0 4 password router login ! end Router# 3.1. 例二: 交换设备仍选用Catalyst5500交换机1台,安装WS-X5530-E3管理引擎,多块WS-X5225R在交换机内划有3个虚拟网,分别名为default、qbw、rgw,通过Cisco3640Cisco思科路由器实现虚拟网间路由。交换机设置与例一类似。 Cisco思科路由器Cisco3640,配有一块NM-1FE-TX模块,此模块带有一个快速以太网接口可以支持ISL。Cisco3640快速以太网接口与交换机上的某一支持ISL的端口实现连接,如交换机第3槽第1个接口(3/1口)。 Router#wri t Building configuration… Current configuration: ! version 11.2 no service password-encryption no service udp-small-servers no service tcp-small-servers ! hostname Router ! enable secret 5 $1$w1kK$AJK69fGOD7BqKhKcSNBf6. ! ip subnet-zero ! interface FastEthernet1/0 ! interface FastEthernet1/0.1 encapsulation isl 1 ip address 10.230.2.56 255.255.255.0 ! interface FastEthernet1/0.2 encapsulation isl 777 ip address 10.230.3.56 255.255.255.0 ! interface FastEthernet1/0.3 encapsulation isl 888 ip address 10.230.4.56 255.255.255.0 ! no ip classless ! line con 0 line aux 0 line vty 0 4 password router login ! end Router#
安全性管理 对Cisco思科路由器的安全性管理主要包括:建立口令以保护访问Cisco思科路由器的安全,使用正确的访问表以管理通过Cisco思科路由器的可接受数据流等。 1、口令管理 下面显示了设置控制从终端进行访问的口令的命令。 命令 操作效果 Line console 0 为控制台终端建立一个口令 Line vty 0 4 telnet连接建立一个口令 Enable-password 为特权exec模式建立一个口令 Enable-secret 使用MD5加密方法建立密码口令 Service password-encryption 保护口令,避免其通过idsplay命令 将口令显示出来 2、报文过滤 cisco的防火墙功能主要是通过报文的过滤实现的。 它可以实现对多种数据流的控制,如限制流入、以及流出等。通过对访问列表的编写,我们可以实现对特定网络或主机的数据流限制。 Accsess-list 的编号有特定的范围: IP standard access list IP extended access list Extended 48-bit MAC address access list Protocol type-code access list 48-bit MAC address access list 例如我们可以定义如下的访问表来实现允许任何主机到主机160..10.2.101的报文: Accsess-list 101 permit ip any host 160.10.2.101 而下面的语句允许使用客户源端口(小于1024的端口留给服务器用)方式的主机发往160.10.2.100的udp报文通过,且报文的目的端口必须为dns端口(53)。其中gt为great than。 Accsess-list 101 permit udp any gt 1023 host 160.10.2.100 eq 53 建立好访问列表以后,要想让它进行报文过滤,必须将它应用到端口上。在进入要控制的端口后,用如下的命令应用此访问表: router(config-if)#ip access-group 101 in 其中的in表示对向里(针对此端口来说)的数据进行过滤。要注意的是,一个端口只能有一个向里和向外的列表,如果有几个,则只有第一个起作用。 参考: CiscoCisco思科路由器口令恢复 当CiscoCisco思科路由器的口令被错误修改或忘记时,可以按如下步骤进行操作: 1.开机时按使进入ROM监控状态 2.按o 命令读取配置寄存器的原始值 > o 3.作如下设置,使忽略NVRAM引导 >o/r0x**4*Cisco2500系列命令 rommon 1 >confreg 0x**4*Cisco2600、1600系列命令 一般正常值为0×2102 4.重新启动Cisco思科路由器 >I rommon 2 >reset 5.在“Setup”模式,对所有问题回答No 6.进入特权模式 Router>enable 7.下载NVRAM Router>configure memory 8.恢复原始配置寄存器值并激活所有端口 “hostname”#configure terminal “hostname”(config)#config-register 0x“value” “hostname”(config)#interface xx “hostname”(config)#no shutdown 9.查询并记录丢失的口令 “hostname”#show configuration (show startup-config) 10.修改口令 “hostname”#configure terminal “hostname”(config)line console 0 “hostname”(config-line)#login “hostname”(config-line)#password xxxxxxxxx “hostname”(config-line)# “hostname”(config-line)#write memory(copy running-config startup-config)
1、Portable Media Serial Number Service 描述:Retrieves the serial number of any portable media player connected to this computer. If this service is stopped, protected content might not be down loaded to the device. 进程名:svchost.exe 这项服务表面上看只有一个作用,向微软报告你有的Windows Media Player播放器的序列号,但我们实在不知道它是否还报告了其他东西,所以我坚决设为禁用,这并不影响使用WMP收看网络电影、电视。
6、DCOM Server Process Launcher 描述:为 DCOM 服务提供加载功能。 进程名:svchost.exe 不知道微软是怎么想的,关于这项重要的服务的描述居然这么短,而那些莫名其妙的服务的描述却又那么长而难懂。我将其设为自动,原因是设为手动的话,任何一个程序都不会在需要的时候自动开启该服务,而WPS OFFICE 2005和磁盘管理、磁盘整理等程序都要用上它。将其禁用的话,重启系统后,系统栏那个反映网络连通状况的小电脑图标就会消失了,哪怕你拔掉网线它也不会冒出来。这项服务似乎与任何一项网络应用均无实际关联,禁用后仍可正常使用局域网或使用ADSL拨号、GPRS上网。
7、Event Log 描述:启用在事件查看器查看基于 Windows 的程序和组件颁发的事件日志消息。无法终止此服务。 进程名:services.exe 与DCOM Server Process Launcher服务一样,确是无法终止,但可以禁用。不过禁用了至少会有一个麻烦,系统开机时会让你至少多等一分钟,所以还是老老实实设为自动的好。
8、kavsvc 描述:Provides anti-virus functionality of Personal, installed on your computer. 进程名:kavsvc.exe 这个就不必说了吧,大名鼎鼎的卡巴斯基,后台监控程序,设为自动。
9、Logical Disk Manager 描述:监测和监视新硬盘驱动器并向逻辑磁盘管理器管理服务发送卷的信息以便配置。如果此服务被终止,动态磁盘状态和配置信息会过时。如果此服务被禁用,任何依赖它的服务将无法启动。 进程名:svchost.exe 设为手动即可。遇上U盘之类的东东插上机器却无反应需要用到磁盘管理时,它是会自动启用的。
10、Logical Disk Manager Administrative Service 描述:配置硬盘驱动器和卷。此服务只为配置处理运行,然后终止。 进程名:dmadmin.exe 只在硬盘分区调整后的第一次系统重启时会用到,其他时候基本在放假,设为手动就行了。
18、ASP.NET State Service 描述:Provides support for out-of-process session states for ASP.NET. If this service is stopped, out-of-process requests will not be processed. If this service is disabled, any services that explicitly depend on it will fail to start. 若有安装.NET开发环境,就会有这项服务,我装了Framework,目的是运行nlite精减系统安装程序。通常设为禁用,用的时候临时启用下便是。我想,不会有人有事没事制作系统精简光盘吧。
19、Windows Installer 描述:添加、修改和删除以 Windows 安装程序(*.msi)的软件包提供的应用程序。如果禁用了此服务,任何完全依赖它的服务不会被启动。 进程名:msiexec.exe 只在安装OFFICE、大型游戏、微软补丁等东东时会用上,设为手动即可,要用的时候它会自个启动。
四、一些非必需服务
下列服务并不是系统正常工作所必须启动的,但却与我们一些日常应用息息相关,可以有选择的启动或禁用。
20、Fast User Switching Compatibility 描述:为在多用户下需要协助的应用程序提供管理。 进程名:svchost.exe 若系统只有一个用户名,大胆设为禁用吧。就算有多个用户名,设为手动就行。事实上,我用两个用户名的时候,设为禁用也可以进行切换。
服务质量总是语音通信的问题。局域网的带宽通常是很充足的,因此,阻塞管理通常不能保证特殊的配置。来自IP电话的通信一般标记为“IP优先等级5”和“802.1q COS 5”。这个分类和标记能够在本地交换机设置。许多IP电话预先标记这种通信。如果是这种情况,交换机应该设置为来自IP电话的“可信赖”数据包(也就是说,不是重新标记的)。来自PC的数据包一般应该标记为“优先等级0”,以防止数据帧在路由器广域网接口上以高优先等级队列发送。
