【正文】 TP協(xié)議。n 手動指定根網(wǎng)橋 不要讓STP來決定選舉哪臺交換機為根網(wǎng)橋。哪臺交換機最適合用做根網(wǎng)橋取決于網(wǎng)絡設計，一般而言，應選擇位于網(wǎng)絡中央的功能強大的交換機。對于VLAN，靜態(tài)地指定要用做根網(wǎng)橋和備用（輔助）根網(wǎng)橋的交換機。STP不能遷移，RSTP可以快速收斂，但和STP一樣不能按VLAN阻塞冗余鏈路，所有VLAN的報文都按一顆生成樹進行轉發(fā)。 多層交換體系中部署VRRP隨著Internet的發(fā)展，人們對網(wǎng)絡可靠性,安全性的要求越來越高。VRRP（Virtual Router Redundancy Protocol，虛擬路由冗余協(xié)議）是一種容錯協(xié)議，它保證當主機的下一跳路由器失效時，可以及時由另一臺路由器代替，從而保持通信的連續(xù)性和可靠性。一個虛擬路由器由一個主路由器和若干個備份路由器組成，主路由器實現(xiàn)真正的轉發(fā)功能。4 邊界網(wǎng)絡安全技術 邊界網(wǎng)絡安全技術概述網(wǎng)絡邊界就是網(wǎng)絡的大門，大門的安全防護是網(wǎng)絡安全的基礎需求。黑客攻擊與廠家防護技術都會最先出現(xiàn)在這里，然后在對抗中逐步完善與成熟起來。NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡外部的攻擊，隱藏并保護網(wǎng)絡內部的計算機。 靜態(tài)轉換是指將內部網(wǎng)絡的私有IP地址轉換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉換為某個公有IP地址。 動態(tài)轉換是指將內部網(wǎng)絡的私有IP地址轉換為公用IP地址時，IP地址是不確定的，是隨機的，所有被授權訪問上Internet的私有IP地址可隨機轉換為任何指定的合法IP地址。動態(tài)轉換可以使用多個合法外部地址集?？梢圆捎脛討B(tài)轉換的方式。采用端口多路復用方式。同時，又可隱藏網(wǎng)絡內部的所有主機，有效避免來自internet的攻擊。 ACL技術的應用ACL（Access Control List，訪問控制列表）在路由器中被廣泛采用，它是一種基于包過濾的流控制技術。標準的ACL使用 1 99 以及13001999之間的數(shù)字作為表號，擴展的ACL使用 100 199以及20002699之間的數(shù)字作為表號。,VLAN10可以拒絕VLAN11的所有訪問流量。一個端口執(zhí)行哪條ACL，這需要按照列表中的條件語句執(zhí)行順序來判斷。數(shù)據(jù)包只有在跟第一個判斷條件不匹配時，它才被交給ACL中的下一個條件判斷語句進行比較。如果所有的ACL判斷語句都檢測完畢，仍沒有匹配的語句出口，則該數(shù)據(jù)包將視為被拒絕而被丟棄。二層 ACL 的序號取值范圍為4000～4999。用戶自定義的ACL：非用戶自定義的ACL一旦制定之后，修改起來十分麻煩，要把整個ACL去掉，然后才能重新建立生效，然而用戶自定義的ACL解決了這一問題，可以在原有的ACL基礎上進行修改。在VLAN中應用ACL：VACL又稱為VLAN的訪問映射表，應用于VLAN中的所有通信流。 VPN技術的應用VPN（Virtual Private Network，虛擬私有網(wǎng)）是近年來隨著Internet 的廣泛應用而迅速發(fā)展起來的一種新技術，實現(xiàn)在公用網(wǎng)絡上構建私人專用網(wǎng)絡。從用戶角度看來，使用VPN 與傳統(tǒng)專網(wǎng)沒有任何區(qū)別。 VPN技術典型組網(wǎng)圖，在企業(yè)互聯(lián)網(wǎng)出口部署防火墻和VPN設備，分支機構及移動辦公用戶分別通過VPN網(wǎng)關和VPN客戶端安全連入企業(yè)內部網(wǎng)絡；同時通過防火墻和IPS將企業(yè)內部網(wǎng)、DMZ、數(shù)據(jù)中心、互聯(lián)網(wǎng)等安全區(qū)域分隔開，并通過制定相應的安全規(guī)則，以實現(xiàn)各區(qū)域不同級別、不同層次的安全防護。接下來我們介紹下VPN領域的一些主流技術：一、 IPsec VPN的應用IPsec(IP Security)是保障IP層安全的網(wǎng)絡技術，它并不是指某一項具體的協(xié)議，而是指用于實現(xiàn)IP層安全的協(xié)議套件集合?！　Psec支持兩種協(xié)議標準，鑒別首部(Authenticaion Header，AH)和封裝安全有效載荷(Encapsulation Security Payload，ESP)：AH可證明數(shù)據(jù)的起源地(數(shù)據(jù)來源認證)、保障數(shù)據(jù)的完整性以及防止相同的數(shù)據(jù)包不斷重播(抗重放攻擊)。AH與ESP提供的數(shù)據(jù)完整性服務的差別在于，AH驗證的范圍還包括數(shù)據(jù)包的外部IP頭。 IPsec 上的GRE隧道GRE（Generic Routing Encapsulation，通用路由封裝）隧道已經(jīng)應用了很長的一段時間，GRE首先由Cisco公司提出，目的是提供IP網(wǎng)絡承載其他路由協(xié)議。GRE是無狀態(tài)協(xié)議，與IPsec隧道不同，端點在通過隧道發(fā)送流量之前并不調整任何參數(shù)，只要隧道目的地是可路由的，流量就可以穿過GRE隧道。另外與IPsec不同，GRE允許路由協(xié)議（OSPF和BGP）穿越連接。 二層VPN技術L2TP的應用L2TP提供了一種遠程接入訪問控制的手段，其典型的應用場景是：某公司員工通過PPP撥入公司本地的網(wǎng)絡訪問服務器(NAS)，以此接入公司內部網(wǎng)絡，獲取IP地址并訪問相應權限的網(wǎng)絡資源該員工出差到外地，此時他想如同在公司本地一樣以內網(wǎng)IP地址接入內部網(wǎng)絡，操作相應網(wǎng)絡資源，他的做法是向當?shù)豂SP申請L2TP服務，首先撥入當?shù)豂SP，請求ISP與公司NAS建立L2TP會話，并協(xié)商建立L2TP隧道，然后ISP將他發(fā)送的PPP數(shù)據(jù)通道化處理，通過L2TP隧道傳送到公司NAS，NAS就從中取出PPP數(shù)據(jù)進行相應的處理，如此該員工就如同在公司本地那樣通過NAS接入公司內網(wǎng)。控制消息負責創(chuàng)建、維護及終止L2TP隧道，而數(shù)據(jù)隧道消息則負責用戶數(shù)據(jù)的真正傳輸。在安全性考慮上，L2TP僅定義了控制消息的加密傳輸方式，對傳輸中的數(shù)據(jù)并不加密。因此這個時候，L2TP常和IPsec結合使用，先使用L2TP封裝第二層數(shù)據(jù)，再使用IPsec封裝對數(shù)據(jù)進行加密和提供完整性保護，由此保證通信數(shù)據(jù)安全傳送到目的地。SSL協(xié)議由許多子協(xié)議組成，其中兩個主要的子協(xié)議是握手協(xié)議和記錄協(xié)議。在數(shù)據(jù)傳輸期間，記錄協(xié)議利用握手協(xié)議生成的密鑰加密和解密后來交換的數(shù)據(jù)。SSL置身于網(wǎng)絡結構體系的傳輸層和應用層之間。任何安裝瀏覽器的機器都可以使用SSL VPN，這是因為SSL內嵌在瀏覽器中，它不需要像傳統(tǒng)IPSec VPN一樣必須為每一臺客戶機安裝客戶端軟件。SSL VPN則正好相反，客戶端不需要安裝任何軟件或硬件，使用標準的瀏覽器，就可通過簡單的SSL安全加密協(xié)議，安全地訪問網(wǎng)絡中的信息。其余的客戶端是免安裝的，因此，實施工期很短，如果網(wǎng)絡條件具備，連安裝帶調試，12天即可投入運營。如果有雙機備份的話，就可以啟用備份路由器。另外，由于SSL網(wǎng)關隔離了內部服務器和客戶端，只留下一個Web瀏覽接口，客戶端的大多數(shù)病毒木馬感染不倒內部服務器。5 路由安全 路由安全敘述在構建任何大型網(wǎng)絡時，路由大概是最關鍵的要素。本章著眼于在構建網(wǎng)絡路由基礎結構時應該注意的一些要素。本章以靜態(tài)路由、BGP和OSPF路由協(xié)議為主。通過靜態(tài)路由的配置，可建立一個完整的網(wǎng)絡，這種方法的問題在于當一個網(wǎng)絡故障發(fā)生后，靜態(tài)路由不會自動發(fā)生改變必須有網(wǎng)絡管理員的介入。一種是在穩(wěn)固的網(wǎng)絡中使用，減少路由選擇問題和路由選擇數(shù)據(jù)流的過載；另一種是在構建非常大型的網(wǎng)絡，各大區(qū)域通過12條主鏈路連接，靜態(tài)路由的隔離特征能夠有助于減少整個網(wǎng)絡中路由選擇協(xié)議的開銷，限制路由選擇發(fā)生改變和出現(xiàn)問題的范圍。我們把它們看成同一條路由，只不過有多個下一跳地址。在往該目的地發(fā)包時，由IP依次通過各條路徑來發(fā)送，自動實現(xiàn)網(wǎng)絡的負載分擔。為了實現(xiàn)路由的備份，用戶可根據(jù)實際情況配置到同一目的地的多條路由。這樣也就實現(xiàn)了主口到備份口的切換，當主路徑恢復正常時，路由器恢復相應的路由，并重新選擇路由。通常的做法網(wǎng)絡中部署了OSPF或者BGP路由協(xié)議，在關鍵路徑上部署一條靜態(tài)路由，不過要將其優(yōu)先級低于主路由協(xié)議，這樣可以在主路由協(xié)議失效時起到備份作用。目前使用的是版本2（RFC2328）。支持區(qū)域劃分、路由分級、驗證等特性。 OSPF身份驗證路由器通過對路由協(xié)議的身份認證來防范外來攻擊，以及防范不實際協(xié)議包對路由的錯誤誘導，從而保證網(wǎng)絡數(shù)據(jù)不丟失或被竊取。MD5密碼認證和明文口令認證被用于對OSPF路由協(xié)議包的認證，MD5密碼認證比明文口令認證更為安全，因為MD5認證的口令在所傳送的協(xié)議包中是不可見的，而明文認證的口令在所傳送的協(xié)議包中是可見的。類型描述類型1空認證（ 不認證）類型2明文口令認證類型3MD5密碼認證 表1 協(xié)議包所設認證類型 分層路由分層路由設計最初是為了解決路由的可擴展性問題。 OSPF分層視圖OSPF 是一個分為骨干區(qū)域和非骨干區(qū)域的兩層路由協(xié)議, 各非骨干區(qū)域通過ABR與骨干區(qū)域相連。在通告時可以制定通告的策略通過不通告或只通告匯聚的路由信息等方式隱藏要被通告區(qū)域的某些重要信息, 而且不同的LSA 通告范圍不同, 本區(qū)域內的拓撲結構對其他區(qū)域來說是透明的,避免了拓撲的整體暴露。層次化的路由使路由選擇分為兩層: 域內路由選擇和域間路由選擇。所以區(qū)域內的路由選擇不受路由選擇的不穩(wěn)定和其它區(qū)域的錯誤配置影響。由于這個特性, 使得OSPF 具有一定的自衛(wèi)性。沖突檢測系統(tǒng)很容易發(fā)現(xiàn)此種現(xiàn)象, 對于設計相關檢測系統(tǒng)也很有意義。首先看優(yōu)先級，優(yōu)先級高的成為DR，次之為BDR；若是優(yōu)先級一樣再看路由器ID標識，標識高的成為DR,次之為BDR。為了保證網(wǎng)絡穩(wěn)定，我們應該將性能較好的路由器或者處于SPOKEHUB中心節(jié)點的設備指定為優(yōu)先級最高。默認情況下啊，在OSPF啟動時，將路由器ID設為最大的活動物理接口的IP地址；如果有環(huán)回接口，則其IP地址總是優(yōu)于物理接口地址；如果配置了OSPF中專門用來標識的命令routerid ipaddress命令，則是最佳選擇，為了保證路由協(xié)議的穩(wěn)定性，推薦采用最后一種做法。它是Internet工程任務組制定的一個加強的、完善的、可伸縮的協(xié)議。BGP是為取代最初的外部網(wǎng)關協(xié)議EGP設計的。域間路由協(xié)議BGP 的安全性直接影響著互聯(lián)網(wǎng)路由的可用性，接下來介紹幾種保證BGP協(xié)議安全性的方法：（1） BGP報文保護在每條BGP鏈接建立時, 對等體之間交換一個會晤密鑰并對每個BGP 報文進行加密, 這樣能為所有類型的BGP 報文提供機密性, 也為一些在相鄰對等體之間傳遞的如?；?、通告報文以及一些由更新報文攜帶的隨A S 變化而更動的路徑屬性如下一條屬性、本地優(yōu)先級屬性等提供可靠性和完整性保證。在每條報文頭里面增加一個序列號, 在BGP連接剛建立時被初始化為零, 然后隨每一個報文的發(fā)出遞增。（2） BGP負載均衡雖然BGP協(xié)議在路徑選擇中只選擇一條路徑，但是我們還是有很多方法來實現(xiàn)鏈路的負載均衡和冗余性。一旦最佳路徑失效，另外一條路徑就會發(fā)揮作用。：R1和R2屬于EBGP鄰居，所以必須直連不同于IBGP鄰居，如果要采用環(huán)回接口作為更新源，必須滿足兩個條件：R1和R2上必須部署靜態(tài)路由，同時還要啟用EBGP多跳功能。 EBGP鄰居之間啟用環(huán)回地址，也可以做類似的配置，只是配置更加簡單，不需要R1和R2直接物理上相連，路由上可以聯(lián)通即可，保證BGP更新源地址與neighbor地址保持相同即可。6 校園網(wǎng)絡安全的威脅 校園網(wǎng)絡攻擊概述與趨勢網(wǎng)絡中的攻擊和安全漏洞無時不在，隨著各種硬件設施的升級，往往是舊的安全漏洞補上了，又存在新的安全隱患，網(wǎng)絡攻擊的本質實際上就是尋找一切可能存在的網(wǎng)絡安全缺陷來達到對系統(tǒng)及資源的損害。下面介紹一下當今網(wǎng)絡流行的主要六種網(wǎng)絡攻擊趨勢。攻擊工具的自動化水平不斷提高。目前，分布式攻擊工具能夠更有效地發(fā)動拒絕服務攻擊，掃描潛在的受害者，危害存在安全隱患的系統(tǒng)。攻擊工具開發(fā)者正在利用更先進的技術武裝攻擊工具。許多常見攻擊工具使用IRC或HTTP(超文本傳輸協(xié)議)等協(xié)議，從入侵者那里向受攻擊的計算機發(fā)送數(shù)據(jù)或命令，使得人們將攻擊特性與正常、合法的網(wǎng)絡傳輸流區(qū)別開變得越來越困難。發(fā)現(xiàn)的安全漏洞每年都要增加一倍，管理人員不斷用最新的補丁修補這些漏洞，而且每年都會發(fā)現(xiàn)安全漏洞的新類型。 　　趨勢四：越來越高的防火墻滲透率 。趨勢五：越來越不對稱的威脅。每個Internet系統(tǒng)遭受攻擊的可能性取決于連接到全球Internet上其他系統(tǒng)的安全狀態(tài)。隨著部署自動化程度和攻擊工具管理技巧的提高，威脅的將繼續(xù)增加?；A設施攻擊是大面積影響Internet關鍵組成部分的攻擊。基礎設施面臨分布式拒絕服務攻擊、蠕蟲病毒、對Internet域名系統(tǒng)(DNS)的攻擊和對路由器攻擊或利用路由器的攻擊。ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡中，局域網(wǎng)中若有一臺計算機感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡內其它計算機的通信信息，并因此造成網(wǎng)內其它計算機的通信故障。嚴重者甚至造成大面積網(wǎng)絡不能正常訪問外網(wǎng)，學校深受其害。DHCP 監(jiān)控模式下的ARP 攻擊防御解決方案：這種方式適合動態(tài)分配 IP 地址的網(wǎng)絡場景，需要接入交換機支持DHCP Snooping功能。認證方式下的ARP 攻擊防御解決方案：這種方式適合網(wǎng)絡中動態(tài)分配 IP 地址和靜態(tài)分配IP 地址共存的網(wǎng)絡場景，且只能防御“仿冒網(wǎng)關”的ARP 攻擊方式。 DDOS攻擊DDOS（Distributed Denial of service ，分布式拒絕服務攻擊)是一種特殊形式的拒絕服務攻擊。作為一種分布、協(xié)作的大規(guī)模攻擊方式，分布式拒絕服務攻擊(DDoS)主要瞄準比較大的站點，像商業(yè)公司，搜索引擎和政府部門的站點。對于此類隱蔽性極好的DDoS攻擊的防范，更重要的是用戶要加強安全防范意識，提高網(wǎng)絡系統(tǒng)的安全性。（1）及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時安裝系統(tǒng)補丁程序。對一些特權賬號（例如管理員賬號）的密碼設置要謹慎。 （2）在網(wǎng)絡管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網(wǎng)絡服務。經(jīng)常檢測系統(tǒng)配置信息，并注意查看每天的安全日志。（4）與網(wǎng)絡服務提供商協(xié)調