【正文】 ? 靈活的機(jī)型支持多達(dá) 2 個雙寬 HWIC (HWICD) 模塊。 ? HWIC 插槽也可支持 WIC、 VIC 和 VWIC。 ? NME插槽高度靈活，在未來可支持?jǐn)U展 NME (僅在 Cisco 2821 和 2851 上支持 NMEX) 和增強(qiáng)雙寬 NME (NMEXD) (注 : 僅限 Cisco 2851)。 表 2 模塊化特性和優(yōu)勢 特性 優(yōu)勢 增強(qiáng)網(wǎng)絡(luò)模塊 (NME) 插槽 ? NME 插槽支持現(xiàn)有網(wǎng)絡(luò)模塊 (注 : 僅在 Cisco 2812821 和 2851 上支持 NM 和 NME)。憑借 90 多種與 Cisco 1800、 2600、 3700和 3800 系列等其他思科路由器共享的模塊， Cisco 2800 系列的接口可方便地與其他思科路由器互換，在網(wǎng)絡(luò)升級時提供最高投資保護(hù)。 模塊化特性和優(yōu)勢 Cisco 2800 系列提供了大幅增強(qiáng)的模塊化功能（參見表 2），同時保持了投資保護(hù)。 可選集成通用直流電源 ? Cisco 281 2821 和 2851 路由器上，有一個可選直流電源，擴(kuò) 展了可能的部署環(huán)境，如中央辦公機(jī)構(gòu)和工業(yè) 環(huán)境 (注： Cisco 2801 上不具備此特性 )。 用 于 發(fā) 送 以 太 網(wǎng) 電 源 (PoE)的可選集成電源 內(nèi)部電源的可選升級為可選集成交換機(jī)模塊提供了饋線電源。 支持 Cisco IOS 特性集 ? Cisco 2800 全面支持 最新的、基于 Cisco IOS 軟件的QoS、帶寬管理和安全特性，有助于實施端到端解決方案。 ? Cisco 2801 路由器配備 64 MB 閃存和 128 MB DRAM 內(nèi)存。 內(nèi)嵌安全硬件加速 ? Cisco 2800 系列路由器中的每一款都配備了內(nèi)嵌硬件加密加速器，當(dāng)與可選 Cisco IOS 軟件升級相結(jié)合時，有助于實現(xiàn) WAN 鏈路安全和 VPN 服務(wù)。 ? 若干插槽類型可在未來以 “ 隨發(fā)展而集成 ” 的模式添加連接和服務(wù)。 表 1 架構(gòu)特性和優(yōu)勢 特性 優(yōu)勢 模塊化架構(gòu) ? 具有范圍廣泛的 LAN 和 WAN 選項。 Cisco 2800 系列將業(yè)界范圍最廣的連接選項與領(lǐng)先的可用性和可靠性特性相結(jié)合。優(yōu)勢包括管理方便、更低解決方案成本（ CAPEX 和 OPEX），以及更快部署速度。大多數(shù)模塊，如思科網(wǎng)絡(luò)分析模塊、思科語音留言模塊、思科入侵檢測模塊和思科內(nèi)容引擎模塊，擁有內(nèi)嵌處理器和硬盤，使它們主要可獨(dú)立于路由器運(yùn)行，并能從單一管理界面進(jìn)行管理。 集成化服務(wù) 表 2 也表明了，憑借 Cisco 2800 系列獨(dú)特的集成化服務(wù)架構(gòu)，客戶現(xiàn)可用傳統(tǒng) IP 路由安全地部署 IP 通信，并為更多的高級服務(wù)預(yù)留接口和模塊插槽。憑借 Cisco 2800 系列，客戶可在單一平臺上為其中小型分支機(jī)構(gòu)安全地部署數(shù)據(jù)、話音和 IP 電話，以便簡化其運(yùn)營、降低網(wǎng)絡(luò)成本。 Cisco CallManager Express (CME)是一個內(nèi)嵌于Cisco IOS 軟件的可選解決方案，為思科 IP 電話提供了呼叫處理。如圖 2 所示， Cisco 2800 系列使客戶能以線速提供具有集成、端到端安全性的并發(fā)的關(guān)鍵任務(wù)型數(shù)據(jù)、話音和視頻解決方案。此外，通過將安全功能直接集成入路由器，思科可提供其他安全設(shè)備不能提供的獨(dú)特智能安全解決方案，如用于病毒防御的網(wǎng)絡(luò)準(zhǔn)入控制（ NAC）；當(dāng)結(jié)合話音、視頻和 VPN 時可增強(qiáng)服務(wù)質(zhì)量（ QoS）的話音和視頻型VPN（ V3PN）；以及可實現(xiàn)更優(yōu)可擴(kuò)展性和可管理性的 VPN 網(wǎng)絡(luò)的動態(tài)多點(diǎn) VPN（ DMVPN）和Easy VPN。憑借 Cisco IOS174。路由器在網(wǎng)絡(luò)防御戰(zhàn)略中起重要作用，因為安全性需內(nèi)嵌于整個網(wǎng)絡(luò)之中。這些路由器提供了內(nèi)嵌加密加速和主板話音數(shù)字信號處理器（ DSP）插槽；入侵保護(hù)和防火墻功能；集成化呼叫處理和語音留言；用于多種連接需求的高密度接口；以及充足的性能和插槽密度，以用于未來網(wǎng)絡(luò)擴(kuò)展和高級應(yīng)用。與相似價位的前幾代思科路由器相比， Cisco 2800 系列的性能提高了五倍、安全性和話音性能提高了十倍、具有全新內(nèi)嵌服務(wù)選項，且大大提高了插槽性能和密度，同時保持了對目前 Cisco 1700 系列和 Cisco 2600 系列中現(xiàn)有 90 多種模塊中大多數(shù)模塊的支持，從而提供了極大的性能優(yōu)勢。 Cisco 2800 系列的獨(dú)特集成系統(tǒng)架構(gòu)提供了最高業(yè)務(wù)靈活性和投資保護(hù)。模塊化 Cisco174。 第五 章 產(chǎn)品介紹 Cisco 2800系列介紹 思科系統(tǒng)公司 174。 中心高級網(wǎng)絡(luò)管理員：中心高級網(wǎng)絡(luò)管理員負(fù)責(zé)整個網(wǎng)絡(luò)的運(yùn)行和管理，他同各區(qū)域高級網(wǎng)絡(luò)管理員協(xié)調(diào)處理整個網(wǎng)絡(luò)出現(xiàn)的問題，具有最高的權(quán)限，他能執(zhí)行全部的 IOS 命令，同時他還負(fù)責(zé)整個安全策略的產(chǎn)生和執(zhí)行，管理所有用戶賬號，分配不同的用戶權(quán)限等。在網(wǎng)管中心也應(yīng)設(shè)置不同的用戶級別，以完成不同的管理功能，同區(qū)域網(wǎng)絡(luò)管理類似，一般建議分為以下不同級別： 中心網(wǎng)管操作員：中心網(wǎng)管操作員負(fù)責(zé)整個網(wǎng)絡(luò)的監(jiān)控，只有監(jiān)控的權(quán)限，沒有修改配置的權(quán)限，也只能執(zhí)行一些對主要配置影響不大的命令，例如 show config, 等。能執(zhí)行全部的命令，例如：升級 IOS 軟件、參數(shù)配置、 DEBUG 測試等，同時他可以建立一些低級的用戶賬號。 區(qū)域網(wǎng)絡(luò)管理員：區(qū)域一般網(wǎng)絡(luò)管理員負(fù)責(zé)本區(qū)域內(nèi)部的網(wǎng)絡(luò)設(shè)備的管理和維護(hù)，能夠執(zhí)行一些對主要配置影響不大的命令，例如 show config 等。 區(qū)域網(wǎng)絡(luò)管理分級 對于區(qū)域網(wǎng)絡(luò)管理，網(wǎng)管人員只能對指定的部分網(wǎng)路設(shè)備進(jìn)行管理和監(jiān)控，其權(quán)限劃定在一定的范圍之內(nèi)。 一般情況按照網(wǎng)絡(luò)規(guī)模，功能及區(qū)域，建議分為兩類用戶：區(qū)域網(wǎng)絡(luò)管理和中心全網(wǎng)管理。 缺省情況下， Cisco IOS 軟件 有兩種模式，用戶模式和特權(quán)模式， 每種模式又可以設(shè)置 16 種不同層次的優(yōu)先級別，用戶可以對這 16 種不同層次的優(yōu)先級別進(jìn)行設(shè)置，從而使不同的用戶具有不同的權(quán)限，可以執(zhí)行自 己權(quán)限范圍內(nèi)的命令，以完成不同的網(wǎng)絡(luò)管理目的。 用戶的 分級管理 在網(wǎng)絡(luò)管理中，一般有許多不同角色的管理者，例如網(wǎng)管操作員，一般網(wǎng)絡(luò)管理員，高級網(wǎng)絡(luò)管理員，同時，根據(jù)網(wǎng)絡(luò)的區(qū)域劃分，也可分為區(qū)域級網(wǎng)絡(luò)管理人員和中心級網(wǎng)絡(luò)管理人員，這些網(wǎng)絡(luò)管理人員根據(jù)其職責(zé)的不同和所管理的網(wǎng)絡(luò)范圍，功能的不同，應(yīng)該具有不同的權(quán)限。一旦系統(tǒng)發(fā)生問題，立刻可以查到什么人、什么時候、修改了什么配置，這一點(diǎn)對大型生產(chǎn)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行非常重要。不同的內(nèi)部管理用戶應(yīng)該擁有不同的設(shè)備訪問權(quán)限，如 有人只能 show系統(tǒng)信息，有人可以 config 系統(tǒng)參數(shù)，具體到每一條命令，要求具有靈活性，這樣在網(wǎng)絡(luò)中有多個管理員時可以最大程度保障安全管理。同時解決了 IP 地址沖突問題。 與 DAI 不同的是， DAI 僅僅 檢查 ARP 報文， IP Source Guard 對所有經(jīng)過定義 IP Source Guard 檢查的端口的報文都要檢測源地址。 IP Source Guard 不但可以配置成對 IP 地址的過濾也可以配置成對 MAC 地址的過濾，這樣，就只有 IP 地址和 MAC 地址都于 DHCP Snooping 綁定表匹配的通信包才能夠被允許傳輸。 IP/MAC 欺 騙的防范 Catalyst IP 源地址保護(hù)（ IP Source Guard）功能打開后，可以根據(jù) DHCP 偵聽記錄的IP 綁定表動態(tài)產(chǎn)生 PVACL，強(qiáng)制來自此端口流量的源地址符合 DHCP 綁定表的記錄，這樣攻擊者就無法通過假定一個合法用戶的 IP 地址來實施攻擊了，這個功能將只允許對擁有合法源地址的數(shù)據(jù)保進(jìn)行轉(zhuǎn)發(fā)，合法源地址是與 IP 地址綁定表保持一致的，它也是來源于 DHCP Snooping 綁定表。 另外病毒和木馬的攻擊也會使用欺騙的源 IP 地址。富有侵略性的 TCP SYN 洪泛攻擊來源于一個欺騙性的 IP 地址，它是利用 TCP 三次握手會話對服務(wù)器進(jìn)行顛覆的又一種攻擊方式。 此方法也被廣泛用作 DOS 攻擊，目前較多的攻擊是： Ping Of Death、 Syn flood、 ICMP Unreacheable Storm。如下表所示： 3w0d: %SW_DAI4PACKET_RATE_EXCEEDED: 16 packets received in 184 milliseconds on Fa5/30. ******報警 3w0d: %PM4ERR_DISABLE: arpinspection error detected on Fa5/30, putting Fa5/30 in errdisable state ******切斷端口 I4965001.....sh int FastEther5/30 is down, line protocol is down (errdisabled) Hardware is Fast Ether Port, address is (bia ) MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 I4965001...... IP/MAC欺騙的防范 常見的欺騙攻擊的種類和目的 除了 ARP 欺騙外，黑客經(jīng)常使用的另一手法是 IP 地址欺騙。 由于 DAI 檢查 DHCP snooping 綁定表中的 IP和 MAC 對應(yīng)關(guān)系，無法實施中間人攻擊，攻擊工具失效。該功能可以阻止網(wǎng)絡(luò)掃描工具的使用，同時對有大量ARP 報文 特征 的病毒或攻擊也可以起到阻斷作用。 另外， 通過 DAI 可以控制某個端口的 ARP 請求報文 頻率 。這樣， DHCP Snooping 對于 DAI 來說也成為必不可少的， DAI 是動態(tài)使用的，相連的客戶端主機(jī)不需要進(jìn)行任何設(shè)置上的改變。 Catalyst 交換機(jī)通過檢查端口紀(jì)錄的DHCP綁定信息和 ARP應(yīng)答的 IP地址決定是否真正的 ARP所有者 ， 不合法的 ARP包將被刪除 。 防范方法 這些攻擊都可以通過動態(tài) ARP 檢查（ DAI， Dynamic ARP Inspection）來防止，它可以幫助保證接入交換機(jī)只傳遞 “ 合法的 ” 的 ARP 請求和應(yīng)答信息 。這種嗅探方法，也被稱作 中間人 MIMT（ ManInTheMiddle） 的方法。 現(xiàn)在，如果 A 和 C 要進(jìn)行通信，實際上彼此發(fā)送的數(shù)據(jù)包都會先到達(dá) B 主機(jī)，這時，如果 B 不做進(jìn)一步處理， A 和 C 之間的通信就無法正常建立， B 也就達(dá)不到 “ 嗅探 ” 通信內(nèi)容的目的，因此， B 要對 “ 錯誤 ” 收到的數(shù)據(jù)包進(jìn)行一番修改，然后轉(zhuǎn)發(fā)到正確的目的地，而修改的內(nèi)容，無非是將目的 MAC 和源 MAC 地址進(jìn)行替換。當(dāng)然，因為 ARP 緩存表項是動態(tài)更新的，其中動 態(tài)生成的映射有個生命期，一般是兩分鐘，如果再沒有新的信息更新， ARP 映射項會自動去除。 這里舉個例子，假定同一個局域網(wǎng)內(nèi)，有 3 臺主機(jī)通過交換機(jī)相連： A 主機(jī)： IP 地址為 ， MAC 地址為 01:01:01:01:01:01 B 主機(jī)： IP 地址為 ， MAC 地址為 02:02:02:02:02:02 C 主機(jī)： IP 地址為 ， MAC 地址為 03:03:03:03:03:03 B 主機(jī)對 A 和 C 進(jìn)行欺騙的前奏就是發(fā)送假的 ARP 應(yīng)答包，如圖所示 ： 在收到 B 主機(jī)發(fā)來的 ARP 應(yīng)答后， A 主機(jī)應(yīng)知道： 到 的數(shù)據(jù)包應(yīng)該發(fā)到 MAC 地址為 020202020202 的主機(jī)； C 主機(jī)也知道：到 的數(shù)據(jù)包應(yīng)該發(fā)到 MAC 地址為 020202020202 的主機(jī)。黑客工具如 ettercap、 dsniff和 arpspoof都能實現(xiàn) ARP哄騙功能。黑客程序發(fā)送的主動式 ARP 采用發(fā)送方私有 MAC 地址而非廣播地址，通訊接收方根本不會知道自己的 IP 地址被取代。 ARP 協(xié)議同時支持一種無請求 ARP 功能，局域網(wǎng)段上的所有工作站收到主動 ARP 廣播，會將發(fā)送者的 MAC 地址和其宣布的 IP 地址保存，覆蓋以前 cache 的同一 IP地址和對應(yīng)的 MAC 地址，主動式 ARP 合法的用途是用來以備份的工作站替換失敗的工作站。 有些復(fù)雜的 DHCP 攻擊工具可以產(chǎn)生單一源 MAC 地址、變化 DHCP Payload 信息的 DHCP請求，當(dāng)打開 DHCP 偵聽功能，交換機(jī)對非信任端口的 DHCP 請求 進(jìn)行源 MAC 地址和 DHCP Payload 信息的比較，如不匹配就阻斷此請求。 首先定義交換機(jī)上的信任端口和不信任端口，對于不信任端口的 DHCP 報文進(jìn)行截獲和嗅探， DROP 掉來自這些端口的非正常 DHCP 響應(yīng) 應(yīng)報文 ，如下圖所示： 基本配置示例如下表： IOS 全局命令： ip dhcp snooping vlan 100,200 /*定義哪些 VLAN 啟用 DHCP 嗅探 ip dhcp snooping 接口命令 ： ip dhcp snooping trust no ip dhcp snooping trust (De