gng3使用方法,正確的路由器防火牆安全配置方式

技術小牛人發表於2017-11-02

安裝好gng3之後,點選edit(編輯)-(preferences)首選項- general(一般)-language(語言)-選擇成中文,單擊ok,關閉重啟生效

模擬器映象載入:

開啟gng3安裝目錄–增加三個資料夾,分別命名為:ios ,project,workdir

點選edit(編輯)-(preferences)首選項- general(一般)–路徑選擇我們建立的目錄下如圖:

點選dynamips,在dynamips路徑選擇我們建立的workdir路徑,如圖:

點選測試設定,出現成功啟用,就表示正常工作了

再點選一般,在點選GUI設定,設定引數如下:

點選確定

然後下載路由器映象,下載地址:思科官網,五一自學網上下載,下載完之後把映象檔案放到建立的ios檔案裡

再回到gng3點選編輯–ios和hypervisors出現如下圖:

在映象檔案中選擇我們放的ios檔案,平臺選擇相對應的型號,點選auto calculation來獲取idle pc值,這樣可以節省cpu開銷,點選儲存

管理gng3裝置的方法

推薦的一種——————用crt來遠端控制gng3的裝置telnet 127.0.0.1 埠號: 

檢視埠號

在控制檯輸入list,就可以看到裝置的埠號

也可以直接用dos來控制

cmd –telnet 127.0.0.1 加埠號 回車

直接點選裝置右鍵consel口, 此種方法不穩定,不推薦使用

路由器與虛擬主機相連:

開啟gng3根目錄,vpcs檔案就是用來模擬虛擬主機的

輸入show檢視虛擬主機埠號與路由器埠對應的埠

虛擬pc來配置虛擬電腦ip地址, 要切換到pc2,直接敲2就可以了

路由器與真實機,首先要獲取本機真實網路卡引數,可以用dynamips中工具來獲取,相連如圖:

ssh路由器安全訪問配置實驗拓撲圖:

R1ssh伺服器配置命令

en

conf t

int f0/0

ip add 192.168.1.1 255.255.255.0

no shut

security passwords min-length 8 //設定密碼最小長度

enable secret cisco123 //實際工程中要滿足密碼複雜性的要求

service password-encryption //啟用密碼加密服務提供安全性

service tcp-keepalives-in //路由器沒有收到遠端系統響應時,會自動關閉連線,減少被DOS攻擊的機會

username ccnp privilege 15 secret cisco 123 //建立SSH登入的使用者名稱和密碼

access-list 1 permit 192.168.1.0 0.0.0.255 //定義允許SSH訪問ACL

line vty 0 4

login local //本地驗證

access-class 1 in //限定通過SSH訪問路由器的主機,這樣可以大大減少被攻擊的機會

transport input ssh //指允許使用者通過SSH登入道路由器,預設是ALL

exec-timeout 5 30 //配置超時時間,當使用者在5分30秒內沒有任何輸入,將自動登出,這樣可以減小因離開等因素帶來的安全隱含

line console 0

exec-timeout 5 30

exit

no ip http server //關閉HTTP服務

ip http secure-server //啟用HTTPS服務

ip http authentication local //HTTPS服務登入時採用本地驗證

login block-for 60 attempts 3 within 30 //配置使用者在30內連續輸錯3次登入失敗後,需要等待60秒才能在一次進入,這樣黑客在60內只能猜3個密碼,降低暴力破解的效率

access-list 2 permit host 192.168.1.2

login quiet-mode access-class 2 //配置過程總,使用者輸錯多次密碼後要過60後才能正常登入,但是1.2這臺主機厲害。這是為防止黑客登入不了,而網管也登入不了的情況

login delay 10 //配置使用者登入成功後,另一個使用者10秒後才能再次登入

login on-failure log //配置登入失敗會在日誌中記錄

login on-success log //配置登入成功會在日誌中記錄

clock timezone GMT +8 //配置時區

exit

clock set 15:30:00 6 NOV 2013 //配置路由器的系統時間

conf t

ip domain-name cisco.com //配置域名,SSH必須配置

crypto key generate rsa general-keys modulus 1024 //產生1024位元的RSA金鑰,如果配置SSH版本2,至少要768位元

ip ssh version 2 //配置SSH版本2

ip ssh time-out 120 //配置SSH登入超時時間

ip ssh authentication-retries 3 //配置SSH使用者登入驗證最大次數

R2ssh客戶端配置,只需要配個ip地址就可以了

en

conf t

int f0/0

ip add 192.168.1.2 255.255.255.0

no shut

把路由器當做SSH客戶端登入

ssh -l ccnp(登入名) 192.168.1.1(IP地址)

通過crt不能用ssh登入,這是因為模擬器的原因

本文轉自    探花無情   51CTO部落格,原文連結:http://blog.51cto.com/983865387/2047754


相關文章