思科路由器怎麼配置限速和記錄登入失敗的嘗試次數的方法

　　今天，小編就給大家介紹下。

　　思科路由器怎麼配置限速?

　　在路由器設定ACL訪問控制列表將該服務所用的埠封掉，從而阻止該服務的正常執行。對BT軟體，我們可以嘗試封它的埠。一般情況下，BT軟體使用的是6880-6890埠，在公司的核心思科路由器上使用以下命令將6880-6890埠全部封鎖。

　　路由器設定限速：

　　access-list130remarkbt

　　access-list130permittcpanyanyrange68816890

　　access-list130permittcpanyrange68816890any

　　rate-limitinputaccess-group13071200080008000conform-actiontransmitexceed-actiondrop

　　rate-limitoutputaccess-group13071200080008000conform-actiontransmitexceed-actiondrop

　　路由器設定禁止下載：

　　access-list130denytcpanyanyrange68816890

　　access-list130denytcpanyrange68816890any

　　ipaccess-group130in/out

　　不過現在的bt軟體，再封鎖後會自動改埠，一些軟體還是用到8000、8080、2070等埠，限制這些埠這樣網路不正常!第二種方法是使用：NVARNetwork-BasedApplicationRecognition，網路應用識別。

　　NBARNetwork-BasedApplicationRecognition的意思是網路應用識別。NBAR是一種動態能在四到七層尋找協議的技術，它不但能做到普通ACL能做到那樣控制靜態的、簡單的網路應用協議TCP/UDP的埠號。例如我們熟知的WEB應用使用的TCP80，也能做到控制一般ACLs不能做到動態的埠的那些協議，例如VoIP使用的H.323，SIP等。

　　要實現對BT流量的控制，就要在思科路由器上實現對PDLM的支援。PDLM是PacketDescriptionLanguageModule的所寫，意思是資料包描述語言模組。它是一種對網路高層應用的協議層的描述，例如協議型別，服務埠號等。它的優勢是讓NBAR適應很多已有的網路應用，像HTTPURL，DNS，FTP，VoIP等，同時它還可以通過定義，來使NBAR支援許多新興的網路應用。例如peer2peer工具。

　　PDLM在思科的網站上可以下載，並且利用PDLM可以限制一些網路上的惡意流量。CISCO在其官方網站提供了三個PDLM模組，分別為KAZAA2.pdlm，bittorrent.pdlm.emonkey.pdlm可以用來封鎖KAZAA，BT，電驢得到PDLM然後通過TFTP伺服器將bittorrent.pdlm拷貝到路由中。

　　功能啟動利用ipnbarpdlmbittorrent.pdlm命令將NBAR中的BT。再建立一個class-map和policymap並且把它應用到相應的思科路由器的介面上。一般是連線InternetChinanet的介面是FastEthernet或10M的乙太網介面。

　　Cisco路由器的CEF rate-limit限速方法：

　　目前在Cisco路由器裝置中，只有支援思科快速轉發CEF的路由器或交換機才能使用rate-limit來限速，具體設定可以按如下步驟進行。

　　Cisco路由器限速第一步. 在全域性模式下開啟cef：

　　Routerconfig#ip cef cisco

　　Cisco路由器限速第二步. 定義標準或者擴充套件訪問列表：

　　注：定義一個方向就可以了，主要用於控制被限速的IP地址

　　Routerconfig#access-list 111 permit ip 192.168.1.0 0.0.0.255 any cisco

　　Cisco路由器限速第三步. 在希望限制的埠上進行

　　rate-limit：

　　Routerconfig#interface FastEthernet 0/1

　　Rounterconfig-if#rate-limit input access-group 111 2000000 40000 60000 conform-action transmit exceed-action drop

　　這樣我們就對192.168.1.0網段進行了限速，速率為2Mbps。

　　您可以根據實際情況，定義acl先控制被限速的電腦範圍。

　　Cisco路由器的rate-limit命令格式：#rate-limit {input|output} [access-group number] bps burst-normal burst-max conform-action action exceed-action action input|output：這是定義資料流量的方向。

　　access-group number：定義的訪問列表的號碼。這個用來控制被限速的主機網段，本例中的acl 111。

　　bps：定義流量速率的上限，單位是bps。

　　burst-normal burst-max：定義的資料容量的大小，單位是位元組，當到達的資料超過此容量時，將觸發某個動作，丟棄或轉發等，從而達到限速的目的。

　　conform-action和exceed-action：分別指在速率限制以下的流量和超過速率限制的流量的處理策略。

　　思科路由器怎麼記錄登入失敗的嘗試次數?

　　自Cisco IOS軟體版本12.3之後，IOS就可以記錄失敗登陸的嘗試次數。下例中解釋瞭如何建立驗證失敗日誌。

　　Routerconfig#aaa new-model

　　Routerconfig#aaa authentication attempts login 5

　　Routerconfig#aaa authentication login local-policy local

　　Routerconfig#security authentication failure rate threshold-rate log

　　Routerconfig#

　　只有正確配置了AAA之後，Security authentication功能特性才能正常工作。預設情況下，Cisco IOS僅允許3次嘗試登陸，可以用AAA來調整該引數，在上例中，AAA：

　　1、被啟用了aaa new-model;

　　2、將登陸嘗試次數增加到了5次IOS預設為3次;

　　3、建立一個被成為local-policy策略，使用本地使用者名稱資料庫來驗證登陸到路由器的使用者。

　　命令Security authentication只有一個引數threshold-rate，該引數定義了一分鐘內失敗的登陸嘗試次數。此時將會生成一條syslog訊息，threshold-rate的取值範圍是2~1024，預設值為10。除了生成syslog訊息，再次允許登陸嘗試之前需要延時15秒。

　　需要注意的是，threshold-rate必須小於等於aaa authentication attempts login的設定值。否則，AAA將命令security authentication記錄時間之前斷開連線嘗試。