【正文】 ip dhcp snooping information optionip dhcp snoopingip source binding vlan 212 interface Gi4/5 內(nèi)部管理用戶的訪問(wèn)授權(quán)網(wǎng)絡(luò)的安全保障很大程度是通過(guò)網(wǎng)絡(luò)設(shè)備的安全功能來(lái)實(shí)現(xiàn)，網(wǎng)絡(luò)設(shè)備本身的安全管理顯得尤為重要。同時(shí)，用戶也可以對(duì)某個(gè)特殊命令進(jìn)行編輯和組合，使它可以加入不同的優(yōu)先級(jí)別，從而達(dá)到不同的管理目的。全網(wǎng)中心管理分級(jí)園區(qū)網(wǎng)絡(luò)總部設(shè)有一個(gè)全網(wǎng)管理中心，全網(wǎng)管理中心負(fù)責(zé)全網(wǎng)的運(yùn)行管理和維護(hù)。 2800系列集成多業(yè)務(wù)路由器（參見(jiàn)圖1）建立在思科20年的領(lǐng)先地位及創(chuàng)新技術(shù)的基礎(chǔ)之上，智能地將數(shù)據(jù)、安全性和話音服務(wù)內(nèi)嵌于單一永續(xù)系統(tǒng)，能快速、可擴(kuò)展地提供關(guān)鍵任務(wù)業(yè)務(wù)應(yīng)用。Cisco 2800系列具有先進(jìn)、集成的端到端安全性，以用于提供融合服務(wù)和應(yīng)用。此解決方案適用于有數(shù)據(jù)連接需求、對(duì)于為多達(dá)72部電話部署一個(gè)融合IP電話解決方案感興趣的客戶。應(yīng)用融合IP通信的安全網(wǎng)絡(luò)連接圖2 融合IP通信的安全網(wǎng)絡(luò)連接主要特性和優(yōu)勢(shì)架構(gòu)特性和優(yōu)勢(shì)Cisco 2800 系列架構(gòu)的特別設(shè)計(jì)可滿足中小型分支機(jī)構(gòu)和中小型企業(yè)對(duì)于目前和未來(lái)應(yīng)用日益提高的需求。 集成雙快速以太網(wǎng)或千兆位以太網(wǎng)端口 憑借90多種與Cisco 1800、2600、3700和3800系列等其他思科路由器共享的模塊，Cisco 2800系列的接口可方便地與其他思科路由器互換，在網(wǎng)絡(luò)升級(jí)時(shí)提供最高投資保護(hù)。 帶增強(qiáng)功能的高性能WIC (HWIC) 插槽 雙AIM插槽 憑借可選VPN模塊（用于提高性能和隧道數(shù)）、基于Cisco IOS軟件的防火墻、網(wǎng)絡(luò)訪問(wèn)控制、內(nèi)容引擎網(wǎng)絡(luò)模塊或入侵保護(hù)網(wǎng)絡(luò)模塊的集成，思科為分支機(jī)構(gòu)路由器提供了業(yè)界最強(qiáng)大的可適應(yīng)安全解決方案。 Cisco 2800系列憑借虛擬路由和轉(zhuǎn)發(fā)(VRF) 防火墻以及 VRF IPsec，支持特定供應(yīng)商邊緣功能，以及將客戶的MPLS VPN網(wǎng)絡(luò)擴(kuò)展至客戶邊級(jí)的機(jī)制。 軟件或高性能入侵檢測(cè)系統(tǒng)（IDS）網(wǎng)絡(luò)模塊，提供了靈活的支持。 URL過(guò)濾可通過(guò)一個(gè)可選內(nèi)容引擎網(wǎng)絡(luò)模塊板載提供，或由一個(gè)運(yùn)行URL過(guò)濾軟件的PC服務(wù)器外部提供。 EVM模塊插槽 通過(guò)集成一個(gè)可選的語(yǔ)音留言AIM或網(wǎng)絡(luò)模塊，用 Cisco Unity174。 分支機(jī)構(gòu)可利用集中呼叫控制，并通過(guò)SRST冗余性為IP電話經(jīng)濟(jì)有效地提供本地分支機(jī)構(gòu)備份。 增強(qiáng)安裝特性 Cisco 2800系列的設(shè)計(jì)將多個(gè)獨(dú)立設(shè)備的功能整合到一個(gè)可遠(yuǎn)程管理的小巧產(chǎn)品包中。F (–20176。F/176。 各國(guó)和各種接口類型的要求不同。接口符合FCC Part 68，CS03，JATE Technical Conditions，歐洲衍生規(guī)定99/5/EC和相關(guān)TBR。C 3km/10 kft 40176。C) 工作濕度 10 85%，非冷凝 595%，非冷凝 非工作溫度 – –4176。 總結(jié)隨著企業(yè)努力通過(guò)網(wǎng)絡(luò)應(yīng)用降低運(yùn)行網(wǎng)絡(luò)的成本并提高其最終用戶的工作效率，市場(chǎng)上需要更為智能的分支機(jī)構(gòu)解決方案。 提供了應(yīng)用級(jí)的網(wǎng)絡(luò)流量可視性，用于排障、性能監(jiān)控、容量規(guī)劃和基于網(wǎng)絡(luò)的服務(wù)的管理(注: 僅限Cisco 2812821和2851) Cisco IOS 軟件熱重啟動(dòng) M； 集中自動(dòng)信息記帳 (CAMA)； ISDN基本速率接口(BRI)； 帶ISDN 主速率接口(PRI)的TE1和J1； QSIG； 以及幾種其他通道相關(guān)信令 (CAS) 信號(hào)機(jī)制。 Cisco CME提供與企業(yè)用戶常用的特性相似的電話特性，以滿足中小型機(jī)構(gòu)的要求。 表4 IP 電話支持—特性和優(yōu)勢(shì)特性 優(yōu)勢(shì) IP電話支持 DMVPN是一款Cisco IOS軟件解決方案，可方便、可擴(kuò)展地構(gòu)建 IPsec +通用路由封裝 (GRE) VPN。 入侵保護(hù) 思科自防御網(wǎng)絡(luò)計(jì)劃旨在大幅提高網(wǎng)絡(luò)識(shí)別、防御和適應(yīng)威脅的能力，僅允許針對(duì)符合標(biāo)準(zhǔn)的可信任端點(diǎn)設(shè)備的網(wǎng)絡(luò)接入。 安全聯(lián)網(wǎng)–特性和優(yōu)勢(shì)Cisco 2800系列具有增強(qiáng)安全功能，如表3所示。 模塊化特性和優(yōu)勢(shì)Cisco 2800系列提供了大幅增強(qiáng)的模塊化功能（參見(jiàn)表2），同時(shí)保持了投資保護(hù)。 用于發(fā)送以太網(wǎng)電源 (PoE)的可選集成電源 這種靈活性大大擴(kuò)展了Cisco 2800系列的潛在應(yīng)用，使其超越傳統(tǒng)路由，且仍保持著集成的優(yōu)勢(shì)。融合IP通信如圖2所示，Cisco 2800系列可滿足中小型企業(yè)和企業(yè)分支機(jī)構(gòu)的IP通信需求，同時(shí)在單一路由平臺(tái)中提供業(yè)界領(lǐng)先的安全性。用于數(shù)據(jù)、話音和視頻的安全網(wǎng)絡(luò)連接安全已成為網(wǎng)絡(luò)的基本構(gòu)建塊。推出了一個(gè)全新的集成多業(yè)務(wù)路由器系列，它進(jìn)行了專門的優(yōu)化，可安全、線速地同時(shí)提供數(shù)據(jù)、話音和視頻服務(wù)，重新定義了最佳大型企業(yè)和中小型企業(yè)路由。區(qū)域高級(jí)網(wǎng)絡(luò)管理員：區(qū)域高級(jí)網(wǎng)絡(luò)管理員負(fù)責(zé)本區(qū)域內(nèi)部的網(wǎng)絡(luò)設(shè)備的管理和配置，同時(shí)與中心網(wǎng)絡(luò)管理員協(xié)調(diào)處理區(qū)域之間的網(wǎng)絡(luò)問(wèn)題。因此，對(duì)網(wǎng)絡(luò)上的用戶進(jìn)行分級(jí)管理，是十分必要的。通過(guò)在交換機(jī)上配置IP Source Guard，可以過(guò)濾掉非法的IP/MAC地址，包含用戶故意修改的和病毒、攻擊等造成的。一個(gè)IP地址欺騙攻擊者可以通過(guò)手動(dòng)修改地址或者運(yùn)行一個(gè)實(shí)施地址欺騙的程序來(lái)假冒一個(gè)合法地址。配置示例IOS全局命令：ip dhcp snooping vlan 100,200 no ip dhcp snooping information optionip dhcp snoopingip arp inspection vlan 100,200 /*定義對(duì)哪些VLAN進(jìn)行ARP報(bào)文檢測(cè)*/ip arp inspection logbuffer entries 1024ip arp inspection logbuffer logs 1024 interval 10IOS接口命令：ip dhcp snooping trustip arp inspection trust /*定義哪些接口是信任接口，通常是網(wǎng)絡(luò)設(shè)備接口，TRUNK接口等*/ip arp inspection limit rate 15 (pps) /*定義接口每秒ARP報(bào)文數(shù)量*/對(duì)于沒(méi)有使用DHCP設(shè)備可以采用下面辦法：arp accesslist staticarp permit ip host mac host ip arp inspection filter staticarp vlan 201配置DAI后的效果在配置DAI技術(shù)的接口上，用戶端不能采用指定地址地址將接入網(wǎng)絡(luò)。DHCP Snooping監(jiān)聽(tīng)綁定表包括IP地址與MAC地址的綁定信息并將其與特定的交換機(jī)端口相關(guān)聯(lián)，動(dòng)態(tài)ARP檢測(cè)（DAI－Dynamic ARP Inspection）可以用來(lái)檢查所有非信任端口的ARP請(qǐng)求和應(yīng)答(主動(dòng)式ARP和非主動(dòng)式ARP)，確保應(yīng)答來(lái)自真正的ARP所有者。這樣，A 和C 都認(rèn)為對(duì)方的MAC 地址是020202020202，實(shí)際上這就是B 主機(jī)所需得到的結(jié)果。ARP欺騙攻擊原理和防范 ARP欺騙攻擊原理ARP是用來(lái)實(shí)現(xiàn)MAC地址和IP地址的綁定，這樣兩個(gè)工作站才可以通訊，通訊發(fā)起方的工作站以MAC廣播方式發(fā)送ARP請(qǐng)求，擁有此IP地址的工作站給予ARP應(yīng)答，送回自己的IP和MAC地址。通過(guò)截取一個(gè)虛擬局域網(wǎng)內(nèi)的DHCP信息，交換機(jī)可以在用戶和DHCP服務(wù)器之間擔(dān)任就像小型安全防火墻這樣的角色，“DHCP監(jiān)聽(tīng)”功能基于動(dòng)態(tài)地址分配建立了一個(gè)DHCP綁定表，并將該表存貯在交換機(jī)里。黑客利用類似Goobler的工具可以發(fā)出大量帶有不同源MAC地址的DHCP請(qǐng)求，直到DHCP服務(wù)器對(duì)應(yīng)網(wǎng)段的所有地址被占用，此類攻擊既可以造成DOS的破壞，也可和DHCP服務(wù)器欺詐結(jié)合將流量重指到意圖進(jìn)行流量截取的惡意節(jié)點(diǎn)。Protect：丟棄非法流量，不報(bào)警。Cisco Catalyst交換機(jī)的端口安全（Port Security）和動(dòng)態(tài)端口安全功能可被用來(lái)阻止MAC泛濫攻擊。MAC地址泛濫攻擊的防范 MAC泛濫攻擊的原理和危害交換機(jī)主動(dòng)學(xué)習(xí)客戶端的MAC地址，并建立和維護(hù)端口和MAC地址的對(duì)應(yīng)表以此建立交換路徑，這個(gè)表就是通常我們所說(shuō)的CAM表。因?yàn)槿魏我粋€(gè)合法用戶都能獲取一個(gè)以太網(wǎng)端口的訪問(wèn)權(quán)限，這些用戶都有可能成為黑客，同時(shí)由于設(shè)計(jì)OSI模型的時(shí)候，允許不同通信層在相互不了解情況下也能進(jìn)行工作，所以第二層的安全就變得至關(guān)重要。 這個(gè)過(guò)程往往要花費(fèi)大量的時(shí)間才能夠定位機(jī)器具體連接的物理端口，而對(duì)于偽造的源IP地址要查出是從哪臺(tái)機(jī)器產(chǎn)生的就更加困難了。木馬病毒往往會(huì)利用ARP的欺騙獲取賬號(hào)和密碼，而蠕蟲(chóng)病毒也往往利用IP地址欺騙技術(shù)來(lái)掩蓋它們真實(shí)的源頭主機(jī)。地址解析協(xié)議（ARP，Address Resolution Protocol）最基本的功能是用來(lái)實(shí)現(xiàn)MAC地址和IP地址的綁定，這樣兩個(gè)工作站才可以通訊，通訊發(fā)起方的工作站以MAC廣播方式發(fā)送ARP請(qǐng)求，擁有此IP地址的工作站給予ARP應(yīng)答，并附上自己的IP和MAC地址。改動(dòng)后的IP地址在局域網(wǎng)中運(yùn)行時(shí)可能出現(xiàn)以下情況。此外CISCO交換機(jī)還提供增強(qiáng)的基于VLAN的生成樹(shù)算法（PVSTP+），實(shí)現(xiàn)負(fù)載的均攤。如果不采用VLAN Trunking的技術(shù)，則虛擬網(wǎng)絡(luò)的結(jié)構(gòu)將如上圖所示，這樣則需要使用多條1000Mbps與其它的交換機(jī)互聯(lián)，其缺點(diǎn)是：線路帶寬的利用率不充分網(wǎng)絡(luò)間布線及接口相應(yīng)增多，造成系統(tǒng)管理的復(fù)雜性，降低了可靠性。VLAN可以將通訊量進(jìn)行有效的分割，從而很好的利用帶寬，并可以從邏輯的角度出發(fā)將實(shí)際的LAN基礎(chǔ)結(jié)構(gòu)分割成多個(gè)子網(wǎng)，這樣減輕了擴(kuò)容的壓力。要求所選設(shè)備要有很好的擴(kuò)展性 園區(qū)采用帶有2個(gè)千兆接口的Cisco 2811路由器，提供了充足的出口帶寬，下層采用全10/100/1000自適應(yīng)接口的Catalyst WSC3560E24TDS作為核心路由器，通過(guò)其強(qiáng)大的轉(zhuǎn)發(fā)能力和充足的帶寬，來(lái)保證園區(qū)網(wǎng)絡(luò)的暢通。思科通過(guò)模塊化的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)和模塊化的網(wǎng)絡(luò)產(chǎn)品，能為用戶的網(wǎng)絡(luò)提供很強(qiáng)的擴(kuò)展和升級(jí)能力。 網(wǎng)絡(luò)的可靠性許多現(xiàn)有網(wǎng)絡(luò)在初始建設(shè)時(shí)不僅要考慮到如何實(shí)現(xiàn)數(shù)據(jù)傳輸，還要充分考慮網(wǎng)絡(luò)的冗余與可靠，否則一旦運(yùn)行過(guò)程網(wǎng)絡(luò)發(fā)生故障，系統(tǒng)又不能很快恢復(fù)工作，所帶來(lái)的后果便是園區(qū)的經(jīng)濟(jì)損失，影響園區(qū)的聲譽(yù)和形象。在信息化時(shí)代，網(wǎng)絡(luò)已進(jìn)入了各行各業(yè)，同時(shí)也促進(jìn)了各個(gè)行業(yè)的發(fā)展。 網(wǎng)絡(luò)的可管理性隨著網(wǎng)絡(luò)規(guī)模的日益擴(kuò)大，網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)和種類日益增加，網(wǎng)絡(luò)應(yīng)用日益多樣化，網(wǎng)絡(luò)管理也日益重要。同時(shí)，在網(wǎng)絡(luò)帶寬非常寶貴的情況下，豐富的QoS機(jī)制，如：IP優(yōu)先、排隊(duì)、組內(nèi)廣播和鏈路壓縮等優(yōu)化技術(shù)能使實(shí)時(shí)的多媒體和關(guān)鍵業(yè)務(wù)得到有效的保障。最終實(shí)現(xiàn)如下圖的網(wǎng)絡(luò)：第四章 局域網(wǎng)及安全方案設(shè)計(jì) VLAN規(guī)劃由于以太網(wǎng)將是包鋼計(jì)量處網(wǎng)絡(luò)中核心層、接入層、匯接層使用的網(wǎng)絡(luò)標(biāo)準(zhǔn)，因此網(wǎng)絡(luò)可以看成是一個(gè)大局域網(wǎng)群，需要涉及到第三層交換，因此我們使用了Cisco公司的VLAN技術(shù)。主要是通過(guò)一條高速全雙工干道(2000Mbps)來(lái)實(shí)現(xiàn)將一個(gè)交換機(jī)端口所劃分的不同VLAN與其它交換機(jī) 中各自的相應(yīng)VLAN成員進(jìn)行線路復(fù)用連接的技術(shù)。有關(guān)QOS的細(xì)節(jié)在“QOS應(yīng)用”章節(jié)進(jìn)行了詳細(xì)闡述。通過(guò)對(duì)VLAN的管理，我們可以輕松的在遠(yuǎn)端（網(wǎng)絡(luò)中心）完成VLAN的修改，在網(wǎng)絡(luò)的中心位置控制VLAN間的訪問(wèn)，有效的控制VLAN間的信息流量，減輕遠(yuǎn)端管理的復(fù)雜度。 重復(fù)的IP地址與已經(jīng)分配且正在局域網(wǎng)運(yùn)行的合法的IP地址發(fā)生資源沖突，使合法用戶無(wú)法上網(wǎng)252。如果黑客想探聽(tīng)同一網(wǎng)絡(luò)中兩臺(tái)主機(jī)之間的通信（即使是通過(guò)交換機(jī)相連），他會(huì)分別給這兩臺(tái)主機(jī)發(fā)送一個(gè)ARP 應(yīng)答包，讓兩臺(tái)主機(jī)都“誤”認(rèn)為對(duì)方的MAC地址是第三方黑客所在的主機(jī)，這樣，雙方看似“直接”的通信連接，實(shí)際上都是通過(guò)黑客所在的主機(jī)間接進(jìn)行的。例如“局域網(wǎng)終結(jié)者”（）病毒，通過(guò)偽造ARP包來(lái)欺騙網(wǎng)絡(luò)主機(jī)，使指定的主機(jī)網(wǎng)絡(luò)中斷，嚴(yán)重影響到網(wǎng)絡(luò)的運(yùn)行。在網(wǎng)絡(luò)實(shí)際環(huán)境中，其來(lái)源可概括為兩個(gè)途徑：人為實(shí)施，病毒或蠕蟲(chóng)。一個(gè)經(jīng)過(guò)認(rèn)證的用戶仍然可以有惡意，并可以很容易地執(zhí)行本文提到的所有攻擊。黑客發(fā)送大量帶有隨機(jī)源MAC地址的數(shù)據(jù)包，這些新MAC地址被交換機(jī)CAM學(xué)習(xí)，很快塞滿MAC地址表，這時(shí)新目的MAC地址的數(shù)據(jù)包就會(huì)廣播到交換機(jī)所有端口，交換機(jī)就像共享HUB一樣工作，黑客可以用sniffer工具監(jiān)聽(tīng)所有端口的流量。動(dòng)態(tài)端口安全則設(shè)置端口允許合法MAC地址的數(shù)目，并以一定時(shí)間內(nèi)所學(xué)習(xí)到的地址作為合法MAC地址。但在DHCP管理使用上也存在著一些另網(wǎng)管人員比較問(wèn)題，常見(jiàn)的有：DHCP server 的冒充。中間人攻擊是一種攻擊者利用正常的協(xié)議處理行為來(lái)更改兩個(gè)終端之間的正常通信數(shù)據(jù)流而形成的一種攻擊技術(shù)。基本防范為了防止這種類型的攻擊，Catalyst DHCP偵聽(tīng)（DHCP Snooping）功能可有效阻止此類攻擊，當(dāng)打開(kāi)此功能，所有用戶端口除非特別設(shè)置，被認(rèn)為不可信任端口，不應(yīng)該作出任何DHCP響應(yīng)，因此欺詐DHCP響應(yīng)包被交換機(jī)阻斷，合法的DHCP服務(wù)器端口或上連端口應(yīng)被設(shè)置為信任端口。黑客程序發(fā)送的主動(dòng)式ARP采用發(fā)送方私有MAC地址而非廣播地址，通訊接收方根本不會(huì)知道自己的IP地址被取代?，F(xiàn)在，如果A 和C 要進(jìn)行通信，實(shí)際上彼此發(fā)送的數(shù)據(jù)包都會(huì)先到達(dá)B 主機(jī)，這時(shí)，如果B 不做進(jìn)一步處理，A 和C 之間的通信就無(wú)法正常建立，B 也就達(dá)不到“嗅探”通信內(nèi)容的目的，因此，B 要對(duì)“錯(cuò)誤”收到的數(shù)據(jù)包進(jìn)行一番修改，然后轉(zhuǎn)發(fā)到正確的目的地，而修改的內(nèi)容，無(wú)非是將目的MAC 和源MAC 地址進(jìn)行替換。這樣，DHCP Snooping對(duì)于DAI來(lái)說(shuō)也成為必不可少的，DAI是動(dòng)態(tài)使用的，相連的客戶端主機(jī)不需要進(jìn)行任何設(shè)置上的改變。如下表所示：