【正文】 的數(shù)據(jù)包包裝成原有形式。由于各種網(wǎng)絡(luò)段和其相互連接情況可能發(fā)生變化，因此路由情況的信息需要及時更新，這是由所使用的路由信息協(xié)議規(guī)定的定時更新或者按變化情況更新來完成。為了實現(xiàn)這一功能，路由器要按照某種路由通信協(xié)議，查找路由表，路由表中列出整個互聯(lián)網(wǎng)絡(luò)中包含的各個節(jié)點，以及節(jié)點間的路徑情況和與它們相聯(lián)系的傳輸費用。二、路由器的功能（1）在網(wǎng)絡(luò)間截獲發(fā)送到遠(yuǎn)地網(wǎng)段的報文，起轉(zhuǎn)發(fā)的作用。2．動態(tài)路徑表 　　動態(tài)（Dynamic）路徑表是路由器根據(jù)網(wǎng)絡(luò)系統(tǒng)的運行情況而自動調(diào)整的路徑表。路徑表可以是由系統(tǒng)管理員固定設(shè)置好的，也可以由系統(tǒng)動態(tài)修改，可以由路由器自動調(diào)整，也可以由主機控制。為了完成這項工作，在路由器中保存著各種傳輸路徑的相關(guān)數(shù)據(jù)——路徑表（Routing Table），供路由選擇；時使用。路由器的主要工作就是為經(jīng)過路由器的每個數(shù)據(jù)幀尋找一條最佳傳輸路徑，并將該數(shù)據(jù)有效地傳送到目的站點。路由器分本地路由器和遠(yuǎn)程路由器，本地路由器是用來連接網(wǎng)絡(luò)傳輸介質(zhì)的，如光纖、同軸電纜、雙絞線；遠(yuǎn)程路由器是用來連接遠(yuǎn)程傳輸介質(zhì)，并要求相應(yīng)的設(shè)備，如電話線要配調(diào)制解調(diào)器，無線要通過無線接收機、發(fā)射機。因此，路由器具有判斷網(wǎng)絡(luò)地址和選擇路徑的功能，它能在多網(wǎng)絡(luò)互聯(lián)環(huán)境中，建立靈活的連接，可用完全不同的數(shù)據(jù)分組和介質(zhì)訪問方法連接各種子網(wǎng)，路由器只接受源 站或其他路由器的信息，屬網(wǎng)絡(luò)層的一種互聯(lián)設(shè)備。一、 原理與作用二、 路由器（Router）是用于連接多個邏輯上分開的網(wǎng)絡(luò)，所謂邏輯網(wǎng)絡(luò)是代表一個單獨的網(wǎng)絡(luò)或者一個子網(wǎng)。它是兩個局域網(wǎng)之間接幀傳輸數(shù)據(jù)，在OSI／RM之中被稱之為中介系統(tǒng)，完成網(wǎng)絡(luò)層中繼或第三層中繼的任務(wù)。l 支持基于端口的VLAN，支持isolateuservlan；l 支持HGMP，實現(xiàn)群組管理；支持HGMP Client，實現(xiàn)受控組播；l 支持HGMP的級連方式，如一臺S2026B不直接與管理設(shè)備相連，而是通過級連的其他交換機與管理設(shè)備相連，同樣能夠?qū)崿F(xiàn)遠(yuǎn)程管理維護功能；l 為樓道工作環(huán)境量身定做：機身小巧，便于樓道安裝；端口密度低，節(jié)省運營商投資；散熱采用低噪音風(fēng)扇，靜音設(shè)計；指示燈設(shè)計在機箱頂板上，便于壁掛維護；用戶側(cè)10M端口傳輸距離200米，方便布線。Quidway174。 S2000 系列邊緣接入交換機為要求具備高性能且易于安裝的網(wǎng)絡(luò)環(huán)境而度身定做的可網(wǎng)管的交換機。l 提供了三種各具特色的隊列調(diào)度算法，嚴(yán)格優(yōu)先級（StrictPriority Queue，簡稱PQ）、加權(quán)輪循（Weighted Round Robin，簡稱WRR）調(diào)度算法和Delay bounded WRR調(diào)度算法；l 提供良好的堆疊功能，最大可支持16臺設(shè)備的堆疊，同時支持不同設(shè)備的混合堆疊，從而保證了網(wǎng)絡(luò)的平滑升級和降低了擴建成本。 S3000 系列智能二層交換機采用高性能的ASIC，采用靈活的模塊化結(jié)構(gòu)，提供二到七層的智能的流分類和完善的服務(wù)質(zhì)量（QoS），實現(xiàn)完備的業(yè)務(wù)控制和用戶管理能力，可作為關(guān)注業(yè)務(wù)管理控制和網(wǎng)絡(luò)安全保障能力的企業(yè)網(wǎng)和城域網(wǎng)的接入層交換機。l 不僅支持協(xié)議所規(guī)定的用戶端口接入認(rèn)證方式，還對其進(jìn)行了優(yōu)化，接入控制方式可以基于端口，也可以基于MAC地址，極大地提高了安全性和可管理性，并具有用戶管理能力；l tags優(yōu)先級控制，支持8個優(yōu)先級隊列；支持L2－L7層的流分類，在流分類的基礎(chǔ)上可以進(jìn)行ACL和QOS方面的多種操作，如帶寬限制、優(yōu)先級修改、過濾、端口鏡像、重定向等多種操作；l 支持HGMP功能：簡化配置管理任務(wù)：通過一個命令交換機實現(xiàn)對多個成員交換機的管理；提供拓?fù)浒l(fā)現(xiàn)和顯示功能，有助于監(jiān)視和調(diào)試網(wǎng)絡(luò)。Quidway174。 S3500 系列安全智能三層交換機為充分滿足安全I(xiàn)P交換和高QOS保證的需求而推出的智能型以太網(wǎng)交換機；l 32Gbps的總線帶寬為交換機所有的端口提供三層線速交換能力，系統(tǒng)能夠提供4個GE，有效解決了在單臺設(shè)備上多個千兆鏈路上行，同時接入千兆服務(wù)器的需求，極大的節(jié)省了用戶對設(shè)備投資；l 基于最長匹配的路由策略，系統(tǒng)采用逐包轉(zhuǎn)發(fā)方式，保證了所有報文均獲得相同的轉(zhuǎn)發(fā)性能，對“紅碼病毒”和“沖擊波病毒”的攻擊具有天生的防御能力，有效保證了設(shè)備安全； Portal認(rèn)證，在用戶接入網(wǎng)絡(luò)時完成必要的身份認(rèn)證，還可以通過靈活的MAC、IP、VLAN、PORT任意組合綁定，有效的防止非法用戶訪問網(wǎng)絡(luò)；l 不僅支持STP/RSTP生成樹協(xié)議，還提供了基于多VLAN的生成樹MSTP，極大提高了鏈路的冗余備份，提高容錯能力，保證網(wǎng)絡(luò)的穩(wěn)定運行。l 具有64Gbps背板帶寬，32Gbps交換容量， 24Mpps轉(zhuǎn)發(fā)能力，最大支持32K路由表項，基于最長匹配的路由方式，保證了所有報文均獲得相同的轉(zhuǎn)發(fā)性能；l 支持高性能SFP光接口，支持GE電口、單/多模光口模塊的混合配置，支持模塊熱插拔；并可提供堆疊接口模塊，可以和系列交換機堆疊，能夠提供更靈活的組網(wǎng)模式；l 提供以64Kbit/s為步長的流控粒度，可以對不同業(yè)務(wù)進(jìn)行更細(xì)致的管理，支持豐富的流分類，豐富的Qos策略是構(gòu)建高質(zhì)量“三網(wǎng)合一”網(wǎng)絡(luò)的基礎(chǔ)。Quidway174。 S6500 系列高端交換機面向IP城域網(wǎng)、大型企業(yè)網(wǎng)及園區(qū)網(wǎng)用戶的系列大容量、高密度、模塊化的三層交換機，作為城域網(wǎng)匯聚層交換機。l 采用功能強大的ASIC芯片進(jìn)行高速路由查找，并通過Crossbar技術(shù)進(jìn)行高速報文交換，從而大大提升了路由交換機的轉(zhuǎn)發(fā)性能和擴充能力；l 、720Gbps交換容量、432Mpps轉(zhuǎn)發(fā)能力；并可提供高密度接口板，支持線速轉(zhuǎn)發(fā)；l 每塊業(yè)務(wù)板均提供128K最長匹配路由轉(zhuǎn)發(fā)表，支持策略路由和路由負(fù)載分擔(dān)；l 支持線速的MPLS分布式轉(zhuǎn)發(fā)，可以提供更好的VPN業(yè)務(wù)和透明的LAN服務(wù)，更可以通過MPLS TE來提供流量工程功能。Quidway174。 S8016多業(yè)務(wù)核心路由交換機 面向IP城域網(wǎng)的網(wǎng)絡(luò)骨干、交換核心、匯聚中心建設(shè)，基于硬件的二到七層和MPLS線速轉(zhuǎn)發(fā)技術(shù)。目前很多交換機還具備VLAN、鏈路匯聚、MPLS等功能。眾所周知，傳統(tǒng)的交換機工作在OSI參考模型的第二層——數(shù)據(jù)鏈路層上，主要功能包括物理編址、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、錯誤校驗、幀序列以及流控。從規(guī)模應(yīng)用上又可分為企業(yè)級交換機、部門級交換機和工作組交換機等。密 級：文檔編號：項目代號：中國移動華為路由器交換機安全配置手冊Version 中國移動通信有限公司二零零四年十二月450 / 56擬 制:審 核:批 準(zhǔn):會 簽:標(biāo)準(zhǔn)化:版本控制版本號日期參與人員更新說明分發(fā)控制編號讀者文檔權(quán)限與文檔的主要關(guān)系1創(chuàng)建、修改、讀取負(fù)責(zé)編制、修改、審核2批準(zhǔn)負(fù)責(zé)本文檔的批準(zhǔn)程序3標(biāo)準(zhǔn)化審核作為本項目的標(biāo)準(zhǔn)化負(fù)責(zé)人，負(fù)責(zé)對本文檔進(jìn)行標(biāo)準(zhǔn)化審核4讀取5讀取目 錄目 錄 v第1章 概述 11 交換機 11 路由器 15第2章 華為路由器交換機物理安全管理 211 定期檢查機房的溫度和濕度 211 定期檢查機房電源輸入是否完好 212 定期檢查設(shè)備的接地電阻是否正常 212 定期檢查設(shè)備的相關(guān)線纜是否完好 213 定期檢查設(shè)備的風(fēng)扇是否運行正常 213第3章 華為路由器交換機數(shù)據(jù)安全配置 313 分級設(shè)置用戶口令 313 對任何方式的用戶登錄都進(jìn)行認(rèn)證 314 對于網(wǎng)絡(luò)上已知的病毒所使用的端口進(jìn)行過濾 317 關(guān)閉危險的服務(wù) 319 在使用SNMP協(xié)議時候的安全建議 320 關(guān)閉不使用的物理端口 320 保持系統(tǒng)日志的打開 320 注意檢查設(shè)備的系統(tǒng)時間是否準(zhǔn)確 321 路由協(xié)議采用加密認(rèn)證 321 在設(shè)備上開啟URPF功能 325 防攻擊的措施 326 攻擊防范配置 328 使能IP欺騙攻擊防范功能 329 使能Land攻擊防范功能 330 使能Smurf攻擊防范功能 330 使能Fraggle攻擊防范功能 331 使能WinNuke攻擊防范功能 331 配置SYN Flood攻擊防范功能 332 配置ICMP Flood攻擊防范功能 334 配置UDP Flood攻擊防范功能 336 使能ICMP重定向報文攻擊防范功能 337 使能ICMP不可達(dá)報文攻擊防范功能 338 配置地址掃描攻擊防范功能 339 配置端口掃描攻擊防范功能 340 使能帶源站路由選項IP報文攻擊防范功能 341 使能帶路由記錄選項IP報文攻擊防范功能 341 使能帶時間戳記錄選項IP報文攻擊防范功能 342 使能Tracert報文攻擊防范功能 343 使能TCP報文標(biāo)志合法性檢測功能 343 使能Ping of Death攻擊防范功能 344 使能TearDrop攻擊防范功能 345 使能IP分片報文攻擊防范功能 345 配置超大ICMP報文攻擊防范功能 346 端口鏡像功能 347第4章 華為路由器交換機安全管理制度 447 登錄口令的強壯性 447 登錄口令的定期更換 448 不同的人員掌握不同等級的登錄口令 448 對于設(shè)備的硬件、軟件、數(shù)據(jù)配置操作進(jìn)行登記備案 449 對于每一次的網(wǎng)絡(luò)異常進(jìn)行登記備案 449 在設(shè)備外保存設(shè)備當(dāng)前運行的版本、數(shù)據(jù)配置、日志信息 449 機房的安全管理建議： 450第1章 概述 交換機交換機是構(gòu)建網(wǎng)絡(luò)平臺的“基石”。從傳輸介質(zhì)和傳輸速度上可分為以太網(wǎng)交換機、快速以太網(wǎng)交換機、千兆以太網(wǎng)交換機、FDDI交換機、ATM交換機和令牌環(huán)交換機等。一般來講，企業(yè)級交換機都是機架式，部門級交換機可以是機架式（插槽數(shù)較少），也可以是固定配置式，而工作組級交換機為固定配置式（功能較為簡單）。物理編址（相對應(yīng)的是網(wǎng)絡(luò)編址）定義了設(shè)備在數(shù)據(jù)鏈路層的編址方式；網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)包括數(shù)據(jù)鏈路層的說明，定義了設(shè)備的物理連接方式，如星型拓?fù)浣Y(jié)構(gòu)或總線拓?fù)浣Y(jié)構(gòu)等；錯誤校驗向發(fā)生傳輸錯誤的上層協(xié)議告警；數(shù)據(jù)幀序列重新整理并傳輸除序列以外的幀；流控可以延緩數(shù)據(jù)的傳輸能力，以使接收設(shè)備不會因為在某一時刻接收到了超過其處理能力的信息流而崩潰。華為的交換機主要有以下幾個系列：產(chǎn)品型號特性Quidway174。l 支持MPLS以及基于MPLS的二、三層VPN業(yè)務(wù)，支持豐富的組播協(xié)議，支持WEB SWITCH（硬件支持）、NAT（硬件支持），支持DHCP Relay并內(nèi)置DHCP Server功能；支持VLAN聚合、VLAN Trunk、支持GVRP、支持VLAN嵌套、豐富的路由協(xié)議和完善的路由策略等豐富的二三層功能；l 支持完善的DiffServ/QoS保障，實現(xiàn)了簡單流分類、復(fù)雜流分類、流量監(jiān)管、真正的擁塞控制、完善的隊列調(diào)度和輸出流整形等功能，可同時承載數(shù)據(jù)、語音和視頻業(yè)務(wù)的綜合網(wǎng)絡(luò)；所有QoS功能采用硬件實現(xiàn)，對性能沒有影響；l 采用全分布式體系結(jié)構(gòu)設(shè)計，實現(xiàn)數(shù)據(jù)逐包轉(zhuǎn)發(fā)，區(qū)別于傳統(tǒng)的流cache轉(zhuǎn)發(fā)方式，能夠有效防范各種“宏病毒”沖擊；不論是路由處理系統(tǒng)本身，還是分布式的線路接口板、內(nèi)容線路板和NAT板都提供包安全過濾/ACL的機制，防止非法侵入和惡意報文攻擊。 S8500 系列核心路由交換機 新一代高性能萬兆核心路由交換機產(chǎn)品，可廣泛應(yīng)用于IP城域網(wǎng)核心匯聚。Quidway174。l S6503整機支持3個高速業(yè)務(wù)插槽且主控板可直接提供4個GE接口；S6506/S6506R整機支持6個高速業(yè)務(wù)板插槽，提供平滑的投資和業(yè)務(wù)擴展能力；l 最大支持64K路由表項，基于最長匹配的路由方式，保證了所有報文均獲得相同的轉(zhuǎn)發(fā)性能；l 支持專利的彈性資源調(diào)配系統(tǒng)技術(shù)，實現(xiàn)系統(tǒng)背板、交換引擎帶寬、性能的最優(yōu)分布；l 基于新一代ASIC技術(shù)的Salience? 系列交換路由引擎將L2/3/4線速轉(zhuǎn)發(fā)與豐富的QOS、ACL特性結(jié)合在一起，是組建高可靠、低時延的核心網(wǎng)絡(luò)的重要保障。 S5500 系列千兆智能三層交換機面向IP城域網(wǎng)的匯聚層和大型企業(yè)或園區(qū)網(wǎng)的匯聚層的盒式高密度可堆疊三層交換機。Quidway174。l 支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、協(xié)議的L2~L7復(fù)雜流分類。 S5000 系列千兆二層交換機為企業(yè)網(wǎng)高速互連和千兆到桌面應(yīng)用而設(shè)計的智能型可網(wǎng)管交換機，可以提供多路千兆光口，解決高端設(shè)備的GE端口緊張的問題。Quidway174。l ，硬件能夠識別、處理四到七層的應(yīng)用業(yè)務(wù)流，所有端口都具有單獨的數(shù)據(jù)包過濾、區(qū)分不同應(yīng)用流，并根據(jù)不同的流進(jìn)行不同的管理和控制；l ，在用戶接入網(wǎng)絡(luò)時完成必要的身份認(rèn)證，還可以通過靈活的MAC、IP、VLAN、PORT任意組合綁定，有效的防止非法用戶訪問網(wǎng)絡(luò)。Quidway174。l 支持4K MAC地址；支持MAC地址表鎖定及靜態(tài)設(shè)置，實現(xiàn)對MAC的控制過濾；l 支持 HGMP，實現(xiàn)群組管理；l 獨特的isolateuservlan技術(shù)，既可以隔離用戶，又可以節(jié)省VLAN資源；l 多樣的終端用戶控制手段，支持MAC+PORT的捆綁，支持防止雙網(wǎng)卡代理上網(wǎng)，有效地防止非法用戶的產(chǎn)生；l 用戶側(cè)傳輸距離200米，方便布線。 S2000B 系列邊緣接入交換機為要求具備高性能且易于安裝的網(wǎng)絡(luò)環(huán)境而設(shè)計的可網(wǎng)管的樓道級/桌面級二層線速以太網(wǎng)交換產(chǎn)品，具備在戶外環(huán)境下正常工作的能力。 路由器路由器是一種典型的網(wǎng)絡(luò)層設(shè)備。路由器負(fù)責(zé)在兩個局域網(wǎng)的網(wǎng)絡(luò)層間接幀傳輸數(shù)據(jù)，轉(zhuǎn)發(fā)幀時需要改變幀中的地址。當(dāng)