【正文】 有的授權(quán)方法必須通過(guò) AAA 定義。這個(gè)數(shù)據(jù)庫(kù)可以位于所訪問(wèn)的本地服務(wù)器或路由器，或者位于遠(yuǎn)程 RADIUS 或 TACACS+安全服務(wù)器。 AAA授權(quán)是通過(guò)匯集一組屬性來(lái)發(fā)揮作用的，這些屬性 描述了用戶被授予執(zhí)行哪些權(quán)限。有關(guān)所有認(rèn)證的配置方法的詳細(xì)資料，包括那些在 AAA 安全服務(wù)之外實(shí)現(xiàn)的方法，請(qǐng)參見(jiàn)第 2章“認(rèn)證配置”。定義任何方法列表將覆蓋缺省方法列表。唯一的 例外是缺省方法列表（其名稱為 default）。通過(guò)定義一張命名的認(rèn)證方法列表對(duì) AAA 認(rèn)證進(jìn)行配置，然后應(yīng)用該列表于各種接口。它提供了完成下列服務(wù)的模塊化方法： 認(rèn)證， 一種提供識(shí)別用戶的方法，包括注冊(cè)和口令對(duì)話框、詢問(wèn)和響應(yīng)、消息支持以及根據(jù)所選擇的安全協(xié)議進(jìn)行加密。 BackboneFast 能使交換機(jī)在收到 inferior BPDU 后，根據(jù)接收該 BPDU 端口的狀態(tài)，來(lái)決定通向 Root Bridge 的 alternate Path，并通過(guò) Blocking 端口來(lái)發(fā)送 Root Link Query，根據(jù)應(yīng)答，判斷哪個(gè)端口為 Newly Current Root Bridge Port，并將其馬上進(jìn)行狀態(tài)轉(zhuǎn)換， 無(wú)需等待 Max Age Timer 計(jì)時(shí)器到時(shí)。交換機(jī)中只要有一臺(tái)處于第三種狀態(tài)，就要從新進(jìn)行 STP運(yùn)算。當(dāng)一臺(tái)交換機(jī)的 RP 壞掉的時(shí)候，失去了和 RB 的連接，它向他的其他端口，包括阻塞端口（如果有的話）發(fā)送下級(jí) BPDU。 Backbonefast BackboneFast 用在 distribution layer 中的交換機(jī)上。 具體來(lái)說(shuō)，一個(gè)上行鏈路組由根端口和除自環(huán)端口之外的一組阻斷端口組成，上行速鏈路使交換機(jī)上的一個(gè)阻斷端口幾乎立刻進(jìn)行轉(zhuǎn)發(fā)。 UplinkFast 激活一個(gè)快速重新配置的條件： （ 1） 在交換機(jī)上必須啟動(dòng)了UplinkFast 功能； （ 2） 至少有一個(gè)處于 Blocking 的端口（即有 冗余鏈路）； （ 3）鏈路失效必須發(fā)生在 Root Port 上。 UplinkFast 被設(shè)計(jì)應(yīng)用在接入層交換機(jī)。解決的方法是一旦發(fā)現(xiàn)了線路 down，馬上把 Blocking 的 port 切換到Forwarding，不要經(jīng)過(guò) Listening 和 Learning 階段。一些實(shí)時(shí)以及對(duì)帶寬敏感的網(wǎng)絡(luò)應(yīng)用是不能接受的。這種情況下就會(huì)導(dǎo)致一些故障，例如 DHCP 環(huán)境下，這可能會(huì)出現(xiàn)一些問(wèn)題。如果端口由于某種原因又被迫進(jìn)入阻塞狀態(tài)，隨后又需要回到轉(zhuǎn)發(fā)狀態(tài)，仍然要經(jīng)過(guò)正常的偵聽(tīng)。它就進(jìn)入阻塞狀態(tài)。當(dāng)轉(zhuǎn)發(fā)延遲定時(shí)器超時(shí)后，進(jìn)入學(xué)習(xí)狀態(tài)，當(dāng)轉(zhuǎn)發(fā)延遲定時(shí)器第二次超時(shí)，端口進(jìn)入到轉(zhuǎn)發(fā)或者阻塞狀態(tài)，當(dāng)一個(gè)交換機(jī)或中繼端口啟用 PortFast 后，端口立即進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，但交換機(jī)檢測(cè)到鏈路，端口就進(jìn)入轉(zhuǎn)發(fā)狀態(tài) (插電纜后的 2s) 。 Portfast 快速端口是一個(gè) Catalyst 的一個(gè)特性，能使交換機(jī)或中繼端口跳畢業(yè)設(shè)計(jì)（論文） 8 過(guò)偵聽(tīng)學(xué)習(xí)狀態(tài)而進(jìn)入 STP 轉(zhuǎn)發(fā)狀態(tài)，在基于 IOS 交換機(jī)上， PortFast 只能用于連接到終端工作站的接入端口上。需要注意的是： PortFast 僅僅讓端口在網(wǎng)絡(luò)環(huán)境變化的情況下直接進(jìn)入Forwarding 狀態(tài)。 缺省情況下，假定交換機(jī)的所有端口都將與交換機(jī)或者網(wǎng)橋連接，所以所有端口都運(yùn)行 STP 算法，即如果網(wǎng)絡(luò)發(fā)生了變化，在端口發(fā)送數(shù)據(jù)之前要等待 50s，而事實(shí)上許多端口會(huì)直接連接工作站或者服務(wù)器。 Portfast Portfast 是用在 access layer 中的交換機(jī)上的而且用在有阻斷端口的交換機(jī)上，當(dāng) RP 失效，馬上啟動(dòng)阻斷端口保持通信。 B 就開(kāi)始從 C到達(dá)根橋了。 A 收到了這個(gè)查詢包就會(huì)回復(fù)給 C 一個(gè)應(yīng)答，說(shuō)自己仍然有效。這個(gè) BPDU 只能是發(fā)到 C（因?yàn)楹?A 的鏈路 down 掉了）。這個(gè)時(shí)候 A 和 B 之間的鏈路 down 掉了。 A 是根橋，所以 B 和 C 相連的兩個(gè)端口要有一個(gè)端口是block 狀態(tài)的。對(duì) Backbonefast 工作方式舉個(gè)例子：假設(shè)有 A,B,C 三個(gè)交換機(jī)。而且 Backbonefast 是要配置在所有的交換機(jī)上。也就是說(shuō)當(dāng)有兩條上行鏈路連向上層的時(shí)候，傳統(tǒng)的生成樹(shù)會(huì)把其中一條置為 block 狀態(tài)，如果一條鏈路實(shí)效了，另一條也要經(jīng)過(guò) 50 秒才能變?yōu)閭鬏敔顟B(tài) ，而使用 Uplinkfast不需要經(jīng)過(guò) block 狀態(tài)。 Protfast 是對(duì)于接入端口來(lái)說(shuō)的，也就是使用了 Portfast 的端口直接就進(jìn)入傳輸狀態(tài)，而不需要經(jīng)過(guò)中間的其他狀態(tài)。所以， cisco 發(fā)明了三個(gè)對(duì)生成樹(shù)增強(qiáng)的協(xié)議。 畢業(yè)設(shè)計(jì)（論文） 7 8． Portfast Uplinkfast Backbonefast 原理 因?yàn)閭鹘y(tǒng)的生成樹(shù)協(xié)議，如果 要由 block 狀態(tài)轉(zhuǎn)換到 forwarding 狀態(tài)需要50s。如果網(wǎng)橋在啟用根保護(hù)的端口上收到一個(gè)較好的 STP BPDU。通常一個(gè)根橋的所有端口均為指定端口。當(dāng)新接入的交換機(jī)優(yōu)先級(jí)更低，將搶占原有的根網(wǎng)橋。在阻塞狀態(tài)，一個(gè)橋停止了轉(zhuǎn)發(fā)，但是它會(huì)繼續(xù)接收和處理 BPDU 數(shù) 據(jù)包。這樣每一個(gè)橋都增加它的端口的 COST 值為它所接收的 BPDU 的包的 COST值，所有的橋都檢測(cè)它們的端口的 COST 值，擁有最低端口的 COST 值的橋就變?yōu)榱酥付ǖ臉颉?BPDU 包括 的信息叫做端口的 COST，網(wǎng)絡(luò)管理員分配端口的 COST 到所有的橋端口，當(dāng)根橋發(fā)送 BPDU 的時(shí)候，根橋設(shè)置它的端口值為零。這在生成樹(shù)網(wǎng)絡(luò)里面是一種機(jī)制，一旦網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化，網(wǎng)絡(luò)狀態(tài)將會(huì)重新配置。在一個(gè)網(wǎng)絡(luò)里邊擁有最低橋 ID 的將變成一個(gè)根橋，全部的生成樹(shù)網(wǎng)絡(luò)里面只有一個(gè)根橋。但是因?yàn)閺闹行臉虻饺魏尉W(wǎng)段只有一個(gè)路徑存在，所以橋回路被消除。它的工作原理是這樣的：生成樹(shù)協(xié)議定義了一個(gè)數(shù)據(jù)包，叫做橋協(xié)議數(shù)據(jù)單元 BPDU（ Bridge Protocol Data Unit）。但是，在一個(gè)透明橋橋接的網(wǎng)絡(luò)里，存在冗余的路徑就能建立一個(gè)橋回路，橋回路對(duì)于一個(gè)局域網(wǎng)是致命的。橋兩邊的網(wǎng)段分屬于不同的沖突域，但卻屬于同一個(gè)廣播域。網(wǎng)橋典型地連接兩個(gè)用同樣介質(zhì)存取控制方法的網(wǎng)段， IEEE 規(guī)范（此規(guī)范是為所有的 802 介質(zhì)存取方法開(kāi)發(fā)的）定義了透明橋。是一種生成樹(shù)（ SpanningTree） 協(xié)議問(wèn)候數(shù)據(jù)包，它以可配置的間隔發(fā)出，用來(lái)在網(wǎng)絡(luò)的網(wǎng)畢業(yè)設(shè)計(jì)（論文） 6 橋間進(jìn)行信息交換。 （ 7）為基于 IP 的 DHCP 客戶端提供多播地址分配。 （ 5） 為眾多子網(wǎng)提供 DHCP 服務(wù)（如果 DHCP 服務(wù)器和需要提供服務(wù)的子網(wǎng)之間的所有路由器都被配置成轉(zhuǎn)發(fā) DHCP 消息）。 （ 3） 為特定的計(jì)算機(jī)或其他設(shè)備保留 IP 地址，以便它們總是具有相同的 IP 地址，同時(shí)還接收最新的 DHCP 選項(xiàng)。 DHCP 實(shí)現(xiàn)流程：（ 1） 在特定的時(shí)間內(nèi)將 IP 地址租用給 DHCP 客戶端，然后當(dāng)客戶端請(qǐng)求續(xù)訂時(shí)自動(dòng)續(xù)訂 IP 地址。 通過(guò)在網(wǎng)絡(luò)上安裝和配置 DHCP 服務(wù)器，啟用 DHCP 的客戶機(jī)可在每次啟動(dòng)并加入網(wǎng)絡(luò)時(shí)動(dòng)態(tài)地獲得其 IP 地址和相關(guān) 配置參數(shù)。 對(duì)于基于 TCP／ IP 的網(wǎng)絡(luò)， DHCP 減少了重新配置計(jì)算機(jī)所涉及的管理員的工作量和復(fù)雜性， 大大降低了 用于配置和重新配置網(wǎng)上計(jì)算機(jī)的時(shí)間。 DHCP 服務(wù)允許網(wǎng)絡(luò)中一臺(tái)計(jì)算機(jī)作為DHCP 服務(wù)器并配置用戶網(wǎng)絡(luò)中啟用 DHCP 的客 戶計(jì)算機(jī)。一般根據(jù)需要選擇部分配置作為交換機(jī)的實(shí)際配置并在主、備交換機(jī)上同時(shí)實(shí)現(xiàn)。假如主交換機(jī)失效，則備份交換機(jī)將取代它作為新的主交換機(jī)工作。假如這個(gè)主交換機(jī)在某個(gè)時(shí)候由于某種原因而無(wú)法正常工作的話，那么備份的交換機(jī)將被用來(lái)代替原來(lái)的主交畢業(yè)設(shè)計(jì)（論文） 5 換機(jī)，承擔(dān)數(shù)據(jù)包的轉(zhuǎn)發(fā)功能，而不會(huì)在對(duì)主機(jī)的連通性上產(chǎn)生大的故障。 HSRP 協(xié)議中所涉及到的多個(gè)交換機(jī)都映射為一個(gè)虛擬的交換機(jī)。 熱備份路由協(xié)議 由于當(dāng)前網(wǎng)絡(luò)均采用 Cisco網(wǎng)絡(luò)設(shè)備，因此可以采用 Cisco的熱備份路由協(xié)議（ HSRP）實(shí)現(xiàn)路由冗余。這樣就實(shí)現(xiàn)了鏈路的冗余。同時(shí)，當(dāng)部分端口聚合鏈路出現(xiàn)故障時(shí)，也不會(huì)導(dǎo)致連接中斷，其他鏈路將能夠不受影響地正常工作，從而增強(qiáng)了網(wǎng)絡(luò)的穩(wěn)定性和安全性。 5． HSRP 原理 鏈路聚合技術(shù) 鏈路匯聚是指將多個(gè)交換機(jī)之間、交換機(jī)和路由器之間以及交換機(jī)和服務(wù)器之間的并行鏈路同時(shí)使用，其功能是將交換機(jī)的多個(gè)低帶寬端口捆綁成一條高帶寬鏈路，從而實(shí)現(xiàn)鏈路的負(fù)載平衡，避免鏈路出現(xiàn)擁塞現(xiàn)象。 4． SVIVLAN 間路由 SVI（交換虛擬接口）是指為交換機(jī)中的 VLAN 創(chuàng)建虛擬接口，并且配置 IP地址。它使用 ISL 中繼和允許一個(gè) VLAN 中繼當(dāng)被其它VLANs 的阻塞時(shí)將一些 VLANs 轉(zhuǎn)發(fā)。在同一管理域中的交換機(jī)共享它們的 VLAN 信息，并且，一個(gè)交換機(jī)只能參加到一個(gè) VTP 管理域，不同域中的交換機(jī)不能共享 VTP 信息。 有了 VTP，就可以在一臺(tái)機(jī)換上集中過(guò)時(shí)行配置變更，所作的變更會(huì)被自動(dòng)傳播到網(wǎng)絡(luò)中所有其他的交換機(jī)上?？梢杂?VTP管理網(wǎng)絡(luò)中 VLAN1到 1005。 VTP 的優(yōu)點(diǎn) ： 保持配置的一致性 ； 提供跨不同介質(zhì)類型如 ATM FDDI 和以太網(wǎng)配置虛擬局域網(wǎng)的方法 ； 提供跟蹤和監(jiān)視虛擬局域網(wǎng)的方法 ； 提供檢測(cè)加到另一個(gè)交換機(jī)上的虛擬局域的方法 ； 提 供從一個(gè)交換機(jī)在整個(gè)管理域中增加虛擬局域網(wǎng)的方法 。如果不能正確使用VTP 也是很危險(xiǎn)的。 VTP 最重要的作用是，將進(jìn)行變動(dòng)時(shí)可能會(huì)出現(xiàn)在的配置不一致性降至最低。 2. VTP 原理 VLAN 中繼協(xié)議（ VTP， VLAN TRUNKING PROTOCOL）是 CISCO 專用協(xié)議，大多數(shù)交換機(jī)都支持該協(xié)議． VTP 負(fù)責(zé)在 VTP 域內(nèi)同步 VLAN 信息，這樣就不必在每個(gè)交換上配置相同的 VLAN 信息，并且 可以很好的管理 VLAN。在一定程度上可以節(jié)省帶寬。這個(gè)功能的目標(biāo)就是建立一個(gè)動(dòng)態(tài)的組織環(huán)境，當(dāng)然，這只是 一個(gè)遠(yuǎn)大的目標(biāo)，要實(shí)現(xiàn)它，還需要一些其他包括管理等方面的支持。 當(dāng)然，并不是所有的 VLAN 定義方法都能做到這一點(diǎn)。虛擬局域網(wǎng)其實(shí)只是局域網(wǎng)給用戶提供的一種服務(wù)，并不是一種新型局域網(wǎng)。每一個(gè) VLAN 的幀都有一個(gè)明確的標(biāo)識(shí)符，指明發(fā)送這個(gè)幀的工作站是屬于哪一個(gè) VLAN。 VLAN 可以在一個(gè)交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。 為了解決上述問(wèn)題，虛擬局域網(wǎng)（ Virtual Local Area Network， VLAN）應(yīng)運(yùn)而生。第二，在傳統(tǒng)的以太網(wǎng)中，同一個(gè)物理網(wǎng)段中的結(jié)點(diǎn)也就是一個(gè)邏輯工作組，不同物理網(wǎng)段中的結(jié)點(diǎn)是不能直接相互 通信的。交換機(jī)雖然能解決沖突域問(wèn)題，卻不能克服廣播域問(wèn)題。首先，在采用共享介質(zhì)的以太網(wǎng)中，所有結(jié)點(diǎn)位于同一個(gè)沖突域中，同時(shí)也位于同一個(gè)廣播域中，即一個(gè)結(jié)點(diǎn)向網(wǎng)絡(luò)中某些結(jié) 點(diǎn)的廣播會(huì)被網(wǎng)絡(luò)中所有的結(jié)點(diǎn)所接收，造成很大的帶寬資源和主機(jī)處理能力的浪費(fèi)。 本次 研究主要以構(gòu)建健康良好的網(wǎng)絡(luò)為基礎(chǔ)，實(shí)現(xiàn)通信無(wú)障礙化；并且在此基礎(chǔ)之上建立一個(gè)安全的私密 的網(wǎng)絡(luò)環(huán)境 將成 為本次研究的 重點(diǎn) 。使用它技術(shù)可以解決在當(dāng)今遠(yuǎn)程通訊量日益增大，企業(yè)全球運(yùn)作廣泛分布的情況下，員工需要訪問(wèn)中央資源，企業(yè)相互之間必須進(jìn)行及 時(shí)和有效的通訊的問(wèn)題。它可以實(shí)現(xiàn)不同網(wǎng)絡(luò)的組件和資源之間的相互連接。這樣就建立了一個(gè)邏輯上虛擬的私有網(wǎng)絡(luò)。 虛擬專用網(wǎng)，VPN 它是利用公用網(wǎng)絡(luò)來(lái)連接到企業(yè)私有網(wǎng)絡(luò)。首先，在采用共享介質(zhì)的以太網(wǎng)中，所有結(jié)點(diǎn)位于同一個(gè)沖突域中，同時(shí)也位于同一個(gè)廣播域中，即一個(gè)結(jié)點(diǎn)向網(wǎng)絡(luò)中某些結(jié)點(diǎn)的廣播會(huì)被網(wǎng)絡(luò)中所有的結(jié)點(diǎn)所接收，造成很大的帶寬資源和主機(jī)處理能力的浪費(fèi)。在網(wǎng)絡(luò)上傳播病毒可以通過(guò)公共匿名 FTP 文件傳送、也可以通過(guò)郵件和郵件的附加文件傳播。使用電子郵件來(lái)傳輸重要機(jī)密信息會(huì)存在著很大的危險(xiǎn)。信息的來(lái)源和去向是否真實(shí)，內(nèi)容是否被改動(dòng)，以及是否泄露等，在應(yīng)用層支持的服務(wù)協(xié)議中是憑著君子協(xié)定來(lái)維系的。Inter 的數(shù)據(jù)傳輸是基于 TCP/IP 通信協(xié)議進(jìn)行的，這些協(xié)議缺乏使傳輸過(guò)程中的信息不被竊取的安全措施。and apart from the work provider of information security concern for these works,we must also consider how to deal with unexpected situation,how to restore work munications,and maintain continuity of work munications. Keyword： SECURE VLAN VPN AAA. 目 錄 第一章 緒論 ..................................................................................................................... 1 第二章 網(wǎng)絡(luò)原理 ............................................................................................................. 2 1. VLAN 原理 .......................................