1,首先禁止默認啟用的ARP-Proxy,它容易引起路由表的混亂。
Router(Config)# no ip proxy-arp 或者
Router(Config-if)# no ip proxy-arp
|
2,啟用OSPF路由協議的認證。默認的OSPF認證密碼是明文傳輸的,建議啟用MD5認證。并設置一定強度密鑰(key,相對的路由器必須有相同的Key)。
Router(Config)# router ospf 100
Router(Config-router)# network 192.168.100.0 0.0.0.255 area 100
! 啟用MD5認證。
! area area-id authentication 啟用認證,是明文密碼認證。
!area area-id authentication message-digest
Router(Config-router)# area 100 authentication message-digest
Router(Config)# exit
Router(Config)# interface eth0/1
!啟用MD5密鑰Key為routerospfkey。
!ip ospf authentication-key key 啟用認證密鑰,但會是明文傳輸。
!ip ospf message-digest-key key-id(1-255) md5 key
Router(Config-if)# ip ospf message-digest-key 1 md5 routerospfkey
|
3,RIP協議的認證。只有RIP-V2支持,RIP-1不支持。建議啟用RIP-V2。并且采用MD5認證。普通認證同樣是明文傳輸的。
Router(Config)# config terminal
! 啟用設置密鑰鏈
Router(Config)# key chain mykeychainname
Router(Config-keychain)# key 1
!設置密鑰字串
Router(Config-leychain-key)# key-string MyFirstKeyString
Router(Config-keyschain)# key 2
Router(Config-keychain-key)# key-string MySecondKeyString
!啟用RIP-V2
Router(Config)# router rip
Router(Config-router)# version 2
Router(Config-router)# network 192.168.100.0
Router(Config)# interface eth0/1
! 采用MD5模式認證,并選擇已配置的密鑰鏈
Router(Config-if)# ip rip authentication mode md5
Router(Config-if)# ip rip anthentication key-chain mykeychainname
|
4,啟用passive-interface命令可以禁用一些不需要接收和轉發路由信息的端口。建議對于不需要路由的端口,啟用passive-interface。但是,在RIP協議是只是禁止轉發路由信息,并沒有禁止接收。在OSPF協議中是禁止轉發和接收路由信息。
! Rip中,禁止端口0/3轉發路由信息
Router(Config)# router Rip
Router(Config-router)# passive-interface eth0/3
!OSPF中,禁止端口0/3接收和轉發路由信息
Router(Config)# router ospf 100
Router(Config-router)# passive-interface eth0/3
|
5,啟用訪問列表過濾一些垃圾和惡意路由信息,控制網絡的垃圾信息流。
Router(Config)# access-list 10 deny 192.168.1.0 0.0.0.255
Router(Config)# access-list 10 permit any
! 禁止路由器接收更新192.168.1.0網絡的路由信息
Router(Config)# router ospf 100
Router(Config-router)# distribute-list 10 in
!禁止路由器轉發傳播192.168.1.0網絡的路由信息
Router(Config)# router ospf 100
Router(Config-router)# distribute-list 10 out
|
6,建議啟用IP Unicast Reverse-Path Verification。它能夠檢查源IP地址的準確性,從而可以防止一定的IP
Spooling。但是它只能在啟用CEF(Cisco Express Forwarding)的路由器上使用。
Router# config t
! 啟用CEF
Router(Config)# ip cef
!啟用Unicast Reverse-Path Verification
Router(Config)# interface eth0/1
Router(Config)# ip verify unicast reverse-path
|
