2505路由器HUB端口的安全性配置
来源:ChinaITLab 更新时间:2012-04-13
美国CISCO公司的路由器产品在我国有广大的用户市场,但由于有关的技术资料还很少,一般的用户在实际运用中往往只涉及几个基本的命令,对其提供的强大功能却少有了解,更谈不上深入应用了。我在实际工作中摸索出了其中一个非常有用的功能,对加强网络安全管理具有很高的实用价值,现奉献给同我一样渴望深入了解的读者。
    CISCO 2505路由器有S0、S1两个串口可与广域网连接,1个E0口与局域网(以太网)连接,与CISCO 2500系列其它产品相比,其最大的特点是提供了8口的HUB(集线器)功能,HUB的任一端口都享有E0口的IP地址,用双绞线组网的用户常选用此种型号的路由器。据我所知,有许多用户仅仅把CISCO 2505的HUB功能当做普通的HUB在用,在网络的安全管理上存在着一定的漏洞,例如,可用一台已设置好IP地址的计算机替换双绞线对端的合法设备,从而骗过防火墙的检查等等。实际上,CISCO 2505路由器本身已经提供了对HUB各端口进行权限控制的命令,操作步骤如下:
    1>enable /*进入特权维护模式*/
    2#config term /*从主控终端上输入配置命令*/
    3(config)#hub e 0 n  /*进入指定的HUB端口(n)
  的设置模式。    
    n的取值范围是1-8,但只能是一个数字。*/
    4(config-hub)#? /*求得可用命令的简单描述*/
    auto-polarity Enable automatic receiver polarity reversal exit Exit from hub configuration mode help Description of the interactive help system link-test Enable Link Test Function of Hub port no Negate or set default values of a command   shutdown Shutdown the selected port source-address Enable Source Address control for Hub port
    以上命令常用的是no和shutdown,但对注重安全防范的网络管理员来说,掌握source-address命令则非常重要。该命令的格式如下:
    (config-hub)#source-addrerss xxxx.xxxx.xxxx
    其中xxxx.xxxx.xxxx是与该端口(n)物理相连的网卡(或其它网络设备)的MAC地址(注意每个x都是16进制的数,如0000.21bc.6ac6等),该地址可用网卡附带的驱动程序或诊断程序查出,在UNIX下也可用hwconfig命令查看,得到的地址常是6组两位的16进制数,应转换成上述格式。
    5(config-hub)#exit
    6(config)#exit
    7#show hub /*查看设置情况*/
    8#write mem /*将所做修改保存到NVRAM */
    由于MAC地址(Medium Access Control)是在世界范围内进行了唯一性编码的,任何一个厂家生产的任何一块网卡,其MAC地址都截然不同,因此,用此命令指定了端口的连接对象必须是某一台特定的设备,再辅以其它的屏蔽功能(如关闭闲置端口、设置防火墙等),则可有效地防止非法的网络连接,从数据链路层开始,就可提供一个可靠的安全屏障了。经实用,效果非常良好。