【正文】 rt portsecuritySwitch (configif)switchport portsecurity maximum 2 Switch (configif)switchport portsecurity violation shutdown Switch (config)errdisable recovery cause psecureviolationSwitch (config)errdisable recovery interval 30 通過配置sticky portsecurity學得的MAC：interface FastEthernet3/29 switchport mode access switchport portsecurity switchport portsecurity maximum 5 switchport portsecurity macaddress sticky switchport portsecurity macaddress sticky switchport portsecurity macaddress sticky switchport portsecurity macaddress sticky switchport portsecurity macaddress sticky DHCP欺騙攻擊的防范 采用DHCP管理的常見問題采用DHCP server可以自動為用戶設(shè)置網(wǎng)絡(luò)IP地址、掩碼、網(wǎng)關(guān)、DNS、WINS等網(wǎng)絡(luò)參數(shù)，簡化了用戶網(wǎng)絡(luò)設(shè)置，提高了管理效率。Protect：丟棄非法流量，不報警。目前較新的技術(shù)是Sticky Port Security，交換機將學到的mac地址寫到端口配置中，交換機重啟后配置仍然存在。通過配置Port Security可以控制：端口上最大可以通過的MAC地址數(shù)量端口上學習或通過哪些MAC地址對于超過規(guī)定數(shù)量的MAC處理進行違背處理端口上學習或通過哪些MAC地址，可以通過靜態(tài)手工定義，也可以在交換機自動學習。通過端口安全功能，網(wǎng)絡(luò)管理員也可以靜態(tài)設(shè)置每個端口所允許連接的合法MAC地址，實現(xiàn)設(shè)備級的安全授權(quán)。Cisco Catalyst交換機的端口安全（Port Security）和動態(tài)端口安全功能可被用來阻止MAC泛濫攻擊。更為嚴重的是，這種攻擊也會導致所有鄰接的交換機CAM表被填滿，流量以洪泛方式發(fā)送到所有交換機的所有含有此VLAN的接口，從而造成交換機負載過大、網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。此類攻擊不僅造成安全性的破壞，同時大量的廣播包降低了交換機的性能。MAC/CAM攻擊是指利用工具產(chǎn)生欺騙MAC，快速填滿CAM表，交換機CAM表被填滿。MAC地址泛濫攻擊的防范 MAC泛濫攻擊的原理和危害交換機主動學習客戶端的MAC地址，并建立和維護端口和MAC地址的對應表以此建立交換路徑，這個表就是通常我們所說的CAM表。Port SecurityDHCP Snooping Dynamic ARP Inspection (DAI)IP Source Guard下面主要針對目前這些非常典型的二層攻擊和欺騙說明如何在思科交換機上組合運用和部署上述技術(shù)，從而防止在交換環(huán)境中的“中間人”攻擊、MAC/CAM攻擊、DHCP攻擊、地址欺騙等，更具意義的是通過上面技術(shù)的部署可以簡化地址管理，直接跟蹤用戶IP和對應的交換機端口，防止IP地址沖突。目前這類攻擊和欺騙工具已經(jīng)非常成熟和易用。所以，僅僅基于認證（如IEEE ）和訪問控制列表（ACL，Access Control Lists）的安全措施是無法防止本文中提到的來自網(wǎng)絡(luò)第二層的安全攻擊。因為任何一個合法用戶都能獲取一個以太網(wǎng)端口的訪問權(quán)限，這些用戶都有可能成為黑客，同時由于設(shè)計OSI模型的時候，允許不同通信層在相互不了解情況下也能進行工作，所以第二層的安全就變得至關(guān)重要。木馬、蠕蟲病毒的攻擊不僅僅是攻擊和欺騙，同時還會帶來網(wǎng)絡(luò)流量加大、設(shè)備CPU利用率過高、二層生成樹環(huán)路、網(wǎng)絡(luò)癱瘓等現(xiàn)象。人為實施通常是指使用一些黑客的工具對網(wǎng)絡(luò)進行掃描和嗅探，獲取管理帳戶和相關(guān)密碼，在網(wǎng)絡(luò)上中安插木馬，從而進行進一步竊取機密文件。 阻止來自網(wǎng)絡(luò)第二層攻擊的重要性以上所提到的攻擊和欺騙行為主要來自網(wǎng)絡(luò)的第二層。 這個過程往往要花費大量的時間才能夠定位機器具體連接的物理端口，而對于偽造的源IP地址要查出是從哪臺機器產(chǎn)生的就更加困難了。2. 查看當前網(wǎng)絡(luò)設(shè)備的ARP表，從中獲得網(wǎng)卡的MAC地址。最后，令網(wǎng)絡(luò)管理員頭痛的問題是如何準確定位。在局域網(wǎng)中運行這個病毒后，就可以獲得整個局域網(wǎng)中“傳奇”玩家的帳戶和密碼等信息。木馬病毒往往會利用ARP的欺騙獲取賬號和密碼，而蠕蟲病毒也往往利用IP地址欺騙技術(shù)來掩蓋它們真實的源頭主機。病毒入侵問題也是所有園區(qū)普遍關(guān)心的問題。黑客一方面得到了想要的通信內(nèi)容，并可以通過工具破譯賬號、密碼、信息，另一方面，還可以惡意更改數(shù)據(jù)包中的一些信息。術(shù)語“ARP欺騙”或者說“ARP中毒”就是指利用主動ARP來誤導通信數(shù)據(jù)傳往一個惡意計算機的黑客技術(shù)，該計算機就能成為某個特定局域網(wǎng)網(wǎng)段上的兩臺終端工作站之間IP會話的“中間人”了。地址解析協(xié)議（ARP，Address Resolution Protocol）最基本的功能是用來實現(xiàn)MAC地址和IP地址的綁定，這樣兩個工作站才可以通訊，通訊發(fā)起方的工作站以MAC廣播方式發(fā)送ARP請求，擁有此IP地址的工作站給予ARP應答，并附上自己的IP和MAC地址。但這種方法由于要事先收集所有機器的MAC地址及相應的IP地址，然后還要通過人工輸入方法來建立IP地址和MAC地址的捆綁表，不僅工作量繁重，而且也難以維護和管理。 冒用合法用戶的IP地址當合法用戶不在線時，冒用其IP地址聯(lián)網(wǎng)，使合法用戶的權(quán)益受到侵害無論是有意或無意地使用非法IP地址都可能會給園區(qū)帶來嚴重的后果，如重復的IP地址會干擾、破壞網(wǎng)絡(luò)服務(wù)器和網(wǎng)絡(luò)設(shè)備的正常運行，甚至導致網(wǎng)絡(luò)的不穩(wěn)定，從而影響業(yè)務(wù)；擁有被非法使用的IP地址所擁有的特權(quán)，威脅網(wǎng)絡(luò)安全；利用欺騙性的IP地址進行網(wǎng)絡(luò)攻擊，如富有侵略性的TCP SYN洪泛攻擊來源于一個欺騙性的IP地址，它是利用TCP三次握手會話對服務(wù)器進行顛覆的一種攻擊方式，一個IP地址欺騙攻擊者可以通過手動修改地址或者運行一個實施地址欺騙的程序來假冒一個合法地址。 非法的IP地址即IP地址不在規(guī)劃的局域網(wǎng)范圍內(nèi)252。改動后的IP地址在局域網(wǎng)中運行時可能出現(xiàn)以下情況。在局域網(wǎng)上任何用戶使用未經(jīng)授權(quán)的IP地址都應視為IP非法使用。 內(nèi)部局域網(wǎng)絡(luò)的安全接入內(nèi)部局域網(wǎng)絡(luò)承擔著整個園區(qū)網(wǎng)絡(luò)的通訊樞紐功能，連接著所有的應用服務(wù)器和數(shù)據(jù)系統(tǒng)，任何網(wǎng)絡(luò)安全問題都會擾亂園區(qū)的正常運轉(zhuǎn)，給園區(qū)帶來不可彌補的損失。比如我們將核心交換機6509設(shè)為VTP DOMAIN中的SERVER角色，而將其它交換機設(shè)為VTP DOMAIN中的CLIENT角色，那么將只有核心交換機6509可以進行VLAN的創(chuàng)建和刪除，任何其他交換機將只能使用由6509已創(chuàng)建好的VLAN，即只能將某個端口加入某個VLAN，而不能自由的重新創(chuàng)建一個VLAN。此外CISCO交換機還提供增強的基于VLAN的生成樹算法（PVSTP+），實現(xiàn)負載的均攤。因為訪問控制是按IP地址進行的，因此IP地址應能夠區(qū)分出業(yè)務(wù)類別。 VLAN間的隔離虛網(wǎng)之間的完全隔離，可通過CISCO設(shè)備的訪問控制功能實現(xiàn)。此外，CISCO的設(shè)備提供了靈活的QOS功能，能夠使每個VLAN的帶寬根據(jù)需要分配。如果不采用VLAN Trunking的技術(shù)，則虛擬網(wǎng)絡(luò)的結(jié)構(gòu)將如上圖所示，這樣則需要使用多條1000Mbps與其它的交換機互聯(lián)，其缺點是：線路帶寬的利用率不充分網(wǎng)絡(luò)間布線及接口相應增多，造成系統(tǒng)管理的復雜性，降低了可靠性。 圖：不使用VLAN Tranking圖：使用VLAN Tranking如果采用VLAN Trunking的技術(shù)，則VVV3均可通過一條全雙工的1000Mbps，即2000Mbps的速率與上級交換機進行互通并經(jīng)過位于樹根部的路由器進行路由選擇與其它的VLAN進行通訊。VLAN Trunking技術(shù)的采用，節(jié)省了信道數(shù)據(jù)，提高了可靠性。另外，為了完成各個不同VLAN間通信，就要使用VLAN Trunking。VLAN可以將通訊量進行有效的分割，從而很好的利用帶寬，并可以從邏輯的角度出發(fā)將實際的LAN基礎(chǔ)結(jié)構(gòu)分割成多個子網(wǎng)，這樣減輕了擴容的壓力。同時，為了避免VLAN中循環(huán)的可能，（生成樹）的算法。VLAN是一種無所不在的基本技術(shù)結(jié)構(gòu)。此外在商務(wù)部使用Linksys WRT54GL來達到對商務(wù)部的無線覆蓋，使筆記本用戶能夠更加方便的訪問互聯(lián)網(wǎng)。要求所選設(shè)備要有很好的擴展性 園區(qū)采用帶有2個千兆接口的Cisco 2811路由器，提供了充足的出口帶寬，下層采用全10/100/1000自適應接口的Catalyst WSC3560E24TDS作為核心路由器，通過其強大的轉(zhuǎn)發(fā)能力和充足的帶寬，來保證園區(qū)網(wǎng)絡(luò)的暢通。高性能的網(wǎng)絡(luò)也是一些關(guān)鍵業(yè)務(wù)或特殊應用的必備條件。 網(wǎng)絡(luò)的高性能隨著互聯(lián)網(wǎng)的發(fā)展，上網(wǎng)用戶的不斷增多，訪問和數(shù)據(jù)傳輸量劇增，網(wǎng)絡(luò)負荷也相應加重；隨著園區(qū)對多媒體技術(shù)的廣泛應用，視頻數(shù)據(jù)、音頻數(shù)據(jù)也越來越耗費網(wǎng)絡(luò)帶寬。園區(qū)著眼于未來，對網(wǎng)絡(luò)的多媒體支持是有很多需求的。思科通過模塊化的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計和模塊化的網(wǎng)絡(luò)產(chǎn)品，能為用戶的網(wǎng)絡(luò)提供很強的擴展和升級能力。 網(wǎng)絡(luò)的擴展性網(wǎng)絡(luò)建設(shè)為未來的發(fā)展提供良好的擴展接口是非常理智的選擇。良好的網(wǎng)絡(luò)管理要重視網(wǎng)絡(luò)管理人力和財力的事先投入，主動控制網(wǎng)絡(luò)，不僅能夠進行定性管理，而且還能夠定量分析網(wǎng)絡(luò)流量，了解網(wǎng)絡(luò)健康狀況。在很多園區(qū)在局域網(wǎng)和廣域網(wǎng)絡(luò)中傳遞的數(shù)據(jù)都是相當重要的信息，因此一定要保證數(shù)據(jù)安全保密，防止非法竊聽和惡意破壞，在網(wǎng)絡(luò)建設(shè)的開始就考慮采用嚴密的網(wǎng)絡(luò)安全措施。 網(wǎng)絡(luò)的可靠性許多現(xiàn)有網(wǎng)絡(luò)在初始建設(shè)時不僅要考慮到如何實現(xiàn)數(shù)據(jù)傳輸，還要充分考慮網(wǎng)絡(luò)的冗余與可靠，否則一旦運行過程網(wǎng)絡(luò)發(fā)生故障，系統(tǒng)又不能很快恢復工作，所帶來的后果便是園區(qū)的經(jīng)濟損失，影響園區(qū)的聲譽和形象。我們愿用多年來在網(wǎng)絡(luò)技術(shù)領(lǐng)域的專業(yè)經(jīng)驗，在制造行業(yè)的征途中貢獻我們的一份力量，為各行各業(yè)增添幾份璀璨。而對于各種制造業(yè)來說，一個強大穩(wěn)定的網(wǎng)絡(luò)，可以更好的提高公司的產(chǎn)量，為公司帶來更高的效益。Cisco 網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)設(shè)計技術(shù)方案第一章 前言隨著信息技術(shù)的不斷發(fā)展，信息技術(shù)對社會進步和國民經(jīng)濟發(fā)展起著越來越大的促進作用，并對傳統(tǒng)的思想觀念和工作方式帶來巨大的沖擊。在信息化時代，網(wǎng)絡(luò)已進入了各行各業(yè)，同時也促進了各個行業(yè)的發(fā)展。 思科產(chǎn)品和技術(shù)不僅在中國金融、保險、電信、科研等領(lǐng)域取得巨大成功，而且在制造行業(yè)領(lǐng)域也大顯身手。第二章 網(wǎng)絡(luò)設(shè)計原則 網(wǎng)絡(luò)的連通性園區(qū)各計算機等終端設(shè)備之間良好的連通性是需要滿足的基本條件，網(wǎng)絡(luò)環(huán)境就是提供需要通信的計算機設(shè)備之間互通的環(huán)境，以實現(xiàn)豐富多彩的網(wǎng)絡(luò)應用。 網(wǎng)絡(luò)的安全性在商品競爭日益激烈的今天，園區(qū)對網(wǎng)絡(luò)的安全性有非常高的要求。 網(wǎng)絡(luò)的可管理性隨著網(wǎng)絡(luò)規(guī)模的日益擴大，網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)和種類日益增加，網(wǎng)絡(luò)應用日益多樣化，網(wǎng)絡(luò)管理也日益重要。有預見性地發(fā)現(xiàn)網(wǎng)絡(luò)上的問題，并將其消滅于萌芽狀態(tài)，降低網(wǎng)絡(luò)故障所帶來的損失，使網(wǎng)絡(luò)管理的投入達到事半功倍的效果。隨著園區(qū)規(guī)模的擴大、業(yè)務(wù)的增長，網(wǎng)絡(luò)的擴展和升級是不可避免的問題。 網(wǎng)絡(luò)的多媒體支持由于視頻會議、視頻點播、IP電話等多媒體技術(shù)的日趨成熟，網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)已不再是單一數(shù)據(jù)了，多媒體網(wǎng)絡(luò)傳輸成為世界網(wǎng)絡(luò)技術(shù)的趨勢。同時，在網(wǎng)絡(luò)帶寬非常寶貴的情況下，豐富的QoS機制，如：IP優(yōu)先、排隊、組內(nèi)廣播和鏈路壓縮等優(yōu)化技術(shù)能使實時的多媒體和關(guān)鍵業(yè)務(wù)得到有效的保障。如果網(wǎng)絡(luò)沒有高性能，會導致系統(tǒng)反應緩慢，甚至在業(yè)務(wù)量突增時，發(fā)生系統(tǒng)崩潰、中止和異常等現(xiàn)象。第三章 需求分析要求具有較高性能的網(wǎng)絡(luò)，要達到1000M主干，100M到桌面要求方便管理，使得管理員通過遠程就可以對網(wǎng)絡(luò)及終端進行統(tǒng)一管理安全控制，對用戶進行控制，及Arp病毒的控制。接入層采用Cisco公司專為中國客戶設(shè)計研發(fā)的Catalyst WSC291824TCC，其中文界面使管理員更容易對其管理。最終實現(xiàn)如下圖的網(wǎng)絡(luò)：第四章 局域網(wǎng)及安全方案設(shè)計 VLAN規(guī)劃由于以太網(wǎng)將是包鋼計量處網(wǎng)絡(luò)中核心層、接入層、匯接層使用的網(wǎng)絡(luò)標準，因此網(wǎng)絡(luò)可以看成是一個大局域網(wǎng)群，需要涉及到第三層交換，因此我們使用了Cisco公司的VLAN技術(shù)。簡而言之，虛擬網(wǎng)絡(luò)是對網(wǎng)絡(luò)系統(tǒng)采用邏輯化而非物理化的管理技術(shù)來實現(xiàn)網(wǎng)絡(luò)安全的策略，其主要協(xié)議為IEEE ,此協(xié)議結(jié)合了鑒別和加密技術(shù)從而保證整個網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)的保密性與完整性。在VLAN的實現(xiàn)策略中，當任意結(jié)合的局域網(wǎng)絡(luò)構(gòu)成VLAN時，本機信息包含了IEEE VLAN ID，如果此ID不能被設(shè)備的任何端口所接收，則它被過濾掉，只有本 機的信息從本交換機發(fā)出。因此我們認為虛擬網(wǎng)絡(luò)的配置與實施對包鋼計量處這樣一個大型的網(wǎng)絡(luò)來說是非常必要的。主要是通過一條高速全雙工干道(2000Mbps)來實現(xiàn)將一個交換機端口所劃分的不同VLAN與其它交換機 中各自的相應VLAN成員進行線路復用連接的技術(shù)。便于管理，方便連接，提高了整個網(wǎng)絡(luò)吞吐量和性能 指標。VLAN Trunking技術(shù)的優(yōu)點在于采用一條高速通道連接，提高了通道的使用效率， 如在V2，V3無數(shù)據(jù)量的情況下，V1可以獨占此1000M帶寬；并且 可以使得線路的聯(lián)接變得簡單，從而大大提高可靠性與易維護性。 VLAN的設(shè)計在包鋼計量處的設(shè)計中我們劃分VLAN的原則為：依據(jù)部門的組織結(jié)構(gòu)；依據(jù)業(yè)務(wù)；為了實現(xiàn)按不同的業(yè)務(wù)劃分VLAN，VLAN的劃分將打破傳統(tǒng)方法：不按地理位置劃分，而是每