思科路由器配置作业指导书（讨论稿）

思科路由器配置作业指导书

浙江省电力公司信息技术中心

二00九年五月

目 录

1

管理层面 .................................................................................................................................. 4 1.1 设备基本配置 ......................................................... 4 1.1.1 设备名称 ........................................................... 4 1.1.2 接口描述 ........................................................... 4 1.1.3 Loopback 地址 ...................................................... 5 1.1.4 三层接口地址 ....................................................... 5 1.2 设备登陆 ............................................................. 6 1.2.1 配置Ssh设备登陆 ................................................... 6 1.2.2 登陆提示 ........................................................... 6 1.2.3 登陆安全限制 ....................................................... 7 1.3 AAA配置 ............................................................. 8 1.3.1 AAA全局配置 ....................................................... 8 1.3.2 认证 ............................................................... 8 1.3.3 授权 ............................................................... 9 1.3.4 审计 ............................................................... 9 1.4 设备管理方面规范 .................................................... 10 1.4.1 NTP配置 .......................................................... 10 1.4.2 SNMP配置 ......................................................... 11 1.4.3 日志记录 .......................................................... 12 1.5 安全方面配置 ........................................................ 12 1.5.1 全局下关闭设备不必要服务 .......................................... 12 1.5.2 三层接口下禁用不必要服务 .......................................... 13 1.5.3 关闭CDP功能 ...................................................... 13 2

控制层面 ................................................................................................................................ 14 2.1 静态路由配置 ........................................................ 14 2.2 OSPF路由配置规范 ................................................... 14 2.2.1 基本配置 .......................................................... 14 2.2.2 路由重分布 (1) .................................................... 15 2.2.3 路由重分布 (2) .................................................... 16 2.2.4 引入默认路由进OSPF ............................................... 17 2.2.5 认证方式 .......................................................... 18 2.2.6 OSPF路由汇总 ..................................................... 18 2.2.7 OSPF路由过滤 ..................................................... 19

2

2.3 ISIS路由配置 ....................................................... 20 2.3.1 基本配置 .......................................................... 20 2.3.2 认证方式 .......................................................... 20 2.4 BGP路由规范配置 .................................................... 21 2.4.1 基本配置 .......................................................... 21 2.4.2 BGP路由宣告 ...................................................... 22 2.4.3 BGP路由汇总 ...................................................... 22 2.4.4 配置路由反射器 .................................................... 23 2.4.5 BGP会话加密 ...................................................... 23 2.4.6 BGP属性操作 ...................................................... 24 2.5 路由震荡抑制 ........................................................ 24 2.5.1 IGP路由抑制 ...................................................... 24 2.5.2 BGP路由抑制 ...................................................... 25 2.6 MPLS –VPN配置规范 ................................................. 25 2.6.1 标签分发配置 ...................................................... 25 2.6.2 定义VRF .......................................................... 26 2.6.3 配置MP-BGP ....................................................... 26 2.6.4 PE-CE的路由配置 .................................................. 27 2.7 COPP ................................................................ 28 3

数据层面 ................................................................................................................................ 31 3.1 解决网络攻击的手段 .................................................. 31 3.1.1 带宽消耗的碎片攻击 ................................................ 31 3.1.2 smurf攻击 ........................................................ 31 3.1.3 IP snoofing攻击 .................................................. 32 3.1.4 TCP SYN-flooding .................................................. 32 3.1.5 组播IGMP请求攻击 ................................................. 33 3.2 QOS ................................................................. 33 3.2.1 QOS限速 .......................................................... 33 3.2.2 LLQ ............................................................... 34

3

1 管理层面

1.1 设备基本配置

1.1.1 设备名称

说明：设备命名应该具有较强可读性和一致性，需要包含的信息有：网络区域、网络角色、设备角色、设备属性、场所性质、场所描述、设备编号等。 适用场合：网内每一台设备。 具体配置： 步骤 命令 目的 Step 1 Router(config)#hostname NSCR-DWLJF2-ZJ 进入配置模式，关键字hostname 1.1.2 接口描述

说明：为了便于维护、增加配置文件的可读性，利于在故障处理期间节省时间。描述规则可为：To对端设备名 所连端口。

适用场合：路由器上的每个在用接口，特别是互联接口。 具体配置： 步骤 命令 目的 Step 1 Router(config)# interface F0/0 进入接口配置模式下 Step 2 Router(config-if)# description To_ NSCR-DWLJF2-ZJ G1/1 关键字description 后跟文字描述，字节不能超过240个字节 4

1.1.3 Loopback 地址

说明：一般情况下路由器使用loopback地址做为设备的管理地址，loopback地址用处很多，例如router-id、做为日志、NTP等应用的识别源地址等。 适用场合：每台设备 具体配置： 步骤 命令 目的 Step 1 Router(config)# interface loopback0 进入接口配置模式下 Step 2 Router(config-if)# ip address xxxxx/32 Ip 地址一般为32位 1.1.4 三层接口地址

说明：设备配置三层接口地址，进行多层交换。

适用场合：三层交换机、路由器。二层交换机只能启用一个三层接口 具体配置： 步骤 命令 目的 Step 1 Router(config)# interface loopback0 进入接口配置模式下 Step 2 Router(config-if)# ip add xxxxx/24 配置Ip 地址段 Step 3 Router(config-if)# ip add yyyyyy/24 secondary 配置第二个地址段，注意同一个三层接口下的网段数据转发是通过MLS转发，不会通过CEF转发，所以secondary地址段尽量控制在两个内

5

1.2 设备登陆

1.2.1 配置ssh设备登陆

说明： ssh是加密登陆方式，弥补TELNET明文显示方式的不足，ssh需要IOS版本的支持，IOS名字带K的版本支持SSH登陆。 适用场合：每台设备但需要IOS支持 步骤 命令 目的 SSH配置要素之一 SSH配置要素之一 生成SSH密钥，1024位，默认Router(config)#crypto key generate rsa 1024 512 Step 4 Step 5 Router(config)#ip ssh time-out 120 Router(config)#ip authentication-retries 3 Step 6 Step 7 Router#wr 很慢 Step 8 Router(config)# username xxx privilege 15 配置本地用户名和密码 password 7 xxx Step 9 Router1(config)# line vty 0 4 进入线程配置模式 Router(config)#exit 退出配置模式 要保存配置，不然后续配置反应ssh 登录认证重复次数为3次 SSH空闲时间为2分钟 Step 1 Router(config)#hostname Router1 Step 2 Router(config)#ip domain-name DLXX.com Step 3 Step 10 Router1config-line)# transport input SSH 只允许SSH登陆 Step 11 Router1(Config-line)# login local 采用本地认证方式 1.2.2 登陆提示

说明：登陆后需要配置提示信息，提示信息为法律条文警示，禁止有欢迎之词。不必要透露网络设备的作用、位置等信息。 适用场合：每台设备

6

具体配置： 步骤 Step 1 Router(config)#banner login * *号键后回车 Step 2 banner login Authorised access only This system is the property of 输入提示信息 STATE GRID Disconnect IMMEDIATELY if you are not an authorised user! Step 3 以*号键结束 以*号键结束 命令 目的 关键字login，登陆设备后即可看到，1.2.3 登陆安全限制

说明：默认情况下，设备登陆线程对所有地址开放，存在安全隐患，必要时通过ACL限制非法地址登陆。 适用场合：每台设备 具体配置： 步骤 Step 1 命令 Router(config)# access-list 10 permit 创建ACL，用常规控制列表即可 10.1.1.0 0.0.0.255 Step 2 Step 3 Step 4 Router(config-line)#exec-timeout 5 0 作动作后退出 Step 5 Router(config)#service 全局开始TCP常连接（选配） tcp-keepalives-in Router(config)# line vty 0 4 Router(config-line)#access-class 10 in 进入设备线程配置模式 加载ACL 防止线程吊死，强制5分钟无操目的 7

1.3 AAA配置

1.3.1 AAA全局配置

说明：配置路由器和AAA服务器之间的通信。 适用场合：每台设备 具体配置： 步骤 Step 2 命令 目的 Router(config)# ip tacacs source-interface 指定设备识别地址为loopback0loopback 0 地址 指定AAA服务器地址为Router(config)#tacacs-server 10.136.1.10 key test test host 10.136.1.10，匹配的密码为Step 1 Step 2 Router(config)#tacacs-server 支持用户名扩展 directed-request Step 3 Router(config)#tacacs-server timeout 60 定义超时时间 1.3.2 认证

说明：对TELNET、SSH登陆到设备的用户名进行AAA认证 适用场合：每台设备 具体配置：

步骤 Step 1 Step 2 Router(config)#aaa authentication login 一般情况下采用默认default default group tacacs+ local group。首先采用AAA服务器认证，如果服务器失效采用本地命令 Router(config)#aaa new-model 开启AAA认证 对登陆到路由器的用户进行认证，关键字“authentication”目的 8

认证 1.3.3 授权

说明：对TELNET、SSH登陆到设备的用户名进行命令等级区分，不同等级的用户名持有不同等级的命令操作权限。AAA授权方式有多种方式，常见的是结合privilege授权、AAA直接授权命令关键字。从操作及维护的角度上考虑，采用直接命令关键字授权利于维护，可执行命令定义通过ACS定义，设备无需定义等级命令。 适用场合：每台设备 具体配置：

步骤 命令 目的 开启AAA认证 Step 1 Router(config)#aaa new-model Router(config)#aaa authorization Step 2 exec default group tacacs+ local Router(config)#aaa authorization Step 3 config-commands Router(config)#aaa authorization Step 5 commands 1 default group tacacs+ local none Router(config)#aaa authorization Step 6 commands 15 default group tacacs+ local none 对用户在EXEC模式进行授权 对用户在配置模式下输入的命令进行授权检查（选配，高版本无需配置） 对等级1的命令进行授权检查 对等级15的命令进行授权检查 1.3.4 审计

说明：对TELNET、SSH登陆到设备的用户名所做的操作进行记录，比如执行命令的记录。

适用场合：每台设备 具体配置：

步骤

命令 目的 9

Step 1 Step 2 Router(config)#aaa new-model Router(config)#aaa accounting exec default start-stop group tacacs+ 开启AAA认证 关键字”accounting”.记录下exec的开始和结束 Step 3 Router(config)#aaa accounting commands 0 记录下ACS服务器定义等级0default start-stop group tacacs+ 用户的开始和结束 Step 4 Router(config)#aaa accounting commands 1 记录下ACS服务器定义等级1default start-stop group tacacs+ 用户的开始和结束 Step 5 Router(config)#aaa accounting commands 15 记录下ACS服务器定义等级15default start-stop group tacacs+ 用户的开始和结束 1.4 设备管理方面规范

1.4.1 NTP配置

说明：统一方便地修改路由器的时间，定义一台设备为时钟源服务器，其他设备为客户端。必要时采用加密认证确保NTP同步消息安全。 适用场合：每台设备 具体配置： 步骤 命令 目的 允许本设备作为NTP协议Step 1 Router(config)#ntp master 1 的主时钟，精度级别为1 设置NTP时钟源IP为Step 2 服务器端 Step 3 Router(config)#ntp update-calendar 失 Step 4 Step 5 Step 6 Router(config)#ntp authenticate Router(config)#ntp trusted-key 1 NTP启用认证(选配） 定义序号1密钥（选配） Router(config)#ntp source loopback0 loopback0地址 硬件更新防止设备重启丢Router(config)#ntp autentication-key 采用认证序号1密钥kkk 10

1 md5 kkk Step 1 Router(config)#ntp server 10.1.x.x 采用MD5进行认证（选配） 指定NTP服务器地址 使用loopback0进行时钟Step 2 Router(config)#ntp source loopback0 同步 客户端 Step 3 Step 4 Router(config)#ntp authenticate Router(config)#ntp trusted-key 1 Router(config)#ntp NTP启用认证（选配） 定义序号1密钥（选配） 采用认证序号1密钥kkk采用MD5进行认证（选配） Step 5 authentication-key 1 md5 kkk 1.4.2 SNMP配置

说明：为相关网管软件、安全软件等提供SNMP 信息。为了安全配置时需要加控制列表，在没有特殊情况下不开启SNMP 的读写功能，只开放读功能。 适用场合：每台设备 具体配置：

步骤 命令 Router(config)#access-list 10 Step 1 permit host 10.1.1.1 配置SNMP字符串，只有读功能，且只有控制Router(config)# snmp-server Step 1 community cisco RO 10 信息 Router(config)#snmp-server Step 2 trap-source Loopback0 Router(config)#snmp-server host Step 3 10.1.1.10 version 2c cisco Router(config)#snmp-server Step 4 enable traps xxx 配） cisco 根据网管服务器需求开启相应SNMP Trap（选指定网管服务器、SNMP版本为2、字符串为SNMP的识别地址为loopback0地址 列表10允许的地址才能进行读取路由器SNMP定义ACL，只允许网管机能读取SNMP属性 目的 11

1.4.3 日志记录

说明：配置路由器使其日志消息发送到日志服务器上。 适用场合：每台设备 具体配置：

步骤 命令 Router(config)# service timestamps log Step 1 datetime msec localtime Step 2 Router(config)#loggin on 式为正常显示 打开日志文件 日志消息发往10.1.1.10的日志服Step 3 Router(config)#logging 10.1.1.10 务上 Router(config)#logging source-interface Step 4 Loopback0 Step 5 Router(config)#logging facility local7 loopback0 保存方式(选配) 日志消息等级为7，等级数字越低，Step 6 Router(config)#logging trap debugging 告警信息越危险 日志消息发送地址源地址为目的 全局下修改日志消息的显示时间格1.5 安全方面配置

1.5.1 全局下关闭设备不必要服务

说明：路由器的IOS操作系统跟Windows系统一样，默认下也开启了相应的服务，存在一定的安全隐患，一般情况下都要关闭这些服务 适用场合：每台设备 具体配置：

步骤 命令 目的 关闭TCP的小服务 关闭udp的小服务 关闭ip指针 Step 1 Router(config)#no service tcp-small-servers Step 2 Router(Config)# no service udp-samll-servers Step 3 Router(Config)# no ip finger 12

Step 4 Step 5 Step 6 Step 7 Step 8 Router(Config)# no service finger Router(Config)# no ip http server Router(Config)# no ip bootp server Router(Config)# no ip source-route Router(Config)# no ip domain-lookup 关闭服务指针 关闭HTTP服务 关闭从bootp引导IOS 关闭IP源路由 关闭本机的DNS的查找 1.5.2 三层接口下禁用不必要服务

说明：为了设备安全、性能等考虑，关闭不必要的服务。 适用场合：每台设备 具体配置：

步骤 Step 1 Step 2 Step 3 Step 4 Step 5 Step 6 命令 Router(config)#int fa0/0 Router(config-if)# no ip proxy-arp Router(config-if)#no ip unreachables Router(config-if)#no ip redirects Router(config-if)#no ip mask-reply Router(config-if)#no ip directed-broadcast 目的 进入接口配置模式下 关闭代理ARP 关闭IP不可达信息 关闭IP的重定向 关闭回复掩码 关闭指定广播 1.5.3 关闭CDP功能

说明：为了网络安全，在边界路由器上尽量关闭CDP发现功能。 适用场合：边界路由器 具体配置：

步骤 Step 1 Step 2 Step 3

13

命令 Router(config)# no cdp run Router(config-if)# int g0/0 Router(config-if)# no cdp enable 目的 全局下禁用CDP功能。 接口下配置 单个接口关闭CDP 2 控制层面

路由器控制层面主要表现在路由选择、过滤、转发。

2.1 静态路由配置

说明：静态路由在路由协议里管理距离最低，在多种路由协议共存情况下要小心配置。

适用场合：一般配置在边界路由器上 具体配置：

步骤 命令 目的 Router(config)# ip route 10.0.1.0 255.255.255.0 静态路由，下一跳要用地Step 1 1.1.1.1 Step 2 址表示，不要用端口 Router(config)# ip route 0.0.0.0 0.0.0.0 1.1.1.1 默认路由 Router(config)# ip route 10.136.0.0 255.255.0.0 静态产生路由，结合BGPStep 3 null 0 250 使用。调整AD值。 2.2 OSPF路由配置规范

2.2.1 基本配置

说明：OSPF的规范化配置可提高配置可读性、路由宣告正确性。 适用场合：启OSPF协议的路由器 具体配置：

步骤 命令 目的 启动OSPF路由进程，进程Step 1 Router(config)#router ospf 1 号本地有效 Step 2 Step 3

Router(config-router)#router-id 10.1.1.1 Router(config-router)#log-adjacency-changes 指定route-id log日志记录OSPF状态变 14

detail Router(config-router)#auto-cost Step 4 reference-bandwidth 1000 化，默认打开 将带宽参考值调整1000M Router(config-router)# network 10.1.1.1 0.0.0.0 OSPF宣告的是接口，要精Step 5 area 0 确宣告用全0匹配 路由器接口为被动方式，Router(config-router)# passive-interface Step 6 default OSPF邻居 Router(config-router)# no passive-interface Step 7 Ethernet0/0 被动方式 需要建邻居的接口，关闭路由器接口不主动建立2.2.2 路由重分布 (1)

说明：配置OSPF时，利用重分布使直连路由和静态路由方便地成为OSPF路由。 适用场合：启OSPF协议的路由器

具体配置：举例把直连和静态路由分发进OSPF

步骤 Step 1 命令 Router(config)#router ospf 1 目的 进入路由配置模式 把直连路由分发进ospf，Router(config-router)# redistribute connected Step 2 metric-type 1 subnets rotue-map Conn 子网的信息，并且为指定的直连为Conn定义的接口 Router(config-router)# redistribute static Step 3 metric-type 1 subnets Step 4 Router(config-router)#exit 退出ospf 进程 配置Conn的route-map,把Step 5 Router(config)#route-map Conn 需要重分布进OSPF的路由加入 把静态重分布进ospf subnets关键字表示带上 15

Router(config-route-map)# match interface Setp 6 Ethernet0/0 匹配接口为E0/0 2.2.3 路由重分布 (2)

说明：为了实现多种路由协议的协同工作，路由器可以使用路由重分发（route redistribution）将其学习到的一种路由协议的路由通过另一种路由协议广播出去，这样网络的所有部分都可以连通了。当不同路由协议重分布时，需注意AD高路由协议重分布进AD低的路由协议时会产生非次优路由，需要加以过滤。 适用场合：需要路由协议协同工作的路由器 具体配置：举例OSPF不同进程互相重分布

设备一：OSPF2向OSPF1重分布时，精确指定需分布的路由并且打上TAG标记

步骤 Step 1 命令 Router1(config)#router ospf 1 目的 进入路由配置模式 OSPF路由重分布时需精确Router1(config-router)# redistribute ospf 2 Step 2 subnets route-map TAG 对其路由进行TAG标记，以便于过滤 创建前缀列表，把需要重分布的路由加进，注意这里匹Router1(config)# ip prefix-list 10 permit Step 3 192.168.1.0/24 ge 32 用前缀列表方式表达，如果用ACL方式与常规写法不一样。 Step 4 Router1(config)# route-map TAG permit 10 Router1(config-route-map)# match ip address Step 5 prefix-list 10 对匹配到的前缀列表的路Setp 6 Router1(config-route-map)# set tag 66 由条目进行标记为66 匹配前缀列表 创建route-map 配的是路由条目，因此最好控制重分布的路由，并需要 16

设备二：OSPF1向OSPF2重分布时，过滤原打TAG标记66的路由，防止环路。

步骤 Step 1 命令 Router2(config)#router ospf 2 目的 进入路由配置模式 当另一台设备需要再进行Router2(config-router)# redistribute ospf 1 Step 2 subnets route-map DenyTAG 的路由，防止造成路由环路。 创建route-map 名字为Step 4 Router2(config)# route-map DenyTAG deny 10 DenyTAG 匹配标记为66的路由，拒Step 5 Router2(config-route-map)# match tag 66 绝。 允许其他路由，这条命令不Setp 6 Router2(config)# route-map DenyTAG permit 20 可少，没有permit语句为deny all路由 重分布时，过滤掉TAG662.2.4 引入默认路由进OSPF

说明：默认路由不能被重分布进OSPF路由表，OSPF有一个特殊命令将默认路由引入进OSPF。 适用场合：边界路由器 具体配置；

步骤 Step 1 命令 Router(config)#router ospf 1 目的 进入路由配置模式 如果路由器本身的路由表Router(config-router)# default-information Step 2 originate 令将默认路由引入OSPF 如果路由器本身没有默认Router(config-router)# default-information Step 3 originate always 达到同样效果。

17

存在默认路由，通过该命路由，通过关键字always2.2.5 认证方式

说明：Ospf报文可以通过认证方式来防止有意或无意地引入有害路由信息的情况发生。在路由器上可以使用简单的明文口令或MD5加密校验和来配置认证。 认证方式有两种，接口认证和区域认证。 适用场合：起了ospf进程的路由器 具体配置；

步骤 Step 1 命令 Router1(config)# Interface gi1/1 目的 进入接口配置模式 Router1(config-if)#Ip ospf message-digest-key 5 这个接口发出的数据包进Step 2 md5 cisco Step 3 Step 4 Router1(config-if)#exit Router1(config)#router ospf 1 行MD5加密 退出接口配置模式 进入ospf进程 开启明文认证（如果MD5Step 4 Router1(config-router)# area 0 authentication 就不需要） Router1(config-router)#Area0 authentication 对于area0域内进行MD5Step 5 message-digest 加密 2.2.6 OSPF路由汇总

说明：以通过限制区域间通告的路由来达到节省资源的目的。Cisco路由器支持两种类型的地址汇总：区域间汇总和外部路由汇总。区域间汇总用于在区域间汇总地址，而外部汇总用于收集到某个域中的一系列外部路由的汇总。 适用场合：ABR或ASBR路由器上 具体配置：

区域间汇总：在ABR路由器上配置

步骤 Step 1 命令 Router(config)#router ospf 1 目的 进入路由配置模式 18

Router(config-router)# area 0 range 193.1.1.0 Step 2 255.255.255.0 区域间的汇总路由关键字range 外部区域间汇总：在ASBR路由器上配置

步骤 Step 1 命令 Router(config)#router ospf 1 目的 进入路由配置模式 外部汇总收集到某个域中的Router(config-router)# summary-address 130.1.0.0 Step 2 255.255.248.0 键字summary-address 一系列外部路由的汇总,关2.2.7 OSPF路由过滤

说明：通过对内部路由器IP地址的合理分配安排前提下，在路由器上特别是在边界路由器上进行有效的路由过滤，确保网内路由器上的路由表简洁、有效。 路由过滤的方法：（2种）

1、distribute-list

2、route-map（与2.2.3方式一样） 适用场合：允许OSPF的路由器 具体配置：

步骤 命令 Router(config)# ip prefix-list aaa deny Step 1 10.10.0.0/16 ge 32 Step 2 Router(config)# router ospf 1 进入ospf 进程 禁止匹配的前缀列表内的Router(config-router)# distribute-list Step 3 prefix-list aaa in E0/0 向有in 与out

路由从E0/0端口进入。方配置前缀列表 目的 19

2.3 ISIS路由配置

2.3.1 基本配置

说明：IS-IS的规范化配置可提高配置可读性、路由宣告正确性 适用场合：所有支持IS-IS的路由器 具体配置：

步骤 Step 1 Step 2 命令 Router(config)#router isis 目的 进入路由配置模式 Router(config-router)#net00.0001.0000.0c0a.2c51.00 定义区域ID和系统ID 可选配置，指定路由器Router(config-router)# is-type Step 3 level-1/level-2/level-1-2 属于哪种区域，默认为level-1-2 Step 4 Step 5 Router(config-router)#exit Router(config)#interface gi1/1 退出路由进程 进入接口配置模式 在接口下启用isis 那么此接口就可以与Step 6 Router(config-router)#ip rotuer isis 相邻起isis的路由器形成邻居关系 2.3.2 认证方式

说明：防止一些无效的路由信息，对指定的邻居之间加密 适用场合：ASBR上 具体配置

步骤 Step 1 命令 Router(config)# Interface gi1/1 Router(config-if)# isis password xxxx Step 2 level-1 邻居加密 目的 进入接口配置模式 指定为level-1邻居的加密，域内的 20

3 数据层面

3.1 解决网络攻击的手段

3.1.1 带宽消耗的碎片攻击

说明：这种攻击主要体现在频发大的数据包，让路由器进行拆包、组包工作，对带宽消耗比较大 适用场合：路由器 具体配置：

步骤 命令 目的 Router(config)#access-list 110 deny ip any host 关键字fragments，不Step 1 10.1.1.1 fragments Step 2 Step 3 Step 4 允许数据包拆包 Router(config)#access-list 110 permit ip any any Router(config)#interface e0/0 Router(config-if)# ip access-group 110 in 进入边界接口 加载控制列表 3.1.2 smurf攻击

说明：其特征是ICMP数据包，一般情况下ICMP报文不能拒绝，所以对其进行必要的限速，限速办法很多，这里采用CAR就行 适用场合：路由器 具体配置：

步骤 命令 目的 采用CAR，一定要打开Step 1 Router(config)# ip cef CEF，默认打开 Router(config)# access-list 120 per icmp any any Step 2 echo 定义数据包类型 31

Router(config)# access-list 120 per icmp any any Step 3 echo-relay Step 4 Router(config)# Int fa0/0 Router(config-if)# rate-limit input access-group Step 5 120 8000 8000 8000 conform-action trans exce-action 限制ping 包为8K drop 进入外联接口 定义数据包类型 3.1.3 IP snoofing攻击

说明： IP snoofing攻击是最常见的一种手段，解决这个好的办法就是通过uRPF,逆向路径检测。URPF分严格型（strict）和松散型（loose），区别在于是否对默认路由有效。

适用场合：建议部署采用loose类型，位置在边界路由器上。 具体配置：

步骤 命令 目的 Router(config)# access-list 101 deny ip any any 定义控制列表，记录攻Step 1 log-input Step 2 Router(config)# Int fa0/0 Router(config-if)# ip verify unicast reverse-path Step 3 101 开启URPF 击日志 进入外联接口 3.1.4 TCP SYN-flooding

说明：攻击也是一种常见的攻击手段，针对WEB服务器、DNS服务器攻击比较多。由于TCP是三次握手协议，简单地利用虚假地址向服务器发起请求后会造成半开连接，过于多的半开连接造成内存耗尽，从而达到攻击目的。 适用场合：中高端路由器建议采用监控模式， 具体配置：

步骤 Step 1

命令 Router(config)# ip access-list extended SYN 目的 定义控制列表，保护对 32

象 Router(config-ext-nacl)# permit tcp any 10.1.12.0 保护对象为Step 2 0.0.0.255 Step 3 Step 4 Router(config)# ip tcp intercept list SYN Router(config)#ip tcp intercept mode watch 10.1.12.0/24的网段 检测对象为List内容 监控模式为监控模式 Step 5 半开连接超过15秒，重Router(config)#ip tcp intercept watch-timrout 15 启该连接。 3.1.5 组播IGMP请求攻击

说明：不断地发送IGMP请求报文给路由器，及其容易造成路由器CPU升高，对付这类攻击的简单办法就是限制IGMP报文的数量。 适用场合：运行IGMP路由器 具体配置：

步骤 命令 Router(config)# access-list 150 permit ip any host Step 1 224.5.5.5 Step 2 Router(config)# Int fa0/0 进入外联接口 限制IGMP报文为50Step 3 Router(config-if)# ip igmp limit 50 except 150 个，组224.5.5.5不受限制 定义控制列表 目的 3.2 QOS

3.2.1 QOS限速

说明：可以针对外网用户进行速率限制 适用场合：频繁占用带宽的用户 具体配置：

33

Step 1 Router(config)# mls qos Router(config)# access-list 10 permit host 启用QOS Step 2 10.10.1.10 Router(config)# access-list 100 permit any host 定义PC上行流量 Step 3 Step 4 Step 5 Step 6 Step 7 Step 8 Step 9 10.10.1.10 Router(config)# class-map PC1up Router (config-cmap)# match access-group 10 Router (config)# class-map PC1down Router (config-cmap)# match access-group 100 Router(config)# policy-map user1-up Router(config-pmap)# class PC1up Router(config-pmap-c)# police 1024000 1024000 定义PC下行流量 定义类 匹配上行流量 定义类 匹配下行流量 定义策略 调用上行流量的类 Step 10 Step 11 Step 12 exceed-action drop Router(config)# policy-map user-down Router(config-pmap)# class PC1down Router(config-pmap-c)# police 1024000 1024000 限制为1M 定义策略 调用下行的类 Step 13 Step 14 Step 15 Step 16 Step 17 exceed-action drop Router(config)# interface f0/1 Router(config-if)# service-policy input user1-up Router(config)# interface G0/1 限制下行为1M 进入接口，用户接口 调用策略， 出口端口 Router(config-if)# service-policy input user-down 调用策略 3.2.2 LLQ

说明：LLQ的全名是具有优先级队列的CBWFQ，非常适合部署在IP数据带有语音流量的网络

适用场合：带有语音流量的网络环境 具体配置：

34

Step 1 Step 2 Step 3 Step 4 Step 5 Step 6 Step 7 Step 8 Step 9 Router(config)# class-map voip Router(config-cmap)# match ip precedence 5 Router(config)# class-map YingXiao Router(config-cmap)# match ip precedence 4 Router(config)# policy-map LLQ Router(config-pmap)#class voip Router(config-pmap-c)#priority percent 10 Router(config-pmap)# class-map YingXiao Router(config-pmap-c)#bandwidth percent 30 创建VOIP类 匹配IP优先级为5 创建营销类 匹配IP优先级为4 策略图 调用类 严格队列保障10%带宽 调用类 剩余带宽的加权公平队列带宽比重30% 默认类，注意Step 10 Step 11 Step 12 Step 13

Router(config-pmap)# class class-default Router(config-pmap-c)#fair-queue Router(config)# int s1/0 Router(config-if)# service-policy output policy1 class-default一定要敲全 默认队列 进入接口 调用策略应用与出口 35

Router(config-if)#isis domain-password x 指定为level-2邻居的加密，域间的Step 2 level-2

ISIS与OSPF都是基于SPF计算的路由协议，路由重分布、过滤、汇总都和OSPF一致。

邻居加密 2.4 BGP路由规范配置

2.4.1 基本配置

说明：BGP的规范化配置可提高配置可读性、路由宣告正确性 适用场合：支持BGP，并且需要运行bgp的所有路由器 具体配置：

步骤 Step 1 命令 Router(config)#router bgp 1 目的 进入路由配置模式 指定route-id router-idStep 2 Router(config-router)#bgp router-id 10.1.1.1 更改需要重启BGP进程 clear ip bgp Step 3 Step 4 Router(config-router)# no synchronization Router(config-router)# no auto-summary 关闭Bgp的同步 取消自动汇总 启用软清。当你clear ip Router(config-router)#neighbor 4.1.2.1 Step 5 soft-reconfiguration inbound 断 开启BGP优雅启动NSF(选Step 6 Router(config-router)# bgp graceful-restart 配) 为了配合实施MPLS-VPN，使Router(config-router)# no bgp default Step 7 ipv4-unicast 默认开启的IPV4的BGP会话 Step 8

bgp soft 命令时，不会中配置看起来清爽，手工关闭Router(config-router)# neighbor 1.1.1.2 指定邻居，但不会激活，因 21

remote-as 1 Router(config-router)# neighbor 1.1.1.2 Step 9 update-source Loopback0 Step 10 Router(config-router)# address-family ipv4 为上一句命令缘故。 在IBGP环境中邻居地址建议使用loopback地址 进入IPV4地址族配置模式 激活IPV4的BGP会话，这Router(config-router-af)# neighbor 1.1.1.2 Step 11 activate 邻居 个时候才会建立IPV4的BGP2.4.2 BGP路由宣告

说明：要成为BGP路由，有三种方式实现，动态方式、半动态方式、手工方式。建议BGP宣告使用手工宣告方式，尽量不要使用动态方式。 适用场合：运行BGP的路由器 具体配置：介绍手工方式注入BGP

步骤 命令 目的 Router(config)#ip route 10.0.0.0 255.255.0.0 NULL 静态产生一条汇总路由，并Step 1 0 250 Step 2 Router(config)# router bgp 100 Router(config-router)# netwrok 10.0.0.0 Mask Step 3 255.255.0.0 如果需要把默认路由注入Router(config-router)# neighbor xxx Step 4 default-information originate 了 进BGP，采用该命令简单明使用network发布 且AD距离调高 进入Bgp的进程 2.4.3 BGP路由汇总

说明：路由器在边界进行有效的汇总，使BGP条目变的少，占用内存利用率低 适用场合：运行BGP的边界路由器，本地汇总使用静态汇总 具体配置：

22

步骤 Step 1 命令 Router(config)#router bgp 1 目的 进入路由配置模式 汇总路由，关键字Router(config-router)#aggregate-address Step 2 10.0.0.0 255.255.192.0 summary-only summary-only只宣告汇总路由，没有的话同时宣告汇总和明细路由 2.4.4 配置路由反射器

说明：在IBGP环境中，由于IBGP的转发特性决定IBGP需要达到FULL MESH状态，使用路由反射器技术很好地解决了FULL MESH配置多的问题。 适用场合： RR路由器 具体配置：

步骤 命令 目的 Step 1 Router(config)#router bgp 1 进入路由配置模式 手工指定CLUSTER ID，建议使用loopback地址，防止RR之Step 2 Step 3 Router(config-router)#bgp cluster-id 1.1.1.1 Router(config-router)#address-family ipv4 Router(config-router-af)#neighbor 1.1.1.2 间的路由环路 进入IPV4地址族配置模式 配置路由反射器，地址为客户机。 Step 4 route-reflector-client 2.4.5 BGP会话加密

说明：BGP基于TCP会话，存在安全隐患，使用验证方式。 适用场合： 运行BGP会话的路由器 具体配置：

步骤 Step 1

命令 Router(config)#router bgp 1 目的 进入路由配置模式 23

Router(config-router)# neighbor 192.168.1.222 Step 2 password 7 cisco 指定邻居并加密。BGP不支持MD5只支持明文验证 2.4.6 BGP属性操作

说明：BGP强大的功能在于BGP的属性，这里给出local-preference、MED属性的配置。一般利用local-preference引导出去的流量，MED引导进来的流量。 适用场合： 运行BGP会话的路由器 具体配置：

步骤 Step 1 命令 Router(config)#router bgp 1 目的 进入路由配置模式 调整local-preference值Router(config-router)#bgp default Step 2 local-preference 200 先，引导出去流量 挂route-map 设置MED值，Router(config-router)#neighbor 10.147.223.17 Step 3 route-map MED out 导进来流量 Step 4 Step 5 Router(config)#route-map MED Router(config-route-map)#set metric 10 建立route-map 名字MED 设置MED值 默认为1，越小越优先。引为200，默认100，越大越优2.5 路由震荡抑制

2.5.1 IGP路由抑制

说明：IGP路由抑制，最好的办法是通过路由汇总、区域划分等手段杜绝路由震荡。 这里介绍一个IGP路由抑制命令。但不推荐使用。因为IGP的收敛时间一般较短，使用Dampening效果不大 适用场合： 运行路由协议路由器 具体配置：

步骤 命令 目的 24

Step 1 Step 2 Router(config)#int fa0/0 Router(config-if)#dampening 进入运行路由协议的接口 值可调 2.5.2 BGP路由抑制

说明：尽可能的减少路由表的刷新次数，来抑制没有必要的路由更新 适用场合：运行BGP路由器 具体配置：

步骤 Step 1 命令 Router(config)#router bgp 100 目的 进入路由配置模式 半衰期 10 启用值 1800 抑Router(config-router)# bgp dampening 10 1800 2500 Step 2 40 分钟 制值2500 最大抑制时间402.6 MPLS –VPN配置规范

2.6.1 标签分发配置

说明：标签分发采用标准协议LDP 适用场合：LSP经过的路由器 具体配置：

步骤 Step 1 命令 Router(config)#mpls label protocol ldp 目的 指定标签分发为LDP协议 指定LDP标示为loopback Step 2 Router(config)#mpls ldp router-id loopback 0 地址（选配） Step 3 Step 4 Step 5

Router(config)#int e0/0 Router(config-if)#mpls ip Router(config-if)#tag-Routering mtu 1508 进入接口 启用LDP分发 修改MTU值 25

本文来源：https://www.bwwdw.com/article/ioj2.html