【文章內(nèi)容簡介】 的計算機(jī)數(shù)量時?？梢圆捎脛討B(tài)轉(zhuǎn)換的方式。 端口多路復(fù)用 (Port address Translation,PAT)是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換 (PAT， Port Address Translation)。采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個合法外部 IP地址實現(xiàn)對 Inter的訪問，從而可以最大限度地節(jié)約 IP地址資源。同時，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來自 inter的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。 ACL 技術(shù)的應(yīng)用 ACL（ Access Control List，訪問控制列表）在路由器中被廣泛采用，它是一種基于包過濾的流控制技術(shù)。目前有兩種主要的 ACL:標(biāo)準(zhǔn) ACL和擴(kuò)展 ACL。標(biāo)準(zhǔn)的 ACL使用 1 99 以及 13001999之間的數(shù)字作 為表號，擴(kuò)展的 ACL使用 100 199以及哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計 9 20212699之間的數(shù)字作為表號。 標(biāo)準(zhǔn) ACL可以阻止來自某一網(wǎng)絡(luò)的所有通信流量，或者允許來自某一特定網(wǎng)絡(luò)的所有通信流量，或者拒絕某一協(xié)議簇（比如 IP）的所有通信流量。如圖 ,VLAN10可以拒絕 VLAN11的所有訪問流量。擴(kuò)展 ACL比標(biāo)準(zhǔn) ACL提供了更廣泛的控制范圍 , 擴(kuò)展 IP訪問控制列表比標(biāo)準(zhǔn) IP訪問控制列表具有更多的匹配項，包括協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和 IP優(yōu)先級等。如圖 所在的 VLAN1可以允許 客戶的 80端口訪問。 一個端口執(zhí)行哪條 ACL，這需要按照列表中的條件語句執(zhí)行順序來判斷。如果一個數(shù)據(jù)包的報頭跟表中某個條件判斷語句相匹配，那么后面的語句就將被忽略，不再進(jìn)行檢查。數(shù)據(jù)包只有在跟第一個判斷條件不匹配時，它才被交給 ACL中的下一個條件判斷語句進(jìn)行比較。如果匹配（假設(shè)為允許發(fā)送），則不管是第一條還是最后一條語句，數(shù)據(jù)都會立即發(fā)送到目的接口。如果所有的 ACL判斷語句都檢測完畢，仍沒有匹配的語句出口，則該數(shù)據(jù)包將視為被拒絕而被丟棄。 圖 ACL技 術(shù)組網(wǎng)圖 另外還有一些特殊情況下的 ACL技術(shù)的應(yīng)用 ： 基于 MAC地址的 ACL：二層 ACL 根據(jù)源 MAC 地址、目的 MAC 地址、 優(yōu)先級、二層協(xié)議類型等二層信息制定規(guī)則，對數(shù)據(jù)進(jìn)行相應(yīng)處理。二層 ACL 的序號取值范圍為 4000～ 4999。如圖 ： PC2可以針對 PC3的 MAC地址進(jìn)行限制。 用戶自定義的 ACL：非用戶自定義的 ACL一旦制定之后，修改起來十分麻煩，要把整個 ACL去掉，然后才能重新建立生效，然而用戶自定義的 ACL解決了這一問題，可以在原有的 ACL基礎(chǔ)上進(jìn)行修改。 在 Qos中應(yīng)用 ACL： Qos ACL指定了 Qos分類、標(biāo)記、控制和調(diào)度將應(yīng)用于那些哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計 10 數(shù)據(jù)包，也可以基于時間段、流量監(jiān)管、隊列調(diào)度、流量統(tǒng)計、端口重定向、本地流鏡像以及 WEB Cache重定向的功能及應(yīng)用部署相關(guān)的 ACL。 在 VLAN中應(yīng)用 ACL： VACL又稱為 VLAN的訪問映射表，應(yīng)用于 VLAN中的所有通信流。需要先建立一個普通的 ACL列表，然后建立一個關(guān)于 VLAN的訪問映射表將建立的 ACL列表包含進(jìn)去，最后把訪問映射表映射到所需要的 VLAN。 VPN 技術(shù)的應(yīng)用 VPN（ Virtual Private Network，虛擬私有網(wǎng)）是近年來隨著 Inter 的廣泛應(yīng)用而迅速發(fā)展起來的一種新技術(shù)，實現(xiàn)在公用網(wǎng)絡(luò)上構(gòu)建私人專用網(wǎng)絡(luò)。 VPN 只為特定的企業(yè)或用戶群體所專用。從用戶角度看來，使用 VPN 與傳統(tǒng)專網(wǎng)沒有任何區(qū)別。VPN 作為私有專網(wǎng)，一方面與底層承載網(wǎng)絡(luò)之間保持資源獨立性，即在一般情況下，VPN 資源不會被網(wǎng)絡(luò)中的其它 VPN 或非該 VPN 用戶使用；另一方面， VPN 提供足夠安全性，能夠確保 VPN 內(nèi)部信息的完整性、保密性、不可抵賴性。 圖 VPN技術(shù)典型組網(wǎng)圖 如圖 ，在企業(yè)互聯(lián)網(wǎng)出口部署防火墻和 VPN設(shè)備，分支機(jī)構(gòu)及移動辦公用戶分別通過 VPN網(wǎng)關(guān)和 VPN客戶端安全連入企業(yè)內(nèi)部網(wǎng)絡(luò)；同時通過防火墻和 IPS將企業(yè)內(nèi)部網(wǎng)、 DMZ、數(shù)據(jù)中心、互聯(lián)網(wǎng)等安全區(qū)域分隔開，并通過制定相應(yīng)的安全規(guī)則，以實現(xiàn)各區(qū)域不同級別、不同層次的安全防護(hù)。 H3C公司的安全解決方案的 VPN特性非常豐富，包括適用于分支機(jī)構(gòu)的動態(tài) VPN（ DVPN）解決方案、適用于 MPLS VPN和 IPSec VPN環(huán)境下的 VPE解決方案、適用于鏈路備份的 VPN高可用方案等，可以滿足 各種 VPN環(huán)境的需要。接下來我們介紹下 VPN領(lǐng)域的一些主流技術(shù)： 一、 IPsec VPN 的應(yīng)用 IPsec(IP Security)是保障 IP層安全的網(wǎng)絡(luò)技術(shù)，它并不是指某一項具體的協(xié)哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計 11 議，而是指用于實現(xiàn) IP層安全的協(xié)議套件集合。 IPsec實質(zhì)上也是一種隧道傳輸技術(shù)，它將 IP分組或 IP上層載荷封裝在 IPsec報文內(nèi)，并根據(jù)需要進(jìn)行加密和完整性保護(hù)處理，以此保證數(shù)據(jù)在公共網(wǎng)絡(luò)中傳輸過程的安全。 IPsec支持兩種協(xié)議標(biāo)準(zhǔn)，鑒別首部 (Authenticaion Header， AH)和封裝安全有效載荷 (Encapsulation Security Payload， ESP)： AH可證明數(shù)據(jù)的起源地 (數(shù)據(jù)來源認(rèn)證 )、保障數(shù)據(jù)的完整性以及防止相同的數(shù)據(jù)包不斷重播 (抗重放攻擊 )。ESP能提供的安全服務(wù)則更多，除了上述 AH所能提供的安全服務(wù)外，還能提供數(shù)據(jù)機(jī)密性，這樣可以保證數(shù)據(jù)包在傳輸過程中不被非法識別 。AH與 ESP提供的數(shù)據(jù)完整性服務(wù)的差別在于， AH驗證的范圍還包括數(shù)據(jù)包的外部 IP頭。在建立 IPsec隧道的時候還需要用到一個重要的協(xié)議即 IKE協(xié)議，通過建立 IKE的兩個階段，完成數(shù)據(jù)的傳送。 二、 IPsec 上的 GRE 隧道 GRE（ Generic Routing Encapsulation，通用路由封裝）隧道已經(jīng)應(yīng)用了很長的一段時間， GRE 首先由 Cisco 公司提出，目的是提供 IP 網(wǎng)絡(luò)承載其他路由協(xié)議。某些網(wǎng)絡(luò)管理員為了降低其網(wǎng)絡(luò)核心的管理開銷，將除 IP 外的所有傳送協(xié)議都刪除了，因而 IPX 和 AppleTalk 等非 IP 協(xié)議只能通過 GRE 來穿越 IP 核心網(wǎng)絡(luò)。 GRE是無狀態(tài)協(xié)議，與 IPsec隧道不同，端點在通過隧道發(fā)送流量之前并不調(diào)整任何參數(shù)，只要隧道目的地是可路由的，流量就可以穿過 GRE隧道。 GRE的源動力就是任何東西都可以被封 裝在其中， GRE的主要應(yīng)用就是在 IP網(wǎng)絡(luò)中承載非 IP包，這個恰恰是 IPsec所不能的。另外與 IPsec不同， GRE允許路由協(xié)議（ OSPF和 BGP）穿越連接。但是 GRE隧道不提供安全特性，不會對流量進(jìn)行加密、完整性驗證，而 IPsec剛好解決了這個難題，這樣基于 IPsec的 GRE的 VPN強(qiáng)大功能特性就充分體現(xiàn)了。 三、 二層 VPN 技術(shù) L2TP 的應(yīng)用 L2TP提供了一種遠(yuǎn)程接入訪問控制的手段，其典型的應(yīng)用場景是：某公司員工通過 PPP撥入公司本地的網(wǎng)絡(luò)訪問服務(wù)器 (NAS)，以此接入公司內(nèi)部網(wǎng)絡(luò)，獲取 IP地址并訪問相應(yīng)權(quán)限 的網(wǎng)絡(luò)資源該員工出差到外地，此時他想如同在公司本地一樣以內(nèi)網(wǎng) IP地址接入內(nèi)部網(wǎng)絡(luò)，操作相應(yīng)網(wǎng)絡(luò)資源，他的做法是向當(dāng)?shù)?ISP申請 L2TP服務(wù)，首先撥入當(dāng)?shù)?ISP，請求 ISP與公司 NAS建立 L2TP會話，并協(xié)商建立 L2TP隧道，然后 ISP將他發(fā)送的 PPP數(shù)據(jù)通道化處理，通過 L2TP隧道傳送到公司 NAS， NAS就從中取出 PPP數(shù)據(jù)進(jìn)行相應(yīng)的處理，如此該員工就如同在公司本地那樣通過 NAS接入公司內(nèi)網(wǎng)。 L2TP本質(zhì)上是一種隧道傳輸協(xié)議，它使用兩種類型的消息：控制消息和數(shù)據(jù)隧道消息?？刂葡⒇?fù)責(zé)創(chuàng)建、維護(hù)及終止 L2TP隧道，而數(shù)據(jù)隧道消息則負(fù)責(zé)用戶數(shù)據(jù)的真正傳輸。 L2TP支持標(biāo)準(zhǔn)的安全特性 CHAP和 PAP，可以進(jìn)行用戶身份認(rèn)證。在安全性考慮上， L2TP僅定義了控制消息的加密傳輸方式，對傳輸中的數(shù)據(jù)并不加密。 L2TP 與 IPsec 的一個最大的不同在于它不對隧道傳輸中的數(shù)據(jù)進(jìn)行加密，從而沒法保證數(shù)據(jù)傳輸過程中的安全。因此這個時候， L2TP 常和 IPsec 結(jié)合使用，先使用 L2TP封裝第二層數(shù)據(jù)，再使用 IPsec 封裝對數(shù)據(jù)進(jìn)行加密和提供完整性保護(hù)，由此保證通信數(shù)據(jù)安全傳送到目的地。因此就一般企業(yè)用戶構(gòu)建安全的 VPN 而言，應(yīng)該使用 IPsec 技術(shù)，當(dāng)然如果需要實現(xiàn)安全的 VPDN，就應(yīng)該采用 L2TP+IPsec 組合技術(shù) 四、 SSL VPN 技術(shù)的應(yīng)用 SSL協(xié)議提供了數(shù)據(jù)私密性、端點驗證、信息完整性等特性。 SSL協(xié)議由許多子協(xié)議組成，其中兩個主要的子協(xié)議是握手協(xié)議和記錄協(xié)議。握手協(xié)議允許服務(wù)器和客戶端在應(yīng)用協(xié)議傳輸?shù)谝粋€數(shù)據(jù)字節(jié)以前，彼此確認(rèn)，協(xié)商一種加密算法和密碼鑰匙。在數(shù)據(jù)傳輸期間，記錄協(xié)議利用握手協(xié)議生成的密鑰加密和解密后來 交換 的數(shù)據(jù)。 哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計 12 SSL獨立于應(yīng)用，因此任何一個應(yīng)用程序都可以享受它的安全性而不必理會執(zhí)行細(xì)節(jié)。 SSL置身于網(wǎng)絡(luò)結(jié)構(gòu)體系的傳輸層和應(yīng)用層之間。與復(fù)雜的 IPSec VPN相比， SSL通過簡單易用的方法實現(xiàn)信息遠(yuǎn)程連通。任何安裝瀏覽器的機(jī)器都可以使用 SSL VPN，這是因為 SSL內(nèi)嵌在瀏覽器中，它不需要像傳統(tǒng) IPSec VPN一樣必須為每一臺客戶機(jī)安裝客戶端軟件。 IPSec VPN 最大的難點在于客戶端需要安裝復(fù)雜的軟件，而且當(dāng)用戶的 VPN 策略稍微有所改變時， VPN 的管理難度將呈幾何級數(shù)增長。 SSL VPN 則正好相反，客戶端不需要安裝任何軟件或硬件，使用標(biāo)準(zhǔn)的瀏覽器，就可通過簡單的 SSL 安全加密協(xié)議，安全地訪問網(wǎng)絡(luò)中的信息。 SSL VPN相對 IPsec VPN主要有以下優(yōu)點： （ 1）方便：實施 SSL VPN之需要安裝配置好中心網(wǎng)關(guān)即可。其余的客戶端是免安裝的，因此，實施工期很短，如果網(wǎng)絡(luò)條件具備，連安裝帶調(diào)試， 12天即可投入運營。 （ 2）容易維護(hù)： SSL VPN 維護(hù)起來簡單，出現(xiàn)問題，就維護(hù)網(wǎng)關(guān)就可以了。如果有雙機(jī)備份的話，就可以啟用備份路由器。 （ 3）安全 :SSL VPN是一個安全協(xié)議， 數(shù)據(jù)全程加密傳輸?shù)摹Ａ硗?，由?SSL網(wǎng)關(guān)隔離了內(nèi)部服務(wù)器和客戶端，只留下一個 Web瀏覽接口，客戶端的大多數(shù)病毒木馬感染不倒內(nèi)部服務(wù)器。而 SSL VPN就不一樣，實現(xiàn)的是 IP級別的訪問，遠(yuǎn)程網(wǎng)絡(luò)和本地網(wǎng)絡(luò)幾乎沒有區(qū)別。 哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計 13 5 路由安全 路由安全敘述 在構(gòu)建任何大型網(wǎng)絡(luò)時，路由大概是最關(guān)鍵的要素。為了網(wǎng)絡(luò)安全的操作，在構(gòu)建網(wǎng)絡(luò)的路由基礎(chǔ)結(jié)構(gòu)時將安全牢記在心是根本。本章著眼于在構(gòu)建網(wǎng)絡(luò)路由基礎(chǔ)結(jié)構(gòu)時應(yīng)該注意的一些要素。我們將討論網(wǎng)絡(luò)路由設(shè)計時最關(guān)鍵因素。本章以靜態(tài)路由、 BGP 和 OSPF 路由協(xié)議為主 。 靜態(tài)路由協(xié)議 靜態(tài)路由是一種特殊的路由，它由網(wǎng)絡(luò)管理員采用手工方法在路由器中配置而成。通過靜態(tài)路由的配置，可建立一個完整的網(wǎng)絡(luò)，這種方法的問題在于當(dāng)一個網(wǎng)絡(luò)故障發(fā)生后，靜態(tài)路由不會自動發(fā)生改變必須有網(wǎng)絡(luò)管理員的介入。因此此方法對保證網(wǎng)絡(luò)不間斷運行存在一定的局限性，我們推薦在下面兩種情況下使用靜態(tài)路由。 一種是在穩(wěn)固的網(wǎng)絡(luò)中使用，減少路由選擇問題和路由選擇數(shù)據(jù)流的過載；另一種是在構(gòu)建非常大型的網(wǎng)絡(luò)，各大區(qū)域通過 12條主鏈路連接，靜態(tài)路由的隔離特征能夠有助于減少整個網(wǎng)絡(luò)中路由選擇協(xié)議的開銷，限制路由選擇發(fā) 生改變和出現(xiàn)問題的范圍。 一、 利用靜態(tài)路由實現(xiàn)負(fù)載分擔(dān) H3C系列路由器支持多路由模式，即允許配置到同一目標(biāo) IP地址 /目標(biāo) IP地址掩碼，并且優(yōu)先級也相同的路由。我們把它們看成同一條路由，只不過有多個下一跳地址。這樣到同一目的地存在這不同的路徑，而且它們的優(yōu)先級也相同，在沒有比這優(yōu)先級更高的路由時，該路由被 IP層采納。在往該目的地發(fā)包時，由 IP依次通過各條路徑來發(fā)送，自動實現(xiàn)網(wǎng)絡(luò)的負(fù)載分擔(dān)。 二、 利用靜態(tài)路由實現(xiàn)路由備份 H3C 系列路由器支持路由備份，當(dāng)各個備份線路發(fā)生變化時自動實現(xiàn)路由之間的切換，提高用戶網(wǎng)絡(luò)的可靠 性。 為了實現(xiàn)路由的備份，用戶可根據(jù)實際情況配置到同一目的地的多條路由。設(shè)置通過主路徑的路由優(yōu)先級最高，其余的備份路徑依次遞減，這樣正常情況下路由器采用主路徑發(fā)送數(shù)據(jù)，當(dāng)線路發(fā)生故障時該路由自動隱藏，路由器會選擇余下的優(yōu)先級最高的備份路由作為數(shù)據(jù)發(fā)送的途徑。這樣也就實現(xiàn)了主口到備份口的切換，當(dāng)主路徑恢復(fù)正常時，路由器恢復(fù)相應(yīng)的路由，并重新選擇路由。由于該路由的優(yōu)先級最高，路由器選擇主口路由來發(fā)送數(shù)據(jù)，上述過程是備份口到主口的自動切換。 通常的做法網(wǎng)絡(luò)中部署了 OSPF 或者 BGP 路由協(xié)議，在關(guān)鍵路徑上部署一條 靜態(tài)路由，不過要將其優(yōu)先級低于主路由協(xié)議，這樣可以在主路由協(xié)議失效時起到備份作用。 OSPF 路由協(xié)議 OSPF(Open Shortest Path First，開放式最短路徑優(yōu)先 )是一個內(nèi)部網(wǎng)關(guān)協(xié)議，用于在單一自治系統(tǒng)內(nèi)決