自从揭露一项重大的域名解析系统(DNS)安全漏洞以来，网络上关于DNS爆安全漏洞，可以导致黑客控制整个网络话题不少，一篇《拿学校服务器开刀,最新DNS溢出漏洞利用工具》让人不寒而栗，更有甚者贴图教授攻击步骤，笔者实验后直冒冷汗，虽然管的网络不大，但是一旦被入侵，影响也不小，何况目前是维稳时期，不能出问题。
DNS（Domain name system）服务器处于网络服务的核心。没有DNS，你不能够解析访问互联网地址，客户就不能给你发邮件或者浏览你的网站。有了DNS，方便了用户上网获取信息，但是，DNS最初开发是一个开放的系统，安全考虑不够，因此，安全漏洞频频被发现，比如，攻击者通过Windows DNS溢出漏洞获得本地系统权限，进而窃取你的重要数据，尤其是近期，攻击者可以通过猜测DNS解析过程中的报文序列号来伪造DNS权威服务器的应答，从而达到“污染”高速缓存(Cache)中的记录的目的，即将错误的域名指向信息注入DNS服务器，最终导致受到污染的DNS服务器将对外提供错误的解析结果。该种攻击方式可造成域名劫持攻击，使得公众在不知情的情况下通过域名访问到黑客指定的网站，面临网络钓鱼和网页木马等一系列严重的安全威胁。
...

当您的服务器已经非常完美的满足客户端的需求；当您的网络设备已经非常正常的提供所有服务；当您认为内网安全一切尽在掌握之中，您是否觉察到不光是服务器、交换机这些核心的设备维持着内网的服务，一些边界的东西同样至关重要！这些设备平时看不出有什么傲人之处，但是一旦这些设备停止运转，对内网的打击无疑致命的。

一、核心交换机扩展
 核心交换机的成本决定了作为汇聚中心的它只有一个，相信很多公司不可能多花几十万购买2台核心交换机做冗余吧！尽管这种交换机出问题的可能性小之又小，但是最大可能保证交换机正常运行，还是要做出一些应急方案。
...