【文章內(nèi)容簡介】 既加強的網(wǎng)絡系統(tǒng)的安全性，又方便了網(wǎng)絡管理員對網(wǎng)絡設備的管理。網(wǎng)絡設備所使用的VLAN ID一般是VLAN1，即默認（default vlan）VLAN。服務器群地址：在網(wǎng)絡系統(tǒng)中有大量服務器，為了對服務器進行統(tǒng)一的管理，（），服務器群所使用的VLAN ID與網(wǎng)段第三個數(shù)字相同為VLAN 10。網(wǎng)絡管理地址：在網(wǎng)絡系統(tǒng)中，網(wǎng)絡管理員及中心機房的電腦作用非常重要，因些將這些地址單獨劃到一個網(wǎng)段，同樣VLAN ID與網(wǎng)段第三個數(shù)字相同為VLAN 11固定用戶：固定用戶就是在各個接入層固定分配IP地址的用戶，每個接入層分配一個24位掩碼的網(wǎng)段作為該接入層的IP地址段.動態(tài)用戶動態(tài)用戶就是在需要動態(tài)分配IP地址的用戶（如無線用戶等），如果不夠還可適當增加，同樣VLAN ID與網(wǎng)段第三個數(shù)字相同為VLAN 100VPN用戶地址VPN用戶通過INTERNET與防火墻建立VPN通道，為了將VPN用戶下內(nèi)部用戶進行區(qū)分。ISP接入的處理ISP接入地址由ISP供應商提供。 網(wǎng)絡優(yōu)化l 在多應用、多系統(tǒng)數(shù)據(jù)的大型網(wǎng)絡中，局域網(wǎng)與廣域網(wǎng)交匯點上形成的通訊瓶頸所帶來的阻塞往往令人無法接受。TCP/IP 協(xié)議的天然屬性以及路由器上優(yōu)化技術的不完美為問題的解決帶來重重障礙。導致現(xiàn)象是，網(wǎng)絡里的最重要信息流無法順暢流通，廣域網(wǎng)資源使用量無法被很好地識別，區(qū)分和控制。通過國際互聯(lián)網(wǎng)或內(nèi)聯(lián)肉進行的各種應用遇到響應遲緩及中斷等問題，尤其是圖象和語音，通訊質量得不到保障。l 目前先進的速率控制與整形技術（Rate Control/Rate Shaping）為這些問題的解決帶來曙光。專業(yè)流量控制器通過對通訊兩端機器通訊流量的同時及直接控制，有效地解決擁擠和阻塞。由于流量控制器能看懂 TCP/IP 從第二到第七的協(xié)議層，它能自動地分辨超過三百多種不同的各種協(xié)議，服務和應用。它能根據(jù)一個特定信息流的特點，根據(jù)IP地址，子網(wǎng)，服務器地點，TCP應用口，域名及應用將這個信息流和其它信息流區(qū)分開來，再根據(jù)不同的需要給予適當或應有的帶寬分區(qū)（Partition）和帶寬政策（Policy）。帶寬分區(qū)和帶寬政策的實施可以是硬性或彈性的，根據(jù)不同的靈活實施，可以確保廣域網(wǎng)有限資源的按需動態(tài)分配。l 針對貴公司信息網(wǎng)，整網(wǎng)部屬Q(mào)oS以來滿足應用數(shù)據(jù)的分類傳輸，保證關鍵應用的網(wǎng)絡質量。QoS通常通過四大步驟來部署，從而控制出現(xiàn)在廣域網(wǎng)接入瓶頸的阻塞。l 步驟一：分類――自動根據(jù)應用程序的種類、子網(wǎng)、URL 和其他信流特征，將網(wǎng)絡信息流分成為不同的類別。流量控制設備所作的遠遠超過靜態(tài)地對端口、IP 地址等作分辨，而是以 OSI 網(wǎng)絡模型二至七層的特征為基礎對信息進行分類，對如 SAP 和 Oracle 等各種應用程序進行精確定位。l 步驟二：分析――提供詳細的應用程序性能和網(wǎng)絡效率分析，描述最大和平均帶寬利用率、響應時間（細分到網(wǎng)絡與服務器延遲等）、最主要的用戶、網(wǎng)頁、應用程序以及其他信息。l 步驟三：控制――通過基于策略的帶寬分配和流量整形，流量控制設備能夠保護重要的應用程序、安置非關鍵信流，并且使有限的廣域網(wǎng)接入性能實現(xiàn)優(yōu)化。您可以為每個對話（session）、每個應用程序指定具體的帶寬?？刂圃O備的 TCP 速率控制技術能夠主動地同時控制出港和入港的信息傳輸以避免阻塞、防止不必要的數(shù)據(jù)包丟棄和重發(fā)，力保平穩(wěn)、均一的流量，實現(xiàn)吞吐優(yōu)化。l 步驟四：報告――具有多種報告功能，它可以產(chǎn)生報告、圖表、數(shù)據(jù)和簡單網(wǎng)絡管理協(xié)議的管理信息庫（SNMP MIB）。您可以通過服務等級協(xié)議來界定性能標準，比較真實性能與服務等級目標，提供兩者吻合的報告。 IP優(yōu)先級劃分l 針對本公司信息化網(wǎng)絡的實際的應用情況，可以把需要使用QOS的各種應用劃分為5類：1. 辦公類應用：這是對延時非常敏感的一種應用，實時性要求高，應該定義為最高級別的優(yōu)先級；2. 視頻/語音： 這類數(shù)據(jù)對延時也非常敏感，但屬于多媒體業(yè)務，可以定義為次優(yōu)先級；3. 工程類業(yè)務： 這類數(shù)據(jù)的特點是交易包長度固定，交易時限要求實時，上下行數(shù)據(jù)流量基本對等，因為是網(wǎng)絡中的關鍵應用，所以應定義為比較高的優(yōu)先級；4. 管理類業(yè)務： 這類數(shù)據(jù)通常對網(wǎng)絡實時性要求不高，可定義為一般優(yōu)先級業(yè)務；5. 其它應用： 其它應用包括大部分Internet訪問，典型的應用是FTP或HTTP等，可以把這類應用定義為最低的優(yōu)先級。l IP Precedence 規(guī)劃表：業(yè)務應用類型IP Precedence值其它應用（如FTP和HTTP）0管理類業(yè)務2工程類業(yè)務3視頻/語音4辦公類應用5 QoS策略規(guī)劃l 根據(jù)網(wǎng)絡以及與WAN的網(wǎng)絡結構，同時考慮應用業(yè)務類型及特點，在整個網(wǎng)絡服務質量保證方面可以使用下面的策略：l 優(yōu)先級分類——通過在分布層的交換機對接入端口設置COS實現(xiàn)；l 擁塞避免機制——采用WRED Weighted Random Early Detection實現(xiàn)；l 擁塞管理機制——采用CBWFQ Class Based Weighted Fair Queuing實現(xiàn)。 QoS數(shù)據(jù)分類l 業(yè)務類l 在網(wǎng)絡數(shù)據(jù)中心內(nèi)部，辦公類應用數(shù)據(jù)和業(yè)務類數(shù)據(jù)主要在業(yè)務交換核心一側，所以，數(shù)據(jù)優(yōu)先級分類可以在數(shù)據(jù)中心核心交換機上根據(jù)連接主機的端口上完成。l 具體的做法是將連接主機的交換機端口設置為untrust，并根據(jù)上表對進入該端口的數(shù)據(jù)包打上相應的Cos值。l OA業(yè)務及視頻類l 在數(shù)據(jù)中心內(nèi)部，EAS類數(shù)據(jù)服務和視頻數(shù)據(jù)主要在交換核心一側，所以，數(shù)據(jù)優(yōu)先級分類可以在數(shù)據(jù)中心核心交換機等交換機上根據(jù)應用類型或連接相應網(wǎng)段的交換端口上完成。l 具體的做法是將連接主機的交換機端口設置為untrust，并根據(jù)上表對進入該端口的數(shù)據(jù)包打上相應的Cos值。 QoS擁塞管理與擁塞避免l 由于數(shù)據(jù)中心局域網(wǎng)多采用千兆或捆綁的多千兆端口互聯(lián)，應該不會存在網(wǎng)絡擁塞的情況。所以在交換機上無需考慮擁塞管理。l 數(shù)據(jù)中心之間的廣域網(wǎng)鏈路，數(shù)據(jù)中心與一級節(jié)點之間的廣域網(wǎng)鏈路都是可能發(fā)生擁塞的網(wǎng)段，需要使用QoS的擁塞管理機制，CBWFQ。QoS的擁塞管理機制可以在數(shù)據(jù)中心之間以及數(shù)據(jù)中心與各一級節(jié)點的廣域網(wǎng)電路上實現(xiàn)。同時QoS的擁塞避免機制，如數(shù)據(jù)包丟棄WRED也可以同時在相應的廣域網(wǎng)端口上實施，以保證高優(yōu)先級業(yè)務數(shù)據(jù)的服務質量。思科的無線局域網(wǎng)系統(tǒng)滿足國際和國內(nèi)的無線標準，市場占有率超過60%，思科WLAN最大程度的兼容符合WiFi標準的各種無線終端設備.無線局域網(wǎng)控制器的智能RF管理所有思科WLAN控制器都配備了用于自適應實時RF管理的內(nèi)嵌軟件。思科WLAN系統(tǒng)使用即將榮獲專利的無線資源管理(RRM)算法，來實時發(fā)現(xiàn)空中無線資源使用的變化并作出調整。這些調整以類似于路由協(xié)議為IP網(wǎng)絡計算最佳拓撲的方式，為無線網(wǎng)絡創(chuàng)建最優(yōu)拓撲。思科無線局域網(wǎng)控制器所管理的特定智能RF功能包括： 動態(tài)信道分配—，以優(yōu)化網(wǎng)絡覆蓋范圍和性能。 干擾檢測和避免—該系統(tǒng)可檢測干擾并重新調整網(wǎng)絡，以避免性能問題。 負載均衡—此系統(tǒng)對多個接入點提供了自動的用戶負載均衡，即使負載量很大，也能獲得最優(yōu)網(wǎng)絡性能。 覆蓋盲區(qū)檢測和修復—無線資源管理(RMM)軟件可發(fā)現(xiàn)覆蓋盲區(qū)，并嘗試通過調整接入點的功率輸出來修復它們。 動態(tài)功率控制—該系統(tǒng)可動態(tài)調整各接入點的功率輸出，來適應不斷變化的網(wǎng)絡情況，以確保達到預期的無線性能和可靠性。無線局域網(wǎng)控制器實現(xiàn)嚴格的安全性思科無線局域網(wǎng)控制器符合最嚴格的安全標準，包括： WiFi WPA2，WPA和有線等效加密(WEP) ，帶多種可擴展驗證協(xié)議(EAP)類型—受保護EAP (PEAP)，帶傳輸層安全的EAP(EAPTLS)，帶隧道化TLS的EAP (EAPTTLS)和思科LEAP VPN終結—4100系列的可選模塊，提供IP安全(IPSec)和第二層隧道協(xié)議(L2TP) VPN終結 思科通過提供以下多個保護層來實現(xiàn)無線局域網(wǎng)安全：RF安全—無線局域網(wǎng)入侵防御和定位—思科無線局域網(wǎng)系統(tǒng)不僅可發(fā)現(xiàn)惡意設備或潛在的無線威脅，而且能對這些設備定位。這使系統(tǒng)管理員能快速評估威脅級別，立即按需采取措施來抵御威脅?；谏矸莸穆?lián)網(wǎng)—IT人員必須在保護無線局域網(wǎng)的同時支持大量不同的用戶訪問權限、設備格式和應用要求。思科無線局域網(wǎng)系統(tǒng)使企業(yè)可為無線用戶或用戶組提供不同的安全策略。這其中包括： 第二層安全功能— (PEAP, LEAP, TTLS), WPA, (WPA2)和L2TP 第三層（和更高層次）的安全功能—IPSec, web驗證 VLAN分配 訪問控制列表（ACL）—IP限制，協(xié)議類型，端口和差分服務代碼點(DSCP)數(shù)值 QoS—多個服務級別，帶寬減少，流量整形和RF利用 驗證、授權和記帳(AAA)/RADIUS—用戶連接策略和權限管理網(wǎng)絡準入控制(NAC)—實施客戶端配置和行為策略，以確保只有擁有適當安全工具的終端用戶設備才能訪問網(wǎng)絡。安全移動—在移動環(huán)境中保持最高安全水平。這包括隨用戶移動而移動的VPN，無需重新建立安全隧道。此外，思科已開發(fā)了主動密鑰緩存(PKC)，、可通過AES加密和RADIUS驗證實現(xiàn)安全漫游。訪客隧道—為訪客接入公司網(wǎng)絡提供更高安全性。它可確保訪客如不首先通過公司防火墻，就無法接入公司網(wǎng)絡。思科無線局域網(wǎng)控制器所支持的認證方式包括： 開放式本地網(wǎng)絡認證 靜態(tài)WEP WPA 認證1開放式本地網(wǎng)絡認證在本地網(wǎng)絡認證方式中，需要在思科無線局域網(wǎng)控制器中加入本地網(wǎng)絡用戶(local net user)的用戶名，密碼，不需要配置認證服務器（radius server）。客戶端除需要配置正確的SSID,不需要其他任何配置。使用時開啟客戶端軟件，開啟IE,無線關聯(lián)后會彈出相應的airspace Web界面，輸入用戶名，密碼。思科無線局域網(wǎng)控制器比對自己內(nèi)部的用戶數(shù)據(jù)，正確即可正常連接網(wǎng)絡。客戶端需求：Cisco ACU，Windows XP SP2 自帶客戶端即可 2 Static WEP 靜態(tài)WEP在靜態(tài)WEP方式中，需要在思科無線局域網(wǎng)控制器中加入靜態(tài)WEP的選項,及相應的WEP的密鑰(40獲104bits).不需要配置認證服務器（radius server）。客戶端需要配置正確的SSID,選用WEP開啟，配置相應的WEP的密鑰即可。客戶端需求：cisco ACU，Windows XP SP2 自帶客戶端即可3 802．1x認證使用 IEEE 在 WLAN 中應用增強型訪問控制機制。這種方法必須與安全可擴展驗證協(xié)議 (EAP) 結合使用。選擇怎樣的 EAP 方法將定義 WLAN 驗證用戶和計算機身份所用的證書類型。思科無線局域網(wǎng)控制器支持使用結合 MSCHAP v2 協(xié)議的 PEAP 進行密碼驗證、使用 EAPTLS 進行證書驗證。PEAP 是安全通道中另一保護 EAP 方法（如 MSCHAP v2）的途徑。使用 PEAP 對于防范目標是基于密碼的 EAP 方法的攻擊而言非常重要。在802．1x認證方式中，思科無線局域網(wǎng)控制器支持EAPPEAPMSCHAPv2， 需要在思科無線局域網(wǎng)控制器中加入802．1x認證的選項,及相應的驗證、授權和記帳(AAA)/RADIUS 服務器的地址，訪問密鑰和動態(tài) WEP(40獲104bits).。需要配置認證服務器（radius server）支持 。需要配置相應的CA..客戶端需要配置正確的SSID,選用802．1x 開啟，及相應的EAPPEAPMSCHAPv2配置。需要配置同認證服務器（radius server相應的CA..客戶端需求：Windows XP SP2 （必須配備支持 和動態(tài) WEP 或 WPA 加密的 WLAN 網(wǎng)絡適配器）IEEE 身份驗證提供對 無線網(wǎng)絡和對有線以太網(wǎng)網(wǎng)絡的經(jīng)驗證的訪問權限。IEEE 通過提供用戶和計算機標識、集中的身份驗證以及動態(tài)密鑰管理，可將無線網(wǎng)絡安全風險（例如，對網(wǎng)絡資源的非授權訪問以及偷聽）減小到最低程度。IEEE 支持 Internet 身份驗證服務 (IAS)，這種服務執(zhí)行遠程身份驗證撥號用戶服務 (RADIUS) 協(xié)議。在此執(zhí)行下，作為 RADIUS 客戶端配置的無線訪問點將連接請求和記帳郵件發(fā)送到中央 RADIUS 服務器。中央 RADIUS 服務器處理此請求并準予或拒絕連接請求。如果準予請求，根據(jù)所選身份驗證方法，該客戶端獲得身份驗證，并且為那個會話生成唯一密鑰（從產(chǎn)生 WEP 密鑰的地方）。IEEE 為可擴展的身份驗證協(xié)議 (EAP) 安全類型提供的支持使您能夠使用諸如智能卡、證書以及 Message Digest 5 (MD5) 算法這樣的身份驗證方法。認證和域控制器的結合是通過認證服務器（radius server）選用外部數(shù)據(jù)庫（包括域服務器）來實現(xiàn)的。通過域成員身份對訪問進行控制可使與 WLAN 有關的額外管理開銷降到最低。本種方式可以登錄域就可以登錄整個域網(wǎng)絡。4 WPA 認證盡管使用 動態(tài)重新加密的 WEP 對于多個實際用途比較安全，但仍存在一些有待解決的問題，包括：WEP 使用單獨的靜態(tài)密鑰用于諸如廣播數(shù)據(jù)包這樣的全局傳輸。與根據(jù)用戶的密鑰不同，全局密鑰并不定期更新。盡管機密數(shù)據(jù)不可能使用廣播進行傳輸，但由于對全局傳輸使用靜態(tài)密鑰，因此使攻擊者可以發(fā)現(xiàn)網(wǎng)絡相關信息，例如 IP 地址以及計算機和用戶名。WEP 保護網(wǎng)絡框架在完整性保護方面性能較差。通過使用加密技術，攻擊者可以修改 WLAN 框架中的信息并更新框架的整體性校驗值，同時不會被接收者發(fā)現(xiàn)。隨著 WLAN 傳輸速度的提高以及計算能力和加密技術的