1. 網路要保證安全在設備上怎樣做,如路由器交換機的配置
路由器安全策略示例:
1. 路由器上不得配置用戶賬戶。
2. 路由器上的enable password命令必須以一種安全的加密形式保存。
3. 禁止IP的直接廣播。
4. 路由器應當阻止源地址為非法地址的數據包。
5. 在本單位的業務需要增長時,添加相應的訪問規則。
6. 路由器應當放置在安全的位置,對其物理訪問僅限於所授權的個人。
7. 每一台路由器都必須清楚地標識下面的聲明:
「注意:禁止對該網路設備的非授權訪問。您必須在獲得明確許可的情況下才能訪問或配置該設備。在此設備上執行的所有活動必須加以記錄,對該策略的違反將受到紀律處分,並有可能被訴諸於法律。」
每一台網路交換機必須滿足以下的配置標准:
1. 交換機上不得配置用戶賬戶。
2. 交換機上的enable password命令必須以一種安全的加密形式保存。
3. 如果交換機的MAC水平的地址能夠鎖定,就應當啟用此功能。
4. 如果在一個埠上出現新的或未注冊的MAC地址,就應當禁用此埠。
5. 如果斷開鏈接後又重新建立鏈接,就應當生成一個SNMP trap.
6. 交換機應當放置在安全的位置,對其物理訪問僅限於所授權的個人。
7. 交換機應當禁用任何Web 伺服器軟體,如果需要這種軟體來維護交換機的話,應當啟動伺服器來配置交換機,然後再禁用它。對管理員功能的所有訪問控制都應當啟用。
8. 每一台交換機都必須清楚地標識下面的聲明:
「注意:禁止對該網路設備的非授權訪問。您必須在獲得明確許可的情況下才能訪問或配置該設備。在此設備上執行的所有活動必須加以記錄,對該策略的違反將受到紀律處分,並有可能被訴諸於法律。」這些安全要求未必適合你單位的情況,僅供參考。
2. 開兩個問題400分懸賞懂區域網技術的高手,咨詢幾個關於交換機、路由器之類設備和網路安全的問題!!!!
專利一:
堆疊可以大大提高交換機埠密度和性能。堆疊單元具有足以匹敵大型機架式交換機的埠密度和性能,而投資卻比機架式交換機便宜得多,實現起來也靈活得多。這就是堆疊得優勢所在。
堆疊,不是所有的設備都可以的。
滿足的要求:採用專用堆疊模塊和堆疊匯流排進行堆疊,不佔用網路埠;多台交換機堆疊後,具有足夠的系統帶寬,從而保證堆疊後每個埠仍能達到線速交換;多台交換機堆疊後,VLAN等功能不受影響。
市場上的主流交換機可以細分為可堆疊型和非堆疊型兩大類。而號稱可以堆疊的交換機中,又有虛擬堆疊和真正堆疊之分。所謂的虛擬堆疊,實際就是交換機之間的級聯。交換機並不是通過專用堆疊模塊和堆疊電纜,而是通過Fast Ethernet埠或Giga Ethernet埠進行堆疊,實際上這是一種變相的級聯。即便如此,虛擬堆疊的多台交換機在網路中已經可以作為一個邏輯設備進行管理,從而使網路管理變得簡單起來。
一般來說,不同廠家、不同型號的交換機可以互相級聯,堆疊則不同,它必須在可堆疊的同類型交換機(至少應該是同一廠家的交換機)之間進行;級聯僅僅是交換機之間的簡單連接,堆疊則是將整個堆疊單元作為一台交換機來使用,這不但意味著埠密度的增加,而且意味著系統帶寬的加寬。
3. 路由交換機應如何加強網路安全性
,但是攻擊是通過網路進行的,因此當這些蠕蟲病毒大規模爆發時,交換機、路由器會首先受到牽連。抽樣分析表明:近50%的用戶反映Slammer、沖擊波等蠕蟲病毒沖擊了路由交換機,36%的用戶的路由器受到沖擊。用戶只有通過重啟交換路由設備、重新配置訪問控制列表才能消除蠕蟲病毒對網路設備造成的影響。
蠕蟲病毒攻擊網路設備
蠕蟲病毒發作導致網路吞吐效率下降、變慢。如果網路中存在瓶頸,就會導致網路停頓甚至癱瘓。這些瓶頸可能是線路帶寬,也可能是路由器、交換機的處理能力或者內存資源。需要指出的是,網路中的路由器、交換機已經達到或接近線速,內網帶寬往往不收斂,在這種情況下,病毒攻擊產生的流量對區域網內部帶寬不會造成致命堵塞,但位於網路出口位置的路由器和位於網路核心位置的三層交換機卻要吞吐絕大多數的流量,因而首當其沖地受到蠕蟲病毒的攻擊。接入層交換機通常需要與用戶終端直接連接,一旦用戶終端感染蠕蟲病毒,病毒發作就會嚴重消耗帶寬和交換機資源,造成網路癱瘓,這一現象早已屢見不鮮。
4. 良好的網路設備安全配置管理原則
網路配置與管理
第一章
1. 計算機技術與通訊技術的緊密結合產生了計算機網路。它經歷了三個階段的發展過程:
具有通信功能的單機系統、具有通信功能的多機系統和計算機網路。
2. 計算機網路按邏輯功能分為資源子網和通信子網兩部分。
資源子網是計算機網路中面向用戶的部分,負責數據處理工作。
通信子網是網路中數據通信系統,它用於信息交換的網路節點處理機和通信鏈路組成,主要負責通信處理工作。
3. 網路設備,在現代網路中,依靠各種網路設備把各個小網路連接起來,形成了一個更大的網路,也就是Internet。網路設備主要包括:網卡(NIC)、數據機(Modem)、集線器(Hub)、中繼器(Repeater)、網橋(Bridge)、交換機(Switch)、路由器(Router)和網關(Gateway)等。
4. 集線器是一種擴展網路的重要設備,工作在物理層。中繼器工作在物理層,是最簡單的的區域網延伸設備,主要作用是放大傳輸介質上傳輸的信號。網橋,工作在數據鏈路層,用於連接同類網路。交換機分為二層交換機和三層交換機,二層工作在數據鏈路層,根據MAC地址轉發幀。三層交換機工作在網路層,根據網路地址轉發數據包。每個埠都有橋接功能,所有埠都是獨立工作的,連接到同一交換機的用戶獨立享受交換機每個埠提供的帶寬,因此用交換機來擴展網路的時候,不會出現網路性能惡化的情況,這是目前使用最多的網路擴展設備。路由器,工作在網路層,它的作用是連接區域網和廣域網。網關工作在應用層。
5. 傳輸介質,可分為有線傳輸介質和無線傳輸介質。
6. 計算機網路的分類,根據地理范圍可以分為區域網(LAN)、城域網(MAN)、廣域網(WAN)、和互聯網(Internet)4種。
7. 區域網的分類,區域網主要是以雙絞線為傳輸介質的乙太網,基本上是企業和事業的區域網。
8. 乙太網分為標准乙太網,快速乙太網,千兆乙太網和10G乙太網。
9. 令牌環網,在一種專門的幀稱為「令牌」,在環路上持續地傳輸來確定一個結點何時可以發送包。
10. FDDI網,光纖分布式數據介面。同IBM的令牌環網技術相似,並具有LAN和令牌環網所缺乏的管理、控制和可靠性措施。
11. ATM網,非同步傳輸模式,ATM使用53位元組固定長度的單元進行交換。ATM的優點:使用相同的數據單元,可實現廣域網和區域網的無縫連接。支持VLAN(虛擬區域網)功能,可以對網路進行靈活的管理和配置。具有不同的速率,分為25、51、155、622Mbps,從而為不同的應用提供不同的速率。ATM採用「信元交換」來代替「包交換」進行實驗,發現信元交換的速度是非常快的。
12. 無線區域網,所採用的是802.11系列標准,它也是由IEEE 802標准委員會制定的。目前一系列標准主要有4個標准:802.11b 802.11a 802.11g 802.11z,前三個標准都是針對傳輸速度進行的改進。802.11b,它的傳輸速度為11MB/S,因為它的連接速度比較低,隨後推出了802.11a標准,它的連接速度可達54MB/S。但由於兩者不兼容,所以推出了802.11g,這樣原有的802.11b和802.11a標準的設備都可以在同一網路中使用。802.11z是一種專門為了加強無線區域網安全的標准。因為無線區域網的「無線」特點,給網路帶來了極大的不安全因素,為此802.11z標准專門就無線網路的安全做了明確規定,加強了用戶身份認證制度,並對傳輸的數據進行加密。
13. 網路協議的三要素為:語法,語義,同步。
14. OSI參考模型是計算機網路的基本體系結構模型,通常使用的協議有:TCP/IP協議、IPX/SPX協議、NetBEUI協議等。
15. OSI模型將通信會話需要的各種進程劃分7個相對獨立的功能層次,從下到上依次是:物理層 數據鏈路層 網路層 傳輸層 會話層 表示層 應用層。
16. TCP/IP參考模型包括4個功能層:應用層 傳輸層 網際層及介面層
17. 協議組件 IP:網路層協議。 TCP:可靠的主機到主機層協議。 UDP:盡力轉發的主機到主機層協議。 ICMP:在IP網路內為控制、測試、管理功能而設計的多協議。
18. IP地址介紹,地址實際上是一種標識符,它能夠幫助找到目的站點,起到了確定位置的作用。IP 地址分為A B C DE類地址。
19. IP地址的使用規則:
20. 網路號全0的地址保留,不能作為標識網路使用。主機號全0的地址保留,用來標識網路地址。
網路號全1、主機號全0的地址代表網路的子網掩碼。
地址0.0.0.0:表示默認路由。
地址255.255.255.255:代表本地有限廣播。
主機號全1的地址表示廣播地址,稱為直接廣播或是有限廣播。可以跨越路由器。
21. 劃分子網後整個IP地址就分為三個部分:主網號,它對應於標准A,B,C類的網路號部分。借用主機位作為網路號的部分,這個被稱為子網號。剩餘的主機號。
22. 子網掩碼的意義,在掩碼中,用1表示網路位,用0表示主機位。
23. IPV4地址不夠用了,所以出現了IPV6地址。,在表示和書寫時,用冒號將128位分割成8個16位的段,這里的128位表示在一個IPV6地址中包括128個二進制數,每個段包括4位的16進制數字。
第二章
1. 路由器是一種網路連接設備,用來連接不同的網路以及接入Internet。
IOS是路由器的操作系統,是路由器軟體商的組成部分。
2. 路由器和PC機一樣,也需要操作系統才能運行。Cisco(思科)路由器的操作系統叫做IOS,路由器的平台不同、功能不同,運行的IOS也不相同。IOS是一個特殊格式的文件,對於IOS文件的命名,思科採用了特殊的規則。
4. 網路互連:把自己的網路同其他的網路互連起來,從網路中獲取更多的信息和向網路發布自己的消息。網路互連有多種方式,其中執行最多是網橋互連和路由器互連。
5. 路由動作包括兩項基本內容:尋徑和轉發。尋徑:判斷到達目的地的最佳路徑,由路由器選擇演算法來實現。
6. 路由選擇方式有兩種:靜態路由和動態路由。
7.RIP協議最初是為Xerox網路系統的Xerox parc通用協議設計的,是Internet中常用的路由協議。RIP採用距離向量演算法,也稱為距離向量協議。 RIP執行非常廣泛,它簡單,可靠,便於配置。
8.ROP已不能互連,OSPF隨機產生。它是網間工程任務組織的內部網關協議工作組為IP網路而開發的一種路由協議。是一種基於鏈路狀態的路由協議。
9.BGP是為TCP/IP互聯網設計的外部網關協議,用於多個自治域之間。
10.路由表的優先問題,它們各自維護的路由表都提供給轉發程序,但這些路由表的表項間可能會發生沖突。這種沖突可通過配置各路由表的優先順序來解決。通常靜態路由具有默認的最高優先順序,當其他路由表項與它矛盾時,均按靜態路由轉發。
11. 路由演算法有一下幾個設計目標:最優化 簡潔性 快速收斂性靈活性堅固性
路由演算法執行了許多種不同的度量標准去決定最佳路徑。
通常所執行的度量有:路徑長度。可靠性,時延。帶寬。負載通信成本等。
第三章
進入快速乙太網介面配置模式命令:Router(Config)#Interface Fasterthernet interface-number
配置IP地址及其掩碼的命令:Router(Config-if)#ip address ip-address ip-mask【secondary】
啟用介面的命令:Router(Config)#no shutdown
進入介面SO配置模式:Router1(config)#interface serial 0
配置路由器介面SO的IP地址:Router1(config-if)#ip address 172.16.2.1255.255.255.0
配置Router1的時鍾頻率(DCE):Router1(config-if)#clock rate 64000
開啟路由器fastetherner0介面:Router1(config)#no shutdown
第四章
靜態路由的優點:1.沒有額外的路由器的cpu負擔2.節約帶寬3.增加安全性
靜態路由的缺點:1.網路管理員必須了解網路的整個拓撲結構
2.如果網路拓撲發生變化,管理員要在所有的路由上動手修改路由表
3.不適合於大型網路
默認路由是在路由選擇表中沒有對應於特定目標網路的條目是使用的路由
華為路由器配置默認路由:【RunterC】ip route-static 0. 0.0.0.0.0.0.0 192.168.40.1
靜態路由的默認管理距離:1
目前使用的動態路由協議又兩種:內部網關協議(IGP)和外部網關協議(RGP)
三種路由協議:距離矢量(Distance vector),鏈路狀態(Link state)和混合型(Hybrid)
RIP目前有兩個版本:RIPv1和RIPv2。RIPv1是個有類路由協議,而RIPv2是個無類路由協議
路由更新計時為:30秒 路由無效計時為:180秒保持停止計時為:大於等於180秒 路由刷新時間:240秒
復合度量包括4個元素:帶寬、延遲、負載、可靠性
訪問控制列表(ACL)是應用路由器介面的指令列表,這些指令列表用來告訴路由器哪些數據包可以接收,哪些數據包需要拒絕
ACL通過在訪問控制列表中對目的地進行歸類來管理通信流量,處理特定的數據包
ACL適用於所有的路由協議,如IP,IPX等
設置ACL的一些規則:
1. 按順序地比較,先比較第一行,再比較第二行,直到最後一行
2. 從第一行起,直到一個符合條件的行,符合以後,其餘的行就不再繼續比較下去
3. 默認在每個ACL中最後一行為隱含的拒絕,如果之前沒找到一條許可語句,意味著包將被丟棄
兩種主要的訪問控制列表:1.標准訪問控制列表2.擴展訪問控制列表
ACL號為1-99和1300-1999
擴展ACL使用的數字表號在100-199之間
第五章
交換機對數據包的轉發是建立在MAC地址基礎上
冗餘路徑帶來的問題:廣播風暴、重復幀拷貝、MAC地址表表項不穩定
STP(生成樹協議)的主要任務是防止2層的循環,STP使用生成樹演算法(STA)來創建拓撲資料庫
IEEE版本的STP的默認優先順序是32768,決定誰是根橋。假如優先順序一樣,那就比較MAC地址,MAC地址小的作為根橋
運行STP的交換機埠的5中狀態:堵塞、監聽、學習、禁用、轉發
交換機對於數據的轉發有一下三種方式:1.存儲-轉發式交換方 2.直通式交換方式 3.消除片斷式交換方式
可堆疊交換機就是指一個交換機中一般同時具有UP和DOWN堆疊埠
可堆疊交換機常用的堆疊方式有兩種:菊花型和星型
SVI埠的配置第三層邏輯介面稱為:SVI P168
交換環境中的兩種連接類型:access links、trunk links
附加VLAN 信息的方法,最具代表性的有:Inter-Switch link(ISL)、IEEE 802.1Q(俗稱dot 1 Q)
當出現違反埠安全原則的情況時,埠有一下幾種措施:
Suspend(掛起):埠不再工作,直到有數據幀流入並帶有合法的地址
Disable(禁用):埠不再工作,除非人工使其再次啟用
Ignore(忽略):忽略其違反安全性,埠仍可工作
計算機網路按邏輯功能可分為資源子網和通信子網兩部分
網卡工作在網路模型的物理層
集線器是多埠中繼器,工作在網路模型的物理層,所有埠共享設備
寬頻
中繼器工作在網路模型的物理層,是區域網的延伸設備。
網橋工作在網路模型的數據鏈路層,用於連接同類網路
交換機工作在網路模型的數據鏈路層,根據MAC地址轉發數據幀,每個埠
獨占寬頻。
路由器工作在網路模型的網路層,根據IP地址轉發數據包。
網關
網路有線通信介質通常包括雙絞線、同軸電纜、光纜等
計算機網路按地里范圍可以分為LAN、MAN、WAN、INTERNET
標准乙太網寬頻為10Mbps,實用CSMA/CD的訪問控制方法,遵循
IEEE802.3標准,使用雙絞線和同軸電纜為介質
10Base-5,使粗同軸電纜,最大網段長度500M,基帶傳輸
10Base-2,使細同軸電纜,最大網段長度185M,基帶傳輸
10Base-T,使雙絞線,最大網段長度100M
快速乙太網寬頻為100Mbps,使用CSMA/CD的訪問控制方法,使用雙絞線
和光纖
100Base-TX,使雙絞線,使用2對線路傳輸信號
100Base-T4,使雙絞線,使用4對線路傳輸信號
100Base-FX,使用光纖,使用4B/5B編碼方式
令牌環網,使用專門的數據幀稱為令牌,傳送數據
FDDI光纖分布式數據介面,使用光纖為傳輸介質,採用令牌傳遞數據
ATM非同步傳輸模式使用53位元組固定長度的信元傳輸數據
無線區域網WLAN採用802.11系列標准,有802.11a、802.11b、802.11g、
802.11n、802.11z
網路協議是計算機網路體系結構中關鍵要素之一,它的三要素為:語法、
語義、同步
TCP/IP中文為傳輸控制協議/互聯網協議,是internet的基礎協議,使用IP
地址通信
IPX/SPX中文為NetBIOS增強用戶介面,特點是簡單、通信效率高的廣播型協
議
OSI參考模型七層:物理層、數據鏈路層、網路層、傳輸層、會話層、表示
層、應用層
物理層:傳送單位是比特流,定義物理特性
數據鏈路層:傳送單位是數據幀,確保鏈路連接
網路層:傳送單位是數據包,提供網間通信
傳輸層:傳送單位是信息,提供端到端的可靠傳輸
會話層:管理通信雙發會話
表示層:負責數據編碼轉換
應用層:提供應用服務介面
TCP/IP模型四層:網路介面層、網際層、傳輸層、應用層
應用層協議:Telnet、FTP、SMTP、HTTP等 傳輸層協議:TCP、UDP
網際層協議:IP、ICMP、IGMP
網路介面層協議:ARP、RARP
5. 買交換機需要注意哪些問題呢
其實沒必要多慮,因為你的網路結構簡單,電腦台數較少,也沒有特殊應用要求,尤其出口還僅有2M(實事求是的說,小了點兒,家庭還差不多,辦公的話至少也要10M呀),老闆要願意多花錢呢,就買好一點兒的,所謂好點的也就1000元左右,千兆24埠(電口)的普通二層交換機即可。如果是需要光纖傳輸的一個點配一對光電轉換器,一個光電轉換器最多300元左右,如果你買光口交換機,還需再配SFP光模塊,電腦端還是要配光電轉換器,這成本一下就成幾倍的上去了,其實使用效果是一樣的。還需要注意的是,無論是SFP光模塊還是光電轉換器,都是有距離(公里數)指標的,如5KM、10KM、80KM等,根據需要采購。其他好像沒什麼了。祝你好運吧!
6. 交換機網路設置
現在組網大部分都是這樣,以上兩中方式都可以,但現在組網的目的已經不單單是為了能上網了,能上網是基本的,最主要的就是保證你內網的安全,因為現在的網路問題80%來自於內網,是因為網路的底層——乙太網,自身就是一個大窟窿。大多安全產品都沒有針對底層協議來進行控制,導致現在的傳統網路總是出現卡滯,ping內網延時大,甚至全網掉線等問題。因為內網面對的是大規模的終端,終端才是整個內網的源頭,因此必須從源頭進行攻擊攔截,靠每個源頭實施群防群控,全網聯動,讓每個節點都具有自主防禦和管理的功能,在面臨攻擊時調用各種安全資源進行應對。
7. 那位能告訴我網管交換機的功能啊
建設完畢的網路,具有強大的核心骨幹傳輸能力,千兆級光纖的骨幹線路為整個網路系統提供了良好的線路基礎,設備具有良好的可靠性,保證了整個網路系統的運行。
採用全網管交換機組建網路,可以提供ACL控制、基於埠和802.1Q的VLAN、Web模式網管、MAC地址綁定等多種管理功能,可以提高整個網路的安全性,並提供防止非法接入、抑制廣播風暴等多種功能。
支持多種網管方式,並支持Web方式管理,更加人性化。配合BDCOM-DIRECTOR網管軟體,可以提供可視化的網管機能,通過智能網路服務將控制擴展到網路邊緣,包括高級服務質量(QoS)、可預測性能、高級安全性、全面管理和集成式彈性。
支持目前絕大多數網路協議,具有良好的互通性,可以和其它廠家的設備兼容互通。
提供了一個經濟有效、靈活的網路解決方案。這套方案不僅能滿足當今的高性能需求,還能提供重要的投資保護,模塊化的設計可以使用戶按需求購買,也為以後的擴展提供了彈性。
安全是特性
對於網路的管理盡管非常重要,但也必須要建立在安全基礎之上,否則管理信息和應用數據信息都透明化、公開化,那麼這個網路也就不稱其為網路。這樣,不僅浪費網路建設資源,更是影響了人們的正常工作、學習和生活。所以,在強調交換機網管功能的同時,人們一般對交換機的安全性看得至關重要。
說到網管型交換機的安全特性,銳捷網路高級產品經理羅自靈特別強調:「交換機具備的安全防範機制是必不可少的,它即要能抵抗惡意者對交換機的攻擊和管理信息的竊取,也要能有效地抗擊黑客等對用戶設備和伺服器的攻擊,才能有效地保證網路是安全的。」為了保證管理信息的安全性,網路型交換機最好需要支持SNMPv3、SSH等管理協議,以便網管信息可加密傳輸。
美國網捷網路公司亞太區技術經理黃明泰把網管型交換機強大的安全特性,視為「網管型交換機的最大技術特點」。他認為:「這不僅包括線速的訪問控制列表(ACL),還包括一系列安全訪問的管理與控制、用戶身份認證、防範拒絕服務攻擊及網路安全監控等。」道理很簡單,因為需求的強勁,網管型交換機,特別是具有強大安全特性的交換機將有很好的發展空間。
另外,安全、有效的交換機管理,還需要有簡單、易用的管理界面支持,如CLI界面、菜單式界面、基於Web的圖形化界面(GUI)等,以適應不同用戶群需要,同時管理也需要智能化。
隨著網路應用的發展,網路規模越來越大,在一個網路中有成百甚至上千的交換機是很常見的了。那麼,如何讓交換機的配置、管理更高效,交換機的智能管理將顯得更重要。因此,網管型交換機的管理,即要安全,也要簡單、易用,更要智能化。
8. IB交換機是網路安全設備嗎
是的 Mellanox公司InfiniBand系列交換機可為用戶提供最佳性能、高埠密度完整的網路管理解決方案,使任何規模的計算集群和數據中心能夠同時降低運營成本和基礎設施的復雜性。
Mellanox公司InfiniBand交換機包括Edge系列和核心系列,支持20,40和56Gb/ s埠速度以及從8口到648口范圍的廣泛組合。這些交換機使IT管理者能夠建立最具成本效益以及可擴展的交換結構,從小型集群到數以千計節點的大型網路,都能提供有帶寬保證和服務質量的信息傳遞服務。
