【正文】 ： 所謂命名的 IP 訪問控制列表是以列表名代替列表編號來定義 IP 訪問控制列表，同樣包括標(biāo)準(zhǔn)和 擴展兩種列表，定義過濾的語句與編號方式中相似。 ? 擴展 IP 訪問控制列表 ： 擴展 IP 訪問控制列表比標(biāo)準(zhǔn) IP 訪問控制列表具有更多的匹配項，包括協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和 IP 優(yōu)先級等。 ? 標(biāo)準(zhǔn) IP 訪問控制列表 ： 一個標(biāo)準(zhǔn) IP 訪問控制列表匹配 IP 包中的源地址或源地址中的一部分，可對匹配的包采取拒絕或允許兩個操作。 訪問控制列表從概念上來講并不復(fù)雜，復(fù)雜的是對它的配置和使用，許多初學(xué)者往往在使用訪問控制列表時出現(xiàn)錯誤。訪問控制列表的策略性非常強，并且牽涉到網(wǎng)絡(luò)的整體規(guī)劃，它的使用對于策略制定及網(wǎng)絡(luò)規(guī)劃的人員的技術(shù)素質(zhì)要求比較高。同時，巨大的網(wǎng)絡(luò)終端數(shù)量，同樣會增加管理的復(fù)雜度和難度。一方面，采用 ACL 技術(shù)，網(wǎng)絡(luò)管理員需要明確每一臺主機及工作站所在的 IP 子網(wǎng)并確認它們之間的訪問關(guān)系，適用于網(wǎng)絡(luò)終端數(shù)量有限的網(wǎng)絡(luò)。隨著局域網(wǎng)內(nèi)部網(wǎng)絡(luò)資源的增加，一些企業(yè)已經(jīng)開始使用 ACL 來控制對局域網(wǎng)內(nèi)部資源的訪問能力，進而來保障這些資源的安全性。標(biāo)準(zhǔn)訪問控制列表通過把源地址、目的地址及端口號作為數(shù)據(jù)包檢查的基本元素，并可以規(guī)定符合條件的數(shù)據(jù)包是否允許通過。這樣，在私網(wǎng)側(cè)或公網(wǎng)側(cè)設(shè)備看來，這個過程與普通的網(wǎng)絡(luò)訪問并沒有任何的區(qū)別。 NAT 的基本原理是僅在私網(wǎng)主機需要訪問 Inter 時才會分配到合法的公網(wǎng)地址，而在內(nèi)部互聯(lián)時則使用私網(wǎng)地址。外部用戶可通過公網(wǎng)地址和端口訪問不同的內(nèi)部服務(wù)器，同時還隱藏了內(nèi)部服務(wù)器的真實 IP 地址，從而防止外部對內(nèi)部服務(wù)器乃至內(nèi)部網(wǎng)絡(luò)的攻擊行為。 ? 通過公網(wǎng)地址與端口的結(jié)合，可使多個私網(wǎng)用戶共用 一個公網(wǎng)地址。 作為一種過渡方案， NAT 通過地址重用的方法來滿足 IP 地址的需要，可以在一定程度上緩解 IP 地址空間枯竭的壓力。由于局域網(wǎng)內(nèi)部的互訪可通過私網(wǎng) 地址實現(xiàn)，且私網(wǎng)地址在不同局域網(wǎng)內(nèi)可被重復(fù)利用，因此私網(wǎng)地址的使用有效緩解了 IPv4 地址不足的問題。盡管 IPv6 可以從根本上解決 IPv4 地址空間不足問題，但目前眾多網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)應(yīng)用大多是基于 IPv4 的，因此在 IPv6 廣泛應(yīng)用之前，一些過渡技術(shù)（如 CIDR、私網(wǎng)地址等）的使用是解決這個問題最主要的技術(shù)手段 [7]。現(xiàn)在 D 就完全成為 A 與 C 的中間橋梁了，對于 A 和 C 之間的通訊就可以了如指掌了。 D 直接進行整個包的修改轉(zhuǎn)發(fā)，捕獲到 A 發(fā)送給 C 的數(shù)據(jù)包，全部進行修改后再轉(zhuǎn)發(fā)給 C，而 C 接收到的數(shù)據(jù)包完全認為是從 A 發(fā)送來的。打開 D 的 IP 轉(zhuǎn)發(fā)功能， A發(fā)送過來的數(shù)據(jù)包，轉(zhuǎn)發(fā)給 C，好比一個路由器一樣。 D 對接收到 A 發(fā)送給 C 的數(shù)據(jù)包可沒有轉(zhuǎn)交給 C。 A 對這個變化一點都沒有意識到，但是接下來的事情就讓 A 產(chǎn)生了懷疑。如果進行欺騙的時候，把 C的 MAC 地址騙為 DDDDDDDDDDDD，于是 A 發(fā)送到 C 上的數(shù)據(jù)包都變成發(fā)送給 D 的了。 從上 面可以看出， ARP 協(xié)議的基礎(chǔ)就是信任局域網(wǎng)內(nèi)所有的人，那么就很容易實現(xiàn)在以太網(wǎng)上的 ARP 欺騙。同時它還更新了自己的 ARP 緩存表，下次再向主機 B 發(fā)送信息時，直接從ARP 緩存表里查找就可以了。如果找到了，也就知道了目標(biāo) MAC 地址，直接把目標(biāo) MAC 地址寫入幀里面發(fā)送就可以了；如果在 ARP 緩存表中沒有找到相對應(yīng)的 IP 地址，主機 A 就會在網(wǎng)絡(luò)上發(fā)送一個廣播，目標(biāo) MAC 地址是 “ ” ，這表示向同一網(wǎng)段內(nèi)的所有主機發(fā)出這樣的詢 問： “ 的 MAC 地址是什么？ ” 網(wǎng)絡(luò)上其他主機并不響應(yīng) ARP 詢問，只有主機 B 接收到這個幀時，才向主機 A 做出這樣的回應(yīng)： “ 的 MAC 地址是 bbbbbbbbbbbb” 。 每臺安裝有 TCP/IP 協(xié)議的電腦里都有一個 ARP 緩存表，表里的 IP 地址 與 MAC 地址是一一對應(yīng)的，如下所示： A aaaaaaaaaaaa B bbbbbbbbbbbb C cccccccccccc D dddddddddddd 我們以主機 A（ ）向主機 B（ ）發(fā)送數(shù)據(jù)為例。所謂 “ 地址解析 ” 就是主機在發(fā)送幀前將目標(biāo) IP 地址轉(zhuǎn)換成目標(biāo) MAC 地址的過程。在以太網(wǎng)中，一個主機要和另一個主機進行直接通信，必須要知道目標(biāo)主機的 MAC 地址。 ARP 協(xié)議是 “ Address Resolution Protocol” （地址解析協(xié)議）的縮寫。 ARP 協(xié)議對網(wǎng)絡(luò)安全具有重要的意義。反而動態(tài)路由卻會消失，因為動態(tài)路由要在動態(tài)路由協(xié)議正常運行的前提下才能產(chǎn)生的 。 靜態(tài)路由基本上都是人為配置的路由，或由人為的相關(guān)設(shè)置自動生成的，如你配置了 IP 地址就會產(chǎn)生一個直連路由 [5]。一般中小型的網(wǎng)絡(luò)，網(wǎng)絡(luò)拓撲比較簡單，不存在線路冗余等因素，所以通常采用靜態(tài)路由的方式來配置。 靜態(tài)路由技術(shù)及規(guī)劃 靜態(tài)路由一般是由管理員手工設(shè)置的路由，而動態(tài)路由則是路由器中的動態(tài)路由協(xié)議根據(jù)網(wǎng)絡(luò)拓撲情況和特定的要求自動生成的路由條目。適合于避免在局域網(wǎng)內(nèi)的配置錯誤，但不能防止通過網(wǎng)絡(luò)監(jiān)聽方式獲得密碼。 為了保證 VRRP 協(xié)議的安全性，提供了兩種安全認證措施：明文認證和IP 頭認證。對于相同優(yōu)先級的候選路由器，按照 IP 地址大小順序選舉。優(yōu)先級的配置原則可以依據(jù)鏈路的 速度和成本、路由器性能和可靠性以及其它管理策略設(shè)定。優(yōu)先級 0 一般用在 IP 地址所有者主動放棄主控者角色時使用。 在 VRRP 路由器組中，按優(yōu)先級選舉主控路由器， VRRP 協(xié)議中優(yōu)先級范圍是 0— 255。為了減少網(wǎng)絡(luò)帶寬 消耗只有主控路由器才可以周期性的發(fā)送 VRRP 通告報文。它使用 IP 多播數(shù)據(jù)包進行封裝，組地址為 ，發(fā)布范圍只限于同一局域網(wǎng)內(nèi)。這樣，無論如何切換，保證給終端設(shè)備的是唯一一致的 IP 和 MAC 地址，減少了切換對終端設(shè)備的影響。該路由器對外表現(xiàn)為唯一的虛擬 MAC 地址，地址的格式為 00005E0001[VRID]。由于此切換非常迅速而且不用改變 IP 地址和 MAC 地址，故對終端使用者系統(tǒng)是透明的。VRRP 協(xié)議使用選擇策略從路由器組中選出一臺作為主控，負責(zé) ARP 相應(yīng)和轉(zhuǎn)發(fā) IP 數(shù)據(jù)包，組中的其它路由器作為備份的角色處于待命狀態(tài)。該虛擬路由器對外表現(xiàn)為一個具有唯一固定 IP 地址和 MAC 地址的邏輯路由器。 VRRP 路由器是指運行 VRRP 的路由器，是物理實體，虛擬路由器是指 VRRP 協(xié)議創(chuàng)建的，是邏輯概念。采用虛擬路由冗余協(xié)議 （ Virtual Router Redundancy Protocol， 簡稱 VRRP） 可以很好的避免靜態(tài)指定網(wǎng)關(guān)的缺陷 [3]。靜態(tài)路由的方法簡化了網(wǎng)絡(luò)管理的復(fù)雜度和減輕了終端設(shè)備的通信開銷，但是它仍然有一個缺點：如果作為默認網(wǎng)關(guān)的路由器損壞，所有使用該網(wǎng)關(guān)為下一跳主機 的通信必然要中斷。在每一個終端都運行動態(tài)路由協(xié)議是不現(xiàn)實的，大多客戶端操作系統(tǒng)平臺都不支持動態(tài)路由協(xié)議，即使支持也受到管理開銷、收斂度、安全性等許多問題的限制。 VRRP 技術(shù)及規(guī)劃 在基于 TCP/IP 協(xié)議的網(wǎng)絡(luò)中，為了保證不直接物理連接的設(shè)備之間的通信，必須指定路由。 Trunk 是一種封裝技術(shù)，它是一條點到點的鏈路，鏈路的兩端可以都是交換機，也可以是交換機和路由器，還可以是主機和核心交換機或路由器。 另外， VLAN 具有靈活性和可擴張性等特點，方便于網(wǎng)絡(luò)維護和管理，這兩個特點正是現(xiàn)代局域網(wǎng)設(shè)計必須實現(xiàn)的兩個基本目標(biāo)，在局域網(wǎng)中有效利用虛擬局域網(wǎng)技術(shù)能夠提高網(wǎng)絡(luò)運行效率。不同的 VLAN 之間的數(shù)據(jù)傳輸是通過第三層（網(wǎng)絡(luò)層）的路由來實現(xiàn)的，因此使用 VLAN 技術(shù)，結(jié)合數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的交換設(shè)備可搭建安全可靠的網(wǎng)絡(luò)。傳統(tǒng)的共享介質(zhì)的以太網(wǎng)和交換式的以太網(wǎng)中，所有的用戶在同一個廣播域中，會引起網(wǎng)絡(luò)性能的下降，浪費可貴的帶寬；而且對廣播風(fēng)暴的控制和網(wǎng)絡(luò)安全只能在第三層的路由器上實現(xiàn) [1]。 VLAN 可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來進行分組。 遵循以上的規(guī)則本此設(shè)計將 IP 做如下的劃分： 表 35 表 35 公司 IP 地址規(guī)劃 部門名稱 所屬 VLAN IP 地址范圍 產(chǎn)品客戶部 10 行政部 20 財務(wù)部 30 庫房 40 設(shè)計部 50 經(jīng)理辦公室 60 公司服務(wù)器 70 與路由器相連的端口 100 設(shè)備的管理 VLAN 1000 VLAN 技術(shù)及規(guī)劃 VLAN（虛擬局域網(wǎng)）是對連接到的第二層交換機端口的網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進 行網(wǎng)絡(luò)分段。如：對外提供服務(wù)的服務(wù)器群組區(qū)域，不僅要夠用，還得預(yù)留出余量；而員工部門等僅需要瀏覽 Inter 等基本需求的區(qū)域，可以通過 NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）來多個節(jié)點共享一個或幾個公網(wǎng) IP；最后，那些只對內(nèi)部提供服務(wù)，或只限于內(nèi)部通訊的主機自然不用分配公網(wǎng) IP 了。 相對于私有 IP 而言，公網(wǎng) IP 是不能由自己完全做主要求的，而是 ISP等機構(gòu)統(tǒng)一分配和租用的。雖然在網(wǎng)絡(luò)初期的一段可能很長的時間里，未合理考慮余量的 IP 地址規(guī)劃也能滿足需要，但是當(dāng)一個局部區(qū)域出現(xiàn)高增長，或者整體的網(wǎng)絡(luò)規(guī)模不斷增大，這時不合理的規(guī)劃很可能必須重新部署局部甚至整體的 IP 地址，這在一個中、大型網(wǎng)絡(luò)中就絕不是一個輕松的工作了。 IP 地址最開始是按有類劃分的， A、 B、 C 各類標(biāo)準(zhǔn)網(wǎng)段都只能嚴格按照規(guī)定使用地址。 規(guī)則二：可持續(xù)擴展性 。從網(wǎng)絡(luò)總體來說，體 系化編制由于相鄰或者具有相同服務(wù)性質(zhì)的主機或辦公群落都在 IP 地址上也是連續(xù)的，這樣在各個區(qū)塊的邊界路由設(shè)備上便于進行有效的路由匯總，使整個網(wǎng)絡(luò)的結(jié)構(gòu)清晰，路由信息明確，也能減小路由器中的路由表。一般這個規(guī)劃的過程是由大局、整體著眼，然后逐級由大到小分割、劃分的。合理的地址分配有幾個基本規(guī)則： 規(guī)則 一 ：體系化編址 。很多新成立的中小企業(yè)以及一些以前沒有組網(wǎng)的老企業(yè)，現(xiàn)在也都紛紛組建企業(yè)局域網(wǎng)，企業(yè)中 “ 無網(wǎng)不利 ” 已經(jīng)成為大勢所趨。 ? H3C SecBlade SSL： SSL VPN 模塊 。 圖 31 網(wǎng)絡(luò)拓撲機構(gòu)設(shè)計 設(shè)備的選購 從辦公網(wǎng)絡(luò)體系發(fā)展的實際出發(fā)，我們建議超市辦公局域網(wǎng)絡(luò)主要采用H3C 公司的網(wǎng)絡(luò)設(shè)備，整 個網(wǎng)絡(luò)采用以太網(wǎng)技術(shù)，不同的層次根據(jù)業(yè)務(wù)的需要選 用不同的網(wǎng)絡(luò)設(shè)備。 WEB 服務(wù)器的發(fā)布，來配合公司網(wǎng)站的建設(shè)和郵件服務(wù)器功能的實現(xiàn)。 VPN 服務(wù)器，這樣可以保證出差人員隨時對公司的網(wǎng)絡(luò)進行管理。 IP 協(xié)議在未來幾年內(nèi)成為世界上的主流網(wǎng)絡(luò)協(xié)議已經(jīng)不可阻擋。隨著技術(shù)發(fā)展的和應(yīng)用的豐富， IP 的服務(wù)質(zhì)量（ QoS）也不斷的改善。特別是九十年代以后，隨著 Inter 的爆炸性增長，在 Inter 上的應(yīng)用程序如雨后春筍搬涌現(xiàn)出來。 網(wǎng)絡(luò)應(yīng)用協(xié)議應(yīng)以 TCP/IP 為主， TCP/IP 協(xié)議是開放的網(wǎng)絡(luò)協(xié)議，它也是事實上的工業(yè)標(biāo)準(zhǔn)，因為眾多的生存廠商都支持該標(biāo)準(zhǔn)。 第 3 章 網(wǎng)絡(luò)結(jié)構(gòu)方案 設(shè)計 超市辦公網(wǎng)絡(luò)街頭方案總體設(shè)計 網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖設(shè)計 根據(jù)超市辦公挽留過的需求和業(yè)務(wù)系統(tǒng)，我們建議超市的網(wǎng)絡(luò)：主干主要采用千兆的快速以太網(wǎng)技術(shù)。 ? 彈性的，模塊化的設(shè)計思想 正 因為架設(shè)企業(yè)主干網(wǎng) 是 一項投資大、周期長的建設(shè)，因此在規(guī)劃、設(shè)計及設(shè)備選型階段，必須充分考慮未來需求的成長、技術(shù)的升級和投資的保護等等因素，選擇具有先進的體系結(jié)構(gòu)，彈性的、模塊化的結(jié)構(gòu)、以便容納未來新型的應(yīng)用、技術(shù)。 ? 生命力 對于投入了大量人力、物理建設(shè)的網(wǎng)絡(luò)，自然希望它能夠盡可能持久有服務(wù)于業(yè)務(wù)的需求，所以網(wǎng)絡(luò)所使用 /選用的技術(shù)設(shè)備，以及所采用的拓撲結(jié)構(gòu)必須能夠支持未來至少五至十年的通訊需求的能力。他的主要特點是： ? 高可靠性 /高可用性 由于企業(yè)網(wǎng)絡(luò)所服務(wù)的對象是支持整個企業(yè)業(yè)務(wù)活動的關(guān)鍵應(yīng)用，因此要求組成網(wǎng)絡(luò)的主要設(shè)備具有相當(dāng)高的可靠性；同時在網(wǎng)絡(luò)的整體拓撲結(jié)構(gòu)的設(shè)計方面，也必須仔細考慮，使其在某些物理鏈路故障時，仍能保證不影響應(yīng)用的運行。 網(wǎng)絡(luò)方案描述 超市的辦公網(wǎng)絡(luò)系統(tǒng)主要用于承載對本企業(yè)而言至關(guān)重要的信息留。特備是在網(wǎng)絡(luò)環(huán)境不太穩(wěn)定的建網(wǎng)初期，以及自然條件不 好 的情況下， 如何保證網(wǎng)絡(luò)的可靠性就成為一個極具挑戰(zhàn)性的問題。同時充分利用光線技術(shù)和資源，構(gòu)架新的企業(yè)網(wǎng)。因此要求集線器具有較強的端口擴展 屬性，從而使網(wǎng)絡(luò)適應(yīng)業(yè)務(wù)增長的趨勢。 ? 端口的可擴容性 在網(wǎng)絡(luò)組建伊始，由于業(yè)務(wù)量處在發(fā)展的初期，端口和模塊可以相應(yīng)配置的較少。 ? 交換設(shè)備的可擴容性 從 Inter 網(wǎng)絡(luò)的發(fā)展