Cisco网络系统结构设计技术方案.docx
《Cisco网络系统结构设计技术方案.docx》由会员分享,可在线阅读,更多相关《Cisco网络系统结构设计技术方案.docx(90页珍藏版)》请在冰点文库上搜索。
Cisco网络系统结构设计技术方案
Cisco网络系统结构设计技术方案
第一章前言
随着信息技术的不断发展,信息技术对社会进步和国民经济发展起着越来越大的促进作用,并对传统的思想观念和工作方式带来巨大的冲击。
在信息化时代,网络已进入了各行各业,同时也促进了各个行业的发展。
而对于各种制造业来说,一个强大稳定的网络,可以更好的提高公司的产量,为公司带来更高的效益。
思科产品和技术不仅在中国金融、保险、电信、科研等领域取得巨大成功,而且在制造行业领域也大显身手。
我们愿用多年来在网络技术领域的专业经验,在制造行业的征途中贡献我们的一份力量,为各行各业增添几份璀璨。
第二章网络设计原则
2.1网络的连通性
园区各计算机等终端设备之间良好的连通性是需要满足的基本条件,网络环境就是提供需要通信的计算机设备之间互通的环境,以实现丰富多彩的网络应用。
2.2网络的可靠性
许多现有网络在初始建设时不仅要考虑到如何实现数据传输,还要充分考虑网络的冗余与可靠,否则一旦运行过程网络发生故障,系统又不能很快恢复工作,所带来的后果便是园区的经济损失,影响园区的声誉和形象。
2.3网络的安全性
在商品竞争日益激烈的今天,园区对网络的安全性有非常高的要求。
在很多园区在局域网和广域网络中传递的数据都是相当重要的信息,因此一定要保证数据安全保密,防止非法窃听和恶意破坏,在网络建设的开始就考虑采用严密的网络安全措施。
2.4网络的可管理性
随着网络规模的日益扩大,网络设备的数据和种类日益增加,网络应用日益多样化,网络管理也日益重要。
良好的网络管理要重视网络管理人力和财力的事先投入,主动控制网络,不仅能够进行定性管理,而且还能够定量分析网络流量,了解网络健康状况。
有预见性地发现网络上的问题,并将其消灭于萌芽状态,降低网络故障所带来的损失,使网络管理的投入达到事半功倍的效果。
2.5网络的扩展性
网络建设为未来的发展提供良好的扩展接口是非常理智的选择。
随着园区规模的扩大、业务的增长,网络的扩展和升级是不可避免的问题。
思科通过模块化的网络结构设计和模块化的网络产品,能为用户的网络提供很强的扩展和升级能力。
2.6网络的多媒体支持
由于视频会议、视频点播、IP电话等多媒体技术的日趋成熟,网络传输的数据已不再是单一数据了,多媒体网络传输成为世界网络技术的趋势。
园区着眼于未来,对网络的多媒体支持是有很多需求的。
同时,在网络带宽非常宝贵的情况下,丰富的QoS机制,如:
IP优先、排队、组内广播和链路压缩等优化技术能使实时的多媒体和关键业务得到有效的保障。
2.7网络的高性能
随着互联网的发展,上网用户的不断增多,访问和数据传输量剧增,网络负荷也相应加重;随着园区对多媒体技术的广泛应用,视频数据、音频数据也越来越耗费网络带宽。
如果网络没有高性能,会导致系统反应缓慢,甚至在业务量突增时,发生系统崩溃、中止和异常等现象。
高性能的网络也是一些关键业务或特殊应用的必备条件。
第三章需求分析
3.1方案需求
1、要求具有较高性能的网络,要达到1000M主干,100M到桌面
2、要求方便管理,使得管理员通过远程就可以对网络及终端进行统一管理
3、安全控制,对用户进行控制,及Arp病毒的控制。
4、要求所选设备要有很好的扩展性
3.2实现方法
1、园区采用带有2个千兆接口的Cisco2811路由器,提供了充足的出口带宽,下层采用全10/100/1000自适应接口的CatalystWS-C3560E-24TD-S作为核心路由器,通过其强大的转发能力和充足的带宽,来保证园区网络的畅通。
接入层采用Cisco公司专为中国客户设计研发的CatalystWS-C2918-24TC-C,其中文界面使管理员更容易对其管理。
此外在商务部使用LinksysWRT54GL来达到对商务部的无线覆盖,使笔记本用户能够更加方便的访问互联网。
最终实现如下图的网络:
第四章局域网及安全方案设计
4.1VLAN规划
由于以太网将是包钢计量处网络中核心层、接入层、汇接层使用的网络标准,因此网络可以看成是一个大局域网群,需要涉及到第三层交换,因此我们使用了Cisco公司的VLAN技术。
VLAN是一种无所不在的基本技术结构。
简而言之,虚拟网络是对网络系统采用逻辑化而非物理化的管理技术来实现网络安全的策略,其主要协议为IEEE802.1Q,此协议结合了鉴别和加密技术从而保证整个网络内部数据的保密性与完整性。
同时,为了避免VLAN中循环的可能,VLAN采用了IEEE802.1d(生成树)的算法。
在VLAN的实现策略中,当任意结合的局域网络构成VLAN时,本机信息包含了IEEE802.1QVLANID,如果此ID不能被设备的任何端口所接收,则它被过滤掉,只有本机的信息从本交换机发出。
这种策略的用途为可以实现与IEEE802.1Q不兼容的设备/网络的透明通讯。
VLAN可以将通讯量进行有效的分割,从而很好的利用带宽,并可以从逻辑的角度出发将实际的LAN基础结构分割成多个子网,这样减轻了扩容的压力。
因此我们认为虚拟网络的配置与实施对包钢计量处这样一个大型的网络来说是非常必要的。
另外,为了完成各个不同VLAN间通信,就要使用VLANTrunking。
主要是通过一条高速全双工干道(2000Mbps)来实现将一个交换机端口所划分的不同VLAN与其它交换机中各自的相应VLAN成员进行线路复用连接的技术。
VLANTrunking技术的采用,节省了信道数据,提高了可靠性。
便于管理,方便连接,提高了整个网络吞吐量和性能指标。
图:
不使用VLANTranking
图:
使用VLANTranking
如果采用VLANTrunking的技术,则V1、V2、V3均可通过一条全双工的1000Mbps,即2000Mbps的速率与上级交换机进行互通并经过位于树根部的路由器进行路由选择与其它的VLAN进行通讯。
VLANTrunking技术的优点在于采用一条高速通道连接,提高了通道的使用效率,如在V2,V3无数据量的情况下,V1可以独占此1000M带宽;并且可以使得线路的联接变得简单,从而大大提高可靠性与易维护性。
如果不采用VLANTrunking的技术,则虚拟网络的结构将如上图所示,这样则需要使用多条1000Mbps与其它的交换机互联,其缺点是:
线路带宽的利用率不充分
网络间布线及接口相应增多,造成系统管理的复杂性,降低了可靠性。
4.2VLAN的设计
在包钢计量处的设计中我们划分VLAN的原则为:
1、依据部门的组织结构;
2、依据业务;
为了实现按不同的业务划分VLAN,VLAN的划分将打破传统方法:
不按地理位置划分,而是每个业务VLAN将跨越数个接入层,这样,保证了相同业务的工作站虽然所处位置不同但是在逻辑上属于同一个虚网。
此外,CISCO的设备提供了灵活的QOS功能,能够使每个VLAN的带宽根据需要分配。
有关QOS的细节在“QOS应用”章节进行了详细阐述。
4.3VLAN间的隔离
虚网之间的完全隔离,可通过CISCO设备的访问控制功能实现。
CISCO设备可实现网络的二层和第三层的访问控制,第三层的访问控制为IP的访问控制列表,第二层的访问控制为VLANMAP。
因为访问控制是按IP地址进行的,因此IP地址应能够区分出业务类别。
下图为实现VLAN间完全隔离的示意图
接入层交换机与汇接层交化机的1000M线路采用VLANTRUNK技术,可实现一个物理接口承载多个VLAN。
此外CISCO交换机还提供增强的基于VLAN的生成树算法(PVSTP+),实现负载的均摊。
4.4Vlan的管理
众多的VLAN如果缺乏管理同样会造成网络管理人员的困惑和网络运行的混乱,通过VTP(VisualTrunkingProtocol)的使用,我们可以统一管理VLAN的创建、删除、分配和使用。
比如我们将核心交换机6509设为VTPDOMAIN中的SERVER角色,而将其它交换机设为VTPDOMAIN中的CLIENT角色,那么将只有核心交换机6509可以进行VLAN的创建和删除,任何其他交换机将只能使用由6509已创建好的VLAN,即只能将某个端口加入某个VLAN,而不能自由的重新创建一个VLAN。
通过对VLAN的管理,我们可以轻松的在远端(网络中心)完成VLAN的修改,在网络的中心位置控制VLAN间的访问,有效的控制VLAN间的信息流量,减轻远端管理的复杂度。
4.5内部局域网络的安全接入
内部局域网络承担着整个园区网络的通讯枢纽功能,连接着所有的应用服务器和数据系统,任何网络安全问题都会扰乱园区的正常运转,给园区带来不可弥补的损失。
目前园区在内部局域网中遇到的问题主要有以下几种:
1、IP地址的管理问题,包括IP地址非法使用、IP地址冲突和IP地址欺骗
2、利用ARP欺骗获取账号、密码、信息,甚至恶意篡改信息内容、嫁祸他人问题
3、木马、蠕虫病毒攻击导致的信息失窃、网络瘫痪问题
4、攻击或病毒源机器的快速定位、隔离问题
IP的地址管理一直是长期困扰园区局域网安全稳定运行的首要问题。
在局域网上任何用户使用XX的IP地址都应视为IP非法使用。
由于终端用户可以自由修改IP地址,从而产生了IP地址非法使用问题。
改动后的IP地址在局域网中运行时可能出现以下情况。
✓非法的IP地址即IP地址不在规划的局域网范围内
✓重复的IP地址与已经分配且正在局域网运行的合法的IP地址发生资源冲突,使合法用户无法上网
✓冒用合法用户的IP地址当合法用户不在线时,冒用其IP地址联网,使合法用户的权益受到侵害
无论是有意或无意地使用非法IP地址都可能会给园区带来严重的后果,如重复的IP地址会干扰、破坏网络服务器和网络设备的正常运行,甚至导致网络的不稳定,从而影响业务;拥有被非法使用的IP地址所拥有的特权,威胁网络安全;利用欺骗性的IP地址进行网络攻击,如富有侵略性的TCPSYN洪泛攻击来源于一个欺骗性的IP地址,它是利用TCP三次握手会话对服务器进行颠覆的一种攻击方式,一个IP地址欺骗攻击者可以通过手动修改地址或者运行一个实施地址欺骗的程序来假冒一个合法地址。
为了防止非法使用IP地址,增强网络安全,最常见的方法是采用静态的ARP命令捆绑IP地址和MAC地址,从而阻止非法用户在不修改MAC地址的情况下冒用IP地址进行的访问,同时借助交换机的端口安全即MAC地址绑定功能可以解决非法用户修改MAC地址以适应静态ARP表的问题。
但这种方法由于要事先收集所有机器的MAC地址及相应的IP地址,然后还要通过人工输入方法来建立IP地址和MAC地址的捆绑表,不仅工作量繁重,而且也难以维护和管理。
另一个显著的问题就是带有攻击特性的ARP欺骗。
地址解析协议(ARP,AddressResolutionProtocol)最基本的功能是用来实现MAC地址和IP地址的绑定,这样两个工作站才可以通讯,通讯发起方的工作站以MAC广播方式发送ARP请求,拥有此IP地址的工作站给予ARP应答,并附上自己的IP和MAC地址。
ARP协议同时支持一种无请求ARP功能,局域网段上的所有工作站收到主动ARP,会将发送者的MAC地址和其宣布的IP地址保存,覆盖以前的同一IP地址和对应的MAC地址。
术语“ARP欺骗”或者说“ARP中毒”就是指利用主动ARP来误导通信数据传往一个恶意计算机的黑客技术,该计算机就能成为某个特定局域网网段上的两台终端工作站之间IP会话的“中间人”了。
如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个ARP应答包,让两台主机都“误”认为对方的MAC地址是第三方黑客所在的主机,这样,双方看似“直接”的通信连接,实际上都是通过黑客所在的主机间接进行的。
黑客一方面得到了想要的通信内容,并可以通过工具破译账号、密码、信息,另一方面,还可以恶意更改数据包中的一些信息。
同时,这种ARP欺骗又极具隐蔽性,攻击完成后再恢复现场,所以不易发觉、事后也难以追查,被攻击者往往对此一无所知。
病毒入侵问题也是所有园区普遍关心的问题。
这些病毒,可以在极短的时间内迅速感染大量系统,甚至造成网络瘫痪和信息失窃,给园区造成严重损失。
木马病毒往往会利用ARP的欺骗获取账号和密码,而蠕虫病毒也往往利用IP地址欺骗技术来掩盖它们真实的源头主机。
如“网吧传奇杀手”(Trojan.PSW.LMir.qh)木马病毒就是一个专门窃取“传奇”游戏密码的恶性木马病毒,其工作原理是对局域网中的机器进行ARP欺骗,虚拟内部的网关地址,以此来收集局域网中传奇游戏登录信息,通过解析加密方式从而得到用户信息的破坏性软件。
在局域网中运行这个病毒后,就可以获得整个局域网中“传奇”玩家的帐户和密码等信息。
例如“局域网终结者”(Win32.Hack.Arpkill)病毒,通过伪造ARP包来欺骗网络主机,使指定的主机网络中断,严重影响到网络的运行。
最后,令网络管理员头痛的问题是如何准确定位。
当出现IP地址被非法使用、IP地址冲突,或网络出现异常流量包括由于网络扫描、病毒感染和网络攻击产生的流量,为了查找这些IP地址的机器,一般采用如下步骤:
1.确定出现问题的IP地址。
2.查看当前网络设备的ARP表,从中获得网卡的MAC地址。
3.检查交换机的MAC地址列表,确定机器位置。
这个过程往往要花费大量的时间才能够定位机器具体连接的物理端口,而对于伪造的源IP地址要查出是从哪台机器产生的就更加困难了。
如果不能及时对故障源准确地定位、迅速地隔离,将会导致严重的后果,即使在网络恢复正常后隐患依然存在。
4.6阻止来自网络第二层攻击的重要性
以上所提到的攻击和欺骗行为主要来自网络的第二层。
在网络实际环境中,其来源可概括为两个途径:
人为实施,病毒或蠕虫。
人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探,获取管理帐户和相关密码,在网络上中安插木马,从而进行进一步窃取机密文件。
攻击和欺骗过程往往比较隐蔽和安静,但对于信息安全要求高的园区危害是极大的。
木马、蠕虫病毒的攻击不仅仅是攻击和欺骗,同时还会带来网络流量加大、设备CPU利用率过高、二层生成树环路、网络瘫痪等现象。
网络第二层的攻击是网络安全攻击者最容易实施,也是最不容易被发现的安全威胁,它的目标是让网络失效或者通过获取诸如密码这样的敏感信息而危及网络用户的安全。
因为任何一个合法用户都能获取一个以太网端口的访问权限,这些用户都有可能成为黑客,同时由于设计OSI模型的时候,允许不同通信层在相互不了解情况下也能进行工作,所以第二层的安全就变得至关重要。
如果这一层受到黑客的攻击,网络安全将受到严重威胁,而且其他层之间的通信还会继续进行,同时任何用户都不会感觉到攻击已经危及应用层的信息安全。
所以,仅仅基于认证(如IEEE802.1x)和访问控制列表(ACL,AccessControlLists)的安全措施是无法防止本文中提到的来自网络第二层的安全攻击。
一个经过认证的用户仍然可以有恶意,并可以很容易地执行本文提到的所有攻击。
目前这类攻击和欺骗工具已经非常成熟和易用。
归纳前面提到的局域网目前普遍存在的安全问题,根据这些安全威胁的特征分析,这些攻击都来自于网络的第二层,主要包括以下几种:
MAC地址泛滥攻击
DHCP服务器欺骗攻击
ARP欺骗
IP/MAC地址欺骗
CiscoCatalyst智能交换系列的创新特性针对这类攻击提供了全面的解决方案,将发生在网络第二层的攻击阻止在通往内部网的第一入口处,主要基于下面的几个关键的技术。
PortSecurity
DHCPSnooping
DynamicARPInspection(DAI)
IPSourceGuard
下面主要针对目前这些非常典型的二层攻击和欺骗说明如何在思科交换机上组合运用和部署上述技术,从而防止在交换环境中的“中间人”攻击、MAC/CAM攻击、DHCP攻击、地址欺骗等,更具意义的是通过上面技术的部署可以简化地址管理,直接跟踪用户IP和对应的交换机端口,防止IP地址冲突。
同时对于大多数具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。
MAC地址泛滥攻击的防范
4.7MAC泛滥攻击的原理和危害
交换机主动学习客户端的MAC地址,并建立和维护端口和MAC地址的对应表以此建立交换路径,这个表就是通常我们所说的CAM表。
CAM表的大小是固定的,不同的交换机的CAM表大小不同。
MAC/CAM攻击是指利用工具产生欺骗MAC,快速填满CAM表,交换机CAM表被填满。
黑客发送大量带有随机源MAC地址的数据包,这些新MAC地址被交换机CAM学习,很快塞满MAC地址表,这时新目的MAC地址的数据包就会广播到交换机所有端口,交换机就像共享HUB一样工作,黑客可以用sniffer工具监听所有端口的流量。
此类攻击不仅造成安全性的破坏,同时大量的广播包降低了交换机的性能。
当交换机的CAM表被填满后,交换机以广播方式处理通过交换机的报文,这时攻击者可以利用各种嗅探攻击获取网络信息。
更为严重的是,这种攻击也会导致所有邻接的交换机CAM表被填满,流量以洪泛方式发送到所有交换机的所有含有此VLAN的接口,从而造成交换机负载过大、网络缓慢和丢包甚至瘫痪。
防范方法
限制单个端口所连接MAC地址的数目可以有效防止类似macof工具和SQL蠕虫病毒发起的攻击,macof可被网络用户用来产生随机源MAC地址和随机目的MAC地址的数据包,可以在不到10秒的时间内填满交换机的CAM表。
CiscoCatalyst交换机的端口安全(PortSecurity)和动态端口安全功能可被用来阻止MAC泛滥攻击。
例如交换机连接单台工作站的端口,可以限制所学MAC地址数为1;连接IP电话和工作站的端口可限制所学MAC地址数为3:
IP电话、工作站和IP电话内的交换机。
通过端口安全功能,网络管理员也可以静态设置每个端口所允许连接的合法MAC地址,实现设备级的安全授权。
动态端口安全则设置端口允许合法MAC地址的数目,并以一定时间内所学习到的地址作为合法MAC地址。
通过配置PortSecurity可以控制:
1、端口上最大可以通过的MAC地址数量
2、端口上学习或通过哪些MAC地址
3、对于超过规定数量的MAC处理进行违背处理
端口上学习或通过哪些MAC地址,可以通过静态手工定义,也可以在交换机自动学习。
交换机动态学习端口MAC,直到指定的MAC地址数量,交换机关机后重新学习。
目前较新的技术是StickyPortSecurity,交换机将学到的mac地址写到端口配置中,交换机重启后配置仍然存在。
对于超过规定数量的MAC处理进行处理一般有三种方式(针对交换机型号会有所不同):
Shutdown:
端口关闭。
Protect:
丢弃非法流量,不报警。
Restrict:
丢弃非法流量,报警。
配置示例
PortSecurity配置选项:
Switch(config-if)#switchportport-security?
agingPort-securityagingcommands
mac-addressSecuremacaddress
maximumMaxsecureaddresses
violationSecurityviolationmode
配置PortSecurity最大MAC数目,违背处理方式,恢复方法:
Switch(config)#intfastEthernet3/48
Switch(config-if)#switchportport-security
Switch(config-if)#switchportport-securitymaximum2
Switch(config-if)#switchportport-securityviolationshutdown
Switch(config)#errdisablerecoverycausepsecure-violation
Switch(config)#errdisablerecoveryinterval30
通过配置stickyport-security学得的MAC:
interfaceFastEthernet3/29
switchportmodeaccess
switchportport-security
switchportport-securitymaximum5
switchportport-securitymac-addresssticky
switchportport-securitymac-addresssticky000b.db1d.6ccd
switchportport-securitymac-addresssticky000b.db1d.6cce
switchportport-securitymac-addresssticky000d.6078.2d95
switchportport-securitymac-addresssticky000e.848e.ea01
DHCP欺骗攻击的防范
4.8采用DHCP管理的常见问题
采用DHCPserver可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS等网络参数,简化了用户网络设置,提高了管理效率。
但在DHCP管理使用上也存在着一些另网管人员比较问题,常见的有:
1、DHCPserver的冒充。
2、DHCPserver的DOS攻击。
3、有些用户随便指定地址,造成网络地址冲突。
4、由于DHCP的运作机制,通常服务器和客户端没有认证机制,如果网络上存5、6、在多台DHCP服务器将会给网络照成混乱。
由于不小心配置了DHCP服务器引起的网络混乱也非常常见。
黑客利用类似Goobler的工具可以发出大量带有不同源MAC地址的DHCP请求,直到DHCP服务器对应网段的所有地址被占用,此类攻击既可以造成DOS的破坏,也可和DHCP服务器欺诈结合将流量重指到意图进行流量截取的恶意节点。
DHCP服务器欺诈可能是故意的,也可能是无意启动DHCP服务器功能,恶意用户发放错误的IP地址、DNS服务器信息或默认网关信息,以此来实现流量的截取。
一个“不可靠”的DHCP服务器通常被用来与攻击者协作,对网络实施“中间人”MITM(Man-In-The-Middle)攻击。
中间人攻击是一种攻击者利用正常的协议处理行为来更改两个终端之间的正常通信数据流而形成的一种攻击技术。
首先一个黑客会广播许多含有欺骗性MAC地址的DHCP请求(动态主机配置请求),从而耗尽合法DHCP服务器上的地址空间,一旦其空间地址被耗尽,这个“不可靠”的DHCP服务器就开始向“用户”的DHCP请求进行应答了,这些应答信息中将包括DNS服务器和一个默认网关的信息,这些信息就被用来实施一个MITM中间人攻击。
黑客也可以利用冒充的DHCP服务器,为用户分配一个经过修改的DNSServer,在用户毫无察觉的情况下被引导在预先配置好的假金融网站或电子商务网站,骗取用户帐户和密码,这种攻击是非常恶劣的。
4.9DHCPSnooping技术概述
DHCPSnooping技术是DHCP安全特性,通过建立和维护DHCPSnooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。
通过截取一个虚拟局域网内的DHCP信息,交换机可以在用户和DHCP服务器之间担任就像小型安全防火墙这样的角色,“DHCP监听”功能基于动态地址分配建立了一个DHCP绑定表,
升级会员 