【文章內(nèi)容簡介】 要是通過路由器來實現(xiàn)的，但隨著網(wǎng)絡規(guī)模的擴大、信息量的增加，路由器無論是從端口數(shù)還是系統(tǒng)性能上來說都已經(jīng)不堪負荷 ，因此逐漸形成了產(chǎn)生網(wǎng)絡瓶頸的主要原因。而在現(xiàn)在，因為有了基于交換機上的三層路由的能力，在上述兩點已經(jīng)得到合理地解決。 第 16 頁 表 VLAN 劃分表和 IP 地址規(guī)劃表 VLAN Description IP Range VLAN 1 VLAN2 VLAN3 VLAN4 交換機基本配置命令 1）交換機工作模式： 用戶模式 Switch enable（簡寫： en） 特權(quán)模式 Switch configure terminal（簡寫： con） 全局模式 Switch(config) 端口模式 Switch(config)interface fastEther 0/1 （ 簡寫：int f0/1） Switch(configif) 將 端口 啟用 Switch (configif)no shutdown 將 端口 關(guān)閉 Switch (configif)shutdown 返回： exit（返回上一級模式） 或者 end（ 直接返回特權(quán)模式 ） 2） 交換機顯示命令 顯示交換機硬件及軟件的信息 Switchshow version 顯示當前運行的配置參數(shù) Switchshow runningconfig 顯示保存的配置參數(shù) Switchshow configure 顯示接口狀態(tài) Switch show interfaces 查看 MAC 地址表 Switch show macaddresstable 3） 配置交換機主機名： Switch(config)hostname A A (config) 第 17 頁 4） 配置接口速率 Switch (configif)speed [10|100|auto] 5） 配置接口雙工模式 Switch (configif)duplex [auto|full|half 劃分 VLAN 1） vlan 的配置 SwitchA(config)vlan1 SwitchA(config_vlan)name vlan1 SwitchA(config)vlan2 SwitchA(config_vlan)name vlan2 SwitchA(config)vlan3 SwitchA(config_vlan)name vlan3 SwitchA(config)vlan4 SwitchA(config_vlan)name vlan SwithA(config)interface fastEtherner 0/1 SwithA(configif)Swithport acess vlan 1 SwithA(config)interface fastEtherner 0/2 SwithA(configif)Swithport acess vlan 2 SwithA(config)interface fastEtherner 0/3 SwithA(configif)Swithport acess vlan 3 SwithA(config)interface fastEtherner 0/4 SwithA(configif)Swithport acess vlan 4 2） 配置端口網(wǎng)關(guān)地址和物理地址 ifconfig eth0 mask ifconfig eth1 mask ifconfig eth1 mask ifconfig eth1 mask 3） 添加路由 第 18 頁 ip route add table ta1 default dev eth0 via ip route add table ta2 default dev eth1 via ip route add table ta2 default dev eth1 via ip route add table ta2 default dev eth1 via 4） 創(chuàng)建路由規(guī)則 ip rule add from ip rule add from ip rule add from ip rule add from 說明 :priority 是優(yōu)先級 . 5） 查看路由規(guī)則 ip route show table ta1 ip route show table ta2 ip route show table ta3 ip route show table ta4 第 19 頁 6 路由策略分析與設計 路由策略的定義 路由策略（ Routing Policy）是為了改變網(wǎng)絡流量所經(jīng)過的途徑而修改路由信息的技術(shù)，主要通過改變路由屬性（包括可達性）來實現(xiàn)。 策略路由（ Policy Routing）是一種依據(jù)用戶制定的策略進行路由選擇的機制。有關(guān)策略路由的詳細介紹請參見“ IP 業(yè)務分冊”中的“ IP單播策略路由配置”。路由器在發(fā)布與接收路由信息時，可能需要實施一些策略，以便對路由信息進行過濾，例如只接收或發(fā)布滿足一定條件的路由信息。一種路由協(xié)議可 能需要引入其它的路由協(xié)議發(fā)現(xiàn)的路由信息，同時引入的路由信息必須滿足一定的條件，并對所引入的路由信息的某些屬性進行設置，以使其滿足本協(xié)議的要求。 為實現(xiàn)路由策略，首先要定義將要實施路由策略的路由信息的特征，即定義一組匹配規(guī)則?？梢砸月酚尚畔⒅械牟煌瑢傩宰鳛槠ヅ湟罁?jù)進行設置，如目的地址、發(fā)布路由信息的路由器地址等。匹配規(guī)則可以預先設置好，然后再將它們應用于路由的發(fā)布、接收和引入等過程的路由策略中。 策略路由的種類 大體上分為兩種：一種是根據(jù)路由的目的地址來進行的策略稱為：目的地址路由；另一種是根據(jù)路由源地址來進 行策略實施的稱為：源地址路由。隨著策略路由的發(fā)展現(xiàn)在有了第三種路由方式：智能均衡的策略方式。 路由策略的應用 路由策略主要有兩種應用方式： 路由協(xié)議在引入其它路由協(xié)議發(fā)現(xiàn)的路由時，通過路由策略只引入滿足條件的路由信息。路由協(xié)議在發(fā)布或接收路由信息時，通過路由策略對路由信息進行過濾，只接收或發(fā)布滿足給定條件的路由信息。 第 20 頁 7 網(wǎng)絡安全設計 隨著信息化進程的深入和互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡化已經(jīng)成為企業(yè)信息化的發(fā)展大趨勢，信息資源也得到最大程度的共享。但是，緊隨信息化發(fā)展而來的網(wǎng)絡安全問題日漸突出，網(wǎng)絡安全問題已 成為信息時代人類共同面臨的挑戰(zhàn)，網(wǎng)絡信息安全問題成為當務之急，如果不很好地解決這個問題，必將阻礙信息化發(fā)展的進程。 安全攻擊、安全機制和安全服務 rrU— Tx． 800 標準將我們常說的“網(wǎng)絡安全 (security)”進行邏輯上的分別定義，即安全攻擊 (Attack)是指損害機構(gòu)所擁有信息的安全的任何行為機制 (security Mechanism)是指設計用于檢測、預擊或者恢復系統(tǒng)的機制；安全服務 (security service)用一種或多種安全機制以抵御安全攻擊、提高機構(gòu)的數(shù)據(jù)處理系統(tǒng)安全和信息傳輸 安全的服務。 網(wǎng)絡安全防范體系層次 作為全方位的、整體的網(wǎng)絡安全防范體系也是分層次的，不同層次反映了不同的安全問題，根據(jù)網(wǎng)絡的應用現(xiàn)狀情況和網(wǎng)絡的結(jié)構(gòu)，我們將安全防范體系的層次劃分為：物理層安全、系統(tǒng)層安全、網(wǎng)絡層安全、應用層安全和安全管理。 1） 物理環(huán)境的安全性 (物理層安全 ) 該層次的安全包括通信線路的安全，物理設備的安全，機房的安全等。物理層的安全主要體現(xiàn)在通信線路的可靠性 (線路備份、網(wǎng)管軟件、傳輸介質(zhì) )，軟硬件設備安全性 (替換設備、拆卸設備、增加設備 )，設備的備份，防災害能力、防干擾能力，設 備的運行環(huán)境 (溫度、濕度、煙塵 )，不間斷電源保障，等等。 2） 操作系統(tǒng)的安全性 (系統(tǒng)層安全 ) 該層次的安全問題來自網(wǎng)絡內(nèi)使用的操作系統(tǒng)的安全，etworkecurity 安全安全攻指采如 windows NT， Windows 2020 等。主要第 21 頁 表現(xiàn)在三方面，是操作系統(tǒng)本身的缺陷帶來的不安全因素，主要包括身份認證、訪問控制、系統(tǒng)漏洞等。二是對操作系統(tǒng)的安全配置問題。三是病毒對操作系統(tǒng)的威脅。 3）網(wǎng)絡的安全性 (網(wǎng)絡層安全 ) 該層次的安全問題主要體現(xiàn)在網(wǎng)絡方面的安全性，包括網(wǎng)絡層身份認證，網(wǎng)絡資源的訪問控制，數(shù)據(jù)傳輸 的保密與完整性，遠程接入的安全，域名系統(tǒng)的安全，路由系統(tǒng)的安全，入侵檢測的手段，網(wǎng)絡設施防病毒等。 4） 應用的安全性 (應用層安全 ) 該層次的安全問題主要由提供服務所采用的應用軟件和數(shù)據(jù)的安全性產(chǎn)生，包括 web 服務、電子郵件系統(tǒng) DNs 等。此外，還包括病毒對系統(tǒng)的威脅。 5） 管理的安全性 (管理層安全 ) 安全管理包括安全技術(shù)和設備的管理、安全管理制度、部門與人員的組織規(guī)則等。管理的制度化極大程度地影響著整個網(wǎng)絡的安全，嚴格的安全管理制度、明確的部門安全職責劃分、合理的人員角色配置都可以在很大程度上降低其它層次的安 全漏洞。 網(wǎng)絡信息安全的原則 1）網(wǎng)絡信息安全的木桶原則 網(wǎng)絡信息安全的木桶原則是指對信息均衡、全面的進行保護?！澳就暗淖畲笕莘e取決于最短的一塊木板”。網(wǎng)絡信息系統(tǒng)是一個復雜的計算機系統(tǒng)，它本身在物理上、操作上和管理上的種種漏洞構(gòu)成了系統(tǒng)的安全脆弱性，尤其是多用戶網(wǎng)絡系統(tǒng)自身的復雜性、資源共享性使單純的技術(shù)保護防不勝防。攻擊者使用的“最易滲透原則”，必然在系統(tǒng)中最薄弱的地方進行攻擊。因此，充分、全面、完整地對系統(tǒng)的安全漏洞和安全威脅進行分析，評估和檢測 (包括模擬攻擊 )是設計信息安全系統(tǒng)的巋要前提條 件。安全機制和安全服務設計的首要目的是防止最常用的攻擊手段，根本目的是提高整個系統(tǒng)的”安全最低點”的安全性能。 第 22 頁 2） 網(wǎng)絡信息安全的整體性原則 要求在網(wǎng)絡發(fā)生被攻擊、破壞事件的情況下，必須盡可能地快速恢復網(wǎng)絡信息中心的服務，減少損失。因此，信息安全系統(tǒng)應該包括安全防護機制、安全檢測機制和安全恢復機制。安全防護機制是根據(jù)具體系統(tǒng)存在的各種安全威脅采取的相應的防護措施，避免非法攻擊的進行。安全檢測機制是檢測系統(tǒng)的運行情況，及時發(fā)現(xiàn)和制止對系統(tǒng)進行的各種攻擊。安全恢復機制是在安全防護機制失效的情況下，進行應急處理和 盡量、及時地恢復信息，減少供給的破壞程度。 3） 安全性評價與平衡原則 對任何網(wǎng)絡，絕對安全難以達到，也不一定是必要的，所以需要建立合理的實用安全性與用戶需求評價與平衡體系。安全體系設計要正確處理需求、風險與代價的關(guān)系，做到安全性與可用性相容，做到組織上可執(zhí)行。評價信息是否安全，沒有絕對的評判標準和衡量指標，只能決定于系統(tǒng)的用戶需求和具體的應用環(huán)境，具體取決于系統(tǒng)的規(guī)模和范圍，系統(tǒng)的性質(zhì)和信息的重要程度。 4） 標準化與一致性原則 系統(tǒng)是一個龐大的系統(tǒng)工程，其安全體系的設計必須遵循一系列的標準，這樣才能確保各個 分系統(tǒng)的一致性，使整個系統(tǒng)安全地互聯(lián)互通、信息共享。 5） 技術(shù)與管理相結(jié)合原則 安全體系是一個復雜的系統(tǒng)工程，涉及人、技術(shù)、操作等要素，單靠技術(shù)或單靠管理都不可能實現(xiàn)。因此，必須將各種安全技術(shù)與運行管理機制、人員思想教育與技術(shù)培訓、安全規(guī)章制度建設相結(jié)合。 6） 統(tǒng)籌規(guī)劃，分步實施原則 由于政策規(guī)定、服務需求的不明朗，環(huán)境、條件、時間的變化，攻擊手段的進步，安全防護不可能一步到位，可在一個比較全面的安全規(guī)劃下，根據(jù)網(wǎng)絡的實