【正文】 具體信息請(qǐng)參見(jiàn)各接口卡的產(chǎn)品介紹。C 海平面 尺寸 (H x W x D) x x in. ( x 445 x 419 mm) x x in. ( x x mm) x x in. ( x x mm) 機(jī)架高度 1 機(jī)架單元(1RU) 2RU 重量 (全配置) lb ( kg) 14 lb ( kg) 25 lb ( kg) 噪音級(jí)別(最低/最高) 39 dBA，正常工作溫度(90176。149176。Cisco 2800系列提供了增強(qiáng)性能和更高模塊化密度，以線速支持多種服務(wù)，從而滿足了上述要求。 縮短系統(tǒng)啟動(dòng)時(shí)間，減少由Cisco IOS軟件重啟動(dòng)而造成的停機(jī)時(shí)間 (注: Cisco 2801將在稍后支持 Cisco IOS 軟件的熱重啟動(dòng))。. 支持 SRST 集成語(yǔ)音留言 對(duì)于針對(duì)以太網(wǎng)交換網(wǎng)絡(luò)模塊和 HWIC的可選思科饋線配電支持，可用于為思科IP電話供電。 URL過(guò)濾 通過(guò)Cisco IOS174。 多協(xié)議標(biāo)簽交換(MPLS) VPN支持 基于硬件的加密加速集成在每種Cisco 2800系列路由器的主板上，可卸載加密過(guò)程，與基于軟件的解決方案相比，以較少的CPU開(kāi)支為路由器提供了更高的IPSec吞吐量。 靈活的機(jī)型支持多達(dá)2個(gè)雙寬 HWIC (HWICD) 模塊。 NME插槽高度靈活，在未來(lái)可支持?jǐn)U展 NME (僅在Cisco 2821和2851上支持NMEX) 和增強(qiáng)雙寬NME (NMEXD) (注: 僅限Cisco 2851)。其模塊化架構(gòu)進(jìn)行了重設(shè)計(jì)，以支持不斷提高的帶寬要求、時(shí)分多路（TDM）互聯(lián)， PoE或思科饋線電源的模塊的全面集成式電源分發(fā)，同時(shí)仍支持大多數(shù)現(xiàn)有模塊。 內(nèi)部電源的可選升級(jí)為可選集成交換機(jī)模塊提供了饋線電源。 Cisco 2801路由器配備64 MB閃存和128 MB DRAM內(nèi)存。 若干插槽類(lèi)型可在未來(lái)以“隨發(fā)展而集成”的模式添加連接和服務(wù)。優(yōu)勢(shì)包括管理方便、更低解決方案成本（CAPEX和OPEX），以及更快部署速度。Cisco CallManager Express (CME)是一個(gè)內(nèi)嵌于Cisco IOS軟件的可選解決方案，為思科IP電話提供了呼叫處理。路由器在網(wǎng)絡(luò)防御戰(zhàn)略中起重要作用，因?yàn)榘踩孕鑳?nèi)嵌于整個(gè)網(wǎng)絡(luò)之中。模塊化Cisco174。能執(zhí)行全部的命令，例如：升級(jí)IOS軟件、參數(shù)配置、 DEBUG測(cè)試等，同時(shí)他可以建立一些低級(jí)的用戶賬號(hào)。缺省情況下，Cisco IOS 軟件 有兩種模式，用戶模式和特權(quán)模式， 每種模式又可以設(shè)置16種不同層次的優(yōu)先級(jí)別，用戶可以對(duì)這16種不同層次的優(yōu)先級(jí)別進(jìn)行設(shè)置，從而使不同的用戶具有不同的權(quán)限，可以執(zhí)行自己權(quán)限范圍內(nèi)的命令，以完成不同的網(wǎng)絡(luò)管理目的。同時(shí)解決了IP地址沖突問(wèn)題。另外病毒和木馬的攻擊也會(huì)使用欺騙的源IP地址。由于DAI檢查 DHCP snooping綁定表中的IP和MAC對(duì)應(yīng)關(guān)系，無(wú)法實(shí)施中間人攻擊，攻擊工具失效。Catalyst交換機(jī)通過(guò)檢查端口紀(jì)錄的DHCP綁定信息和ARP應(yīng)答的IP地址決定是否真正的ARP所有者，不合法的ARP包將被刪除。當(dāng)然，因?yàn)锳RP 緩存表項(xiàng)是動(dòng)態(tài)更新的，其中動(dòng)態(tài)生成的映射有個(gè)生命期，一般是兩分鐘，如果再?zèng)]有新的信息更新，ARP 映射項(xiàng)會(huì)自動(dòng)去除。ARP協(xié)議同時(shí)支持一種無(wú)請(qǐng)求ARP功能，局域網(wǎng)段上的所有工作站收到主動(dòng)ARP廣播，會(huì)將發(fā)送者的MAC地址和其宣布的IP地址保存，覆蓋以前cache的同一IP地址和對(duì)應(yīng)的MAC地址，主動(dòng)式ARP合法的用途是用來(lái)以備份的工作站替換失敗的工作站。在沒(méi)有DHCP的環(huán)境中，如數(shù)據(jù)中心，綁定條目可能被靜態(tài)定義，每個(gè)DHCP綁定條目包含客戶端地址（一個(gè)靜態(tài)地址或者一個(gè)從DHCP服務(wù)器上獲取的地址）、客戶端MAC地址、端口、VLAN ID、租借時(shí)間、綁定類(lèi)型（靜態(tài)的或者動(dòng)態(tài)的）。DHCP服務(wù)器欺詐可能是故意的，也可能是無(wú)意啟動(dòng)DHCP服務(wù)器功能，惡意用戶發(fā)放錯(cuò)誤的IP地址、DNS服務(wù)器信息或默認(rèn)網(wǎng)關(guān)信息，以此來(lái)實(shí)現(xiàn)流量的截取。Restrict：丟棄非法流量，報(bào)警。例如交換機(jī)連接單臺(tái)工作站的端口，可以限制所學(xué)MAC地址數(shù)為1；連接IP電話和工作站的端口可限制所學(xué)MAC地址數(shù)為3：IP電話、工作站和IP電話內(nèi)的交換機(jī)。CAM表的大小是固定的，不同的交換機(jī)的CAM表大小不同。如果這一層受到黑客的攻擊，網(wǎng)絡(luò)安全將受到嚴(yán)重威脅，而且其他層之間的通信還會(huì)繼續(xù)進(jìn)行，同時(shí)任何用戶都不會(huì)感覺(jué)到攻擊已經(jīng)危及應(yīng)用層的信息安全。如果不能及時(shí)對(duì)故障源準(zhǔn)確地定位、迅速地隔離，將會(huì)導(dǎo)致嚴(yán)重的后果，即使在網(wǎng)絡(luò)恢復(fù)正常后隱患依然存在。如“網(wǎng)吧傳奇殺手” （）木馬病毒就是一個(gè)專(zhuān)門(mén)竊取“傳奇”游戲密碼的惡性木馬病毒，其工作原理是對(duì)局域網(wǎng)中的機(jī)器進(jìn)行ARP欺騙，虛擬內(nèi)部的網(wǎng)關(guān)地址，以此來(lái)收集局域網(wǎng)中傳奇游戲登錄信息，通過(guò)解析加密方式從而得到用戶信息的破壞性軟件。ARP協(xié)議同時(shí)支持一種無(wú)請(qǐng)求ARP功能，局域網(wǎng)段上的所有工作站收到主動(dòng)ARP，會(huì)將發(fā)送者的MAC地址和其宣布的IP地址保存，覆蓋以前的同一IP地址和對(duì)應(yīng)的MAC地址。 252。 Vlan的管理眾多的VLAN如果缺乏管理同樣會(huì)造成網(wǎng)絡(luò)管理人員的困惑和網(wǎng)絡(luò)運(yùn)行的混亂，通過(guò)VTP（Visual Trunking Protocol）的使用，我們可以統(tǒng)一管理VLAN的創(chuàng)建、刪除、分配和使用。 VLAN的設(shè)計(jì)在包鋼計(jì)量處的設(shè)計(jì)中我們劃分VLAN的原則為：依據(jù)部門(mén)的組織結(jié)構(gòu)；依據(jù)業(yè)務(wù)；為了實(shí)現(xiàn)按不同的業(yè)務(wù)劃分VLAN，VLAN的劃分將打破傳統(tǒng)方法：不按地理位置劃分，而是每個(gè)業(yè)務(wù)VLAN將跨越數(shù)個(gè)接入層，這樣，保證了相同業(yè)務(wù)的工作站雖然所處位置不同但是在邏輯上屬于同一個(gè)虛網(wǎng)。因此我們認(rèn)為虛擬網(wǎng)絡(luò)的配置與實(shí)施對(duì)包鋼計(jì)量處這樣一個(gè)大型的網(wǎng)絡(luò)來(lái)說(shuō)是非常必要的。接入層采用Cisco公司專(zhuān)為中國(guó)客戶設(shè)計(jì)研發(fā)的Catalyst WSC291824TCC，其中文界面使管理員更容易對(duì)其管理。 網(wǎng)絡(luò)的多媒體支持由于視頻會(huì)議、視頻點(diǎn)播、IP電話等多媒體技術(shù)的日趨成熟，網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)已不再是單一數(shù)據(jù)了，多媒體網(wǎng)絡(luò)傳輸成為世界網(wǎng)絡(luò)技術(shù)的趨勢(shì)。 網(wǎng)絡(luò)的安全性在商品競(jìng)爭(zhēng)日益激烈的今天，園區(qū)對(duì)網(wǎng)絡(luò)的安全性有非常高的要求。Cisco 網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)設(shè)計(jì)技術(shù)方案第一章 前言隨著信息技術(shù)的不斷發(fā)展，信息技術(shù)對(duì)社會(huì)進(jìn)步和國(guó)民經(jīng)濟(jì)發(fā)展起著越來(lái)越大的促進(jìn)作用，并對(duì)傳統(tǒng)的思想觀念和工作方式帶來(lái)巨大的沖擊。在很多園區(qū)在局域網(wǎng)和廣域網(wǎng)絡(luò)中傳遞的數(shù)據(jù)都是相當(dāng)重要的信息，因此一定要保證數(shù)據(jù)安全保密，防止非法竊聽(tīng)和惡意破壞，在網(wǎng)絡(luò)建設(shè)的開(kāi)始就考慮采用嚴(yán)密的網(wǎng)絡(luò)安全措施。園區(qū)著眼于未來(lái)，對(duì)網(wǎng)絡(luò)的多媒體支持是有很多需求的。此外在商務(wù)部使用Linksys WRT54GL來(lái)達(dá)到對(duì)商務(wù)部的無(wú)線覆蓋，使筆記本用戶能夠更加方便的訪問(wèn)互聯(lián)網(wǎng)。另外，為了完成各個(gè)不同VLAN間通信，就要使用VLAN Trunking。此外，CISCO的設(shè)備提供了靈活的QOS功能，能夠使每個(gè)VLAN的帶寬根據(jù)需要分配。比如我們將核心交換機(jī)6509設(shè)為VTP DOMAIN中的SERVER角色，而將其它交換機(jī)設(shè)為VTP DOMAIN中的CLIENT角色，那么將只有核心交換機(jī)6509可以進(jìn)行VLAN的創(chuàng)建和刪除，任何其他交換機(jī)將只能使用由6509已創(chuàng)建好的VLAN，即只能將某個(gè)端口加入某個(gè)VLAN，而不能自由的重新創(chuàng)建一個(gè)VLAN。 非法的IP地址即IP地址不在規(guī)劃的局域網(wǎng)范圍內(nèi)252。術(shù)語(yǔ)“ARP欺騙”或者說(shuō)“ARP中毒”就是指利用主動(dòng)ARP來(lái)誤導(dǎo)通信數(shù)據(jù)傳往一個(gè)惡意計(jì)算機(jī)的黑客技術(shù)，該計(jì)算機(jī)就能成為某個(gè)特定局域網(wǎng)網(wǎng)段上的兩臺(tái)終端工作站之間IP會(huì)話的“中間人”了。在局域網(wǎng)中運(yùn)行這個(gè)病毒后，就可以獲得整個(gè)局域網(wǎng)中“傳奇”玩家的帳戶和密碼等信息。 阻止來(lái)自網(wǎng)絡(luò)第二層攻擊的重要性以上所提到的攻擊和欺騙行為主要來(lái)自網(wǎng)絡(luò)的第二層。所以，僅僅基于認(rèn)證（如IEEE ）和訪問(wèn)控制列表（ACL，Access Control Lists）的安全措施是無(wú)法防止本文中提到的來(lái)自網(wǎng)絡(luò)第二層的安全攻擊。MAC/CAM攻擊是指利用工具產(chǎn)生欺騙MAC，快速填滿CAM表，交換機(jī)CAM表被填滿。通過(guò)端口安全功能，網(wǎng)絡(luò)管理員也可以靜態(tài)設(shè)置每個(gè)端口所允許連接的合法MAC地址，實(shí)現(xiàn)設(shè)備級(jí)的安全授權(quán)。配置示例Port Security配置選項(xiàng)：Switch(configif) switchport portsecurity ? aging Portsecurity aging mands macaddress Secure mac address maximum Max secure addresses violation Security violation mode配置Port Security最大MAC數(shù)目，違背處理方式，恢復(fù)方法：Switch(config)int fastEthernet 3/48Switch (configif)switchport portsecuritySwitch (configif)switchport portsecurity maximum 2 Switch (configif)switchport portsecurity violation shutdown Switch (config)errdisable recovery cause psecureviolationSwitch (config)errdisable recovery interval 30 通過(guò)配置sticky portsecurity學(xué)得的MAC：interface FastEthernet3/29 switchport mode access switchport portsecurity switchport portsecurity maximum 5 switchport portsecurity macaddress sticky switchport portsecurity macaddress sticky switchport portsecurity macaddress sticky switchport portsecurity macaddress sticky switchport portsecurity macaddress sticky DHCP欺騙攻擊的防范 采用DHCP管理的常見(jiàn)問(wèn)題采用DHCP server可以自動(dòng)為用戶設(shè)置網(wǎng)絡(luò)IP地址、掩碼、網(wǎng)關(guān)、DNS、WINS等網(wǎng)絡(luò)參數(shù)，簡(jiǎn)化了用戶網(wǎng)絡(luò)設(shè)置，提高了管理效率。一個(gè)“不可靠”的DHCP服務(wù)器通常被用來(lái)與攻擊者協(xié)作，對(duì)網(wǎng)絡(luò)實(shí)施“中間人”MITM（ManInTheMiddle）攻擊。如下表所示：Cat6509sh ip dhcp snooping bindingMacAddress IpAddress Lease(sec) Type VLAN Interface 00:0D:60:2D:45:0D 600735 dhcpsnooping 100 GigabitEthernet1/0/7這張表不僅解決了DHCP用戶的IP和端口跟蹤定位問(wèn)題，為用戶管理提供方便，而且還供給動(dòng)態(tài)ARP檢測(cè)（DAI）和IP Source Guard使用。由于ARP無(wú)任何身份真實(shí)校驗(yàn)機(jī)制，黑客程序發(fā)送誤導(dǎo)的主動(dòng)式ARP使網(wǎng)絡(luò)流量重指經(jīng)過(guò)惡意攻擊者的計(jì)算機(jī)，變成某個(gè)局域網(wǎng)段IP會(huì)話的中間人，達(dá)到竊取甚至篡改正常傳輸?shù)墓π?。所以，B還有一個(gè)“任務(wù)”，那就是一直連續(xù)不斷地向A 和C 發(fā)送這種虛假的ARP 響應(yīng)包，讓其ARP緩存中一直保持被毒害了的映射表項(xiàng)。DAI配置針對(duì)VLAN，對(duì)于同一VLAN內(nèi)的接口可以開(kāi)啟DAI也可以關(guān)閉，如果ARP包從一個(gè)可信任的接口接受到，就不需要做任何檢查，如果ARP包在一個(gè)不可信任的接口上接受到，該包就只能在綁定信息被證明合法的情況下才會(huì)被轉(zhuǎn)發(fā)出去。下表為實(shí)施中間人攻擊是交換機(jī)的警告：3w0d: %SW_DAI4DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/16, vlan 1.([由于對(duì)ARP請(qǐng)求報(bào)文做了速度限制，客戶端無(wú)法進(jìn)行認(rèn)為或者病毒進(jìn)行的IP掃描、探測(cè)等行為，如果發(fā)生這些行為，交換機(jī)馬上報(bào)警或直接切斷掃描機(jī)器?；ヂ?lián)網(wǎng)上的蠕蟲(chóng)病毒也往往利用欺騙技術(shù)來(lái)掩蓋它們真實(shí)的源頭主機(jī)。配置示例檢測(cè)接口上的IP+MACIOS 全局配置命令：ip dhcp snooping vlan 12,200ip dhcp snooping information optionip dhcp snooping接口配置命令：ip verify source vlan dhcpsnooping portsecurityswitchport mode accessswitchport portsecurityswitchport portsecurity maximum 3檢測(cè)接口上的IPIOS 全局配置命令ip dhcp snooping vlan 12,200no ip dhcp snooping information optionip dhcp snooping接口配置命令：ip verify source vlan dhcpsnooping不使用DHCP的靜態(tài)配置IOS 全局配置命令：ip dhcp snooping vlan 12,200