【正文】 為偽造身份或者獲取針對IP/MAC的特權(quán)。如此一來，在A 和C 看來，彼此發(fā)送的數(shù)據(jù)包都是直接到達(dá)對方的，但在B 來看，自己擔(dān)當(dāng)?shù)木褪恰暗谌摺钡慕巧?。Catalyst DHCP偵聽（DHCP Snooping）對于下邊介紹的其他阻止ARP欺騙和IP/MAC地址的欺騙是必需的。DHCP server的DOS攻擊。此類攻擊不僅造成安全性的破壞，同時(shí)大量的廣播包降低了交換機(jī)的性能。人為實(shí)施通常是指使用一些黑客的工具對網(wǎng)絡(luò)進(jìn)行掃描和嗅探，獲取管理帳戶和相關(guān)密碼，在網(wǎng)絡(luò)上中安插木馬，從而進(jìn)行進(jìn)一步竊取機(jī)密文件。黑客一方面得到了想要的通信內(nèi)容，并可以通過工具破譯賬號、密碼、信息，另一方面，還可以惡意更改數(shù)據(jù)包中的一些信息。 內(nèi)部局域網(wǎng)絡(luò)的安全接入內(nèi)部局域網(wǎng)絡(luò)承擔(dān)著整個(gè)園區(qū)網(wǎng)絡(luò)的通訊樞紐功能，連接著所有的應(yīng)用服務(wù)器和數(shù)據(jù)系統(tǒng)，任何網(wǎng)絡(luò)安全問題都會(huì)擾亂園區(qū)的正常運(yùn)轉(zhuǎn)，給園區(qū)帶來不可彌補(bǔ)的損失。VLAN Trunking技術(shù)的采用，節(jié)省了信道數(shù)據(jù)，提高了可靠性。 網(wǎng)絡(luò)的高性能隨著互聯(lián)網(wǎng)的發(fā)展，上網(wǎng)用戶的不斷增多，訪問和數(shù)據(jù)傳輸量劇增，網(wǎng)絡(luò)負(fù)荷也相應(yīng)加重；隨著園區(qū)對多媒體技術(shù)的廣泛應(yīng)用，視頻數(shù)據(jù)、音頻數(shù)據(jù)也越來越耗費(fèi)網(wǎng)絡(luò)帶寬。而對于各種制造業(yè)來說，一個(gè)強(qiáng)大穩(wěn)定的網(wǎng)絡(luò)，可以更好的提高公司的產(chǎn)量，為公司帶來更高的效益。隨著園區(qū)規(guī)模的擴(kuò)大、業(yè)務(wù)的增長，網(wǎng)絡(luò)的擴(kuò)展和升級是不可避免的問題。在VLAN的實(shí)現(xiàn)策略中，當(dāng)任意結(jié)合的局域網(wǎng)絡(luò)構(gòu)成VLAN時(shí)，本機(jī)信息包含了IEEE VLAN ID，如果此ID不能被設(shè)備的任何端口所接收，則它被過濾掉，只有本 機(jī)的信息從本交換機(jī)發(fā)出。下圖為實(shí)現(xiàn)VLAN間完全隔離的示意圖接入層交換機(jī)與匯接層交化機(jī)的1000M線路采用VLAN TRUNK技術(shù)，可實(shí)現(xiàn)一個(gè)物理接口承載多個(gè)VLAN。另一個(gè)顯著的問題就是帶有攻擊特性的ARP欺騙。 3. 檢查交換機(jī)的MAC地址列表，確定機(jī)器位置。同時(shí)對于大多數(shù)具有地址掃描、欺騙等特征的病毒可以有效的報(bào)警和隔離。對于超過規(guī)定數(shù)量的MAC處理進(jìn)行處理一般有三種方式（針對交換機(jī)型號會(huì)有所不同）：Shutdown：端口關(guān)閉。這里舉個(gè)例子，假定同一個(gè)局域網(wǎng)內(nèi)，有3 臺主機(jī)通過交換機(jī)相連：A 主機(jī)：IP ，MAC 地址為01:01:01:01:01:01B 主機(jī)：IP ，MAC 地址為02:02:02:02:02:02C 主機(jī)：IP ，MAC 地址為03:03:03:03:03:03B 主機(jī)對A 和C 進(jìn)行欺騙的前奏就是發(fā)送假的ARP 應(yīng)答包，如圖所示：在收到B主機(jī)發(fā)來的ARP應(yīng)答后，A主機(jī)應(yīng)知道： 的數(shù)據(jù)包應(yīng)該發(fā)到MAC地址為020202020202 的主機(jī)；C 主機(jī)也知道： 的數(shù)據(jù)包應(yīng)該發(fā)到MAC 地址為020202020202 的主機(jī)。該功能可以阻止網(wǎng)絡(luò)掃描工具的使用，同時(shí)對有大量ARP報(bào)文特征的病毒或攻擊也可以起到阻斷作用。與DAI不同的是，DAI僅僅檢查ARP報(bào)文， IP Source Guard對所有經(jīng)過定義IP Source Guard檢查的端口的報(bào)文都要檢測源地址。區(qū)域網(wǎng)絡(luò)管理員：區(qū)域一般網(wǎng)絡(luò)管理員負(fù)責(zé)本區(qū)域內(nèi)部的網(wǎng)絡(luò)設(shè)備的管理和維護(hù)，能夠執(zhí)行一些對主要配置影響不大的命令，例如show config等。這些路由器提供了內(nèi)嵌加密加速和主板話音數(shù)字信號處理器（DSP）插槽；入侵保護(hù)和防火墻功能；集成化呼叫處理和語音留言；用于多種連接需求的高密度接口；以及充足的性能和插槽密度，以用于未來網(wǎng)絡(luò)擴(kuò)展和高級應(yīng)用。大多數(shù)模塊，如思科網(wǎng)絡(luò)分析模塊、思科語音留言模塊、思科入侵檢測模塊和思科內(nèi)容引擎模塊，擁有內(nèi)嵌處理器和硬盤，使它們主要可獨(dú)立于路由器運(yùn)行，并能從單一管理界面進(jìn)行管理。 Cisco 2812821和2851路由器提供了64MB閃存和256 MB DRAM內(nèi)存。 Cisco 2812821和2851 上，有一個(gè)內(nèi)置外部電源連接器，可簡便地增加可與其他思科產(chǎn)品共享的外部冗余電源，通過保護(hù)網(wǎng)絡(luò)組件，使其免于因電源故障而停運(yùn)，從而縮短了網(wǎng)絡(luò)停運(yùn)時(shí)間。 HWIC插槽提供了高數(shù)據(jù)吞吐量功能 (高達(dá)400 Mbps 全雙工或800 Mbps總吞吐量) 和以太網(wǎng)電源 (POE) 支持。 NAC DMVPN Cisco CME是一個(gè)內(nèi)嵌于Cisco IOS軟件中的可選解決方案，為思科IP電話提供呼叫處理。 可選網(wǎng)絡(luò)分析模塊 F (040176。C) 53 dBA (最大風(fēng)扇速度) 符合的規(guī)范 安全 UL 60950 CAN/CSA No. 60950 IEC 60950 EN 609501 AS/NZS 60950 抗干擾性 EN300386 EN55024/CISPR24 EN500821 EN6100062 EMC FCC Part 15 ICES003 Class A EN55022 Class A CISPR22 Class A AS/NZS 3548 Class A VCCI Class A EN 300386 EN6100033 EN6100032 TELCOM ** 對于全部四種平臺，電信標(biāo)準(zhǔn)隨國家和接口類型的不同而不同。C) dBA ( 最大風(fēng)扇速度) 47 dBA，正常工作溫度(90176。因?yàn)镃isco 2800系列路由器為模塊化設(shè)備，可方便地定制接口配置來支持多種網(wǎng)絡(luò)應(yīng)用，如分支機(jī)構(gòu)數(shù)據(jù)訪問、集成交換、多服務(wù)話音和數(shù)據(jù)集成、撥號接入服務(wù)、VPN接入和防火墻保護(hù)、企業(yè)級DSL、內(nèi)容網(wǎng)絡(luò)、入侵檢測、VLAN間路由和串行設(shè)備集中。 擁有成本和易用性—特性和優(yōu)勢Cisco 2800 系列繼承了向分支機(jī)構(gòu)提供多功能性、集成性和強(qiáng)大功能的傳統(tǒng)。 僅在Cisco 2821和 Cisco 2851上提供的擴(kuò)展話音模塊插槽，支持用于話音和傳真的思科高密度模擬和數(shù)字?jǐn)U展模塊，在不占用一個(gè)網(wǎng)絡(luò)模塊插槽的情況下支持共24個(gè)話音和傳真進(jìn)程。 表3 安全聯(lián)網(wǎng)—特性和優(yōu)勢特性 優(yōu)勢 Cisco IOS Firewall Cisco 281 2821和2851上的4個(gè)集成 HWIC插槽以及Cisco 2801上的2個(gè)集成HWIC插槽，可實(shí)現(xiàn)更為靈活、密集的配置。 。 Cisco 2800支持90多種模塊，包括大部分現(xiàn)有WIC、VIC、網(wǎng)絡(luò)模塊和AIM（注：Cisco 2801路由器不支持網(wǎng)絡(luò)模塊）。憑借Cisco 2800系列，客戶可在單一平臺上為其中小型分支機(jī)構(gòu)安全地部署數(shù)據(jù)、話音和IP電話，以便簡化其運(yùn)營、降低網(wǎng)絡(luò)成本。Cisco 2800系列的獨(dú)特集成系統(tǒng)架構(gòu)提供了最高業(yè)務(wù)靈活性和投資保護(hù)。 一般情況按照網(wǎng)絡(luò)規(guī)模，功能及區(qū)域，建議分為兩類用戶：區(qū)域網(wǎng)絡(luò)管理和中心全網(wǎng)管理。IP/MAC欺騙的防范Catalyst IP源地址保護(hù)（IP Source Guard）功能打開后，可以根據(jù)DHCP偵聽記錄的IP綁定表動(dòng)態(tài)產(chǎn)生PVACL，強(qiáng)制來自此端口流量的源地址符合DHCP綁定表的記錄，這樣攻擊者就無法通過假定一個(gè)合法用戶的IP地址來實(shí)施攻擊了，這個(gè)功能將只允許對擁有合法源地址的數(shù)據(jù)保進(jìn)行轉(zhuǎn)發(fā)，合法源地址是與IP地址綁定表保持一致的，它也是來源于DHCP Snooping綁定表。這樣，DHCP Snooping對于DAI來說也成為必不可少的，DAI是動(dòng)態(tài)使用的，相連的客戶端主機(jī)不需要進(jìn)行任何設(shè)置上的改變。黑客程序發(fā)送的主動(dòng)式ARP采用發(fā)送方私有MAC地址而非廣播地址，通訊接收方根本不會(huì)知道自己的IP地址被取代。中間人攻擊是一種攻擊者利用正常的協(xié)議處理行為來更改兩個(gè)終端之間的正常通信數(shù)據(jù)流而形成的一種攻擊技術(shù)。動(dòng)態(tài)端口安全則設(shè)置端口允許合法MAC地址的數(shù)目，并以一定時(shí)間內(nèi)所學(xué)習(xí)到的地址作為合法MAC地址。一個(gè)經(jīng)過認(rèn)證的用戶仍然可以有惡意，并可以很容易地執(zhí)行本文提到的所有攻擊。例如“局域網(wǎng)終結(jié)者”（）病毒，通過偽造ARP包來欺騙網(wǎng)絡(luò)主機(jī)，使指定的主機(jī)網(wǎng)絡(luò)中斷，嚴(yán)重影響到網(wǎng)絡(luò)的運(yùn)行。 重復(fù)的IP地址與已經(jīng)分配且正在局域網(wǎng)運(yùn)行的合法的IP地址發(fā)生資源沖突，使合法用戶無法上網(wǎng)252。有關(guān)QOS的細(xì)節(jié)在“QOS應(yīng)用”章節(jié)進(jìn)行了詳細(xì)闡述。最終實(shí)現(xiàn)如下圖的網(wǎng)絡(luò)：第四章 局域網(wǎng)及安全方案設(shè)計(jì) VLAN規(guī)劃由于以太網(wǎng)將是包鋼計(jì)量處網(wǎng)絡(luò)中核心層、接入層、匯接層使用的網(wǎng)絡(luò)標(biāo)準(zhǔn)，因此網(wǎng)絡(luò)可以看成是一個(gè)大局域網(wǎng)群，需要涉及到第三層交換，因此我們使用了Cisco公司的VLAN技術(shù)。 網(wǎng)絡(luò)的可管理性隨著網(wǎng)絡(luò)規(guī)模的日益擴(kuò)大，網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)和種類日益增加，網(wǎng)絡(luò)應(yīng)用日益多樣化，網(wǎng)絡(luò)管理也日益重要。 網(wǎng)絡(luò)的可靠性許多現(xiàn)有網(wǎng)絡(luò)在初始建設(shè)時(shí)不僅要考慮到如何實(shí)現(xiàn)數(shù)據(jù)傳輸，還要充分考慮網(wǎng)絡(luò)的冗余與可靠，否則一旦運(yùn)行過程網(wǎng)絡(luò)發(fā)生故障，系統(tǒng)又不能很快恢復(fù)工作，所帶來的后果便是園區(qū)的經(jīng)濟(jì)損失，影響園區(qū)的聲譽(yù)和形象。要求所選設(shè)備要有很好的擴(kuò)展性 園區(qū)采用帶有2個(gè)千兆接口的Cisco 2811路由器，提供了充足的出口帶寬，下層采用全10/100/1000自適應(yīng)接口的Catalyst WSC3560E24TDS作為核心路由器，通過其強(qiáng)大的轉(zhuǎn)發(fā)能力和充足的帶寬，來保證園區(qū)網(wǎng)絡(luò)的暢通。如果不采用VLAN Trunking的技術(shù)，則虛擬網(wǎng)絡(luò)的結(jié)構(gòu)將如上圖所示，這樣則需要使用多條1000Mbps與其它的交換機(jī)互聯(lián)，其缺點(diǎn)是：線路帶寬的利用率不充分網(wǎng)絡(luò)間布線及接口相應(yīng)增多，造成系統(tǒng)管理的復(fù)雜性，降低了可靠性。改動(dòng)后的IP地址在局域網(wǎng)中運(yùn)行時(shí)可能出現(xiàn)以下情況。木馬病毒往往會(huì)利用ARP的欺騙獲取賬號和密碼，而蠕蟲病毒也往往利用IP地址欺騙技術(shù)來掩蓋它們真實(shí)的源頭主機(jī)。因?yàn)槿魏我粋€(gè)合法用戶都能獲取一個(gè)以太網(wǎng)端口的訪問權(quán)限，這些用戶都有可能成為黑客，同時(shí)由于設(shè)計(jì)OSI模型的時(shí)候，允許不同通信層在相互不了解情況下也能進(jìn)行工作，所以第二層的安全就變得至關(guān)重要。Cisco Catalyst交換機(jī)的端口安全（Port Security）和動(dòng)態(tài)端口安全功能可被用來阻止MAC泛濫攻擊。黑客利用類似Goobler的工具可以發(fā)出大量帶有不同源MAC地址的DHCP請求，直到DHCP服務(wù)器對應(yīng)網(wǎng)段的所有地址被占用，此類攻擊既可以造成DOS的破壞，也可和DHCP服務(wù)器欺詐結(jié)合將流量重指到意圖進(jìn)行流量截取的惡意節(jié)點(diǎn)。ARP欺騙攻擊原理和防范 ARP欺騙攻擊原理ARP是用來實(shí)現(xiàn)MAC地址和IP地址的綁定，這樣兩個(gè)工作站才可以通訊，通訊發(fā)起方的工作站以MAC廣播方式發(fā)送ARP請求，擁有此IP地址的工作站給予ARP應(yīng)答，送回自己的IP和MAC地址。DHCP Snooping監(jiān)聽綁定表包括IP地址與MAC地址的綁定信息并將其與特定的交換機(jī)端口相關(guān)聯(lián)，動(dòng)態(tài)ARP檢測（DAI－Dynamic ARP Inspection）可以用來檢查所有非信任端口的ARP請求和應(yīng)答(主動(dòng)式ARP和非主動(dòng)式ARP)，確保應(yīng)答來自真正的ARP所有者。一個(gè)IP地址欺騙攻擊者可以通過手動(dòng)修改地址或者運(yùn)行一個(gè)實(shí)施地址欺騙的程序來假冒一個(gè)合法地址。因此，對網(wǎng)絡(luò)上的用戶進(jìn)行分級管理，是十分必要的。推出了一個(gè)全新的集成多業(yè)務(wù)路由器系列，它進(jìn)行了專門的優(yōu)化，可安全、線速地同時(shí)提供數(shù)據(jù)、話音和視頻服務(wù)，重新定義了最佳大型企業(yè)和中小型企業(yè)路由。融合IP通信如圖2所示，Cisco 2800系列可滿足中小型企業(yè)和企業(yè)分支機(jī)構(gòu)的IP通信需求，同時(shí)在單一路由平臺中提供業(yè)界領(lǐng)先的安全性。 用于發(fā)送以太網(wǎng)電源 (PoE)的可選集成電源 安全聯(lián)網(wǎng)–特性和優(yōu)勢Cisco 2800系列具有增強(qiáng)安全功能，如表3所示。 入侵保護(hù) 表4 IP 電話支持—特性和優(yōu)勢特性 優(yōu)勢 IP電話支持 M； 集中自動(dòng)信息記帳 (CAMA)； ISDN基本速率接口(BRI)； 帶ISDN 主速率接口(PRI)的TE1和J1； QSIG； 以及幾種其他通道相關(guān)信令 (CAS) 信號機(jī)制。 總結(jié)隨著企業(yè)努力通過網(wǎng)絡(luò)應(yīng)用降低運(yùn)行網(wǎng)絡(luò)的成本并提高其最終用戶的工作效率，市場上需要更為智能的分支機(jī)構(gòu)解決方案。C 3km/10 kft 40176。 各國和各種接口類型的要求不同。F (–20176。 增強(qiáng)安裝特性 通過集成一個(gè)可選的語音留言AIM或網(wǎng)絡(luò)模塊，用 Cisco Unity174。 URL過濾可通過一個(gè)可選內(nèi)容引擎網(wǎng)絡(luò)模塊板載提供，或由一個(gè)運(yùn)行URL過濾軟件的PC服務(wù)器外部提供。 Cisco 2800系列憑借虛擬路由和轉(zhuǎn)發(fā)(VRF) 防火墻以及 VRF IPsec，支持特定供應(yīng)商邊緣功能，以及將客戶的MPLS VPN網(wǎng)絡(luò)擴(kuò)展至客戶邊級的機(jī)制。 雙AIM插槽 憑借90多種與Cisco 1800、2600、3700和3800系列等其他思科路由器共享的模塊，Cisco 2800系列的接口可方便地與其他思科路由器互換，在網(wǎng)絡(luò)升級時(shí)提供最高投資保護(hù)。 集成雙快速以太網(wǎng)或千兆位以太網(wǎng)端口 應(yīng)用融合IP通信的安全網(wǎng)絡(luò)連接圖2 融合IP通信的安全網(wǎng)絡(luò)連接主要特性和優(yōu)勢架構(gòu)特性和優(yōu)勢Cisco 2800 系列架構(gòu)的特別設(shè)計(jì)可滿足中小型分支機(jī)構(gòu)和中小型企業(yè)對于目前和未來應(yīng)用日益提高的需求。Cisco 2800系列具有先進(jìn)、集成的端到端安全性，以用于提供融合服務(wù)和應(yīng)用。全網(wǎng)中心管理分級園區(qū)網(wǎng)絡(luò)總部設(shè)有一個(gè)全網(wǎng)管理中心，全網(wǎng)管理中心負(fù)責(zé)全網(wǎng)的運(yùn)行管理和維護(hù)。配置示例檢測接口上的IP+MACIOS 全局配置命令：ip dhcp snooping vlan 12,200ip dhcp snooping information optionip dhcp snooping接口配置命令：ip verify source vlan dhcpsnooping portsecurityswitchport mode accessswitchport portsecurityswitchport portsecurity maximum 3檢測接口上的