【文章內(nèi)容簡介】 路由。與RIP相對，OSPF是鏈路狀態(tài)路由協(xié)議，而RIP是距離向量路由協(xié)議。由于EIGRP是CISCO私有的路由協(xié)議 而OSPF是公有的 所以 現(xiàn)實環(huán)境中 大多都是啟用的OSPF 而EIGRP啟用前提是全網(wǎng)內(nèi)必須都是CISCO設備 EIGRP被譽為沒有環(huán)路的協(xié)議Rip與ospf相比 ：由于該公司屬于大型企業(yè)，而rip協(xié)議只適合用于小型的局域網(wǎng)，所以rip和OSPF相比采用OSPF路由協(xié)議比較好。以下是RIP的局限性在大型網(wǎng)絡中使用所產(chǎn)生的問題:RIP的15跳限制，超過15跳的路由被認為不可達RIP不能支持可變長子網(wǎng)掩碼(VLSM)，導致IP地址分配的低效率RIP沒有網(wǎng)絡延遲和鏈路開銷的概念，路由選路基于跳數(shù)。擁有較少跳數(shù)的路由總是被選為最佳路由即使較長的路徑有低的延遲和開銷RIP沒有區(qū)域的概念，不能在任意比特位進行路由匯總一些增強的功能被引入RIP的新版本RIPv2中，RIPv2支持VLSM，認證以及組播更新。但RIPv2的跳數(shù)限制以及慢收斂使它仍然不適用于大型網(wǎng)絡所以相比RIP而言，OSPF更適合用于大型網(wǎng)絡:沒有跳數(shù)的限制，支持可變長子網(wǎng)掩碼(VLSM)使用組播發(fā)送鏈路狀態(tài)更新，在鏈路狀態(tài)變化時使用觸發(fā)更新，提高了帶寬的利用率，收斂速度快，具有認證功能。 路由規(guī)劃拓撲圖 IP地址規(guī)劃分配ip的原則：IP地址有5類，A類到E類，各用在不同類型的網(wǎng)絡中。地址分類反映了網(wǎng)絡的大小以及數(shù)據(jù)包是單播還是組播的。但目前只用到A類到C類的ip地址。Ip的分配原則：IP地址是IP網(wǎng)絡中數(shù)據(jù)傳輸?shù)囊罁?jù)，它標識了IP網(wǎng)絡中的一個連接，一臺主機可以有多個IP地址。IP分組中的IP地址在網(wǎng)絡傳輸中是保持不變的。 現(xiàn)在的IP網(wǎng)絡使用32位地址，以點分十進制表示。地址格式為：IP地址=網(wǎng)絡地址＋主機地址 或 IP地址=主機地址＋子網(wǎng)地址＋主機地址。 根據(jù)用途和安全性級別的不同，IP地址還可以大致分為兩類：公共地址和私有地址。公用地址在Internet中使用，可以在Internet中隨意訪問。私有地址只能在內(nèi)部網(wǎng)絡中使用，只有通過代理服務器才能與Internet通信。 IP協(xié)議中還有一個非常重要的內(nèi)容，那就是給因特網(wǎng)上的每臺計算機和其它設備都規(guī)定了一個唯一的地址，叫做“IP 地址”。由于有這種唯一的地址，才保證了用戶在連網(wǎng)的計算機上操作時，能夠高效而且方便地從千千萬萬臺計算機中選出自己所需的對象來。唯一性：因特網(wǎng)上的每臺計算機和其它設備都規(guī)定了一個唯一的地址，叫做“IP 地址”。由于有這種唯一的地址，才保證了用戶在連網(wǎng)的計算機上操作時，能夠高效而且方便地從千千萬萬臺計算機中選出自己所需的對象來。 Internet的主機都有一個唯一的IP地址，IP地址用一個32位二進制的數(shù)表示一個主機號碼，但32位地址資源有限，已經(jīng)不能滿足用戶的需求了，因此Internet研究組織發(fā)布新的主機標識方法，即IPv6。在RFC1884中，規(guī)定的標準語法建議把IPv6地址的128位（16個字節(jié)）寫成8個16位的無符號整數(shù)，每個整數(shù)用四個十六進制位表示，這些數(shù)之間用冒號（：）分開Ip地址的規(guī)劃表格： 第五章 網(wǎng)絡安全解決方案為了解決資源的共享而建立了網(wǎng)絡，然而安全卻成了問題，網(wǎng)絡的邊界隔離著不同功能或地域的多個網(wǎng)絡區(qū)域，由于職責和功能的不同，相互連接的網(wǎng)絡的安全級別也不盡相同，此網(wǎng)絡也必然存在著安全風險，下面我們將對公司網(wǎng)絡就網(wǎng)絡邊界問題做脆弱性和風險的分析。公司網(wǎng)絡主要存在的邊界安全風險包括：信息泄密、入侵者的攻擊、網(wǎng)絡病毒、木馬入侵等，邊界安全防護的主題思想是：我們把網(wǎng)絡可以看作一個獨立的對象，通過自身的屬性，維持內(nèi)部業(yè)務的運轉(zhuǎn)。他的安全威脅來自內(nèi)部與邊界兩個方面：內(nèi)部是指網(wǎng)絡的合法用戶在使用網(wǎng)絡資源的時候，發(fā)生的不合規(guī)的行為、誤操作、惡意破壞等行為，也包括系統(tǒng)自身的健康，如軟、硬件的穩(wěn)定性帶來的系統(tǒng)中斷。邊界是指網(wǎng)絡與外界互通引起的安全問題，有入侵、病毒與攻擊。下面我們分析如何防護邊界？首先建立城墻，把城內(nèi)與外界分割開來，阻斷其與外界的所有聯(lián)系，然后再修建幾座城門，作為進出的檢查關卡，監(jiān)控進出的所有人員與車輛，是安全的第一種方法；為了防止入侵者的偷襲，再在外部挖出一條護城河，讓敵人的行動暴露在寬闊的、可看見的空間里，為了通行，在河上架起吊橋，把路的使用主動權把握在自己的手中，控制通路的關閉時間是安全的第二種方法。對于已經(jīng)悄悄混進城的“危險分子”，要在城內(nèi)建立有效的安全監(jiān)控體系，比如人人都有身份證、大街小巷的攝像監(jiān)控網(wǎng)絡、街道的安全聯(lián)防組織，每個公民都是一名安全巡視員，順便說一下：戶籍制度、罪罰、聯(lián)作等方式從老祖宗商鞅就開始在秦國使用了。只要入侵者稍有異樣行為，就會被立即揪住，這是安全的第三種方法。為了邊界的安全不受到威脅，我們做邊界防護技術：防火墻技術、多重安全網(wǎng)關技術、網(wǎng)閘技術。防火墻的安全設計原理來自于包過濾與應用代理技術，兩邊是連接不同網(wǎng)絡的接口，中間是訪問控制列表ACL，數(shù)據(jù)流要經(jīng)過ACL的過濾才能通過。ACL有些象海關的身份證檢查，檢查的是你是哪個國家的人，但你是間諜還是游客就無法區(qū)分了，因為ACL控制的是網(wǎng)絡的三層與四層，對于應用層是無法識別的。后來的防火墻增加了NAT/PAT技術，可以隱藏內(nèi)網(wǎng)設備的IP地址，給內(nèi)部網(wǎng)絡蒙上面紗，成為外部“看不到”的灰盒子，給入侵增加了一定的難度。防火墻的作用就是建起了網(wǎng)絡的“城門”，把住了進入網(wǎng)絡的必經(jīng)通道，所以在網(wǎng)絡的邊界安全設計中，防火墻成為不可缺的一部分。防火墻的缺點是：不能對應用層識別，面對隱藏在應用中的病毒、木馬都好無辦法。所以作為安全級別差異較大的網(wǎng)絡互聯(lián)，防火墻的安全性就遠遠不夠了。既然一道防火墻不能解決各個層面的安全防護，就多上幾道安全網(wǎng)關，如用于應用層入侵的IPS、用于對付病毒的AV、用于對付DDOS攻擊的…此時UTM設備就誕生了，設計在一起是UTM，分開就是各種不同類型的安全網(wǎng)關。就是運用多重安全網(wǎng)關技術。網(wǎng)閘的安全思路來自于“不同時連接”。不同時連接兩個網(wǎng)絡，通過一個中間緩沖區(qū)來“擺渡”業(yè)務數(shù)據(jù)，業(yè)務實現(xiàn)了互通，“不連接”原則上入侵的可能性就小多了。網(wǎng)閘的思想是先堵上，根據(jù)“城內(nèi)”的需要再開一些小門，防火墻是先打開大門，對不希望的人再逐個禁止，兩個思路剛好相反。在入侵的識別技術上差不多，所以采用多重網(wǎng)關增加對應用層的識別與防護對兩者都是很好的補充。這樣邊界的安全可以得到較好的保證。內(nèi)網(wǎng)安全的威脅不同于網(wǎng)絡邊界的威脅。網(wǎng)絡邊界安全技術防范來自Internet上的攻擊，主要是防范來自公共的網(wǎng)絡服務器如HTTP或SMTP的攻擊。網(wǎng)絡邊界防范(如邊界防火墻系統(tǒng)等)減小了資深黑客僅僅只需接入互聯(lián)網(wǎng)、寫程序就可訪問企業(yè)網(wǎng)的幾率。內(nèi)網(wǎng)安全威脅主要源于企業(yè)內(nèi)部。惡性的黑客攻擊事件一般都會先控制局域網(wǎng)絡內(nèi)部的一臺Server，然后以此為基地，對Internet上其他主機發(fā)起惡性攻擊。因此，應在邊界展開黑客防護措施，同時建立并加強內(nèi)網(wǎng)防范策略。內(nèi)部用戶的惡意攻擊，限制VPN的訪問，虛擬專用網(wǎng)(VPN)用戶的訪問對內(nèi)網(wǎng)的安全造成了巨大的威脅。因為它們將弱化的桌面操作系統(tǒng)置于企業(yè)防火墻的防護之外。很明顯VPN用戶是可以訪問企業(yè)內(nèi)網(wǎng)的。因此要避免給每一位VPN用戶訪問內(nèi)網(wǎng)的全部權限。這樣可以利用登錄控制權限列表來限制VPN用戶的登錄權限的級別，即只需賦予他們所需要的訪問權限級別即可，如訪問郵件服務器或其他可選擇的網(wǎng)絡資源的權限。自動跟蹤的安全策略，智能的自動執(zhí)行實時跟蹤的安全策略是有效地實現(xiàn)網(wǎng)絡安全實踐的關鍵。它帶來了商業(yè)活動中一大改革，極大的超過了手動安全策略的功效。商業(yè)活動的現(xiàn)狀需要企業(yè)利用一種自動檢測方法來探測商業(yè)活動中的各種變更，因此，安全策略也必須與相適應。例如實時跟蹤企業(yè)員工的雇傭和解雇、實時跟蹤網(wǎng)絡利用情況并記錄與該計算機對話的文件服務器?？傊?，要做到確保每天的所有的活動都遵循安全策略。保護重要資源，若一個內(nèi)網(wǎng)上連了千萬臺(例如30000臺)機子，那么要期望保持每一臺主機都處于鎖定狀態(tài)和補丁狀態(tài)是非常不現(xiàn)實的。大型企業(yè)網(wǎng)的安全考慮一般都有擇優(yōu)問題。這樣，首先要對服務器做效益分析評估，然后對內(nèi)網(wǎng)的每一臺網(wǎng)絡服務器進行檢查、分類、修補和強化工作。必定找出重要的網(wǎng)絡服務器(例如實時跟蹤客戶的服務器)并對他們進行限制管理。這樣就能迅速準確地確定企業(yè)最重要的資產(chǎn)，并做好在內(nèi)網(wǎng)的定位和權限限制工作。建立可靠的無線訪問審查網(wǎng)絡，為實現(xiàn)無線訪問建立基礎。排除無意義的無線訪問點，確保無線網(wǎng)絡訪問的強制性和可利用性，并提供安全的無線訪問接口。將訪問點置于邊界防火墻之外，并允許用戶通過VPN技術進行訪問。建立安全過客訪問對于過客不必給予其公開訪問內(nèi)網(wǎng)的權限。許多安全技術人員執(zhí)行的“內(nèi)部無Internet訪問”的策略，使得員工給客戶一些非法的訪問權限，導致了內(nèi)網(wǎng)實時跟蹤的困難。因此，須在邊界防火墻之外建立過客訪問網(wǎng)絡塊?？煽康陌踩珱Q策，在技術上，采用安全交換機、重要數(shù)據(jù)的備份、使用代理網(wǎng)關、確保操作系統(tǒng)的安全、使用主機防護系統(tǒng)和入侵檢測系統(tǒng)等等措施也不可缺少。 安全產(chǎn)品選型原則選擇市場主流產(chǎn)品的原則：選擇產(chǎn)品時，應選擇在國內(nèi)市場上有相當?shù)姆蓊~，具有高性能、高可靠性、高安全性、高可擴展性、高可維護性的產(chǎn)品，如中興、3Com、Cisco、華為的產(chǎn)品市場份額較大。適用原則。絕對的安全是不存在的，因此您必須具有“安全風險”意識。信息安全產(chǎn)品的安裝不一定意味信息系統(tǒng)不發(fā)生安全事故。所有的安全產(chǎn)品只是降低安全事件發(fā)生的可能性，減小安全事件所造成的損失，提供彌補損失的手段。您不要（也不可能）追求絕對的安全。 企業(yè)應考慮清楚自己信息系統(tǒng)最大的安全威脅來自何處，信息系統(tǒng)中最有價值的是什么，信息系統(tǒng)造成的哪些損失是自己無法忍受的。安全產(chǎn)品只要為企業(yè)提供足夠的手段應對主要的安全威脅，將可能的損失減小到可以接受的范圍之內(nèi)，就可以了。不降低信息系統(tǒng)綜合服務品質(zhì)的原則。目前中國許多企業(yè)往往是在信息系統(tǒng)規(guī)劃（或建設）完成之后才考慮信息安全，即所謂的“打安全補丁”。這種“補丁”做法往往會給信息安全產(chǎn)品的選型帶來很多困難，因為很多時候，信息安全與系統(tǒng)的使用便利性和效率往往是一對矛盾。 適用性與先進性相結(jié)合原則：不同品牌的產(chǎn)品價格差異較大，因此選擇時不能只看品牌或追求高價，也不能只看價錢低的，應該根據(jù)應用的實際情況，選擇性能價格比高，既要滿足目前的需要，又能適應未來幾年網(wǎng)絡發(fā)展的產(chǎn)品。易于管理原則：所謂易于操作管理主要是指用相應的技術來簡化管理以降低維護費用成本，一般通過硬件與軟件兩個方面來達到這個目標。企業(yè)需要在考慮安全性的前提下，綜合系統(tǒng)的其它性能，結(jié)合評估系統(tǒng)的服務品質(zhì)，定下系統(tǒng)綜合服務品質(zhì)參數(shù)，在此基礎上，以不降低綜合服務品質(zhì)為原則，對信息安全產(chǎn)品進行選型。標準性：網(wǎng)絡安全產(chǎn)品選型符合國家標準，產(chǎn)品的質(zhì)量以及屬性必須達到國家所要求的，符合本產(chǎn)品的性能；安全性原則：產(chǎn)品系統(tǒng)具有多層次的安全保護措施，可以滿足用戶身份鑒別、訪問控制、數(shù)據(jù)完整性、可審核性和保密性傳輸?shù)纫?；擴展性原則：在業(yè)務不斷發(fā)展的情況下 ，產(chǎn)品系統(tǒng)可以不斷升級和擴充，并保證系統(tǒng)的穩(wěn)定運行；性價比：不盲目追求高性能產(chǎn)品，要購買適合自身需求的產(chǎn)品；產(chǎn)品與服務相結(jié)合原則：選擇產(chǎn)品時，既要看產(chǎn)品的品牌又要看生產(chǎn)廠商和銷售商品是否有強大的技術支持、良好的售后服務，否則買回的產(chǎn)品出現(xiàn)故障時既沒有技術又沒有產(chǎn)品服務，使企業(yè)蒙受損失。 網(wǎng)絡常用技術介紹VLAN技術VLAN（虛擬局域網(wǎng)）是對連接到的第二層交換機端口的網(wǎng)絡用戶的邏輯分段，不受網(wǎng)絡用戶的物理位置限制而根據(jù)用戶需求進行網(wǎng)絡分段。一個VLAN可以在一個交換機或者跨交換機實現(xiàn)。VLAN可以根據(jù)網(wǎng)絡用戶的位置、作用、部門或者根據(jù)網(wǎng)絡用戶所使用的應用程序和協(xié)議來進行分組?；诮粨Q機的虛擬局域網(wǎng)能夠為局域網(wǎng)解決沖突域、廣播域、帶寬問題。OSPF高級路由協(xié)議隨著Internet技術在全球范圍的飛速發(fā)展，OSPF已成為目前企業(yè)網(wǎng)采用最多、應用最廣泛的路由協(xié)議之一。OSPF路由協(xié)議是一種典型的鏈路狀態(tài)（Linkstate）的路由協(xié)議，一般用于同一個路由域內(nèi)。在這里，路由域是指一個自治系統(tǒng)（Autonomous System），即AS。在這個AS中，所有的OSPF路由器都維護一個相同的描述這個AS結(jié)構(gòu)的數(shù)據(jù)庫，該數(shù)據(jù)庫中存放的是路由域中相應鏈路的狀態(tài)信息，OSPF路由器正是通過這個數(shù)據(jù)庫計算出其OSPF路由表的。Trunk技術Trunk是一種封裝技術，它是一條點到點的鏈路，鏈路的兩端可以都是交換機，也可以是交換機和路由器，還可以是主機和交換機或路由器。基于端口匯聚（Trunk）功能，允許交換機與交換機、交換機與路由器、主機與交換機或路由器之間通過兩個或多個端口并行連接同時傳輸以提供更高帶寬、更大吞吐量， 大幅度提供整個網(wǎng)絡能力。TRUNK（端口匯聚）是在交換機和網(wǎng)絡設備之間比較經(jīng)濟的增加帶寬的方法，如服務器、路由器、工作站或其他交換機。這中增加帶寬的方法在當單一交換機和節(jié)點之間連接不能滿足負荷時是比較有效的。Trunk可以提供負載均衡能力以及系統(tǒng)容錯。由于Trunk實時平衡各個交換機端口和服務器接口的流量，一旦某個端口出現(xiàn)故障，它會自動把故障端口從Trunk組中撤消，進而重新分配各個Trunk端口的流量，從而實現(xiàn)系統(tǒng)容錯。TRUNK功能用于交換機之間的級聯(lián)，通過犧牲端口數(shù)來給交換機之間的數(shù)據(jù)交換提供捆綁的高帶寬，提高網(wǎng)絡速度，突破網(wǎng)絡瓶頸，進而大幅提高網(wǎng)絡性能。SpanningTree協(xié)議生成樹協(xié)議是交換式以太網(wǎng)中的重要概念和技術，該協(xié)議的目的是在實現(xiàn)交換機之間的冗余連接的同時，避免網(wǎng)絡環(huán)路的出現(xiàn)，實現(xiàn)網(wǎng)絡的高可靠 性。它通過在交換機之間傳遞橋接協(xié)議數(shù)據(jù)單元（Bridge Protocol Data Unit，BPDU）來互相告知諸如交換機的橋ID、鏈路性質(zhì)、根橋（Root Bridge）ID等信息，以確定根橋，決定哪些端口處于轉(zhuǎn)發(fā)狀態(tài)，哪些端口處于阻斷狀態(tài)，以免引起網(wǎng)絡環(huán)路。當交換機之間有多個VLAN時Trunk線路負載會過重，這時需要 設置多個Trunk端口，但這樣會形成網(wǎng)絡環(huán)路。STP協(xié)議便可以解決這一問題.可以通過配置STP端口權值STP路徑值來實現(xiàn)負載均衡. 如果使用STP端口權值來配置那么二條負載均衡的trunk必須聯(lián)同一交換機上。使用路徑值則即可以