安全篇

关键词:

什么是设备的防攻击功能
当处于复杂网络环境中的设备遭受到网络攻击或者大负荷流量时,经常会出现如下的一些情况:                                                      

     1)非常高的CPU利用率;                                          

     2)CLI 响应缓慢或者停滞;                                          

     3)链路或网络控制协议报文丢失,最后导致链路或网络抖动;            

     4)处理带宽被非法报文占用,导致重要的协议报文无法得到处理。

当出现以上情况时,就需要配置设备的防攻击功能。这些情况的产生一方面是由于控制平面和转发平面的处理能力的差异,另一方面是由于缺乏对控制层面的保护。设备防攻击模块可以对需要进入控制层面处理的数据报文进行分类,过滤,限速,从而达到保护控制层面的关键资源的目的。

什么是IP+MAC绑定功能
IP+MAC地址绑定是指路由器将与其直接相连的网络上的主机的 MAC地址 和 IP地址 进行捆绑记录,只有指定的 MAC地址 才可以用相应的 IP 地址。这种机制可以防止被绑定的主机的IP地址不被假冒。应用这种机制有两个前提:

     1)MAC 地址是唯一的,并且不可假冒;

     2)只能绑定与路由器直接相连的网络上的主机(也就是主机的网关在路由器上)。

另外,一台主机的接口上可以配置多个IP 地址,因此存在多个 IP 地址绑定到同一个 MAC 地址上的情况,但反过来不允许。

路由器 如何防止arp攻击
     方案一:使用 IP+MAC 绑定功能

     方案二:在全局路由器下绑定客户端的ARP信息,并且在网关接口上使用ACL把内网没有使用的ip地址禁止掉

说明:方案一 需要将该网段未使用的IP地址绑定到一个不存在的MAC地址上,工作量相对较大;建议可以采用方案二。

什么是SNMP
SNMP 是Simple NetworkManagement Protocol (简单网络管理协议)的缩写,在1988年8 月就成为一个网络管理标准RFC1157。到目前,因众多厂家对该协议的支持,SNMP已成为事实上的网管标准,适合于在多厂家系统的互连环境中使用。利用SNMP协议,网络管理员可以对网络上的节点进行信息查询、网络配置、故障定位、容量规划,网络监控和管理是SNMP 的基本功能。

SNTP
功能介绍:

目前,因特网上普遍采用了通讯协议来实现网络时间同步,即 NTP (Network Time Protocol--网络时间协议),还有一种协议是 NTP  协议的简化版,即 SNTP  (Simple Network Time Protocol,简单网络时间协议)。 NTP  协议可以跨越各种平台和操作系统,用非常精密的算法,因而几乎不受网络的延迟和抖动的影响,可以提供 1-50 ms  精度。NTP 同时提供认证机制,安全级别很高。但是 NTP 算法复杂,对系统要求较高。 SNTP  (简单网络时间协议)是NTP  的简化版本,在实现时,计算时间用了简单的算法,性能较高。而精确度一般也能达到 1  秒左右,也能基本满足绝大多数场合的需要。 由于SNTP 的报文和NTP 的报文是完全一致的,所以设备实现的SNTP Client 能完全兼容 NTP Server。

应用场景

若企业由于业务需要,需要保证内部所有网络设备的时间时刻保持统一,且对时间精度的要求不是太高,安全级别要求不高(SNTP是NTP  的简化版本,计算时间用了简单的算法,性能较高;精确度一般也能达到1 秒左右,也能基本满足绝大多数场合的需要),此时可在内网搭建一个SNTP服务器,同时在路由器上开启SNTP功能,让路由器自动与SNTP服务器上的时间校准,保证时间的同步。若内网没有SNTP服务器,也可与Internet上的SNTP服务器进行校准。

一、组网需求

路由器需要通过SNTP服务器同步时间。

二、组网拓扑

什么是QoS
QoS(Quality of Service)服务质量,是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。 在正常情况下,如果网络只用于特定的无时间限制的应用系统,并不需要QoS,比如Web应用,或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时,QoS 能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行。

设备开机后通过console口登陆无任何显示

     1)确认设备是否正常上电、各指示灯是否正常

     2)确认波特率是否正确,出厂默认为9600,若设备有被配置过,由于不确定波特率被修改为多少,则建议将所有波特率都尝试一遍。

     3)更换console线缆、客户端软件或电脑测试

什么是帧中继
帧中继( Frame Relay)是一种用于连接计算机系统的面向分组的通信方法,它主要用在公共或专用网上的局域网互联以及广域网连接。大多数公共电信局都提供帧中继服务,把它作为建立高性能的虚拟广域连接的一种途径。

什么是ATM
ATM(Asynchronous Transfer Mode)异步传输模式,异步转移模式的特征是信息的传输、复用和交换都以信元为基本单位。异步是指属于同一用户的信元并不一定按固定的时间间隔周期性地出现。ATM交换是指把入线上的ATM信元,根据其信头上的VPI(虚路径标识符)和VCI(虚通路标识符)转送到相应的出线上去,从而完成交换传送的目的。由于ATM技术简化了交换过程,去除了不必要的数据校验,采用易于处理的固定信元格式,所以ATM交换速率大大高于传统的数据网,如x.25,DDN,帧中继等。