Cisco Catalyst 6500系列交换机：主要安全特色

夏日之声

Cisco Catalyst 6500系列交换机：主要安全特色                         概览
                                                       
                                                        简介
网络攻击正在变得越来越复杂，而来自于网络内部的攻击对网络的威胁并不亚于外部的。安全管理人员需要一种可扩展的、可管理的方式来保护他们的网络和用户的基础设施。Cisco Catalyst 6500系列交换机提供了业界功能最丰富的安全功能。其中的一些主要性能让Catalyst6500在各个安全领域独树一帜，下面将详细加以介绍。
                                                          
                                                        控制网络访问
                                                                网络安全管理人员最关心的问题是保护传输中的网络资源和用户信息。为此，第一步要做的是在网络的入口防范未经授权的访问。
                                                       
“请出示您的802.1x身份证明。”
                                                       

• 802.1x是一种第二层身份验证机制。除了标准的802.1x功能集――端口验证、VLAN分配、语音VLAN ID支持等， Catalyst 6500还支持多种独有的改进功能，例如：
  • 802.1x与ACL/QoS结合――如果用户不断地从一个网络地点转移到另一处，这项功能简化了对ACL、QoS和其他基于端口的策略的管理――它们随着用户自动移动。
  • 802.1x与HA结合――如果某个交换管理引擎发生故障，冗余交换管理引擎会接替它的工作，而且数百个已经通过身份验证的802.1x客户端将不需要再次进行验证。
• 您可能拥有一个功能强大的802.1x身份验证系统。但是怎样对那些客户端不支持802.1x的用户进行身份验证呢？
  • Web身份验证――让用户可以通过一个基于Web的验证进程访问网络。例如，宾馆中的旅客的笔记本电脑可能不支持802.1x。这项功能可以让不支持802.1x的客户端访问网络。
  • MAC身份验证――对于性能有限的主机（例如打印机和扫描仪），交换机可以利用设备的MAC地址进行代理验证。

                                                                                                               
                                                       

• 网络准入控制（NAC）――无论接入设备是集线器、交换机还是路由器，您是否都需要在网络中建立一种统一的访问控制机制？

                                                        NAC是思科联合多家安全厂商共同推出的、覆盖整个网络的安全架构。该网络将根据设备的安全状况为其提供适当的访问权限――例如，是否安装了最新的安全补丁、DAT文件、病毒检查等。
                                                       

• NAC可以为不同的部署场合提供支持：
  • 直接连接到交换机端口的设备
  • 通过共享设备（例如集线器）直接连接到交换机端口的设备
  • 在一个IP网络上，通过路由器连接到交换机端口的设备
• 如果终端设备不能响应交换机的扫描请求，NAC将会为评估无响应设备的安装状况提供另一种替代机制。
• 基于策略的ACL――频繁地在端口之间移动的主机，或者频繁地更改端口上的安全策略，都可能会在硬件上触发复杂的ACL合并。PBACL对这种动态网络进行了专门的优化，可以在执行安全策略方面提供独一无二的灵活性。
• 防火墙服务模块――通过向Cisco Catalyst 6500机箱添加一个防火墙服务模块，可以监督和控制访问网络的用户。集成化方法可以消除独立设备所带来的成本和复杂性。

                                                        保护您的用户
                                                                您能否及时发现您的网络中发生的“中间人攻击”？您可能会对其一无所知。因为这种攻击，信息可能会在传输中被窃取，而身份证明可能会在相关各方都毫不知情的情况下被盗用。
                                                        为了防范“中间人攻击”，Cisco Catalyst 6500系列提供了一个名为思科集成化安全工具包（CIST），其中包含三种功能。
                                                          
                                                       

• DHCP监听――建立一个列表，将每个客户端的IP地址与MAC地址一一对应起来。下面两种特性可利用该表防范MITM攻击。
• 动态APR检测――查询DHCP监听表，防止黑客篡改交换机的ARP表。
• IP源保护――查询DHCP监听表，防止黑客使用虚假的IP地址。

                                                       

• 专用VLAN――在用户对有人窃听他们的流量非常敏感的环境中，PVLAN可以提供将用户彼此隔离的功能。它可以为数据中心、配线间和城域以太网提供增强的L2安全。PVLAN由Cisco Catalyst 6500系列首次推出。一些即将增加的功能包括：
  • 混合中继――在数据中心，主机往往需要访问多台服务器。这项功能允许多台服务器借助一条统一的中继线路连接到交换机，从而提高端口的使用率。
  • 专用主机――在城域以太网中，这项功能将允许在中继端口上进行DSLAM汇聚。
• 数据加密――为了保护传输中的用户信息，可以选择下列加密方式：
  • SSHv2和3DES加密结合。所有Cisco Catalyst 6500系列软件镜像都支持这项功能。
  • 硬件加速加密。可以选择IPSec VPN服务模块或者SSL VPN服务模块。

                                                       
                                                        保护您的网络
                                                                在遭受“拒绝服务”攻击时，交换机本身就是攻击目标。怎样防止您的网络遭受这样的攻击？
                                                               
                                                       

• 控制平面监管――不要失去对您的交换机的控制权！控制平面速率限制器和监管器是基于硬件的，可限制发往CPU的流量速率，从而最大限度地降低拒绝服务攻击力。
• 专用于ACL的TCAM――低端交换机可能会使用共享TCAM空间，从而导致ACL溢出。ACL溢出会触发基于软件的转发和对性能造成严重的影响。
  • Cisco Catalyst 6500系列提供了广泛的ACL支持，有32K专用TCAM空间，从而最大限度地减小发生ACL溢出的可能性。
  • 防止基于软件的转发和保持安全。

                                                       
                                                                共享TCAM＝                专用TCAM＝
                                                          CPU过载风险！                保持安全
                                                       

• 基于硬件的MAC学习――对于通过软件学习MAC地址的低端交换机，黑客可以凭借生成数千个虚假MAC地址占据CPU资源。Cisco Catalyst 6500系列通过硬件学习MAC地址，因而可以避免这种DoS攻击。
• 多路径uRPF――典型的DoS攻击从地址伪装开始。多路径单播RPF可以通过对分组进行反向路径转发检查，防止源地址伪装――即使在多个路径指向同一个来源时也是如此。
• 基于用户的速率限制――为了防止某个用户独占网络资源，通过硬件动态学习流量和对每个数据流进行速率限制。
• 广播抑制――黑客可以利用流量阻塞网络，让其处于无法使用的状态。Cisco Catalyst 6500系列提供了一组泛洪控制工具――流量风暴控制、未知单播泛洪阻塞和单播泛洪防范――以防止网络遭受此类DoS攻击。
• IDS/AD服务模块――入侵检测和异常流量检测服务模块可集成到Catalyst 6500中，提供独一无二的安全性和业界领先的吞吐率。

                                                       
                                                       
                                                        服务模块
                                                          利用新一代的集成化服务模块，Cisco Catalyst 6500平台为网络带来了新的安全功能和更高价值，同时不会增加网络的复杂度和成本。
                                                       

• 防火墙服务模块（FWSM）――提供业界最快的防火墙数据速率：5Gbps吞吐率，每秒10万个连接，以及100万个并发连接。基于Cisco PIXÒ技术。
• 异常检测/保护模块（ADSM/AGSM）――进行先进的流量行为分析，检测并自动消除最大范围的DDoS攻击。

                                                       
                                                       

• 入侵检测系统模块（IDSM）――完全集成的入侵检测功能可在交换机的背板进行流量监控。提供实时的安全威胁检测、智能威胁分析和简便的管理。
• 网络分析模块（NAM）――为实时流量分析提供应用级的可见度。信息能用于监控VoIP质量、抑制非生产性网络流量和优化WAN带宽。
• IPSec VPN服务模块（IVSM）――提供IPSec VPN服务，而不需要重叠设备或者网络调整。提供2.5Gbps的AES加密流量；支持8000个有效隧道并每秒可激活隧道60次。
• WebVPN或者SSL VPN服务模块（SSLSM）――利用SSL来提高性能和由Web激活的应用的安全性。同时支持8000个用户和最多32000个并发连接。

                                                       
                                                        安全管理
                                                       

• CVDM――您如何管理如此繁多的安全功能？Catalyst 6500为配置这些功能和服务模块提供了基于CLI的传统配置工具和基于GUI的CiscoView设备管理器。
• 集成化NetFlow――精明的攻击者一直在调整他们的攻击方法。要击败这些攻击者，最重要的任务是在攻击传染到整个网络之前迅速地发现攻击。Catalyst6500提供了集成化NetFlow用来发现硬件中的异常行为流量。Catalyst6500所独有的这项功能让安全管理人员轻松地跟踪某个异常流量模式的来源，进而制止攻击。

                                                       
                                                                                                       

• PSIRT补丁――利用Cisco IOSÒ软件模块化，Catalyst 6500可以提供PSIRT运行时补丁安装功能。这意味着：
  • 在安装安全升级补丁时不需要中断正常运行
  • 小型补丁 vs. 镜像升级：最大限度地减少新的安全漏洞
  • 缩短在安装完安全升级之后需要的审核时间
                                                            
• AutoSecure――安全管理人员过去需要花费大量的时间确保网络中的所有交换机都采用了统一的安全策略。这项功能自动地在交换机上设置一个标准的安全策略，进而迅速地让整个网络进入安全状态。
• NAM――利用网络分析服务模块来监控、优化和管理流量，特别是WAN边缘的流量。

midy

feiyu_615

附件怎么下载不了呀？

netyourlife2007

难得看到有人发此类贴子

itdhl

第一步，show process cpu 如显示IP input process is using a lot of CPU resources,检查以下情况：

一、Fast switching

在大流量的外出接口上是否被disabled.可以用 show interfaces switching 命令察看接口流量.然后在接口上重新 Re-enable fast switching .记住 fast switching是配置在output 接口.

二、Fast switching on the same interface是否被disabled. 如一个接口配有多个网段（secondary addresses ）并且在这些网段间流量很大时 路由器工作在process-switches方式 .这种情况下要在接口上enable ip route-cache same-interface.

三、不能被fast switched的包有：switching cache没有entry的包、目的地是路由器的包、需要协议转换的包、做了policy routing的包、X.25 encapsulation的包、Multilink PPP、压缩和加密的包目的地是router的包.

举例:1.路由更新信息（取决于路由协议）过快的更新值显示网络不稳定并增加了CPU utilization. 可以用show ip route检查路由表

2.其它人登录运行命令导致大量log输出

3.Spoof 攻击.用show ip traffic 命令确认，可发现大量到本地的包.

第二步，用 show interfaces 和show interfaces switching命令识别大量包进出的端口；一旦你确认进入端口后，打开 ip accounting on the outgoing interface看其特征.如果是攻击，源地址会不断变化但是目的地址不变.可以用Access list暂时解决此类问题 （最好在接近攻击源的设备上配置), 最终解决办法是停止攻击源。

一.需policy routing的包.在 Cisco IOS version 11.3以前, policy-routed packets不能被 fast switched. IOS version 11.3 以后允许 policy-routed packets to be fast switched.使用接口命令ip route-cache policy。

二.通过X.25封装的包,因为有 flow control on the second Open System Interconnection (OSI) layer.7.Compressed traffic.如没有Compression Service Adapter (CSA) in the router, compressed packets must be process-switched.8.Encrypted traffic. 如没有 Encryption Service Adapter (ESA) in the router, encrypted packets must be process-switched.

三.大量的User Datagram Protocol (UDP) 流量. 可以用解决 spoof attack的步骤解决.

四.大量组播流穿越路由器。可以enable fast switching of multicast packets using the ip mroute-cache interface configuration command (fast switching of multicast packets is off by default).

五.大量广播包。 Check the number of broadcast packets in the show interfaces command output.

六.路由器被 over-used 不能处理amount of traffic, 可以用 load among other routers 或者 考虑另购买high-end router.

七.路由器配置了IP NAT (Network Address Translation)并且有很多 DNS (Domain Name System) 包穿越 router. UDP or TCP packets with source and/or destination port 53 (DNS) are always punted to process level by NAT.

无论是什么原因导致high CPU utilization in the IP Input process, 都可以用 debugging IP packets察看.因为 CPU utilization已经较高, debugging产生的许多信息只能通过 logging buffered而不能 Logging to a console。 debugging过程不要超过 3-5秒。如果发现可疑的源可以断掉其设备的连接或者用ACL过滤到目的地的包。

sunp_001

好，不错

chengang1975

good!!!!!!!!!!!!!!!!!!

chengang1975

thanks!!!!!!!!!!!!!!!!!!!!!!!

chengang1975

thanks!!!!!!!!!!!!!!!!!!!!!!!!

科比的手

好东西 好好看看 嘿嘿！

科比的手

好东西 好好看看 嘿嘿！

科比的手

好东西 好好看看 嘿嘿！

oyx1981

gan xie a !!!!!!!!!!

baijiayun

不够详细，希望更详细点

lovewhole

ddddddddddddddddddddddddd