【正文】 ? Switch(configif )interface Fa0/20 ＃進(jìn)入配置具體端口的模式 ? Switch(configif )mac accessgroup MAC10 in ＃在該端口上應(yīng)用名為 MAC10的訪問列表（即前面定義的訪問策略） ? Switch(configif )ip accessgroup IP10 in ＃在該端口上應(yīng)用名為 IP10的訪問列表（即前面定義的訪問策略） ? Switch(config)no mac accesslist extended MAC10 in ＃清除名為 MAC10的訪問列表 ? Switch(config)no ip accessgroup IP10 in ＃清除名為 IP10的訪問列表 ? 交換機(jī)端口與主機(jī)地址的安全配置 ? MAC地址與端口綁定 ?35501conf t ?35501(config)int f0/1 ?35501(configif)switchport mode access /指定端口模式 ?35501(configif)switchport portsecurity macaddress 0090F51079C1 /配置 MAC地址 ?35501(configif)switchport portsecurity maximum 1 ? /限制此端口允許通過的 MAC地址數(shù)為 1 ?35501(configif)switchport portsecurity violation shutdown /當(dāng)發(fā)現(xiàn)與上述配置不符時(shí)，端口 down掉。 交換機(jī)的安全配置實(shí)踐 ? 配置交換機(jī)使網(wǎng)絡(luò)對(duì)可訪問站點(diǎn)進(jìn)行控制，從而實(shí)現(xiàn)對(duì)自身的保護(hù)； ? 端口安全（ portsecure）命令定義了一個(gè)最大值，即在 MAC地址表中與交換機(jī)端口相聯(lián)系的所允許的最多目的 MAC地址。 ? IDS功能 安全交換機(jī)的入侵檢測(cè)系統(tǒng)（ IDS）功能可以根據(jù)上報(bào)信息和數(shù)據(jù)流內(nèi)容進(jìn)行檢測(cè)，在發(fā)現(xiàn)網(wǎng)絡(luò)安全事件時(shí)，進(jìn)行有針對(duì)性的操作，并將這些對(duì)安全事件反應(yīng)的動(dòng)作發(fā)送到交換機(jī)上，由交換機(jī)來實(shí)現(xiàn)精確的端口斷開操作。它可把網(wǎng)絡(luò)分成一個(gè)個(gè)獨(dú)立的區(qū)域，控制這些區(qū)域是否可以通信 。它能夠在利用 IEEE 802局域網(wǎng)優(yōu)勢(shì)的基礎(chǔ)上提供一種對(duì)連接到局域網(wǎng)的用戶進(jìn)行認(rèn)證和授權(quán)的手段，達(dá)到接受合法用戶接入，保護(hù)網(wǎng)絡(luò)安全的目的 ； ? LAN架構(gòu)的物理特性，實(shí)現(xiàn)了 LAN端口上的設(shè)備認(rèn)證 ； ? 在 ，只有具備了以下三個(gè)元素才能夠完成基于端口的訪問控制的用戶認(rèn)證和授權(quán)： 客戶端 ， 認(rèn)證系統(tǒng) 和 認(rèn)證服務(wù)器 。 ? 交換機(jī) 安全 ?安全交換機(jī)含義 ? 交換機(jī)最重要的作用是轉(zhuǎn)發(fā)數(shù)據(jù) 。 ? 交換機(jī)的地址 “ 學(xué)習(xí) ” ?交換機(jī)能夠通過讀取傳送包的源 MAC地址和記錄幀進(jìn)入交換機(jī)的端口來 “ 學(xué)習(xí) ” 網(wǎng)絡(luò)上每個(gè)設(shè)備的地址 ， 然后，交換機(jī)把該信息加到它的轉(zhuǎn)發(fā)數(shù)據(jù)庫 (MAC地址表 )中 ； ? 如果在一段時(shí)間內(nèi)都沒有被使用過的 MAC地址將從 MAC列表中刪除 ， 通過這個(gè)時(shí)間標(biāo)記來保證刪除過時(shí)的地址和保持最新的地址。 ? 交換機(jī)基礎(chǔ) ? 交換機(jī)功能 ； ? 交換機(jī)的地址 “ 學(xué)習(xí) ” ； ? 交換機(jī)的轉(zhuǎn)發(fā)與過濾 。 (4) 在 “ 網(wǎng)關(guān) ” 項(xiàng)中，將路由器的 E0地址（本例為 ）填入，作為默認(rèn)網(wǎng)關(guān)。若要轉(zhuǎn)到某個(gè)會(huì)話，輸入 session number（ “1” 或 “2” ）即可。在沒有斷開連接的情況下回到命令行，按下 [Ctrl]＋ [Shift]＋ 6，然后按下 x，將顯示控制臺(tái)服務(wù)器提示符。 ? 簡單網(wǎng)管協(xié)議 SNMP的安全 ? 路由器的網(wǎng)絡(luò)安全配置 ? 物理結(jié)構(gòu)的布局 如果路由器有一個(gè)以上的局域網(wǎng)端口，或幾臺(tái)路由器并行使用，可以根據(jù)訪問性質(zhì)進(jìn)行分類 ； ? 路由器的簡單防火墻功能 常用的路由器一般都有訪問控制列表 ACL（ Access List），即包過濾防火墻功能。 ? 為進(jìn)入特權(quán)模式設(shè)置強(qiáng)壯的密碼，可采用 enable secret（不要采用 enable password）命令進(jìn)行設(shè)置，并且啟用 Service passwordencryption； ? 嚴(yán)格控制 CON端口的訪問 ； ? 如果不使用 AUX端口，則應(yīng)禁止該端口，使用如下命令即可（默認(rèn)情況下是未被啟用） ； ? 若要對(duì)權(quán)限進(jìn)行分級(jí)，采用權(quán)限分級(jí)策略 。 Keepalived的 VRRP功能是從Linux中 VRRPD發(fā)展而來的 。 VRRP將局域網(wǎng)的一組路由器（包括一個(gè)主路由器和若干個(gè)備份路由器）組織成一個(gè)虛擬路由器，稱之為一個(gè)備份組 ； ? 虛擬路由器擁有自己的 IP地址 ，備份組內(nèi)的路由器也有自己的 IP地址（如 Master的 IP地址為 ， Backup的 IP地址為 ）。虛擬 IP地址在路由器間共享，控制虛擬路由器 IP地址的 VRRP路由器稱為主路由器，其它的則為備份路由器。 ACL在路由器上讀取第三層及第四層包頭中的信息（如源地址、目的地址、源端口、目的端口等），根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過濾，從而達(dá)到訪問控制的目的 ； ? ACL有標(biāo)準(zhǔn) ACL和擴(kuò)展 ACL兩種 。在動(dòng)態(tài)路由選擇算法中， 應(yīng)用 分布式路由選擇算法 。 ③ 三是在同樣的容量下， RAID比起傳統(tǒng)的大直徑磁盤驅(qū)動(dòng)器來，價(jià)格要低許多。 ? RAID的優(yōu)點(diǎn)包括以下幾點(diǎn)： ① 一是成本低，功耗小，傳輸速率高。 ? RAID提供了服務(wù)器中接入多個(gè)磁盤 （ 專指硬盤 ） 時(shí) ， 以磁盤陣列方式組成一個(gè)超大容量 、 響應(yīng)速度快 、 可靠性高的存儲(chǔ)子系統(tǒng) 。也簡稱為“磁盤陣列”。采用集群系統(tǒng)通常是為了提高系統(tǒng)的穩(wěn)定性和網(wǎng)絡(luò)中心的數(shù)據(jù)處理能力及服務(wù)能力。當(dāng)工作機(jī)出現(xiàn)異常，不能支持信息系統(tǒng)運(yùn)營時(shí)，備份機(jī)主動(dòng)接管工作機(jī)的工作，繼續(xù)支持信息的運(yùn)營，從而保證信息系統(tǒng)能夠不間斷的運(yùn)行。 。 ?電源保護(hù) 為計(jì)算機(jī)信息系統(tǒng)設(shè)備的可靠運(yùn)行提供能源保障，例如使用不間斷電源、紋波抑制器、電源調(diào)節(jié)軟件等。 物理安全 計(jì)算機(jī)系統(tǒng)無論是硬件還是軟件都不可避免存在發(fā)生故障的可能，但并不是發(fā)生故障就一定意味著該系統(tǒng)完全失效。計(jì)算機(jī)系統(tǒng)大多擁有 “ 容錯(cuò) ” 能力，即允許存在某些錯(cuò)誤，盡管系統(tǒng)硬件有故障或程序有錯(cuò)誤，仍能正確執(zhí)行特定算法和提供系統(tǒng)服務(wù) 。可歸納為兩個(gè)方面：對(duì)工作電源的工作連續(xù)性的保護(hù)（如不間斷電源 UPS，Uninterruptible Power Supply）；對(duì)工作電源的工作穩(wěn)定性的保護(hù)（如紋波抑制器）。 9 ?（ Dual Active）基本簡介 ? 所謂雙機(jī)熱備互援就是兩臺(tái)主機(jī)均為工作機(jī)，在正常情況下，兩臺(tái)工作機(jī)均為信息系統(tǒng)提供支持，并互相監(jiān)視對(duì)方的運(yùn)行情況。 11 集群系統(tǒng) ? 集群，英文名稱為 Cluster，通俗地說，集群是這樣一種技術(shù)：它至少將兩個(gè)系統(tǒng)連接到一起，使多臺(tái)服務(wù)器能夠像一臺(tái)機(jī)器那樣工作或者看起來好像一臺(tái)機(jī)器。 12 ?集群系統(tǒng) ?在集群系統(tǒng)中，所有的計(jì)算機(jī)擁有一個(gè)共同的名稱，集群內(nèi)任一系統(tǒng)上運(yùn)行的服務(wù)可被所有的網(wǎng)絡(luò)客戶所使用。 RAID將一組磁盤驅(qū)動(dòng)器用某種邏輯方式聯(lián)系起來，作為邏輯上的一個(gè)磁盤驅(qū)動(dòng)器來使用。 通過對(duì)數(shù)據(jù)分塊和交叉存儲(chǔ)兩項(xiàng)技術(shù)的使用 ， 使 CPU實(shí)現(xiàn)通過硬件方式對(duì)數(shù)據(jù)的分塊控制和對(duì)磁盤陣列中數(shù)據(jù)的并行調(diào)度等功能 。在 RAID中，可以讓很多磁盤驅(qū)動(dòng)器同時(shí)傳輸數(shù)據(jù)，而這些磁盤驅(qū)動(dòng)器在邏輯上又是一個(gè)磁盤驅(qū)動(dòng)器，所以使用 RAID可以達(dá)到單個(gè)的磁盤驅(qū)動(dòng)器幾倍、幾十倍甚至上百倍的速率。 路由器安全與應(yīng)用實(shí)踐 ? 路由器是網(wǎng)絡(luò)的神經(jīng)中樞，是眾多網(wǎng)絡(luò)設(shè)備的重要一 員； ? 廣域網(wǎng)就是靠一個(gè)個(gè)路由器連接起來組成的 ； ? 路由器對(duì)網(wǎng)絡(luò)的應(yīng)用和安全具有極重要的地位 。 在該類算法中，最常用的是距離向量路由選擇算法和鏈路狀態(tài)路由選擇算法。 這兩種類型的 ACL都可以基于序列號(hào)和命名進(jìn)行配置 。主路由器負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包到這些虛擬 IP地址 ； ? VRRP協(xié)議中優(yōu)先級(jí)范圍是 0255。局域網(wǎng)內(nèi)的主機(jī)僅僅知道這個(gè)虛擬路由器的 IP地址而并不知道具體的 Master路由器的 IP地址以及 Backup路由器的 IP地址，它們將自己的缺省路由下一跳地址設(shè)置為該虛擬路由器的 IP地址。 ? Keepalived的安裝