【文章內(nèi)容簡介】 rough 雙絞線 ? 支持端口單通鏈路檢測 (Unidirectional link detection)，以避免可能導致的 spanning tree loops 問題 13 ? 支持網(wǎng)絡準入控制，以防止不健康的和有毒的計算機接入網(wǎng)絡而傳毒 ? 支持 IEEE 、 IEEE ? 支持網(wǎng)絡時間管理協(xié)議，以統(tǒng)一網(wǎng)絡設(shè)備的時間和方便網(wǎng)絡管理 ? 支持 SNMPv RMON、 Syslog、 SSH V2 ? 支持 RSPAN 和 SPAN ? 支持 VLAN 內(nèi)的計算機隔離 ? 支持基于時間、 L L L4 的 ACL ? 支持 Voice VLAN。支持 IGMP V3 Snooping ? 支持廣播風暴抑制、 Port Security、 DHCP Option 82 等等安全功能 ? 支持 ARP過濾和限制技術(shù)，預防 ARP欺騙和假冒的 MAC地址攻擊 ? 支持 IP Source Guard 或類似技術(shù)以防止假冒的 IP 地址 ? 支持 DHCP Snooping 和 DHCP 假應答控制，預防以假冒 DHCP服務為手段的網(wǎng)絡攻擊 ? 支持 RADIUS 和 TACACS+ ? 支持 IEEE 認證和動態(tài) VLAN ID 和 ACL(訪問控制列表 )分配；同時允許非 客戶接入 Guest VLAN ? 支持 L2 Trace Route,即基于 MAC 地址的 ping ? 支持大型幀（ Jumbo frame)，可達 9018 字節(jié) 14 （ 3）無線 局域網(wǎng) WLAN 產(chǎn)品 作為接入層的補充， WLAN 產(chǎn)品應用也非常廣泛 ,我們提供的方案里 建議采用 Cisco 先進集中式的瘦 AP 解決方案 ，在瘦 AP 架構(gòu)下，不需要對瘦 AP 一個一個地配置，所有和無線網(wǎng)絡相關(guān)的配置均在 WLAN控制器上集中進行， 這能大大地提高網(wǎng)絡部署效率和降低網(wǎng)絡維護成本。 只需增加 WLAN 控制 器 、無線瘦 AP、 PoE 模塊 （插在核心交換機或匯聚交換機 上 ，占一個槽 ）或 PoE交換機即可 實現(xiàn) WLAN，如下圖。Cisco 的瘦 AP 同時支持 ，且同時支持內(nèi)外置天線，支持WPA/WPA2 最強的加密強度 ，支持 認證，支持一次性登陸 SSO等 ； Cisco 的 WLAN 控制器產(chǎn)品很全面 ， 如支持 12 個瘦 AP、 25 個瘦AP、 50 個瘦 AP、 100 個瘦 AP 等 ，也可以采用在 6506E 系列交換機上插入 Wism 模塊的方式對瘦 AP進行管理，出于 對 AP 數(shù)量的考慮，本次方案我們采用獨立的無線控制器， WLC440225 無線 控制器支持 25個 CISCO1242 A/B/G AP 的接入。 15 經(jīng)過測試， Cisco 的無線 LAN 是對醫(yī)療設(shè)備沒有任何干擾的。在2020 年，思科就聯(lián)合衛(wèi)生部在中日友好醫(yī)院進行了無線設(shè)備對醫(yī)療設(shè)備無干擾測試。思科是通過該測試的廠商。思科日前宣布，其無線網(wǎng)絡產(chǎn)品贏得了美國醫(yī)院協(xié)會 (AHA)的獨家認可，過去幾個月，美國醫(yī)院協(xié)會的子公司 AHA Solutions對為醫(yī)療保健市場提供服務的多家著名無線網(wǎng)絡產(chǎn)品供應商提交的備選產(chǎn)品和系統(tǒng)進行了認 證評估，最終，思科無線網(wǎng)絡產(chǎn)品憑借卓越的安全性、可靠性、業(yè)界領(lǐng)先的客戶支持以及對醫(yī)院環(huán)境適應的總體部署戰(zhàn)略脫穎而出。 Cisco的無線產(chǎn)品在國內(nèi)醫(yī)院有多個實際成功案例，確實對醫(yī)療設(shè)備無干擾和可以高效地在醫(yī)院里使用： 下面是已經(jīng)成功使用 CISCO無線解決方案的醫(yī)院舉例： 16 中山小欖人民醫(yī)院 解放軍 301 醫(yī)院 北京大學人民醫(yī)院 中日友好醫(yī)院 北京協(xié)和醫(yī)院 北京廣安門醫(yī)院 北京天壇醫(yī)院 首都兒科研究所上海瑞金醫(yī)院 上海長寧區(qū)中心醫(yī)院 昆山宗仁卿紀念醫(yī)院 哈爾濱醫(yī)科大學第一臨床醫(yī)學院 三 、 網(wǎng)絡安全 方面的 考慮 建立了網(wǎng)絡，必然會有人對它進行攻擊，目前網(wǎng)絡的安全主要受到兩方面的威脅，一個是來自黑客的諸如 DoS 之類的攻擊和黑客入侵，另外一個是有可能被病毒感染，例如 2020 年造成很多局域網(wǎng)交換機和路由器癱瘓的 SQL 蠕蟲病毒等。最有效的解決安全的方法是部署 防火墻 和利用網(wǎng)絡設(shè)備內(nèi)置的安全功能 。 Cisco 交換機內(nèi)置的安全功能 及安全攻擊防范方法 交換機必須 能 保護與之相連的用戶和服務器。不同于那些可對網(wǎng)絡產(chǎn)生影響的攻擊，很多針對用戶和服務器的攻擊都是檢測不到的。這些常稱為“中間人”攻擊的攻擊采用的是 可從互聯(lián)網(wǎng)上下載的 17 常用工具。這些工具采用多種不同的機制，可以被惡意用戶利用來窺探其他網(wǎng)絡用戶，這可導致機密信息的失竊以及違反保密政策。思科公司的交換機提供了很多內(nèi)置的安全特性，這些特性可保護 LAN 里的重要信息。 （ 1） 通過生成樹增強特性防止非法交換機連接 兩種生成樹增強機制： BPDU Guard，當一個 BPDU 從某端口進入網(wǎng)絡時，可立刻禁用該訪問端口，這可防止非法交換機連接到網(wǎng)絡并對生成樹設(shè)計造成潛在的破壞。對于那些可能導致對根網(wǎng)橋進行重新計算的所有分組， RootGuard 會讓該端口拒絕接收。 （ 2） DHCP 監(jiān)聽 / DHCP Snooping 多數(shù)企業(yè)網(wǎng)絡都是依靠 DHCP來進行 IP地址分配的。而 DHCP并不是安全的協(xié)議，因此就使得與某個網(wǎng)絡相連的錯誤配置或惡意設(shè)備能很容易地對 DHCP請求作出響應，并向 DHCP客戶機提供錯誤或惡意的信息 ， 網(wǎng)絡襲擊者通常使用惡意 DHCP服務器發(fā)出 IP主機地址，并將其作為默認網(wǎng)關(guān)，在兩個端點之間重新轉(zhuǎn)發(fā)正常流量，從而竊取這兩個端點之間的所有流量。因此，這種襲擊也稱為中間人攻擊。 此外，在互聯(lián)網(wǎng)上有一些工具會大量耗用某個 DHCP 范圍內(nèi)的所有可用 IP地址，并可導 致所有合法主機都不能獲取 IP地址，進而導致網(wǎng)絡不可用。 DHCP Snooping 可同時提供針對這兩種情況的保護。它可建立端口的可信 /不可信狀態(tài)，因此可使網(wǎng)絡管理員能確定應允許哪些端口（和相關(guān)設(shè)備）作為 DHCP 服務器，并拒絕所有其他端口 18 上的 DHCP 服務器活動。此外， DHCP Snooping 可對 DHCP 分組進行調(diào)查，并確保發(fā)送 DHCP請求的設(shè)備相關(guān)的物理 MAC地址能匹配該 DHCP請求內(nèi)部的 MAC 地址。與端口安全相結(jié)合， DHCP Snooping 不允許耗用地址工具利用 DHCP內(nèi)在的不安全。在很多情況下， DHCP Snooping是與 DHCP Option 82 一起使用的，后者可使交換機在 DHCP 分組中插入有關(guān)它自己的信息?？梢圆迦氲淖畛Ｒ娦畔⒕褪?DHCP 請求的物理端口 ID。這可通過將 IP地址關(guān)聯(lián)到某個具體交換機上的某個具體端口，為網(wǎng)絡提供很強的智能性，從而防止惡意設(shè)備和服務器的連接。 （ 3）動態(tài) ARP 檢測 地址解析協(xié)議（ ARP）的最基本的功能是允許兩個站點在 LAN 網(wǎng)段上通信。攻擊者可能會發(fā)送帶假冒源地址的 ARP 包，希望默認網(wǎng)關(guān)或其它主機能夠承認該地址，并將其保存在 ARP表中。 ARP協(xié)議不執(zhí)行任何驗證或 過濾就會在目標主機中為這些惡意主機生成記錄項，從而提高了網(wǎng)絡易損性。目前，惡意主機可以在端點毫不知情的情況下竊取兩個端點之間的談話內(nèi)容。攻擊者不但可以竊取密碼和數(shù)據(jù)，還可以偷聽 IP 電話內(nèi)容 。 ARP（地址解析協(xié)議）是另一種本身不安全的網(wǎng)絡服務 ，可從互聯(lián)網(wǎng)上下載 Ettercap 等 軟件來實現(xiàn)ARP欺騙， 可使惡意用戶利用這一行為并成為中間人，進而訪問他們不應訪問的機密信息 ， Ettercap 是一種“智能化嗅探器”，它可使有點或毫無技術(shù)能力的惡意用戶 實時 收集 網(wǎng)絡里正在傳輸?shù)牡?用戶 19 名 和 密碼信息 等 。與 DHCP Snooping一起使用時， Dynamic ARP Inspection 可防止某個主機在 DHCP 服務器沒有為其分配的 IP 地址的情況下，發(fā)送未經(jīng)請求的 ARP。這種保護可防止 ettercap 等工具利用 ARP 內(nèi)在的不安全。 動態(tài) ARP 檢測（ DAI）能夠保證接入交換機只傳輸“合法”的 ARP 請求和答復。 DAI 能夠截獲交換機上的每個ARP包，檢查 ARP信息，然后再更新交換機 ARP高速緩存，或者將其轉(zhuǎn)發(fā)至相應的目的地。 利用 ARP 協(xié)議的攻擊是目前局域網(wǎng)中非常頻繁威脅非常大的一種攻擊方式。 （ 4） IP Source Guard IP 地址欺騙攻擊者可以模仿合法地址，方法是人工修改某個地址，或者通過程序執(zhí)行地址欺騙。 互聯(lián)網(wǎng)蠕蟲可以使用欺騙技術(shù)隱藏攻擊原發(fā)地的 IP地址。利用 IP源防護特性，攻擊者將無法冒用合法用戶的 IP 地址發(fā)動攻擊，該特性只允許轉(zhuǎn)發(fā)有合法源地址的包。 某個主機還可通過故意 配