【正文】 降，例如語音通信時(shí)延的增加，那將是非常不合乎需求的。要避免這種情況，可以確保在整個(gè)網(wǎng)絡(luò)中對語音通信量進(jìn)行正確的分類和優(yōu)先級(jí)劃分。其他應(yīng)用，例如 Web 瀏覽，可以作為低優(yōu)先級(jí)對待，或者“盡力而為”地進(jìn)行處理。Cisco 核心交換機(jī)能夠通過對 Cisco 承諾信息速率（CIR）功能的支持進(jìn)行速率控制。通過 CIR，帶寬能夠以 8Kbps 的增幅獲得保障。帶寬可以基于多種標(biāo)準(zhǔn)進(jìn)行劃分，例如 MAC 源地址、MAC 目的地址、IP 源地址、IP 目的地址，以及 TCP/UDP 端口編號(hào)。帶寬分配對于需要服務(wù)水平協(xié)議的網(wǎng)絡(luò)環(huán)境至關(guān)重要，或者必要時(shí)需要網(wǎng)絡(luò)管理人員控制指定用戶所獲得的帶寬的網(wǎng)絡(luò)環(huán)境。每個(gè)端口均支持入口策略和出口策略。這使得網(wǎng)絡(luò)管理員可以非常準(zhǔn)確地控制 LAN 帶寬。 應(yīng)用于整個(gè)網(wǎng)絡(luò)的安全特性IEEE 可以實(shí)現(xiàn)基于端口的動(dòng)態(tài)安全； 基于所有 VLAN 的 Cisco 安全 VLAN ACL（VACL）可以防止未經(jīng)授權(quán)的數(shù)據(jù)流進(jìn)入VLAN。 Cisco 標(biāo)準(zhǔn)的和擴(kuò)展的 IP 安全路由器 ACL（RACL）可以定義路由接口的安全策略，用于控制面板和數(shù)據(jù)面板的通信量需要增強(qiáng)型多層軟件鏡像（EMI）。 基于時(shí)間的 ACL 可以實(shí)現(xiàn)在一天中的某個(gè)特定時(shí)段進(jìn)行安全性設(shè)置。 專用 VLAN 邊緣提供了同一個(gè)交換機(jī)不同接口之間的安全性和隔離，確保語音通信量可以直接從入口經(jīng)過一條虛擬路徑到達(dá)集中設(shè)備，而不會(huì)被發(fā)送到不同的端口。 TACACS+和 RADIUS 實(shí)現(xiàn)了交換機(jī)的集中控制，可防止未經(jīng)授權(quán)的用戶更改配置。 基于 MAC 的端口級(jí)安全可以防止未經(jīng)授權(quán)的終端站訪問交換機(jī)控制臺(tái)訪問方面的多層安全性可以防止未經(jīng)授權(quán)的用戶更改交換機(jī)配置。 用戶可選的地址學(xué)習(xí)模式簡化了配置，提高了安全性。網(wǎng)橋協(xié)議數(shù)據(jù)單元（BPDU）防護(hù)裝置可以在接收到 BPDU 以后關(guān)閉支持生成樹協(xié)議PortFast 的接口，以避免意外的拓?fù)洵h(huán)。生成樹根防護(hù)（STRG）可以訪問不屬于網(wǎng)絡(luò)管理員控制范圍的邊緣設(shè)備成為生成樹協(xié)議的根節(jié)點(diǎn)。27第五章、網(wǎng)絡(luò)安全服務(wù)質(zhì)量設(shè)計(jì)定義網(wǎng)絡(luò)策略是設(shè)計(jì)企業(yè)網(wǎng)絡(luò)的一個(gè)基本組成部分。它與定義帶寬要求或冗余需求一樣重要。安全策略定義和制定了那些獲準(zhǔn)接入企業(yè)的技術(shù)和信息資源者必須遵守的行動(dòng)綱要。創(chuàng)建企業(yè)安全策略的好處有：提供了在網(wǎng)絡(luò)基礎(chǔ)設(shè)施中實(shí)施安全特性的框架提供了審查已有網(wǎng)絡(luò)安全性的程序建立了合法行為的基準(zhǔn)(如果需要)網(wǎng)絡(luò)安全策略是對風(fēng)險(xiǎn)進(jìn)行評(píng)估，鑒別重要資產(chǎn)和可能威脅以后產(chǎn)生出來的。網(wǎng)絡(luò)資產(chǎn)包括：網(wǎng)絡(luò)主機(jī)（如 PC 機(jī)、包括主機(jī)操作系統(tǒng)、應(yīng)用和數(shù)據(jù)）聯(lián)網(wǎng)設(shè)備（如路由器、交換機(jī)和防火墻）網(wǎng)絡(luò)數(shù)據(jù)（傳輸在網(wǎng)絡(luò)上的數(shù)據(jù)）在制定安全策略時(shí)，既要考慮到信息的易獲取性，也要考慮到以適當(dāng)?shù)臋C(jī)制認(rèn)證已授權(quán)的用戶并保證數(shù)據(jù)的完整性和保密性。安全策略既要在技術(shù)上也要在結(jié)構(gòu)上可執(zhí)行。首先，要確定什么要受到保護(hù)，什么將需防止。另外，要考慮受威脅的可能性。通常，最簡易的是將一個(gè)企業(yè)網(wǎng)分成三個(gè)不同的部分：主園區(qū)網(wǎng)，撥入訪問及Inter 連接，如圖所示。企業(yè)網(wǎng)組成部分企業(yè)網(wǎng)的核心是主園區(qū)網(wǎng)。撥入部分包括遠(yuǎn)程分支、遠(yuǎn)程工作者和/或移動(dòng)用戶的連接。Inter 部分，或稱為網(wǎng)絡(luò)周界，提供了從中央園區(qū)到 Inter 的連接。在制定一個(gè)綜合性安全策略時(shí)，所有這三個(gè)部分（主園區(qū)網(wǎng)、撥入、Inter）可以分別28考慮。安全策略中包含三個(gè)主要要素：身份，完整性及審計(jì)。身份包括鑒別和授權(quán)。鑒別回答了“你是誰”和“你在哪？”這兩個(gè)問題，授權(quán)回答“你可以訪問什么”。必須對身份機(jī)制謹(jǐn)慎部署，因?yàn)槿绻O(shè)施難以使用，即便是最嚴(yán)謹(jǐn)?shù)陌踩呗砸灿锌赡鼙槐荛_。一個(gè)最典型的例子就是一個(gè)使用者因?yàn)椴坏貌挥涀≡S多口令而把一張寫了口令的便簽紙貼在計(jì)算機(jī)顯示屏上。累贅及多余的認(rèn)證和授權(quán)系統(tǒng)會(huì)使用戶感到厭煩，應(yīng)注意避免。完整性要素包括了網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全(物理及邏輯接入)，周界安全和數(shù)據(jù)保密性。物理接入安全可將網(wǎng)絡(luò)設(shè)備遠(yuǎn)遠(yuǎn)地放置在特別建立的網(wǎng)絡(luò)設(shè)備柜中，并加以限制。邏輯接入安全主要指在允許 Tel 或控制臺(tái)接入到必不可少的網(wǎng)絡(luò)基礎(chǔ)設(shè)施元件(例如路由器和防火墻)之前提供身份鑒別機(jī)制(確認(rèn)與授權(quán))。邊界安全涉及到防火墻種類的功能，決定網(wǎng)絡(luò)的不同區(qū)域允許或拒絕何種業(yè)務(wù)，特別是在 Inter 和主園區(qū)網(wǎng)之間或撥入網(wǎng)和主園區(qū)網(wǎng)之間。最后一個(gè)主要安全要素是審查元件，這對確證和監(jiān)督安全策略的實(shí)施是非常必要的。為檢驗(yàn)安全基礎(chǔ)設(shè)施的有效性，應(yīng)經(jīng)常進(jìn)行定期的安全審查，應(yīng)包括新系統(tǒng)安裝檢查，發(fā)現(xiàn)惡意入侵行為的措施，可能的特殊問題(拒絕業(yè)務(wù)攻擊)以及對安全策略的全面遵守等方面。基于身份的網(wǎng)絡(luò)訪問控制和策略實(shí)施提供了一個(gè)解決方案，這個(gè)解決方案允許網(wǎng)絡(luò)管理員真正實(shí)現(xiàn)基于用戶身份對網(wǎng)絡(luò)訪問進(jìn)行控制。它能夠?qū)τ脩艉驮O(shè)備進(jìn)行認(rèn)證，并且把已通過認(rèn)證的實(shí)體與相應(yīng)的策略綁定，確保網(wǎng)絡(luò)訪問地安全性。思科的網(wǎng)絡(luò)訪問控制和策略實(shí)施為網(wǎng)絡(luò)提供了如下的服務(wù)和能力：用戶及設(shè)備的認(rèn)證把網(wǎng)絡(luò)實(shí)體的身份與預(yù)定義策略集綁定在一起的能力依據(jù)授權(quán)策略在端口級(jí)允許或禁止網(wǎng)絡(luò)訪問的能力在任何被允許的訪問連接上實(shí)施附加應(yīng)用策略的能力，這些附加應(yīng)用策略包括資源訪問和服務(wù)質(zhì)量保證等在實(shí)施這個(gè)解決方案時(shí)，需要如下一些設(shè)備和服務(wù)：思科支持這個(gè)解決方案的交換機(jī)，如思科 7600/Catalyst 6500 系列交換機(jī)思科 Secure Access Control Server(ACS) for Windows 支持 的客戶端操作系統(tǒng)，如 Windows XP，以及增加了微軟附加應(yīng)用的Windows 9Windows 98 SE 和 Windows 2022 等。還可以使用基于 PKI 公共密鑰體系的更為強(qiáng)壯的認(rèn)證功能。通過支持 IEEE 標(biāo)準(zhǔn)，思科 Catalyst 交換機(jī)能夠執(zhí)行基本的基于端口的網(wǎng)絡(luò)訪問控制。通過在支持 的客戶端軟件上配置 PKI 認(rèn)證，或是用戶名/口令29認(rèn)證，運(yùn)行 特性的思科 Catalyst 交換機(jī)能夠結(jié)合后臺(tái)的思科 Secure ACS 服務(wù)器對發(fā)出請求的用戶或系統(tǒng)進(jìn)行認(rèn)證。認(rèn)證過程如下圖： 允許訪問數(shù)據(jù)庫檢查。John允許訪問用戶或設(shè)備的證書或相關(guān)信息由思科 Secure ACS 服務(wù)器進(jìn)行處理，思科 Secure ACS 在處理用戶或設(shè)備的相關(guān)策略信息時(shí)，既可以使用內(nèi)置的用戶數(shù)據(jù)庫，也可以使用外部的的數(shù)據(jù)庫，如 Microsoft Active Directory, LDAP, Novell NDS 或是 Oracle 數(shù)據(jù)庫。雖然基本的 標(biāo)準(zhǔn)提供的簡單認(rèn)證能夠顯著改進(jìn)網(wǎng)絡(luò)訪問控制的能力，我們?nèi)匀恍枰粋€(gè)更為強(qiáng)大的解決方案。思科的端到端解決方案就可以提供這樣一個(gè)更好的解決方案。思科的網(wǎng)絡(luò)訪問控制和策略實(shí)施方案可以提供更好的特性用于網(wǎng)絡(luò)控制和策略分配，這個(gè)解決方案是完全基于標(biāo)準(zhǔn)，并且可以與第三方的 和 RADIUS服務(wù)設(shè)備兼容的。 這個(gè)解決方案可以讓思科 Secure ACS 服務(wù)器把相應(yīng)的策略信息和參數(shù)通報(bào)回網(wǎng)絡(luò)設(shè)備，從而使 ACS 的后臺(tái)數(shù)據(jù)庫成為策略配置的中心點(diǎn)，網(wǎng)絡(luò)設(shè)備則成為這些策略的實(shí)施點(diǎn)?？梢员粍?dòng)態(tài)配置的的參數(shù)包括：VLAN訪問控制表QoS 參數(shù)等等相應(yīng)過程如下圖：30允許訪問數(shù)據(jù)庫檢查4. 這是John，John屬于VLAN 5, 被允許訪問辦公網(wǎng)，其服務(wù)質(zhì)量保證標(biāo)記為7。6. 交換機(jī)應(yīng)用策略，并打開端口Set port VLAN to 5Set port QoS Tagging to 7Set QoS rate limit for FTP to 5Mbps用于業(yè)務(wù)分類的 IP 優(yōu)先權(quán)(IPPrecedence)：IP 優(yōu)先權(quán)提供了將業(yè)務(wù)劃分為多個(gè)服務(wù)類的功能。網(wǎng)絡(luò)管理員可以定義多達(dá)六個(gè)服務(wù)類，并利用擴(kuò)展訪問控制列表(擴(kuò)展ACL)，為每個(gè)服務(wù)類定義擁塞處理和帶寬分配策略。IP 優(yōu)先權(quán)功能利用在 IP 頭上用于標(biāo)識(shí)服務(wù)類型(TypeofService)的三個(gè)比特位,確定每個(gè)分組的服務(wù)類。IP 優(yōu)先權(quán)功能為預(yù)定分配提供了相當(dāng)?shù)撵`活性，包括客戶分配(如根據(jù)應(yīng)用程序和訪問服務(wù)器)和基于 IP 或 MAC 地址、物理端口或應(yīng)用程序的網(wǎng)絡(luò)分配。IP 優(yōu)先權(quán)功能既可采用被動(dòng)模式(接收客戶分配的優(yōu)先權(quán))，也可采用主動(dòng)模式，此時(shí)，網(wǎng)絡(luò)根據(jù)預(yù)先定義的策略設(shè)置優(yōu)先權(quán)或超越客戶分配的優(yōu)先權(quán)。IP 優(yōu)先權(quán)可被映射到鄰接技術(shù)(如標(biāo)記交換、幀中繼或 ATM)，在非均勻網(wǎng)絡(luò)環(huán)境下提供端到端的 QoS策略。在不改變現(xiàn)有應(yīng)用程序，不需要復(fù)雜化網(wǎng)絡(luò)信令的前提下，僅利用 IP 優(yōu)先權(quán)功能就可建立服務(wù)類等級(jí)。用允許訪問速率(CommittedAccessRate)管理訪問帶寬:CAR 為網(wǎng)絡(luò)管理員提供了一個(gè)為業(yè)務(wù)目的地分配帶寬，并制定超過帶寬分配額度時(shí)的業(yè)務(wù)處理策略的工具。CAR既可以用于網(wǎng)絡(luò)入口也可以用于網(wǎng)絡(luò)出口。CAR 閾值可根據(jù)訪問端口、IP 地址和應(yīng)用程序設(shè)定。CAR 測量業(yè)務(wù)負(fù)載，限制帶寬資源分配，能適應(yīng) IP 業(yè)務(wù)固有的流量突增特點(diǎn)。31CAR 利用擴(kuò)展 ACL 對超出分配帶寬的業(yè)務(wù)制定處理策略，包括重新定義帶寬可用閾值、修改分組的優(yōu)先級(jí)、制定分組丟棄原則等。CAR 策略的選擇包括：1）FirmCAR：丟棄超過分配帶寬的分組2）CAR+Premium：為分組重新定義更高或更低的優(yōu)先級(jí)3）CAR+BestEffort：丟棄之前先為其分配一個(gè)極大的閾值4）PerApplicationCAR：為不同的應(yīng)用程序制定不同的策略。用于擁塞管理的隨機(jī)早期預(yù)測(RED)：RED 為網(wǎng)絡(luò)管理員提供了靈活制定流量控制策略的能力，使其能在擁塞情況下保持盡可能大的吞吐量。RED 與抗干擾的傳輸協(xié)議(如TCP)協(xié)同工作，可根據(jù)如下的實(shí)現(xiàn)算法智能化地避免網(wǎng)絡(luò)擁塞：? 區(qū)分網(wǎng)絡(luò)可適應(yīng)的臨時(shí)性流量爆炸和將耗盡網(wǎng)絡(luò)資源的極度超載；? 提供公平的帶寬遞減策略，按比例減少帶寬的可用額度。RED 和 TCP 協(xié)同工作，在大流量出現(xiàn)時(shí)，能預(yù)先控制擁塞，并用丟棄分組的方式，保持大吞吐量。同時(shí)，RED 也為網(wǎng)絡(luò)管理員提供了相當(dāng)靈活的參數(shù)設(shè)置手段，包括調(diào)整隊(duì)列長度閾值的最大值和最小值、分組丟棄幾率和 MIB，分組交換和分組丟棄的管理策略等。加權(quán) RED，基于服務(wù)類的擁塞管理(WRED)：WRED 結(jié)合了 IP 優(yōu)先權(quán)和 RED 功能，為不同類別的服務(wù)提供不同的性能對優(yōu)先權(quán)較高的分組優(yōu)先處理。WRED 在擁塞情況下仍能進(jìn)行優(yōu)先處理，而且不會(huì)加劇擁塞。網(wǎng)絡(luò)管理員可以靈活地為不同的服務(wù)類定義排隊(duì)長度最大和最小閾值以及分組丟棄率。系統(tǒng)還為每個(gè)服務(wù)級(jí)別提供 MIB，以實(shí)現(xiàn)網(wǎng)絡(luò)管理的可見性。根據(jù)服務(wù)類別加權(quán)公平排隊(duì)(WFQ)：WFQ 提供了這樣一種能力，在為較低優(yōu)先級(jí)業(yè)務(wù)公平分配現(xiàn)有帶寬的同時(shí)，保證要求低延時(shí)的高優(yōu)先級(jí)和低優(yōu)先級(jí)流。高優(yōu)先級(jí)流立即得到處理，低優(yōu)先級(jí)流則插入隊(duì)列，按比例共享現(xiàn)存帶寬。在出現(xiàn)擁塞時(shí)，低優(yōu)先級(jí)流的分組可能被丟棄。QoS 服務(wù)提供了基于服務(wù)類型的分布式 WFQ，從而提高了性能和可擴(kuò)展性。最后，有一個(gè)“熱點(diǎn)”問題，就是使用企業(yè)目錄服務(wù)來定義標(biāo)志和策略。這是一種高于 IP 尋址的級(jí)別。也就是說，只要知道單位名稱或企業(yè)名稱，就可以使用企業(yè)目錄服務(wù)給該企業(yè)打電話。CAR/WRED/WFQ/WDRR 的工作機(jī)制如下圖所示，這些機(jī)制共同工作完成了網(wǎng)絡(luò)接入部分的 IPQOS 保證機(jī)制，對不同服務(wù)質(zhì)量要求的用戶在接入骨干網(wǎng)絡(luò)之前進(jìn)行了有序的流量管理和控制，從而在保證用戶 QOS 的前提下，也減少的對骨干網(wǎng)絡(luò)的壓力。32圖 ： 網(wǎng) 絡(luò) 系 統(tǒng) QOS 保 證 機(jī) 制交換機(jī)通過上述機(jī)制在數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)的進(jìn)入點(diǎn)—以太網(wǎng)端口就對數(shù)據(jù)流分類標(biāo)識(shí)，然后全網(wǎng)的網(wǎng)絡(luò)設(shè)備都可以根據(jù)這些標(biāo)識(shí)為數(shù)據(jù)流提供合適的服務(wù)質(zhì)量保證，從而保證全網(wǎng)端到端的服務(wù)質(zhì)量保證。33第六章、網(wǎng)絡(luò)管理設(shè)計(jì)網(wǎng)絡(luò)管理對于不同的管理人員有著不同的意味。比如，在一些軍隊(duì)的網(wǎng)絡(luò)中，管理人員會(huì)很注重對網(wǎng)絡(luò)活動(dòng)的監(jiān)視，樂于使用舊式的網(wǎng)絡(luò)分析儀；而在另一些網(wǎng)絡(luò)中，網(wǎng)絡(luò)管理則包含著分布式的數(shù)據(jù)庫，對網(wǎng)絡(luò)設(shè)備和高性能工作站的自動(dòng)輪詢，產(chǎn)生實(shí)時(shí)的網(wǎng)絡(luò)拓?fù)鋱D、流量圖等。一般來說，網(wǎng)絡(luò)管理提供的是一種服務(wù)，它通過一系列的工具、程序和設(shè)備，幫助管理人員監(jiān)視和維護(hù)網(wǎng)絡(luò)運(yùn)行，以及為網(wǎng)絡(luò)系統(tǒng)的規(guī)劃提供網(wǎng)絡(luò)層和應(yīng)用層的可靠數(shù)據(jù)。在日常的網(wǎng)絡(luò)管理過程當(dāng)中，經(jīng)常包含下面三個(gè)過程：安裝配置和更改配置網(wǎng)絡(luò)監(jiān)視和故障診斷網(wǎng)絡(luò)設(shè)計(jì)和優(yōu)化實(shí)施和更改 監(jiān)控和診斷 設(shè)計(jì)和優(yōu)化安裝配置地址管理添加、遷移、更改安全記帳和計(jì)費(fèi)資產(chǎn)和庫存報(bào)告用戶管理數(shù)據(jù)管理定義閾值監(jiān)控期望值孤立問題通知關(guān)聯(lián)糾錯(cuò)旁路和解決校正收集歷史基線趨勢分析響應(yīng)時(shí)間分析容量規(guī)劃采購?fù)負(fù)湓O(shè)計(jì)服務(wù)級(jí)別協(xié)議網(wǎng)絡(luò)管理提供的不只是一個(gè)網(wǎng)絡(luò)管理平臺(tái)，而是基于的全線網(wǎng)絡(luò)設(shè)備的一系列系統(tǒng)管理軟件。網(wǎng)絡(luò)管理系統(tǒng)必須實(shí)現(xiàn)比如設(shè)備面板監(jiān)控、配置管理、設(shè)備軟件升級(jí)管理、QoS 服務(wù)質(zhì)量管理、安全管理、規(guī)劃管理等，以及許多現(xiàn)代網(wǎng)絡(luò)中必備的技術(shù)的管理，如 VLAN 管理、ATM 管理、訪問控制管理等功能。為用戶提供強(qiáng)大的網(wǎng)絡(luò)管理、分析和規(guī)劃的手段。網(wǎng)管管理系統(tǒng)的內(nèi)容非常豐富，大體上分為三個(gè)層次。34第一個(gè)層次提供設(shè)備級(jí)的網(wǎng)絡(luò)管理組件，它提供設(shè)備管理(硬件、軟件)、配置管理、圖形面板、流量監(jiān)控、故障判斷、拓?fù)浒l(fā)現(xiàn)等諸多的網(wǎng)絡(luò)管理基本功能，針對企業(yè)網(wǎng)，它包括局域網(wǎng)管理組件