交換機(jī)與路由器的安全配置

陜西能源職業(yè)技術(shù)學(xué)院交換機(jī)與路由器的安全配置姓名：秋智龍班級(jí)：網(wǎng)絡(luò)091班院系：電子工程系指導(dǎo)教師：衛(wèi)星君一、課題名稱交換機(jī)與路由器的安全配置二、課題內(nèi)容互聯(lián)網(wǎng)是一把雙刃劍?；ヂ?lián)網(wǎng)在給廣大用戶帶來(lái)了方便、快捷的同時(shí)其安全性日益惡化。以病毒、木馬、僵尸網(wǎng)絡(luò)、間諜軟件等為代表的惡意代碼，拒絕服務(wù)攻擊、網(wǎng)絡(luò)仿冒、垃圾郵件等安全事件仍十分猖獗。網(wǎng)絡(luò)的安全以及對(duì)不良信息內(nèi)容的有效控制和管理已是急需解決的問(wèn)題。路由器、交換機(jī)是網(wǎng)絡(luò)中不可缺少的設(shè)備，網(wǎng)絡(luò)安全就離不開(kāi)路由器、交換機(jī)的各種安全機(jī)制。三、課題任務(wù)要求觀點(diǎn)正確，論證充分。結(jié)構(gòu)合理，邏輯嚴(yán)密。滿足一定的閱讀量。摘要隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展,信息網(wǎng)絡(luò)已經(jīng)成為社會(huì)發(fā)展的重要保證。信息網(wǎng)絡(luò)中存儲(chǔ)、傳輸和處理的信息有許多是重要的政府宏觀調(diào)控決策、商業(yè)經(jīng)濟(jì)信息、銀行資金轉(zhuǎn)賬、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要信息,這些信息難免會(huì)吸引來(lái)自世界各地的各種人為攻擊(例如信息泄露、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)刪添、計(jì)算機(jī)病毒等)。同時(shí),網(wǎng)絡(luò)實(shí)體還要經(jīng)受自然災(zāi)害。網(wǎng)絡(luò)安全已經(jīng)成為嚴(yán)重的社會(huì)問(wèn)題之一。關(guān)鍵字：路由器、交換機(jī)、網(wǎng)絡(luò)安全交換機(jī)與路由器安全配置目錄TOC\o"1-3"\h\u81351細(xì)述當(dāng)今網(wǎng)絡(luò)安全現(xiàn)狀 246061.1概述 2217211.2影響網(wǎng)絡(luò)安全的主要因素 3109972交換機(jī)的基本功能 3192082.1交換機(jī)基礎(chǔ) 4184992.1.1交換機(jī)的發(fā)展 4107912.1.2交換機(jī)的功能 4250692.1.3交換機(jī)工作原理 491442.2交換機(jī)配置中的安全性 5242452.2.1流量控制 5147392.2.2虛擬局域網(wǎng)VLAN 578522.2.3訪問(wèn)控制列表 56972.2.4設(shè)備冗余 6101733.路由器的基本功能 6195463.1路由器基礎(chǔ) 6233993.2路由器的基本功能 7290003.3路由器工作原理 7310993.4路由器配置中的安全性 826983.4.1協(xié)議交換認(rèn)證 812393.4.2路由器的物理安全防范 8200213.4.3保護(hù)路由器口令 8182313.4.4阻止查看到路由器當(dāng)前的用戶列表。 889753.4.5關(guān)閉CDP服務(wù) 9103363.4.6阻止路由器接收帶源路由標(biāo)記的包 9178053.4.7關(guān)閉路由器廣播包的轉(zhuǎn)發(fā) 9162743.4.8管理HTTP服務(wù) 914944.網(wǎng)絡(luò)鏈接配置實(shí)例 10156934.1鏈路聚合 10216014.2利用三層交換機(jī)實(shí)現(xiàn)兩層交換機(jī)之間不同vlan間通信 1166964.3路由器廣域網(wǎng)PPP封裝和PAP驗(yàn)證 1375505.目前網(wǎng)絡(luò)的其他威脅 14298025.1網(wǎng)絡(luò)通信協(xié)議安全漏洞 14286825.2操作系統(tǒng)安全漏洞 14211065.3應(yīng)用軟件安全漏洞 14266455.4防火墻缺陷 1531374致謝 1527433參考文獻(xiàn) 161.細(xì)述當(dāng)今網(wǎng)絡(luò)安全現(xiàn)狀1.1概述21世紀(jì)全世界的計(jì)算機(jī)都將通過(guò)Internet聯(lián)到一起，信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無(wú)處不在。當(dāng)人類步入21世紀(jì)這一信息社會(huì)、網(wǎng)絡(luò)社會(huì)的時(shí)候，我國(guó)將建立起一套完整的網(wǎng)絡(luò)安全體系，特別是從政策上和法律上建立起有中國(guó)自己特色的網(wǎng)絡(luò)安全體系。一個(gè)國(guó)家的信息安全體系實(shí)際上包括國(guó)家的法規(guī)和政策，以及技術(shù)與市場(chǎng)的發(fā)展平臺(tái)。我國(guó)在構(gòu)建信息防衛(wèi)系統(tǒng)時(shí)，應(yīng)著力發(fā)展自己獨(dú)特的安全產(chǎn)品，我國(guó)要想真正解決網(wǎng)絡(luò)安全問(wèn)題，最終的辦法就是通過(guò)發(fā)展民族的安全產(chǎn)業(yè)，帶動(dòng)我國(guó)網(wǎng)絡(luò)安全技術(shù)的整體提高。網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點(diǎn)：第一，網(wǎng)絡(luò)安全來(lái)源于安全策略與技術(shù)的多樣化，如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了；第二，網(wǎng)絡(luò)的安全機(jī)制與技術(shù)要不斷地變化；第三，隨著網(wǎng)絡(luò)在社會(huì)各個(gè)方面的延伸，進(jìn)入網(wǎng)絡(luò)的手段也越來(lái)越多，因此，網(wǎng)絡(luò)安全技術(shù)是一個(gè)十分復(fù)雜的系統(tǒng)工程。為此建立有中國(guó)特色的網(wǎng)絡(luò)安全體系，需要國(guó)家政策和法規(guī)的支持及集團(tuán)聯(lián)合研究開(kāi)發(fā)。安全與反安全就像矛盾的兩個(gè)方面，總是不斷地向上攀升，所以安全產(chǎn)業(yè)將來(lái)也是一個(gè)隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。信息安全是國(guó)家發(fā)展所面臨的一個(gè)重要問(wèn)題。對(duì)于這個(gè)問(wèn)題，我們還沒(méi)有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來(lái)發(fā)展它。政府不僅應(yīng)該看見(jiàn)信息安全的發(fā)展是我國(guó)高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到，發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個(gè)重要組成部分，甚至應(yīng)該看到它對(duì)我國(guó)未來(lái)電子化、信息化的發(fā)展將起到非常重要的作用。1.2影響網(wǎng)絡(luò)安全的主要因素網(wǎng)絡(luò)系統(tǒng)在穩(wěn)定性和可擴(kuò)充性方面存在問(wèn)題。由于設(shè)計(jì)的系統(tǒng)不規(guī)范、不合理以及缺乏安全性考慮，因而使其受到影響。網(wǎng)絡(luò)硬件的配置不協(xié)調(diào)。一是文件服務(wù)器。它是網(wǎng)絡(luò)的中樞，其運(yùn)行穩(wěn)定性、功能完善性直接影響網(wǎng)絡(luò)系統(tǒng)的質(zhì)量。網(wǎng)絡(luò)應(yīng)用的需求沒(méi)有引起足夠的重視，設(shè)計(jì)和選型考慮欠周密，從而使網(wǎng)絡(luò)功能發(fā)揮受阻，影響網(wǎng)絡(luò)的可靠性、擴(kuò)充性和升級(jí)換代。二是網(wǎng)卡用工作站選配不當(dāng)導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定。缺乏安全策略。許多站點(diǎn)在防火墻配置上無(wú)意識(shí)地?cái)U(kuò)大了訪問(wèn)權(quán)限，忽視了這些權(quán)限可能會(huì)被其他人員濫用。訪問(wèn)控制配置的復(fù)雜性，容易導(dǎo)致配置錯(cuò)誤，從而給他人以可乘之機(jī)。管理制度不健全，網(wǎng)絡(luò)管理、維護(hù)任其自然。2交換機(jī)基本功能交換機(jī)在局域網(wǎng)中占有重要的地位，通常是整個(gè)網(wǎng)絡(luò)的核心所在。在這個(gè)黑客入侵風(fēng)起云涌、病毒肆虐的網(wǎng)絡(luò)時(shí)代，作為核心的交換機(jī)也理所當(dāng)然要承擔(dān)起網(wǎng)絡(luò)安全的一部分責(zé)任。因此，交換機(jī)要有專業(yè)安全產(chǎn)品的性能，安全已經(jīng)成為網(wǎng)絡(luò)建設(shè)必須考慮的重中之中。2.1交換機(jī)基礎(chǔ)2.1.1交換機(jī)的發(fā)展交換機(jī)的英文名稱之為“Switch”，它是集線器的升級(jí)換代產(chǎn)品，從外觀上來(lái)看的話，它與集線器基本上沒(méi)有多大區(qū)別，都是帶有多個(gè)端口的長(zhǎng)方形盒狀體。交換機(jī)是按照通信兩端傳輸信息的需要，用人工或設(shè)備自動(dòng)完成的方法把要傳輸?shù)男畔⑺偷椒弦蟮南鄳?yīng)路由上的技術(shù)統(tǒng)稱。廣義的交換機(jī)就是一種在通信系統(tǒng)中完成信息交換功能的設(shè)備。2.1.2交換機(jī)的功能交換機(jī)的主要功能包括物理編址、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、錯(cuò)誤校驗(yàn)、幀序列以及流量控制。目前一些高檔交換機(jī)還具備了一些新的功能，如對(duì)VLAN（虛擬局域網(wǎng)）的支持、對(duì)鏈路匯聚的支持，甚至有的還具有路由和防火墻的功能。交換機(jī)除了能夠連接同種類型的網(wǎng)絡(luò)之外，還可以在不同類型的網(wǎng)絡(luò)（如以太網(wǎng)和快速以太網(wǎng)）之間起到互連作用。如今許多交換機(jī)都能夠提供支持快速以太網(wǎng)或FDDI等的高速連接端口，用于連接網(wǎng)絡(luò)中的其它交換機(jī)或者為帶寬占用量大的關(guān)鍵服務(wù)器提供附加帶寬。一般來(lái)說(shuō)，交換機(jī)的每個(gè)端口都用來(lái)連接一個(gè)獨(dú)立的網(wǎng)段，但是有時(shí)為了提供更快的接入速度，我們可以把一些重要的網(wǎng)絡(luò)計(jì)算機(jī)直接連接到交換機(jī)的端口上。這樣，網(wǎng)絡(luò)的關(guān)鍵服務(wù)器和重要用戶就擁有更快的接入速度，支持更大的信息流量?？傊粨Q機(jī)是一種基于MAC地址識(shí)別，能完成封裝轉(zhuǎn)發(fā)數(shù)據(jù)包功能的網(wǎng)絡(luò)設(shè)備。交換機(jī)對(duì)于因第一次發(fā)送到目的地址不成功的數(shù)據(jù)包會(huì)再次對(duì)所有節(jié)點(diǎn)同時(shí)發(fā)送，企圖找到這個(gè)目的MAC地址，找到后就會(huì)把這個(gè)地址重新加入到自己的MAC地址列表中，這樣下次再發(fā)送到這個(gè)節(jié)點(diǎn)時(shí)就不會(huì)發(fā)錯(cuò)。交換機(jī)的這種功能就稱之為“MAC地址學(xué)習(xí)”功能。2.1.3交換機(jī)工作原理交換機(jī)的數(shù)據(jù)傳遞工作原理可以簡(jiǎn)單地這樣來(lái)說(shuō)明：當(dāng)交換機(jī)從某一節(jié)點(diǎn)收到一個(gè)以太網(wǎng)幀后，將立即在其內(nèi)存中的地址表（端口號(hào)－MAC地址）進(jìn)行查找，以確認(rèn)該目的MAC的網(wǎng)卡連接在哪一個(gè)節(jié)點(diǎn)上，然后將該幀轉(zhuǎn)發(fā)至該節(jié)點(diǎn)。如果在地址表中沒(méi)有找到該MAC地址，也就是說(shuō)，該目的MAC地址是首次出現(xiàn)，交換機(jī)就將數(shù)據(jù)包廣播到所有節(jié)點(diǎn)。擁有該MAC地址的網(wǎng)卡在接收到該廣播幀后,將立即做出應(yīng)答，從而使交換機(jī)將其節(jié)點(diǎn)的“MAC地址”添加到MAC地址表中。換言之，當(dāng)交換機(jī)從某一節(jié)點(diǎn)收到一個(gè)幀時(shí)（廣播幀除外），將對(duì)地址表執(zhí)行兩個(gè)動(dòng)作，一是檢查該幀的源MAC地址是否已在地址表中，如果沒(méi)有，則將該MAC地址加到地址表中，這樣以后就知道該MAC地址在哪一個(gè)節(jié)點(diǎn)；二是檢查該幀的目的MAC地址是否已在地址表中，如果該MAC地址已在地址表中，則將該幀發(fā)送到對(duì)應(yīng)的節(jié)點(diǎn)即可，而不必像集線器那樣將該幀發(fā)送到所有節(jié)點(diǎn)，只須將該幀發(fā)送到對(duì)應(yīng)的節(jié)點(diǎn)，從而使那些既非源節(jié)點(diǎn)又非目的節(jié)點(diǎn)的節(jié)點(diǎn)間仍然可以進(jìn)行相互間的通信，從而提供了比集線器更高的傳輸速率。如果該MAC地址不在地址表中，則將該幀發(fā)送到所有其它節(jié)點(diǎn)（源節(jié)點(diǎn)除外），相當(dāng)于該幀是一個(gè)廣播幀。交換機(jī)是根據(jù)以太網(wǎng)幀中的源MAC地址來(lái)更新地址表。當(dāng)一臺(tái)計(jì)算機(jī)打開(kāi)電源后，安裝在該系統(tǒng)中的網(wǎng)卡會(huì)定期發(fā)出空閑包或信號(hào)，交換機(jī)即可據(jù)此得知它的存在以及其MAC地址，這就是所謂自動(dòng)地址學(xué)習(xí)。由于交換機(jī)能夠自動(dòng)根據(jù)收到的以太網(wǎng)幀中的源MAC地址更新地址表的內(nèi)容，所以交換機(jī)使用的時(shí)間越長(zhǎng)，學(xué)到的MAC地址就越多，未知的MAC地址就越少，因而廣播的包就越少，速度就越快。由于交換機(jī)中的內(nèi)存畢竟有限，因此，能夠記憶的MAC地址數(shù)量也是有限的。既然不能無(wú)休止地記憶所有的MAC地址，那么就必須賦予其相應(yīng)的忘卻機(jī)制，從而吐故納新。事實(shí)上，工程師為交換機(jī)設(shè)定了一個(gè)自動(dòng)老化時(shí)間（Auto－aging），若某MAC地址在一定時(shí)間內(nèi)（默認(rèn)為300秒）不再出現(xiàn)，那么，交換機(jī)將自動(dòng)把該MAC地址從地址表中清除。當(dāng)下一次該MAC地址重新出現(xiàn)時(shí)，將會(huì)被當(dāng)作新地址處理。2.2交換機(jī)配置中的安全性安全交換機(jī)—網(wǎng)絡(luò)界的新寵兒，網(wǎng)絡(luò)入口的守關(guān)者，志在向一切不安全的因素舉起大刀。網(wǎng)絡(luò)時(shí)代的到來(lái)使得安全問(wèn)題成為一個(gè)迫切需要解決的問(wèn)題;病毒、黑客以及各種各樣漏洞的存在，使得安全任務(wù)在網(wǎng)絡(luò)時(shí)代變得無(wú)比艱巨。交換機(jī)在企業(yè)網(wǎng)中占有重要的地位，通常是整個(gè)網(wǎng)絡(luò)的核心所在。在這個(gè)黑客入侵風(fēng)起云涌、病毒肆虐的網(wǎng)絡(luò)時(shí)代，作為核心的交換機(jī)也理所當(dāng)然要承擔(dān)起網(wǎng)絡(luò)安全的一部分責(zé)任。因此，交換機(jī)要有專業(yè)安全產(chǎn)品的性能，安全已經(jīng)成為網(wǎng)絡(luò)建設(shè)必須考慮的重中之中。安全交換機(jī)由此應(yīng)運(yùn)而生，在交換機(jī)中集成安全認(rèn)證、ACL(AccessControlList，訪問(wèn)控制列表)、防火墻、入侵檢測(cè)甚至防毒的功能，網(wǎng)絡(luò)的安全真的需要“武裝到牙齒”。2.2.1流量控制安全交換機(jī)的流量控制技術(shù)把流經(jīng)端口的異常流量限制在一定的范圍內(nèi)，避免交換機(jī)的帶寬被無(wú)限制濫用。安全交換機(jī)的流量控制功能能夠?qū)崿F(xiàn)對(duì)異常流量的控制，避免網(wǎng)絡(luò)堵塞。2.2.2虛擬局域網(wǎng)VLAN虛擬局域網(wǎng)是安全交換機(jī)必不可少的功能。VLAN可以在二層或者三層交換機(jī)上實(shí)現(xiàn)有限的廣播域，它可以把網(wǎng)絡(luò)分成一個(gè)一個(gè)獨(dú)立的區(qū)域，可以控制這些區(qū)域是否可以通訊。VLAN可能跨越一個(gè)或多個(gè)交換機(jī)，與它們的物理位置無(wú)關(guān)，設(shè)備之間好像在同一個(gè)網(wǎng)絡(luò)間通信一樣。VLAN可在各種形式上形成，如端口、MAC地址、IP地址等。VLAN限制了各個(gè)不同VLAN之間的非授權(quán)訪問(wèn)，而且可以設(shè)置IP/MAC地址綁定功能限制用戶的非授權(quán)網(wǎng)絡(luò)訪問(wèn)。2.2.3訪問(wèn)控制列表安全交換機(jī)采用了訪問(wèn)控制列表ACL來(lái)實(shí)現(xiàn)包過(guò)濾防火墻的安全功能，增強(qiáng)安全防范能力。訪問(wèn)控制列表以前只在核心路由器才獲使用。在安全交換機(jī)中，訪問(wèn)控制過(guò)濾措施可以基于源/目標(biāo)交換槽、端口、源/目標(biāo)VLAN、源/目標(biāo)IP、TCP/UDP端口、ICMP類型或MAC地址來(lái)實(shí)現(xiàn)。ACL不但可以讓網(wǎng)絡(luò)管理者用來(lái)制定網(wǎng)絡(luò)策略，針對(duì)個(gè)別用戶或特定的數(shù)據(jù)流進(jìn)行允許或者拒絕的控制，也可以用來(lái)加強(qiáng)網(wǎng)絡(luò)的安全屏蔽，讓黑客找不到網(wǎng)絡(luò)中的特定主機(jī)進(jìn)行探測(cè)，從而無(wú)法發(fā)動(dòng)攻擊。3.路由器基本功能路由器是連接因特網(wǎng)中各局域網(wǎng)、廣域網(wǎng)的設(shè)備，它會(huì)根據(jù)信道的情況自動(dòng)選擇和設(shè)定路由，以最佳路徑，按前后順序發(fā)送信號(hào)的設(shè)備。路由器英文名Router，路由器是互聯(lián)網(wǎng)絡(luò)的樞紐。目前路由器已經(jīng)廣泛應(yīng)用于各行各業(yè)，各種不同檔次的產(chǎn)品已經(jīng)成為實(shí)現(xiàn)各種骨干網(wǎng)內(nèi)部連接、骨干網(wǎng)間互聯(lián)和骨干網(wǎng)與互聯(lián)網(wǎng)互聯(lián)互通業(yè)務(wù)的主力軍。3.1路由器基礎(chǔ)路由器是互聯(lián)網(wǎng)絡(luò)中必不可少的網(wǎng)絡(luò)設(shè)備之一，路由器是一種連接多個(gè)網(wǎng)絡(luò)或網(wǎng)段的網(wǎng)絡(luò)設(shè)備，它能將不同網(wǎng)絡(luò)或網(wǎng)段之間的數(shù)據(jù)信息進(jìn)行“翻譯”，以使它們能夠相互“讀”懂對(duì)方的數(shù)據(jù)，從而構(gòu)成一個(gè)更大的網(wǎng)絡(luò)。路由器有兩大典型功能，即數(shù)據(jù)通道功能和控制功能。數(shù)據(jù)通道功能包括轉(zhuǎn)發(fā)決定、背板轉(zhuǎn)發(fā)以及輸出鏈路調(diào)度等，一般由特定的硬件來(lái)完成；控制功能一般用軟件來(lái)實(shí)現(xiàn)，包括與相鄰路由器之間的信息交換、系統(tǒng)配置、系統(tǒng)管理等。要解釋路由器的概念，首先要介紹什么是路由。所謂“路由”，是指把數(shù)據(jù)從一個(gè)地方傳送到另一個(gè)地方的行為和動(dòng)作，而路由器，正是執(zhí)行這種行為動(dòng)作的機(jī)器，它的英文名稱為Router。3.2路由器的基本功能路由器是一種多端口設(shè)備，它可以連接不同傳輸速率并運(yùn)行于各種環(huán)境的局域網(wǎng)和廣域網(wǎng)，也可以采用不同的協(xié)議。路由器屬于OSI模型的第三層--網(wǎng)絡(luò)層。指導(dǎo)從一個(gè)網(wǎng)段到另一個(gè)網(wǎng)段的數(shù)據(jù)傳輸，也能指導(dǎo)從一種網(wǎng)絡(luò)向另一種網(wǎng)絡(luò)的數(shù)據(jù)傳輸。第一，網(wǎng)絡(luò)互連：路由器支持各種局域網(wǎng)和廣域網(wǎng)接口，主要用于互連局域網(wǎng)和廣域網(wǎng)，實(shí)現(xiàn)不同網(wǎng)絡(luò)互相通信；第二，數(shù)據(jù)處理：提供包括分組過(guò)濾、分組轉(zhuǎn)發(fā)、優(yōu)先級(jí)、復(fù)用、加密、壓縮和防火墻等功能；第三，網(wǎng)絡(luò)管理：路由器提供包括路由器配置管理、性能管理、容錯(cuò)管理和流量控制等功能。所謂“路由”，是指把數(shù)據(jù)從一個(gè)地方傳送到另一個(gè)地方的行為和動(dòng)作，而路由器，正是執(zhí)行這種行為動(dòng)作的機(jī)器，它的英文名稱為Router,是一種連接多個(gè)網(wǎng)絡(luò)或網(wǎng)段的網(wǎng)絡(luò)設(shè)備，它能將不同網(wǎng)絡(luò)或網(wǎng)段之間的數(shù)據(jù)信息進(jìn)行“翻譯”，以使它們能夠相互“讀懂”對(duì)方的數(shù)據(jù)，從而構(gòu)成一個(gè)更大的網(wǎng)絡(luò)。3.3路由器工作原理為了簡(jiǎn)單地說(shuō)明路由器的工作原理，現(xiàn)在我們假設(shè)有這樣一個(gè)簡(jiǎn)單的網(wǎng)絡(luò)。如圖所示，A、B、C、D四個(gè)網(wǎng)絡(luò)通過(guò)路由器連接在一起?，F(xiàn)在我們來(lái)看一下在如圖所示網(wǎng)絡(luò)環(huán)境下路由器又是如何發(fā)揮其路由、數(shù)據(jù)轉(zhuǎn)發(fā)作用的?，F(xiàn)假設(shè)網(wǎng)絡(luò)A中一個(gè)用戶A1要向C網(wǎng)絡(luò)中的C3用戶發(fā)送一個(gè)請(qǐng)求信號(hào)時(shí)，信號(hào)傳遞的步驟如下：第1步：用戶A1將目的用戶C3的地址C3，連同數(shù)據(jù)信息以數(shù)據(jù)幀的形式通過(guò)集線器或交換機(jī)以廣播的形式發(fā)送給同一網(wǎng)絡(luò)中的所有節(jié)點(diǎn)，當(dāng)路由器A5端口偵聽(tīng)到這個(gè)地址后，分析得知所發(fā)目的節(jié)點(diǎn)不是本網(wǎng)段的，需要路由轉(zhuǎn)發(fā)，就把數(shù)據(jù)幀接收下來(lái)。第2步：路由器A5端口接收到用戶A1的數(shù)據(jù)幀后，先從報(bào)頭中取出目的用戶C3的IP地址，并根據(jù)路由表計(jì)算出發(fā)往用戶C3的最佳路徑。因?yàn)閺姆治龅弥紺3的網(wǎng)絡(luò)ID號(hào)與路由器的C5網(wǎng)絡(luò)ID號(hào)相同，所以由路由器的A5端口直接發(fā)向路由器的C5端口應(yīng)是信號(hào)傳遞的最佳途經(jīng)。第3步：路由器的C5端口再次取出目的用戶C3的IP地址，找出C3的IP地址中的主機(jī)ID號(hào)，如果在網(wǎng)絡(luò)中有交換機(jī)則可先發(fā)給交換機(jī)，由交換機(jī)根據(jù)MAC地址表找出具體的網(wǎng)絡(luò)節(jié)點(diǎn)位置；如果沒(méi)有交換機(jī)設(shè)備則根據(jù)其IP地址中的主機(jī)ID直接把數(shù)據(jù)幀發(fā)送給用戶C3，這樣一個(gè)完整的數(shù)據(jù)通信轉(zhuǎn)發(fā)過(guò)程也完成了。從上面可以看出，不管網(wǎng)絡(luò)有多么復(fù)雜，路由器其實(shí)所作的工作就是這么幾步，所以整個(gè)路由器的工作原理基本都差不多。當(dāng)然在實(shí)際的網(wǎng)絡(luò)中還遠(yuǎn)比上圖所示的要復(fù)雜許多，實(shí)際的步驟也不會(huì)像上述那么簡(jiǎn)單，但總的過(guò)程是這樣的。目前，生產(chǎn)路由器的廠商，國(guó)外主要有CISCO（思科）公司、北電網(wǎng)絡(luò)等，國(guó)內(nèi)廠商包括華為等。3.4路由器配置中的安全性路由器是網(wǎng)絡(luò)系統(tǒng)的主要設(shè)備，也是網(wǎng)絡(luò)安全的前沿關(guān)口。如果路由器連自身的安全都沒(méi)有保障，整個(gè)網(wǎng)絡(luò)也就毫無(wú)安全可言。因此在網(wǎng)絡(luò)安全管理上，必須對(duì)路由器進(jìn)行合理規(guī)劃、配置，采取必要的安全保護(hù)措施，避免因路由器自身的安全問(wèn)題而給整個(gè)網(wǎng)絡(luò)系統(tǒng)帶來(lái)漏洞和風(fēng)險(xiǎn)。下面是一些加強(qiáng)路由器安全的具體措施，用以阻止對(duì)路由器本身的攻擊，并防范網(wǎng)絡(luò)信息被竊取。3.4.1協(xié)議交換認(rèn)證路由器的一個(gè)重要功能是路由的管理和維護(hù)，目前具有一定規(guī)模的網(wǎng)絡(luò)都采用動(dòng)態(tài)的路由協(xié)議，常用的有：RIP、EIGRP、OSPF、IS-IS、BGP等。當(dāng)一臺(tái)設(shè)置了相同路由協(xié)議和相同區(qū)域標(biāo)示符的路由器加入網(wǎng)絡(luò)后，會(huì)學(xué)習(xí)網(wǎng)絡(luò)上的路由信息表。但此種方法可能導(dǎo)致網(wǎng)絡(luò)拓?fù)湫畔⑿孤?，也可能由于向網(wǎng)絡(luò)發(fā)送自己的路由信息表，擾亂網(wǎng)絡(luò)上正常工作的路由信息表，嚴(yán)重時(shí)可以使整個(gè)網(wǎng)絡(luò)癱瘓。這個(gè)問(wèn)題的解決辦法是對(duì)網(wǎng)絡(luò)內(nèi)的路由器安全之間相互交流的路由信息進(jìn)行認(rèn)證。當(dāng)路由器配置了認(rèn)證方式，就會(huì)鑒別路由信息的收發(fā)方。有兩種鑒別方式，其中“純文本方式”安全性低，建議使用“MD5方式”。3.4.2路由器的物理安全防范路由器控制端口是具有特殊權(quán)限的端口，如果攻擊者物理接觸路由器后，斷電重啟，實(shí)施“密碼修復(fù)流程”，進(jìn)而登錄路由器，就可以完全控制路由器。3.4.3保護(hù)路由器口令在備份的路由器配置文件中，密碼即使是用加密的形式存放，密碼明文仍存在被破解的可能。一旦密碼泄漏，網(wǎng)絡(luò)也就毫無(wú)安全可言。3.4.4阻止查看到路由器當(dāng)前的用戶列表。noserviceudp-small-servers關(guān)閉命令為：noservicefinger。3.4.5關(guān)閉CDP服務(wù)在OSI二層協(xié)議即鏈路層的基礎(chǔ)上可發(fā)現(xiàn)對(duì)端路由器的部分配置信息：設(shè)備平臺(tái)、操作系統(tǒng)版本、端口、IP地址等重要信息。可以用命令：nocdprunning或nocdpenable關(guān)閉這個(gè)服務(wù)。3.4.6阻止路由器接收帶源路由標(biāo)記的包阻止路由器接收帶源路由標(biāo)記的包“IPsource-route”是一個(gè)全局配置命令，允許路由器處理帶源路由選項(xiàng)標(biāo)記的數(shù)據(jù)流。啟用源路由選項(xiàng)后，源路由信息指定的路由使數(shù)據(jù)流能夠越過(guò)默認(rèn)的路由，這種包就可能繞過(guò)防火墻。關(guān)閉命令如下：noipsource-route。3.4.7關(guān)閉路由器廣播包的轉(zhuǎn)發(fā)SumrfDOS攻擊以有廣播轉(zhuǎn)發(fā)配置的路由器安全作為反射板，占用網(wǎng)絡(luò)資源，甚至造成網(wǎng)絡(luò)的癱瘓。應(yīng)在每個(gè)端口應(yīng)用“noipdirected-broadcast”關(guān)閉路由器廣播包。3.4.8管理HTTP服務(wù)HTTP服務(wù)提供Web管理接口?！皀oiphttpserver”可以停止HTTP服務(wù)。如果必須使用HTTP，一定要使用訪問(wèn)列表“iphttpaccess-class”命令，嚴(yán)格過(guò)濾允許的IP地址，同時(shí)用“iphttpauthentication”命令設(shè)定授權(quán)限制。4.網(wǎng)絡(luò)鏈接配置實(shí)例4.1鏈路聚合『第一步』正確連接網(wǎng)線，交換機(jī)全部恢復(fù)出廠設(shè)置，做初始配置，避免廣播風(fēng)暴出現(xiàn)。交換機(jī)A：Switch#conifigSwitch(conifig)#hostnameSwitchAswitchA(config)#interfacevlan1switchA(config-if-vlan1)#ipaddress1switchA(config-if-vlan1)#exitswitchA(cinfig)#spanningtreeswitchA(conifig)#交換機(jī)B：Switch#conifigSwitch(conifig)#hostnameSwitchBswitchA(config)#interfacevlan1switchA(config-if-vlan1)#ipaddress2switchA(config-if-vlan1)#exitswitchA(cinfig)#spanningtreeswitchA(conifig)#『第二步』創(chuàng)建Portgroup交換機(jī)A：switchA(config)#port-group1switchA(config)#驗(yàn)證配置：switchA#showport-groupdetail交換機(jī)B：switchB(config)#port-group2switchB(config)#『第三步』手工生成鏈路聚合組交換機(jī)A：SwitchA#configswitchA(config)#interfaceeth0/0/1-2switchA(config-port-range)#port-group1modeonswitchA(config-port-range)#exitswitchA(cinfig)#interfaceport-channel1switchA(config-if-port-channel1)#驗(yàn)證測(cè)試：switchA#showvlan交換機(jī)B：SwitchB#configswitchBe(config)#interfaceeth0/0/3-4switchB(config-port-range)#port-group2modeonswitchB(config-port-range)#exitswitchB(cinfig)#interfaceport-channel2switchB(config-if-port-channel2)#驗(yàn)證配置：switchB#showport-groupbrief4.2利用三層交換機(jī)實(shí)現(xiàn)兩層交換機(jī)之間不同vlan間通信步驟1：交換機(jī)恢復(fù)出廠設(shè)置。Switch#setdefaultSwitch#writeSwitch#reload步驟2：給交換機(jī)設(shè)置標(biāo)示符和管理IP。交換機(jī)A：Switch(config)#hostnameswitchASwitchA(config)#interfacevlan1SwitchA(config-If-vlan1)ipaddress1SwitchA(config-If-vlan1)noshutSwitchA(config-If-vlan1)exitSwitchA(config)#交換機(jī)B：Switch(config)#hostnameswitchBSwitchB(config)#interfacevlan1SwitchB(config-If-vlan1)#ipaddress2SwitchB(config-If-vlan1)#noshutSwitchB(config-If-vlan1)#exitSwitchB(config)#交換機(jī)C：Switch(config)#hostnameswitchCSwitchC(config)#interfacevlan1SwitchC(config-If-vlan1)#ipaddress3SwitchC(config-If-vlan1)#noshutSwitchC(config-If-vlan1)#exitSwitchC(config)#步驟3：在交換機(jī)中創(chuàng)建vlan100和vlan200,并添加端口。交換機(jī)A：SwitchA(config)#vlan100SwitchA(config-vlan100)#SwtichA(config-vlan100)#switchportinterfaceeth0/0/1-8SwitchA(config-vlan100)#exitSwitchA(config)#vlan200SwitchA(config-vlan200)#SwitchA(config-vlan200)#switchportinterfaceeth0/0/9-16SwitchA(config-vlan200)#exitSwitchA(config)#驗(yàn)證配置:SwitchA#showvlan交換機(jī)B同配置與交換機(jī)A一樣。步驟4：設(shè)置交換機(jī)trunk端口。交換機(jī)A：SwitchA(config)#interfaceeth0/0/24SwitchA(config-Ethernet0/0/24)#switchportmodetrunkSwitchA(config-Ethernet0/0/24)#switchporttrunkallowedvlanallSwitchA(config-Ethernet0/0/24)#exit驗(yàn)證配置：SwitchA#showvlan交換機(jī)B配置同交換機(jī)A一樣。交換機(jī)C：SwitchC(config)#vlan100SwitchC(config-vlan100)exitSwitchC(config)#vlan200SwitchC(config-vlan200)#exitSwitchC(config)#interfaceeth0/0/1-2SwitchC(config-port-range)#switchportmodetrunkSwitchC(config-port-range)#switchporttrunkallowedvlanallSwitchC(config-port-range)#exit驗(yàn)證配置：SwitchC(config)#showvlan步驟5：交換機(jī)C添加vlan地址。SwitchC(config)#interfacevlan100SwitchC(config-If-vlan100)#ipaddressSwitchC(config-If_vlan100)#noshutSwitchC(config-If-vlan100)#exitSwitchC(config)#interfacevlan200SwitchC(config-If-vlan200)#ipaddressSwitchC(config-If-vlan200)#noshutSwitchC(config-If-vlan200)#exit驗(yàn)證配置：Switch#showiproute4.3路由器廣域網(wǎng)PPP封裝和PAP驗(yàn)證步驟1：Router-A的配置Router>enableRouter#configRouter_config#hostnameRouter-ARouter-A_config#usernameRouterBpassworddigitallchinaB!設(shè)置帳號(hào)密碼Router-A_config#interfaces1/1Router-A_config_s1/1#ipaddressRouter-A_config_s1/1#encapsultaionPPPRouter-A_config_s1/1#PPPauthenticationpapRouter-A_config_s1/1#PPPpapsent-usernameRouterAdigitallchinaARouter-A_config_s1/1#physical layerspeed64000Router-A_config_s1/1#noshutdownRouter-A_config_s1/1#^Z步驟2：查看配置：Router-A#showinterfaces1/1步驟3：Router-B的配置Router>enableRouter#configRouter_config#hostnameRouter-BRouter-B_config#usernameRouterApassworddigitallchinaB!設(shè)置帳號(hào)密碼Router-B_config#interfaces1/0Router-B_config_s1/0#ipaddressRouter-B_config_s1/0#encapsultaionPPPRouter-B_config_s1/0#PPPauthenticationpapRouter-B_config_s1/0#PPPpapsent-usernameRouterBdigitallchinaBRouter-B_config_s1/0#noshutdownRouter-B_config_s1/0#^Z步驟4：查看配置：Router-B#showinterfaces1/0步驟5：測(cè)試連通性Router-A#ping5.目前網(wǎng)絡(luò)的其他威脅5.1網(wǎng)絡(luò)通信協(xié)議安全漏洞隨著TCP(UDP)/IP協(xié)議被互聯(lián)網(wǎng)普遍采用，網(wǎng)絡(luò)通信協(xié)議漏洞問(wèn)題變得越來(lái)越突出。TCP/IP協(xié)議簇最初設(shè)計(jì)的應(yīng)用環(huán)境是美國(guó)國(guó)防系統(tǒng)的內(nèi)部網(wǎng)絡(luò)，這一網(wǎng)絡(luò)