【文章內(nèi)容簡介】 路由。與RIP相對，OSPF是鏈路狀態(tài)路由協(xié)議，而RIP是距離向量路由協(xié)議。由于EIGRP是CISCO私有的路由協(xié)議 而OSPF是公有的 所以 現(xiàn)實環(huán)境中 大多都是啟用的OSPF 而EIGRP啟用前提是全網(wǎng)內(nèi)必須都是CISCO設(shè)備 EIGRP被譽(yù)為沒有環(huán)路的協(xié)議Rip與ospf相比 ：由于該公司屬于大型企業(yè)，而rip協(xié)議只適合用于小型的局域網(wǎng)，所以rip和OSPF相比采用OSPF路由協(xié)議比較好。以下是RIP的局限性在大型網(wǎng)絡(luò)中使用所產(chǎn)生的問題:RIP的15跳限制，超過15跳的路由被認(rèn)為不可達(dá)RIP不能支持可變長子網(wǎng)掩碼(VLSM)，導(dǎo)致IP地址分配的低效率RIP沒有網(wǎng)絡(luò)延遲和鏈路開銷的概念，路由選路基于跳數(shù)。擁有較少跳數(shù)的路由總是被選為最佳路由即使較長的路徑有低的延遲和開銷RIP沒有區(qū)域的概念，不能在任意比特位進(jìn)行路由匯總一些增強(qiáng)的功能被引入RIP的新版本RIPv2中，RIPv2支持VLSM，認(rèn)證以及組播更新。但RIPv2的跳數(shù)限制以及慢收斂使它仍然不適用于大型網(wǎng)絡(luò)所以相比RIP而言，OSPF更適合用于大型網(wǎng)絡(luò):沒有跳數(shù)的限制，支持可變長子網(wǎng)掩碼(VLSM)使用組播發(fā)送鏈路狀態(tài)更新，在鏈路狀態(tài)變化時使用觸發(fā)更新，提高了帶寬的利用率，收斂速度快，具有認(rèn)證功能。 路由規(guī)劃拓?fù)鋱D IP地址規(guī)劃分配ip的原則：IP地址有5類，A類到E類，各用在不同類型的網(wǎng)絡(luò)中。地址分類反映了網(wǎng)絡(luò)的大小以及數(shù)據(jù)包是單播還是組播的。但目前只用到A類到C類的ip地址。Ip的分配原則：IP地址是IP網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)囊罁?jù)，它標(biāo)識了IP網(wǎng)絡(luò)中的一個連接，一臺主機(jī)可以有多個IP地址。IP分組中的IP地址在網(wǎng)絡(luò)傳輸中是保持不變的。 現(xiàn)在的IP網(wǎng)絡(luò)使用32位地址，以點(diǎn)分十進(jìn)制表示。地址格式為：IP地址=網(wǎng)絡(luò)地址＋主機(jī)地址 或 IP地址=主機(jī)地址＋子網(wǎng)地址＋主機(jī)地址。 根據(jù)用途和安全性級別的不同，IP地址還可以大致分為兩類：公共地址和私有地址。公用地址在Internet中使用，可以在Internet中隨意訪問。私有地址只能在內(nèi)部網(wǎng)絡(luò)中使用，只有通過代理服務(wù)器才能與Internet通信。 IP協(xié)議中還有一個非常重要的內(nèi)容，那就是給因特網(wǎng)上的每臺計算機(jī)和其它設(shè)備都規(guī)定了一個唯一的地址，叫做“IP 地址”。由于有這種唯一的地址，才保證了用戶在連網(wǎng)的計算機(jī)上操作時，能夠高效而且方便地從千千萬萬臺計算機(jī)中選出自己所需的對象來。唯一性：因特網(wǎng)上的每臺計算機(jī)和其它設(shè)備都規(guī)定了一個唯一的地址，叫做“IP 地址”。由于有這種唯一的地址，才保證了用戶在連網(wǎng)的計算機(jī)上操作時，能夠高效而且方便地從千千萬萬臺計算機(jī)中選出自己所需的對象來。 Internet的主機(jī)都有一個唯一的IP地址，IP地址用一個32位二進(jìn)制的數(shù)表示一個主機(jī)號碼，但32位地址資源有限，已經(jīng)不能滿足用戶的需求了，因此Internet研究組織發(fā)布新的主機(jī)標(biāo)識方法，即IPv6。在RFC1884中，規(guī)定的標(biāo)準(zhǔn)語法建議把IPv6地址的128位（16個字節(jié)）寫成8個16位的無符號整數(shù)，每個整數(shù)用四個十六進(jìn)制位表示，這些數(shù)之間用冒號（：）分開Ip地址的規(guī)劃表格： 第五章 網(wǎng)絡(luò)安全解決方案為了解決資源的共享而建立了網(wǎng)絡(luò)，然而安全卻成了問題，網(wǎng)絡(luò)的邊界隔離著不同功能或地域的多個網(wǎng)絡(luò)區(qū)域，由于職責(zé)和功能的不同，相互連接的網(wǎng)絡(luò)的安全級別也不盡相同，此網(wǎng)絡(luò)也必然存在著安全風(fēng)險，下面我們將對公司網(wǎng)絡(luò)就網(wǎng)絡(luò)邊界問題做脆弱性和風(fēng)險的分析。公司網(wǎng)絡(luò)主要存在的邊界安全風(fēng)險包括：信息泄密、入侵者的攻擊、網(wǎng)絡(luò)病毒、木馬入侵等，邊界安全防護(hù)的主題思想是：我們把網(wǎng)絡(luò)可以看作一個獨(dú)立的對象，通過自身的屬性，維持內(nèi)部業(yè)務(wù)的運(yùn)轉(zhuǎn)。他的安全威脅來自內(nèi)部與邊界兩個方面：內(nèi)部是指網(wǎng)絡(luò)的合法用戶在使用網(wǎng)絡(luò)資源的時候，發(fā)生的不合規(guī)的行為、誤操作、惡意破壞等行為，也包括系統(tǒng)自身的健康，如軟、硬件的穩(wěn)定性帶來的系統(tǒng)中斷。邊界是指網(wǎng)絡(luò)與外界互通引起的安全問題，有入侵、病毒與攻擊。下面我們分析如何防護(hù)邊界？首先建立城墻，把城內(nèi)與外界分割開來，阻斷其與外界的所有聯(lián)系，然后再修建幾座城門，作為進(jìn)出的檢查關(guān)卡，監(jiān)控進(jìn)出的所有人員與車輛，是安全的第一種方法；為了防止入侵者的偷襲，再在外部挖出一條護(hù)城河，讓敵人的行動暴露在寬闊的、可看見的空間里，為了通行，在河上架起吊橋，把路的使用主動權(quán)把握在自己的手中，控制通路的關(guān)閉時間是安全的第二種方法。對于已經(jīng)悄悄混進(jìn)城的“危險分子”，要在城內(nèi)建立有效的安全監(jiān)控體系，比如人人都有身份證、大街小巷的攝像監(jiān)控網(wǎng)絡(luò)、街道的安全聯(lián)防組織，每個公民都是一名安全巡視員，順便說一下：戶籍制度、罪罰、聯(lián)作等方式從老祖宗商鞅就開始在秦國使用了。只要入侵者稍有異樣行為，就會被立即揪住，這是安全的第三種方法。為了邊界的安全不受到威脅，我們做邊界防護(hù)技術(shù)：防火墻技術(shù)、多重安全網(wǎng)關(guān)技術(shù)、網(wǎng)閘技術(shù)。防火墻的安全設(shè)計原理來自于包過濾與應(yīng)用代理技術(shù)，兩邊是連接不同網(wǎng)絡(luò)的接口，中間是訪問控制列表ACL，數(shù)據(jù)流要經(jīng)過ACL的過濾才能通過。ACL有些象海關(guān)的身份證檢查，檢查的是你是哪個國家的人，但你是間諜還是游客就無法區(qū)分了，因為ACL控制的是網(wǎng)絡(luò)的三層與四層，對于應(yīng)用層是無法識別的。后來的防火墻增加了NAT/PAT技術(shù)，可以隱藏內(nèi)網(wǎng)設(shè)備的IP地址，給內(nèi)部網(wǎng)絡(luò)蒙上面紗，成為外部“看不到”的灰盒子，給入侵增加了一定的難度。防火墻的作用就是建起了網(wǎng)絡(luò)的“城門”，把住了進(jìn)入網(wǎng)絡(luò)的必經(jīng)通道，所以在網(wǎng)絡(luò)的邊界安全設(shè)計中，防火墻成為不可缺的一部分。防火墻的缺點(diǎn)是：不能對應(yīng)用層識別，面對隱藏在應(yīng)用中的病毒、木馬都好無辦法。所以作為安全級別差異較大的網(wǎng)絡(luò)互聯(lián)，防火墻的安全性就遠(yuǎn)遠(yuǎn)不夠了。既然一道防火墻不能解決各個層面的安全防護(hù)，就多上幾道安全網(wǎng)關(guān)，如用于應(yīng)用層入侵的IPS、用于對付病毒的AV、用于對付DDOS攻擊的…此時UTM設(shè)備就誕生了，設(shè)計在一起是UTM，分開就是各種不同類型的安全網(wǎng)關(guān)。就是運(yùn)用多重安全網(wǎng)關(guān)技術(shù)。網(wǎng)閘的安全思路來自于“不同時連接”。不同時連接兩個網(wǎng)絡(luò)，通過一個中間緩沖區(qū)來“擺渡”業(yè)務(wù)數(shù)據(jù)，業(yè)務(wù)實現(xiàn)了互通，“不連接”原則上入侵的可能性就小多了。網(wǎng)閘的思想是先堵上，根據(jù)“城內(nèi)”的需要再開一些小門，防火墻是先打開大門，對不希望的人再逐個禁止，兩個思路剛好相反。在入侵的識別技術(shù)上差不多，所以采用多重網(wǎng)關(guān)增加對應(yīng)用層的識別與防護(hù)對兩者都是很好的補(bǔ)充。這樣邊界的安全可以得到較好的保證。內(nèi)網(wǎng)安全的威脅不同于網(wǎng)絡(luò)邊界的威脅。網(wǎng)絡(luò)邊界安全技術(shù)防范來自Internet上的攻擊，主要是防范來自公共的網(wǎng)絡(luò)服務(wù)器如HTTP或SMTP的攻擊。網(wǎng)絡(luò)邊界防范(如邊界防火墻系統(tǒng)等)減小了資深黑客僅僅只需接入互聯(lián)網(wǎng)、寫程序就可訪問企業(yè)網(wǎng)的幾率。內(nèi)網(wǎng)安全威脅主要源于企業(yè)內(nèi)部。惡性的黑客攻擊事件一般都會先控制局域網(wǎng)絡(luò)內(nèi)部的一臺Server，然后以此為基地，對Internet上其他主機(jī)發(fā)起惡性攻擊。因此，應(yīng)在邊界展開黑客防護(hù)措施，同時建立并加強(qiáng)內(nèi)網(wǎng)防范策略。內(nèi)部用戶的惡意攻擊，限制VPN的訪問，虛擬專用網(wǎng)(VPN)用戶的訪問對內(nèi)網(wǎng)的安全造成了巨大的威脅。因為它們將弱化的桌面操作系統(tǒng)置于企業(yè)防火墻的防護(hù)之外。很明顯VPN用戶是可以訪問企業(yè)內(nèi)網(wǎng)的。因此要避免給每一位VPN用戶訪問內(nèi)網(wǎng)的全部權(quán)限。這樣可以利用登錄控制權(quán)限列表來限制VPN用戶的登錄權(quán)限的級別，即只需賦予他們所需要的訪問權(quán)限級別即可，如訪問郵件服務(wù)器或其他可選擇的網(wǎng)絡(luò)資源的權(quán)限。自動跟蹤的安全策略，智能的自動執(zhí)行實時跟蹤的安全策略是有效地實現(xiàn)網(wǎng)絡(luò)安全實踐的關(guān)鍵。它帶來了商業(yè)活動中一大改革，極大的超過了手動安全策略的功效。商業(yè)活動的現(xiàn)狀需要企業(yè)利用一種自動檢測方法來探測商業(yè)活動中的各種變更，因此，安全策略也必須與相適應(yīng)。例如實時跟蹤企業(yè)員工的雇傭和解雇、實時跟蹤網(wǎng)絡(luò)利用情況并記錄與該計算機(jī)對話的文件服務(wù)器?？傊?，要做到確保每天的所有的活動都遵循安全策略。保護(hù)重要資源，若一個內(nèi)網(wǎng)上連了千萬臺(例如30000臺)機(jī)子，那么要期望保持每一臺主機(jī)都處于鎖定狀態(tài)和補(bǔ)丁狀態(tài)是非常不現(xiàn)實的。大型企業(yè)網(wǎng)的安全考慮一般都有擇優(yōu)問題。這樣，首先要對服務(wù)器做效益分析評估，然后對內(nèi)網(wǎng)的每一臺網(wǎng)絡(luò)服務(wù)器進(jìn)行檢查、分類、修補(bǔ)和強(qiáng)化工作。必定找出重要的網(wǎng)絡(luò)服務(wù)器(例如實時跟蹤客戶的服務(wù)器)并對他們進(jìn)行限制管理。這樣就能迅速準(zhǔn)確地確定企業(yè)最重要的資產(chǎn)，并做好在內(nèi)網(wǎng)的定位和權(quán)限限制工作。建立可靠的無線訪問審查網(wǎng)絡(luò)，為實現(xiàn)無線訪問建立基礎(chǔ)。排除無意義的無線訪問點(diǎn)，確保無線網(wǎng)絡(luò)訪問的強(qiáng)制性和可利用性，并提供安全的無線訪問接口。將訪問點(diǎn)置于邊界防火墻之外，并允許用戶通過VPN技術(shù)進(jìn)行訪問。建立安全過客訪問對于過客不必給予其公開訪問內(nèi)網(wǎng)的權(quán)限。許多安全技術(shù)人員執(zhí)行的“內(nèi)部無Internet訪問”的策略，使得員工給客戶一些非法的訪問權(quán)限，導(dǎo)致了內(nèi)網(wǎng)實時跟蹤的困難。因此，須在邊界防火墻之外建立過客訪問網(wǎng)絡(luò)塊?？煽康陌踩珱Q策，在技術(shù)上，采用安全交換機(jī)、重要數(shù)據(jù)的備份、使用代理網(wǎng)關(guān)、確保操作系統(tǒng)的安全、使用主機(jī)防護(hù)系統(tǒng)和入侵檢測系統(tǒng)等等措施也不可缺少。 安全產(chǎn)品選型原則選擇市場主流產(chǎn)品的原則：選擇產(chǎn)品時，應(yīng)選擇在國內(nèi)市場上有相當(dāng)?shù)姆蓊~，具有高性能、高可靠性、高安全性、高可擴(kuò)展性、高可維護(hù)性的產(chǎn)品，如中興、3Com、Cisco、華為的產(chǎn)品市場份額較大。適用原則。絕對的安全是不存在的，因此您必須具有“安全風(fēng)險”意識。信息安全產(chǎn)品的安裝不一定意味信息系統(tǒng)不發(fā)生安全事故。所有的安全產(chǎn)品只是降低安全事件發(fā)生的可能性，減小安全事件所造成的損失，提供彌補(bǔ)損失的手段。您不要（也不可能）追求絕對的安全。 企業(yè)應(yīng)考慮清楚自己信息系統(tǒng)最大的安全威脅來自何處，信息系統(tǒng)中最有價值的是什么，信息系統(tǒng)造成的哪些損失是自己無法忍受的。安全產(chǎn)品只要為企業(yè)提供足夠的手段應(yīng)對主要的安全威脅，將可能的損失減小到可以接受的范圍之內(nèi)，就可以了。不降低信息系統(tǒng)綜合服務(wù)品質(zhì)的原則。目前中國許多企業(yè)往往是在信息系統(tǒng)規(guī)劃（或建設(shè)）完成之后才考慮信息安全，即所謂的“打安全補(bǔ)丁”。這種“補(bǔ)丁”做法往往會給信息安全產(chǎn)品的選型帶來很多困難，因為很多時候，信息安全與系統(tǒng)的使用便利性和效率往往是一對矛盾。 適用性與先進(jìn)性相結(jié)合原則：不同品牌的產(chǎn)品價格差異較大，因此選擇時不能只看品牌或追求高價，也不能只看價錢低的，應(yīng)該根據(jù)應(yīng)用的實際情況，選擇性能價格比高，既要滿足目前的需要，又能適應(yīng)未來幾年網(wǎng)絡(luò)發(fā)展的產(chǎn)品。易于管理原則：所謂易于操作管理主要是指用相應(yīng)的技術(shù)來簡化管理以降低維護(hù)費(fèi)用成本，一般通過硬件與軟件兩個方面來達(dá)到這個目標(biāo)。企業(yè)需要在考慮安全性的前提下，綜合系統(tǒng)的其它性能，結(jié)合評估系統(tǒng)的服務(wù)品質(zhì)，定下系統(tǒng)綜合服務(wù)品質(zhì)參數(shù)，在此基礎(chǔ)上，以不降低綜合服務(wù)品質(zhì)為原則，對信息安全產(chǎn)品進(jìn)行選型。標(biāo)準(zhǔn)性：網(wǎng)絡(luò)安全產(chǎn)品選型符合國家標(biāo)準(zhǔn)，產(chǎn)品的質(zhì)量以及屬性必須達(dá)到國家所要求的，符合本產(chǎn)品的性能；安全性原則：產(chǎn)品系統(tǒng)具有多層次的安全保護(hù)措施，可以滿足用戶身份鑒別、訪問控制、數(shù)據(jù)完整性、可審核性和保密性傳輸?shù)纫?；擴(kuò)展性原則：在業(yè)務(wù)不斷發(fā)展的情況下 ，產(chǎn)品系統(tǒng)可以不斷升級和擴(kuò)充，并保證系統(tǒng)的穩(wěn)定運(yùn)行；性價比：不盲目追求高性能產(chǎn)品，要購買適合自身需求的產(chǎn)品；產(chǎn)品與服務(wù)相結(jié)合原則：選擇產(chǎn)品時，既要看產(chǎn)品的品牌又要看生產(chǎn)廠商和銷售商品是否有強(qiáng)大的技術(shù)支持、良好的售后服務(wù)，否則買回的產(chǎn)品出現(xiàn)故障時既沒有技術(shù)又沒有產(chǎn)品服務(wù)，使企業(yè)蒙受損失。 網(wǎng)絡(luò)常用技術(shù)介紹VLAN技術(shù)VLAN（虛擬局域網(wǎng)）是對連接到的第二層交換機(jī)端口的網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。一個VLAN可以在一個交換機(jī)或者跨交換機(jī)實現(xiàn)。VLAN可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來進(jìn)行分組?；诮粨Q機(jī)的虛擬局域網(wǎng)能夠為局域網(wǎng)解決沖突域、廣播域、帶寬問題。OSPF高級路由協(xié)議隨著Internet技術(shù)在全球范圍的飛速發(fā)展，OSPF已成為目前企業(yè)網(wǎng)采用最多、應(yīng)用最廣泛的路由協(xié)議之一。OSPF路由協(xié)議是一種典型的鏈路狀態(tài)（Linkstate）的路由協(xié)議，一般用于同一個路由域內(nèi)。在這里，路由域是指一個自治系統(tǒng)（Autonomous System），即AS。在這個AS中，所有的OSPF路由器都維護(hù)一個相同的描述這個AS結(jié)構(gòu)的數(shù)據(jù)庫，該數(shù)據(jù)庫中存放的是路由域中相應(yīng)鏈路的狀態(tài)信息，OSPF路由器正是通過這個數(shù)據(jù)庫計算出其OSPF路由表的。Trunk技術(shù)Trunk是一種封裝技術(shù)，它是一條點(diǎn)到點(diǎn)的鏈路，鏈路的兩端可以都是交換機(jī)，也可以是交換機(jī)和路由器，還可以是主機(jī)和交換機(jī)或路由器?；诙丝趨R聚（Trunk）功能，允許交換機(jī)與交換機(jī)、交換機(jī)與路由器、主機(jī)與交換機(jī)或路由器之間通過兩個或多個端口并行連接同時傳輸以提供更高帶寬、更大吞吐量， 大幅度提供整個網(wǎng)絡(luò)能力。TRUNK（端口匯聚）是在交換機(jī)和網(wǎng)絡(luò)設(shè)備之間比較經(jīng)濟(jì)的增加帶寬的方法，如服務(wù)器、路由器、工作站或其他交換機(jī)。這中增加帶寬的方法在當(dāng)單一交換機(jī)和節(jié)點(diǎn)之間連接不能滿足負(fù)荷時是比較有效的。Trunk可以提供負(fù)載均衡能力以及系統(tǒng)容錯。由于Trunk實時平衡各個交換機(jī)端口和服務(wù)器接口的流量，一旦某個端口出現(xiàn)故障，它會自動把故障端口從Trunk組中撤消，進(jìn)而重新分配各個Trunk端口的流量，從而實現(xiàn)系統(tǒng)容錯。TRUNK功能用于交換機(jī)之間的級聯(lián)，通過犧牲端口數(shù)來給交換機(jī)之間的數(shù)據(jù)交換提供捆綁的高帶寬，提高網(wǎng)絡(luò)速度，突破網(wǎng)絡(luò)瓶頸，進(jìn)而大幅提高網(wǎng)絡(luò)性能。SpanningTree協(xié)議生成樹協(xié)議是交換式以太網(wǎng)中的重要概念和技術(shù)，該協(xié)議的目的是在實現(xiàn)交換機(jī)之間的冗余連接的同時，避免網(wǎng)絡(luò)環(huán)路的出現(xiàn)，實現(xiàn)網(wǎng)絡(luò)的高可靠 性。它通過在交換機(jī)之間傳遞橋接協(xié)議數(shù)據(jù)單元（Bridge Protocol Data Unit，BPDU）來互相告知諸如交換機(jī)的橋ID、鏈路性質(zhì)、根橋（Root Bridge）ID等信息，以確定根橋，決定哪些端口處于轉(zhuǎn)發(fā)狀態(tài)，哪些端口處于阻斷狀態(tài)，以免引起網(wǎng)絡(luò)環(huán)路。當(dāng)交換機(jī)之間有多個VLAN時Trunk線路負(fù)載會過重，這時需要 設(shè)置多個Trunk端口，但這樣會形成網(wǎng)絡(luò)環(huán)路。STP協(xié)議便可以解決這一問題.可以通過配置STP端口權(quán)值STP路徑值來實現(xiàn)負(fù)載均衡. 如果使用STP端口權(quán)值來配置那么二條負(fù)載均衡的trunk必須聯(lián)同一交換機(jī)上。使用路徑值則即可以