Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Меры по обеспечению безопасности в локальных сетях
· Антивирусное и антишпионское ПО позволяет предотвратить заражение оконечных устройств вредоносными программами. · Фильтрация на межсетевом экране — блокирование попыток несанкционированного доступа к сети. Сюда может входить система реализованных на узле межсетевых экранов, которая используется для предотвращения несанкционированного доступа к оконечному устройству, или базовый сервис фильтрации на домашнем маршрутизаторе для предотвращения несанкционированного доступа в сеть извне. Кроме вышеперечисленного, в более крупных сетях и корпоративных сетях часто имеются другие требования безопасности. · Выделенные межсетевые экраны — более широкие возможности межсетевого экрана, который может фильтровать большой объем трафика с повышенной детализацией. · Списки контроля доступа (Access Control List, ACL) — дальнейшая фильтрация доступа, а также пересылка трафика. · Системы предотвращения вторжений (Intrusion prevention system, IPS) — определение быстро распространяющихся угроз, таких как атаки нулевого дня или нулевого часа. · Виртуальные частные сети (Virtual Private Network, VPN) — обеспечение безопасного доступа для удаленных сотрудников.
Использование возможностей IOS для обслуживания устройств Cisco. Обнаружение устройств, Управление устройсв (Неизвесно входит ли в этот вопрос эти темы или нет) Протокол Cisco Discovery Protocol (CDP) — это проприетарный протокол компании Cisco уровня 2, который служит для сбора информации об устройствах Cisco, использующих один и тот же канал передачи данных. CDP не зависит от среды передачи данных и других протоколов; он включен на всех устройствах Cisco, таких как маршрутизаторы, коммутаторы и серверы доступа. Периодически устройство отправляет объявления CDP на подключенные устройства, как показано на рисунке. Посредством объявлений осуществляется обмен информацией о типах обнаруженных устройств, их именах, количестве и типах интерфейсов. Поскольку большинство сетевых устройств подключены к другим устройствам, протокол CDP может помочь в проектировании сетей, поиске и устранении неполадок, а также во внесении изменений в оборудование. CDP также можно использовать в качестве сетевого средства обнаружения для получения информации о соседних устройствах. Собранная таким образом информация помогает построить логическую топологию сети в случае отсутствия документации или ее недостаточной детализации. На устройствах Cisco протокол CDP включен по умолчанию. Show cdp-состояние cdp no/ cdp run – отключить/ включить CDP сразу для всех поддерживаемых интерфейсов устройства no/ cdp enable- отключить/ включить CDP для определенного интерфейса show cdp neighbors- проверить состояние CDP и просмотреть список соседних устройств, отображает полезную информацию о каждом соседнем устройстве CDP, в том числе следующие данные: · Идентификатор устройства — имя хоста соседнего устройства (S1). · Идентификатор порта — имя локального или удаленного порта (Gig 0/1 и Fas 0/5 соответственно). · Список возможностей — сведения о том, является ли устройство маршрутизатором или коммутатором (S обозначает коммутатор; I обозначает IGMP и в данном курсе не рассматривается). · Платформа — аппаратная платформа устройства (WS-C2960 обозначает коммутатор Cisco 2960).
show cdp interface- отображает интерфейсы устройства, на которых включен протокол CDP. Кроме того, выводится состояние каждого интерфейса. Общие сведения о LLDP Устройства Cisco также поддерживают протокол LLDP (Link Layer Discovery Protocol) — не зависящий от поставщика протокол для обнаружения соседей, подобный CDP. LLDP работает с сетевыми устройствами, такими как маршрутизаторы, коммутаторы и точки доступа к беспроводной сети LAN. Этот протокол объявляет себя и свои возможности другим устройствам и получает данные от физически подключенных устройств уровня 2. Настройка и проверка LLDP На некоторых устройствах протокол LLDP может быть включен по умолчанию. No / lldp run Отключить/включить LLDP для всех интерфейсов сетевого устройства Cisco, в режиме глобальной конфигурации. Как и протокол CDP, протокол LLDP можно включить и отключить на конкретных интерфейсах. Однако передачу и прием пакетов LLDP необходимо настраивать отдельно. No / lldp transmit- отключить/ включить на конкретном интерфейсе, передачу пакетов LLDP No / lldp receive - отключить / включить на конкретном интерфейсе, прием пакетов LLDP
show lldp -Статус lldp, введите команду в привилегированном режиме EXEC. Поиск устройств show lldp neighbors- Если включен протокол LLDP, можно найти соседей определенного устройства По результатам выполнения команды show lldp neighbors можно построить топологию подключений коммутатора. Настройка системных часов Основным источником информации о времени в системе являются программные часы маршрутизатора или коммутатора, которые запускаются при загрузке системы. Важно, чтобы время на всех устройствах в сети было синхронизировано, поскольку все аспекты управления, безопасности, устранения неполадок и планирования сети требуют точных меток времени. Если время на устройствах не синхронизировано, определить порядок событий и их причину невозможно. Обычно для настройки даты и времени на маршрутизаторе или коммутаторе используется один из двух способов: · вручную настройте дату и время, как показано на рисунке; · настройте протокол сетевого времени (NTP). С помощью этого протокола маршрутизаторы могут синхронизировать свои настройки времени с NTP-сервером. Клиенты NTP, которые получают сведения о времени и дате из одного источника, используют более корректные настройки времени. Если в сети реализован протокол NTP, его можно настроить на синхронизацию с частным тактовым генератором или общедоступным сервером NTP в Интернете. Протокол NTP использует порт UDP 123 и задокументирован в RFC 1305. Работа протокола NTP В сетях NTP используется иерархическая система источников времени. Каждый уровень этой иерархической системы называется часовым слоем (stratum). Уровень часового слоя определяется как количество переходов от доверенного источника. Для распределения синхронизированной информации о времени по сети используется протокол NTP. На рисунке показан пример сети NTP. Серверы NTP расположены на трех уровнях, соответствующих трем часовым слоям. Часовой слой 1 подключен к часам часового слоя 0. Часовой слой 0 Сеть NTP получает информацию о времени от доверенных источников времени. Эти доверенные источники времени, также называемые устройствами часового слоя 0, являются высокоточными устройствами хранения времени, которые считаются точными и работают практически без задержек. Устройства слоя 0 изображены на рисунке в виде часов. Часовой слой 1 Устройства слоя 1 подключены напрямую к доверенным источникам времени. Они выступают в роли основного стандарта сетевого времени. |
Последнее изменение этой страницы: 2019-04-11; Просмотров: 286; Нарушение авторского права страницы