【正文】 ip dhcp snooping information optionip dhcp snoopingip source binding vlan 212 interface Gi4/5 內(nèi)部管理用戶的訪問授權(quán)網(wǎng)絡(luò)的安全保障很大程度是通過網(wǎng)絡(luò)設(shè)備的安全功能來實現(xiàn)，網(wǎng)絡(luò)設(shè)備本身的安全管理顯得尤為重要。同時，用戶也可以對某個特殊命令進行編輯和組合，使它可以加入不同的優(yōu)先級別，從而達到不同的管理目的。全網(wǎng)中心管理分級園區(qū)網(wǎng)絡(luò)總部設(shè)有一個全網(wǎng)管理中心，全網(wǎng)管理中心負責全網(wǎng)的運行管理和維護。 2800系列集成多業(yè)務(wù)路由器（參見圖1）建立在思科20年的領(lǐng)先地位及創(chuàng)新技術(shù)的基礎(chǔ)之上，智能地將數(shù)據(jù)、安全性和話音服務(wù)內(nèi)嵌于單一永續(xù)系統(tǒng)，能快速、可擴展地提供關(guān)鍵任務(wù)業(yè)務(wù)應(yīng)用。Cisco 2800系列具有先進、集成的端到端安全性，以用于提供融合服務(wù)和應(yīng)用。此解決方案適用于有數(shù)據(jù)連接需求、對于為多達72部電話部署一個融合IP電話解決方案感興趣的客戶。應(yīng)用融合IP通信的安全網(wǎng)絡(luò)連接圖2 融合IP通信的安全網(wǎng)絡(luò)連接主要特性和優(yōu)勢架構(gòu)特性和優(yōu)勢Cisco 2800 系列架構(gòu)的特別設(shè)計可滿足中小型分支機構(gòu)和中小型企業(yè)對于目前和未來應(yīng)用日益提高的需求。 集成雙快速以太網(wǎng)或千兆位以太網(wǎng)端口 憑借90多種與Cisco 1800、2600、3700和3800系列等其他思科路由器共享的模塊，Cisco 2800系列的接口可方便地與其他思科路由器互換，在網(wǎng)絡(luò)升級時提供最高投資保護。 帶增強功能的高性能WIC (HWIC) 插槽 雙AIM插槽 憑借可選VPN模塊（用于提高性能和隧道數(shù)）、基于Cisco IOS軟件的防火墻、網(wǎng)絡(luò)訪問控制、內(nèi)容引擎網(wǎng)絡(luò)模塊或入侵保護網(wǎng)絡(luò)模塊的集成，思科為分支機構(gòu)路由器提供了業(yè)界最強大的可適應(yīng)安全解決方案。 Cisco 2800系列憑借虛擬路由和轉(zhuǎn)發(fā)(VRF) 防火墻以及 VRF IPsec，支持特定供應(yīng)商邊緣功能，以及將客戶的MPLS VPN網(wǎng)絡(luò)擴展至客戶邊級的機制。 軟件或高性能入侵檢測系統(tǒng)（IDS）網(wǎng)絡(luò)模塊，提供了靈活的支持。 URL過濾可通過一個可選內(nèi)容引擎網(wǎng)絡(luò)模塊板載提供，或由一個運行URL過濾軟件的PC服務(wù)器外部提供。 EVM模塊插槽 通過集成一個可選的語音留言AIM或網(wǎng)絡(luò)模塊，用 Cisco Unity174。 分支機構(gòu)可利用集中呼叫控制，并通過SRST冗余性為IP電話經(jīng)濟有效地提供本地分支機構(gòu)備份。 增強安裝特性 Cisco 2800系列的設(shè)計將多個獨立設(shè)備的功能整合到一個可遠程管理的小巧產(chǎn)品包中。F (–20176。F/176。 各國和各種接口類型的要求不同。接口符合FCC Part 68，CS03，JATE Technical Conditions，歐洲衍生規(guī)定99/5/EC和相關(guān)TBR。C 3km/10 kft 40176。C) 工作濕度 10 85%，非冷凝 595%，非冷凝 非工作溫度 – –4176。 總結(jié)隨著企業(yè)努力通過網(wǎng)絡(luò)應(yīng)用降低運行網(wǎng)絡(luò)的成本并提高其最終用戶的工作效率，市場上需要更為智能的分支機構(gòu)解決方案。 提供了應(yīng)用級的網(wǎng)絡(luò)流量可視性，用于排障、性能監(jiān)控、容量規(guī)劃和基于網(wǎng)絡(luò)的服務(wù)的管理(注: 僅限Cisco 2812821和2851) Cisco IOS 軟件熱重啟動 M； 集中自動信息記帳 (CAMA)； ISDN基本速率接口(BRI)； 帶ISDN 主速率接口(PRI)的TE1和J1； QSIG； 以及幾種其他通道相關(guān)信令 (CAS) 信號機制。 Cisco CME提供與企業(yè)用戶常用的特性相似的電話特性，以滿足中小型機構(gòu)的要求。 表4 IP 電話支持—特性和優(yōu)勢特性 優(yōu)勢 IP電話支持 DMVPN是一款Cisco IOS軟件解決方案，可方便、可擴展地構(gòu)建 IPsec +通用路由封裝 (GRE) VPN。 入侵保護 思科自防御網(wǎng)絡(luò)計劃旨在大幅提高網(wǎng)絡(luò)識別、防御和適應(yīng)威脅的能力，僅允許針對符合標準的可信任端點設(shè)備的網(wǎng)絡(luò)接入。 安全聯(lián)網(wǎng)–特性和優(yōu)勢Cisco 2800系列具有增強安全功能，如表3所示。 模塊化特性和優(yōu)勢Cisco 2800系列提供了大幅增強的模塊化功能（參見表2），同時保持了投資保護。 用于發(fā)送以太網(wǎng)電源 (PoE)的可選集成電源 這種靈活性大大擴展了Cisco 2800系列的潛在應(yīng)用，使其超越傳統(tǒng)路由，且仍保持著集成的優(yōu)勢。融合IP通信如圖2所示，Cisco 2800系列可滿足中小型企業(yè)和企業(yè)分支機構(gòu)的IP通信需求，同時在單一路由平臺中提供業(yè)界領(lǐng)先的安全性。用于數(shù)據(jù)、話音和視頻的安全網(wǎng)絡(luò)連接安全已成為網(wǎng)絡(luò)的基本構(gòu)建塊。推出了一個全新的集成多業(yè)務(wù)路由器系列，它進行了專門的優(yōu)化，可安全、線速地同時提供數(shù)據(jù)、話音和視頻服務(wù)，重新定義了最佳大型企業(yè)和中小型企業(yè)路由。區(qū)域高級網(wǎng)絡(luò)管理員：區(qū)域高級網(wǎng)絡(luò)管理員負責本區(qū)域內(nèi)部的網(wǎng)絡(luò)設(shè)備的管理和配置，同時與中心網(wǎng)絡(luò)管理員協(xié)調(diào)處理區(qū)域之間的網(wǎng)絡(luò)問題。因此，對網(wǎng)絡(luò)上的用戶進行分級管理，是十分必要的。通過在交換機上配置IP Source Guard，可以過濾掉非法的IP/MAC地址，包含用戶故意修改的和病毒、攻擊等造成的。一個IP地址欺騙攻擊者可以通過手動修改地址或者運行一個實施地址欺騙的程序來假冒一個合法地址。配置示例IOS全局命令：ip dhcp snooping vlan 100,200 no ip dhcp snooping information optionip dhcp snoopingip arp inspection vlan 100,200 /*定義對哪些VLAN進行ARP報文檢測*/ip arp inspection logbuffer entries 1024ip arp inspection logbuffer logs 1024 interval 10IOS接口命令：ip dhcp snooping trustip arp inspection trust /*定義哪些接口是信任接口，通常是網(wǎng)絡(luò)設(shè)備接口，TRUNK接口等*/ip arp inspection limit rate 15 (pps) /*定義接口每秒ARP報文數(shù)量*/對于沒有使用DHCP設(shè)備可以采用下面辦法：arp accesslist staticarp permit ip host mac host ip arp inspection filter staticarp vlan 201配置DAI后的效果在配置DAI技術(shù)的接口上，用戶端不能采用指定地址地址將接入網(wǎng)絡(luò)。DHCP Snooping監(jiān)聽綁定表包括IP地址與MAC地址的綁定信息并將其與特定的交換機端口相關(guān)聯(lián)，動態(tài)ARP檢測（DAI－Dynamic ARP Inspection）可以用來檢查所有非信任端口的ARP請求和應(yīng)答(主動式ARP和非主動式ARP)，確保應(yīng)答來自真正的ARP所有者。這樣，A 和C 都認為對方的MAC 地址是020202020202，實際上這就是B 主機所需得到的結(jié)果。ARP欺騙攻擊原理和防范 ARP欺騙攻擊原理ARP是用來實現(xiàn)MAC地址和IP地址的綁定，這樣兩個工作站才可以通訊，通訊發(fā)起方的工作站以MAC廣播方式發(fā)送ARP請求，擁有此IP地址的工作站給予ARP應(yīng)答，送回自己的IP和MAC地址。通過截取一個虛擬局域網(wǎng)內(nèi)的DHCP信息，交換機可以在用戶和DHCP服務(wù)器之間擔任就像小型安全防火墻這樣的角色，“DHCP監(jiān)聽”功能基于動態(tài)地址分配建立了一個DHCP綁定表，并將該表存貯在交換機里。黑客利用類似Goobler的工具可以發(fā)出大量帶有不同源MAC地址的DHCP請求，直到DHCP服務(wù)器對應(yīng)網(wǎng)段的所有地址被占用，此類攻擊既可以造成DOS的破壞，也可和DHCP服務(wù)器欺詐結(jié)合將流量重指到意圖進行流量截取的惡意節(jié)點。Protect：丟棄非法流量，不報警。Cisco Catalyst交換機的端口安全（Port Security）和動態(tài)端口安全功能可被用來阻止MAC泛濫攻擊。MAC地址泛濫攻擊的防范 MAC泛濫攻擊的原理和危害交換機主動學習客戶端的MAC地址，并建立和維護端口和MAC地址的對應(yīng)表以此建立交換路徑，這個表就是通常我們所說的CAM表。因為任何一個合法用戶都能獲取一個以太網(wǎng)端口的訪問權(quán)限，這些用戶都有可能成為黑客，同時由于設(shè)計OSI模型的時候，允許不同通信層在相互不了解情況下也能進行工作，所以第二層的安全就變得至關(guān)重要。 這個過程往往要花費大量的時間才能夠定位機器具體連接的物理端口，而對于偽造的源IP地址要查出是從哪臺機器產(chǎn)生的就更加困難了。木馬病毒往往會利用ARP的欺騙獲取賬號和密碼，而蠕蟲病毒也往往利用IP地址欺騙技術(shù)來掩蓋它們真實的源頭主機。地址解析協(xié)議（ARP，Address Resolution Protocol）最基本的功能是用來實現(xiàn)MAC地址和IP地址的綁定，這樣兩個工作站才可以通訊，通訊發(fā)起方的工作站以MAC廣播方式發(fā)送ARP請求，擁有此IP地址的工作站給予ARP應(yīng)答，并附上自己的IP和MAC地址。改動后的IP地址在局域網(wǎng)中運行時可能出現(xiàn)以下情況。此外CISCO交換機還提供增強的基于VLAN的生成樹算法（PVSTP+），實現(xiàn)負載的均攤。如果不采用VLAN Trunking的技術(shù)，則虛擬網(wǎng)絡(luò)的結(jié)構(gòu)將如上圖所示，這樣則需要使用多條1000Mbps與其它的交換機互聯(lián)，其缺點是：線路帶寬的利用率不充分網(wǎng)絡(luò)間布線及接口相應(yīng)增多，造成系統(tǒng)管理的復雜性，降低了可靠性。VLAN可以將通訊量進行有效的分割，從而很好的利用帶寬，并可以從邏輯的角度出發(fā)將實際的LAN基礎(chǔ)結(jié)構(gòu)分割成多個子網(wǎng)，這樣減輕了擴容的壓力。要求所選設(shè)備要有很好的擴展性 園區(qū)采用帶有2個千兆接口的Cisco 2811路由器，提供了充足的出口帶寬，下層采用全10/100/1000自適應(yīng)接口的Catalyst WSC3560E24TDS作為核心路由器，通過其強大的轉(zhuǎn)發(fā)能力和充足的帶寬，來保證園區(qū)網(wǎng)絡(luò)的暢通。思科通過模塊化的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計和模塊化的網(wǎng)絡(luò)產(chǎn)品，能為用戶的網(wǎng)絡(luò)提供很強的擴展和升級能力。 網(wǎng)絡(luò)的可靠性許多現(xiàn)有網(wǎng)絡(luò)在初始建設(shè)時不僅要考慮到如何實現(xiàn)數(shù)據(jù)傳輸，還要充分考慮網(wǎng)絡(luò)的冗余與可靠，否則一旦運行過程網(wǎng)絡(luò)發(fā)生故障，系統(tǒng)又不能很快恢復工作，所帶來的后果便是園區(qū)的經(jīng)濟損失，影響園區(qū)的聲譽和形象。在信息化時代，網(wǎng)絡(luò)已進入了各行各業(yè)，同時也促進了各個行業(yè)的發(fā)展。 網(wǎng)絡(luò)的可管理性隨著網(wǎng)絡(luò)規(guī)模的日益擴大，網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)和種類日益增加，網(wǎng)絡(luò)應(yīng)用日益多樣化，網(wǎng)絡(luò)管理也日益重要。同時，在網(wǎng)絡(luò)帶寬非常寶貴的情況下，豐富的QoS機制，如：IP優(yōu)先、排隊、組內(nèi)廣播和鏈路壓縮等優(yōu)化技術(shù)能使實時的多媒體和關(guān)鍵業(yè)務(wù)得到有效的保障。最終實現(xiàn)如下圖的網(wǎng)絡(luò)：第四章 局域網(wǎng)及安全方案設(shè)計 VLAN規(guī)劃由于以太網(wǎng)將是包鋼計量處網(wǎng)絡(luò)中核心層、接入層、匯接層使用的網(wǎng)絡(luò)標準，因此網(wǎng)絡(luò)可以看成是一個大局域網(wǎng)群，需要涉及到第三層交換，因此我們使用了Cisco公司的VLAN技術(shù)。主要是通過一條高速全雙工干道(2000Mbps)來實現(xiàn)將一個交換機端口所劃分的不同VLAN與其它交換機 中各自的相應(yīng)VLAN成員進行線路復用連接的技術(shù)。有關(guān)QOS的細節(jié)在“QOS應(yīng)用”章節(jié)進行了詳細闡述。通過對VLAN的管理，我們可以輕松的在遠端（網(wǎng)絡(luò)中心）完成VLAN的修改，在網(wǎng)絡(luò)的中心位置控制VLAN間的訪問，有效的控制VLAN間的信息流量，減輕遠端管理的復雜度。 重復的IP地址與已經(jīng)分配且正在局域網(wǎng)運行的合法的IP地址發(fā)生資源沖突，使合法用戶無法上網(wǎng)252。如果黑客想探聽同一網(wǎng)絡(luò)中兩臺主機之間的通信（即使是通過交換機相連），他會分別給這兩臺主機發(fā)送一個ARP 應(yīng)答包，讓兩臺主機都“誤”認為對方的MAC地址是第三方黑客所在的主機，這樣，雙方看似“直接”的通信連接，實際上都是通過黑客所在的主機間接進行的。例如“局域網(wǎng)終結(jié)者”（）病毒，通過偽造ARP包來欺騙網(wǎng)絡(luò)主機，使指定的主機網(wǎng)絡(luò)中斷，嚴重影響到網(wǎng)絡(luò)的運行。在網(wǎng)絡(luò)實際環(huán)境中，其來源可概括為兩個途徑：人為實施，病毒或蠕蟲。一個經(jīng)過認證的用戶仍然可以有惡意，并可以很容易地執(zhí)行本文提到的所有攻擊。黑客發(fā)送大量帶有隨機源MAC地址的數(shù)據(jù)包，這些新MAC地址被交換機CAM學習，很快塞滿MAC地址表，這時新目的MAC地址的數(shù)據(jù)包就會廣播到交換機所有端口，交換機就像共享HUB一樣工作，黑客可以用sniffer工具監(jiān)聽所有端口的流量。動態(tài)端口安全則設(shè)置端口允許合法MAC地址的數(shù)目，并以一定時間內(nèi)所學習到的地址作為合法MAC地址。但在DHCP管理使用上也存在著一些另網(wǎng)管人員比較問題，常見的有：DHCP server 的冒充。中間人攻擊是一種攻擊者利用正常的協(xié)議處理行為來更改兩個終端之間的正常通信數(shù)據(jù)流而形成的一種攻擊技術(shù)?；痉婪稙榱朔乐惯@種類型的攻擊，Catalyst DHCP偵聽（DHCP Snooping）功能可有效阻止此類攻擊，當打開此功能，所有用戶端口除非特別設(shè)置，被認為不可信任端口，不應(yīng)該作出任何DHCP響應(yīng)，因此欺詐DHCP響應(yīng)包被交換機阻斷，合法的DHCP服務(wù)器端口或上連端口應(yīng)被設(shè)置為信任端口。黑客程序發(fā)送的主動式ARP采用發(fā)送方私有MAC地址而非廣播地址，通訊接收方根本不會知道自己的IP地址被取代。現(xiàn)在，如果A 和C 要進行通信，實際上彼此發(fā)送的數(shù)據(jù)包都會先到達B 主機，這時，如果B 不做進一步處理，A 和C 之間的通信就無法正常建立，B 也就達不到“嗅探”通信內(nèi)容的目的，因此，B 要對“錯誤”收到的數(shù)據(jù)包進行一番修改，然后轉(zhuǎn)發(fā)到正確的目的地，而修改的內(nèi)容，無非是將目的MAC 和源MAC 地址進行替換。這樣，DHCP Snooping對于DAI來說也成為必不可少的，DAI是動態(tài)使用的，相連的客戶端主機不需要進行任何設(shè)置上的改變。如下表所示：