【正文】 N間完全隔離的示意圖接入層交換機(jī)與匯接層交化機(jī)的1000M線路采用VLAN TRUNK技術(shù)，可實(shí)現(xiàn)一個(gè)物理接口承載多個(gè)VLAN。有關(guān)QOS的細(xì)節(jié)在“QOS應(yīng)用”章節(jié)進(jìn)行了詳細(xì)闡述。VLAN Trunking技術(shù)的優(yōu)點(diǎn)在于采用一條高速通道連接，提高了通道的使用效率， 如在V2，V3無數(shù)據(jù)量的情況下，V1可以獨(dú)占此1000M帶寬；并且 可以使得線路的聯(lián)接變得簡(jiǎn)單，從而大大提高可靠性與易維護(hù)性。主要是通過一條高速全雙工干道(2000Mbps)來實(shí)現(xiàn)將一個(gè)交換機(jī)端口所劃分的不同VLAN與其它交換機(jī) 中各自的相應(yīng)VLAN成員進(jìn)行線路復(fù)用連接的技術(shù)。在VLAN的實(shí)現(xiàn)策略中，當(dāng)任意結(jié)合的局域網(wǎng)絡(luò)構(gòu)成VLAN時(shí)，本機(jī)信息包含了IEEE VLAN ID，如果此ID不能被設(shè)備的任何端口所接收，則它被過濾掉，只有本 機(jī)的信息從本交換機(jī)發(fā)出。最終實(shí)現(xiàn)如下圖的網(wǎng)絡(luò)：第四章 局域網(wǎng)及安全方案設(shè)計(jì) VLAN規(guī)劃由于以太網(wǎng)將是包鋼計(jì)量處網(wǎng)絡(luò)中核心層、接入層、匯接層使用的網(wǎng)絡(luò)標(biāo)準(zhǔn)，因此網(wǎng)絡(luò)可以看成是一個(gè)大局域網(wǎng)群，需要涉及到第三層交換，因此我們使用了Cisco公司的VLAN技術(shù)。第三章 需求分析要求具有較高性能的網(wǎng)絡(luò)，要達(dá)到1000M主干，100M到桌面要求方便管理，使得管理員通過遠(yuǎn)程就可以對(duì)網(wǎng)絡(luò)及終端進(jìn)行統(tǒng)一管理安全控制，對(duì)用戶進(jìn)行控制，及Arp病毒的控制。同時(shí)，在網(wǎng)絡(luò)帶寬非常寶貴的情況下，豐富的QoS機(jī)制，如：IP優(yōu)先、排隊(duì)、組內(nèi)廣播和鏈路壓縮等優(yōu)化技術(shù)能使實(shí)時(shí)的多媒體和關(guān)鍵業(yè)務(wù)得到有效的保障。隨著園區(qū)規(guī)模的擴(kuò)大、業(yè)務(wù)的增長(zhǎng)，網(wǎng)絡(luò)的擴(kuò)展和升級(jí)是不可避免的問題。 網(wǎng)絡(luò)的可管理性隨著網(wǎng)絡(luò)規(guī)模的日益擴(kuò)大，網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)和種類日益增加，網(wǎng)絡(luò)應(yīng)用日益多樣化，網(wǎng)絡(luò)管理也日益重要。第二章 網(wǎng)絡(luò)設(shè)計(jì)原則 網(wǎng)絡(luò)的連通性園區(qū)各計(jì)算機(jī)等終端設(shè)備之間良好的連通性是需要滿足的基本條件，網(wǎng)絡(luò)環(huán)境就是提供需要通信的計(jì)算機(jī)設(shè)備之間互通的環(huán)境，以實(shí)現(xiàn)豐富多彩的網(wǎng)絡(luò)應(yīng)用。在信息化時(shí)代，網(wǎng)絡(luò)已進(jìn)入了各行各業(yè)，同時(shí)也促進(jìn)了各個(gè)行業(yè)的發(fā)展。而對(duì)于各種制造業(yè)來說，一個(gè)強(qiáng)大穩(wěn)定的網(wǎng)絡(luò)，可以更好的提高公司的產(chǎn)量，為公司帶來更高的效益。 網(wǎng)絡(luò)的可靠性許多現(xiàn)有網(wǎng)絡(luò)在初始建設(shè)時(shí)不僅要考慮到如何實(shí)現(xiàn)數(shù)據(jù)傳輸，還要充分考慮網(wǎng)絡(luò)的冗余與可靠，否則一旦運(yùn)行過程網(wǎng)絡(luò)發(fā)生故障，系統(tǒng)又不能很快恢復(fù)工作，所帶來的后果便是園區(qū)的經(jīng)濟(jì)損失，影響園區(qū)的聲譽(yù)和形象。良好的網(wǎng)絡(luò)管理要重視網(wǎng)絡(luò)管理人力和財(cái)力的事先投入，主動(dòng)控制網(wǎng)絡(luò)，不僅能夠進(jìn)行定性管理，而且還能夠定量分析網(wǎng)絡(luò)流量，了解網(wǎng)絡(luò)健康狀況。思科通過模塊化的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)和模塊化的網(wǎng)絡(luò)產(chǎn)品，能為用戶的網(wǎng)絡(luò)提供很強(qiáng)的擴(kuò)展和升級(jí)能力。 網(wǎng)絡(luò)的高性能隨著互聯(lián)網(wǎng)的發(fā)展，上網(wǎng)用戶的不斷增多，訪問和數(shù)據(jù)傳輸量劇增，網(wǎng)絡(luò)負(fù)荷也相應(yīng)加重；隨著園區(qū)對(duì)多媒體技術(shù)的廣泛應(yīng)用，視頻數(shù)據(jù)、音頻數(shù)據(jù)也越來越耗費(fèi)網(wǎng)絡(luò)帶寬。要求所選設(shè)備要有很好的擴(kuò)展性 園區(qū)采用帶有2個(gè)千兆接口的Cisco 2811路由器，提供了充足的出口帶寬，下層采用全10/100/1000自適應(yīng)接口的Catalyst WSC3560E24TDS作為核心路由器，通過其強(qiáng)大的轉(zhuǎn)發(fā)能力和充足的帶寬，來保證園區(qū)網(wǎng)絡(luò)的暢通。VLAN是一種無所不在的基本技術(shù)結(jié)構(gòu)。VLAN可以將通訊量進(jìn)行有效的分割，從而很好的利用帶寬，并可以從邏輯的角度出發(fā)將實(shí)際的LAN基礎(chǔ)結(jié)構(gòu)分割成多個(gè)子網(wǎng)，這樣減輕了擴(kuò)容的壓力。VLAN Trunking技術(shù)的采用，節(jié)省了信道數(shù)據(jù)，提高了可靠性。如果不采用VLAN Trunking的技術(shù)，則虛擬網(wǎng)絡(luò)的結(jié)構(gòu)將如上圖所示，這樣則需要使用多條1000Mbps與其它的交換機(jī)互聯(lián)，其缺點(diǎn)是：線路帶寬的利用率不充分網(wǎng)絡(luò)間布線及接口相應(yīng)增多，造成系統(tǒng)管理的復(fù)雜性，降低了可靠性。 VLAN間的隔離虛網(wǎng)之間的完全隔離，可通過CISCO設(shè)備的訪問控制功能實(shí)現(xiàn)。此外CISCO交換機(jī)還提供增強(qiáng)的基于VLAN的生成樹算法（PVSTP+），實(shí)現(xiàn)負(fù)載的均攤。 內(nèi)部局域網(wǎng)絡(luò)的安全接入內(nèi)部局域網(wǎng)絡(luò)承擔(dān)著整個(gè)園區(qū)網(wǎng)絡(luò)的通訊樞紐功能，連接著所有的應(yīng)用服務(wù)器和數(shù)據(jù)系統(tǒng)，任何網(wǎng)絡(luò)安全問題都會(huì)擾亂園區(qū)的正常運(yùn)轉(zhuǎn)，給園區(qū)帶來不可彌補(bǔ)的損失。改動(dòng)后的IP地址在局域網(wǎng)中運(yùn)行時(shí)可能出現(xiàn)以下情況。 冒用合法用戶的IP地址當(dāng)合法用戶不在線時(shí)，冒用其IP地址聯(lián)網(wǎng)，使合法用戶的權(quán)益受到侵害無論是有意或無意地使用非法IP地址都可能會(huì)給園區(qū)帶來嚴(yán)重的后果，如重復(fù)的IP地址會(huì)干擾、破壞網(wǎng)絡(luò)服務(wù)器和網(wǎng)絡(luò)設(shè)備的正常運(yùn)行，甚至導(dǎo)致網(wǎng)絡(luò)的不穩(wěn)定，從而影響業(yè)務(wù)；擁有被非法使用的IP地址所擁有的特權(quán)，威脅網(wǎng)絡(luò)安全；利用欺騙性的IP地址進(jìn)行網(wǎng)絡(luò)攻擊，如富有侵略性的TCP SYN洪泛攻擊來源于一個(gè)欺騙性的IP地址，它是利用TCP三次握手會(huì)話對(duì)服務(wù)器進(jìn)行顛覆的一種攻擊方式，一個(gè)IP地址欺騙攻擊者可以通過手動(dòng)修改地址或者運(yùn)行一個(gè)實(shí)施地址欺騙的程序來假冒一個(gè)合法地址。地址解析協(xié)議（ARP，Address Resolution Protocol）最基本的功能是用來實(shí)現(xiàn)MAC地址和IP地址的綁定，這樣兩個(gè)工作站才可以通訊，通訊發(fā)起方的工作站以MAC廣播方式發(fā)送ARP請(qǐng)求，擁有此IP地址的工作站給予ARP應(yīng)答，并附上自己的IP和MAC地址。黑客一方面得到了想要的通信內(nèi)容，并可以通過工具破譯賬號(hào)、密碼、信息，另一方面，還可以惡意更改數(shù)據(jù)包中的一些信息。木馬病毒往往會(huì)利用ARP的欺騙獲取賬號(hào)和密碼，而蠕蟲病毒也往往利用IP地址欺騙技術(shù)來掩蓋它們真實(shí)的源頭主機(jī)。最后，令網(wǎng)絡(luò)管理員頭痛的問題是如何準(zhǔn)確定位。 這個(gè)過程往往要花費(fèi)大量的時(shí)間才能夠定位機(jī)器具體連接的物理端口，而對(duì)于偽造的源IP地址要查出是從哪臺(tái)機(jī)器產(chǎn)生的就更加困難了。人為實(shí)施通常是指使用一些黑客的工具對(duì)網(wǎng)絡(luò)進(jìn)行掃描和嗅探，獲取管理帳戶和相關(guān)密碼，在網(wǎng)絡(luò)上中安插木馬，從而進(jìn)行進(jìn)一步竊取機(jī)密文件。因?yàn)槿魏我粋€(gè)合法用戶都能獲取一個(gè)以太網(wǎng)端口的訪問權(quán)限，這些用戶都有可能成為黑客，同時(shí)由于設(shè)計(jì)OSI模型的時(shí)候，允許不同通信層在相互不了解情況下也能進(jìn)行工作，所以第二層的安全就變得至關(guān)重要。目前這類攻擊和欺騙工具已經(jīng)非常成熟和易用。MAC地址泛濫攻擊的防范 MAC泛濫攻擊的原理和危害交換機(jī)主動(dòng)學(xué)習(xí)客戶端的MAC地址，并建立和維護(hù)端口和MAC地址的對(duì)應(yīng)表以此建立交換路徑，這個(gè)表就是通常我們所說的CAM表。此類攻擊不僅造成安全性的破壞，同時(shí)大量的廣播包降低了交換機(jī)的性能。Cisco Catalyst交換機(jī)的端口安全（Port Security）和動(dòng)態(tài)端口安全功能可被用來阻止MAC泛濫攻擊。通過配置Port Security可以控制：端口上最大可以通過的MAC地址數(shù)量端口上學(xué)習(xí)或通過哪些MAC地址對(duì)于超過規(guī)定數(shù)量的MAC處理進(jìn)行違背處理端口上學(xué)習(xí)或通過哪些MAC地址，可以通過靜態(tài)手工定義，也可以在交換機(jī)自動(dòng)學(xué)習(xí)。Protect：丟棄非法流量，不報(bào)警。DHCP server的DOS攻擊。黑客利用類似Goobler的工具可以發(fā)出大量帶有不同源MAC地址的DHCP請(qǐng)求，直到DHCP服務(wù)器對(duì)應(yīng)網(wǎng)段的所有地址被占用，此類攻擊既可以造成DOS的破壞，也可和DHCP服務(wù)器欺詐結(jié)合將流量重指到意圖進(jìn)行流量截取的惡意節(jié)點(diǎn)。首先一個(gè)黑客會(huì)廣播許多含有欺騙性MAC地址的DHCP請(qǐng)求（動(dòng)態(tài)主機(jī)配置請(qǐng)求），從而耗盡合法DHCP服務(wù)器上的地址空間，一旦其空間地址被耗盡，這個(gè)“不可靠”的DHCP服務(wù)器就開始向“用戶”的DHCP請(qǐng)求進(jìn)行應(yīng)答了，這些應(yīng)答信息中將包括DNS服務(wù)器和一個(gè)默認(rèn)網(wǎng)關(guān)的信息，這些信息就被用來實(shí)施一個(gè)MITM中間人攻擊。通過截取一個(gè)虛擬局域網(wǎng)內(nèi)的DHCP信息，交換機(jī)可以在用戶和DHCP服務(wù)器之間擔(dān)任就像小型安全防火墻這樣的角色，“DHCP監(jiān)聽”功能基于動(dòng)態(tài)地址分配建立了一個(gè)DHCP綁定表，并將該表存貯在交換機(jī)里。Catalyst DHCP偵聽（DHCP Snooping）對(duì)于下邊介紹的其他阻止ARP欺騙和IP/MAC地址的欺騙是必需的。ARP欺騙攻擊原理和防范 ARP欺騙攻擊原理ARP是用來實(shí)現(xiàn)MAC地址和IP地址的綁定，這樣兩個(gè)工作站才可以通訊，通訊發(fā)起方的工作站以MAC廣播方式發(fā)送ARP請(qǐng)求，擁有此IP地址的工作站給予ARP應(yīng)答，送回自己的IP和MAC地址。為了保持ARP欺騙的持續(xù)有效，黑客程序每隔30秒重發(fā)此私有主動(dòng)式ARP。這樣，A 和C 都認(rèn)為對(duì)方的MAC 地址是020202020202，實(shí)際上這就是B 主機(jī)所需得到的結(jié)果。如此一來，在A 和C 看來，彼此發(fā)送的數(shù)據(jù)包都是直接到達(dá)對(duì)方的，但在B 來看，自己擔(dān)當(dāng)?shù)木褪恰暗谌摺钡慕巧?。DHCP Snooping監(jiān)聽綁定表包括IP地址與MAC地址的綁定信息并將其與特定的交換機(jī)端口相關(guān)聯(lián)，動(dòng)態(tài)ARP檢測(cè)（DAI－Dynamic ARP Inspection）可以用來檢查所有非信任端口的ARP請(qǐng)求和應(yīng)答(主動(dòng)式ARP和非主動(dòng)式ARP)，確保應(yīng)答來自真正的ARP所有者。對(duì)于沒有使用DHCP的服務(wù)器個(gè)別機(jī)器可以采用靜態(tài)添加DHCP綁定表或ARP accesslist實(shí)現(xiàn)。配置示例IOS全局命令：ip dhcp snooping vlan 100,200 no ip dhcp snooping information optionip dhcp snoopingip arp inspection vlan 100,200 /*定義對(duì)哪些VLAN進(jìn)行ARP報(bào)文檢測(cè)*/ip arp inspection logbuffer entries 1024ip arp inspection logbuffer logs 1024 interval 10IOS接口命令：ip dhcp snooping trustip arp inspection trust /*定義哪些接口是信任接口，通常是網(wǎng)絡(luò)設(shè)備接口，TRUNK接口等*/ip arp inspection limit rate 15 (pps) /*定義接口每秒ARP報(bào)文數(shù)量*/對(duì)于沒有使用DHCP設(shè)備可以采用下面辦法：arp accesslist staticarp permit ip host mac host ip arp inspection filter staticarp vlan 201配置DAI后的效果在配置DAI技術(shù)的接口上，用戶端不能采用指定地址地址將接入網(wǎng)絡(luò)。常見的欺騙種類有MAC欺騙、IP欺騙、IP/MAC欺騙，其目的一般為偽造身份或者獲取針對(duì)IP/MAC的特權(quán)。一個(gè)IP地址欺騙攻擊者可以通過手動(dòng)修改地址或者運(yùn)行一個(gè)實(shí)施地址欺騙的程序來假冒一個(gè)合法地址。因此，DHCP Snooping功能對(duì)于這個(gè)功能的動(dòng)態(tài)實(shí)現(xiàn)也是必不可少的，對(duì)于那些沒有用到DHCP的網(wǎng)絡(luò)環(huán)境來說，該綁定表也可以靜態(tài)配置。通過在交換機(jī)上配置IP Source Guard，可以過濾掉非法的IP/MAC地址，包含用戶故意修改的和病毒、攻擊等造成的。另外，任何管理員、任何時(shí)候?qū)W(wǎng)絡(luò)設(shè)備的任何操作，都要有詳細(xì)的記錄，具體到管理員鍵盤輸入的每一條命令，為設(shè)備的維護(hù)提供了極大的方便。因此，對(duì)網(wǎng)絡(luò)上的用戶進(jìn)行分級(jí)管理，是十分必要的。每類又可分為以下三種不同的用戶分級(jí)。區(qū)域高級(jí)網(wǎng)絡(luò)管理員：區(qū)域高級(jí)網(wǎng)絡(luò)管理員負(fù)責(zé)本區(qū)域內(nèi)部的網(wǎng)絡(luò)設(shè)備的管理和配置，同時(shí)與中心網(wǎng)絡(luò)管理員協(xié)調(diào)處理區(qū)域之間的網(wǎng)絡(luò)問題。中心網(wǎng)絡(luò)管理員：中心一般網(wǎng)絡(luò)管理員負(fù)責(zé)整個(gè)網(wǎng)的管理和維護(hù)，能執(zhí)行Cisco IOS 軟件用戶模式全部的命令和特權(quán)模式部分的命令，例如 升級(jí)IOS軟件、 參數(shù)配置、 DEBUG測(cè)試等。推出了一個(gè)全新的集成多業(yè)務(wù)路由器系列，它進(jìn)行了專門的優(yōu)化，可安全、線速地同時(shí)提供數(shù)據(jù)、話音和視頻服務(wù)，重新定義了最佳大型企業(yè)和中小型企業(yè)路由。圖1 Cisco 2800系列 產(chǎn)品概述Cisco 2800系列由四個(gè)新平臺(tái)組成（參見圖1）：Cisco 280Cisco 281Cisco 2821和Cisco 2851。用于數(shù)據(jù)、話音和視頻的安全網(wǎng)絡(luò)連接安全已成為網(wǎng)絡(luò)的基本構(gòu)建塊。軟件高級(jí)安全特性集，Cisco 2800在一個(gè)解決方案集中提供了一系列強(qiáng)大的通用安全特性，如Cisco IOS Software Firewall、入侵保護(hù)、IPSec VPN、Secure Shell (SSH)（SNMPv3）。融合IP通信如圖2所示，Cisco 2800系列可滿足中小型企業(yè)和企業(yè)分支機(jī)構(gòu)的IP通信需求，同時(shí)在單一路由平臺(tái)中提供業(yè)界領(lǐng)先的安全性。帶集成Cisco CME的Cisco 2800系列提供了一個(gè)核心電話特性集，以滿足客戶日常業(yè)務(wù)需求，它們利用內(nèi)嵌于Cisco 2800系列中范圍廣泛的話音功能（如表1所示）以及Cisco IOS軟件中的可選特性，可為中小型分支機(jī)構(gòu)環(huán)境提供強(qiáng)大的IP電話服務(wù)。這種靈活性大大擴(kuò)展了Cisco 2800系列的潛在應(yīng)用，使其超越傳統(tǒng)路由，且仍保持著集成的優(yōu)勢(shì)。此外，Cisco IOS軟件支持全套傳輸協(xié)議、服務(wù)質(zhì)量（QoS）工具，以及先進(jìn)的安全和話音應(yīng)用。 內(nèi)嵌安全硬件加速 支持Cisco IOS 特性集 用于發(fā)送以太網(wǎng)電源 (PoE)的可選集成電源 可選集成通用直流電源 模塊化特性和優(yōu)勢(shì)Cisco 2800系列提供了大幅增強(qiáng)的模塊化功能（參見表2），同時(shí)保持了投資保護(hù)。 表2 模塊化特性和優(yōu)勢(shì)特性 優(yōu)勢(shì) 增強(qiáng)網(wǎng)絡(luò)模塊 (NME) 插槽 主板上的分組話音DSP模塊(PVDM) 插槽 安全聯(lián)網(wǎng)–特性和優(yōu)勢(shì)Cisco 2800系列具有增強(qiáng)安全功能，如表3所示。 先進(jìn)的安全性和策略實(shí)施提供了眾多特性，如基于應(yīng)用的狀態(tài)過濾（基于環(huán)境的訪問控制）、每用戶驗(yàn)證和授權(quán)、實(shí)時(shí)報(bào)警、透明防火墻和IPv6防火墻。 思科自防御網(wǎng)絡(luò)計(jì)劃旨在大幅提高網(wǎng)絡(luò)識(shí)別、防御和適應(yīng)威脅的能力，僅允許針對(duì)符合標(biāo)準(zhǔn)的可信任端點(diǎn)設(shè)備的網(wǎng)絡(luò)接入。 板載 USB 入侵保護(hù)