freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

cisco網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)設(shè)計(jì)技術(shù)方案(編輯修改稿)

2025-06-09 07:04 本頁面
 

【文章內(nèi)容簡介】 和C 進(jìn)行欺騙的前奏就是發(fā)送假的ARP 應(yīng)答包,如圖所示:在收到B主機(jī)發(fā)來的ARP應(yīng)答后,A主機(jī)應(yīng)知道: 的數(shù)據(jù)包應(yīng)該發(fā)到MAC地址為020202020202 的主機(jī);C 主機(jī)也知道: 的數(shù)據(jù)包應(yīng)該發(fā)到MAC 地址為020202020202 的主機(jī)。這樣,A 和C 都認(rèn)為對方的MAC 地址是020202020202,實(shí)際上這就是B 主機(jī)所需得到的結(jié)果。當(dāng)然,因?yàn)锳RP 緩存表項(xiàng)是動態(tài)更新的,其中動態(tài)生成的映射有個(gè)生命期,一般是兩分鐘,如果再沒有新的信息更新,ARP 映射項(xiàng)會自動去除。所以,B還有一個(gè)“任務(wù)”,那就是一直連續(xù)不斷地向A 和C 發(fā)送這種虛假的ARP 響應(yīng)包,讓其ARP緩存中一直保持被毒害了的映射表項(xiàng)?,F(xiàn)在,如果A 和C 要進(jìn)行通信,實(shí)際上彼此發(fā)送的數(shù)據(jù)包都會先到達(dá)B 主機(jī),這時(shí),如果B 不做進(jìn)一步處理,A 和C 之間的通信就無法正常建立,B 也就達(dá)不到“嗅探”通信內(nèi)容的目的,因此,B 要對“錯(cuò)誤”收到的數(shù)據(jù)包進(jìn)行一番修改,然后轉(zhuǎn)發(fā)到正確的目的地,而修改的內(nèi)容,無非是將目的MAC 和源MAC 地址進(jìn)行替換。如此一來,在A 和C 看來,彼此發(fā)送的數(shù)據(jù)包都是直接到達(dá)對方的,但在B 來看,自己擔(dān)當(dāng)?shù)木褪恰暗谌摺钡慕巧_@種嗅探方法,也被稱作中間人MIMT(ManInTheMiddle)的方法。如圖 所示。防范方法這些攻擊都可以通過動態(tài)ARP檢查(DAI,Dynamic ARP Inspection)來防止,它可以幫助保證接入交換機(jī)只傳遞“合法的”的ARP請求和應(yīng)答信息。DHCP Snooping監(jiān)聽綁定表包括IP地址與MAC地址的綁定信息并將其與特定的交換機(jī)端口相關(guān)聯(lián),動態(tài)ARP檢測(DAI-Dynamic ARP Inspection)可以用來檢查所有非信任端口的ARP請求和應(yīng)答(主動式ARP和非主動式ARP),確保應(yīng)答來自真正的ARP所有者。Catalyst交換機(jī)通過檢查端口紀(jì)錄的DHCP綁定信息和ARP應(yīng)答的IP地址決定是否真正的ARP所有者,不合法的ARP包將被刪除。DAI配置針對VLAN,對于同一VLAN內(nèi)的接口可以開啟DAI也可以關(guān)閉,如果ARP包從一個(gè)可信任的接口接受到,就不需要做任何檢查,如果ARP包在一個(gè)不可信任的接口上接受到,該包就只能在綁定信息被證明合法的情況下才會被轉(zhuǎn)發(fā)出去。這樣,DHCP Snooping對于DAI來說也成為必不可少的,DAI是動態(tài)使用的,相連的客戶端主機(jī)不需要進(jìn)行任何設(shè)置上的改變。對于沒有使用DHCP的服務(wù)器個(gè)別機(jī)器可以采用靜態(tài)添加DHCP綁定表或ARP accesslist實(shí)現(xiàn)。另外,通過DAI可以控制某個(gè)端口的ARP請求報(bào)文頻率。一旦ARP請求頻率的頻率超過預(yù)先設(shè)定的閾值,立即關(guān)閉該端口。該功能可以阻止網(wǎng)絡(luò)掃描工具的使用,同時(shí)對有大量ARP報(bào)文特征的病毒或攻擊也可以起到阻斷作用。配置示例IOS全局命令:ip dhcp snooping vlan 100,200 no ip dhcp snooping information optionip dhcp snoopingip arp inspection vlan 100,200 /*定義對哪些VLAN進(jìn)行ARP報(bào)文檢測*/ip arp inspection logbuffer entries 1024ip arp inspection logbuffer logs 1024 interval 10IOS接口命令:ip dhcp snooping trustip arp inspection trust /*定義哪些接口是信任接口,通常是網(wǎng)絡(luò)設(shè)備接口,TRUNK接口等*/ip arp inspection limit rate 15 (pps) /*定義接口每秒ARP報(bào)文數(shù)量*/對于沒有使用DHCP設(shè)備可以采用下面辦法:arp accesslist staticarp permit ip host mac host ip arp inspection filter staticarp vlan 201配置DAI后的效果在配置DAI技術(shù)的接口上,用戶端不能采用指定地址地址將接入網(wǎng)絡(luò)。由于DAI檢查 DHCP snooping綁定表中的IP和MAC對應(yīng)關(guān)系,無法實(shí)施中間人攻擊,攻擊工具失效。下表為實(shí)施中間人攻擊是交換機(jī)的警告:3w0d: %SW_DAI4DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/16, vlan 1.([由于對ARP請求報(bào)文做了速度限制,客戶端無法進(jìn)行認(rèn)為或者病毒進(jìn)行的IP掃描、探測等行為,如果發(fā)生這些行為,交換機(jī)馬上報(bào)警或直接切斷掃描機(jī)器。如下表所示:3w0d: %SW_DAI4PACKET_RATE_EXCEEDED: 16 packets received in 184 milliseconds on Fa5/30. ******報(bào)警3w0d: %PM4ERR_DISABLE: arpinspection error detected on Fa5/30, putting Fa5/30 in errdisable state ******切斷端口I4965001.....sh int FastEthernet5/30 is down, line protocol is down (errdisabled) Hardware is Fast Ethernet Port, address is (bia ) MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 I4965001...... IP/MAC欺騙的防范常見的欺騙攻擊的種類和目的除了ARP欺騙外,黑客經(jīng)常使用的另一手法是IP地址欺騙。常見的欺騙種類有MAC欺騙、IP欺騙、IP/MAC欺騙,其目的一般為偽造身份或者獲取針對IP/MAC的特權(quán)。此方法也被廣泛用作DOS攻擊,目前較多的攻擊是:Ping Of Death、Syn flood、ICMP Unreacheable Storm。如黑客冒用A地址對B地址發(fā)出大量的ping包,所有ping應(yīng)答都會返回到B地址,通過這種方式來實(shí)施拒絕服務(wù)(DoS)攻擊,這樣可以掩蓋攻擊系統(tǒng)的真實(shí)身份。富有侵略性的TCP SYN洪泛攻擊來源于一個(gè)欺騙性的IP地址,它是利用TCP三次握手會話對服務(wù)器進(jìn)行顛覆的又一種攻擊方式。一個(gè)IP地址欺騙攻擊者可以通過手動修改地址或者運(yùn)行一個(gè)實(shí)施地址欺騙的程序來假冒一個(gè)合法地址。另外病毒和木馬的攻擊也會使用欺騙的源IP地址。互聯(lián)網(wǎng)上的蠕蟲病毒也往往利用欺騙技術(shù)來掩蓋它們真實(shí)的源頭主機(jī)。IP/MAC欺騙的防范Catalyst IP源地址保護(hù)(IP Source Guard)功能打開后,可以根據(jù)DHCP偵聽記錄的IP綁定表動態(tài)產(chǎn)生PVACL,強(qiáng)制來自此端口流量的源地址符合DHCP綁定表的記錄,這樣攻擊者就無法通過假定一個(gè)合法用戶的IP地址來實(shí)施攻擊了,這個(gè)功能將只允許對擁有合法源地址的數(shù)據(jù)保進(jìn)行轉(zhuǎn)發(fā),合法源地址是與IP地址綁定表保持一致的,它也是來源于DHCP Snooping綁定表。因此,DHCP Snooping功能對于這個(gè)功能的動態(tài)實(shí)現(xiàn)也是必不可少的,對于那些沒有用到DHCP的網(wǎng)絡(luò)環(huán)境來說,該綁定表也可以靜態(tài)配置。IP Source Guard不但可以配置成對IP地址的過濾也可以配置成對MAC地址的過濾,這樣,就只有IP地址和MAC地址都于DHCP Snooping綁定表匹配的通信包才能夠被允許傳輸。此時(shí),必須將 IP源地址保護(hù)IP Source Guard與端口安全Port Security功能共同使用,并且需要DHCP服務(wù)器支持Option 82時(shí),才可以抵御IP地址+MAC地址的欺騙。與DAI不同的是,DAI僅僅檢查ARP報(bào)文, IP Source Guard對所有經(jīng)過定義IP Source Guard檢查的端口的報(bào)文都要檢測源地址。通過在交換機(jī)上配置IP Source Guard,可以過濾掉非法的IP/MAC地址,包含用戶故意修改的和病毒、攻擊等造成的。同時(shí)解決了IP地址沖突問題。配置示例檢測接口上的IP+MACIOS 全局配置命令:ip dhcp snooping vlan 12,200ip dhcp snooping information optionip dhcp snooping接口配置命令:ip verify source vlan dhcpsnooping portsecurityswitchport mode accessswitchport portsecurityswitchport portsecurity maximum 3檢測接口上的IPIOS 全局配置命令ip dhcp snooping vlan 12,200no ip dhcp snooping information optionip dhcp snooping接口配置命令:ip verify source vlan dhcpsnooping不使用DHCP的靜態(tài)配置IOS 全局配置命令:ip dhcp snooping vlan 12,200ip dhcp snooping information optionip dhcp snoopingip source binding vlan 212 interface Gi4/5 內(nèi)部管理用戶的訪問授權(quán)網(wǎng)絡(luò)的安全保障很大程度是通過網(wǎng)絡(luò)設(shè)備的安全功能來實(shí)現(xiàn),網(wǎng)絡(luò)設(shè)備本身的安全管理顯得尤為重要。不同的內(nèi)部管理用戶應(yīng)該擁有不同的設(shè)備訪問權(quán)限,如有人只能show系統(tǒng)信息,有人可以config系統(tǒng)參數(shù),具體到每一條命令,要求具有靈活性,這樣在網(wǎng)絡(luò)中有多個(gè)管理員時(shí)可以最大程度保障安全管理。另外,任何管理員、任何時(shí)候?qū)W(wǎng)絡(luò)設(shè)備的任何操作,都要有詳細(xì)的記錄,具體到管理員鍵盤輸入的每一條命令,為設(shè)備的維護(hù)提供了極大的方便。一旦系統(tǒng)發(fā)生問題,立刻可以查到什么人、什么時(shí)候、修改了什么配置,這一點(diǎn)對大型生產(chǎn)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行非常重要。CISCO的路由器產(chǎn)品可以分配16種不同的特權(quán),每種特權(quán)有規(guī)定的命令集,這使得每個(gè)特權(quán)用戶只能執(zhí)行某些命令,從而提高了安全性。用戶的分級管理在網(wǎng)絡(luò)管理中,一般有許多不同角色的管理者,例如網(wǎng)管操作員,一般網(wǎng)絡(luò)管理員,高級網(wǎng)絡(luò)管理員,同時(shí),根據(jù)網(wǎng)絡(luò)的區(qū)域劃分,也可分為區(qū)域級網(wǎng)絡(luò)管理人員和中心級網(wǎng)絡(luò)管理人員,這些網(wǎng)絡(luò)管理人員根據(jù)其職責(zé)的不同和所管理的網(wǎng)絡(luò)范圍,功能的不同,應(yīng)該具有不同的權(quán)限。因此,對網(wǎng)絡(luò)上的用戶進(jìn)行分級管理,是十分必要的。缺省情況下,Cisco IOS 軟件 有兩種模式,用戶模式和特權(quán)模式, 每種模式又可以設(shè)置16種不同層次的優(yōu)先級別,用戶可以對這16種不同層次的優(yōu)先級別進(jìn)行設(shè)置,從而使不同的用戶具有不同的權(quán)限,可以執(zhí)行自己權(quán)限范圍內(nèi)的命令,以完成不同的網(wǎng)絡(luò)管理目的。同時(shí),用戶也可以對某個(gè)特殊命令進(jìn)行編輯和組合,使它可以加入不同的優(yōu)先級別,從而達(dá)到不同的管理目的。 一般情況按照網(wǎng)絡(luò)規(guī)模,功能及區(qū)域,建議分為兩類用戶:區(qū)域網(wǎng)絡(luò)管理和中心全網(wǎng)管理。每類又可分為以下三種不同的用戶分級。區(qū)域網(wǎng)絡(luò)管理分級對于區(qū)域網(wǎng)絡(luò)管理,網(wǎng)管人員只能對指定的部分網(wǎng)路設(shè)備進(jìn)行管理和監(jiān)控,其權(quán)限劃定在一定的范圍之內(nèi)。區(qū)域用網(wǎng)絡(luò)管理分為以下三種不同的用戶分級:區(qū)域網(wǎng)管操作員:區(qū)域網(wǎng)管操作員負(fù)責(zé)本區(qū)域內(nèi)部的網(wǎng)絡(luò)設(shè)備的監(jiān)視,只能執(zhí)行一些show類的用于監(jiān)視的命令,例如:show interfaces ,ping 等,一般屬于Cisco IOS 軟件的用戶模式。區(qū)域網(wǎng)絡(luò)管理員:區(qū)域一般網(wǎng)絡(luò)管理員負(fù)責(zé)本區(qū)域內(nèi)部的網(wǎng)絡(luò)設(shè)備的管理和維護(hù),能夠執(zhí)行一些對主要配置影響不大的命令,例如show config等。區(qū)域高級網(wǎng)絡(luò)管理員:區(qū)域高級網(wǎng)絡(luò)管理員負(fù)責(zé)本區(qū)域內(nèi)部的網(wǎng)絡(luò)設(shè)備的管理和配置,同時(shí)與中心網(wǎng)絡(luò)管理員協(xié)調(diào)處理區(qū)域之間的網(wǎng)絡(luò)問題。能執(zhí)行全部的命令,例如:升級IOS軟件、參數(shù)配置、 DEBUG測試等,同時(shí)他可以建立一些低級的用戶賬號。全網(wǎng)中心管理分級園區(qū)網(wǎng)絡(luò)總部設(shè)有一個(gè)全網(wǎng)管理中心,全網(wǎng)管理中心負(fù)責(zé)全網(wǎng)的運(yùn)行管理和維護(hù)。在網(wǎng)管中心也應(yīng)設(shè)置不同的用戶級別,以完成不同的管理功能,同區(qū)域網(wǎng)絡(luò)管理類似,一般建議分為以下不同級別:中心網(wǎng)管操作員:中心網(wǎng)管操作員負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的監(jiān)控,只有監(jiān)控的權(quán)限,沒有修改配置的權(quán)限,也只能執(zhí)行一些對主要配置影響不大的命令,例如show config, 等。中心網(wǎng)絡(luò)管理員:中心一般網(wǎng)絡(luò)管理員負(fù)責(zé)整個(gè)網(wǎng)的管理和維護(hù),能執(zhí)行Cisco IOS 軟件用戶模式全部的命令和特權(quán)模式部分的命令,例如 升級IOS軟件、 參數(shù)配置、 DEBUG測試等。中心高級網(wǎng)絡(luò)管理員:中心高級網(wǎng)絡(luò)管理員負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的運(yùn)行和管理,他同各區(qū)域高級網(wǎng)絡(luò)管理員協(xié)調(diào)處理整個(gè)網(wǎng)絡(luò)出現(xiàn)的問題,具有最高的權(quán)限,他能執(zhí)行全部的IOS命令,同時(shí)他還負(fù)責(zé)整個(gè)安全策略的產(chǎn)生和執(zhí)行,管理所有用戶賬號,分配不同的用戶權(quán)限等。以上這些用戶分級應(yīng)根據(jù)園區(qū)網(wǎng)絡(luò)的具體情況及要求分別細(xì)化其功能,使其分別對應(yīng)Cisco IOS 軟件的權(quán)限16種不同層次的優(yōu)先級別,同時(shí)用戶可以用privilege exec level等命令對某一層次優(yōu)先級所執(zhí)行的命令進(jìn)行管理,從而達(dá)到靈活管理。 第五章 產(chǎn)品介紹 Cisco 2800系列介紹思科系統(tǒng)公司174。推出了一個(gè)全新的集成多業(yè)務(wù)路由器系列,它進(jìn)行了專門的優(yōu)化,可安全、線速地同時(shí)提供數(shù)據(jù)、話音和視頻服務(wù),重新定義了最佳大型企業(yè)和中小型企業(yè)路由。模塊化Cisco174。 2800系列集成多業(yè)務(wù)路由器(參見圖1)建立在思科20年的領(lǐng)先地位及創(chuàng)新技術(shù)的基礎(chǔ)之上,智能地將數(shù)據(jù)、安全性和話音服務(wù)內(nèi)嵌于單一永續(xù)系統(tǒng),能快速、可擴(kuò)展地提供關(guān)鍵任務(wù)業(yè)務(wù)應(yīng)用。Cisco 2800系列的獨(dú)特集成系統(tǒng)架構(gòu)提供了最高業(yè)務(wù)靈活性和投資保護(hù)。圖1 Cisco 2800系列
點(diǎn)擊復(fù)制文檔內(nèi)容
公司管理相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1