【正文】 P 請(qǐng)求，擁有此 IP 地址的工作站給予 ARP 應(yīng)答，送回自己的 IP 和 MAC 地址。由于 ARP 無(wú)任何身份真實(shí)校驗(yàn)機(jī)制，黑客程序發(fā)送誤導(dǎo)的主動(dòng)式 ARP 使網(wǎng)絡(luò)流量重指經(jīng)過(guò)惡意攻擊者的計(jì)算機(jī)，變成某個(gè)局域網(wǎng)段 IP 會(huì)話的中間人，達(dá)到竊取甚至 篡 改正常傳輸?shù)墓π?。為了保?ARP 欺騙的持續(xù)有效，黑客程序每隔 30 秒重發(fā)此私有主動(dòng)式 ARP。像 ettercap可提供一個(gè)用戶(hù)界 面，在對(duì)本地網(wǎng)段所有工作站的 掃描 后， ettercap 顯示所有工作站源地址和目的地址，選擇 ARP 哄騙命令后，除數(shù)據(jù)包的截取外，內(nèi)置的智能 sniffer 功能還可以針對(duì)不同 IP 會(huì)話獲取 password 信息。這樣， A 和 C 都認(rèn)為對(duì)方的 MAC 地址是 020202020202，實(shí)際上這就是 B 主機(jī)所需得到的結(jié)果。所以， B 還有一個(gè) “ 任務(wù) ” ，那就是一直連續(xù)不斷地向A 和 C 發(fā)送這種虛假的 ARP 響應(yīng)包，讓其 ARP 緩存中一直保持被毒害了的映射表項(xiàng)。如此一來(lái)，在 A 和 C 看來(lái)，彼此發(fā)送的數(shù)據(jù)包都是直接到達(dá)對(duì)方的，但在 B 來(lái)看，自己擔(dān)當(dāng)?shù)木褪?“ 第三者 ” 的角色。如圖 所示。 DHCP Snooping 監(jiān)聽(tīng)綁定表包括 IP 地址與 MAC 地址的綁定信息并將其與特定的交換機(jī)端口相關(guān)聯(lián)， 動(dòng)態(tài) ARP 檢測(cè) （ DAI－ Dynamic ARP Inspection） 可以用來(lái)檢查所有非信任端口的 ARP 請(qǐng)求和應(yīng)答 (主動(dòng)式 ARP和非主動(dòng)式 ARP)，確保應(yīng)答來(lái)自真正的 ARP 所有者。 DAI 配置針對(duì) VLAN，對(duì)于同一 VLAN 內(nèi)的接口可以開(kāi)啟 DAI 也可以關(guān)閉 ， 如果 ARP 包從一個(gè)可信任的接口接受到，就不需要做任何檢查，如果 ARP 包在一個(gè)不可信任的接口上接受到，該包就只能在綁定信息被證明合法的情 況下才會(huì)被轉(zhuǎn)發(fā)出去。 對(duì)于沒(méi)有使用 DHCP 的服務(wù)器個(gè)別機(jī)器可以采用靜態(tài)添加 DHCP 綁定表 或 ARP accesslist 實(shí)現(xiàn)。 一旦 ARP 請(qǐng)求 頻率的頻率超過(guò)預(yù)先設(shè)定的閾值，立即 關(guān)閉該端口。 配置示例 IOS 全局命令： ip dhcp snooping vlan 100,200 no ip dhcp snooping information option ip dhcp snooping ip arp inspection vlan 100,200 /*定義對(duì)哪些 VLAN 進(jìn)行 ARP 報(bào)文檢測(cè) */ ip arp inspection logbuffer entries 1024 ip arp inspection logbuffer logs 1024 interval 10 IOS 接口命令： ip dhcp snooping trust ip arp inspection trust /*定義哪些接口是信任接口，通常是網(wǎng)絡(luò)設(shè)備接口， TRUNK接口等 */ ip arp inspection limit rate 15 (pps) /*定義接口每秒 ARP 報(bào)文數(shù)量 */ 對(duì)于沒(méi)有使用 DHCP 設(shè)備可以采用下面辦法： arp accesslist staticarp permit ip host mac host ip arp inspection filter staticarp vlan 201 配置 DAI 后的效果 在配置 DAI 技術(shù)的接口上，用戶(hù)端不能采用指定地址地址將接入網(wǎng)絡(luò)。下表為實(shí)施中間人攻擊是交換機(jī)的警告： 3w0d: %SW_DAI4DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/16, vlan 1.([由于對(duì) ARP 請(qǐng)求報(bào)文做了速度限制，客戶(hù)端無(wú)法進(jìn)行認(rèn)為或者病毒進(jìn)行的 IP 掃描、探測(cè)等行為，如果發(fā)生這些行為，交換機(jī)馬上報(bào)警或直接切斷掃描機(jī)器。常見(jiàn)的欺騙種類(lèi)有 MAC 欺騙、 IP 欺騙、 IP/MAC 欺騙，其目的一般為偽造身份或者獲取針對(duì) IP/MAC 的特權(quán)。如黑客冒用 A 地址對(duì) B 地址發(fā)出大量的 ping 包，所有 ping 應(yīng)答都會(huì)返回到 B 地址，通過(guò)這種方式來(lái)實(shí)施拒絕服務(wù)（ DoS）攻擊，這樣可以掩蓋攻擊系統(tǒng)的真實(shí)身份。一個(gè) IP 地址欺騙攻擊者可以通過(guò)手動(dòng)修改地址或者運(yùn)行一個(gè)實(shí)施地址欺騙的程序來(lái)假冒一個(gè)合法地址?；ヂ?lián)網(wǎng)上的蠕蟲(chóng)病毒也往往利用欺騙技術(shù)來(lái)掩蓋它們真實(shí)的源頭主機(jī)。因此， DHCP Snooping 功能對(duì)于這個(gè)功能的動(dòng)態(tài)實(shí)現(xiàn)也是必不可少的，對(duì)于那些沒(méi)有用到 DHCP 的網(wǎng)絡(luò)環(huán)境來(lái)說(shuō)，該綁定 表也可以靜態(tài)配置。此時(shí)，必須將 IP 源地址保護(hù) IP Source Guard 與端口安全 Port Security 功能共同使用，并且需要 DHCP 服務(wù)器支持 Option 82 時(shí)， 才可以抵御 IP 地址＋ MAC 地址的欺騙。 通過(guò)在交換機(jī)上配置 IP Source Guard， 可以過(guò)濾掉非法的 IP/MAC 地址，包含用戶(hù)故意修改的和病毒、攻擊等造成的。 配置示例 檢測(cè)接口上的 IP+MAC IOS 全局配置命令： ip dhcp snooping vlan 12,200 ip dhcp snooping information option ip dhcp snooping 接口配置命令： ip verify source vlan dhcpsnooping portsecurity switchport mode access switchport portsecurity switchport portsecurity maximum 3 檢測(cè)接口上的 IP IOS 全局配置命令 ip dhcp snooping vlan 12,200 no ip dhcp snooping information option ip dhcp snooping 接口配置命令： ip verify source vlan dhcpsnooping 不使用 DHCP的靜 態(tài)配置 IOS 全局配置命令： ip dhcp snooping vlan 12,200 ip dhcp snooping information option ip dhcp snooping ip source binding vlan 212 interface Gi4/5 內(nèi)部管理用戶(hù)的訪問(wèn)授權(quán) 網(wǎng)絡(luò)的安全保障很大程度是通過(guò)網(wǎng)絡(luò)設(shè)備的安全功能來(lái)實(shí)現(xiàn)，網(wǎng)絡(luò)設(shè)備本身的安全管理顯得尤為重要。另外，任何管理員、任何時(shí)候?qū)W(wǎng)絡(luò)設(shè)備的任何操作，都要有詳細(xì)的記錄，具體到管理員鍵盤(pán)輸入的每一條命令，為設(shè)備的維護(hù)提供了極大的方便。 CISCO 的路由器產(chǎn)品可以分配 16 種不同的特權(quán)，每種特權(quán)有規(guī)定的命令集，這使得每個(gè)特權(quán)用戶(hù)只能執(zhí)行某些命令，從而提高了安全性。因此，對(duì)網(wǎng)絡(luò)上的用戶(hù)進(jìn)行分級(jí)管理，是十分必要的。同時(shí)，用戶(hù)也可以對(duì)某個(gè)特殊命令進(jìn)行編輯和組合，使它可以加入不同的優(yōu)先級(jí)別，從而達(dá)到不同的管理目的。每類(lèi)又可分為以下三種不同的用戶(hù)分級(jí)。 區(qū)域用網(wǎng)絡(luò)管理分為以下三種不同的用戶(hù)分級(jí)： 區(qū)域網(wǎng)管操作員：區(qū)域網(wǎng)管操作員負(fù)責(zé)本區(qū)域內(nèi)部的網(wǎng)絡(luò)設(shè)備的監(jiān)視，只能執(zhí)行一些 show 類(lèi) 的用于監(jiān)視的命令，例如： show interfaces ， ping 等，一般屬于 Cisco IOS 軟件的用戶(hù)模式。 區(qū)域高級(jí)網(wǎng)絡(luò)管理員：區(qū)域高級(jí)網(wǎng)絡(luò)管理員負(fù)責(zé)本區(qū)域內(nèi)部的網(wǎng)絡(luò)設(shè)備的管理和配置，同時(shí)與中心網(wǎng)絡(luò)管理員協(xié)調(diào)處理區(qū)域之間的網(wǎng)絡(luò)問(wèn)題。 全網(wǎng)中心管理分級(jí) 園區(qū) 網(wǎng)絡(luò)總部設(shè)有一個(gè)全網(wǎng)管理中心，全網(wǎng)管理中心負(fù)責(zé)全網(wǎng)的運(yùn)行管理和維護(hù)。 中心網(wǎng)絡(luò)管理員：中心一般網(wǎng)絡(luò)管理員負(fù)責(zé)整個(gè)網(wǎng)的管理和維護(hù)，能執(zhí)行 Cisco IOS 軟件用戶(hù)模式全部的命令和特權(quán)模式部分的命令，例如 升級(jí) IOS 軟件、 參數(shù)配置、 DEBUG 測(cè)試等。 以上這些用戶(hù)分級(jí)應(yīng)根據(jù) 園區(qū) 網(wǎng)絡(luò)的具體情況及要求分別細(xì)化其功能，使其分別對(duì)應(yīng) Cisco IOS 軟件的權(quán)限 16 種不同層次的優(yōu)先級(jí)別，同時(shí)用戶(hù)可以用 privilege exec level 等命令對(duì)某一層次優(yōu)先級(jí)所執(zhí)行的命令進(jìn)行管理，從而達(dá)到靈活管理。推出了一個(gè)全新的集成多業(yè)務(wù)路由器系列，它進(jìn)行了專(zhuān)門(mén)的優(yōu)化，可安全、線速地同時(shí)提供數(shù)據(jù)、話音和視頻服務(wù)，重新定義了最佳大型企業(yè)和中小型企業(yè)路由。 2800 系列集成多業(yè)務(wù)路由器（參見(jiàn)圖 1）建立在思科 20 年的領(lǐng)先地位及創(chuàng)新技術(shù)的基礎(chǔ)之上，智能地將數(shù)據(jù)、安全性和話音服務(wù)內(nèi)嵌于單一永續(xù)系統(tǒng)，能快速、可擴(kuò)展地提供關(guān)鍵任務(wù)業(yè)務(wù)應(yīng)用。 圖 1 Cisco 2800 系列 產(chǎn)品概述 Cisco 2800 系列由四個(gè)新平臺(tái)組成（參見(jiàn)圖 1）： Cisco 280 Cisco 281 Cisco 2821和 Cisco 2851。 Cisco 2800 系列能以線速為多條 T1/E1/xDSL 連接提供多種高 質(zhì)量并發(fā)服務(wù)。 用于數(shù)據(jù)、話音和視頻的安全網(wǎng)絡(luò)連接 安全已成為網(wǎng)絡(luò)的基本構(gòu)建塊。 Cisco 2800 系列具有先進(jìn)、集成的端到端安全性，以用于提供融合服務(wù)和 應(yīng)用。軟件高級(jí)安全特性集， Cisco 2800 在一個(gè)解決方案集中提 供了一系列強(qiáng)大的通用安全特性，如 Cisco IOS Software Firewall、入侵保護(hù)、 IPSec VPN、 Secure Shell (SSH)協(xié)議 和簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（ SNMPv3）。此 外，思科提供了一系列安全加速硬件，如用于加密的入侵保護(hù)網(wǎng)絡(luò)模塊和高級(jí)集成模塊（ AIM），使 Cisco 2800 系列成為業(yè)界適用于分支機(jī)構(gòu)的、最強(qiáng)大的可適應(yīng)安全解決方案。 融合 IP 通信 如圖 2 所示， Cisco 2800 系列可滿(mǎn)足中小型企業(yè)和企業(yè)分支機(jī)構(gòu)的 IP 通信需求，同時(shí)在單一路由平臺(tái)中提供業(yè)界領(lǐng)先的安全性。此解決方案適用于有數(shù)據(jù)連接需求、對(duì)于為多達(dá) 72部電話部署一個(gè)融合 IP電話解決方案感興趣的客戶(hù)。帶集成 Cisco CME 的 Cisco 2800 系列提供了一個(gè)核心電話特性集，以滿(mǎn)足客戶(hù)日常業(yè)務(wù)需求，它們利用內(nèi)嵌于 Cisco 2800 系列中范圍廣泛的話音功能（如表 1 所示）以及 Cisco IOS 軟件中的可選特性，可為中小型分支機(jī)構(gòu) 環(huán)境提供強(qiáng)大的IP 電話服務(wù)。通過(guò)多種服務(wù)的可選集成， Cisco 2800 系列能方便地自行將獨(dú)立網(wǎng)絡(luò)設(shè)施和組件的功能集成入 Cisco 2800 系列機(jī)箱。這種靈活性大大擴(kuò)展了 Cisco 2800 系列的潛在應(yīng)用，使其超越傳統(tǒng)路由，且仍保持著集成的優(yōu)勢(shì)。 應(yīng)用 融合 IP 通信的安全網(wǎng)絡(luò)連接 圖 2 融合 IP 通信的安全網(wǎng)絡(luò)連接 主要特性和優(yōu)勢(shì) 架構(gòu)特性和優(yōu)勢(shì) Cisco 2800 系列架構(gòu)的特別設(shè)計(jì)可滿(mǎn)足中小型分支機(jī)構(gòu)和中小型企業(yè)對(duì)于目前和未來(lái)應(yīng)用日益提高的需求。此外， Cisco IOS 軟件支持全套傳輸協(xié)議、服務(wù)質(zhì)量（ QoS）工具，以及先進(jìn)的安 全和話音應(yīng)用。網(wǎng)絡(luò)接口可現(xiàn)場(chǎng)升級(jí)，以適應(yīng)未來(lái)技術(shù)。 ? Cisco 2800支持 90多種模塊，包括大部分現(xiàn)有 WIC、 VIC、網(wǎng)絡(luò)模塊和 AIM（注： Cisco 2801 路由器不支持網(wǎng)絡(luò)模塊）。 更多缺省內(nèi)存 ? Cisco 281 2821和 2851路由器提供了 64MB閃存和 256 MB DRAM 內(nèi)存。 集成雙快速以太網(wǎng)或千兆位以太網(wǎng)端口 ? Cisco 2800 系列在 Cisco 2801 和 Cisco 2811 上提供了2 個(gè) 10/100 端口，在 Cisco 2821和 Cisco 2851 上提供了 2 個(gè) 10/100/1000 端口。 ? Cisco 1800、 2600、 3700 和 3800 路由器上具有通用特性和命令集結(jié)構(gòu)，簡(jiǎn)化了特性集選擇、部署、管理和培訓(xùn)。 ? 基于標(biāo)準(zhǔn)的電源可提供符合 標(biāo)準(zhǔn)的 PoE 或思科預(yù)標(biāo)準(zhǔn)饋線電源。 集成冗余電源 (RPS) 連接器 ? Cisco 281 2821 和 2851 上，有一個(gè)內(nèi)置外部電源連接器，可簡(jiǎn)便地增加可與其他思科產(chǎn)品共享的外部冗余電源，通過(guò)保護(hù)網(wǎng)絡(luò)組件，使其免于因電源故障而停運(yùn)，從而縮短了網(wǎng)絡(luò)停運(yùn)時(shí)間。其模塊化架構(gòu)進(jìn)行了重設(shè)計(jì)，以支持不斷提高的帶寬要求、時(shí)分多路（ TDM）互聯(lián)，以及到 支持 PoE 或思科饋線電源的模塊的全面集成式電源分發(fā)，同時(shí)仍支持大多數(shù)現(xiàn)有模塊。此外，利用網(wǎng)絡(luò)上的通用接口卡，可大大降低管理庫(kù)存需求的復(fù)雜度、實(shí)現(xiàn)了大型網(wǎng)絡(luò)部署，并可保持各種規(guī)模的分支機(jī)構(gòu)中的配置。 ? NME 插槽提供高吞吐率功能 (高達(dá) ) 和對(duì)以太網(wǎng)電源 (POE)的支持。 帶增強(qiáng)功能的高性能 WIC (HWIC) 插槽 ? Cisco 281 2821 和 2851 上的 4 個(gè)集成 HWIC 插槽以及 Cisco 2801 上的 2 個(gè)集成 HWIC 插 槽，可實(shí)現(xiàn)更為靈活、密集的配置。 ? HWIC插槽提供了高數(shù)據(jù)吞吐量功能 (高達(dá) 400 Mbps 全雙工或 800 Mbps 總吞吐量 ) 和以太網(wǎng)電源 (POE) 支持。 雙 AIM 插槽 ? 雙 AIM 插槽支持多種并發(fā)服務(wù)，如硬件加速安全、 ATM劃分和組裝 (SAR)、壓縮和語(yǔ)音留言（有關(guān)具體平臺(tái)支持的詳細(xì)信息，請(qǐng)