Cisco网络系统结构设计技术方案

1、Cisco网络系统结构设计技术方案第一章前言随着信息技术的不断发展，信息技术对社会进步和国民经济发展起着越来越大的促进作用，并对传统的思想观念和工作方式带来巨大的冲击。在信息化时代，网络已进入了各行各业，同时也促进了各个行业的发展。而对于各种制造业来说，一个强大稳定的网络，可以更好的提高公司的产量，为公司带来更高的效益。思科产品和技术不仅在中国金融、保险、电信、科研等领域取得巨大成功，而且在制造行业领域也大显身手。我们愿用多年来在网络技术领域的专业经验，在制造行业的征途中贡献我们的一份力量，为各行各业增添几份璀璨。第二章网络设计原则2.1 网络的连通性园区各计算机等终端设备之间良好的连通性是需

2、要满足的基本条件，网络环境就是提供需要通信的计算机设备之间互通的环境，以实现丰富多彩的网络应用。2.2 网络的可靠性许多现有网络在初始建设时不仅要考虑到如何实现数据传输，还要充分考虑网络的冗余与可靠，否则一旦运行过程网络发生故障，系统又不能很快恢复工作，所带来的后果便是园区的经济损失，影响园区的声誉和形象。2.3 网络的安全性在商品竞争日益激烈的今天，园区对网络的安全性有非常高的要求。在很多园区在局域网和广域网络中传递的数据都是相当重要的信息，因此一定要保证数据安全保密，防止非法窃听和恶意破坏，在网络建设的开始就考虑采用严密的网络安全措施。2.4 网络的可管理性随着网络规模的日益扩大，网络设备

3、的数据和种类日益增加，网络应用日益多样化，网络管理也日益重要。良好的网络管理要重视网络管理人力和财力的事先投入，主动控制网络，不仅能够进行定性管理，而且还能够定量分析网络流量，了解网络健康状况。有预见性地发现网络上的问题，并将其消灭于萌芽状态，降低网络故障所带来的损失，使网络管理的投入达到事半功倍的效果。2.5 网络的扩展性网络建设为未来的发展提供良好的扩展接口是非常理智的选择。随着园区规模的扩大、业务的增长，网络的扩展和升级是不可避免的问题。思科通过模块化的网络结构设计和模块化的网络产品，能为用户的网络提供很强的扩展和升级能力。2.6 网络的多媒体支持由于视频会议、视频点播、IP电话等多媒体

4、技术的日趋成熟，网络传输的数据已不再是单一数据了，多媒体网络传输成为世界网络技术的趋势。园区着眼于未来，对网络的多媒体支持是有很多需求的。同时，在网络带宽非常宝贵的情况下，丰富的QoS机制，如：IP优先、排队、组内广播和链路压缩等优化技术能使实时的多媒体和关键业务得到有效的保障。2.7 网络的高性能随着互联网的发展，上网用户的不断增多，访问和数据传输量剧增，网络负荷也相应加重；随着园区对多媒体技术的广泛应用，视频数据、音频数据也越来越耗费网络带宽。如果网络没有高性能，会导致系统反应缓慢，甚至在业务量突增时，发生系统崩溃、中止和异常等现象。高性能的网络也是一些关键业务或特殊应用的必备条件。第三章

5、需求分析3.1 方案需求1、要求具有较高性能的网络，要达到1000M主干，100M到桌面2、要求方便管理，使得管理员通过远程就可以对网络及终端进行统一管理3、安全控制，对用户进行控制，及Arp病毒的控制。4、要求所选设备要有很好的扩展性3.2 实现方法1、园区采用带有2个千兆接口的Cisco2811路由器，提供了充足的出口带宽，下层采用全10/100/1000自适应接口的CatalystWS-C3560E-24TD-S作为核心路由器，通过其强大的转发能力和充足的带宽，来保证园区网络的畅通。接入层采用Cisco公司专为中国客户设计研发的CatalystWS-C2918-24TC-C,其中文界面使

6、管理员更容易对其管理。此外在商务部使用LinksysWRT54GL来达到对商务部的无线覆盖，使笔记本用户能够更加方便的访问互联网。最终实现如下图的网络：第四章局域网及安全方案设计4.1VLAN规划由于以太网将是包钢计量处网络中核心层、接入层、汇接层使用的网络标准，因此网络可以看成是一个大局域网群，需要涉及到第三层交换，因此我们使用了Cisco公司的VLAN技术。VLAN是一种无所不在的基本技术结构。简而言之，虚拟网络是对网络系统采用逻辑化而非物理化的管理技术来实现网络安全的策略，其主要协议为IEEE802.1Q,此协议结合了鉴别和加密技术从而保证整个网络内部数据的保密性与完整性。同时，为了避免

7、VLAN中循环的可能，VLAN采用了IEEE802.1d（生成树）的算法。在VLAN的实现策略中，当任意结合的局域网络构成VLAN时，本机信息包含了IEEE802.1QVLANID，如果此ID不能被设备的任何端口所接收，则它被过滤掉，只有本机的信息从本交换机发出。这种策略的用途为可以实现与IEEE802.1Q不兼容白设备/网络的透明通讯。VLAN可以将通讯量进行有效的分割，从而很好的利用带宽，并可以从逻辑的角度出发将实际的LAN基础结构分割成多个子网，这样减轻了扩容的压力。因此我们认为虚拟网络的配置与实施对包钢计量处这样一个大型的网络来说是非常必要的。另外，为了完成各个不同VLAN间通信，就要

8、使用VLANTrunking。主要是通过一条高速全双工干道（2000Mbps）来实现将一个交换机端口所划分的不同VLAN其它交换机中各自的相应VLAN成员进行线路复用连接的技术。VLANTrunking技术的采用，节省了信道数据，提高了可靠性。便于管理，方便连接，提高了整个网络吞吐量和性能指标。10MbpsBandwidthSwitchSwitchVIV2BAV3V1图：不使用VLANTrankingRouterVAN1toVLAN410Mbpsonlyon10Mb/sBandwidth/ySeSwitch1Switch:cVLAN2toVLAN2SwitchSwitch-Jonlyon10M

9、b/s1/'iv>.ALVaNxV2BlV4V1V2V3.QV14/200MbpsBandwidth得V1V2V3图：使用VLANTranking如果采用VLANTrunkingva1VLAN1toVLAN4/200Mbps/*J公BandwidthKBjVLAN2toVLAN2|V1V2.V4V1V2V3V1V4F的技术，则V1、V2、V3均可通过一条全双工的1000Mbps,即2000Mbps的速率与上级交换机进行互通并经过位于树根部的路由器进行路由选择与其它的VLAN®行通讯。VLANTrunking技术的优点在于采用一条高速通道连接，提高了通道的使用效率，在V2

10、,V3无数据量的情况下，V1可以独占此1000M带宽；并且可以使得线路的联接变得简单，从而大大提高可靠性与易维护性。如果不采用VLANTrunking的技术，则虚拟网络的结构将如上图所示，这样则需要使用多条1000Mbps与其它的交换机互联，其缺点是：线路带宽的利用率不充分网络间布线及接口相应增多，造成系统管理的复杂性，降低了可靠性。4.2 VLAN的设计在包钢计量处的设计中我们划分VLAN的原则为：1、依据部门的组织结构；2、依据业务；为了实现按不同的业务划分VLANVLAN的划分将打破传统方法：不按地理位置划分，而是每个业务VLAN将跨越数个接入层，这样，保证了相同业务的工作站虽然所处位置

11、不同但是在逻辑上属于同一个虚网。此外，CISCO的设备提供了灵活的QO砌能，能够使每个VLAN的带宽根据需要分配。有关QOS勺细节在“QOS应用”章节进行了详细阐述。4.3 VLAN间的隔离虚网之间的完全隔离，可通过CISCO设备的访问控制功能实现。CISCO设备可实现网络的二层和第三层的访问控制，第三层的访问控制为IP的访问控制列表，第二层的访问控制为VLANMAP因为访问控制是按IP地址进行的，因此IP地址应能够区分出业务类别。下图为实现VLAN间完全隔离的示意图实现负载的均摊。4.4 Vlan的管理众多的VLANffl果缺乏管理同样会造成网络管理人员的困惑和网络运行的混乱，通过VTP(V

12、isualTrunkingProtocol)的使用，我们可以统一管理VLAN的创建、删除、分配和使用。比如我们将核心交换机6509设为VTPDOMAINSERVER色，而将其它交换机设为VTPDOMAINHCCLIENT角色，那么将只有核心交换机6509可以进行VLAN的创建和删除，任何其他交换机将只能使用由6509已创建好的VLAN即只能将某个端口加入某个VLAN而不能自由的重新创建一个VLAN通过对VLAN的管理，我们可以轻松的在远端(网络中心)完成VLAN的修改，在网络的中心位置控制VLAN间的访问，有效的控制VLAN间的信息流量，减轻远端管理的复杂度。4.5 内部局域网络的安全接入内部

13、局域网络承担着整个园区网络的通讯枢纽功能，连接着所有的应用服务器和数据系统，任何网络安全问题都会扰乱园区的正常运转，给园区带来不可弥补的损失。目前园区在内部局域网中遇到的问题主要有以下几种:1、IP地址的管理问题，包括IP地址非法使用、IP地址冲突和IP地址欺骗2、利用ARP欺骗获取账号、密码、信息，甚至恶意篡改信息内容、嫁祸他人问题3、木马、蠕虫病毒攻击导致的信息失窃、网络瘫痪问题4、攻击或病毒源机器的快速定位、隔离问题IP的地址管理一直是长期困扰园区局域网安全稳定运行的首要问题。在局域网上任何用户使用未经授权的IP地址都应视为IP非法使用。由于终端用户可以自由修改IP地址，从而产生了IP地

14、址非法使用问题。改动后的IP地址在局域网中运行时可能出现以下情况。?非法的IP地址即IP地址不在规划的局域网范围内?重复的IP地址与已经分配且正在局域网运行的合法的IP地址发生资源冲突，使合法用户无法上网?冒用合法用户的IP地址当合法用户不在线时，冒用其IP地址联网，使合法用户的权益受到侵害无论是有意或无意地使用非法IP地址都可能会给园区带来严重的后果，如重复的IP地址会干扰、破坏网络服务器和网络设备的正常运行，甚至导致网络的不稳定，从而影响业务；拥有被非法使用的IP地址所拥有的特权，威胁网络安全；利用欺骗性的IP地址进行网络攻击，如富有侵略性的TCPSYN洪泛攻击来源于一个欺骗性的IP地址，

15、它是利用TCP三次握手会话对服务器进行颠覆的一种攻击方式，一个IP地址欺骗攻击者可以通过手动修改地址或者运行一个实施地址欺骗的程序来假冒一个合法地址。为了防止非法使用IP地址，增强网络安全，最常见的方法是采用静态的ARP命令捆绑IP地址和MAC&址，从而阻止非法用户在不修改MAC&址的情况下冒用IP地址进行的访问，同时借助交换机的端口安全即MACfe址绑定功能可以解决非法用户修改MACfe址以适应静态ARP表的问题。但这种方法由于要事先收集所有机器的MACM址及相应的IP地址，然后还要通过人工输入方法来建立IP地址和MACM址的捆绑表，不仅工作量繁重，而且也难以维护和管理。另一

16、个显著的问题就是带有攻击特性的ARP欺骗。地址解析协议(ARP，AddressResolutionProtocol)最基本的功能是用来实现MAC%址和IP地址的绑定，这样两个工作站才可以通讯，通讯发起方的工作站以MACT播方式发送ARP请求，拥有此IP地址的工作站给予ARP应答，并附上自己的IP和MAO址。ARP协议同时支持一种无请求ARP功能，局域网段上的所有工作站收到主动AR"会将发送者的MACM址和其宣布的IP地址保存，覆盖以前的同一IP地址和对应的MACfe址。术语“ARP欺骗”或者说“ARP中毒”就是指利用主动AR稼误导通信数据传往一个恶意计算机的黑客技术，该计算机就能成为

17、某个特定局域网网段上的两台终端工作站之间IP会话的“中间人”了。如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连)，他会分别给这两台主机发送一个ARP应答包，让两台主机都“误”认为对方的MAC地址是第三方黑客所在的主机，这样，双方看似“直接”的通信连接，实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容，并可以通过工具破译账号、密码、信息，另一方面，还可以恶意更改数据包中的一些信息。同时，这种ARP欺骗又极具隐蔽性，攻击完成后再恢复现场，所以不易发觉、事后也难以追查，被攻击者往往对此一无所知。病毒入侵问题也是所有园区普遍关心的问题。这些病毒，可以在极短的时间

18、内迅速感染大量系统，甚至造成网络瘫痪和信息失窃，给园区造成严重损失。木马病毒往往会利用ARP的欺骗获取账号和密码，而蠕虫病毒也往往利用IP地址欺骗技术来掩盖它们真实的源头主机。如“网吧传奇杀手”(Trojan.PSW.LMir.qh)木马病毒就是一个专门窃取“传奇”游戏密码的恶性木马病毒，其工作原理是对局域网中的机器进行ARP欺骗，虚拟内部的网关地址，以此来收集局域网中传奇游戏登录信息，通过解析加密方式从而得到用户信息的破坏性软件。在局域网中运行这个病毒后，就可以获得整个局域网中“传奇”玩家的帐户和密码等信息。例如“局域网终结者”(Win32.Hack.Arpkill)病毒，通过伪造ARP包来

19、欺骗网络主机，使指定的主机网络中断，严重影响到网络的运行。最后，令网络管理员头痛的问题是如何准确定位。当出现IP地址被非法使用、IP地址冲突，或网络出现异常流量包括由于网络扫描、病毒感染和网络攻击产生的流量，为了查找这些IP地址的机器，一般采用如下步骤：1 .确定出现问题的IP地址。2 .查看当前网络设备的AR昧，从中获彳#网卡的MACM址。3 .检查交换机的MACfe址列表，确定机器位置。这个过程往往要花费大量的时间才能够定位机器具体连接的物理端口，而对于伪造的源IP地址要查出是从哪台机器产生的就更加困难了。如果不能及时对故障源准确地定位、迅速地隔离，将会导致严重的后果，即使在网络恢复正常后

20、隐患依然存在。4 .6阻止来自网络第二层攻击的重要性以上所提到的攻击和欺骗行为主要来自网络的第二层。在网络实际环境中，其来源可概括为两个途径：人为实施，病毒或蠕虫。人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探，获取管理帐户和相关密码，在网络上中安插木马，从而进行进一步窃取机密文件。攻击和欺骗过程往往比较隐蔽和安静，但对于信息安全要求高的园区危害是极大的。木马、蠕虫病毒的攻击不仅仅是攻击和欺骗，同时还会带来网络流量加大、设备CPUJ用率过高、二层生成树环路、网络瘫痪等现象。网络第二层的攻击是网络安全攻击者最容易实施，也是最不容易被发现的安全威胁，它的目标是让网络失效或者通过获取诸如密码

21、这样的敏感信息而危及网络用户的安全。因为任何一个合法用户都能获取一个以太网端口的访问权限，这些用户都有可能成为黑客，同时由于设计OSI模型的时候，允许不同通信层在相互不了解情况下也能进行工作，所以第二层的安全就变得至关重要。如果这一层受到黑客的攻击，网络安全将受到严重威胁，而且其他层之间的通信还会继续进行，同时任何用户都不会感觉到攻击已经危及应用层的信息安全。所以，仅仅基于认证(如IEEE802.1x)和访问控制列表(ACL，AccessControlLists)的安全措施是无法防止本文中提到的来自网络第二层的安全攻击。一个经过认证的用户仍然可以有恶意，并可以很容易地执行本文提到的所有攻击。目

22、前这类攻击和欺骗工具已经非常成熟和易用。归纳前面提到的局域网目前普遍存在的安全问题，根据这些安全威胁的特征分析，这些攻击都来自于网络的第二层，主要包括以下几种：MACM址泛滥攻击DHCP艮务器欺骗攻击ARP欺骗IP/MAC地址欺骗CiscoCatalyst智能交换系列的创新特性针对这类攻击提供了全面的解决方案，将发生在网络第二层的攻击阻止在通往内部网的第一入口处，主要基于下面的几个关键的技术。PortSecurityDHCPSnoopingDynamicARPInspection(DAI)IPSourceGuard下面主要针对目前这些非常典型的二层攻击和欺骗说明如何在思科交换机上组合运用和部署

23、上述技术，从而防止在交换环境中的“中间人”攻击、MAC/CAMC击、DHC畋击、地址欺骗等，更具意义的是通过上面技术的部署可以简化地址管理，直接跟踪用户IP和对应的交换机端口，防止IP地址冲突。同时对于大多数具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。MAC%址泛滥攻击的防范5 .7MAC泛滥攻击的原理和危害交换机主动学习客户端的MACM址，并建立和维护端口和MACM址的对应表以此建立交换路径，这个表就是通常我们所说的CAM表。CAMt的大小是固定的，不同的交换机的CAM表大小不同。MAC/CA瞰击是指利用工具产生欺骗MAC快速填满CAMH,交换机CAMB1被填满。黑客发送大量带有随机

24、源MAC%址的数据包，这些新MAGfe址被交换机CAM习，很快塞满MAG&址表，这时新目的MAG&址的数据包就会广播到交换机所有端口，交换机就像共享HU屋样工作，黑客可以用sniffer工具监听所有端口的流量。此类攻击不仅造成安全性的破坏，同时大量的广播包降低了交换机的性能。当交换机的CAM表被填满后，交换机以广播方式处理通过交换机的报文，这时攻击者可以利用各种嗅探攻击获取网络信息。更为严重的是，这种攻击也会导致所有邻接的交换机CAM表被填满，流量以洪泛方式发送到所有交换机的所有含有此VLAN的接口，从而造成交换机负载过大、网络缓慢和丢包甚至瘫痪。防范方法限制单个端口所连接MA

25、CM址的数目可以有效防止类似macof工具和SQL蠕虫病毒发起的攻击，macof可被网络用户用来产生随机源MACM址和随机目的MAC%址的数据包，可以在不到10秒的时间内填满交换机的CAM表。CiscoCatalyst交换机的端口安全(PortSecurity)和动态端口安全功能可被用来阻止MAC乏滥攻击。例如交换机连接单台工作站的端口，可以限制所学MACM址数为1;连接IP电话和工作站的端口可限制所学MACM址数为3：IP电话、工作站和IP电话内的交换机。通过端口安全功能，网络管理员也可以静态设置每个端口所允许连接的合法MAG&址,实现设备级的安全授权。动态端口安全则设置端口允许合法

26、MAG&址的数目，并以一定时间内所学习到的地址作为合法MAG&址。通过配置PortSecurity可以控制：1、端口上最大可以通过的MACM址数量2、端口上学习或通过哪些MACM址3、对于超过规定数量的MACb理进行违背处理端口上学习或通过哪些MAG&址，可以通过静态手工定义，也可以在交换机自动学习。交换机动态学习端口MAC直到指定的MACM址数量，交换机关机后重新学习。目前较新的技术是StickyPortSecurity,交换机将学到的mac地址写到端口配置中，交换机重启后配置仍然存在。对于超过规定数量的MACb理进行处理一般有三种方式(针对交换机型号会有所不同)：S

27、hutdown：端口关闭。Protect：丢弃非法流量，不报警。Restrict：丢弃非法流量，报警。配置示例PortSecurity配置选项：Switch(config-if)#switchportport-security?agingPort-securityagingcommandsmac-addressSecuremacaddressmaximumMaxsecureaddressesviolationSecurityviolationmode配置PortSecurity最大MACB：目，违背处理方式，恢复方法:Switch(config)#intfastEthernet3/48Swit

28、ch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum2Switch(config-if)#switchportport-securityviolationshutdownSwitch(config)#errdisablerecoverycausepsecure-violationSwitch(config)#errdisablerecoveryinterval30通过配置stickyport-security学得的MACinterfaceFastEthernet3/29swit

29、chportmodeaccessswitchportport-securityswitchportport-securitymaximum5switchportport-securitymac-addressstickyswitchportport-securitymac-addresssticky000b.db1d.6ccdswitchportport-securitymac-addresssticky000b.db1d.6cceswitchportport-securitymac-addresssticky000d.6078.2d95switchportport-securitymac-a

30、ddresssticky000e.848e.ea01DHCPB骗攻击的防范4.8 采用DHCPf理的常见问题采用DHCPserver可以自动为用户设置网络IP地址、掩码、网关、DNSWINS等网络参数，简化了用户网络设置，提高了管理效率。但在DHCPf理使用上也存在着一些另网管人员比较问题，常见的有：1、 DHCPserver的冒充。2、 DHCPserver的DO或击。3、有些用户随便指定地址，造成网络地址冲突。4、由于DHCP的运作机制，通常服务器和客户端没有认证机制，如果网络上存5、6、在多台DHCP艮务器将会给网络照成混乱。由于不小心配置了DHCPI艮务器弓1起的网络混乱也非常常见。黑

31、客利用类似Goobler的工具可以发出大量带有不同源MACM址的DHCP青求，直到DHCP艮务器对应网段的所有地址被占用，此类攻击既可以造成DOSW破坏，也可和DHCP艮务器欺诈结合将流量重指到意图进行流量截取的恶意节点。DHCP艮务器欺诈可能是故意的，也可能是无意启动DHCFW务器功能，恶意用户发放错误的IP地址、DNS!艮务器信息或默认网关信息，以此来实现流量的截取。一个“不可靠”的DHCF务器通常被用来与攻击者协作，对网络实施“中间人”MITM(Man-In-The-Middle)攻击。中间人攻击是一种攻击者利用正常的协议处理行为来更改两个终端之间的正常通信数据流而形成的一种攻击技术。首

32、先一个黑客会广播许多含有欺骗性MACM址的DHCP青求(动态主机配置请求)，从而耗尽合法DHCF务器上的地址空间，一旦其空间地址被耗尽，这个“不可靠”的DHCPI艮务器就开始向“用户”的DHCP青求进行应答了，这些应答信息中将包括DNS!艮务器和一个默认网关的信息，这些信息就被用来实施一个MITM中间人攻击。黑客也可以利用冒充的DHCP艮务器，为用户分配一个经过修改的DNSServer，在用户毫无察觉的情况下被引导在预先配置好的假金融网站或电子商务网站，骗取用户帐户和密码，这种攻击是非常恶劣的。4.9 DHCPSnooping技术概述DHCPSnooping技术是DHC汝全特性，通过建立和维护

33、DHCPSnooping绑定表过滤不可信任的DHCP言息，这些信息是指来自不信任区域的DHCP言息。通过截取一个虚拟局域网内的DHCP言息，交换机可以在用户和DHCF®务器之间担任就像小型安全防火墙这样的角色，“DHCP5听”功能基于动态地址分配建立了一个DHCPW定表，并将该表存贮在交换机里。在没有DHCP勺环境中，如数据中心，绑定条目可能被静态定义，每个DHCPB定条目包含客户端地址(一个静态地址或者一个从DHCP艮务器上获取的地址)、客户端MAC1址、端口、VLANID、租借时间、绑定类型(静态的或者动态的)。如下表所示：Cat6509#shipdhcpsnoopingbind

34、ingMacAddressIpAddressLease(sec)TypeVLANInterface00:0D:60:2D:45:0D3600735dhcp-snooping100GigabitEthernet1/0/7这张表不仅解决了DHCP用户的IP和端口跟踪定位问题，为用户管理提供方便，而且还供给动态ARP检测(DAI)和IPSourceGuard使用。基本防范为了防止这种类型的攻击，CatalystDHCP侦听(DHCPSnooping)功能可有效阻止此类攻击，当打开此功能，所有用户端口除非特别设置，被认为不可信任端口，不应该作出任何DHCF1向应，因此欺诈DHCPI

35、向应包被交换机阻断，合法的DHCP艮务器端口或上连端口应被设置为信任端口。CatalystDHCP侦听(DHCPSnooping)对于下边介绍的其他阻止ARP欺骗和IP/MAC地址的欺骗是必需的。首先定义交换机上的信任端口和不信任端口，对于不信任端口的DHCR艮文进行截获和嗅探，DRO辞来自这些端口的非正常DHCP：向应应报文，如下图所示：BADDHGP Responses: offer, ack, nakDHCP Snooping EnRbledDHCPServer基本配置示例如下表:IOS全局命令：ipdhcpsnoopingvlan100,200/*定义哪些VLAN启用DHCFPM探ip

36、dhcpsnooping接口命令：ipdhcpsnoopingtrustnoipdhcpsnoopingtrust(Default)ipdhcpsnoopinglimitrate10(pps)/*一定程度上防止DHCP巨绝服务攻击*/手工添加DHCPB定表：ipdhcpsnoopingbinding000b.db1d.6ccdvlaninterfacegi1/1expiry1000导出DHCPW定表到TFTP服务器：ipdhcpsnoopingdatabasetftp:/directory/file需要注意的是DHCPW定表要存在本地存贮器（Bootfalsh

37、、slot0、ftp、tftp）或导出到指定TFTP服务器上，否则交换机重启后DHCPB定表丢失，对于已经申请到IP地址的设备在租用期内，不会再次发起DHCP#求，如果此时交换机己经配置了下面所讲到的DAI和IPSourceGuard技术，这些用户将不能访问网络。4.10高级防范对于类似Gobbler的DHCP服务的口0畋击可以利用前面的PortSecurity限制源MAC地址数目加以阻止，对于有些用户随便指定地址，造成网络地址冲突也可以利用后面提到的DAI和IPSourceGuard技术。有些复杂的DHCPC击工具可以产生单一源MACM址、变化DHCPPayload信息的DHCP请求，当打开

38、DHCP贞听功能，交换机对非信任端口的DHCP青求进行源MAC地址和DHCPPayload信息的比较，如不匹配就阻断此请求。ARP欺骗攻击原理和防范4.11 ARP欺骗攻击原理ARP是用来实现MAG&址和IP地址的绑定，这样两个工作站才可以通讯，通讯发起方的工作站以MACT播方式发送ARP青求，拥有此IP地址的工作站给予ARP应答，送回自己的IP和MACM址。ARP协议同时支持一种无请求ARP功能，局域网段上的所有工作站收到主动ARP广播，会将发送者的MAC%址和其宣布的IP地址保存，覆盖以前cache的同一IP地址和对应的MACM址，主动式ARP合法的用途是用来以备份的工作站替换失败

39、的工作站。由于ARP无任何身份真实校验机制，黑客程序发送误导的主动式ARP使网络流量重指经过恶意攻击者的计算机，变成某个局域网段IP会话的中间人，达到窃取甚至篡改正常传输的功效。黑客程序发送的主动式ARP采用发送方私有MAG&址而非广播地址，通讯接收方根本不会知道自己的IP地址被取代。为了保持ARP欺骗的持续有效，黑客程序每隔30秒重发此私有主动式ARR黑客工具如ettercap、dsniff和arpspoof都能实现AR哪骗功能。像ettercap可提供一个用户界面，在对本地网段所有工作站的扫描后，ettercap显示所有工作站源地址和目的地址，选才iARP哄骗命令后，除数据包的截取

40、外，内置的智能sniffer功能还可以针对不同IP会话获取password信息。这里举个例子，假定同一个局域网内，有3台主机通过交换机相连：A主机：IP地址为,MAC地址为01:01:01:01:01:01B主机：IP地址为,MAC地址为02:02:02:02:02:02C主机：IP地址为,MAC地址为03:03:03:03:03:03B主机对A和C进行欺骗的前奏就是发送假的ARP应答包，如图所示:C1010101091Hill"Wl'JI'HI.刚6If.'ll nsii."'

41、;063 0002。”由门n”函q191.OOOOOQflOOflOOI92J6S.0.IB 工;-i a； ARP ' '：一03000400000000(1啥mB”； C 的 良二qoflwoouqflool 122 侬Q.3.M n :旧忆/EEMA发给B的双翦包甲丁源 MAC 01010IQIOI既阪。I l；MI ： IP IK.IRXU?1921品0IQ2,16m192.168.03DIOIOIOIOI呢。2设况似02。3。如显甘在收到B主机发来的ARP应答后，A主机应知道:至IJ的数据包应该发到MACM址为020202020202的主机；C主

42、机也知道：到的数据包应该发到MAC地址为020202020202的主机。这样，A和C都认为对方的MAC地址是020202020202,实际上这就是B主机所需得到的结果。当然，因为ARP缓存表项是动态更新的，其中动态生成的映射有个生命期，一般是两分钟，如果再没有新的信息更新，ARP映射项会自动去除。所以，B还有一个“任务”，那就是一直连续不断地向A和C发送这种虚假的ARP响应包，让其AR嚓存中一直保持被毒害了的映射表项。现在，如果A和C要进行通信，实际上彼此发送的数据包都会先到达B主机，这时，如果B不做进一步处理，A和C之间的通信就无法正常建立，B也就达不到“嗅探”通信内容

43、的目的，因此，B要对“错误”收到的数据包进行一番修改，然后转发到正确的目的地，而修改的内容，无非是将目的MAC和源MAC地址进行替换。如此一来，在A和C看来，彼此发送的数据包都是直接到达对方的，但在B来看，自己担当的就是“第三者”的角色。这种嗅探方法，也被称作中间人MIMT(Man-In-The-Middle)的方法。如图所示。：ILMM:02020202020j11I；IP1驼.16X0；防范方法这些攻击都可以通过动态ARP检查(DAI,DynamicARPInspection)来防止，它可以帮助保证接入交换机只传递“合法的”的ARP请求和应答信息。DHCFSnooping监听绑定表包才IP

44、地址与MACfe址的绑定信息并将其与特定的交换机端口相关联，动态ARP佥测(DAI-DynamicARPInspection)可以用来检查所有非信任端口的ARP请求和应答(主动式ARP和非主动式ARP),确保应答来自真正的ARP所有者。Catalyst交换机通过检查端口纪录的DHCP定信息和ARP应答的IP地址决定是否真正的ARP所有者，不合法的AR咆将被删除。DAI配置针对VLAN对于同一VLAN内的接口可以开启DAI也可以关闭，如果AR咆从一个可信任的接口接受到，就不需要做任何检查，如果AR咆在一个不可信任的接口上接受到，该包就只能在绑定信息被证明合法的情况下才会被转发出去。这样，DHCP

45、Snooping对于DAI来说也成为必不可少的，DAI是动态使用的，相连的客户端主机不需要进行任何设置上的改变。对于没有使用DHCP的服务器个别机器可以采用静态添加DHCP绑定表或ARPaccess-list实现。另外，通过DAI可以控制某个端口的ARP请求报文频率。一旦ARP请求频率的频率超过预先设定的阈值，立即关闭该端口。该功能可以阻止网络扫描工具的使用，同时对有大量ARPM文特征的病毒或攻击也可以起到阻断作用。配置示例IOS全局命令：ipdhcpsnoopingvlan100,200noipdhcpsnoopinginformationoptionipdhcpsnoopingiparpi

46、nspectionvlan100,200/*定义对哪些VLAN®彳TAR用艮文检测*/iparpinspectionlog-bufferentries1024iparpinspectionlog-bufferlogs1024interval10IOS接口命令：ipdhcpsnoopingtrustiparpinspectiontrust/*定义哪些接口是信任接口，通常是网络设备接口，TRUNK接口等*/iparpinspectionlimitrate15(pps)/*定义接口每秒ARP报文数量*/对于没有使用DHC股备可以采用下面办法：arpaccess-liststatic-arp

47、permitiphostmachost0009.6b88.d387iparpinspectionfilterstatic-arpvlan201配置DAI后的效果在配置DAI技术的接口上，用户端不能采用指定地址地址将接入网络。由于DAI检查DHCPsnooping绑定表中的IP和MAC寸应关系，无法实施中间人攻击，攻击工具失效。下表为实施中间人攻击是交换机的警告：3w0d:%SW_DAI-4-DHCP_SNOOPING_DENY:InvalidARPs(Req)onFa5/16,vlan1.(000b.db1d.6ccd/00/0000.0000.00

48、00/由于对ARP请求报文做了速度限制，客户端无法进行认为或者病毒进行的IP扫描、探测等行为，如果发生这些行为，交换机马上报警或直接切断扫描机器。如下表所示：3w0d:%SW_DAI-4-PACKET_RATE_EXCEEDED:16packetsreceivedin184millisecondsonFa5/30.*报警3w0d:%PM-4-ERR_DISABLEarp-inspectionerrordetectedonFa5/30,puttingFa5/30inerr-disablestate*切断端口I49-6500-1#.shintf.5/30FastEtherne

49、t5/30isdown,lineprotocolisdown(err-disabled)HardwareisFastEthernetPort,addressis0002.b90e.3f4d(bia0002.b90e.3f4d)MTU1500bytes,BW100000Kbit,DLY100usec,reliability255/255,txload1/255,rxload1/255I49-6500-1#4.12 IP/MAC欺骗的防范常见的欺骗攻击的种类和目的除了ARP欺骗外，黑客经常使用的另一手法是IP地址欺骗。常见白欺骗种类有MACB骗、IP欺骗、IP/MAC欺骗，其目的一般为伪造身份或者

50、获取针对IP/MAC的特权。此方法也被广泛用作DO或击，目前较多的攻击是：PingOfDeath、Synflood、ICMPUnreacheableStorm。如黑客冒用A地址对B地址发出大量的ping包，所有ping应答都会返回到B地址，通过这种方式来实施拒绝服务(DoS)攻击，这样可以掩盖攻击系统的真实身份。富有侵略性的TCPSYN共泛攻击来源于一个欺骗性的IP地址，它是利用TCP三次握手会话对服务器进行颠覆的又一种攻击方式。一个IP地址欺骗攻击者可以通过手动修改地址或者运行一个实施地址欺骗的程序来假冒一个合法地址。另外病毒和木马的攻击也会使用欺骗的源IP地址。互联网上的蠕虫病毒也往往利用

51、欺骗技术来掩盖它们真实的源头主机。IP/MAC欺骗的防范CatalystIP源地址保护(IPSourceGuard)功能打开后，可以根据DHCP贞听记录的IP绑定表动态产生PVACL强制来自此端口流量的源地址符合DHCP?定表的记录，这样攻击者就无法通过假定一个合法用户的IP地址来实施攻击了，这个功能将只允许对拥有合法源地址的数据保进行转发，合法源地址是与IP地址绑定表保持一致的，它也是来源于DHCPSnooping绑定表。因此，DHCPSnooping功能对于这个功能的动态实现也是必不可少的，对于那些没有用到DHCP勺网络环境来说，该绑定表也可以静态配置。IPSourceGuard不但可以配

52、置成对IP地址的过滤也可以配置成对MAC%址的过滤，这样，就只有IP地址和MACM址都于DHCPSnooping绑定表匹配的通信包才能够被允许传输。此时，必须将IP源地址保护IPSourceGuard与端口安全PortSecurity功能共同使用，并且需要DHCP艮务器支持Option82时，才可以抵御IP地址+MACM址的欺骗。与DAI不同的是，DAI仅仅检查ARP报文，IPSourceGuard对所有经过定义IPSourceGuard检查的端口的报文都要检测源地址。通过在交换机上配置IPSourceGuard,可以过滤掉非法的IP/MAC地址，包含用户故意修改的和病毒、攻击等造成的。同时解

53、决了IP地址冲突问题。检测接口上的IP+MACIOS全局配置命令：ipdhcpsnoopingvlan12,200ipdhcpsnoopinginformationoptionipdhcpsnooping接口配置命令：ipverifysourcevlandhcp-snoopingport-securityswitchportmodeaccessswitchportport-securityswitchportport-securitymaximum3检测接口上的IPIOS全局配置命令ipdhcpsnoopingvlan12,200noipdhcpsnoopinginformationoptio

54、nipdhcpsnooping接口配置命令：ipverifysourcevlandhcp-snooping不使用DHCP勺静态配置IOS全局配置命令：ipdhcpsnoopingvlan12,200ipdhcpsnoopinginformationoptionipdhcpsnoopingipsourcebinding0009.6b88.d387vlan21interfaceGi4/54.13 内部管理用户的访问授权网络的安全保障很大程度是通过网络设备的安全功能来实现，网络设备本身的安全管理显得尤为重要。不同的内部管理用户应该拥有不同的设备访问权限，如有人只能show系统

55、信息，有人可以config系统参数，具体到每一条命令，要求具有灵活性，这样在网络中有多个管理员时可以最大程度保障安全管理。另外，任何管理员、任何时候对网络设备的任何操作，都要有详细的记录，具体到管理员键盘输入的每一条命令，为设备的维护提供了极大的方便。一旦系统发生问题，立刻可以查到什么人、什么时候、修改了什么配置，这一点对大型生产网络的稳定运行非常重要。CISCO的路由器产品可以分配16种不同的特权，每种特权有规定的命令集，这使得每个特权用户只能执行某些命令，从而提高了安全性。用户的分级管理在网络管理中，一般有许多不同角色的管理者，例如网管操作员，一般网络管理员，高级网络管理员，同时，根据网络

56、的区域划分，也可分为区域级网络管理人员和中心级网络管理人员，这些网络管理人员根据其职责的不同和所管理的网络范围，功能的不同，应该具有不同的权限。因此，对网络上的用户进行分级管理，是十分必要的。缺省情况下，CiscoIOS软件有两种模式，用户模式和特权模式，每种模式又可以设置16种不同层次的优先级别，用户可以对这16种不同层次的优先级别进行设置，从而使不同的用户具有不同的权限，可以执行自己权限范围内的命令，以完成不同的网络管理目的。同时，用户也可以对某个特殊命令进行编辑和组合，使它可以加入不同的优先级别，从而达到不同的管理目的。一般情况按照网络规模，功能及区域，建议分为两类用户：区域网络管理和中心全网管理。每类又可分为以下三种不同的用户分级。区域网络管理分级对于区域网络管理，网管人员只能对指定的部分网路设备进行管理和监控，其权限划定在一定的范围之内。区域用网络管理分为以下