【文章內(nèi)容簡(jiǎn)介】 (Differentiated Services)兩種模型，DiffServ 對(duì)聚合的業(yè)務(wù)類提供 QoS 保證，可擴(kuò)展性好，便于在大規(guī)模網(wǎng)絡(luò)中使用。本方案采用 DiffServ 機(jī)制實(shí)現(xiàn)QoS。DiffServ 模型的基本原理是將網(wǎng)絡(luò)中的流量分成多個(gè)類，每個(gè)類接受不同的處理，尤其是網(wǎng)絡(luò)出現(xiàn)擁塞時(shí)不同的類會(huì)享受不同的優(yōu)先處理，從而得到不同的丟棄率、時(shí)延以及時(shí)延抖動(dòng)。在 DiffServ 的體系結(jié)構(gòu)下，IETF 已經(jīng)定義了 EF（Expedite Forwarding） 、AF1AF4（Assured Forwarding） 、BE（Best Effort）等六種標(biāo)準(zhǔn) PHB（Perhop Behavior）及業(yè)務(wù)。DiffServ 域?qū)⒃O(shè)備分為兩類，邊緣設(shè)備和核心設(shè)備，其中邊緣設(shè)備承擔(dān)了較多的工作，如流分類、標(biāo)記、帶寬限制、擁塞管理、擁塞避免、流量整形等。如果由單一設(shè)備全部處理，開銷較大，容易形成網(wǎng)絡(luò)瓶頸，因此需要將這些功能分布到不同的設(shè)備上去，如流分類功盡量在邊緣實(shí)現(xiàn)。采用 Diffserv/CoS 的方法需要對(duì)所有的 IP 包在網(wǎng)絡(luò)邊緣進(jìn)行流分類，打上 Diffserv 或 CoS 標(biāo)識(shí)，并在 DS 域內(nèi)的路由器、交換機(jī)根據(jù)優(yōu)先級(jí)進(jìn)行轉(zhuǎn)發(fā)，保證高優(yōu)先級(jí)業(yè)務(wù)的 QoS 要求。Cisco 交換機(jī)通過(guò)模塊化 QoS 設(shè)置命令，對(duì) Differ Serv 提供全面的支. . . .. . 學(xué)習(xí)好幫手持。該企業(yè)域網(wǎng)中的 Catalyst 4506 和 Catalyst 3560 交換機(jī)采用如下 QoS設(shè)置：? 在網(wǎng)絡(luò)邊緣接入根據(jù)二層、三層和四層信息進(jìn)行流分類，并完成基于 CoS and Differentiated Services Code Point (DSCP)的標(biāo)記。? 在網(wǎng)絡(luò)邊緣同時(shí)可根據(jù)需要對(duì)接入速率進(jìn)行控制。? 核心交換機(jī)與接入交換機(jī)互連端口采用 WRR 調(diào)度算法，通過(guò)權(quán)重的設(shè)置，實(shí)現(xiàn)智能的隊(duì)列電力和每類數(shù)據(jù)流的帶寬保證，同時(shí)通過(guò)嚴(yán)格優(yōu)先隊(duì)列滿足語(yǔ)音、視頻等實(shí)時(shí)業(yè)務(wù)對(duì)延時(shí)和抖動(dòng)的要求。 網(wǎng)絡(luò)安全實(shí)現(xiàn)方案 安全分析傳統(tǒng)的安全實(shí)現(xiàn)方案為網(wǎng)絡(luò)周邊的安全，通過(guò)防火墻和網(wǎng)絡(luò)策略的使用而得到保護(hù)。這些設(shè)備和策略的設(shè)計(jì)目的是在保護(hù)網(wǎng)絡(luò)內(nèi)部的同時(shí)，支持越來(lái)越開放的訪問(wèn)權(quán)限，從而滿足業(yè)務(wù)需求。但是隨著蠕蟲和病毒（例如Slammer、SoBig 和 MSBlaster）的出現(xiàn)，網(wǎng)絡(luò)安全實(shí)現(xiàn)的復(fù)雜程度提高，傳統(tǒng)的安全策略已經(jīng)無(wú)法有效地保護(hù)網(wǎng)絡(luò)。在內(nèi)部，安全主要是基于用戶 ID/密碼，并被集成到受保護(hù)的應(yīng)用中。計(jì)算機(jī)（通常為臺(tái)式機(jī)）在網(wǎng)絡(luò)上被視為“可信任的” 。但是現(xiàn)在，筆記本電腦開始迅速普及。這些便攜式計(jì)算機(jī)的設(shè)計(jì)目的是提高生產(chǎn)率，但是它們也帶來(lái)了更高的安全風(fēng)險(xiǎn)。當(dāng)員工往返于網(wǎng)絡(luò)“內(nèi)部”和“外部”之間時(shí)，他們可能會(huì)在無(wú)意中攜帶了威脅到網(wǎng)絡(luò)安全的病毒和蠕蟲。它們能夠以類似于周邊入侵的方式，破壞關(guān)鍵任務(wù)型業(yè)務(wù)應(yīng)用的基礎(chǔ)。由于所有這些變化和進(jìn)展，顯然過(guò)去的網(wǎng)絡(luò)安全模式已經(jīng)不能滿足當(dāng)今網(wǎng)絡(luò)的需求。因此需要構(gòu)建新型的網(wǎng)絡(luò)安全需要一種全新的、主動(dòng)的網(wǎng)絡(luò)安全模式。這種全面的模式應(yīng)當(dāng)采用特殊的設(shè)計(jì)，即將外部入侵者拒之門外，也可防范內(nèi)部員工的安全攻擊。這樣的解決方案需要提供：. . . .. . 學(xué)習(xí)好幫手? 完全嵌入到網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的、覆蓋整個(gè)網(wǎng)絡(luò)的安全性? 保護(hù)、防御和自愈能力? 控制“誰(shuí)”可以訪問(wèn)網(wǎng)絡(luò)和他們可以在網(wǎng)絡(luò)上做“什么” 網(wǎng)絡(luò)安全實(shí)現(xiàn)分析傳統(tǒng)的網(wǎng)絡(luò)安全建設(shè)專注于網(wǎng)絡(luò)層面的安全產(chǎn)品集成、應(yīng)用層的安全防護(hù)，管理層面的安全策略體系，而實(shí)際上網(wǎng)絡(luò)安全是信息安全的基礎(chǔ)，沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有信息安全，正是在這樣的背景下，合理網(wǎng)絡(luò)架構(gòu)和完備的安全保障體系建設(shè)顯得更為重要。根據(jù)網(wǎng)絡(luò)安全技術(shù)框架，合理的網(wǎng)絡(luò)架構(gòu)包括如下幾個(gè)方面：（1）網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)層次分明，采用核心層、匯聚層、接入層等劃分原則，劃分不規(guī)范不利于網(wǎng)絡(luò)優(yōu)化和調(diào)整。（2）網(wǎng)絡(luò)邊界應(yīng)該清晰，邊界不清晰不便于安全控制。（3）關(guān)鍵業(yè)務(wù)系統(tǒng)和非關(guān)鍵業(yè)務(wù)系統(tǒng)之間應(yīng)進(jìn)行有效分離，同時(shí)應(yīng)保證分離后各業(yè)務(wù)區(qū)域之間的邏輯控制合理，業(yè)務(wù)系統(tǒng)之間的交疊不但影響網(wǎng)絡(luò)的性能也會(huì)給網(wǎng)絡(luò)帶來(lái)安全上的隱患。安全保障體系應(yīng)在合理的網(wǎng)絡(luò)架構(gòu)上建設(shè)，主要包括如下幾個(gè)方面：（1）對(duì)設(shè)備本身安全進(jìn)行配置。（2）各 VLAN 內(nèi)和 VLAN 間的進(jìn)行合理地安全控制。 （3）配置合理的 QOS 以增加網(wǎng)絡(luò)的可用性。（4）保證安全防護(hù)體系地堅(jiān)固，整個(gè)網(wǎng)絡(luò)系統(tǒng)中應(yīng)部署防火墻、抗拒絕服務(wù)系統(tǒng)、漏洞掃描系統(tǒng)、IDS 和 IPS 系統(tǒng)、防病毒體系、口令認(rèn)證系統(tǒng)，各個(gè)安全系統(tǒng)之間的集成應(yīng)合理。（4）網(wǎng)絡(luò)系統(tǒng)流量分析系統(tǒng)應(yīng)完備，網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)流比較大，而且復(fù)雜，如果流量分析系統(tǒng)不完備，當(dāng)網(wǎng)絡(luò)流量異常時(shí)或遭 DOS 攻擊時(shí)，也很難有應(yīng)對(duì)措施。. . . .. . 學(xué)習(xí)好幫手 網(wǎng)絡(luò)安全實(shí)現(xiàn)方案該企業(yè)域網(wǎng)安全的設(shè)計(jì)應(yīng)綜合網(wǎng)絡(luò)安全的體現(xiàn)結(jié)構(gòu)、網(wǎng)絡(luò)建設(shè)的實(shí)際情況和網(wǎng)絡(luò)產(chǎn)品的部署等因素，構(gòu)建全面的、立體的網(wǎng)絡(luò)安全體系。1．MultiVrf 技術(shù)構(gòu)建基于安全的網(wǎng)絡(luò)架構(gòu)現(xiàn)在的網(wǎng)絡(luò)中，所有的網(wǎng)絡(luò)接入點(diǎn)都作為網(wǎng)絡(luò)的安全控制點(diǎn)，所以網(wǎng)絡(luò)安全的實(shí)現(xiàn)變成了一個(gè)龐大、復(fù)雜的工作，通過(guò)在網(wǎng)絡(luò)中進(jìn)行邏輯安全區(qū)域的劃分，可實(shí)現(xiàn)在內(nèi)部網(wǎng)絡(luò)定義安全邊界，使網(wǎng)絡(luò)安全集中在幾個(gè)點(diǎn)，從而簡(jiǎn)化網(wǎng)絡(luò)安全的部署，這就要采用業(yè)界先進(jìn)安全技術(shù)對(duì)計(jì)算機(jī)或業(yè)務(wù)系統(tǒng)進(jìn)行邏輯隔離，通常采用 MPLSVPN 或 MultiVrf 技術(shù)來(lái)進(jìn)行邏輯劃分并進(jìn)行互訪控制。該企業(yè)域網(wǎng)將采用 MultiVrf 技術(shù)來(lái)進(jìn)行邏輯劃分并進(jìn)行互訪控制。在今天的網(wǎng)絡(luò)建設(shè)中，三層交換技術(shù)已經(jīng)成為局域網(wǎng)建設(shè)的普遍技術(shù)，同時(shí)網(wǎng)絡(luò)安全也成為網(wǎng)絡(luò)建設(shè)最重要的一個(gè)方面。在基于三層交換的網(wǎng)絡(luò)中采用防火墻技術(shù)實(shí)現(xiàn)三層交換網(wǎng)絡(luò)間的互連已成為網(wǎng)絡(luò)安全實(shí)現(xiàn)的最有效的方案之一。防火墻以前通常使用在不同局域網(wǎng)間的互連中，現(xiàn)在對(duì)網(wǎng)絡(luò)安全提出了更高的要求，在同一局域網(wǎng)中也需要采用防火墻實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中不同區(qū)域（如核心服務(wù)器區(qū)域）提供安全防護(hù)。但三層交換網(wǎng)絡(luò)的特點(diǎn)是，網(wǎng)絡(luò)中的不同網(wǎng)段通過(guò)三層交換直接實(shí)現(xiàn)了互連，如何使防火墻在網(wǎng)絡(luò)中發(fā)揮作用？這為我們提出了一個(gè)新的課題。正是在這樣的安全需求下，提出了 Multi－Vrf 技術(shù)。Multi－Vrf 技術(shù)與 Vlan 技術(shù)不同點(diǎn)是：Vlan 技術(shù)實(shí)現(xiàn)了網(wǎng)絡(luò)的二層邏輯劃分，Multi－Vrf 技術(shù)實(shí)現(xiàn)了網(wǎng)絡(luò)的三層邏輯劃分，我們把這種劃分通常成為 VPN；Multi－Vrf 技術(shù)與 Vlan 技術(shù)的相同點(diǎn)是：它們都可在同一個(gè)物理平臺(tái)上實(shí)現(xiàn)網(wǎng)絡(luò)的邏輯區(qū)域劃分，通過(guò) Vlan 技術(shù)劃分的幾個(gè)二層區(qū)域通過(guò)三層路由實(shí)現(xiàn)互連，通過(guò) Multi－Vrf 技術(shù)劃分的幾個(gè)三層區(qū)域通過(guò)防火墻或其他安全產(chǎn)品實(shí)現(xiàn)互連。. . . .. . 學(xué)習(xí)好幫手而邏輯劃分的共同點(diǎn)是：網(wǎng)絡(luò)建設(shè)節(jié)約了設(shè)備投資，同時(shí)網(wǎng)絡(luò)具有了更大的靈活性。Multi－Vrf 技術(shù)作為 MPLS VPN 技術(shù)向局域網(wǎng)的延伸，與 MPLS VPN 實(shí)現(xiàn)的機(jī)制相同，具有與 MPLS VPN 相同的安全性，而 MPLS VPN 是在電信服務(wù)商網(wǎng)絡(luò)中采用的重要技術(shù)，其安全性已經(jīng)得到了廣泛的認(rèn)可，所以 Multi－Vrf技術(shù)的安全性是可以信賴的。2．網(wǎng)絡(luò)設(shè)備的安全設(shè)置整個(gè)網(wǎng)絡(luò)的安全首先要確保網(wǎng)絡(luò)設(shè)備的安全，保證非授權(quán)用戶不能訪問(wèn)一臺(tái)機(jī)器、路由器或防火墻。為了保障網(wǎng)絡(luò)設(shè)備的安全性，我們要考慮從以下幾個(gè)方面的因素：（1）設(shè)備安全防護(hù)口令管理：為防止對(duì)系統(tǒng)未經(jīng)授權(quán)的訪問(wèn)，系統(tǒng)必須具有完善的密碼管理功能。網(wǎng)絡(luò)設(shè)備應(yīng)采用 RADIUS 或 TACACS 認(rèn)證服務(wù)器進(jìn)行口令管理。（2）控制對(duì)設(shè)