安全生產(chǎn)管理網(wǎng)絡(luò)安全技術(shù)

{安全生產(chǎn)管理}網(wǎng)絡(luò)安全技術(shù)H3C 次1.2.4H3CVLANVLANPVLANGVRPH3CSTPIRFNATACLVPNIPsecVPNIPsecGREVPNL2TPSSLVPNDVPNVPNMPLSH3CSecPath/VPNH3CH3CSecBladeFWH3CSSLVPNH3CASMH3CNSMH3CIPSUTMAAAEAD802.1XSNMPNTP5.4.4OSPFOSPFLSDBDR\BDRIDBGPBGPBGPPeerBGP6.3ARPDDOSTCPSYNLandVlan201012010201220132015H3C應(yīng)指導(dǎo)所有的安全系統(tǒng)。CIAInternetInternet3【3】ACL（ACL，accesscontrollistPVLAN（下層）VLAN，則實(shí)現(xiàn)了所有端口的隔離。PVLANIP【6】IPIP（這個(gè)備份路由器就成為主路由器【7】網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,NetworkAddressTranslation)屬接入廣域網(wǎng)(WAN)技術(shù),是一種將私有(保留)地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù),它被廣泛應(yīng)用于各種lPH3CH3C防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專(zhuān)用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說(shuō)法，InternetIntranet??（SecurityGateway4【9】H3CIPVPN伴和用戶的安全外聯(lián)網(wǎng)虛擬專(zhuān)用網(wǎng)。VPNAAATACACS+【14】802.1xClient/Server授權(quán)的用戶/設(shè)備通過(guò)接入端口(accessportLAN/WLAN。在獲得交換機(jī)或在認(rèn)證通過(guò)之前，802.1xEAPoL（基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議）數(shù)據(jù)通過(guò)網(wǎng)絡(luò)準(zhǔn)入控制NAC，Pc、服務(wù)器、PDA)OSPFIDOSPFBGP2.12.1網(wǎng)絡(luò)安全應(yīng)具有以下五個(gè)方面的特征：保密性：信息不泄露給非授權(quán)用戶、實(shí)體或過(guò)程，或供其利用的特性。完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改、不被破壞和丟失的特性?？捎眯裕嚎杀皇跈?quán)實(shí)體訪問(wèn)并按需求使用的特性。即當(dāng)需要時(shí)能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊?？煽匦裕簩?duì)信息的傳播及內(nèi)容具有控制能力?？蓪彶樾裕撼霈F(xiàn)的安全問(wèn)題時(shí)提供依據(jù)與手段。從網(wǎng)絡(luò)運(yùn)行和管理者角度說(shuō)，他們希望對(duì)本地網(wǎng)絡(luò)信息的訪問(wèn)、讀寫(xiě)等操作受到保護(hù)和控制，避免出現(xiàn)“陷門(mén)”、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅，制止和防御網(wǎng)絡(luò)黑客的攻擊。對(duì)安全保密部避免機(jī)要信息泄露，避免對(duì)社會(huì)產(chǎn)生危害，對(duì)國(guó)家造成巨大損失。從社會(huì)教育和意識(shí)形態(tài)角度來(lái)講，網(wǎng)絡(luò)上不健康的內(nèi)容，會(huì)對(duì)社會(huì)的穩(wěn)定和人類(lèi)的發(fā)展造成阻礙，必須對(duì)其進(jìn)行控制。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全管理主要是配合行政手段，制定有關(guān)網(wǎng)絡(luò)安全管理的規(guī)章制度，在技術(shù)上實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全管理，確保網(wǎng)絡(luò)系統(tǒng)的安全、可靠地運(yùn)行，主要涉及以下四個(gè)方面：計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、網(wǎng)絡(luò)用戶終端機(jī)、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和攻擊；驗(yàn)證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)有一個(gè)良好的工作環(huán)境；建??完備的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)控制室和網(wǎng)絡(luò)黑客的各種破壞活動(dòng)。訪問(wèn)控制策略是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常規(guī)訪問(wèn)。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。各種網(wǎng)絡(luò)安全策略必須相互配合才能真正起到保護(hù)作用，所以網(wǎng)絡(luò)訪問(wèn)控制策略是保證網(wǎng)絡(luò)安全最重要的核心策略之一。信息加密策略主要是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息等網(wǎng)絡(luò)資源的安全。在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全策略中，不僅需要采取網(wǎng)絡(luò)技術(shù)措施保護(hù)網(wǎng)絡(luò)安全，還必須加強(qiáng)網(wǎng)絡(luò)的行政安全管理，制定有關(guān)網(wǎng)絡(luò)使用的規(guī)章制度，對(duì)于確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全、可靠地運(yùn)行，將會(huì)起到十分有效的作用。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全管理策略包括：確定網(wǎng)絡(luò)安全管理等級(jí)和安全管理范圍；制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的管理維護(hù)制度和應(yīng)急措施等等。H3CVLANVLAN技術(shù)的出現(xiàn)，主要為了解決交換機(jī)在進(jìn)行局域網(wǎng)互連時(shí)無(wú)法限制廣播的問(wèn)題。這種技術(shù)可以把一個(gè)LAN劃分成多個(gè)邏輯的LANVLAN，每VLAN是一個(gè)廣播域，VLAN內(nèi)的主機(jī)間通信就和在一個(gè)LANVLAN間則不能直接互通，這樣，廣播報(bào)文被限制在一個(gè)VLAN內(nèi)，從而最大程度的減少了廣播風(fēng)暴的影響。VLAN可以增強(qiáng)局域網(wǎng)的安全性，含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機(jī)密信息的可能性。不同VLAN內(nèi)的報(bào)文在傳輸VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進(jìn)行通信，則需要通過(guò)路由器或三層交換機(jī)等三層設(shè)備，3.13.1vlan從技術(shù)角度講，VLAN的劃分可依據(jù)不同原則，一般有以下三種劃分方法：1、基于端口的VLAN這種劃分是把一個(gè)或多個(gè)交換機(jī)上的幾個(gè)端口劃分一個(gè)邏輯組，這是最簡(jiǎn)單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配即可，不用考慮該端口所連接的設(shè)備。2MACVLANMAC地址其實(shí)就是指網(wǎng)卡的標(biāo)識(shí)符，每一塊網(wǎng)卡的MAC地址都是惟一且固化在網(wǎng)卡上的。MAC12166位為網(wǎng)卡的廠商標(biāo)識(shí)（OUI6（NICMAC分為一個(gè)邏輯子網(wǎng)。3、基于路由的VLAN路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機(jī)（即三層交換機(jī)。該方式允許一個(gè)VLAN跨越多個(gè)交換機(jī)，或一個(gè)端口位于多個(gè)VLAN中。就目前來(lái)說(shuō)，對(duì)于VLAN的劃分主要采取上述第1、32式為輔助性的方案。H3C低端系列以太網(wǎng)交換機(jī)支持的以太網(wǎng)端口鏈路類(lèi)型有三種：Access類(lèi)型：端口只能屬于1VLAN，一般用于連接計(jì)算機(jī)；TrunkVLANVLAN一般用于交換機(jī)之間的連接；Hybrid類(lèi)型：端口可以屬于多個(gè)VLAN，可以接收和發(fā)送多個(gè)VLAN文，可以用于交換機(jī)之間連接，也可以用于連接用戶的計(jì)算機(jī)。交換機(jī)與工作站之間的連接接口配置為Access，交換機(jī)和交換機(jī)之間的連接一般采用Trunk端口，協(xié)議采用802.1q（ISLcisco專(zhuān)用協(xié)議。VLANPVLAN傳統(tǒng)的VLAN固然有隔離廣播風(fēng)暴，增強(qiáng)局域網(wǎng)內(nèi)部安全性等好處，然而不可避免的有以下幾個(gè)方面的局限性:VLAN的限制：交換機(jī)固有的VLAN數(shù)目的限制；復(fù)雜的STP：對(duì)于每個(gè)VLAN，每個(gè)相關(guān)的SpanningTree的拓?fù)涠夹枰芾恚籌P地址的緊缺：IP子網(wǎng)的劃分勢(shì)必造成一些IP地址的浪費(fèi)；路由的限制：每個(gè)子網(wǎng)都需要相應(yīng)的默認(rèn)網(wǎng)關(guān)的配置?，F(xiàn)在有了一種新的VLAN機(jī)制，所有服務(wù)器在同一個(gè)子網(wǎng)中，但服務(wù)器只能VLAN（PrivateVLAN。在PrivateVLAN的概念中，交換機(jī)端口有三種類(lèi)型：Isolatedport，Communityport，Promiscuousport；它們分別對(duì)應(yīng)不同的VLAN類(lèi)型：Isolatedport屬于IsolatedPVLAN,Communityport屬于CommunityPVLAN，而代表一個(gè)PrivateVLAN整體的是PrimaryVLAN，前面兩VLAN需要和它綁定在一起，同時(shí)它還包括PromiscuousportIsolatedPVLAN中，Isolatedport只能和Promiscuousport通信，彼此不能交換流量；在CommunityPVLAN中Communityport不僅可以和Promiscuousport通信，而且彼此也可以交換流量。Promiscuousport與路由器或第3層交換機(jī)接口相連,它收到的流量可以發(fā)往IsolatedportPVLAN的應(yīng)用對(duì)于保證接入網(wǎng)絡(luò)的數(shù)據(jù)通信的安全性是非常有效的，用戶只需與自己的默認(rèn)網(wǎng)關(guān)連接，一個(gè)PVLANVLANIP提供了具備第2層數(shù)據(jù)通信安全性的連接，所有的用戶都接入PVLAN，從而實(shí)現(xiàn)了所有用戶與默認(rèn)網(wǎng)關(guān)的連接，而與PVLAN內(nèi)的其他用戶沒(méi)有任何訪問(wèn)。PVLAN功能可以保證同一個(gè)VLAN中的各個(gè)端口相互之間不能通信，但可以穿過(guò)Trunk端口。這樣即使同一VLAN中的用戶，相互之間也不會(huì)受到廣播的影響。目前很多廠商生產(chǎn)的交換機(jī)支持PVLANPVLAN技術(shù)在解決通信安全、防止廣播風(fēng)暴和浪費(fèi)IP地址方面的優(yōu)勢(shì)是顯而易見(jiàn)的，而且采用PVLANPVLAN在交換機(jī)上的配置也相對(duì)簡(jiǎn)單，PVLAN技術(shù)越來(lái)越得到網(wǎng)絡(luò)管理人員的青睞。GVRP通過(guò)使用GVRP，可以使同一局域網(wǎng)內(nèi)的交換機(jī)接收來(lái)自其它交換機(jī)的VLAN注冊(cè)信息，并動(dòng)態(tài)更新本地的VLAN注冊(cè)信息，包括：當(dāng)前的VLAN、配置版本號(hào)、這些VLAN可以通過(guò)哪個(gè)端口到達(dá)等。而且設(shè)備能夠?qū)⒈镜氐腣LAN冊(cè)信息向其它設(shè)備傳播，使同一局域網(wǎng)內(nèi)所有設(shè)備的VLAN信息達(dá)成一致，減少由人工配置帶來(lái)的錯(cuò)誤的可能性。對(duì)GVRP不熟悉的朋友，可以參考CISCO的VTP協(xié)議，兩者大同小異。如圖3-2：3-2GVRP組網(wǎng)示意圖SwitchC靜態(tài)配置了VLAN5，SwitchD靜態(tài)配置了vlan8，SwitchE靜態(tài)配置VLAN5VLAN7，SwitchASwitchB開(kāi)啟了全局和端口的GVRP功能，這樣可以動(dòng)態(tài)學(xué)習(xí)到VLAN5,VLAN7,VLAN8fixed，即禁止端口動(dòng)態(tài)注冊(cè)VLAN，僅允許本地創(chuàng)建的VLAN向外傳播；另一種注冊(cè)forbidden，即禁止端口動(dòng)態(tài)注冊(cè)VLAN，僅允許缺省VLAN1向外傳播。H3C端口匯聚是將多個(gè)以太網(wǎng)端口匯聚在一起形成一個(gè)邏輯上的匯聚組，使用匯聚服務(wù)的上層實(shí)體把同一匯聚組內(nèi)的多條物理鏈路視為一條邏輯鏈路。將多個(gè)物理鏈路捆綁在一起后，不但提升了整個(gè)網(wǎng)絡(luò)的帶寬，而且數(shù)據(jù)還可以同時(shí)經(jīng)由被綁定的多個(gè)物理鏈路傳輸，具有鏈路冗余的作用，在網(wǎng)絡(luò)出現(xiàn)故障或其他原因斷開(kāi)其中一條或多條鏈路時(shí)，剩下的鏈路還可以工作。這樣，同一匯聚組的各個(gè)成員端口之間彼此動(dòng)態(tài)備份，提高了連接可靠性，增強(qiáng)了負(fù)載均衡的能力。3.3H3C的交換機(jī)設(shè)備做端口匯聚時(shí)，必須注意以下幾點(diǎn)：做端口匯聚時(shí)，H3C交換機(jī)最多可以包括8個(gè)端口，這些端口不必是連續(xù)分布的，也不必位于相同的模塊中；至于有幾個(gè)匯聚組則視交換機(jī)的類(lèi)型而定。一個(gè)匯聚組內(nèi)的所有端口必須使用相同的協(xié)議如LACP一個(gè)匯聚組內(nèi)的端口必須有相同的速度和雙工模式。一個(gè)端口不能再相同時(shí)間內(nèi)屬于多個(gè)匯聚組。一個(gè)匯聚組內(nèi)的所有端口都必須配置到相同的接入VLAN由于部署IDSIPS等產(chǎn)品需要監(jiān)聽(tīng)網(wǎng)絡(luò)流量（網(wǎng)絡(luò)分析儀同樣也需要，但是在目前廣泛采用的交換網(wǎng)絡(luò)中監(jiān)聽(tīng)所有流量有相當(dāng)大的困難，因此需要通過(guò)配置交換機(jī)來(lái)把一個(gè)或多個(gè)端口（VLAN）的數(shù)據(jù)轉(zhuǎn)發(fā)到某一個(gè)端口來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的監(jiān)聽(tīng)，這樣就產(chǎn)生了端口鏡像。端口鏡像（portMirroring)分為本地端口鏡像和遠(yuǎn)程端口鏡像兩種。本地端口鏡像是指將設(shè)備的一個(gè)或多個(gè)端口（源端口）的報(bào)文復(fù)制到本地設(shè)備的一個(gè)監(jiān)視端口（目的端口，用于報(bào)文的分析和監(jiān)視。其中，源端口和目的端口必須在同一臺(tái)設(shè)備上。如圖3.4：SwitchCE13可以把端口研發(fā)部所連得端口E11和市場(chǎng)部連接的E12端口的流量復(fù)制過(guò)來(lái),然后交給數(shù)據(jù)檢測(cè)設(shè)備分析，從而可以對(duì)危險(xiǎn)流量進(jìn)行隔離和控制。3.4本地端口鏡像實(shí)例圖遠(yuǎn)程端口鏡像突破了源端口和目的端口必須在同一臺(tái)設(shè)備上的限制，使源端口和目的端口可以跨越網(wǎng)絡(luò)中的多個(gè)設(shè)備，從而方便網(wǎng)絡(luò)管理人員對(duì)遠(yuǎn)程設(shè)備上的流量進(jìn)行監(jiān)控。為了實(shí)現(xiàn)遠(yuǎn)程端口鏡像功能，需要定義一個(gè)特殊的VLAN，稱(chēng)之為遠(yuǎn)程鏡像VLAN（Remote-probeVLAN。所有被鏡像的報(bào)文通過(guò)該VLAN從源交換機(jī)的反射口傳遞到目的交換機(jī)的鏡像端口，實(shí)現(xiàn)在目的交換機(jī)上對(duì)源交換機(jī)端口收發(fā)的報(bào)文進(jìn)行監(jiān)控的功能。遠(yuǎn)程端口鏡像的應(yīng)用示意圖如圖3.5所示。對(duì)部門(mén)12的流量進(jìn)行監(jiān)控，SwitchA為源交換機(jī)：被監(jiān)控的端口所在的交換機(jī)，負(fù)責(zé)將鏡像流量復(fù)制到反射端口，然后通過(guò)遠(yuǎn)程鏡像VLAN傳輸給中間交換機(jī)或目的交換機(jī)；SwitchB為中間交換機(jī)：網(wǎng)絡(luò)中處于源交換機(jī)和目的交換機(jī)之間的交換機(jī)，通過(guò)遠(yuǎn)程鏡像VLAN把鏡像流量傳輸給下一個(gè)中間交換機(jī)或目的交換機(jī)，如果源交換機(jī)與目的交換機(jī)直接相連，則不存在中間交換機(jī)；SwitchC為目的交換機(jī)：遠(yuǎn)程鏡像目的端口所在的交換機(jī)，將從遠(yuǎn)程鏡像VLAN接收到的鏡像流量通過(guò)鏡像目的端口轉(zhuǎn)發(fā)給監(jiān)控設(shè)備。3.5遠(yuǎn)程端口鏡像實(shí)例圖STPSTP協(xié)議最主要的應(yīng)用是為了避免局域網(wǎng)中的網(wǎng)絡(luò)環(huán)回，解決以太網(wǎng)網(wǎng)絡(luò)的“廣播風(fēng)暴”問(wèn)題，從某種意義上說(shuō)是一種網(wǎng)絡(luò)保護(hù)技術(shù)，可以消除由于失誤或者意外帶來(lái)的循環(huán)連接，各大交換機(jī)設(shè)備廠商默認(rèn)開(kāi)啟STP協(xié)議。H3C交換機(jī)支持的生成樹(shù)協(xié)議有三種類(lèi)型，分別是STP（IEEE802.1D、（IEEE802.1W）和MSTP（IEEE802.1S，這三種類(lèi)型的生成樹(shù)協(xié)議均按照標(biāo)準(zhǔn)協(xié)議的規(guī)定實(shí)現(xiàn)，采用標(biāo)準(zhǔn)的生成樹(shù)協(xié)議報(bào)文格式。手動(dòng)指定根網(wǎng)橋不要讓STP來(lái)決定選舉哪臺(tái)交換機(jī)為根網(wǎng)橋。對(duì)于每個(gè)VLAN，您通?？梢源_定哪臺(tái)交換機(jī)最適合用做根網(wǎng)橋。哪臺(tái)交換機(jī)最適合用做根網(wǎng)橋取決于網(wǎng)絡(luò)設(shè)計(jì)，一般而言，應(yīng)選擇位于網(wǎng)絡(luò)中央的功能強(qiáng)大的交換機(jī)。如果讓根網(wǎng)橋位于網(wǎng)絡(luò)中央，并直接連接到多臺(tái)服務(wù)器和路由器，通常可縮短客戶端到服務(wù)器和路由器的距離。對(duì)于VLAN，靜態(tài)地指定要用做根網(wǎng)橋和備用（輔助）根網(wǎng)橋的交換機(jī)。多層交換體系中部署MSTP（MultIPleSpanningTreeProtocol）是把IEEE802.1w的快速生成樹(shù)（RST）算法擴(kuò)展而得到的，體現(xiàn)的是將多個(gè)VLAN映射到一個(gè)生成樹(shù)實(shí)例的能力。STP不能遷移，RSTP可以快速收斂，但和STP一樣不能按VLAN冗余鏈路，所有VLAN的報(bào)文都按一顆生成樹(shù)進(jìn)行轉(zhuǎn)發(fā)。MSTPSTPRSTP，從而彌補(bǔ)STPRSTP的缺陷，不但可以快速收斂，同時(shí)還提供了數(shù)據(jù)轉(zhuǎn)發(fā)的多個(gè)冗余路徑，使不同VLAN的流量沿各自的路徑分發(fā)，在數(shù)據(jù)轉(zhuǎn)發(fā)過(guò)程中實(shí)現(xiàn)VLAN數(shù)據(jù)的負(fù)載均衡，使設(shè)備的利用率達(dá)到最高。3.6MST配置組網(wǎng)圖3.6所示：網(wǎng)絡(luò)中所有交換機(jī)屬于同一個(gè)MSTVLAN10的報(bào)文沿著實(shí)1轉(zhuǎn)發(fā)，VLAN303轉(zhuǎn)發(fā)，VLAN404轉(zhuǎn)發(fā)，VLAN20實(shí)例0轉(zhuǎn)發(fā)；0SwitchASwitchB為匯聚層設(shè)備，SwitchCSwitchD為接入層設(shè)備。VLAN10、VLAN30在匯聚層設(shè)備終結(jié)，VLAN40在接入層設(shè)備終結(jié)，因此可以配置實(shí)例13的樹(shù)根分別為SwitchASwitchB，實(shí)例4的樹(shù)根為SwitchC。Internet的發(fā)展，人們對(duì)網(wǎng)絡(luò)可靠性,安全性的要求越來(lái)越高。對(duì)于終（VirtualRouterRedundancyProtocol，虛擬路由冗余協(xié)議）是一種容錯(cuò)協(xié)議，它保證當(dāng)主機(jī)的下一跳路由器失效時(shí)，可以及時(shí)由另一臺(tái)路由器代替，從而保持通信的連續(xù)性和可靠性。Cisco系列交換機(jī)更多的采用思科廠商專(zhuān)HSRP（HotStandbyRouterProtocol，熱備份路由器協(xié)議）VRRP工作，要在路由器上配置虛擬路由器號(hào)和虛擬IP時(shí)會(huì)產(chǎn)生一個(gè)虛擬MAC(00-00-5E-00-01-[VRID])地址，這樣在這個(gè)網(wǎng)絡(luò)中就加入了一個(gè)虛擬路由器。一個(gè)虛擬路由器由一個(gè)主路由器和若干個(gè)備份路由器組成，主路由器實(shí)現(xiàn)真正的轉(zhuǎn)發(fā)功能。當(dāng)主路由器出現(xiàn)故障時(shí)，一個(gè)備份路由器將成為新的主路由器，接替它的工作,避免備份組內(nèi)的單臺(tái)或多臺(tái)交換機(jī)發(fā)生故障而引起的通信中斷。3.7VRRP協(xié)議部署圖3.7AABVRRP備份組作為自己的缺省網(wǎng)關(guān)，訪問(wèn)Internet上的主機(jī)B。備份組號(hào)可以自己設(shè)定；主路由是AB，取決于兩者的優(yōu)先級(jí)，高的成為主路由，優(yōu)先級(jí)一樣比較IP地址，誰(shuí)的大誰(shuí)是主路由，另外一臺(tái)作為備份路由；VRRP默認(rèn)搶占開(kāi)啟。IRFIRF（IntelligentResilientFramework，智能彈性架構(gòu)）是H3C公司融合高端交換機(jī)的技術(shù)，在中低端交換機(jī)上推出的創(chuàng)新性建設(shè)網(wǎng)絡(luò)核心的新技術(shù)。它將幫助用戶設(shè)計(jì)和實(shí)施高可用性、高可擴(kuò)展性和高可靠性的千兆以太網(wǎng)核心和匯聚主干。在堆疊之前要先了解堆疊設(shè)備的規(guī)格，一個(gè)堆疊最多支持多少個(gè)設(shè)備，或者最多支持多少個(gè)端口。在系統(tǒng)啟動(dòng)時(shí)、新Unit加入時(shí)、merge時(shí)都會(huì)進(jìn)行配置比較。配置比較時(shí)將以最小IDUnit的配置作為參照基準(zhǔn)。比較結(jié)果不同的Unit將把基準(zhǔn)配置保存為臨時(shí)文件，然后重起。重起時(shí)將采用這個(gè)臨時(shí)文件作為自己的配置。為增加堆疊的可靠性，盡量使用環(huán)形堆疊。IRF設(shè)備堆疊端口相連時(shí)一定是UP端口和另一臺(tái)設(shè)備的DOWN端口相連。3.7S58系列以太網(wǎng)交換機(jī)在企業(yè)網(wǎng)/園區(qū)網(wǎng)的應(yīng)用在大中型企業(yè)或園區(qū)網(wǎng)中，S58系列以太網(wǎng)交換機(jī)作為大樓匯聚交換IRF智能彈性架構(gòu)將多臺(tái)匯聚交換機(jī)虛擬為一臺(tái)邏輯設(shè)備，從而簡(jiǎn)化管理維護(hù)，實(shí)現(xiàn)彈性擴(kuò)展。此外H3C的開(kāi)發(fā)業(yè)務(wù)架構(gòu)也可以使S58系列交換機(jī)集成防火墻模塊，提高網(wǎng)絡(luò)安全性，而在集成了無(wú)線控制器模塊以后，可以集中配置管理無(wú)線接入點(diǎn)，從而使S58系列交換機(jī)提供一套完整的有線無(wú)線一體化的解決方案。網(wǎng)絡(luò)邊界就是網(wǎng)絡(luò)的大門(mén)，大門(mén)的安全防護(hù)是網(wǎng)絡(luò)安全的基礎(chǔ)需求。隨著網(wǎng)絡(luò)的日益復(fù)雜，域邊界的概念逐漸替代了網(wǎng)絡(luò)邊界，邊界成了網(wǎng)絡(luò)安全區(qū)域之間安全控制的基本點(diǎn)。黑客攻擊與廠家防護(hù)技術(shù)都會(huì)最先出現(xiàn)在這里，然后在對(duì)抗中逐步完善與成熟起來(lái)。在本文中，邊界安全主要是指企業(yè)網(wǎng)在互聯(lián)網(wǎng)接入這部分。對(duì)邊界進(jìn)行安全防護(hù)，首先必須明確哪些網(wǎng)絡(luò)邊界需要防護(hù)，這可以通過(guò)安全分區(qū)設(shè)計(jì)來(lái)確定。定義安全分區(qū)的原則就是首先需要根據(jù)業(yè)務(wù)和信息敏感度定義安全資產(chǎn)，其次對(duì)安全資產(chǎn)定義安全策略和安全級(jí)別，對(duì)于安全策略和級(jí)別相同的安全資產(chǎn)，就可以認(rèn)為屬于同一安全區(qū)域。根據(jù)以上原則，H3C提出以下的安全分區(qū)設(shè)計(jì)模型，主要包括內(nèi)網(wǎng)辦公區(qū)、數(shù)據(jù)中心區(qū)、外聯(lián)數(shù)據(jù)區(qū)、互聯(lián)網(wǎng)連接區(qū)、對(duì)外連接區(qū)、網(wǎng)絡(luò)管理區(qū)、廣域網(wǎng)連接區(qū)等區(qū)域。4.0H3C提出的安全分區(qū)設(shè)計(jì)模型通過(guò)以上的分區(qū)設(shè)計(jì)和網(wǎng)絡(luò)現(xiàn)狀，H3C提出了以防火墻、VPN和應(yīng)用層防御系統(tǒng)為支撐的深度邊界安全解決方案。NATNAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換)屬接入廣域網(wǎng)(WAN)技術(shù),是一種將私有(保留)地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù),它被廣泛應(yīng)用于各種類(lèi)型Internet接入方式和各種類(lèi)型的網(wǎng)絡(luò)中。NAT不僅完美地解lP地址不足的問(wèn)題，而且還能夠有效地避免來(lái)自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。如圖4.1NAT技術(shù)隱藏了局域網(wǎng)內(nèi)Internet4.1NAT技術(shù)組網(wǎng)圖NAT的實(shí)現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換StaticNat、動(dòng)態(tài)轉(zhuǎn)換和端口多路復(fù)用PAT靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址IP地址只轉(zhuǎn)換為某個(gè)公有IP借助于靜態(tài)轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問(wèn)。動(dòng)態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí)，IP址是不確定的，是隨機(jī)的，所有被授權(quán)訪問(wèn)上InternetIP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法IP地址。也就是說(shuō)，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時(shí)，就可以進(jìn)行動(dòng)態(tài)轉(zhuǎn)換。動(dòng)態(tài)轉(zhuǎn)換可以使用多個(gè)合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)。可以采用動(dòng)態(tài)轉(zhuǎn)換的方式。端口多路復(fù)用(PortaddressTranslation,PAT)是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換(PATPortAddressTranslation)。采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP址實(shí)現(xiàn)對(duì)Internet的訪問(wèn)，從而可以最大限度地節(jié)約IP地址資源。同時(shí)，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來(lái)自internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。ACLACL（AccessControlList，訪問(wèn)控制列表）在路由器中被廣泛采用，它是一種基于包過(guò)濾的流控制技術(shù)。目前有兩種主要的ACL:標(biāo)準(zhǔn)ACL和擴(kuò)展ACL。標(biāo)準(zhǔn)的ACL1-991300-1999之間的數(shù)字作為表號(hào)，擴(kuò)展的ACL使用100-199以及2000-2699之間的數(shù)字作為表號(hào)。標(biāo)準(zhǔn)ACL可以阻止來(lái)自某一網(wǎng)絡(luò)的所有通信流量，或者允許來(lái)自某一特定網(wǎng)絡(luò)的所有通信流量，或者拒絕某一協(xié)議簇（IP）的所有通信流量。如圖4.2所示,VLAN10可以拒絕VLAN11的所有訪問(wèn)流量。擴(kuò)展ACL比標(biāo)準(zhǔn)ACL提供了更廣泛的控制范圍,擴(kuò)展IP訪問(wèn)控制列表比標(biāo)準(zhǔn)IP訪問(wèn)控制列表具有更多的匹配項(xiàng)，包括協(xié)議類(lèi)型、源地址、目的地址、源端口、目的端口、建??連接的和IP優(yōu)先級(jí)等。如圖4.2所示服務(wù)器所在的VLAN1可以允許客戶的80端口訪問(wèn)。一個(gè)端口執(zhí)行哪條ACL，這需要按照列表中的條件語(yǔ)句執(zhí)行順序來(lái)判斷。如果一個(gè)數(shù)據(jù)包的報(bào)頭跟表中某個(gè)條件判斷語(yǔ)句相匹配，那么后面的語(yǔ)句就將被忽略，不再進(jìn)行檢查。數(shù)據(jù)包只有在跟第一個(gè)判斷條件不匹配時(shí)，它才被交給ACL中的下一個(gè)條件判斷語(yǔ)句進(jìn)行比較。如果匹配（假設(shè)為允許發(fā)送，則不管是第一條還是最后一條語(yǔ)句，數(shù)據(jù)都會(huì)??即發(fā)送到目的接口。如果所有的ACL判斷語(yǔ)句都檢測(cè)完畢，仍沒(méi)有匹配的語(yǔ)句出口，則該數(shù)據(jù)包將視為被拒絕而被丟棄。4.2ACL技術(shù)組網(wǎng)圖另外還有一些特殊情況下的ACL技術(shù)的應(yīng)用：MACACL:ACLMACMAC802.1pACL的序號(hào)取值范圍為4000～4999。如圖4.2PC2PC3MAC址進(jìn)行限制。用戶自定義的ACL:非用戶自定義的ACL一旦制定之后，修改起來(lái)十分麻煩，要把整個(gè)ACL去掉，然后才能重新建??生效，然而用戶自定義的ACL決了這一問(wèn)題，可以在原有的ACL基礎(chǔ)上進(jìn)行修改。QosACL:QosACLQos分類(lèi)、標(biāo)記、控制和調(diào)度將應(yīng)用于那些數(shù)據(jù)包，也可以基于時(shí)間段、流量監(jiān)管、隊(duì)列調(diào)度、流量統(tǒng)計(jì)、端口重定向、本地流鏡像以及WEBCache重定向的功能及應(yīng)用部署相關(guān)的ACL。所有通信流。需要先建??一個(gè)普通的ACL列表，然后建??一個(gè)關(guān)于VLAN訪問(wèn)映射表將建??ACL列表包含進(jìn)去，最后把訪問(wèn)映射表映射到所需要的VPNVPN（VirtualPrivateNetwork，虛擬私有網(wǎng)）是近年來(lái)隨著Internet泛應(yīng)用而迅速發(fā)展起來(lái)的一種新技術(shù)，實(shí)現(xiàn)在公用網(wǎng)絡(luò)上構(gòu)建私人專(zhuān)用網(wǎng)絡(luò)。VPN只為特定的企業(yè)或用戶群體所專(zhuān)用。從用戶角度看來(lái)，使用VPN專(zhuān)網(wǎng)沒(méi)有任何區(qū)別。VPN作為私有專(zhuān)網(wǎng)，一方面與底層承載網(wǎng)絡(luò)之間保持資源獨(dú)??性，即在一般情況下，VPN資源不會(huì)被網(wǎng)絡(luò)中的其它VPNVPN用戶使用；另一方面，VPN提供足夠安全性，能夠確保VPN內(nèi)部信息的完整性、保密性、不可抵賴性。4.3VPN技術(shù)典型組網(wǎng)圖4.3所示，在企業(yè)互聯(lián)網(wǎng)出口部署防火墻和VPN設(shè)備，分支機(jī)構(gòu)及移動(dòng)辦公用戶分別通過(guò)VPNVPN客戶端安全連入企業(yè)內(nèi)部網(wǎng)絡(luò)；同時(shí)通過(guò)防火墻和IPS將企業(yè)內(nèi)部網(wǎng)、DMZ、數(shù)據(jù)中心、互聯(lián)網(wǎng)等安全區(qū)域分隔開(kāi)，并通過(guò)制定相應(yīng)的安全規(guī)則，以實(shí)現(xiàn)各區(qū)域不同級(jí)別、不同層次的安全防護(hù)。H3C公司的安全解決方案的VPN特性非常豐富，包括適用于分支機(jī)構(gòu)的VPN（DVPN）解決方案、適用于MPLSVPNIPSecVPN環(huán)境下的VPE決方案、適用于鏈路備份的VPN高可用方案等，可以滿足各種VPN環(huán)境的需要。接下來(lái)我們介紹下VPN領(lǐng)域的一些主流技術(shù)。IPsecVPNIPsec(IPSecurity)是保障IP層安全的網(wǎng)絡(luò)技術(shù)，它并不是指某一項(xiàng)具體的協(xié)議，而是指用于實(shí)現(xiàn)IP層安全的協(xié)議套件集合。IPsec實(shí)質(zhì)上也是一種隧道傳輸技術(shù)，它將IPIP上層載荷封裝在IPsec報(bào)文內(nèi)，并根據(jù)需要進(jìn)行加密和完整性保護(hù)處理，以此保證數(shù)據(jù)在公共網(wǎng)絡(luò)中傳輸過(guò)程的安全。IPsec支持兩種協(xié)議標(biāo)準(zhǔn)，鑒別首部(AuthenticaionHeaderAH)和封裝安全有效載荷(EncapsulationSecurityPayload，ESP)：AH可證明數(shù)據(jù)的起源地(數(shù)據(jù)來(lái)源認(rèn)證)、保障數(shù)據(jù)的完整性以及防止相同的數(shù)據(jù)包不斷重播(抗重放攻擊);ESP能提供的安全服務(wù)則更多，除了上述AH所能提供的安全服務(wù)外，還能提供數(shù)據(jù)機(jī)密性，這樣可以保證數(shù)據(jù)包在傳輸過(guò)程中不被非法識(shí)別;AHESP提供的數(shù)據(jù)完整性服務(wù)的差別在于，AH驗(yàn)證的范圍還包括數(shù)據(jù)包的外部IP頭。在建??IPsec隧道的時(shí)候還需要用到一個(gè)重要的協(xié)議即IKE協(xié)議，通過(guò)建??IKE的兩個(gè)階段，完成數(shù)據(jù)的傳送。IPsecGREGRE（GenericRoutingEncapsulation，通用路由封裝）隧道已經(jīng)應(yīng)用了很長(zhǎng)的一段時(shí)間，GRECisco公司提出，目的是提供IP網(wǎng)絡(luò)承載其他路由協(xié)議。某些網(wǎng)絡(luò)管理員為了降低其網(wǎng)絡(luò)核心的管理開(kāi)銷(xiāo)，將除IP的所有傳送協(xié)議都刪除了，因而IPXAppleTalkIP協(xié)議只能通過(guò)GREIP核心網(wǎng)絡(luò)。如圖4.44.4IPXGRE隧道互連GRE是無(wú)狀態(tài)協(xié)議，與IPsec隧道不同，端點(diǎn)在通過(guò)隧道發(fā)送流量之前GREGRE的源動(dòng)力就是任何東西都可以被封裝在其中，GRE的主要應(yīng)用就是在IP網(wǎng)絡(luò)中承載非IP包，這個(gè)恰恰是IPsec所不能的。另外與IPsec不同，GRE允許路由協(xié)議（OSPFBGP）穿越連接。但是GRE隧道不提供安全特性，不會(huì)對(duì)流量進(jìn)行加密、完整性驗(yàn)證，而IPsec剛好解決了這個(gè)難題，這樣基于IPsecGREVPN強(qiáng)大功能特性就充分體現(xiàn)了。VPNL2TPL2TP提供了一種遠(yuǎn)程接入訪問(wèn)控制的手段，其典型的應(yīng)用場(chǎng)景是：某公司員工通過(guò)PPP撥入公司本地的網(wǎng)絡(luò)訪問(wèn)服務(wù)器(NAS)，以此接入公司內(nèi)部網(wǎng)絡(luò)，獲取IP地址并訪問(wèn)相應(yīng)權(quán)限的網(wǎng)絡(luò)資源該員工出差到外地，此時(shí)他想如同在公司本地一樣以內(nèi)網(wǎng)IP地址接入內(nèi)部網(wǎng)絡(luò)，操作相應(yīng)網(wǎng)絡(luò)資源，他的做法是向當(dāng)?shù)豂SPL2TP服務(wù)，首先撥入當(dāng)?shù)豂SP，請(qǐng)求ISPNAS??L2TP會(huì)話，并協(xié)商建??L2TPISPPPP據(jù)通道化處理，通過(guò)L2TP隧道傳送到公司NAS，NAS就從中取出PPP數(shù)據(jù)進(jìn)行相應(yīng)的處理，如此該員工就如同在公司本地那樣通過(guò)NAS接入公司內(nèi)網(wǎng)。L2TP本質(zhì)上是一種隧道傳輸協(xié)議，它使用兩種類(lèi)型的消息：控制消息和數(shù)據(jù)隧道消息。控制消息負(fù)責(zé)創(chuàng)建、維護(hù)及終止L2TP隧道，而數(shù)據(jù)隧道消息則負(fù)責(zé)用戶數(shù)據(jù)的真正傳輸。L2TP支持標(biāo)準(zhǔn)的安全特性CHAP可以進(jìn)行用戶身份認(rèn)證。在安全性考慮上，L2TP僅定義了控制消息的加密傳輸方式，對(duì)傳輸中的數(shù)據(jù)并不加密。L2TPIPsec的一個(gè)最大的不同在于它不對(duì)隧道傳輸中的數(shù)據(jù)進(jìn)行加密，從而沒(méi)法保證數(shù)據(jù)傳輸過(guò)程中的安全。因此這個(gè)時(shí)候，L2TPIPsec結(jié)合使用，先使用L2TP封裝第二層數(shù)據(jù)，再使用IPsec封裝對(duì)數(shù)據(jù)進(jìn)行加密和提供完整性保護(hù)，由此保證通信數(shù)據(jù)安全傳送到目的地。因此就一般企業(yè)用戶構(gòu)建安全的VPN而言，應(yīng)該使用IPsec技術(shù)，當(dāng)然如果需要實(shí)現(xiàn)安全的VPDN，就應(yīng)該采用L2TP+IPsec組合技術(shù)。SSLVPNSSL協(xié)議提供了數(shù)據(jù)私密性、端點(diǎn)驗(yàn)證、信息完整性等特性。SSL由許多子協(xié)議組成，其中兩個(gè)主要的子協(xié)議是握手協(xié)議和記錄協(xié)議。握手協(xié)議允許服務(wù)器和客戶端在應(yīng)用協(xié)議傳輸?shù)谝粋€(gè)數(shù)據(jù)字節(jié)以前，彼此確認(rèn)，協(xié)商一種加密算法和密碼鑰匙。在數(shù)據(jù)傳輸期間，記錄協(xié)議利用握手協(xié)議生成的密鑰加密和解密后來(lái)交換的數(shù)據(jù)。SSL??于應(yīng)用，因此任何一個(gè)應(yīng)用程序都可以享受它的安全性而不必理會(huì)執(zhí)行細(xì)節(jié)。SSL置身于網(wǎng)絡(luò)結(jié)構(gòu)體系的傳輸層和應(yīng)用層之間。與復(fù)雜的IPSecVPN相比，SSL通過(guò)簡(jiǎn)單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通。任何安裝瀏覽器的機(jī)器都可以使用SSLVPN，這是因?yàn)镾SL內(nèi)嵌在瀏覽器中，它不需要像傳統(tǒng)IPSecVPN一樣必須為每一臺(tái)客戶機(jī)安裝客戶端軟件。IPSecVPN最大的難點(diǎn)在于客戶端需要安裝復(fù)雜的軟件，而且當(dāng)用戶的VPN策略稍微有所改變時(shí)，VPN的管理難度將呈幾何級(jí)數(shù)增長(zhǎng)。SSLVPN好相反，客戶端不需要安裝任何軟件或硬件，使用標(biāo)準(zhǔn)的瀏覽器，就可通過(guò)SSL安全加密協(xié)議，安全地訪問(wèn)網(wǎng)絡(luò)中的信息。SSLVPNIPsecVPN主要有以下優(yōu)點(diǎn)：SSLVPN之需要安裝配置好中心網(wǎng)關(guān)即可。其余的客戶端是免安裝的，因此，實(shí)施工期很短，如果網(wǎng)絡(luò)條件具備，連安裝帶調(diào)試，1-2天即可投入運(yùn)營(yíng)。容易維護(hù)：SSLVPN維護(hù)起來(lái)簡(jiǎn)單，出現(xiàn)問(wèn)題，就維護(hù)網(wǎng)關(guān)就可以了。如果有雙機(jī)備份的話，就可以啟用備份路由器。安全:SSLVPN是一個(gè)安全協(xié)議，數(shù)據(jù)全程加密傳輸?shù)?。另外，由于SSL網(wǎng)關(guān)隔離了內(nèi)部服務(wù)器和客戶端，只留下一個(gè)Web瀏覽接口，客戶端的大多數(shù)病毒木馬感染不倒內(nèi)部服務(wù)器。而SSLVPN就不一樣，實(shí)現(xiàn)的是IP別的訪問(wèn)，遠(yuǎn)程網(wǎng)絡(luò)和本地網(wǎng)絡(luò)幾乎沒(méi)有區(qū)別。DVPNDVPN（DynamicVirtualPrivateNetwork,動(dòng)態(tài)虛擬私有網(wǎng)絡(luò)技術(shù)）通過(guò)動(dòng)態(tài)獲取對(duì)端的信息建??VPNDVPNNBMA類(lèi)型的隧道機(jī)制，使TunnelDVPN隧道的端點(diǎn)，完成DVPN報(bào)文的封裝和發(fā)送，同時(shí)通過(guò)Tunnel接口完成私網(wǎng)路由的動(dòng)態(tài)學(xué)習(xí)。DVPNClientServer的方式解決了傳統(tǒng)VPNClient通過(guò)在ServerClient自己的信息在SeverClientServer定向功能得到其它Client的信息，從而可以在Client之間建????Session（會(huì)話，進(jìn)行數(shù)據(jù)傳輸?shù)耐ǖ?。?dāng)多個(gè)DVPN接入設(shè)備通過(guò)向共同Server進(jìn)行注冊(cè)，構(gòu)建一個(gè)DVPN域，就實(shí)現(xiàn)了各個(gè)DVPN接入設(shè)備后面的網(wǎng)絡(luò)的VPN互聯(lián)。所有通過(guò)DVPN實(shí)現(xiàn)互連的私有網(wǎng)絡(luò)以及網(wǎng)絡(luò)中的防火墻、路由器設(shè)備共同構(gòu)成DVPNDVPN不但繼承了傳統(tǒng)VPN的各種優(yōu)點(diǎn)，更大程度上解決了傳統(tǒng)VPN前還沒(méi)有解決的問(wèn)題。配置簡(jiǎn)單、網(wǎng)絡(luò)規(guī)劃簡(jiǎn)單、功能強(qiáng)大，比傳統(tǒng)的VPN更加符合目前以及未來(lái)的網(wǎng)絡(luò)應(yīng)用。其特點(diǎn)如下：配置簡(jiǎn)單:一個(gè)DVPN接入設(shè)備可以通過(guò)一個(gè)tunnel邏輯接口和多個(gè)VPN接入設(shè)備建??會(huì)話通道，而不用為每一個(gè)通道配置一個(gè)邏輯的接口作為隧道的端點(diǎn)，大大的簡(jiǎn)化了配置的復(fù)雜度，提高了網(wǎng)絡(luò)的可維護(hù)性和易擴(kuò)充性。支持依賴動(dòng)態(tài)IP地址構(gòu)建VPN:當(dāng)在一個(gè)DVPN域內(nèi)部構(gòu)建隧道時(shí)，只需要指定相應(yīng)的ServerIPIP地址是多少，更加適應(yīng)如普通撥號(hào)、xdsl撥號(hào)等使用動(dòng)態(tài)IP地址的組網(wǎng)應(yīng)用。支持自動(dòng)建??隧道技術(shù):DVPNserver維護(hù)著一個(gè)DVPN域中所有接入設(shè)備的信息，DVPNclientserver的重定向功能自動(dòng)獲得需要進(jìn)行通信的其它c(diǎn)lientclient之間自動(dòng)建??會(huì)話隧道（session。支持多個(gè)VPN:DVPN允許用戶在一臺(tái)DVPN設(shè)備上支持多個(gè)VPN一臺(tái)防火墻不僅可以屬于VPNA，也可以屬于VPNB；同一設(shè)備可以在VPNA作為client設(shè)備，同時(shí)還在VPNB中作為server設(shè)備使用。VPNMPLSMPLSVPN是一種基于MPLS（MultiprotocolLabelSwitching，多協(xié)議標(biāo)簽交換）技術(shù)的VPN技術(shù)，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS技術(shù)，簡(jiǎn)化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實(shí)現(xiàn)的IP擬專(zhuān)用網(wǎng)絡(luò)（IPVPN，可用來(lái)構(gòu)造寬帶的Intranet、Extranet，滿足多種靈活的業(yè)務(wù)需求。VPN使用第二層隧道協(xié)議（L2TP、L2FPPTP）或者第三層隧道技術(shù)（IPsec、GRE，獲得了很大成功，被廣泛應(yīng)用。但是，隨著VPN范圍的擴(kuò)大，傳統(tǒng)VPN在可擴(kuò)展性和可管理性等方面的缺陷越來(lái)越突出。通MPLS技術(shù)可以非常容易地實(shí)現(xiàn)基于IPVPN業(yè)務(wù)，而且可以滿足VPN可擴(kuò)展性和管理的需求。利用MPLSVPN，通過(guò)配置，可將單一接入點(diǎn)形成多種VPNVPN代表不同的業(yè)務(wù)，使網(wǎng)絡(luò)能以靈活方式傳送不同類(lèi)型的業(yè)務(wù)。圖4.5MPLSVPN如上圖所示，MPLSVPN：CE、PEPCE（CustomerEdge）設(shè)備：是用戶網(wǎng)絡(luò)邊緣設(shè)備，有接口直接與服務(wù)提供商相連，可以是路由器或是交換機(jī)等。CE“感知”不到VPN的存在。PE（ProviderEdge）路由器：即運(yùn)營(yíng)商邊緣路由器，是運(yùn)營(yíng)商網(wǎng)絡(luò)的邊CEMPLSVPNPE路由器上。P（Provider）路由器：運(yùn)營(yíng)商網(wǎng)絡(luò)中的骨干路由器，不和CE直接相連。PMPLSCEPE的劃分主要是從運(yùn)營(yíng)商與用戶的管理范圍來(lái)劃分的，CEPE是兩者管理范圍的邊界。安全網(wǎng)關(guān)可以用于CEPE設(shè)備。4.4H3CSecPath/VPN防火墻是最主流也是最重要的安全產(chǎn)品，是邊界安全解決方案的核心。它可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行區(qū)域分割，提供基于IPTCP/IP服務(wù)端口等的訪問(wèn)控制；對(duì)常見(jiàn)的網(wǎng)絡(luò)攻擊，如拒絕服務(wù)攻擊、端口掃描、IP欺騙、IPNATIPMAC綁定、智能蠕蟲(chóng)防護(hù)等安全增強(qiáng)措施。H3CSecPathF5000-A5是目前全球處理性能最高的分布式防火墻，旨在滿足大型企業(yè)、運(yùn)營(yíng)商和數(shù)據(jù)中心網(wǎng)絡(luò)高性能的安全防護(hù)。SecPathF5000-A5采用多核多線程、ASIC等先進(jìn)處理器構(gòu)建分布式架構(gòu)，將系統(tǒng)管理和業(yè)務(wù)處理相分離，實(shí)現(xiàn)整機(jī)吞吐量達(dá)到40Gbps，使其具有全球最高性能的分布式安全處理能力。SecPathF5000-A5支持外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、郵件過(guò)濾、網(wǎng)頁(yè)過(guò)濾、應(yīng)用層過(guò)濾等功能，能夠有效的保證網(wǎng)絡(luò)的安全；采ASPF（ApplicationSpecificPacketFilter）應(yīng)用狀態(tài)檢測(cè)技術(shù)，可對(duì)連接狀態(tài)過(guò)程和異常命令進(jìn)行檢測(cè)；支持多種VPNL2TPVPN、GREVPN、IPSecVPNVPN等，可以構(gòu)建多種形式的VPN；提供基本的路由能力，支持RIPBGP/路由策略及策略路由。圖4.6SecPathF5000-A5組網(wǎng)實(shí)例H3CSecPathF1000系列防火墻總共有五款產(chǎn)品主要應(yīng)用于大中型企業(yè)H3CSecPathF100系列防火墻總共有七款產(chǎn)品，主要應(yīng)用于中小型企業(yè)。這兩個(gè)系列產(chǎn)品都具有支持外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、郵件過(guò)濾、網(wǎng)頁(yè)過(guò)濾、應(yīng)用層過(guò)濾等功能。SecPathV100-SH3C公司面向中小型企業(yè)用戶開(kāi)發(fā)的新一代專(zhuān)業(yè)VPN網(wǎng)關(guān)設(shè)備。支持多種VPN業(yè)務(wù)，如L2TPVPN、GREVPN、IPSecVPN和動(dòng)態(tài)VPN等，可以構(gòu)建多種形式的VPN；采用（ApplicationSpecificPacketFilter）應(yīng)用狀態(tài)檢測(cè)技術(shù)，可對(duì)連接狀態(tài)過(guò)程和異常命令進(jìn)行檢測(cè)；提供多種智能分析和管理手段，支持郵件告警，支持多種日志，提供網(wǎng)絡(luò)管理監(jiān)控，協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理；提供基本的路由能力，支持RIPBGP路由策略及策略路由；支持豐富的QoS特性，提供流量監(jiān)管、流量整形及多種隊(duì)列調(diào)度策略。圖4.7SecPathV100-E網(wǎng)關(guān)在線部署模式SecPathSSLVPN系列網(wǎng)關(guān)是SecPath系列產(chǎn)品的新成員，是H3C公司開(kāi)發(fā)的新一代專(zhuān)業(yè)安全產(chǎn)品。SecPathSSLVPN網(wǎng)關(guān)能夠讓用戶直接使用瀏覽器訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源，無(wú)需安裝客戶端軟件，提供了高經(jīng)濟(jì)、低成本的遠(yuǎn)程移動(dòng)安全接入方式。如圖4.7所示,SecPathV100-EIPSecVPNSSLVPN功能與一體的專(zhuān)業(yè)VPN網(wǎng)關(guān)，還具有完善的防火墻功能，能夠有效的保護(hù)網(wǎng)絡(luò)安全；采用應(yīng)用狀態(tài)檢測(cè)技術(shù)，可對(duì)連接狀態(tài)過(guò)程和異常命令進(jìn)行檢測(cè)；提供多種智能分析和管理手段；提供基本的路由能力，支持路由策略及策略路由；支持豐富的QoS特性。H3CH3CSecBladeFWH3CS5800S9500E交換機(jī)以及SR6600/SR8800路由器。SecBladeFW集成防火墻、VPN、內(nèi)容過(guò)濾和NAT地址轉(zhuǎn)換等功能，提升了網(wǎng)絡(luò)設(shè)備的安全業(yè)務(wù)能力，為用戶提供全面的安全防護(hù)。能提供外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、URL過(guò)濾、應(yīng)用層過(guò)濾等功能，有效的保證網(wǎng)絡(luò)的安全。采用（ApplicationSpecificPacketFilter）應(yīng)用狀態(tài)檢測(cè)技術(shù)，實(shí)時(shí)檢測(cè)應(yīng)用層連接狀態(tài)，實(shí)現(xiàn)3-7層安全防護(hù)。提供郵件告警、攻擊日志、流日志和網(wǎng)絡(luò)管理監(jiān)控等功能，協(xié)助用戶進(jìn)行網(wǎng)絡(luò)管理。如圖4.8部署圖所示。圖4.8SecBladeFW模塊的組網(wǎng)應(yīng)用SecBladeFW降低了用戶管理難度，減少了維護(hù)成本。H3CSSLVPNH3CSSLVPN模塊主要有兩類(lèi)，一類(lèi)是基于SecPathSSLVPN模塊，主要應(yīng)用于大中型企業(yè)和ISP廠商；另一類(lèi)是基于SecBladeSSLVPN模塊，主要應(yīng)用于中小型客戶。SecPathSSLVPN模塊系列產(chǎn)品是H3C公司面向大中型企業(yè)用戶開(kāi)發(fā)的新一代專(zhuān)業(yè)安全產(chǎn)品設(shè)備。SSLVPN模塊可以和SecPath防火墻實(shí)現(xiàn)無(wú)縫融合，能夠讓用戶在最低成本情況下部署移動(dòng)用戶、遠(yuǎn)程分支和外聯(lián)網(wǎng)VPN接入，實(shí)現(xiàn)用戶網(wǎng)絡(luò)的安全連通。SecPathSSLVPN模塊可提供安全的遠(yuǎn)程訪問(wèn)服務(wù)，可以在不安裝客戶端軟件的情況下，直接使用瀏覽器安全存取企業(yè)內(nèi)部網(wǎng)絡(luò)VPN訪問(wèn)的細(xì)粒度控制，可以管理用戶訪問(wèn)的文件目錄、URL、服務(wù)器資源等；支持動(dòng)態(tài)授權(quán)功能，對(duì)遠(yuǎn)程主機(jī)的安全狀態(tài)進(jìn)行評(píng)估，限制不安全遠(yuǎn)程主機(jī)的訪問(wèn)權(quán)限，從而保證網(wǎng)絡(luò)資源的安全訪問(wèn)。具體參見(jiàn)下面4.9SecPathSSLVPN模塊部署圖。圖4.9SecPathSSLVPN模塊部署模式H3CSecBladeSSLVPN模塊應(yīng)用于S7500E交換機(jī)/SR6600路由器上，提供方便、快捷的遠(yuǎn)程安全接入。用戶無(wú)需安裝客戶端軟件，直接使用瀏覽器訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源，提供了方便、低成本的遠(yuǎn)程移動(dòng)安全接入方式。圖4.10SecBladeSSLVPN模塊的組網(wǎng)應(yīng)用SecBladeSSLVPN模塊采用業(yè)界先進(jìn)的遠(yuǎn)端安全狀態(tài)檢測(cè)技術(shù)，能限制不安全遠(yuǎn)程終端的接入；通過(guò)細(xì)粒度VPN訪問(wèn)權(quán)限控制，保證用戶對(duì)網(wǎng)絡(luò)資源的安全訪問(wèn)。SecBladeSSLVPN模塊與基礎(chǔ)網(wǎng)絡(luò)設(shè)備融合，具有即插即用、擴(kuò)展性強(qiáng)的特點(diǎn)，降低了用戶管理難度，減少了維護(hù)成本。具體應(yīng)用如圖4.9H3CASMH3CASM（Anti-VirusSecurityModule）是應(yīng)用于H3CSecPath防火墻/MSR路由器中的防病毒安全模塊，具有查殺毒能力強(qiáng)、易部署、成本低、配置管理方便等特點(diǎn)。ASM防病毒模塊可以快速有效的阻斷蠕蟲(chóng)王、沖擊波、麥托、尼姆達(dá)、震蕩波和高波等網(wǎng)絡(luò)蠕蟲(chóng)病毒的滲透，防御外部網(wǎng)絡(luò)的蠕蟲(chóng)病毒、后門(mén)木馬和垃圾郵件侵襲；采用面向?qū)ο蟮母叻€(wěn)定性設(shè)計(jì)和高應(yīng)變型智能引擎，可以識(shí)別和處理未知病毒，降低網(wǎng)絡(luò)風(fēng)險(xiǎn)；支持在線實(shí)時(shí)升級(jí)功能，能夠?qū)崟r(shí)升級(jí)病毒特征庫(kù)及病毒引擎；支持對(duì)知名協(xié)議和文件的識(shí)別、處理，并且可以定制相應(yīng)病毒防范策略。4.11所示，將配置ASM模塊的防火墻分別部署在總部和分支機(jī)構(gòu)的出口處，防止外部網(wǎng)絡(luò)對(duì)內(nèi)網(wǎng)的病毒攻擊，同時(shí)可以防止分支內(nèi)部病毒對(duì)總部網(wǎng)絡(luò)的攻擊。通過(guò)整個(gè)網(wǎng)絡(luò)的綜合防御，為企業(yè)用戶構(gòu)建一個(gè)安全、可靠的網(wǎng)絡(luò)環(huán)境。圖4.11SecBladeSSLVPN模塊的組網(wǎng)應(yīng)用H3CNSMNSM（NetworkSecurityMonitor）網(wǎng)絡(luò)安全監(jiān)控模塊，是H3C在防火墻產(chǎn)品上開(kāi)發(fā)的流量監(jiān)控軟硬件平臺(tái)。NSM單板可以在H3CSecPathF1000-AH3CSecPathF1000-S、H3CSecPathF100-A等型號(hào)的防火墻設(shè)備上使用，將流經(jīng)防火墻設(shè)備的所有流量進(jìn)行統(tǒng)計(jì)和分析，為網(wǎng)絡(luò)管理員提供網(wǎng)絡(luò)安全服務(wù)。NSM用于防火墻流量的監(jiān)控，利用防火墻在網(wǎng)絡(luò)中得天獨(dú)厚的位置，使Internet通訊的流量都會(huì)經(jīng)過(guò)防火墻設(shè)備，從而使NSM能夠獲取最為全面的流量數(shù)據(jù)，提供更加細(xì)致的網(wǎng)絡(luò)安全服務(wù)。4.12NSM模塊的組網(wǎng)應(yīng)用防火墻設(shè)備作為網(wǎng)關(guān)位置的隔離設(shè)備，所有進(jìn)出流量都要通過(guò)防火墻設(shè)備處理，通過(guò)集成于防火墻上的NSM網(wǎng)絡(luò)安全監(jiān)控模塊能方便的監(jiān)控所有進(jìn)出的流量。H3CIPSUTMIPS(IntrusionPreventionSystem，入侵預(yù)防系統(tǒng))是電腦網(wǎng)路安全設(shè)施，（AntivirusPrograms）(PacketFilter,ApplicationGateway)的補(bǔ)充。IPS是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)備，能夠即時(shí)的中斷、調(diào)整或隔離一些不正常或是具有傷害性的網(wǎng)絡(luò)資料傳輸行為。H3C產(chǎn)品型號(hào)包括從50Mbps處理性能的H3CIPS505Gbps處理性能H3CIPS5000ESOHO辦公、中小企業(yè)、到大企業(yè)和電信運(yùn)營(yíng)商的各種組網(wǎng)需求。4.13IPS的組網(wǎng)應(yīng)用H3C的入侵防御系統(tǒng)能夠阻止蠕蟲(chóng)、病毒、木馬、拒絕服務(wù)攻擊、間諜軟件、VOIP攻擊以及點(diǎn)到點(diǎn)應(yīng)用濫用。通過(guò)深達(dá)第七層的流量偵測(cè)，H3C入侵防御系統(tǒng)能夠在發(fā)生損失之前阻斷惡意流量。利用H3C提供的數(shù)字疫苗服務(wù)，入侵防御系統(tǒng)能得到及時(shí)的特征、漏洞過(guò)濾器、協(xié)議異常過(guò)濾器和統(tǒng)計(jì)異常過(guò)濾器更新從而主動(dòng)地防御最新的攻擊。此外，H3C的入侵防御系統(tǒng)是目前能夠提供微秒級(jí)時(shí)延、高達(dá)5G的吞吐能力和帶寬管理能力的最強(qiáng)大的入侵防御系統(tǒng)。H3CSecPathUTM（UnitedThreatManagement，統(tǒng)一威脅管理)采用高性能的多核、多線程安全平臺(tái)，保障全部安全功能開(kāi)啟時(shí)不降低性能，產(chǎn)品具有極高的性價(jià)比。在提供傳統(tǒng)防火墻、VPN功能基礎(chǔ)上，同時(shí)提供病毒防護(hù)、URL過(guò)濾、漏洞攻擊防護(hù)、垃圾郵件防護(hù)、應(yīng)用層流量控制和用戶行為審計(jì)等安全功能。具體部署如下圖4.144.14UTM的組網(wǎng)應(yīng)用H3C的SecPathUTM系列產(chǎn)品包括SecPathU200-ASecPathU200-MSecPathU200-S、SecPathU200-CA、SecPathU200-CM、SecPathU200-CS六類(lèi)。需要根據(jù)具體的要求部署相關(guān)的產(chǎn)品。Internet的迅速發(fā)展，對(duì)網(wǎng)絡(luò)的安全性要求越來(lái)越高，尤其是在用戶訪問(wèn)關(guān)鍵性資源和對(duì)其進(jìn)行操作時(shí)。對(duì)于用戶身份認(rèn)證和網(wǎng)絡(luò)接入控制的方法有很多，不過(guò)對(duì)我們而言不是部署的安全措施越多越好，而是在合適的位置根據(jù)合理的要求來(lái)部署安全措施。下面介紹主要的幾種安全措施。AAAAAA是Authentication，AuthorizationandAccounting（認(rèn)證、授權(quán)和計(jì)費(fèi)）的簡(jiǎn)稱(chēng)，它提供了一個(gè)用來(lái)對(duì)認(rèn)證、授權(quán)和計(jì)費(fèi)這三種安全功能進(jìn)行配置的一致性框架，實(shí)際上是對(duì)網(wǎng)絡(luò)安全的一種管理。AAA是一種管理框架，因此，它可以用多種協(xié)議來(lái)實(shí)現(xiàn)。H3C廠商的設(shè)備主要支持RADIUS和HWTACACS兩種協(xié)議。AAA安全服務(wù)的用途很廣泛，主要包括TelnetSSH802.1X驗(yàn)證，VPN接入，設(shè)備訪問(wèn)等。RADIUS協(xié)議配置是以RADIUS方案為單位進(jìn)行的。當(dāng)創(chuàng)建一個(gè)新的RADIUS方案之后，需要對(duì)屬于此方案的RADIUSIPUDP口號(hào)進(jìn)行設(shè)置，這些服務(wù)器包括認(rèn)證/授權(quán)和計(jì)費(fèi)服務(wù)器，而每種服務(wù)器又有主服務(wù)器和從服務(wù)器的區(qū)別。每個(gè)RADIUSIP地址、從服務(wù)器的IP地址、共享密鑰以及RADIUS服務(wù)器類(lèi)型等。如下圖5.1所示：在實(shí)際組網(wǎng)環(huán)境中，必須至少設(shè)置一個(gè)認(rèn)證/授權(quán)服務(wù)器和一個(gè)計(jì)費(fèi)服務(wù)器（如果不配置計(jì)費(fèi)服務(wù)器，則必須配置accountingoptional命令。同時(shí)，保證交換機(jī)上的RADIUS服務(wù)端口設(shè)置與RADIUS服務(wù)器上的端口設(shè)置保持一致。在實(shí)踐中，人們最常使用RADIUS協(xié)議來(lái)實(shí)現(xiàn)AAA5.1Telnet用戶的Radius認(rèn)證典型組網(wǎng)圖HWTACACS（HUAWEITerminalAccessControllerAccessControlSystem）是在TACACS（RFC1492）基礎(chǔ)上進(jìn)行了功能增強(qiáng)的安全協(xié)議。該協(xié)議與RADIUS協(xié)議類(lèi)似，主要是通過(guò)Client-ServerTACACS服務(wù)器通信來(lái)實(shí)現(xiàn)多種用戶的AAAPPPVPDN接入用戶及終端用戶的認(rèn)證、授權(quán)和計(jì)費(fèi)。與RADIUSHWTACACS具有更加可靠的傳輸和加密特性，更加適合于安全控制。HWTACACSRADIUS協(xié)議的主要區(qū)別如下表所示。HWTACACSRADIUSTCPHWTACACS只是對(duì)驗(yàn)證報(bào)文中的密碼字段進(jìn)行加HWTACACS的典型應(yīng)用是撥號(hào)用戶或終端用戶需要登錄到設(shè)備上進(jìn)行操作。交換機(jī)作為HWTACACS的客戶端，將用戶名和密碼發(fā)給TACACS服務(wù)器進(jìn)行驗(yàn)證，驗(yàn)證通過(guò)并得到授權(quán)之后可以登錄到交換機(jī)上進(jìn)行操作。如圖5.2所示。圖5.2HWTACACS的典型應(yīng)用組網(wǎng)圖EADEAD（EndpointAdmissionDefense，端點(diǎn)準(zhǔn)入防御）安全產(chǎn)品是一套融H3C網(wǎng)絡(luò)設(shè)備、用戶終端和第三方安全產(chǎn)品的全網(wǎng)安全體系框架，其目的是整合孤??的單點(diǎn)安全部件，加強(qiáng)網(wǎng)絡(luò)終端的主動(dòng)防御能力，控制病毒、蠕蟲(chóng)的蔓延。形成完整的網(wǎng)絡(luò)安全體系，最終為用戶提供端到端安全防護(hù)。EDA方案完全可以媲美CiscoNAC(NetworkAccesscontrol,網(wǎng)絡(luò)準(zhǔn)入控制)方案。5.3CAMS與交換機(jī)配合實(shí)現(xiàn)EAD功能特性組網(wǎng)示意圖5.3所示，EAD安全產(chǎn)品由四個(gè)功能組件組成：安全客戶端及客戶端插件接口、客戶端管理代理、安全策略服務(wù)器和CAMS安全組件。CAMS全組件的主要功能是對(duì)終端用戶的安全策略進(jìn)行配置；安全策略服務(wù)器則用于對(duì)用戶終端的染毒狀況、殺毒策略、系統(tǒng)補(bǔ)丁、軟件使用情況進(jìn)行集中管理、強(qiáng)制配置（如強(qiáng)制病毒客戶端升級(jí)、強(qiáng)制打補(bǔ)丁，確保全網(wǎng)安全策略的統(tǒng)一。同時(shí)，它們通過(guò)客戶端管理代理與安全客戶端相配合，記錄用戶的安全日志，并提供查詢及監(jiān)控功能，為網(wǎng)絡(luò)管理員提供網(wǎng)絡(luò)安全狀態(tài)的詳細(xì)信息。H3CEAD安全產(chǎn)品可以構(gòu)建分布式的、內(nèi)外結(jié)合的網(wǎng)絡(luò)安全架構(gòu)，最大限度的防止非法入侵。在EAD解決方案的框架下，用戶的認(rèn)證過(guò)程可以分為兩個(gè)步驟：用戶身份認(rèn)證和安全認(rèn)證。用戶身份認(rèn)證在CAMS平臺(tái)上進(jìn)行，通過(guò)用戶名和密碼來(lái)確定用戶是否如果安全認(rèn)證通過(guò)，則用戶的隔離狀態(tài)被解除，可以正常訪問(wèn)網(wǎng)絡(luò)資源；如果安全認(rèn)證不通過(guò)，則繼續(xù)隔離用戶，直到用戶完成相關(guān)修復(fù)操作后通過(guò)安全認(rèn)證為止。5.3802.1XIEEE802LAN/WAN委員會(huì)為解決無(wú)線局域網(wǎng)網(wǎng)絡(luò)安全問(wèn)題，提出了802.1X協(xié)議。后來(lái)，802.1X協(xié)議作為局域網(wǎng)端口的一個(gè)普通接入控制機(jī)制用在以太網(wǎng)中，主要解決以太網(wǎng)內(nèi)認(rèn)證和安全方面的問(wèn)題。例如我校中國(guó)計(jì)量學(xué)院的內(nèi)網(wǎng)接入運(yùn)用的就是802.1X接入。802.1X協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控（PortBasedNetworkAccessControl）協(xié)議。“基于端口的網(wǎng)絡(luò)接入控制”是指在局域網(wǎng)接入控制設(shè)備的端口這一級(jí)對(duì)所接入的設(shè)備進(jìn)行認(rèn)證和控制。連接在端口上的用戶設(shè)備如果能通過(guò)認(rèn)證，就可以訪問(wèn)局域網(wǎng)中的資源；如果不能通過(guò)認(rèn)證，則無(wú)法訪問(wèn)局域網(wǎng)中的資源——相當(dāng)于連接被物理斷開(kāi)。5.4802.1X接入控制組網(wǎng)示意圖5.4所示：端口Ethernet11上對(duì)用戶接入進(jìn)行認(rèn)證，以控制其訪Internet；接入控制模式要求是基于MAC地址的接入控制,即該端口下的所有接入用戶均需要單獨(dú)認(rèn)證，當(dāng)某個(gè)用戶下線時(shí)，也只有該用戶無(wú)法使用網(wǎng)絡(luò)。交換機(jī)收到客戶的訪問(wèn)請(qǐng)求后，將其交給認(rèn)證服務(wù)器，在此之前僅允許客戶端的認(rèn)證流量通過(guò)。在交換機(jī)上啟動(dòng)了對(duì)802.1X客戶端的版本驗(yàn)證功能后，交換機(jī)會(huì)對(duì)接入用戶的802.1X客戶端軟件的版本和合法性進(jìn)行驗(yàn)證，以防止使用有缺陷的老版本客戶端或者非法客戶端的用戶上網(wǎng)。802.1x提供了一個(gè)用戶身份認(rèn)證的實(shí)現(xiàn)方案，為了實(shí)現(xiàn)此方案，除了配置802.1x相關(guān)命令外，還需要在交換機(jī)上配置AAA方案，選擇使用RADIUS或本地認(rèn)證方案，以配合802.1x完成用戶身份認(rèn)證,以下是認(rèn)證過(guò)程示意圖。5.5802.1X認(rèn)證過(guò)程示意圖保護(hù)網(wǎng)絡(luò)中的設(shè)備是網(wǎng)絡(luò)安全最重要的任務(wù)之一。網(wǎng)絡(luò)設(shè)備屬于網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)層面，一旦遭到攻擊，該受損設(shè)備可能被配置成攻擊者想要它做的動(dòng)作，后果不堪設(shè)想。網(wǎng)絡(luò)設(shè)備包括路由器、交換機(jī)、防火墻集中器和入侵檢測(cè)設(shè)備。本章從設(shè)備物理安全、訪問(wèn)控制方法、遠(yuǎn)程訪問(wèn)等方面介紹保證設(shè)備安全的方法。物理安全包括判斷對(duì)設(shè)備潛在的物理威脅，以及設(shè)計(jì)方法阻止它們對(duì)網(wǎng)絡(luò)造成的影響。物理安全可以防止入侵者獲得對(duì)設(shè)備的物理訪問(wèn)，即手動(dòng)接觸。物理安全比起網(wǎng)絡(luò)安全更為重要，但往往被網(wǎng)絡(luò)管理員所忽略。盡管有各種高層次的保護(hù)措施，但物理訪問(wèn)收到威脅會(huì)危及到整個(gè)網(wǎng)絡(luò)。保證物理安全主要有以下幾個(gè)方面：冗余設(shè)備：即在正常運(yùn)行的設(shè)備外再購(gòu)置一整套同樣的設(shè)備，運(yùn)行相同的服務(wù)，而且位置最好不要跟原來(lái)設(shè)備很近，避免自然災(zāi)害的襲擊。雖然看來(lái)多此一舉，然而美國(guó)“911”事件讓那些做了此項(xiàng)物理備份的企業(yè)獲益匪淺，充分說(shuō)明了這一措施的重要意義。網(wǎng)絡(luò)的安全位置：IDC數(shù)據(jù)中心和機(jī)房盡量在安全的地方，要裝避雷針，還要能夠避免火災(zāi)和剛強(qiáng)度的電磁信號(hào)干擾。選擇安全介質(zhì)：線纜的竊聽(tīng)已經(jīng)成為一種攻擊的新型手段，同軸電纜和雙絞線比較容易搭線竊聽(tīng)，光線最難竊聽(tīng)。在關(guān)鍵線路如核心層之間要采用高可靠性的介質(zhì)，避免線路故障帶來(lái)的網(wǎng)絡(luò)故障。電力供應(yīng)：雖然數(shù)據(jù)是網(wǎng)絡(luò)的生命之源，但只有在電力驅(qū)動(dòng)他們要運(yùn)行的機(jī)器時(shí)才會(huì)流動(dòng)。采用24小時(shí)不斷電的UPS電源，另外最好有一個(gè)備份電源。任何人登錄到網(wǎng)絡(luò)設(shè)備上都能夠顯示一些重要的配置信息。一個(gè)攻擊者可以將該設(shè)備作為攻擊的中轉(zhuǎn)站。所以我們必須正確控制網(wǎng)絡(luò)設(shè)備的登錄訪問(wèn)。盡管大部分的登錄訪問(wèn)缺省都是禁止的。但是有一些例如，比如控制臺(tái)端口(Console)默認(rèn)就是允許登錄的。Console登錄是最基本的登錄方式，管理員需要用Console線物理連接到需要管理的設(shè)備上，在終端上設(shè)置好相應(yīng)的波特率、數(shù)據(jù)位、奇偶校檢位、停止位、流控等參數(shù)。這種登陸最好需要用用戶帳號(hào)來(lái)限制登錄。大多時(shí)候我們調(diào)試設(shè)備，不可能在IDC機(jī)房里實(shí)現(xiàn)，更多的時(shí)候是遠(yuǎn)程控制。目前主流的遠(yuǎn)程登錄方式有Telnet和SSH兩種。Telnet為用戶提供了在本地計(jì)算機(jī)上完成遠(yuǎn)程主機(jī)工作的能力。在終端使用者的電腦上使用Telnet程序，用它連接到服務(wù)器。終端使用者可以在Telnet程序中輸入命令，這些命令會(huì)在服務(wù)器上運(yùn)行，就像直接在服務(wù)器的控制臺(tái)上輸入一樣?？梢栽诒镜鼐湍芸刂品?wù)器。要開(kāi)始一個(gè)Telnet話，必須輸入用戶名和密碼來(lái)登錄服務(wù)器。但是Telnet登錄方式在傳輸用戶名和密碼的過(guò)程中并不對(duì)其進(jìn)行加密SSH（SecureShell，安全外殼）是一個(gè)用于在非安全網(wǎng)絡(luò)中提供安全的遠(yuǎn)程登錄以及其他安全網(wǎng)絡(luò)服務(wù)的協(xié)議。當(dāng)用戶通過(guò)非安全的網(wǎng)絡(luò)環(huán)境遠(yuǎn)程登錄到交換機(jī)時(shí)，每次發(fā)送數(shù)據(jù)前，SSH都會(huì)自動(dòng)對(duì)數(shù)據(jù)進(jìn)行加密，當(dāng)數(shù)據(jù)到達(dá)目的地時(shí)，SSH自動(dòng)對(duì)加密數(shù)據(jù)進(jìn)行解密，以此提供安全的信息保障，以保護(hù)交換機(jī)不受諸如明文密碼截取等攻擊。除此之外，SSH還提供強(qiáng)大的認(rèn)證功能，以保護(hù)不受諸如“中間人”等攻擊方式的攻擊。SSH采用客戶端——服務(wù)器模式。SSH服務(wù)器接受SSH客戶端的連接并提供認(rèn)證，SSH客戶端與SSH服務(wù)器建??SSH連接，從而實(shí)現(xiàn)通過(guò)SSH登錄到SSH服務(wù)器端。用戶名和密碼兩個(gè)參數(shù)的組合可以很好的實(shí)現(xiàn)用戶識(shí)別。要建??一個(gè)身份認(rèn)證系統(tǒng)，可以再設(shè)備本身上，最好是在RadiusHWTacacs服務(wù)器上。這個(gè)系統(tǒng)可以在很多場(chǎng)合應(yīng)用例如：Telnet或者SSH虛擬類(lèi)型終端路線、VPN用戶、802.1X終端接入等。另外密碼的設(shè)定上，盡量不要用一些大家容易猜測(cè)的密碼如666666、12345或者是公司英文名稱(chēng)。進(jìn)入系統(tǒng)視圖的密碼盡量用MD5加密，這樣非管理員用戶就不能通過(guò)相關(guān)命令來(lái)獲取該密碼。用戶帳號(hào)可以設(shè)定不同的級(jí)別，不同的帳號(hào)針對(duì)的用戶需求設(shè)定不同的命令行級(jí)別，例如：訪問(wèn)級(jí)、監(jiān)控級(jí)、系統(tǒng)級(jí)、管理級(jí)4個(gè)級(jí)別。SNMPSNMP(SimpleNetworkManagementProtocol,簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)是目前網(wǎng)絡(luò)中用得最廣泛的網(wǎng)絡(luò)管理協(xié)議。SNMP是被廣泛接受并投入使用的工業(yè)標(biāo)準(zhǔn)，用于保證管理信息在網(wǎng)絡(luò)中任意兩點(diǎn)間傳送，便于網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)上的任何節(jié)點(diǎn)檢索信息、修改信息、定位故障、完成故障診斷、進(jìn)行容量規(guī)劃和生成報(bào)告。SNMP采用輪詢機(jī)制，只提供最基本的功能集，特別適合在小型、快速和低價(jià)格的環(huán)境中使用。SNMP的實(shí)現(xiàn)基于無(wú)連接的傳輸層協(xié)議UDP此可以實(shí)現(xiàn)和眾多產(chǎn)品的無(wú)障礙連接。目前SNMP有三個(gè)版本，SNMPV1、SNMPV2C采用團(tuán)體名（CommunityName）認(rèn)證，SNMPV3采用用戶名和密碼認(rèn)證方式。大多數(shù)企業(yè)目前采用的是SNMPV2。SNMP分為NMS和Agent兩部分：NMS和Agent。NMS（NetworkManagementStation，網(wǎng)絡(luò)管理站）是運(yùn)行客戶端程序的工作站，目前常用的網(wǎng)管平臺(tái)有QuidViewSunNetManagerIBMNetViewAgent運(yùn)行在網(wǎng)絡(luò)設(shè)備上的服務(wù)器端軟件。NMSAgentGetRequest、GetNextRequestSetRequestAgentNMS的這些請(qǐng)求報(bào)文后，根據(jù)報(bào)文類(lèi)型進(jìn)行ReadWriteResponse報(bào)文，并將報(bào)文返回NMSAgent在設(shè)備發(fā)生異常情況或狀態(tài)改變時(shí)（如設(shè)備重新啟動(dòng)，也會(huì)NMSTrapNMS匯報(bào)所發(fā)生的事件。NTPNTP（NetworkTimeProtocol，網(wǎng)絡(luò)時(shí)間協(xié)議）是由RFC1305定義的時(shí)間同步協(xié)議，用來(lái)在分布式時(shí)間服務(wù)器和客戶端之間進(jìn)行時(shí)間同步。NTP使用UDP端口123進(jìn)行報(bào)文的傳輸。NTP的目標(biāo)是對(duì)網(wǎng)絡(luò)內(nèi)所有具有時(shí)鐘的設(shè)備進(jìn)行時(shí)鐘同步，使網(wǎng)絡(luò)內(nèi)所有設(shè)備的時(shí)鐘基本保持一致，從而使設(shè)備能夠提供基于統(tǒng)一時(shí)間的多種應(yīng)用。對(duì)于開(kāi)啟了日志功能的服務(wù)器，NTP協(xié)議至關(guān)重要，如果日志統(tǒng)計(jì)的事件不能通過(guò)時(shí)間反映，那么會(huì)對(duì)我們通過(guò)日志分析網(wǎng)絡(luò)系統(tǒng)帶來(lái)巨大影響。對(duì)于運(yùn)行NTP的本地系統(tǒng)，既可以接受來(lái)自其他時(shí)鐘源的同步，又可以作為時(shí)鐘源同步其他時(shí)鐘，并且可以通過(guò)交換NTP報(bào)文互相同步。對(duì)于網(wǎng)絡(luò)中的設(shè)備，如果依靠管理員手工輸入命令來(lái)修改系統(tǒng)時(shí)鐘是不可能的，這不但工作量巨大，而且也不能保證時(shí)鐘的精確性。但通過(guò)配置NTP，可以很快將網(wǎng)絡(luò)中設(shè)備的時(shí)鐘同步，同時(shí)也能保證很高的精度。目前主流的NTP模式是服務(wù)器/客戶端模式，設(shè)定一個(gè)服務(wù)器，其它均為客戶端，客戶端在跟服務(wù)器時(shí)鐘同步之前需要提交用戶帳號(hào)等信息，認(rèn)證信息通過(guò)后會(huì)跟服務(wù)器時(shí)鐘保持同步。這樣所有日志統(tǒng)計(jì)事件所產(chǎn)生的時(shí)間也會(huì)一樣。5.4.4H3C的網(wǎng)絡(luò)設(shè)備會(huì)默認(rèn)開(kāi)啟一些不安全的服務(wù)，大多數(shù)情況下我們并不需要這樣的服務(wù)，如果這種服務(wù)被黑客利用將會(huì)對(duì)我們的網(wǎng)絡(luò)系統(tǒng)造成重要影響，所以我們應(yīng)該禁用這些服務(wù)。以下列出幾種常見(jiàn)的禁用的服務(wù)。IP無(wú)類(lèi)別路由選擇服務(wù)：路由器可能會(huì)收到一些發(fā)往一個(gè)沒(méi)有網(wǎng)絡(luò)缺省路由的子網(wǎng)的數(shù)據(jù)包，如果啟用了IP無(wú)類(lèi)別服務(wù)時(shí)，會(huì)將這些數(shù)據(jù)包轉(zhuǎn)發(fā)給最有可能路由的超網(wǎng)。Finger服務(wù)：Finger協(xié)議（端口79）允許網(wǎng)絡(luò)上的用戶獲得當(dāng)前正在使用特定路由選擇設(shè)備的用戶列表，顯示的信息包括系統(tǒng)中運(yùn)行的進(jìn)程、鏈路號(hào)、連接名、閑置時(shí)間和終端位置。DHCP服務(wù)：如果系統(tǒng)沒(méi)有啟用DHCPIP地址的分配，就關(guān)閉此項(xiàng)功能，防止非法入侵用戶獲得IP地址。IP源路由：應(yīng)該在所有的路由器上關(guān)閉，包括邊界路由器。避免IP路由攻擊。BootPBootPUDP服務(wù)，可以用來(lái)給一臺(tái)無(wú)盤(pán)工作站指定地址信息，以及在很多其它情況下，在設(shè)備上加載操作系統(tǒng)。PAD服務(wù)：用在X.25網(wǎng)絡(luò)上。以提供遠(yuǎn)程站點(diǎn)間的可靠連接。PAD能給黑客提供有用的功能。假設(shè)黑客能獲得直接連接在路由器上的設(shè)備的控制權(quán)，而如果路由器在運(yùn)行PAD服務(wù)，它將接受任何PAD連接。在構(gòu)建任何大型網(wǎng)絡(luò)時(shí)，路由大概是最關(guān)鍵的要素。為了網(wǎng)絡(luò)安全的操作，在構(gòu)建網(wǎng)絡(luò)的路由基礎(chǔ)結(jié)構(gòu)時(shí)將安全牢記在心是根本。本章著眼于在構(gòu)建網(wǎng)絡(luò)路由基礎(chǔ)結(jié)構(gòu)時(shí)應(yīng)該注意的一些要素。我們將討論網(wǎng)絡(luò)路由設(shè)計(jì)時(shí)最關(guān)鍵因素。本章以靜態(tài)路由、BGP和OSPF路由協(xié)議為主。靜態(tài)路由是一種特殊的路由，它由網(wǎng)絡(luò)管理員采用手工方法在路由器中配置而成。通過(guò)靜態(tài)路由的配置，可建??一個(gè)完整的網(wǎng)絡(luò)，這種方法的問(wèn)題在于當(dāng)一個(gè)網(wǎng)絡(luò)故障發(fā)生后，靜態(tài)路由不會(huì)自動(dòng)發(fā)生改變必須有網(wǎng)絡(luò)管理員的介入。因此此方法對(duì)保證網(wǎng)絡(luò)不間斷運(yùn)行存在一定的局限性，我們推薦在下面兩種情況下使用靜態(tài)路由。一種是在穩(wěn)固的網(wǎng)絡(luò)中使用，減少路由選擇問(wèn)題和路由選擇數(shù)據(jù)流的過(guò)載；另一種是在構(gòu)建非常大型的網(wǎng)絡(luò)，各大區(qū)域通過(guò)1-2條主鏈路連接，靜態(tài)路由的隔離特征能夠有助于減少整個(gè)網(wǎng)絡(luò)中路由選擇協(xié)議的開(kāi)銷(xiāo)，限制路由選擇發(fā)生改變和出現(xiàn)問(wèn)題的范圍。H3C系列路由器支持多路由模式，即允許配置到同一目標(biāo)IP地址/目標(biāo)IP地址掩碼，并且優(yōu)先級(jí)也相同的路由。我們把它們看成同一條路由，只不過(guò)有多個(gè)下一跳地址。這樣到同一目的地存在這不同的路徑，而且它們的優(yōu)先級(jí)也相同，在沒(méi)有比這優(yōu)先級(jí)更高的路由時(shí)，該路由被IP層采納。在往該目的地發(fā)包時(shí)，由IP依次通過(guò)各條路徑來(lái)發(fā)送，自動(dòng)實(shí)現(xiàn)網(wǎng)絡(luò)的負(fù)載分擔(dān)。H3C系列路由器支持路由備份，當(dāng)各個(gè)備份線路發(fā)生變化時(shí)自動(dòng)實(shí)現(xiàn)路由之間的切換，提高用戶網(wǎng)絡(luò)的可靠性。為了實(shí)現(xiàn)路由的備份，用戶可根據(jù)實(shí)際情況配置到同一目的地的多條路由。設(shè)置通過(guò)主路徑的路由優(yōu)先級(jí)最高，，其余的備份路徑依次遞減，這樣正常情況下路由器采用主路徑發(fā)送數(shù)據(jù)，當(dāng)線路發(fā)生故障時(shí)該路由自動(dòng)隱藏，路由器會(huì)選擇余下的優(yōu)先級(jí)最高的備份路由作為數(shù)據(jù)發(fā)送的途徑。這樣也就實(shí)現(xiàn)了主口到備份口的切換，當(dāng)主路徑恢復(fù)正常時(shí)，路由器恢復(fù)相應(yīng)的路由，并重新選擇路由。由于該路由的優(yōu)先級(jí)最高，路由器選擇主口路由來(lái)發(fā)送數(shù)據(jù)，上述過(guò)程是備份口到主口的自動(dòng)切換。通常的做法網(wǎng)絡(luò)中部署了OSPFBGP路由協(xié)議，在關(guān)鍵路徑上部署一條靜態(tài)路由，不過(guò)要將其優(yōu)先級(jí)低于主路由協(xié)議，這樣可以在主路由協(xié)議失效時(shí)起到備份作用。OSPFOSPF(OpenShortestPathFirst，開(kāi)放式最短路徑優(yōu)先)是一個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議，用于在單一自治系統(tǒng)內(nèi)決策路由。目前使用的是版本2（RFC2328。具有適應(yīng)范圍廣泛，收斂速度快，無(wú)自環(huán)、以組播方式發(fā)送報(bào)文等特點(diǎn)。支持區(qū)域劃分、路由分級(jí)、驗(yàn)證等特性。OSPF路由協(xié)議是目前部署最為廣泛的一種路由協(xié)議，協(xié)議的安全性對(duì)網(wǎng)絡(luò)有著重要意義。路由器通過(guò)對(duì)路由協(xié)議的身份認(rèn)證來(lái)防范外來(lái)攻擊，以及防范不實(shí)際協(xié)議包對(duì)路由的錯(cuò)誤誘導(dǎo)，從而保證網(wǎng)絡(luò)數(shù)據(jù)不丟失或被竊取。下表1協(xié)議包中所設(shè)認(rèn)證類(lèi)型，空認(rèn)證（協(xié)議包頭不包含任何認(rèn)證信息）是路由配置中缺省的配置。MD5密碼認(rèn)證和明文口令認(rèn)證被用于對(duì)OSPF路由協(xié)議包的認(rèn)證，MD5密碼認(rèn)證比明文口令認(rèn)證更為安全，因?yàn)镸D5認(rèn)證的口令在所傳送的協(xié)議包中是不可見(jiàn)的，而明文認(rèn)證的口令在所傳送的協(xié)議包中是可見(jiàn)的。僅當(dāng)鄰居不支持MD5認(rèn)證時(shí)，明文認(rèn)證才被選用。類(lèi)型描述空認(rèn)證（不認(rèn)證明文口令認(rèn)證MD5密碼認(rèn)證1分層路由設(shè)計(jì)最初是為了解決路由的可擴(kuò)展性問(wèn)題。但人們發(fā)現(xiàn)層次化路由不僅減小了路由表的大小,減少了網(wǎng)絡(luò)流量,保證了網(wǎng)絡(luò)的快速收斂,而且改善了安全性。6.1OSPF分層視圖OSPF是一個(gè)分為骨干區(qū)域和非骨干區(qū)域的兩層路由協(xié)議,各非骨干區(qū)域通ABR與骨干區(qū)域相連，如圖6.1所示。非骨干區(qū)域內(nèi)部路由信息通過(guò)ABR匯總進(jìn)入骨干區(qū)域,通告給其他區(qū)域。在通告時(shí)可以制定通告的策略通過(guò)不通告或只通告匯聚的路由信息等方式隱藏要被通告區(qū)域的某些重要信息,而且不同的LSA通告范圍不同,本區(qū)域內(nèi)的拓?fù)浣Y(jié)構(gòu)對(duì)其他區(qū)域來(lái)說(shuō)是透明的,避免了拓?fù)涞恼w暴露。因此一個(gè)區(qū)域受到攻擊,一般并不會(huì)導(dǎo)致其他區(qū)域也遭受攻擊。層次化的路由使路由選擇分為兩層:域內(nèi)路由選擇和域間路由選擇。域內(nèi)路由的優(yōu)先級(jí)比域間路由的優(yōu)先級(jí)要高,協(xié)議總是優(yōu)先考慮本區(qū)域內(nèi)部的路徑。所以區(qū)域內(nèi)的路由選擇不受路由選擇的不穩(wěn)定和其它區(qū)域的錯(cuò)誤配置影響。LSA是通過(guò)可靠的泛洪進(jìn)行通告的,確保了鏈路狀態(tài)數(shù)據(jù)庫(kù)在本區(qū)域的一致性,從而保證了計(jì)算出路由的一致性。由于這個(gè)特性,使得OSPF具有一定的自衛(wèi)性。當(dāng)某一節(jié)點(diǎn)試圖發(fā)送偽造的或是修改的LSA時(shí),只要有一條其他的可用路由,使該LSA所聲明的通告路由器收到該LSA,若該LSA描述的信息與自身信息不一致時(shí),該路由器會(huì)生成一個(gè)新的LSA實(shí)例,將其LSA的序號(hào)超過(guò)所接收到的LSA序號(hào),并泛洪出去,從而使偽造的LSA被丟棄,實(shí)現(xiàn)一定程度的自衛(wèi)。沖突檢測(cè)系統(tǒng)很容易發(fā)現(xiàn)此種現(xiàn)象,對(duì)于設(shè)計(jì)相關(guān)檢測(cè)系統(tǒng)也很有意義。如果路由器沒(méi)有正確配置OSPF協(xié)議，導(dǎo)致大量前綴被重分發(fā)，則可能生成大量的LSA，這將耗盡本地的CPU和內(nèi)存資源。啟用LSDB功能后，路由器將記錄其收到的而且存在LSDBLSA數(shù)量。如果這個(gè)數(shù)量超過(guò)一定的限制，就把一條錯(cuò)誤信息寫(xiě)入日志，并在它超過(guò)規(guī)定值時(shí)發(fā)出警告通知并采取相應(yīng)的措施。DR\BDRID在諸如以太網(wǎng)等多路訪問(wèn)廣播網(wǎng)絡(luò)中，OSPF通常要選舉DRBDR，這個(gè)選舉過(guò)程類(lèi)似于生成樹(shù)STP協(xié)議中選舉跟網(wǎng)橋的過(guò)程。首先看優(yōu)先級(jí)，優(yōu)先級(jí)高的成為DR，次之為BDR；若是優(yōu)先級(jí)一樣再看路由器ID標(biāo)識(shí)，標(biāo)識(shí)高的DRBDR。廣播網(wǎng)絡(luò)中，所有的路由器只跟DR??鄰居關(guān)系，如DR出現(xiàn)故障，則有BDR替代。為了保證網(wǎng)絡(luò)穩(wěn)定，我們應(yīng)該將性能較好的路由器或者處于SPOKE-HUB中心節(jié)點(diǎn)的設(shè)備指定為優(yōu)先級(jí)最高。路由器IDOSPF中非常重要，而且是唯一的。默認(rèn)情況下啊，在OSPF動(dòng)時(shí)，將路由器ID設(shè)為最大的活動(dòng)物理接口的IP地址；如果有環(huán)回接口，IP地址總是優(yōu)于物理接口地址；如果配置了OSPF中專(zhuān)門(mén)用來(lái)標(biāo)識(shí)的命令router-idip-address推薦采用最后一種做法。BGPBGP（BorderGatewayProtocol，邊界網(wǎng)關(guān)協(xié)議）是用來(lái)連接Internet上的獨(dú)??系統(tǒng)的路由選擇協(xié)議。它是Internet工程任務(wù)組制定的一個(gè)加強(qiáng)的、完善的、可伸縮的協(xié)議。BGP4CIDR尋址方案，該方案增加了Internet上的可用IP地址數(shù)量。BGP是為取代最初的外部網(wǎng)關(guān)協(xié)議EGP設(shè)計(jì)的。主要運(yùn)用于運(yùn)營(yíng)商和大型企業(yè)之間。域間路由協(xié)議BGP的安全性直接影響著互聯(lián)網(wǎng)路由的可用性，接下來(lái)介紹幾種保證BGP協(xié)議安全性的方法。BGP在每條BGP鏈接建??時(shí),對(duì)等體之間交換一個(gè)會(huì)晤密鑰并對(duì)每個(gè)BGP文進(jìn)行加密,這樣能為所有類(lèi)型的BGP報(bào)文提供機(jī)密性,也為一些在相鄰對(duì)等體之間傳遞的如?；睢⑼ǜ鎴?bào)文以及一些由更新報(bào)文攜帶的隨AS變化而更動(dòng)的路徑屬性如下一條屬性、本地優(yōu)先級(jí)屬性等提供可靠性和完整性保證。除了采用對(duì)等體認(rèn)證外，還可以通過(guò)增加報(bào)文序列號(hào)增加安全性。在每條報(bào)文頭里面增加一個(gè)序列號(hào),在BGP連接剛建??時(shí)被初始化為零,然后隨每一個(gè)報(bào)文的發(fā)出遞增。當(dāng)檢測(cè)到一個(gè)跳躍的或重發(fā)的序列號(hào)時(shí),就用一個(gè)Notification報(bào)文終止BGP鏈路。BGP在實(shí)際的網(wǎng)絡(luò)中，有一種非常普遍的現(xiàn)象，即一個(gè)路由器會(huì)有多個(gè)屬于一類(lèi)的BGPPeer。這里的“屬于一類(lèi)”是指BGP的策略相同或類(lèi)似，當(dāng)Peer比較多時(shí)，BGP的配置會(huì)變得臃腫，同時(shí)，路由器的負(fù)載也會(huì)加重，因?yàn)橐坏┯新酚傻母拢酚善餍枰槍?duì)每個(gè)Peer做一次策略計(jì)算（雖然策略都相同。另外，應(yīng)用PeerGroup還有一個(gè)好處，就是降低了對(duì)路由器設(shè)備的資源消耗，因?yàn)槁酚?/p>