【正文】 ol，熱備份路由器協(xié)議）為了使VRRP工作，要在路由器上配置虛擬路由器號和虛擬IP地址，同時會產(chǎn)生一個虛擬MAC(00005E0001[VRID])地址，這樣在這個網(wǎng)絡(luò)中就加入了一個虛擬路由器。對于終端用戶來說，希望時時與網(wǎng)絡(luò)其他部分保持通信。 MSTP兼容STP和RSTP，從而彌補(bǔ)STP和RSTP的缺陷，不但可以快速收斂，同時還提供了數(shù)據(jù)轉(zhuǎn)發(fā)的多個冗余路徑，使不同VLAN 的流量沿各自的路徑分發(fā)，在數(shù)據(jù)轉(zhuǎn)發(fā)過程中實(shí)現(xiàn)VLAN 數(shù)據(jù)的負(fù)載均衡，使設(shè)備的利用率達(dá)到最高。n 多層交換體系中部署MSTP MSTP（MultIPle Spanning Tree Protocol） 的快速生成樹（RST）算法擴(kuò)展而得到的，體現(xiàn)的是將多個VLAN映射到一個生成樹實(shí)例的能力。如果讓根網(wǎng)橋位于網(wǎng)絡(luò)中央，并直接連接到多臺服務(wù)器和路由器，通?？煽s短客戶端到服務(wù)器和路由器的距離。對于每個VLAN，您通?？梢源_定哪臺交換機(jī)最適合用做根網(wǎng)橋。 H3C交換機(jī)支持的生成樹協(xié)議有三種類型，分別是STP（IEEE ）、RSTP（IEEE ）和MSTP（IEEE ），這三種類型的生成樹協(xié)議均按照標(biāo)準(zhǔn)協(xié)議的規(guī)定實(shí)現(xiàn)，采用標(biāo)準(zhǔn)的生成樹協(xié)議報(bào)文格式。一個匯聚組內(nèi)的所有端口都必須配置到相同的接入VLAN中。n 一個匯聚組內(nèi)的端口必須有相同的速度和雙工模式。 以太網(wǎng)端口匯聚配置示例圖對于H3C的交換機(jī)設(shè)備做端口匯聚時，必須注意以下幾點(diǎn)：n 做端口匯聚時，H3C交換機(jī)最多可以包括8個端口，這些端口不必是連續(xù)分布的，也不必位于相同的模塊中；至于有幾個匯聚組則視交換機(jī)的類型而定。將多個物理鏈路捆綁在一起后，不但提升了整個網(wǎng)絡(luò)的帶寬，而且數(shù)據(jù)還可以同時經(jīng)由被綁定的多個物理鏈路傳輸，具有鏈路冗余的作用，在網(wǎng)絡(luò)出現(xiàn)故障或其他原因斷開其中一條或多條鏈路時，剩下的鏈路還可以工作。對GVRP不熟悉的朋友，可以參考CISCO的VTP協(xié)議，兩者大同小異。交換機(jī)與工作站之間的連接接口配置為Access，交換機(jī)和交換機(jī)之間的連接一般采用Trunk端口，（ISL為cisco專用協(xié)議） 利用GVRP協(xié)議來管理VLAN通過使用 GVRP，可以使同一局域網(wǎng)內(nèi)的交換機(jī)接收來自其它交換機(jī)的VLAN 注冊信息，并動態(tài)更新本地的VLAN注冊信息，包括：當(dāng)前的VLAN、配置版本號、這些VLAN 可以通過哪個端口到達(dá)等。就目前來說，對于VLAN的劃分主要采取上述第3種方式，第2種方式為輔助性的方案。基于路由的VLAN劃分路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機(jī)（即三層交換機(jī)）。MAC地址由12位16進(jìn)制數(shù)表示，前6位為網(wǎng)卡的廠商標(biāo)識（OUI），后6位為網(wǎng)卡標(biāo)識（NIC）。該方法只需網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配即可，不用考慮該端口所連接的設(shè)備。不同VLAN內(nèi)的報(bào)文在傳輸時是相互隔離的，即一個VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進(jìn)行通信，則需要通過路由器或三層交換機(jī)等三層設(shè)備。這種技術(shù)可以把一個LAN劃分成多個邏輯的LAN即VLAN，每個VLAN是一個廣播域，VLAN內(nèi)的主機(jī)間通信就和在一個LAN內(nèi)一樣，而VLAN間則不能直接互通，這樣，廣播報(bào)文被限制在一個VLAN內(nèi)，從而最大程度的減少了廣播風(fēng)暴的影響。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全管理策略包括：確定網(wǎng)絡(luò)安全管理等級和安全管理范圍；制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的管理維護(hù)制度和應(yīng)急措施等等。三、 網(wǎng)絡(luò)信息加密策略信息加密策略主要是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息等網(wǎng)絡(luò)資源的安全。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。 校園網(wǎng)絡(luò)安全策略 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全管理主要是配合行政手段，制定有關(guān)網(wǎng)絡(luò)安全管理的規(guī)章制度，在技術(shù)上實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全管理，確保網(wǎng)絡(luò)系統(tǒng)的安全、可靠地運(yùn)行，主要涉及以下四個方面：一、 網(wǎng)絡(luò)物理安全策略計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、網(wǎng)絡(luò)用戶終端機(jī)、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和攻擊；驗(yàn)證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)有一個良好的工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)控制室和網(wǎng)絡(luò)黑客的各種破壞活動。對安全保密部門來說，他們希望對非法的、有害的或涉及國家機(jī)密的信息進(jìn)行過濾和防堵，避免機(jī)要信息泄露，避免對社會產(chǎn)生危害，對國家造成巨大損失?！　】蓪彶樾裕撼霈F(xiàn)的安全問題時提供依據(jù)與手段。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對可用性的攻擊。可用性：可被授權(quán)實(shí)體訪問并按需求使用的特性。　　完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。 校園網(wǎng)絡(luò)基本概念網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。因此網(wǎng)絡(luò)管理員竭盡所能在網(wǎng)絡(luò)基礎(chǔ)設(shè)施里添加最新的技術(shù)，在構(gòu)建和維護(hù)當(dāng)今高速增長的網(wǎng)絡(luò)方面，網(wǎng)絡(luò)安全扮演了舉足輕重的角色。隨著網(wǎng)絡(luò)規(guī)模以指數(shù)形式增長，網(wǎng)絡(luò)變得越來越復(fù)雜，承擔(dān)的任務(wù)越來越關(guān)鍵，給運(yùn)營和管理網(wǎng)絡(luò)的人們帶來了新的挑。網(wǎng)絡(luò)的生命在于其安全性。建設(shè)先進(jìn)的網(wǎng)絡(luò)實(shí)驗(yàn)體系和實(shí)驗(yàn)教材，對于培養(yǎng)網(wǎng)絡(luò)時代高質(zhì)量人才具有著極其重要的意義。一方面高等教育，以計(jì)算機(jī)為核心的信息技術(shù)已成為很多專業(yè)課教學(xué)內(nèi)容的有機(jī)組成部分，計(jì)算機(jī)應(yīng)用能力成為衡量大學(xué)生業(yè)務(wù)素質(zhì)與能力的標(biāo)識之一；另一方面初等教育中信息技術(shù)課程的普及，使高校新生的計(jì)算機(jī)基本知識起點(diǎn)有所提高。隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)對人類生活、工作、學(xué)習(xí)和科學(xué)研究產(chǎn)生著越來越重要的影響。與材料、能源共同構(gòu)成了社會物質(zhì)生活的“三大資源”。關(guān)鍵詞：網(wǎng)絡(luò)；安全；部署；三網(wǎng)融合；資源共享。因此網(wǎng)絡(luò)安全扮演的角色也會越來越重要。這將導(dǎo)致未來幾年網(wǎng)絡(luò)規(guī)模以指數(shù)形式增長，網(wǎng)絡(luò)也會變得越來越復(fù)雜，承擔(dān)的任務(wù)越來越關(guān)鍵，給運(yùn)營和管理網(wǎng)絡(luò)的人們帶來新的挑戰(zhàn)，很顯然這些快速發(fā)展的技術(shù)引發(fā)了新的安全問題。所謂三網(wǎng)融合即推進(jìn)電信網(wǎng)、廣播電視網(wǎng)和互聯(lián)網(wǎng)三網(wǎng)互聯(lián)互通、資源共享，為用戶提供語音、數(shù)據(jù)和廣播電視等多種服務(wù)。從而為企業(yè)級用戶和運(yùn)營商用戶在部署安全技術(shù)方案時，提供一定的參考價(jià)值，從而將網(wǎng)絡(luò)隱患降到最低。安全技術(shù)和解決方案需要從根本上整合到基礎(chǔ)設(shè)施中，與網(wǎng)絡(luò)架構(gòu)融合。哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢 業(yè) 設(shè) 計(jì)畢業(yè)題目： H3C網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的設(shè)計(jì)與實(shí)現(xiàn) 學(xué) 生： ____ __指導(dǎo)教師： XXX _______專 業(yè)： 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù) 班 級： 11計(jì)算機(jī)網(wǎng)絡(luò) 2014年5月摘 要在過去的幾年內(nèi)，逐年增加的網(wǎng)絡(luò)攻擊事件和安全隱患提示我們，網(wǎng)絡(luò)安全已經(jīng)逐步演成為計(jì)算機(jī)業(yè)界最迅速發(fā)展的領(lǐng)域之一。安全不再僅僅是一項(xiàng)技術(shù)或者權(quán)益一時的事物，它已經(jīng)成為網(wǎng)絡(luò)藍(lán)圖的必要組成部分。本文系統(tǒng)介紹了網(wǎng)絡(luò)安全的概念；深入分析目前主流的網(wǎng)絡(luò)安全技術(shù)；在網(wǎng)絡(luò)邊界，局域網(wǎng)內(nèi)部，路由協(xié)議，身份認(rèn)證等方面部署安全技術(shù)；如何針對主流的攻擊技術(shù)進(jìn)行防護(hù)。2010年1月，國務(wù)院決定加快推進(jìn)電信網(wǎng)、廣播電視網(wǎng)和互聯(lián)網(wǎng)三網(wǎng)融合，2010年至2012年廣電和電信業(yè)務(wù)雙向進(jìn)入試點(diǎn)，2013年至2015年，全面實(shí)現(xiàn)三網(wǎng)融合。此政策涉及領(lǐng)域廣泛，涉及上市公司眾多。網(wǎng)絡(luò)安全對國民經(jīng)濟(jì)的威脅、甚至對國家和地區(qū)的威脅也日益嚴(yán)重。與此同時，加快培養(yǎng)網(wǎng)絡(luò)安全方面的應(yīng)用型人才、廣泛普及網(wǎng)絡(luò)安全知識和掌握網(wǎng)絡(luò)安全技術(shù)突顯重要和迫在眉睫?！? 目錄1 緒論 12 校園網(wǎng)絡(luò) 2 校園網(wǎng)絡(luò)安全概述 2 校園網(wǎng)絡(luò)基本概念 2 校園網(wǎng)絡(luò)安全的特征 23 校園局域網(wǎng)安全 4 基于H3C系列交換機(jī)VLAN的應(yīng)用 4 利用GVRP協(xié)議來管理VLAN 5 H3C交換機(jī)設(shè)備間的端口匯聚 5 構(gòu)建安全的STP生成樹體系 6 多層交換機(jī)體系部署VRRP 64 邊界網(wǎng)絡(luò)安全技術(shù) 8 概述 8 NAT技術(shù)的應(yīng)用 8 ACL技術(shù)的應(yīng)用 8 VPN技術(shù)的應(yīng)用 105 路由安全 13 路由安全敘述 13 靜態(tài)路由協(xié)議 13 OSPF路由協(xié)議 13 BGP路由協(xié)議 156 校園網(wǎng)絡(luò)安全的威脅 17 校園網(wǎng)絡(luò)攻擊概述與趨勢 17 ARP攻擊 18 DDOS攻擊 18 口令攻擊 18 蠕蟲病毒 19 VLAN攻擊 197 校園網(wǎng)安全措施 21 校園網(wǎng)安全介紹 21 校園網(wǎng)安全管理 21 校園網(wǎng)安全措施 21 建立安全管理制度 238 結(jié)論 24參考文獻(xiàn) 251緒論隨著時代的發(fā)展，在二十一世紀(jì)信息以經(jīng)成為了重要的開發(fā)性資源。信息產(chǎn)業(yè)的發(fā)展水平已成為衡量一個國家現(xiàn)代化水平與綜合國力的重要標(biāo)志。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)作為計(jì)算機(jī)學(xué)科最重要的研究領(lǐng)域和最重要的社會信息基礎(chǔ)設(shè)施重要技術(shù)之一，在飛速發(fā)展的同時也存在大量急需解決的挑戰(zhàn)性問題。因此，研究網(wǎng)絡(luò)的基礎(chǔ)理論、解決網(wǎng)絡(luò)發(fā)展的關(guān)鍵技術(shù)、培養(yǎng)適應(yīng)網(wǎng)絡(luò)時代需要的高質(zhì)量人才，是計(jì)算機(jī)科學(xué)與技術(shù)科學(xué)在新形式下的首要任務(wù)。2校園網(wǎng)絡(luò)網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。因此，在現(xiàn)有的技術(shù)條件下，如何構(gòu)建相對可靠的校園網(wǎng)絡(luò)安全體系，就成了校園網(wǎng)絡(luò)管理人員的一個重要課題。很明顯需要包括語音、視頻和數(shù)據(jù)（全能）服務(wù)的綜合網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)，但是這些快速發(fā)展的技術(shù)引發(fā)了新的安全問題。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。 校園網(wǎng)絡(luò)安全的特征網(wǎng)絡(luò)安全應(yīng)具有以下五個方面的特征： 　　保密性：信息不泄露給非授權(quán)用戶、實(shí)體或過程，或供其利用的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。即當(dāng)需要時能否存取所需的信息?？煽匦裕簩π畔⒌膫鞑ゼ皟?nèi)容具有控制能力。從網(wǎng)絡(luò)運(yùn)行和管理者角度說，他們希望對本地網(wǎng)絡(luò)信息的訪問、讀寫等操作受到保護(hù)和控制，避免出現(xiàn)“陷門”、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅，制止和防御網(wǎng)絡(luò)黑客的攻擊。從社會教育和意識形態(tài)角度來講，網(wǎng)絡(luò)上不健康的內(nèi)容，會對社會的穩(wěn)定和人類的發(fā)展造成阻礙，必須對其進(jìn)行控制。二、 網(wǎng)絡(luò)訪問控制策略訪問控制策略是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常規(guī)訪問。各種網(wǎng)絡(luò)安全策略必須相互配合才能真正起到保護(hù)作用，所以網(wǎng)絡(luò)訪問控制策略是保證網(wǎng)絡(luò)安全最重要的核心策略之一。四、 網(wǎng)絡(luò)安全管理策略在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全策略中，不僅需要采取網(wǎng)絡(luò)技術(shù)措施保護(hù)網(wǎng)絡(luò)安全，還必須加強(qiáng)網(wǎng)絡(luò)的行政安全管理，制定有關(guān)網(wǎng)絡(luò)使用的規(guī)章制度，對于確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全、可靠地運(yùn)行，將會起到十分有效的作用。33校園局域網(wǎng)安全 基于H3C系列交換機(jī)VLAN的應(yīng)用VLAN技術(shù)的出現(xiàn)，主要為了解決交換機(jī)在進(jìn)行局域網(wǎng)互連時無法限制廣播的問題。VLAN可以增強(qiáng)局域網(wǎng)的安全性，含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機(jī)密信息的可能性。 vlan部署圖從技術(shù)角度講，VLAN的劃分可依據(jù)不同原則，一般有以下三種劃分方法：基于端口的VLAN劃分這種劃分是把一個或多個交換機(jī)上的幾個端口劃分一個邏輯組，這是最簡單、最有效的劃分方法?；贛AC地址的VLAN劃分MAC地址其實(shí)就是指網(wǎng)卡的標(biāo)識符，每一塊網(wǎng)卡的MAC地址都是惟一且固化在網(wǎng)卡上的。網(wǎng)絡(luò)管理員可按MAC地址把一些站點(diǎn)劃分為一個邏輯子網(wǎng)。該方式允許一個VLAN跨越多個交換機(jī)，或一個端口位于多個VLAN中。815H3C 低端系列以太網(wǎng)交換機(jī)支持的以太網(wǎng)端口鏈路類型有三種：(1)Access 類型：端口只能屬于1 個VLAN，一般用于連接計(jì)算機(jī)；(2)Trunk 類型：端口可以屬于多個VLAN，可以接收和發(fā)送多個VLAN 的報(bào)文，一般用于交換機(jī)之間的連接；(3)Hybrid 類型：端口可以屬于多個VLAN，可以接收和發(fā)送多個VLAN 的報(bào)文，可以用于交換機(jī)之間連接，也可以用于連接用戶的計(jì)算機(jī)。而且設(shè)備能夠?qū)⒈镜氐腣LAN 注冊信息向其它設(shè)備傳播，使同一局域網(wǎng)內(nèi)所有設(shè)備的VLAN 信息達(dá)成一致，減少由人工配置帶來的錯誤的可能性。 H3C交換機(jī)設(shè)備之間的端口匯聚端口匯聚是將多個以太網(wǎng)端口匯聚在一起形成一個邏輯上的匯聚組，使用匯聚服務(wù)的上層實(shí)體把同一匯聚組內(nèi)的多條物理鏈路視為一條邏輯鏈路。這樣，同一匯聚組的各個成員端口之間彼此動態(tài)備份，提高了連接可靠性，增強(qiáng)了負(fù)載均衡的能力。n 一個匯聚組內(nèi)的所有端口必須使用相同的協(xié)議如LACP。n 一個端口不能再相同時間內(nèi)屬于多個匯聚組。 構(gòu)建安全的STP生成樹體系STP協(xié)議最主要的應(yīng)用是為了避免局域網(wǎng)中的網(wǎng)絡(luò)環(huán)回，解決以太網(wǎng)網(wǎng)絡(luò)的“廣播風(fēng)暴”問題，從某種意義上說是一種網(wǎng)絡(luò)保護(hù)技術(shù)，可以消除由于失誤或者意外帶來的循環(huán)連接，各大交換機(jī)設(shè)備廠商默認(rèn)開啟S