HC網(wǎng)絡(luò)安全技術(shù)

H3C網(wǎng)絡(luò)安全技術(shù)與網(wǎng)絡(luò)部署

目次

摘要...........................................................錯誤!未定義書簽。

目次...........................................................................1

1緒論...........................................................................3

1.1研究意義和背景..........................................................3

1.2目前研究現(xiàn)狀............................................................3

1.2.1局域網(wǎng)內(nèi)部安全....................................................4

1.2.2遠(yuǎn)程接入和邊界安全................................................5

1.2.4路由安全..........................................................6

1.3研究內(nèi)容和擬解決的問題..................................................7

1.4結(jié)語....................................................................7

2網(wǎng)絡(luò)安全概述...................................................................8

2.1網(wǎng)絡(luò)安全的基本概念......................................................8

2.2網(wǎng)絡(luò)安全的特點..........................................................9

2.3網(wǎng)絡(luò)安全策略............................................................9

2.3.1網(wǎng)絡(luò)物理安全策略..................................................9

2.3.2網(wǎng)絡(luò)拜訪控制策略.................................................10

2.3.3網(wǎng)絡(luò)信息加密策略.................................................10

2.3.4網(wǎng)絡(luò)安全治理策略.................................................10

3局域網(wǎng)安全....................................................................11

3.1基于H3c系列交換機(jī)VLAN的應(yīng)用.......................................11

3.2基于VLAN的PVLAN技術(shù)的應(yīng)用........................................13

3.3利用GVRP協(xié)議來治理VLAN.........................................................................................14

3.4H3C交換機(jī)設(shè)備之間的端口匯聚..........................................14

3.5啟用端口鏡像對流量進(jìn)行監(jiān)控............................................15

3.6構(gòu)建安全的STP生成樹體系..............................................17

3.7多層交換體系中部署VRRP..............................................................................................18

3.8IRF技術(shù)的應(yīng)用.........................................................19

4邊界網(wǎng)絡(luò)安全..................................................................21

4.1NAT技術(shù)的應(yīng)用........................................................22

4.2ACL技術(shù)的應(yīng)用........................................................22

4.3VPN技術(shù)的應(yīng)用........................................................24

4.3.1IPsecVPN的應(yīng)用..................................................25

4.3.2IPsec上的GRE隧道..............................................26

4.3.3二層VPN技術(shù)L2Tp的應(yīng)用........................................26

4.3.4SSLVPN技術(shù)的應(yīng)用..............................................27

4.3.5DVPN技術(shù)的應(yīng)用.................................................27

4.3.6VPN技術(shù)在MPLS網(wǎng)絡(luò)中的應(yīng)用.....................................28

4.4H3CSecPath系列防火墻/VPN的部署.....................................29

4.5H3C的各類安全模塊....................................................31

4.5.1H3CSecBladeFW模塊.............................................31

4.5.2H3CSSLVPN模塊................................................32

4.5.3H3CASM防病毒模塊.............................................34

4.5.4H3CNSM網(wǎng)絡(luò)監(jiān)控模塊...........................................35

4.6H3C的IPS和UTM設(shè)備.................................................35

5身份認(rèn)證與拜訪控制...........................................................38

5.1AAA安全服務(wù)..........................................................38

5.2EAD安全解決方案......................................................40

5.3802.IX身份認(rèn)證........................................................41

5.4設(shè)備安全...............................................................42

5.4.1物理安全..........................................................43

5.4.2登錄方式和用戶帳號...............................................43

5.4.3SNMP協(xié)議的應(yīng)用.................................................44

5.4.4NTP協(xié)議的應(yīng)用..................................................45

5.4.4禁用不安全的服務(wù).................................................45

6路由安全......................................................................47

6.1靜態(tài)路由協(xié)議...........................................................47

6.1.1利用靜態(tài)路由實現(xiàn)負(fù)載分擔(dān)........................................47

6.1.2利用靜態(tài)路由實現(xiàn)路由備份........................................47

6.2OSPF路由協(xié)議.........................................................48

6.2.1OSPF身份驗證...................................................48

6.2.2分層路由.........................................................48

6.2.3可靠的擴(kuò)散機(jī)制...................................................49

6.2.4OSPFLSDB過載保護(hù).............................................50

6.2.5DR\BDR的選舉和路由器ID的標(biāo)識.................................50

6.3BGP路由協(xié)議...........................................................50

6.3.1BGP報文保護(hù).....................................................50

6.3.2BGP對等體組PeerGroup......................................................................................51

6.3.3BGP負(fù)載均衡.....................................................51

6.3操縱路由挑選更新........................................................52

6.4.1路由重分發(fā).......................................................52

6.4.2靜態(tài)路由和默認(rèn)路由...............................................53

6.4.3路由分發(fā)列表和映射表.............................................54

6.4.4操縱治理距離.....................................................54

7網(wǎng)絡(luò)攻擊的趨勢和主流的網(wǎng)絡(luò)攻擊...............................................55

7.1ARP攻擊...............................................................56

7.2DDOS攻擊.............................................................56

7.3TCPSYN攻擊..........................................................57

7.4口令攻擊...............................................................58

7.5緩沖區(qū)溢出攻擊.........................................................58

7.6蠕蟲病毒...............................................................58

7.7Land攻擊..............................................................59

7.8Vian攻擊...............................................................59

1緒論

1.1研究意義和背景

運算機(jī)網(wǎng)絡(luò)安全已引起世界各國的關(guān)注，我國近幾年才逐步開始在高等教育

中滲透運算機(jī)網(wǎng)絡(luò)安全方面的基礎(chǔ)知識和網(wǎng)絡(luò)安全技術(shù)應(yīng)用知識。隨著網(wǎng)絡(luò)高新

技術(shù)的不斷發(fā)展，社會經(jīng)濟(jì)建設(shè)與發(fā)展越來越依靠于運算機(jī)網(wǎng)絡(luò)，運算機(jī)網(wǎng)絡(luò)安

全對我們生活的重要意義也不可同日而語。⑴

2010年1月，國務(wù)院決定加快推進(jìn)電信網(wǎng)、廣播電視網(wǎng)和互聯(lián)網(wǎng)三網(wǎng)融合,

2010年至2012年廣電和電信業(yè)務(wù)雙向進(jìn)入試點，2013年至2015年，全面實現(xiàn)

三網(wǎng)融合。所謂三網(wǎng)融合即推進(jìn)電信網(wǎng)、廣播電視網(wǎng)和互聯(lián)網(wǎng)三網(wǎng)互聯(lián)互通、資

源共享，為用戶提供語音、數(shù)據(jù)和廣播電視等多種服務(wù)。此政策涉及領(lǐng)域廣泛，

涉及上市公司眾多。這將導(dǎo)致未來幾年網(wǎng)絡(luò)規(guī)模以指數(shù)形式增長，網(wǎng)絡(luò)也會變得

越來越復(fù)雜，承擔(dān)的任務(wù)越來越關(guān)鍵，給運營和治理網(wǎng)絡(luò)的人們帶來新的挑戰(zhàn)，

很明顯這些快速發(fā)展的技術(shù)引發(fā)了新的安全問題。網(wǎng)絡(luò)安全對國民經(jīng)濟(jì)的威逼、

甚至對國家和地區(qū)的威逼也日益嚴(yán)重。⑵因此網(wǎng)絡(luò)安全扮演的角色也會越來越重

要。與此同時，加快培養(yǎng)網(wǎng)絡(luò)安全方面的應(yīng)用型人才、廣泛普及網(wǎng)絡(luò)安全知識和

把握網(wǎng)絡(luò)安全技術(shù)突顯重要和迫在眉睫。

H3c設(shè)備是目前我國政府，企業(yè)，電信，教育行業(yè)的主流網(wǎng)絡(luò)設(shè)備生產(chǎn)商，

研究旗下路由器，交換機(jī)以及安全設(shè)備，儲備設(shè)備的網(wǎng)絡(luò)安全系統(tǒng)的綜合部署對

以后系統(tǒng)集成案例有很好的效仿作用。

1.2目前研究現(xiàn)狀

目前廣泛應(yīng)用的網(wǎng)絡(luò)安全模型是秘密性、完整性、可用性

(CIA,confidentiality,integrity,andavailability)3項原則。這三項原則應(yīng)指導(dǎo)

所有的安全系統(tǒng)。CIA還為安全實施提供了一個度量工具。這些準(zhǔn)則適用于安全

分析的整個階段從拜訪一個用戶的Internet歷史到Internet上加密數(shù)據(jù)的安

全。違反這3項原則中的任何一個都會給相關(guān)方帶來嚴(yán)重后果。⑶

1.2.1局域網(wǎng)內(nèi)部安全

雖然很多攻擊是從外網(wǎng)展開的，但是部分攻擊也會源于內(nèi)網(wǎng)，比如常見的

ARP攻擊等等，系統(tǒng)的安全性不是取決于最堅固的那一部分，而是取決于最薄

弱的環(huán)節(jié)。因此內(nèi)網(wǎng)安全十分重要。⑷

（1）基于ACL的拜訪控制

如今的網(wǎng)絡(luò)充斥著大量的數(shù)據(jù)，如果沒有任何適當(dāng)?shù)陌踩珯C(jī)制，則每個網(wǎng)絡(luò)

都可以完全安全拜訪其他網(wǎng)絡(luò)，而無需區(qū)分已授權(quán)或者未授權(quán)?？刂凭W(wǎng)絡(luò)中數(shù)據(jù)

流動有很多種方式，其中之一是使用拜訪控制列表（通常稱作ACL,accesscontrol

list）oACL高效、易于配置，在H3c設(shè)備中易于部署和實現(xiàn)。⑸

（2）同一個子網(wǎng)內(nèi)PVLAN的應(yīng)用

PVLAN即私有VLAN（PrivateVLAN）,PVLAN采用兩層VLAN隔離技術(shù)，

只有上層VLAN全局可見，下層VLAN相互隔離。如果將交換機(jī)設(shè)備的每個端

口化為一個（下層）VLAN,則實現(xiàn)了所有端口的隔離。PVLAN通常用于企業(yè)

內(nèi)部網(wǎng)，用來防止連接到某些接口或接口組的網(wǎng)絡(luò)設(shè)備之間的相互通信，但卻答

應(yīng)與默認(rèn)網(wǎng)關(guān)進(jìn)行通信。盡管各設(shè)備處于不同的PVLAN中，它們可以使用相同

的IP子網(wǎng)，從而大大減少了IP地址的損耗，也防止了同一個子網(wǎng)內(nèi)主機(jī)的相互

攻擊。⑹

（3）網(wǎng)關(guān)冗余備份機(jī)制

VRRP（VirtualRouterRedundancyProtocol,虛擬路由冗余協(xié)議）是一種網(wǎng)

關(guān)冗余備份協(xié)議。通常，一個網(wǎng)絡(luò)內(nèi)的所有主機(jī)都設(shè)置一條缺省路由，這樣，主

機(jī)發(fā)出的目的地址不在本網(wǎng)段的報文將被通過缺省路由發(fā)往網(wǎng)關(guān)，從而實現(xiàn)了主

機(jī)與外部網(wǎng)絡(luò)的通信。當(dāng)網(wǎng)關(guān)斷掉時，本網(wǎng)段內(nèi)所有主機(jī)將斷掉與外部的通信。

VRRP就是為解決上述問題而提出的。使用VRRP,可以通過手動或DHCP設(shè)

定一個虛擬IP地址作為默認(rèn)路由器。虛擬IP地址在路由器間共享，其中一個

指定為主路由器而其它的則為備份路由器。如果主路由器不可用，這個虛擬IP

地址就會映射到一個備份路由器的IP地址（這個備份路由器就成為主路由器）。

17J

GLBP（GatewayLoadBanancingProtocol網(wǎng)關(guān)負(fù)載均衡協(xié)議）,和VRRP

不同的是，GLBP不僅提供冗余網(wǎng)關(guān)，還在各網(wǎng)關(guān)之間提供負(fù)載均衡，而HRSP、

VRRP都必須選定一個活動路由器，而備用路由器則處于閑置狀態(tài)，這會導(dǎo)致資

源一定程度的浪費。和HRSP不同的是，GLBP可以綁定多個MAC地址到虛擬

IP,從而答應(yīng)客戶端挑選不同的路由器作為其默認(rèn)網(wǎng)關(guān)，而網(wǎng)關(guān)地址仍使用相同

的虛擬IP,從而實現(xiàn)一定的冗余和負(fù)載均衡。

以上兩種協(xié)議不僅可以在H3C網(wǎng)絡(luò)設(shè)備使用，也可以在其它廠商的網(wǎng)絡(luò)設(shè)

備中使用。

1.2.2遠(yuǎn)程接入和邊界安全

遠(yuǎn)程接入是直接接入到網(wǎng)絡(luò)系統(tǒng)內(nèi)部，而接入控制器也往往處于網(wǎng)絡(luò)系統(tǒng)的

邊界部分。因此邊界安全成為應(yīng)對外部威逼和攻擊面對的第一道防線。⑻

(1)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)

網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,NetworkAddressTranslation)屬接入廣域網(wǎng)(WAN)技術(shù),

是一種將私有(保留)地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各種類

型Internet接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡單，隨著接入Internet的運

算機(jī)數(shù)量的不斷猛增，IP地址資源也就愈加顯得捉襟見肘。NAT不僅完美地解

決了］P地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并

保護(hù)網(wǎng)絡(luò)內(nèi)部的運算機(jī)。雖然NAT可以借助于某些代理服務(wù)器來實現(xiàn)，但考慮

到運算成本和網(wǎng)絡(luò)性能，很多時候都是在H3C路由器上來實現(xiàn)的。

(2)H3C硬件防火墻

防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專

用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說

法，使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)(SecurityGateway),從而保

護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)拜訪規(guī)則、驗證工具、包過濾

和應(yīng)用網(wǎng)關(guān)4個部分組成。⑼

(3)H3c入侵檢測系統(tǒng)(IPS)

雖然防火墻可以根據(jù)IP地址和服務(wù)端口過濾數(shù)據(jù)包，但它對于利用合法地

址和端口而從事的破壞活動則無能為力，防火墻主要在第二到第四層起作用，很

少深入到第四層到第七層去檢查數(shù)據(jù)包。入侵預(yù)防系統(tǒng)也像入侵偵查系統(tǒng)一樣，

專門深入網(wǎng)路數(shù)據(jù)內(nèi)部，查找它所認(rèn)識的攻擊代碼特點，過濾有害數(shù)據(jù)流，丟棄

有害數(shù)據(jù)包，并進(jìn)行記載，以便事后分析。除此之外，更重要的是，大多數(shù)入侵

預(yù)防系統(tǒng)同時結(jié)合考慮應(yīng)用程序或網(wǎng)路傳輸重的非常情形，來輔助識別入侵和攻

+(101

mo

(4)遠(yuǎn)程接入VPN應(yīng)用

虛擬專用網(wǎng)(VPN)被定義為通過一個公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個

暫時的、安全的連接，是一條穿過紛亂的公用網(wǎng)絡(luò)的安全、穩(wěn)固的隧道。虛擬專

用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商

業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。

虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可

用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙

伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。VPN主要采用隧道技術(shù)、加解密技術(shù)、密

鑰治理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)保證網(wǎng)絡(luò)安全。⑵

1.2.3身份安全和拜訪治理

一種拜訪治理的解決方案是建立一個基于策略的執(zhí)行模型，確保用戶有一種

安全的治理模型。針對網(wǎng)絡(luò)中所有設(shè)備與服務(wù)，這種治理模型的安全性可為用戶

提供基于策略的拜訪控制、審計、報表功能，使系統(tǒng)治理員可以實施基于用戶的

私密性和安全策略。身份安全和拜訪治理處于首要層面。,⑶

(1)AAA認(rèn)證

AAA,認(rèn)證(Authentication)：驗證用戶的身份與可使用的網(wǎng)絡(luò)服務(wù);授權(quán)

(Authorizat沁n)：依據(jù)認(rèn)證結(jié)果開放網(wǎng)絡(luò)服務(wù)給用戶;計帳(Accounting)：記錄用戶

對各種網(wǎng)絡(luò)服務(wù)的用量，并提供給計費系統(tǒng)；整個系統(tǒng)在網(wǎng)絡(luò)治理與安全問題中

十分有效。此項功能可以結(jié)合TACACS+服務(wù)器實現(xiàn)。

(2)IEEE802.1X

802.lx協(xié)議是基于Client/server的拜訪控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授

權(quán)的用戶/設(shè)備通過接入端Dgccessport)拜訪LAN/WLAN。在獲得交換機(jī)或LAN

提供的各種業(yè)務(wù)之前，802.lx對連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在

認(rèn)證通過之前，802.1X只答應(yīng)EAPoL(基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)數(shù)據(jù)通過

設(shè)備連接的交換機(jī)端口；認(rèn)證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。

(3)網(wǎng)絡(luò)準(zhǔn)入控制(NAC)

網(wǎng)絡(luò)準(zhǔn)入控制(NetworkAccesscontrol,NAC)是一項由思科發(fā)起、多家廠商

參加的計一劃，其宗旨是防止病毒和蠕蟲等新興黑客技術(shù)對企業(yè)安全造成危害。借

助NAC,客戶可以只答應(yīng)合法的、值得信任的端點設(shè)備(例如Pc、服務(wù)器、PDA)

接入網(wǎng)絡(luò)，而不答應(yīng)其它設(shè)備接人。在初始階段，當(dāng)端點設(shè)備進(jìn)入網(wǎng)絡(luò)時，NAC

能夠幫助治理員實施拜訪權(quán)限。此項決策可以根據(jù)端點設(shè)備的信息制定，例如設(shè)

備的當(dāng)前防病毒狀況以及操作系統(tǒng)補(bǔ)丁等。,⑸

(4)設(shè)備安全策略

H3C設(shè)備，如路由器、交換機(jī)、防火墻和VPN集中器等都是網(wǎng)絡(luò)的組成部

分，確保這些設(shè)備的安全是整體網(wǎng)絡(luò)安全策略的一個重要組成部分。物理安全要

考慮網(wǎng)絡(luò)拓?fù)湓O(shè)計冗余、設(shè)備的安全位置、介質(zhì)、電力供應(yīng)等安全因素。對設(shè)備

進(jìn)行拜訪時，必須采用密碼或者RSA認(rèn)證，對遠(yuǎn)程拜訪采用更加安全的SSH協(xié)

議，針對不同的用戶級別，設(shè)定不同的優(yōu)先級等級。'⑹

1.2.4路由安全

為了有一個安全的網(wǎng)絡(luò)，將安全作為網(wǎng)絡(luò)中流量怎樣流動的一部分是根本。

因為路由協(xié)議決定流量在網(wǎng)絡(luò)中是怎樣流動的，所以確保以一種與網(wǎng)絡(luò)的安全需

要相一致的方法挑選和實現(xiàn)路由協(xié)議很關(guān)鍵。

(1)操縱路由挑選更新

操作路由挑選更新的常用方法是路由分發(fā)列表，如果想進(jìn)行更細(xì)致的調(diào)劑可

以設(shè)置相應(yīng)的路由更新策略。當(dāng)網(wǎng)絡(luò)中有兩種不同的路由協(xié)議時，可以采用上述

策略。其它控制或防止生成動態(tài)路由挑選更新的方法主要有：被動接口，默認(rèn)和

靜態(tài)路由，操縱治理距離。

(2)OSPF路由協(xié)議安全

OSPF是一個被廣泛使用的內(nèi)部網(wǎng)關(guān)路由協(xié)議。通過對路由器進(jìn)行身份驗證,

可避免路由器收到偽造的路由更新。使用回環(huán)接口作為路由器ID是OSPF網(wǎng)絡(luò)

用以確保穩(wěn)固性并從而確保安全的一個重要技術(shù)。針對區(qū)域的不同功能設(shè)定不同

的區(qū)域類型。

(3)BGP路由協(xié)議安全

BGP是運行在當(dāng)今Internet上大部分相互域間路由的路由協(xié)議，大型網(wǎng)絡(luò)比

較常見。雖然，目前國內(nèi)除運營商外大多數(shù)企業(yè)網(wǎng)絡(luò)挑選內(nèi)部網(wǎng)關(guān)協(xié)議，然而對

于有多條ISP鏈路的企業(yè)，邊界采用BGP對網(wǎng)絡(luò)還是很有優(yōu)勢的。BGP通常采

用對等體認(rèn)證，路由過濾，路由抑制等手段來保證協(xié)議的安全性。

1.3研究內(nèi)容和擬解決的問題

論文通過對目前網(wǎng)絡(luò)存在的安全問題進(jìn)行分析，針對各種安全漏洞制定相應(yīng)

的安全解決方案。

局域網(wǎng)安全部分，解決接入層子網(wǎng)的劃分，如何控制廣播風(fēng)暴，防止物理鏈

路失效，網(wǎng)關(guān)的冗余備份。

邊界安全方面，包括隱藏內(nèi)部地址，控制部分網(wǎng)段的拜訪，遠(yuǎn)程登錄。

身份認(rèn)證方面，保證對交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備的安全拜訪的身份認(rèn)證、

授權(quán)和統(tǒng)計，合法用戶安全接入網(wǎng)絡(luò)。

路由安全方面，如何對不同的路由協(xié)議采用安全認(rèn)證，針對不同的網(wǎng)絡(luò)區(qū)域

過濾不必要的路由更新。

另外針對目前主流的網(wǎng)絡(luò)攻擊行為，采用不同的安全技術(shù)對其進(jìn)行防備和反

偵察。

1.4結(jié)語

網(wǎng)絡(luò)安全技術(shù)是一個永恒的，綜合性的課題，并不是我們的網(wǎng)絡(luò)采用了相關(guān)

的防范技術(shù)，就不用考慮網(wǎng)絡(luò)安全因素了，一種安全技術(shù)只能解決一方面的問題,

而不是萬能的。

新型的攻擊手段總在不斷地涌現(xiàn)，最好的防范措施就是運算機(jī)網(wǎng)絡(luò)安全人員的安

全意識。運算機(jī)操作人員需要不斷學(xué)習(xí)，不斷積存體會，提高運算機(jī)網(wǎng)絡(luò)水平，

這才是提高我們運算機(jī)網(wǎng)絡(luò)安全最重要的安全措施。,⑺

2網(wǎng)絡(luò)安全概述

隨著網(wǎng)絡(luò)規(guī)模以指數(shù)形式增長，網(wǎng)絡(luò)變得越來越復(fù)雜，承擔(dān)的任務(wù)越來越關(guān)

鍵，給運營和治理網(wǎng)絡(luò)的人們帶來了新的挑。很明顯需要包括語音、視頻和數(shù)據(jù)

（全能）服務(wù)的綜合網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)，但是這些快速發(fā)展的技術(shù)引發(fā)了新的安

全問題。因此網(wǎng)絡(luò)治理員竭盡所能在網(wǎng)絡(luò)基礎(chǔ)設(shè)施里添加最新的技術(shù)，在構(gòu)建和

保護(hù)當(dāng)今高速增長的網(wǎng)絡(luò)方面，網(wǎng)絡(luò)安全扮演了舉足輕重的角色。本章對當(dāng)今快

速變化網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)安全進(jìn)行了廣泛描述。網(wǎng)絡(luò)中最為常見的拓?fù)浣Y(jié)構(gòu)就是

如圖2.1所示的三層網(wǎng)絡(luò)拓?fù)鋱D。

圖2.1三層網(wǎng)絡(luò)結(jié)構(gòu)圖

2.1網(wǎng)絡(luò)安全的基本概念

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶

然的或者惡意的原因而遭受到破壞、更換、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)

絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從廣義來說，

凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)

和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。

2.2網(wǎng)絡(luò)安全的特點

網(wǎng)絡(luò)安全應(yīng)具有以下五個方面的特點：

保密性：信息不泄露給非授權(quán)用戶、實體或過程，或供其利用的特性。

完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在儲備或傳輸過

程中保持不被修改、不被破壞和丟失的特性。

可用性：可被授權(quán)實體拜訪并按需求使用的特性。即當(dāng)需要時能否存

取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運

行等都屬于對可用性的攻擊。

可控性：對信息的傳播及內(nèi)容具有控制能力。

可審查性：顯現(xiàn)的安全問題時提供依據(jù)與手段。

從網(wǎng)絡(luò)運行和治理者角度說，他們期望對本地網(wǎng)絡(luò)信息的拜訪、讀寫

等操作受到保護(hù)和控制，避免顯現(xiàn)“陷門”、病毒、非法存取、拒絕服務(wù)和網(wǎng)

絡(luò)資源非法占用和非法控制等威逼，禁止和防備網(wǎng)絡(luò)黑客的攻擊。對安全

保密部門來說，他們期望對非法的、有害的或涉及國家秘密的信息進(jìn)行過

濾和防堵，避免機(jī)要信息泄露，避免對社會產(chǎn)生危害，對國家造成龐大缺

失。從社會教育和意識形狀角度來講，網(wǎng)絡(luò)上不健康的內(nèi)容，會對社會的

穩(wěn)固和人類的發(fā)展造成阻礙，必須對其進(jìn)行控制。

2.3網(wǎng)絡(luò)安全策略

運算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全治理主要是配合行政手段，制定有關(guān)網(wǎng)絡(luò)安全

治理的規(guī)章制度，在技術(shù)上實現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全治理，確保網(wǎng)絡(luò)系統(tǒng)的安

全、可靠地運行，主要涉及以下四個方面：

2.3.1網(wǎng)絡(luò)物理安全策略

運算機(jī)網(wǎng)絡(luò)系統(tǒng)物理安全策略的目的是保護(hù)運算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、

網(wǎng)絡(luò)用戶終端機(jī)、打印機(jī)等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞

和攻擊；驗證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保運算機(jī)網(wǎng)

絡(luò)系統(tǒng)有一個良好的工作環(huán)境；建立完備的安全治理制度，防止非法進(jìn)入

運算機(jī)網(wǎng)絡(luò)系統(tǒng)控制室和網(wǎng)絡(luò)黑客的各種破壞活動。

2.3.2網(wǎng)絡(luò)拜訪控制策略

拜訪控制策略是運算機(jī)網(wǎng)絡(luò)系統(tǒng)安全防范和保護(hù)的主要策略，它的主

要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常規(guī)拜訪。它也是保護(hù)網(wǎng)絡(luò)系統(tǒng)

安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。各種網(wǎng)絡(luò)安全策略必須相互配合才能真

正起到保護(hù)作用，所以網(wǎng)絡(luò)拜訪控制策略是保證網(wǎng)絡(luò)安全最重要的核心策

略之一。

2.3.3網(wǎng)絡(luò)信息加密策略

信息加密策略主要是保護(hù)運算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)的數(shù)據(jù)、文件、口令和控制

信息等網(wǎng)絡(luò)資源的安全。

2.3.4網(wǎng)絡(luò)安全治理策略

在運算機(jī)網(wǎng)絡(luò)系統(tǒng)安全策略中，不僅需要采取網(wǎng)絡(luò)技術(shù)措施保護(hù)網(wǎng)絡(luò)安

全，還必須加強(qiáng)網(wǎng)絡(luò)的行政安全治理，制定有關(guān)網(wǎng)絡(luò)使用的規(guī)章制度，對

于確保運算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全、可靠地運行，將會起到十分有效的作用。

運算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全治理策略包括：確定網(wǎng)絡(luò)安全治理等級和安全治理

范疇；制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房治理制度；制定網(wǎng)絡(luò)系

統(tǒng)的治理保護(hù)制度和應(yīng)急措施等等。

3局域網(wǎng)安全

3.1基于H3C系列交換機(jī)VLAN的應(yīng)用

VLAN技術(shù)的顯現(xiàn)，主要為了解決交換機(jī)在進(jìn)行局域網(wǎng)互連時無法限

制廣播的問題。這種技術(shù)可以把一個LAN劃分成多個邏輯的LAN即VLAN,

每個VLAN是一個廣播域，VLAN內(nèi)的主機(jī)間通信就和在一個LAN內(nèi)一樣，

而VLAN間則不能直接互通，這樣，廣播報文被限制在一個VLAN內(nèi)，從

而最大程度的減少了廣播風(fēng)暴的影響。

VLAN可以增強(qiáng)局域網(wǎng)的安全性，含有敏銳數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的

其余部分隔離，從而降低泄露秘密信息的可能性。不同VLAN內(nèi)的報文在

傳輸時是相互隔離的，即一個VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶

直接通信，如果不同VLAN要進(jìn)行通信，則需要通過路由器或三層交換機(jī)

等三層設(shè)備，如圖3.1。

方法:

1、基于端口的VLAN劃分

這種劃分是把一個或多個交換機(jī)上的幾個端口劃分一個邏輯組，這是最

簡單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)治理員對網(wǎng)絡(luò)設(shè)備的交換端口

進(jìn)行重新分配即可，不用考慮該端口所連接的設(shè)備。

2、基于MAC地址的VLAN劃分

MAC地址其實就是指網(wǎng)卡的標(biāo)識符，每一塊網(wǎng)卡的MAC地址都是惟

一且固化在網(wǎng)卡上的。MAC地址由12位16進(jìn)制數(shù)表示，前6位為網(wǎng)卡的

廠商標(biāo)識（OUI）,后6位為網(wǎng)卡標(biāo)識（NIC）。網(wǎng)絡(luò)治理員可按MAC地址

把一些站點劃分為一個邏輯子網(wǎng)。

3、基于路由的VLAN劃分

路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機(jī)（即

三層交換機(jī)）。該方式答應(yīng)一個VLAN跨過多個交換機(jī)，或一個端口位于多

個VLAN中。就目前來說，對于VLAN的劃分主要采取上述第1、3種方

式，第2種方式為輔助性的方案。

H3C低端系列以太網(wǎng)交換機(jī)支持的以太網(wǎng)端口鏈路類型有三種：

■Access類型：端口只能屬于1個VLAN,一樣用于連接運算機(jī)；

■Trunk類型：端口可以屬于多個VLAN,可以接收和發(fā)送多個VLAN的

報文，一樣用于交換機(jī)之間的連接；

■Hybrid類型：端口可以屬于多個VLAN,可以接收和發(fā)送多個VLAN的

報文，可以用于交換機(jī)之間連接，也可以用于連接用戶的運算機(jī)。

交換機(jī)與工作站之間的連接接口配置為Access,交換機(jī)和交換機(jī)之間

的連接一樣采用Trunk端口，協(xié)議采用802.1q(ISL為cisco專用協(xié)議)。

3.2基于VLAN的PVLAN技術(shù)的應(yīng)用

傳統(tǒng)的VLAN固然有隔離廣播風(fēng)暴，增強(qiáng)局域網(wǎng)內(nèi)部安全性等好處，

然而不可避免的有以下幾個方面的局限性：

(1)VLAN的限制：交換機(jī)固有的VLAN數(shù)目的限制；

(2)復(fù)雜的STP：對于每個VLAN,每個相關(guān)的SpanningTree的拓?fù)涠?/p>

需要治理；

(3)IP地址的緊缺：IP子網(wǎng)的劃分勢必造成一些IP地址的浪費；

(4)路由的限制：每個子網(wǎng)都需要相應(yīng)的默認(rèn)網(wǎng)關(guān)的配置。

現(xiàn)在有了一種新的VLAN機(jī)制，所有服務(wù)器在同一個子網(wǎng)中，但服務(wù)

器只能與自己的默認(rèn)網(wǎng)關(guān)通信。這一新的VLAN特性就是專用VLAN

(PrivateVLAN)0在PrivateVLAN的概念中，交換機(jī)端口有三種類型：

Isolatedport,Communityport,Promiscuousport；它們分別對應(yīng)不同的VLAN

類型：Isolatedport屬于IsolatedPVLAN,Communityport屬于

CommunityPVLAN,而代表一個PrivateVLAN整體的是PrimaryVLAN,

前面兩類VLAN需要和它綁定在一起，同時它還包括Promiscuousport。在

IsolatedPVLAN中，Isolatedport只能和Promiscuousport通信，彼此不能

交換流量；在CommunityPVLAN中Communityport不僅可以和

Promiscuousport通信，而且彼此也可以交換流量。Promiscuousport與路由

器或第3層交換機(jī)接口相連，它收到的流量可以發(fā)往Isolatedport和

Communityporto

PVLAN的應(yīng)用對于保證接入網(wǎng)絡(luò)的數(shù)據(jù)通信的安全性是非常有效的，

用戶只需與自己的默認(rèn)網(wǎng)關(guān)連接，一個PVLAN不需要多個VLAN和IP子網(wǎng)就

提供了具備第2層數(shù)據(jù)通信安全性的連接，所有的用戶都接入PVLAN,從而

實現(xiàn)了所有用戶與默認(rèn)網(wǎng)關(guān)的連接，而與PVLAN內(nèi)的其他用戶沒有任何拜

訪。PVLAN功能可以保證同一個VLAN中的各個端口相互之間不能通信，

但可以穿過Trunk端口。這樣即使同一VLAN中的用戶，相互之間也不會受

到廣播的影響。

目前很多廠商生產(chǎn)的交換機(jī)支持PVLAN技術(shù)，PVLAN技術(shù)在解決通

信安全、防止廣播風(fēng)暴和浪費IP地址方面的優(yōu)勢是顯而易見的，而且采用

PVLAN技術(shù)有助于網(wǎng)絡(luò)的優(yōu)化，再加上PVLAN在交換機(jī)上的配置也相對簡

單，PVLAN技術(shù)越來越得到網(wǎng)絡(luò)治理人員的青睞。

3.3利用GVRP協(xié)議來治理VLAN

通過使用GVRP,可以使同一局域網(wǎng)內(nèi)的交換機(jī)接收來自其它交換機(jī)

的VLAN注冊信息，并動態(tài)更新本地的VLAN注冊信息，包括：當(dāng)前的

VLAN、配置版本號、這些VLAN可以通過哪個端口到達(dá)等。而且設(shè)備能

夠?qū)⒈镜氐腣LAN注冊信息向其它設(shè)備傳播，使同一局域網(wǎng)內(nèi)所有設(shè)備的

VLAN信息達(dá)成一致，減少由人工配置帶來的錯誤的可能性。對GVRP不熟

悉的朋友，可以參考CISCO的VTP協(xié)議，兩者大同小異。如圖3-2：

圖3-2GVRP組網(wǎng)示意圖

SwitchC靜態(tài)配置了VLAN5,SwitchD靜態(tài)配置了vlan8,SwitchE靜

態(tài)配置了VLAN5和VLAN7,SwitchA和SwitchB開啟了全局和端口的GVRP

功能，這樣可以動態(tài)學(xué)習(xí)到VLAN5,VLAN7,VLAN8。端口有兩種注冊模式，

一種是fixed,即禁止端口動態(tài)注冊VLAN,僅答應(yīng)本地創(chuàng)建的VLAN向外

傳播；另一種注冊模式為forbidden,即禁止端口動態(tài)注冊VLAN,僅答應(yīng)缺

省VLAN1向外傳播。

3.4H3C交換機(jī)設(shè)備之間的端口匯聚

端口匯聚是將多個以太網(wǎng)端口匯聚在一起形成一個邏輯上的匯聚組，

使用匯聚服務(wù)的上層實體把同一匯聚組內(nèi)的多條物理鏈路視為一條邏輯鏈

路。將多個物理鏈路捆綁在一起后，不但提升了整個網(wǎng)絡(luò)的帶寬，而且數(shù)

據(jù)還可以同時經(jīng)由被綁定的多個物理鏈路傳輸，具有鏈路冗余的作用，在

網(wǎng)絡(luò)顯現(xiàn)故障或其他原因斷開其中一條或多條鏈路時，剩下的鏈路還可以

工作。這樣，同一匯聚組的各個成員端口之間彼此動態(tài)備份，提高了連接

可靠性，增強(qiáng)了負(fù)載均衡的能力。

SwitchA

Linkaggregation--------K

SwitchB

圖3.3以太網(wǎng)端口匯聚配置示例圖

對于H3c的交換機(jī)設(shè)備做端口匯聚時，必須注意以下幾點：

■做端口匯聚時，H3c交換機(jī)最多可以包括8個端口，這些端口不必

是連續(xù)分布的，也不必位于相同的模塊中；至于有幾個匯聚組則

視交換機(jī)的類型而定。

■一個匯聚組內(nèi)的所有端口必須使用相同的協(xié)議如LACP。

■一個匯聚組內(nèi)的端口必須有相同的速度和雙工模式。

■一個端口不能再相同時間內(nèi)屬于多個匯聚組。

■一個匯聚組內(nèi)的所有端口都必須配置到相同的接入VLAN中。

3.5啟用端口鏡像對流量進(jìn)行監(jiān)控

由于部署IDS和IPS等產(chǎn)品需要監(jiān)聽網(wǎng)絡(luò)流量（網(wǎng)絡(luò)分析儀同樣也需

要），但是在目前廣泛采用的交換網(wǎng)絡(luò)中監(jiān)聽所有流量有相當(dāng)大的困難，因

此需要通過配置交換機(jī)來把一個或多個端口（VLAN）的數(shù)據(jù)轉(zhuǎn)發(fā)到某一個

端口來實現(xiàn)對網(wǎng)絡(luò)的監(jiān)聽，這樣就產(chǎn)生了端口鏡像。端口鏡像（portMirroring）

分為本地端口鏡像和遠(yuǎn)程端口鏡像兩種。

本地端口鏡像是指將設(shè)備的一個或多個端口（源端口）的報文復(fù)制到

本地設(shè)備的一個監(jiān)視端口（目的端口），用于報文的分析和監(jiān)視。其中，源

端口和目的端口必須在同一臺設(shè)備上。如圖3.4：SwitchC的端口￡1/0/3可以

把端口研發(fā)部所連得端DEl/O/l和市場部連接的E1/0/2端口的流量復(fù)制過來,

然后交給數(shù)據(jù)檢測設(shè)備分析，從而可以對危險流量進(jìn)行隔離和控制。

研發(fā)部SwitchA

Eth1/0/1

Eth1/0/3

E由段只

/SwitchC

數(shù)據(jù)監(jiān)測設(shè)備

市場部SwitchB

圖3.4本地端口鏡像實例圖

遠(yuǎn)程端口鏡像突破了源端口和目的端口必須在同一臺設(shè)備上的限制，使源

端口和目的端口可以跨過網(wǎng)絡(luò)中的多個設(shè)備，從而方便網(wǎng)絡(luò)治理人員對遠(yuǎn)

程設(shè)備上的流量進(jìn)行監(jiān)控。為了實現(xiàn)遠(yuǎn)程端口鏡像功能，需要定義一個特

另I」的VLAN,稱之為遠(yuǎn)程鏡像VLAN(Remote-probeVLAN)。所有被鏡像的

報文通過該VLAN從源交換機(jī)的反射口傳遞到目的交換機(jī)的鏡像端口，實現(xiàn)

在目的交換機(jī)上對源交換機(jī)端口收發(fā)的報文進(jìn)行監(jiān)控的功能。遠(yuǎn)程端口鏡

像的應(yīng)用示意圖如圖3.5所示。對部門1和部門2的流量進(jìn)行監(jiān)控，SwitchA

為源交換機(jī)：被監(jiān)控的端口所在的交換機(jī)，負(fù)責(zé)將鏡像流量復(fù)制到反射端

口，然后通過遠(yuǎn)程鏡像VLAN傳輸給中間交換機(jī)或目的交換機(jī)；SwitchB

為中間交換機(jī)：網(wǎng)絡(luò)中處于源交換機(jī)和目的交換機(jī)之間的交換機(jī)，通過遠(yuǎn)

程鏡像VLAN把鏡像流量傳輸給下一個中間交換機(jī)或目的交換機(jī)，如果源

交換機(jī)與目的交換機(jī)直接相連，則不存在中間交換機(jī)；SwitchC為目的交換

機(jī)：遠(yuǎn)程鏡像目的端口所在的交換機(jī)，將從遠(yuǎn)程鏡像VLAN接收到的鏡像

流量通過鏡像目的端口轉(zhuǎn)發(fā)給監(jiān)控設(shè)備。

SwitchASwitchBSwitchC

部門1部門2數(shù)據(jù)監(jiān)測設(shè)備

圖3.5遠(yuǎn)程端口鏡像實例圖

3.6構(gòu)建安全的STP生成樹體系

STP協(xié)議最主要的應(yīng)用是為了避免局域網(wǎng)中的網(wǎng)絡(luò)環(huán)回，解決以太網(wǎng)網(wǎng)

絡(luò)的“廣播風(fēng)暴”問題，從某種意義上說是一種網(wǎng)絡(luò)保護(hù)技術(shù)，可以排除由于

失誤或者意外帶來的循環(huán)連接，各大交換機(jī)設(shè)備廠商默認(rèn)開啟STP協(xié)議。

H3c交換機(jī)支持的生成樹協(xié)議有三種類型，分別是STP(IEEE802.1D)、RSTP

(IEEE802.1W)和MSTP(IEEE802.1S),這三種類型的生成樹協(xié)議均按照

標(biāo)準(zhǔn)協(xié)議的規(guī)定實現(xiàn)，采用標(biāo)準(zhǔn)的生成樹協(xié)議報文格式。

■手動指定根網(wǎng)橋

不要讓STP來決定選舉哪臺交換機(jī)為根網(wǎng)橋。對于每個VLAN,您通常

可以確定哪臺交換機(jī)最適合用做根網(wǎng)橋。哪臺交換機(jī)最適合用做根網(wǎng)橋取

決于網(wǎng)絡(luò)設(shè)計，一樣而言，應(yīng)挑選位于網(wǎng)絡(luò)中央的功能強(qiáng)大的交換機(jī)。如

果讓根網(wǎng)橋位于網(wǎng)絡(luò)中央，并直接連接到多臺服務(wù)器和路由器，通常可縮

短客戶端到服務(wù)器和路由器的距離。對于VLAN,靜態(tài)地指定要用做根網(wǎng)橋

和備用(輔助)根網(wǎng)橋的交換機(jī)。

■多層交換體系中部署MSTP

MSTP(MultiPieSpanningTreeProtocol)是把IEEE802.1w的快速生成

樹(RST)算法擴(kuò)展而得到的，體現(xiàn)的是將多個VLAN映射到一個生成樹實

例的能力。STP不能遷移，RSTP可以快速收斂，但和STP一樣不能按VLAN

阻塞冗余鏈路，所有VLAN的報文都按一顆生成樹進(jìn)行轉(zhuǎn)發(fā)。

MSTP兼容STP和RSTP,從而補(bǔ)償STP和RSTP的缺陷，不但可以快速收

斂，同時還提供了數(shù)據(jù)轉(zhuǎn)發(fā)的多個冗余路徑，使不同VLAN的流量沿各自

的路徑分發(fā)，在數(shù)據(jù)轉(zhuǎn)發(fā)過程中實現(xiàn)VLAN數(shù)據(jù)的負(fù)載均衡，使設(shè)備的利

用率達(dá)到最高。

VLAN所屬實例

VLAN10MSTI1

VLAN20MSTIO

VLAN30MSTI3

VLAN40MSTI4

圖3.6MST配置組網(wǎng)圖

圖3.6所示：網(wǎng)絡(luò)中所有交換機(jī)屬于同一個MST域；VLAN10的報文

沿著實例1轉(zhuǎn)發(fā)，VLAN30沿著實例3轉(zhuǎn)發(fā)，VLAN40沿著實例4轉(zhuǎn)發(fā),

VLAN20沿著實例0轉(zhuǎn)發(fā)；0中SwitchA和SwitchB為匯聚層設(shè)備，SwitchC

和SwitchD為接入層設(shè)備。VLAN10、VLAN30在匯聚層設(shè)備終結(jié)，VLAN

40在接入層設(shè)備終結(jié)，因此可以配置實例1和實例3的樹根分別為SwitchA

和SwitchB,實例4的樹根為SwitchC。

3.7多層交換體系中部署VRRP

隨著Internet的發(fā)展，人們對網(wǎng)絡(luò)可靠性，安全性的要求越來越高。對于

終端用戶來說，期望時時與網(wǎng)絡(luò)其他部分保持通信。VRRP（VirtualRouter

RedundancyProtocol,虛擬路由冗余協(xié)議）是一種容錯協(xié)議，它保證當(dāng)主機(jī)

的下一跳路由器失效時，可以及時由另一臺路由器代替，從而保持通信的

連續(xù)性和可靠性。Cisco系列交換機(jī)更多的采用思科廠商專用的HSRP（Hot

StandbyRouterProtocol,熱備份路由器協(xié)議）

為了使VRRP工作，要在路由器上配置虛擬路由器號和虛擬IP地址，同

時會產(chǎn)生一個虛擬MAC（00-00-5E-00-01-[VRID]）地址，這樣在這個網(wǎng)絡(luò)中就

加入了一個虛擬路由器。一個虛擬路由器由一個主路由器和若干個備份路

由器組成，主路由器實現(xiàn)真正的轉(zhuǎn)發(fā)功能。當(dāng)主路由器顯現(xiàn)故障時，一個

備份路由器將成為新的主路由器，接替它的工作，避免備份組內(nèi)的單臺或多

臺交換機(jī)發(fā)生故障而引起的通信中斷。

HostB

/24

圖3.7VRRP協(xié)議部署圖

圖3.7所示：主機(jī)A把交換機(jī)A和交換機(jī)B組成的VRRP備份組作為自己

的缺省網(wǎng)關(guān)，拜訪Internet上的主機(jī)B。備份組號可以自己設(shè)定；主路由是

交換機(jī)A還是交換機(jī)B,取決于兩者的優(yōu)先級，高的成為主路由，優(yōu)先級一

樣比較IP地址，誰的大誰是主路由，另外一臺作為備份路由；VRRP默認(rèn)搶

占開啟。

3.8IRF技術(shù)的應(yīng)用

IRF（IntelligentResilientFramework,智能彈性架構(gòu)）是H3c公司融合

高端交換機(jī)的技術(shù)，在中低端交換機(jī)上推出的創(chuàng)新性建設(shè)網(wǎng)絡(luò)核心的新技

術(shù)。它將幫助用戶設(shè)計和實施高可用性、高可擴(kuò)展性和高可靠性的千兆以

太網(wǎng)核心和匯聚主干。

在堆疊之前要先了解堆疊設(shè)備的規(guī)格，一個堆疊最多支持多少個設(shè)備，

或者最多支持多少個端口。在系統(tǒng)啟動時、新Unit加入時、merge時都會進(jìn)

行配置比較。配置比較時將以最小ID的Unit的配置作為參照基準(zhǔn)。比較結(jié)果

不同的Unit將把基準(zhǔn)配置儲存為暫時文件，然后重起。重起時將采用這個暫

時文件作為自己的配置。為增加堆疊的可靠性，盡量使用環(huán)形堆疊。IRF

設(shè)備堆疊端口相連時一定是UP端口和另一臺設(shè)備的DOWN端口相連。

圖3.7S58系列以太網(wǎng)交換機(jī)在企業(yè)網(wǎng)/園區(qū)網(wǎng)的應(yīng)用

在大中型企業(yè)或園區(qū)網(wǎng)中，S58系列以太網(wǎng)交換機(jī)作為大樓匯聚交換

機(jī)，通過IRF智能彈性架構(gòu)將多臺匯聚交換機(jī)虛擬為一臺邏輯設(shè)備，從而簡

化治理保護(hù)，實現(xiàn)彈性擴(kuò)展。此外H3c的開發(fā)業(yè)務(wù)架構(gòu)也可以使S58系列交

換機(jī)集成防火墻模塊，提高網(wǎng)絡(luò)安全性，而在集成了無線控制器模塊以后，

可以集中配置治理無線接入點，從而使S58系列交換機(jī)提供一套完整的有線

無線一體化的解決方案。

4邊界網(wǎng)絡(luò)安全

網(wǎng)絡(luò)邊界就是網(wǎng)絡(luò)的大門，大門的安全防護(hù)是網(wǎng)絡(luò)安全的基礎(chǔ)需求。

隨著網(wǎng)絡(luò)的日益復(fù)雜，域邊界的概念逐步替代了網(wǎng)絡(luò)邊界，邊界成了網(wǎng)絡(luò)

安全區(qū)域之間安全控制的基本點。黑客攻擊與廠家防護(hù)技術(shù)都會最先顯現(xiàn)

在這里，然后在對抗中逐步完善與成熟起來。在本文中，邊界安全主要是

指企業(yè)網(wǎng)在互聯(lián)網(wǎng)接入這部分。

對邊界進(jìn)行安全防護(hù)，第一必須明確哪些網(wǎng)絡(luò)邊界需要防護(hù)，這可以

通過安全分區(qū)設(shè)計來確定。定義安全分區(qū)的原則就是第一需要根據(jù)業(yè)務(wù)和

信息敏銳度定義安全資產(chǎn)，其次對安全資產(chǎn)定義安全策略和安全級別，對

于安全策略和級別相同的安全資產(chǎn)，就可以認(rèn)為屬于同一安全區(qū)域。根據(jù)

以上原則，H3c提出以下的安全分區(qū)設(shè)計模型，主要包括內(nèi)網(wǎng)辦公區(qū)、數(shù)據(jù)

中心區(qū)、外聯(lián)數(shù)據(jù)區(qū)、互聯(lián)網(wǎng)連接區(qū)、對外連接區(qū)、網(wǎng)絡(luò)治理區(qū)、廣域網(wǎng)

連接區(qū)等區(qū)域。

圖4.0H3c提出的安全分區(qū)設(shè)計模型

通過以上的分區(qū)設(shè)計和網(wǎng)絡(luò)現(xiàn)狀，H3c提出了以防火墻、VPN和應(yīng)用

層防備系統(tǒng)為支撐的深度邊界安全解決方案。

4.1NAT技術(shù)的應(yīng)用

NAT（NetworkAddressTranslation,網(wǎng)絡(luò)地址轉(zhuǎn)換）屬接入廣域網(wǎng)（WAN）

技術(shù),是一種將私有（保留）地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù),它被廣泛應(yīng)用

于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。NAT不僅完美地解決了1P

地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保

護(hù)網(wǎng)絡(luò)內(nèi)部的運算機(jī)。如圖4.1所示，運用NAT技術(shù)隱藏了局域網(wǎng)內(nèi)部的

17.LL0網(wǎng)段,在Internet網(wǎng)上顯示的是LLL0網(wǎng)段。

圖4.1NAT技術(shù)組網(wǎng)圖

NAT的實現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換StaticNat、動態(tài)轉(zhuǎn)換DynamicNat

和端口多路復(fù)用PAT。

靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對是

一對一的，是一成不變的，某個私有IP地址只轉(zhuǎn)換為某個公有IP地址。借助

于靜態(tài)轉(zhuǎn)換，可以實現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備（如服務(wù)器）的拜

訪。

動態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時，IP地址是

不確定的，是隨機(jī)的，所有被授權(quán)拜訪上Internet的私有IP地址可隨機(jī)轉(zhuǎn)換

為任何指定的合法IP地址。也就是說，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，

以及用哪些合法地址作為外部地址時，就可以進(jìn)行動態(tài)轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可

以使用多個合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的運

算機(jī)數(shù)量時。可以采用動態(tài)轉(zhuǎn)換的方式。

端口多路復(fù)用（PortaddressTranslation,PAT）是指改變外出數(shù)據(jù)包的源端

口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換（PAT,PortAddressTranslation）o采用

端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個合法外部IP地址實現(xiàn)

對Internet的拜訪，從而可以最大限度地節(jié)省IP地址資源。同時，又可隱藏

網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來自internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)

用最多的就是端口多路復(fù)用方式。

4.2ACL技術(shù)的應(yīng)用

ACL（AccessControlList,拜訪控制列表）在路由器中被廣泛采用，它

是一種基于包過濾的流控制技術(shù)。目前有兩種主要的ACL:標(biāo)準(zhǔn)ACL和擴(kuò)展

ACLo標(biāo)準(zhǔn)的ACL使用1-99以及1300-1999之間的數(shù)字作為表號，擴(kuò)展的

ACL使用100-199以及2000-2699之間的數(shù)字作為表號。

標(biāo)準(zhǔn)ACL可以阻止來自某一網(wǎng)絡(luò)的所有通信流量，或者答應(yīng)來自某一

特定網(wǎng)絡(luò)的所有通信流量，或者拒絕某一協(xié)議簇（比如IP）的所有通信流量。

如圖4.2所示,VLAN10可以拒絕VLAN11的所有拜訪流量。擴(kuò)展ACL比標(biāo)準(zhǔn)

ACL提供了更廣泛的控制范疇，擴(kuò)展IP拜訪控制列表比標(biāo)準(zhǔn)IP拜訪控制列表

具有更多的匹配項，包括協(xié)議類型、源地址、目的地址、源端口、