謝希仁計(jì)算機(jī)網(wǎng)絡(luò)第五版課后習(xí)題答案-第七章-網(wǎng)絡(luò)安全最新文檔

謝希仁計(jì)算機(jī)網(wǎng)絡(luò)第五版課后習(xí)題答案第七章網(wǎng)絡(luò)安全最新文檔(可以直接使用，可編輯最新文檔，歡迎下載）

第七章網(wǎng)絡(luò)安全謝希仁計(jì)算機(jī)網(wǎng)絡(luò)第五版課后習(xí)題答案第七章網(wǎng)絡(luò)安全最新文檔(可以直接使用，可編輯最新文檔，歡迎下載）7-01計(jì)算機(jī)網(wǎng)絡(luò)都面臨哪幾種威脅？主動(dòng)攻擊和被動(dòng)攻擊的區(qū)別是什么？對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)的安全措施都有哪些？答：計(jì)算機(jī)網(wǎng)絡(luò)面臨以下的四種威脅：截獲（interception），中斷(interruption)，篡改(modification),偽造（fabrication）。網(wǎng)絡(luò)安全的威脅可以分為兩大類：即被動(dòng)攻擊和主動(dòng)攻擊。主動(dòng)攻擊是指攻擊者對(duì)某個(gè)連接中通過(guò)的PDU進(jìn)行各種處理。如有選擇地更改、刪除、延遲這些PDU。甚至還可將合成的或偽造的PDU送入到一個(gè)連接中去。主動(dòng)攻擊又可進(jìn)一步劃分為三種，即更改報(bào)文流；拒絕報(bào)文服務(wù)；偽造連接初始化。被動(dòng)攻擊是指觀察和分析某一個(gè)協(xié)議數(shù)據(jù)單元PDU而不干擾信息流。即使這些數(shù)據(jù)對(duì)攻擊者來(lái)說(shuō)是不易理解的，它也可通過(guò)觀察PDU的協(xié)議控制信息部分，了解正在通信的協(xié)議實(shí)體的地址和身份，研究PDU的長(zhǎng)度和傳輸?shù)念l度，以便了解所交換的數(shù)據(jù)的性質(zhì)。這種被動(dòng)攻擊又稱為通信量分析。還有一種特殊的主動(dòng)攻擊就是惡意程序的攻擊。惡意程序種類繁多，對(duì)網(wǎng)絡(luò)安全威脅較大的主要有以下幾種：計(jì)算機(jī)病毒；計(jì)算機(jī)蠕蟲(chóng)；特洛伊木馬；邏輯炸彈。對(duì)付被動(dòng)攻擊可采用各種數(shù)據(jù)加密動(dòng)技術(shù)，而對(duì)付主動(dòng)攻擊，則需加密技術(shù)與適當(dāng)?shù)蔫b別技術(shù)結(jié)合。7-02試解釋以下名詞：（1）重放攻擊；（2）拒絕服務(wù)；（3）訪問(wèn)控制；（4）流量分析；（5）惡意程序。答：（1）重放攻擊：所謂重放攻擊（replayattack）就是攻擊者發(fā)送一個(gè)目的主機(jī)已接收過(guò)的包，來(lái)達(dá)到欺騙系統(tǒng)的目的，主要用于身份認(rèn)證過(guò)程。（2）拒絕服務(wù)：DoS(DenialofService)指攻擊者向因特網(wǎng)上的服務(wù)器不停地發(fā)送大量分組，使因特網(wǎng)或服務(wù)器無(wú)法提供正常服務(wù)。（3）訪問(wèn)控制：（accesscontrol）也叫做存取控制或接入控制。必須對(duì)接入網(wǎng)絡(luò)的權(quán)限加以控制，并規(guī)定每個(gè)用戶的接入權(quán)限。（4）流量分析：通過(guò)觀察PDU的協(xié)議控制信息部分，了解正在通信的協(xié)議實(shí)體的地址和身份，研究PDU的長(zhǎng)度和傳輸?shù)念l度，以便了解所交換的數(shù)據(jù)的某種性質(zhì)。這種被動(dòng)攻擊又稱為流量分析（trafficanalysis）。（5）惡意程序：惡意程序（rogueprogram）通常是指帶有攻擊意圖所編寫(xiě)的一段程序。7-03為什么說(shuō)，計(jì)算機(jī)網(wǎng)絡(luò)的安全不僅僅局限于保密性？試舉例說(shuō)明，僅具有保密性的計(jì)算機(jī)網(wǎng)絡(luò)不一定是安全的。答：計(jì)算機(jī)網(wǎng)絡(luò)安全不僅僅局限于保密性，但不能提供保密性的網(wǎng)絡(luò)肯定是不安全的。網(wǎng)絡(luò)的安全性機(jī)制除為用戶提供保密通信以外，也是許多其他安全機(jī)制的基礎(chǔ)。例如，存取控制中登陸口令的設(shè)計(jì)。安全通信協(xié)議的設(shè)計(jì)以及數(shù)字簽名的設(shè)計(jì)等，都離不開(kāi)密碼機(jī)制。7-04密碼編碼學(xué)、密碼分析學(xué)和密碼學(xué)都有哪些區(qū)別？答：密碼學(xué)(cryptology)包含密碼編碼學(xué)(Cryptography)與密碼分析學(xué)(Cryptanalytics)兩部分內(nèi)容。密碼編碼學(xué)是密碼體制的設(shè)計(jì)學(xué),是研究對(duì)數(shù)據(jù)進(jìn)行變換的原理、手段和方法的技術(shù)和科學(xué)，而密碼分析學(xué)則是在未知密鑰的情況下從密文推演出明文或密鑰的技術(shù)。是為了取得秘密的信息，而對(duì)密碼系統(tǒng)及其流動(dòng)的數(shù)據(jù)進(jìn)行分析，是對(duì)密碼原理、手段和方法進(jìn)行分析、攻擊的技術(shù)和科學(xué)。7-05“無(wú)條件安全的密碼體制”和“在計(jì)算上是安全的密碼體制”有什么區(qū)別？答：如果不論截取者獲得了多少密文，但在密文中都沒(méi)有足夠的信息來(lái)惟一地確定出對(duì)應(yīng)的明文，則這一密碼體制稱為無(wú)條件安全的，或稱為理論上是不可破的。

如果密碼體制中的密碼不能被可使用的計(jì)算資源破譯，則這一密碼體制稱為在計(jì)算上是安全的。破譯下面的密文詩(shī)。加密采用替代密碼。這種密碼是把26個(gè)字母（從a到z）中的每一個(gè)用其他某個(gè)字母替代（注意，不是按序替代）。密文中無(wú)標(biāo)點(diǎn)符號(hào)。空格未加密。KfdktbdfzmeubdkfdpzyiommztxkukzygurbzhakfthcmurmfudmzhxMftnmzhxmdzythcpzqurezsszcdmzhxgthcmzhxpfakfdmdztmsutythcFukzhxpfdkfdintcmfzldpthcmsokpztkzstkkfduamkdimeitdxsdruidPdfzlduoiefzkruimubduromziduokursidzkfzhxzyyuromzidrzkHufoiiamztxkfdezindhkdikfdakfzhgdxftbboefruikfzk答：?jiǎn)巫帜副硎牵好魑模篴bcdefghIjklm密文：zsexdrcftgyb明文：nopqrstuvwxyz密文：hunImkolpka根據(jù)該單字母表，可得到下列與與本題中給的密文對(duì)應(yīng)的明文：thetimehascomethewalrussaidtotalkofmanythingsofshoesamdshipsandsealingwaxofcabbagesandkingsandwhytheseaisboilinghotandwhetherpigshavewingsbutwaitabittheoysterscriedbeforewehaveourchatforsomeofusareoutofbreathandallofusarefatnohurrysaidthecarpentertheythankedhimmuchforthat7-07對(duì)稱密鑰體制與公鑰密碼體制的特點(diǎn)各如何？各有何優(yōu)缺點(diǎn)？答：在對(duì)稱密鑰體制中，它的加密密鑰與解密密鑰的密碼體制是相同的，且收發(fā)雙方必須共享密鑰，對(duì)稱密碼的密鑰是保密的，沒(méi)有密鑰，解密就不可行，知道算法和若干密文不足以確定密鑰。公鑰密碼體制中，它使用不同的加密密鑰和解密密鑰，且加密密鑰是向公眾公開(kāi)的，而解密密鑰是需要保密的，發(fā)送方擁有加密或者解密密鑰，而接收方擁有另一個(gè)密鑰。兩個(gè)密鑰之一也是保密的，無(wú)解密密鑰，解密不可行，知道算法和其中一個(gè)密鑰以及若干密文不能確定另一個(gè)密鑰。優(yōu)點(diǎn)：對(duì)稱密碼技術(shù)的優(yōu)點(diǎn)在于效率高，算法簡(jiǎn)單，系統(tǒng)開(kāi)銷小，適合加密大量數(shù)據(jù)。對(duì)稱密鑰算法具有加密處理簡(jiǎn)單，加解密速度快，密鑰較短，發(fā)展歷史悠久等優(yōu)點(diǎn)。缺點(diǎn)：對(duì)稱密碼技術(shù)進(jìn)行安全通信前需要以安全方式進(jìn)行密鑰交換，且它的規(guī)模復(fù)雜。公鑰密鑰算法具有加解密速度慢的特點(diǎn)，密鑰尺寸大，發(fā)展歷史較短等特點(diǎn)。7-08為什么密鑰分配是一個(gè)非常重要但又十分復(fù)雜的問(wèn)題？試舉出一種密鑰分配的方法。答：密鑰必須通過(guò)最安全的通路進(jìn)行分配。可以使用非?？煽康男攀箶y帶密鑰非配給互相通信的各用戶，多少用戶越來(lái)越多且網(wǎng)絡(luò)流量越來(lái)越大，密鑰跟換過(guò)于頻繁，派信使的方法已不再適用。舉例：公鑰的分配，首先建立一個(gè)值得信賴的機(jī)構(gòu)（認(rèn)證中心CA），將公鑰與其對(duì)應(yīng)的實(shí)體進(jìn)行綁定，每個(gè)實(shí)體都有CA發(fā)來(lái)的證書(shū)，里面有公鑰及其擁有者的標(biāo)識(shí)信息，此證書(shū)被CA進(jìn)行了數(shù)字簽名，任何用戶都可從可信的地方獲得CA的公鑰，此公鑰可用來(lái)驗(yàn)證某個(gè)公鑰是否為某個(gè)實(shí)體所擁有。7-09公鑰密碼體制下的加密和解密過(guò)程是怎么的？為什么公鑰可以公開(kāi)？如果不公開(kāi)是否可以提高安全性？答：加密和解密過(guò)程如下：（1）、密鑰對(duì)產(chǎn)生器產(chǎn)生出接收者的一對(duì)密鑰：加密密鑰和解密密鑰；（2）、發(fā)送者用接受者的公鑰加密密鑰通過(guò)加密運(yùn)算對(duì)明文進(jìn)行加密，得出密文，發(fā)送給接受者；接受者用自己的私鑰解密密鑰通過(guò)解密運(yùn)算進(jìn)行解密，恢復(fù)出明文；因?yàn)闊o(wú)解密密鑰，解密是不可行的，所以公鑰可以公開(kāi)，知道算法和其中一個(gè)密鑰以及若干密文不能確定另一個(gè)密鑰。7-10試述數(shù)字簽名的原理答：數(shù)字簽名采用了雙重加密的方法來(lái)實(shí)現(xiàn)防偽、防賴。其原理為：被發(fā)送文件用SHA編碼加密產(chǎn)生128bit的數(shù)字摘要。然后發(fā)送方用自己的私用密鑰對(duì)摘要再加密，這就形成了數(shù)字簽名。將原文和加密的摘要同時(shí)傳給對(duì)方。對(duì)方用發(fā)送方的公共密鑰對(duì)摘要解密，同時(shí)對(duì)收到的文件用SHA編碼加密產(chǎn)生又一摘要。將解密后的摘要和收到的文件在接收方重新加密產(chǎn)生的摘要相互對(duì)比。如兩者一致，則說(shuō)明傳送過(guò)程中信息沒(méi)有被破壞或篡改過(guò)。否則不然。7-11為什么需要進(jìn)行報(bào)文鑒別？鑒別和保密、授權(quán)有什么不同？報(bào)文鑒別和實(shí)體鑒別有什么區(qū)別？答：(1)使用報(bào)文鑒別是為了對(duì)付主動(dòng)攻擊中的篡改和偽造。當(dāng)報(bào)文加密的時(shí)候就可以達(dá)到報(bào)文鑒別的目的，但是當(dāng)傳送不需要加密報(bào)文時(shí)，接收者應(yīng)該能用簡(jiǎn)單的方法來(lái)鑒別報(bào)文的真?zhèn)巍?2)鑒別和保密并不相同。鑒別是要驗(yàn)證通信對(duì)方的確是自己所需通信的對(duì)象，而不是其他的冒充者。鑒別分為報(bào)文鑒別和實(shí)體鑒別。授權(quán)涉及到的問(wèn)題是：所進(jìn)行的過(guò)程是否被允許(如是否可以對(duì)某文件進(jìn)行讀或?qū)?。(3)報(bào)文鑒別和實(shí)體鑒別不同。報(bào)文鑒別是對(duì)每一個(gè)收到的報(bào)文都要鑒別報(bào)文的發(fā)送者，而實(shí)體鑒別是在系統(tǒng)接入的全部持續(xù)時(shí)間內(nèi)對(duì)和自己通信的對(duì)方實(shí)體只需驗(yàn)證一次。7-12試述實(shí)現(xiàn)報(bào)文鑒別和實(shí)體鑒別的方法。答：(1)報(bào)文摘要MD是進(jìn)行報(bào)文鑒別的簡(jiǎn)單方法。A把較長(zhǎng)的報(bào)文X經(jīng)過(guò)報(bào)文摘要算法運(yùn)算后得出很短的報(bào)文摘要H。然后用自己的私鑰對(duì)H進(jìn)行D運(yùn)算，即進(jìn)行數(shù)字簽名。得出已簽名的報(bào)文摘要D(H)后，并將其追加在報(bào)文X后面發(fā)送給B。B收到報(bào)文后首先把已簽名的D(H)和報(bào)文X分離。然后再做兩件事。第一，用A的公鑰對(duì)D(H)進(jìn)行E運(yùn)算，得出報(bào)文摘要H。第二，對(duì)報(bào)文X進(jìn)行報(bào)文摘要運(yùn)算，看是否能夠得出同樣的報(bào)文摘要H。如一樣，就能以極高的概率斷定收到的報(bào)文是A產(chǎn)生的。否則就不是。(2)A首先用明文發(fā)送身份A和一個(gè)不重?cái)?shù)RA給B。接著，B響應(yīng)A的查問(wèn)，用共享的密鑰KAB對(duì)RA加密后發(fā)回給A，同時(shí)也給出了自己的不重?cái)?shù)RB。最后，A再響應(yīng)B的查問(wèn)，用共享的密鑰KAB對(duì)RB加密后發(fā)回給B。由于不重?cái)?shù)不能重復(fù)使用，所以C在進(jìn)行重放攻擊時(shí)無(wú)法重復(fù)使用是喲截獲的不重?cái)?shù)。7-13報(bào)文的保密性與完整性有何區(qū)別？什么是MD5？答：(1)報(bào)文的保密性和完整性是完全不同的概念。保密性的特點(diǎn)是：即使加密后的報(bào)文被攻擊者截獲了，攻擊者也無(wú)法了解報(bào)文的內(nèi)容。完整性的特點(diǎn)是：接收者接收到報(bào)文后，知道報(bào)文沒(méi)有被篡改或偽造。(2)MD5是[RFC1321]提出的報(bào)文摘要算法，目前已獲得了廣泛的應(yīng)用。它可以對(duì)任意長(zhǎng)的報(bào)文進(jìn)行運(yùn)算，然后得出128bit的MD報(bào)文摘要代碼。算法的大致過(guò)程如下：①先將任意長(zhǎng)的報(bào)文按模264計(jì)算其余數(shù)(64bit)，追加在報(bào)文的后面。這就是說(shuō)，最后得出的MD5代碼已包含了報(bào)文長(zhǎng)度的信息。②在報(bào)文和余數(shù)之間填充1~512bit，使得填充后的總長(zhǎng)度是512的整數(shù)倍。填充比特的首位是1，后面都是0。③將追加和填充的報(bào)文分割為一個(gè)個(gè)512bit的數(shù)據(jù)塊，512bit的報(bào)文數(shù)據(jù)分成4個(gè)128bit的數(shù)據(jù)依次送到不同的散列函數(shù)進(jìn)行4論計(jì)算。每一輪又都按32bit的小數(shù)據(jù)塊進(jìn)行復(fù)雜的運(yùn)算。一直到最后計(jì)算出MD5報(bào)文摘要代碼。這樣得出的MD5代碼中的每一個(gè)比特，都與原來(lái)的報(bào)文中的每一個(gè)比特有關(guān)。7-14什么是重放攻擊？怎樣防止重放攻擊？答：(1)入侵者C可以從網(wǎng)絡(luò)上截獲A發(fā)給B的報(bào)文。C并不需要破譯這個(gè)報(bào)文(因?yàn)檫@可能很花很多時(shí)間)而可以直接把這個(gè)由A加密的報(bào)文發(fā)送給B，使B誤認(rèn)為C就是A。然后B就向偽裝是A的C發(fā)送許多本來(lái)應(yīng)當(dāng)發(fā)送給A的報(bào)文。這就叫做重放攻擊。(2)為了對(duì)付重放攻擊，可以使用不重?cái)?shù)。不重?cái)?shù)就是一個(gè)不重復(fù)使用的大隨機(jī)數(shù)，即“一次一數(shù)”。7-15什么是“中間人攻擊”？怎樣防止這種攻擊？答：(1)中間人攻擊（Man-in-the-MiddleAttack，簡(jiǎn)稱“MITM攻擊”）是一種“間接”的入侵攻擊，這種攻擊模式是通過(guò)各種技術(shù)手段將受入侵者控制的一臺(tái)計(jì)算機(jī)虛擬放置在網(wǎng)絡(luò)連接中的兩臺(tái)通信計(jì)算機(jī)之間，這臺(tái)計(jì)算機(jī)就稱為“中間人”。然后入侵者把這臺(tái)計(jì)算機(jī)模擬一臺(tái)或兩臺(tái)原始計(jì)算機(jī)，使“中間人”能夠與原始計(jì)算機(jī)建立活動(dòng)連接并允許其讀取或篡改傳遞的信息，然而兩個(gè)原始計(jì)算機(jī)用戶卻認(rèn)為他們是在互相通信，因而這種攻擊方式并不很容易被發(fā)現(xiàn)。所以中間人攻擊很早就成為了黑客常用的一種古老的攻擊手段，并且一直到今天還具有極大的擴(kuò)展空間。(2)要防范MITM攻擊，我們可以將一些機(jī)密信息進(jìn)行加密后再傳輸，這樣即使被“中間人”截取也難以破解，另外，有一些認(rèn)證方式可以檢測(cè)到MITM攻擊。比如設(shè)備或IP異常檢測(cè)：如果用戶以前從未使用某個(gè)設(shè)備或IP訪問(wèn)系統(tǒng)，則系統(tǒng)會(huì)采取措施。還有設(shè)備或IP頻率檢測(cè)：如果單一的設(shè)備或IP同時(shí)訪問(wèn)大量的用戶帳號(hào)，系統(tǒng)也會(huì)采取措施。更有效防范MITM攻擊的方法是進(jìn)行帶外認(rèn)證。7－16試討論Kerberos協(xié)議的優(yōu)缺點(diǎn)。答：Kerberos協(xié)議主要用于計(jì)算機(jī)網(wǎng)絡(luò)的身份鑒別(Authentication),其特點(diǎn)是用戶只需輸入一次身份驗(yàn)證信息就可以憑借此驗(yàn)證獲得的票據(jù)(ticket-grantingticket)訪問(wèn)多個(gè)服務(wù)，即SSO(SingleSignOn)。由于在每個(gè)Client和Service之間建立了共享密鑰，使得該協(xié)議具有相當(dāng)?shù)陌踩?。概括起?lái)說(shuō)Kerberos協(xié)議主要做了兩件事：Ticket的安全傳遞；SessionKey的安全發(fā)布。再加上時(shí)間戳的使用就很大程度上的保證了用戶鑒別的安全性。并且利用SessionKey，在通過(guò)鑒別之后Client和Service之間傳遞的消息也可以獲得Confidentiality(機(jī)密性),Integrity(完整性)的保證。不過(guò)由于沒(méi)有使用非對(duì)稱密鑰自然也就無(wú)法具有抗否認(rèn)性，這也限制了它的應(yīng)用。不過(guò)相對(duì)而言它比X.509PKI的身份鑒別方式實(shí)施起來(lái)要簡(jiǎn)單多了。7－17因特網(wǎng)的網(wǎng)絡(luò)層安全協(xié)議族Ipsec都包含哪些主要協(xié)議？答：在Ipsec中最主要的兩個(gè)部分就是：鑒別首部AH和封裝安全有效載荷ESP。AH將每個(gè)數(shù)據(jù)報(bào)中的數(shù)據(jù)和一個(gè)變化的數(shù)字簽名結(jié)合起來(lái)，共同驗(yàn)證發(fā)送方身份，使得通信一方能夠確認(rèn)發(fā)送數(shù)據(jù)的另一方的身份，并能夠確認(rèn)數(shù)據(jù)在傳輸過(guò)程中沒(méi)有被篡改，防止受到第三方的攻擊。它提供源站鑒別和數(shù)據(jù)完整性，但不提供數(shù)據(jù)加密。ESP提供了一種對(duì)IP負(fù)載進(jìn)行加密的機(jī)制，對(duì)數(shù)據(jù)報(bào)中的數(shù)據(jù)另外進(jìn)行加密，因此它不僅提供源站鑒別、數(shù)據(jù)完整性，也提供保密性。IPSec是IETF（InternetEngineeringTaskForce，Internet工程任務(wù)組）的IPSec小組建立的一套安全協(xié)作的密鑰管理方案，目的是盡量使下層的安全與上層的應(yīng)用程序及用戶獨(dú)立，使應(yīng)用程序和用戶不必了解底層什么樣的安全技術(shù)和手段，就能保證數(shù)據(jù)傳輸?shù)目煽啃约鞍踩?。IPSec是集多種安全技術(shù)為一體的安全體系結(jié)構(gòu)，是一組IP安全協(xié)議集。IPSec定義了在網(wǎng)際層使用的安全服務(wù)，其功能包括數(shù)據(jù)加密、對(duì)網(wǎng)絡(luò)單元的訪問(wèn)控制、數(shù)據(jù)源地址驗(yàn)證、數(shù)據(jù)完整性檢查和防止重放攻擊。7-18試簡(jiǎn)述SSL和SET的工作過(guò)程。答：首先舉例說(shuō)明SSL的工作過(guò)程。假定A有一個(gè)使用SSL的安全網(wǎng)頁(yè)，B上網(wǎng)時(shí)用鼠標(biāo)點(diǎn)擊到這個(gè)安全網(wǎng)頁(yè)的鏈接。接著，服務(wù)器和瀏覽器就進(jìn)行握手協(xié)議，其主要過(guò)程如下。（1）瀏覽器向服務(wù)器發(fā)送瀏覽器的SSL版本號(hào)和密碼編碼的參數(shù)選擇。（2）服務(wù)器向?yàn)g覽器發(fā)送服務(wù)器的SSL版本號(hào)、密碼編碼的參數(shù)選擇及服務(wù)器的證書(shū)。證書(shū)包括服務(wù)器的RSA分開(kāi)密鑰。此證書(shū)用某個(gè)認(rèn)證中心的秘密密鑰加密。（3）瀏覽器有一個(gè)可信賴的CA表，表中有每一個(gè)CA的分開(kāi)密鑰。當(dāng)瀏覽器收到服務(wù)器發(fā)來(lái)的證書(shū)時(shí)，就檢查此證書(shū)是否在自己的可信賴的CA表中。如不在，則后來(lái)的加密和鑒別連接就不能進(jìn)行下去；如在，瀏覽器就使用CA的公開(kāi)密鑰對(duì)證書(shū)解密，這樣就得到了服務(wù)器的公開(kāi)密鑰。（4）瀏覽器隨機(jī)地產(chǎn)生一個(gè)對(duì)稱會(huì)話密鑰，并用服務(wù)器的分開(kāi)密鑰加密，然后將加密的會(huì)話密鑰發(fā)送給服務(wù)器。（5）瀏覽器向服務(wù)器發(fā)送一個(gè)報(bào)文，說(shuō)明以后瀏覽器將使用此會(huì)話密鑰進(jìn)行加密。然后瀏覽器再向服務(wù)器發(fā)送一個(gè)單獨(dú)的加密報(bào)文，表明瀏覽器端的握手過(guò)程已經(jīng)完成。（6）服務(wù)器也向?yàn)g覽器發(fā)送一個(gè)報(bào)文，說(shuō)明以后服務(wù)器將使用此會(huì)話密鑰進(jìn)行加密。然后服務(wù)器再向?yàn)g覽器發(fā)送一個(gè)單獨(dú)的加密報(bào)文，表明服務(wù)器端的握手過(guò)程已經(jīng)完成。（7）SSL的握手過(guò)程到此已經(jīng)完成，下面就可開(kāi)始SSL的會(huì)話過(guò)程。下面再以顧客B到公司A用SET購(gòu)買物品為例來(lái)說(shuō)明SET的工作過(guò)程。這里涉及到兩個(gè)銀行，即A的銀行（公司A的支付銀行）和B的銀行（給B發(fā)出信用卡的銀行）。（1）B告訴A他想用信用卡購(gòu)買公司A的物品。（2）A將物品清單和一個(gè)唯一的交易標(biāo)識(shí)符發(fā)送給B。（3）A將其商家的證書(shū)，包括商家的公開(kāi)密鑰發(fā)送給B。A還向B發(fā)送其銀行的證書(shū)，包括銀行的公開(kāi)密鑰。這兩個(gè)證書(shū)都用一個(gè)認(rèn)證中心CA的秘密密鑰進(jìn)行加密。（4）B使用認(rèn)證中心CA的公開(kāi)密鑰對(duì)這兩個(gè)證書(shū)解密。（5）B生成兩個(gè)數(shù)據(jù)包：給A用的定貨信息OI和給A的銀行用的購(gòu)買指令PI。（6）A生成對(duì)信用卡支付請(qǐng)求的授權(quán)請(qǐng)求，它包括交易標(biāo)識(shí)符。（7）A用銀行的公開(kāi)密鑰將一個(gè)報(bào)文加密發(fā)送給銀行，此報(bào)文包括授權(quán)請(qǐng)求、從B發(fā)過(guò)來(lái)的PI數(shù)據(jù)包以及A的證書(shū)。（8）A的銀行收到此報(bào)文，將其解密。A的銀行要檢查此報(bào)文有無(wú)被篡改，以及檢查在授權(quán)請(qǐng)求中的交易標(biāo)識(shí)符是否與B的PI數(shù)據(jù)包給出的一致。（9）A的銀行通過(guò)傳統(tǒng)的銀行信用卡信道向B的銀行發(fā)送請(qǐng)求支付授權(quán)的報(bào)文。（10）一旦B的銀行準(zhǔn)許支付，A的銀行就向A發(fā)送響應(yīng)（加密的）。此響應(yīng)包括交易標(biāo)識(shí)符。（11）若此次交易被批準(zhǔn)，A就向B發(fā)送響應(yīng)報(bào)文。7-19電子郵件的安全協(xié)議PGP主要都包含哪些措施？答：PGP是一種長(zhǎng)期得到廣泛使用和安全郵件標(biāo)準(zhǔn)。PGP是RSA和傳統(tǒng)加密的雜合算法，因?yàn)镽SA算法計(jì)算量大，在速度上不適合加密大量數(shù)據(jù)，所以PGP實(shí)際上并不使用RSA來(lái)加密內(nèi)容本身，而是采用IDEA的傳統(tǒng)加密算法。PGP用一個(gè)隨機(jī)生成密鑰及IDEA算法對(duì)明文加密，然后再用RSA算法對(duì)該密鑰加密。收信人同樣是用RSA解密出這個(gè)隨機(jī)密鑰，再用IDEA解密郵件明文。7-20路加密與端到端加密各有何特點(diǎn)？各用在什么場(chǎng)合？答：（1）鏈路加密優(yōu)點(diǎn)：某條鏈路受到破壞不會(huì)導(dǎo)致其他鏈路上傳送的信息被析出，能防止各種形式的通信量析出；不會(huì)減少網(wǎng)絡(luò)系統(tǒng)的帶寬；相鄰結(jié)點(diǎn)的密鑰相同，因而密鑰管理易于實(shí)現(xiàn)；鏈路加密對(duì)用戶是透明的。缺點(diǎn)：中間結(jié)點(diǎn)暴露了信息的內(nèi)容；僅僅采用鏈路加密是不可能實(shí)現(xiàn)通信安全的；不適用于廣播網(wǎng)絡(luò)。（2）端到端加密優(yōu)點(diǎn)：報(bào)文的安全性不會(huì)因中間結(jié)點(diǎn)的不可靠而受到影響；端到端加密更容易適合不同用戶服務(wù)的要求，不僅適用于互聯(lián)網(wǎng)環(huán)境，而且同樣也適用于廣播網(wǎng)。缺點(diǎn)：由于PDU的控制信息部分不能被加密，所以容易受到通信量分析的攻擊。同時(shí)由于各結(jié)點(diǎn)必須持有與其他結(jié)點(diǎn)相同的密鑰，需要在全網(wǎng)范圍內(nèi)進(jìn)行密鑰管理和分配.為了獲得更好的安全性，可將鏈路加密與端到端加密結(jié)合在一起使用。鏈路加密用來(lái)對(duì)PDU的目的地址進(jìn)行加密，而端到端加密則提供了對(duì)端到端數(shù)據(jù)的保護(hù)。7-21試述防火墻的工作原理和所提供的功能。什么叫做網(wǎng)絡(luò)級(jí)防火墻和應(yīng)用級(jí)防火墻？答：防火墻的工作原理：防火墻中的分組過(guò)濾路由器檢查進(jìn)出被保護(hù)網(wǎng)絡(luò)的分組數(shù)據(jù)，按照系統(tǒng)管理員事先設(shè)置好的防火墻規(guī)則來(lái)與分組進(jìn)行匹配，符合條件的分組就能通過(guò)，否則就丟棄。防火墻提供的功能有兩個(gè)：一個(gè)是阻止，另一個(gè)是允許。阻止就是阻止某種類型的通信量通過(guò)防火墻。允許的功能與阻止的恰好相反。不過(guò)在大多數(shù)情況下防火墻的主要功能是阻止。網(wǎng)絡(luò)級(jí)防火墻：主要是用來(lái)防止整個(gè)網(wǎng)絡(luò)出現(xiàn)外來(lái)非法的入侵，屬于這類的有分組過(guò)濾和授權(quán)服務(wù)器。前者檢查所有流入本網(wǎng)絡(luò)的信息，然后拒絕不符合事先制定好的一套準(zhǔn)則的數(shù)據(jù)，而后者則是檢查用戶的登錄是否合法。應(yīng)用級(jí)防火墻：從應(yīng)用程序來(lái)進(jìn)行介入控制。通常使用應(yīng)用網(wǎng)關(guān)或代理服務(wù)器來(lái)區(qū)分各種應(yīng)用。PAGEv目錄TOC\o"1—3"\h\zHYPERLINK\l”_Toc343783763”1 項(xiàng)目概況 —1-HYPERLINK\l”_Toc343783764"1。1 項(xiàng)目背景 -1-HYPERLINK\l”_Toc343783765"1。2 建設(shè)目標(biāo) —1—HYPERLINK\l”_Toc343783766”1。3 工程范圍 -1—1。4 網(wǎng)絡(luò)信息點(diǎn)位分布與數(shù)量表 —1—HYPERLINK\l”_Toc343783768”2 總體設(shè)計(jì) —3-_Toc343783770"2。2 設(shè)計(jì)原則 —3-3 網(wǎng)絡(luò)系統(tǒng) -5—HYPERLINK\l”_Toc343783772”3。1 網(wǎng)絡(luò)協(xié)議的選擇 —5—HYPERLINK\l”_Toc343783773”3.2 網(wǎng)絡(luò)技術(shù)選擇 -5— VLAN（VirtualLANs） -5-3.2。2 三層交換技術(shù) -6—3.2。3 VRRP -7—3.3 網(wǎng)絡(luò)設(shè)計(jì)概要 -8-HYPERLINK\l”_Toc343783779”3。4 網(wǎng)絡(luò)的分層設(shè)計(jì) —9- 匯聚層 -9—_Toc343783783” 選用華為3COM的網(wǎng)絡(luò)設(shè)備 —10-_Toc343783785”3。5 網(wǎng)絡(luò)拓?fù)鋱D —24-3.6 網(wǎng)絡(luò)冗余設(shè)計(jì) —26—HYPERLINK\l”_Toc343783787”3。7 路由規(guī)劃 -26-HYPERLINK\l”_Toc343783788”3.8 應(yīng)用VRRP技術(shù) -28-3。10 VLAN規(guī)劃 -33—HYPERLINK\l”_Toc343783791"3。11 IP地址分配原則 -33-HYPERLINK\l”_Toc343783792” 內(nèi)網(wǎng)IP分配規(guī)劃 —34-HYPERLINK\l”_Toc343783793"3.11。2 外網(wǎng)IP分配規(guī)劃 —34-_Toc343783795”3。12。1 完全的分布式的處理方式 -35-HYPERLINK\l”_Toc343783796”3。12。2 核心交換機(jī)先進(jìn)的體系架構(gòu)設(shè)計(jì) —35-3。12.4 QOS功能 -35—HYPERLINK\l”_Toc343783799" 廣播風(fēng)暴的抑止 —36—3。12。6 高可用性保障 —36-HYPERLINK\l”_Toc343783801”4 網(wǎng)管管理系統(tǒng) -36-4.1 網(wǎng)絡(luò)管理的重要性 -36—HYPERLINK\l”_Toc343783803”4。2 管理系統(tǒng)的總體設(shè)計(jì) —37-4。3 華為3Com網(wǎng)絡(luò)管理解決方案 -37—HYPERLINK\l”_Toc343783805”4。3。1 產(chǎn)品特點(diǎn) —37-_Toc343783808"5 網(wǎng)絡(luò)系統(tǒng)安全特性 -42—HYPERLINK\l”_Toc343783809”5。1 配置IDS —42—HYPERLINK\l”_Toc343783810”5。2 網(wǎng)絡(luò)病毒的診斷 -42-_Toc343783813"5。3。2 路由協(xié)議的安全 -43-HYPERLINK\l”_Toc343783814”5。3.3 網(wǎng)管SNMP的安全性 —43—HYPERLINK\l”_Toc343783815"5。4 網(wǎng)絡(luò)設(shè)備的安全性 —43-5.4。1 控制口console的控制 -43— 遠(yuǎn)程登錄telnet的控制 —44-_Toc343783819"5.6 多元綁定技術(shù)的應(yīng)用 —47-HYPERLINK\l”_Toc343783820”5。6。1 網(wǎng)絡(luò)安全特征 -48—_Toc343783822"5。7 防止對(duì)DHCP服務(wù)器的攻擊 -52-HYPERLINK\l”_Toc343783823"5。7.1 PrivateVLAN -52-HYPERLINK\l”_Toc343783824"5。7.2 訪問(wèn)控制列表 -53-_Toc343783826”5。8 惡意用戶追查 -53—_Toc343783828"5。9.1 防止DOS攻擊 —54—5。9.3 防止病毒的廣播傳遞 -55-HYPERLINK\l”_Toc343783831”6 網(wǎng)絡(luò)入侵檢測(cè) -56-HYPERLINK\l”_Toc343783832"6.1 入侵檢測(cè)系統(tǒng)在外網(wǎng)網(wǎng)絡(luò)的作用 -56—6。2 本系統(tǒng)外網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品選型 —59-HYPERLINK\l”_Toc343783835”6。2.1 網(wǎng)絡(luò)入侵檢測(cè)技術(shù)簡(jiǎn)介 -59—HYPERLINK\l”_Toc343783836"6。2。2 網(wǎng)絡(luò)入侵檢測(cè)技術(shù)分析 -60-6。2。3 網(wǎng)絡(luò)入侵產(chǎn)品選型 -62-HYPERLINK\l”_Toc343783838"6.3 網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品部署 -65-_Toc343783840”6.3。2 NetEyeIDS的集中管理 —66-HYPERLINK\l”_Toc343783841"6.3。3 NetEyeIDS的系統(tǒng)結(jié)構(gòu) —67-6.4 網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品擴(kuò)展及建議 —68—HYPERLINK\l”_Toc343783844”6。4。1 NetEyeIDS平滑擴(kuò)展 —68-HYPERLINK\l”_Toc343783845” NetEyeIDS安全聯(lián)動(dòng) —68—HYPERLINK\l”_Toc343783846”6.5 NetEyeIDS優(yōu)勢(shì)介紹 —69—HYPERLINK\l”_Toc343783847"7 網(wǎng)絡(luò)防病毒 —72-7。1.1 計(jì)算機(jī)病毒的發(fā)展趨勢(shì) -72—HYPERLINK\l”_Toc343783850” 病毒入侵渠道分析 —73-7.3 網(wǎng)絡(luò)防病毒需求分析 —76—7。4 防病毒解決方案 -78-HYPERLINK\l”_Toc343783854”7。4。1 設(shè)計(jì)思想 —78—_Toc343783856”7.4。3 部署產(chǎn)品 -79—HYPERLINK\l”_Toc343783857”7。4。4 部署示意 -79—7。4。5 部署防病毒系統(tǒng)實(shí)現(xiàn)的效果 —80-_Toc343783860” 網(wǎng)絡(luò)版產(chǎn)品簡(jiǎn)介 -81—HYPERLINK\l”_Toc343783861"7。5.2 網(wǎng)絡(luò)版系統(tǒng)需求 —82-7。5。3 網(wǎng)絡(luò)版部署方式 —83-HYPERLINK\l”_Toc343783863"7。5。4 網(wǎng)絡(luò)版管理方式 —84—HYPERLINK\l”_Toc343783864” 網(wǎng)絡(luò)版升級(jí)方式 -84—HYPERLINK\l”_Toc343783865"7。5.6 網(wǎng)絡(luò)版功能特色 —84—HYPERLINK\l”_Toc343783866”8 設(shè)備安裝場(chǎng)地及環(huán)境要求 -92—HYPERLINK\l”_Toc343783867"8。1 機(jī)房的選址建議要求 —92—_Toc343783869"8。3 網(wǎng)絡(luò)設(shè)備工作環(huán)境的要求 -93- 溫度和濕度要求 -93-_Toc343783872”8。3.3 防靜電要求 -94-HYPERLINK\l”_Toc343783873"8。3.4 電磁環(huán)境要求 -95-8。3.5 防雷擊要求 -95—8。3。6 抗干擾要求 —95-_Toc343783877"9 實(shí)施方案 —97—HYPERLINK\l”_Toc343783878"9。1 總體實(shí)施規(guī)劃 -97-HYPERLINK\l”_Toc343783879”9.2 工程界面 -98-HYPERLINK\l”_Toc343783880"9.3 工程實(shí)施組織結(jié)構(gòu)和分工 —99—HYPERLINK\l”_Toc343783881"9.4 項(xiàng)目實(shí)施計(jì)劃編制和文檔修改控制 -100-HYPERLINK\l”_Toc343783882”9.5 工程協(xié)調(diào)會(huì)和工程進(jìn)度安排 —102-9.6 項(xiàng)目實(shí)施 —107-HYPERLINK\l”_Toc343783884"9。6。1 安裝準(zhǔn)備 —107-HYPERLINK\l”_Toc343783885”9.6。2 到貨檢查 —107-_Toc343783888” 系統(tǒng)測(cè)試和驗(yàn)收 —110-9。6.6 培訓(xùn) -110—HYPERLINK\l”_Toc343783890"9。6。7 實(shí)施總結(jié) —111—9.6。8 售后維護(hù) —111—HYPERLINK\l”_Toc343783892"9。6。9 過(guò)程監(jiān)控 —111—HYPERLINK\l”_Toc343783893"9.7 項(xiàng)目質(zhì)量保證計(jì)劃 —112—HYPERLINK\l”_Toc343783894"9。8 工程文檔 —113—HYPERLINK\l”_Toc343783895"10 驗(yàn)收方案 —115—HYPERLINK\l”_Toc343783896"10.1 驗(yàn)收的方法與步驟 —115—HYPERLINK\l”_Toc343783897"10.2 驗(yàn)收測(cè)試標(biāo)準(zhǔn) —115—HYPERLINK\l”_Toc343783898”10.3 驗(yàn)收測(cè)試流程 —115-HYPERLINK\l”_Toc343783899"10.4 整體系統(tǒng)驗(yàn)收 -116-HYPERLINK\l”_Toc343783900"10。5 檢測(cè)方法與目的 -118-10。5.1 設(shè)備到貨驗(yàn)收 -118-10。5.2 初驗(yàn)收 -122-10。5。3 系統(tǒng)終驗(yàn) —123-11 培訓(xùn)方案 -126-11。1 培訓(xùn)目的 -126-11。1。1 的培訓(xùn)優(yōu)勢(shì) -126-11.2 華為3COM培訓(xùn)機(jī)構(gòu)簡(jiǎn)介 —129—HYPERLINK\l”_Toc343783908" 培訓(xùn)理念 -129-_Toc343783910” 培訓(xùn)師資 -130—HYPERLINK\l”_Toc343783911" 課程設(shè)計(jì) —130- 中高端路由器產(chǎn)品培訓(xùn)項(xiàng)目 —133—11.3 本項(xiàng)目培訓(xùn)計(jì)劃 -134-11。3。1 現(xiàn)場(chǎng)培訓(xùn) -134—HYPERLINK\l”_Toc343783915”11。3。2 國(guó)內(nèi)技術(shù)培訓(xùn) -134—HYPERLINK\l”_Toc343783916"12 質(zhì)保和售后服務(wù) -140-_Toc343783918”12.2 公司的服務(wù)承諾 —140—HYPERLINK\l”_Toc343783919"12.3 華為3COM的服務(wù)承諾 —141—HYPERLINK\l”_Toc343783920”12。3。1 技術(shù)服務(wù) -141—12。3。2 技術(shù)支持 —142—_Toc343783924"12.4。1 技術(shù)支持部分 —143-_Toc343783926”12。4。3 新版本更新權(quán)利 -144-HYPERLINK\l”_Toc343783927"12。5 服務(wù)體系簡(jiǎn)介 —144—HYPERLINK\l”_Toc343783928”12。5。1 服務(wù)架構(gòu) -144-12.5。2 服務(wù)范圍及程度 —146-95-項(xiàng)目概況項(xiàng)目背景目前,XXX辦公大樓改造已進(jìn)入工程實(shí)施階段，即將建成。屆時(shí)1#、2＃和3＃樓將通過(guò)光纖鏈路和綜合布線系統(tǒng)進(jìn)行組網(wǎng)，實(shí)現(xiàn)的辦公內(nèi)部網(wǎng)絡(luò)。為充分發(fā)揮XXX辦公大樓的作用，有必要在樓內(nèi)進(jìn)行辦公網(wǎng)絡(luò)聯(lián)網(wǎng)建設(shè)，實(shí)現(xiàn)真正意義上的內(nèi)部網(wǎng)絡(luò)連接，同時(shí)建設(shè)于內(nèi)網(wǎng)完全物理隔離的辦公外網(wǎng),提高辦公自動(dòng)化程度，進(jìn)一步加速和推進(jìn)的信息化建設(shè)。通過(guò)與工程技術(shù)人員進(jìn)行詳細(xì)的技術(shù)交流并到辦公大樓現(xiàn)場(chǎng)考察，在充分理解用戶方需求的基礎(chǔ)上，提出本設(shè)計(jì)方案.建設(shè)目標(biāo)在XXX辦公大樓綜合布線系統(tǒng)的基礎(chǔ)上，建立起聯(lián)系3座辦公樓內(nèi)的所有單位內(nèi)部辦公網(wǎng)絡(luò)和外部辦公網(wǎng)絡(luò)，集信息收集、傳遞、發(fā)布等多功能為一體，可用圖、文、聲、像等多媒體方式進(jìn)行信息交互的專用辦公內(nèi)網(wǎng)。可以實(shí)現(xiàn)部屬機(jī)關(guān)內(nèi)部的互聯(lián)互通、數(shù)據(jù)傳輸,使信息交互的實(shí)效性更加增強(qiáng)，提高可靠性和信息化辦公程度，從而降低總體辦公費(fèi)用.工程范圍本次網(wǎng)絡(luò)工程范圍是1#、2#、3#三棟辦公樓,總建筑面積約為6500平米.每棟大樓均有兩個(gè)獨(dú)立的弱電豎井，本次改造要求內(nèi)網(wǎng)、外網(wǎng)之間物理隔離，內(nèi)網(wǎng)、外網(wǎng)由弱電豎井分別置各層。本大樓的功能定位對(duì)數(shù)據(jù)通信有較高的要求,因此垂直主干設(shè)12芯多模光纜,水平布線全面采用6類線纜.重點(diǎn)部分區(qū)域建議光纖到桌面.內(nèi)網(wǎng)、外網(wǎng)網(wǎng)絡(luò)機(jī)房均設(shè)在3＃樓4層。網(wǎng)絡(luò)信息點(diǎn)位分布與數(shù)量表1#2＃3#樓網(wǎng)絡(luò)信息點(diǎn)位分布與數(shù)量表樓號(hào)樓層網(wǎng)絡(luò)信息點(diǎn)數(shù)量光網(wǎng)點(diǎn)內(nèi)網(wǎng)點(diǎn)外網(wǎng)點(diǎn)1＃1097548548F1384877F1883866F161281315F171241274F10981433F18901082F972921F86468地下1F044地下2F0782＃731975201312F4373911F1018518810F102072109F61731768F102072107F61731766F61731765F61731764F61831863F61831862F11291321F29698地下1F0911地下2F047491＃654835258F351557F1586886F51221275F513204F1752553F618262F7961011F71422地下1F055地下2F02626合計(jì)24732123392

總體設(shè)計(jì)設(shè)計(jì)依據(jù)《信息化網(wǎng)絡(luò)集成項(xiàng)目比選文件》；國(guó)內(nèi)國(guó)際信息化建設(shè)相關(guān)標(biāo)準(zhǔn)和規(guī)范；政府、企業(yè)網(wǎng)絡(luò)建設(shè)方面的豐富的經(jīng)驗(yàn)。設(shè)計(jì)原則我們?cè)谶M(jìn)行總體設(shè)計(jì)和設(shè)備選型時(shí)遵循以下設(shè)計(jì)原則:可靠性高可靠性是大樓智能化的重要標(biāo)準(zhǔn)。采用先進(jìn)的設(shè)計(jì)思想,提供連續(xù)的網(wǎng)絡(luò)工作環(huán)境，系統(tǒng)應(yīng)具有較強(qiáng)的自動(dòng)糾錯(cuò)能力，合理的網(wǎng)絡(luò)鏈路策略，確保系統(tǒng)7X24小時(shí)正常服務(wù)。擴(kuò)展性隨著業(yè)務(wù)發(fā)展，需求也會(huì)不斷增長(zhǎng)，因而對(duì)大樓網(wǎng)絡(luò)系統(tǒng)要求有很高的擴(kuò)展性。設(shè)計(jì)時(shí)應(yīng)支持多種的系統(tǒng)標(biāo)準(zhǔn)，達(dá)到在各個(gè)系統(tǒng)上提供一些預(yù)留接口，使得在用戶需要時(shí)，系統(tǒng)可以跨越現(xiàn)有的平臺(tái)，增加新的功能,實(shí)現(xiàn)平滑的擴(kuò)展。采用的技術(shù)和設(shè)備遵循相關(guān)國(guó)際、國(guó)內(nèi)標(biāo)準(zhǔn)，能支持各種相應(yīng)的接口和標(biāo)準(zhǔn)協(xié)議，具有兼容性、靈活性和可移植性.先進(jìn)性和成熟性在對(duì)系統(tǒng)進(jìn)行設(shè)計(jì)時(shí),要符合當(dāng)今技術(shù)發(fā)展方向，系統(tǒng)硬、軟件的選擇和系統(tǒng)的設(shè)計(jì)，采用符合當(dāng)前技術(shù)和管理發(fā)展方向的先進(jìn)性技術(shù)和思想.同時(shí)，確保設(shè)備和技術(shù)都是有成功應(yīng)用先例的。使用被證明了是成熟的設(shè)備和技術(shù)，減少實(shí)施風(fēng)險(xiǎn)。安全性XXX辦公大樓是國(guó)家政策、文件、信息的核心地。承擔(dān)著極其重要的工作。系統(tǒng)安全性主要體現(xiàn)在防止來(lái)自外部對(duì)網(wǎng)絡(luò)的攻擊、侵?jǐn)_、病毒。保證文件信息的不篡改不丟失。中選單位必須有中國(guó)信息安全評(píng)測(cè)認(rèn)證中心的《信息安全服務(wù)資質(zhì)標(biāo)準(zhǔn)》的信息安全服務(wù)資質(zhì)認(rèn)證.可維護(hù)性為確保投資的有效性和大樓的實(shí)用性,應(yīng)針對(duì)功能特點(diǎn)選用設(shè)備和技術(shù)，并盡量簡(jiǎn)化系統(tǒng)配置步驟，使其容易得到維護(hù)和維修。

網(wǎng)絡(luò)系統(tǒng)本規(guī)劃將從當(dāng)前及未來(lái)一個(gè)時(shí)期內(nèi)應(yīng)用的實(shí)際出發(fā),對(duì)信息管理系統(tǒng)的基礎(chǔ)設(shè)施—網(wǎng)絡(luò)系統(tǒng)進(jìn)行規(guī)劃設(shè)計(jì)，從而達(dá)到一個(gè)先進(jìn)、高效、可靠、實(shí)用和便于維護(hù)、擴(kuò)展性能較強(qiáng)的網(wǎng)絡(luò),為信息化提供穩(wěn)定和功能強(qiáng)大的網(wǎng)絡(luò)平臺(tái)。網(wǎng)絡(luò)協(xié)議的選擇本網(wǎng)絡(luò)系統(tǒng)以TCP/IP為主要協(xié)議.因?yàn)門CP/IP協(xié)議簇是目前眾多計(jì)算機(jī)網(wǎng)絡(luò)最流行的協(xié)議，以它為基礎(chǔ)組建的Internet網(wǎng)是目前國(guó)際上規(guī)模最大的計(jì)算機(jī)網(wǎng)間網(wǎng),采用TCP/IP為網(wǎng)絡(luò)主要協(xié)議，可保證系統(tǒng)各部分網(wǎng)絡(luò)保持一致。網(wǎng)絡(luò)技術(shù)選擇網(wǎng)絡(luò)技術(shù)發(fā)展很快，新技術(shù)層出不窮，有的具有旺盛的生命力，如以太網(wǎng)技術(shù)；有的很快就被淘汰,如TokenRing、FDDI等。因此，就給用戶投資帶來(lái)一定的風(fēng)險(xiǎn)，如何把握網(wǎng)絡(luò)發(fā)展的方向，選擇合適的技術(shù)和產(chǎn)品非常重要.在本項(xiàng)目中，我們采用千兆以太網(wǎng)作為骨干網(wǎng)技術(shù)，同時(shí),我們將采用一些其它的先進(jìn)且成熟的網(wǎng)絡(luò)技術(shù)，如VLAN、三層交換、虛擬路由器冗余協(xié)議（VRRP，RFC2338）、入侵檢測(cè)(IDS)、服務(wù)質(zhì)量（QoS）、組播（MultiCast）等,使整個(gè)網(wǎng)絡(luò)具有優(yōu)異的性能、良好的安全可靠性及未來(lái)的可擴(kuò)展性.下面重點(diǎn)介紹幾種先進(jìn)實(shí)用的網(wǎng)絡(luò)技術(shù)。VLAN（VirtualLANs）隨著網(wǎng)絡(luò)技術(shù)日新月異，L3,L4交換已經(jīng)非常成熟。Internet中也越來(lái)越廣泛地應(yīng)用了交換技術(shù),全交換網(wǎng)絡(luò)已經(jīng)非常普遍.在這些網(wǎng)絡(luò)中，VLAN的使用是必不可少的。VLAN是一個(gè)根據(jù)作用、計(jì)劃組、應(yīng)用等進(jìn)行邏輯劃分的交換式網(wǎng)絡(luò)。與用戶的物理位置沒(méi)有關(guān)系。舉個(gè)例子來(lái)說(shuō)，幾個(gè)終端可能被組成一個(gè)部分，可能包括工程師或財(cái)務(wù)人員。當(dāng)終端的實(shí)際物理位置比較相近，可以組成一個(gè)局域網(wǎng)（LAN）。如果他們?cè)诓煌慕ㄖ镏?就可以通過(guò)VLAN將他們聚合在一起。同一個(gè)VLAN中的端口可以接受VLAN中的廣播包。但別的VLAN中的端口卻接受不到。VLAN提供以下一些特性簡(jiǎn)化了終端的刪除、增加、改動(dòng)當(dāng)一個(gè)終端從物理上移動(dòng)到一個(gè)新的位置，它的特征可以從網(wǎng)絡(luò)管理工作站通過(guò)SNMP或用戶界面菜單中重新定義.而對(duì)于僅在同一個(gè)VLAN中移動(dòng)的終端來(lái)說(shuō)，它會(huì)保持以前定義的特征。在不同VLAN中移動(dòng)的終端來(lái)說(shuō)，終端可以獲得新的VLAN定義?？刂仆ㄓ嵒顒?dòng)VLAN可以由相同或不同的交換機(jī)端口組成。廣播信息被限制在VLAN中。這個(gè)特征限定了只在VLAN中的端口才有廣播、多播通訊.管理域（managementdomain）是一個(gè)僅有單一管理者的多個(gè)VLAN的集合。工作組和網(wǎng)絡(luò)安全將網(wǎng)絡(luò)劃分不同的域可以增加安全性。VLAN可以限制廣播域的用戶數(shù)?？刂芕LAN的大小和組成可以控制廣播域的相應(yīng)特性.在VLAN中應(yīng)用最廣的就是GVRP和STP技術(shù)。它們是VLAN中優(yōu)點(diǎn)的集中體現(xiàn)。三層交換技術(shù)現(xiàn)在，網(wǎng)絡(luò)業(yè)界對(duì)“三層交換”這個(gè)詞已經(jīng)不感到陌生了，在中大型規(guī)模網(wǎng)絡(luò)建設(shè)中，以千兆三層交換機(jī)為核心的主流網(wǎng)絡(luò)模型已不勝枚舉。其實(shí),三層交換從其出現(xiàn)到今天的普及應(yīng)用也不過(guò)幾年的時(shí)間，計(jì)算機(jī)網(wǎng)絡(luò)加速度式的迅猛發(fā)展勢(shì)頭，實(shí)在快得令人吃驚?！叭龑咏粨Q”概念的出現(xiàn)，與VLAN有著密不可分的聯(lián)系。事實(shí)上,一個(gè)虛擬網(wǎng)就是邏輯上的子網(wǎng)。為了避免在大型交換機(jī)上進(jìn)行廣播所引起的廣播風(fēng)暴，可將其進(jìn)一步劃分為多個(gè)虛擬網(wǎng).在一個(gè)虛擬網(wǎng)內(nèi)，由一個(gè)工作站發(fā)出的信息，只能發(fā)送到具有相同虛擬網(wǎng)號(hào)的其他站點(diǎn)，而其他虛擬網(wǎng)的成員收不到這些信息或廣播幀。由于網(wǎng)絡(luò)變得越來(lái)越復(fù)雜，性能要求也越來(lái)越高,這就要求網(wǎng)管員能夠成功地部署VLAN，從而使網(wǎng)絡(luò)更加靈活而且易于管理。以往，網(wǎng)管員將3/4的時(shí)間花費(fèi)在維護(hù)網(wǎng)絡(luò)的基礎(chǔ)結(jié)構(gòu)，確保通信流量的優(yōu)化,并處理移動(dòng)和變更等工作.通常情況下，當(dāng)一名用戶轉(zhuǎn)移到網(wǎng)絡(luò)中另一個(gè)物理位置時(shí)，需要重新配置網(wǎng)絡(luò)，甚至還有用戶的工作站需要進(jìn)行大量的管理工作。針對(duì)于此,VLAN的部署就是將通過(guò)減少管理網(wǎng)絡(luò)中移動(dòng)與變更所需的資源，從而實(shí)現(xiàn)為用戶節(jié)約大量寶貴的資源。VLAN技術(shù)還可以在以下關(guān)鍵領(lǐng)域內(nèi)為用戶提供價(jià)值：比路由器更具有成本效益的廣播控制，有效抑制廣播風(fēng)暴。支持多媒體應(yīng)用與高效組播控制,提高網(wǎng)絡(luò)帶寬的有效利用率。提高網(wǎng)絡(luò)的安全性,各種顯式或隱式的VLAN劃分方法提供基于策略的安全訪問(wèn)機(jī)制。網(wǎng)絡(luò)監(jiān)督與管理的自動(dòng)化，更多的有效的網(wǎng)絡(luò)監(jiān)控。減少路由需要，基于ASIC技術(shù),大幅度提高設(shè)備的數(shù)據(jù)包轉(zhuǎn)發(fā)能力。VLAN之間如何通信？簡(jiǎn)單回答就是“通過(guò)路由”.因此，這種技術(shù)也引發(fā)出一些新的問(wèn)題：虛擬網(wǎng)之間通信是不允許的，這也包括地址解析(ARP）封包。要想通信，就需要用路由器橋接這些虛擬網(wǎng)，這就是虛擬網(wǎng)的問(wèn)題：用交換機(jī)速度快但不能解決廣播風(fēng)暴問(wèn)題，在交換機(jī)中采用虛擬網(wǎng)技術(shù)可以解決廣播風(fēng)暴問(wèn)題，但又必須放置路由器來(lái)實(shí)現(xiàn)虛擬網(wǎng)之間的互通.在這種網(wǎng)絡(luò)系統(tǒng)集成模式中，路由器是核心。過(guò)去的網(wǎng)絡(luò)在一般情況下按“80/20分配”規(guī)則，即只有20％的流量是通過(guò)骨干路由器與中央服務(wù)器或企業(yè)網(wǎng)的其他部分進(jìn)行通信,而80%的網(wǎng)絡(luò)流量主要仍集中在不同的部門子網(wǎng)內(nèi)。而今天，這個(gè)比例已經(jīng)提高到了50％(“平分秋色"）甚至80%（倒二八，20/80），這是因?yàn)榻裉斓木W(wǎng)絡(luò)正在經(jīng)歷著諸多應(yīng)用的集合影響。網(wǎng)絡(luò)應(yīng)用已經(jīng)超越了組件和電子郵件，新型應(yīng)用已經(jīng)如此迅速和深刻地沖擊著網(wǎng)絡(luò)，比如，任何人通過(guò)任何一個(gè)瀏覽器便可進(jìn)行訪問(wèn)設(shè)定的Web網(wǎng)頁(yè),支持諸如銷售、服務(wù)和財(cái)務(wù)之類商業(yè)功能的數(shù)據(jù)倉(cāng)庫(kù)。這種變化對(duì)傳統(tǒng)路由器產(chǎn)生了直接的沖擊。因?yàn)閭鹘y(tǒng)的路由器更注重對(duì)多種介質(zhì)類型和多種傳輸速度的支持，而目前數(shù)據(jù)緩沖和轉(zhuǎn)換能力比線速吞吐能力和低時(shí)延更為重要。路由器的高費(fèi)用、低性能,使其成為網(wǎng)絡(luò)的瓶頸.但由于網(wǎng)絡(luò)間互連的需求，它又是不可缺少的并處于網(wǎng)絡(luò)的核心位置，雖然也開(kāi)發(fā)了高速路由器，但是由于其成本太高，僅用于Internet主干部分。在這種情況下,提出了三層交換技術(shù).三層交換機(jī)是采用Intranet應(yīng)用的關(guān)鍵,它將二層交換機(jī)和三層路由器兩者的優(yōu)勢(shì)有機(jī)而智能化地結(jié)合成一個(gè)靈活的解決方案，可在各個(gè)層次提供線速性能。這種集成化的結(jié)構(gòu)還引進(jìn)了策略管理屬性，不僅使二層與三層相互關(guān)聯(lián)起來(lái)，而且還提供流量?jī)?yōu)先化處理、安全訪問(wèn)機(jī)制以及多種其它的靈活功能。三層交換機(jī)分為L(zhǎng)AN接口層、二層交換矩陣層和三層交換矩陣（路由控制）層三部分。三層交換機(jī)的應(yīng)用其實(shí)很簡(jiǎn)單，主要用途是代替?zhèn)鹘y(tǒng)路由器作為網(wǎng)絡(luò)的核心。因此，凡是沒(méi)有廣域網(wǎng)連接需求，同時(shí)需要路由器的地方，都可以用三層交換機(jī)代替。在企業(yè)網(wǎng)中，一般會(huì)將三層交換機(jī)用在網(wǎng)絡(luò)的核心層，用三層交換機(jī)上的千兆端口或百兆端口連接不同的子網(wǎng)或VLAN。因?yàn)槠渚W(wǎng)絡(luò)結(jié)構(gòu)相對(duì)簡(jiǎn)單，節(jié)點(diǎn)數(shù)相對(duì)較少。另外，其不需要較多的控制功能，并且要求成本較低。簡(jiǎn)單地說(shuō)，三層交換技術(shù)就是：二層交換技術(shù)＋三層轉(zhuǎn)發(fā)技術(shù)。它解決了局域網(wǎng)中網(wǎng)段劃分之后，網(wǎng)段中子網(wǎng)必須依賴路由器進(jìn)行管理的局面，解決了傳統(tǒng)路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問(wèn)題。VRRP當(dāng)路由器功能出現(xiàn)故障時(shí),VRRP（虛擬路由器冗余協(xié)議，RFC2338)通過(guò)同一個(gè)局域網(wǎng)中的另一臺(tái)路由器來(lái)保障網(wǎng)絡(luò)的正常運(yùn)行。通過(guò)設(shè)置虛擬路由器為缺省路由器，終端用戶在路由器發(fā)生故障時(shí)可以繼續(xù)通信，而不必考慮轉(zhuǎn)換到另一臺(tái)路由器上。利用同一個(gè)以太網(wǎng)中的兩臺(tái)路由器設(shè)置一臺(tái)虛擬路由器。在實(shí)際運(yùn)行中，兩臺(tái)路由器中的任一臺(tái)成為主路由器，該主路由器模擬虛擬路由器。備份路由器監(jiān)控主由器狀態(tài)。一旦主路由器出現(xiàn)故障影響網(wǎng)絡(luò)運(yùn)行，備份路由器立即進(jìn)入主路由器狀態(tài)以模擬虛擬路由器。IP地址被分配給虛擬路由器.指定虛擬路由器IP地址為缺省路由器的服務(wù)器將不會(huì)覺(jué)察主路由器的切換而繼續(xù)進(jìn)行正常通信.關(guān)于VRRP的詳細(xì)設(shè)計(jì)和部署情況請(qǐng)參見(jiàn)后續(xù)章節(jié)。其它網(wǎng)絡(luò)技術(shù)在本網(wǎng)絡(luò)中,除了采用三層交換和VRRP技術(shù)，根據(jù)應(yīng)用情況，還可采用組播(Multicast）、QoS和負(fù)載均衡等先進(jìn)網(wǎng)絡(luò)技術(shù)。全面支持MultiCast：選擇設(shè)備全部支持MultiCast，主干設(shè)備支持DVMRP、PIM、IGMP、GARP組管理協(xié)議和多點(diǎn)發(fā)送、多點(diǎn)廣播協(xié)議，充分適應(yīng)網(wǎng)絡(luò)特殊網(wǎng)絡(luò)傳輸要求。一定的QoS保證：核心設(shè)備支持RSVP、CAR(CommittedAccessRate)以及可配置門限的多種隊(duì)列采用WAED、WRR、業(yè)務(wù)類型/業(yè)務(wù)級(jí)別（ToS/CoS）映射機(jī)制，在滿足基本要求前提下保持高性價(jià)比,也為多媒體應(yīng)用提供了堅(jiān)實(shí)地網(wǎng)絡(luò)基礎(chǔ).負(fù)載均衡實(shí)現(xiàn)：在核心設(shè)備上通過(guò)設(shè)置不同的VLAN的優(yōu)先級(jí)，可將所有的VLAN流量分擔(dān)在各樓的兩臺(tái)匯聚設(shè)備上,通過(guò)兩臺(tái)匯聚設(shè)備的VRRP功能,實(shí)現(xiàn)網(wǎng)絡(luò)層的負(fù)載均衡。也可根據(jù)未來(lái)網(wǎng)絡(luò)擴(kuò)展的需求，增加相關(guān)的專用負(fù)載均衡設(shè)備實(shí)現(xiàn)3-7層的負(fù)載均衡功能。網(wǎng)絡(luò)設(shè)計(jì)概要XXX辦公大樓內(nèi)、外網(wǎng)網(wǎng)絡(luò)系統(tǒng)項(xiàng)目的總體設(shè)計(jì)目標(biāo)以高可靠性、高安全性、高性能、極好的可擴(kuò)展性和有效的可管理性為原則,同時(shí)兼顧考慮到技術(shù)的成熟性、先進(jìn)性和可擴(kuò)充性,網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)采用層次化、結(jié)構(gòu)化的設(shè)計(jì)方法。根據(jù)對(duì)本系統(tǒng)網(wǎng)絡(luò)需求的初步分析，確定辦公內(nèi)、外網(wǎng)網(wǎng)絡(luò)采用多千兆鏈路捆綁，百兆到桌面的方案，本方案具有較好的性能價(jià)格比，整個(gè)網(wǎng)絡(luò)采用分層設(shè)計(jì)技術(shù)，骨干為網(wǎng)絡(luò)中心與1#、2＃和3#樓之間的多千兆光纖線路,接入網(wǎng)為各終端節(jié)點(diǎn)的10/100M以太網(wǎng)接入線路。核心設(shè)備使用高端路由交換機(jī)，接入設(shè)備選用具備三層交換功能的接入交換機(jī)。各樓內(nèi)采用虛擬網(wǎng)VLAN技術(shù)實(shí)現(xiàn)功能群的劃分，VLAN可在匯聚設(shè)備上創(chuàng)建。利用統(tǒng)一的標(biāo)準(zhǔn)調(diào)整網(wǎng)絡(luò)規(guī)劃，避免可能的不兼容性,保證整個(gè)網(wǎng)絡(luò)的統(tǒng)一架構(gòu)。根據(jù)我們對(duì)網(wǎng)絡(luò)系統(tǒng)需求的初步分析并結(jié)合本系統(tǒng)的特點(diǎn)，我公司提出一套基于華為3COM網(wǎng)絡(luò)設(shè)備的解決方案，本方案具有較好的性能價(jià)格比，內(nèi)網(wǎng)和外網(wǎng)全部采用分層設(shè)計(jì)，利用統(tǒng)一的標(biāo)準(zhǔn)調(diào)整網(wǎng)絡(luò)擴(kuò)容規(guī)劃，避免可能的不兼容性，保證整個(gè)內(nèi)、外網(wǎng)絡(luò)的統(tǒng)一架構(gòu).網(wǎng)絡(luò)的分層設(shè)計(jì)XXX辦公大樓內(nèi)、外網(wǎng)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)為兩級(jí)網(wǎng)絡(luò)，三級(jí)設(shè)備節(jié)點(diǎn)：以網(wǎng)絡(luò)中心（中心節(jié)點(diǎn)）為中心，邊界至1＃、2＃和3#樓(匯聚節(jié)點(diǎn)）的骨干網(wǎng)；以1#、2#和3#樓(匯聚節(jié)點(diǎn)）為中心，邊界至同各配線間(接入節(jié)點(diǎn)）的接入網(wǎng)；本系統(tǒng)的辦公內(nèi)、外網(wǎng)拓?fù)錇槿哂鄻?shù)型結(jié)構(gòu),無(wú)匯聚與匯聚和接入與接入節(jié)點(diǎn)之間有物理直聯(lián)的需求。因此所有匯聚節(jié)點(diǎn)之間的通信全部經(jīng)過(guò)網(wǎng)絡(luò)中心的核心路由交換機(jī)實(shí)現(xiàn)數(shù)據(jù)交換，比較容易對(duì)各樓之間的流量和訪問(wèn)控制進(jìn)行有效控制.層次化設(shè)計(jì)的優(yōu)點(diǎn)為：可擴(kuò)展性：因?yàn)榫W(wǎng)絡(luò)可模塊化增長(zhǎng)而不會(huì)遇到問(wèn)題;簡(jiǎn)單性：通過(guò)將網(wǎng)絡(luò)分成許多小單元，降低了網(wǎng)絡(luò)的整體復(fù)雜性，使故障排除更容易，能隔離廣播風(fēng)暴的傳播、防止路由循環(huán)等潛在的