1. 网络要保证安全在设备上怎样做,如路由器交换机的配置
路由器安全策略示例:
1. 路由器上不得配置用户账户。
2. 路由器上的enable password命令必须以一种安全的加密形式保存。
3. 禁止IP的直接广播。
4. 路由器应当阻止源地址为非法地址的数据包。
5. 在本单位的业务需要增长时,添加相应的访问规则。
6. 路由器应当放置在安全的位置,对其物理访问仅限于所授权的个人。
7. 每一台路由器都必须清楚地标识下面的声明:
“注意:禁止对该网络设备的非授权访问。您必须在获得明确许可的情况下才能访问或配置该设备。在此设备上执行的所有活动必须加以记录,对该策略的违反将受到纪律处分,并有可能被诉诸于法律。”
每一台网络交换机必须满足以下的配置标准:
1. 交换机上不得配置用户账户。
2. 交换机上的enable password命令必须以一种安全的加密形式保存。
3. 如果交换机的MAC水平的地址能够锁定,就应当启用此功能。
4. 如果在一个端口上出现新的或未注册的MAC地址,就应当禁用此端口。
5. 如果断开链接后又重新建立链接,就应当生成一个SNMP trap.
6. 交换机应当放置在安全的位置,对其物理访问仅限于所授权的个人。
7. 交换机应当禁用任何Web 服务器软件,如果需要这种软件来维护交换机的话,应当启动服务器来配置交换机,然后再禁用它。对管理员功能的所有访问控制都应当启用。
8. 每一台交换机都必须清楚地标识下面的声明:
“注意:禁止对该网络设备的非授权访问。您必须在获得明确许可的情况下才能访问或配置该设备。在此设备上执行的所有活动必须加以记录,对该策略的违反将受到纪律处分,并有可能被诉诸于法律。”这些安全要求未必适合你单位的情况,仅供参考。
2. 开两个问题400分悬赏懂局域网技术的高手,咨询几个关于交换机、路由器之类设备和网络安全的问题!!!!
专利一:
堆叠可以大大提高交换机端口密度和性能。堆叠单元具有足以匹敌大型机架式交换机的端口密度和性能,而投资却比机架式交换机便宜得多,实现起来也灵活得多。这就是堆叠得优势所在。
堆叠,不是所有的设备都可以的。
满足的要求:采用专用堆叠模块和堆叠总线进行堆叠,不占用网络端口;多台交换机堆叠后,具有足够的系统带宽,从而保证堆叠后每个端口仍能达到线速交换;多台交换机堆叠后,VLAN等功能不受影响。
市场上的主流交换机可以细分为可堆叠型和非堆叠型两大类。而号称可以堆叠的交换机中,又有虚拟堆叠和真正堆叠之分。所谓的虚拟堆叠,实际就是交换机之间的级联。交换机并不是通过专用堆叠模块和堆叠电缆,而是通过Fast Ethernet端口或Giga Ethernet端口进行堆叠,实际上这是一种变相的级联。即便如此,虚拟堆叠的多台交换机在网络中已经可以作为一个逻辑设备进行管理,从而使网络管理变得简单起来。
一般来说,不同厂家、不同型号的交换机可以互相级联,堆叠则不同,它必须在可堆叠的同类型交换机(至少应该是同一厂家的交换机)之间进行;级联仅仅是交换机之间的简单连接,堆叠则是将整个堆叠单元作为一台交换机来使用,这不但意味着端口密度的增加,而且意味着系统带宽的加宽。
3. 路由交换机应如何加强网络安全性
,但是攻击是通过网络进行的,因此当这些蠕虫病毒大规模爆发时,交换机、路由器会首先受到牵连。抽样分析表明:近50%的用户反映Slammer、冲击波等蠕虫病毒冲击了路由交换机,36%的用户的路由器受到冲击。用户只有通过重启交换路由设备、重新配置访问控制列表才能消除蠕虫病毒对网络设备造成的影响。
蠕虫病毒攻击网络设备
蠕虫病毒发作导致网络吞吐效率下降、变慢。如果网络中存在瓶颈,就会导致网络停顿甚至瘫痪。这些瓶颈可能是线路带宽,也可能是路由器、交换机的处理能力或者内存资源。需要指出的是,网络中的路由器、交换机已经达到或接近线速,内网带宽往往不收敛,在这种情况下,病毒攻击产生的流量对局域网内部带宽不会造成致命堵塞,但位于网络出口位置的路由器和位于网络核心位置的三层交换机却要吞吐绝大多数的流量,因而首当其冲地受到蠕虫病毒的攻击。接入层交换机通常需要与用户终端直接连接,一旦用户终端感染蠕虫病毒,病毒发作就会严重消耗带宽和交换机资源,造成网络瘫痪,这一现象早已屡见不鲜。
4. 良好的网络设备安全配置管理原则
网络配置与管理
第一章
1. 计算机技术与通讯技术的紧密结合产生了计算机网络。它经历了三个阶段的发展过程:
具有通信功能的单机系统、具有通信功能的多机系统和计算机网络。
2. 计算机网络按逻辑功能分为资源子网和通信子网两部分。
资源子网是计算机网络中面向用户的部分,负责数据处理工作。
通信子网是网络中数据通信系统,它用于信息交换的网络节点处理机和通信链路组成,主要负责通信处理工作。
3. 网络设备,在现代网络中,依靠各种网络设备把各个小网络连接起来,形成了一个更大的网络,也就是Internet。网络设备主要包括:网卡(NIC)、调制解调器(Modem)、集线器(Hub)、中继器(Repeater)、网桥(Bridge)、交换机(Switch)、路由器(Router)和网关(Gateway)等。
4. 集线器是一种扩展网络的重要设备,工作在物理层。中继器工作在物理层,是最简单的的局域网延伸设备,主要作用是放大传输介质上传输的信号。网桥,工作在数据链路层,用于连接同类网络。交换机分为二层交换机和三层交换机,二层工作在数据链路层,根据MAC地址转发帧。三层交换机工作在网络层,根据网络地址转发数据包。每个端口都有桥接功能,所有端口都是独立工作的,连接到同一交换机的用户独立享受交换机每个端口提供的带宽,因此用交换机来扩展网络的时候,不会出现网络性能恶化的情况,这是目前使用最多的网络扩展设备。路由器,工作在网络层,它的作用是连接局域网和广域网。网关工作在应用层。
5. 传输介质,可分为有线传输介质和无线传输介质。
6. 计算机网络的分类,根据地理范围可以分为局域网(LAN)、城域网(MAN)、广域网(WAN)、和互联网(Internet)4种。
7. 局域网的分类,局域网主要是以双绞线为传输介质的以太网,基本上是企业和事业的局域网。
8. 以太网分为标准以太网,快速以太网,千兆以太网和10G以太网。
9. 令牌环网,在一种专门的帧称为“令牌”,在环路上持续地传输来确定一个结点何时可以发送包。
10. FDDI网,光纤分布式数据接口。同IBM的令牌环网技术相似,并具有LAN和令牌环网所缺乏的管理、控制和可靠性措施。
11. ATM网,异步传输模式,ATM使用53字节固定长度的单元进行交换。ATM的优点:使用相同的数据单元,可实现广域网和局域网的无缝连接。支持VLAN(虚拟局域网)功能,可以对网络进行灵活的管理和配置。具有不同的速率,分为25、51、155、622Mbps,从而为不同的应用提供不同的速率。ATM采用“信元交换”来代替“包交换”进行实验,发现信元交换的速度是非常快的。
12. 无线局域网,所采用的是802.11系列标准,它也是由IEEE 802标准委员会制定的。目前一系列标准主要有4个标准:802.11b 802.11a 802.11g 802.11z,前三个标准都是针对传输速度进行的改进。802.11b,它的传输速度为11MB/S,因为它的连接速度比较低,随后推出了802.11a标准,它的连接速度可达54MB/S。但由于两者不兼容,所以推出了802.11g,这样原有的802.11b和802.11a标准的设备都可以在同一网络中使用。802.11z是一种专门为了加强无线局域网安全的标准。因为无线局域网的“无线”特点,给网络带来了极大的不安全因素,为此802.11z标准专门就无线网络的安全做了明确规定,加强了用户身份认证制度,并对传输的数据进行加密。
13. 网络协议的三要素为:语法,语义,同步。
14. OSI参考模型是计算机网络的基本体系结构模型,通常使用的协议有:TCP/IP协议、IPX/SPX协议、NetBEUI协议等。
15. OSI模型将通信会话需要的各种进程划分7个相对独立的功能层次,从下到上依次是:物理层 数据链路层 网络层 传输层 会话层 表示层 应用层。
16. TCP/IP参考模型包括4个功能层:应用层 传输层 网际层及接口层
17. 协议组件 IP:网络层协议。 TCP:可靠的主机到主机层协议。 UDP:尽力转发的主机到主机层协议。 ICMP:在IP网络内为控制、测试、管理功能而设计的多协议。
18. IP地址介绍,地址实际上是一种标识符,它能够帮助找到目的站点,起到了确定位置的作用。IP 地址分为A B C DE类地址。
19. IP地址的使用规则:
20. 网络号全0的地址保留,不能作为标识网络使用。主机号全0的地址保留,用来标识网络地址。
网络号全1、主机号全0的地址代表网络的子网掩码。
地址0.0.0.0:表示默认路由。
地址255.255.255.255:代表本地有限广播。
主机号全1的地址表示广播地址,称为直接广播或是有限广播。可以跨越路由器。
21. 划分子网后整个IP地址就分为三个部分:主网号,它对应于标准A,B,C类的网络号部分。借用主机位作为网络号的部分,这个被称为子网号。剩余的主机号。
22. 子网掩码的意义,在掩码中,用1表示网络位,用0表示主机位。
23. IPV4地址不够用了,所以出现了IPV6地址。,在表示和书写时,用冒号将128位分割成8个16位的段,这里的128位表示在一个IPV6地址中包括128个二进制数,每个段包括4位的16进制数字。
第二章
1. 路由器是一种网络连接设备,用来连接不同的网络以及接入Internet。
IOS是路由器的操作系统,是路由器软件商的组成部分。
2. 路由器和PC机一样,也需要操作系统才能运行。Cisco(思科)路由器的操作系统叫做IOS,路由器的平台不同、功能不同,运行的IOS也不相同。IOS是一个特殊格式的文件,对于IOS文件的命名,思科采用了特殊的规则。
4. 网络互连:把自己的网络同其他的网络互连起来,从网络中获取更多的信息和向网络发布自己的消息。网络互连有多种方式,其中执行最多是网桥互连和路由器互连。
5. 路由动作包括两项基本内容:寻径和转发。寻径:判断到达目的地的最佳路径,由路由器选择算法来实现。
6. 路由选择方式有两种:静态路由和动态路由。
7.RIP协议最初是为Xerox网络系统的Xerox parc通用协议设计的,是Internet中常用的路由协议。RIP采用距离向量算法,也称为距离向量协议。 RIP执行非常广泛,它简单,可靠,便于配置。
8.ROP已不能互连,OSPF随机产生。它是网间工程任务组织的内部网关协议工作组为IP网络而开发的一种路由协议。是一种基于链路状态的路由协议。
9.BGP是为TCP/IP互联网设计的外部网关协议,用于多个自治域之间。
10.路由表的优先问题,它们各自维护的路由表都提供给转发程序,但这些路由表的表项间可能会发生冲突。这种冲突可通过配置各路由表的优先级来解决。通常静态路由具有默认的最高优先级,当其他路由表项与它矛盾时,均按静态路由转发。
11. 路由算法有一下几个设计目标:最优化 简洁性 快速收敛性灵活性坚固性
路由算法执行了许多种不同的度量标准去决定最佳路径。
通常所执行的度量有:路径长度。可靠性,时延。带宽。负载通信成本等。
第三章
进入快速以太网接口配置模式命令:Router(Config)#Interface Fasterthernet interface-number
配置IP地址及其掩码的命令:Router(Config-if)#ip address ip-address ip-mask【secondary】
启用接口的命令:Router(Config)#no shutdown
进入接口SO配置模式:Router1(config)#interface serial 0
配置路由器接口SO的IP地址:Router1(config-if)#ip address 172.16.2.1255.255.255.0
配置Router1的时钟频率(DCE):Router1(config-if)#clock rate 64000
开启路由器fastetherner0接口:Router1(config)#no shutdown
第四章
静态路由的优点:1.没有额外的路由器的cpu负担2.节约带宽3.增加安全性
静态路由的缺点:1.网络管理员必须了解网络的整个拓扑结构
2.如果网络拓扑发生变化,管理员要在所有的路由上动手修改路由表
3.不适合于大型网络
默认路由是在路由选择表中没有对应于特定目标网络的条目是使用的路由
华为路由器配置默认路由:【RunterC】ip route-static 0. 0.0.0.0.0.0.0 192.168.40.1
静态路由的默认管理距离:1
目前使用的动态路由协议又两种:内部网关协议(IGP)和外部网关协议(RGP)
三种路由协议:距离矢量(Distance vector),链路状态(Link state)和混合型(Hybrid)
RIP目前有两个版本:RIPv1和RIPv2。RIPv1是个有类路由协议,而RIPv2是个无类路由协议
路由更新计时为:30秒 路由无效计时为:180秒保持停止计时为:大于等于180秒 路由刷新时间:240秒
复合度量包括4个元素:带宽、延迟、负载、可靠性
访问控制列表(ACL)是应用路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收,哪些数据包需要拒绝
ACL通过在访问控制列表中对目的地进行归类来管理通信流量,处理特定的数据包
ACL适用于所有的路由协议,如IP,IPX等
设置ACL的一些规则:
1. 按顺序地比较,先比较第一行,再比较第二行,直到最后一行
2. 从第一行起,直到一个符合条件的行,符合以后,其余的行就不再继续比较下去
3. 默认在每个ACL中最后一行为隐含的拒绝,如果之前没找到一条许可语句,意味着包将被丢弃
两种主要的访问控制列表:1.标准访问控制列表2.扩展访问控制列表
ACL号为1-99和1300-1999
扩展ACL使用的数字表号在100-199之间
第五章
交换机对数据包的转发是建立在MAC地址基础上
冗余路径带来的问题:广播风暴、重复帧拷贝、MAC地址表表项不稳定
STP(生成树协议)的主要任务是防止2层的循环,STP使用生成树算法(STA)来创建拓扑数据库
IEEE版本的STP的默认优先级是32768,决定谁是根桥。假如优先级一样,那就比较MAC地址,MAC地址小的作为根桥
运行STP的交换机端口的5中状态:堵塞、监听、学习、禁用、转发
交换机对于数据的转发有一下三种方式:1.存储-转发式交换方 2.直通式交换方式 3.消除片断式交换方式
可堆叠交换机就是指一个交换机中一般同时具有UP和DOWN堆叠端口
可堆叠交换机常用的堆叠方式有两种:菊花型和星型
SVI端口的配置第三层逻辑接口称为:SVI P168
交换环境中的两种连接类型:access links、trunk links
附加VLAN 信息的方法,最具代表性的有:Inter-Switch link(ISL)、IEEE 802.1Q(俗称dot 1 Q)
当出现违反端口安全原则的情况时,端口有一下几种措施:
Suspend(挂起):端口不再工作,直到有数据帧流入并带有合法的地址
Disable(禁用):端口不再工作,除非人工使其再次启用
Ignore(忽略):忽略其违反安全性,端口仍可工作
计算机网络按逻辑功能可分为资源子网和通信子网两部分
网卡工作在网络模型的物理层
集线器是多端口中继器,工作在网络模型的物理层,所有端口共享设备
宽带
中继器工作在网络模型的物理层,是局域网的延伸设备。
网桥工作在网络模型的数据链路层,用于连接同类网络
交换机工作在网络模型的数据链路层,根据MAC地址转发数据帧,每个端口
独占宽带。
路由器工作在网络模型的网络层,根据IP地址转发数据包。
网关
网络有线通信介质通常包括双绞线、同轴电缆、光缆等
计算机网络按地里范围可以分为LAN、MAN、WAN、INTERNET
标准以太网宽带为10Mbps,实用CSMA/CD的访问控制方法,遵循
IEEE802.3标准,使用双绞线和同轴电缆为介质
10Base-5,使粗同轴电缆,最大网段长度500M,基带传输
10Base-2,使细同轴电缆,最大网段长度185M,基带传输
10Base-T,使双绞线,最大网段长度100M
快速以太网宽带为100Mbps,使用CSMA/CD的访问控制方法,使用双绞线
和光纤
100Base-TX,使双绞线,使用2对线路传输信号
100Base-T4,使双绞线,使用4对线路传输信号
100Base-FX,使用光纤,使用4B/5B编码方式
令牌环网,使用专门的数据帧称为令牌,传送数据
FDDI光纤分布式数据接口,使用光纤为传输介质,采用令牌传递数据
ATM异步传输模式使用53字节固定长度的信元传输数据
无线局域网WLAN采用802.11系列标准,有802.11a、802.11b、802.11g、
802.11n、802.11z
网络协议是计算机网络体系结构中关键要素之一,它的三要素为:语法、
语义、同步
TCP/IP中文为传输控制协议/互联网协议,是internet的基础协议,使用IP
地址通信
IPX/SPX中文为NetBIOS增强用户接口,特点是简单、通信效率高的广播型协
议
OSI参考模型七层:物理层、数据链路层、网络层、传输层、会话层、表示
层、应用层
物理层:传送单位是比特流,定义物理特性
数据链路层:传送单位是数据帧,确保链路连接
网络层:传送单位是数据包,提供网间通信
传输层:传送单位是信息,提供端到端的可靠传输
会话层:管理通信双发会话
表示层:负责数据编码转换
应用层:提供应用服务接口
TCP/IP模型四层:网络接口层、网际层、传输层、应用层
应用层协议:Telnet、FTP、SMTP、HTTP等 传输层协议:TCP、UDP
网际层协议:IP、ICMP、IGMP
网络接口层协议:ARP、RARP
5. 买交换机需要注意哪些问题呢
其实没必要多虑,因为你的网络结构简单,电脑台数较少,也没有特殊应用要求,尤其出口还仅有2M(实事求是的说,小了点儿,家庭还差不多,办公的话至少也要10M呀),老板要愿意多花钱呢,就买好一点儿的,所谓好点的也就1000元左右,千兆24端口(电口)的普通二层交换机即可。如果是需要光纤传输的一个点配一对光电转换器,一个光电转换器最多300元左右,如果你买光口交换机,还需再配SFP光模块,电脑端还是要配光电转换器,这成本一下就成几倍的上去了,其实使用效果是一样的。还需要注意的是,无论是SFP光模块还是光电转换器,都是有距离(公里数)指标的,如5KM、10KM、80KM等,根据需要采购。其他好像没什么了。祝你好运吧!
6. 交换机网络设置
现在组网大部分都是这样,以上两中方式都可以,但现在组网的目的已经不单单是为了能上网了,能上网是基本的,最主要的就是保证你内网的安全,因为现在的网络问题80%来自于内网,是因为网络的底层——以太网,自身就是一个大窟窿。大多安全产品都没有针对底层协议来进行控制,导致现在的传统网络总是出现卡滞,ping内网延时大,甚至全网掉线等问题。因为内网面对的是大规模的终端,终端才是整个内网的源头,因此必须从源头进行攻击拦截,靠每个源头实施群防群控,全网联动,让每个节点都具有自主防御和管理的功能,在面临攻击时调用各种安全资源进行应对。
7. 那位能告诉我网管交换机的功能啊
建设完毕的网络,具有强大的核心骨干传输能力,千兆级光纤的骨干线路为整个网络系统提供了良好的线路基础,设备具有良好的可靠性,保证了整个网络系统的运行。
采用全网管交换机组建网络,可以提供ACL控制、基于端口和802.1Q的VLAN、Web模式网管、MAC地址绑定等多种管理功能,可以提高整个网络的安全性,并提供防止非法接入、抑制广播风暴等多种功能。
支持多种网管方式,并支持Web方式管理,更加人性化。配合BDCOM-DIRECTOR网管软件,可以提供可视化的网管机能,通过智能网络服务将控制扩展到网络边缘,包括高级服务质量(QoS)、可预测性能、高级安全性、全面管理和集成式弹性。
支持目前绝大多数网络协议,具有良好的互通性,可以和其它厂家的设备兼容互通。
提供了一个经济有效、灵活的网络解决方案。这套方案不仅能满足当今的高性能需求,还能提供重要的投资保护,模块化的设计可以使用户按需求购买,也为以后的扩展提供了弹性。
安全是特性
对于网络的管理尽管非常重要,但也必须要建立在安全基础之上,否则管理信息和应用数据信息都透明化、公开化,那么这个网络也就不称其为网络。这样,不仅浪费网络建设资源,更是影响了人们的正常工作、学习和生活。所以,在强调交换机网管功能的同时,人们一般对交换机的安全性看得至关重要。
说到网管型交换机的安全特性,锐捷网络高级产品经理罗自灵特别强调:“交换机具备的安全防范机制是必不可少的,它即要能抵抗恶意者对交换机的攻击和管理信息的窃取,也要能有效地抗击黑客等对用户设备和服务器的攻击,才能有效地保证网络是安全的。”为了保证管理信息的安全性,网络型交换机最好需要支持SNMPv3、SSH等管理协议,以便网管信息可加密传输。
美国网捷网络公司亚太区技术经理黄明泰把网管型交换机强大的安全特性,视为“网管型交换机的最大技术特点”。他认为:“这不仅包括线速的访问控制列表(ACL),还包括一系列安全访问的管理与控制、用户身份认证、防范拒绝服务攻击及网络安全监控等。”道理很简单,因为需求的强劲,网管型交换机,特别是具有强大安全特性的交换机将有很好的发展空间。
另外,安全、有效的交换机管理,还需要有简单、易用的管理界面支持,如CLI界面、菜单式界面、基于Web的图形化界面(GUI)等,以适应不同用户群需要,同时管理也需要智能化。
随着网络应用的发展,网络规模越来越大,在一个网络中有成百甚至上千的交换机是很常见的了。那么,如何让交换机的配置、管理更高效,交换机的智能管理将显得更重要。因此,网管型交换机的管理,即要安全,也要简单、易用,更要智能化。
8. IB交换机是网络安全设备吗
是的 Mellanox公司InfiniBand系列交换机可为用户提供最佳性能、高端口密度完整的网络管理解决方案,使任何规模的计算集群和数据中心能够同时降低运营成本和基础设施的复杂性。
Mellanox公司InfiniBand交换机包括Edge系列和核心系列,支持20,40和56Gb/ s端口速度以及从8口到648口范围的广泛组合。这些交换机使IT管理者能够建立最具成本效益以及可扩展的交换结构,从小型集群到数以千计节点的大型网络,都能提供有带宽保证和服务质量的信息传递服务。
