【正文】 :55:4709:55:47March 8, 2023 ? 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 3月 上午 9時(shí) 55分 :55March 8, 2023 ? 1少年十五二十時(shí)，步行奪得胡馬騎。 上午 9時(shí) 55分 47秒 上午 9時(shí) 55分 09:55: ? 沒有失敗，只有暫時(shí)停止成功！。 09:55:4709:55:4709:553/8/2023 9:55:47 AM ? 1以我獨(dú)沈久，愧君相見頻。 ? 黏性可靠的 MAC地址 ? Switchconfig terminal ? Switch(config)interface interfaceid ? Switch(configif)switchport mode Access ? Switch(configif)switchport portsecurity ? Switch(configif)switchport portsecurity violation {protect | restrict | shutdown } ? Switch(configif)switchport portsecurity maximum value ? Switch(configif)switchport portsecurity macaddress sticky ? 交換機(jī)訪問控制的安全配置 ? 現(xiàn)在通過多層交換機(jī)特性來提高網(wǎng)絡(luò)的安全性和對(duì)帶寬的控制已經(jīng)相當(dāng)?shù)钠毡椤? ? 設(shè)置永久地址 若設(shè)置了永久地址的目的 MAC地址及其轉(zhuǎn)發(fā)端口，則該地址永久不會(huì)超時(shí)，所有的端口均可以轉(zhuǎn)發(fā)幀給它。 ACL是一張規(guī)則表，交換機(jī)按照順序執(zhí)行這些規(guī)則，并且處理每一個(gè)進(jìn)入端口的數(shù)據(jù)包。 ? 安全交換機(jī)的新功能 ? ； ? 流量控制 ； ? 防范 DDoS攻擊 ； ? 虛擬局域網(wǎng) VLAN； ? 基于 ACL的防火墻功能 ； ? IDS功能 。該設(shè)備根據(jù)數(shù)據(jù)幀中的頭信息，將來自一個(gè)或多個(gè)輸入端口的幀送到一個(gè)或多個(gè)端口，完成數(shù)據(jù)交換 ； ? 交換機(jī)工作在 OSI模型中的數(shù)據(jù)鏈路層，因此交換機(jī)對(duì)數(shù)據(jù)包的轉(zhuǎn)發(fā)是建立在 MAC地址基礎(chǔ)之 上 的； ?傳統(tǒng)以太網(wǎng)交換機(jī)的最大優(yōu)點(diǎn)是數(shù)據(jù)交換快 ； ? 當(dāng)交換機(jī)收到一個(gè) TCP/IP數(shù)據(jù)包時(shí)，會(huì)查看該數(shù)據(jù)包的目的 MAC地址，然后核對(duì)自己的 MAC地址表以確認(rèn)應(yīng)該從哪個(gè)端口把數(shù)據(jù)包發(fā)出去。 (2) 選定 “TCP/IP 協(xié)議 ” （如圖 ），雙擊之或點(diǎn)擊 “ 屬性 ”按鈕，出現(xiàn) “TCP/IP 屬性 ” 窗口，如圖 。它可對(duì)源 IP地址和目的 IP地址以及協(xié)議端口號(hào)進(jìn)行過濾，用它可以控制哪些網(wǎng)絡(luò)可以訪問什么服務(wù)器資源 。 ? 路由器的自身安全 ? 用戶口令安全 全局配置模式下使用命令 service passwordencryption進(jìn)行配置，該命令可將明文密碼變?yōu)槊芪拿艽a，保證用戶口令的安全 ； ? 配置登錄安全 路由器的配置一般有控制口（ Console）配置、 Tel配置和 SNMP配置三種方法 ， 為了保證使用 Tel配置路由器的安全，僅讓路由器管理員的工作站登錄而不讓其他機(jī)器登錄到路由器，以保證路由器配置的安全 。若 VRRP路由器的 IP地址和虛擬路由器的接口 IP地址相同，則稱該虛擬路由器作VRRP組中的 IP地址所有者 ； ? 為了保證 VRRP協(xié)議的安全性，提供了明文認(rèn)證和 IP頭認(rèn)證兩種安全認(rèn)證措施 。前者經(jīng)過改進(jìn)，成為目前廣泛應(yīng)用的路由信息協(xié)議 ，后者則發(fā)展成為開放式最短路徑優(yōu)先協(xié)議。 ② 二是可以提供容錯(cuò)功能。一般情況下，組成的邏輯磁盤驅(qū)動(dòng)器的容量要小于各個(gè)磁盤驅(qū)動(dòng)器容量的總和。用戶從來不會(huì)意識(shí)到集群系統(tǒng)底層的節(jié)點(diǎn)，在他 /她們看來，集群是一個(gè)系統(tǒng)，而非多個(gè)計(jì)算機(jī)系統(tǒng)。 網(wǎng)絡(luò)設(shè)備的冗余 ? 核心交換機(jī)冗余 核心交換機(jī)中電源模塊的故障率相對(duì)較高，為了保證核心交換機(jī)的正常運(yùn)行，一般考慮在核心交換機(jī)上增配一塊電源模塊，實(shí)現(xiàn)該部件的冗余 ； ? 服務(wù)器冗余 采用配置兩臺(tái) DHCP服務(wù)器來動(dòng)態(tài)地給客戶機(jī)分配 IP地址 ，為了保證系統(tǒng)的可靠性，還可采用部件冗余技術(shù)、 RAID技術(shù) ； ? 存儲(chǔ)設(shè)備冗余 選擇刻錄光驅(qū)、磁帶機(jī)、磁盤陣列等設(shè)備冗余 ； ? 網(wǎng)絡(luò)邊界設(shè)備冗余 8 雙機(jī)容錯(cuò)與集群系統(tǒng) 雙機(jī)容錯(cuò)系統(tǒng) 雙機(jī)容錯(cuò)系統(tǒng)通過軟硬件的緊密配合，將兩臺(tái)獨(dú)立服務(wù)器在網(wǎng)絡(luò)中表現(xiàn)為單一的系統(tǒng)，提供給客戶一套具有單點(diǎn)故障容錯(cuò)能力，且性價(jià)比優(yōu)越的用戶應(yīng)用系統(tǒng)運(yùn)行平臺(tái)。第 2章 網(wǎng)絡(luò)設(shè)備的安全與應(yīng)用實(shí)踐 ? 物理安全 ； ? 路由器安全 ； ? 交換機(jī)安全 ； ? 服務(wù)器安全 ； ? 客戶機(jī)安全 。雙機(jī)容錯(cuò)技術(shù)能夠自動(dòng)檢測(cè)應(yīng)用或服務(wù)器故障，并可將其在另一臺(tái)可用的服務(wù)器上快速重新啟動(dòng)；而用戶只會(huì)覺察到瞬間的服務(wù)暫停。并且集群系統(tǒng)的管理員可以隨意增加和刪改集群系統(tǒng)的節(jié)點(diǎn)。 RAID一般是在 SCSI或 SATA磁盤接口實(shí)現(xiàn)的。這是使用 RAID的第二個(gè)原因，因?yàn)槠胀ù疟P驅(qū)動(dòng)器無法提供容錯(cuò)功能，RAID的容錯(cuò)是建立在每個(gè)磁盤驅(qū)動(dòng)器的硬件容錯(cuò)功能之上的，所以它提供更高的安全性。 ? 路由器訪問控制列表 (ACL) ? ACL是 Cisco IOS所提供的一種訪問控制技術(shù) ； ? ACL技術(shù)是一種基于包過濾的流控制技術(shù)。 ? VRRP是一種容錯(cuò)協(xié)議，它為具有多播或廣播能力的局域網(wǎng)而設(shè)計(jì)。 ? 路由器訪問控制的安全策略 ? 嚴(yán)格控制可以訪問路由器的管理員；對(duì)路由器的任何一次維護(hù)都需要記錄備案，要有完備的路由器的安全訪問和維護(hù)記錄日志 ； ? 建議不要遠(yuǎn)程訪問路由器 ； ? 要嚴(yán)格地為 IOS（ Cisco網(wǎng)際操作系統(tǒng)）作安全備份，及時(shí)升級(jí)和修補(bǔ) IOS軟件，并迅速為 IOS安裝補(bǔ)丁 ； ? 要為路由器的配置文件作安全備份 ； ? 為路由器配備 UPS設(shè)備，或者至少要有冗余電源。 ? 禁止路由器的部分網(wǎng)絡(luò)服務(wù)的安全配置 ? 禁止 Finger服務(wù) Router(config) no ip finger Router(config) no service finger ? 禁止 TCP、 UDP Small服務(wù) Router(config) no service tcpsmallservers Router(config) no service udpsmallservers ? 建議禁止 HTTP服務(wù) Router(config) no ip server ? 禁止 IP Source Routing Router(config) no ip sourceroute ? 禁止 ARPProxy服務(wù) Router(config) no ip proxyarp Router(configif) no ip proxyarp ? 禁止 IP Directed Broadcast Router(config) no ip directedbroadcast ? 禁止 IP Classless Router(config) no ip classless ? 禁止 ICMP協(xié)議的 IP Unreachables、 IP Redirects和 IP Mask Replie Router(config) no ip unreachables Router(config) no ip Redirects Router(config) no ip Mask Replies ? 路由器實(shí)現(xiàn)多設(shè)備控制端口訪問的配置 ? 開始配置 先用 Cisco 2511路由器的一個(gè)異步串行端口連接到用戶的網(wǎng)絡(luò)核心交換機(jī)、路由器和防火墻的每一個(gè)端口（這些設(shè)備各自同樣需要具備串行控制口）；然后再按照 ip host命令對(duì)新的 Cisco終端服務(wù)器進(jìn)行配置 ； ? 管理多個(gè)連接 ? 在命令行中輸入主機(jī)名稱，即使用一個(gè) IP主機(jī) Tel到用戶配置過的設(shè)備上，這是 1號(hào)連接。 (3) 選定 “ 使用下面的 IP地址 ” ，在 “IP 地址 ” 和 “ 子網(wǎng)掩碼 ” 框中填寫 IP地址（本例為 ）和子網(wǎng)掩碼（ ）。 ? 當(dāng)交換機(jī)收到一個(gè)目標(biāo)地址未知的數(shù)據(jù)包（即MAC地址不能在其 MAC地址表中找到）時(shí)，交換機(jī)會(huì)把 IP數(shù)據(jù)包從它每一個(gè)端口中送出去。