HC網(wǎng)絡(luò)安全技術(shù)

H3C網(wǎng)絡(luò)安全技術(shù)與網(wǎng)絡(luò)部署

目次

摘要...........................................................錯(cuò)誤!未定義書簽。

目次...........................................................................1

1緒論...........................................................................3

1.1研究意義和背景..........................................................3

1.2目前研究現(xiàn)狀............................................................3

1.2.1局域網(wǎng)內(nèi)部安全....................................................4

1.2.2遠(yuǎn)程接入和邊界安全................................................5

1.2.4路由安全..........................................................6

1.3研究?jī)?nèi)容和擬解決的問(wèn)題..................................................7

1.4結(jié)語(yǔ)....................................................................7

2網(wǎng)絡(luò)安全概述...................................................................8

2.1網(wǎng)絡(luò)安全的基本概念......................................................8

2.2網(wǎng)絡(luò)安全的特點(diǎn)..........................................................9

2.3網(wǎng)絡(luò)安全策略............................................................9

2.3.1網(wǎng)絡(luò)物理安全策略..................................................9

2.3.2網(wǎng)絡(luò)拜訪控制策略.................................................10

2.3.3網(wǎng)絡(luò)信息加密策略.................................................10

2.3.4網(wǎng)絡(luò)安全治理策略.................................................10

3局域網(wǎng)安全....................................................................11

3.1基于H3c系列交換機(jī)VLAN的應(yīng)用.......................................11

3.2基于VLAN的PVLAN技術(shù)的應(yīng)用........................................13

3.3利用GVRP協(xié)議來(lái)治理VLAN.........................................................................................14

3.4H3C交換機(jī)設(shè)備之間的端口匯聚..........................................14

3.5啟用端口鏡像對(duì)流量進(jìn)行監(jiān)控............................................15

3.6構(gòu)建安全的STP生成樹體系..............................................17

3.7多層交換體系中部署VRRP..............................................................................................18

3.8IRF技術(shù)的應(yīng)用.........................................................19

4邊界網(wǎng)絡(luò)安全..................................................................21

4.1NAT技術(shù)的應(yīng)用........................................................22

4.2ACL技術(shù)的應(yīng)用........................................................22

4.3VPN技術(shù)的應(yīng)用........................................................24

4.3.1IPsecVPN的應(yīng)用..................................................25

4.3.2IPsec上的GRE隧道..............................................26

4.3.3二層VPN技術(shù)L2Tp的應(yīng)用........................................26

4.3.4SSLVPN技術(shù)的應(yīng)用..............................................27

4.3.5DVPN技術(shù)的應(yīng)用.................................................27

4.3.6VPN技術(shù)在MPLS網(wǎng)絡(luò)中的應(yīng)用.....................................28

4.4H3CSecPath系列防火墻/VPN的部署.....................................29

4.5H3C的各類安全模塊....................................................31

4.5.1H3CSecBladeFW模塊.............................................31

4.5.2H3CSSLVPN模塊................................................32

4.5.3H3CASM防病毒模塊.............................................34

4.5.4H3CNSM網(wǎng)絡(luò)監(jiān)控模塊...........................................35

4.6H3C的IPS和UTM設(shè)備.................................................35

5身份認(rèn)證與拜訪控制...........................................................38

5.1AAA安全服務(wù)..........................................................38

5.2EAD安全解決方案......................................................40

5.3802.IX身份認(rèn)證........................................................41

5.4設(shè)備安全...............................................................42

5.4.1物理安全..........................................................43

5.4.2登錄方式和用戶帳號(hào)...............................................43

5.4.3SNMP協(xié)議的應(yīng)用.................................................44

5.4.4NTP協(xié)議的應(yīng)用..................................................45

5.4.4禁用不安全的服務(wù).................................................45

6路由安全......................................................................47

6.1靜態(tài)路由協(xié)議...........................................................47

6.1.1利用靜態(tài)路由實(shí)現(xiàn)負(fù)載分擔(dān)........................................47

6.1.2利用靜態(tài)路由實(shí)現(xiàn)路由備份........................................47

6.2OSPF路由協(xié)議.........................................................48

6.2.1OSPF身份驗(yàn)證...................................................48

6.2.2分層路由.........................................................48

6.2.3可靠的擴(kuò)散機(jī)制...................................................49

6.2.4OSPFLSDB過(guò)載保護(hù).............................................50

6.2.5DR\BDR的選舉和路由器ID的標(biāo)識(shí).................................50

6.3BGP路由協(xié)議...........................................................50

6.3.1BGP報(bào)文保護(hù).....................................................50

6.3.2BGP對(duì)等體組PeerGroup......................................................................................51

6.3.3BGP負(fù)載均衡.....................................................51

6.3操縱路由挑選更新........................................................52

6.4.1路由重分發(fā).......................................................52

6.4.2靜態(tài)路由和默認(rèn)路由...............................................53

6.4.3路由分發(fā)列表和映射表.............................................54

6.4.4操縱治理距離.....................................................54

7網(wǎng)絡(luò)攻擊的趨勢(shì)和主流的網(wǎng)絡(luò)攻擊...............................................55

7.1ARP攻擊...............................................................56

7.2DDOS攻擊.............................................................56

7.3TCPSYN攻擊..........................................................57

7.4口令攻擊...............................................................58

7.5緩沖區(qū)溢出攻擊.........................................................58

7.6蠕蟲病毒...............................................................58

7.7Land攻擊..............................................................59

7.8Vian攻擊...............................................................59

1緒論

1.1研究意義和背景

運(yùn)算機(jī)網(wǎng)絡(luò)安全已引起世界各國(guó)的關(guān)注，我國(guó)近幾年才逐步開始在高等教育

中滲透運(yùn)算機(jī)網(wǎng)絡(luò)安全方面的基礎(chǔ)知識(shí)和網(wǎng)絡(luò)安全技術(shù)應(yīng)用知識(shí)。隨著網(wǎng)絡(luò)高新

技術(shù)的不斷發(fā)展，社會(huì)經(jīng)濟(jì)建設(shè)與發(fā)展越來(lái)越依靠于運(yùn)算機(jī)網(wǎng)絡(luò)，運(yùn)算機(jī)網(wǎng)絡(luò)安

全對(duì)我們生活的重要意義也不可同日而語(yǔ)。⑴

2010年1月，國(guó)務(wù)院決定加快推進(jìn)電信網(wǎng)、廣播電視網(wǎng)和互聯(lián)網(wǎng)三網(wǎng)融合,

2010年至2012年廣電和電信業(yè)務(wù)雙向進(jìn)入試點(diǎn)，2013年至2015年，全面實(shí)現(xiàn)

三網(wǎng)融合。所謂三網(wǎng)融合即推進(jìn)電信網(wǎng)、廣播電視網(wǎng)和互聯(lián)網(wǎng)三網(wǎng)互聯(lián)互通、資

源共享，為用戶提供語(yǔ)音、數(shù)據(jù)和廣播電視等多種服務(wù)。此政策涉及領(lǐng)域廣泛，

涉及上市公司眾多。這將導(dǎo)致未來(lái)幾年網(wǎng)絡(luò)規(guī)模以指數(shù)形式增長(zhǎng)，網(wǎng)絡(luò)也會(huì)變得

越來(lái)越復(fù)雜，承擔(dān)的任務(wù)越來(lái)越關(guān)鍵，給運(yùn)營(yíng)和治理網(wǎng)絡(luò)的人們帶來(lái)新的挑戰(zhàn)，

很明顯這些快速發(fā)展的技術(shù)引發(fā)了新的安全問(wèn)題。網(wǎng)絡(luò)安全對(duì)國(guó)民經(jīng)濟(jì)的威逼、

甚至對(duì)國(guó)家和地區(qū)的威逼也日益嚴(yán)重。⑵因此網(wǎng)絡(luò)安全扮演的角色也會(huì)越來(lái)越重

要。與此同時(shí)，加快培養(yǎng)網(wǎng)絡(luò)安全方面的應(yīng)用型人才、廣泛普及網(wǎng)絡(luò)安全知識(shí)和

把握網(wǎng)絡(luò)安全技術(shù)突顯重要和迫在眉睫。

H3c設(shè)備是目前我國(guó)政府，企業(yè)，電信，教育行業(yè)的主流網(wǎng)絡(luò)設(shè)備生產(chǎn)商，

研究旗下路由器，交換機(jī)以及安全設(shè)備，儲(chǔ)備設(shè)備的網(wǎng)絡(luò)安全系統(tǒng)的綜合部署對(duì)

以后系統(tǒng)集成案例有很好的效仿作用。

1.2目前研究現(xiàn)狀

目前廣泛應(yīng)用的網(wǎng)絡(luò)安全模型是秘密性、完整性、可用性

(CIA,confidentiality,integrity,andavailability)3項(xiàng)原則。這三項(xiàng)原則應(yīng)指導(dǎo)

所有的安全系統(tǒng)。CIA還為安全實(shí)施提供了一個(gè)度量工具。這些準(zhǔn)則適用于安全

分析的整個(gè)階段從拜訪一個(gè)用戶的Internet歷史到Internet上加密數(shù)據(jù)的安

全。違反這3項(xiàng)原則中的任何一個(gè)都會(huì)給相關(guān)方帶來(lái)嚴(yán)重后果。⑶

1.2.1局域網(wǎng)內(nèi)部安全

雖然很多攻擊是從外網(wǎng)展開的，但是部分攻擊也會(huì)源于內(nèi)網(wǎng)，比如常見的

ARP攻擊等等，系統(tǒng)的安全性不是取決于最堅(jiān)固的那一部分，而是取決于最薄

弱的環(huán)節(jié)。因此內(nèi)網(wǎng)安全十分重要。⑷

（1）基于ACL的拜訪控制

如今的網(wǎng)絡(luò)充斥著大量的數(shù)據(jù)，如果沒(méi)有任何適當(dāng)?shù)陌踩珯C(jī)制，則每個(gè)網(wǎng)絡(luò)

都可以完全安全拜訪其他網(wǎng)絡(luò)，而無(wú)需區(qū)分已授權(quán)或者未授權(quán)。控制網(wǎng)絡(luò)中數(shù)據(jù)

流動(dòng)有很多種方式，其中之一是使用拜訪控制列表（通常稱作ACL,accesscontrol

list）oACL高效、易于配置，在H3c設(shè)備中易于部署和實(shí)現(xiàn)。⑸

（2）同一個(gè)子網(wǎng)內(nèi)PVLAN的應(yīng)用

PVLAN即私有VLAN（PrivateVLAN）,PVLAN采用兩層VLAN隔離技術(shù)，

只有上層VLAN全局可見，下層VLAN相互隔離。如果將交換機(jī)設(shè)備的每個(gè)端

口化為一個(gè)（下層）VLAN,則實(shí)現(xiàn)了所有端口的隔離。PVLAN通常用于企業(yè)

內(nèi)部網(wǎng)，用來(lái)防止連接到某些接口或接口組的網(wǎng)絡(luò)設(shè)備之間的相互通信，但卻答

應(yīng)與默認(rèn)網(wǎng)關(guān)進(jìn)行通信。盡管各設(shè)備處于不同的PVLAN中，它們可以使用相同

的IP子網(wǎng)，從而大大減少了IP地址的損耗，也防止了同一個(gè)子網(wǎng)內(nèi)主機(jī)的相互

攻擊。⑹

（3）網(wǎng)關(guān)冗余備份機(jī)制

VRRP（VirtualRouterRedundancyProtocol,虛擬路由冗余協(xié)議）是一種網(wǎng)

關(guān)冗余備份協(xié)議。通常，一個(gè)網(wǎng)絡(luò)內(nèi)的所有主機(jī)都設(shè)置一條缺省路由，這樣，主

機(jī)發(fā)出的目的地址不在本網(wǎng)段的報(bào)文將被通過(guò)缺省路由發(fā)往網(wǎng)關(guān)，從而實(shí)現(xiàn)了主

機(jī)與外部網(wǎng)絡(luò)的通信。當(dāng)網(wǎng)關(guān)斷掉時(shí)，本網(wǎng)段內(nèi)所有主機(jī)將斷掉與外部的通信。

VRRP就是為解決上述問(wèn)題而提出的。使用VRRP,可以通過(guò)手動(dòng)或DHCP設(shè)

定一個(gè)虛擬IP地址作為默認(rèn)路由器。虛擬IP地址在路由器間共享，其中一個(gè)

指定為主路由器而其它的則為備份路由器。如果主路由器不可用，這個(gè)虛擬IP

地址就會(huì)映射到一個(gè)備份路由器的IP地址（這個(gè)備份路由器就成為主路由器）。

17J

GLBP（GatewayLoadBanancingProtocol網(wǎng)關(guān)負(fù)載均衡協(xié)議）,和VRRP

不同的是，GLBP不僅提供冗余網(wǎng)關(guān)，還在各網(wǎng)關(guān)之間提供負(fù)載均衡，而HRSP、

VRRP都必須選定一個(gè)活動(dòng)路由器，而備用路由器則處于閑置狀態(tài)，這會(huì)導(dǎo)致資

源一定程度的浪費(fèi)。和HRSP不同的是，GLBP可以綁定多個(gè)MAC地址到虛擬

IP,從而答應(yīng)客戶端挑選不同的路由器作為其默認(rèn)網(wǎng)關(guān)，而網(wǎng)關(guān)地址仍使用相同

的虛擬IP,從而實(shí)現(xiàn)一定的冗余和負(fù)載均衡。

以上兩種協(xié)議不僅可以在H3C網(wǎng)絡(luò)設(shè)備使用，也可以在其它廠商的網(wǎng)絡(luò)設(shè)

備中使用。

1.2.2遠(yuǎn)程接入和邊界安全

遠(yuǎn)程接入是直接接入到網(wǎng)絡(luò)系統(tǒng)內(nèi)部，而接入控制器也往往處于網(wǎng)絡(luò)系統(tǒng)的

邊界部分。因此邊界安全成為應(yīng)對(duì)外部威逼和攻擊面對(duì)的第一道防線。⑻

(1)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)

網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,NetworkAddressTranslation)屬接入廣域網(wǎng)(WAN)技術(shù),

是一種將私有(保留)地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各種類

型Internet接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡(jiǎn)單，隨著接入Internet的運(yùn)

算機(jī)數(shù)量的不斷猛增，IP地址資源也就愈加顯得捉襟見肘。NAT不僅完美地解

決了］P地址不足的問(wèn)題，而且還能夠有效地避免來(lái)自網(wǎng)絡(luò)外部的攻擊，隱藏并

保護(hù)網(wǎng)絡(luò)內(nèi)部的運(yùn)算機(jī)。雖然NAT可以借助于某些代理服務(wù)器來(lái)實(shí)現(xiàn)，但考慮

到運(yùn)算成本和網(wǎng)絡(luò)性能，很多時(shí)候都是在H3C路由器上來(lái)實(shí)現(xiàn)的。

(2)H3C硬件防火墻

防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專

用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說(shuō)

法，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)(SecurityGateway),從而保

護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)拜訪規(guī)則、驗(yàn)證工具、包過(guò)濾

和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成。⑼

(3)H3c入侵檢測(cè)系統(tǒng)(IPS)

雖然防火墻可以根據(jù)IP地址和服務(wù)端口過(guò)濾數(shù)據(jù)包，但它對(duì)于利用合法地

址和端口而從事的破壞活動(dòng)則無(wú)能為力，防火墻主要在第二到第四層起作用，很

少深入到第四層到第七層去檢查數(shù)據(jù)包。入侵預(yù)防系統(tǒng)也像入侵偵查系統(tǒng)一樣，

專門深入網(wǎng)路數(shù)據(jù)內(nèi)部，查找它所認(rèn)識(shí)的攻擊代碼特點(diǎn)，過(guò)濾有害數(shù)據(jù)流，丟棄

有害數(shù)據(jù)包，并進(jìn)行記載，以便事后分析。除此之外，更重要的是，大多數(shù)入侵

預(yù)防系統(tǒng)同時(shí)結(jié)合考慮應(yīng)用程序或網(wǎng)路傳輸重的非常情形，來(lái)輔助識(shí)別入侵和攻

+(101

mo

(4)遠(yuǎn)程接入VPN應(yīng)用

虛擬專用網(wǎng)(VPN)被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)

暫時(shí)的、安全的連接，是一條穿過(guò)紛亂的公用網(wǎng)絡(luò)的安全、穩(wěn)固的隧道。虛擬專

用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商

業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。

虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可

用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙

伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。VPN主要采用隧道技術(shù)、加解密技術(shù)、密

鑰治理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)保證網(wǎng)絡(luò)安全。⑵

1.2.3身份安全和拜訪治理

一種拜訪治理的解決方案是建立一個(gè)基于策略的執(zhí)行模型，確保用戶有一種

安全的治理模型。針對(duì)網(wǎng)絡(luò)中所有設(shè)備與服務(wù)，這種治理模型的安全性可為用戶

提供基于策略的拜訪控制、審計(jì)、報(bào)表功能，使系統(tǒng)治理員可以實(shí)施基于用戶的

私密性和安全策略。身份安全和拜訪治理處于首要層面。,⑶

(1)AAA認(rèn)證

AAA,認(rèn)證(Authentication)：驗(yàn)證用戶的身份與可使用的網(wǎng)絡(luò)服務(wù);授權(quán)

(Authorizat沁n)：依據(jù)認(rèn)證結(jié)果開放網(wǎng)絡(luò)服務(wù)給用戶;計(jì)帳(Accounting)：記錄用戶

對(duì)各種網(wǎng)絡(luò)服務(wù)的用量，并提供給計(jì)費(fèi)系統(tǒng)；整個(gè)系統(tǒng)在網(wǎng)絡(luò)治理與安全問(wèn)題中

十分有效。此項(xiàng)功能可以結(jié)合TACACS+服務(wù)器實(shí)現(xiàn)。

(2)IEEE802.1X

802.lx協(xié)議是基于Client/server的拜訪控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授

權(quán)的用戶/設(shè)備通過(guò)接入端Dgccessport)拜訪LAN/WLAN。在獲得交換機(jī)或LAN

提供的各種業(yè)務(wù)之前，802.lx對(duì)連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在

認(rèn)證通過(guò)之前，802.1X只答應(yīng)EAPoL(基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)數(shù)據(jù)通過(guò)

設(shè)備連接的交換機(jī)端口；認(rèn)證通過(guò)以后，正常的數(shù)據(jù)可以順利地通過(guò)以太網(wǎng)端口。

(3)網(wǎng)絡(luò)準(zhǔn)入控制(NAC)

網(wǎng)絡(luò)準(zhǔn)入控制(NetworkAccesscontrol,NAC)是一項(xiàng)由思科發(fā)起、多家廠商

參加的計(jì)一劃，其宗旨是防止病毒和蠕蟲等新興黑客技術(shù)對(duì)企業(yè)安全造成危害。借

助NAC,客戶可以只答應(yīng)合法的、值得信任的端點(diǎn)設(shè)備(例如Pc、服務(wù)器、PDA)

接入網(wǎng)絡(luò)，而不答應(yīng)其它設(shè)備接人。在初始階段，當(dāng)端點(diǎn)設(shè)備進(jìn)入網(wǎng)絡(luò)時(shí)，NAC

能夠幫助治理員實(shí)施拜訪權(quán)限。此項(xiàng)決策可以根據(jù)端點(diǎn)設(shè)備的信息制定，例如設(shè)

備的當(dāng)前防病毒狀況以及操作系統(tǒng)補(bǔ)丁等。,⑸

(4)設(shè)備安全策略

H3C設(shè)備，如路由器、交換機(jī)、防火墻和VPN集中器等都是網(wǎng)絡(luò)的組成部

分，確保這些設(shè)備的安全是整體網(wǎng)絡(luò)安全策略的一個(gè)重要組成部分。物理安全要

考慮網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)冗余、設(shè)備的安全位置、介質(zhì)、電力供應(yīng)等安全因素。對(duì)設(shè)備

進(jìn)行拜訪時(shí)，必須采用密碼或者RSA認(rèn)證，對(duì)遠(yuǎn)程拜訪采用更加安全的SSH協(xié)

議，針對(duì)不同的用戶級(jí)別，設(shè)定不同的優(yōu)先級(jí)等級(jí)。'⑹

1.2.4路由安全

為了有一個(gè)安全的網(wǎng)絡(luò)，將安全作為網(wǎng)絡(luò)中流量怎樣流動(dòng)的一部分是根本。

因?yàn)槁酚蓞f(xié)議決定流量在網(wǎng)絡(luò)中是怎樣流動(dòng)的，所以確保以一種與網(wǎng)絡(luò)的安全需

要相一致的方法挑選和實(shí)現(xiàn)路由協(xié)議很關(guān)鍵。

(1)操縱路由挑選更新

操作路由挑選更新的常用方法是路由分發(fā)列表，如果想進(jìn)行更細(xì)致的調(diào)劑可

以設(shè)置相應(yīng)的路由更新策略。當(dāng)網(wǎng)絡(luò)中有兩種不同的路由協(xié)議時(shí)，可以采用上述

策略。其它控制或防止生成動(dòng)態(tài)路由挑選更新的方法主要有：被動(dòng)接口，默認(rèn)和

靜態(tài)路由，操縱治理距離。

(2)OSPF路由協(xié)議安全

OSPF是一個(gè)被廣泛使用的內(nèi)部網(wǎng)關(guān)路由協(xié)議。通過(guò)對(duì)路由器進(jìn)行身份驗(yàn)證,

可避免路由器收到偽造的路由更新。使用回環(huán)接口作為路由器ID是OSPF網(wǎng)絡(luò)

用以確保穩(wěn)固性并從而確保安全的一個(gè)重要技術(shù)。針對(duì)區(qū)域的不同功能設(shè)定不同

的區(qū)域類型。

(3)BGP路由協(xié)議安全

BGP是運(yùn)行在當(dāng)今Internet上大部分相互域間路由的路由協(xié)議，大型網(wǎng)絡(luò)比

較常見。雖然，目前國(guó)內(nèi)除運(yùn)營(yíng)商外大多數(shù)企業(yè)網(wǎng)絡(luò)挑選內(nèi)部網(wǎng)關(guān)協(xié)議，然而對(duì)

于有多條ISP鏈路的企業(yè)，邊界采用BGP對(duì)網(wǎng)絡(luò)還是很有優(yōu)勢(shì)的。BGP通常采

用對(duì)等體認(rèn)證，路由過(guò)濾，路由抑制等手段來(lái)保證協(xié)議的安全性。

1.3研究?jī)?nèi)容和擬解決的問(wèn)題

論文通過(guò)對(duì)目前網(wǎng)絡(luò)存在的安全問(wèn)題進(jìn)行分析，針對(duì)各種安全漏洞制定相應(yīng)

的安全解決方案。

局域網(wǎng)安全部分，解決接入層子網(wǎng)的劃分，如何控制廣播風(fēng)暴，防止物理鏈

路失效，網(wǎng)關(guān)的冗余備份。

邊界安全方面，包括隱藏內(nèi)部地址，控制部分網(wǎng)段的拜訪，遠(yuǎn)程登錄。

身份認(rèn)證方面，保證對(duì)交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備的安全拜訪的身份認(rèn)證、

授權(quán)和統(tǒng)計(jì)，合法用戶安全接入網(wǎng)絡(luò)。

路由安全方面，如何對(duì)不同的路由協(xié)議采用安全認(rèn)證，針對(duì)不同的網(wǎng)絡(luò)區(qū)域

過(guò)濾不必要的路由更新。

另外針對(duì)目前主流的網(wǎng)絡(luò)攻擊行為，采用不同的安全技術(shù)對(duì)其進(jìn)行防備和反

偵察。

1.4結(jié)語(yǔ)

網(wǎng)絡(luò)安全技術(shù)是一個(gè)永恒的，綜合性的課題，并不是我們的網(wǎng)絡(luò)采用了相關(guān)

的防范技術(shù)，就不用考慮網(wǎng)絡(luò)安全因素了，一種安全技術(shù)只能解決一方面的問(wèn)題,

而不是萬(wàn)能的。

新型的攻擊手段總在不斷地涌現(xiàn)，最好的防范措施就是運(yùn)算機(jī)網(wǎng)絡(luò)安全人員的安

全意識(shí)。運(yùn)算機(jī)操作人員需要不斷學(xué)習(xí)，不斷積存體會(huì)，提高運(yùn)算機(jī)網(wǎng)絡(luò)水平，

這才是提高我們運(yùn)算機(jī)網(wǎng)絡(luò)安全最重要的安全措施。,⑺

2網(wǎng)絡(luò)安全概述

隨著網(wǎng)絡(luò)規(guī)模以指數(shù)形式增長(zhǎng)，網(wǎng)絡(luò)變得越來(lái)越復(fù)雜，承擔(dān)的任務(wù)越來(lái)越關(guān)

鍵，給運(yùn)營(yíng)和治理網(wǎng)絡(luò)的人們帶來(lái)了新的挑。很明顯需要包括語(yǔ)音、視頻和數(shù)據(jù)

（全能）服務(wù)的綜合網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)，但是這些快速發(fā)展的技術(shù)引發(fā)了新的安

全問(wèn)題。因此網(wǎng)絡(luò)治理員竭盡所能在網(wǎng)絡(luò)基礎(chǔ)設(shè)施里添加最新的技術(shù)，在構(gòu)建和

保護(hù)當(dāng)今高速增長(zhǎng)的網(wǎng)絡(luò)方面，網(wǎng)絡(luò)安全扮演了舉足輕重的角色。本章對(duì)當(dāng)今快

速變化網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)安全進(jìn)行了廣泛描述。網(wǎng)絡(luò)中最為常見的拓?fù)浣Y(jié)構(gòu)就是

如圖2.1所示的三層網(wǎng)絡(luò)拓?fù)鋱D。

圖2.1三層網(wǎng)絡(luò)結(jié)構(gòu)圖

2.1網(wǎng)絡(luò)安全的基本概念

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶

然的或者惡意的原因而遭受到破壞、更換、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)

絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全。從廣義來(lái)說(shuō)，

凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)

和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。

2.2網(wǎng)絡(luò)安全的特點(diǎn)

網(wǎng)絡(luò)安全應(yīng)具有以下五個(gè)方面的特點(diǎn)：

保密性：信息不泄露給非授權(quán)用戶、實(shí)體或過(guò)程，或供其利用的特性。

完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在儲(chǔ)備或傳輸過(guò)

程中保持不被修改、不被破壞和丟失的特性。

可用性：可被授權(quán)實(shí)體拜訪并按需求使用的特性。即當(dāng)需要時(shí)能否存

取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)

行等都屬于對(duì)可用性的攻擊。

可控性：對(duì)信息的傳播及內(nèi)容具有控制能力。

可審查性：顯現(xiàn)的安全問(wèn)題時(shí)提供依據(jù)與手段。

從網(wǎng)絡(luò)運(yùn)行和治理者角度說(shuō)，他們期望對(duì)本地網(wǎng)絡(luò)信息的拜訪、讀寫

等操作受到保護(hù)和控制，避免顯現(xiàn)“陷門”、病毒、非法存取、拒絕服務(wù)和網(wǎng)

絡(luò)資源非法占用和非法控制等威逼，禁止和防備網(wǎng)絡(luò)黑客的攻擊。對(duì)安全

保密部門來(lái)說(shuō)，他們期望對(duì)非法的、有害的或涉及國(guó)家秘密的信息進(jìn)行過(guò)

濾和防堵，避免機(jī)要信息泄露，避免對(duì)社會(huì)產(chǎn)生危害，對(duì)國(guó)家造成龐大缺

失。從社會(huì)教育和意識(shí)形狀角度來(lái)講，網(wǎng)絡(luò)上不健康的內(nèi)容，會(huì)對(duì)社會(huì)的

穩(wěn)固和人類的發(fā)展造成阻礙，必須對(duì)其進(jìn)行控制。

2.3網(wǎng)絡(luò)安全策略

運(yùn)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全治理主要是配合行政手段，制定有關(guān)網(wǎng)絡(luò)安全

治理的規(guī)章制度，在技術(shù)上實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全治理，確保網(wǎng)絡(luò)系統(tǒng)的安

全、可靠地運(yùn)行，主要涉及以下四個(gè)方面：

2.3.1網(wǎng)絡(luò)物理安全策略

運(yùn)算機(jī)網(wǎng)絡(luò)系統(tǒng)物理安全策略的目的是保護(hù)運(yùn)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、

網(wǎng)絡(luò)用戶終端機(jī)、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞

和攻擊；驗(yàn)證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保運(yùn)算機(jī)網(wǎng)

絡(luò)系統(tǒng)有一個(gè)良好的工作環(huán)境；建立完備的安全治理制度，防止非法進(jìn)入

運(yùn)算機(jī)網(wǎng)絡(luò)系統(tǒng)控制室和網(wǎng)絡(luò)黑客的各種破壞活動(dòng)。

2.3.2網(wǎng)絡(luò)拜訪控制策略

拜訪控制策略是運(yùn)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全防范和保護(hù)的主要策略，它的主

要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常規(guī)拜訪。它也是保護(hù)網(wǎng)絡(luò)系統(tǒng)

安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。各種網(wǎng)絡(luò)安全策略必須相互配合才能真

正起到保護(hù)作用，所以網(wǎng)絡(luò)拜訪控制策略是保證網(wǎng)絡(luò)安全最重要的核心策

略之一。

2.3.3網(wǎng)絡(luò)信息加密策略

信息加密策略主要是保護(hù)運(yùn)算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)的數(shù)據(jù)、文件、口令和控制

信息等網(wǎng)絡(luò)資源的安全。

2.3.4網(wǎng)絡(luò)安全治理策略

在運(yùn)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全策略中，不僅需要采取網(wǎng)絡(luò)技術(shù)措施保護(hù)網(wǎng)絡(luò)安

全，還必須加強(qiáng)網(wǎng)絡(luò)的行政安全治理，制定有關(guān)網(wǎng)絡(luò)使用的規(guī)章制度，對(duì)

于確保運(yùn)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全、可靠地運(yùn)行，將會(huì)起到十分有效的作用。

運(yùn)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全治理策略包括：確定網(wǎng)絡(luò)安全治理等級(jí)和安全治理

范疇；制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房治理制度；制定網(wǎng)絡(luò)系

統(tǒng)的治理保護(hù)制度和應(yīng)急措施等等。

3局域網(wǎng)安全

3.1基于H3C系列交換機(jī)VLAN的應(yīng)用

VLAN技術(shù)的顯現(xiàn)，主要為了解決交換機(jī)在進(jìn)行局域網(wǎng)互連時(shí)無(wú)法限

制廣播的問(wèn)題。這種技術(shù)可以把一個(gè)LAN劃分成多個(gè)邏輯的LAN即VLAN,

每個(gè)VLAN是一個(gè)廣播域，VLAN內(nèi)的主機(jī)間通信就和在一個(gè)LAN內(nèi)一樣，

而VLAN間則不能直接互通，這樣，廣播報(bào)文被限制在一個(gè)VLAN內(nèi)，從

而最大程度的減少了廣播風(fēng)暴的影響。

VLAN可以增強(qiáng)局域網(wǎng)的安全性，含有敏銳數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的

其余部分隔離，從而降低泄露秘密信息的可能性。不同VLAN內(nèi)的報(bào)文在

傳輸時(shí)是相互隔離的，即一個(gè)VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶

直接通信，如果不同VLAN要進(jìn)行通信，則需要通過(guò)路由器或三層交換機(jī)

等三層設(shè)備，如圖3.1。

方法:

1、基于端口的VLAN劃分

這種劃分是把一個(gè)或多個(gè)交換機(jī)上的幾個(gè)端口劃分一個(gè)邏輯組，這是最

簡(jiǎn)單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)治理員對(duì)網(wǎng)絡(luò)設(shè)備的交換端口

進(jìn)行重新分配即可，不用考慮該端口所連接的設(shè)備。

2、基于MAC地址的VLAN劃分

MAC地址其實(shí)就是指網(wǎng)卡的標(biāo)識(shí)符，每一塊網(wǎng)卡的MAC地址都是惟

一且固化在網(wǎng)卡上的。MAC地址由12位16進(jìn)制數(shù)表示，前6位為網(wǎng)卡的

廠商標(biāo)識(shí)（OUI）,后6位為網(wǎng)卡標(biāo)識(shí)（NIC）。網(wǎng)絡(luò)治理員可按MAC地址

把一些站點(diǎn)劃分為一個(gè)邏輯子網(wǎng)。

3、基于路由的VLAN劃分

路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機(jī)（即

三層交換機(jī)）。該方式答應(yīng)一個(gè)VLAN跨過(guò)多個(gè)交換機(jī)，或一個(gè)端口位于多

個(gè)VLAN中。就目前來(lái)說(shuō)，對(duì)于VLAN的劃分主要采取上述第1、3種方

式，第2種方式為輔助性的方案。

H3C低端系列以太網(wǎng)交換機(jī)支持的以太網(wǎng)端口鏈路類型有三種：

■Access類型：端口只能屬于1個(gè)VLAN,一樣用于連接運(yùn)算機(jī)；

■Trunk類型：端口可以屬于多個(gè)VLAN,可以接收和發(fā)送多個(gè)VLAN的

報(bào)文，一樣用于交換機(jī)之間的連接；

■Hybrid類型：端口可以屬于多個(gè)VLAN,可以接收和發(fā)送多個(gè)VLAN的

報(bào)文，可以用于交換機(jī)之間連接，也可以用于連接用戶的運(yùn)算機(jī)。

交換機(jī)與工作站之間的連接接口配置為Access,交換機(jī)和交換機(jī)之間

的連接一樣采用Trunk端口，協(xié)議采用802.1q(ISL為cisco專用協(xié)議)。

3.2基于VLAN的PVLAN技術(shù)的應(yīng)用

傳統(tǒng)的VLAN固然有隔離廣播風(fēng)暴，增強(qiáng)局域網(wǎng)內(nèi)部安全性等好處，

然而不可避免的有以下幾個(gè)方面的局限性：

(1)VLAN的限制：交換機(jī)固有的VLAN數(shù)目的限制；

(2)復(fù)雜的STP：對(duì)于每個(gè)VLAN,每個(gè)相關(guān)的SpanningTree的拓?fù)涠?/p>

需要治理；

(3)IP地址的緊缺：IP子網(wǎng)的劃分勢(shì)必造成一些IP地址的浪費(fèi)；

(4)路由的限制：每個(gè)子網(wǎng)都需要相應(yīng)的默認(rèn)網(wǎng)關(guān)的配置。

現(xiàn)在有了一種新的VLAN機(jī)制，所有服務(wù)器在同一個(gè)子網(wǎng)中，但服務(wù)

器只能與自己的默認(rèn)網(wǎng)關(guān)通信。這一新的VLAN特性就是專用VLAN

(PrivateVLAN)0在PrivateVLAN的概念中，交換機(jī)端口有三種類型：

Isolatedport,Communityport,Promiscuousport；它們分別對(duì)應(yīng)不同的VLAN

類型：Isolatedport屬于IsolatedPVLAN,Communityport屬于

CommunityPVLAN,而代表一個(gè)PrivateVLAN整體的是PrimaryVLAN,

前面兩類VLAN需要和它綁定在一起，同時(shí)它還包括Promiscuousport。在

IsolatedPVLAN中，Isolatedport只能和Promiscuousport通信，彼此不能

交換流量；在CommunityPVLAN中Communityport不僅可以和

Promiscuousport通信，而且彼此也可以交換流量。Promiscuousport與路由

器或第3層交換機(jī)接口相連，它收到的流量可以發(fā)往Isolatedport和

Communityporto

PVLAN的應(yīng)用對(duì)于保證接入網(wǎng)絡(luò)的數(shù)據(jù)通信的安全性是非常有效的，

用戶只需與自己的默認(rèn)網(wǎng)關(guān)連接，一個(gè)PVLAN不需要多個(gè)VLAN和IP子網(wǎng)就

提供了具備第2層數(shù)據(jù)通信安全性的連接，所有的用戶都接入PVLAN,從而

實(shí)現(xiàn)了所有用戶與默認(rèn)網(wǎng)關(guān)的連接，而與PVLAN內(nèi)的其他用戶沒(méi)有任何拜

訪。PVLAN功能可以保證同一個(gè)VLAN中的各個(gè)端口相互之間不能通信，

但可以穿過(guò)Trunk端口。這樣即使同一VLAN中的用戶，相互之間也不會(huì)受

到廣播的影響。

目前很多廠商生產(chǎn)的交換機(jī)支持PVLAN技術(shù)，PVLAN技術(shù)在解決通

信安全、防止廣播風(fēng)暴和浪費(fèi)IP地址方面的優(yōu)勢(shì)是顯而易見的，而且采用

PVLAN技術(shù)有助于網(wǎng)絡(luò)的優(yōu)化，再加上PVLAN在交換機(jī)上的配置也相對(duì)簡(jiǎn)

單，PVLAN技術(shù)越來(lái)越得到網(wǎng)絡(luò)治理人員的青睞。

3.3利用GVRP協(xié)議來(lái)治理VLAN

通過(guò)使用GVRP,可以使同一局域網(wǎng)內(nèi)的交換機(jī)接收來(lái)自其它交換機(jī)

的VLAN注冊(cè)信息，并動(dòng)態(tài)更新本地的VLAN注冊(cè)信息，包括：當(dāng)前的

VLAN、配置版本號(hào)、這些VLAN可以通過(guò)哪個(gè)端口到達(dá)等。而且設(shè)備能

夠?qū)⒈镜氐腣LAN注冊(cè)信息向其它設(shè)備傳播，使同一局域網(wǎng)內(nèi)所有設(shè)備的

VLAN信息達(dá)成一致，減少由人工配置帶來(lái)的錯(cuò)誤的可能性。對(duì)GVRP不熟

悉的朋友，可以參考CISCO的VTP協(xié)議，兩者大同小異。如圖3-2：

圖3-2GVRP組網(wǎng)示意圖

SwitchC靜態(tài)配置了VLAN5,SwitchD靜態(tài)配置了vlan8,SwitchE靜

態(tài)配置了VLAN5和VLAN7,SwitchA和SwitchB開啟了全局和端口的GVRP

功能，這樣可以動(dòng)態(tài)學(xué)習(xí)到VLAN5,VLAN7,VLAN8。端口有兩種注冊(cè)模式，

一種是fixed,即禁止端口動(dòng)態(tài)注冊(cè)VLAN,僅答應(yīng)本地創(chuàng)建的VLAN向外

傳播；另一種注冊(cè)模式為forbidden,即禁止端口動(dòng)態(tài)注冊(cè)VLAN,僅答應(yīng)缺

省VLAN1向外傳播。

3.4H3C交換機(jī)設(shè)備之間的端口匯聚

端口匯聚是將多個(gè)以太網(wǎng)端口匯聚在一起形成一個(gè)邏輯上的匯聚組，

使用匯聚服務(wù)的上層實(shí)體把同一匯聚組內(nèi)的多條物理鏈路視為一條邏輯鏈

路。將多個(gè)物理鏈路捆綁在一起后，不但提升了整個(gè)網(wǎng)絡(luò)的帶寬，而且數(shù)

據(jù)還可以同時(shí)經(jīng)由被綁定的多個(gè)物理鏈路傳輸，具有鏈路冗余的作用，在

網(wǎng)絡(luò)顯現(xiàn)故障或其他原因斷開其中一條或多條鏈路時(shí)，剩下的鏈路還可以

工作。這樣，同一匯聚組的各個(gè)成員端口之間彼此動(dòng)態(tài)備份，提高了連接

可靠性，增強(qiáng)了負(fù)載均衡的能力。

SwitchA

Linkaggregation--------K

SwitchB

圖3.3以太網(wǎng)端口匯聚配置示例圖

對(duì)于H3c的交換機(jī)設(shè)備做端口匯聚時(shí)，必須注意以下幾點(diǎn)：

■做端口匯聚時(shí)，H3c交換機(jī)最多可以包括8個(gè)端口，這些端口不必

是連續(xù)分布的，也不必位于相同的模塊中；至于有幾個(gè)匯聚組則

視交換機(jī)的類型而定。

■一個(gè)匯聚組內(nèi)的所有端口必須使用相同的協(xié)議如LACP。

■一個(gè)匯聚組內(nèi)的端口必須有相同的速度和雙工模式。

■一個(gè)端口不能再相同時(shí)間內(nèi)屬于多個(gè)匯聚組。

■一個(gè)匯聚組內(nèi)的所有端口都必須配置到相同的接入VLAN中。

3.5啟用端口鏡像對(duì)流量進(jìn)行監(jiān)控

由于部署IDS和IPS等產(chǎn)品需要監(jiān)聽網(wǎng)絡(luò)流量（網(wǎng)絡(luò)分析儀同樣也需

要），但是在目前廣泛采用的交換網(wǎng)絡(luò)中監(jiān)聽所有流量有相當(dāng)大的困難，因

此需要通過(guò)配置交換機(jī)來(lái)把一個(gè)或多個(gè)端口（VLAN）的數(shù)據(jù)轉(zhuǎn)發(fā)到某一個(gè)

端口來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的監(jiān)聽，這樣就產(chǎn)生了端口鏡像。端口鏡像（portMirroring）

分為本地端口鏡像和遠(yuǎn)程端口鏡像兩種。

本地端口鏡像是指將設(shè)備的一個(gè)或多個(gè)端口（源端口）的報(bào)文復(fù)制到

本地設(shè)備的一個(gè)監(jiān)視端口（目的端口），用于報(bào)文的分析和監(jiān)視。其中，源

端口和目的端口必須在同一臺(tái)設(shè)備上。如圖3.4：SwitchC的端口￡1/0/3可以

把端口研發(fā)部所連得端DEl/O/l和市場(chǎng)部連接的E1/0/2端口的流量復(fù)制過(guò)來(lái),

然后交給數(shù)據(jù)檢測(cè)設(shè)備分析，從而可以對(duì)危險(xiǎn)流量進(jìn)行隔離和控制。

研發(fā)部SwitchA

Eth1/0/1

Eth1/0/3

E由段只

/SwitchC

數(shù)據(jù)監(jiān)測(cè)設(shè)備

市場(chǎng)部SwitchB

圖3.4本地端口鏡像實(shí)例圖

遠(yuǎn)程端口鏡像突破了源端口和目的端口必須在同一臺(tái)設(shè)備上的限制，使源

端口和目的端口可以跨過(guò)網(wǎng)絡(luò)中的多個(gè)設(shè)備，從而方便網(wǎng)絡(luò)治理人員對(duì)遠(yuǎn)

程設(shè)備上的流量進(jìn)行監(jiān)控。為了實(shí)現(xiàn)遠(yuǎn)程端口鏡像功能，需要定義一個(gè)特

另I」的VLAN,稱之為遠(yuǎn)程鏡像VLAN(Remote-probeVLAN)。所有被鏡像的

報(bào)文通過(guò)該VLAN從源交換機(jī)的反射口傳遞到目的交換機(jī)的鏡像端口，實(shí)現(xiàn)

在目的交換機(jī)上對(duì)源交換機(jī)端口收發(fā)的報(bào)文進(jìn)行監(jiān)控的功能。遠(yuǎn)程端口鏡

像的應(yīng)用示意圖如圖3.5所示。對(duì)部門1和部門2的流量進(jìn)行監(jiān)控，SwitchA

為源交換機(jī)：被監(jiān)控的端口所在的交換機(jī)，負(fù)責(zé)將鏡像流量復(fù)制到反射端

口，然后通過(guò)遠(yuǎn)程鏡像VLAN傳輸給中間交換機(jī)或目的交換機(jī)；SwitchB

為中間交換機(jī)：網(wǎng)絡(luò)中處于源交換機(jī)和目的交換機(jī)之間的交換機(jī)，通過(guò)遠(yuǎn)

程鏡像VLAN把鏡像流量傳輸給下一個(gè)中間交換機(jī)或目的交換機(jī)，如果源

交換機(jī)與目的交換機(jī)直接相連，則不存在中間交換機(jī)；SwitchC為目的交換

機(jī)：遠(yuǎn)程鏡像目的端口所在的交換機(jī)，將從遠(yuǎn)程鏡像VLAN接收到的鏡像

流量通過(guò)鏡像目的端口轉(zhuǎn)發(fā)給監(jiān)控設(shè)備。

SwitchASwitchBSwitchC

部門1部門2數(shù)據(jù)監(jiān)測(cè)設(shè)備

圖3.5遠(yuǎn)程端口鏡像實(shí)例圖

3.6構(gòu)建安全的STP生成樹體系

STP協(xié)議最主要的應(yīng)用是為了避免局域網(wǎng)中的網(wǎng)絡(luò)環(huán)回，解決以太網(wǎng)網(wǎng)

絡(luò)的“廣播風(fēng)暴”問(wèn)題，從某種意義上說(shuō)是一種網(wǎng)絡(luò)保護(hù)技術(shù)，可以排除由于

失誤或者意外帶來(lái)的循環(huán)連接，各大交換機(jī)設(shè)備廠商默認(rèn)開啟STP協(xié)議。

H3c交換機(jī)支持的生成樹協(xié)議有三種類型，分別是STP(IEEE802.1D)、RSTP

(IEEE802.1W)和MSTP(IEEE802.1S),這三種類型的生成樹協(xié)議均按照

標(biāo)準(zhǔn)協(xié)議的規(guī)定實(shí)現(xiàn)，采用標(biāo)準(zhǔn)的生成樹協(xié)議報(bào)文格式。

■手動(dòng)指定根網(wǎng)橋

不要讓STP來(lái)決定選舉哪臺(tái)交換機(jī)為根網(wǎng)橋。對(duì)于每個(gè)VLAN,您通常

可以確定哪臺(tái)交換機(jī)最適合用做根網(wǎng)橋。哪臺(tái)交換機(jī)最適合用做根網(wǎng)橋取

決于網(wǎng)絡(luò)設(shè)計(jì)，一樣而言，應(yīng)挑選位于網(wǎng)絡(luò)中央的功能強(qiáng)大的交換機(jī)。如

果讓根網(wǎng)橋位于網(wǎng)絡(luò)中央，并直接連接到多臺(tái)服務(wù)器和路由器，通?？煽s

短客戶端到服務(wù)器和路由器的距離。對(duì)于VLAN,靜態(tài)地指定要用做根網(wǎng)橋

和備用(輔助)根網(wǎng)橋的交換機(jī)。

■多層交換體系中部署MSTP

MSTP(MultiPieSpanningTreeProtocol)是把IEEE802.1w的快速生成

樹(RST)算法擴(kuò)展而得到的，體現(xiàn)的是將多個(gè)VLAN映射到一個(gè)生成樹實(shí)

例的能力。STP不能遷移，RSTP可以快速收斂，但和STP一樣不能按VLAN

阻塞冗余鏈路，所有VLAN的報(bào)文都按一顆生成樹進(jìn)行轉(zhuǎn)發(fā)。

MSTP兼容STP和RSTP,從而補(bǔ)償STP和RSTP的缺陷，不但可以快速收

斂，同時(shí)還提供了數(shù)據(jù)轉(zhuǎn)發(fā)的多個(gè)冗余路徑，使不同VLAN的流量沿各自

的路徑分發(fā)，在數(shù)據(jù)轉(zhuǎn)發(fā)過(guò)程中實(shí)現(xiàn)VLAN數(shù)據(jù)的負(fù)載均衡，使設(shè)備的利

用率達(dá)到最高。

VLAN所屬實(shí)例

VLAN10MSTI1

VLAN20MSTIO

VLAN30MSTI3

VLAN40MSTI4

圖3.6MST配置組網(wǎng)圖

圖3.6所示：網(wǎng)絡(luò)中所有交換機(jī)屬于同一個(gè)MST域；VLAN10的報(bào)文

沿著實(shí)例1轉(zhuǎn)發(fā)，VLAN30沿著實(shí)例3轉(zhuǎn)發(fā)，VLAN40沿著實(shí)例4轉(zhuǎn)發(fā),

VLAN20沿著實(shí)例0轉(zhuǎn)發(fā)；0中SwitchA和SwitchB為匯聚層設(shè)備，SwitchC

和SwitchD為接入層設(shè)備。VLAN10、VLAN30在匯聚層設(shè)備終結(jié)，VLAN

40在接入層設(shè)備終結(jié)，因此可以配置實(shí)例1和實(shí)例3的樹根分別為SwitchA

和SwitchB,實(shí)例4的樹根為SwitchC。

3.7多層交換體系中部署VRRP

隨著Internet的發(fā)展，人們對(duì)網(wǎng)絡(luò)可靠性，安全性的要求越來(lái)越高。對(duì)于

終端用戶來(lái)說(shuō)，期望時(shí)時(shí)與網(wǎng)絡(luò)其他部分保持通信。VRRP（VirtualRouter

RedundancyProtocol,虛擬路由冗余協(xié)議）是一種容錯(cuò)協(xié)議，它保證當(dāng)主機(jī)

的下一跳路由器失效時(shí)，可以及時(shí)由另一臺(tái)路由器代替，從而保持通信的

連續(xù)性和可靠性。Cisco系列交換機(jī)更多的采用思科廠商專用的HSRP（Hot

StandbyRouterProtocol,熱備份路由器協(xié)議）

為了使VRRP工作，要在路由器上配置虛擬路由器號(hào)和虛擬IP地址，同

時(shí)會(huì)產(chǎn)生一個(gè)虛擬MAC（00-00-5E-00-01-[VRID]）地址，這樣在這個(gè)網(wǎng)絡(luò)中就

加入了一個(gè)虛擬路由器。一個(gè)虛擬路由器由一個(gè)主路由器和若干個(gè)備份路

由器組成，主路由器實(shí)現(xiàn)真正的轉(zhuǎn)發(fā)功能。當(dāng)主路由器顯現(xiàn)故障時(shí)，一個(gè)

備份路由器將成為新的主路由器，接替它的工作，避免備份組內(nèi)的單臺(tái)或多

臺(tái)交換機(jī)發(fā)生故障而引起的通信中斷。

HostB

/24

圖3.7VRRP協(xié)議部署圖

圖3.7所示：主機(jī)A把交換機(jī)A和交換機(jī)B組成的VRRP備份組作為自己

的缺省網(wǎng)關(guān)，拜訪Internet上的主機(jī)B。備份組號(hào)可以自己設(shè)定；主路由是

交換機(jī)A還是交換機(jī)B,取決于兩者的優(yōu)先級(jí)，高的成為主路由，優(yōu)先級(jí)一

樣比較IP地址，誰(shuí)的大誰(shuí)是主路由，另外一臺(tái)作為備份路由；VRRP默認(rèn)搶

占開啟。

3.8IRF技術(shù)的應(yīng)用

IRF（IntelligentResilientFramework,智能彈性架構(gòu)）是H3c公司融合

高端交換機(jī)的技術(shù)，在中低端交換機(jī)上推出的創(chuàng)新性建設(shè)網(wǎng)絡(luò)核心的新技

術(shù)。它將幫助用戶設(shè)計(jì)和實(shí)施高可用性、高可擴(kuò)展性和高可靠性的千兆以

太網(wǎng)核心和匯聚主干。

在堆疊之前要先了解堆疊設(shè)備的規(guī)格，一個(gè)堆疊最多支持多少個(gè)設(shè)備，

或者最多支持多少個(gè)端口。在系統(tǒng)啟動(dòng)時(shí)、新Unit加入時(shí)、merge時(shí)都會(huì)進(jìn)

行配置比較。配置比較時(shí)將以最小ID的Unit的配置作為參照基準(zhǔn)。比較結(jié)果

不同的Unit將把基準(zhǔn)配置儲(chǔ)存為暫時(shí)文件，然后重起。重起時(shí)將采用這個(gè)暫

時(shí)文件作為自己的配置。為增加堆疊的可靠性，盡量使用環(huán)形堆疊。IRF

設(shè)備堆疊端口相連時(shí)一定是UP端口和另一臺(tái)設(shè)備的DOWN端口相連。

圖3.7S58系列以太網(wǎng)交換機(jī)在企業(yè)網(wǎng)/園區(qū)網(wǎng)的應(yīng)用

在大中型企業(yè)或園區(qū)網(wǎng)中，S58系列以太網(wǎng)交換機(jī)作為大樓匯聚交換

機(jī)，通過(guò)IRF智能彈性架構(gòu)將多臺(tái)匯聚交換機(jī)虛擬為一臺(tái)邏輯設(shè)備，從而簡(jiǎn)

化治理保護(hù)，實(shí)現(xiàn)彈性擴(kuò)展。此外H3c的開發(fā)業(yè)務(wù)架構(gòu)也可以使S58系列交

換機(jī)集成防火墻模塊，提高網(wǎng)絡(luò)安全性，而在集成了無(wú)線控制器模塊以后，

可以集中配置治理無(wú)線接入點(diǎn)，從而使S58系列交換機(jī)提供一套完整的有線

無(wú)線一體化的解決方案。

4邊界網(wǎng)絡(luò)安全

網(wǎng)絡(luò)邊界就是網(wǎng)絡(luò)的大門，大門的安全防護(hù)是網(wǎng)絡(luò)安全的基礎(chǔ)需求。

隨著網(wǎng)絡(luò)的日益復(fù)雜，域邊界的概念逐步替代了網(wǎng)絡(luò)邊界，邊界成了網(wǎng)絡(luò)

安全區(qū)域之間安全控制的基本點(diǎn)。黑客攻擊與廠家防護(hù)技術(shù)都會(huì)最先顯現(xiàn)

在這里，然后在對(duì)抗中逐步完善與成熟起來(lái)。在本文中，邊界安全主要是

指企業(yè)網(wǎng)在互聯(lián)網(wǎng)接入這部分。

對(duì)邊界進(jìn)行安全防護(hù)，第一必須明確哪些網(wǎng)絡(luò)邊界需要防護(hù)，這可以

通過(guò)安全分區(qū)設(shè)計(jì)來(lái)確定。定義安全分區(qū)的原則就是第一需要根據(jù)業(yè)務(wù)和

信息敏銳度定義安全資產(chǎn)，其次對(duì)安全資產(chǎn)定義安全策略和安全級(jí)別，對(duì)

于安全策略和級(jí)別相同的安全資產(chǎn)，就可以認(rèn)為屬于同一安全區(qū)域。根據(jù)

以上原則，H3c提出以下的安全分區(qū)設(shè)計(jì)模型，主要包括內(nèi)網(wǎng)辦公區(qū)、數(shù)據(jù)

中心區(qū)、外聯(lián)數(shù)據(jù)區(qū)、互聯(lián)網(wǎng)連接區(qū)、對(duì)外連接區(qū)、網(wǎng)絡(luò)治理區(qū)、廣域網(wǎng)

連接區(qū)等區(qū)域。

圖4.0H3c提出的安全分區(qū)設(shè)計(jì)模型

通過(guò)以上的分區(qū)設(shè)計(jì)和網(wǎng)絡(luò)現(xiàn)狀，H3c提出了以防火墻、VPN和應(yīng)用

層防備系統(tǒng)為支撐的深度邊界安全解決方案。

4.1NAT技術(shù)的應(yīng)用

NAT（NetworkAddressTranslation,網(wǎng)絡(luò)地址轉(zhuǎn)換）屬接入廣域網(wǎng)（WAN）

技術(shù),是一種將私有（保留）地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù),它被廣泛應(yīng)用

于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。NAT不僅完美地解決了1P

地址不足的問(wèn)題，而且還能夠有效地避免來(lái)自網(wǎng)絡(luò)外部的攻擊，隱藏并保

護(hù)網(wǎng)絡(luò)內(nèi)部的運(yùn)算機(jī)。如圖4.1所示，運(yùn)用NAT技術(shù)隱藏了局域網(wǎng)內(nèi)部的

17.LL0網(wǎng)段,在Internet網(wǎng)上顯示的是LLL0網(wǎng)段。

圖4.1NAT技術(shù)組網(wǎng)圖

NAT的實(shí)現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換StaticNat、動(dòng)態(tài)轉(zhuǎn)換DynamicNat

和端口多路復(fù)用PAT。

靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對(duì)是

一對(duì)一的，是一成不變的，某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址。借助

于靜態(tài)轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備（如服務(wù)器）的拜

訪。

動(dòng)態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí)，IP地址是

不確定的，是隨機(jī)的，所有被授權(quán)拜訪上Internet的私有IP地址可隨機(jī)轉(zhuǎn)換

為任何指定的合法IP地址。也就是說(shuō)，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，

以及用哪些合法地址作為外部地址時(shí)，就可以進(jìn)行動(dòng)態(tài)轉(zhuǎn)換。動(dòng)態(tài)轉(zhuǎn)換可

以使用多個(gè)合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的運(yùn)

算機(jī)數(shù)量時(shí)?？梢圆捎脛?dòng)態(tài)轉(zhuǎn)換的方式。

端口多路復(fù)用（PortaddressTranslation,PAT）是指改變外出數(shù)據(jù)包的源端

口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換（PAT,PortAddressTranslation）o采用

端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP地址實(shí)現(xiàn)

對(duì)Internet的拜訪，從而可以最大限度地節(jié)省IP地址資源。同時(shí)，又可隱藏

網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來(lái)自internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)

用最多的就是端口多路復(fù)用方式。

4.2ACL技術(shù)的應(yīng)用

ACL（AccessControlList,拜訪控制列表）在路由器中被廣泛采用，它

是一種基于包過(guò)濾的流控制技術(shù)。目前有兩種主要的ACL:標(biāo)準(zhǔn)ACL和擴(kuò)展

ACLo標(biāo)準(zhǔn)的ACL使用1-99以及1300-1999之間的數(shù)字作為表號(hào)，擴(kuò)展的

ACL使用100-199以及2000-2699之間的數(shù)字作為表號(hào)。

標(biāo)準(zhǔn)ACL可以阻止來(lái)自某一網(wǎng)絡(luò)的所有通信流量，或者答應(yīng)來(lái)自某一

特定網(wǎng)絡(luò)的所有通信流量，或者拒絕某一協(xié)議簇（比如IP）的所有通信流量。

如圖4.2所示,VLAN10可以拒絕VLAN11的所有拜訪流量。擴(kuò)展ACL比標(biāo)準(zhǔn)

ACL提供了更廣泛的控制范疇，擴(kuò)展IP拜訪控制列表比標(biāo)準(zhǔn)IP拜訪控制列表

具有更多的匹配項(xiàng)，包括協(xié)議類型、源地址、目的地址、源端口、