馮雪征 張麗霞

[摘 要] 任何企業(yè)進(jìn)行正常通信都離不開路由器和交換機(jī)，二者在控制企業(yè)運(yùn)營成本、提高企業(yè)生產(chǎn)力等方面具有重要作用。本文主要從網(wǎng)絡(luò)基礎(chǔ)設(shè)備存在的問題、系統(tǒng)升級以及Cisco路由器配置等方面深入分析Cisco路由器交換機(jī)技術(shù)應(yīng)用。

[關(guān)鍵詞] 路由器 交換機(jī) 應(yīng)用

在網(wǎng)絡(luò)環(huán)境中，計(jì)算機(jī)與外圍設(shè)備之間是借助交換機(jī)以及路由器實(shí)現(xiàn)連接和通信的，盡管路由器和交換機(jī)看似很像，但在網(wǎng)絡(luò)中卻發(fā)揮著截然不同的作用，其中，交換機(jī)的主要作用是負(fù)責(zé)一個(gè)群體當(dāng)中的多個(gè)設(shè)備與網(wǎng)絡(luò)的連接，即充當(dāng)?shù)氖窃O(shè)備與網(wǎng)絡(luò)之間連接的紐帶；而路由器的主要功能是實(shí)現(xiàn)不同網(wǎng)絡(luò)之間的連接：對某一網(wǎng)絡(luò)所輸出的數(shù)據(jù)進(jìn)行分析，變更數(shù)據(jù)打包方式，之后將其發(fā)送到另外的網(wǎng)絡(luò)中。在現(xiàn)實(shí)應(yīng)用中，交換機(jī)和路由器的重要性常常被忽視，而將關(guān)注的焦點(diǎn)集中于防火墻、服務(wù)器或者是一些基礎(chǔ)設(shè)備，這樣所導(dǎo)致的后果就是網(wǎng)絡(luò)數(shù)據(jù)包遭到惡意監(jiān)聽、路由被惡意修改等攻擊行為。因此，對Cisco路由器交換機(jī)技術(shù)進(jìn)行深入的分析和探討具有重大的現(xiàn)實(shí)意義。

1網(wǎng)絡(luò)設(shè)備問題

一般情況下，諸如web服務(wù)器、數(shù)據(jù)庫服務(wù)器以及應(yīng)用服務(wù)器等終端主機(jī)是網(wǎng)絡(luò)攻擊的主要目標(biāo)，這樣，關(guān)于基礎(chǔ)設(shè)備的安全性問題就常被忽視。但實(shí)際情況是，路由器和交換機(jī)也經(jīng)常會遭到黑客攻擊，并且還被作為攻擊工具。Cisco路由器交換機(jī)擁有屬于自己的操作系統(tǒng)，也就是通常所說的網(wǎng)絡(luò)操作系統(tǒng)，早期版本中不可避免的存在著一些技術(shù)上的漏洞，因此用戶需要及時(shí)進(jìn)行系統(tǒng)升級，以避免受到不必要的干擾和攻擊。

路由器和交換機(jī)不但常會被黑客作為進(jìn)行攻擊的目標(biāo)或工具，有時(shí)還被黑客用來進(jìn)行身份的隱瞞或者是制造噪音。例如，黑客可以通過在Cisco交換機(jī)上創(chuàng)建監(jiān)視端口來實(shí)現(xiàn)對交換機(jī)其他端口的監(jiān)聽，進(jìn)而將所監(jiān)聽到的數(shù)據(jù)包在指定的交換機(jī)端口進(jìn)行備份，雖然網(wǎng)絡(luò)管理人員致力于研究防止由集線器所導(dǎo)致的監(jiān)聽，但是，當(dāng)交換機(jī)被黑客利用進(jìn)行網(wǎng)絡(luò)訪問時(shí)，便會給網(wǎng)絡(luò)安全帶來極大的威脅。

2定期進(jìn)行系統(tǒng)升級

不管使用何種系統(tǒng)，及時(shí)進(jìn)行系統(tǒng)升級是十分重要的。一直以來，Cisco公司都很重視系統(tǒng)版本的升級與更新，相比較而言，Cisco系統(tǒng)版本穩(wěn)定性較高。對系統(tǒng)運(yùn)行的網(wǎng)絡(luò)操作系統(tǒng)進(jìn)行調(diào)查是分析網(wǎng)絡(luò)基礎(chǔ)設(shè)備時(shí)的首要任務(wù)，關(guān)于這類信息的查詢方面，Show Version命令的效率較高。需要注意的是，并不是發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中存在較老的系統(tǒng)版本就一定需要及時(shí)進(jìn)行升級，而是首先要對比分析一下進(jìn)行系統(tǒng)升級所要花費(fèi)的時(shí)間和精力，在綜合分析之后再決定是否有必要進(jìn)行升級。

早期、局部以及普通三大開發(fā)階段是Cisco所定義的三種階段，其中，在早期開發(fā)階段中網(wǎng)絡(luò)操作還不是十分成熟，會存在一定的缺陷和毛病；網(wǎng)絡(luò)操作系統(tǒng)對ED系統(tǒng)漏洞的改進(jìn)主要是在局部開發(fā)階段進(jìn)行；普通開發(fā)階段主要關(guān)注的是網(wǎng)絡(luò)操作系統(tǒng)的穩(wěn)定性，并且在本階段基本不存在漏洞。

對于廣大用戶來說，最重要的不是所使用的網(wǎng)絡(luò)操作系統(tǒng)的版本是否是最新的，而是看其是否是自己實(shí)際需要的。GD版本列舉出了大量已經(jīng)得到確認(rèn)的系統(tǒng)漏洞，所以，一般而言，該版本已經(jīng)解決了所發(fā)現(xiàn)的漏洞，但是如果在本系統(tǒng)中再發(fā)現(xiàn)嚴(yán)重漏洞，唯一的選擇就是及時(shí)進(jìn)行系統(tǒng)升級。

盡管很多攻擊的目標(biāo)是終端主機(jī)——如web服務(wù)器、應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器，許多用戶忽略了網(wǎng)絡(luò)基礎(chǔ)設(shè)備的安全問題。路由器和交換機(jī)不僅可以被攻擊還可以作為黑客進(jìn)行攻擊的工具，還是黑客收集有用信息的合適設(shè)備。Cisco路由器和交換機(jī)有自己的操作系統(tǒng)，或者被稱為Cisco IOS(網(wǎng)絡(luò)操作系統(tǒng))。同其他操作系統(tǒng)一樣，早期的版本有許多漏洞，如果用戶沒有升級，會帶來很多問題。例如，很多Cisco交換機(jī)可以創(chuàng)建一個(gè)監(jiān)視端口來監(jiān)聽交換機(jī)的其他端口。這樣管理員和黑客就可以把交換機(jī)上看到的網(wǎng)絡(luò)數(shù)據(jù)包備份到一個(gè)指定的交換機(jī)端口。盡管管理員努力在系統(tǒng)中杜絕集線器造成的監(jiān)聽問題，但是如果黑客可以通過交換機(jī)訪問網(wǎng)絡(luò)，網(wǎng)絡(luò)安全便面臨危險(xiǎn)。

3配置Cisco路由器

對于大多數(shù)Cisco路由器來說，實(shí)現(xiàn)控制仍舊是通過沒有采取加密措施的遠(yuǎn)程登錄方式。遠(yuǎn)程登錄控制方式的通信都是采取的明文，這樣就很容易導(dǎo)致登錄口令被泄露，雖然已經(jīng)采取了較為先進(jìn)的加密措施，但是還是存在著一系列的問題。Cisco公司在采取SSH加密手段之前，廣大用戶的唯一選擇就是Telnet。需要指出的是，要實(shí)現(xiàn)對訪問路由器的控制，是存在多種可供選擇的方式和途徑的，通過其中任何一種，都可以達(dá)到限制未被授權(quán)用戶訪問路由器的目的。大致來說，有四種進(jìn)行路由器登錄的方式，分別是：通過物理控制臺端口、輔助端口、其他物理串行端口，最后就是遠(yuǎn)程登錄方式。對于前三種登錄方式來說，由于需要一定的物理接口才可以實(shí)現(xiàn)登錄，所以在控制方面比較容易實(shí)現(xiàn)。

其次，在系統(tǒng)的日志管理方面，在一個(gè)賬戶多人共用時(shí)，很難對彼此間的活動做出明確的區(qū)分，用戶模式以及特權(quán)用戶模式是Cisco設(shè)備的兩級訪問模式，對于用戶來說，可以簡單的將特權(quán)用戶同UNIX中的root或Windows NT中的系統(tǒng)管理員等同。通通常來說，無論是在普通用戶登錄模式下，還是在特權(quán)用戶登錄模式下，在進(jìn)行用戶認(rèn)證時(shí)，只需要口令即可完成。但是，在不少機(jī)構(gòu)或部門當(dāng)中，往往是多人共用一個(gè)口令，這就意味著路由器的口令也是多人共用的。系統(tǒng)管理員通過將RADIUS或TACACS與AAA結(jié)合，即可在NDS、AD等中心口令庫中存儲路由器結(jié)構(gòu)相關(guān)信息，這樣，用戶進(jìn)行登錄時(shí)就必須將賬戶名和口令輸入。SNMP的前身是簡單網(wǎng)關(guān)監(jiān)控協(xié)議(SGMP)，用來對通信線路進(jìn)行管理。隨后，人們對SGMP進(jìn)行了很大的修改，特別是加入了符合Internet定義 的SMI和MIB：體系結(jié)構(gòu)，改進(jìn)后的協(xié)議就是著名的SNMP。SNMP的目標(biāo)是管理互聯(lián)網(wǎng)Internet上眾多廠家生產(chǎn)的軟硬件平臺，因此SNMP受 Internet標(biāo)準(zhǔn)網(wǎng)絡(luò)管理框架的影響也很大?，F(xiàn)在SNMP已經(jīng)出到第三個(gè)版本的協(xié)議，其功能較以前已經(jīng)大大地加強(qiáng)和改進(jìn)了。SNMP的體系結(jié)構(gòu)是圍繞著以下四個(gè)概念和目標(biāo)進(jìn)行設(shè)計(jì)的：保持管理代理(agent)的軟件成本盡可能低；最大限度地保持遠(yuǎn)程管理的功能，以便充分利用 Internet的網(wǎng)絡(luò)資源；體系結(jié)構(gòu)必須有擴(kuò)充的余地；保持SNMP的獨(dú)立性，不依賴于具體的計(jì)算機(jī)、網(wǎng)關(guān)和網(wǎng)絡(luò)傳輸協(xié)議。在最近的改進(jìn)中，又加入了保 證SNMP體系本身安全性的目標(biāo)。

最后，將一些不必要的服務(wù)取消。對于重要性不高并且極少被使用到的服務(wù)最好的選擇就是取消；由于finger服務(wù)極有可能被黑客利用作為獲取有用信息的工具，所以也要予以取消，在完成取消之后，需要將HTTP(Web)服務(wù)器保持在關(guān)閉狀態(tài)。

參考文獻(xiàn)：

[1] 陳亮.網(wǎng)絡(luò)安全中安全審計(jì)與監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).大慶石油學(xué)院,發(fā)表時(shí)間:2004-02-05

[2] 于梅,曹世華.路由器在網(wǎng)絡(luò)系統(tǒng)中的應(yīng)用和配置.計(jì)算機(jī)時(shí)代,2002年 第09期

[3] 曾宇.網(wǎng)絡(luò)交換機(jī)與路由器的比較與選擇.電腦知識與技術(shù),2005年 第20期

[4] 郭改文,趙冰.淺談網(wǎng)絡(luò)連接設(shè)備——集線器、交換機(jī)、路由器及網(wǎng)關(guān).河南教育學(xué)院學(xué)報(bào)(自然科學(xué)版),2003年 第01期