【正文】 3w0d: %SW_DAI4PACKET_RATE_EXCEEDED: 16 packets received in 184 milliseconds on Fa5/30. ******報警3w0d: %PM4ERR_DISABLE: arpinspection error detected on Fa5/30, putting Fa5/30 in errdisable state ******切斷端口I4965001.....sh int FastEthernet5/30 is down, line protocol is down (errdisabled) Hardware is Fast Ethernet Port, address is (bia ) MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 I4965001...... IP/MAC欺騙的防范常見的欺騙攻擊的種類和目的除了ARP欺騙外，黑客經(jīng)常使用的另一手法是IP地址欺騙。IP/MAC欺騙的防范Catalyst IP源地址保護（IP Source Guard）功能打開后，可以根據(jù)DHCP偵聽記錄的IP綁定表動態(tài)產(chǎn)生PVACL，強制來自此端口流量的源地址符合DHCP綁定表的記錄，這樣攻擊者就無法通過假定一個合法用戶的IP地址來實施攻擊了，這個功能將只允許對擁有合法源地址的數(shù)據(jù)保進行轉(zhuǎn)發(fā)，合法源地址是與IP地址綁定表保持一致的，它也是來源于DHCP Snooping綁定表。不同的內(nèi)部管理用戶應(yīng)該擁有不同的設(shè)備訪問權(quán)限，如有人只能show系統(tǒng)信息，有人可以config系統(tǒng)參數(shù)，具體到每一條命令，要求具有靈活性，這樣在網(wǎng)絡(luò)中有多個管理員時可以最大程度保障安全管理。 一般情況按照網(wǎng)絡(luò)規(guī)模，功能及區(qū)域，建議分為兩類用戶：區(qū)域網(wǎng)絡(luò)管理和中心全網(wǎng)管理。在網(wǎng)管中心也應(yīng)設(shè)置不同的用戶級別，以完成不同的管理功能，同區(qū)域網(wǎng)絡(luò)管理類似，一般建議分為以下不同級別：中心網(wǎng)管操作員：中心網(wǎng)管操作員負責(zé)整個網(wǎng)絡(luò)的監(jiān)控，只有監(jiān)控的權(quán)限，沒有修改配置的權(quán)限，也只能執(zhí)行一些對主要配置影響不大的命令，例如show config, 等。Cisco 2800系列的獨特集成系統(tǒng)架構(gòu)提供了最高業(yè)務(wù)靈活性和投資保護。憑借Cisco IOS174。憑借Cisco 2800系列，客戶可在單一平臺上為其中小型分支機構(gòu)安全地部署數(shù)據(jù)、話音和IP電話，以便簡化其運營、降低網(wǎng)絡(luò)成本。Cisco 2800系列將業(yè)界范圍最廣的連接選項與領(lǐng)先的可用性和可靠性特性相結(jié)合。 Cisco 2800支持90多種模塊，包括大部分現(xiàn)有WIC、VIC、網(wǎng)絡(luò)模塊和AIM（注：Cisco 2801路由器不支持網(wǎng)絡(luò)模塊）。 Cisco 2800系列在Cisco 2801和Cisco 2811上提供了2個10/100端口，在Cisco 2821和Cisco 2851上提供了2個 10/100/1000端口。 。此外，利用網(wǎng)絡(luò)上的通用接口卡，可大大降低管理庫存需求的復(fù)雜度、實現(xiàn)了大型網(wǎng)絡(luò)部署，并可保持各種規(guī)模的分支機構(gòu)中的配置。 Cisco 281 2821和2851上的4個集成 HWIC插槽以及Cisco 2801上的2個集成HWIC插槽，可實現(xiàn)更為靈活、密集的配置。 雙 AIM 插槽支持多種并發(fā)服務(wù)，如硬件加速安全、ATM劃分和組裝(SAR)、壓縮和語音留言（有關(guān)具體平臺支持的詳細信息，請參見表7）。 表3 安全聯(lián)網(wǎng)—特性和優(yōu)勢特性 優(yōu)勢 Cisco IOS Firewall 有關(guān) Cisco 2800系列不同版本上的MPLS VPN支持的具體信息，請查看 。 思科路由器和安全設(shè)備管理器 (SDM) 僅在Cisco 2821和 Cisco 2851上提供的擴展話音模塊插槽，支持用于話音和傳真的思科高密度模擬和數(shù)字擴展模塊，在不占用一個網(wǎng)絡(luò)模塊插槽的情況下支持共24個話音和傳真進程。 Express 語音留言系統(tǒng)可支持多達100個語音信箱。 擁有成本和易用性—特性和優(yōu)勢Cisco 2800 系列繼承了向分支機構(gòu)提供多功能性、集成性和強大功能的傳統(tǒng)。 帶上下問關(guān)聯(lián)的問題解答的可選安裝向?qū)В芍笇?dǎo)用戶完成路由器配置過程，實現(xiàn)更快速部署。因為Cisco 2800系列路由器為模塊化設(shè)備，可方便地定制接口配置來支持多種網(wǎng)絡(luò)應(yīng)用，如分支機構(gòu)數(shù)據(jù)訪問、集成交換、多服務(wù)話音和數(shù)據(jù)集成、撥號接入服務(wù)、VPN接入和防火墻保護、企業(yè)級DSL、內(nèi)容網(wǎng)絡(luò)、入侵檢測、VLAN間路由和串行設(shè)備集中。 65176。C) dBA ( 最大風(fēng)扇速度) 47 dBA，正常工作溫度(90176。有關(guān)各國具體信息，請參見在線標準認可數(shù)據(jù)庫：模塊化支持表7 支持的模塊和接口卡網(wǎng)絡(luò)模塊 Cisco 2801 Cisco 2811 Cisco 2821 Cisco 2851 以太網(wǎng)交換網(wǎng)絡(luò)模塊 NM16ESW 16端口 10/100 Cisco EtherSwitch174。C) 53 dBA (最大風(fēng)扇速度) 符合的規(guī)范 安全 UL 60950 CAN/CSA No. 60950 IEC 60950 EN 609501 AS/NZS 60950 抗干擾性 EN300386 EN55024/CISPR24 EN500821 EN6100062 EMC FCC Part 15 ICES003 Class A EN55022 Class A CISPR22 Class A AS/NZS 3548 Class A VCCI Class A EN 300386 EN6100033 EN6100032 TELCOM ** 對于全部四種平臺，電信標準隨國家和接口類型的不同而不同。C 15 kft 35176。F (040176。 在 WAN連接上自動配置遠程路由器，節(jié)約了將技術(shù)人員派遣到遠程地點的成本。 可選網(wǎng)絡(luò)分析模塊 用于本地電話、個人用戶交換機 (PBX)和網(wǎng)關(guān)連接的接口包括：FXS； FXO； 直接內(nèi)部撥號 (DID)； Eamp。 Cisco CME是一個內(nèi)嵌于Cisco IOS軟件中的可選解決方案，為思科IP電話提供呼叫處理。此架構(gòu)具有高度可擴展性，能支持多達12條T1/E1中繼線路、52個外部交換終端（FXS）端口或36個外部交換局（FXO）端口，同時提供數(shù)據(jù)路由和其他服務(wù)。 DMVPN 對一個可選專用安全AIM的支持，可通過第三層壓縮提供二到三倍的內(nèi)嵌加密性能。 NAC EVM無需占用網(wǎng)絡(luò)模塊插槽，即可支持更多話音服務(wù)和密度(注: 僅在Cisco 2821和 2851上提供)。 HWIC插槽提供了高數(shù)據(jù)吞吐量功能 (高達400 Mbps 全雙工或800 Mbps總吞吐量) 和以太網(wǎng)電源 (POE) 支持。 NME插槽提供高吞吐率功能 () 和對以太網(wǎng)電源(POE)的支持。 Cisco 2812821和2851 上，有一個內(nèi)置外部電源連接器，可簡便地增加可與其他思科產(chǎn)品共享的外部冗余電源，通過保護網(wǎng)絡(luò)組件，使其免于因電源故障而停運，從而縮短了網(wǎng)絡(luò)停運時間。 Cisco 1800、2600、3700和3800路由器上具有通用特性和命令集結(jié)構(gòu)，簡化了特性集選擇、部署、管理和培訓(xùn)。 Cisco 2812821和2851路由器提供了64MB閃存和256 MB DRAM內(nèi)存。網(wǎng)絡(luò)接口可現(xiàn)場升級，以適應(yīng)未來技術(shù)。大多數(shù)模塊，如思科網(wǎng)絡(luò)分析模塊、思科語音留言模塊、思科入侵檢測模塊和思科內(nèi)容引擎模塊，擁有內(nèi)嵌處理器和硬盤，使它們主要可獨立于路由器運行，并能從單一管理界面進行管理。如圖2所示， Cisco 2800系列使客戶能以線速提供具有集成、端到端安全性的并發(fā)的關(guān)鍵任務(wù)型數(shù)據(jù)、話音和視頻解決方案。這些路由器提供了內(nèi)嵌加密加速和主板話音數(shù)字信號處理器（DSP）插槽；入侵保護和防火墻功能；集成化呼叫處理和語音留言；用于多種連接需求的高密度接口；以及充足的性能和插槽密度，以用于未來網(wǎng)絡(luò)擴展和高級應(yīng)用。第五章 產(chǎn)品介紹 Cisco 2800系列介紹思科系統(tǒng)公司174。區(qū)域網(wǎng)絡(luò)管理員：區(qū)域一般網(wǎng)絡(luò)管理員負責(zé)本區(qū)域內(nèi)部的網(wǎng)絡(luò)設(shè)備的管理和維護，能夠執(zhí)行一些對主要配置影響不大的命令，例如show config等。用戶的分級管理在網(wǎng)絡(luò)管理中，一般有許多不同角色的管理者，例如網(wǎng)管操作員，一般網(wǎng)絡(luò)管理員，高級網(wǎng)絡(luò)管理員，同時，根據(jù)網(wǎng)絡(luò)的區(qū)域劃分，也可分為區(qū)域級網(wǎng)絡(luò)管理人員和中心級網(wǎng)絡(luò)管理人員，這些網(wǎng)絡(luò)管理人員根據(jù)其職責(zé)的不同和所管理的網(wǎng)絡(luò)范圍，功能的不同，應(yīng)該具有不同的權(quán)限。與DAI不同的是，DAI僅僅檢查ARP報文， IP Source Guard對所有經(jīng)過定義IP Source Guard檢查的端口的報文都要檢測源地址。富有侵略性的TCP SYN洪泛攻擊來源于一個欺騙性的IP地址，它是利用TCP三次握手會話對服務(wù)器進行顛覆的又一種攻擊方式。該功能可以阻止網(wǎng)絡(luò)掃描工具的使用，同時對有大量ARP報文特征的病毒或攻擊也可以起到阻斷作用。防范方法這些攻擊都可以通過動態(tài)ARP檢查（DAI，Dynamic ARP Inspection）來防止，它可以幫助保證接入交換機只傳遞“合法的”的ARP請求和應(yīng)答信息。這里舉個例子，假定同一個局域網(wǎng)內(nèi)，有3 臺主機通過交換機相連：A 主機：IP ，MAC 地址為01:01:01:01:01:01B 主機：IP ，MAC 地址為02:02:02:02:02:02C 主機：IP ，MAC 地址為03:03:03:03:03:03B 主機對A 和C 進行欺騙的前奏就是發(fā)送假的ARP 應(yīng)答包，如圖所示：在收到B主機發(fā)來的ARP應(yīng)答后，A主機應(yīng)知道： 的數(shù)據(jù)包應(yīng)該發(fā)到MAC地址為020202020202 的主機；C 主機也知道： 的數(shù)據(jù)包應(yīng)該發(fā)到MAC 地址為020202020202 的主機。有些復(fù)雜的DHCP攻擊工具可以產(chǎn)生單一源MAC地址、變化DHCP Payload信息的DHCP請求，當(dāng)打開DHCP偵聽功能，交換機對非信任端口的DHCP請求進行源MAC地址和DHCP Payload信息的比較，如不匹配就阻斷此請求。由于不小心配置了DHCP服務(wù)器引起的網(wǎng)絡(luò)混亂也非常常見。對于超過規(guī)定數(shù)量的MAC處理進行處理一般有三種方式（針對交換機型號會有所不同）：Shutdown：端口關(guān)閉。防范方法限制單個端口所連接MAC地址的數(shù)目可以有效防止類似macof工具和SQL蠕蟲病毒發(fā)起的攻擊，macof可被網(wǎng)絡(luò)用戶用來產(chǎn)生隨機源MAC地址和隨機目的MAC地址的數(shù)據(jù)包，可以在不到10秒的時間內(nèi)填滿交換機的CAM表。同時對于大多數(shù)具有地址掃描、欺騙等特征的病毒可以有效的報警和隔離。網(wǎng)絡(luò)第二層的攻擊是網(wǎng)絡(luò)安全攻擊者最容易實施，也是最不容易被發(fā)現(xiàn)的安全威脅，它的目標是讓網(wǎng)絡(luò)失效或者通過獲取諸如密碼這樣的敏感信息而危及網(wǎng)絡(luò)用戶的安全。 3. 檢查交換機的MAC地址列表，確定機器位置。這些病毒，可以在極短的時間內(nèi)迅速感染大量系統(tǒng)，甚至造成網(wǎng)絡(luò)癱瘓和信息失竊，給園區(qū)造成嚴重損失。另一個顯著的問題就是帶有攻擊特性的ARP欺騙。由于終端用戶可以自由修改IP地址，從而產(chǎn)生了IP地址非法使用問題。下圖為實現(xiàn)VLAN間完全隔離的示意圖接入層交換機與匯接層交化機的1000M線路采用VLAN TRUNK技術(shù)，可實現(xiàn)一個物理接口承載多個VLAN。VLAN Trunking技術(shù)的優(yōu)點在于采用一條高速通道連接，提高了通道的使用效率， 如在V2，V3無數(shù)據(jù)量的情況下，V1可以獨占此1000M帶寬；并且 可以使得線路的聯(lián)接變得簡單，從而大大提高可靠性與易維護性。在VLAN的實現(xiàn)策略中，當(dāng)任意結(jié)合的局域網(wǎng)絡(luò)構(gòu)成VLAN時，本機信息包含了IEEE VLAN ID，如果此ID不能被設(shè)備的任何端口所接收，則它被過濾掉，只有本 機的信息從本交換機發(fā)出。第三章 需求分析要求具有較高性能的網(wǎng)絡(luò)，要達到1000M主干，100M到桌面要求方便管理，使得管理員通過遠程就可以對網(wǎng)絡(luò)及終端進行統(tǒng)一管理安全控制，對用戶進行控制，及Arp病毒的控制。隨著園區(qū)規(guī)模的擴大、業(yè)務(wù)的增長，網(wǎng)絡(luò)的擴展和升級是不可避免的問題。第二章 網(wǎng)絡(luò)設(shè)計原則 網(wǎng)絡(luò)的連通性園區(qū)各計算機等終端設(shè)備之間良好的連通性是需要滿足的基本條件，網(wǎng)絡(luò)環(huán)境就是提供需要通信的計算機設(shè)備之間互通的環(huán)境，以實現(xiàn)豐富多彩的網(wǎng)絡(luò)應(yīng)用。而對于各種制造業(yè)來說，一個強大穩(wěn)定的網(wǎng)絡(luò)，可以更好的提高公司的產(chǎn)量，為公司帶來更高的效益。良好的網(wǎng)絡(luò)管理要重視網(wǎng)絡(luò)管理人力和財力的事先投入，主動控制網(wǎng)絡(luò)，不僅能夠進行定性管理，而且還能夠定量分析網(wǎng)絡(luò)流量，了解網(wǎng)絡(luò)健康狀況。 網(wǎng)絡(luò)的高性能隨著互聯(lián)網(wǎng)的發(fā)展，上網(wǎng)用戶的不斷增多，訪問和數(shù)據(jù)傳輸量劇增，網(wǎng)絡(luò)負荷也相應(yīng)加重；隨著園區(qū)對多媒體技術(shù)的廣泛應(yīng)用，視頻數(shù)據(jù)、音頻數(shù)據(jù)也越來越耗費網(wǎng)絡(luò)帶寬。VLAN是一種無所不在的基本技術(shù)結(jié)構(gòu)。VLAN Trunking技術(shù)的采用，節(jié)省了信道數(shù)據(jù)，提高了可靠性。 VLAN間的隔離虛網(wǎng)之間的完全隔離，可通過CISCO設(shè)備的訪問控制功能實現(xiàn)。 內(nèi)部局域網(wǎng)絡(luò)的安全接入內(nèi)部局域網(wǎng)絡(luò)承擔(dān)著整個園區(qū)網(wǎng)絡(luò)的通訊樞紐功能，連接著所有的應(yīng)用服務(wù)器和數(shù)據(jù)系統(tǒng)，任何網(wǎng)絡(luò)安全問題都會擾亂園區(qū)的正常運轉(zhuǎn)，給園區(qū)帶來不可彌補的損失。 冒用合法用戶的IP地址當(dāng)合法用戶不在線時，冒用其IP地址聯(lián)網(wǎng)，使合法用戶的權(quán)益受到侵害無論是有意或無意地使用非法IP地址都可能會給園區(qū)帶來嚴重的后果，如重復(fù)的IP地址會干擾、破壞網(wǎng)絡(luò)服務(wù)器和網(wǎng)絡(luò)設(shè)備的正常運行，甚至導(dǎo)致網(wǎng)絡(luò)的不穩(wěn)定，從而影響業(yè)務(wù)；擁有被非法使用的IP地址所擁有的特權(quán)，威脅網(wǎng)絡(luò)安全；利用欺騙性的IP地址進行網(wǎng)絡(luò)攻擊，如富有侵略性的TCP SYN