2024年5月17日发(作者：笔记本键盘按键错乱如何解决)

思科路由器怎么配置限速和记录登录失败的尝试次数的方法

今天，小编就给大家介绍下思科路由器怎么配置限速和记录登录

失败的尝试次数的方法。

思科路由器怎么配置限速?

在路由器设置ACL(访问控制列表)将该服务所用的端口封掉，从而

阻止该服务的正常运行。对BT软件，我们可以尝试封它的端口。一般

情况下，BT软件使用的是6880-6890端口，在公司的核心思科路由

器上使用以下命令将6880-6890端口全部封锁。

路由器设置限速：

access-list130remarkbt

access-list130permittcpanyanyrange68816890

access-list130permittcpanyrange68816890any

rate-limitinputaccess-group13000conform-

actiontransmitexceed-actiondrop

rate-limitoutputaccess-group13000conform-

actiontransmitexceed-actiondrop

路由器设置禁止下载：

access-list130denytcpanyanyrange68816890

access-list130denytcpanyrange68816890any

ipaccess-group130in/out

不过现在的bt软件，再封锁后会自动改端口，一些软件还是用到

8000、8080、2070等端口，限制这些端口这样网络不正常!第二种方

法是使用：NVAR(Network-BasedApplicationRecognition，网络应

用识别)。

NBAR(Network-BasedApplicationRecognition)的意思是网络

应用识别。NBAR是一种动态能在四到七层寻找协议的技术，它不但

能做到普通ACL能做到那样控制静态的、简单的网络应用协议

TCP/UDP的端口号。例如我们熟知的WEB应用使用的TCP80，也能

做到控制一般ACLs不能做到动态的端口的那些协议，例如VoIP使用

的H.323，SIP等。

要实现对BT流量的控制，就要在思科路由器上实现对PDLM的支

持。PDLM是PacketDescriptionLanguageModule的所写，意思是

数据包描述语言模块。它是一种对网络高层应用的协议层的描述，例

如协议类型，服务端口号等。它的优势是让NBAR适应很多已有的网

络应用，像HTTPURL，DNS，FTP，VoIP等，同时它还可以通过定

义，来使NBAR支持许多新兴的网络应用。例如peer2peer工具。

PDLM在思科的网站上可以下载，并且利用PDLM可以限制一些

网络上的恶意流量。CISCO在其官方网站提供了三个PDLM模块，分

别为，可以用来封锁

KAZAA，BT，电驴得到PDLM然后通过TFTP服务器将

拷贝到路由中。

功能启动利用命令将NBAR中的BT。

再创建一个class-map和policymap并且把它应用到相应的思科路由

器的接口上。一般是连接Internet(Chinanet)的接口是FastEthernet

或10M的以太网接口。

Cisco路由器的CEF rate-limit限速方法：

目前在Cisco路由器设备中，只有支持思科快速转发(CEF)的路由

器或交换机才能使用rate-limit来限速，具体设置可以按如下步骤进行。

Cisco路由器限速第一步. 在全局模式下开启cef：

Router(config)#ip cef cisco

Cisco路由器限速第二步. 定义标准或者扩展访问列表：

注：定义一个方向就可以了，主要用于控制被限速的IP地址

Router(config)#access-list 111 permit ip 192.168.1.0

0.0.0.255 any cisco

Cisco路由器限速第三步. 在希望限制的端口上进行

rate-limit：

Router(config)#interface FastEthernet 0/1

Rounter(config-if)#rate-limit input

/a/pojie/ access-group 111 2000000

40000 60000 conform-action transmit exceed-action drop

这样我们就对192.168.1.0网段进行了限速，速率为2Mbps。

您可以根据实际情况，定义acl先控制被限速的电脑范围。

Cisco路由器的rate-limit命令格式：#rate-limit {input|output}

[access-group number] bps burst-normal burst-max conform-

action action exceed-action action input|output：这是定义数据流

量的方向。

access-group number：定义的访问列表的号码。这个用来控制

被限速的主机网段，本例中的acl 111。

bps：定义流量速率的上限，单位是bps。

burst-normal burst-max：定义的数据容量的大小，单位是字节，

当到达的数据超过此容量时，将触发某个动作，丢弃或转发等，从而

达到限速的目的。

conform-action和exceed-action：分别指在速率限制以下的流

量和超过速率限制的流量的处理策略。

思科路由器怎么记录登录失败的尝试次数?

自Cisco IOS软件版本12.3之后，IOS就可以记录失败登陆的尝

试次数。下例中解释了如何建立验证失败日志。

Router(config)#aaa new-model

Router(config)#aaa authentication attempts login 5

Router(config)#aaa authentication login local-policy local

Router(config)#security

threshold-rate log

Router(config)#

只有正确配置了AAA之后，Security authentication功能特性才

能正常工作。默认情况下，Cisco IOS仅允许3次尝试登陆，可以用

AAA来调整该参数，在上例中，AAA：

1、被启用了(aaa new-model);

2、将登陆尝试次数增加到了5次(IOS默认为3次);

3、创建一个被成为local-policy策略，使用本地用户名数据库来

authentication failure rate

验证登陆到路由器的用户。

命令Security authentication只有一个参数threshold-rate，该

参数定义了一分钟内失败的登陆尝试次数。此时将会生成一条syslog

消息，threshold-rate的取值范围是2~1024，默认值为10。除了生

成syslog消息，再次允许登陆尝试之前需要延时15秒。

需要注意的是，threshold-rate必须小于等于aaa

authentication attempts login的设置值。否则，AAA将命令

security authentication记录时间之前断开连接尝试。