【正文】 提供完整性保護(hù)，由此保證通信數(shù)據(jù)安全傳送到目的地。在安全性考慮上，L2TP僅定義了控制消息的加密傳輸方式，對(duì)傳輸中的數(shù)據(jù)并不加密?？刂葡⒇?fù)責(zé)創(chuàng)建、維護(hù)及終止L2TP隧道，而數(shù)據(jù)隧道消息則負(fù)責(zé)用戶數(shù)據(jù)的真正傳輸。 二層VPN技術(shù)L2TP的應(yīng)用L2TP提供了一種遠(yuǎn)程接入訪問(wèn)控制的手段，其典型的應(yīng)用場(chǎng)景是：某公司員工通過(guò)PPP撥入公司本地的網(wǎng)絡(luò)訪問(wèn)服務(wù)器(NAS)，以此接入公司內(nèi)部網(wǎng)絡(luò)，獲取IP地址并訪問(wèn)相應(yīng)權(quán)限的網(wǎng)絡(luò)資源該員工出差到外地，此時(shí)他想如同在公司本地一樣以內(nèi)網(wǎng)IP地址接入內(nèi)部網(wǎng)絡(luò)，操作相應(yīng)網(wǎng)絡(luò)資源，他的做法是向當(dāng)?shù)豂SP申請(qǐng)L2TP服務(wù)，首先撥入當(dāng)?shù)豂SP，請(qǐng)求ISP與公司NAS建立L2TP會(huì)話，并協(xié)商建立L2TP隧道，然后ISP將他發(fā)送的PPP數(shù)據(jù)通道化處理，通過(guò)L2TP隧道傳送到公司NAS，NAS就從中取出PPP數(shù)據(jù)進(jìn)行相應(yīng)的處理，如此該員工就如同在公司本地那樣通過(guò)NAS接入公司內(nèi)網(wǎng)。另外與IPsec不同，GRE允許路由協(xié)議（OSPF和BGP）穿越連接。 IPX 網(wǎng)絡(luò)通過(guò)GRE 隧道互連GRE是無(wú)狀態(tài)協(xié)議，與IPsec隧道不同，端點(diǎn)在通過(guò)隧道發(fā)送流量之前并不調(diào)整任何參數(shù)，只要隧道目的地是可路由的，流量就可以穿過(guò)GRE隧道。 IPsec 上的GRE隧道GRE（Generic Routing Encapsulation，通用路由封裝）隧道已經(jīng)應(yīng)用了很長(zhǎng)的一段時(shí)間，GRE首先由Cisco公司提出，目的是提供IP網(wǎng)絡(luò)承載其他路由協(xié)議。AH與ESP提供的數(shù)據(jù)完整性服務(wù)的差別在于，AH驗(yàn)證的范圍還包括數(shù)據(jù)包的外部IP頭?！　Psec支持兩種協(xié)議標(biāo)準(zhǔn)，鑒別首部(Authenticaion Header，AH)和封裝安全有效載荷(Encapsulation Security Payload，ESP)：AH可證明數(shù)據(jù)的起源地(數(shù)據(jù)來(lái)源認(rèn)證)、保障數(shù)據(jù)的完整性以及防止相同的數(shù)據(jù)包不斷重播(抗重放攻擊)。 IPsec VPN的應(yīng)用IPsec(IP Security)是保障IP層安全的網(wǎng)絡(luò)技術(shù)，它并不是指某一項(xiàng)具體的協(xié)議，而是指用于實(shí)現(xiàn)IP層安全的協(xié)議套件集合。H3C公司的安全解決方案的VPN特性非常豐富，包括適用于分支機(jī)構(gòu)的動(dòng)態(tài)VPN（DVPN）解決方案、適用于MPLS VPN和IPSec VPN環(huán)境下的VPE解決方案、適用于鏈路備份的VPN高可用方案等，可以滿足各種VPN環(huán)境的需要。VPN 作為私有專(zhuān)網(wǎng)，一方面與底層承載網(wǎng)絡(luò)之間保持資源獨(dú)立性，即在一般情況下，VPN 資源不會(huì)被網(wǎng)絡(luò)中的其它VPN 或非該VPN 用戶使用；另一方面，VPN 提供足夠安全性，能夠確保VPN 內(nèi)部信息的完整性、保密性、不可抵賴性。VPN 只為特定的企業(yè)或用戶群體所專(zhuān)用。需要先建立一個(gè)普通的ACL列表，然后建立一個(gè)關(guān)于VLAN的訪問(wèn)映射表將建立的ACL列表包含進(jìn)去，最后把訪問(wèn)映射表映射到所需要的VLANA。n 在Qos中應(yīng)用ACL:Qos ACL指定了Qos分類(lèi)、標(biāo)記、控制和調(diào)度將應(yīng)用于那些數(shù)據(jù)包，也可以基于時(shí)間段、流量監(jiān)管、隊(duì)列調(diào)度、流量統(tǒng)計(jì)、端口重定向、本地流鏡像以及WEB Cache重定向的功能及應(yīng)用部署相關(guān)的ACL。：PC2可以針對(duì)PC3的MAC地址進(jìn)行限制。 ACL技術(shù)組網(wǎng)圖另外還有一些特殊情況下的ACL技術(shù)的應(yīng)用：n 基于MAC地址的ACL:二層 ACL 根據(jù)源MAC 地址、目的MAC 地址、 優(yōu)先級(jí)、二層協(xié)議類(lèi)型等二層信息制定規(guī)則，對(duì)數(shù)據(jù)進(jìn)行相應(yīng)處理。如果匹配（假設(shè)為允許發(fā)送），則不管是第一條還是最后一條語(yǔ)句，數(shù)據(jù)都會(huì)立即發(fā)送到目的接口。如果一個(gè)數(shù)據(jù)包的報(bào)頭跟表中某個(gè)條件判斷語(yǔ)句相匹配，那么后面的語(yǔ)句就將被忽略，不再進(jìn)行檢查。擴(kuò)展ACL比標(biāo)準(zhǔn)ACL提供了更廣泛的控制范圍, 擴(kuò)展IP訪問(wèn)控制列表比標(biāo)準(zhǔn)IP訪問(wèn)控制列表具有更多的匹配項(xiàng)，包括協(xié)議類(lèi)型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級(jí)等。標(biāo)準(zhǔn)ACL可以阻止來(lái)自某一網(wǎng)絡(luò)的所有通信流量，或者允許來(lái)自某一特定網(wǎng)絡(luò)的所有通信流量，或者拒絕某一協(xié)議簇（比如IP）的所有通信流量。目前有兩種主要的ACL:標(biāo)準(zhǔn)ACL和擴(kuò)展ACL。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP地址實(shí)現(xiàn)對(duì)Internet的訪問(wèn)，從而可以最大限度地節(jié)約IP地址資源。 端口多路復(fù)用(Port address Translation,PAT)是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換(PAT，Port Address Translation)。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)。也就是說(shuō)，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時(shí)，就可以進(jìn)行動(dòng)態(tài)轉(zhuǎn)換。借助于靜態(tài)轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問(wèn)。 NAT技術(shù)組網(wǎng)圖NAT的實(shí)現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換Static Nat、動(dòng)態(tài)轉(zhuǎn)換Dynamic Nat 和端口多路復(fù)用PAT。 NAT技術(shù)的應(yīng)用NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換)屬接入廣域網(wǎng)(WAN)技術(shù),是一種將私有(保留)地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù),它被廣泛應(yīng)用于各種類(lèi)型Internet接入方式和各種類(lèi)型的網(wǎng)絡(luò)中。根據(jù)以上原則，H3C提出以下的安全分區(qū)設(shè)計(jì)模型，主要包括內(nèi)網(wǎng)辦公區(qū)、數(shù)據(jù)中心區(qū)、外聯(lián)數(shù)據(jù)區(qū)、互聯(lián)網(wǎng)連接區(qū)、對(duì)外連接區(qū)、網(wǎng)絡(luò)管理區(qū)、廣域網(wǎng)連接區(qū)等區(qū)域。對(duì)邊界進(jìn)行安全防護(hù)，首先必須明確哪些網(wǎng)絡(luò)邊界需要防護(hù)，這可以通過(guò)安全分區(qū)設(shè)計(jì)來(lái)確定。黑客攻擊與廠家防護(hù)技術(shù)都會(huì)最先出現(xiàn)在這里，然后在對(duì)抗中逐步完善與成熟起來(lái)。4 邊界網(wǎng)絡(luò)安全網(wǎng)絡(luò)邊界就是網(wǎng)絡(luò)的大門(mén)，大門(mén)的安全防護(hù)是網(wǎng)絡(luò)安全的基礎(chǔ)需求。 S58系列以太網(wǎng)交換機(jī)在企業(yè)網(wǎng)/園區(qū)網(wǎng)的應(yīng)用在大中型企業(yè)或園區(qū)網(wǎng)中，S58系列以太網(wǎng)交換機(jī)作為大樓匯聚交換機(jī)，通過(guò)IRF智能彈性架構(gòu)將多臺(tái)匯聚交換機(jī)虛擬為一臺(tái)邏輯設(shè)備，從而簡(jiǎn)化管理維護(hù)，實(shí)現(xiàn)彈性擴(kuò)展。為增加堆疊的可靠性，盡量使用環(huán)形堆疊。比較結(jié)果不同的Unit將把基準(zhǔn)配置保存為臨時(shí)文件，然后重起。在系統(tǒng)啟動(dòng)時(shí)、新Unit加入時(shí)、merge時(shí)都會(huì)進(jìn)行配置比較。它將幫助用戶設(shè)計(jì)和實(shí)施高可用性、高可擴(kuò)展性和高可靠性的千兆以太網(wǎng)核心和匯聚主干。備份組號(hào)可以自己設(shè)定；主路由是交換機(jī)A還是交換機(jī)B，取決于兩者的優(yōu)先級(jí)，高的成為主路由，優(yōu)先級(jí)一樣比較IP地址，誰(shuí)的大誰(shuí)是主路由，另外一臺(tái)作為備份路由；VRRP默認(rèn)搶占開(kāi)啟。當(dāng)主路由器出現(xiàn)故障時(shí)，一個(gè)備份路由器將成為新的主路由器，接替它的工作, 避免備份組內(nèi)的單臺(tái)或多臺(tái)交換機(jī)發(fā)生故障而引起的通信中斷。Cisco系列交換機(jī)更多的采用思科廠商專(zhuān)用的HSRP（Hot Standby Router Protocol，熱備份路由器協(xié)議）為了使VRRP工作，要在路由器上配置虛擬路由器號(hào)和虛擬IP地址，同時(shí)會(huì)產(chǎn)生一個(gè)虛擬MAC(00005E0001[VRID])地址，這樣在這個(gè)網(wǎng)絡(luò)中就加入了一個(gè)虛擬路由器。對(duì)于終端用戶來(lái)說(shuō)，希望時(shí)時(shí)與網(wǎng)絡(luò)其他部分保持通信。VLANVLAN30 在匯聚層設(shè)備終結(jié)，VLAN 40 在接入層設(shè)備終結(jié)，因此可以配置實(shí)例1和實(shí)例3 的樹(shù)根分別為Switch A和Switch B，實(shí)例4 的樹(shù)根為Switch C。MSTP兼容STP和RSTP，從而彌補(bǔ)STP和RSTP的缺陷，不但可以快速收斂，同時(shí)還提供了數(shù)據(jù)轉(zhuǎn)發(fā)的多個(gè)冗余路徑，使不同VLAN 的流量沿各自的路徑分發(fā)，在數(shù)據(jù)轉(zhuǎn)發(fā)過(guò)程中實(shí)現(xiàn)VLAN 數(shù)據(jù)的負(fù)載均衡，使設(shè)備的利用率達(dá)到最高。n 多層交換體系中部署MSTP MSTP（MultIPle Spanning Tree Protocol） 的快速生成樹(shù)（RST）算法擴(kuò)展而得到的，體現(xiàn)的是將多個(gè)VLAN映射到一個(gè)生成樹(shù)實(shí)例的能力。如果讓根網(wǎng)橋位于網(wǎng)絡(luò)中央，并直接連接到多臺(tái)服務(wù)器和路由器，通?？煽s短客戶端到服務(wù)器和路由器的距離。對(duì)于每個(gè)VLAN，您通?？梢源_定哪臺(tái)交換機(jī)最適合用做根網(wǎng)橋。 H3C交換機(jī)支持的生成樹(shù)協(xié)議有三種類(lèi)型，分別是STP（IEEE ）、RSTP（IEEE ）和MSTP（IEEE ），這三種類(lèi)型的生成樹(shù)協(xié)議均按照標(biāo)準(zhǔn)協(xié)議的規(guī)定實(shí)現(xiàn)，采用標(biāo)準(zhǔn)的生成樹(shù)協(xié)議報(bào)文格式。對(duì)部門(mén)1和部門(mén)2的流量進(jìn)行監(jiān)控，Switch A為源交換機(jī)：被監(jiān)控的端口所在的交換機(jī)，負(fù)責(zé)將鏡像流量復(fù)制到反射端口，然后通過(guò)遠(yuǎn)程鏡像VLAN 傳輸給中間交換機(jī)或目的交換機(jī)；Switch B為中間交換機(jī)：網(wǎng)絡(luò)中處于源交換機(jī)和目的交換機(jī)之間的交換機(jī)，通過(guò)遠(yuǎn)程鏡像VLAN 把鏡像流量傳輸給下一個(gè)中間交換機(jī)或目的交換機(jī)，如果源交換機(jī)與目的交換機(jī)直接相連，則不存在中間交換機(jī)；Switch C為目的交換機(jī)：遠(yuǎn)程鏡像目的端口所在的交換機(jī)，將從遠(yuǎn)程鏡像VLAN 接收到的鏡像流量通過(guò)鏡像目的端口轉(zhuǎn)發(fā)給監(jiān)控設(shè)備。為了實(shí)現(xiàn)遠(yuǎn)程端口鏡像功能，需要定義一個(gè)特殊的VLAN，稱之為遠(yuǎn)程鏡像VLAN（Remoteprobe VLAN）。：Switch C的端口E1/0/3可以把端口研發(fā)部所連得端口E1/0/1和市場(chǎng)部連接的E1/0/2端口的流量復(fù)制過(guò)來(lái),然后交給數(shù)據(jù)檢測(cè)設(shè)備分析，從而可以對(duì)危險(xiǎn)流量進(jìn)行隔離和控制。本地端口鏡像是指將設(shè)備的一個(gè)或多個(gè)端口（源端口）的報(bào)文復(fù)制到本地設(shè)備的一個(gè)監(jiān)視端口（目的端口），用于報(bào)文的分析和監(jiān)視。 啟用端口鏡像對(duì)流量進(jìn)行監(jiān)控 由于部署 IDS和IPS等產(chǎn)品需要監(jiān)聽(tīng)網(wǎng)絡(luò)流量（網(wǎng)絡(luò)分析儀同樣也需要），但是在目前廣泛采用的交換網(wǎng)絡(luò)中監(jiān)聽(tīng)所有流量有相當(dāng)大的困難，因此需要通過(guò)配置交換機(jī)來(lái)把一個(gè)或多個(gè)端口（VLAN）的數(shù)據(jù)轉(zhuǎn)發(fā)到某一個(gè)端口來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的監(jiān)聽(tīng)，這樣就產(chǎn)生了端口鏡像。n 一個(gè)端口不能再相同時(shí)間內(nèi)屬于多個(gè)匯聚組。n 一個(gè)匯聚組內(nèi)的所有端口必須使用相同的協(xié)議如LACP。這樣，同一匯聚組的各個(gè)成員端口之間彼此動(dòng)態(tài)備份，提高了連接可靠性，增強(qiáng)了負(fù)載均衡的能力。 H3C交換機(jī)設(shè)備之間的端口匯聚端口匯聚是將多個(gè)以太網(wǎng)端口匯聚在一起形成一個(gè)邏輯上的匯聚組，使用匯聚服務(wù)的上層實(shí)體把同一匯聚組內(nèi)的多條物理鏈路視為一條邏輯鏈路。如圖32： 圖32 GVRP組網(wǎng)示意圖 Switch C靜態(tài)配置了VLAN5，Switch D靜態(tài)配置了vlan8，Switch E靜態(tài)配置了VLAN5和VLAN7，Switch A和Switch B開(kāi)啟了全局和端口的GVRP功能，這樣可以動(dòng)態(tài)學(xué)習(xí)到VLAN5,VLAN7,VLAN8。而且設(shè)備能夠?qū)⒈镜氐腣LAN 注冊(cè)信息向其它設(shè)備傳播，使同一局域網(wǎng)內(nèi)所有設(shè)備的VLAN 信息達(dá)成一致，減少由人工配置帶來(lái)的錯(cuò)誤的可能性。目前很多廠商生產(chǎn)的交換機(jī)支持PVLAN技術(shù)，PVLAN技術(shù)在解決通信安全、防止廣播風(fēng)暴和浪費(fèi)IP地址方面的優(yōu)勢(shì)是顯而易見(jiàn)的，而且采用PVLAN技術(shù)有助于網(wǎng)絡(luò)的優(yōu)化，再加上PVLAN在交換機(jī)上的配置也相對(duì)簡(jiǎn)單，PVLAN技術(shù)越來(lái)越得到網(wǎng)絡(luò)管理人員的青睞。PVLAN功能可以保證同一個(gè)VLAN中的各個(gè)端口相互之間不能通信，但可以穿過(guò)Trunk端口。port和Communityportport通信，而且彼此也可以交換流量。PVLAN中Communityport只能和Promiscuous在IsolatedVLAN，前面兩類(lèi)VLAN需要和它綁定在一起，同時(shí)它還包括PromiscuousPVLAN，而代表一個(gè)PrivatePVLAN,Communityport；它們分別對(duì)應(yīng)不同的VLAN類(lèi)型：Isolatedport，Community在Private這一新的VLAN特性就是專(zhuān)用VLAN（Private （3）IP地址的緊缺：IP子網(wǎng)的劃分勢(shì)必造成一些IP地址的浪費(fèi)； （4）路由的限制：每個(gè)子網(wǎng)都需要相應(yīng)的默認(rèn)網(wǎng)關(guān)的配置。 （2）復(fù)雜的STP：對(duì)于每個(gè)VLAN，每個(gè)相關(guān)的Spanning交換機(jī)與工作站之間的連接接口配置為Access，交換機(jī)和交換機(jī)之間的連接一般采用Trunk端口，（ISL為cisco專(zhuān)用協(xié)議）。就目前來(lái)說(shuō)，對(duì)于VLAN的劃分主要采取上述第3種方式，第2種方式為輔助性的方案?；诼酚傻腣LAN劃分　　路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機(jī)（即三層交換機(jī)）。MAC地址由12位16進(jìn)制數(shù)表示，前6位為網(wǎng)卡的廠商標(biāo)識(shí)（OUI），后6位為網(wǎng)卡標(biāo)識(shí)（NIC）。該方法只需網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配即可，不用考慮該端口所連接的設(shè)備。不同VLAN內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的，即一個(gè)VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進(jìn)行通信，則需要通過(guò)路由器或三層交換機(jī)等三層設(shè)備。這種技術(shù)可以把一個(gè)LAN劃分成多個(gè)邏輯的LAN即VLAN，每個(gè)VLAN是一個(gè)廣播域，VLAN內(nèi)的主機(jī)間通信就和在一個(gè)LAN內(nèi)一樣，而VLAN間則不能直接互通，這樣，廣播報(bào)文被限制在一個(gè)VLAN內(nèi)，從而最大程度的減少了廣播風(fēng)暴的影響。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全管理策略包括：確定網(wǎng)絡(luò)安全管理等級(jí)和安全管理范圍；制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的管理維護(hù)制度和應(yīng)急措施等等。 網(wǎng)絡(luò)信息加密策略信息加密策略主要是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息等網(wǎng)絡(luò)資源的安全。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。 網(wǎng)絡(luò)安全策略計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全管理主要是配合行政手段，制定有關(guān)網(wǎng)絡(luò)安全管理的規(guī)章制度，在技術(shù)上實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全管理，確保網(wǎng)絡(luò)系統(tǒng)的安全、可靠地運(yùn)行，主要涉及以下四個(gè)方面：對(duì)安全保密部門(mén)來(lái)說(shuō)，他們希望對(duì)非法的、有害的或涉及國(guó)家機(jī)密的信息進(jìn)行過(guò)濾和防堵，避免機(jī)要信息泄露，避免對(duì)社會(huì)產(chǎn)生危害，對(duì)國(guó)家造成巨大損失。　　可審查性：出現(xiàn)的安全問(wèn)題時(shí)提供依據(jù)與手段。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊。　　可用性：可被授權(quán)實(shí)體訪問(wèn)并按需求使用的特性。　　完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。從廣義來(lái)說(shuō)，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和