【正文】 的可能性。 Inter 是一個開放的、無控制機(jī)構(gòu)的網(wǎng)絡(luò)，黑客（ Hacker）經(jīng)常會侵入網(wǎng)絡(luò)中的計(jì)算機(jī)系統(tǒng)，或竊取機(jī)密數(shù)據(jù)和盜用特權(quán)，或破 壞重要數(shù)據(jù)，或使系統(tǒng)功能得不到充分發(fā)揮直至癱瘓。 關(guān)鍵詞 ： 安全； 虛擬局域網(wǎng)；虛擬專用網(wǎng) ； AAA 認(rèn)證。國際標(biāo)準(zhǔn)化組織將“計(jì)算機(jī)安全”定義為：“為數(shù)據(jù)處 理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。 【 摘 要 】 隨著 Inter 技術(shù)日趨成熟，已經(jīng)開始了從以提供和保證網(wǎng)絡(luò)聯(lián)通性為主要目標(biāo)的第一代 Inter技術(shù)向以提供網(wǎng)絡(luò)數(shù)據(jù)信息服務(wù)為特征的第二代 Inter技術(shù)的過渡。上述計(jì)算機(jī)安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護(hù)，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。 【 Abstract】 With Inter has already turned from the first generation the ,thousands of pany and governments realize the importance of Inter and take measures to build their own Network,so that extend the development of the makes the Inter transfer from the second generation to the third which feature’ s basis of Inter Standardization Organization is defined Computer security as:To set up data processing systems and the adoption of the technology and management of security protection,the protection of puter hardware,software,data is not due to accidental and malicious destruction of reasons,change and leakage.The above definition of puter security include physical security and logical security of both the contents of the contents of the logic may be understood to safety often said that our information security,information refers to the confidentiality,integrity and availability of protection,and work security the meaning of safety information are extended,that is,work security information on the work are confidentiality,integrity and availability work security as the specific meaning of the changes the user,the user is different from the understanding of work security and demands will be the ordinary user39。Inter 的數(shù)據(jù)傳輸是基于 TCP/IP 通信協(xié)議進(jìn)行的，這些協(xié)議缺乏使傳輸過程中的信息不被竊取的安全措施。使用電子郵件來傳輸重要機(jī)密信息會存在著很大的危險(xiǎn)。首先，在采用共享介質(zhì)的以太網(wǎng)中，所有結(jié)點(diǎn)位于同一個沖突域中，同時也位于同一個廣播域中，即一個結(jié)點(diǎn)向網(wǎng)絡(luò)中某些結(jié)點(diǎn)的廣播會被網(wǎng)絡(luò)中所有的結(jié)點(diǎn)所接收，造成很大的帶寬資源和主機(jī)處理能力的浪費(fèi)。這樣就建立了一個邏輯上虛擬的私有網(wǎng)絡(luò)。使用它技術(shù)可以解決在當(dāng)今遠(yuǎn)程通訊量日益增大，企業(yè)全球運(yùn)作廣泛分布的情況下，員工需要訪問中央資源，企業(yè)相互之間必須進(jìn)行及 時和有效的通訊的問題。首先，在采用共享介質(zhì)的以太網(wǎng)中，所有結(jié)點(diǎn)位于同一個沖突域中，同時也位于同一個廣播域中，即一個結(jié)點(diǎn)向網(wǎng)絡(luò)中某些結(jié) 點(diǎn)的廣播會被網(wǎng)絡(luò)中所有的結(jié)點(diǎn)所接收，造成很大的帶寬資源和主機(jī)處理能力的浪費(fèi)。第二，在傳統(tǒng)的以太網(wǎng)中，同一個物理網(wǎng)段中的結(jié)點(diǎn)也就是一個邏輯工作組，不同物理網(wǎng)段中的結(jié)點(diǎn)是不能直接相互 通信的。 VLAN 可以在一個交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。虛擬局域網(wǎng)其實(shí)只是局域網(wǎng)給用戶提供的一種服務(wù)，并不是一種新型局域網(wǎng)。這個功能的目標(biāo)就是建立一個動態(tài)的組織環(huán)境，當(dāng)然，這只是 一個遠(yuǎn)大的目標(biāo)，要實(shí)現(xiàn)它，還需要一些其他包括管理等方面的支持。 2. VTP 原理 VLAN 中繼協(xié)議（ VTP， VLAN TRUNKING PROTOCOL）是 CISCO 專用協(xié)議，大多數(shù)交換機(jī)都支持該協(xié)議． VTP 負(fù)責(zé)在 VTP 域內(nèi)同步 VLAN 信息，這樣就不必在每個交換上配置相同的 VLAN 信息，并且 可以很好的管理 VLAN。如果不能正確使用VTP 也是很危險(xiǎn)的。可以用 VTP管理網(wǎng)絡(luò)中 VLAN1到 1005。在同一管理域中的交換機(jī)共享它們的 VLAN 信息，并且，一個交換機(jī)只能參加到一個 VTP 管理域，不同域中的交換機(jī)不能共享 VTP 信息。 4． SVIVLAN 間路由 SVI（交換虛擬接口）是指為交換機(jī)中的 VLAN 創(chuàng)建虛擬接口，并且配置 IP地址。同時，當(dāng)部分端口聚合鏈路出現(xiàn)故障時，也不會導(dǎo)致連接中斷，其他鏈路將能夠不受影響地正常工作，從而增強(qiáng)了網(wǎng)絡(luò)的穩(wěn)定性和安全性。 熱備份路由協(xié)議 由于當(dāng)前網(wǎng)絡(luò)均采用 Cisco網(wǎng)絡(luò)設(shè)備，因此可以采用 Cisco的熱備份路由協(xié)議（ HSRP）實(shí)現(xiàn)路由冗余。假如這個主交換機(jī)在某個時候由于某種原因而無法正常工作的話，那么備份的交換機(jī)將被用來代替原來的主交畢業(yè)設(shè)計(jì)（論文） 5 換機(jī)，承擔(dān)數(shù)據(jù)包的轉(zhuǎn)發(fā)功能，而不會在對主機(jī)的連通性上產(chǎn)生大的故障。一般根據(jù)需要選擇部分配置作為交換機(jī)的實(shí)際配置并在主、備交換機(jī)上同時實(shí)現(xiàn)。 對于基于 TCP／ IP 的網(wǎng)絡(luò)， DHCP 減少了重新配置計(jì)算機(jī)所涉及的管理員的工作量和復(fù)雜性， 大大降低了 用于配置和重新配置網(wǎng)上計(jì)算機(jī)的時間。 DHCP 實(shí)現(xiàn)流程：（ 1） 在特定的時間內(nèi)將 IP 地址租用給 DHCP 客戶端，然后當(dāng)客戶端請求續(xù)訂時自動續(xù)訂 IP 地址。 （ 5） 為眾多子網(wǎng)提供 DHCP 服務(wù)（如果 DHCP 服務(wù)器和需要提供服務(wù)的子網(wǎng)之間的所有路由器都被配置成轉(zhuǎn)發(fā) DHCP 消息）。是一種生成樹（ SpanningTree） 協(xié)議問候數(shù)據(jù)包，它以可配置的間隔發(fā)出，用來在網(wǎng)絡(luò)的網(wǎng)畢業(yè)設(shè)計(jì)（論文） 6 橋間進(jìn)行信息交換。橋兩邊的網(wǎng)段分屬于不同的沖突域，但卻屬于同一個廣播域。它的工作原理是這樣的：生成樹協(xié)議定義了一個數(shù)據(jù)包，叫做橋協(xié)議數(shù)據(jù)單元 BPDU（ Bridge Protocol Data Unit）。在一個網(wǎng)絡(luò)里邊擁有最低橋 ID 的將變成一個根橋，全部的生成樹網(wǎng)絡(luò)里面只有一個根橋。 BPDU 包括 的信息叫做端口的 COST，網(wǎng)絡(luò)管理員分配端口的 COST 到所有的橋端口，當(dāng)根橋發(fā)送 BPDU 的時候，根橋設(shè)置它的端口值為零。在阻塞狀態(tài)，一個橋停止了轉(zhuǎn)發(fā)，但是它會繼續(xù)接收和處理 BPDU 數(shù) 據(jù)包。通常一個根橋的所有端口均為指定端口。 畢業(yè)設(shè)計(jì)（論文） 7 8． Portfast Uplinkfast Backbonefast 原理 因?yàn)閭鹘y(tǒng)的生成樹協(xié)議，如果 要由 block 狀態(tài)轉(zhuǎn)換到 forwarding 狀態(tài)需要50s。 Protfast 是對于接入端口來說的，也就是使用了 Portfast 的端口直接就進(jìn)入傳輸狀態(tài)，而不需要經(jīng)過中間的其他狀態(tài)。而且 Backbonefast 是要配置在所有的交換機(jī)上。 A 是根橋，所以 B 和 C 相連的兩個端口要有一個端口是block 狀態(tài)的。這個 BPDU 只能是發(fā)到 C（因?yàn)楹?A 的鏈路 down 掉了）。 B 就開始從 C到達(dá)根橋了。 缺省情況下，假定交換機(jī)的所有端口都將與交換機(jī)或者網(wǎng)橋連接，所以所有端口都運(yùn)行 STP 算法，即如果網(wǎng)絡(luò)發(fā)生了變化，在端口發(fā)送數(shù)據(jù)之前要等待 50s，而事實(shí)上許多端口會直接連接工作站或者服務(wù)器。 Portfast 快速端口是一個 Catalyst 的一個特性，能使交換機(jī)或中繼端口跳畢業(yè)設(shè)計(jì)（論文） 8 過偵聽學(xué)習(xí)狀態(tài)而進(jìn)入 STP 轉(zhuǎn)發(fā)狀態(tài)，在基于 IOS 交換機(jī)上， PortFast 只能用于連接到終端工作站的接入端口上。它就進(jìn)入阻塞狀態(tài)。這種情況下就會導(dǎo)致一些故障，例如 DHCP 環(huán)境下，這可能會出現(xiàn)一些問題。解決的方法是一旦發(fā)現(xiàn)了線路 down，馬上把 Blocking 的 port 切換到Forwarding，不要經(jīng)過 Listening 和 Learning 階段。 UplinkFast 激活一個快速重新配置的條件： （ 1） 在交換機(jī)上必須啟動了UplinkFast 功能； （ 2） 至少有一個處于 Blocking 的端口（即有 冗余鏈路）； （ 3）鏈路失效必須發(fā)生在 Root Port 上。 Backbonefast BackboneFast 用在 distribution layer 中的交換機(jī)上。交換機(jī)中只要有一臺處于第三種狀態(tài)，就要從新進(jìn)行 STP運(yùn)算。它提供了完成下列服務(wù)的模塊化方法： 認(rèn)證， 一種提供識別用戶的方法，包括注冊和口令對話框、詢問和響應(yīng)、消息支持以及根據(jù)所選擇的安全協(xié)議進(jìn)行加密。唯一的 例外是缺省方法列表（其名稱為 default）。有關(guān)所有認(rèn)證的配置方法的詳細(xì)資料，包括那些在 AAA 安全服務(wù)之外實(shí)現(xiàn)的方法，請參見第 2章“認(rèn)證配置”。這個數(shù)據(jù)庫可以位于所訪問的本地服務(wù)器或路由器，或者位于遠(yuǎn)程 RADIUS 或 TACACS+安全服務(wù)器。有關(guān)使用 AAA 進(jìn)行授畢業(yè)設(shè)計(jì)（論文） 10 權(quán)配置的詳細(xì)情況。每條記帳記錄包括記帳屬性值（ AV）對，記帳記錄存儲在訪問 控制服務(wù)器上。 在很多情況下， AAA 使用像 RADIUS、 TACACS+和 Kerberos 這樣的協(xié)議來管理其安全功能。 10． OSPF 原理 OSPF(Open Shortest Path First 開放式最短路徑優(yōu)先 )是一個內(nèi)部網(wǎng)關(guān)協(xié)議 (Interior Gateway Protocol,簡稱 IGP)，用于在單一自治系統(tǒng) (autonomous system,AS)內(nèi)決策路由。 OSPF 路由協(xié)議是一種典型的鏈路狀態(tài)（ Linkstate）的路由協(xié)議，一般用于同一個路由域內(nèi)。運(yùn)行距離矢量路由協(xié)議的路由器是將部分或全部的路由表傳遞給與其相鄰的路由器。（ 1） 路由器的每個多路訪問 (multiaccess)接口都有個路由器優(yōu)先級 (Router Priority),8位長的一個整數(shù) ,范圍是 0 到 255,Cisco 路由器默認(rèn)的優(yōu)先級 是 1 優(yōu)先級為 0 的話將不能選舉為 DR/ ip ospf priority 進(jìn)行修改 。BDR 字段的值就是它們自己的接口地址 )。（ 4） 如果在 Hello 包中 DR 字段就等于自己接口的地址 ,優(yōu)先級最高的就被選舉為 DR。（ 6） DR/BDR 選舉完成后 ,DRother 只和 DR/BDR 形成鄰接關(guān)系 .所有的路由器將組播 Hello 包到AllSPFRouters 地址 以便它們能跟蹤其他鄰居的信息 ,即 DR 將洪泛update packet 到 。 畢業(yè)設(shè)計(jì)（論文） 12 在一個 OSPF 區(qū)域中只能有一個骨干區(qū)域 ,可以有多個非骨干區(qū)域 ,骨干區(qū)域的區(qū)域號為 0。 骨干區(qū)域和非骨干區(qū)域的劃分，大大降低了區(qū)域內(nèi)工作路由的負(fù)擔(dān)。對用戶而言 ， VPN 可以非常方便地替代租用線和傳統(tǒng)的 ATM/幀中繼（ FR） VPN 來連接計(jì)算機(jī)或局域網(wǎng)（ LAN），同時還可以提供租用線的備份、冗余和峰值負(fù)載分擔(dān)等，大大降低了成本費(fèi)用；對服務(wù)提供商而言， IP VPN 則是其未來數(shù)年內(nèi)擴(kuò)大業(yè)務(wù)范圍、保持競爭力和客戶忠誠度、降低成本和增加利潤的重要手段。 用于在兩個通信實(shí)體協(xié)商和建立安全相關(guān)，交換密鑰。 IKE定義了通信實(shí)體間進(jìn)行身份認(rèn)證、協(xié)商加密算法以及生成共享的會話密鑰的方畢業(yè)設(shè)計(jì)（論文） 13 法。 識別和 IPSec 接入控制 。數(shù)字證書與獨(dú)立預(yù)共享密鑰相比，可更理想地?cái)U(kuò)展，因?yàn)樗试S一臺設(shè)備驗(yàn)證其他設(shè)備，但不具備 通配符密鑰的安全特性。思科公司強(qiáng)烈建議加密和完整性二者都使用。對于用戶來說，便可以對于不同的需要定義不同級別地安全保護(hù)（即不同保護(hù)強(qiáng)度的 IPSec 通道）。 IP 編址 。 IP 編址還可影響 VPN 的多個方面，包括重疊網(wǎng)絡(luò)的遠(yuǎn)程管理連接。 網(wǎng)絡(luò)地址轉(zhuǎn)換 。 單一目的和多目的設(shè)備 。當(dāng)決定了采取何種選項(xiàng)，可根據(jù)設(shè)備的容量和功能對決策進(jìn)行權(quán)衡，并與集成設(shè)備的功能優(yōu)勢相對照。當(dāng)今的許多 VPN 設(shè)備可提供理想的性能和 VPN 管理選項(xiàng)，與此同