思科路由器怎么配置限速和记录登录失败的尝试次数的方法

　　今天，小编就给大家介绍下思科路由器怎么配置限速和记录登录失败的尝试次数的方法。

　　思科路由器怎么配置限速?

　　在路由器设置ACL(访问控制列表)将该服务所用的端口封掉，从而阻止该服务的正常运行。对BT软件，我们可以尝试封它的端口。一般情况下，BT软件使用的是6880-6890端口，在公司的核心思科路由器上使用以下命令将6880-6890端口全部封锁。

　　路由器设置限速：

　　access-list130remarkbt

　　access-list130permittcpanyanyrange68816890

　　access-list130permittcpanyrange68816890any

　　rate-limitinputaccess-group13071200080008000conform-actiontransmitexceed-actiondrop

　　rate-limitoutputaccess-group13071200080008000conform-actiontransmitexceed-actiondrop

　　路由器设置禁止下载：

　　access-list130denytcpanyanyrange68816890

　　access-list130denytcpanyrange68816890any

　　ipaccess-group130in/out

　　不过现在的bt软件，再封锁后会自动改端口，一些软件还是用到8000、8080、2070等端口，限制这些端口这样网络不正常!第二种方法是使用：NVAR(Network-BasedApplicationRecognition，网络应用识别)。

　　NBAR(Network-BasedApplicationRecognition)的意思是网络应用识别。NBAR是一种动态能在四到七层寻找协议的技术，它不但能做到普通ACL能做到那样控制静态的、简单的网络应用协议TCP/UDP的端口号。例如我们熟知的WEB应用使用的TCP80，也能做到控制一般ACLs不能做到动态的端口的那些协议，例如VoIP使用的H.323，SIP等。

　　要实现对BT流量的控制，就要在思科路由器上实现对PDLM的支持。PDLM是PacketDescriptionLanguageModule的所写，意思是数据包描述语言模块。它是一种对网络高层应用的协议层的描述，例如协议类型，服务端口号等。它的优势是让NBAR适应很多已有的网络应用，像HTTPURL，DNS，FTP，VoIP等，同时它还可以通过定义，来使NBAR支持许多新兴的网络应用。例如peer2peer工具。

　　PDLM在思科的网站上可以下载，并且利用PDLM可以限制一些网络上的恶意流量。CISCO在其官方网站提供了三个PDLM模块，分别为KAZAA2.pdlm，bittorrent.pdlm.emonkey.pdlm可以用来封锁KAZAA，BT，电驴得到PDLM然后通过TFTP服务器将bittorrent.pdlm拷贝到路由中。

　　功能启动利用ipnbarpdlmbittorrent.pdlm命令将NBAR中的BT。再创建一个class-map和policymap并且把它应用到相应的思科路由器的接口上。一般是连接Internet(Chinanet)的接口是FastEthernet或10M的以太网接口。

　　Cisco路由器的CEF rate-limit限速方法：

　　目前在Cisco路由器设备中，只有支持思科快速转发(CEF)的路由器或交换机才能使用rate-limit来限速，具体设置可以按如下步骤进行。

　　Cisco路由器限速第一步. 在全局模式下开启cef：

　　Router(config)#ip cef cisco

　　Cisco路由器限速第二步. 定义标准或者扩展访问列表：

　　注：定义一个方向就可以了，主要用于控制被限速的IP地址

　　Router(config)#access-list 111 permit ip 192.168.1.0 0.0.0.255 any cisco

　　Cisco路由器限速第三步. 在希望限制的端口上进行

　　rate-limit：

　　Router(config)#interface FastEthernet 0/1

　　Rounter(config-if)#rate-limit input www.45fan.com/a/pojie/1773.html access-group 111 2000000 40000 60000 conform-action transmit exceed-action drop

　　这样我们就对192.168.1.0网段进行了限速，速率为2Mbps。

　　您可以根据实际情况，定义acl先控制被限速的电脑范围。

　　Cisco路由器的rate-limit命令格式：#rate-limit {input|output} [access-group number] bps burst-normal burst-max conform-action action exceed-action action input|output：这是定义数据流量的方向。

　　access-group number：定义的访问列表的号码。这个用来控制被限速的主机网段，本例中的acl 111。

　　bps：定义流量速率的上限，单位是bps。

　　burst-normal burst-max：定义的数据容量的大小，单位是字节，当到达的数据超过此容量时，将触发某个动作，丢弃或转发等，从而达到限速的目的。

　　conform-action和exceed-action：分别指在速率限制以下的流量和超过速率限制的流量的处理策略。

　　思科路由器怎么记录登录失败的尝试次数?

　　自Cisco IOS软件版本12.3之后，IOS就可以记录失败登陆的尝试次数。下例中解释了如何建立验证失败日志。

　　Router(config)#aaa new-model

　　Router(config)#aaa authentication attempts login 5

　　Router(config)#aaa authentication login local-policy local

　　Router(config)#security authentication failure rate threshold-rate log

　　Router(config)#

　　只有正确配置了AAA之后，Security authentication功能特性才能正常工作。默认情况下，Cisco IOS仅允许3次尝试登陆，可以用AAA来调整该参数，在上例中，AAA：

　　1、被启用了(aaa new-model);

　　2、将登陆尝试次数增加到了5次(IOS默认为3次);

　　3、创建一个被成为local-policy策略，使用本地用户名数据库来验证登陆到路由器的用户。

　　命令Security authentication只有一个参数threshold-rate，该参数定义了一分钟内失败的登陆尝试次数。此时将会生成一条syslog消息，threshold-rate的取值范围是2~1024，默认值为10。除了生成syslog消息，再次允许登陆尝试之前需要延时15秒。

　　需要注意的是，threshold-rate必须小于等于aaa authentication attempts login的设置值。否则，AAA将命令security authentication记录时间之前断开连接尝试。