【文章內(nèi)容簡(jiǎn)介】 輔助）根網(wǎng)橋的交換機(jī)。n 多層交換體系中部署MSTP MSTP（MultIPle Spanning Tree Protocol） 的快速生成樹（RST）算法擴(kuò)展而得到的，體現(xiàn)的是將多個(gè)VLAN映射到一個(gè)生成樹實(shí)例的能力。STP不能遷移，RSTP可以快速收斂，但和STP一樣不能按VLAN阻塞冗余鏈路，所有VLAN的報(bào)文都按一顆生成樹進(jìn)行轉(zhuǎn)發(fā)。MSTP兼容STP和RSTP，從而彌補(bǔ)STP和RSTP的缺陷，不但可以快速收斂，同時(shí)還提供了數(shù)據(jù)轉(zhuǎn)發(fā)的多個(gè)冗余路徑，使不同VLAN 的流量沿各自的路徑分發(fā)，在數(shù)據(jù)轉(zhuǎn)發(fā)過程中實(shí)現(xiàn)VLAN 數(shù)據(jù)的負(fù)載均衡，使設(shè)備的利用率達(dá)到最高。 MST配置組網(wǎng)圖 ：網(wǎng)絡(luò)中所有交換機(jī)屬于同一個(gè) MST 域；VLAN 10 的報(bào)文沿著實(shí)例1 轉(zhuǎn)發(fā)，VLAN 30 沿著實(shí)例3 轉(zhuǎn)發(fā)，VLAN 40 沿著實(shí)例4 轉(zhuǎn)發(fā)，VLAN 20 沿著實(shí)例0 轉(zhuǎn)發(fā)；0中Switch A和Switch B為匯聚層設(shè)備，Switch C和Switch D為接入層設(shè)備。VLANVLAN30 在匯聚層設(shè)備終結(jié)，VLAN 40 在接入層設(shè)備終結(jié)，因此可以配置實(shí)例1和實(shí)例3 的樹根分別為Switch A和Switch B，實(shí)例4 的樹根為Switch C。 多層交換體系中部署VRRP 隨著Internet的發(fā)展，人們對(duì)網(wǎng)絡(luò)可靠性,安全性的要求越來越高。對(duì)于終端用戶來說，希望時(shí)時(shí)與網(wǎng)絡(luò)其他部分保持通信。VRRP（Virtual Router Redundancy Protocol，虛擬路由冗余協(xié)議）是一種容錯(cuò)協(xié)議，它保證當(dāng)主機(jī)的下一跳路由器失效時(shí)，可以及時(shí)由另一臺(tái)路由器代替，從而保持通信的連續(xù)性和可靠性。Cisco系列交換機(jī)更多的采用思科廠商專用的HSRP（Hot Standby Router Protocol，熱備份路由器協(xié)議）為了使VRRP工作，要在路由器上配置虛擬路由器號(hào)和虛擬IP地址，同時(shí)會(huì)產(chǎn)生一個(gè)虛擬MAC(00005E0001[VRID])地址，這樣在這個(gè)網(wǎng)絡(luò)中就加入了一個(gè)虛擬路由器。一個(gè)虛擬路由器由一個(gè)主路由器和若干個(gè)備份路由器組成，主路由器實(shí)現(xiàn)真正的轉(zhuǎn)發(fā)功能。當(dāng)主路由器出現(xiàn)故障時(shí)，一個(gè)備份路由器將成為新的主路由器，接替它的工作, 避免備份組內(nèi)的單臺(tái)或多臺(tái)交換機(jī)發(fā)生故障而引起的通信中斷。 VRRP協(xié)議部署圖：主機(jī) A 把交換機(jī)A 和交換機(jī)B 組成的VRRP 備份組作為自己的缺省網(wǎng)關(guān)，訪問Internet 上的主機(jī)B。備份組號(hào)可以自己設(shè)定；主路由是交換機(jī)A還是交換機(jī)B，取決于兩者的優(yōu)先級(jí)，高的成為主路由，優(yōu)先級(jí)一樣比較IP地址，誰的大誰是主路由，另外一臺(tái)作為備份路由；VRRP默認(rèn)搶占開啟。 IRF技術(shù)的應(yīng)用IRF（Intelligent Resilient Framework，智能彈性架構(gòu)）是H3C公司融合高端交換機(jī)的技術(shù)，在中低端交換機(jī)上推出的創(chuàng)新性建設(shè)網(wǎng)絡(luò)核心的新技術(shù)。它將幫助用戶設(shè)計(jì)和實(shí)施高可用性、高可擴(kuò)展性和高可靠性的千兆以太網(wǎng)核心和匯聚主干。在堆疊之前要先了解堆疊設(shè)備的規(guī)格，一個(gè)堆疊最多支持多少個(gè)設(shè)備，或者最多支持多少個(gè)端口。在系統(tǒng)啟動(dòng)時(shí)、新Unit加入時(shí)、merge時(shí)都會(huì)進(jìn)行配置比較。配置比較時(shí)將以最小ID的Unit的配置作為參照基準(zhǔn)。比較結(jié)果不同的Unit將把基準(zhǔn)配置保存為臨時(shí)文件，然后重起。重起時(shí)將采用這個(gè)臨時(shí)文件作為自己的配置。為增加堆疊的可靠性，盡量使用環(huán)形堆疊?！　RF設(shè)備堆疊端口相連時(shí)一定是UP端口和另一臺(tái)設(shè)備的DOWN端口相連。 S58系列以太網(wǎng)交換機(jī)在企業(yè)網(wǎng)/園區(qū)網(wǎng)的應(yīng)用在大中型企業(yè)或園區(qū)網(wǎng)中，S58系列以太網(wǎng)交換機(jī)作為大樓匯聚交換機(jī)，通過IRF智能彈性架構(gòu)將多臺(tái)匯聚交換機(jī)虛擬為一臺(tái)邏輯設(shè)備，從而簡(jiǎn)化管理維護(hù)，實(shí)現(xiàn)彈性擴(kuò)展。此外H3C的開發(fā)業(yè)務(wù)架構(gòu)也可以使S58系列交換機(jī)集成防火墻模塊，提高網(wǎng)絡(luò)安全性，而在集成了無線控制器模塊以后，可以集中配置管理無線接入點(diǎn)，從而使S58系列交換機(jī)提供一套完整的有線無線一體化的解決方案。4 邊界網(wǎng)絡(luò)安全網(wǎng)絡(luò)邊界就是網(wǎng)絡(luò)的大門，大門的安全防護(hù)是網(wǎng)絡(luò)安全的基礎(chǔ)需求。隨著網(wǎng)絡(luò)的日益復(fù)雜，域邊界的概念逐漸替代了網(wǎng)絡(luò)邊界，邊界成了網(wǎng)絡(luò)安全區(qū)域之間安全控制的基本點(diǎn)。黑客攻擊與廠家防護(hù)技術(shù)都會(huì)最先出現(xiàn)在這里，然后在對(duì)抗中逐步完善與成熟起來。在本文中，邊界安全主要是指企業(yè)網(wǎng)在互聯(lián)網(wǎng)接入這部分。對(duì)邊界進(jìn)行安全防護(hù)，首先必須明確哪些網(wǎng)絡(luò)邊界需要防護(hù)，這可以通過安全分區(qū)設(shè)計(jì)來確定。定義安全分區(qū)的原則就是首先需要根據(jù)業(yè)務(wù)和信息敏感度定義安全資產(chǎn)，其次對(duì)安全資產(chǎn)定義安全策略和安全級(jí)別，對(duì)于安全策略和級(jí)別相同的安全資產(chǎn)，就可以認(rèn)為屬于同一安全區(qū)域。根據(jù)以上原則，H3C提出以下的安全分區(qū)設(shè)計(jì)模型，主要包括內(nèi)網(wǎng)辦公區(qū)、數(shù)據(jù)中心區(qū)、外聯(lián)數(shù)據(jù)區(qū)、互聯(lián)網(wǎng)連接區(qū)、對(duì)外連接區(qū)、網(wǎng)絡(luò)管理區(qū)、廣域網(wǎng)連接區(qū)等區(qū)域。 H3C提出的安全分區(qū)設(shè)計(jì)模型通過以上的分區(qū)設(shè)計(jì)和網(wǎng)絡(luò)現(xiàn)狀，H3C提出了以防火墻、VPN 和應(yīng)用層防御系統(tǒng)為支撐的深度邊界安全解決方案。 NAT技術(shù)的應(yīng)用NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換)屬接入廣域網(wǎng)(WAN)技術(shù),是一種將私有(保留)地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù),它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。 NAT技術(shù)組網(wǎng)圖NAT的實(shí)現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換Static Nat、動(dòng)態(tài)轉(zhuǎn)換Dynamic Nat 和端口多路復(fù)用PAT。 靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對(duì)是一對(duì)一的，是一成不變的，某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問。 動(dòng)態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí)，IP地址是不確定的，是隨機(jī)的，所有被授權(quán)訪問上Internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法IP地址。也就是說，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時(shí)，就可以進(jìn)行動(dòng)態(tài)轉(zhuǎn)換。動(dòng)態(tài)轉(zhuǎn)換可以使用多個(gè)合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)?？梢圆捎脛?dòng)態(tài)轉(zhuǎn)換的方式。 端口多路復(fù)用(Port address Translation,PAT)是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換(PAT，Port Address Translation)。采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP地址實(shí)現(xiàn)對(duì)Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時(shí)，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來自internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。 ACL技術(shù)的應(yīng)用ACL（Access Control List，訪問控制列表）在路由器中被廣泛采用，它是一種基于包過濾的流控制技術(shù)。目前有兩種主要的ACL:標(biāo)準(zhǔn)ACL和擴(kuò)展ACL。標(biāo)準(zhǔn)的ACL使用 1 99 以及13001999之間的數(shù)字作為表號(hào)，擴(kuò)展的ACL使用 100 199以及20002699之間的數(shù)字作為表號(hào)。標(biāo)準(zhǔn)ACL可以阻止來自某一網(wǎng)絡(luò)的所有通信流量，或者允許來自某一特定網(wǎng)絡(luò)的所有通信流量，或者拒絕某一協(xié)議簇（比如IP）的所有通信流量。,VLAN10可以拒絕VLAN11的所有訪問流量。擴(kuò)展ACL比標(biāo)準(zhǔn)ACL提供了更廣泛的控制范圍, 擴(kuò)展IP訪問控制列表比標(biāo)準(zhǔn)IP訪問控制列表具有更多的匹配項(xiàng)，包括協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級(jí)等。一個(gè)端口執(zhí)行哪條ACL，這需要按照列表中的條件語句執(zhí)行順序來判斷。如果一個(gè)數(shù)據(jù)包的報(bào)頭跟表中某個(gè)條件判斷語句相匹配，那么后面的語句就將被忽略，不再進(jìn)行檢查。數(shù)據(jù)包只有在跟第一個(gè)判斷條件不匹配時(shí)，它才被交給ACL中的下一個(gè)條件判斷語句進(jìn)行比較。如果匹配（假設(shè)為允許發(fā)送），則不管是第一條還是最后一條語句，數(shù)據(jù)都會(huì)立即發(fā)送到目的接口。如果所有的ACL判斷語句都檢測(cè)完畢，仍沒有匹配的語句出口，則該數(shù)據(jù)包將視為被拒絕而被丟棄。 ACL技術(shù)組網(wǎng)圖另外還有一些特殊情況下的ACL技術(shù)的應(yīng)用：n 基于MAC地址的ACL:二層 ACL 根據(jù)源MAC 地址、目的MAC 地址、 優(yōu)先級(jí)、二層協(xié)議類型等二層信息制定規(guī)則，對(duì)數(shù)據(jù)進(jìn)行相應(yīng)處理。二層 ACL 的序號(hào)取值范圍為4000～4999。：PC2可以針對(duì)PC3的MAC地址進(jìn)行限制。n 用戶自定義的ACL:非用戶自定義的ACL一旦制定之后，修改起來十分麻煩，要把整個(gè)ACL去掉，然后才能重新建立生效，然而用戶自定義的ACL解決了這一問題，可以在原有的ACL基礎(chǔ)上進(jìn)行修改。n 在Qos中應(yīng)用ACL:Qos ACL指定了Qos分類、標(biāo)記、控制和調(diào)度將應(yīng)用于那些數(shù)據(jù)包，也可以基于時(shí)間段、流量監(jiān)管、隊(duì)列調(diào)度、流量統(tǒng)計(jì)、端口重定向、本地流鏡像以及WEB Cache重定向的功能及應(yīng)用部署相關(guān)的ACL。n 在VLAN中應(yīng)用ACL：VACL又稱為VLAN的訪問映射表，應(yīng)用于VLAN中的所有通信流。需要先建立一個(gè)普通的ACL列表，然后建立一個(gè)關(guān)于VLAN的訪問映射表將建立的ACL列表包含進(jìn)去，最后把訪問映射表映射到所需要的VLANA。 VPN技術(shù)的應(yīng)用VPN（Virtual Private Network，虛擬私有網(wǎng)）是近年來隨著Internet 的廣泛應(yīng)用而迅速發(fā)展起來的一種新技術(shù)，實(shí)現(xiàn)在公用網(wǎng)絡(luò)上構(gòu)建私人專用網(wǎng)絡(luò)。VPN 只為特定的企業(yè)或用戶群體所專用。從用戶角度看來，使用VPN 與傳統(tǒng)專網(wǎng)沒有任何區(qū)別。VPN 作為私有專網(wǎng)，一方面與底層承載網(wǎng)絡(luò)之間保持資源獨(dú)立性，即在一般情況下，VPN 資源不會(huì)被網(wǎng)絡(luò)中的其它VPN 或非該VPN 用戶使用；另一方面，VPN 提供足夠安全性，能夠確保VPN 內(nèi)部信息的完整性、保密性、不可抵賴性。 VPN技術(shù)典型組網(wǎng)圖，在企業(yè)互聯(lián)網(wǎng)出口部署防火墻和VPN設(shè)備，分支機(jī)構(gòu)及移動(dòng)辦公用戶分別通過VPN網(wǎng)關(guān)和VPN客戶端安全連入企業(yè)內(nèi)部網(wǎng)絡(luò)；同時(shí)通過防火墻和IPS將企業(yè)內(nèi)部網(wǎng)、DMZ、數(shù)據(jù)中心、互聯(lián)網(wǎng)等安全區(qū)域分隔開，并通過制定相應(yīng)的安全規(guī)則，以實(shí)現(xiàn)各區(qū)域不同級(jí)別、不同層次的安全防護(hù)。H3C公司的安全解決方案的VPN特性非常豐富，包括適用于分支機(jī)構(gòu)的動(dòng)態(tài)VPN（DVPN）解決方案、適用于MPLS VPN和IPSec VPN環(huán)境下的VPE解決方案、適用于鏈路備份的VPN高可用方案等，可以滿足各種VPN環(huán)境的需要。接下來我們介紹下VPN領(lǐng)域的一些主流技術(shù)。 IPsec VPN的應(yīng)用IPsec(IP Security)是保障IP層安全的網(wǎng)絡(luò)技術(shù)，它并不是指某一項(xiàng)具體的協(xié)議，而是指用于實(shí)現(xiàn)IP層安全的協(xié)議套件集合。IPsec實(shí)質(zhì)上也是一種隧道傳輸技術(shù)，它將IP分組或IP上層載荷封裝在IPsec報(bào)文內(nèi)，并根據(jù)需要進(jìn)行加密和完整性保護(hù)處理，以此保證數(shù)據(jù)在公共網(wǎng)絡(luò)中傳輸過程的安全?！　Psec支持兩種協(xié)議標(biāo)準(zhǔn)，鑒別首部(Authenticaion Header，AH)和封裝安全有效載荷(Encapsulation Security Payload，ESP)：AH可證明數(shù)據(jù)的起源地(數(shù)據(jù)來源認(rèn)證)、保障數(shù)據(jù)的完整性以及防止相同的數(shù)據(jù)包不斷重播(抗重放攻擊)。ESP能提供的安全服務(wù)則更多，除了上述AH所能提供的安全服務(wù)外，還能提供數(shù)據(jù)機(jī)密性，這樣可以保證數(shù)據(jù)包在傳輸過程中不被非法識(shí)別。AH與ESP提供的數(shù)據(jù)完整性服務(wù)的差別在于，AH驗(yàn)證的范圍還包括數(shù)據(jù)包的外部IP頭。在建立IPsec隧道的時(shí)候還需要用到一個(gè)重要的協(xié)議即IKE協(xié)議，通過建立IKE的兩個(gè)階段，完成數(shù)據(jù)的傳送。 IPsec 上的GRE隧道GRE（Generic Routing Encapsulation，通用路由封裝）隧道已經(jīng)應(yīng)用了很長(zhǎng)的一段時(shí)間，GRE首先由Cisco公司提出，目的是提供IP網(wǎng)絡(luò)承載其他路由協(xié)議。某些網(wǎng)絡(luò)管理員為了降低其網(wǎng)絡(luò)核心的管理開銷，將除IP外的所有傳送協(xié)議都刪除了，因而IPX和AppleTalk等非IP協(xié)議只能通過GRE來穿越IP核心網(wǎng)絡(luò)。 IPX 網(wǎng)絡(luò)通過GRE 隧道互連GRE是無狀態(tài)協(xié)議，與IPsec隧道不同，端點(diǎn)在通過隧道發(fā)送流量之前并不調(diào)整任何參數(shù)，只要隧道目的地是可路由的，流量就可以穿過GRE隧道。GRE的源動(dòng)力就是任何東西都可以被封裝在其中，GRE的主要應(yīng)用就是在IP網(wǎng)絡(luò)中承載非IP包，這個(gè)恰恰是IPsec所不能的。另外與IPsec不同，GRE允許路由協(xié)議（OSPF和BGP）穿越連接。但是GRE隧道不提供安全特性，不會(huì)對(duì)流量進(jìn)行加密、完整性驗(yàn)證，而IPsec剛好解決了這個(gè)難題，這樣基于IPsec的GRE的VPN強(qiáng)大功能特性就充分體現(xiàn)了。 二層VPN技術(shù)L2TP的應(yīng)用L2TP提供了一種遠(yuǎn)程接入訪問控制的手段，其典型的應(yīng)用場(chǎng)景是：某公司員工通過PPP撥入公司本地的網(wǎng)絡(luò)訪問服務(wù)器(NAS)，以此接入公司內(nèi)部網(wǎng)絡(luò)，獲取IP地址并訪問相應(yīng)權(quán)限的網(wǎng)絡(luò)資源該員工出差到外地，此時(shí)他想如同在公司本地一樣以內(nèi)網(wǎng)IP地址接入內(nèi)部網(wǎng)絡(luò)，操作相應(yīng)網(wǎng)絡(luò)資源，他的做法是向當(dāng)?shù)豂SP申請(qǐng)L2TP服務(wù)，首先撥入當(dāng)?shù)豂SP，請(qǐng)求ISP與公司NAS建立L2TP會(huì)話，并協(xié)商建立L2TP隧道，然后ISP將他發(fā)送的PPP數(shù)據(jù)通道化處理，通過L2TP隧道傳送到公司NAS，NAS就從中取出PPP數(shù)據(jù)進(jìn)行相應(yīng)的處理，如此該員工就如同在公司本地那樣通過NAS接入公司內(nèi)網(wǎng)。L2TP本質(zhì)上是一種隧道傳輸協(xié)議，它使用兩種類型的消息：控制消息和數(shù)據(jù)隧道消息。控制消息負(fù)責(zé)創(chuàng)建、維護(hù)及終止L2TP隧道，而數(shù)據(jù)隧道消息則負(fù)責(zé)用戶數(shù)據(jù)的真正傳輸。L2TP支持標(biāo)準(zhǔn)的安全特性CHAP和PAP，可以進(jìn)行用戶身份認(rèn)證。在安全性考慮上，L2TP僅定義了控制消息的加密傳輸方式，對(duì)傳輸中的數(shù)據(jù)并不加密。L2TP與IPsec的一個(gè)最大的不同在于它不對(duì)隧道傳輸中的數(shù)據(jù)進(jìn)行加密，從而沒法保證數(shù)據(jù)傳輸過程中的安全。因此這個(gè)時(shí)候，L2TP常和IP