【正文】 個業(yè)務(wù)VLAN將跨越數(shù)個接入層，這樣，保證了相同業(yè)務(wù)的工作站雖然所處位置不同但是在邏輯上屬于同一個虛網(wǎng)。有關(guān)QOS的細節(jié)在“QOS應(yīng)用”章節(jié)進行了詳細闡述。CISCO設(shè)備可實現(xiàn)網(wǎng)絡(luò)的二層和第三層的訪問控制，第三層的訪問控制為IP的訪問控制列表，第二層的訪問控制為VLAN MAP。下圖為實現(xiàn)VLAN間完全隔離的示意圖接入層交換機與匯接層交化機的1000M線路采用VLAN TRUNK技術(shù)，可實現(xiàn)一個物理接口承載多個VLAN。 Vlan的管理眾多的VLAN如果缺乏管理同樣會造成網(wǎng)絡(luò)管理人員的困惑和網(wǎng)絡(luò)運行的混亂，通過VTP（Visual Trunking Protocol）的使用，我們可以統(tǒng)一管理VLAN的創(chuàng)建、刪除、分配和使用。通過對VLAN的管理，我們可以輕松的在遠端（網(wǎng)絡(luò)中心）完成VLAN的修改，在網(wǎng)絡(luò)的中心位置控制VLAN間的訪問，有效的控制VLAN間的信息流量，減輕遠端管理的復(fù)雜度。目前園區(qū)在內(nèi)部局域網(wǎng)中遇到的問題主要有以下幾種：IP地址的管理問題，包括IP地址非法使用、IP地址沖突和IP地址欺騙利用ARP欺騙獲取賬號、密碼、信息，甚至惡意篡改信息內(nèi)容、嫁禍他人問題木馬、蠕蟲病毒攻擊導(dǎo)致的信息失竊、網(wǎng)絡(luò)癱瘓問題攻擊或病毒源機器的快速定位、隔離問題IP的地址管理一直是長期困擾園區(qū)局域網(wǎng)安全穩(wěn)定運行的首要問題。由于終端用戶可以自由修改IP地址，從而產(chǎn)生了IP地址非法使用問題。 252。 重復(fù)的IP地址與已經(jīng)分配且正在局域網(wǎng)運行的合法的IP地址發(fā)生資源沖突，使合法用戶無法上網(wǎng)252。為了防止非法使用IP地址，增強網(wǎng)絡(luò)安全，最常見的方法是采用靜態(tài)的ARP命令捆綁IP地址和MAC地址，從而阻止非法用戶在不修改MAC地址的情況下冒用IP地址進行的訪問，同時借助交換機的端口安全即MAC地址綁定功能可以解決非法用戶修改MAC地址以適應(yīng)靜態(tài)ARP表的問題。另一個顯著的問題就是帶有攻擊特性的ARP欺騙。ARP協(xié)議同時支持一種無請求ARP功能，局域網(wǎng)段上的所有工作站收到主動ARP，會將發(fā)送者的MAC地址和其宣布的IP地址保存，覆蓋以前的同一IP地址和對應(yīng)的MAC地址。如果黑客想探聽同一網(wǎng)絡(luò)中兩臺主機之間的通信（即使是通過交換機相連），他會分別給這兩臺主機發(fā)送一個ARP 應(yīng)答包，讓兩臺主機都“誤”認為對方的MAC地址是第三方黑客所在的主機，這樣，雙方看似“直接”的通信連接，實際上都是通過黑客所在的主機間接進行的。同時，這種ARP欺騙又極具隱蔽性，攻擊完成后再恢復(fù)現(xiàn)場，所以不易發(fā)覺、事后也難以追查，被攻擊者往往對此一無所知。這些病毒，可以在極短的時間內(nèi)迅速感染大量系統(tǒng)，甚至造成網(wǎng)絡(luò)癱瘓和信息失竊，給園區(qū)造成嚴重損失。如“網(wǎng)吧傳奇殺手” （）木馬病毒就是一個專門竊取“傳奇”游戲密碼的惡性木馬病毒，其工作原理是對局域網(wǎng)中的機器進行ARP欺騙，虛擬內(nèi)部的網(wǎng)關(guān)地址，以此來收集局域網(wǎng)中傳奇游戲登錄信息，通過解析加密方式從而得到用戶信息的破壞性軟件。例如“局域網(wǎng)終結(jié)者”（）病毒，通過偽造ARP包來欺騙網(wǎng)絡(luò)主機，使指定的主機網(wǎng)絡(luò)中斷，嚴重影響到網(wǎng)絡(luò)的運行。當出現(xiàn)IP地址被非法使用、IP地址沖突，或網(wǎng)絡(luò)出現(xiàn)異常流量包括由于網(wǎng)絡(luò)掃描、病毒感染和網(wǎng)絡(luò)攻擊產(chǎn)生的流量，為了查找這些IP地址的機器，一般采用如下步驟： 1. 確定出現(xiàn)問題的IP地址。 3. 檢查交換機的MAC地址列表，確定機器位置。如果不能及時對故障源準確地定位、迅速地隔離，將會導(dǎo)致嚴重的后果，即使在網(wǎng)絡(luò)恢復(fù)正常后隱患依然存在。在網(wǎng)絡(luò)實際環(huán)境中，其來源可概括為兩個途徑：人為實施，病毒或蠕蟲。攻擊和欺騙過程往往比較隱蔽和安靜，但對于信息安全要求高的園區(qū)危害是極大的。網(wǎng)絡(luò)第二層的攻擊是網(wǎng)絡(luò)安全攻擊者最容易實施，也是最不容易被發(fā)現(xiàn)的安全威脅，它的目標是讓網(wǎng)絡(luò)失效或者通過獲取諸如密碼這樣的敏感信息而危及網(wǎng)絡(luò)用戶的安全。如果這一層受到黑客的攻擊，網(wǎng)絡(luò)安全將受到嚴重威脅，而且其他層之間的通信還會繼續(xù)進行，同時任何用戶都不會感覺到攻擊已經(jīng)危及應(yīng)用層的信息安全。一個經(jīng)過認證的用戶仍然可以有惡意，并可以很容易地執(zhí)行本文提到的所有攻擊。歸納前面提到的局域網(wǎng)目前普遍存在的安全問題，根據(jù)這些安全威脅的特征分析，這些攻擊都來自于網(wǎng)絡(luò)的第二層，主要包括以下幾種：MAC地址泛濫攻擊DHCP服務(wù)器欺騙攻擊ARP欺騙IP/MAC地址欺騙Cisco Catalyst 智能交換系列的創(chuàng)新特性針對這類攻擊提供了全面的解決方案，將發(fā)生在網(wǎng)絡(luò)第二層的攻擊阻止在通往內(nèi)部網(wǎng)的第一入口處，主要基于下面的幾個關(guān)鍵的技術(shù)。同時對于大多數(shù)具有地址掃描、欺騙等特征的病毒可以有效的報警和隔離。CAM表的大小是固定的，不同的交換機的CAM表大小不同。黑客發(fā)送大量帶有隨機源MAC地址的數(shù)據(jù)包，這些新MAC地址被交換機CAM學(xué)習(xí)，很快塞滿MAC地址表，這時新目的MAC地址的數(shù)據(jù)包就會廣播到交換機所有端口，交換機就像共享HUB一樣工作，黑客可以用sniffer工具監(jiān)聽所有端口的流量。當交換機的CAM表被填滿后，交換機以廣播方式處理通過交換機的報文，這時攻擊者可以利用各種嗅探攻擊獲取網(wǎng)絡(luò)信息。防范方法限制單個端口所連接MAC地址的數(shù)目可以有效防止類似macof工具和SQL蠕蟲病毒發(fā)起的攻擊，macof可被網(wǎng)絡(luò)用戶用來產(chǎn)生隨機源MAC地址和隨機目的MAC地址的數(shù)據(jù)包，可以在不到10秒的時間內(nèi)填滿交換機的CAM表。例如交換機連接單臺工作站的端口，可以限制所學(xué)MAC地址數(shù)為1；連接IP電話和工作站的端口可限制所學(xué)MAC地址數(shù)為3：IP電話、工作站和IP電話內(nèi)的交換機。動態(tài)端口安全則設(shè)置端口允許合法MAC地址的數(shù)目，并以一定時間內(nèi)所學(xué)習(xí)到的地址作為合法MAC地址。交換機動態(tài)學(xué)習(xí)端口MAC，直到指定的MAC地址數(shù)量，交換機關(guān)機后重新學(xué)習(xí)。對于超過規(guī)定數(shù)量的MAC處理進行處理一般有三種方式（針對交換機型號會有所不同）：Shutdown：端口關(guān)閉。Restrict：丟棄非法流量，報警。但在DHCP管理使用上也存在著一些另網(wǎng)管人員比較問題，常見的有：DHCP server 的冒充。有些用戶隨便指定地址，造成網(wǎng)絡(luò)地址沖突。由于不小心配置了DHCP服務(wù)器引起的網(wǎng)絡(luò)混亂也非常常見。DHCP服務(wù)器欺詐可能是故意的，也可能是無意啟動DHCP服務(wù)器功能，惡意用戶發(fā)放錯誤的IP地址、DNS服務(wù)器信息或默認網(wǎng)關(guān)信息，以此來實現(xiàn)流量的截取。中間人攻擊是一種攻擊者利用正常的協(xié)議處理行為來更改兩個終端之間的正常通信數(shù)據(jù)流而形成的一種攻擊技術(shù)。黑客也可以利用冒充的DHCP服務(wù)器，為用戶分配一個經(jīng)過修改的DNS Server，在用戶毫無察覺的情況下被引導(dǎo)在預(yù)先配置好的假金融網(wǎng)站或電子商務(wù)網(wǎng)站，騙取用戶帳戶和密碼，這種攻擊是非常惡劣的。在沒有DHCP的環(huán)境中，如數(shù)據(jù)中心，綁定條目可能被靜態(tài)定義，每個DHCP綁定條目包含客戶端地址（一個靜態(tài)地址或者一個從DHCP服務(wù)器上獲取的地址）、客戶端MAC地址、端口、VLAN ID、租借時間、綁定類型（靜態(tài)的或者動態(tài)的）?；痉婪稙榱朔乐惯@種類型的攻擊，Catalyst DHCP偵聽（DHCP Snooping）功能可有效阻止此類攻擊，當打開此功能，所有用戶端口除非特別設(shè)置，被認為不可信任端口，不應(yīng)該作出任何DHCP響應(yīng)，因此欺詐DHCP響應(yīng)包被交換機阻斷，合法的DHCP服務(wù)器端口或上連端口應(yīng)被設(shè)置為信任端口。首先定義交換機上的信任端口和不信任端口，對于不信任端口的DHCP報文進行截獲和嗅探，DROP掉來自這些端口的非正常DHCP響應(yīng)應(yīng)報文，如下圖所示：基本配置示例如下表：IOS全局命令：ip dhcp snooping vlan 100,200 /*定義哪些VLAN啟用DHCP嗅探ip dhcp snooping接口命令：ip dhcp snooping trustno ip dhcp snooping trust (Default)ip dhcp snooping limit rate 10 (pps) /*一定程度上防止DHCP拒絕服務(wù)攻擊*/手工添加DHCP綁定表： ip dhcp snooping binding vlan 10 interface gi1/1 expiry 1000導(dǎo)出DHCP綁定表到TFTP服務(wù)器：ip dhcp snooping database tftp://需要注意的是DHCP綁定表要存在本地存貯器(Bootfalsh、slot0、ftp、tftp)或?qū)С龅街付═FTP服務(wù)器上，否則交換機重啟后DHCP綁定表丟失，對于已經(jīng)申請到IP地址的設(shè)備在租用期內(nèi)，不會再次發(fā)起DHCP請求，如果此時交換機己經(jīng)配置了下面所講到的DAI和IP Source Guard技術(shù)，這些用戶將不能訪問網(wǎng)絡(luò)。有些復(fù)雜的DHCP攻擊工具可以產(chǎn)生單一源MAC地址、變化DHCP Payload信息的DHCP請求，當打開DHCP偵聽功能，交換機對非信任端口的DHCP請求進行源MAC地址和DHCP Payload信息的比較，如不匹配就阻斷此請求。ARP協(xié)議同時支持一種無請求ARP功能，局域網(wǎng)段上的所有工作站收到主動ARP廣播，會將發(fā)送者的MAC地址和其宣布的IP地址保存，覆蓋以前cache的同一IP地址和對應(yīng)的MAC地址，主動式ARP合法的用途是用來以備份的工作站替換失敗的工作站。黑客程序發(fā)送的主動式ARP采用發(fā)送方私有MAC地址而非廣播地址，通訊接收方根本不會知道自己的IP地址被取代。黑客工具如ettercap、dsniff和arpspoof都能實現(xiàn)ARP哄騙功能。這里舉個例子，假定同一個局域網(wǎng)內(nèi)，有3 臺主機通過交換機相連：A 主機：IP ，MAC 地址為01:01:01:01:01:01B 主機：IP ，MAC 地址為02:02:02:02:02:02C 主機：IP ，MAC 地址為03:03:03:03:03:03B 主機對A 和C 進行欺騙的前奏就是發(fā)送假的ARP 應(yīng)答包，如圖所示：在收到B主機發(fā)來的ARP應(yīng)答后，A主機應(yīng)知道： 的數(shù)據(jù)包應(yīng)該發(fā)到MAC地址為020202020202 的主機；C 主機也知道： 的數(shù)據(jù)包應(yīng)該發(fā)到MAC 地址為020202020202 的主機。當然，因為ARP 緩存表項是動態(tài)更新的，其中動態(tài)生成的映射有個生命期，一般是兩分鐘，如果再沒有新的信息更新，ARP 映射項會自動去除。現(xiàn)在，如果A 和C 要進行通信，實際上彼此發(fā)送的數(shù)據(jù)包都會先到達B 主機，這時，如果B 不做進一步處理，A 和C 之間的通信就無法正常建立，B 也就達不到“嗅探”通信內(nèi)容的目的，因此，B 要對“錯誤”收到的數(shù)據(jù)包進行一番修改，然后轉(zhuǎn)發(fā)到正確的目的地，而修改的內(nèi)容，無非是將目的MAC 和源MAC 地址進行替換。這種嗅探方法，也被稱作中間人MIMT（ManInTheMiddle）的方法。防范方法這些攻擊都可以通過動態(tài)ARP檢查（DAI，Dynamic ARP Inspection）來防止，它可以幫助保證接入交換機只傳遞“合法的”的ARP請求和應(yīng)答信息。Catalyst交換機通過檢查端口紀錄的DHCP綁定信息和ARP應(yīng)答的IP地址決定是否真正的ARP所有者，不合法的ARP包將被刪除。這樣，DHCP Snooping對于DAI來說也成為必不可少的，DAI是動態(tài)使用的，相連的客戶端主機不需要進行任何設(shè)置上的改變。另外，通過DAI可以控制某個端口的ARP請求報文頻率。該功能可以阻止網(wǎng)絡(luò)掃描工具的使用，同時對有大量ARP報文特征的病毒或攻擊也可以起到阻斷作用。由于DAI檢查 DHCP snooping綁定表中的IP和MAC對應(yīng)關(guān)系，無法實施中間人攻擊，攻擊工具失效。如下表所示：3w0d: %SW_DAI4PACKET_RATE_EXCEEDED: 16 packets received in 184 milliseconds on Fa5/30. ******報警3w0d: %PM4ERR_DISABLE: arpinspection error detected on Fa5/30, putting Fa5/30 in errdisable state ******切斷端口I4965001.....sh int FastEthernet5/30 is down, line protocol is down (errdisabled) Hardware is Fast Ethernet Port, address is (bia ) MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 I4965001...... IP/MAC欺騙的防范常見的欺騙攻擊的種類和目的除了ARP欺騙外，黑客經(jīng)常使用的另一手法是IP地址欺騙。此方法也被廣泛用作DOS攻擊，目前較多的攻擊是：Ping Of Death、Syn flood、ICMP Unreacheable Storm。富有侵略性的TCP SYN洪泛攻擊來源于一個欺騙性的IP地址，它是利用TCP三次握手會話對服務(wù)器進行顛覆的又一種攻擊方式。另外病毒和木馬的攻擊也會使用欺騙的源IP地址。IP/MAC欺騙的防范Catalyst IP源地址保護（IP Source Guard）功能打開后，可以根據(jù)DHCP偵聽記錄的IP綁定表動態(tài)產(chǎn)生PVACL，強制來自此端口流量的源地址符合DHCP綁定表的記錄，這樣攻擊者就無法通過假定一個合法用戶的IP地址來實施攻擊了，這個功能將只允許對擁有合法源地址的數(shù)據(jù)保進行轉(zhuǎn)發(fā)，合法源地址是與IP地址綁定表保持一致的，它也是來源于DHCP Snooping綁定表。IP Source Guard不但可以配置成對IP地址的過濾也可以配置成對MAC地址的過濾，這樣，就只有IP地址和MAC地址都于DHCP Snooping綁定表匹配的通信包才能夠被允許傳輸。與DAI不同的是，DAI僅僅檢查ARP報文， IP Source Gu