【正文】 ? 35501conf t ? 35501(config)macaddresstable static 0090F51079C1 vlan 2 int f0/1 /在相應(yīng)的接口丟棄流量。它可把網(wǎng)絡(luò)分成一個個獨(dú)立的區(qū)域，控制這些區(qū)域是否可以通信 。 ? 交換機(jī)基礎(chǔ) ? 交換機(jī)功能 ； ? 交換機(jī)的地址 “ 學(xué)習(xí) ” ； ? 交換機(jī)的轉(zhuǎn)發(fā)與過濾 。 ? 簡單網(wǎng)管協(xié)議 SNMP的安全 ? 路由器的網(wǎng)絡(luò)安全配置 ? 物理結(jié)構(gòu)的布局 如果路由器有一個以上的局域網(wǎng)端口，或幾臺路由器并行使用，可以根據(jù)訪問性質(zhì)進(jìn)行分類 ； ? 路由器的簡單防火墻功能 常用的路由器一般都有訪問控制列表 ACL（ Access List），即包過濾防火墻功能。虛擬 IP地址在路由器間共享，控制虛擬路由器 IP地址的 VRRP路由器稱為主路由器，其它的則為備份路由器。 ? RAID的優(yōu)點(diǎn)包括以下幾點(diǎn)： ① 一是成本低，功耗小，傳輸速率高。當(dāng)工作機(jī)出現(xiàn)異常，不能支持信息系統(tǒng)運(yùn)營時，備份機(jī)主動接管工作機(jī)的工作，繼續(xù)支持信息的運(yùn)營，從而保證信息系統(tǒng)能夠不間斷的運(yùn)行。計(jì)算機(jī)系統(tǒng)大多擁有 “ 容錯 ” 能力，即允許存在某些錯誤，盡管系統(tǒng)硬件有故障或程序有錯誤，仍能正確執(zhí)行特定算法和提供系統(tǒng)服務(wù) 。 12 ?集群系統(tǒng) ?在集群系統(tǒng)中，所有的計(jì)算機(jī)擁有一個共同的名稱，集群內(nèi)任一系統(tǒng)上運(yùn)行的服務(wù)可被所有的網(wǎng)絡(luò)客戶所使用。 路由器安全與應(yīng)用實(shí)踐 ? 路由器是網(wǎng)絡(luò)的神經(jīng)中樞，是眾多網(wǎng)絡(luò)設(shè)備的重要一 員； ? 廣域網(wǎng)就是靠一個個路由器連接起來組成的 ； ? 路由器對網(wǎng)絡(luò)的應(yīng)用和安全具有極重要的地位 。局域網(wǎng)內(nèi)的主機(jī)僅僅知道這個虛擬路由器的 IP地址而并不知道具體的 Master路由器的 IP地址以及 Backup路由器的 IP地址，它們將自己的缺省路由下一跳地址設(shè)置為該虛擬路由器的 IP地址。 相同方法進(jìn)行 2號連接； ? 輸入 show sessions命令，可列出用戶當(dāng)前的會話。 CAM維護(hù)了一個精確和有用的轉(zhuǎn)發(fā)數(shù)據(jù)庫，即 MAC地址表 。實(shí)現(xiàn)這種聯(lián)動，需要交換機(jī)支持認(rèn)證、端口鏡像、強(qiáng)制流分類、進(jìn)程數(shù)控制、端口反向查詢等功能。提到物理安全時要考慮兩方面的問題，一是客戶機(jī)整機(jī)被竊；而是未授權(quán)人員通過客戶機(jī)獲得對網(wǎng)絡(luò)的訪問權(quán) ； ? 管理員訪問權(quán)限 管理員賬號，通常是指 Windows系統(tǒng)中的Administrator或 Unix系統(tǒng)中的 root。設(shè)置命令如下： Switch(config)MACaddresstable permanent[MAC Address][type slot/port] ? 設(shè)置限制性靜態(tài)地址 限制性靜態(tài)地址不但繼承了永久地址的所有特性，更進(jìn)一步嚴(yán)格限制了源端口，安全性得到進(jìn)一步增強(qiáng)。 ? ? 。 (3) 選定 “ 使用下面的 IP地址 ” ，在 “IP 地址 ” 和 “ 子網(wǎng)掩碼 ” 框中填寫 IP地址（本例為 ）和子網(wǎng)掩碼（ ）。 ? 路由器訪問控制的安全策略 ? 嚴(yán)格控制可以訪問路由器的管理員；對路由器的任何一次維護(hù)都需要記錄備案，要有完備的路由器的安全訪問和維護(hù)記錄日志 ； ? 建議不要遠(yuǎn)程訪問路由器 ； ? 要嚴(yán)格地為 IOS（ Cisco網(wǎng)際操作系統(tǒng)）作安全備份，及時升級和修補(bǔ) IOS軟件，并迅速為 IOS安裝補(bǔ)丁 ； ? 要為路由器的配置文件作安全備份 ； ? 為路由器配備 UPS設(shè)備，或者至少要有冗余電源。 ? 路由器訪問控制列表 (ACL) ? ACL是 Cisco IOS所提供的一種訪問控制技術(shù) ； ? ACL技術(shù)是一種基于包過濾的流控制技術(shù)。 RAID一般是在 SCSI或 SATA磁盤接口實(shí)現(xiàn)的。雙機(jī)容錯技術(shù)能夠自動檢測應(yīng)用或服務(wù)器故障，并可將其在另一臺可用的服務(wù)器上快速重新啟動；而用戶只會覺察到瞬間的服務(wù)暫停。 網(wǎng)絡(luò)設(shè)備的冗余 ? 核心交換機(jī)冗余 核心交換機(jī)中電源模塊的故障率相對較高，為了保證核心交換機(jī)的正常運(yùn)行，一般考慮在核心交換機(jī)上增配一塊電源模塊，實(shí)現(xiàn)該部件的冗余 ； ? 服務(wù)器冗余 采用配置兩臺 DHCP服務(wù)器來動態(tài)地給客戶機(jī)分配 IP地址 ，為了保證系統(tǒng)的可靠性，還可采用部件冗余技術(shù)、 RAID技術(shù) ； ? 存儲設(shè)備冗余 選擇刻錄光驅(qū)、磁帶機(jī)、磁盤陣列等設(shè)備冗余 ； ? 網(wǎng)絡(luò)邊界設(shè)備冗余 8 雙機(jī)容錯與集群系統(tǒng) 雙機(jī)容錯系統(tǒng) 雙機(jī)容錯系統(tǒng)通過軟硬件的緊密配合，將兩臺獨(dú)立服務(wù)器在網(wǎng)絡(luò)中表現(xiàn)為單一的系統(tǒng)，提供給客戶一套具有單點(diǎn)故障容錯能力，且性價比優(yōu)越的用戶應(yīng)用系統(tǒng)運(yùn)行平臺。一般情況下，組成的邏輯磁盤驅(qū)動器的容量要小于各個磁盤驅(qū)動器容量的總和。前者經(jīng)過改進(jìn)，成為目前廣泛應(yīng)用的路由信息協(xié)議 ，后者則發(fā)展成為開放式最短路徑優(yōu)先協(xié)議。 ? 路由器的自身安全 ? 用戶口令安全 全局配置模式下使用命令 service passwordencryption進(jìn)行配置，該命令可將明文密碼變?yōu)槊芪拿艽a，保證用戶口令的安全 ； ? 配置登錄安全 路由器的配置一般有控制口（ Console）配置、 Tel配置和 SNMP配置三種方法 ， 為了保證使用 Tel配置路由器的安全，僅讓路由器管理員的工作站登錄而不讓其他機(jī)器登錄到路由器，以保證路由器配置的安全 。 (2) 選定 “TCP/IP 協(xié)議 ” （如圖 ），雙擊之或點(diǎn)擊 “ 屬性 ”按鈕，出現(xiàn) “TCP/IP 屬性 ” 窗口，如圖 。 ? 安全交換機(jī)的新功能 ? ； ? 流量控制 ； ? 防范 DDoS攻擊 ； ? 虛擬局域網(wǎng) VLAN； ? 基于 ACL的防火墻功能 ； ? IDS功能 。 ? 設(shè)置永久地址 若設(shè)置了永久地址的目的 MAC地址及其轉(zhuǎn)發(fā)端口，則該地址永久不會超時，所有的端口均可以轉(zhuǎn)發(fā)幀給它。該賬號對于系統(tǒng)中的任何程序和文件具有完全的訪問和管理權(quán)。 ? 安全交換機(jī)的配署 ? 安全交換機(jī)可以配備在網(wǎng)絡(luò)的核心位置上 ， 這樣就可以在核心交換機(jī)上統(tǒng)一配置安全策略，做到集中控制，方便網(wǎng)絡(luò)管理人員的監(jiān)控和調(diào)整 ； ? 把安全交換機(jī)放在網(wǎng)絡(luò)的接入層或匯聚層，是另外一個選擇。 ? 交換機(jī)的轉(zhuǎn)發(fā)與過濾 ? 當(dāng)主機(jī) A發(fā)一個幀給主機(jī) B時，由于目的 MAC地址 (主機(jī) B的 MAC地址 )己在 MAC地址表中存在對應(yīng)項(xiàng)，故交換機(jī)會將此幀直接發(fā)到 B所在交換機(jī)的端口，而不會再將幀發(fā)往其他端口，這樣就節(jié)省了其他端口上的帶寬。假設(shè)用戶有兩個會話：一個到第一臺路由器，一個到第二臺路由器。于是，網(wǎng)絡(luò)內(nèi)的主機(jī)就通過這個虛擬的路由器來與其它網(wǎng)絡(luò)進(jìn)行通信 。 路由協(xié)議與訪問控制 ? 路由選擇及協(xié)議 ? 路由選擇是根據(jù)一定的原則和算法在多節(jié)點(diǎn)的通信子網(wǎng)中選擇一條從源節(jié)點(diǎn)到目的節(jié)點(diǎn)的最佳路徑 ； ? 路由選擇算法可分為靜態(tài)路由選擇算法和動態(tài)路由選擇算法兩大類 ； ? 在路由器上利用路由選擇協(xié)議主動交換路由信息，建立路由表并根據(jù)路由表轉(zhuǎn)發(fā)分組。集群必須可以協(xié)調(diào)管理各分離組件的錯誤和失敗，若其中一臺服務(wù)器失效，其它的服務(wù)器就會接管這臺服務(wù)器所運(yùn)行的應(yīng)用，并將共享磁盤柜上的相應(yīng)數(shù)據(jù)區(qū)接管過來。 網(wǎng)絡(luò)的冗余安全 ? 采用 “ 冗余技術(shù) ” 是實(shí)現(xiàn)計(jì)算機(jī)容錯的主要手段 ； ? 冗余設(shè)計(jì)的目的是：系統(tǒng)運(yùn)行不受局部故障的影響，故障部件的維護(hù)對整個系統(tǒng)的功能實(shí)現(xiàn)沒有影響，并可以實(shí)現(xiàn)在線維護(hù)，使故障部件得到及時的修復(fù) ； ? 系統(tǒng)的可用性指標(biāo)可以用兩個參數(shù)進(jìn)行簡單的描述：一個是平均無故障時間 (MTBF)， MTBF一般指產(chǎn)品在兩次故障之間的