【文章內(nèi)容簡(jiǎn)介】 高網(wǎng)絡(luò)的安全性。 VLAN 是為解決以太網(wǎng)的廣播問(wèn)題和安全性而提出的一種協(xié)議，它在以太網(wǎng)幀的基礎(chǔ)上增加了 VLAN 頭，用 VLAN ID 把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個(gè)工作組就是一個(gè)虛擬域網(wǎng)。虛擬域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬 工作組，動(dòng)態(tài)管理網(wǎng)絡(luò)。 VLAN 在交換機(jī)上的實(shí)現(xiàn)方法，可以大致劃分為 4 類 : （ 1） 基于端口劃分的 VLAN 這種劃分 VLAN 的方法是根據(jù)以太網(wǎng)交換機(jī)的端口來(lái)劃分，比如某交換機(jī)的 1~4端口為 VLAN 10， 5~17 為 VLAN 20， 18~24 為 VLAN 30，當(dāng)然，這些屬于同一 VLAN 的端口可以不連續(xù)，如何配置，由管理員決定，如果有多個(gè)交換機(jī)，例如，可以指定交換機(jī) 1 的1~6 端口和交換機(jī) 2 的 1~4端口為同一 VLAN，即同一 VLAN 可以跨越數(shù)個(gè)以太網(wǎng)交換機(jī)，根據(jù)端口劃分是目前定義 VLAN 的最廣泛的方法， IEEE 端口來(lái)劃分 VLAN 的國(guó)際標(biāo)準(zhǔn)。 這種劃分的方法的優(yōu)點(diǎn)是定義 VLAN 成員時(shí)非常簡(jiǎn)單，只要將所有的端口都指定義一下就可以了。它的缺點(diǎn)是如果 VLAN A 的用戶離開了原來(lái)的端口，到了一個(gè)新的交換機(jī)的某個(gè)端口，那么就必須重新定義。 13 13 （ 2） 基于 MAC 地址劃分 VLAN 這種劃分 VLAN 的方法是根據(jù)每個(gè)主機(jī)的 MAC 地址來(lái)劃分，即對(duì)每個(gè) MAC 地址的主機(jī)都配置他屬于哪個(gè)組。這種劃分 VLAN 的方法的最大優(yōu)點(diǎn)就是當(dāng)用戶物理位置移動(dòng)時(shí)，即從一個(gè)交換機(jī)換到其他的交換機(jī)時(shí)， VLAN 不用重新配置，所 以，可以認(rèn)為這種根據(jù) MAC地址的劃分方法是基于用戶的 VLAN，這種方法的缺點(diǎn)是初始化時(shí)，所有的用戶都必須進(jìn)行配置，如果有幾百個(gè)甚至上千個(gè)用戶的話，配置是非常累的。而且這種劃分的方法也導(dǎo)致了交換機(jī)執(zhí)行效率的降低，因?yàn)樵诿恳粋€(gè)交換機(jī)的端口都可能存在很多個(gè) VLAN 組的成員，這樣就無(wú)法限制廣播包了。另外，對(duì)于使用筆記本電腦的用戶來(lái)說(shuō)，他們的網(wǎng)卡可能經(jīng)常更換，這樣， VLAN 就必須不停的配置。 （ 3） 基于網(wǎng)絡(luò)層劃分 VLAN 這種劃分 VLAN 的方法是根據(jù)每個(gè)主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類型 (如果支持多協(xié)議 )劃分的，雖然這種劃分方 法是根據(jù)網(wǎng)絡(luò)地址，比如 IP 地址，但它不是路由，與網(wǎng)絡(luò)層的路由毫無(wú)關(guān)系。它雖然查看每個(gè)數(shù)據(jù)包的 IP 地址，但由于不是路由，所以，沒有 RIP， OSPF 等路由協(xié)議，而是根據(jù)生成樹算法進(jìn)行橋交換， 這種方法的優(yōu)點(diǎn)是用戶的物理位置改變了，不需要重新配置所屬的 VLAN，而且可以根據(jù)協(xié)議類型來(lái)劃分 VLAN，這對(duì)網(wǎng)絡(luò)管理者來(lái)說(shuō)很重要，還有，這種方法不需要附加的幀標(biāo)簽來(lái)識(shí)別 VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。 這種方法的缺點(diǎn)是效率低，因?yàn)闄z查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時(shí)間的 (相對(duì)于前面兩種方法 )，一般的交換機(jī)芯 片都可以自動(dòng)檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)禎頭，但要讓芯片能檢查 IP 幀頭，需要更高的技術(shù)，同時(shí)也更費(fèi)時(shí)。當(dāng)然，這與各個(gè)廠商的實(shí)現(xiàn)方法有關(guān)。 （ 4） 根據(jù) IP 組播劃分 VLAN IP 組播實(shí)際上也是一種 VLAN 的定義，即認(rèn)為一個(gè)組播組就是一個(gè) VLAN，這種劃分的方法將 VLAN 擴(kuò)大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過(guò)路由器進(jìn)行擴(kuò)展，當(dāng)然這種方法不適合域網(wǎng)，主要是效率不高。 VLAN 規(guī)劃建議 依據(jù)上述 VLAN 的定義， 公司 的 VLAN 劃分可以規(guī)劃為以下幾個(gè)部分： 14 14 （ 1） 網(wǎng)絡(luò)設(shè)備連接的 VLAN，交換機(jī)之間互聯(lián)，需 要?jiǎng)澐?VLAN，然后指定對(duì)應(yīng)的物理端口到相應(yīng)的 VLAN，這部分 VLAN 可以規(guī)劃為 ID 相對(duì)比較大的取值從20202200； （ 2） 網(wǎng)絡(luò)交換機(jī)提供給終端用戶接入的 VLAN，可以為每個(gè) 公司 、每個(gè)樓層分配一個(gè)獨(dú)立的 VLAN，這部分 VLAN 可以規(guī)劃為 ID 從 101999，這部分預(yù)留空間比較大，甚至根據(jù)需要可以為每個(gè)交換機(jī)端口，每個(gè)終端分配一個(gè) VLAN； （ 3） 網(wǎng)絡(luò)管理和數(shù)據(jù)中心及其它應(yīng)用 VLAN，這部分 VLAN ID 可以取 23004096中的數(shù)值。 網(wǎng)絡(luò)服務(wù)質(zhì)量（ QOS）設(shè)計(jì) QOS 介紹 QoS 是指一個(gè)網(wǎng)路利用各種各樣的基 礎(chǔ)技術(shù)（ FR,IP,ATM 等）向選定的網(wǎng)絡(luò)通信提供更好的服務(wù)能力。服務(wù)質(zhì)量是保證 IP 網(wǎng)絡(luò)能夠?yàn)橛脩籼峁┒喾N寬帶業(yè)務(wù)的重要因素。 VOD、Video Conference、普通的 Web 訪問(wèn)、 FTP 文件傳輸對(duì)網(wǎng)絡(luò)的帶寬、時(shí)延要求是不同的。理論上 IP 網(wǎng)只要帶寬很高，用戶通信流量相對(duì)很小時(shí)是不用考慮 QoS 的。但網(wǎng)絡(luò)技術(shù)在發(fā)展，用戶的需求也在不斷提高，從最初的訪問(wèn) Web、文件傳輸、遠(yuǎn)程登錄到寬帶業(yè)務(wù)如視頻點(diǎn)播、網(wǎng)絡(luò)可視會(huì)議、在線交易等，用戶需要的帶寬逐步增加，對(duì)于網(wǎng)絡(luò)運(yùn)營(yíng)商來(lái)說(shuō)，必須考慮 QoS 問(wèn)題。尤其在骨干網(wǎng)中，帶寬 、時(shí)延、延遲變化都是要優(yōu)先考慮的內(nèi)容。 QoS 可以為不同種類的業(yè)務(wù)提供不同的保障層次，從而使對(duì)時(shí)延敏感、帶寬占用要求較高的業(yè)務(wù)得到穩(wěn)定的傳輸，從而充分利用網(wǎng)絡(luò)帶寬，提供可靠的服務(wù)質(zhì)量。 QoS 體系結(jié)構(gòu)可在整個(gè)網(wǎng)絡(luò)提供端到端 QoS 傳送。如要在網(wǎng)絡(luò)傳送 QoS，以下組件是必需的： （ 1） 單個(gè)網(wǎng)絡(luò)內(nèi)部 QoS，包括排隊(duì)，時(shí)序安排，通信流量規(guī)定。 （ 2） QoS 信令技術(shù) ,用來(lái)協(xié)調(diào)一致 QoS 所穿過(guò)所有網(wǎng)絡(luò)設(shè)備。 （ 3） QoS 監(jiān)視和管理功能，用于控制和管理網(wǎng)上端到端通信。 （ 4） 核心和邊緣交換機(jī)所完成的 QoS 功能： （ 5） 核心交換機(jī)完成管理通信擁塞和避免通 信擁塞。 15 15 （ 6） 邊緣交換機(jī)完成數(shù)據(jù)包分類，準(zhǔn)入控制，配置管理。 QoS 可以使網(wǎng)絡(luò)可以控制和有預(yù)見性的為各種各樣的網(wǎng)絡(luò)應(yīng)用和通信類型提供服務(wù)?？梢蕴岣咭韵鹿δ埽? （ 1） 控制資源的能力，（帶寬，設(shè)備，廣域網(wǎng)設(shè)施等）。 （ 2） 劃分細(xì)致的服務(wù)。 （ 3） 各種任務(wù)關(guān)鍵性應(yīng)用并存。 （ 4） 有效的利用網(wǎng)絡(luò)資源。 （ 5） 為將來(lái)全面整合網(wǎng)絡(luò)打下基礎(chǔ)。 QoS 的服務(wù)模型有三種： （ 1） BestEffort Service：一種單一的服務(wù)模式，應(yīng)用可以在任意時(shí)刻發(fā)送數(shù)據(jù)，不通知網(wǎng)絡(luò)。如條件允許的話，網(wǎng)絡(luò)也盡可能的傳數(shù)據(jù)，不需要在可靠性，延時(shí)范圍，吞吐量的保證。通過(guò) FIFO 來(lái)實(shí)現(xiàn)。適用于一般的文件傳輸和 等。 （ 2） Integrated Service：是一種復(fù)合的服務(wù)模式，適于多種的 QoS 需求。應(yīng)用在發(fā)送數(shù)據(jù)前，向網(wǎng)絡(luò)申請(qǐng)一種網(wǎng)絡(luò)服務(wù)，網(wǎng)絡(luò)確認(rèn)后，再發(fā)送數(shù)據(jù)，并且數(shù)據(jù)必須滿足應(yīng)用申請(qǐng)時(shí)所描述的通信概況。 （ 3） Differentiated Service：是一種復(fù)合服務(wù)模式，能夠滿足多種的 QoS 需求。應(yīng)用發(fā)送數(shù)據(jù)前，不向交換機(jī)發(fā)送信號(hào)，網(wǎng)絡(luò)根據(jù)每個(gè)數(shù)據(jù)包所指定的 QoS來(lái)提供服務(wù)。 目前 QoS 技術(shù)主要如下： （ 1） WRED （ Weighted Random Early Detection， WRED） 用于避免網(wǎng)絡(luò)流量的振蕩。網(wǎng)絡(luò)管理員可根據(jù)信息流量類型的不同而制定不同的 RED策略， WRED可以在網(wǎng)絡(luò)發(fā)生擁塞時(shí)對(duì)重要的信息類型給予優(yōu)先處理，而對(duì)低優(yōu)先級(jí)的數(shù)據(jù)，在擁塞發(fā)生前就有意地丟棄一些，從而降低網(wǎng)絡(luò)擁塞的程度。丟棄的包可通過(guò)其上層傳輸控制進(jìn)行糾錯(cuò)和重傳。 （ 2） WFQ Weighted Fair Queuing 能夠根據(jù) IP Presedence、應(yīng)用端口、 IP 協(xié)議或引入接口對(duì) IP 包進(jìn)行區(qū)分，并排在若干隊(duì)列中，然后對(duì) IP包的輸出進(jìn)行排程，從而滿足帶寬分配和延遲要求。 最常見的應(yīng)用即根 據(jù) IP優(yōu)先級(jí)或應(yīng)用端口，將 IP包放入不同優(yōu)先級(jí)隊(duì)列，高優(yōu)先級(jí)隊(duì)列先進(jìn)行處理，在高優(yōu)先級(jí)隊(duì)列處理的空隙再處理低優(yōu)先級(jí)隊(duì)列，在處理低優(yōu)先級(jí)隊(duì)列時(shí)若高優(yōu)先級(jí)隊(duì)列出現(xiàn) IP包，則轉(zhuǎn)回高優(yōu)先級(jí)隊(duì)列進(jìn)行處理。 16 16 （ 3） RSVP(Resource Reservation Protocol,RSVP) RSVP是 Integrated Service類型的一種網(wǎng)絡(luò)協(xié)議。原來(lái)的研究背景是會(huì)議應(yīng)用，現(xiàn)被IETF集成服務(wù)工作組認(rèn)為是集成服務(wù)中通用的資源預(yù)留解決方案。 RSVP本身不是一個(gè)路由選擇協(xié)議，它僅僅被用來(lái)沿著所選定的路由預(yù)留資源。其預(yù) 留建立在流的基礎(chǔ)上，流由 IPv4的地址字段或 IPv6的流標(biāo)識(shí)來(lái)指定，路由器 /交換機(jī)根據(jù)為該流建立的預(yù)留來(lái)調(diào)度分組的轉(zhuǎn)發(fā)。 RSVP 使網(wǎng)絡(luò)用戶根據(jù)自己對(duì)帶寬，時(shí)延的要求動(dòng)態(tài)地申請(qǐng)保留網(wǎng)絡(luò)資源來(lái)滿足它們特別的應(yīng)用要求。通過(guò) proxyRSVP功能，路由器 /交換機(jī)可代替最終網(wǎng)絡(luò)節(jié)點(diǎn)用戶的應(yīng)用申請(qǐng)資源。這樣使更多通用應(yīng)用能享使 RSVP的優(yōu)點(diǎn)。 作為一個(gè)新的信令協(xié)議， RSVP有以下基本特點(diǎn)： 1) 預(yù)留請(qǐng)求由是接收方發(fā)起，由接收方根據(jù)自身系統(tǒng)的特定環(huán)境和接收愿望指定不同的資源預(yù)留。這種接收方起動(dòng)的模式原則上允許系統(tǒng)的異構(gòu)性。 2) 既支持單點(diǎn)投遞的資源預(yù)留，也支持多點(diǎn)間的群組通信資源預(yù)留，并且它的過(guò)濾機(jī)制允許預(yù)留的資源可以被多個(gè)發(fā)送者共享或?qū)ν粋€(gè)發(fā)送者的預(yù)留進(jìn)行合并。 3) 它既可以用于主機(jī)，也可以用于路由器 /交換機(jī)。 4) 資源預(yù)留的建立在轉(zhuǎn)發(fā)數(shù)據(jù)之前完成，其資源預(yù)留是單向的。 5) 用軟狀態(tài)指示預(yù)留的存在狀態(tài)，周期性地被刷新，從而支持動(dòng)態(tài)的成員和路由變化。 6) RSVP在端系統(tǒng)和路由器 /交換機(jī)上的開銷通常與接收方數(shù)目的對(duì)數(shù)成正比。 7) RSVP傳輸維護(hù)通信量控制以及策略控制的參數(shù)對(duì) RSVP來(lái)說(shuō)是不透明的。 8) RSVP支持幾種預(yù)留模式以適應(yīng)各種應(yīng)用，同 時(shí)對(duì)不支持 RSVP的路由器 /交換機(jī)提供旁路作用。 （ 4） IP Presedence IP Presedence不是一種協(xié)議，它是利用 IP包中的 TOS字段攜帶 IP包的類別信息。通過(guò)對(duì) IP包進(jìn)行分類，在網(wǎng)絡(luò)中可以根據(jù) IP包的類別來(lái)進(jìn)行基于策略的選路和提供質(zhì)量保證。 （ 5） PBR(Policybased routing, PBR) 利用 PBR可以根據(jù) IP包的源地址及應(yīng)用端口等為依據(jù)，對(duì)該 IP包選擇下一跳的路由，同時(shí)也能為 IP 包改變 IP Presedence。 PBR一般用在網(wǎng)絡(luò)邊緣，對(duì)進(jìn)入網(wǎng)絡(luò)的 IP 包進(jìn)行分類，這樣 IP包在網(wǎng) 絡(luò)內(nèi)部傳輸時(shí)就可根據(jù) IP Presedence進(jìn)行相應(yīng)的路由策略。 （ 6） CAR (Committed Access Rate,CAR) 用戶接入時(shí)與網(wǎng)絡(luò)運(yùn)營(yíng)商所約定的速率。當(dāng)用戶終端出來(lái)的流量超過(guò) CAR時(shí)，超過(guò)的部17 17 分將被丟棄或標(biāo)以最低的優(yōu)先級(jí)。一般用在網(wǎng)絡(luò)接入層，用于限制網(wǎng)絡(luò)入口速率。 QOS 設(shè)計(jì) 在 公司 網(wǎng)絡(luò)信息網(wǎng)絡(luò)中，多種用戶并存，用戶所需的服務(wù)也多樣化。為了滿足用戶的需求，區(qū)分不同的用戶，保證網(wǎng)絡(luò)的服務(wù)質(zhì)量，我各個(gè)部門建議在辦公信息網(wǎng)絡(luò)中采用PolicyBased Routing(PBR)技術(shù)。 PolicyBased Routing(PBR)顧名思義，是基于策略的路由。在自己的網(wǎng)絡(luò)中，用戶可以定義自己的策略，來(lái)決定哪些流量可以通過(guò)哪些路徑傳輸，那些流量可以優(yōu)先傳送，那些流量要為其保證帶寬；如何動(dòng)態(tài)分配帶寬等。并且可以與 QoS 和 RSVP 結(jié)合，為不同的數(shù)據(jù)包提供不同的服務(wù)質(zhì)量。例如，當(dāng) 公司網(wǎng) 中某些部門需要開視頻會(huì)議時(shí)，我們采用 RSVP技術(shù)和 QoS 的 WFQ 技術(shù)，保證為視頻會(huì)議預(yù)留充足帶寬，同時(shí)也能滿足數(shù)據(jù)流的傳送。我們還可以采用 PQ，為語(yǔ)音數(shù)據(jù)報(bào)設(shè)置較高的優(yōu)先級(jí)，運(yùn)用于語(yǔ)音接口上，將 IP 電話的延遲減少到最 低。 通過(guò)以上各種 QOS技術(shù)的合理運(yùn)用，可以給 公司 辦公大樓網(wǎng)絡(luò)提供可靠的服務(wù)質(zhì)量保證。 18 18 網(wǎng)絡(luò)詳細(xì)設(shè)計(jì) 網(wǎng)絡(luò)設(shè)計(jì) ? 網(wǎng)絡(luò)設(shè)備與線路變更 根據(jù) 公司 原有網(wǎng)絡(luò)結(jié)構(gòu)分析，在原有網(wǎng)絡(luò)結(jié)構(gòu)上增加 H3C S7506E 和 UTM(U200A)，把互聯(lián)網(wǎng)路由器 AR2831替換為 H3C MSR5040,S3928替換為 S360052PEI。 原有網(wǎng)絡(luò) 結(jié) 構(gòu)分析 針對(duì) 公司的網(wǎng)絡(luò)結(jié)構(gòu)，原有網(wǎng)絡(luò)存在很大隱患， 辦公網(wǎng)絡(luò)和 Inter網(wǎng)絡(luò)處于同一網(wǎng)絡(luò)內(nèi)，而且還由一臺(tái)核心交換機(jī)來(lái)支撐整個(gè)網(wǎng)絡(luò)， 內(nèi)部網(wǎng)絡(luò)壓力過(guò)大容 易引起網(wǎng)絡(luò)延遲，丟包，互聯(lián)網(wǎng)訪問(wèn)速度慢等現(xiàn)象。而且 當(dāng)這臺(tái)核心交換機(jī)故障或者掛掉，那么勢(shì)必會(huì)造成整個(gè)網(wǎng)絡(luò)的全網(wǎng)癱瘓， 原來(lái)互聯(lián)網(wǎng)與云天化集團(tuán)網(wǎng)絡(luò)都依靠單一網(wǎng)絡(luò)作為傳輸，因而可能會(huì)導(dǎo)致訪問(wèn)速度慢，掉包嚴(yán)重時(shí)還可能出現(xiàn)斷網(wǎng)。 所以增加一臺(tái)核心交換機(jī) S7506E，來(lái)與原來(lái)的華為 S6505做冗余， 互聯(lián)網(wǎng)控制較弱，用戶使用 P2P流量大無(wú)法對(duì)上互聯(lián)網(wǎng)做出合理的控制。 原有網(wǎng)絡(luò) 運(yùn)行中存在的問(wèn)題 1）由于傳輸延遲，造成了安全監(jiān)控系統(tǒng)的畫面不清，丟幀。 2） MES服務(wù)器負(fù)荷過(guò)重，有數(shù)據(jù)丟失現(xiàn)象。 3）路由交換系統(tǒng)超負(fù)荷運(yùn)行，互聯(lián)網(wǎng) 訪問(wèn)非常慢，高峰期常引起外網(wǎng)中斷。 4）內(nèi)部應(yīng)用系統(tǒng)逐漸增加，在網(wǎng)應(yīng)用負(fù)荷劇增，辦公網(wǎng)較慢。 5）網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)功能簡(jiǎn)單，局域網(wǎng)內(nèi)電腦常遭病毒攻擊。 6）互聯(lián)網(wǎng)及應(yīng)用缺乏有效的監(jiān)控管理。 7）局域網(wǎng)