毕业综合实践报告-082441032陈越.doc

毕 业 综 合 实 践 报 告 对交换机和路由器的认识与了解摘要：无论是数据、语音、视频还是无线接入，路由器和交换机都是所有企业通信不可缺少的组成部分。它们能够促进解决一个公司的关键问题，帮助该公司提高生产力，降低业务成本，改善安全性和客户服务质量。本文对Cisco路由器和交换机的技术应用进行了分析和阐述关键字：Cisco；路由器；交换机 一、 引言1. 实习单位概况上海玖盛材料装饰有限公司是一家专业从事建筑装饰、设计和施工一体化的公司，专业为办公空间、中高档酒店公寓、商场等提供设计服务和解决方案。公司内部共设4个部门，分别为人事部，销售部，财务部，行政部和IT部。财务部负责管理公司开销，计算公司一段时间内的盈利和亏损情况。人事部负责培训，考勤，保险和职称。销售部负责市场营销，经营和客服服务。IT部负责保护公司网络通畅和各种电脑问题的解决。2. 实习任务介绍负责维护管理公司小型共享网络，设置路由器和管理日常机器的正常运作，帮助同事正确使用电脑和各种软件以及维修和替换一些损坏的机器。二、 有关专业技术介绍网络的工作方式是使用两种设备，交换机和路由器将计算机和外围设备连接起来。这两种工具使连接到网络上的设备之间以及其它网络相互通信。虽然路由器和交换机看起来很像，但是它们在网络中的功能却截然不同：交换机主要用于将一栋大厦或一个校园里的多台设备连接到同一个网络上。路由器主要用于将多个网络连接起来。首先，路由器会分析网络发送的数据，改变数据的打包方式，然后将数据发送到另一个网络上或者其他类型的网络上。它们将公司与外界连接起来，保护信息不受安全威胁，甚至可以决定哪些计算机拥有更高的优先级。系统管理员和安全专家经常花费大量的精力配置各种防火墙、Web服务器和那些组成企业网络的基础设备。但是，他们经常会忽略路由器和交换机。这经常会导致黑客监听网络数据包、修改路由和其他一些恶意攻击行为。本文对Cisco路由器和交换机技术应用进行分析和探讨。 1网络基础设备的问题 尽管很多攻击的目标是终端主机如web服务器、应用服务器和数据库服务器，许多用户忽略了网络基础设备的安全问题。路由器和交换机不仅可以被攻击还可以作为黑客进行攻击的工具，还是黑客收集有用信息的合适设备。Cisco路由器和交换机有自己的操作系统，或者被称为Cisco IOS(网络操作系统)。同其他操作系统一样，早期的版本有许多漏洞，如果用户没有升级，会带来很多问题。 从应用的角度看，路由器和交换机不仅可以作为攻击目标，还可以帮助黑客隐瞒身份、创建监听设备或者产生噪音。例如，很多Cisco交换机可以创建一个监视端口来监听交换机的其他端口。这样管理员和黑客就可以把交换机上看到的网络数据包备份到一个指定的交换机端口。尽管管理员努力在系统中杜绝集线器造成的监听问题，但是如果黑客可以通过交换机访问网络，网络安全便面临危险。 2定期升级系统 任何系统都必须注重及时升级。Cisco公司一直注重IOS在版本更新、升级与发布策略，且Cisco公布的系统版本相对稳定。分析网络基础设备时要做的第一件事情就是调查在系统上运行的各种IOS系统的情况。使用Show Version命令可以方便地查到这些信息。如果用户发现系统中有的10S系统版本比较老，在进行升级前最好与升级所花费的精力和金钱比较一下，考虑一下“如果没有问题，不需要升级”这句话。比IOS系统版本更重要的是这个版本是否已超过了使用周期。Cisco定义了三种阶段： 早期开发阶段(Early Deployment，ED)。这个时期的10S系统有一些还不成熟的新特性， 会有许多毛病。局部开发阶段(Limited Deployment，LD)。处于这个状态的IOS主要是针对ED系统中漏洞而进行改进的版本。普通开发阶段(General Deployment，GD)。这个阶段的IOS系统更强调系统的稳定性，基本上没有漏洞。尽管用户都希望使用最新的I0S系统，但我还要提醒用户注意自己的实际需求，GD版本将指出系统的大量已经发现的漏洞，通常是一个已经解决了发现的漏洞的版本。除非发现此版本的系统有很严重的漏洞这别无选择，只有升级。 3配置Cisco路由器 Cisco路由器在主机级上比UNIX系统容易保护，这是因为系统提供的可远程访问的服务较少。路由器要进行复杂的路由计算并在网络中起着举足轻重的作用，它没有BIND、IMAP、POP、sendmail等服务而这些是UNIX系统中经常出问题的部分。 尽管访问路由器的方式相对少一些，但是还要进行进一步的配置以限制对路由器更深一步的访问。 3.1保护登录点 大多数Cisco路由器还是通过远程登录方式进行控制的，没有采用任何形式的加密方法。采用远程登录方式进行的通信都是以明文传输，很容易泄露登录口令。尽管Cisco IOS12.1采用了SSH l的加密手段，仍然存在很多问题。 在Cisco公司考虑使用SSH之前(希望他们采用SSH 2版本)，用户都只能使用Telnet。但是，还是有很多方法可以控制对路由器的访问，从而限制非授权用户对路由器的访问。登录到路由器的方式有：通过物理控制台端口；通过物理辅助端口；通过其他物理串行端口(仅指在具有端口的模型上)；通过远程登录方式进入一个单元的IP地址中。前三种方式需要物理接口，这样很容易控制。下面主要讨论第四种方式。 Cisco路由器有5个可以远程登录的虚拟终端或称为vty。采用远程登录时要注意两点。首先，要确认通过所有的vty登录都需要口令。配置时可以采用如下命令： Router1 (config)#line vty 0 4 Router1 (config)#password fabi0! 这样通过vty登录时需要输人口令“fabi0！”。其次，用户可以增加控制级别来防止黑客的入侵，可以同时绑定5个vty。具体的命令 Router1 (config)#line vty 0 4 Router1 (config-line)#exec-timeout 1 Router1 (config-line)#exit Router1 (config)#service tcp-keepalives.in 这些命令设置vty的时间限制为1分钟，限制TCP连接的时间长度。除了上述命令，用户还可以设置标准的访问列表以限制可以远程登录到路由器本身内的工作站的数量。例如，假定系统的管理网段是，你将被远程登录的地方，下列命令可以限制对该范围内的进站远程登录会话的数量，命令 Router1 (config)#access-list 1 permit 55 Router1 (config)#access-list 1 deny any Router1 (config)#line vty 0 4 Router1 (config.line)#access-class 1 in 说到考虑物理访问，有两点要注意：控制台端口和辅助管理端口，辅助端口是为通过调制解调器等设备访问路由器而设置的，对这个端口进行保护很重要。可以通过如下命令Router1 (config)#line aux 0 Router1 (config.line)#password fabi0！ Router1 (config)#line console 0 Router1 (config.line)#password fabi0！3.2系统日志管理 多个用户共享一个账户是无法区分他们之间的活动的。默认的情况下，Cisco设备有两级的访问模式：用户模式和特权用户模式。用户可以认为特权用户同UNIX中的root或Windows NT中的系统管理员是类似的。 一般情况下，用户认证时不需要用户名只需要口令。普通用户登录模式和特权用户登录模式都是如此。但是许多机构是很多人同时共享同一口令，这样就有许多人共享路由器的口令。通过将RADIUS或者TACACS和AAA(认证、授权和审计)相结合，系统管理员可以将路由器基本结构信息存贮在NDS、AD或者其他中心口令库中。通过这种认证方式可以强制用户在登录时输入账户名和口令，这样便于清除审计痕迹。 3.3取消不必要的服务 首先，取消一些不重要的、很少被使用服务；取消finger服务，因为它会给黑客提供许多有用信息。取消finger服务后，还要确认没有打开HTTP(Web)服务器。虽然系统的默认配置是这样的，还必须经过用户再确认一下。Cisco设备有Cisco专用协议，CDP(Cisco Discovery Protocol)。同finger一样，CDP本身没有什么威胁，但是它可以让黑客获得许多自己无法访问的信息。 4网络管理注意事项 限制终端访问和取消不必要的服务是保护系统安全的重要部分。但是只进行这些工作是远远不够的，在管理方面还有很多有关系统程序上和管理上值得考虑的因素。 4.1集中日志瞥理 安全专家认为大多数系统日志协议采用UDP的形式进行传输是不安全的。但是现在还没有较好的改进方法。如果系统有一个系统日志登录服务器，用户可以采用命令将输出集中到这个服务器。 4.2口令存储注意事项 许多用户在FTP和TFTP服务器上保存路由配置文件和镜像信息。尽管保留备份是个良好的习惯，但是要确保这些文件的安全。要保证这些服务器有可靠的访问控制。 接下来还可以采取两种预防措施。首先，使用Cisco的“加密”口令规则来代替普通的“使能”口令规则。使用无法逆转的MD5散列算法保存重要口令，采用一般加密算法保存一般口令。 4.3时钟同步 网络时钟协议(NTP)定义了网络设备的时钟与系统的时钟同步规则。NTP是业界标准， NTP相当准确并且兼容性好多种操作系统及各种路由器和交换设备都支持。 4.4SNMP管理 许多组织经常使用SNMP，还有些组织现在希望将来使用。不论其应用前景如何，有两点要注意：如果用户不需要SNMP，最好取消；如果要使用SNMP，最好正确配置。 但是，如果用户一定要使用SNMP，可以对其进行保护。首先，SNMP有两种模式：只读模式(RO)和读写模式(RW)。如果可能，使用只读模式，这样可以最大限度的控制用户的操作，即使在攻击者发现了通信中的字符串时，也能限制其利用SNMP进行侦察的目的，还能阻止攻击者利用其修改配置。如果必须使用读写模式，最好把只读模式与读写模式使用的通信字符串区别开来。最后可以通过访问控制列表来限制使用SNMP的用户。三、 与工作相关的问题解决IT部日常工作问题及处理方法一、 UC物流管理系统登录问题1、 密码错误系统登录密码正确，但登录时系统提示密码错误。解决方法：到OA下载并安装新版本。2、 登录系统老提示升级解决方法：把本电脑所登录的系统全部退出，方可登录。3、 从UC系统不能进入OA解决方法：浏览器问题，安装一个浏览器，如360。4、系统登陆时，提示应用程序出错：解决方法：A更换服务器再登陆B避免升级时中断程序C注册组件D重新安装软件5、系统无法登录服务器或电子称扫描计算费用时间过长：解决方法：A更换服务器再登陆B查看电脑中是否有其它应用程序占用网络资源录单问题1、分配的是网点管理员权限，但没录单权限。解决方法：预付款不足，通知网点汇款并通知财务充值。2、录入提示“到付款未开通”或提示“到付款金额不允大于0”解决方法：1、首先查看区域表，目的网点是否已开通到付，如开通，在“办公派件区域维护”查出目的网点，把“可做到付打勾”。2、在“报价报价维护”里面维护到付限额。电子秤问题1、电子称到件扫描时，明细中的子单件数，重量显示为空：问题解说：子单与主单分开扫描后，子单信息已记录到主单上了2、电子称扫描后，保存不了数据，报错误信息：原因及解决方法：A重量是否扫描子单号，或重量值过大B清理数据库文件（local.ldb），重新复制新的文件。（此方法会丢失扫描的数据）C删除安装目录文件夹，重新安装系统软件报价维护问题1、报价计算正确但批带出来的费用不对。原因：1、报价设置的开始时间在账单的时间之后2、维护有问题，如物品类别为空。解决方法：时间设置正确的情况下，检查报价维护是否有问题。2、设立报价时，某行价格信息保存后，依然恢复成空白：解决方法：删除该行价格重新添加新的3、复制报价时，价格重量段出现新的一行并间隔性空白栏：原因：查询价格时，“派件区域”有选择条件，再复制该条报价会出现上述情况。解决方法：如果要复制价格，尽量避免“派件区域”中加入条件。账单问题1、账单里的目的地与录单资料不相符：问题原因：电子称扫描时，未勾取“取录单资料”，操作员手动随意选目的地后造成。2、账单无价格：解决方法：A目的地没有添加进相关报价区域B所属价格区域有重复C账单时期与实际相差太大；快件类型与价格所设不符；该价格过期；问题件数据查询1、 UC系统调数据时，查出来的数据不完全，很多数据没有，发给另一台电脑，可以调出完全数据，发给和他同样系统的电脑，又调不出数据。解决方法：系统文件更新不全，重新安装UC系统二、 UC网点财务管理系统登录问题1、 多次登录，仍然提示“连接数据库服务器失败，按键退出”解决方法：开始所有程序优速物流公司管理系统注册控件，单击注册控件。2、 打开功能，提示程序运行错误解决方法：开始所有程序优速物流公司管理系统注册控件，单击注册控件。2、安装UC网点财务系统，有杀毒软件的，把“允许程序的所有程序”、 “记住我的选择，以后不再提醒”打上勾。如下图：三、ASIO巴枪与UC系统连接设置1,、巴枪数据不能上传，提示上传失败 解决方法：1、使用串口线，巴枪底座指示灯正确的情况下，检查连接端口设置是否正确（PC上的端口与系统上的端口一致）、传输速率为19200。2、使用USB线，检查驱动是否安装、端口设置是否正确（PC上的端口与系统上的端口一致）、传输速