逻辑网络设计82课件

NetworkDesign

第四章逻辑网络设计leeyi@第一章概述第二章用户需求分析第三章现有网络分析第四章逻辑网络设计第五章网络设备选择第六章WAN接入设计第七章网络介质设计第八章网络设计案例4.1逻辑设计概述4.2物理层的考虑4.3网络设备的考虑4.4网络拓扑结构考虑4.5网络管理的考虑4.6TCP/IP寻址的考虑4.7网络安全的考虑4.8防火墙的考虑4.9冗余设计4.10编写逻辑设计档案4.2物理层的考虑用需求和流量说明书作为指导开始设计物理层前，阅读对需求和流量进行总结的建议，重点放在那些通过特别选择的物理层技术能够部分或全部实现的需求上。增长与可升级性：将来对网络的添加、升级，要考虑安装或重配置的难易程度。响应时间、带宽和数据传输率：用户需要多大的带宽？广域网连接是否超负荷？主干网或高性能工作组比广域网应用有更多的需求吗？可靠性、可恢复性：必须从下至上实施。物理传输技术能持续可用吗？信息蜂拥时，无线连接也能工作吗？周围环境有电磁干扰吗？网络安全：物理层的网络安全是未经授权而非法访问网络介质，主要防范利用监听线缆来监视或截获传输信息。铜缆线、无线很容易被监听或截获，而光缆最安全。远程接入：必须明确用户需要的远程接入方式。通常有拨号接入、无线接入或卫星接入，用户是在同一城市还是在世界各地？节约成本：用现存的线缆网卡可行吗？需求向物理介质映射特点对物理层的需求了解清楚后，可以进行物理介质和网卡的选择了物理介质：物理介质对照表要素双绞线光纤细缆粗缆无线距离较短较长适中适中适中(视距传播)抗干扰性低（UTP）适中（STP）非常高适中低安装难易简单专业人员简单专业人员微波专业安装人员费用低高较低较低高拓扑结构总线、星型、环型星型总线总线-MAC协议以太网、令牌环、CDDIFDDI、ATM、SONET、以太网以太网、令牌总线以太网、令牌总线以太网、令牌网、FDDI数据速率100Mbps>100Mbps100Mbps10Mbps微波：5.7Mbps；扩频：1-2Mbps物理介质的选择依赖于MAC协议的选定：物理层规范表类型信令技术物理介质速率Mbps最大分段距离(m)最大分段数最大中继器数最大中继器间距离(km)802.310BASE5粗缆基带50Ω粗同轴电缆1050010042.4802.310BASE2细缆基带50Ω细同轴电缆102003040.9802.310BASET双绞线基带非屏蔽双绞线10100---802.310BROAD36CATV缆宽带75ΩCATV同轴电缆103600--3.6FDDI调幅光缆10010002802.5屏蔽令牌环曼码光缆16300120.2802.5非屏蔽令牌环曼码光缆1410020.124.3网络设备的考虑 逻辑网络设计必须指定连接LAN各端或者跨区域的多个LAN连接的设备类型。这些设备都要联合工作。本节主要说明这些设备如何协同工作的。学习目标弄懂路由器与交换机之间的区别；叙述路由器与交换机在隔离网络方面是如何协同工作的；说明物理网络组件逻辑网络组件之间的区别。知识重点网络可用交换机和（或）路由器进行分割。用交换机和路由器设计网络 网络设计常常组合使用这两种设备，建立高性能、可升级性网络。用交换机和路由器划分子网：交换机工作在第二层，划分子网的目的是提供附加带宽；路由器工作在第三层，划分子网的目的是限制广播通信，并提供网络安全和控制单个广播域内的冗余。示例环境： 以工作组环境为例。所谓工作组，就是共享计算机资源的用户集合。工作组中计算机数量可多可少，计算机之间物理位置可近可远，但组成成员的计算机固定。 下图就是一个工作组环境。通常工作组是先于网络设备安装的。图中只有两个集线器，实际工作组可能包含10-20个集线器。 在这个例子中，网管想利用服务器可用的最大带宽，将PC机分成更小的冲突域来共享10Mb/s的接入带宽，只有有限的特权用户才需要10Mb/s的带宽用于运行程序。要实现这一目标，网管就要判断是安装交换机还是路由器，以消除日益增长的服务器瓶颈。示例环境：典型的集线器工作组工作组1工作组2集线器集线器服务器服务器交换机方案： 在交换环境中，一个广播域被分成4个独立的10Mbps的冲突域，给服务器分配了10Mbps的接入，消除了这些接点之间的访问竞争。特权用户可以直接接入交换机. 本地服务器也提供高速接口，与交换机高速接口想匹配，消除了可能出现的瓶颈。例如，以太网中5个10Mbps的交换机口以每秒4000帧(FPS)的速率向服务器发送64字节（8位）的数据帧，服务器的端的总负荷是20000FPS。这远远超过了标准以太网对64字节（8位）数据帧的14880FPS的限制，若服务器安装100Mbps快速以太网卡，这个问题随之消除。因为此网卡对64字节数据帧能达到148800FPS的速率。交换机实现方案工作组1工作组2集线器集线器交换机服务器服务器如果工作组需要访问位于数据中心堆叠式的主干设备，就需要在交换机上添加另一个高速下行链路模块。由于高速技术的影响主要体现在主干网和数据中心，工作组交换机应当应用这一技术为网络的增长提供平稳的升级方案。优点：价格比路由器便宜；运行速度快；方案简单，维护管理方便。随着网络设备数量增加，减少复杂设备、增加简单设备带来的管理、维护方便的优点更加突出。部门工作组：由多个小型工作组构成的大型工作组。如下图示。 下图中，由小型交换机组网部门工作组，分为3个独立的冲突域。如果服务器需要更大的带宽，连接部门服务器的集线器可以换成低成本的10Mb/s的交换机。 用模块化的部门交换机组件可以将各自分割独立的数个工作组组成大型工作组。这些交换机组件提供包括以太网、FDDI、ATM的高速接口。利用部门交换机和共享高速接口，所有的用户都可以访问部门服务器。 高端工作组交换机可以提供单个工作组交换机功能、先进的交换技术、宽裕的性能指标、模块化的多种功能和升级能力。 总之，部门级交换机是管理一层楼或整个建筑物范围的工作组设备。部门工作组工作组1工作组2部门服务器集线器集线器集线器服务器服务器服务器交换机物理分割： 为消除交换机组网的广播流过大的问题，可以用路由器将网络进行物理划分。使原来共处一个广播域的网络划分成几个广播域。下图用路由器作为部门工作组的顶级网络设备，下面连三个交换机，服务器分散到各自的工作组内，这样就使得共处一个广播域的各个工作组分成了三个独立的工作组。从而消除了广播风暴对整个网络的负面影响。 这种物理分割的效果在于，大量的信息流只在工作组内交流，而经过路由器交换转发的组间信息流大量减少，路由器的低吞吐量就显得不明显了。 物理分割工作组1工作组3路由器交换机服务器交换机服务器交换机服务器工作组2逻辑分割： 划分子网更为灵活的方法是用交换机构造相互独立的物理工作组，然后用VLAN技术在个子网中灵活地选择任意的计算机组成逻辑子网。减少了因为挪动节点到另外一个子网带来的劳动成本。 如果节点要进行广播或多点传输，信息只传输到位于源站点的VLAN端口。每个交换机端口都配置在VLAN1和VLAN2中。VLAN之间的信息由路由器传播。 这样的组网既保证安全，又便于网络管理。智能交换机终端交换机服务器路由器终端交换机工作组1工作组2用路由器和VLAN进行逻辑分割服务器主干网设备的实现：是否选择堆叠式设备？主干网核心设备的选择，影响整个网络工程的成本和性能。堆叠式的主干设备可能是一台交换机，也可能是一台路由器。堆叠式的主干设备的优点在于，集中复杂性，提高了整体性能，减少成本，支持服务器组模型，管理集中。缺点在于，成为性能瓶颈，一旦崩溃，整个网络瘫痪。选择交换机还是路由器？如果网干的功能仅仅是性能要求，就选择一台交换机。因为交换机以线缆速度进行数据包传输并且价格便宜；若性能与安全并举，就选择路由器。路由器虽然贵，但得到了控制手段，保障了安全，还留有冗余。限制了广播流量。平面广域网拓扑结构 一般由连接成环路的几个站点构成。每个站点都有一台广域网路由器，通过点到点链路与其他站点相连（下左图）。这种结构的特点是成本低。 这种结构在环路相反方向的路由器之间要经历许多跳，延迟和出错率增高。如果流量分析显示环路拓扑中相反方向的流量加大了，就应该选择层次化拓扑结构了（下右图）。这种结构的好处是可扩展性好，延迟低，可用性高。

公司总部销售公司市区老厂郊区工厂平面环路拓扑层次化拓扑公司总部销售公司郊区工厂市区老厂平面局域网拓扑结构 在局域网中使用层次化结构，我们将PC机和服务器连接到交换机上，可以把路由器添加到局域网中，将整个局域网分割成多个广播域，减少广播辐射的影响。 同时，层次化结构中，高端交换机为高流量提供最大的带宽，低端交换机提供廉价的接入。网状拓扑结构 可靠性高是网状结构的显著优点，但成本高昂、维护难度大，升级困难的缺点也很郁闷。网状结构对于广播路由选择更新或路由通告的邻接路由器有限制。随着邻接路由器的增加，更新进程占用的带宽和CPU资源也随之增加。 层次化结构的设计从物理拓扑上就限制了邻接路由器的数量，软件上就不需要限制。并且，网络崩溃而重建路由的代价小得多。路由器路由器路由器路由器部分网状结构路由器路由器路由器路由器全网状结构中国科大校园网主干示意图层次化网络设计原则 原则一：控制网络层次的加大，一般有三个层次就够了，否则延迟加大。常见的设计错误，是在接入层增加一条链路，或增加一个后门。增加一条链路的结果是使网络增加了一个第4层，它使延迟增加；所谓后门是指同一层设备之间的一个连接，它引起不可预知的路由选择和交换。 尽管有一些合理的理由需要增加一条链接或后门，但应尽量避免。 原则二：首先设计接入层，然后是分布层，最后才是核心层。从接入层开始，可以精确地为分布层和核心层进行容量规划。增加一条链路分布层设备接入层交换机服务器接入层交换机接入层交换机服务器增加一个后门引入生成树协议(STP)通过阻断冗余链路来消除桥接网络中可能存在的路径回环当前活动路径发生故障时激活冗余备份链路恢复网络连通性ROOTLANALANCLANELANBLAND生成树协议的基本原理基本思想：在交换机之间传递特殊的消息（配置消息），包含足够的信息做以下工作：从网络中的所有交换机中，选出一个作为根网桥（Root）计算本交换机到根网桥的最短路径对每个LAN，选出离根桥最近的那个交换机作为指定网桥，负责所在LAN上的数据转发交换机选择一个根端口，该端口给出的路径是此网桥到根桥的最佳路径选择除根端口之外的包含于生成树上的端口（指定端口）桥协议数据单元的内容桥协议数据单元（BPDU）也被称作配置消息主要内容包括根网桥的Identifier（RootID）从指定网桥到根网桥的最小路径开销（RootPathCost）指定网桥的Identifier指定网桥的指定端口的Identifier即（RootID，RootPathCost，DesignatedBridgeID，DesignatedPortID）桥协议数据单元格式DMALLCHeaderSMAL/TPayloadDMA:目的MAC地址配置消息的目的地址是一个固定的桥的组播地址（0x0180c2000000）SMA:源MAC地址即发送该配置消息的桥MAC地址 L/T:帧长LLCHeader:配置消息固定的链路头Payload:BPDU数据值域占用字节协议ID2协议版本BPDU类型标志位根桥ID根路径开销指定桥ID指定端口IDMessageAge11184822MaxAgeHelloTimeForwardDelay222桥协议数据单元的处理将各个端口收到的配置消息和自己的配置消息做比较，得出优先级最高的配置消息更新本身的配置消息，主要工作有：选择根网桥RootID：最优配置消息的RootID计算到根桥的最短路径开销RootPathCost：如果自己是根桥，则最短路径开销为0，否则为它所收到的最优配置消息的RootPathCost与收到该配置消息的端口开销之和选择根端口RootPort：如果自己是根桥，则根端口为0，否则根端口为收到最优配置消息的那个端口选择指定端口：包括在生成树上处于转发状态的其它端口从指定端口发送新的配置消息如何确定最优的桥协议数据单元配置消息的优先级比较原则：假定有两条配置消息C1和C2，则：如果C1的RootID小于C2的RootID，则C1优于C2如果C1和C2的RootID相同，但C1的RootPathCost小于C2，则C1优于C2如果C1和C2的RootID和RootPathCost相同，但C1的TransmitID小于C2，则C1优于C2如果C1和C2的RootID、RootPathCost和TransimitId相同，但C1的PortID小于C2，则C1优于C2生成树协议的不足端口从阻塞状态进入转发状态必须经历两倍的ForwardDelay时间，所以网络拓扑结构改变之后需要至少两倍的ForwardDelay时间，才能恢复连通性如果网络中的拓扑结构变化频繁，网络会频繁的失去连通性，这样用户就会无法忍受。快速生成树协议快速生成树协议是从生成树协议发展而来，实现的基本思想一致；快速生成树具备生成树的所有功能；快速生成树改进目的就是当网络拓扑结构发生变化时，尽可能快的恢复网络的连通性。快速生成树的改进一如果旧的根端口已经进入阻塞状态，而且与新根端口连接的对端交换机的指定端口处于Forwarding状态时，则在新拓扑结构中的根端口可以立刻进入转发状态，。TOROOTLANBLANALANAFF指定端口指定端口旧根端口阻塞端口FTOROOTLANBLANALANAFF指定端口指定端口新根端口阻塞端口F快速生成树的改进二指定端口可以通过与相连的网桥进行一次握手，快速进入转发状态。LANBLANAF指定端口根端口握手请求握手响应1234两点注意:握手必须在点对点链路的条件下进行一次握手之后，响应握手的网桥的非边缘指定端口将变为blocking状态，则需要继续向自己的邻接网桥发起握手LANALANBLANCLANAF指定端口指定端口指定端口FF非点到点链路握手的扩散快速生成树的改进三网络边缘的端口，即直接与终端相连，而不是和其它网桥相连的端口可以直接进入转发状态，不需要任何延时。LANBLANCLANA根端口边缘端口LANDFTOROOT阻塞端口快速生成树的性能第一种改进的效果：发现拓扑改变到恢复连通性的时间可达数毫秒，并且无需传递配置消息。第二种改进的效果：网络连通性可以在交换两个配置消息的时间内恢复，即握手的延时；最坏的情况下，握手从网络的一边开始，扩散到网络的另一边缘的网桥，网络连通性才能恢复。比如当网络直径为7的时候，要经过6次握手。第三种改进的效果：边缘端口的状态变化不影响网络连通性，也不会造成回路，所以进入转发状态无需延时。快速生成树也是在整个交换网络应用单生成树实例,不能解决由于网络规模增大带来的性能降低问题4.5网络管理的考虑 网络管理就是对网络进行维护、控制、财务核算以及排除网络及其设备故障。有很多用于远程管理网络组件的软件和硬件解决方案，它们大多建立在SNMP协议之上。远程网络管理（RMON）具有附加功能和更高的效率。网络管理目的：减少停机时间，改进响应时间，提高设备利用率减少运行费用，提高效率减少/消灭网络瓶颈适应性技术容易使用安全学习目标：掌握SNMP协议的主要优缺点；RMON是如何解决这些缺点的。关键知识：网络管理主要是对网络进行超前管理。SNMP的局限性 SNMP(简单网络管理协议)是一种广为执行的网络协议，它使用嵌入到网络设施中的代理软件来收集网络通信信息和有关网络设备的统计数据。代理不断地收集统计数据，如所收到的字节数，并把这些数据记录到一个管理信息库(MIB)中。网管员通过向代理的MIB发出查询信号可以得到这些信息，这个过程叫轮询(polling)。

虽然MIB计数器将统计数据的总和记录下来了，但它无法对日常通信量进行历史分析。为了能全面地查看一天的通信流量和变化率，管理人员必须不断地轮询SNMP代理，一天中每分钟就轮询一次。这样，网管员可以使用SNMP来评价网络的运行状况，并揭示出通信的趋势，如哪一个网段接近通信负载的最大能力或不必要地正使通信出错。先进的SNMP网管站甚至可以进行编程来自动关闭端口或采取其它矫正措施来处理历史的网络数据。传统SNMP模型在大型LAN的布局有如下的局限性：它没有伸缩性。在大型的网络中，轮询会产生巨大的网络管理通信量，因而导致通信拥挤情况的发生。它将收集数据的负担加在网络管理控制台上。管理站也许能轻松地收集8个网段的信息，当它们监控48个网段时，恐怕就应付不下来。管理员与客户间通信网管工作站受控服务器受控工作站流量监视器路由器代理软件代理软件代理软件管理软件链路A链路B链路A：运行中链路B：已中断发送链路状态远程监控（RMON） SNMP标准基本功能集最重要增强功能是RMON。与SNMP类似，RMON是基于客户机/服务器结构的。见下图示。RMON代理的功能类似于服务器，通过探测来维护历史统计数据，亦称为探测器。代理的这种附加功能免除了NMS定期发送调查测试来建立网络运行趋势历史记录的需要。 RMON代理可作为单机设备（带有专用CPU和内存）配置。也可嵌入集线器、交换机或者路由器中。例如，3Com系统的LAN交换机配线就在每个交换机中安装有相应软件来跟踪流经的流量，并在MIB中记录，通过图形用户界面（GUI）向管理员提供信息。远程管理与探测器通信NMSRMON客户机管理程序轮询，发送历史记录代理响应(历史记录表)RMONMIB计数器本地历史网络设备RMON服务器分析工具 NMS作为客户机运行，它组织和分析由探测器诊断到的网络故障数据。NMS和分布式RMON探测器之间的通信采用SNMP进行，它提供了远程网络分析的基础。 RMON统计数据存档能力是的管理员可以为网络运行开发基线模型。基线模型确立并配置好后，管理员可以确定网段正常运行状态的阈值，用于监视网段流量。当流量超过该阈值时，探测器就会给NMS发出警告。 NMS接到警告后，激活高级RMON性能来诊断该故障。例如，RMON内的HostTopN组可以确定是哪个主机在处理网段内的大部分对话，与谁进行对话，对话人是在本网段内还是在Intranet内。利用这些信息，管理员可用主机组的某个指定的主机来响应这个警告。 当然，RMON中数据包截获组和过滤器用探测器将数据包截获，并利用协议分析仪来辅助解决这种异常情况。RMON性能：与传统的SNMP相比，RMON是较高级的Intranet管理工具。其特点表现为：RMON极大地降低了网络管理的流量。由于WAN通道带宽比LAN链路带宽小得多，网管应充分利用RMON探测器实施网管，而不是利用SNMP进行调查测试。以将宝贵的WAN带宽留给用户传输数据。RMON提供有关整个网络的信息，例如所有网络设备、服务器、应用程序和所有用户。RMONMIB：Internet工程特别小组(IETF)于1991年11月公布了RMONMIB来解决SNMP在日益扩大的分布式网络中所面临的局限性。实现了对异构环境进行一致的远程管理，它为通过端口远程监视网段提供了合适的解决方案。RMON是对SNMP标准的扩展，定义了标准功能以及在基于SNMP管理站和远程监控者之间的接口，主要实现对一个网段乃至整个网络的数据流量的监视功能，目前已成为成功的网络管理标准之一。RMONMIB特点可以记录某些网络事件，即使在网络管理站没有与监控设备主动进行联接（脱机）的情况下，也同样可以完成记录。可以用于记录网络性能数据和故障历史，可以在任何时候访问故障历史数据以有利于进行有效的故障诊断。使用这种方法减少了管理者同代理间的通信流量，使简单而有力地管理大型互联网络成为可能。RMON的一个重要的优点还在于它与现存的SNMP框架相兼容，不需对该协议进行任何修改。RMONMIB如何收集数据：一种是通过专用的RMON探测仪（Probe），网管站直接从探测仪获取管理信息并控制网络资源，这种方式可以获取RMONMIB的全部信息；另一种方法是将RMON代理直接植入网络设备（路由器、交换机、Hub等）使它们成为带RMONProbe功能的网络设施，网管站用SNMP的基本命令与其交换数据信息，收集网络管理信息，但这种方式受设备资源限制，一般不能获取RMONMIB的所有数据，大多数只收集四个组的信息。RMONMIB功能组 RMON提供的信息可以进行较SNMPMIB更为全面的网络管理，标准的RMONMIB功能可以划分为十个组：统计累计的局域网通信和故障统计数据；历史进行趋势分析的区间抽样统计数据；报警确定阀值；主机由介质访问控制地址(MAC)组成的统计数据；HostTopN按MAC地址排序的统计数据；矩阵所追踪的两个设备之间的对话；事件对报警信号所引起的操作进行控制的机制；过滤器数据包选择机制；包捕获数据包收集和上载机制；令牌环针对令牌环设备的特殊参数，包括环站、环站次序、环站配置、源路由统计数据。RMON2MIB 在RMON基础上产生的RMON2标准能将网管员对网络的监控层次提高到网络协议栈的应用层。因而除了能监控网络通信与容量外，RMON2还提供有关各应用所使用的网络带宽量的信息，这也是在客户机/服务器环境中进行故障排除的重要因素。 RMON在网络中查找物理故障，RMON2进行的则是更高层次的观察，它监控实际的网络使用模式。RMON探测器观察的是由一个路由器流向另一个路由器的数据包，而RNOM2则深入到内部，它观察的是哪一个服务器发送数据包，哪一个用户预定要接受这一数据包，这一数据包表示何种应用。网管员能够使用这种信息，按照应用带宽和响应时间要求来区分用户，就像过去他们使用网络地址生成工作组一样。 RMONII没有取代RMON，而是它的补充技术。RMONII在RMON标准基础上提供一种新层次的诊断和监控功能。事实上，RMONII能够监控执行RMON标准的设备所发出的意外事件报警信号。RMON与RMON2的网络管理着眼点网络管理问题相关OSI层管理标准物理故障与利用介质访问控制层(MAC)RMON局域网网段数据链路层RMON网络互连网络层RMON2应用程序的使用应用层RMON2RMON和RMON2所支持的协议层应用层表示层会话层运输层网络层数据链路层物理层MonitoredByRMON2RMONOSIModel用RMON/RMON2监控LAN流量确定关键网段：要想用RMON/RMON2对LAN进行交互式管理，设计者必须首先确定哪个网段对网络的运行起关键作用。一般来说，主干网、重要工作组、交换机到交换机链路、服务器所在的网段等都是重要的关键网段。确定关键位置：若决定这些关键网段全部采用RMON/RMON2设备进行管理，应当安装在最关键的位置。制定管理方案：后制定一个方案，保证RMON/RMON2所接收的统计数据和通信信息来自网络中的合适位置（即网卡、网络设备、单机探测器等）。客户应用程序可运行在专用管理工作站、MSWindows工作站和网站上。对收集的数据进行解释，然后发给网络管理组。 网管可以监控每个WAN链路、交换机端口和VLAN。监视交换环境 在交换环境中，数据包按要求只传向指定的端口。许多数据包都会经过探测器。网管主要用下列技术之一来提供RMON管理：在每个交换端口上配置一定量的RMON组；应用统计采样技术；使用滚动分析端口可以全部覆盖选择的端口。用RMON/RMON2监控WAN流量 除了简单的通信故障排除外，网管希望在WAN昂贵的带宽让客户充分地利用，WAN超负荷运转可导致错误增加、性能下降。RMONWAN探测器：由于WAN探测器监控标准不包括数据链路层，这就意味着RMONWAN监控标准是建立在专用所有权技术之上的，不能与其它探测器共同使用。但它能够以清晰易懂的图描绘出数据链路层和带宽利用率，并保存有关基于IP地址的点对点通信的信息。RMON2WAN探测器：虽然RMON2监测工具也是专用的，但它是为WAN数据链路层检测流量的优良工具。它能使网管运用应用程序而不是通过技术规范来调整网络吞吐量。下图中，RMON2探测器防在承担WAN范围流量的共享LAN网段上，探测器可看到多有进出的信息，并能为整个Intranet提供高层协议分析。RMON2WAN探测器RMON2探测器路由器WAN路由器4.6TCP/IP寻址的考虑 由于Internet连接的需求，许多NOS支持桌面级的TCP/IP寻址。在任何网络设计中，TCP/IP寻址策略是一个不可轻视的设计重点。本节重点：一般路由和子网设计；无类别域间路由选择(CIDR)；变长子网划分。学习目标解释经典子网的工作原理；叙述IP寻址的缺点，新的寻址策略如何解决这个问题知识关键点不同的TCP/IP寻址策略可限制IP地址扩展IPv4地址的考虑 第四版本的IP地址用点分十进制数（Dotteddecimalnotation）表示，共32位。分为5类IP地址，分别为A类、B类、C类、D类和E类。A类地址用于大型网络，B类地址用于中型网络，C类地址用于小型网络，D类地址用于广播寻址，E类地址保留未用。IP地址包括两部分组成：网络地址和主机地址（也成为网络号和主机号）。IPv4地址分类地址类别标志网络号比特数主机号比特数首字节数字范围A类首位为07241～126B类首两位为101416128～191C类首三位为110218192～223D类首四位为1110广播地址224～239E类首五位为11110保留未用240～247特殊的IP地址：它表示的是，所有不清楚的主机和目的网络。这里的“不清楚”是指在本机的路由表里没有特定条目指明如何到达。对本机来说，它就是一个“收容所”，所有不认识的“三无”人员，一律送进去。如果你在网络设置中设置了缺省网关，那么Windows系统会自动产生一个目的地址为的缺省路由。55：限制广播地址。对本机来说，这个地址指本网段内(同一广播域)的所有主机。这个地址不能被路由器转发。：回绕地址，主要用于测试。用汉语表示，就是“我自己”。在Windows中，这个地址有一个别名“Localhost”。寻址这样一个地址，是不能把它发到网络接口的。：组播地址，注意它和广播的区别。从到55都是这样的地址。特指所有主机，特指所有路由器。这样的地址多用于一些特定的程序以及多媒体程序。如果你的主机开启了IRDP(Internet路由发现协议，使用组播功能)功能，那么你的主机路由表中应该有这样一条路由。169.254.x.x：如果你的主机使用了DHCP功能自动获得一个IP地址，那么当你的DHCP服务器发生故障，或响应时间太长而超出了一个系统规定的时间，Windows系统会为你分配这样一个地址。如果发现主机IP地址是此类地址，很不幸，十有八九是网络不能正常运行了。10.x.x.x、172.16。x。x～172.31.x.x、192.168.x.x：私有地址，这些地址被大量用于企业内部网络中。一些宽带路由器，也往往使用作为缺省地址。私有网络由于不与外部互连，因而可能使用随意的IP地址。保留这样的地址供其使用是为了避免以后接入公网时引起地址混乱。使用私有地址的私有网络在接入Internet时，要使用地址翻译(NAT)，将私有地址翻译成公用合法地址。在Internet上，这类地址是不能出现的。IP子网 创建子网的目的扩展网络。如果网络达到了物理限制，可以通过创建多个子网，这些子网只分配一个网络地址。以连接更多的主机。减少竞争。同一网络中主机越多，需要带宽越大，创建子网减少每个网络的主机数，竞争也减少了。减少CPU使用负载。网络中主机越多，产生的的广播帧越多。每个主机必须听网络广播，以便决定是否接收还是丢弃，这占用主机CPU。隔离网络问题。通过将大网隔离成小网，限制子网对其它网络的影响。有利于网络管理员对网络的管理。提高网络的安全性。子网掩码

子网掩码是一位特殊的32位二进制数，它的格式与IP地址一样，但它用二进制中的1来代替IP地址的网络地址部分，用0来替代IP地址中的主机地址部分。 标准A类网的子网掩码为： 标准B类网的子网掩码为： 标准C类网的子网掩码为：子网掩码的作用 子网掩码与IP地址结合使用，可以区分出一个IP地址的网络地址和主机地址。例如：有一个C类地址为：3，其子网掩码为：。则它的网络号和主机号可按如下方法得到：将IP地址3转换为二进制： 1100011001将子网掩码转换为二进制：

11111111111111111111111100000000将两个二进制数逻辑与（AND）运算后得出的结果即为网络部分：

1100011001

AND 11111111111111111111111100000000 1100011001结果为，即网络地址为。将子网掩码取反再与IP地址逻辑与（AND）后得到的结果即为主机部分： 1100011001

AND 0000000000 0000000000结果为3，即主机地址为13。无类别域间路由（CIDR） CIDR

是

Classless

Inter

Domain

Routing

的缩写,

意为无类别的域间路由。它的思想是:

把许多C类地址合起来作B类地址分配。具体地说,

整个世界被分为四个地区,

每个地区分配一段连续的C类地址： 欧洲:

~55 北美:

~

55 中南美:

~55 亚太:

~

55 通过这种方式，每个地区拥有约3200万的地址，另有约3200万的地址

~

55保留备用。这种分配方式的优点是很明显的:

地址的分配是连续的；CIDR使路径表的设置更容易。 比如,在欧洲以外的一个路由器收到一个地址为: 194.xx.yy.zz

或

195.xx.yy.zz 的数据包(packet),

可以直接把它丢到通往欧洲的路径上而不用考虑xx,yy,zz的值是什么.

当然,当这个packet到达欧洲后,

还要进行更详细的路由,

比如根据子网模把它发送到某个子网。CIDR的表示形式 声明一个CIDR网络的格式是地址/y。 这里地址是IPv4或IPv6网络地址而/y是网络掩码的二进制位数。如果省略/y，那么掩码部分用旧的有类的网络编号系统进行计算，但要求输入的数据已经包括了确定掩码的所需的所有字节。如果声明了一个网络地址，它的指定掩码的右边置了位，那么算错误。 例如，28/25表示IP地址中前25位是网络地址，后7位是主机地址；/17表示IP地址的前17位是网络地址，后15位是主机地址。如何划分子网 子网划分技术，用来高效地将一个大型网络划分成多个子网，子网划分是将单播IP地址中主机地址的高几位分配给组织网络的子网，作为子网地址。 最初定义IPv4的子网划分是为了更好地利用A类和B类IPv4公用网络ID的主机位。请考虑下图示例网络。 此B类网络的ID，我们将它划分成三个子网。网络号这样处理：

将两字节主机地址的高字节的高4位用于新的子网地址，三个子网的子网掩码都是。每个子网的二进制编号分别是0001、0010、0100和1000，三个网络的网络号分别为：/20，/20，/20和/20 当然，由于将主机地址的高4为用于了网络地址，每个子网的主机地址就由原来的16位变成了12位。Internet路由器/16划分子网后的网络地址，12位划分子网后的主机地址网络地址子网主机地址8位8位4位4位8位IP地址设计中要考虑的事是，申请IP地址；申请域名；是否将网络连入Internet；要不要进行子网划分，如果要，需将主机地址的前多少位作为子网地址；确定各子网的掩码；是采用静态IP地址分配还是动态IP地址分配；是否采用NAT技术；是否采用无类域间路由。网络地址转换NAT在RFC1918中，IETF为内部专用网预留了三段地址作为私有地址。－55－55－55网络地址转换技术(NAT) 网络地址转换（NAT）是用于将一个地址域（如上面的私有Intranet地址）映射到另一个地址域（如：Internet）的标准方法。NAT允许一个机构内部使用私有Intranet地址，而与外部因特网交流数据时，用一个IP地址透明地连接到因特网中，机构内部主机无需拥有注册的IP地址。聚合 在如下图所示拓扑结构中，无论是/24还是/24链接的失败，都会使路由器H重新计算路由表。那么怎样设计才能使核心层路由器H不受接入层链接变化的影响呢？聚合是有效的方法，在分布层路由器G上把/24、/24、/24和/24聚合成一条路径/22，并把这一 聚合路径只传递给路由器H。 通过聚合，路由器H的路由表 就可以不再包括路由器G左侧 的子网细节，路由器G左侧的 个别链接的改变将不再影响路 由器H的路由表。 另外，聚合减少了路由器H的路由表的路径数量，较小的路由表意味着较少的内存、较低的处理请求和更快的收敛过程。 聚合要遵循这样一条规则：只提供网络中必要的拓扑信息，而把不必要的信息隐藏起来。例如，核心层路由器将接入层的每一组目的地聚合为简短的前缀路由，并将之传送给核心层，不再向核心层传送大量的目的地信息。IPv6地址表示方法：第六版本的IP地址用8段冒号分十六进制数表示，共128位。例如： FEDC:BA98:7654:4210:FEDC:BA98:7654:3210

2001:0:0:0:0:8:800:201C:417A

每一组数值前面的0可以省略。如0008写成8。压缩形式：IPv6地址会有包含长串0位的地址。可使用“::”符号简化多个0位的16位组。“::”符号在一个地址中只能出现一次。该符号也可以用来压缩地址中前部和尾部的0。举例如下：

FF01:0:0:0:0:0:0:101可压缩成FF01::101(多点传送地址)

0:0:0:0:0:0:0:1可压缩成::1(回送地址)

0:0:0:0:0:0:0:0可压缩成::(未指定地址)IPv4和IPv6混合使用：表达方式为X:X:X:X:X:X:D.D.D.D，其中X是地址中6个高阶16位段的十六进制值，D是地址中4个低阶8位字段的十进制值（按照IPv4标准表示）。例如：下面两种嵌入IPv4地址的IPv6地址：

0:0:0:0:0:0:9嵌入IPv4地址的IPv6地址，可缩写成

::9 0:0:0:0:0:FFFF:0映射IPv4地址的IPv6地址，可缩写成

::FFFF.0地址类型：IPv6中地址有三种类型：单点传送（Unicast）：一个单接口标识符，送往单点传送地址的包将被传送到该地址所标识的接口上。多点传送（Multicast）：一组接口（一般不属于不同节点）的标识符。送往一个任意点传送地址的包将被传送到该地址所标识的接口之一（根据路由协议中的距离的计算方法而确定的“最近”的一个）。任意点传送（Anycast）：一组接口（一般不属于不同节点）的标识符。送往一个多点传送地址的包将被传送到该地址标识的所有接口上。 也有文献称之为单播、组播、泛播地址。IPv6中不再有象IPv4中那样的广播（broadcast）地址，它的功能由多点传送地址来实现。对于IPv6的子网掩码，它位数放在掩码地址后面的，以/分隔，格式如下：12AB:0000:0000:CD30:0000:0000:0000:0000/60

12AB:0000:0000:CD30::/60意思是地址的前60位用作地址的网络号部分。下面是一个IPv6地址和子网掩码地址：11AC:0:0:CA20:123:4567:89AB:CDEF

11AC:0:0:CA20::/60常见的IPv6地址和前缀：::/128：即0:0:0:0:0:0:0:0，尚未获得正式地址的主机的源地址，不能作为目的地址，不能分配给真实的网络接口。::1/128：即0:0:0:0:0:0:0:1，回环地址，相当于ipv4中的localhost（）。2001::/16：全球可聚合地址，由IANA按地域和ISP进行分配，是最常用的IPv6地址2002::/16：6to4地址，用于6to4自动构造隧道技术的地址3ffe::/16：早期开始的IPv66bone试验网地址注：上面后三个属于单播地址，是目前互联网上广泛应用的IPv6地址fe80::/10：本地链路地址，用于单一链路，适用于自动配置、邻机发现等，路由器不转发ff00::/8：组播地址::A.B.C.D：其中<A.B.C.D>代表ipv4地址，兼容IPv4的IPv6地址。自动将IPv6包以隧道方式在IPv4网络中传送的IPv4/IPv6节点将使用这些地址::FFFF:A.B.C.D：其中<A.B.C.D>代表ipv4地址，例::ffff:0，是IPv4映射过来的IPv6地址，它是在不支持IPv6的网上用于表示IPv4节点VLAN划分VLAN是标准局域网的仿真，它允许数据的传输不会受到网络的传统物理结构限制。一个VLAN是属于同一个管理组的局域网设备。成员资格是由配置参数和管理策略决定的，而不是物理位置。一个VLAN中的成员可以相互通信，就好象连在同一条电缆和集线器上一样，而实际上它们属于不同的物理局域网段上。反之，两个属于不同VLAN的成员之间通信就好象它们属于不同的局域网段上，即使他们连接到同一台交换机上。因为VLAN是基于逻辑连接而不是物理连接的。因此管理、配置起来非常灵活。用VLAN划分逻辑边界站点1站点2站点3广域网虚拟工作组1虚拟工作组2VLAN边界VLAN的设计 同一交换机上不同VLAN要共享交换机、要争夺交换机的CPU和背板资源。VLAN对交换机和链路的共享可分为两种类型：广播共享，即VLAN划定的广播域贯穿共享设备和链路(如左下图示)，换句话说广播共享是二层的共享。路由共享，也可以说是三层共享，在这种类型的共享中，不同VLAN的数据包是以路由(三层交换)方式穿过交换机的(如右下图中虚线所示)，通过的包基本上不含有一般的广播包(DHCP和特殊协议的广播除外)。VLAN在“广播共享”网络资源时的相互影响要比“路由共享”时更大。 从上左图可清楚地看出所共享的网络资源(交换机和链路)。在正常情况下，VLAN间的这种影响不被我们所注意，原因是共享的交换机有足够的交换能力，链路不是很拥挤，但在某一VLAN出现异常时(如感染病毒或出现环路)情况就不同了。这时被感染VLAN(如VLAN1)中的大量数据帧将挤占该VLAN所及的所有交换机的CPU资源、背板带宽，并长时间占用物理链路，其他VLAN(如VLAN2)中的设备尽管“看”不到出现异常VLAN中的数据帧，但其所依赖的网络资源已被用尽，因此，VLAN1所覆盖的网络区域就会出现异常。如果故障点发生在核心交换机附近，那么整个网络就有可能瘫痪。 完全消除VLAN间的链路和设备的共享在理论上是不可能的。我们所做的努力只能尽量减少相互影响的范围、降低相互影响的程度。设计中我们应坚持如下原则：尽量避免在同一交换机中配置多个VLAN;不同物理位置上的交换机上的端口尽量不要划归到同一个VLAN。 前者较好理解，也容易实现。如何做到VLAN不跨越核心交换机和拓扑结构的“层”。从上左图可以看出，由于VLAN1的范围跨越了整个网络，如果把所有VLAN的覆盖面都限定在核心交换机的同一侧，这些资源被共享的程度就减轻了。按此想法上右图较为适宜。 继续分析上右图中所存在的问题不难看出，尽管核心交换机被共享的形式改变了，但仍存在受到各VLAN出现异常情况的影响。要想避免核心交换机受到各个VLAN的影响、减小影响范围、避免全网瘫痪的发生，很容易想到在核心交换机和划有VLAN的交换机之间加上一层，以隔离核心交换机和各个VLAN。这时就形成了目前较为流行的三层拓扑结构的网络，如下图所示。VLAN分类 基于交换式以太网实现VLAN主要有三种途径：基于端口的VLAN;基于MAC地址的VLAN;基于IP地址的VLAN。基于端口的VLAN 基于端口的VLAN就是将交换机中的若干个端口定义为一个VLAN，同一个VLAN中的站点具有相同的网络地址，不同VLAN之间进行通信需要通过路由器。这种VLAN不足之处是灵活性不好，例如当一个网络站点从一个端口移动到另外一个新的端口时，如果新端口与旧端口不属于同一个VLAN，则用户必须对该站点重新进行网络地址配置，否则，该站点将无法进行网络通信。PVLAN技术 PVLAN（PrivateVLAN）将所有服务器置于同一个子网中，服务器只能与自己的默认网关通信。在PrivateVLAN的概念中，交换机端口有三种类型：Isolatedport：属于IsolatedPVLAN。只能和Promiscuousport通信，Isolatedport彼此不能交换流量；Communityport,：属于CommunityPVLAN。不仅可以和Promiscuousport通信，而且彼此也可以交换流量；Promiscuousport：与路由器或第3层交换机接口相连,它收到的流量可以发往Isolatedport和Communityport。 代表一个PrivateVLAN整体的是PrimaryVLAN，前面两类VLAN需要和它绑定在一起，同时它还包括Promiscuousport。PVLAN的应用对于保证接入网络的数据通信的安全性是非常有效的，用户只需与自己的默认网关连接。一个PVLAN不需要多个VLAN和IP子网就提供了具备第2层数据通信安全性的连接。所有的用户都接入PVLAN，从而实现了所有用户与默认网关的连接，而与PVLAN内的其他用户没有任何访问。PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信，但可以穿过Trunk端口。这样即使同一VLAN中的用户，相互之间也不会受到广播的影响。基于MAC地址的VLAN 在基于MAC地址的VLAN中，交换机对站点的MAC地址和交换机端口进行跟踪，在新站点入网时根据需要将其划归至某一个VLAN，而无论该站点在网络中怎样移动，由于其MAC地址保持不变，因此用户不需要进行网络地址的重新配置。这种VLAN技术的不足之处是在站点入网时，需要对交换机进行比较复杂的手工配置，以确定该站点属于哪一个VLAN。基于IP地址的VLAN 在基于IP地址的VLAN中，新站点在入网时无需进行太多配置，交换机则根据各站点网络地址自动将其划分成不同的VLAN。 三种VLAN的实现技术，基于IP地址的VLAN智能化程度最高，实现起来也最复杂。评价 VLAN作为一种新一代的网络技术，它的出现为解决网络站点的灵活配置和网络安全性等问题提供了良好的手段。VLAN目前还有许多问题有待解决，例如技术标准的统一问题、VLAN管理的开销问题和VALN配置的自动化问题等等。然而，随着技术的不断进步，上述问题将逐步加以解决。4.7网络安全的考虑 给网络提供安全措施，需要和网络性能进行权衡。要想是网络免受来自内部和外部的威胁，必须建立尽可能多的防范措施，因为没有哪种措施能保百分之百安全；但安全措施越多，网络运行性能就越低。 这种权衡的考虑就以为着，应该选择几种关键的安全措施在保持对用户的相对透明的同时又能对网络实施最大限度的安全防范。在网络逻辑设计阶段，要考虑实施技术和保证网络性能的架构问。学习目标了解各种安全措施防范的攻击类型；了解安全防范的关键层；解释在用户鉴定方面固有的问题。关键知识点如果选定的安全系统变成影响性能的障碍的话，用户可能回另寻方案来回避它。

影响网络安全的威胁网络窃听：让入侵者探测内部网上传递的主机信息并获得控制权或实施数据篡改。完整性破坏：完整性破坏是指传输、或存储的数据存在着被篡改的可能。地址欺骗：地址欺骗技术的简单原理就是伪造一个被主机信任的IP地址，从而获得主机的信任而造成攻击。拒绝服务攻击：以消耗服务器端资源为目标，通过发出超过服务器处理能力的请求，造成服务器响应阻塞，从而使正常的用户请求得不到响应，实现攻击目的。计算机病毒：计算机病毒是一种破坏计算机系统的恶意程序，它潜伏在计算机中，感染并破坏其它计算机系统。系统漏洞：软件设计中的Bug，容易被Hacker用来实施攻击。

安全解决方案的分层原则网络安全设计应遵循的原则

信息网络是—个分层拓扑结构，因此网络安全防护也需采用分层防范保护措施。一个完整的网络安全解决方案应该覆盖网络的各个层次，并且与安全管理相结合。考虑到技术难度及经费等因素，设计时应遵循如下思想：大幅度地提高系统的安全性和保密性；保护网络原有的性能特点，对网络用户具有很好的透明性；易于操作维护，便于自动化管理，不增加太多的附加操作；尽量不影响原网络拓扑结构和网络性能，便于系统升级和功能扩展；应有较好的性能价格比，一次性投入，可以长期使用；安全技术具有合法性，便于安全管理单位和密码管理单位的检查和监督。 根据Internet网络的特点，对Internet/Intranet安全实施分级管理的解决方案，常常将对它的控制点分为三级实施安全方案：第—级：中心级网络，主要实现内外网隔离、内外网用户的访问控制、内部网的监控、内部网传输数据的备份与稽查。第二级：部门级，主要实现内部网与外部网用户的访问控制、统计部门间的访问控制、部门网内部的安全审计。第三级：终端／个人用户级，实现部门内部主机的访问控制、数据库及终端信息资源的安全保护。 分层保护主要包括：安全措施：行政法律手段、管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、容错、防病毒、采用高安全产品等)。用户的安全意识：通过培训，将安全措施融合与日常工作中。物理保护：物理安全是整个网络系统安全的前提。网络工程设计时，必须考虑人和网络设备不受电、火灾和雷击的侵害；考虑照明电线、动力电线、接地线路、通信线路、暖气管道及冷热空气管道之间的距离；考虑布线系统和绝缘线、裸体线以及接地与焊接的安全；必须建设防雷、放静电系统。网络结构保护：设置防火墙和隔离带，将公开服务器（WEB、DNS、EMAIL等）和外网及内部其它业务网络进行必要的隔离；同时对外网的服务请求加以过滤，只允许正常通信的数据包到达内部主机。软硬件平台的安全：选用可靠的操作系统和硬件平台，并对NOS进行安全配置。加强系统登录过程的认证，严格限制登录者的操作权限在能够完成自己工作的最小范围内。数据加密保护：关键信息必须以密文的形式传输和存储。加强病毒清理、入侵检测工作。

安全措施 总体安全措施必须确定需要保护的系统和数据，制订各个系统响应的保护措施。安全措施也是用户培训和终端用户可接受措施的基础，它有助于防止组织内人员简单的错误或蓄意地破坏而造成系统的破坏或安全事故。

用户安全意识培训 总体安全措施最重要也最容易流于形式的任务之一，就是用户安全意识培训。最好的安全措施没有落实与用户的日常行为，也达不到安全保障的效果。使用者守则 在经过培训之后，每个员工应当签署一项协议，以合理利用LAN和Internet资源，包括如下事项：密码使用和保密守则；电子邮件的使用守则，包括敏感信息的传递规则；下载与病毒的防范措施；可访问的商务网站和公用信息；知识产权规则；对员工上网的监控。监控 为保证安全措施得以贯彻，必须建立某种自动监控机制。收集有关访问信息和通信信息。 防火墙可以生成用户或黑客们的访问日志清单。 如果公司禁止利用公司资源进行购物或电子游戏，就要由禁止程序来制止它。执行 用户的培训计划的一个重要组成部分是是人力资源政策，它规定了员工如果违反规定，将受到的惩罚细则。

物理安全措施 物理安全风险通常包括对机密部分的访问。有大量的措施都可以用来提高网络的物理安全性能：为用户提供安全的物理环境；不再使用的文档的销毁方法；重要数据的保管存储方法；

加密技术 可使用的加密手段很多。常用的加密方法有对称密钥加密算法，非对称密钥加密算法。可采用的常见的加密手段如下：Clipper芯片：一种具有80位专用密码算法的芯片。美国法律执行机构的关键部门采用此种算法。是DES的一种替代方案。Kerberos验证系统：对用户访问和数据库提供验证支持。安全套接层（SSL）：在电子商务安全方面，SSL一成为一种主导技术。它被认为具有标准的网站服务器特色。PGP加密算法：使用与个人用户的公共密钥加密算法。

用户认证 决定用户是否可以访问系统，首先就得“验明正身”。以判断当前的用户有没有资格进入系统使用机密数据。用户认证系统依赖如下因素：用户名及其密码；用户拥有的只能卡或数字证明书；物理属性或者生物信息（指纹、视网膜扫描）

访问控制 用户认证只是决定你能不能进入机密系统，但这还不够。机密信息分不同的密级，越是机密的信息，应该知道的人就必须越少。 我们通过访问控制来决定一个合法用户能够使用哪些信息。只有经过授权的个人，才能进行他职权范围内相应密级的机密信息的访问、修改、删除。任何网络系统都有一套管理细则来决定某个人是否可以访问机密信息。 远程访问控制一般用防火墙或VPN（虚拟专用网）机制实现。虚拟专用网技术(VPN) 利用公共网络来构建私用专用网络称为虚拟专用网，(VPN，VirtualPrivateNetwork)。出差员工隧道专线办事处合作伙伴总部异地办事处分支机构虚拟专用网的类型 VPN分为以下三种类型：企业内部虚拟网(IntranetVPN)：IntranetVPN通过公用网络将企业各个分布点互连，是传统的专线网络或其它企业网的拓宽或替代。IntranetVPN也叫内部网VPN远程访问虚拟专用网(accessVPN)：远程访问虚拟专用网利用了二层网络隧道技术在公用网络上建立VPN隧道连接来传输私有网络数据。它分两种类型：一是用户发起的(client-initiated)的VPN连接，它由远程用户通过服务提供点（POP）拨入Internet建立；另一个是接入服务器发起的(NAS-initiated)VPN连接，即用户通过网络隧道协议与企业网建立一条隧道连接。这种VPN适用于公司员工频繁出差流动办公的情况。accessVPN也叫拨号VPN。企业扩展虚拟专用网(ExtranetVPN)：这是利用VPN将企业网延伸至合作伙伴与客户的网络或主机。其主要目标是保证数据在传输过程中不被修改，保护网络资源不受外界威胁。安全的外连虚拟专用网要求公司在同远程伙伴、客户经因特网连接时，必须经过虚拟专用网服务器进行，它可以为远程客户指定访问权限。这种VPN适用于企业与合作伙伴或客户之间的信息交流。ExtranetVPN也叫外联网VPN。 这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的extranet相对应。VPN的工作原理 虚拟专用网是一种连接，从表面上看它类似一种专用连接，实际上是在共享网络中使用隧道技术实现的。数据包在公共网络的专用“隧道”中传输，专用“隧道”用于建立点到点的连接。 隧道的启动和终止可由许多网络设备或软件来实现。一个通道可由ISP的网络接入路由器的虚拟专用网网关终止或由隧道终结器或企业的交换机终止。 此外，通常还需要一台安全服务器，用于加密数据认证和授权。VPN的工作流程 VPN需要在跨越公用网络的两个网络之间建立虚拟的专用隧道。在隧道被初始化后，传送过程中，VPN数据的保密性和我完整性通过加密技术来保证。一般的工作流程见下图示。访问控制报文加密报文鉴别IP封装发送者接收者LAN1LAN2公用网络访问控制报文加密报文鉴别IP封装源VPN设备宿VPN设备明文明文IP安全隧道4.8防火墙的考虑 防火墙是一种在内部网和外部网之间实施的安全防范措施，可以认为它是一种访问机制，用于确定哪些内部服务可以提供给外部服务器，哪些外部服务器可以访问内部网资源。 防火墙是一种包含硬件产品和软件产品的安全解决方案。首先需要设计者关注的问题是：防火墙的防范立场；机构的总体安全措施；防火墙的经济成本；防火墙的构成和组建模块。学习目标了解防火墙的构成；熟悉机构的安全措施如何影响防火墙设计；熟悉代理服务器的工作原理。关键知识点 防火墙可以使机构的网络免受来自外部的威胁，但不能防范来自内部的攻击。防火墙的防范立场防火墙防范策略有两大类型：没有特别允许的任何内容都禁止访问；没有特别指定的内容允许访问。 我们强烈推荐第一种防范类型。它保证了真正的系统安全。其基本原则是安全重于使用方便。机构的安全策略 防火墙的安全策略是机构全面安全策略的一部分。防火墙防范策略应体现机构打算如何运行这个系统的策略：防火墙是为了明确地拒绝除对于连接到网络至关重的服务之外的所有服务，或者说，防火墙是为以非威胁方式对“鱼贯而入”的访问（“queuing”

access）提供一种计量和审计的方法。 为此，需要在机构内有效地实施安全计划，确定哪些数据需要保护。安全策略必须建立在安全事实细则分析、风险评估和商务需求分析的基础之上。如何机构没有全面周密的安全策略，再严密的防火墙都会使整个专用网络受到攻击。需要何种程度的监视、冗余度以及控制水平？ 解决了机构的安全策略和防火墙的防范策略之后，可以列出一个必须监测什么传输、必须允许什么传输流通行以及应当拒绝什么传输的清单。换句话说，开始时先列出总体防范的目标，然后把需求分析与风险评估结合在一起，挑出与风险始终对立的需求，加入到计划完成的工作的清单中。防火墙成本以实施解决方案的费用多少，来量化提出的解决方案十分重要。一个完整的防火墙的高端产品可能价值10万美元，而低端产品可能是免费的。像在Cisco或类似的路由器上做一些绝妙的配置，这类免费选择不会花你一分钱，只需要工作人员几杯茶的工夫；而从头建立一个高端防火墙可能需要几个人工月。系统管理开销也是需要考虑的问题。建立自行开发的防火墙固然很好，但重要的是使建立的防火墙不需要费用高昂的不断干预。换句话说，在评估防火墙时，重要的是不仅要以防火墙目前的费用来评估它，而且要考虑到像支持服务这类后续费用。防火墙的组成 防火墙总体防范策略确定后，现在该决定防火墙的组建了。通常，防火墙有以下一个或几个模块构成：包过滤防火墙；代理服务器（应用级防火墙）；电路级网关。构件模块：包过滤路由器 对所接收的每个数据包做允许通过还是拒绝通过的决定。路由器审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。包头信息中包括IP源地址、IP目标端Ｆ地址、内装协（ICP、UDP、ICMP、或IPTunnel）、TCP/UDP目标端口、ICMP消息类型、包的进入接口和出接口如果有匹配并且规则允许该数据包，那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃。如果没有匹配规则，用户配置的缺省参数会决定是转发还是丢弃数据包。包过滤路由器型防火墙Internet包过滤路由器专用内网周边安全防护设施按服务要求的过滤 包过滤规则按具体的服务要求决定允许或者禁止数据包通过。通常的过滤规则包括：只对特定的内部主机清单允许引入Telnet会话；只对特定内部主机允许引入FTP会话；允许所有对外的FTP会话；禁止所有来自特殊指定外部网络的数据进入。与数据无关的过滤 有些攻击与服务类型无关，很难用前一种过滤来防范。这些攻击包括：源地址假冒内网IP地址进行攻击：防范方法是检查所有到达路由器外部接口数据包，如果它的源地址是内网地址，通通丢弃。源端路由攻击：源端路由是制数据包按照指定的IP路由到目的地。攻击者利用源端路由，可能饶国安全检查，沿着另外的路由进入内网。防范的方法是，将含有指定路由路径的数据包丢弃不转发。微片段攻击：利用IP碎片生成极小的片段，强行在TCP报头中假如一个独立的数据包片段，从而规避了用户定义的过滤规则，而通过防火墙。其防范的方法是，将协议类型为TCP以及IP片段偏移量等于1的数据包丢弃。包过滤路由器的好处成本低。因为数据过滤功能通过路由器软件实现，不需购置防火墙硬件；简单，易于操作维护；如果只定义少量过滤规则，对网络性能几乎没有影响。包过滤路由器的局限难以找到检验配置好的过滤规则的测试工具，从而留下潜在的危险；如果定义的过滤规则很大，则网络传输性能大大降低；不能控制流量。构件模块：应用级网关（代理服务器） 应用级网关防火墙安装在网络应用层上，它是一种比包过滤防火墙更加安全的防火墙技术。一般工作在传输层以上的应用层。

代理服务器在源系统和目标系统之间充当“二传手”。源与目标不直接连接，而是通过代理服务器中转。 它一般针对某一特定的应用，由客户端的代理客户(ProxyClient)和防火墙端的代理服务器(ProxyServer)两部分组成。 代理客户通常是将原应用客户进行改造，使其与防火墙，而不是与真正的应用服务器交互。而代理服务器则代替用户向应用服务器提交请求，并将结果返回给用户。应用级网关防火墙内网应用网关应用层物理层Internet……

堡垒主机 堡垒主机（bastionhost）：应用级网关通常又叫“堡垒主机”，它可以抵御来自外部网络进攻的计算机。它处于内部网络之外，作为进入内部网络的一个检查点。它有如下的设计特点：其安全依赖OS本身的安全；堡垒主机中只有有限的代理程序，如Telnet、DNS、和用户认证系统；堡垒主机要求再一次认证才能允许用户访问代理服务；每个应用都有自己的代理程序，如果应用不支持或没有安装代理程序，即使是认证用户也不能访问；每项代理服务只允许访问指定的主机；每个代理维护详尽的审查信息；每个代理都是一个为网络安全特别设计的小型程序；堡垒主机上的每个代理相互独立；代理程序除了允许读取初始配置文件外，不允许访问磁盘；每个代理程序作为堡垒机上在专用和安全目录中的非特权用户运行。应用级防火墙的优点在于，用户和服务器之间不会有直接的IP报文交换，所有的数据均由防火墙中转，并提供鉴别、日志与审计的功能，增强了安全性。并且，代理服务器在应用层作用，控制度可以达到特定用户和特定服务的请求，服务粒度比较细致。应用级防火墙的缺点在于，效率低下。对于特定的服务需要特制代理程序。当防火墙不能工作时，对应的代理服务也就不能使用。构件模块：电路级网关 电路级网关(CircuitGateway)用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息，这样来决定该会话是否合法，电路级网关是在OSI模型中会话层上来过滤数据包。 另外，电路级网关还提供一个重要的安全功能：网络地址转移(NAT)，将所有内网IP地址映射到一个“安全”的IP地址，这个地址是由防火墙使用的。有两种方法来实现这种类型的网关：一种是由一台主机充当筛选路由器，另一台充当应用级防火墙。另一种是在第一个防火墙主机和第二个之间建立安全的连接。这种结构的好处是当一次攻击发生时能提供容错功能。 电路级网关象电缆线一样，在内部和外部连接之间来回复制数据。电路级网关内部主机外部主机电路级网关inininoutoutout外部连接内部连接非军事化区(DMZ) DMZ（demilitarizedzone）位于企业内部网络和外部网络之间的小网络区域，它是为内部网络放置一些必须公开的服务器设施而划分的，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡，就是这个DMZ区域。DMZ区示意图DMZ区Internet专用内网堡垒主机外部路由器内部路由器几种典型的防火墙设计屏蔽路由器模式：在原有的路由器上进行包过滤部署的。具备这种包过滤技术的路由器也称为“屏蔽路由器”。 这种防火墙早期非常流行，主要是因为很多公司已经具备了路由器，但没有专门的防火墙设备推出。原有路由器设备的公司只需要进行一些另外的包过滤配置即可实现防火墙安全策略。这种防火墙方案拓扑结构如下图所示。屏蔽路由器防火墙Internet专用内网屏蔽路由器双宿主机模式 它不是用真正的硬件防火墙来实现的，而是通过在一台称为”堡垒主机“的计算机上安装有配置网络控制软件来实现的。所谓”双宿主机“，就是指堡垒主机同时连接着一个内、外部网络，担当起全部的网络安全维护责任。网络拓扑结构如下图所示。 在堡垒主机上安装的服务最少，只需要安装一些与包过滤功能有关的软件，满足一般的网络安全防护即可。它所拥有权限最少，这样就可避免一旦黑客攻占了堡垒主机后，迅速控制内部网络的不良后果。因为控制权限低，黑客虽然攻陷了堡垒主机，但仍不能拥有什么过高的网络访问权限，也就不至于给内部网络造成太大危害。双宿主机型防火墙Internet专用内网堡垒主机子网屏蔽模式 这种方式是在主机过滤方式中再增加一层过滤子网的安全机制，使内网和外网之间有两层隔断。这种方式能减轻外部攻击者击破堡垒机，给内网带来的压力。在最简单的子网过滤结构中，堡垒机位于过滤子网上，使用两台过滤路由器，一台位于过滤子网与内网之间，另一台位于过滤子网与外网之间。这样，整个防火墙就不会因一点被攻破而整个瘫痪。过滤子网限制了外网用户在内网中的漫游能力，也限制了内网用户在外网中的漫游能力。就象相隔地形复杂的开阔缓冲地带，因而称为缓冲带或非军事区（Demilitarizedzone,DMZ）。所以，这种防火墙有称为DMZ方式。专用内网子网屏蔽防火墙防火墙Internet堡垒主机外部路由器内部路由器子网屏蔽防火墙评价 子网屏蔽防火墙有如下重要的优点：入侵者必须攻破三个独立的设备，即外部路由器、堡垒主机、内部路由器，才能进入内部网；因为外部路由器只将DMZ网络通知给Internet，外网上的黑客是看不见内网的存在的；因为内部路由器