【正文】 泛的LAN和WAN選項(xiàng)。此外，Cisco IOS軟件支持全套傳輸協(xié)議、服務(wù)質(zhì)量（QoS）工具，以及先進(jìn)的安全和話音應(yīng)用。應(yīng)用融合IP通信的安全網(wǎng)絡(luò)連接圖2 融合IP通信的安全網(wǎng)絡(luò)連接主要特性和優(yōu)勢(shì)架構(gòu)特性和優(yōu)勢(shì)Cisco 2800 系列架構(gòu)的特別設(shè)計(jì)可滿足中小型分支機(jī)構(gòu)和中小型企業(yè)對(duì)于目前和未來應(yīng)用日益提高的需求。這種靈活性大大擴(kuò)展了Cisco 2800系列的潛在應(yīng)用，使其超越傳統(tǒng)路由，且仍保持著集成的優(yōu)勢(shì)。通過多種服務(wù)的可選集成，Cisco 2800系列能方便地自行將獨(dú)立網(wǎng)絡(luò)設(shè)施和組件的功能集成入Cisco 2800系列機(jī)箱。帶集成Cisco CME的Cisco 2800系列提供了一個(gè)核心電話特性集，以滿足客戶日常業(yè)務(wù)需求，它們利用內(nèi)嵌于Cisco 2800系列中范圍廣泛的話音功能（如表1所示）以及Cisco IOS軟件中的可選特性，可為中小型分支機(jī)構(gòu)環(huán)境提供強(qiáng)大的IP電話服務(wù)。此解決方案適用于有數(shù)據(jù)連接需求、對(duì)于為多達(dá)72部電話部署一個(gè)融合IP電話解決方案感興趣的客戶。融合IP通信如圖2所示，Cisco 2800系列可滿足中小型企業(yè)和企業(yè)分支機(jī)構(gòu)的IP通信需求，同時(shí)在單一路由平臺(tái)中提供業(yè)界領(lǐng)先的安全性。此外，思科提供了一系列安全加速硬件，如用于加密的入侵保護(hù)網(wǎng)絡(luò)模塊和高級(jí)集成模塊（AIM），使Cisco 2800系列成為業(yè)界適用于分支機(jī)構(gòu)的、最強(qiáng)大的可適應(yīng)安全解決方案。軟件高級(jí)安全特性集，Cisco 2800在一個(gè)解決方案集中提供了一系列強(qiáng)大的通用安全特性，如Cisco IOS Software Firewall、入侵保護(hù)、IPSec VPN、Secure Shell (SSH)（SNMPv3）。Cisco 2800系列具有先進(jìn)、集成的端到端安全性，以用于提供融合服務(wù)和應(yīng)用。用于數(shù)據(jù)、話音和視頻的安全網(wǎng)絡(luò)連接安全已成為網(wǎng)絡(luò)的基本構(gòu)建塊。Cisco 2800系列能以線速為多條T1/E1/xDSL連接提供多種高質(zhì)量并發(fā)服務(wù)。圖1 Cisco 2800系列 產(chǎn)品概述Cisco 2800系列由四個(gè)新平臺(tái)組成（參見圖1）：Cisco 280Cisco 281Cisco 2821和Cisco 2851。 2800系列集成多業(yè)務(wù)路由器（參見圖1）建立在思科20年的領(lǐng)先地位及創(chuàng)新技術(shù)的基礎(chǔ)之上，智能地將數(shù)據(jù)、安全性和話音服務(wù)內(nèi)嵌于單一永續(xù)系統(tǒng)，能快速、可擴(kuò)展地提供關(guān)鍵任務(wù)業(yè)務(wù)應(yīng)用。推出了一個(gè)全新的集成多業(yè)務(wù)路由器系列，它進(jìn)行了專門的優(yōu)化，可安全、線速地同時(shí)提供數(shù)據(jù)、話音和視頻服務(wù)，重新定義了最佳大型企業(yè)和中小型企業(yè)路由。以上這些用戶分級(jí)應(yīng)根據(jù)園區(qū)網(wǎng)絡(luò)的具體情況及要求分別細(xì)化其功能，使其分別對(duì)應(yīng)Cisco IOS 軟件的權(quán)限16種不同層次的優(yōu)先級(jí)別，同時(shí)用戶可以用privilege exec level等命令對(duì)某一層次優(yōu)先級(jí)所執(zhí)行的命令進(jìn)行管理，從而達(dá)到靈活管理。中心網(wǎng)絡(luò)管理員：中心一般網(wǎng)絡(luò)管理員負(fù)責(zé)整個(gè)網(wǎng)的管理和維護(hù)，能執(zhí)行Cisco IOS 軟件用戶模式全部的命令和特權(quán)模式部分的命令，例如 升級(jí)IOS軟件、 參數(shù)配置、 DEBUG測(cè)試等。全網(wǎng)中心管理分級(jí)園區(qū)網(wǎng)絡(luò)總部設(shè)有一個(gè)全網(wǎng)管理中心，全網(wǎng)管理中心負(fù)責(zé)全網(wǎng)的運(yùn)行管理和維護(hù)。區(qū)域高級(jí)網(wǎng)絡(luò)管理員：區(qū)域高級(jí)網(wǎng)絡(luò)管理員負(fù)責(zé)本區(qū)域內(nèi)部的網(wǎng)絡(luò)設(shè)備的管理和配置，同時(shí)與中心網(wǎng)絡(luò)管理員協(xié)調(diào)處理區(qū)域之間的網(wǎng)絡(luò)問題。區(qū)域用網(wǎng)絡(luò)管理分為以下三種不同的用戶分級(jí)：區(qū)域網(wǎng)管操作員：區(qū)域網(wǎng)管操作員負(fù)責(zé)本區(qū)域內(nèi)部的網(wǎng)絡(luò)設(shè)備的監(jiān)視，只能執(zhí)行一些show類的用于監(jiān)視的命令，例如：show interfaces ，ping 等，一般屬于Cisco IOS 軟件的用戶模式。每類又可分為以下三種不同的用戶分級(jí)。同時(shí)，用戶也可以對(duì)某個(gè)特殊命令進(jìn)行編輯和組合，使它可以加入不同的優(yōu)先級(jí)別，從而達(dá)到不同的管理目的。因此，對(duì)網(wǎng)絡(luò)上的用戶進(jìn)行分級(jí)管理，是十分必要的。CISCO的路由器產(chǎn)品可以分配16種不同的特權(quán)，每種特權(quán)有規(guī)定的命令集，這使得每個(gè)特權(quán)用戶只能執(zhí)行某些命令，從而提高了安全性。另外，任何管理員、任何時(shí)候?qū)W(wǎng)絡(luò)設(shè)備的任何操作，都要有詳細(xì)的記錄，具體到管理員鍵盤輸入的每一條命令，為設(shè)備的維護(hù)提供了極大的方便。配置示例檢測(cè)接口上的IP+MACIOS 全局配置命令：ip dhcp snooping vlan 12,200ip dhcp snooping information optionip dhcp snooping接口配置命令：ip verify source vlan dhcpsnooping portsecurityswitchport mode accessswitchport portsecurityswitchport portsecurity maximum 3檢測(cè)接口上的IPIOS 全局配置命令ip dhcp snooping vlan 12,200no ip dhcp snooping information optionip dhcp snooping接口配置命令：ip verify source vlan dhcpsnooping不使用DHCP的靜態(tài)配置IOS 全局配置命令：ip dhcp snooping vlan 12,200ip dhcp snooping information optionip dhcp snoopingip source binding vlan 212 interface Gi4/5 內(nèi)部管理用戶的訪問授權(quán)網(wǎng)絡(luò)的安全保障很大程度是通過網(wǎng)絡(luò)設(shè)備的安全功能來實(shí)現(xiàn)，網(wǎng)絡(luò)設(shè)備本身的安全管理顯得尤為重要。通過在交換機(jī)上配置IP Source Guard，可以過濾掉非法的IP/MAC地址，包含用戶故意修改的和病毒、攻擊等造成的。此時(shí)，必須將 IP源地址保護(hù)IP Source Guard與端口安全Port Security功能共同使用，并且需要DHCP服務(wù)器支持Option 82時(shí)，才可以抵御IP地址＋MAC地址的欺騙。因此，DHCP Snooping功能對(duì)于這個(gè)功能的動(dòng)態(tài)實(shí)現(xiàn)也是必不可少的，對(duì)于那些沒有用到DHCP的網(wǎng)絡(luò)環(huán)境來說，該綁定表也可以靜態(tài)配置?；ヂ?lián)網(wǎng)上的蠕蟲病毒也往往利用欺騙技術(shù)來掩蓋它們真實(shí)的源頭主機(jī)。一個(gè)IP地址欺騙攻擊者可以通過手動(dòng)修改地址或者運(yùn)行一個(gè)實(shí)施地址欺騙的程序來假冒一個(gè)合法地址。如黑客冒用A地址對(duì)B地址發(fā)出大量的ping包，所有ping應(yīng)答都會(huì)返回到B地址，通過這種方式來實(shí)施拒絕服務(wù)（DoS）攻擊，這樣可以掩蓋攻擊系統(tǒng)的真實(shí)身份。常見的欺騙種類有MAC欺騙、IP欺騙、IP/MAC欺騙，其目的一般為偽造身份或者獲取針對(duì)IP/MAC的特權(quán)。下表為實(shí)施中間人攻擊是交換機(jī)的警告：3w0d: %SW_DAI4DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/16, vlan 1.([由于對(duì)ARP請(qǐng)求報(bào)文做了速度限制，客戶端無法進(jìn)行認(rèn)為或者病毒進(jìn)行的IP掃描、探測(cè)等行為，如果發(fā)生這些行為，交換機(jī)馬上報(bào)警或直接切斷掃描機(jī)器。配置示例IOS全局命令：ip dhcp snooping vlan 100,200 no ip dhcp snooping information optionip dhcp snoopingip arp inspection vlan 100,200 /*定義對(duì)哪些VLAN進(jìn)行ARP報(bào)文檢測(cè)*/ip arp inspection logbuffer entries 1024ip arp inspection logbuffer logs 1024 interval 10IOS接口命令：ip dhcp snooping trustip arp inspection trust /*定義哪些接口是信任接口，通常是網(wǎng)絡(luò)設(shè)備接口，TRUNK接口等*/ip arp inspection limit rate 15 (pps) /*定義接口每秒ARP報(bào)文數(shù)量*/對(duì)于沒有使用DHCP設(shè)備可以采用下面辦法：arp accesslist staticarp permit ip host mac host ip arp inspection filter staticarp vlan 201配置DAI后的效果在配置DAI技術(shù)的接口上，用戶端不能采用指定地址地址將接入網(wǎng)絡(luò)。一旦ARP請(qǐng)求頻率的頻率超過預(yù)先設(shè)定的閾值，立即關(guān)閉該端口。對(duì)于沒有使用DHCP的服務(wù)器個(gè)別機(jī)器可以采用靜態(tài)添加DHCP綁定表或ARP accesslist實(shí)現(xiàn)。DAI配置針對(duì)VLAN，對(duì)于同一VLAN內(nèi)的接口可以開啟DAI也可以關(guān)閉，如果ARP包從一個(gè)可信任的接口接受到，就不需要做任何檢查，如果ARP包在一個(gè)不可信任的接口上接受到，該包就只能在綁定信息被證明合法的情況下才會(huì)被轉(zhuǎn)發(fā)出去。DHCP Snooping監(jiān)聽綁定表包括IP地址與MAC地址的綁定信息并將其與特定的交換機(jī)端口相關(guān)聯(lián)，動(dòng)態(tài)ARP檢測(cè)（DAI－Dynamic ARP Inspection）可以用來檢查所有非信任端口的ARP請(qǐng)求和應(yīng)答(主動(dòng)式ARP和非主動(dòng)式ARP)，確保應(yīng)答來自真正的ARP所有者。如圖 所示。如此一來，在A 和C 看來，彼此發(fā)送的數(shù)據(jù)包都是直接到達(dá)對(duì)方的，但在B 來看，自己擔(dān)當(dāng)?shù)木褪恰暗谌摺钡慕巧?。所以，B還有一個(gè)“任務(wù)”，那就是一直連續(xù)不斷地向A 和C 發(fā)送這種虛假的ARP 響應(yīng)包，讓其ARP緩存中一直保持被毒害了的映射表項(xiàng)。這樣，A 和C 都認(rèn)為對(duì)方的MAC 地址是020202020202，實(shí)際上這就是B 主機(jī)所需得到的結(jié)果。像ettercap可提供一個(gè)用戶界面，在對(duì)本地網(wǎng)段所有工作站的掃描后，ettercap顯示所有工作站源地址和目的地址，選擇ARP哄騙命令后，除數(shù)據(jù)包的截取外，內(nèi)置的智能sniffer功能還可以針對(duì)不同IP會(huì)話獲取password信息。為了保持ARP欺騙的持續(xù)有效，黑客程序每隔30秒重發(fā)此私有主動(dòng)式ARP。由于ARP無任何身份真實(shí)校驗(yàn)機(jī)制，黑客程序發(fā)送誤導(dǎo)的主動(dòng)式ARP使網(wǎng)絡(luò)流量重指經(jīng)過惡意攻擊者的計(jì)算機(jī)，變成某個(gè)局域網(wǎng)段IP會(huì)話的中間人，達(dá)到竊取甚至篡改正常傳輸?shù)墓π?。ARP欺騙攻擊原理和防范 ARP欺騙攻擊原理ARP是用來實(shí)現(xiàn)MAC地址和IP地址的綁定，這樣兩個(gè)工作站才可以通訊，通訊發(fā)起方的工作站以MAC廣播方式發(fā)送ARP請(qǐng)求，擁有此IP地址的工作站給予ARP應(yīng)答，送回自己的IP和MAC地址。 高級(jí)防范對(duì)于類似Gobbler的DHCP 服務(wù)的DOS攻擊可以利用前面的Port Security限制源MAC地址數(shù)目加以阻止，對(duì)于有些用戶隨便指定地址，造成網(wǎng)絡(luò)地址沖突也可以利用后面提到的DAI和IP Source Guard技術(shù)。Catalyst DHCP偵聽（DHCP Snooping）對(duì)于下邊介紹的其他阻止ARP欺騙和IP/MAC地址的欺騙是必需的。如下表所示：Cat6509sh ip dhcp snooping bindingMacAddress IpAddress Lease(sec) Type VLAN Interface 00:0D:60:2D:45:0D 600735 dhcpsnooping 100 GigabitEthernet1/0/7這張表不僅解決了DHCP用戶的IP和端口跟蹤定位問題，為用戶管理提供方便，而且還供給動(dòng)態(tài)ARP檢測(cè)（DAI）和IP Source Guard使用。通過截取一個(gè)虛擬局域網(wǎng)內(nèi)的DHCP信息，交換機(jī)可以在用戶和DHCP服務(wù)器之間擔(dān)任就像小型安全防火墻這樣的角色，“DHCP監(jiān)聽”功能基于動(dòng)態(tài)地址分配建立了一個(gè)DHCP綁定表，并將該表存貯在交換機(jī)里。 DHCP Snooping技術(shù)概述DHCP Snooping技術(shù)是DHCP安全特性，通過建立和維護(hù)DHCP Snooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區(qū)域的DHCP信息。首先一個(gè)黑客會(huì)廣播許多含有欺騙性MAC地址的DHCP請(qǐng)求（動(dòng)態(tài)主機(jī)配置請(qǐng)求），從而耗盡合法DHCP服務(wù)器上的地址空間，一旦其空間地址被耗盡，這個(gè)“不可靠”的DHCP服務(wù)器就開始向“用戶”的DHCP請(qǐng)求進(jìn)行應(yīng)答了，這些應(yīng)答信息中將包括DNS服務(wù)器和一個(gè)默認(rèn)網(wǎng)關(guān)的信息，這些信息就被用來實(shí)施一個(gè)MITM中間人攻擊。一個(gè)“不可靠”的DHCP服務(wù)器通常被用來與攻擊者協(xié)作，對(duì)網(wǎng)絡(luò)實(shí)施“中間人”MITM（ManInTheMiddle）攻擊。黑客利用類似Goobler的工具可以發(fā)出大量帶有不同源MAC地址的DHCP請(qǐng)求，直到DHCP服務(wù)器對(duì)應(yīng)網(wǎng)段的所有地址被占用，此類攻擊既可以造成DOS的破壞，也可和DHCP服務(wù)器欺詐結(jié)合將流量重指到意圖進(jìn)行流量截取的惡意節(jié)點(diǎn)。由于DHCP 的運(yùn)作機(jī)制，通常服務(wù)器和客戶端沒有認(rèn)證機(jī)制，如果網(wǎng)絡(luò)上存在多臺(tái)DHCP服務(wù)器將會(huì)給網(wǎng)絡(luò)照成混亂。DHCP server的DOS攻擊。配置示例Port Security配置選項(xiàng)：Switch(configif) switchport portsecurity ? aging Portsecurity aging mands macaddress Secure mac address maximum Max secure addresses violation Security violation mode配置Port Security最大MAC數(shù)目，違背處理方式，恢復(fù)方法：Switch(config)int fastEthernet 3/48Switch (configif)switchpo