1、Cisco網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)設(shè)計技術(shù)方案第一章前言隨著信息技術(shù)的不斷發(fā)展，信息技術(shù)對社會進步和國民經(jīng)濟發(fā)展起著越來越大的促進作用，并對傳統(tǒng)的思想觀念和工作方式帶來巨大的沖擊。在信息化時代，網(wǎng)絡(luò)已進入了各行各業(yè)，同時也促進了各個行業(yè)的發(fā)展。而對于各種制造業(yè)來說，一個強大穩(wěn)定的網(wǎng)絡(luò)，可以更好的提高公司的產(chǎn)量，為公司帶來更高的效益。思科產(chǎn)品和技術(shù)不僅在中國金融、保險、電信、科研等領(lǐng)域取得巨大成功，而且在制造行業(yè)領(lǐng)域也大顯身手。我們愿用多年來在網(wǎng)絡(luò)技術(shù)領(lǐng)域的專業(yè)經(jīng)驗，在制造行業(yè)的征途中貢獻我們的一份力量，為各行各業(yè)增添幾份璀璨。第二章網(wǎng)絡(luò)設(shè)計原則2.1 網(wǎng)絡(luò)的連通性園區(qū)各計算機等終端設(shè)備之間良好的連通性是需

2、要滿足的基本條件，網(wǎng)絡(luò)環(huán)境就是提供需要通信的計算機設(shè)備之間互通的環(huán)境，以實現(xiàn)豐富多彩的網(wǎng)絡(luò)應(yīng)用。2.2 網(wǎng)絡(luò)的可靠性許多現(xiàn)有網(wǎng)絡(luò)在初始建設(shè)時不僅要考慮到如何實現(xiàn)數(shù)據(jù)傳輸，還要充分考慮網(wǎng)絡(luò)的冗余與可靠，否則一旦運行過程網(wǎng)絡(luò)發(fā)生故障，系統(tǒng)又不能很快恢復(fù)工作，所帶來的后果便是園區(qū)的經(jīng)濟損失，影響園區(qū)的聲譽和形象。2.3 網(wǎng)絡(luò)的安全性在商品競爭日益激烈的今天，園區(qū)對網(wǎng)絡(luò)的安全性有非常高的要求。在很多園區(qū)在局域網(wǎng)和廣域網(wǎng)絡(luò)中傳遞的數(shù)據(jù)都是相當(dāng)重要的信息，因此一定要保證數(shù)據(jù)安全保密，防止非法竊聽和惡意破壞，在網(wǎng)絡(luò)建設(shè)的開始就考慮采用嚴(yán)密的網(wǎng)絡(luò)安全措施。2.4 網(wǎng)絡(luò)的可管理性隨著網(wǎng)絡(luò)規(guī)模的日益擴大，網(wǎng)絡(luò)設(shè)備

3、的數(shù)據(jù)和種類日益增加，網(wǎng)絡(luò)應(yīng)用日益多樣化，網(wǎng)絡(luò)管理也日益重要。良好的網(wǎng)絡(luò)管理要重視網(wǎng)絡(luò)管理人力和財力的事先投入，主動控制網(wǎng)絡(luò)，不僅能夠進行定性管理，而且還能夠定量分析網(wǎng)絡(luò)流量，了解網(wǎng)絡(luò)健康狀況。有預(yù)見性地發(fā)現(xiàn)網(wǎng)絡(luò)上的問題，并將其消滅于萌芽狀態(tài)，降低網(wǎng)絡(luò)故障所帶來的損失，使網(wǎng)絡(luò)管理的投入達到事半功倍的效果。2.5 網(wǎng)絡(luò)的擴展性網(wǎng)絡(luò)建設(shè)為未來的發(fā)展提供良好的擴展接口是非常理智的選擇。隨著園區(qū)規(guī)模的擴大、業(yè)務(wù)的增長，網(wǎng)絡(luò)的擴展和升級是不可避免的問題。思科通過模塊化的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計和模塊化的網(wǎng)絡(luò)產(chǎn)品，能為用戶的網(wǎng)絡(luò)提供很強的擴展和升級能力。2.6 網(wǎng)絡(luò)的多媒體支持由于視頻會議、視頻點播、IP電話等多媒體

4、技術(shù)的日趨成熟，網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)已不再是單一數(shù)據(jù)了，多媒體網(wǎng)絡(luò)傳輸成為世界網(wǎng)絡(luò)技術(shù)的趨勢。園區(qū)著眼于未來，對網(wǎng)絡(luò)的多媒體支持是有很多需求的。同時，在網(wǎng)絡(luò)帶寬非常寶貴的情況下，豐富的QoS機制，如：IP優(yōu)先、排隊、組內(nèi)廣播和鏈路壓縮等優(yōu)化技術(shù)能使實時的多媒體和關(guān)鍵業(yè)務(wù)得到有效的保障。2.7 網(wǎng)絡(luò)的高性能隨著互聯(lián)網(wǎng)的發(fā)展，上網(wǎng)用戶的不斷增多，訪問和數(shù)據(jù)傳輸量劇增，網(wǎng)絡(luò)負(fù)荷也相應(yīng)加重；隨著園區(qū)對多媒體技術(shù)的廣泛應(yīng)用，視頻數(shù)據(jù)、音頻數(shù)據(jù)也越來越耗費網(wǎng)絡(luò)帶寬。如果網(wǎng)絡(luò)沒有高性能，會導(dǎo)致系統(tǒng)反應(yīng)緩慢，甚至在業(yè)務(wù)量突增時，發(fā)生系統(tǒng)崩潰、中止和異常等現(xiàn)象。高性能的網(wǎng)絡(luò)也是一些關(guān)鍵業(yè)務(wù)或特殊應(yīng)用的必備條件。第三章

5、需求分析3.1 方案需求1、要求具有較高性能的網(wǎng)絡(luò)，要達到1000M主干，100M到桌面2、要求方便管理，使得管理員通過遠(yuǎn)程就可以對網(wǎng)絡(luò)及終端進行統(tǒng)一管理3、安全控制，對用戶進行控制，及Arp病毒的控制。4、要求所選設(shè)備要有很好的擴展性3.2 實現(xiàn)方法1、園區(qū)采用帶有2個千兆接口的Cisco2811路由器，提供了充足的出口帶寬，下層采用全10/100/1000自適應(yīng)接口的CatalystWS-C3560E-24TD-S作為核心路由器，通過其強大的轉(zhuǎn)發(fā)能力和充足的帶寬，來保證園區(qū)網(wǎng)絡(luò)的暢通。接入層采用Cisco公司專為中國客戶設(shè)計研發(fā)的CatalystWS-C2918-24TC-C,其中文界面使

6、管理員更容易對其管理。此外在商務(wù)部使用LinksysWRT54GL來達到對商務(wù)部的無線覆蓋，使筆記本用戶能夠更加方便的訪問互聯(lián)網(wǎng)。最終實現(xiàn)如下圖的網(wǎng)絡(luò)：第四章局域網(wǎng)及安全方案設(shè)計4.1VLAN規(guī)劃由于以太網(wǎng)將是包鋼計量處網(wǎng)絡(luò)中核心層、接入層、匯接層使用的網(wǎng)絡(luò)標(biāo)準(zhǔn)，因此網(wǎng)絡(luò)可以看成是一個大局域網(wǎng)群，需要涉及到第三層交換，因此我們使用了Cisco公司的VLAN技術(shù)。VLAN是一種無所不在的基本技術(shù)結(jié)構(gòu)。簡而言之，虛擬網(wǎng)絡(luò)是對網(wǎng)絡(luò)系統(tǒng)采用邏輯化而非物理化的管理技術(shù)來實現(xiàn)網(wǎng)絡(luò)安全的策略，其主要協(xié)議為IEEE802.1Q,此協(xié)議結(jié)合了鑒別和加密技術(shù)從而保證整個網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)的保密性與完整性。同時，為了避免

7、VLAN中循環(huán)的可能，VLAN采用了IEEE802.1d（生成樹）的算法。在VLAN的實現(xiàn)策略中，當(dāng)任意結(jié)合的局域網(wǎng)絡(luò)構(gòu)成VLAN時，本機信息包含了IEEE802.1QVLANID，如果此ID不能被設(shè)備的任何端口所接收，則它被過濾掉，只有本機的信息從本交換機發(fā)出。這種策略的用途為可以實現(xiàn)與IEEE802.1Q不兼容白設(shè)備/網(wǎng)絡(luò)的透明通訊。VLAN可以將通訊量進行有效的分割，從而很好的利用帶寬，并可以從邏輯的角度出發(fā)將實際的LAN基礎(chǔ)結(jié)構(gòu)分割成多個子網(wǎng)，這樣減輕了擴容的壓力。因此我們認(rèn)為虛擬網(wǎng)絡(luò)的配置與實施對包鋼計量處這樣一個大型的網(wǎng)絡(luò)來說是非常必要的。另外，為了完成各個不同VLAN間通信，就要

8、使用VLANTrunking。主要是通過一條高速全雙工干道（2000Mbps）來實現(xiàn)將一個交換機端口所劃分的不同VLAN其它交換機中各自的相應(yīng)VLAN成員進行線路復(fù)用連接的技術(shù)。VLANTrunking技術(shù)的采用，節(jié)省了信道數(shù)據(jù)，提高了可靠性。便于管理，方便連接，提高了整個網(wǎng)絡(luò)吞吐量和性能指標(biāo)。10MbpsBandwidthSwitchSwitchVIV2BAV3V1圖：不使用VLANTrankingRouterVAN1toVLAN410Mbpsonlyon10Mb/sBandwidth/ySeSwitch1Switch:cVLAN2toVLAN2SwitchSwitch-Jonlyon10M

9、b/s1/'iv>.ALVaNxV2BlV4V1V2V3.QV14/200MbpsBandwidth得V1V2V3圖：使用VLANTranking如果采用VLANTrunkingva1VLAN1toVLAN4/200Mbps/*J公BandwidthKBjVLAN2toVLAN2|V1V2.V4V1V2V3V1V4F的技術(shù)，則V1、V2、V3均可通過一條全雙工的1000Mbps,即2000Mbps的速率與上級交換機進行互通并經(jīng)過位于樹根部的路由器進行路由選擇與其它的VLAN®行通訊。VLANTrunking技術(shù)的優(yōu)點在于采用一條高速通道連接，提高了通道的使用效率，在V2

10、,V3無數(shù)據(jù)量的情況下，V1可以獨占此1000M帶寬；并且可以使得線路的聯(lián)接變得簡單，從而大大提高可靠性與易維護性。如果不采用VLANTrunking的技術(shù)，則虛擬網(wǎng)絡(luò)的結(jié)構(gòu)將如上圖所示，這樣則需要使用多條1000Mbps與其它的交換機互聯(lián)，其缺點是：線路帶寬的利用率不充分網(wǎng)絡(luò)間布線及接口相應(yīng)增多，造成系統(tǒng)管理的復(fù)雜性，降低了可靠性。4.2 VLAN的設(shè)計在包鋼計量處的設(shè)計中我們劃分VLAN的原則為：1、依據(jù)部門的組織結(jié)構(gòu)；2、依據(jù)業(yè)務(wù)；為了實現(xiàn)按不同的業(yè)務(wù)劃分VLANVLAN的劃分將打破傳統(tǒng)方法：不按地理位置劃分，而是每個業(yè)務(wù)VLAN將跨越數(shù)個接入層，這樣，保證了相同業(yè)務(wù)的工作站雖然所處位置

11、不同但是在邏輯上屬于同一個虛網(wǎng)。此外，CISCO的設(shè)備提供了靈活的QO砌能，能夠使每個VLAN的帶寬根據(jù)需要分配。有關(guān)QOS勺細(xì)節(jié)在“QOS應(yīng)用”章節(jié)進行了詳細(xì)闡述。4.3 VLAN間的隔離虛網(wǎng)之間的完全隔離，可通過CISCO設(shè)備的訪問控制功能實現(xiàn)。CISCO設(shè)備可實現(xiàn)網(wǎng)絡(luò)的二層和第三層的訪問控制，第三層的訪問控制為IP的訪問控制列表，第二層的訪問控制為VLANMAP因為訪問控制是按IP地址進行的，因此IP地址應(yīng)能夠區(qū)分出業(yè)務(wù)類別。下圖為實現(xiàn)VLAN間完全隔離的示意圖實現(xiàn)負(fù)載的均攤。4.4 Vlan的管理眾多的VLANffl果缺乏管理同樣會造成網(wǎng)絡(luò)管理人員的困惑和網(wǎng)絡(luò)運行的混亂，通過VTP(V

12、isualTrunkingProtocol)的使用，我們可以統(tǒng)一管理VLAN的創(chuàng)建、刪除、分配和使用。比如我們將核心交換機6509設(shè)為VTPDOMAINSERVER色，而將其它交換機設(shè)為VTPDOMAINHCCLIENT角色，那么將只有核心交換機6509可以進行VLAN的創(chuàng)建和刪除，任何其他交換機將只能使用由6509已創(chuàng)建好的VLAN即只能將某個端口加入某個VLAN而不能自由的重新創(chuàng)建一個VLAN通過對VLAN的管理，我們可以輕松的在遠(yuǎn)端(網(wǎng)絡(luò)中心)完成VLAN的修改，在網(wǎng)絡(luò)的中心位置控制VLAN間的訪問，有效的控制VLAN間的信息流量，減輕遠(yuǎn)端管理的復(fù)雜度。4.5 內(nèi)部局域網(wǎng)絡(luò)的安全接入內(nèi)部

13、局域網(wǎng)絡(luò)承擔(dān)著整個園區(qū)網(wǎng)絡(luò)的通訊樞紐功能，連接著所有的應(yīng)用服務(wù)器和數(shù)據(jù)系統(tǒng)，任何網(wǎng)絡(luò)安全問題都會擾亂園區(qū)的正常運轉(zhuǎn)，給園區(qū)帶來不可彌補的損失。目前園區(qū)在內(nèi)部局域網(wǎng)中遇到的問題主要有以下幾種:1、IP地址的管理問題，包括IP地址非法使用、IP地址沖突和IP地址欺騙2、利用ARP欺騙獲取賬號、密碼、信息，甚至惡意篡改信息內(nèi)容、嫁禍他人問題3、木馬、蠕蟲病毒攻擊導(dǎo)致的信息失竊、網(wǎng)絡(luò)癱瘓問題4、攻擊或病毒源機器的快速定位、隔離問題IP的地址管理一直是長期困擾園區(qū)局域網(wǎng)安全穩(wěn)定運行的首要問題。在局域網(wǎng)上任何用戶使用未經(jīng)授權(quán)的IP地址都應(yīng)視為IP非法使用。由于終端用戶可以自由修改IP地址，從而產(chǎn)生了IP地

14、址非法使用問題。改動后的IP地址在局域網(wǎng)中運行時可能出現(xiàn)以下情況。?非法的IP地址即IP地址不在規(guī)劃的局域網(wǎng)范圍內(nèi)?重復(fù)的IP地址與已經(jīng)分配且正在局域網(wǎng)運行的合法的IP地址發(fā)生資源沖突，使合法用戶無法上網(wǎng)?冒用合法用戶的IP地址當(dāng)合法用戶不在線時，冒用其IP地址聯(lián)網(wǎng)，使合法用戶的權(quán)益受到侵害無論是有意或無意地使用非法IP地址都可能會給園區(qū)帶來嚴(yán)重的后果，如重復(fù)的IP地址會干擾、破壞網(wǎng)絡(luò)服務(wù)器和網(wǎng)絡(luò)設(shè)備的正常運行，甚至導(dǎo)致網(wǎng)絡(luò)的不穩(wěn)定，從而影響業(yè)務(wù)；擁有被非法使用的IP地址所擁有的特權(quán)，威脅網(wǎng)絡(luò)安全；利用欺騙性的IP地址進行網(wǎng)絡(luò)攻擊，如富有侵略性的TCPSYN洪泛攻擊來源于一個欺騙性的IP地址，

15、它是利用TCP三次握手會話對服務(wù)器進行顛覆的一種攻擊方式，一個IP地址欺騙攻擊者可以通過手動修改地址或者運行一個實施地址欺騙的程序來假冒一個合法地址。為了防止非法使用IP地址，增強網(wǎng)絡(luò)安全，最常見的方法是采用靜態(tài)的ARP命令捆綁IP地址和MAC&址，從而阻止非法用戶在不修改MAC&址的情況下冒用IP地址進行的訪問，同時借助交換機的端口安全即MACfe址綁定功能可以解決非法用戶修改MACfe址以適應(yīng)靜態(tài)ARP表的問題。但這種方法由于要事先收集所有機器的MACM址及相應(yīng)的IP地址，然后還要通過人工輸入方法來建立IP地址和MACM址的捆綁表，不僅工作量繁重，而且也難以維護和管理。另一

16、個顯著的問題就是帶有攻擊特性的ARP欺騙。地址解析協(xié)議(ARP，AddressResolutionProtocol)最基本的功能是用來實現(xiàn)MAC%址和IP地址的綁定，這樣兩個工作站才可以通訊，通訊發(fā)起方的工作站以MACT播方式發(fā)送ARP請求，擁有此IP地址的工作站給予ARP應(yīng)答，并附上自己的IP和MAO址。ARP協(xié)議同時支持一種無請求ARP功能，局域網(wǎng)段上的所有工作站收到主動AR"會將發(fā)送者的MACM址和其宣布的IP地址保存，覆蓋以前的同一IP地址和對應(yīng)的MACfe址。術(shù)語“ARP欺騙”或者說“ARP中毒”就是指利用主動AR稼誤導(dǎo)通信數(shù)據(jù)傳往一個惡意計算機的黑客技術(shù)，該計算機就能成為

17、某個特定局域網(wǎng)網(wǎng)段上的兩臺終端工作站之間IP會話的“中間人”了。如果黑客想探聽同一網(wǎng)絡(luò)中兩臺主機之間的通信(即使是通過交換機相連)，他會分別給這兩臺主機發(fā)送一個ARP應(yīng)答包，讓兩臺主機都“誤”認(rèn)為對方的MAC地址是第三方黑客所在的主機，這樣，雙方看似“直接”的通信連接，實際上都是通過黑客所在的主機間接進行的。黑客一方面得到了想要的通信內(nèi)容，并可以通過工具破譯賬號、密碼、信息，另一方面，還可以惡意更改數(shù)據(jù)包中的一些信息。同時，這種ARP欺騙又極具隱蔽性，攻擊完成后再恢復(fù)現(xiàn)場，所以不易發(fā)覺、事后也難以追查，被攻擊者往往對此一無所知。病毒入侵問題也是所有園區(qū)普遍關(guān)心的問題。這些病毒，可以在極短的時間

18、內(nèi)迅速感染大量系統(tǒng)，甚至造成網(wǎng)絡(luò)癱瘓和信息失竊，給園區(qū)造成嚴(yán)重?fù)p失。木馬病毒往往會利用ARP的欺騙獲取賬號和密碼，而蠕蟲病毒也往往利用IP地址欺騙技術(shù)來掩蓋它們真實的源頭主機。如“網(wǎng)吧傳奇殺手”(Trojan.PSW.LMir.qh)木馬病毒就是一個專門竊取“傳奇”游戲密碼的惡性木馬病毒，其工作原理是對局域網(wǎng)中的機器進行ARP欺騙，虛擬內(nèi)部的網(wǎng)關(guān)地址，以此來收集局域網(wǎng)中傳奇游戲登錄信息，通過解析加密方式從而得到用戶信息的破壞性軟件。在局域網(wǎng)中運行這個病毒后，就可以獲得整個局域網(wǎng)中“傳奇”玩家的帳戶和密碼等信息。例如“局域網(wǎng)終結(jié)者”(Win32.Hack.Arpkill)病毒，通過偽造ARP包來

19、欺騙網(wǎng)絡(luò)主機，使指定的主機網(wǎng)絡(luò)中斷，嚴(yán)重影響到網(wǎng)絡(luò)的運行。最后，令網(wǎng)絡(luò)管理員頭痛的問題是如何準(zhǔn)確定位。當(dāng)出現(xiàn)IP地址被非法使用、IP地址沖突，或網(wǎng)絡(luò)出現(xiàn)異常流量包括由于網(wǎng)絡(luò)掃描、病毒感染和網(wǎng)絡(luò)攻擊產(chǎn)生的流量，為了查找這些IP地址的機器，一般采用如下步驟：1 .確定出現(xiàn)問題的IP地址。2 .查看當(dāng)前網(wǎng)絡(luò)設(shè)備的AR昧，從中獲彳#網(wǎng)卡的MACM址。3 .檢查交換機的MACfe址列表，確定機器位置。這個過程往往要花費大量的時間才能夠定位機器具體連接的物理端口，而對于偽造的源IP地址要查出是從哪臺機器產(chǎn)生的就更加困難了。如果不能及時對故障源準(zhǔn)確地定位、迅速地隔離，將會導(dǎo)致嚴(yán)重的后果，即使在網(wǎng)絡(luò)恢復(fù)正常后

20、隱患依然存在。4 .6阻止來自網(wǎng)絡(luò)第二層攻擊的重要性以上所提到的攻擊和欺騙行為主要來自網(wǎng)絡(luò)的第二層。在網(wǎng)絡(luò)實際環(huán)境中，其來源可概括為兩個途徑：人為實施，病毒或蠕蟲。人為實施通常是指使用一些黑客的工具對網(wǎng)絡(luò)進行掃描和嗅探，獲取管理帳戶和相關(guān)密碼，在網(wǎng)絡(luò)上中安插木馬，從而進行進一步竊取機密文件。攻擊和欺騙過程往往比較隱蔽和安靜，但對于信息安全要求高的園區(qū)危害是極大的。木馬、蠕蟲病毒的攻擊不僅僅是攻擊和欺騙，同時還會帶來網(wǎng)絡(luò)流量加大、設(shè)備CPUJ用率過高、二層生成樹環(huán)路、網(wǎng)絡(luò)癱瘓等現(xiàn)象。網(wǎng)絡(luò)第二層的攻擊是網(wǎng)絡(luò)安全攻擊者最容易實施，也是最不容易被發(fā)現(xiàn)的安全威脅，它的目標(biāo)是讓網(wǎng)絡(luò)失效或者通過獲取諸如密碼

21、這樣的敏感信息而危及網(wǎng)絡(luò)用戶的安全。因為任何一個合法用戶都能獲取一個以太網(wǎng)端口的訪問權(quán)限，這些用戶都有可能成為黑客，同時由于設(shè)計OSI模型的時候，允許不同通信層在相互不了解情況下也能進行工作，所以第二層的安全就變得至關(guān)重要。如果這一層受到黑客的攻擊，網(wǎng)絡(luò)安全將受到嚴(yán)重威脅，而且其他層之間的通信還會繼續(xù)進行，同時任何用戶都不會感覺到攻擊已經(jīng)危及應(yīng)用層的信息安全。所以，僅僅基于認(rèn)證(如IEEE802.1x)和訪問控制列表(ACL，AccessControlLists)的安全措施是無法防止本文中提到的來自網(wǎng)絡(luò)第二層的安全攻擊。一個經(jīng)過認(rèn)證的用戶仍然可以有惡意，并可以很容易地執(zhí)行本文提到的所有攻擊。目

22、前這類攻擊和欺騙工具已經(jīng)非常成熟和易用。歸納前面提到的局域網(wǎng)目前普遍存在的安全問題，根據(jù)這些安全威脅的特征分析，這些攻擊都來自于網(wǎng)絡(luò)的第二層，主要包括以下幾種：MACM址泛濫攻擊DHCP艮務(wù)器欺騙攻擊ARP欺騙IP/MAC地址欺騙CiscoCatalyst智能交換系列的創(chuàng)新特性針對這類攻擊提供了全面的解決方案，將發(fā)生在網(wǎng)絡(luò)第二層的攻擊阻止在通往內(nèi)部網(wǎng)的第一入口處，主要基于下面的幾個關(guān)鍵的技術(shù)。PortSecurityDHCPSnoopingDynamicARPInspection(DAI)IPSourceGuard下面主要針對目前這些非常典型的二層攻擊和欺騙說明如何在思科交換機上組合運用和部署

23、上述技術(shù)，從而防止在交換環(huán)境中的“中間人”攻擊、MAC/CAMC擊、DHC畋擊、地址欺騙等，更具意義的是通過上面技術(shù)的部署可以簡化地址管理，直接跟蹤用戶IP和對應(yīng)的交換機端口，防止IP地址沖突。同時對于大多數(shù)具有地址掃描、欺騙等特征的病毒可以有效的報警和隔離。MAC%址泛濫攻擊的防范5 .7MAC泛濫攻擊的原理和危害交換機主動學(xué)習(xí)客戶端的MACM址，并建立和維護端口和MACM址的對應(yīng)表以此建立交換路徑，這個表就是通常我們所說的CAM表。CAMt的大小是固定的，不同的交換機的CAM表大小不同。MAC/CA瞰擊是指利用工具產(chǎn)生欺騙MAC快速填滿CAMH,交換機CAMB1被填滿。黑客發(fā)送大量帶有隨機

24、源MAC%址的數(shù)據(jù)包，這些新MAGfe址被交換機CAM習(xí)，很快塞滿MAG&址表，這時新目的MAG&址的數(shù)據(jù)包就會廣播到交換機所有端口，交換機就像共享HU屋樣工作，黑客可以用sniffer工具監(jiān)聽所有端口的流量。此類攻擊不僅造成安全性的破壞，同時大量的廣播包降低了交換機的性能。當(dāng)交換機的CAM表被填滿后，交換機以廣播方式處理通過交換機的報文，這時攻擊者可以利用各種嗅探攻擊獲取網(wǎng)絡(luò)信息。更為嚴(yán)重的是，這種攻擊也會導(dǎo)致所有鄰接的交換機CAM表被填滿，流量以洪泛方式發(fā)送到所有交換機的所有含有此VLAN的接口，從而造成交換機負(fù)載過大、網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。防范方法限制單個端口所連接MA

25、CM址的數(shù)目可以有效防止類似macof工具和SQL蠕蟲病毒發(fā)起的攻擊，macof可被網(wǎng)絡(luò)用戶用來產(chǎn)生隨機源MACM址和隨機目的MAC%址的數(shù)據(jù)包，可以在不到10秒的時間內(nèi)填滿交換機的CAM表。CiscoCatalyst交換機的端口安全(PortSecurity)和動態(tài)端口安全功能可被用來阻止MAC乏濫攻擊。例如交換機連接單臺工作站的端口，可以限制所學(xué)MACM址數(shù)為1;連接IP電話和工作站的端口可限制所學(xué)MACM址數(shù)為3：IP電話、工作站和IP電話內(nèi)的交換機。通過端口安全功能，網(wǎng)絡(luò)管理員也可以靜態(tài)設(shè)置每個端口所允許連接的合法MAG&址,實現(xiàn)設(shè)備級的安全授權(quán)。動態(tài)端口安全則設(shè)置端口允許合法

26、MAG&址的數(shù)目，并以一定時間內(nèi)所學(xué)習(xí)到的地址作為合法MAG&址。通過配置PortSecurity可以控制：1、端口上最大可以通過的MACM址數(shù)量2、端口上學(xué)習(xí)或通過哪些MACM址3、對于超過規(guī)定數(shù)量的MACb理進行違背處理端口上學(xué)習(xí)或通過哪些MAG&址，可以通過靜態(tài)手工定義，也可以在交換機自動學(xué)習(xí)。交換機動態(tài)學(xué)習(xí)端口MAC直到指定的MACM址數(shù)量，交換機關(guān)機后重新學(xué)習(xí)。目前較新的技術(shù)是StickyPortSecurity,交換機將學(xué)到的mac地址寫到端口配置中，交換機重啟后配置仍然存在。對于超過規(guī)定數(shù)量的MACb理進行處理一般有三種方式(針對交換機型號會有所不同)：S

27、hutdown：端口關(guān)閉。Protect：丟棄非法流量，不報警。Restrict：丟棄非法流量，報警。配置示例PortSecurity配置選項：Switch(config-if)#switchportport-security?agingPort-securityagingcommandsmac-addressSecuremacaddressmaximumMaxsecureaddressesviolationSecurityviolationmode配置PortSecurity最大MACB：目，違背處理方式，恢復(fù)方法:Switch(config)#intfastEthernet3/48Swit

28、ch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum2Switch(config-if)#switchportport-securityviolationshutdownSwitch(config)#errdisablerecoverycausepsecure-violationSwitch(config)#errdisablerecoveryinterval30通過配置stickyport-security學(xué)得的MACinterfaceFastEthernet3/29swit

29、chportmodeaccessswitchportport-securityswitchportport-securitymaximum5switchportport-securitymac-addressstickyswitchportport-securitymac-addresssticky000b.db1d.6ccdswitchportport-securitymac-addresssticky000b.db1d.6cceswitchportport-securitymac-addresssticky000d.6078.2d95switchportport-securitymac-a

30、ddresssticky000e.848e.ea01DHCPB騙攻擊的防范4.8 采用DHCPf理的常見問題采用DHCPserver可以自動為用戶設(shè)置網(wǎng)絡(luò)IP地址、掩碼、網(wǎng)關(guān)、DNSWINS等網(wǎng)絡(luò)參數(shù)，簡化了用戶網(wǎng)絡(luò)設(shè)置，提高了管理效率。但在DHCPf理使用上也存在著一些另網(wǎng)管人員比較問題，常見的有：1、 DHCPserver的冒充。2、 DHCPserver的DO或擊。3、有些用戶隨便指定地址，造成網(wǎng)絡(luò)地址沖突。4、由于DHCP的運作機制，通常服務(wù)器和客戶端沒有認(rèn)證機制，如果網(wǎng)絡(luò)上存5、6、在多臺DHCP艮務(wù)器將會給網(wǎng)絡(luò)照成混亂。由于不小心配置了DHCPI艮務(wù)器弓1起的網(wǎng)絡(luò)混亂也非常常見。黑

31、客利用類似Goobler的工具可以發(fā)出大量帶有不同源MACM址的DHCP青求，直到DHCP艮務(wù)器對應(yīng)網(wǎng)段的所有地址被占用，此類攻擊既可以造成DOSW破壞，也可和DHCP艮務(wù)器欺詐結(jié)合將流量重指到意圖進行流量截取的惡意節(jié)點。DHCP艮務(wù)器欺詐可能是故意的，也可能是無意啟動DHCFW務(wù)器功能，惡意用戶發(fā)放錯誤的IP地址、DNS!艮務(wù)器信息或默認(rèn)網(wǎng)關(guān)信息，以此來實現(xiàn)流量的截取。一個“不可靠”的DHCF務(wù)器通常被用來與攻擊者協(xié)作，對網(wǎng)絡(luò)實施“中間人”MITM(Man-In-The-Middle)攻擊。中間人攻擊是一種攻擊者利用正常的協(xié)議處理行為來更改兩個終端之間的正常通信數(shù)據(jù)流而形成的一種攻擊技術(shù)。首

32、先一個黑客會廣播許多含有欺騙性MACM址的DHCP青求(動態(tài)主機配置請求)，從而耗盡合法DHCF務(wù)器上的地址空間，一旦其空間地址被耗盡，這個“不可靠”的DHCPI艮務(wù)器就開始向“用戶”的DHCP青求進行應(yīng)答了，這些應(yīng)答信息中將包括DNS!艮務(wù)器和一個默認(rèn)網(wǎng)關(guān)的信息，這些信息就被用來實施一個MITM中間人攻擊。黑客也可以利用冒充的DHCP艮務(wù)器，為用戶分配一個經(jīng)過修改的DNSServer，在用戶毫無察覺的情況下被引導(dǎo)在預(yù)先配置好的假金融網(wǎng)站或電子商務(wù)網(wǎng)站，騙取用戶帳戶和密碼，這種攻擊是非常惡劣的。4.9 DHCPSnooping技術(shù)概述DHCPSnooping技術(shù)是DHC汝全特性，通過建立和維護

33、DHCPSnooping綁定表過濾不可信任的DHCP言息，這些信息是指來自不信任區(qū)域的DHCP言息。通過截取一個虛擬局域網(wǎng)內(nèi)的DHCP言息，交換機可以在用戶和DHCF®務(wù)器之間擔(dān)任就像小型安全防火墻這樣的角色，“DHCP5聽”功能基于動態(tài)地址分配建立了一個DHCPW定表，并將該表存貯在交換機里。在沒有DHCP勺環(huán)境中，如數(shù)據(jù)中心，綁定條目可能被靜態(tài)定義，每個DHCPB定條目包含客戶端地址(一個靜態(tài)地址或者一個從DHCP艮務(wù)器上獲取的地址)、客戶端MAC1址、端口、VLANID、租借時間、綁定類型(靜態(tài)的或者動態(tài)的)。如下表所示：Cat6509#shipdhcpsnoopingbind

34、ingMacAddressIpAddressLease(sec)TypeVLANInterface00:0D:60:2D:45:0D3600735dhcp-snooping100GigabitEthernet1/0/7這張表不僅解決了DHCP用戶的IP和端口跟蹤定位問題，為用戶管理提供方便，而且還供給動態(tài)ARP檢測(DAI)和IPSourceGuard使用。基本防范為了防止這種類型的攻擊，CatalystDHCP偵聽(DHCPSnooping)功能可有效阻止此類攻擊，當(dāng)打開此功能，所有用戶端口除非特別設(shè)置，被認(rèn)為不可信任端口，不應(yīng)該作出任何DHCF1向應(yīng)，因此欺詐DHCPI

35、向應(yīng)包被交換機阻斷，合法的DHCP艮務(wù)器端口或上連端口應(yīng)被設(shè)置為信任端口。CatalystDHCP偵聽(DHCPSnooping)對于下邊介紹的其他阻止ARP欺騙和IP/MAC地址的欺騙是必需的。首先定義交換機上的信任端口和不信任端口，對于不信任端口的DHCR艮文進行截獲和嗅探，DRO辭來自這些端口的非正常DHCP：向應(yīng)應(yīng)報文，如下圖所示：BADDHGP Responses: offer, ack, nakDHCP Snooping EnRbledDHCPServer基本配置示例如下表:IOS全局命令：ipdhcpsnoopingvlan100,200/*定義哪些VLAN啟用DHCFPM探ip

36、dhcpsnooping接口命令：ipdhcpsnoopingtrustnoipdhcpsnoopingtrust(Default)ipdhcpsnoopinglimitrate10(pps)/*一定程度上防止DHCP巨絕服務(wù)攻擊*/手工添加DHCPB定表：ipdhcpsnoopingbinding000b.db1d.6ccdvlaninterfacegi1/1expiry1000導(dǎo)出DHCPW定表到TFTP服務(wù)器：ipdhcpsnoopingdatabasetftp:/directory/file需要注意的是DHCPW定表要存在本地存貯器（Bootfalsh

37、、slot0、ftp、tftp）或?qū)С龅街付═FTP服務(wù)器上，否則交換機重啟后DHCPB定表丟失，對于已經(jīng)申請到IP地址的設(shè)備在租用期內(nèi)，不會再次發(fā)起DHCP#求，如果此時交換機己經(jīng)配置了下面所講到的DAI和IPSourceGuard技術(shù)，這些用戶將不能訪問網(wǎng)絡(luò)。4.10高級防范對于類似Gobbler的DHCP服務(wù)的口0畋擊可以利用前面的PortSecurity限制源MAC地址數(shù)目加以阻止，對于有些用戶隨便指定地址，造成網(wǎng)絡(luò)地址沖突也可以利用后面提到的DAI和IPSourceGuard技術(shù)。有些復(fù)雜的DHCPC擊工具可以產(chǎn)生單一源MACM址、變化DHCPPayload信息的DHCP請求，當(dāng)打開

38、DHCP貞聽功能，交換機對非信任端口的DHCP青求進行源MAC地址和DHCPPayload信息的比較，如不匹配就阻斷此請求。ARP欺騙攻擊原理和防范4.11 ARP欺騙攻擊原理ARP是用來實現(xiàn)MAG&址和IP地址的綁定，這樣兩個工作站才可以通訊，通訊發(fā)起方的工作站以MACT播方式發(fā)送ARP青求，擁有此IP地址的工作站給予ARP應(yīng)答，送回自己的IP和MACM址。ARP協(xié)議同時支持一種無請求ARP功能，局域網(wǎng)段上的所有工作站收到主動ARP廣播，會將發(fā)送者的MAC%址和其宣布的IP地址保存，覆蓋以前cache的同一IP地址和對應(yīng)的MACM址，主動式ARP合法的用途是用來以備份的工作站替換失敗

39、的工作站。由于ARP無任何身份真實校驗機制，黑客程序發(fā)送誤導(dǎo)的主動式ARP使網(wǎng)絡(luò)流量重指經(jīng)過惡意攻擊者的計算機，變成某個局域網(wǎng)段IP會話的中間人，達到竊取甚至篡改正常傳輸?shù)墓πА：诳统绦虬l(fā)送的主動式ARP采用發(fā)送方私有MAG&址而非廣播地址，通訊接收方根本不會知道自己的IP地址被取代。為了保持ARP欺騙的持續(xù)有效，黑客程序每隔30秒重發(fā)此私有主動式ARR黑客工具如ettercap、dsniff和arpspoof都能實現(xiàn)AR哪騙功能。像ettercap可提供一個用戶界面，在對本地網(wǎng)段所有工作站的掃描后，ettercap顯示所有工作站源地址和目的地址，選才iARP哄騙命令后，除數(shù)據(jù)包的截取

40、外，內(nèi)置的智能sniffer功能還可以針對不同IP會話獲取password信息。這里舉個例子，假定同一個局域網(wǎng)內(nèi)，有3臺主機通過交換機相連：A主機：IP地址為,MAC地址為01:01:01:01:01:01B主機：IP地址為,MAC地址為02:02:02:02:02:02C主機：IP地址為,MAC地址為03:03:03:03:03:03B主機對A和C進行欺騙的前奏就是發(fā)送假的ARP應(yīng)答包，如圖所示:C1010101091Hill"Wl'JI'HI.剛6If.'ll nsii."'

41、;063 0002。”由門n”函q191.OOOOOQflOOflOOI92J6S.0.IB 工;-i a； ARP ' '：一03000400000000(1啥mB”； C 的 良二qoflwoouqflool 122 儂Q.3.M n :舊憶/EEMA發(fā)給B的雙翦包甲丁源 MAC 01010IQIOI既阪。I l；MI ： IP IK.IRXU?1921品0IQ2,16m192.168.03DIOIOIOIOI呢。2設(shè)況似02。3。如顯甘在收到B主機發(fā)來的ARP應(yīng)答后，A主機應(yīng)知道:至IJ的數(shù)據(jù)包應(yīng)該發(fā)到MACM址為020202020202的主機；C主

42、機也知道：到的數(shù)據(jù)包應(yīng)該發(fā)到MAC地址為020202020202的主機。這樣，A和C都認(rèn)為對方的MAC地址是020202020202,實際上這就是B主機所需得到的結(jié)果。當(dāng)然，因為ARP緩存表項是動態(tài)更新的，其中動態(tài)生成的映射有個生命期，一般是兩分鐘，如果再沒有新的信息更新，ARP映射項會自動去除。所以，B還有一個“任務(wù)”，那就是一直連續(xù)不斷地向A和C發(fā)送這種虛假的ARP響應(yīng)包，讓其AR嚓存中一直保持被毒害了的映射表項。現(xiàn)在，如果A和C要進行通信，實際上彼此發(fā)送的數(shù)據(jù)包都會先到達B主機，這時，如果B不做進一步處理，A和C之間的通信就無法正常建立，B也就達不到“嗅探”通信內(nèi)容

43、的目的，因此，B要對“錯誤”收到的數(shù)據(jù)包進行一番修改，然后轉(zhuǎn)發(fā)到正確的目的地，而修改的內(nèi)容，無非是將目的MAC和源MAC地址進行替換。如此一來，在A和C看來，彼此發(fā)送的數(shù)據(jù)包都是直接到達對方的，但在B來看，自己擔(dān)當(dāng)?shù)木褪恰暗谌摺钡慕巧＿@種嗅探方法，也被稱作中間人MIMT(Man-In-The-Middle)的方法。如圖所示。：ILMM:02020202020j11I；IP1駝.16X0；防范方法這些攻擊都可以通過動態(tài)ARP檢查(DAI,DynamicARPInspection)來防止，它可以幫助保證接入交換機只傳遞“合法的”的ARP請求和應(yīng)答信息。DHCFSnooping監(jiān)聽綁定表包才IP

44、地址與MACfe址的綁定信息并將其與特定的交換機端口相關(guān)聯(lián)，動態(tài)ARP僉測(DAI-DynamicARPInspection)可以用來檢查所有非信任端口的ARP請求和應(yīng)答(主動式ARP和非主動式ARP),確保應(yīng)答來自真正的ARP所有者。Catalyst交換機通過檢查端口紀(jì)錄的DHCP定信息和ARP應(yīng)答的IP地址決定是否真正的ARP所有者，不合法的AR咆將被刪除。DAI配置針對VLAN對于同一VLAN內(nèi)的接口可以開啟DAI也可以關(guān)閉，如果AR咆從一個可信任的接口接受到，就不需要做任何檢查，如果AR咆在一個不可信任的接口上接受到，該包就只能在綁定信息被證明合法的情況下才會被轉(zhuǎn)發(fā)出去。這樣，DHCP

45、Snooping對于DAI來說也成為必不可少的，DAI是動態(tài)使用的，相連的客戶端主機不需要進行任何設(shè)置上的改變。對于沒有使用DHCP的服務(wù)器個別機器可以采用靜態(tài)添加DHCP綁定表或ARPaccess-list實現(xiàn)。另外，通過DAI可以控制某個端口的ARP請求報文頻率。一旦ARP請求頻率的頻率超過預(yù)先設(shè)定的閾值，立即關(guān)閉該端口。該功能可以阻止網(wǎng)絡(luò)掃描工具的使用，同時對有大量ARPM文特征的病毒或攻擊也可以起到阻斷作用。配置示例IOS全局命令：ipdhcpsnoopingvlan100,200noipdhcpsnoopinginformationoptionipdhcpsnoopingiparpi

46、nspectionvlan100,200/*定義對哪些VLAN®彳TAR用艮文檢測*/iparpinspectionlog-bufferentries1024iparpinspectionlog-bufferlogs1024interval10IOS接口命令：ipdhcpsnoopingtrustiparpinspectiontrust/*定義哪些接口是信任接口，通常是網(wǎng)絡(luò)設(shè)備接口，TRUNK接口等*/iparpinspectionlimitrate15(pps)/*定義接口每秒ARP報文數(shù)量*/對于沒有使用DHC股備可以采用下面辦法：arpaccess-liststatic-arp

47、permitiphostmachost0009.6b88.d387iparpinspectionfilterstatic-arpvlan201配置DAI后的效果在配置DAI技術(shù)的接口上，用戶端不能采用指定地址地址將接入網(wǎng)絡(luò)。由于DAI檢查DHCPsnooping綁定表中的IP和MAC寸應(yīng)關(guān)系，無法實施中間人攻擊，攻擊工具失效。下表為實施中間人攻擊是交換機的警告：3w0d:%SW_DAI-4-DHCP_SNOOPING_DENY:InvalidARPs(Req)onFa5/16,vlan1.(000b.db1d.6ccd/00/0000.0000.00

48、00/由于對ARP請求報文做了速度限制，客戶端無法進行認(rèn)為或者病毒進行的IP掃描、探測等行為，如果發(fā)生這些行為，交換機馬上報警或直接切斷掃描機器。如下表所示：3w0d:%SW_DAI-4-PACKET_RATE_EXCEEDED:16packetsreceivedin184millisecondsonFa5/30.*報警3w0d:%PM-4-ERR_DISABLEarp-inspectionerrordetectedonFa5/30,puttingFa5/30inerr-disablestate*切斷端口I49-6500-1#.shintf.5/30FastEtherne

49、t5/30isdown,lineprotocolisdown(err-disabled)HardwareisFastEthernetPort,addressis0002.b90e.3f4d(bia0002.b90e.3f4d)MTU1500bytes,BW100000Kbit,DLY100usec,reliability255/255,txload1/255,rxload1/255I49-6500-1#4.12 IP/MAC欺騙的防范常見的欺騙攻擊的種類和目的除了ARP欺騙外，黑客經(jīng)常使用的另一手法是IP地址欺騙。常見白欺騙種類有MACB騙、IP欺騙、IP/MAC欺騙，其目的一般為偽造身份或者

50、獲取針對IP/MAC的特權(quán)。此方法也被廣泛用作DO或擊，目前較多的攻擊是：PingOfDeath、Synflood、ICMPUnreacheableStorm。如黑客冒用A地址對B地址發(fā)出大量的ping包，所有ping應(yīng)答都會返回到B地址，通過這種方式來實施拒絕服務(wù)(DoS)攻擊，這樣可以掩蓋攻擊系統(tǒng)的真實身份。富有侵略性的TCPSYN共泛攻擊來源于一個欺騙性的IP地址，它是利用TCP三次握手會話對服務(wù)器進行顛覆的又一種攻擊方式。一個IP地址欺騙攻擊者可以通過手動修改地址或者運行一個實施地址欺騙的程序來假冒一個合法地址。另外病毒和木馬的攻擊也會使用欺騙的源IP地址。互聯(lián)網(wǎng)上的蠕蟲病毒也往往利用

51、欺騙技術(shù)來掩蓋它們真實的源頭主機。IP/MAC欺騙的防范CatalystIP源地址保護(IPSourceGuard)功能打開后，可以根據(jù)DHCP貞聽記錄的IP綁定表動態(tài)產(chǎn)生PVACL強制來自此端口流量的源地址符合DHCP?定表的記錄，這樣攻擊者就無法通過假定一個合法用戶的IP地址來實施攻擊了，這個功能將只允許對擁有合法源地址的數(shù)據(jù)保進行轉(zhuǎn)發(fā)，合法源地址是與IP地址綁定表保持一致的，它也是來源于DHCPSnooping綁定表。因此，DHCPSnooping功能對于這個功能的動態(tài)實現(xiàn)也是必不可少的，對于那些沒有用到DHCP勺網(wǎng)絡(luò)環(huán)境來說，該綁定表也可以靜態(tài)配置。IPSourceGuard不但可以配

52、置成對IP地址的過濾也可以配置成對MAC%址的過濾，這樣，就只有IP地址和MACM址都于DHCPSnooping綁定表匹配的通信包才能夠被允許傳輸。此時，必須將IP源地址保護IPSourceGuard與端口安全PortSecurity功能共同使用，并且需要DHCP艮務(wù)器支持Option82時，才可以抵御IP地址+MACM址的欺騙。與DAI不同的是，DAI僅僅檢查ARP報文，IPSourceGuard對所有經(jīng)過定義IPSourceGuard檢查的端口的報文都要檢測源地址。通過在交換機上配置IPSourceGuard,可以過濾掉非法的IP/MAC地址，包含用戶故意修改的和病毒、攻擊等造成的。同時解

53、決了IP地址沖突問題。檢測接口上的IP+MACIOS全局配置命令：ipdhcpsnoopingvlan12,200ipdhcpsnoopinginformationoptionipdhcpsnooping接口配置命令：ipverifysourcevlandhcp-snoopingport-securityswitchportmodeaccessswitchportport-securityswitchportport-securitymaximum3檢測接口上的IPIOS全局配置命令ipdhcpsnoopingvlan12,200noipdhcpsnoopinginformationoptio

54、nipdhcpsnooping接口配置命令：ipverifysourcevlandhcp-snooping不使用DHCP勺靜態(tài)配置IOS全局配置命令：ipdhcpsnoopingvlan12,200ipdhcpsnoopinginformationoptionipdhcpsnoopingipsourcebinding0009.6b88.d387vlan21interfaceGi4/54.13 內(nèi)部管理用戶的訪問授權(quán)網(wǎng)絡(luò)的安全保障很大程度是通過網(wǎng)絡(luò)設(shè)備的安全功能來實現(xiàn)，網(wǎng)絡(luò)設(shè)備本身的安全管理顯得尤為重要。不同的內(nèi)部管理用戶應(yīng)該擁有不同的設(shè)備訪問權(quán)限，如有人只能show系統(tǒng)

55、信息，有人可以config系統(tǒng)參數(shù)，具體到每一條命令，要求具有靈活性，這樣在網(wǎng)絡(luò)中有多個管理員時可以最大程度保障安全管理。另外，任何管理員、任何時候?qū)W(wǎng)絡(luò)設(shè)備的任何操作，都要有詳細(xì)的記錄，具體到管理員鍵盤輸入的每一條命令，為設(shè)備的維護提供了極大的方便。一旦系統(tǒng)發(fā)生問題，立刻可以查到什么人、什么時候、修改了什么配置，這一點對大型生產(chǎn)網(wǎng)絡(luò)的穩(wěn)定運行非常重要。CISCO的路由器產(chǎn)品可以分配16種不同的特權(quán)，每種特權(quán)有規(guī)定的命令集，這使得每個特權(quán)用戶只能執(zhí)行某些命令，從而提高了安全性。用戶的分級管理在網(wǎng)絡(luò)管理中，一般有許多不同角色的管理者，例如網(wǎng)管操作員，一般網(wǎng)絡(luò)管理員，高級網(wǎng)絡(luò)管理員，同時，根據(jù)網(wǎng)絡(luò)

56、的區(qū)域劃分，也可分為區(qū)域級網(wǎng)絡(luò)管理人員和中心級網(wǎng)絡(luò)管理人員，這些網(wǎng)絡(luò)管理人員根據(jù)其職責(zé)的不同和所管理的網(wǎng)絡(luò)范圍，功能的不同，應(yīng)該具有不同的權(quán)限。因此，對網(wǎng)絡(luò)上的用戶進行分級管理，是十分必要的。缺省情況下，CiscoIOS軟件有兩種模式，用戶模式和特權(quán)模式，每種模式又可以設(shè)置16種不同層次的優(yōu)先級別，用戶可以對這16種不同層次的優(yōu)先級別進行設(shè)置，從而使不同的用戶具有不同的權(quán)限，可以執(zhí)行自己權(quán)限范圍內(nèi)的命令，以完成不同的網(wǎng)絡(luò)管理目的。同時，用戶也可以對某個特殊命令進行編輯和組合，使它可以加入不同的優(yōu)先級別，從而達到不同的管理目的。一般情況按照網(wǎng)絡(luò)規(guī)模，功能及區(qū)域，建議分為兩類用戶：區(qū)域網(wǎng)絡(luò)管理和中心全網(wǎng)管理。每類又可分為以下三種不同的用戶分級。區(qū)域網(wǎng)絡(luò)管理分級對于區(qū)域網(wǎng)絡(luò)管理，網(wǎng)管人員只能對指定的部分網(wǎng)路設(shè)備進行管理和監(jiān)控，其權(quán)限劃定在一定的范圍之內(nèi)。區(qū)域用網(wǎng)絡(luò)管理分為以下