校园网的基本维护方法

校园是连接互联网的,能使教师和学生获得大量的信息资源,开阔视野和知识,从而形成校园网,促进教育现代化。必由之路。


作为校园网,内部路由器和网络连接枢纽在其中起着决定性的作用。因此,路由器的管理和维护是每个校园网络管理员必不可少的过程。


连接前的准备


许多小学和中学的网络使用ADSL和HDSL的连接方式。首先,看看调制解调器的状态。如果调制解调器的DCD不亮,这意味着线连接失败。请检查第一接入线路的连接,然后检查路由器的电缆连接,连接控制端的路由器,并根据返回的数量进入路由器的名字。


通过终端的PC部分或运行仿真软件访问控制台端口。终端或PC配置信息是9600波特,8位数据没有奇偶校验2停止位(9600, 8 n 2),意思是:波特率9600,数据位8,停止位1,奇偶校验无。


管理员还可以通过telnet地址在远程侧远程设置。但如果路由器是第一次配置的,则必须在以前的配置中使用它。


以太网端口的故障判断


我们使用显示接口以太网0(端口0)命令来确定以太网端口故障,用于检查链路状态,此外,当我们怀疑物理端口故障时,可用的版本显示端口正常的物理和物理故障,端口不会显示。


串行端口的故障判断


我们可以使用显示接口串行0(串行端口0)命令来确定串行端口故障并检查链路状态:


路由器#显示串列0


此外,当我们怀疑端口有物理故障时,我们可以使用显示的版本来显示物理上正常的端口,而不会显示物理故障的端口。


路由器的安全维护


使用路由器漏洞进行发射攻击的事件经常发生,路由器攻击浪费CPU周期,误导信息流量,使网络异常甚至瘫痪,因此需要采取适当的安全措施来保护路由器的安全性。


(1)避免密码泄露的危机。


根据卡内基梅隆大学的CERT / CC(计算机急救响应团队/控制中心),的安全突破80%的弱密码造成的。黑客们经常利用弱口令或默认密码攻击。措施如加长密码并选择30到60天的口令,有助于防止这样的漏洞。


(2)关闭IP直接广播


Smurf攻击是拒绝服务攻击,在这种攻击中,攻击者使用假冒的源地址发送一个你的网络地址;ICMP echo要求。这就要求所有的主机响应广播请求。这样可以降低网络的性能。不使用IP源路由关闭IP直接广播地址。







(3)禁用不需要的服务


为了强调路由器的安全性,我们必须禁用一些不必要的本地服务,如SNMP和DHCP,用户很少使用这些服务。它们可以被禁用,只有在绝对必要时才使用。


此外,它可能会关闭HTTP路由器的设置,因为使用的HTTP身份识别协议相当于发送未加密的密码到整个网络。然而,有验证HTTP协议的密码或一次性密码没有有效监管。


(4)受限逻辑访问


限制逻辑访问主要是基于访问控制列表的合理处置,并限制远程终端会话可以帮助防止黑客获得系统的逻辑access.ssh是优先的逻辑访问方法,但如果telnet是无法避免的,它可能会使用终端访问控制来限制访问受信任的主机只。


因此,用户需要向telnet在路由器上使用的虚拟终端端口添加一个访问列表。


(5)封锁ICMP ping请求


控制消息协议(ICMP)有助于诊断和识别主机正在使用,从而为攻击者提供浏览网络设备信息,确定本地时间戳和网络掩码,和OS版本制作假定的信息。因此,消除远程用户接收ping请求的响应能力,它是容易的避开那些无人值守扫描活动,或保卫易于攻击,和脚本(脚本小子)的孩子。


(6)关闭IP源路由


IP协议允许主机指定通过网络传输的数据包,而不是允许网络组件来确定最佳路径。这个功能的合理应用是诊断连接故障。事实上,它最常见的用途是监视镜像网络的目的,或者攻击者在私有网络中找到后门。除非指定此功能只能用于诊断故障,否则该功能应该关闭。


(7)监控配置更改


更改路由器的配置后,用户需要监视它。如果用户使用SNMP,则选择强共享字符串。最好使用SNMP。它提供消息加密功能。如果您不通过SNMP管理配置远程设备,用户应该配置SNMP设备以便只读,拒绝写入对这些设备的访问,用户可以阻止黑客更改或关闭接口。此外,用户还需要将系统日志消息从路由器发送到指定服务器。


为了进一步确保安全管理,用户可以使用SSH之类的加密机制,并使用SSH与路由器建立加密的远程会话。为了加强保护,用户还应限制SSH会话协商,只允许会话与用户经常使用的几个可信系统通信。


(8)地址过滤


在校园网边界路由器建立政策是根据IP地址的网络安全违反规则的过滤器。除特殊情况,所有的IP地址来访问Internet网络中应该有一个分配局域网地址。例如,它可以通过合法为192.168.0.1此路由器上网的。然而,这216.239.55.99地址可能是一个打击欺诈和部分。







相反,外部的互联网通信的源地址不应该是内部网络的一部分。因此,192.168,XX,XX,172.16,和10。X.X.X地址的网络应该被阻止。


最后,所有的通信的源地址,目标地址的路由保留不应该被允许通过路由器。这包括返回地址127.0.0.1或E类地址段。


在构建校园网时,只有选择合适的路由器,经过适当的配置和相应的维护策略,才能使校园网平稳、安全、可靠,充分发挥校园网在学校管理、信息资源获取等方面的作用。


相关知识:


路由器工作原理


路由器通过识别不同网络的网络ID号码来连接不同的段或网络。为了识别另一个网络,路由器首先识别另一个网络ID,以确定它是否与目的地地址中的网络ID号相一致。


如果发送到该网络的路由器,在接收来自源网络的消息之后,接收该网络的路由器将根据消息中所包含的目的节点的IP地址,确定根据主机ID发送的节点,然后直接发送该节点。


考虑到中小学校园的普遍性,主要介绍了路由器Cisco 2612在校园网中的维护内容。当然,这个内容也可以应用到更高性能的路由器,如Cisco 7600。


Cisco 2612的模块化结构可以为适应网络技术的变化提供通用性。它配备了强大的RISC处理器,以支持不断发展的网络的先进服务质量(QoS)、安全性和网络集成特性。


通过多个独立设备的功能集成到一个单位,思科2612还降低了管理远程网络的复杂性,为网络提供具有成本效益的解决方案,校园网接入、多业务集成的语音/数据、模拟和数字拨号接入服务、VPN、ATM、VLAN访问集中接入和路由带宽管理中的应用。