【正文】 可支持IPSec數(shù)字加密標(biāo)準(zhǔn) (DES)、三重DES (3DES)、高級(jí)加密標(biāo)準(zhǔn) (AES) 12AES 192和AES 256加密。 擴(kuò)展話音模塊 (EVM) 插槽 集成冗余電源 (RPS) 連接器 更多缺省內(nèi)存 具有范圍廣泛的LAN和WAN選項(xiàng)。通過多種服務(wù)的可選集成，Cisco 2800系列能方便地自行將獨(dú)立網(wǎng)絡(luò)設(shè)施和組件的功能集成入Cisco 2800系列機(jī)箱。此外，思科提供了一系列安全加速硬件，如用于加密的入侵保護(hù)網(wǎng)絡(luò)模塊和高級(jí)集成模塊（AIM），使Cisco 2800系列成為業(yè)界適用于分支機(jī)構(gòu)的、最強(qiáng)大的可適應(yīng)安全解決方案。Cisco 2800系列能以線速為多條T1/E1/xDSL連接提供多種高質(zhì)量并發(fā)服務(wù)。以上這些用戶分級(jí)應(yīng)根據(jù)園區(qū)網(wǎng)絡(luò)的具體情況及要求分別細(xì)化其功能，使其分別對(duì)應(yīng)Cisco IOS 軟件的權(quán)限16種不同層次的優(yōu)先級(jí)別，同時(shí)用戶可以用privilege exec level等命令對(duì)某一層次優(yōu)先級(jí)所執(zhí)行的命令進(jìn)行管理，從而達(dá)到靈活管理。區(qū)域用網(wǎng)絡(luò)管理分為以下三種不同的用戶分級(jí)：區(qū)域網(wǎng)管操作員：區(qū)域網(wǎng)管操作員負(fù)責(zé)本區(qū)域內(nèi)部的網(wǎng)絡(luò)設(shè)備的監(jiān)視，只能執(zhí)行一些show類的用于監(jiān)視的命令，例如：show interfaces ，ping 等，一般屬于Cisco IOS 軟件的用戶模式。CISCO的路由器產(chǎn)品可以分配16種不同的特權(quán)，每種特權(quán)有規(guī)定的命令集，這使得每個(gè)特權(quán)用戶只能執(zhí)行某些命令，從而提高了安全性。此時(shí)，必須將 IP源地址保護(hù)IP Source Guard與端口安全Port Security功能共同使用，并且需要DHCP服務(wù)器支持Option 82時(shí)，才可以抵御IP地址＋MAC地址的欺騙。如黑客冒用A地址對(duì)B地址發(fā)出大量的ping包，所有ping應(yīng)答都會(huì)返回到B地址，通過這種方式來實(shí)施拒絕服務(wù)（DoS）攻擊，這樣可以掩蓋攻擊系統(tǒng)的真實(shí)身份。一旦ARP請(qǐng)求頻率的頻率超過預(yù)先設(shè)定的閾值，立即關(guān)閉該端口。如圖 所示。像ettercap可提供一個(gè)用戶界面，在對(duì)本地網(wǎng)段所有工作站的掃描后，ettercap顯示所有工作站源地址和目的地址，選擇ARP哄騙命令后，除數(shù)據(jù)包的截取外，內(nèi)置的智能sniffer功能還可以針對(duì)不同IP會(huì)話獲取password信息。 高級(jí)防范對(duì)于類似Gobbler的DHCP 服務(wù)的DOS攻擊可以利用前面的Port Security限制源MAC地址數(shù)目加以阻止，對(duì)于有些用戶隨便指定地址，造成網(wǎng)絡(luò)地址沖突也可以利用后面提到的DAI和IP Source Guard技術(shù)。 DHCP Snooping技術(shù)概述DHCP Snooping技術(shù)是DHCP安全特性，通過建立和維護(hù)DHCP Snooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區(qū)域的DHCP信息。由于DHCP 的運(yùn)作機(jī)制，通常服務(wù)器和客戶端沒有認(rèn)證機(jī)制，如果網(wǎng)絡(luò)上存在多臺(tái)DHCP服務(wù)器將會(huì)給網(wǎng)絡(luò)照成混亂。目前較新的技術(shù)是Sticky Port Security，交換機(jī)將學(xué)到的mac地址寫到端口配置中，交換機(jī)重啟后配置仍然存在。更為嚴(yán)重的是，這種攻擊也會(huì)導(dǎo)致所有鄰接的交換機(jī)CAM表被填滿，流量以洪泛方式發(fā)送到所有交換機(jī)的所有含有此VLAN的接口，從而造成交換機(jī)負(fù)載過大、網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。Port SecurityDHCP Snooping Dynamic ARP Inspection (DAI)IP Source Guard下面主要針對(duì)目前這些非常典型的二層攻擊和欺騙說明如何在思科交換機(jī)上組合運(yùn)用和部署上述技術(shù)，從而防止在交換環(huán)境中的“中間人”攻擊、MAC/CAM攻擊、DHCP攻擊、地址欺騙等，更具意義的是通過上面技術(shù)的部署可以簡化地址管理，直接跟蹤用戶IP和對(duì)應(yīng)的交換機(jī)端口，防止IP地址沖突。木馬、蠕蟲病毒的攻擊不僅僅是攻擊和欺騙，同時(shí)還會(huì)帶來網(wǎng)絡(luò)流量加大、設(shè)備CPU利用率過高、二層生成樹環(huán)路、網(wǎng)絡(luò)癱瘓等現(xiàn)象。2. 查看當(dāng)前網(wǎng)絡(luò)設(shè)備的ARP表，從中獲得網(wǎng)卡的MAC地址。病毒入侵問題也是所有園區(qū)普遍關(guān)心的問題。但這種方法由于要事先收集所有機(jī)器的MAC地址及相應(yīng)的IP地址，然后還要通過人工輸入方法來建立IP地址和MAC地址的捆綁表，不僅工作量繁重，而且也難以維護(hù)和管理。在局域網(wǎng)上任何用戶使用未經(jīng)授權(quán)的IP地址都應(yīng)視為IP非法使用。因?yàn)樵L問控制是按IP地址進(jìn)行的，因此IP地址應(yīng)能夠區(qū)分出業(yè)務(wù)類別。 圖：不使用VLAN Tranking圖：使用VLAN Tranking如果采用VLAN Trunking的技術(shù)，則VVV3均可通過一條全雙工的1000Mbps，即2000Mbps的速率與上級(jí)交換機(jī)進(jìn)行互通并經(jīng)過位于樹根部的路由器進(jìn)行路由選擇與其它的VLAN進(jìn)行通訊。同時(shí)，為了避免VLAN中循環(huán)的可能，（生成樹）的算法。高性能的網(wǎng)絡(luò)也是一些關(guān)鍵業(yè)務(wù)或特殊應(yīng)用的必備條件。 網(wǎng)絡(luò)的擴(kuò)展性網(wǎng)絡(luò)建設(shè)為未來的發(fā)展提供良好的擴(kuò)展接口是非常理智的選擇。我們愿用多年來在網(wǎng)絡(luò)技術(shù)領(lǐng)域的專業(yè)經(jīng)驗(yàn)，在制造行業(yè)的征途中貢獻(xiàn)我們的一份力量，為各行各業(yè)增添幾份璀璨。 思科產(chǎn)品和技術(shù)不僅在中國金融、保險(xiǎn)、電信、科研等領(lǐng)域取得巨大成功，而且在制造行業(yè)領(lǐng)域也大顯身手。有預(yù)見性地發(fā)現(xiàn)網(wǎng)絡(luò)上的問題，并將其消滅于萌芽狀態(tài)，降低網(wǎng)絡(luò)故障所帶來的損失，使網(wǎng)絡(luò)管理的投入達(dá)到事半功倍的效果。如果網(wǎng)絡(luò)沒有高性能，會(huì)導(dǎo)致系統(tǒng)反應(yīng)緩慢，甚至在業(yè)務(wù)量突增時(shí)，發(fā)生系統(tǒng)崩潰、中止和異常等現(xiàn)象。簡而言之，虛擬網(wǎng)絡(luò)是對(duì)網(wǎng)絡(luò)系統(tǒng)采用邏輯化而非物理化的管理技術(shù)來實(shí)現(xiàn)網(wǎng)絡(luò)安全的策略，其主要協(xié)議為IEEE ,此協(xié)議結(jié)合了鑒別和加密技術(shù)從而保證整個(gè)網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)的保密性與完整性。便于管理，方便連接，提高了整個(gè)網(wǎng)絡(luò)吞吐量和性能 指標(biāo)。CISCO設(shè)備可實(shí)現(xiàn)網(wǎng)絡(luò)的二層和第三層的訪問控制，第三層的訪問控制為IP的訪問控制列表，第二層的訪問控制為VLAN MAP。目前園區(qū)在內(nèi)部局域網(wǎng)中遇到的問題主要有以下幾種：IP地址的管理問題，包括IP地址非法使用、IP地址沖突和IP地址欺騙利用ARP欺騙獲取賬號(hào)、密碼、信息，甚至惡意篡改信息內(nèi)容、嫁禍他人問題木馬、蠕蟲病毒攻擊導(dǎo)致的信息失竊、網(wǎng)絡(luò)癱瘓問題攻擊或病毒源機(jī)器的快速定位、隔離問題IP的地址管理一直是長期困擾園區(qū)局域網(wǎng)安全穩(wěn)定運(yùn)行的首要問題。為了防止非法使用IP地址，增強(qiáng)網(wǎng)絡(luò)安全，最常見的方法是采用靜態(tài)的ARP命令捆綁IP地址和MAC地址，從而阻止非法用戶在不修改MAC地址的情況下冒用IP地址進(jìn)行的訪問，同時(shí)借助交換機(jī)的端口安全即MAC地址綁定功能可以解決非法用戶修改MAC地址以適應(yīng)靜態(tài)ARP表的問題。同時(shí)，這種ARP欺騙又極具隱蔽性，攻擊完成后再恢復(fù)現(xiàn)場，所以不易發(fā)覺、事后也難以追查，被攻擊者往往對(duì)此一無所知。當(dāng)出現(xiàn)IP地址被非法使用、IP地址沖突，或網(wǎng)絡(luò)出現(xiàn)異常流量包括由于網(wǎng)絡(luò)掃描、病毒感染和網(wǎng)絡(luò)攻擊產(chǎn)生的流量，為了查找這些IP地址的機(jī)器，一般采用如下步驟： 1. 確定出現(xiàn)問題的IP地址。攻擊和欺騙過程往往比較隱蔽和安靜，但對(duì)于信息安全要求高的園區(qū)危害是極大的。歸納前面提到的局域網(wǎng)目前普遍存在的安全問題，根據(jù)這些安全威脅的特征分析，這些攻擊都來自于網(wǎng)絡(luò)的第二層，主要包括以下幾種：MAC地址泛濫攻擊DHCP服務(wù)器欺騙攻擊ARP欺騙IP/MAC地址欺騙Cisco Catalyst 智能交換系列的創(chuàng)新特性針對(duì)這類攻擊提供了全面的解決方案，將發(fā)生在網(wǎng)絡(luò)第二層的攻擊阻止在通往內(nèi)部網(wǎng)的第一入口處，主要基于下面的幾個(gè)關(guān)鍵的技術(shù)。當(dāng)交換機(jī)的CAM表被填滿后，交換機(jī)以廣播方式處理通過交換機(jī)的報(bào)文，這時(shí)攻擊者可以利用各種嗅探攻擊獲取網(wǎng)絡(luò)信息。交換機(jī)動(dòng)態(tài)學(xué)習(xí)端口MAC，直到指定的MAC地址數(shù)量，交換機(jī)關(guān)機(jī)后重新學(xué)習(xí)。有些用戶隨便指定地址，造成網(wǎng)絡(luò)地址沖突。黑客也可以利用冒充的DHCP服務(wù)器，為用戶分配一個(gè)經(jīng)過修改的DNS Server，在用戶毫無察覺的情況下被引導(dǎo)在預(yù)先配置好的假金融網(wǎng)站或電子商務(wù)網(wǎng)站，騙取用戶帳戶和密碼，這種攻擊是非常惡劣的。首先定義交換機(jī)上的信任端口和不信任端口，對(duì)于不信任端口的DHCP報(bào)文進(jìn)行截獲和嗅探，DROP掉來自這些端口的非正常DHCP響應(yīng)應(yīng)報(bào)文，如下圖所示：基本配置示例如下表：IOS全局命令：ip dhcp snooping vlan 100,200 /*定義哪些VLAN啟用DHCP嗅探ip dhcp snooping接口命令：ip dhcp snooping trustno ip dhcp snooping trust (Default)ip dhcp snooping limit rate 10 (pps) /*一定程度上防止DHCP拒絕服務(wù)攻擊*/手工添加DHCP綁定表： ip dhcp snooping binding vlan 10 interface gi1/1 expiry 1000導(dǎo)出DHCP綁定表到TFTP服務(wù)器：ip dhcp snooping database tftp://需要注意的是DHCP綁定表要存在本地存貯器(Bootfalsh、slot0、ftp、tftp)或?qū)С龅街付═FTP服務(wù)器上，否則交換機(jī)重啟后DHCP綁定表丟失，對(duì)于已經(jīng)申請(qǐng)到IP地址的設(shè)備在租用期內(nèi)，不會(huì)再次發(fā)起DHCP請(qǐng)求，如果此時(shí)交換機(jī)己經(jīng)配置了下面所講到的DAI和IP Source Guard技術(shù)，這些用戶將不能訪問網(wǎng)絡(luò)。黑客工具如ettercap、dsniff和arpspoof都能實(shí)現(xiàn)ARP哄騙功能。這種嗅探方法，也被稱作中間人MIMT（ManInTheMiddle）的方法。另外，通過DAI可以控制某個(gè)端口的ARP請(qǐng)求報(bào)文頻率。此方法也被廣泛用作DOS攻擊，目前較多的攻擊是：Ping Of Death、Syn flood、ICMP Unreacheable Storm。IP Source Guard不但可以配置成對(duì)IP地址的過濾也可以配置成對(duì)MAC地址的過濾，這樣，就只有IP地址和MAC地址都于DHCP Snooping綁定表匹配的通信包才能夠被允許傳輸。一旦系統(tǒng)發(fā)生問題，立刻可以查到什么人、什么時(shí)候、修改了什么配置，這一點(diǎn)對(duì)大型生產(chǎn)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行非常重要。區(qū)域網(wǎng)絡(luò)管理分級(jí)對(duì)于區(qū)域網(wǎng)絡(luò)管理，網(wǎng)管人員只能對(duì)指定的部分網(wǎng)路設(shè)備進(jìn)行管理和監(jiān)控，其權(quán)限劃定在一定的范圍之內(nèi)。中心高級(jí)網(wǎng)絡(luò)管理員：中心高級(jí)網(wǎng)絡(luò)管理員負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的運(yùn)行和管理，他同各區(qū)域高級(jí)網(wǎng)絡(luò)管理員協(xié)調(diào)處理整個(gè)網(wǎng)絡(luò)出現(xiàn)的問題，具有最高的權(quán)限，他能執(zhí)行全部的IOS命令，同時(shí)他還負(fù)責(zé)整個(gè)安全策略的產(chǎn)生和執(zhí)行，管理所有用戶賬號(hào)，分配不同的用戶權(quán)限等。與相似價(jià)位的前幾代思科路由器相比，Cisco 2800系列的性能提高了五倍、安全性和話音性能提高了十倍、具有全新內(nèi)嵌服務(wù)選項(xiàng)，且大大提高了插槽性能和密度，同時(shí)保持了對(duì)目前Cisco 1700系列和Cisco 2600系列中現(xiàn)有90多種模塊中大多數(shù)模塊的支持，從而提供了極大的性能優(yōu)勢。此外，通過將安全功能直接集成入路由器，思科可提供其他安全設(shè)備不能提供的獨(dú)特智能安全解決方案，如用于病毒防御的網(wǎng)絡(luò)準(zhǔn)入控制（NAC）；當(dāng)結(jié)合話音、視頻和VPN時(shí)可增強(qiáng)服務(wù)質(zhì)量（QoS）的話音和視頻型VPN（V3PN）；以及可實(shí)現(xiàn)更優(yōu)可擴(kuò)展性和可管理性的VPN網(wǎng)絡(luò)的動(dòng)態(tài)多點(diǎn)VPN（DMVPN）和Easy VPN。集成化服務(wù)表2也表明了，憑借Cisco 2800系列獨(dú)特的集成化服務(wù)架構(gòu)，客戶現(xiàn)可用傳統(tǒng)IP路由安全地部署IP通信，并為更多的高級(jí)服務(wù)預(yù)留接口和模塊插槽。 表1 架構(gòu)特性和優(yōu)勢特性 優(yōu)勢 模塊化架構(gòu) Cisco 2800系列路由器中的每一款都配備了內(nèi)嵌硬件加密加速器，當(dāng)與可選Cisco IOS軟件升級(jí)相結(jié)合時(shí)，有助于實(shí)現(xiàn)WAN鏈路安全和VPN服務(wù)。 Cisco 2800全面支持最新的、基于Cisco IOS 軟件的QoS、帶寬管理和安全特性，有助于實(shí)施端到端解決方案。 Cisco 2812821和2851路由器上，有一個(gè)可選直流電源，擴(kuò)展了可能的部署環(huán)境，如中央辦公機(jī)構(gòu)和工業(yè)環(huán)境 (注：Cisco 2801上不具備此特性)。 NME 插槽支持現(xiàn)有網(wǎng)絡(luò)模塊 (注: 僅在 Cisco 2812821和 2851上支持NM和 NME)。 HWIC插槽也可支持WIC、VIC和VWIC。 用于Cisco PVDM2 的插槽集成在主板上，使路由器上的插槽可提供其他服務(wù)。 板載VPN加密加速 USB端口將用于提供未來功能。 Cisco Easy VPN遠(yuǎn)程和服務(wù)器支持 IP電話支持—特性和優(yōu)勢Cisco 2800系列使網(wǎng)絡(luò)經(jīng)理無需投資于一次性的解決方案，即可提供可擴(kuò)展的模擬和數(shù)字電話（具體信息參見表4），使企業(yè)能更好地滿足其融合電話需求。 DSP模塊支持模擬和數(shù)字話音、會(huì)議、話音編碼轉(zhuǎn)換和安全實(shí)時(shí)傳輸協(xié)議 (RTP)應(yīng)用。 Express 語音留言系統(tǒng)可支持多達(dá)100個(gè)語音信箱。表5 擁有成本和易用性—特性和優(yōu)勢特性 優(yōu)勢 集成化通道服務(wù)單元/數(shù)據(jù)服務(wù)單元 (CSU/DSU)、增刪多路復(fù)用器、防火墻、調(diào)制解調(diào)器、壓縮和加密 通過基于 Web的GUI，提供先進(jìn)的管理和配置功能。產(chǎn)品規(guī)格表6 機(jī)箱規(guī)格Cisco 2800系列Cisco 2801Cisco 2811Cisco 2821Cisco 2851產(chǎn)品架構(gòu) DRAM 缺省: 128 MB 最大: 384 MB 缺省: 256 MB 最大: 760 MB 缺省: 256 MB最大: 1 GB 小型閃存 缺省: 64 MB 最大: 128MB 缺省: 64 MB 最大: 128 MB 固定USB 端口 1 2 板載 LAN端口 2–10/100 2–10/100/1000 板載AIM (內(nèi)部) 插槽 2 接口卡插槽 4個(gè)插槽。C 3 km/10 kft 40176。C) 57 dBA (最大風(fēng)扇速度) 44 dBA，正常工作溫度(901