校園網常見路由器故障維護方法

2019-11-05 00:13:45

字體：大中小

來源：轉載

供稿：網友

　　校園與Internet相連，可以使老師和學生得到大量的信息資源，開闊眼界和知識面，所以組建校園網成了促進學校教育現代化的必經之路。作為校園網內部網絡和互聯網連接樞紐的路由器，在其中發揮著舉足輕重的作用，因此對于路由器的治理和維護是每個校園網治理員必不可少的主修課。

　　考慮到中小學校園的通用性，我們主要介紹校園網中常見的路由器Cisco 2612的維護內容，當然本文內容也可以適用于更高性能的Cisco 7600等路由器。Cisco 2612的模塊化體系結構能夠提供適應網絡技術變化所需的通用性，它配置了強大的RISC處理器，能夠支持當今不斷發展的網絡中所需的高級服務質量(QoS)、安全和網絡集成特性。通過將多個獨立設備的功能集成到一個單元之中，Cisco 2612還降低了治理遠程網絡的復雜性，為Internet、校園內部網訪問、多服務語音／數據集成、模擬和數字撥號訪問服務、VPN訪問、ATM訪問集中、VLAN以及路由帶寬治理等應用提供經濟有效的解決方案。

　　連接前的預備

　　很多中小學的校園網采用了ADSL或者HDSL的連接方式，首先看Modem的狀態，假如Modem的DCD不亮，則表示線路連接故障。請先檢查接入線路連接，再檢查路由器的電纜連接，將控制終端連接到路由器上，按回車數下，出現路由器名稱。

　　用終端或運行仿真軟件的PC節接入CONSOLE口。終端或PC配置信息為：9600 baud 8 data bits no parity 2 stop bits （9600，8/N/2），意思是：波特率9600，數據位8，停止位1，奇偶校驗無。治理員也可以在遠端通過Telnet address進行遠程設置。但假如是對路由器進行第一次配置時，必須采用前一種配置方式。

　　以太端口故障判定

　　我們使用show interface ethernet 0（端口0）命令來判定以太端口故障，用來檢查一條鏈路的狀態，此外，當我們懷疑端口有物理性故障時，可用shown version顯示出物理性正常的端口，而出現物理故障的端口將不被顯示出來。

　　路由器

　　串行端口故障判定

　　我們可以用show interface serial 0（串行端口0）命令來判定串行端口故障，檢查鏈路的狀態。如下所示：

　　router＃ show int serial 0

　　此外，當我們懷疑端口有物理性故障時，可用 shown version，將顯示出物理性正常的端口，而出現物理故障的端口將不被顯示出來。

　　

　　　　路由器安全維護

　　利用路由器的漏洞發起攻擊的事件經常發生。路由器攻擊會浪費CPU周期，誤導信息流量，使網絡異常甚至陷于癱瘓。因此需要采取相應的安全措施來保護路由器的安全。

　　（１）避免口令泄露危機

　　據卡內基梅隆大學的CERT/CC（計算機應急反應小組/控制中心）稱，80%的安全突破事件是由薄弱的口令引起的。黑客經常利用弱口令或默認口令進行攻擊。加長口令、選用30到60天的口令有效期等措施有助于防止這類漏洞。

　　（２）關閉ip直接廣播

　　Smurf攻擊是一種拒絕服務攻擊。在這種攻擊中，攻擊者使用假冒的源地址向你的網絡廣播地址發送一個“ICMP echo”請求。這要求所有的主機對這個廣播請求做出回應。這種情況會降低網絡性能。使用no ip source-route關閉IP直接廣播地址。

　　（３）禁用不必要的服務

　　強調路由器的安全性就不得不禁用一些不必要的本地服務，例如SNMP和DHCP這些用戶很少用到的服務，都可以禁用，只有絕對必要的時候才使用。另外，可能時關閉路由器的HTTP設置，因為HTTP使用的身份識別協議相當于向整個網絡發送一個未加密的口令。然而，HTTP協議中沒有一個用于驗證口令或者一次性口令的有效規定。

　　（４）限制邏輯訪問

　　限制邏輯訪問主要借助于合理處置訪問控制列表，限制遠程終端會話有助于防止黑客獲得系統邏輯訪問。SSH是優先的邏輯訪問方法，但假如無法避免Telnet，不妨使用終端訪問控制，以限制只能訪問可信主機。因此，用戶需要給Telnet在路由器上使用的虛擬終端端口添加一份訪問列表。

　　（５）封鎖ICMP ping請求

　　控制消息協議（ICMP）有助于排除故障，識別正在使用的主機，這樣為攻擊者提供了用來瀏覽網絡設備、確定本地時間戳和網絡掩碼以及對OS修正版本作出推測的信息。因此通過取消遠程用戶接收ping請求的應答能力，就能更輕易的避開那些無人注重的掃描活動或者防御那些尋找輕易攻擊的目標的“腳本小子”（script kiddies）。

　　（６）關閉IP源路由

　　IP協議答應一臺主機指定數據包通過你的網絡路由，而不是答應網絡組件確定最佳的路徑。這個功能的合法應用是診斷連接故障。但是，這種用途很少得到應用，事實上，它最常見的用途是為了偵察目的對網絡進行鏡像，或者用于攻擊者在專用網絡中尋找一個后門。除非指定這項功能只能用于診斷故障，否則應該關閉這個功能。

上一篇：校園網里靜態與動態內部路由系統

下一篇：寬帶共享該怎樣設置無線路由器