• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看

      404 Not Found


      nginx
      404 Not Found

      404 Not Found


      nginx
      404 Not Found

      404 Not Found


      nginx
      404 Not Found

      404 Not Found


      nginx
      404 Not Found

      404 Not Found


      nginx
      404 Not Found

      404 Not Found


      nginx

      校園網(wǎng)內(nèi)部網(wǎng)絡(luò)安全

      2014-07-28 18:45王溧
      電腦知識(shí)與技術(shù) 2014年17期
      關(guān)鍵詞:華三網(wǎng)絡(luò)設(shè)備IP地址

      摘要:外部網(wǎng)絡(luò)威脅盡管形勢(shì)嚴(yán)峻,但來(lái)自內(nèi)部網(wǎng)絡(luò)本身的威脅有時(shí)卻更難防范。該文探討如何發(fā)掘內(nèi)部網(wǎng)絡(luò)設(shè)備(主要為二三層交換機(jī))的功能,防范來(lái)自內(nèi)部網(wǎng)絡(luò)的威脅。這些威脅主要為非法DHCP服務(wù)器、ARP欺騙、用戶私設(shè)IP地址、用戶私接交換機(jī)、用戶連接失誤造成的網(wǎng)絡(luò)環(huán)路等。從網(wǎng)絡(luò)設(shè)備層面杜絕這些威脅,會(huì)使內(nèi)部網(wǎng)絡(luò)本身更加“安靜”,從而也更安全穩(wěn)定流暢。

      關(guān)鍵詞:網(wǎng)絡(luò)設(shè)備安全;交換機(jī);DHCP-SNOOPING;ARP-DETECTION;IP;MSTP

      中圖分類(lèi)號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2014)17-4004-05

      計(jì)算機(jī)網(wǎng)絡(luò)對(duì)來(lái)自外部(internet)網(wǎng)絡(luò)威脅的防范工作,主要由路由防火墻來(lái)完成。不可否認(rèn),防范外部網(wǎng)絡(luò)的威脅非常重要。如何配置路由防火墻(及入侵檢測(cè)系統(tǒng)等)來(lái)防范這些威脅,也已經(jīng)形成很多固定的模式,介紹探討這方面的文章書(shū)籍也不在少數(shù)。

      不過(guò)來(lái)自內(nèi)部網(wǎng)絡(luò)的威脅同樣不可小視,俗話說(shuō),堡壘最容易從內(nèi)部攻破。內(nèi)部網(wǎng)絡(luò)的威脅主要包括非法DHCP服務(wù)器、ARP欺騙、用戶私設(shè)IP地址、用戶私接交換機(jī)、用戶連接失誤造成的網(wǎng)絡(luò)環(huán)路等。有些是用戶無(wú)意識(shí)的行為(例如ARP攻擊,用戶主機(jī)可能中了ARP病毒),但有些卻有可能是有意為之(例如私設(shè)DHCP服務(wù)器,造成其他用戶獲取到錯(cuò)誤的IP地址)。

      這些威脅都能造成內(nèi)部網(wǎng)絡(luò)的不穩(wěn)定,使用戶的網(wǎng)絡(luò)使用體驗(yàn)變差。對(duì)于這些威脅的防范,路由防火墻通常無(wú)能為力。但是,有一點(diǎn),因?yàn)檫@些威脅是通過(guò)內(nèi)部網(wǎng)絡(luò)設(shè)備(主要為交換機(jī))在用戶主機(jī)之間形成干擾的,所以如果網(wǎng)絡(luò)設(shè)備支持對(duì)這些威脅的防范(具有相應(yīng)的功能),我們就能在用戶級(jí)別掐滅這些干擾因素。該文主要是基于此交換機(jī)層面,來(lái)對(duì)如何防范這些威脅作一些探討。

      我校校園網(wǎng)初期的網(wǎng)絡(luò)設(shè)備主要來(lái)自北電(Nortel),因?yàn)槭瞧漭^早時(shí)期的設(shè)備(2004年左右),所以基本上不具備對(duì)此類(lèi)威脅的防范(盡管也可網(wǎng)管,但不具備這些功能)。不過(guò),于2011年1月份期間,我校將所有的網(wǎng)絡(luò)設(shè)備都進(jìn)行了更換,品牌主要為H3C。當(dāng)時(shí)廠商的技術(shù)人員僅僅是將校園網(wǎng)絡(luò)調(diào)通,設(shè)備的很多安全功能并沒(méi)有啟用。我在仔細(xì)閱讀了相關(guān)的技術(shù)文檔之后,發(fā)現(xiàn)這些設(shè)備均可對(duì)上述威脅做到有效防范,于是逐漸啟用了這些功能。該文也是對(duì)此過(guò)程中的一些心得體會(huì),做一個(gè)歸納總結(jié)。

      本校校園網(wǎng)絡(luò)大致拓?fù)鋱D如圖1所示。

      因?yàn)檫@些功能的啟用主要是在交換機(jī)上進(jìn)行,所以本文以核心交換機(jī)至1號(hào)樓主教學(xué)樓之間的交換機(jī)為例描述即可,如圖2 所示,圖中以主教學(xué)樓中的5臺(tái)交換機(jī)作為代表,其中s-build-1為匯聚層,另外4臺(tái)為接入層,其余尚有十幾臺(tái)未在圖中顯示的也屬于接入層。其他樓層交換機(jī)相關(guān)的配置大致相同。

      圖1 本校校園網(wǎng)絡(luò)大致拓?fù)鋱D

      1 防范非法DHCP服務(wù)器

      用戶如果私設(shè)DHCP服務(wù)器(不管是因?yàn)閷W(xué)習(xí)DHCP而無(wú)意的造成,還是有意的搞破壞),將會(huì)對(duì)其端口所屬VLAN段中所有用戶主機(jī)形成干擾。我校在更換網(wǎng)絡(luò)設(shè)備以前,常有這樣的情況發(fā)生。

      通過(guò)逐一查找交換機(jī)中的mac-address表,或許可以將其“抓住”,但這樣太麻煩,嚴(yán)重增加管理工作量,而且是一種事后被動(dòng)的防范措施。而啟用交換機(jī)的dhcp-snooping功能,可以輕松地實(shí)現(xiàn)對(duì)非法DHCP服務(wù)器的主動(dòng)防范。

      1.1 Dhcp-snooping簡(jiǎn)要原理分析

      Dhcp-snooping的原理比較簡(jiǎn)單??蛻舳嗽谂cDHCP服務(wù)器獲取IP地址的過(guò)程中,總共有4個(gè)階段。如果有非法DHCP服務(wù)器存在,客戶端就可能接收到非法DHCP服務(wù)器的“DHCP-Offer”及“DHCP-ACK”消息,從而獲取到錯(cuò)誤的IP地址。配置交換機(jī)的dhcp-snooping功能時(shí),一般是將接入層和匯聚層交換機(jī)的上行端口設(shè)置為trust端口,其余端口默認(rèn)為非trust,這樣非法DHCP服務(wù)器的“DHCP-Offer”及“DHCP-ACK”消息將被隔離,不會(huì)被客戶端接收到,從而起到了防范非法DHCP服務(wù)器的作用。

      1.2 配置交換機(jī)的dhcp-snooping功能

      對(duì)應(yīng)到本校圖2 中所示交換機(jī)的dhcp-snooping配置如下:

      1) 在系統(tǒng)視圖模式下,啟用主教學(xué)樓中所有接入層交換機(jī)的dhcp-snooping功能:

      system-view //進(jìn)入系統(tǒng)視圖

      dhcp-snooping //開(kāi)啟dhcp-snooping功能

      2) 將這些交換機(jī)的上行端口設(shè)置為trust端口,以s-teac-2交換機(jī)為例,配置如下 :

      interface GigabitEthernet1/1/1

      dhcp-snooping trust //設(shè)置該端口為可信端口

      啟用dhcp-snooping功能是本文后續(xù)其他防范措施的前提和基礎(chǔ),這也是首先描述該功能的原因。

      2 防范ARP欺騙

      曾經(jīng)一段時(shí)期,防范ARP欺騙是一件令網(wǎng)絡(luò)管理員非常頭疼的事情。一臺(tái)中了ARP病毒的主機(jī),常常會(huì)攪得整個(gè)網(wǎng)段中的主機(jī)不得安寧。典型表現(xiàn)是用戶感覺(jué)上網(wǎng)緩慢,且時(shí)斷時(shí)續(xù)。

      2.1 防范ARP欺騙的原理分析

      開(kāi)啟ARP入侵檢測(cè)功能后,如果ARP報(bào)文中的源MAC 地址、源IP 地址、接收ARP 報(bào)文的端口編號(hào)以及端口所在VLAN與DHCP Snooping表或手工配置的IP靜態(tài)綁定表表項(xiàng)一致,則認(rèn)為該報(bào)文是合法的ARP報(bào)文,進(jìn)行轉(zhuǎn)發(fā),否則認(rèn)為是非法ARP報(bào)文,直接丟棄。

      2.2 實(shí)施ARP欺騙防范的過(guò)程步驟

      1) 開(kāi)啟交換機(jī)ARP入侵檢測(cè)功能

      開(kāi)啟交換機(jī)ARP入侵檢測(cè)功能的步驟如下(以圖2中s-tea-2交換機(jī)為例,其余接入層交換機(jī)配置與之相似,匯聚層交換機(jī)s-build-1不作此配置):

      · 開(kāi)啟dhcp-snooping功能(這是前提)

      · vlan 11 //進(jìn)入到VLAN視圖模式中

      · arp detection enable

      注:對(duì)屬于該VLAN的所有端口啟用ARP入侵檢測(cè)。如果交換機(jī)中還有有他vlan,則重復(fù)上述命令即可。

      · interface g 1/1/1

      · arp detection trust

      注:將上行接口設(shè)置為arp可信任端口,不對(duì)進(jìn)入此接口的arp報(bào)文進(jìn)行arp檢測(cè)。

      因?yàn)榻粨Q機(jī)要將ARP報(bào)文(不論是request還是reponse類(lèi)型的)與dhcp-snooping表比較,所以這也意味著客戶端主機(jī)需要設(shè)置為自動(dòng)獲取IP地址,否則不會(huì)在dhcp-snooping表中形成自己的記錄,自身將無(wú)法正常通信。這從另一個(gè)方面也可以起到防止用戶私設(shè)IP地址的功效。如果某端口下所接主機(jī)必需設(shè)置為靜態(tài)IP地址(如電子顯示屏、網(wǎng)絡(luò)打印機(jī)等),只需將該端口設(shè)置為“arp detection trust”即可。

      2) 保護(hù)網(wǎng)關(guān)

      ARP欺騙的各種行為中,最喜歡的莫過(guò)于欺騙網(wǎng)關(guān)了。這樣同網(wǎng)段中被欺騙主機(jī)的流量都會(huì)統(tǒng)統(tǒng)流向自己,以方便盜取其他主機(jī)的隱私,這也正是其他主機(jī)感覺(jué)上網(wǎng)緩慢并時(shí)斷時(shí)續(xù)的原因所在。

      開(kāi)啟交換機(jī)ARP網(wǎng)關(guān)防護(hù)功能的步驟如下(以圖2中s-tea-2交換機(jī)為例,其余同):

      · interface g 1/1/1 //進(jìn)入接口視圖模式(上行接口)

      · arp filter binding 192.168.12.1 3ce5-a680-a342

      · arp filter binding 192.168.28.1 3ce5-a680-a342

      · arp filter binding 192.168.32.1 3ce5-a680-a342

      注:上述命令表明,凡進(jìn)入該接口的ARP報(bào)文,其源IP地址及源MAC地址不符合上述綁定的,均將被丟棄。經(jīng)過(guò)實(shí)驗(yàn)證實(shí),一個(gè)接口可以同時(shí)綁定最多8條。注意H3C核心交換機(jī)為其所有VLAN虛接口IP地址(即為各網(wǎng)段主機(jī)的網(wǎng)關(guān))提供的對(duì)應(yīng)MAC地址都是一樣的(此處為3ce5-a680-a342),也許它認(rèn)為這樣足夠了,反正又不是屬于同一個(gè)網(wǎng)段。

      · interface e 1/0/1 //進(jìn)入接口視圖模式(各下行接口)

      · arp filter source 192.168.12.1

      注:上述命令表明,進(jìn)入接口e1/0/1的ARP報(bào)文,如果其源IP地址為192.168.12.1,則被認(rèn)為是欺騙網(wǎng)關(guān)ARP報(bào)文,并被丟棄,因?yàn)樵摻涌谙虏豢赡艹霈F(xiàn)源IP地址為192.168.12.1的ARP報(bào)文。對(duì)各接口均運(yùn)行上述命令,注意命令中IP地址要與該接口所屬的VLAN的虛接口IP地址相一致。

      3) ARP報(bào)文限速

      如果攻擊者惡意構(gòu)造大量ARP報(bào)文發(fā)往交換機(jī)的某一端口,會(huì)導(dǎo)致CPU負(fù)擔(dān)過(guò)重,從而造成其他功能無(wú)法正常運(yùn)行甚至設(shè)備癱瘓(類(lèi)似DDOS)。此時(shí)可以啟用交換機(jī)的端口ARP 報(bào)文限速功能,使受到攻擊的端口暫時(shí)關(guān)閉,來(lái)避免此類(lèi)攻擊對(duì)CPU 的沖擊。其配置步驟如下(以圖2中s-tea-2交換機(jī)為例,其余同):

      · interface e 1/0/1 //進(jìn)入接口視圖模式(各下行接口)

      · arp rate-limit enable //啟用arp限速

      · arp rate-limit 15 //接口每秒接收的arp報(bào)文若超過(guò)15個(gè),則丟棄后續(xù)的

      注:如果是匯聚層交換機(jī)的下行接口,可適當(dāng)調(diào)高rate-limit的值(例如150,默認(rèn)值為15)。對(duì)各下行接口均運(yùn)行上述命令

      · system-view //退回至系統(tǒng)視圖模式

      · arp protective-down recover enable

      · arp protective-down recover interval 300

      注:上述命令表明,如果接口接收到的arp報(bào)文的速率超過(guò)rate-limit指定的值,該接口將自動(dòng)關(guān)閉,并在300秒后自動(dòng)開(kāi)啟。

      當(dāng)開(kāi)啟此功能后,校園網(wǎng)內(nèi)確實(shí)有少數(shù)用戶受到影響,這些用戶的感覺(jué)是,電腦會(huì)莫名其妙地?cái)嗑W(wǎng)一段時(shí)間(其實(shí)大約就是5分鐘了),然后又能連接上,然后又?jǐn)嚅_(kāi),如此反復(fù)。經(jīng)檢查其系統(tǒng)確實(shí)有問(wèn)題,經(jīng)過(guò)殺毒等措施處理后,就正常了。說(shuō)明交換機(jī)此功能確實(shí)有效,并沒(méi)有“冤枉”用戶。

      4) 防御ARP洪泛攻擊

      此防范主要在三層核心交換機(jī)的vlan-interface上實(shí)施。

      通過(guò)配置允許學(xué)習(xí)動(dòng)態(tài)ARP 表項(xiàng)的最大個(gè)數(shù)。當(dāng)該VLAN 接口動(dòng)態(tài)學(xué)習(xí)到的ARP表項(xiàng)超過(guò)限定的最大值后,將不進(jìn)行動(dòng)態(tài)地址表項(xiàng)的學(xué)習(xí),從而防止某一VLAN 內(nèi)的惡意用戶發(fā)動(dòng)ARP 泛洪攻擊造成的危害。

      開(kāi)啟交換機(jī)防御ARP洪泛攻擊功能的步驟如下(此配置只在圖2的核心交換機(jī)上進(jìn)行):

      · interface Vlan-interface11 //進(jìn)入到vlan-interface接口模式

      · arp max-learning-num 256 //配置最大ARP學(xué)習(xí)表項(xiàng)為256

      注:如果與VLAN相應(yīng)的IP段為C類(lèi)(或更?。?,則學(xué)習(xí)表項(xiàng)最大值取256就足夠了。在核心交換機(jī)中對(duì)所有的vlan-interface運(yùn)行上述命令。endprint

      5) 開(kāi)啟ARP報(bào)文源MAC一致性檢查

      這是防范ARP欺騙報(bào)文的另一種有效措施。在以太網(wǎng)中(絕大部分的局域網(wǎng)),ARP報(bào)文畢竟是要封裝在以太網(wǎng)幀(ethernet-frame)中傳遞的。正常ARP報(bào)文的源MAC地址應(yīng)該與其外包裹的ethernet-frame中的源MAC地址相同,否則就是ARP欺騙報(bào)文。這就是ARP報(bào)文源MAC一致性檢查的原理。

      其配置過(guò)程如下(以圖2中s-tea-2交換機(jī)為例,其余同):

      · System-view //進(jìn)入系統(tǒng)視圖模式

      · arp anti-attack valid-check enable //開(kāi)啟ARP報(bào)文源MAC一致性檢查

      對(duì)于防范ARP欺騙,還有一種情況值得考慮,即接入層交換機(jī)屬于非網(wǎng)管型交換機(jī)(或不支持上述功能),那么上述防范ARP欺騙的措施都無(wú)法施行了。

      機(jī)房是這樣的一個(gè)典型例子。機(jī)房中的交換機(jī)大部分是簡(jiǎn)易不具備網(wǎng)管功能的。事實(shí)上機(jī)房是被ARP欺騙騷擾最多的區(qū)域。

      我對(duì)此的應(yīng)對(duì)措施是:多劃分VLAN。盡量每個(gè)機(jī)房分別對(duì)應(yīng)一個(gè)VLAN(當(dāng)然要在核心交換機(jī)上配置相應(yīng)虛接口的IP地址)。這樣的話,即便出現(xiàn)ARP欺騙,也頂多影響到一個(gè)機(jī)房,其他機(jī)房不受影響,畢竟ARP偽造報(bào)文是按OSI第二層原理運(yùn)行的??s小了范圍,尋找ARP欺騙的源主機(jī)也不再是難事。

      3 防止用戶私設(shè)IP地址

      用戶私設(shè)靜態(tài)IP地址的后果可能是:(1)造成IP地址沖突;(2)破壞IP地址的分配原則;(3)IP地址設(shè)置錯(cuò)誤,用戶上不了網(wǎng)。

      3.1 原理簡(jiǎn)要分析

      配置交換機(jī),使其對(duì)進(jìn)入其接口的任何數(shù)據(jù)包,都要與dhcp-snooping表相對(duì)比,若不符則丟棄。用戶主機(jī)若不設(shè)置自動(dòng)獲取IP,則不會(huì)在dhcp-snooping表中形成自身的IP地址表記錄,因而數(shù)據(jù)報(bào)文肯定被丟棄!

      3.2 配置步驟

      只在接入層交換機(jī)中實(shí)施,以圖2中s-tea-2交換機(jī)為例,其余同:

      · 開(kāi)啟dhcp-snooping功能(這是前提)

      · interface Ethernet1/0/1 //進(jìn)入接口模式

      · ip check source ip-address mac-address //啟用源IP及MAC地址檢查

      注:在所有需要啟用的接口上運(yùn)行上述命令。若接口下所接主機(jī)需要靜態(tài)IP地址,則不要啟用。

      4 防止用戶誤操作形成環(huán)路

      在圖2中,主機(jī)pc-tea-1與主機(jī)pc-tea-5有可能在一個(gè)辦公室,而且其主人可能就隔了一張辦公桌。如果一條網(wǎng)線就在這辦公桌下,一端在pc-tea-1主人的辦公桌處,另一端剛好在pc-tea-5主人的辦公桌處,兩位主人都以為那個(gè)網(wǎng)線頭是自己主機(jī)的,于是都插入到自己辦公桌的網(wǎng)線模塊座中。過(guò)了一會(huì),所有老師的辦公電腦都斷網(wǎng)了!用戶很正常的一個(gè)不經(jīng)意的動(dòng)作,就可導(dǎo)致網(wǎng)絡(luò)癱瘓,這是讓人無(wú)法接受的。

      這是本人所經(jīng)歷并解決的一次網(wǎng)絡(luò)事故。那時(shí)我認(rèn)識(shí)到,網(wǎng)絡(luò)設(shè)備即便沒(méi)有設(shè)計(jì)為環(huán)狀(以提供冗余),僅僅只是單一的樹(shù)狀分枝,也是有必要啟用STP的(這可能就是思科交換機(jī)默認(rèn)已啟用了STP的原因吧)。H3C交換機(jī)默認(rèn)并沒(méi)有啟用STP!

      4.1 實(shí)施步驟

      將圖2主教學(xué)樓中所有的交換機(jī)啟用MSTP,并配置為一個(gè)MSTP區(qū)域(zone),每個(gè)VLAN分別對(duì)應(yīng)一個(gè)instance。配置如下:

      · system-view

      · stp enable

      · stp region-configuration //進(jìn)入region-configuration模式

      · region-name building-1

      · revision-level 0

      · instance 1 vlan 11

      · instance 2 vlan 28

      · instance 3 vlan 32

      · active region-configuration

      在圖2所示主教學(xué)樓中所有的交換機(jī)上運(yùn)行上述相同命令。

      然后在s-build-1中運(yùn)行下述命令(system-view模式下),將其指定為該區(qū)域內(nèi)所有instance的主根。

      · stp instance 0 root primary

      · stp instance 1 root primary

      · stp instance 2 root primary

      · stp instance 3 root primary

      如果你不想麻煩,在所有交換機(jī)上只運(yùn)行一句“stp enable”也是可以的。

      5 防止用戶私接交換機(jī)

      實(shí)現(xiàn)此目的比較容易,啟用交換機(jī)的port-security可達(dá)到目的。配置如下(只需在接入層交換機(jī)中實(shí)施,以圖2中s-tea-2交換機(jī)為例,其余同):

      · system-view

      · port-security enable //啟用port security

      · port-security timer disableport 300 //若有違反,臨時(shí)禁用端口300秒

      在所有要防止用戶私接交換機(jī)的端口上運(yùn)行下述命令。

      · interface e 1/0/1

      · port-security max-mac-count 1 //只允許一臺(tái)主機(jī)接入

      · port-security port-mode autolearnendprint

      · port-security intrusion-mode disableport-temporarily

      6 網(wǎng)絡(luò)設(shè)備本身的安全

      校園網(wǎng)中,任何一臺(tái)主機(jī)運(yùn)行“telnet 自己主機(jī)網(wǎng)關(guān)”,都能得到響應(yīng)。這個(gè)響應(yīng)當(dāng)然是來(lái)自核心交換機(jī)。H3C交換機(jī)默認(rèn)情況下響應(yīng)任何對(duì)自己的telnet請(qǐng)求。用戶盡管不知道用戶名和密碼,但讓惡意用戶這樣無(wú)休止的嘗試是不能讓人接受的。

      可以使用訪問(wèn)控制列表來(lái)防范這種威脅,配置如下(以圖2的核心交換機(jī)配置為例,其余同):

      首先創(chuàng)建合適的ACL,只響應(yīng)來(lái)自合法IP地址telnet,如下所示。

      · acl number 2000 name limit-telnet-access

      · step 10

      · rule 0 permit source 192.168.100.0 0.0.0.255

      · rule 10 permit source 192.168.12.181 0

      · rule 20 deny

      然后在vty接口上實(shí)施該規(guī)則,如下所示。

      · user-interface vty 0 15

      · acl 2000 inbound

      · authentication-mode scheme

      · idle-timeout 30 0

      7 結(jié)束語(yǔ)

      自從在校園網(wǎng)內(nèi)部網(wǎng)絡(luò)的交換機(jī)層面實(shí)施本文前述的各種規(guī)則之后,效果確實(shí)是不錯(cuò)。合理發(fā)掘網(wǎng)絡(luò)設(shè)備本身的功能,充分發(fā)揮其最大效能,將使你的網(wǎng)絡(luò)更加穩(wěn)健流暢。

      以上所述是本人在管理校園內(nèi)部網(wǎng)絡(luò)時(shí)的心得體會(huì),希望能夠得到同行的指教或?qū)ν杏兴鶐椭?/p>

      參考文獻(xiàn):

      [1] 華三通信技術(shù)有限公司.S7500E系列以太網(wǎng)交換機(jī)操作手冊(cè)-Release 6600系列(V1.00)[M].華三通信技術(shù)有限公司,2009,5.

      [2] 華三通信技術(shù)有限公司. E126/E126A以太網(wǎng)交換機(jī)操作手冊(cè)[M].華三通信技術(shù)有限公司,2010,4.

      [3] cisco. CCNP BSCI Student Guide Version 3.0 Vol.1(2006)[M].cisco,2006,6.

      [4] Charles M.Kozierok. TCP/IP指南(卷I):底層核心協(xié)議[M].北京:人民郵電出版社,2008,5.

      [5] Douglas E.Comer.用TCP/IP進(jìn)行網(wǎng)際互聯(lián)第I卷-原理、協(xié)議與結(jié)構(gòu)[M].5版.北京:電子工業(yè)出版社,2008,11.endprint

      · port-security intrusion-mode disableport-temporarily

      6 網(wǎng)絡(luò)設(shè)備本身的安全

      校園網(wǎng)中,任何一臺(tái)主機(jī)運(yùn)行“telnet 自己主機(jī)網(wǎng)關(guān)”,都能得到響應(yīng)。這個(gè)響應(yīng)當(dāng)然是來(lái)自核心交換機(jī)。H3C交換機(jī)默認(rèn)情況下響應(yīng)任何對(duì)自己的telnet請(qǐng)求。用戶盡管不知道用戶名和密碼,但讓惡意用戶這樣無(wú)休止的嘗試是不能讓人接受的。

      可以使用訪問(wèn)控制列表來(lái)防范這種威脅,配置如下(以圖2的核心交換機(jī)配置為例,其余同):

      首先創(chuàng)建合適的ACL,只響應(yīng)來(lái)自合法IP地址telnet,如下所示。

      · acl number 2000 name limit-telnet-access

      · step 10

      · rule 0 permit source 192.168.100.0 0.0.0.255

      · rule 10 permit source 192.168.12.181 0

      · rule 20 deny

      然后在vty接口上實(shí)施該規(guī)則,如下所示。

      · user-interface vty 0 15

      · acl 2000 inbound

      · authentication-mode scheme

      · idle-timeout 30 0

      7 結(jié)束語(yǔ)

      自從在校園網(wǎng)內(nèi)部網(wǎng)絡(luò)的交換機(jī)層面實(shí)施本文前述的各種規(guī)則之后,效果確實(shí)是不錯(cuò)。合理發(fā)掘網(wǎng)絡(luò)設(shè)備本身的功能,充分發(fā)揮其最大效能,將使你的網(wǎng)絡(luò)更加穩(wěn)健流暢。

      以上所述是本人在管理校園內(nèi)部網(wǎng)絡(luò)時(shí)的心得體會(huì),希望能夠得到同行的指教或?qū)ν杏兴鶐椭?/p>

      參考文獻(xiàn):

      [1] 華三通信技術(shù)有限公司.S7500E系列以太網(wǎng)交換機(jī)操作手冊(cè)-Release 6600系列(V1.00)[M].華三通信技術(shù)有限公司,2009,5.

      [2] 華三通信技術(shù)有限公司. E126/E126A以太網(wǎng)交換機(jī)操作手冊(cè)[M].華三通信技術(shù)有限公司,2010,4.

      [3] cisco. CCNP BSCI Student Guide Version 3.0 Vol.1(2006)[M].cisco,2006,6.

      [4] Charles M.Kozierok. TCP/IP指南(卷I):底層核心協(xié)議[M].北京:人民郵電出版社,2008,5.

      [5] Douglas E.Comer.用TCP/IP進(jìn)行網(wǎng)際互聯(lián)第I卷-原理、協(xié)議與結(jié)構(gòu)[M].5版.北京:電子工業(yè)出版社,2008,11.endprint

      · port-security intrusion-mode disableport-temporarily

      6 網(wǎng)絡(luò)設(shè)備本身的安全

      校園網(wǎng)中,任何一臺(tái)主機(jī)運(yùn)行“telnet 自己主機(jī)網(wǎng)關(guān)”,都能得到響應(yīng)。這個(gè)響應(yīng)當(dāng)然是來(lái)自核心交換機(jī)。H3C交換機(jī)默認(rèn)情況下響應(yīng)任何對(duì)自己的telnet請(qǐng)求。用戶盡管不知道用戶名和密碼,但讓惡意用戶這樣無(wú)休止的嘗試是不能讓人接受的。

      可以使用訪問(wèn)控制列表來(lái)防范這種威脅,配置如下(以圖2的核心交換機(jī)配置為例,其余同):

      首先創(chuàng)建合適的ACL,只響應(yīng)來(lái)自合法IP地址telnet,如下所示。

      · acl number 2000 name limit-telnet-access

      · step 10

      · rule 0 permit source 192.168.100.0 0.0.0.255

      · rule 10 permit source 192.168.12.181 0

      · rule 20 deny

      然后在vty接口上實(shí)施該規(guī)則,如下所示。

      · user-interface vty 0 15

      · acl 2000 inbound

      · authentication-mode scheme

      · idle-timeout 30 0

      7 結(jié)束語(yǔ)

      自從在校園網(wǎng)內(nèi)部網(wǎng)絡(luò)的交換機(jī)層面實(shí)施本文前述的各種規(guī)則之后,效果確實(shí)是不錯(cuò)。合理發(fā)掘網(wǎng)絡(luò)設(shè)備本身的功能,充分發(fā)揮其最大效能,將使你的網(wǎng)絡(luò)更加穩(wěn)健流暢。

      以上所述是本人在管理校園內(nèi)部網(wǎng)絡(luò)時(shí)的心得體會(huì),希望能夠得到同行的指教或?qū)ν杏兴鶐椭?/p>

      參考文獻(xiàn):

      [1] 華三通信技術(shù)有限公司.S7500E系列以太網(wǎng)交換機(jī)操作手冊(cè)-Release 6600系列(V1.00)[M].華三通信技術(shù)有限公司,2009,5.

      [2] 華三通信技術(shù)有限公司. E126/E126A以太網(wǎng)交換機(jī)操作手冊(cè)[M].華三通信技術(shù)有限公司,2010,4.

      [3] cisco. CCNP BSCI Student Guide Version 3.0 Vol.1(2006)[M].cisco,2006,6.

      [4] Charles M.Kozierok. TCP/IP指南(卷I):底層核心協(xié)議[M].北京:人民郵電出版社,2008,5.

      [5] Douglas E.Comer.用TCP/IP進(jìn)行網(wǎng)際互聯(lián)第I卷-原理、協(xié)議與結(jié)構(gòu)[M].5版.北京:電子工業(yè)出版社,2008,11.endprint

      猜你喜歡
      華三網(wǎng)絡(luò)設(shè)備IP地址
      網(wǎng)絡(luò)設(shè)備的安裝與調(diào)試課程思政整體設(shè)計(jì)
      一種基于C# 的網(wǎng)絡(luò)設(shè)備自動(dòng)化登錄工具的研制
      鐵路遠(yuǎn)動(dòng)系統(tǒng)幾種組網(wǎng)方式IP地址的申請(qǐng)和設(shè)置
      IP地址切換器(IPCFG)
      基于SNMP的IP地址管理系統(tǒng)開(kāi)發(fā)與應(yīng)用
      公安網(wǎng)絡(luò)中IP地址智能管理的研究與思考
      創(chuàng)新IT 賦能百業(yè)
      華三通信牽頭新IT智慧產(chǎn)業(yè)聯(lián)盟 合力建設(shè)教育新生態(tài)
      創(chuàng)新IT推動(dòng)行業(yè)變革 技術(shù)巡展奏響華三強(qiáng)音
      基于列車(chē)監(jiān)測(cè)網(wǎng)絡(luò)設(shè)備的射頻功放模塊設(shè)計(jì)
      404 Not Found

      404 Not Found


      nginx
      404 Not Found

      404 Not Found


      nginx
      404 Not Found

      404 Not Found


      nginx
      404 Not Found

      404 Not Found


      nginx
      404 Not Found

      404 Not Found


      nginx
      镇雄县| 赤城县| 太和县| 鄂托克旗| 花垣县| 大余县| 特克斯县| 盈江县| 霍城县| 响水县| 常宁市| 绿春县| 华宁县| 隆昌县| 宣威市| 孝感市| 江安县| 邵东县| 抚顺县| 襄城县| 涪陵区| 佛冈县| 天柱县| 余干县| 全南县| 赤水市| 东山县| 上饶县| 金门县| 扬州市| 棋牌| 吉首市| 孝昌县| 长垣县| 巨野县| 青阳县| 渑池县| 龙游县| 财经| 平塘县| 襄垣县|