在网络管理工作中,常常会碰到这样的情况:某些用户违反管理规定,私自修改自已的IP地址,以达到访问受限资源的目的。这样的行为,不但破坏了信息安全规则,还可能因为地址冲突引起网络通讯故障。
网管管理员可能会试图使用如后文所述的各种技术手段来解决这一问题,但效果不一定很理想:首先技术手段无法完全阻止这种现象的发生,其次是增加了管理的复杂性和成本。所以遏制这种现象最有效的方法是行政手段,这是技术手段所无法替代的。
在介绍这些管理手段之前我们先来看一个模拟的环境:工作站PC和SERVER连接到一台Cisco Catalyst 3550交换机上,它们分属不同的VLAN,借助3550的路由功能进行通讯(附交换机配置):
hostname Cisco3550
!
interface GigabitEthernet0/11
description Connect to PC
!
interface GigabitEthernet0/12
description Connect to SERVER
switchport access vlan 2
!
interface Vlan1
ip address 1.1.1.254 255.255.255.0
!
interface Vlan2
ip address 2.1.1.254 255.255.255.0
如果不需要做权限限制,只是要防止IP地址冲突的话,最佳的方案可能是使用DHCP。DHCP 服务器可以为用户设置IP 地址、子网掩码、网关、DNS等参数,使用方便,还能节省IP地址。在Cisco设备上设置DPCP可以参考:http://mize.netbuddy.org/021011.html。静态的分配和设置需要较多管理开销,如果用户不捣乱的话,由于用户名和IP地址一一对应,维护起来比较方便,以下均假设采用的是静态的管理方法。
Router# show interface e0/0
Ethernet0/0 is up, line protocol is down
Hardware is AmdP2, address is 0009.4375.5e20 (bia 0009.4375.5e20)
Internet address is 192.168.1.53/24
MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec,
reliability 172/255, txload 3/255, rxload 39/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output 00:00:07, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output
drops: 0
Queueing strategy: fifo
Output queue :0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 input packets with dribble condition detected
50 packets output, 3270 bytes, 0 underruns
50 output errors, 0 collisions, 2 interface resets
0 babbles, 0 late collision, 0 deferred
50 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
(1) 接口和活动状态
在上面的显示中,内容表示硬件接口是活动的,而处理行协议的软件过程相信此接口可用。如果路由器操作员拆卸此硬件接口,第一个字段将显示信息is administratively down.如果路由器在活动间隔内收到5000个以上的错误,单词Disabled将出现在此字段中,以显示连路由器自动禁用此端口。行协议字段还显示以前提到的三个描述之一:up、down、administratively down.如果字段项是up,则表示处理行协议和软件过程相信此接口可用,因为她正在接收keepalives的目的也是如此,其他设备可以确定某个空闲连接是否仍然活动。对于以太网接口,Keepalives的默认值是10s。我们不久将注意到,Keepalives设置可以通过为特定接口使用show interfaces命令来获得。可以用keepalive interface 命令来改变keepalives设置。此命令的格式如下:Keepalive seconds
(2) 硬件字段为你提供接口的硬件类型
在以上的例子中,硬件是CISCO扩展总线(CxBus)以太网,即接口处理器的533-Mbps数据总线。因此,硬件通知我们高速CxBus接口处理器用于支持以太网连接。同时还要注意显示字段包括接口的Mac地址。Mac是48位长的。因为Mac地址的头24位是表示生产厂家ID,所以十六进制数00-10-79是由IEEE分配给Csico的标识符。
(3) Internet地址
如果某个接口是为IP路由配置,那么将为它分配一个Internet地址。此地址后面是他的子网掩码。IP地址是205.141.192.1/24。反斜杠(/)后面表示此地址的头24位表示网络,他等于子网掩码255.255.255.0。
(4) MTU
最大传输单元(MTU)表示运行在接口上的协议的信息字段所支持的最大字节数。因为以太网桢的信息字段的最大长度是1500字节,所以它的MTU显示为1500字节。对于几乎所有的以太网应用程序,默认的1500字节MTU应该是有效的。对于令牌环,默认的MTU值为8192字节;但是应该注意的一点是RFC1191建议的MTU值为16-Mbps令牌环选择17914的,而为4-Mbps令牌环选择4464字节。最小的MTU是64个字节,而最大的值是65535字节。如果IP数据报超过最大的MTU,将对它进行分段,这将增加额外开销,因为每个最后的数据报都包含它自己的报头。虽然在高速LAN连接中,通常无需担心与分段有关的额外开销,但在低速串行接口上,这可能会是一个比较严重的问题。可以用MTUinterface命令来改变默认的MTU,此命令格式如下:
mtu bytes
字节数可以是从64~6553。
(5) BW
接口带宽(BW)通常指的是接口的运行速率,用每秒千字节表示。因为以太网运行速率为10Mbps,所以BW值显示为10 000Kb。
可以用Bandwidth命令设置信息带宽值,但实际上不用它来调整接口的带宽,因为对于某些类型的介质,如以太网,带宽是固定的。对于其他的介质,如串行线,通常通过调整硬件来调整其运行速率。例如通过DSU/CSU上设置不同的时钟速率来提高或降低串行接口的运行速率。因此,bandwidth命令主要目的是使当前带宽与高层协议通信。可以通过以下命令格式设置带宽值,千位表示以千位每秒表示的带宽。Bandwidth kilobits
(6) DLY
此字段表示接口的延迟,用微秒表示。以太网的延迟(DLY)为1000s。可以使用delay interface命令为接口设置延迟值。此命令的格式如下:
delay tens-of-microseconds
(7) 可靠性
可靠性字段表示接口的可靠性,用255分之几表示。此字段中所显示的值由在5分钟内的幂平均值计算。因为以太网为每个桢计算CRC,所以可靠性是基于CRC错误率,而不是位错误率。255/255表示接口在5分钟内100%可靠。
虽然没有可靠性命令,可以考虑定期使用的一个重要命令是clear conuter EXEC命令。此命令的功能是清楚或重置接口计数器。此命令的一般格式取决于正在使用的路由器。下面显示的是第二种格式用于Cisco7000系列产品:
clear counter [type number]
clear counter [type slot/port]
type表示特定的接口类型。如果你不指定特定接口,所有接口的计数器都被清除。
(8) 负载
接口上的发送和接收负载均显示为255分之几。与可靠性字段类似,负载字段也是计算5分钟内的幂平均值。从上面可以看出,发送(Txload)负载表示为3/255,而接收(rxload)负载为39/255。因为以太网运行速率为10Mbps,所以可以通过将每分数乘以运行速率来获得接口活动的一般指示。这是因为每个以太网桢都至少有26个额外字节,而当信息字段少于45字节时,将使PAD字符添加到信息字段中。【未完待续】
#p#2. 路由器与Internet接入设备的连接路由器的主要应用互联网的连接,路由器与互联网接入设备的连接情况主要有以下几种:
(1).通过异步串行口连接
异步串口主要是用来与Modem设连接,用于实现远程计算机通过公用电话网拨入局域网络。除此之外,也可用于连接其他终端。当路由器通过电缆与Modem连接时,必须使用AYSNC-to-DB25或AYSNC-to-DB9适配器来连接。路由器与Modem或终端的连接如图12所示。
(2).同步串行口
在路由器中所能支持的同步串行端口类型比较多,如Cisco系统就可以支持5种不同类型的同步串行端口,分别是:EIA/TIA-232接口、EIA/TIA-449接口、V.35接口、X.21串行电缆总成和EIA-530接口,所对应的适配器图示分别如图13、图14、图15、图16、图17所示。但是在这里要注意的一点就是,因为一般来说适配器连线的两端是采用不同的外形(一般称带插针之类推适配器头一端称之为“公头”,而带有孔的适配器一端通常称之为“母头”,注意“EIA-530”接口两端都是一样的接口类型),这主要是考虑到连接的紧密。图中的“公头”为DTE(数据终端设备,Data Terminal Equipment)连接适配器,下方“母头”为DCE(数据通信设备,Data Communications Equipment)连接适配器。如图18所示为同步串行口与Internet接入设备连接的示意图,在连接时只需要对应看一下连接用线与设备端接口类型就可以知道正确选择了。
(3).ISDN BRI端口
Cisco路由器的ISDN BRI模块一般可分为两类,一是ISDN BRI S/T模块,二是ISDN BRI U模块,前者必须ISDN 的NT1终端设备一起才能实现与Internet的连接,因为S/T端口只能接数字电话设备,不适用当前现状,但通过NT1后就可连接现有的模拟电话设备了,连接图如图19所示。而后者由于内置有NT1模块,我们称之为“NT1+”终端设备,它的“U”端口可以直接连接模拟电话外线,因此,无需再外接ISDN NT1,可以直接连接至电话线墙板插座,如图20所示。
与前面讲的一样,路由器的配置端口依据配置的方式的不同,所采用的端口也不一样,主要的仍是两种,一种是本地配置所采用的“Console”端口,另一种是远程配置时采用的“AUX”端口,下面分别讲一下各自的连接方式。
(1). Console端口的连接方式
当使用计算机配置路由器时,必须使用翻转线将路由器的Console口与计算机的串口/并口连接在一起,这种连接线一般来说需要特制,根据计算机端所使用的是串口还是并口,选择制作RJ-45-to-DB-9或RJ-45-to-DB-25转换用适配器,如图21所示。
(2). AUX端口的连接方式
当需要通过远程访问的方式实现对路由器的配置时,就需要采用AUX端口进行了。AUX其实与上面所讲的接口结构与RJ-45一样,只是里面所对应的电路不同,实现的功能也不同而已,根据Modem所使用的端口情况不同,来确定通过AUX端口与Modem进行连接所也必须借助于RJ-45 to DB9或RJ-45 to DB25的收发器的选择。路由器的AUX端口与Modem的连接方式如图22所示。
通过以上比较详细的介绍,相信大家对路由器的各种接口及连接方法有了一个较全面的了解,相信也增加了自己动手为自己公司的路由器连接、配置的信心。
#p#2. 广域网接口
在上面就讲过,路由器不仅能实现局域网之间连接,更重要的应用还是在于局域网与广域网、广域网与广域网之间的连接。但是因为广域网规模大,网络环境复杂,所以也就决定了路由器用于连接广域网的端口的速率要求非常高,在以太网中一般都要求在100Mbps快速以太网以上。下面介绍几种常见的广域网接口。
(1).RJ-45端口
利用RJ-45端口也可以建立广域网与局域网VLAN(虚拟局域网)之间,以及与远程网络或Internet的连接。如果使用路由器为不同VLAN提供路由时,可以直接利用双绞线连接至不同的VLAN端口。但要注意这里的RJ-45端口所连接的网络一般就不太可有是10Base-T这种了,一般都是100Mbps快速以太网以上。如果必须通过光纤连接至远程网络,或连接的是其他类型的端口时,则需要借助于收发转发器才能实现彼此之间的连接。如图5所示为快速以太网(Fast Ethernet)端口。
2).AUI端口
AUI端口我们在局域网中也讲过,它是用于与粗同轴电缆连接的网络接口,其实AUI端口也被常用于与广域网的连接,但是这种接口类型在广域网应用得比较少。在Cisco 2600系列路由器上,提供了AUI与RJ-45两个广域网连接端口(如图6所示),用户可以根据自己的需要选择适当的类型。
3).高速同步串口
在路由器的广域网连接中,应用最多的端口还要算“高速同步串口”(SERIAL)了,如图7所示。
这种端口主要是用于连接目前应用非常广泛的DDN、帧中继(Frame Relay)、X.25、PSTN(模拟电话线路)等网络连接模式。在企业网之间有时也通过DDN或X.25等广域网连接技术进行专线连接。这种同步端口一般要求速率非常高,因为一般来说通过这种端口所连接的网络的两端都要求实时同步。
#p#4).异步串口异步串口(ASYNC)主要是应用于Modem或Modem池的连接,如图8所示。它主要用于实现远程计算机通过公用电话网拨入网络。这种异步端口相对于上面介绍的同步端口来说在速率上要求就松许多,因为它并不要求网络的两端保持实时同步,只要求能连续即可,主要是因为这种接口所连接的通信方式速率较低。
(5).ISDN BRI端口
因ISDN这种互联网接入方式连接速度上有它独特的一面,所以在当时ISDN刚兴起时在互联网的连接方式上还得到了充分的应用。ISDN BRI端口用于ISDN线路通过路由器实现与Internet或其他远程网络的连接,可实现128Kbps的通信速率。ISDN有两种速率连接端口,一种是ISDN BRI(基本速率接口);另一种是ISDN PRI(基群速率接口)。ISDN BRI端口是采用RJ-45标准,与ISDN NT1的连接使用RJ-45-to-RJ-45直通线。如图9所示的BRI为ISDN BRI端口。
3. 路由器配置接口
路由器的配置端口有两个,分别是“Console”和“AUX”,“Console”通常是用来进行路由器的基本配置时通过专用连线与计算机连用的,而“AUX”是用于路由器的远程配置连接用的。
1.Console端口
Console端口使用配置专用连线直接连接至计算机的串口,利用终端仿真程序(如Windows下的“超级终端”)进行路由器本地配置。路由器的Console端口多为RJ-45端口。如下图10所示就包含了一个Console配置端口。
2.AUX端口
AUX端口为异步端口,主要用于远程配置,也可用于拔号连接,还可通过收发器与MODEM进行连接。AUX端口与Console端口通常同时提供,因为它们各自的用途不一样。接口图示仍参见上述图10。
限制方法:使用IP访问控制列表
interface Vlan1
ip address 1.1.1.254 255.255.255.0
ip access-group 100 in
!
access-list 100 permit ip host 1.1.1.1 host 2.1.1.1
突破方法:非法用户将IP地址自行改为1.1.1.1即可访问Server。 非法用户抢占地址1.1.1.1将会引起IP地址冲突问题。如果用户将IP地址设成网关的IP,还会影响到整个VLAN的通讯。通过修改Windows 设置,可以防止用户修改“网络”属性,但这一方法也很容易被突破。
测试2.在测试1的基础上加上静态ARP绑定可以防止IP地址盗用。
实现方法:在测试1配置的基础上设置arp 1.1.1.1 0001.0001.1111 ARPA
注意以下的命令是错误的,因为ARP的端口参数是三层(路由)端口而非二层(交换)端口:
arp 1.1.1.1 0001.0001.1111 ARPA GigabitEthernet0/11
设置完成之后,如果非法用户把地址改为1.1.1.1,它发送到路由器的包正常,但是从目标服务器2.1.1.1返回的数据包在路由器上转发的时候,目标MAC地址将总是设为0001.0001.1111,非法用户不能接收。
类似办法:使用“ARP SERVER”按一定的时间间隔广播网段内所有主机的正确IP-MAC映射表
突破方法:修改MAC地址很容易,在Windows网络连接设置修改网卡的配置,在“高级”页面中找到Network Address设置为指定的值即可。
测试3.使用Port Secure
原理:如果限制了指定端口只能被特定MAC地址的机器,用户若更改了MAC地址端口将会进入不可用状态。
设置方法:
interface g 0/1
switchport mode access
switchport port-security
设置完成之后,交换机端口上首次连接的PC的MAC地址将会记录到交换机中,成为唯一能够使用该端口的MAC地址。如果该PC更换MAC地址,默认将会使用端口置于shutdown状态,无法与网络连通。
可以使用命令设置安全冲突的处理方法:
sw port-security violation [protect | restrict | shutdown ]
protect 丢弃来自非法源地址的包,不告警
restrict 丢弃来自非法源地址的包,发送syslog告警
shutdown(默认) 关闭端口,发送SNMP trap、Syslog 告警,除非管理员执行命令shut/no shut,否则端口一直处理down状态。
突破方法:代理服务器。用户在同一VLAN内能够对外访问的主机上安装代理服务器,通过代理访问。
测试4.使用VLAN,PVLAN隔离用户
原理:将授权用户和非授权用户划分到不同的VLAN中,并使用访问控制列表限制VLAN间的通讯。也可以使用PVLAN隔离使同一VLAN间某些主机之间不能直接通讯。。
interface range g 0/10
description Connect to PC1
switchport access vlan 7
interface range g 0/11
description Connect to PC2
switchport access vlan 8
mac access-list extended macacl
permit host 0000.0c31.ba9b any
permit any host 0000.0c31.ba9b
interface FastEthernet0/1
no ip address
ip access-group ipacl in
mac access-group macacl in
ip access-list extended ipacl
permit ip any host 1.1.1.1
permit ip host 1.1.1.1 any
突破方法:该用户跑到授权用户的机器上访问
这是非典型的突破方法,目前还没有很好的解决方法。
其他可能的限制方法:
1.认证代理:用户访问特定资源前必须在某个网页上输入用户名和密码,否则不通
2.802.1x:用户通过802.1x认证同时由DHCP服务器分配IP地址,否则不通
3.PPPoE:用户需安装PPPoE客户端软件,使用用户名和密码登录网络才能使用
讨论更新:一位叫Maying的朋友看了本文之后到BBS发帖子询问:“如何在路由器上设置过滤掉某个特定mac地址的流量?不希望使用这个mac地址的主机通过路由器!”。
这个要求比较新鲜。当你针对一个MAC地址进行过滤的时候,这一动作发生在第二层。而路由器一般执行的是第三层路由的任务,只有很少情况下做桥接的时候才对进入的MAC地址进行过滤,所以这样的过滤最好设置在二层交换设备上。
但这个要求对路由器来说也不是不可能的任务,麦子使用以下配置达到了要求的效果:
ip cef //Rate-limit 需要cef的支持,路由器可能默认未启用cef
interface Ethernet0/0
ip address 192.168.1.254 255.255.255.0
rate-limit input access-group rate-limit 100 8000 1500 2000 conform-action drop exceed-action drop
//如果源MAC地址为指定值则丢弃(其他的都允许)
access-list rate-limit 100 0001.0001.abcd //要限制的MAC地址
这时候要注意,目标工作站到达该路由器之前不能经过其他三层设备,否则MAC地址会被改掉。
讨论更新:Maying朋友再问:“我的路由器是Cisco 1720, 不支持CEF,怎么办?”
Cisco 1720路由器能够支持CEF, 但要求是12.0(3)T以上IP PLUS版本的软件,12.2(11)YV 起标准IP版软件也可以支持CEF。如果路由器目前IOS软件版本不够,需要升级。
也可以使用桥接(IRB)的方法来解决,这种方法只需要12.0(2)T 以上标准IP版软件即可。配置如下:
bridge irb //启用IRB支持
interface Ethernet0/0
no ip address //路由做到逻辑端口BVI 1上
bridge-group 1 //加入桥接组1
!
interface BVI1
ip address 192.168.1.254 255.255.255.0 //为桥接组1提供路由
!
bridge 1 protocol ieee //运行生成树协议防止环路
bridge 1 route ip //路由IP流量
bridge 1 address 0001.0001.abcd discard //丢弃来着于MAC地址0001.0001.abcd的数据包