【正文】 隨后交換機將根據(jù)DSCP值來對各個數(shù)據(jù)流實施不同的QoS策略；Policing，用于約束某個流的所占用的傳輸帶寬，根據(jù)配置的Policer來決定流中的哪些部分超出了所限制。2. QOS的模型框架(1) QoS入口端動作包括Classifying、Policing和Marking。這些獨立設(shè)備的這種行為在DiffServ體系中被稱作每跳行為（perhop behavior）。識別報文的內(nèi)容以便為報文賦予類別信息的做法往往需要消耗網(wǎng)絡(luò)設(shè)備的大量處理資源，為了減少骨干網(wǎng)絡(luò)的處理開銷，做到了賦予類別信息在網(wǎng)絡(luò)邊緣進行實現(xiàn)，從而節(jié)省了骨干網(wǎng)絡(luò)處理器的開銷，做到了智能到邊緣的概念。報文的分類信息可以被網(wǎng)絡(luò)上的主機、交換機、路由器或者其它網(wǎng)絡(luò)設(shè)備賦予。一般地，附帶在報文中的分類信息有：(1) Control Information中的前3個比特，它包含了8個類別的優(yōu)先級信息，通常稱這三個比特為為User Priority bits；(2) 攜帶在IP報文頭中的TOS字段前3個比特，稱作IP precedence value或者攜帶在IP報文頭中的TOS字段前6個比特，稱作Differentiated Services Code Point (DSCP) value。DiffServ體系規(guī)定每一個傳輸報文將在網(wǎng)絡(luò)中被分類到不同的類別，分類信息被包含在了IP報文頭中，DiffServ體系使用了IP報文頭中的TOS（Type Of Service）中的前6個比特來攜帶報文的分類信息。這種轉(zhuǎn)發(fā)策略有時也被稱做提供最佳效果服務(wù)，因為這時交換機是盡最大能力轉(zhuǎn)發(fā)數(shù)據(jù)的，交換機本身的交換帶寬得到了充分的利用。傳統(tǒng)不具備QoS功能的交換機不具有提供傳輸品質(zhì)服務(wù)的能力，它同等對待所有的交通數(shù)據(jù)流，并不保證某一特殊的數(shù)據(jù)流會受到特殊的轉(zhuǎn)發(fā)待遇。本方案除了實現(xiàn)DiffServ標(biāo)準(zhǔn)體系的QOS，還支持接入帶寬定制、互聯(lián)網(wǎng)訪問加速、服務(wù)器負(fù)載均衡等技術(shù)，因此本方案完全可以在網(wǎng)絡(luò)擁塞的情況下，保證關(guān)鍵業(yè)務(wù)的正常運行，并對所有的接入用戶提供高質(zhì)量的網(wǎng)絡(luò)服務(wù)。 QOS服務(wù)質(zhì)量保障QOS的英文全稱為Quality of Service，中文名為服務(wù)質(zhì)量。同時通過集中的分析審計，發(fā)現(xiàn)潛在的攻擊征兆和安全發(fā)展趨勢，確保安全事件、事故得到及時的響應(yīng)和處理。對系統(tǒng)內(nèi)的安全設(shè)備與系統(tǒng)安全策略進行管理，實現(xiàn)全系統(tǒng)安全策略的統(tǒng)一配置、分發(fā)和管理，并能有效的配置和管理全網(wǎng)安全設(shè)備，從而實現(xiàn)全網(wǎng)安全設(shè)備的集中管理，起到安全網(wǎng)管的作用。安全管理 常言說：“三分技術(shù)，七分管理”。當(dāng)用戶因電腦死機或異常關(guān)閉造成非主動下線，如果沒有一種定期檢測用戶是否在線的機制，則會造成按時計費信息的不準(zhǔn)?；诮粨Q與控制分離的設(shè)計思路，、高效，認(rèn)證的容量很大，可以保證用戶能及時通過認(rèn)證，在網(wǎng)絡(luò)流量大，認(rèn)證用戶數(shù)多時不會對設(shè)備的性能產(chǎn)生影響，保證整個網(wǎng)絡(luò)高效、穩(wěn)定的運行；3. 靈活擴展計費功能：通過后臺軟件。 當(dāng)用戶認(rèn)證流上來后，通過非受控端口進入交換機，由交換機協(xié)議體系提取用戶名和密碼對用戶身份進行認(rèn)證；當(dāng)用戶通過認(rèn)證后，受控端口關(guān)閉，用戶的業(yè)務(wù)流可以上行。通過端口（可以是交換機的物理端口，用戶PC的MAC地址，也可以是VLAN ID）的兩個邏輯通道：非受控端口和受控端口來實現(xiàn)對用戶的控制。這樣，其它用戶盜取用戶或MAC都無法假冒真正用戶。用戶認(rèn)證通過后，交換機才允許該用戶訪問網(wǎng)絡(luò)的所有信息通過。此時，用戶對網(wǎng)絡(luò)進行訪問的所有信息都將被交換機禁止。企業(yè)網(wǎng)用戶的認(rèn)證：，+EAP或基于MAC技術(shù)實現(xiàn)用戶的接入認(rèn)證。 殺毒軟件網(wǎng)絡(luò)版客戶端 采用全網(wǎng)認(rèn)證由于可以限制隨意的接入企業(yè)網(wǎng)，并可以對上網(wǎng)行為進行審計，將大大提高企業(yè)網(wǎng)的內(nèi)部安全。在各行政、。同時為了有效、快捷地實施和管理整個網(wǎng)絡(luò)的防病毒體系，應(yīng)能實現(xiàn)遠(yuǎn)程安裝、智能升級、遠(yuǎn)程報警、集中管理、分布查殺病毒等多種功能。 漏洞掃描系統(tǒng) 采用先進的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器、交換機等進行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密、可靠的安全性分析報告。 入侵檢測系統(tǒng)（IDS）是防火墻的補充解決方案，可以防止網(wǎng)絡(luò)基礎(chǔ)設(shè)施（路由器、交換機和網(wǎng)絡(luò)帶寬）和服務(wù)器（操作系統(tǒng)和應(yīng)用層）受到拒絕服務(wù)（DoS）襲擊。例如，郵件和Web服務(wù)器都要求，外部能夠訪問某些端口。雖然防火墻能夠在網(wǎng)絡(luò)級提供訪問控制，但好幾個通信端口都是開放的。強大的、完整的入侵檢測體系可以彌補防火墻相對靜態(tài)防御的不足。5. 允許通過配置網(wǎng)卡對防火墻設(shè)置，提高防火墻管理的安全性。3. 在防火墻上建立內(nèi)網(wǎng)計算機的IP地址和MAC地址的對應(yīng)表，防止IP地址被盜用?？傮w上遵從“不被允許的服務(wù)就是被禁止”的原則。這樣，通過Internet進來的外網(wǎng)用戶只能訪問到對外公開的一些服務(wù)（如WWW、Email、FTP、DNS等），既保護內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞，也可以阻止內(nèi)部用戶對外部不良資源的使用，并能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進行跟蹤和審計。 防火墻部署 在Internet與企業(yè)網(wǎng)內(nèi)網(wǎng)之間部署了一臺防火墻，在內(nèi)外網(wǎng)之間建立一道牢固的安全屏障。同時對建設(shè)好的企業(yè)網(wǎng)絡(luò)我們應(yīng)加強安全防御意識，建立相應(yīng)的安全防御體系和管理維護制度。 企業(yè)網(wǎng)的網(wǎng)絡(luò)安全是一個系統(tǒng)性工程，不能僅僅依靠防火墻和其它網(wǎng)絡(luò)安全技術(shù)，而需要仔細(xì)考慮系統(tǒng)的安全需求，建立相應(yīng)的管理制度，并將各種安全技術(shù)與管理手段結(jié)合在一起，才能生成一個高效、通用、安全的企業(yè)網(wǎng)絡(luò)系統(tǒng)。根據(jù)本企業(yè)的結(jié)構(gòu)特點及面臨的安全隱患，在廣泛征集各方意見，細(xì)心比較的基礎(chǔ)上，決定以下幾個必須考慮的安全防護要點：網(wǎng)絡(luò)安全隔離、網(wǎng)絡(luò)監(jiān)控措施、網(wǎng)絡(luò)安全漏洞、網(wǎng)絡(luò)病毒的防范。網(wǎng)絡(luò)產(chǎn)品應(yīng)提供對用戶帶寬控制的功能。 　由此可見，構(gòu)筑具有必要的信息安全防護體系、建立一套有效的網(wǎng)絡(luò)安全機制顯得尤其重要。網(wǎng)絡(luò)服務(wù)器安裝的操作系統(tǒng)有Windows NT/2000、UNIX、Linux等，這些系統(tǒng)安全風(fēng)險級別不同，例如Windows NT/2000的普遍性和可操作性使它成為最不安全的系統(tǒng)：自身安全漏洞、瀏覽器的漏洞、IIS的漏洞、病毒的溫床等；UNIX由于技術(shù)的復(fù)雜性導(dǎo)致高級黑客對其進行攻擊：自身安全漏洞（RIP路由轉(zhuǎn)移等）、服務(wù)安全漏洞、病毒等。由于內(nèi)部用戶對網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解，因此來自內(nèi)部的安全威脅會更大一些?？蓪尤胍蛱鼐W(wǎng)的各網(wǎng)絡(luò)用戶進行權(quán)限控制。網(wǎng)絡(luò)具有防止及便于捕殺病毒功能。 服務(wù)器硬件平臺、操作系統(tǒng)以及服務(wù)軟件的選型如下表：服務(wù)器編號服務(wù)器名稱硬件平臺操作系統(tǒng)Server1WEB服務(wù)器IBM System x3650Windows 2003 serverServer2FTP服務(wù)器IBM System x3650Windows 2003 serverServer3郵件服務(wù)器IBM System x3650Solaris Server4DNS服務(wù)器IBM System x3650Windows 2003 serverServer5實時通信服務(wù)器IBM System x3650Windows 2003 serverServer6流媒體服務(wù)器IBM System x3650Windows 2003 serverServer7網(wǎng)管服務(wù)器IBM System x3650Windows 2003 server第5章 網(wǎng)絡(luò)安全保障 網(wǎng)絡(luò)存在的隱患和漏洞 圖 網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的安全性，企業(yè)網(wǎng)與Internet相連，在享受Internet方便快捷的同時，也面臨著遭遇攻擊的風(fēng)險。 l 流媒體服務(wù)器：提供各種流媒 體播放、點播服務(wù)。 l 郵件服務(wù)器：提供郵件收發(fā)服務(wù)。 l DNS、目錄服務(wù)器：提供域名解析以及目錄服務(wù)。在本設(shè)計實例中，所 有的服務(wù)器被集中到VLAN100，構(gòu)成服務(wù)器群并通過匯聚層交換機 DSW1的端口接入企業(yè)網(wǎng)。這時，可以使用ACCESSCLASS命令進行VTY訪問控制。為了阻止黑客入侵路由器，必須對路由器的訪問位置加以限制。 (4) 針對 DoS 攻擊的設(shè)計DoS 攻擊（Denial of Service Attack，拒絕服務(wù)攻擊）是一種非常常見而且極具破壞力的攻擊手段，它可以導(dǎo)致服務(wù)器、網(wǎng)絡(luò)設(shè)備的正常服務(wù)進程停止，嚴(yán)重時會導(dǎo)致服務(wù)器操作系統(tǒng)崩潰。(3) 對外屏蔽其它不安全的協(xié)議或服務(wù)這樣的協(xié)議主要有SUNOS的文件共享協(xié)議端口2049，遠(yuǎn)程執(zhí)行（rsh）、遠(yuǎn)程登錄（rlogin）和遠(yuǎn)程命令（rcmd）端口5151514，遠(yuǎn)程過程調(diào)用（SUNRPC）端口111。這是極其危險的因此必須加以屏蔽。其次，telnet是一種不安全的協(xié)議類型。，顯示了如何設(shè)置對外屏蔽簡單網(wǎng)管協(xié)議SNMP。主要應(yīng)該做以下的ACL設(shè)計：(1) 對外屏蔽簡單網(wǎng)管協(xié)議利用這個協(xié)議，遠(yuǎn)程主機可以監(jiān)視、控制網(wǎng)絡(luò)上的其它網(wǎng)絡(luò)設(shè)備。在網(wǎng)絡(luò)環(huán)境中普遍存在著一些非常重要的、影響服務(wù)器群安全的隱患。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進行通信時的第一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對路由器的訪問控制列表進行縝密的設(shè)計，來對企業(yè)內(nèi)網(wǎng)包括防火墻本身實施保護。路由器上的訪問控制列表（ Access Control List，ACL）是保護內(nèi)網(wǎng)安全的有效手段。其中一個IP地址：： NAT。為了解決所有工作站訪問Internet的需要，必須使用NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)。到企業(yè)網(wǎng)內(nèi)部的路由條目可以經(jīng)過路由匯總后形成兩條路由條目。到Internet上的路由需要定義一條缺省路由。 ，顯示了為接入路由器 IR的各接口設(shè)置 IP地址、子網(wǎng)掩碼。1. 配置接入路由器InternetRouter的基本參數(shù)：對接入路由器IR的基本參數(shù)的配置步驟與對接入層交換機asw1的基本參數(shù)的配置類似 。其作用主要是在Internet和企業(yè)網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。采用的是CISCO 3845路由器。同時，對于配置核心層 交換機Csw2下連的一系列交換機，其連接 方法以及配置步驟和命令同 步驟和命令類似。2. 配置核心交換機csw2對于核心層交換機Csw2的配置步驟 命令和對核心層交 換機Csw1的配置類似。這里使用了一條缺省路由命令，如圖所示。因此，需要啟用核心層交換機的路由功能。如圖所示，是設(shè)置核心層交換機Csw1的萬兆以太網(wǎng)信道的步驟。如圖所示，給出了對上述端口的配置命令。(4) 配置核心層交換機Csw1的端口參數(shù)：核心層交換機Csw1通過自己的端口F0同廣域網(wǎng)接入 模塊（Internet 路由器）相連。 這里核心層交換機Csw1將通過VTP獲得在分布層交換機dsw1中定義的所有VLAN的信息。同時，還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址。： 1. 配置核心層交換機csw1(1) 配置核心層交換機csw1的基本參數(shù)對核心層交換機Csw1的基本參數(shù)的配置步驟與對接入層交換機 Asw1 的基本參數(shù)的配置類似 。在作為核心層交換機的CISCO3845交換機中安裝了WSX4306GB模塊，該模塊提供了5個千兆光纖上連接口，可以用來接入WSG5484。 核心層交換機參數(shù)配置核心層將各分布層交換機互連起來進行 穿越園區(qū)網(wǎng)骨干的高速數(shù)據(jù)交換。對分布層交換機 dsw2的配置步驟、命令和對分布層交換機dsw1的配置類似。 此外，分布層交換dsw2還通過自己的千兆端口上連到核心交換csw1上。其中，路由的下一條地址為Internet接入路由器的快速以太網(wǎng)接口F0/0的IP地址。接下來，為每個VLAN定義自己的默認(rèn)網(wǎng)關(guān)地址，如圖：最后，還需要定義一條通往Internet的路由。這需要首先啟用分布層交換機的路由功能。如圖所示，給出了對所有訪問端口、主干道端口的配置步驟和命令。此外，分布層交換機dsw1還通過自己的千兆端口連到核心交換機csw1。如圖所示，定義了8個VLAN，同時為每個VLAN命名。如圖5所示，設(shè)置激活VTP剪裁功能。在一個VTP域下，只需要在VTP服務(wù)器上激活VTP剪裁功能。這時，可以激活主干道上的VTP剪裁功能。默認(rèn)情況下主干道傳輸所有VLAN的用戶數(shù)據(jù)。同時，還有責(zé)任發(fā)送和轉(zhuǎn)發(fā)VLAN更新消息。如圖所示，將VTP管理域的域名定義為ab。每一個VTP管理域都有一個共同的VTP管理域域名。同時，將分布層交換機dsw1設(shè)置成為VTP服務(wù)器，其他交換機設(shè)置成為VTP客戶機。從而大大減輕了網(wǎng)絡(luò)管理人員配置交換機的負(fù)擔(dān)。然后，利用交換機之間的互相學(xué)習(xí)功能，將創(chuàng)建好的VLAN定義傳播到整個網(wǎng)絡(luò)中需要此VLAN定義的所有交換機上。在實際工作中常采用VLAN中繼協(xié)議（VlanTrunkingProtocol，VTP）來解決這個問題。(3) 配置分布層交換機dsw1的VTP當(dāng)網(wǎng)絡(luò)中交換機數(shù)量很多時，需要分別在每臺交換機上創(chuàng)建很多重復(fù)的VLAN。：(2) 配置管理IP、默認(rèn)網(wǎng)關(guān)如圖所示，顯示了為匯聚層交換機dsw1設(shè)置管理IP并激活本征VLAN。：1. 配置匯聚層交換機dsw1(1) 基本參數(shù)配置對分布層交換機dsw1的基本參數(shù)的配置步驟與對訪問層交換機asw1的基本參數(shù)的配置類似。作為3層交換機，CISCO WSC2960G48TCL交換機擁有24個10/100Mbps自適應(yīng)快速以太網(wǎng)端口，同時還有2個1000Mbps的GBIC端口供上連使用。 匯聚層交換機參數(shù)配置匯聚層除了負(fù)責(zé)將接入層交換機進行匯集外，還為整個交換網(wǎng)絡(luò)提供VLAN間的路由選擇功能。同樣的步驟需要在網(wǎng)絡(luò)中的所有交換機上進行配置。所不同的是，Backbonefast可以檢測到間接鏈路（非直連鏈路）故障并立即使得相應(yīng)阻塞端口的最大壽命計時器到時，從而縮短該端口可以開始轉(zhuǎn)發(fā)數(shù)據(jù)包的時間。注意，Uplinkfast特性只能在接入層交換機上啟用