交換機與路由器的安全配置

陜西能源職業(yè)技術(shù)學(xué)院交換機與路由器的安全配置姓名：秋智龍班級：網(wǎng)絡(luò)091班院系：電子工程系指導(dǎo)教師：衛(wèi)星君一、課題名稱交換機與路由器的安全配置二、課題內(nèi)容互聯(lián)網(wǎng)是一把雙刃劍?；ヂ?lián)網(wǎng)在給廣大用戶帶來了方便、快捷的同時其安全性日益惡化。以病毒、木馬、僵尸網(wǎng)絡(luò)、間諜軟件等為代表的惡意代碼，拒絕服務(wù)攻擊、網(wǎng)絡(luò)仿冒、垃圾郵件等安全事件仍十分猖獗。網(wǎng)絡(luò)的安全以及對不良信息內(nèi)容的有效控制和管理已是急需解決的問題。路由器、交換機是網(wǎng)絡(luò)中不可缺少的設(shè)備，網(wǎng)絡(luò)安全就離不開路由器、交換機的各種安全機制。三、課題任務(wù)要求觀點正確，論證充分。結(jié)構(gòu)合理，邏輯嚴密。滿足一定的閱讀量。摘要隨著計算機技術(shù)的飛速發(fā)展,信息網(wǎng)絡(luò)已經(jīng)成為社會發(fā)展的重要保證。信息網(wǎng)絡(luò)中存儲、傳輸和處理的信息有許多是重要的政府宏觀調(diào)控決策、商業(yè)經(jīng)濟信息、銀行資金轉(zhuǎn)賬、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要信息,這些信息難免會吸引來自世界各地的各種人為攻擊(例如信息泄露、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)刪添、計算機病毒等)。同時,網(wǎng)絡(luò)實體還要經(jīng)受自然災(zāi)害。網(wǎng)絡(luò)安全已經(jīng)成為嚴重的社會問題之一。關(guān)鍵字：路由器、交換機、網(wǎng)絡(luò)安全交換機與路由器安全配置目錄TOC\o"1-3"\h\u81351細述當今網(wǎng)絡(luò)安全現(xiàn)狀 246061.1概述 2217211.2影響網(wǎng)絡(luò)安全的主要因素 3109972交換機的基本功能 3192082.1交換機基礎(chǔ) 4184992.1.1交換機的發(fā)展 4107912.1.2交換機的功能 4250692.1.3交換機工作原理 491442.2交換機配置中的安全性 5242452.2.1流量控制 5147392.2.2虛擬局域網(wǎng)VLAN 578522.2.3訪問控制列表 56972.2.4設(shè)備冗余 6101733.路由器的基本功能 6195463.1路由器基礎(chǔ) 6233993.2路由器的基本功能 7290003.3路由器工作原理 7310993.4路由器配置中的安全性 826983.4.1協(xié)議交換認證 812393.4.2路由器的物理安全防范 8200213.4.3保護路由器口令 8182313.4.4阻止查看到路由器當前的用戶列表。 889753.4.5關(guān)閉CDP服務(wù) 9103363.4.6阻止路由器接收帶源路由標記的包 9178053.4.7關(guān)閉路由器廣播包的轉(zhuǎn)發(fā) 9162743.4.8管理HTTP服務(wù) 914944.網(wǎng)絡(luò)鏈接配置實例 10156934.1鏈路聚合 10216014.2利用三層交換機實現(xiàn)兩層交換機之間不同vlan間通信 1166964.3路由器廣域網(wǎng)PPP封裝和PAP驗證 1375505.目前網(wǎng)絡(luò)的其他威脅 14298025.1網(wǎng)絡(luò)通信協(xié)議安全漏洞 14286825.2操作系統(tǒng)安全漏洞 14211065.3應(yīng)用軟件安全漏洞 14266455.4防火墻缺陷 1531374致謝 1527433參考文獻 161.細述當今網(wǎng)絡(luò)安全現(xiàn)狀1.1概述21世紀全世界的計算機都將通過Internet聯(lián)到一起，信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無處不在。當人類步入21世紀這一信息社會、網(wǎng)絡(luò)社會的時候，我國將建立起一套完整的網(wǎng)絡(luò)安全體系，特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡(luò)安全體系。一個國家的信息安全體系實際上包括國家的法規(guī)和政策，以及技術(shù)與市場的發(fā)展平臺。我國在構(gòu)建信息防衛(wèi)系統(tǒng)時，應(yīng)著力發(fā)展自己獨特的安全產(chǎn)品，我國要想真正解決網(wǎng)絡(luò)安全問題，最終的辦法就是通過發(fā)展民族的安全產(chǎn)業(yè)，帶動我國網(wǎng)絡(luò)安全技術(shù)的整體提高。網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點：第一，網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多樣化，如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了；第二，網(wǎng)絡(luò)的安全機制與技術(shù)要不斷地變化；第三，隨著網(wǎng)絡(luò)在社會各個方面的延伸，進入網(wǎng)絡(luò)的手段也越來越多，因此，網(wǎng)絡(luò)安全技術(shù)是一個十分復(fù)雜的系統(tǒng)工程。為此建立有中國特色的網(wǎng)絡(luò)安全體系，需要國家政策和法規(guī)的支持及集團聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個方面，總是不斷地向上攀升，所以安全產(chǎn)業(yè)將來也是一個隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。信息安全是國家發(fā)展所面臨的一個重要問題。對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到，發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分，甚至應(yīng)該看到它對我國未來電子化、信息化的發(fā)展將起到非常重要的作用。1.2影響網(wǎng)絡(luò)安全的主要因素網(wǎng)絡(luò)系統(tǒng)在穩(wěn)定性和可擴充性方面存在問題。由于設(shè)計的系統(tǒng)不規(guī)范、不合理以及缺乏安全性考慮，因而使其受到影響。網(wǎng)絡(luò)硬件的配置不協(xié)調(diào)。一是文件服務(wù)器。它是網(wǎng)絡(luò)的中樞，其運行穩(wěn)定性、功能完善性直接影響網(wǎng)絡(luò)系統(tǒng)的質(zhì)量。網(wǎng)絡(luò)應(yīng)用的需求沒有引起足夠的重視，設(shè)計和選型考慮欠周密，從而使網(wǎng)絡(luò)功能發(fā)揮受阻，影響網(wǎng)絡(luò)的可靠性、擴充性和升級換代。二是網(wǎng)卡用工作站選配不當導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定。缺乏安全策略。許多站點在防火墻配置上無意識地擴大了訪問權(quán)限，忽視了這些權(quán)限可能會被其他人員濫用。訪問控制配置的復(fù)雜性，容易導(dǎo)致配置錯誤，從而給他人以可乘之機。管理制度不健全，網(wǎng)絡(luò)管理、維護任其自然。2交換機基本功能交換機在局域網(wǎng)中占有重要的地位，通常是整個網(wǎng)絡(luò)的核心所在。在這個黑客入侵風起云涌、病毒肆虐的網(wǎng)絡(luò)時代，作為核心的交換機也理所當然要承擔起網(wǎng)絡(luò)安全的一部分責任。因此，交換機要有專業(yè)安全產(chǎn)品的性能，安全已經(jīng)成為網(wǎng)絡(luò)建設(shè)必須考慮的重中之中。2.1交換機基礎(chǔ)2.1.1交換機的發(fā)展交換機的英文名稱之為“Switch”，它是集線器的升級換代產(chǎn)品，從外觀上來看的話，它與集線器基本上沒有多大區(qū)別，都是帶有多個端口的長方形盒狀體。交換機是按照通信兩端傳輸信息的需要，用人工或設(shè)備自動完成的方法把要傳輸?shù)男畔⑺偷椒弦蟮南鄳?yīng)路由上的技術(shù)統(tǒng)稱。廣義的交換機就是一種在通信系統(tǒng)中完成信息交換功能的設(shè)備。2.1.2交換機的功能交換機的主要功能包括物理編址、網(wǎng)絡(luò)拓撲結(jié)構(gòu)、錯誤校驗、幀序列以及流量控制。目前一些高檔交換機還具備了一些新的功能，如對VLAN（虛擬局域網(wǎng)）的支持、對鏈路匯聚的支持，甚至有的還具有路由和防火墻的功能。交換機除了能夠連接同種類型的網(wǎng)絡(luò)之外，還可以在不同類型的網(wǎng)絡(luò)（如以太網(wǎng)和快速以太網(wǎng)）之間起到互連作用。如今許多交換機都能夠提供支持快速以太網(wǎng)或FDDI等的高速連接端口，用于連接網(wǎng)絡(luò)中的其它交換機或者為帶寬占用量大的關(guān)鍵服務(wù)器提供附加帶寬。一般來說，交換機的每個端口都用來連接一個獨立的網(wǎng)段，但是有時為了提供更快的接入速度，我們可以把一些重要的網(wǎng)絡(luò)計算機直接連接到交換機的端口上。這樣，網(wǎng)絡(luò)的關(guān)鍵服務(wù)器和重要用戶就擁有更快的接入速度，支持更大的信息流量?？傊粨Q機是一種基于MAC地址識別，能完成封裝轉(zhuǎn)發(fā)數(shù)據(jù)包功能的網(wǎng)絡(luò)設(shè)備。交換機對于因第一次發(fā)送到目的地址不成功的數(shù)據(jù)包會再次對所有節(jié)點同時發(fā)送，企圖找到這個目的MAC地址，找到后就會把這個地址重新加入到自己的MAC地址列表中，這樣下次再發(fā)送到這個節(jié)點時就不會發(fā)錯。交換機的這種功能就稱之為“MAC地址學(xué)習”功能。2.1.3交換機工作原理交換機的數(shù)據(jù)傳遞工作原理可以簡單地這樣來說明：當交換機從某一節(jié)點收到一個以太網(wǎng)幀后，將立即在其內(nèi)存中的地址表（端口號－MAC地址）進行查找，以確認該目的MAC的網(wǎng)卡連接在哪一個節(jié)點上，然后將該幀轉(zhuǎn)發(fā)至該節(jié)點。如果在地址表中沒有找到該MAC地址，也就是說，該目的MAC地址是首次出現(xiàn)，交換機就將數(shù)據(jù)包廣播到所有節(jié)點。擁有該MAC地址的網(wǎng)卡在接收到該廣播幀后,將立即做出應(yīng)答，從而使交換機將其節(jié)點的“MAC地址”添加到MAC地址表中。換言之，當交換機從某一節(jié)點收到一個幀時（廣播幀除外），將對地址表執(zhí)行兩個動作，一是檢查該幀的源MAC地址是否已在地址表中，如果沒有，則將該MAC地址加到地址表中，這樣以后就知道該MAC地址在哪一個節(jié)點；二是檢查該幀的目的MAC地址是否已在地址表中，如果該MAC地址已在地址表中，則將該幀發(fā)送到對應(yīng)的節(jié)點即可，而不必像集線器那樣將該幀發(fā)送到所有節(jié)點，只須將該幀發(fā)送到對應(yīng)的節(jié)點，從而使那些既非源節(jié)點又非目的節(jié)點的節(jié)點間仍然可以進行相互間的通信，從而提供了比集線器更高的傳輸速率。如果該MAC地址不在地址表中，則將該幀發(fā)送到所有其它節(jié)點（源節(jié)點除外），相當于該幀是一個廣播幀。交換機是根據(jù)以太網(wǎng)幀中的源MAC地址來更新地址表。當一臺計算機打開電源后，安裝在該系統(tǒng)中的網(wǎng)卡會定期發(fā)出空閑包或信號，交換機即可據(jù)此得知它的存在以及其MAC地址，這就是所謂自動地址學(xué)習。由于交換機能夠自動根據(jù)收到的以太網(wǎng)幀中的源MAC地址更新地址表的內(nèi)容，所以交換機使用的時間越長，學(xué)到的MAC地址就越多，未知的MAC地址就越少，因而廣播的包就越少，速度就越快。由于交換機中的內(nèi)存畢竟有限，因此，能夠記憶的MAC地址數(shù)量也是有限的。既然不能無休止地記憶所有的MAC地址，那么就必須賦予其相應(yīng)的忘卻機制，從而吐故納新。事實上，工程師為交換機設(shè)定了一個自動老化時間（Auto－aging），若某MAC地址在一定時間內(nèi)（默認為300秒）不再出現(xiàn)，那么，交換機將自動把該MAC地址從地址表中清除。當下一次該MAC地址重新出現(xiàn)時，將會被當作新地址處理。2.2交換機配置中的安全性安全交換機—網(wǎng)絡(luò)界的新寵兒，網(wǎng)絡(luò)入口的守關(guān)者，志在向一切不安全的因素舉起大刀。網(wǎng)絡(luò)時代的到來使得安全問題成為一個迫切需要解決的問題;病毒、黑客以及各種各樣漏洞的存在，使得安全任務(wù)在網(wǎng)絡(luò)時代變得無比艱巨。交換機在企業(yè)網(wǎng)中占有重要的地位，通常是整個網(wǎng)絡(luò)的核心所在。在這個黑客入侵風起云涌、病毒肆虐的網(wǎng)絡(luò)時代，作為核心的交換機也理所當然要承擔起網(wǎng)絡(luò)安全的一部分責任。因此，交換機要有專業(yè)安全產(chǎn)品的性能，安全已經(jīng)成為網(wǎng)絡(luò)建設(shè)必須考慮的重中之中。安全交換機由此應(yīng)運而生，在交換機中集成安全認證、ACL(AccessControlList，訪問控制列表)、防火墻、入侵檢測甚至防毒的功能，網(wǎng)絡(luò)的安全真的需要“武裝到牙齒”。2.2.1流量控制安全交換機的流量控制技術(shù)把流經(jīng)端口的異常流量限制在一定的范圍內(nèi)，避免交換機的帶寬被無限制濫用。安全交換機的流量控制功能能夠?qū)崿F(xiàn)對異常流量的控制，避免網(wǎng)絡(luò)堵塞。2.2.2虛擬局域網(wǎng)VLAN虛擬局域網(wǎng)是安全交換機必不可少的功能。VLAN可以在二層或者三層交換機上實現(xiàn)有限的廣播域，它可以把網(wǎng)絡(luò)分成一個一個獨立的區(qū)域，可以控制這些區(qū)域是否可以通訊。VLAN可能跨越一個或多個交換機，與它們的物理位置無關(guān)，設(shè)備之間好像在同一個網(wǎng)絡(luò)間通信一樣。VLAN可在各種形式上形成，如端口、MAC地址、IP地址等。VLAN限制了各個不同VLAN之間的非授權(quán)訪問，而且可以設(shè)置IP/MAC地址綁定功能限制用戶的非授權(quán)網(wǎng)絡(luò)訪問。2.2.3訪問控制列表安全交換機采用了訪問控制列表ACL來實現(xiàn)包過濾防火墻的安全功能，增強安全防范能力。訪問控制列表以前只在核心路由器才獲使用。在安全交換機中，訪問控制過濾措施可以基于源/目標交換槽、端口、源/目標VLAN、源/目標IP、TCP/UDP端口、ICMP類型或MAC地址來實現(xiàn)。ACL不但可以讓網(wǎng)絡(luò)管理者用來制定網(wǎng)絡(luò)策略，針對個別用戶或特定的數(shù)據(jù)流進行允許或者拒絕的控制，也可以用來加強網(wǎng)絡(luò)的安全屏蔽，讓黑客找不到網(wǎng)絡(luò)中的特定主機進行探測，從而無法發(fā)動攻擊。3.路由器基本功能路由器是連接因特網(wǎng)中各局域網(wǎng)、廣域網(wǎng)的設(shè)備，它會根據(jù)信道的情況自動選擇和設(shè)定路由，以最佳路徑，按前后順序發(fā)送信號的設(shè)備。路由器英文名Router，路由器是互聯(lián)網(wǎng)絡(luò)的樞紐。目前路由器已經(jīng)廣泛應(yīng)用于各行各業(yè)，各種不同檔次的產(chǎn)品已經(jīng)成為實現(xiàn)各種骨干網(wǎng)內(nèi)部連接、骨干網(wǎng)間互聯(lián)和骨干網(wǎng)與互聯(lián)網(wǎng)互聯(lián)互通業(yè)務(wù)的主力軍。3.1路由器基礎(chǔ)路由器是互聯(lián)網(wǎng)絡(luò)中必不可少的網(wǎng)絡(luò)設(shè)備之一，路由器是一種連接多個網(wǎng)絡(luò)或網(wǎng)段的網(wǎng)絡(luò)設(shè)備，它能將不同網(wǎng)絡(luò)或網(wǎng)段之間的數(shù)據(jù)信息進行“翻譯”，以使它們能夠相互“讀”懂對方的數(shù)據(jù)，從而構(gòu)成一個更大的網(wǎng)絡(luò)。路由器有兩大典型功能，即數(shù)據(jù)通道功能和控制功能。數(shù)據(jù)通道功能包括轉(zhuǎn)發(fā)決定、背板轉(zhuǎn)發(fā)以及輸出鏈路調(diào)度等，一般由特定的硬件來完成；控制功能一般用軟件來實現(xiàn)，包括與相鄰路由器之間的信息交換、系統(tǒng)配置、系統(tǒng)管理等。要解釋路由器的概念，首先要介紹什么是路由。所謂“路由”，是指把數(shù)據(jù)從一個地方傳送到另一個地方的行為和動作，而路由器，正是執(zhí)行這種行為動作的機器，它的英文名稱為Router。3.2路由器的基本功能路由器是一種多端口設(shè)備，它可以連接不同傳輸速率并運行于各種環(huán)境的局域網(wǎng)和廣域網(wǎng)，也可以采用不同的協(xié)議。路由器屬于OSI模型的第三層--網(wǎng)絡(luò)層。指導(dǎo)從一個網(wǎng)段到另一個網(wǎng)段的數(shù)據(jù)傳輸，也能指導(dǎo)從一種網(wǎng)絡(luò)向另一種網(wǎng)絡(luò)的數(shù)據(jù)傳輸。第一，網(wǎng)絡(luò)互連：路由器支持各種局域網(wǎng)和廣域網(wǎng)接口，主要用于互連局域網(wǎng)和廣域網(wǎng)，實現(xiàn)不同網(wǎng)絡(luò)互相通信；第二，數(shù)據(jù)處理：提供包括分組過濾、分組轉(zhuǎn)發(fā)、優(yōu)先級、復(fù)用、加密、壓縮和防火墻等功能；第三，網(wǎng)絡(luò)管理：路由器提供包括路由器配置管理、性能管理、容錯管理和流量控制等功能。所謂“路由”，是指把數(shù)據(jù)從一個地方傳送到另一個地方的行為和動作，而路由器，正是執(zhí)行這種行為動作的機器，它的英文名稱為Router,是一種連接多個網(wǎng)絡(luò)或網(wǎng)段的網(wǎng)絡(luò)設(shè)備，它能將不同網(wǎng)絡(luò)或網(wǎng)段之間的數(shù)據(jù)信息進行“翻譯”，以使它們能夠相互“讀懂”對方的數(shù)據(jù)，從而構(gòu)成一個更大的網(wǎng)絡(luò)。3.3路由器工作原理為了簡單地說明路由器的工作原理，現(xiàn)在我們假設(shè)有這樣一個簡單的網(wǎng)絡(luò)。如圖所示，A、B、C、D四個網(wǎng)絡(luò)通過路由器連接在一起。現(xiàn)在我們來看一下在如圖所示網(wǎng)絡(luò)環(huán)境下路由器又是如何發(fā)揮其路由、數(shù)據(jù)轉(zhuǎn)發(fā)作用的。現(xiàn)假設(shè)網(wǎng)絡(luò)A中一個用戶A1要向C網(wǎng)絡(luò)中的C3用戶發(fā)送一個請求信號時，信號傳遞的步驟如下：第1步：用戶A1將目的用戶C3的地址C3，連同數(shù)據(jù)信息以數(shù)據(jù)幀的形式通過集線器或交換機以廣播的形式發(fā)送給同一網(wǎng)絡(luò)中的所有節(jié)點，當路由器A5端口偵聽到這個地址后，分析得知所發(fā)目的節(jié)點不是本網(wǎng)段的，需要路由轉(zhuǎn)發(fā)，就把數(shù)據(jù)幀接收下來。第2步：路由器A5端口接收到用戶A1的數(shù)據(jù)幀后，先從報頭中取出目的用戶C3的IP地址，并根據(jù)路由表計算出發(fā)往用戶C3的最佳路徑。因為從分析得知到C3的網(wǎng)絡(luò)ID號與路由器的C5網(wǎng)絡(luò)ID號相同，所以由路由器的A5端口直接發(fā)向路由器的C5端口應(yīng)是信號傳遞的最佳途經(jīng)。第3步：路由器的C5端口再次取出目的用戶C3的IP地址，找出C3的IP地址中的主機ID號，如果在網(wǎng)絡(luò)中有交換機則可先發(fā)給交換機，由交換機根據(jù)MAC地址表找出具體的網(wǎng)絡(luò)節(jié)點位置；如果沒有交換機設(shè)備則根據(jù)其IP地址中的主機ID直接把數(shù)據(jù)幀發(fā)送給用戶C3，這樣一個完整的數(shù)據(jù)通信轉(zhuǎn)發(fā)過程也完成了。從上面可以看出，不管網(wǎng)絡(luò)有多么復(fù)雜，路由器其實所作的工作就是這么幾步，所以整個路由器的工作原理基本都差不多。當然在實際的網(wǎng)絡(luò)中還遠比上圖所示的要復(fù)雜許多，實際的步驟也不會像上述那么簡單，但總的過程是這樣的。目前，生產(chǎn)路由器的廠商，國外主要有CISCO（思科）公司、北電網(wǎng)絡(luò)等，國內(nèi)廠商包括華為等。3.4路由器配置中的安全性路由器是網(wǎng)絡(luò)系統(tǒng)的主要設(shè)備，也是網(wǎng)絡(luò)安全的前沿關(guān)口。如果路由器連自身的安全都沒有保障，整個網(wǎng)絡(luò)也就毫無安全可言。因此在網(wǎng)絡(luò)安全管理上，必須對路由器進行合理規(guī)劃、配置，采取必要的安全保護措施，避免因路由器自身的安全問題而給整個網(wǎng)絡(luò)系統(tǒng)帶來漏洞和風險。下面是一些加強路由器安全的具體措施，用以阻止對路由器本身的攻擊，并防范網(wǎng)絡(luò)信息被竊取。3.4.1協(xié)議交換認證路由器的一個重要功能是路由的管理和維護，目前具有一定規(guī)模的網(wǎng)絡(luò)都采用動態(tài)的路由協(xié)議，常用的有：RIP、EIGRP、OSPF、IS-IS、BGP等。當一臺設(shè)置了相同路由協(xié)議和相同區(qū)域標示符的路由器加入網(wǎng)絡(luò)后，會學(xué)習網(wǎng)絡(luò)上的路由信息表。但此種方法可能導(dǎo)致網(wǎng)絡(luò)拓撲信息泄漏，也可能由于向網(wǎng)絡(luò)發(fā)送自己的路由信息表，擾亂網(wǎng)絡(luò)上正常工作的路由信息表，嚴重時可以使整個網(wǎng)絡(luò)癱瘓。這個問題的解決辦法是對網(wǎng)絡(luò)內(nèi)的路由器安全之間相互交流的路由信息進行認證。當路由器配置了認證方式，就會鑒別路由信息的收發(fā)方。有兩種鑒別方式，其中“純文本方式”安全性低，建議使用“MD5方式”。3.4.2路由器的物理安全防范路由器控制端口是具有特殊權(quán)限的端口，如果攻擊者物理接觸路由器后，斷電重啟，實施“密碼修復(fù)流程”，進而登錄路由器，就可以完全控制路由器。3.4.3保護路由器口令在備份的路由器配置文件中，密碼即使是用加密的形式存放，密碼明文仍存在被破解的可能。一旦密碼泄漏，網(wǎng)絡(luò)也就毫無安全可言。3.4.4阻止查看到路由器當前的用戶列表。noserviceudp-small-servers關(guān)閉命令為：noservicefinger。3.4.5關(guān)閉CDP服務(wù)在OSI二層協(xié)議即鏈路層的基礎(chǔ)上可發(fā)現(xiàn)對端路由器的部分配置信息：設(shè)備平臺、操作系統(tǒng)版本、端口、IP地址等重要信息?？梢杂妹睿簄ocdprunning或nocdpenable關(guān)閉這個服務(wù)。3.4.6阻止路由器接收帶源路由標記的包阻止路由器接收帶源路由標記的包“IPsource-route”是一個全局配置命令，允許路由器處理帶源路由選項標記的數(shù)據(jù)流。啟用源路由選項后，源路由信息指定的路由使數(shù)據(jù)流能夠越過默認的路由，這種包就可能繞過防火墻。關(guān)閉命令如下：noipsource-route。3.4.7關(guān)閉路由器廣播包的轉(zhuǎn)發(fā)SumrfDOS攻擊以有廣播轉(zhuǎn)發(fā)配置的路由器安全作為反射板，占用網(wǎng)絡(luò)資源，甚至造成網(wǎng)絡(luò)的癱瘓。應(yīng)在每個端口應(yīng)用“noipdirected-broadcast”關(guān)閉路由器廣播包。3.4.8管理HTTP服務(wù)HTTP服務(wù)提供Web管理接口?！皀oiphttpserver”可以停止HTTP服務(wù)。如果必須使用HTTP，一定要使用訪問列表“iphttpaccess-class”命令，嚴格過濾允許的IP地址，同時用“iphttpauthentication”命令設(shè)定授權(quán)限制。4.網(wǎng)絡(luò)鏈接配置實例4.1鏈路聚合『第一步』正確連接網(wǎng)線，交換機全部恢復(fù)出廠設(shè)置，做初始配置，避免廣播風暴出現(xiàn)。交換機A：Switch#conifigSwitch(conifig)#hostnameSwitchAswitchA(config)#interfacevlan1switchA(config-if-vlan1)#ipaddress1switchA(config-if-vlan1)#exitswitchA(cinfig)#spanningtreeswitchA(conifig)#交換機B：Switch#conifigSwitch(conifig)#hostnameSwitchBswitchA(config)#interfacevlan1switchA(config-if-vlan1)#ipaddress2switchA(config-if-vlan1)#exitswitchA(cinfig)#spanningtreeswitchA(conifig)#『第二步』創(chuàng)建Portgroup交換機A：switchA(config)#port-group1switchA(config)#驗證配置：switchA#showport-groupdetail交換機B：switchB(config)#port-group2switchB(config)#『第三步』手工生成鏈路聚合組交換機A：SwitchA#configswitchA(config)#interfaceeth0/0/1-2switchA(config-port-range)#port-group1modeonswitchA(config-port-range)#exitswitchA(cinfig)#interfaceport-channel1switchA(config-if-port-channel1)#驗證測試：switchA#showvlan交換機B：SwitchB#configswitchBe(config)#interfaceeth0/0/3-4switchB(config-port-range)#port-group2modeonswitchB(config-port-range)#exitswitchB(cinfig)#interfaceport-channel2switchB(config-if-port-channel2)#驗證配置：switchB#showport-groupbrief4.2利用三層交換機實現(xiàn)兩層交換機之間不同vlan間通信步驟1：交換機恢復(fù)出廠設(shè)置。Switch#setdefaultSwitch#writeSwitch#reload步驟2：給交換機設(shè)置標示符和管理IP。交換機A：Switch(config)#hostnameswitchASwitchA(config)#interfacevlan1SwitchA(config-If-vlan1)ipaddress1SwitchA(config-If-vlan1)noshutSwitchA(config-If-vlan1)exitSwitchA(config)#交換機B：Switch(config)#hostnameswitchBSwitchB(config)#interfacevlan1SwitchB(config-If-vlan1)#ipaddress2SwitchB(config-If-vlan1)#noshutSwitchB(config-If-vlan1)#exitSwitchB(config)#交換機C：Switch(config)#hostnameswitchCSwitchC(config)#interfacevlan1SwitchC(config-If-vlan1)#ipaddress3SwitchC(config-If-vlan1)#noshutSwitchC(config-If-vlan1)#exitSwitchC(config)#步驟3：在交換機中創(chuàng)建vlan100和vlan200,并添加端口。交換機A：SwitchA(config)#vlan100SwitchA(config-vlan100)#SwtichA(config-vlan100)#switchportinterfaceeth0/0/1-8SwitchA(config-vlan100)#exitSwitchA(config)#vlan200SwitchA(config-vlan200)#SwitchA(config-vlan200)#switchportinterfaceeth0/0/9-16SwitchA(config-vlan200)#exitSwitchA(config)#驗證配置:SwitchA#showvlan交換機B同配置與交換機A一樣。步驟4：設(shè)置交換機trunk端口。交換機A：SwitchA(config)#interfaceeth0/0/24SwitchA(config-Ethernet0/0/24)#switchportmodetrunkSwitchA(config-Ethernet0/0/24)#switchporttrunkallowedvlanallSwitchA(config-Ethernet0/0/24)#exit驗證配置：SwitchA#showvlan交換機B配置同交換機A一樣。交換機C：SwitchC(config)#vlan100SwitchC(config-vlan100)exitSwitchC(config)#vlan200SwitchC(config-vlan200)#exitSwitchC(config)#interfaceeth0/0/1-2SwitchC(config-port-range)#switchportmodetrunkSwitchC(config-port-range)#switchporttrunkallowedvlanallSwitchC(config-port-range)#exit驗證配置：SwitchC(config)#showvlan步驟5：交換機C添加vlan地址。SwitchC(config)#interfacevlan100SwitchC(config-If-vlan100)#ipaddressSwitchC(config-If_vlan100)#noshutSwitchC(config-If-vlan100)#exitSwitchC(config)#interfacevlan200SwitchC(config-If-vlan200)#ipaddressSwitchC(config-If-vlan200)#noshutSwitchC(config-If-vlan200)#exit驗證配置：Switch#showiproute4.3路由器廣域網(wǎng)PPP封裝和PAP驗證步驟1：Router-A的配置Router>enableRouter#configRouter_config#hostnameRouter-ARouter-A_config#usernameRouterBpassworddigitallchinaB!設(shè)置帳號密碼Router-A_config#interfaces1/1Router-A_config_s1/1#ipaddressRouter-A_config_s1/1#encapsultaionPPPRouter-A_config_s1/1#PPPauthenticationpapRouter-A_config_s1/1#PPPpapsent-usernameRouterAdigitallchinaARouter-A_config_s1/1#physical layerspeed64000Router-A_config_s1/1#noshutdownRouter-A_config_s1/1#^Z步驟2：查看配置：Router-A#showinterfaces1/1步驟3：Router-B的配置Router>enableRouter#configRouter_config#hostnameRouter-BRouter-B_config#usernameRouterApassworddigitallchinaB!設(shè)置帳號密碼Router-B_config#interfaces1/0Router-B_config_s1/0#ipaddressRouter-B_config_s1/0#encapsultaionPPPRouter-B_config_s1/0#PPPauthenticationpapRouter-B_config_s1/0#PPPpapsent-usernameRouterBdigitallchinaBRouter-B_config_s1/0#noshutdownRouter-B_config_s1/0#^Z步驟4：查看配置：Router-B#showinterfaces1/0步驟5：測試連通性Router-A#ping5.目前網(wǎng)絡(luò)的其他威脅5.1網(wǎng)絡(luò)通信協(xié)議安全漏洞隨著TCP(UDP)/IP協(xié)議被互聯(lián)網(wǎng)普遍采用，網(wǎng)絡(luò)通信協(xié)議漏洞問題變得越來越突出。TCP/IP協(xié)議簇最初設(shè)計的應(yīng)用環(huán)境是美國國防系統(tǒng)的內(nèi)部網(wǎng)絡(luò)，這一網(wǎng)絡(luò)