【正文】 20為VLAN 20的成員。在能夠轉(zhuǎn)發(fā)用戶的數(shù)據(jù)包之前，某個(gè)端口可能最多要等50秒鐘的時(shí)間（20 秒的阻塞時(shí)間＋15 秒的偵聽延遲時(shí)間＋15 秒的學(xué)習(xí)延遲時(shí)間）。 為了加速交換機(jī)端口狀態(tài)轉(zhuǎn)化時(shí)間，可以設(shè)置將某端口設(shè)置成為快速端口（Portfast）。(8) 配置接入層交換機(jī) Asw1的主干道端口入層交換機(jī)通過端口F 0/23上連到匯聚層交換機(jī)dsw1 的端口F0/23。 這兩條上連鏈路將成為主干道鏈路，在這兩條上連鏈路上將運(yùn)輸多個(gè)VLAN 的數(shù)據(jù)。2. 接入層交換機(jī)asw2參數(shù)配置接入層交換機(jī)asw2為VLAN30和VLAN40的用戶提供接入服務(wù)。: 對(duì)接入層交換機(jī)asw2的配置步驟、命令和對(duì)接入層交換機(jī)asw1的配置類似。需要指出的是，為了提供主干道的吞吐量，可以采用鏈路捆綁（快速以太網(wǎng)信道）技術(shù)增加可用帶寬。同樣，也可以將接入層交換機(jī)asw1的端口F0/23和F0/24捆綁在一起實(shí)現(xiàn)200Mbps的快速以太網(wǎng)信道，然后再上連到匯聚層交換機(jī)dsw2。在生成樹的作用下，其中一條上行鏈路處于轉(zhuǎn)發(fā)狀態(tài)，而另一條上行鏈路處于阻塞狀態(tài)。Uplinkfast特性可以使得當(dāng)主上行鏈路失敗后，處于阻塞狀態(tài)的上行鏈路（備份上行鏈路）可以立即啟用。同樣的步驟也可以在接入層交換機(jī)asw2上進(jìn)行配置。BackbonefastBackbonefast的作用與Uplinkfast類似，也用于加快生成樹的收斂。如圖所示，是在接入層交換機(jī)asw1上啟用Backbonefast特性。注意，Backbonefast特性需要在網(wǎng)絡(luò)中所有交換機(jī)上進(jìn)行配置。這里的匯聚層交換機(jī)采用的是CISCO WSC2960G48TCL交換機(jī)。這里，以圖21中的分布層交換機(jī)dsw為例進(jìn)行介紹。這里，只給出實(shí)際的配置步驟。同時(shí)，還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址。工作量很大、過程很繁瑣，并且容易出錯(cuò)。VTP允許在一臺(tái)交換機(jī)上創(chuàng)建所有的VLAN。同時(shí)，有關(guān)VLAN的刪除、參數(shù)更改操作均可傳播到其他交換機(jī)。在本企業(yè)網(wǎng)實(shí)現(xiàn)實(shí)例中使用了VTP技術(shù)。共享相同VLAN定義數(shù)據(jù)庫的交換機(jī)構(gòu)成一個(gè)VTP管理域。不同VTP管理域的交換機(jī)之間不交換VTP通告信息。工作在VTP服務(wù)器模式下的交換機(jī)可以創(chuàng)建、刪除VLAN、修改VLAN參數(shù)。如圖所示，設(shè)置分布層交換機(jī)dsw1成為VTP服務(wù)器。有時(shí)，交換網(wǎng)絡(luò)中某臺(tái)交換機(jī)的所有端口都屬于同一VLAN的成員，沒有必要接收其他VLAN的用戶數(shù)據(jù)。當(dāng)激活了VTP剪裁功能以后，交換機(jī)將自動(dòng)剪裁本交換機(jī)沒有定義的VLAN數(shù)據(jù)。同一VTP域下的所有其他交換機(jī)也將自動(dòng)激活VTP剪裁功能。(4) 在匯聚層交換機(jī)dsw1上定義VLAN在本企業(yè)網(wǎng)實(shí)現(xiàn)實(shí)例中，由于使用了VTP技術(shù)，所以，所有VLAN的定義都只需要在VTP服務(wù)器，即分布層交換機(jī)dsw1上進(jìn)行。(5) 配置匯聚層交換機(jī)dsw1個(gè)端口基本參數(shù)分布層交換機(jī)dsw1的端口F0/1～F0/10為服務(wù)器群提供接入服務(wù)，而端口F0/21F0/24分別連到訪問層交換機(jī)asw1的端口F0/23以及訪問層交換機(jī)asw2的端口F0/23。為了實(shí)現(xiàn)冗余設(shè)計(jì)，分布層交換機(jī)dsw1還通過自己的千兆端口連接另一臺(tái)到分布層交換機(jī)dsw2的。(6) 配置匯聚層交換機(jī)dsw1的3層交換功能分布層交換機(jī)dsw1需要為網(wǎng)絡(luò)中的各個(gè)VLAN提供路由功能。如圖所示。這里使用缺省路由來使路由通往Internet。2. 配置匯聚層交換機(jī)dsw2匯聚層交換dsw2的端口FastEthernet0/2FastEthernet0/2FastEthernet0/2FastEthernet0/24分別下連到接入層交換機(jī)的FastEthernet0/2FastEthernet0/24端口。為了實(shí)現(xiàn)冗余設(shè)計(jì)，匯聚層交換機(jī)dsw2還通過自己的千兆端口FF2連接到匯聚層交換機(jī)dsw1的FF2。這里不做詳細(xì)步驟分析。 本實(shí)例中的核心層交換機(jī)采用的是CISCO 3845交換機(jī)，運(yùn) 行的是Cisco的Integrated IOS 操作系統(tǒng)。這里，以圖中的核心層交換機(jī)Csw1為例進(jìn)行介紹。：(2) 配置核心層交換機(jī)Csw1的管理IP、認(rèn)網(wǎng)關(guān)如圖所示，顯示了為核心層交換機(jī)Csw1設(shè)置管理IP并激活本地VLAN。(3) 配置核心層交換機(jī)Csw1的VLAN及VTP在本實(shí)例中，核心層交換機(jī)Csw1也將作為VTP客戶機(jī)。 如圖所示，設(shè)置核心層交換機(jī)Csw1成為VTP客戶機(jī)。同時(shí)，核心層交換機(jī) Csw1的端口 G3/1～ G3/2分別下連到分布層交換機(jī)dsw1和dsw2。此外，為了提供主干道的吞吐量以及實(shí)現(xiàn)冗余設(shè)計(jì)，在本設(shè)計(jì)中，將核心 層交換機(jī)Csw1的千兆端口FF2捆綁在一起實(shí)現(xiàn)20000Mbps的千兆以太網(wǎng)信道，然后再連接到另一臺(tái)核心層交換機(jī) Csw2。(5) 配置核心交換機(jī)csw1的路由功能：核心層交換機(jī)Csw1通過端口FastEthernet 0/3同廣域網(wǎng)接入模塊 （Internet 路由器）相連。同時(shí)，還需要定義通往Internet的路由。其中，下一跳地址是Internet接入路由器的快速以太網(wǎng)接口FastEthernet 0/0 的IP 地址。這里，可按csw1的配置方法進(jìn)行配置。在本實(shí)例設(shè)計(jì)中，廣域網(wǎng)接入模塊的功能是由廣域網(wǎng)接入路由器InternetRouter來完成的。它通過自己的串行接口serial接入Internet。除了完成主要的路由任務(wù)外，利用訪問控制列表（Access Control List，ACL），廣域網(wǎng)接入路由器 InternetRouter還可以用來完 成以自身為中心的流量控制和過濾功能并實(shí)現(xiàn)一定的安全功能 。2. 配置接入路由器IR的各接口參數(shù)對(duì)接入路由器 IR的各接口參數(shù)的配置主要是對(duì)接口FastEthernet 0以及接口 Serial 0的IP地址、子網(wǎng)掩碼的配置。3. 配置接入路由器IR的路由功能在接入路由器IR上需要定義兩個(gè)方向上的路由:到企業(yè)網(wǎng)內(nèi)部 的靜態(tài)路由以及到Internet上的缺省路由。其中，下一跳指定從本路由器的接口serial 0送出。:4. 配置接入路由器IR上的NAT由于目前 IP 地址資源非常稀缺，不可能給企業(yè)網(wǎng) 內(nèi)部的所有工作站都分配一個(gè)公有IP（Internet 可路由的）地址。為了接入 Internet，本企業(yè)網(wǎng)向當(dāng)?shù)豂SP申請(qǐng)了2個(gè)IP地址。NAT 的配置可以分為以下幾個(gè)步驟：(1) 定義NAT內(nèi)部、外部接口：(2) 定義允許進(jìn)行NAT的工作站的內(nèi)部局部IP地址范圍：(3) 為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換：(4) 為其他工作站定義復(fù)用地址轉(zhuǎn)換：5. 配置接入路由器IR上的ACL路由器是外網(wǎng)進(jìn)入企業(yè)網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。一個(gè)設(shè)計(jì)良好的訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用 ，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資 的情況下完成一般軟、硬件防火墻產(chǎn)品 的功能。 在本實(shí)例設(shè)計(jì)中，將針對(duì)服務(wù)器以及內(nèi)網(wǎng)工作站的安全給出廣域網(wǎng)接入路由器IR上ACL的配置方案。在絕大多數(shù)網(wǎng)絡(luò)環(huán)境的實(shí)現(xiàn)中它們都是應(yīng)該對(duì)外加以屏蔽的。它有兩 種服務(wù)類型：SNMP和SNMPTRAP。(2) 對(duì)外屏蔽遠(yuǎn)程登錄協(xié)議首先 ，telnet可以登錄到大多數(shù)網(wǎng)絡(luò)設(shè)備和UNIX服務(wù)器 ，并可以使用相關(guān) 命令完全操縱它們。用戶在使用telnet登錄網(wǎng)絡(luò)設(shè)備或服務(wù)器時(shí)所使用的用戶名和口令在網(wǎng)絡(luò)中是以明文傳輸?shù)?，很容易被網(wǎng)絡(luò)上的非法協(xié)議分析設(shè)備截獲。顯示了如何對(duì)外屏蔽遠(yuǎn)程登錄協(xié)議telnet?？梢詫⑨槍?duì)以上協(xié)議綜合進(jìn)行設(shè)計(jì)。(5) 保護(hù)路由器自身安全作為內(nèi)網(wǎng)、外網(wǎng)間屏障的路由器，保護(hù)自身安全的重要性也是不言而喻的。應(yīng)只允許來自服務(wù)器群的IP地址訪問并配置路由器。 服務(wù)器模塊用來對(duì)企業(yè)網(wǎng)的接入用戶提供各種服務(wù)。 企業(yè)網(wǎng)網(wǎng)絡(luò)提供的常用服務(wù)（服務(wù)器）包括： l WEB 服務(wù)器：提供 WEB 網(wǎng)站服務(wù)。 l FTP、文件服務(wù)器：提供文件傳輸、共享服務(wù)。 l 實(shí)時(shí)通信服務(wù)器：提供實(shí)時(shí)通信服務(wù)。 l 網(wǎng)管服務(wù)器：對(duì)企業(yè)網(wǎng)網(wǎng)絡(luò)設(shè)備進(jìn)行綜合管理。由于網(wǎng)絡(luò)連接企業(yè)內(nèi)部所有用戶，安全管理十分重要。企業(yè)網(wǎng)絡(luò)與Internet網(wǎng)相連后具有“防火墻”過濾功能，以防止網(wǎng)絡(luò)黑客入侵網(wǎng)絡(luò)系統(tǒng)。企業(yè)網(wǎng)內(nèi)部也存在很大的安全隱患。目前使用的操作系統(tǒng)存在安全漏洞，對(duì)網(wǎng)絡(luò)安全構(gòu)成了威脅。 　　隨著企業(yè)內(nèi)計(jì)算機(jī)應(yīng)用的大范圍普及，接入企業(yè)網(wǎng)的節(jié)點(diǎn)數(shù)日益增多，而這些節(jié)點(diǎn)大部分都沒有采取安全防護(hù)措施，隨時(shí)有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重后果。 解決方案 以太網(wǎng)是一種基于廣播機(jī)制的共享型技術(shù)，任何一個(gè)位于以太網(wǎng)上的用戶均可以向網(wǎng)上發(fā)送信息，在以太網(wǎng)的技術(shù)中沒有具體帶寬控制的機(jī)理。帶寬控制通過對(duì)每一個(gè)用戶的上行帶寬與下行帶寬進(jìn)行限制，保證對(duì)每個(gè)用戶的公平性，防止在共享型網(wǎng)絡(luò)結(jié)構(gòu)中某一用戶長期惡意霸占帶寬而導(dǎo)致其他用戶無法享受服務(wù)的現(xiàn)象。為了提高網(wǎng)絡(luò)的安全性，采取了劃分VLAN并利用網(wǎng)關(guān)保證信息的有效過濾，機(jī)房處于一個(gè)相對(duì)安全與過濾型的網(wǎng)絡(luò)狀況下運(yùn)行。 建設(shè)企業(yè)網(wǎng)時(shí)要本著從實(shí)際出發(fā)，以應(yīng)用為目的，綜觀全局、統(tǒng)籌安排。以確保企業(yè)網(wǎng)正常安全運(yùn)行和朝著健康有序方向發(fā)展。其中WWW、Email、FTP、DNS服務(wù)器連接在防火墻的DMZ區(qū)（即“非軍事區(qū)”，是為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段，它阻止內(nèi)網(wǎng)和外網(wǎng)直接通信，以保證內(nèi)網(wǎng)安全），與內(nèi)、外網(wǎng)間進(jìn)行隔離，內(nèi)網(wǎng)口連接企業(yè)網(wǎng)內(nèi)網(wǎng)交換機(jī)，外網(wǎng)口通過路由器與Internet連接。在防火墻設(shè)置上我們按照以下原則配置來提高網(wǎng)絡(luò)安全性：1. 根據(jù)企業(yè)網(wǎng)安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包的內(nèi)容，包括協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目，嚴(yán)格禁止來自外網(wǎng)的對(duì)企業(yè)內(nèi)網(wǎng)的不必要的、非法的訪問。2. 配置防火墻，過濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的IP包，這樣可以防范源地址假冒和源路由類型的攻擊；過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡(luò)的IP包，防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對(duì)外的攻擊。4. 定期查看防火墻訪問日志，及時(shí)發(fā)現(xiàn)攻擊行為和不良的上網(wǎng)記錄。 入侵檢測(cè)系統(tǒng)部署入侵檢測(cè)能力是衡量一個(gè)防御體系是否完整有效的重要因素。防火墻是一種主要的周邊安全解決方案。借助這些端口，外部用戶能夠與機(jī)構(gòu)內(nèi)的交換機(jī)通信。通過這些端口，黑客可以穿過防火墻攻擊服務(wù)器。由于問題比較復(fù)雜，先進(jìn)的IDS解決方案一般都包含兩個(gè)組件：用于保護(hù)網(wǎng)絡(luò)的IDS（NIDS）和用于保護(hù)服務(wù)器及其上運(yùn)行的應(yīng)用的主機(jī)IDS（HIDS）。 殺毒產(chǎn)品部署為了實(shí)現(xiàn)在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作，我們應(yīng)該在整個(gè)網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。在企業(yè)網(wǎng)絡(luò)中心的服務(wù)器上安裝殺毒軟件網(wǎng)絡(luò)版的系統(tǒng)中心，負(fù)責(zé)管理主機(jī)網(wǎng)點(diǎn)。 安裝完殺毒軟件網(wǎng)絡(luò)版后，在管理員控制臺(tái)對(duì)網(wǎng)絡(luò)中所有客戶端進(jìn)行定時(shí)查殺毒的設(shè)置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時(shí)候也能夠定時(shí)進(jìn)行對(duì)本機(jī)的查殺毒。配合SRadius認(rèn)證計(jì)費(fèi)系統(tǒng)，可以實(shí)現(xiàn)嚴(yán)格的六元素任意綁定認(rèn)證：用戶名、IP地址、MAC地址、接入交換機(jī)IP、接入交換機(jī)端口、VLAN ID。，缺省情況下，所有用戶都處在未認(rèn)證狀態(tài)。交換機(jī)將為認(rèn)證需要的報(bào)文維護(hù)一個(gè)專門的通道，保證所有用戶都可以進(jìn)行正常的認(rèn)證過程。1. 一次同時(shí)認(rèn)證用戶名、MAC：，客戶端同時(shí)提交用戶名、MAC，一次認(rèn)證即同時(shí)完成用戶名和MAC的認(rèn)證。更重要的是，這些都只需簡(jiǎn)單地在RADIUS服務(wù)器上設(shè)置單一的表格即可實(shí)現(xiàn)全網(wǎng)的接入控制認(rèn)證；2. 分布式認(rèn)證方式，防止出現(xiàn)單一故障點(diǎn)：各接入交換機(jī)直接完成接入認(rèn)證，不容易單點(diǎn)故障，同時(shí)，還可以提高認(rèn)證效率；認(rèn)證流和業(yè)務(wù)流實(shí)現(xiàn)分離和高效的認(rèn)證，防止出現(xiàn)用戶無法認(rèn)證的情況：，認(rèn)證流和業(yè)務(wù)流的分離。非受控端口始終關(guān)閉，只允許認(rèn)證流上來；受控端口走業(yè)務(wù)流，始終打開，只有通過認(rèn)證才能關(guān)閉，用戶的業(yè)務(wù)才能上來。這一點(diǎn)很類似于窄帶交換網(wǎng)的7號(hào)信令系統(tǒng)，控制信令和語音數(shù)據(jù)的分離。同時(shí)，支持易實(shí)現(xiàn)對(duì)用戶離線信息的檢測(cè)，對(duì)于后續(xù)開展基于按時(shí)計(jì)費(fèi)的增值服務(wù)有利。定期會(huì)由認(rèn)證系統(tǒng)對(duì)在線用戶進(jìn)行一次握手，如果用戶仍在線，則其客戶端會(huì)響應(yīng)認(rèn)證系統(tǒng)的檢測(cè)請(qǐng)求；如果用戶不在線，則其客戶端不會(huì)響應(yīng)認(rèn)證系統(tǒng)的檢測(cè)請(qǐng)求，在三次握手不成功后，就會(huì)中止計(jì)費(fèi)信息。安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。通過統(tǒng)一的技術(shù)方法，將全系統(tǒng)的安全日志、安全事件集中收集管理，實(shí)現(xiàn)集中的日志分析、審計(jì)與報(bào)告。我們建立了一套企業(yè)網(wǎng)絡(luò)安全管理模式，制定了詳細(xì)的安全管理制度，如機(jī)房管理制度、病毒防范制度等，并采取切實(shí)有效的措施，保證了制度的執(zhí)行。QOS服務(wù)質(zhì)量保障，需要全網(wǎng)設(shè)備的支持，本方案可以實(shí)現(xiàn)端到端的QOS保證。1. 高帶寬同時(shí)也需要QOS。當(dāng)網(wǎng)絡(luò)帶寬充裕的時(shí)候，所有的數(shù)據(jù)流都得到了較好的處理，當(dāng)網(wǎng)絡(luò)擁塞發(fā)生的時(shí)候，所有的數(shù)據(jù)流都有可能被丟棄。目前局域網(wǎng)QOS實(shí)現(xiàn)一般是遵循DiffServ體系標(biāo)準(zhǔn)。當(dāng)然分類信息也可以被攜帶在鏈路層報(bào)文頭上。在遵循DiffServ體系的網(wǎng)絡(luò)中，各交換機(jī)和路由器對(duì)包含同樣分類信息的報(bào)文采取同樣的傳輸服務(wù)策略，對(duì)包含不同分類信息的報(bào)文采取不同的傳輸服務(wù)策略?？梢曰诓煌膽?yīng)用策略或者基于報(bào)文內(nèi)容的不同為報(bào)文賦予類別信息。交換機(jī)或路由器根據(jù)報(bào)文所攜帶的類別信息，可以為各種交通流提供不同的傳輸優(yōu)先級(jí)，或者為某種交通流預(yù)留帶寬，或者適當(dāng)?shù)膩G棄一些重要性較低的報(bào)文、或者采取其他一些操作等等。如果網(wǎng)絡(luò)上的所有設(shè)備提供了一致的每跳行為，那么對(duì)于DiffServ體系來說，這個(gè)網(wǎng)絡(luò)就可以構(gòu)成endtoend QoS solution。Classifying，確保將網(wǎng)絡(luò)交通流劃分成以DSCP值來標(biāo)識(shí)的各個(gè)數(shù)據(jù)