【正文】 S550028cEI：表33：表33 H3C S550028cEi參數(shù)表主要參數(shù)產(chǎn)品類型：千兆以太網(wǎng)交換機(jī) 傳輸速率：10/100/1000Mbps交換方式：存儲(chǔ)轉(zhuǎn)發(fā)背板帶寬：128Gbps 包轉(zhuǎn)發(fā)率：96Mpps MAC地址表：16K 端口參數(shù)端口結(jié)構(gòu)：非模塊化 端口數(shù)量：28個(gè) 端口描述：24個(gè)10/100/1000BaseT以太網(wǎng)端口，4個(gè)復(fù)用的1000BaseX千兆SFP端口 擴(kuò)展模塊：2個(gè)擴(kuò)展插槽 傳輸模式：支持全雙工功能特性堆疊功能：可堆疊 VLAN：支持基于端口的VLAN（4K個(gè)）支持基于MAC的VLAN基于協(xié)議的VLAN支持QinQ，靈活QinQ支持VLAN Mapping支持Voice VLAN支持GVRP 糾錯(cuò) QOS：支持對(duì)端口接收?qǐng)?bào)文的速率和發(fā)送報(bào)文的速率進(jìn)行限制支持報(bào)文重定向支持CAR（Committed Access Rate）功能每個(gè)端口支持8個(gè)輸出隊(duì)列支持端口隊(duì)列調(diào)度 組播管理：支持IGMP Snooping/MLD Snooping支持組播VLAN支持未知組播丟棄 網(wǎng)絡(luò)管理：支持XModem/FTP/TFTP加載升級(jí)支持命令行接口（CLI），Telnet，Console口進(jìn)行配置支持SNMPv1/v2/v3，WEB網(wǎng)管支持RMON（Remote Monitoring）告警、事件、歷史記錄支持iMC智能管理中心支持系統(tǒng)日志，分級(jí)告警，調(diào)試信息輸出支持HGMPv2支持NTP支持電源的告警功能，風(fēng)扇、溫度告警支持Ping、Tracert支持VCT（Virtual Cable Test）電纜檢測(cè)功能支持DLDP（Device Link Detection Protocol）單向鏈路檢測(cè)協(xié)議支持Loopbackdetection 端口環(huán)回檢測(cè) 糾錯(cuò) 安全管理：支持用戶分級(jí)管理和口令保護(hù)支持Guest VLAN支持RADIUS認(rèn)證支持SSH 支持端口隔離支持端口安全支持EADl H3C S5024FSI：表34表34 H3C S5024FSI參數(shù)表主要參數(shù)產(chǎn)品類型：千兆以太網(wǎng)交換機(jī)應(yīng)用層級(jí)：三層 傳輸速率：10/100/1000Mbps 交換方式：存儲(chǔ)轉(zhuǎn)發(fā) MAC地址表：8K端口參數(shù)端口結(jié)構(gòu)：非模塊化 端口數(shù)量：24個(gè) 端口描述：8個(gè)10/100/1000BASET自適應(yīng)以太網(wǎng)端口，16個(gè)獨(dú)立100Mbps/1000Mbps SFP光口控制端口：1個(gè)Console端口功能特性網(wǎng)絡(luò)標(biāo)準(zhǔn)：IEEE ，IEEE ，IEEE ，IEEE ，ANSI/IEEE NWay，IEEE VLAN：最多支持512個(gè)符合IEEE 最多支持24個(gè)基于端口的VLAN（Portbased VLAN）QOS：、DSCP優(yōu)先級(jí)支持每端口4個(gè)優(yōu)先級(jí)隊(duì)列支持WRR、HQWRR隊(duì)列調(diào)度 組播管理：支持IGMP Snooping最多支持256個(gè)組播組 網(wǎng)絡(luò)管理：支持Web網(wǎng)管支持通過(guò)Console口進(jìn)行管理支持Telnet遠(yuǎn)程管理支持DHCPclient支持SNMP v2c，支持RMON支持H3C iMC智能網(wǎng)管系統(tǒng) 安全管理：支持管理VLAN支持兩級(jí)用戶管理，支持高級(jí)用戶密碼保護(hù)支持黑洞地址支持防MAC地址泛濫攻擊支持端口隔離支持AAA，支持Radius認(rèn)證 超市辦公網(wǎng)絡(luò)方案規(guī)劃 IP地址規(guī)劃隨著這些年網(wǎng)絡(luò)的發(fā)展，越來(lái)越多的企業(yè)都組建了內(nèi)部局域網(wǎng)，來(lái)實(shí)現(xiàn)自動(dòng)化無(wú)紙辦公等高效率、低成本的運(yùn)營(yíng)和管理。體系化其實(shí)就是結(jié)構(gòu)化、組織化，根據(jù)企業(yè)的具體需求和組織結(jié)構(gòu)為原則對(duì)整個(gè)網(wǎng)絡(luò)地址進(jìn)行有條理的規(guī)劃。而每個(gè)區(qū)域的地址與其他的區(qū)域地址相對(duì)獨(dú)立，也便于獨(dú)立的靈活管理。但現(xiàn)在發(fā)展到了無(wú)類階段，由于可以自由規(guī)劃子網(wǎng)的大小和實(shí)際的主機(jī)數(shù)，所以使得地址資源分配的更加合理，無(wú)形中就增大了網(wǎng)絡(luò)的可拓展性。這就造成了公網(wǎng)IP要稀缺的多，所以對(duì)公網(wǎng)IP必須按實(shí)際需求來(lái)分配。一個(gè)VLAN可以在一個(gè)交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。VLAN相當(dāng)于OSI參考模型的第二層的廣播域，能夠?qū)V播風(fēng)暴控制在一個(gè)VLAN內(nèi)部，劃分VLAN后，由于廣播域的縮小，網(wǎng)絡(luò)中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡(luò)的性能得到顯著的提高。根據(jù)公司的具體要求，先對(duì)公司的VLAN進(jìn)行如下劃分：VLAN10：產(chǎn)品客戶部VLAN20：行政部VLAN30：財(cái)務(wù)部VLAN40：庫(kù)房VLAN50：設(shè)計(jì)部VLAN60：經(jīng)理辦公室VLAN70：公司服務(wù)器VLAN100：與路由器相連的端口VLAN1000：設(shè)備的管理VLAN Trunk技術(shù)及規(guī)劃 Trunk是端口匯聚的意思，即通過(guò)配置軟件的設(shè)置，將兩個(gè)或多個(gè)物理端口組合在一起成為一條邏輯的路徑，從而增加在交換機(jī)和網(wǎng)絡(luò)節(jié)點(diǎn)之間的帶寬，將屬于這幾個(gè)端口的帶寬合并，給端口提供一個(gè)幾倍于獨(dú)立端口的獨(dú)享的高帶寬。目前常用的指定路由的方法有兩種：一種是通過(guò)路由協(xié)議（比如：內(nèi)部路由協(xié)議RIP和OSPF）動(dòng)態(tài)學(xué)習(xí)；另一種是靜態(tài)配置。即便配置了多個(gè)默認(rèn)網(wǎng)關(guān)，如不重新啟動(dòng)終端設(shè)備，也不能切換到新的網(wǎng)關(guān)。一組VRRP路由器協(xié)同工作，共同構(gòu)成一臺(tái)虛擬路由器。當(dāng)由于某種原因主控路由器發(fā)生故障時(shí)，備份路由器能在幾秒鐘的時(shí)延后升級(jí)為主路由器。主控路由器負(fù)責(zé)對(duì)ARP請(qǐng)求用該MAC地址做應(yīng)答。這保證了VRID在不同網(wǎng)絡(luò)中可以重復(fù)使用。若VRRP路由器的IP地址和虛擬路由器的接口IP地址相同，則稱該虛擬路由器作VRRP組中的IP地址所有者；IP地址所有者自動(dòng)具有最高優(yōu)先級(jí)：255。主控路由器的選舉中，高優(yōu)先級(jí)的虛擬路由器獲勝，因此，如果在VRRP組中有IP地址所有者，則它總是作為主控路由的角色出現(xiàn)。明文認(rèn)證方式要求：在加入一個(gè)VRRP路由器組時(shí)，必須同時(shí)提供相同的VRID和明文密碼。 什么樣的路由器要使用什么樣的路由協(xié)議，是由網(wǎng)絡(luò)的管理策略直接決定的。 一般的靜態(tài)路由設(shè)置經(jīng)過(guò)保存后重起路由器都不會(huì)消失，但相應(yīng)端口關(guān)閉或失效時(shí)就會(huì)有相應(yīng)的靜態(tài)路由消失。通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信流量使網(wǎng)絡(luò)阻塞[6]。但這個(gè)目標(biāo)MAC地址是如何獲得的呢？它就是通過(guò)地址解析協(xié)議獲得的。當(dāng)發(fā)送數(shù)據(jù)時(shí)，主機(jī)A會(huì)在自己的ARP緩存表中尋找是否有目標(biāo)IP地址。ARP緩存表采用了老化機(jī)制，在一段時(shí)間內(nèi)如果表中的某一行沒(méi)有使用，就會(huì)被刪除，這樣可以大大減少ARP緩存表的長(zhǎng)度，加快查詢速度。這正好是D能夠接收到A發(fā)送的數(shù)據(jù)包了么，嗅探成功。 做“man in the middle”，進(jìn)行ARP重定向。不過(guò)，C發(fā)送的數(shù)據(jù)包又直接傳遞給A，倘若再次進(jìn)行對(duì)C的ARP欺騙。 其中，使用私網(wǎng)地址之所以能夠節(jié)省IPv4地址，主要是利用了這樣一個(gè)事實(shí)：一個(gè)局域網(wǎng)中在一定時(shí)間內(nèi)只有很少的主機(jī)需訪問(wèn)外部網(wǎng)絡(luò)，而80%左右的流量只局限于局域網(wǎng)內(nèi)部。它具備以下優(yōu)點(diǎn)：l 對(duì)于內(nèi)部通訊可以利用私網(wǎng)地址，如果需要與外部通訊或訪問(wèn)外部資源，則可通過(guò)將私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址來(lái)實(shí)現(xiàn)。l 方便網(wǎng)絡(luò)管理，如通過(guò)改變映射表就可實(shí)現(xiàn)私網(wǎng)服務(wù)器的遷移，內(nèi)部網(wǎng)絡(luò)的改變也很容易。 ACL技術(shù)及規(guī)劃 ACL技術(shù)在路由器中被廣泛采用，它是一種基于包過(guò)濾的流控制技術(shù)。 ACL技術(shù)可以有效的在三層上控制網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，它可以具體到兩臺(tái)網(wǎng)絡(luò)設(shè)備間的網(wǎng)絡(luò)應(yīng)用，也可以按照網(wǎng)段進(jìn)行大范圍的訪問(wèn)控制管理，為網(wǎng)絡(luò)應(yīng)用提供了一個(gè)有效的安全手段[8]。另一方面，維護(hù)ACL不僅耗時(shí)，而且在較大程度上增加路由器開(kāi)銷。下面是對(duì)幾種訪問(wèn)控制列表的簡(jiǎn)要總結(jié)。編號(hào)范圍是從100到199的訪問(wèn)控制列表是擴(kuò)展IP訪問(wèn)控制列表。擴(kuò)展IPX訪問(wèn)控制列表的編號(hào)范圍是900999。SSLVPN是指應(yīng)用層的VPN，基于HTTPS來(lái)訪問(wèn)受保護(hù)的應(yīng)用。旁路方式與直路不同的是，為了減輕在進(jìn)行SSL加解密時(shí)的運(yùn)行負(fù)擔(dān)，也可以獨(dú)立出SSL加速設(shè)備，在SSLVPNServer接收到HTTPS請(qǐng)求時(shí)將SSL加密的過(guò)程交給SSL加速設(shè)備來(lái)處理，當(dāng)SSL加速設(shè)備處理完之后再將數(shù)據(jù)轉(zhuǎn)發(fā)給SSLVPNServer。SSLVPN通過(guò)設(shè)置不同級(jí)別的用戶，設(shè)置不同級(jí)別的權(quán)限來(lái)屏蔽非授權(quán)用戶的訪問(wèn)。 完整性就是對(duì)抗對(duì)手主動(dòng)攻擊，防止被未經(jīng)授權(quán)的篡改。 可控性就是對(duì)及系統(tǒng)實(shí)施安全監(jiān)控。瀏覽器內(nèi)嵌了SSL協(xié)議，所以預(yù)先安裝了Web瀏覽器的客戶機(jī)可以隨時(shí)作為SSLVPN的客戶端。采用IPSec聯(lián)機(jī)，若是客戶端電腦遭到病毒感染，這個(gè)病毒就有機(jī)會(huì)感染到內(nèi)部網(wǎng)絡(luò)所連接的每臺(tái)電腦。IPSecVPN只是搭建虛擬傳輸網(wǎng)絡(luò)，SSLVPN重點(diǎn)在于保護(hù)具體的敏感數(shù)據(jù)，比如SSLVPN可以根據(jù)用戶的不同身份，給予不同的訪問(wèn)權(quán)限。但是對(duì)于IPSecVPN來(lái)說(shuō)，每增加一個(gè)需要訪問(wèn)的分支，就需要添加一個(gè)硬件設(shè)備。對(duì)于使用者而言，方便安全的解決方案，才能真正符合需求。終端使用者可以在telnet程序中輸入命令，這些命令會(huì)在服務(wù)器上運(yùn)行，就像直接在服務(wù)器的控制臺(tái)上輸入一樣。它最初是由ARPANET開(kāi)發(fā)的，但是現(xiàn)在它主要用于Internet會(huì)話。 　　Telnet的應(yīng)用不僅方便了我們進(jìn)行遠(yuǎn)程登錄，也給hacker們提供了又一種入侵手段和后門(mén)，但無(wú)論如何，在你盡情享受Telnet所帶給你的便捷的同時(shí)，你是否真正的了解Telnet呢？　　Telnet服務(wù)雖然也屬于客戶機(jī)、服務(wù)器模型的服務(wù)，但它更大的意義在于實(shí)現(xiàn)了基于Telnet協(xié)議的遠(yuǎn)程登錄（遠(yuǎn)程交互式計(jì)算），那么就讓我們來(lái)認(rèn)識(shí)一下遠(yuǎn)程登錄。仿真終端等效于一個(gè)非智能的機(jī)器，它只負(fù)責(zé)把用戶輸入的每個(gè)字符傳遞給主機(jī)，再將主機(jī)輸出的每個(gè)信息回顯在屏幕上?！　∷坪跤辛丝蛻魴C(jī)/服務(wù)器模型的服務(wù)，一切遠(yuǎn)程問(wèn)題都可以解決了。這樣，我們便可以訪問(wèn)遠(yuǎn)地系統(tǒng)上所有可用的命令，并且系統(tǒng)設(shè)計(jì)員不需提供多個(gè)專用地服務(wù)器程序?！　∧敲从袥](méi)有辦法解決呢？當(dāng)然有，我們可以用遠(yuǎn)程登錄來(lái)解決這一切?？蛻魴C(jī)將建立一個(gè)從本地機(jī)到服務(wù)器的TCP連接，當(dāng)然這需要服務(wù)器的應(yīng)答，然后向服務(wù)器發(fā)送鍵入的信息（文件編輯信息），并讀取從服務(wù)器返回的輸出。用戶在使用該系統(tǒng)之前要輸入標(biāo)識(shí)和口令，這個(gè)過(guò)程被稱為登錄。起初，它只是讓用戶的本地計(jì)算機(jī)與遠(yuǎn)程計(jì)算機(jī)連接，從而成為遠(yuǎn)程主機(jī)的一個(gè)終端。要開(kāi)始一個(gè)telnet會(huì)話，必須輸入用戶名和密碼來(lái)登錄服務(wù)器。它為用戶提供了在本地計(jì)算機(jī)上完成遠(yuǎn)程主機(jī)工作的能力。 綜觀上述，SSLVPN在其易于使用性及安全層級(jí)，都比IPSecVPN高。而且在配合一定的身份認(rèn)證方式的基礎(chǔ)上，不僅可以控制訪問(wèn)人員的權(quán)限，還可以對(duì)訪問(wèn)人員的每個(gè)訪問(wèn)，做的每筆交易、每個(gè)操作進(jìn)行數(shù)字簽名，保證每筆數(shù)據(jù)的不可抵賴性和不可否認(rèn)性，為事后追蹤提供了依據(jù)。因此通過(guò)SSLVPN連接，受外界病毒感染的可能性大大減小。 一般企業(yè)在Internet聯(lián)機(jī)入口，都是采取適當(dāng)?shù)姆蓝緜蓽y(cè)措施。不僅要記錄日志，還要提供完善的超強(qiáng)的日志分析能力，才能幫助管理員有效地找到可能的漏洞和已經(jīng)發(fā)生的攻擊，從而對(duì)系統(tǒng)實(shí)施監(jiān)控。 可用性就是保證及系統(tǒng)確實(shí)為授權(quán)使用者所用。SSL數(shù)據(jù)加密的安全性由加密算法來(lái)保證，各家公司的算法可能都不一樣。由于使用的是SSL協(xié)議，該協(xié)議是介于HTTP層及TCP層的安全協(xié)議。直路方式中，當(dāng)客戶端需要訪問(wèn)一應(yīng)用服務(wù)器時(shí)，首先，客戶端和SSLVPN網(wǎng)關(guān)通過(guò)證書(shū)互相驗(yàn)證雙方；其次，客戶端和SSLVPN網(wǎng)關(guān)之間建立SSL通道。從而方便定義和引用列表，同樣有標(biāo)準(zhǔn)和擴(kuò)展之分。 l 標(biāo)準(zhǔn)IPX訪問(wèn)控制列表：標(biāo)準(zhǔn)IPX訪問(wèn)控制列表的編號(hào)范圍是800899，它檢查IPX源網(wǎng)絡(luò)號(hào)和目的網(wǎng)絡(luò)號(hào)，同樣可以檢查源地址和目的地址的節(jié)點(diǎn)號(hào)部分。編號(hào)范圍是從1到99的訪問(wèn)控制列表是標(biāo)準(zhǔn)IP訪問(wèn)控制列表。因此，是否采用ACL技術(shù)及在多大的程度上利用它，是管理效益與網(wǎng)絡(luò)安全之間的一個(gè)權(quán)衡。對(duì)于大型網(wǎng)絡(luò)，為了完成某些訪問(wèn)控制甚至不得不浪費(fèi)很多的IP地址資源。ACL通常應(yīng)用在企業(yè)的出口控制上，可以通過(guò)實(shí)施ACL，可以有效的部署企業(yè)網(wǎng)絡(luò)出網(wǎng)策略。當(dāng)訪問(wèn)Internet的報(bào)文經(jīng)過(guò)NAT網(wǎng)關(guān)時(shí)，NAT網(wǎng)關(guān)會(huì)用一個(gè)合法的公網(wǎng)地址替換原報(bào)文中的源IP地址，并對(duì)這種轉(zhuǎn)換進(jìn)行記錄；之后，當(dāng)報(bào)文從Internet側(cè)返回時(shí)，NAT網(wǎng)關(guān)查找原有的記錄，將報(bào)文的目的地址再替換回原來(lái)的私網(wǎng)地址，并送回發(fā)出請(qǐng)求的主機(jī)。l 通過(guò)靜態(tài)映射，不同的內(nèi)部服務(wù)器可以映射到同一個(gè)公網(wǎng)地址。當(dāng)局域網(wǎng)內(nèi)的主機(jī)要訪問(wèn)外部網(wǎng)絡(luò)時(shí)，只需通過(guò)NAT技術(shù)將其私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址即可，這樣既可保證網(wǎng)絡(luò)互通，又節(jié)省了公網(wǎng)地址。 NAT技術(shù)及規(guī)劃 隨著Internet的發(fā)展和網(wǎng)絡(luò)應(yīng)用的增多，IPv4地址枯竭已成為制約網(wǎng)絡(luò)發(fā)展的瓶頸。不過(guò)，假如D發(fā)送ICMP重定向的話就中斷了整個(gè)計(jì)劃。因?yàn)锳和C連接不上了。對(duì)目標(biāo)A進(jìn)行欺騙，A去Ping主機(jī)C卻發(fā)送到了DDDDDDDDDDDD這個(gè)地址上。這樣，主機(jī)A就知道了主機(jī)B的MAC地址，它就可以向主機(jī)B發(fā)送信息了。ARP協(xié)議的基本功能就是通過(guò)目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。在局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皫保瑤锩媸怯心繕?biāo)主機(jī)的MAC地址的。 ARP技術(shù)及規(guī)劃 在局域網(wǎng)中，通過(guò)ARP協(xié)議來(lái)完成IP地址轉(zhuǎn)換為第二層物理地址（即MAC地址）的。但是大型網(wǎng)絡(luò)網(wǎng)絡(luò)拓?fù)鋸?fù)雜，路由器數(shù)量大，線路冗余多，管理人員相對(duì)較少，要求管理效率要高等原因，通常都會(huì)使用動(dòng)態(tài)路由協(xié)議，適當(dāng)?shù)妮o以靜態(tài)路由的方式。IP頭認(rèn)證的方式提供了更高的安全性，能夠防止報(bào)文重放和修改等攻擊。VRRP還提供了優(yōu)先級(jí)搶占策略，如果配置了該策略，高優(yōu)先級(jí)的備份路由器便會(huì)剝奪當(dāng)前低優(yōu)先級(jí)的主控路由器而成為新的主控路由器?？膳渲玫膬?yōu)先級(jí)范圍為1—254。備份路由器在連續(xù)三個(gè)通告間隔內(nèi)收不到VRRP或收到優(yōu)先級(jí)為0的通告后啟動(dòng)新的一