摘 要：无论是数据、语音、视频还是无线接入，路由器和交换机都是所有企业通信不可缺少的组成部分。它们能够促进解决一个公司的关键问题，帮助该公司提高生产力，降低业务成本，改善安全性和客户服务质量。文章对cisco路由器和交换机的技术应用进行了分析和阐述。
关键词：cisco；路由器；交换机 中图分类号：tp393
网络的工作方式是使用两种设备，交换机和路由器将计算机和外围设备连接起来。这两种工具使连接到网络上的设备之间以及其它网络相互通信。虽然路由器和交换机看起来很像，但是它们在网络中的功能却截然不同：交换机主要用于将一栋大厦或一个校园里的多台设备连接到同一个网络上。路由器主要用于将多个网络连接起来。首先，路由器会分析网络发送的数据，改变数据的打包方式，然后将数据发送到另一个网络上或者其他类型的网络上。它们将公司与外界连接起来，保护信息不受安全威胁，甚至可以决定哪些计算机拥有更高的优先级。
系统管理员和安全专家经常花费大量的精力配置各种防火墙、web服务器和那些组成企业网络的基础设备。但是，他们经常会忽略路由器和交换机。这经常会导致黑客监听网络数据包、修改路由和其他一些恶意攻击行为。本文对cisco路由器和交换机技术应用进行分析和探讨。
1网络基础设备的问题
尽管很多攻击的目标是终端主机——如web服务器、应用服务器和数据库服务器，许多用户忽略了网络基础设备的安全问题。路由器和交换机不仅可以被攻击还可以作为黑客进行攻击的工具，还是黑客收集有用信息的合适设备。LOCalhoSTcisco路由器和交换机有自己的操作系统，或者被称为cisco ios(网络操作系统)。同其他操作系统一样，早期的版本有许多漏洞，如果用户没有升级，会带来很多问题。
从应用的角度看，路由器和交换机不仅可以作为攻击目标，还可以帮助黑客隐瞒身份、创建监听设备或者产生噪音。例如，很多cisco交换机可以创建一个监视端口来监听交换机的其他端口。这样管理员和黑客就可以把交换机上看到的网络数据包备份到一个指定的交换机端口。尽管管理员努力在系统中杜绝集线器造成的监听问题，但是如果黑客可以通过交换机访问网络，网络安全便面临危险。
2定期升级系统
任何系统都必须注重及时升级。cisco公司一直注重ios在版本更新、升级与发布策略，且cisco公布的系统版本相对稳定。分析网络基础设备时要做的第一件事情就是调查在系统上运行的各种ios系统的情况。使用show version命令可以方便地查到这些信息。如果用户发现系统中有的10s系统版本比较老，在进行升级前最好与升级所花费的精力和金钱比较一下，考虑一下“如果没有问题，不需要升级”这句话。比ios系统版本更重要的是这个版本是否已超过了使用周期。cisco定义了三种阶段：
早期开发阶段(early deployment，ed)。这个时期的10s系统有一些还不成熟的新特性， 会有许多毛病。
局部开发阶段(limited deployment，ld)。处于这个状态的ios主要是针对ed系统中漏洞而进行改进的版本。
普通开发阶段(general deployment，gd)。这个阶段的ios系统更强调系统的稳定性，基本上没有漏洞。
尽管用户都希望使用最新的i0s系统，但我还要提醒用户注意自己的实际需求，gd版本将指出系统的大量已经发现的漏洞，通常是一个已经解决了发现的漏洞的版本。除非发现此版本的系统有很严重的漏洞这别无选择，只有升级。
3配置cisco路由器
cisco路由器在主机级上比unix系统容易保护，这是因为系统提供的可远程访问的服务较少。路由器要进行复杂的路由计算并在网络中起着举足轻重的作用，它没有bind、imap、pop、sendmail等服务——而这些是unix系统中经常出问题的部分。
尽管访问路由器的方式相对少一些，但是还要进行进一步的配置以限制对路由器更深一步的访问。
3.1保护登录点
大多数cisco路由器还是通过远程登录方式进行控制的，没有采用任何形式的加密方法。采用远程登录方式进行的通信都是以明文传输，很容易泄露登录口令。尽管cisco ios12.1采用了ssh l的加密手段，仍然存在很多问题。
在cisco公司考虑使用ssh之前(希望他们采用ssh 2版本)，用户都只能使用telnet。但是，还是有很多方法可以控制对路由器的访问，从而限制非授权用户对路由器的访问。登录到路由器的方式有：通过物理控制台端口；通过物理辅助端口；通过其他物理串行端口(仅指在具有端口的模型上)；通过远程登录方式进入一个单元的ip地址中。前三种方式需要物理接口，这样很容易控制。下面主要讨论第四种方式。
cisco路由器有5个可以远程登录的虚拟终端或称为vty。采用远程登录时要注意两点。首先，要确认通过所有的vty登录都需要口令。配置时可以采用如下命令：
router1 (config)#line vty 0 4
router1 (config)#password fabi0!
这样通过vty登录时需要输人口令“fabi0！”。其次，用户可以增加控制级别来防止黑客的入侵，可以同时绑定5个vty。具体的命令如下：
router1 (config)#line vty 0 4
router1 (config-line)#exec-timeout 1
router1 (config-line)#exit

[1] [2] 下一页