【文章內(nèi)容簡介】 斷 開 。 VTP 模 式 當(dāng) 交 換 機(jī) 是 處 在 VTP 服 務(wù) 器 或 透 明 的 模 式 ， 網(wǎng) 管 員 能 夠 在 交 換 機(jī) 上 配 置VLAN。 網(wǎng) 管 員 通 過 使 用 CLI、 控 制 臺(tái) 菜 單 、 MIB（ 使 用 SNMP 簡 單 網(wǎng) 絡(luò) 管 理 協(xié) 議 管 理 工 作 站 ） 修 改 VLAN 配 置 。 一 個(gè) 配 置 為 VTP 服 務(wù) 器 模 式 的 交 換 機(jī) 向 鄰 近 的 交 換 機(jī) 廣 播 VLAN 配 置 時(shí) ， 它 通 過 Trunk 還 可 以 從 鄰 近 的 交 換 機(jī) 學(xué) 習(xí) 新 的 VLAN 配 置 。 例 如 ： 當(dāng) 網(wǎng) 絡(luò) 增 加 了 一 個(gè) VLAN， VTP 將 廣 播 這 個(gè) 新 的 VLAN， 服 務(wù) 器 和 客 戶 機(jī) 的 Trunk 網(wǎng) 絡(luò) 端 口 就 準(zhǔn) 備 接 收 信 息 。 在 交 換 機(jī) 自 動(dòng) 轉(zhuǎn) 到 VTP 的 客 戶 模 式 后 ， 它 會(huì) 傳 送 廣 播 信 息 ， 并 從 廣 播 中 學(xué) 習(xí) 新 的 信 息 。 但 是 ， 它 不 能 通 過 MIB、 CLI 或 者 控 制 臺(tái) 來 增 加 、 刪 除 、 修 改 VLAN。 VTP 客 戶 端 不 能 保 持 VLAN 信 息 在 非 易 失 存 儲(chǔ) 器 中 。 當(dāng) 設(shè) 備 啟 動(dòng) 時(shí) ， 它 會(huì) 通 過 Trunk 網(wǎng) 絡(luò) 端 口 接 受 廣 播 信 息 ， 學(xué) 習(xí) 配 置 信 息 。 在 VTP 透 明 的 模 式 中 ， 交 換 不 做 廣 播 或 從 網(wǎng) 絡(luò) 學(xué) 習(xí) VLAN 配 置 。 但 它 可 以 通 過 控 制 臺(tái) 、 CLI、 MIB 來 修 改 、 增 加 、 刪 除 VLAN。 11 / 87為 使 每 一 個(gè) VLAN 能 夠 使 用 ， 必 須 使 VTP 知 道 其 存 在 ， 并 且 VLAN 的 相 關(guān) 信 息 要 包 含 在 Trunk port 的 準(zhǔn) 許 列 表 中 ， 一 個(gè) 快 速 以 太 網(wǎng) ISL Trunk 自 動(dòng) 為 VLAN 傳 輸 數(shù) 據(jù) ， 并 且 從 一 個(gè) 交 換 機(jī) 到 另 一 個(gè) 交 換 機(jī) 。 需 要 注 意 的 是 ， 如 果 交 換 在 VTP 服 務(wù) 器 模 式 接 收 廣 播 包 含 128 個(gè) VLAN， 則 交 換 自 動(dòng) 地 轉(zhuǎn) 換 向 VTP 客 戶 模 式 。 更 改 交 換 機(jī) 從 VTP 客 戶 模 式 向 VTP 透 明 的 模 式 ， 交 換 機(jī) 保 持 初 始 唯 一 的128VLAN， 并 刪 除 剩 余 的 VLAN。 傳 送 VTP 信 息 每 個(gè) 交 換 機(jī) 用 VTP 廣 播 Trunk 端 口 的 管 理 域 ， 定 義 特 定 的 VLAN 邊 界 、 它 的 配 置 修 訂 號(hào) 、 已 知 VLAN 和 特 定 參 數(shù) 。 在 一 個(gè) VTP 管 理 域 登 記 后 交 換 機(jī) 才 能 工 作 。 通 過 Trunk， VTP 服 務(wù) 器 向 其 他 交 換 機(jī) 傳 輸 信 息 和 接 收 更 新 信 息 。 VTP 服 務(wù) 器 也 在 NVRAM 中 保 存 本 VTP 管 理 域 信 息 中 的 VLAN 列 表 。 VTP 能 夠 通 過 統(tǒng) 一 的 名 字 和 內(nèi) 部 的 列 表 動(dòng) 態(tài) 顯 示 出 管 理 域 中 的VLAN。 VTP 信 息 在 全 部 Trunk 連 接 上 傳 輸 ， 包 括 ISL、 、 LANE。 VTP MIB 為 VTP 提 供 SNMP 工 具 ， 并 允 許 瀏 覽 VTP 參 數(shù) 配 置 。 VTP 建 立 共 用 的 配 置 值 和 分 布 下 列 的 共 用 配 置 信 息 : ? VLAN IDs（ ISL） ； ? 仿 真 LAN 的 名 字 （ ATM LANE） ； ? SAID 值 （ FDDI） ； ? VLAN 中 最 大 的 傳 輸 單 元 （ MTU） 大 小 ； ? 幀 格 式 。 生 成 樹 協(xié) 議 — —STP　 STP(Spanning  Tree protocol) 能 夠 提 供 路 徑 冗 余 ， 使 用 STP 可 以 使 兩 個(gè) 終 端 中 只 有 一 條 有 效 路 徑 。 STP 在 大 的 網(wǎng) 絡(luò) 中 定 義 了 一 個(gè) 樹 ， 并 且 迫 使 一 定 的 備 份 路 徑 處 于 備 用 狀 態(tài) 。 如 果 生 成 樹 中 的 網(wǎng) 絡(luò) 一 部 分 不 可 達(dá) ， 或 者 STP 值 變 化 了 ， 生 成 樹 算 法 會(huì) 重 新 計(jì) 算 生 成 樹 拓 撲 ， 并 且 通 過 啟 動(dòng) 備 份 路 徑 來 重 新 建 立 連 接 。 STP 操 作 對(duì) 于 終 端 來 說 是 透 明 的 ， 而 不 管 終 端 連 在 LAN 的 某 一 部 分 或 者 多 個(gè) 部 分 。 12 / 87當(dāng) 創(chuàng) 建 網(wǎng) 絡(luò) 時(shí) ， 網(wǎng) 絡(luò) 中 所 有 節(jié) 點(diǎn) 存 在 多 條 路 徑 。 生 成 樹 中 的 算 法 計(jì) 算 出 最 佳 路 徑 。 因 為 每 個(gè) VLAN 是 一 個(gè) 邏 輯 LAN 部 分， 所 以 網(wǎng) 管 員 能 使 STP 一 次 工 作 在 最 多 64 個(gè) VLAN 中。 如 果 要 配 置 超 過 64 個(gè) VLAN， 網(wǎng) 管 員 需 要 將 其 他 VLAN 的 STP 禁 止， 因 為 默 認(rèn) 的 STP 可 以 支 持 1 ～64 個(gè) VLAN。 網(wǎng)絡(luò)安全及保密1. 網(wǎng)絡(luò)安全概述以 Inter 為代表的全球性信息化浪潮日益深刻，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛，應(yīng)用層次正在深入,應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，典型的如黨政部門信息系統(tǒng)、金融業(yè)務(wù)系統(tǒng)、企業(yè)商務(wù)系統(tǒng)等。伴隨網(wǎng)絡(luò)的普及，安全日益成為影響網(wǎng)絡(luò)效能的重要問題，而 Inter 所具有的開放性、國際性和自由性在增加應(yīng)用自由度的同時(shí),對(duì)安全提出了更高的要求，這主要表現(xiàn)在： 開放性的網(wǎng)絡(luò)，導(dǎo)致網(wǎng)絡(luò)的技術(shù)是全開放的，任何一個(gè)人、團(tuán)體都可能獲得，因而網(wǎng)絡(luò)所面臨的破壞和攻擊可能是多方面的例如：可能來自物理傳輸線路的攻擊，也可以對(duì)網(wǎng)絡(luò)通信協(xié)議和實(shí)現(xiàn)實(shí)施攻擊；可以是對(duì)軟件實(shí)施攻擊，也可以對(duì)硬件實(shí)施攻擊 國際性的一個(gè)網(wǎng)絡(luò)還意味著網(wǎng)絡(luò)的攻擊不僅僅來自本地網(wǎng)絡(luò)的用戶，它可以來自Inter 上的任何一個(gè)機(jī)器，也就是說,網(wǎng)絡(luò)安全所面臨的是一個(gè)國際化的挑戰(zhàn)。 自由意味著網(wǎng)絡(luò)最初對(duì)用戶的使用并沒有提供任何的技術(shù)約束，用戶可以自由地訪問網(wǎng)絡(luò)，自由地使用和發(fā)布各種類型的信息。用戶只對(duì)自己的行為負(fù)責(zé)，而沒有任何的法律限制。 盡管，開放的、自由的、國際化的 Inter 的發(fā)展給政府機(jī)構(gòu)、企事業(yè)單位帶來了革命性的改革和開放，使得他們能夠利用 Inter 提高辦事效率和市場反應(yīng)能力，以便更具競爭力。通過 Inter，他們可以從異地取回重要數(shù)據(jù)，同時(shí)又要面對(duì)網(wǎng)絡(luò)開放帶來的數(shù)據(jù)安全的新挑戰(zhàn)和新危險(xiǎn)。如何保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵,已成為政府機(jī)構(gòu)、企事業(yè)單位信息化健康發(fā)展所要考慮的重要事情之一。網(wǎng)絡(luò)安全的概念13 / 87網(wǎng)絡(luò)安全包括五個(gè)基本要素：機(jī)密性、完整性、可用性、可控性與可審查性。機(jī)密性：確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程。完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改?？捎眯裕旱玫绞跈?quán)的實(shí)體在需要時(shí)可訪問數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作?？煽匦裕嚎梢钥刂剖跈?quán)范圍內(nèi)的信息流向及行為方式?？蓪彶樾裕簩?duì)出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。網(wǎng)絡(luò)存在的威脅一般認(rèn)為，目前網(wǎng)絡(luò)存在的威脅主要表現(xiàn)在： 非授權(quán)訪問：沒有預(yù)先經(jīng)過同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作非授權(quán)訪問，如有意避開系統(tǒng)訪問控制機(jī)制，對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶以未授權(quán)方式進(jìn)行操作等。 信息泄漏或丟失：指敏感數(shù)據(jù)在有意或無意中被泄漏出去或丟失，它通常包括，信息在傳輸中丟失或泄漏（如黑客們利用電磁泄漏或搭線竊聽等方式可截獲機(jī)密信息，或通過對(duì)信息流向、流量、通信頻度和長度等參數(shù)的分析，推出有用信息，如用戶口令、帳號(hào)等重要信息。），信息在存儲(chǔ)介質(zhì)中丟失或泄漏，通過建立隱蔽隧道等竊取敏感信息等。 破壞數(shù)據(jù)完整性：以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)；惡意添加，修改數(shù)據(jù)，以干擾用戶的正常使用。 拒絕服務(wù)攻擊：它不斷對(duì)網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。 利用網(wǎng)絡(luò)傳播病毒：通過網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性大大高于單機(jī)系統(tǒng)，而且用戶很難防范。安全策略14 / 87安全策略是指在一個(gè)特定的環(huán)境里，為保證提供一定級(jí)別的安全保護(hù)所必須遵守的規(guī)則。該安全策略模型包括了建立安全環(huán)境的三個(gè)重要組成部分，即： 威嚴(yán)的法律：安全的基石是社會(huì)法律、法規(guī)、與手段，這部分用于建立一套安全管理標(biāo)準(zhǔn)和方法。即通過建立與信息安全相關(guān)的法律、法規(guī)，使非法分子懾于法律，不敢輕舉妄動(dòng)。 先進(jìn)的技術(shù)：先進(jìn)的安全技術(shù)是信息安全的根本保障，用戶對(duì)自身面臨的威脅進(jìn)行風(fēng)險(xiǎn)評(píng)估，決定其需要的安全服務(wù)種類。選擇相應(yīng)的安全機(jī)制，然后集成先進(jìn)的安全技術(shù)。 嚴(yán)格的管理：各網(wǎng)絡(luò)使用機(jī)構(gòu)、企業(yè)和單位應(yīng)建立相宜的信息安全管理辦法，加強(qiáng)內(nèi)部管理，建立審計(jì)和跟蹤體系，提高整體信息安全意識(shí)。安全服務(wù)、機(jī)制與技術(shù)安全服務(wù)：服務(wù)控制服務(wù)、數(shù)據(jù)機(jī)密性服務(wù)、數(shù)據(jù)完整性服務(wù)、對(duì)象認(rèn)證服務(wù)、防抵賴服務(wù)。安全機(jī)制：訪問控制機(jī)制、加密機(jī)制、認(rèn)證交換機(jī)制、數(shù)字簽名機(jī)制、防業(yè)務(wù)流分析機(jī)制、路由控制機(jī)制。安全技術(shù)：防火墻技術(shù)、加密技術(shù)、鑒別技術(shù)、數(shù)字簽名技術(shù)、審計(jì)監(jiān)控技術(shù)、病毒防治技術(shù)。 在安全的開放環(huán)境中，用戶可以使用各種安全應(yīng)用。安全應(yīng)用由一些安全服務(wù)來實(shí)現(xiàn)；而安全服務(wù)又是由各種安全機(jī)制或安全技術(shù)實(shí)現(xiàn)的。應(yīng)當(dāng)指出，同一安全機(jī)制有時(shí)也可以用于實(shí)現(xiàn)不同的安全服務(wù)。安全工作目的安全工作的目的就是為了在安全法律、法規(guī)、政策的支持與指導(dǎo)下，通過采用合適的安全技術(shù)與安全管理措施，完成以下任務(wù)：①使用訪問控制機(jī)制，阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)，即“進(jìn)不來”，從而保證網(wǎng)絡(luò)系統(tǒng)的可用性。②使用授權(quán)機(jī)制，實(shí)現(xiàn)對(duì)用戶的權(quán)限控制，即不該拿走的“拿不走”，同時(shí)結(jié)合內(nèi)容審計(jì)機(jī)制，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源及信息的可控性③使用加密機(jī)制，確保信息不暴漏給未授權(quán)的實(shí)體或進(jìn)程，即看不懂，從而實(shí)現(xiàn)信息的保密性。15 / 87④使用數(shù)據(jù)完整性鑒別機(jī)制，保證只有得到允許的人才能修改數(shù)據(jù)，而其它人改不了，從而確保信息的完整性。⑤使用審計(jì)、監(jiān)控、防抵賴等安全機(jī)制，使得攻擊者、破壞者、抵賴者走不脫，并進(jìn)一步對(duì)網(wǎng)絡(luò)出現(xiàn)的安全問題提供調(diào)查依據(jù)和手段，實(shí)現(xiàn)信息安全的可審查性。2．網(wǎng)絡(luò)安全體系結(jié)構(gòu)通過對(duì)網(wǎng)絡(luò)的全面了解，按照安全策略的要求及風(fēng)險(xiǎn)分析的結(jié)果，整個(gè)網(wǎng)絡(luò)措施應(yīng)按系統(tǒng)體系建立。 具體的安全控制系統(tǒng)由以下幾個(gè)方面組成：物理安全、網(wǎng)絡(luò)安全、信息安全。物理安全保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是整個(gè)計(jì)算機(jī)信息系統(tǒng)安全的前提。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤和各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。主要包括三個(gè)方面：☆環(huán)境安全：對(duì)系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)（參見國家標(biāo)準(zhǔn)GB50173－93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》國標(biāo) GB2887－89《計(jì)算站場地技術(shù)條件》、GB9361－88《計(jì)算站場地安全要求》）☆設(shè)備安全：主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等； ☆ 媒體安全：包括媒體數(shù)據(jù)的安全及媒體