思科系统（中国）网络技术有限责任公司：银行网络建设设计方案

XX银行网络建设设计方案思科系统〔中国〕网络技术有限责任公司2006-12目录TOC\o"1-2"\h\z第一章、网络开展趋势、需求分析及设计原那么 31.1网络的开展趋势 31.2局域网建设的需求分析 41.3局域网建设的设计原那么 4第二章、网络建设技术方案 62.1组网分析 62.2组网方案 6第三章、组网技术介绍 123.1产品关键技术 123.2网络设计技术 123.3网络平安技术 133.4其他考虑因素 18第四章、未来网络平安策略的考虑 204.1Internet与Externet接入的平安设计 214.2拨号接入的平安设计 224.3内部局域网的平安性保证 234.4建立统一的平安策略 244.5应用于整个网络的平安特性 26第五章、网络平安效劳质量设计 27第六章、网络管理设计 33第七章、小结 40

第一章、网络开展趋势、需求分析及设计原那么随着Internet技术的不断更新，电子商务技术越来越成熟。电子商务技术改变了传统的企业经营方式，极大的方便了企业的客户，特别是对大的企业，政府行业，商业企业，金融行业电子商务更为重要。目前世界上已经有不少利用电子商务取得成功的企业的例子。1.1网络的开展趋势电子商务是基于Web的交互式应用，需要网络具有内容意识。并且该网络必须高度可用，因为故障停机直接导致丧失客户，损失收入。该网络必须提供最高水平的效劳，增强客户满意度和竞争区别。而且，它还必须能使企业具备敏捷性、能够迅速部署新电子商务应用。我们认为众多企业将开展成“技术公司〞。过去，很多企业的技术集中在事务处理自动化上。但是，为了跟上Internet经济的脚步，很多竞争者需要建立与其客户的全面电子连接。IT预算在未来的两到三年内将增加两倍，原因是更多的企业开始不仅将技术视为本钱中心，还视为战略性可持续竞争优势的源泉。通过基于Web的人力优化开发，企业每年能以7-25%〔非利息开支〕的速度提高生产率。这样可以节省出足够的资金用于所需技术和网络根底设施。最根本的一点是，提高公司利用新兴技术的能力与管理影响其业务的其它因素一样重要，企业还必须帮助客户减少人力密集型的处理事务。Internet正在改变传统企业的业务模式以及客户、伙伴和供给商在市场中的运作方式。成功的机构将企业网视为获得竞争优势的必要战略资源。这一趋势的主要推动力是公司希望通过利用机构协作改良业务。部署企业网在战略方面均有重要意义。我们可以看到网络技术的开展趋势:IP协议成为主导的网络通信协议数据网络、话音网络、视频网络三网合一；Internet/Intranet应用成为主流；网络平安成为用户建网必须考虑的重要因素网络开展成为能识别应用的网络技术，也就是智能网络；光纤互联网成为网络热点等等。网络接入技术主要采用：以太网、SDH、DDN专线、ATM等。1.2局域网建设的需求分析网络是业务数据传输的公共通道。根据业务性质不同，各项业务可以有自己的处理系统，也可由假设干项业务组合成一个处理系统，但各系统的数据最终通过中心局域网进行传输。在局域网网络方案设计中，根据企业目前和将来应用情况，中心局域网的建设将成为高带宽的、端到端的，以IP协议为根底的整和数据、语音和图象的多业务网络，同时将来可以建立统一的平安策略、QoS策略、流量管理策略和系统管理策略，新建立的网络应该成为未来3-5年内符合行业业务开展和网络技术开展的优秀平台。客户网络通常存在的问题：从网络的结构与管理角度：很多企业的数据网络结构是一个基于不同业务应用的别离网络体系结构，其缺陷是不利于网络的扩展，难以实现统一的网络管理。从网络的先进性角度：大多数企业目前采用的网络属于传统企业网－数据网络的概念。随着采用TCP/IP协议的语音、视频多媒体应用的开展成熟，数据网络与传统的话音、视频网络已经相互融合，网络开展的方向是建立先进的以统一IP为根底协议，实现语音、视频等多效劳集成功能。企业采用基于IP协议的语音、视频技术，比采用任何专用的语音、视频技术更节约资金，更容易进行实施，同时也更开放，具有最灵活的兼容性。实施IP语音、呼叫中心、视频应用可以有效的节约企业内部通讯的费用，控制话费的增长，降低企业运营本钱，提高企业利润，竞争能力。从网络的平安性角度：企业局域网中应该有层次清楚的平安防范体系，有统一的平安管理策略。1.3局域网建设的设计原那么从业务的具体需求以及降低网络运行费用目的出发，企业数据通信网络网应以IP协议为根底，可以整合数据、语音和图象〔H.323协议〕多媒体应用，并且可以为不同的应用创造一个开放的统一的一体化网络平台。建立一个端到端的，以IP为根底的统一的一体化网络平台，支持多协议，多业务，平安策略，流量管理，效劳质量管理，资源管理。局域网的建设要满足全网统一管理、局部管理的要求。各级网络设备要以IP协议为根底的各类业务数据为主，同时满足OA业务数据的要求。数据网络平台上可以增加网络的多业务功能，节省网络的运营本钱。支持高智能化的自动呼叫路由功能的客户效劳中心的要求，能实现今后可能的集中式和分布式客户效劳中心的各种远程呼叫、转移等功能。支持IP数据网络平台上整合视频功能，同时应该支持全网的基于H.323的电视会议和远程教育应用，提高员工的工作效率和素质，降低业务的运行本钱。应提供完整的网络平安解决方案，即动态和静态的网络平安防范、通信加密、与互联网连接和中间业务系统连接的平安防范功能、入侵检测报警，实施统一的平安策略。考虑到某些业务对实时性的严格要求，在实施网络带宽管理和质量效劳上，优先保证实时业务带宽占用和优先级别。对语音及视频应用，网络可以提供带宽、延时、抖动的品质效劳。各级网络中心的设备选择，主要依据现有业务数据量和现有管理信息业务及OA业务数据量，同时考虑业务在几年内增长导致的网络规模能力的扩充。

第二章、网络建设技术方案下面我们将详细阐述本次新疆农业开展银行网络建设方案与实施。这种构架是一种被证实的，基于标准的层次化设计，采用了易于复制的模块化的方法。此种设计提供了一个具有高性能、可预测性和最大可用性的平安的网络，而且未来可以方便的进行网络升级使用新业务和基于本次网络建设的IP应用或者无线应用。2.1组网分析本次网络建设主要分为两级架构其中包括接入层和核心层。接入层，它负责将用户连接到网络的其他局部。因为这是进入网络的第一个接入点，是对合法用户和设备实行认证的理想地点〔如防止恶意WLAN接入点等〕。同样的，接入层也是对用户流量进行分类和实现端到端QoS控制的逻辑点，接入层必须支持一些分布层的关键特性，从而实现设备和网络的永续性〔例如双连接主机和第一跳路由器冗余〕在这里我们选用了Catalyst3560三层交换机设备与银行原有的Catalyst3550，Catalyst3750交换机共同使用。网络核心层，网络的心脏是该网络的核心层。该局域网核心层可将所有数据中心和WAN会聚〔各地州分行站点之间〕全都连接起来。这里的核心层包括两台相同的Catalyst3750交换机，Catalyst3750配置有高性能的处理引擎，分别双连接到以千兆连接线路所效劳的接入层交换机和关键业务效劳器上面。在核心层中采用双交换机的目的，是可以提供尽可能最好的系统级冗余性，从维护和运行的角度说，冗余拓扑结构可实现绝好的收敛性和可用性，因此我们在本次方案设计中采用了双交换机配置。在下面，我们将按照新疆农业开展银行网络情况做具体的组网方案介绍。2.2组网方案局域网拓朴结构图如下：新疆农业开展银行用户的局域网作为整个企业网络的核心,担负着本地用户和效劳器之间、远程互连设备和效劳器之间高速通讯枢纽的重任，全网范围的OA应用，生产、支付等业务数据都需通过其进行交换，必须提供高速的传输性能和高可靠的容错支持，我们在这一层采用了Catalyst3750交换机，以提供更高水平的设备冗余。结合可靠的网络设计，这些Catalyst3750的特性可以帮助用户防止由于网络故障而造成重要业务失去网络连接。新疆农发行网络设计要充分考虑到平安性和可扩展性。在如下的方案设计中，以双中心核心交换机，双主干交换机连接，并且从平安性来考虑，以分区的方式来设计，便于以后平安设备的连接和网络控制。2.2.1网络设计思路网络的数据中心局部将被称为“效劳器群集〞，因为它的作用是将很多效劳器会聚起来。它也是我们提供很多增值效劳来增强效劳器集群永续性、实现多个效劳器负载均衡，提供先进的存储网络解决方案的地方。我们相信，只有思科能够提供如此广泛的解决方案、网络设计和专业支持来实现成功的效劳器集群网络。关于分支机构的WAN的连接，我们的解决方案提供了针对未来WAN开展方向和效劳的更大灵活性。为了实现真正端到端兼容的特性和功能，很多电信运营商的根底设施完全建立的思科的产品和技术之上。所以您可以从端到端思科产品中获益，包括你的广域网效劳供给商。此方案的设计中，中心机房分为两个区域，即效劳器区域和楼层接入区域，由高性能的交换机来做核心交换设备。核心交换机是其他几个区域互相通讯的交换核心，也是楼层交换机的会聚，因此必须具备高性能，中心交换机所有端口必须是千兆端口，而且至少能够支持4个以上千兆接口，以方便今后升级。核心交换机是网络的心脏，一旦瘫痪后果不堪设想。目前网络病毒流行，蠕虫病毒常常使核心交换机瘫痪。因此核心交换机Catalyst3750具有很强的抗风暴功能，能够对CPU进行限速和控制层面的策略管理，保证风暴不会占用100%CPU带宽，从而防止宕机，管理者和控制台还能够对网络设备进行管理，去除病毒影响。网络管理和故障分析经常需要用到端口监听和协议分析，对于管理员来讲，需要在任何地方都能够实施对网络的监听和监控，因此，核心交换机Catalyst3750和楼层交换机Catalyst3560支持端口镜像功能和远程端口镜像功能，保证管理员能够方便地对端口进行监听分析。为进一步提高网络的平安性和管理性，核心交换机能够支持网络分析功能，能够记录下所有数据报，在出现网络平安问题时，能够重现问题现场，准确定位攻击源，定位问题影响范围。Catalyst3750可以快速定位IP地址冲突位置，能有效防止或减少IP地址冲突，确保效劳器IP段的IP地址不会冲突；提供可靠、有效的网络管理软件，可以监控、管理已有的LAN、WAN设备，可以快速进行设备故障定位。提供平安高效的内网平安保护，部署高性能的平安隔离系统，实现内部不同VLAN之间的隔离保护；可扩展配置高性能的入侵检测系统，监控网络入侵，利用和平安隔离系统的联动，防止网络入侵可能带来的损失。2.2.2核心交换机考虑基于以上的设计思路，以及新疆农发行网络用户在网络新挑战下的实际需求，核心交换机中应该可以支持交换机的流量分析，并且可以进行抓包分析，方便进行故障重现，同时也容易判断网络病毒的感染源。在这里，我们建议使用Catalyst3750企业核心交换机，我们设计的是一个Catalyst3750三层交换平台，它可以提供高速访问控制列表〔ACL〕和效劳质量〔QoS〕。在这里，我们建设了一个两级的扁平化网络，这能够帮助我们节省一些本钱，因为所需设备更少，同时降低整个网络的复杂度。当然还需要一些前提条件，比方光纤设施，所提供的光纤要足以实现核心层与分布层合并为一层。各楼层终端设备通过楼层交换机千兆光纤或电口分别上联到两台核心交换机,交换机要具备背板堆叠功能，能够提供高的背板带宽和平安特性，端口地址绑定和端口流量控制功能，具有自动屏蔽播送风暴的功能防止风暴的蔓延。支持QOS的分类，标记和策略转发，以适应今后多更多应用的需求。根据以上的网络需求，我们再次强调，中心局域网络作为整个农发行网络的核心,担负着本地用户和主机和各种效劳器之间、远程互连设备和效劳器之间高速通讯枢纽的重任，全网范围的业务数据、监控数据和OA应用的数据都需通过其进行交换，必须提供高速的传输性能和高可靠的容错支持。作为生产系统的核心交换机，Catalyst3750具备丰富的容错功能，支持容错时钟系统、三级背板容错、容错负载均衡的风扇系统以及容错的千兆位连接。两台Catalyst3750之间采用Cisco尖端的GigbitChannel技术，直接利用扩展插槽上的千兆位端口通过两条负载均衡的千兆链路互连，每台Catalyst3750上标配24个千兆位电口交换模块，用以连接各楼层交换机和千兆连接的Server。如要提高网络可靠性，尽可能减少单点故障，效劳器、路由器和网络之间可以采用双网连接。Catalyst3750支持动态VLAN技术和强大的VLAN间防火墙功能，特别适合大企业网络多业务环境下严格的平安要求，同时Catalyst3750也支持各类千兆以太网模块。Catalyst3750还可提供丰富的三层交换能力，并且可以支持IP，完全能满足作为数据中心核心交换机的能力以及对IP、视频等新业务的支持。内置Cisco先进的Netflow技术同时提供跨VLAN之间数据的高速、平安交换。Catalyst3750内部丰富的QOS功能可以保障不同应用所需的网络性能。本次设计中，主路由器Router3725通过原有防火墙设备接入Catalyst3750，到达任何一台交换机出现故障，都不会影响网络的正常运行。核心层交换机Catalyst3750位于数据中心，我们要求它能对各分布层交换机VLAN具有极强的控制能力，在此，我们利用了Cisco的VTP(VLANTrunkProtocol，VLAN中继协议)技术。利用Cisco的VTP技术，我们将全网所有的交换机设置在一个VLAN的管理域(Domain)，将核心层交换机Catalyst3750设置为VTP效劳器(Server)，各楼分布层交换机设置为VTP客户机(Client)，当系统运行后，我们只需在数据中心的核心交换机Catalyst3750设置相应的VLAN控制信息(例如VLAN标识符，各VLAN的平安级别和控制权限等)，通过VTP的同步功能，系统会自动将上述VLAN控制信息转发到同一个VLAN管理域的各客户机上，使各分布层交换机不用手工设置相应的VLAN信息即可从效劳器上得到正确和统一的信息，当核心层交换机VLAN信息发生改变时，系统会自动与全网同步。而各楼层交换机那么不能自行设置相应的VLAN信息，保障了全网VLAN控制的同步和统一。通过VTP的设置，使我们在核心交换机的VLAN控制上，获得如下的优势：减少系统管理员的工作量、提高VLAN的平安性、便于VLAN的修改和移动、便于全网VLAN信息的同步等。2.2.3楼层交换机考虑对于楼层交换机，需要能够支持三层网络协议，支持对整个交换机的端口进行监听以方便管理。由于上连线路往往会成为瓶颈，所以，楼层交换机需要支持以太网聚合，并且支持多个聚合组，每个聚合组支持4个或以上千兆聚合。我们推荐在楼层布线间放置Catalyst3560三层交换机。Catalyst3560用于为所管辖范围内的所有PC机提供100Mbps或者1000Mbps的连接，它又提供了高速的上连中继通道(Trunk)连接到核心交换机，通过千兆电口分别与两台核心交换机Catalyst3750进行千兆的连接。Catalyst3560是很好性价比，很高性能，特点丰富的以太网交换机，可以提供48口10/100M的接口，并带有模块化的四口千兆上联端口。对布线室所需的带宽，性价比，企业版的软件提供了统一的交换方案

2.2本次为每个地州分行选用Catalyst3560三层交换机，采用链路聚合方式与各分行原有的Catalyst3550冗余连接后接入各分行防火墙，通过分行接入路由器汇总至新疆农发行数据中心。拓扑结构图如下参考产品配置清单设备型号

设备描述数量CISCO37253700Series,2-Slot,2FE,MultiserviceRouter32F/256D2CISCO28212821w/ACPWR,2GE,4HWICs,3PVDM,1NME-X,2AIM,IPBASE,64F/256D1WS-C3750G-24TS-ECatalyst37502410/100/1000+4SFPEnhcdMultilayer;1.5RU2WS-C3560-48TS-SCatalyst35604810/100+4SFPStandardImage18GLC-T=1000BASE-TSFP3NM-2W2WANCardSlotNetworkModule(noLAN)1NM-2FE2W-V22port10/100Ethernetwith2WANCardSlotNetworkModule1

第三章、组网技术介绍3.1产品关键技术路由协议支持我们是路由技术的世界领先者，既可选用业内使用最广泛的OSPF、BGP、IS-IS和RIP版本2等基于标准的协议，也可选用成熟可靠的增强型内部网关路由协议〔EIGRP〕等思科协议。必须注意的是，EIGRP还可提供一些您可能需要考虑的额外好处，如配置比拟容易〔不需要考虑骨干区域等〕、因处理要求较低而降低了总体CPU利用率以及可适应未来网络扩容的更强的拓扑结构灵活性等。此外，可实现分层路由汇总和过滤的EIGRP非常适合于为用户建议的分层设计。3.2网络设计技术VLAN和子网划分通常用户都有一种要求，就是在两个接入层交换机之间共享一个子网的设计。为支持这一功能，就必须采用生成树协议。思科公司可以提供符合VLAN802.1w标准的快速生成树，从而确保对每个VLAN的快速故障切换。在这一设计中，每个子网均被映射到一个VLAN，相应地也有它自己的生成树。在此必须指出，思科公司所推荐的最正确实践是，在每个配线间中采用一个子网〔VLAN〕或者一个配线间多个VLAN，但要防止一个VLAN跨多个配线间。这可提供一些关键优势。首先，可以无需再使用生成树，因为不存在第二层环路。其次，可实现更加确定的故障切换，因为采用一个单独的第三层控制平面，而非必须映射到某个第三层域的生成树域。用户可通过采用两种方法之一来实现这一目的。首先，通过采用思科公司所推荐的RFC1918专用地址空间，就能在网络中部署更多IP地址。此外，可采用可变长度子网掩码〔VLSM〕来进一步划分三个现有子网。如果实施这些建议，那么无需再使用生成树，从而确保了更快速的故障切换和对上行链路带宽容量的更好利用，因为生成树总会将一条链路设为“阻塞〞状态。默认网关冗余性为实现默认网关冗余性，思科公司提供了网关负载均衡协议〔GLBP〕。这个协议的根底是思科公司多年来一直在部署的热备份路由协议〔HSRP〕。同HSRP一样，GLBP可确保当默认网关交换机发生故障时,存在一个备用交换机来接替工作。然而，GLBP提供路由器冗余弹性时同时在两条上行链路上均衡负载流量，而HSRP和VRRP那么相反，只能同时利用一条上行链路。GLBP允许两台分布层交换机同时激活地在每个方向上转发数据。对用户来说，相当于增加了一倍可用带宽。另外的好处时，当一条上行链路或一台分布层交换机发生故障时只会影响到50%的用户。另外50%的用户在使用另一条路径，完全不会感到任何中断。GLBP能够和单条上行链路或802.3ad聚合链路一起工作。如果您想保持和其他非思科路由的互操作，思科也支持基于标准的VRRP。3.3网络平安技术部署平安功能，确保高可用性在当今的网络架构中，平安是需要考虑的重要因素，因为它会直接影响到网络的可用性和永续性。用户网络、分支机构或数据中心拓扑结构也许具有抵抗链路故障的永续性，但这并不能防止拒绝效劳攻击导致的网络宕机。这里会介绍一些可对网络可用性产生影响的攻击，以及Catalyst交换机如何解决这些问题。3.3.1用伪流量进行网络泛洪攻击拒绝效劳或蠕虫攻击会导致网络链路的泛洪，填满设备缓冲器和交换机之间的以太网链路。随之又会严重破坏话音质量并极大降低应用的“有效吞吐率〞〔“有效吞吐率〞一词系指所实现的真正应用吞吐率，它与交换机的原始吞吐率无关〕。这些蠕虫多是利用各种不同的TCP或UDP流来扫描网络的。这就导致网络上的数据流量大大增加。下一节中讨论的其他一些特性将介绍因流量过多而导致的问题及其解决方法，然而链路拥堵问题是比拟复杂的：导致这一问题的并不是单个流量，所以我们必须限制一条链路上的所有流量。可通过采用CatalystQoSScavengerClass〔清道夫级别〕来减轻这个问题并保护链路。清道夫级别的本来目的是为特定应用提供顺从效劳或次尽力效劳。对于尽力投送而言，存在一个隐含的承诺，即至少有某些网络资源是可用的。然而，在清道夫级别模式中，不能采取任何承诺，此时应采用清道夫级别效劳来重新降低来自流量异常高的系统的流量的优先权。本解决方案在Catalyst交换机中采用了每个端口多个队列的架构。在一次蠕虫攻击过程中，某终端会向网络中送入极大量的流量。这一流量与预定策略进行比拟，其中包括如何确定清道夫级流量。清道夫级流量的定义是，在一段持续的时间内以高于预定阈值而突发或传输〔而功能正常的终端那么不会这样做〕的流量。仅凭第一次检测并缺乏以作为丢弃分组的依据，因为它也许是合法突发。然而，一个端口不太可能看到这样的用户流量会持续较长时间。该流量随后被标记为“清道夫〞，然后被放入优先权最低的队列中。该队列深度被配置为比拟浅，因此会经常发生队列溢出或尾部丢包。基于TCP的流量会调整抑制；而UDP流量那么会被丢弃。这样，就能保护合法的话音流量和其他流量，例如合法的尽力效劳流量。3.3.2对交换机的第二层转发表进行泛洪攻击第二层交换机根据MAC地址建立转发表，根据MAC地址进行转发、过滤和学习。然而，这个表只有有限的空间。MAC泛洪攻击会迫使交换机学习伪MAC地址，使CAM表过载，并使数据从整个第二层VLAN域泛洪传送。虽然这是第二层交换机的标准行为，但它仍可导致网络和主机性能的降低。为防止这种攻击，Catalyst提供了端口平安特性，即，可限制某个给定端口所能学习的MAC地址的数目。如果有更多地址进入交换机，Catalyst会将这些端口置入限制模式，以保护网络免受攻击。这可确保某个给定端口只能学习数目不多的MAC地址，当学习其他地址时就会锁定该端口。这样，就能立刻阻止攻击。3.3.3对交换机第三层表的洪泛攻击很多蠕虫都会改变来源和目的地IP地址或TCP/UDP端口号，迫使交换机不得不学习成千上万的新流量。通过改变IP、TCP或UDP信息，会导致交换机的CPU过载，如果交换机采用了基于流的交换机制，甚至会引起交换机瘫痪。交换机不再交换或学习合法流量，而路由网络也会受到严重影响。有这种危害的最新蠕虫包括红色代码〔CodeRed〕、Slammer和机智〔Witty〕等。Catalyst交换机采用了基于网络拓扑结构而非流的交换机制Cisco快速转发(CEF)。当路由协议〔OSPF、EIGRP等〕生成路由表时，会根据网络前缀〔IP子网的网络局部〕，而非IP源-和目的地址的流信息来生成硬件转发表。这种技术最初设计用来提高网络对针对路由振荡的弹性，也可直接应用于防止蠕虫攻击。因为CEF并不关心网络中的流量，所以第三层转发表不会受到影响。3.3.4攻击交换机CPU除攻击交换机的转发表之外，还可通过向CPU发送ARP分组等需要处理的控制信息来攻击设备本身的CPU。处理能力和容量有限的CPU就会过载，并导致路由更新或BPDU等真正的控制分组被丢弃。很多网络管理者都熟知CPU以100%利用率运行时的后果–设备和网络会变得不稳定。Catalyst6500可支持控制面板速率限制功能，它可限制向CPU发送分组的速率。在正常运行时，不太可能有大量流量被送往CPU，除非启用基于软件的特性。更不可能出现这些攻击中所使用的那些类型的流量以很高数据速率传送给CPU的情况。这些类型的分组包括ICMP不能到达、ICMP重定向、CEF无路由、TTL超时以及进出访问控制列表等。通过限制这些类型的分组发送给CPU的速率，丢弃超过特定速率的过多分组，确保CPU能够处理〔很可能是丢弃〕恶意分组，而不会发生故障。Catalyst6500可支持多个速率限制器，因此能限制攻击所产生的分组等“坏流量〞的速率，而允许路由协议等“好〞流量通过。这就使CPU甚至在遭受攻击时也能继续处理正常系统任务。3.3.5交换机平安机制思科公司还建议了另外两种生成树增强机制：BPDUGuard，当一个BPDU从某端口进入网络时，可立刻禁用该访问端口。这可防止非法交换机连接到网络并对生成树设计造成潜在的破坏。对于那些可能导致对根网桥进行重新计算的所有分组，RootGuard都会让端口拒绝接收。需要考虑的平安因素–信任与身份机构根底设施中的第一道防线就是接入层。该层必须确定出谁或什么设备正在访问网络、设备的状态是什么、它们可以访问哪些资源。作为进入网络的门户，任何可影响用户行为的平安政策，都必须应用到尽可能靠近用户的地方。多数企业的员工必须先登录网络，然后才能访问效劳器、电子邮件和其他资源；基于身份的网络也都采用相同的原那么。用个比喻说，基于身份的网络类似于一个既拿着护照又持有航空公司常客优惠卡的人。护照提供了对该人身份的验证〔通常是出于安保考虑〕，而常客优惠卡那么可确定应如何对待这个人〔通常是出于网络运行考虑〕。思科公司基于身份的网络效劳〔Identity-basedNetworkingServices–IBNS〕恰恰提供的是这种功能。确认用户身份IBNS是从IEEE802.1x基于端口的网络访问控制标准开始的。基于端口的网络访问控制利用的是IEEE802LAN根底设施中现有的物理特性，而无需改变架构。这一现有根底设施提供了对连接到LAN〔交换机〕端口的设备进行身份验证和授权的方法。802.1x可与RADIUS效劳器配合来成功执行基于端口的网络访问控制〔802.1xIEEE标准〕。为此，网络中就必须存在发挥具体作用的特定设备。请求端〔客户端〕–请求端请求获得对LAN和交换机效劳的访问权，并响应来自接入层设备的请求。请求端必须运行符合802.1x标准的软件。身份验证端〔交换机〕–身份验证端根据请求端的身份验证状态来控制对网络的物理访问。这个设备作为客户机与身份验证效劳器之间的中介〔代理〕，从请求端那里请求身份信息、与身份验证效劳器验证该信息并向该请求端作出响应。交换机通过RADIUS协议与身份验证效劳器进行通信，并通过802.1x协议与请求端进行通信。身份验证效劳器–身份验证效劳器就是RADIUS效劳器〔如CiscoSecureACS〕。它负责处理请求端的身份验证请求。身份验证效劳器先验证请求端的身份，然后通知交换机该主机是否被授权能访问LAN和交换机效劳。因为交换机是作为代理而工作的，所以身份验证效劳对于请求端是透明的。根据用户身份定制相应的效劳用护照做个比喻，这个过程只是要确认出用户的身份。完成这一过程后，可向网络提供关于该用户能获得什么效劳的进一步信息。这个策略是从CiscoACSRADIUS效劳器和/或接入层设备来配置的，且只有当用户身份验证成功后才能应用到端口之上。策略可以被定义为很多东西，但在IBNS情况下，策略主要指〔但不限于〕以下方面：支持动态VLAN配置的IEEE802.1x–可根据用户的身份及其所属的用户组在端口上配置VLAN。支持动态ACL实现功能的IEEE802.1x–可根据正进行身份验证的请求端的身份将一个平安ACL应用到端口的VLAN。支持动态QoS实现功能的IEEE802.1x–可根据正进行身份验证的请求端的身份将一个QoSACL应用到端口/VLAN。支持端口平安的IEEE802.1x–可使网络管理员锁定被允许在某个端口上进行身份验证的具体MAC地址或一些MAC地址。支持访客VLAN的IEEE802.1x–可使不具备802.1x功能的用户/设备获得通过某个访客VLAN访问某个接入层端口的权力，一般局限于有限的资源，如仅限互联网连接等。支持VVID的IEEE802.1x–可实现与基于AVVID的网络的集成。有VVID的IEEE802.1x可使VVID中的话音流量穿过端口，但要求使用的用户/设备进行身份验证。支持RADIUS记帐和跟踪功能的IEEE802.1x–可使网络管理员向RADIUS效劳器发送IEEE802.1x用户记帐信息来进行记帐和跟踪。平安–威胁防御防止中间人攻击Catalyst交换机必须保护与之相连的用户和效劳器。不同于那些可对网络产生影响的攻击，很多针对用户和效劳器的攻击都是检测不到的。这些常称为“中间人〞攻击的攻击采用的是可从互联网上下载的常用工具。这些工具采用多种不同的机制，可以被恶意用户利用来窥探其他员工、经理或管理人员。这可导致机密信息的失窃以及违反保密政策。思科公司提供了一些特性，这些特性共同使用时可保护用户的重要信息。DHCP监听：多数企业网络都是依靠DHCP来进行IP地址分配的。而DHCP并不是平安的协议，因此就使得与某个网络相连的错误配置或恶意设备能很容易地对DHCP请求作出响应，并向DHCP客户机提供错误或恶意的信息。此外，在互联网上有一些工具会大量耗用某个DHCP范围内的所有可用IP地址，并可导致所有合法主机都不能获取IP地址，进而导致网络不可用。DHCPSnooping可同时提供针对这两种情况的保护。它可建立端口的可信/不可信状态，因此可使网络管理员能确定应允许哪些端口〔和相关设备〕作为DHCP效劳器，并拒绝所有其他端口上的DHCP效劳器活动。此外，DHCPSnooping可对DHCP分组进行调查，并确保发送DHCP请求的设备相关的物理MAC地址能匹配该DHCP请求内部的MAC地址。与端口平安相结合，DHCPSnooping不允许耗用地址工具利用DHCP内在的不平安。在很多情况下，DHCPSnooping是与DHCPOption82一起使用的，后者可使交换机在DHCP分组中插入有关它自己的信息。可以插入的最常见信息就是DHCP请求的物理端口ID。这可通过将IP地址关联到某个具体交换机上的某个具体端口，为网络提供很强的智能性，从而防止恶意设备和效劳器的连接。动态ARP检测：ARP〔地址解析协议〕是另一种本身不平安的网络效劳。ARP用于在主机的IP地址表中建立物理〔MAC〕地址。未经请求的ARP是物理MAC地址向IP地址所有权信息的非请求播送。同样可从互联网上下载的ettercap等工具可使恶意用户利用这一行为并成为中间人，进而访问他们不应访问的机密信息。Ettercap是一种“智能化嗅探器〞，它可使有点或毫无技术能力的恶意用户收集资源/用户名/密码信息。与DHCPSnooping一起使用时，DynamicARPInspection可防止某个主机在DHCP效劳器没有为其分配的IP地址的情况下，发送未经请求的ARP。这种保护可防止ettercap等工具利用ARP内在的不平安。IPSourceGuard：某个主机还可通过意外错误配置或恶意企图，从它所没有或不应拥有的某个IP地址获得流量。IPSourceGuard与DHCPSnooping配合使用时，可防止某个主机在没有从合法DHCP效劳器获得某个IP地址的情况下，获得流量。IPSourceGuard会丢弃那些从某个不存在的来源发起的DDOS攻击，即可防止它们利用某个主机从任何来源发送流量的能力，且只允许从通过DHCP获得的IP地址得到的流量。3.4其他考虑因素在集中提供IP交换根底设施的数据中心效劳的核心，还有一些这里并未提出建议，比方有防火墙、内容交换、SSL〔平安套接层〕、入侵检测、网络分析和高速缓存等很多数据中心效劳可对数据中心进行进一步扩展和保护。这些效劳是由Catalyst6500效劳模块提供的，这些模块集成在多层交换机或外部设备之中。对这些效劳的需求是由应用环境的要求来决定的。在此提及供今后考虑。接入层提供了对效劳器本身的连接性。接入层必须能适应快速扩容，同时又要保持最大的效劳器可用性。思科公司建议，将每个效劳器双连接到两个接入层交换机，以防止效劳器单点故障。这两个接入层交换机反过来又双连接到两个会聚层交换机。因为这些效劳器都是在第二层上连接的，所以就需要使用生成树。建议采用每个VLAN快速生成树协议，它可确保在至STP根的主路径发生故障时，实现一秒内的收敛时间。VLAN也可用于隔离多层应用环境的多个层。常用的选择是，将万维网、应用程序和数据库等层部署在不同的VLAN上，并在VLAN边界上使用一些策略。这些策略的范围包括用于VLAN流量的根本防火墙规那么、内容交换、SSL和监控等。这些策略的目的在于，同时控制客户机至效劳器以及效劳器至效劳器的流量。其中一些效劳器，如数据库效劳器等，为双连接。一方面，它们可支持至IP网络的连接；另一方面，可通过光纤通道或iSCSI〔IP上的SCSI〕来支持存储网络。高性能的IPMulticast支持随着MicrosoftNetShow和NetMeeting等组播应用被越来越广泛地使用，作为端到端组播解决方案一局部的组播路由协议变得越来越重要了。思科三层交换机同时支持独立组播路由协议〔PIM〕的松散式和密集式两种模式，并具有用于传统应用的距离矢量组播路由协议〔DVRMP〕的互操作能力。支持IGMP的第一版和第二版，并具有CGMP效劳器能力，将组播IP和交换机集成在一起。这些协议不仅对于IP组播客户参加工作组是必需的，而且对于高效的退网处理－这对节市带宽和终端CPU周期十分重要－也是必需的。第四章、未来网络平安策略的考虑平安策略越来越成为企业网络尤其是企业企业网络的关键因素。特别是随着多协议新业务的开展、电子商务、网上银行、各种中间业务的应用，用户网络不再是一个封闭的网络，而是Intranet、Extranet、Internet互联的网络。这些新应用的出现，极大地扩展了客户的业务，提高了客户的竞争力，但同时也带来网络平安的风险。网络设计中必须制定网络平安策略，保证内部网络的完整性和平安性。CiscoSAFE(SecurityArchitectureforEnterprise企业平安体系结构)为企业客户提供整体的、可扩展的、高性能的、灵活的平安解决方案。SAFE采用模块化的方法根据用户需求制定平安的设计、实施和管理。在设计SAFE的每个模块时，Cisco都考虑到一些关键的因素，包括潜在可能的威胁或侵入及相应的对策、性能〔不能因为平安控制带来不可接受的性能下降〕、可扩展性、可管理性、效劳质量和语音的支持等。SAFE体系结构中采用了Cisco的平安技术和产品。本次网络建设所建议的网络平安策略正是基于SAFE企业平安体系结构，可充分满足客户今后对网络平安的要求。Cisco平安IDS系统是企业级的基于网络的入侵检测系统，针对DoS保护、电子商务防护等方面提供了实时的动态的平安监控和响应解决方案。IDS系统包括一个或多个IDS感应器和一个或多个管理控制台。IDS感应器是高速的平安分析设备，实时地分析网络上传送的数据包，确定是经授权的还是恶意攻击的。如果发现数据流是未经授权的或有可疑行为，IDS感应器能侦测到入侵，终止这个会话，并向管理控制台发送告警。管理控制台是高性能的基于软件的管理系统，可以集中地监控网络中多个感应器〔对于大型的分布式网络也可以部署多个管理控制台〕，提供可视化的告警显示，也可以对入侵作出响应，例如对设备进行远程配置。有了IDS系统，用户就可以实时检测到并终止来自外部和内部的非授权的行为。CiscoIDS系统是CiscoSAFE蓝图中的动态平安组件，具有市场领先地位的技术，攻击检测和反攻击保护。其透明的操作对网络的性能没有影响，具有功能强大的管理软件。IDS通常部署在以下的网络局部：关键数据资源所在的内部网段，防火墙前/后，DMZ等。我们将根据交通客户网络的不同局部进行IDS的部署。根据网络状况，在与Internet/Extranet等外网的接入、PSTN/ISDN的拨号接入、局域网接入控制等几个方面的平安问题是需要着重考虑的，此外在内部的局域网也应有一定的平安措施以保护某些关键的信息。下面我们将针对这几个方面做相应的设计。4.1Internet与Externet接入的平安设计除与Internet连接外，出于业务上的需要，还要与其它一些企业伙伴、信息提供商的信息网络相连接，而且这一类银企互联的应用将会越来越多。需要注意的是，这些应用都涉及到与外部网络的连接，每一个接入内部网络的入口，都是对交通客户网络平安的威胁，外来的恶意攻击者随时有可能通过这些没有完善平安保障机制的网络入口侵入内部网络，窃取机密信息或对计算机系统进行破坏。Extranet与Internet同样都是外部网络，在平安的设计上，我们与Internet采用同样的平安设计模式，对于所有的Extranet接入点，通过配置一体化的PIX防火墙平台，对所有的接入外网进行平安隔离，以消除网络平安上的隐患。与Internet接入不同的是，这里的内部网络是交通客户的后台主机，DMZ区那么放置业务前置机和IDS感应器.PIX防火墙是Cisco公司的防火墙系列产品中性能最高的企业级硬件防火墙，它具有性能超群、配置简单、平安性高、扩展性强等特点，我们利用PIX的多接口特性，只采用一台防火墙即实现了非军事化区的划分。PIX采用先进的自适应平安算法ASA，与传统的分组包过滤的平安隔离方法相比，ASA更加坚韧、灵活、简洁、高效，ASA根据源和目的地地址、随机的TCP序列号、端口号和附加的TCP标识符等来建立连接表，对这些连接表条目使用平安策略进行控制，被PIX所隔离的不同网络平安区域之间的所有出入信息都必须通过连接表的检验，从而实现了在各网络平安区域之间维持边界的平安，并可以根据需要调整平安策略。PIX的NAT地址转换功能既对外部网络屏蔽了内部网络，又使内部网络用户可以有效地对外部网络进行访问，其ASA自适应算法杜绝了从外网发起的对于内网的访问，而对于内网发起的对外网的访问那么可以不受限制，根据平安策略，还可以对这类访问进行基于URL的过滤，拒绝对于非法站点或不符合交通客户规定的访问，节市了网络带宽，为对Internet的有效管理提供了手段。在DMZ区和内部网络局部，配置平安监测设备Cisco公司的IDSSensor入侵检测系统，对于可能发生的入侵进行监测，在入侵发生时可以立即发现并向置于内部网络管理局部的Cisco平安策略管理软件CSPM报警，同时迅速响应中断非法进程并详细记录审计日志。IDSSensor是Cisco公司生产的硬件平安监测设备，具有高性能、安装配置简易的特点，它不但可以进行实时检测、详细的入侵报警和全面的事件记录，更可以与Cisco的网络设备协调工作，自动升级配置以杜绝未来的攻击。4.2拨号接入的平安设计在网络中，拨号访问应用系统的主要目的是为交通客户员工提供通过PSTN拨号进入交通客户内部企业网的效劳，同时为网络主干提供一种有效的备份手段。4.2.1网络用户拨号接入平安由于拨号访问效劳的特殊性，任何人都可以通过拨号访问尝试进入企业内部网络窃取商业秘密甚至对网络系统进行攻击，所以在设计拨号访问系统时，应着重考虑网络的平安性，制定出合理可行的平安策略，采用平安可靠的认证机制以防止对系统资源的非法侵入，控制用户对不可访问资源的访问，确保网络和系统的平安。对拨号用户进入网络，最重要的是其身份的认证和权限的授予。由于根本上拨号用户的身份都是交通客户职工，他们在工作时间是直接连接在内部网络上的，所以其具体的对不同主机的访问权限主要是通过应用层来控制的，没必要在拨号访问系统中作过多的额外控制。那么拨号访问系统中的平安控制机制的主要作用应是对拨号访问用户进行严格认证，防止非交通客户的职工进入内部企业网。出于平安方面的考虑，可以采用集中管理的方式，在网络主中心配置CiscoSecure访问控制效劳器，所有用户的用户名、口令、权限控制都统一管理，防止因分散式管理带来的平安漏洞和管理的复杂性。利用CiscoSecure访问控制效劳器，我们还可以限制同一用户名所接入的话路数，比方规定一个用户名同时只能有一个话路通讯，以保障端口不被人过多占用。CiscoSecure同时支持TACACS+和RADIUS，为二者提供同等功能，客户可以自由选择。在本方案中，我们选择TACACS+，它比RADIUS具有更好的平安性和伸缩性，更适合客户的内部企业网使用。4.2.2生产网络拨号备份平安对于拨号备份类的应用，也全部采用PPP的CHAP认证和授权，为做到实时的自动拨号备份，采用本地静态口令的认证方式。对主干线路的PSTN/ISDN拨号备份，通常是由下一级节点向上一级节点的拨号备份访问效劳器发起呼叫，为了确保主叫方的合法性，除了采用CHAP认证，还可以采用CallBack回拨功能。即下一级节点的路由器拨通上一级节点的拨号备份访问效劳器后，通过认证后，挂断线路，由拨号备份访问效劳器回拨到下一级节点的路由器，回拨的号码在拨号备份访问效劳器上定义。如果采用ISDN拨号，那么可以对主叫号码进行筛选，符合的号码才能接入。而对于远程登录到网络设备进行配置管理的用户名、密码和访问级别那么可以采用集中的CiscoSecure访问控制效劳器来进行统一管理。CiscoIOS提供0至15级的访问级别，能够执行不同的命令。这样，不同级别的网络管理人员有着不同的权限，为网络设备本身的平安提供保障。4.3内部局域网的平安性保证一般来说，局域网中在平安方面的根本功能是VLAN〔虚拟局域网〕的划分和子网之间的基于包过滤的隔离，这已经是非常成熟的技术，在实际环境中有大量的应用。Cisco完全支持这些局域网中根本的平安控制功能，可以根据交换机端口\MAC地址进行VLAN的划分,并通过访问控制列表等技术对于VLAN之间的通讯进行基于IP地址、网段、TCP/UDP端口号等进行过滤。在Cisco核心交换机上，还可以支持VLAN内部通讯的包过滤〔VACL〕。此外，对于在布线室内或管理控制台接入进程中的核实身份，Cisco还提供以下多种附加功能，使用户可以根据需要，灵活使用。端口平安性：能够将交换端口视为特定的MAC地址，如果未授权的设备连接上来，交换时机切断连接并向网络管理站发出一个陷井(Trap)信息。用户注册：与DHCPUserRegistrationTracking(URT)动态链路相连，与DNS/DNCP效劳器动态链接，可以按用户的网络地址及其物理网络位置跟踪用户，从而大大减少了解决问题时所费的时间。与微软公司的MicrsoftNT的主域控制效劳器相集成：URT内部的网络注册流程与Microsoft的PrimaryDomainControlServer(主域控制效劳器，简称PDCS)全面集成。这种集成加强了建立注册帐户所需要的管理工作，充分利用了市场上越来越多的人使用PDCS的有利条件。自动化交换机端口配置：URT根据用户登录上网的逻辑联系，使交换机端口配置全面自动化，大大减低了因园区网络移动性较强而产生的管理费用。跟踪并鉴别与CWSI的链接：URT提供与Cisco用户跟踪应用相连的链路，以便根据用户的登录名称迅速识别其位置。冗余结构：URT拥有全面冗余的结构，这对于每天24小时、每周7天地不间断保证登录和交换机端口重新配置十分重要。TACACS+和RadiusAuthentication：将鉴别和认证植入网络设备的命令行接口(CLI)，通过跟踪用户登录，对进入CLI的访问进行记帐。IP特许表：使网络管理人员可以限定只能从某些特定IP网络地址进入CLI、系统控制台和SNMP。SNMPv3：提供加密的用户身份鉴别，用于网络管理的SNMP加密串。MD5路由鉴别：提供加密的路由表更新，防止非法或未授权的路由表信息，因为它们可能会引起网络不稳定或崩溃。我们用于网络管理的网管工作站、IDS的管理端口、被管设备的IP地址在独立的Subnet和VLAN，和生产网络别离。5.4网络层数据加密隧道对于客户这种需要高平安性的应用来说，除了采取上述的平安措施和平安产品以外，还可以增加的数据加密手段，确保数据传送的保密性、完整性和真实性。对于日益增长的中间业务，有的需要数据穿过公共IP网络，为保证数据不被窃取和篡改，可以采用基于网络层的加密隧道VPN技术。IP_SECURITY协议(IPSec)，是INTERNET工程任务组(IETF)为IP平安推荐的一个协议。通过相应的隧道技术，可实现VPN。我们在方案中的所有Cisco路由器、防火墙产品均支持IPSec，此外Cisco还有专用的IPSecVPN接入集中设备。Cisco的路由器在进行加密计算时，可以基于IOS软件实现，也可以采用硬件加密卡，以到达更高的吞吐量。例如，适用于网点的低端路由器采用IOS软件加密时能到达512Kbps的加密速度，配置了VPN硬件加密模块后，能够到达全双工的E1的加密速度。本网络方案能够满足客户对VPN和数据加密的需求，可以在需要的时候在网络中部署。4.4建立统一的平安策略随着网络规模的扩大和越来越复杂，网络平安的管理也会变得复杂繁琐。管理员们通常采用在整个分布式企业中逐个设备地配置防火墙的方式。在大型网络中，可扩展性问题可能会使平安实施非常昂贵，并会导致错误的配置和不一致的策略出现。多数企业缺乏一种集中化的，协调的机制，以便在整个网络中一致地实施策略，检查策略是否被正确地实施，方便地对策略进行改变，或是检测网络中的攻击、错误和不恰当使用。为解决平安设备和平安策略的统一管理问题，网络的平安策略的统一制定和实施非常重要，为保证整个网络的平安性的一致，防止平安漏洞的存在，同时减轻繁重的配置、管理工作，需要统一的平安策略管理软件。我们有CSPM〔CiscoSecurePolicyManager〕网络平安策略管理软件。Cisco平安策略管理器软件CSPM是可扩展的、功能强大、基于策略的平安管理系统，统一管理企业网络中的平安设备，包括IPSecVPN路由器，防火墙，IDS感应器等。用户可以从中心点来定义、分发、执行和审计全网的平安策略。CSPM极大简化了复杂的网络平安管理任务，例如周界访问控制，IDS，网络地址翻译NAT，和基于IPSec的VPN，使企业网络能快速、有效的部署平安策略。CSPM的主要特性和优势如下：Cisco防火墙管理—简便地定义PIX防火墙和CiscoIOS路由器上的平安策略；CiscoVPN网关管理—简便地配置基于CiscoPIX防火墙和CiscoIOS路由器上的点到点IPSecVPN；IDS管理—配置和监控IDS感应器平安策略管理—使用全网统一策略来管理多至500个Cisco平安设备，不需要很深的设备的知识，不需要对设备进行命令行设置；提示和报告—提供根本的审计工具，监控、告警和报告Cisco平安设备和策略动作，使网络管理员能知悉全网发生的事件；基于WindowsNT—提供容易使用的Widows用户界面.Cisco核心交换机可以提供先进的第三层详细QoS功能，以确保对网络通信量进行详细的分类，划分优先级，以及尽可能地防止发生拥塞。可以在输入的包进入共享缓存之前对包进行分类、重新分类、修正和标记。包分类使网络要素可以区分不同的通信流量，在第二层和第三层QoS领域中实施策略。要实施QoS，首先，交换机需要确定通信流量，或者包组合，利用特色效劳代码点字段〔DSCP〕和/或802.1p效劳类别〔CoS〕对这些组合进行分类或者重新分类。分类和重新分类可以基于源/目的地IP地址、源/目的地介质访问控制〔MAC〕地址或者第四层传输控制协议〔TCP〕/用户数据报协议〔UDP〕端口所指定的标准。在入口处，还将进行实施策略和标记包的工作。所有端口都支持控制面板和数据面板访问控制列表〔ACL〕，以确保每个包都被修正和标记。包在经过分类、修正、标记以后，将在退出交换机之前被分配到适当的序列。Catalyst4500的每个端口支持四个输出序列，从而使网络管理员可以更加详细地为LAN中的不同应用指定优先级。在出口处，交换机进行时序和拥塞控制。时序是一种确定队列被处理的时间顺序的算法/流程。该交换机支持加权轮循均衡〔WRR〕时序和严格的优先级序列。WW序列算法确保了优先级较低的包不会没有带宽可用，而且在受处理时没有损害网络管理人员的优先级设置。严格的优先级序列确保了优先级最高的包永远可以先于所有其他通信流量获得效劳，而其他三个序列将通过WRR时序获得效劳。通过采用时序设置，Catalyst4500的千兆以太网接口可以通过加权随机早期检测〔WRED〕支持拥塞控制。WRED通过设置各个包在拥塞发生之前发生丧失情况的阀值防止了拥塞。这些特性使网络管理员可以设置关键任务型和/或需要占有大量带宽的通信流量的优先级，例如ERP〔Oracle、SAP等等〕，语音〔IP通信量〕和CAD/CAM，将它们与那些对时延不太敏感的应用〔例如FTP和电子邮件〔SMTP〕〕区分开。例如，如果将下载一个大型文件的任务设置到布线室的一段端口，而在该交换机的另外一个端口导致质量上的下降，例如语音通信时延的增加，那将是非常不符合需求的。要防止这种情况，可以确保在整个网络中对语音通信量进行正确的分类和优先级划分。其他应用，例如Web浏览，可以作为低优先级对待，或者“尽力而为〞地进行处理。Cisco核心交换机能够通过对Cisco承诺信息速率〔CIR〕功能的支持进行速率控制。通过CIR，带宽能够以8Kbps的增幅获得保障。带宽可以基于多种标准进行划分，例如MAC源地址、MAC目的地址、IP源地址、IP目的地址，以及TCP/UDP端口编号。带宽分配对于需要效劳水平协议的网络环境至关重要，或者必要时需要网络管理人员控制指定用户所获得的带宽的网络环境。每个端口均支持入口策略和出口策略。这使得网络管理员可以非常准确地控制LAN带宽。4.5应用于整个网络的平安特性IEEE802.1x可以实现基于端口的动态平安；基于所有VLAN的Cisco平安VLANACL〔VACL〕可以防止未经授权的数据流进入VLAN。Cisco标准的和扩展的IP平安路由器ACL〔RACL〕可以定义路由接口的平安策略，用于控制面板和数据面板的通信量需要增强型多层软件镜像〔EMI〕。基于时间的ACL可以实现在一天中的某个特定时段进行平安性设置。专用VLAN边缘提供了同一个交换机不同接口之间的平安性和隔离，确保语音通信量可以直接从入口经过一条虚拟路径到达集中设备，而不会被发送到不同的端口。TACACS+和RADIUS实现了交换机的集中控制，可防止未经授权的用户更改配置。基于MAC的端口级平安可以防止未经授权的终端站访问交换机控制台访问方面的多层平安性可以防止未经授权的用户更改交换机配置。用户可选的地址学习模式简化了配置，提高了平安性。网桥协议数据单元〔BPDU〕防护装置可以在接收到BPDU以后关闭支持生成树协议PortFast的接口，以防止意外的拓扑环。生成树根防护〔STRG〕可以访问不属于网络管理员控制范围的边缘设备成为生成树协议的根节点。

第五章、网络平安效劳质量设计定义网络策略是设计企业网络的一个根本组成局部。它与定义带宽要求或冗余需求一样重要。平安策略定义和制定了那些获准接入企业的技术和信息资源者必须遵守的行动纲要。创立企业平安策略的好处有：提供了在网络根底设施中实施平安特性的框架提供了审查已有网络平安性的程序建立了合法行为的基准(如果需要)网络平安策略是对风险进行评估，鉴别重要资产和可能威胁以后产生出来的。网络资产包括：网络主机〔如PC机、包括主机操作系统、应用和数据〕联网设备〔如路由器、交换机和防火墙〕网络数据〔传输在网络上的数据〕在制定平安策略时，既要考虑到信息的易获取性，也要考虑到以适当的机制认证已授权的用户并保证数据的完整性和保密性。平安策略既要在技术上也要在结构上可执行。首先，要确定什么要受到保护，什么将需防止。另外，要考虑受威胁的可能性。通常，最简易的是将一个企业网分成三个不同的局部：主园区网，拨入访问及Internet连接，如下图。企业网组成局部企业网的核心是主园区网。拨入局部包括远程分支、远程工作者和/或移动用户的连接。Internet局部，或称为网络周界，提供了从中央园区到Internet的连接。在制定一个综合性平安策略时，所有这三个局部〔主园区网、拨入、Internet〕可以分别考虑。平安策略中包含三个主要要素：身份，完整性及审计。身份包括鉴别和授权。鉴别答复了“你是谁〞和“你在哪？〞这两个问题，授权答复“你可以访问什么〞。必须对身份机制谨慎部署，因为如果设施难以使用，即便是最严谨的平安策略也有可能被避开。一个最典型的例子就是一个使用者因为不得不记住许多口令而把一张写了口令的便签纸贴在计算机显示屏上。累赘及多余的认证和授权系统会使用户感到厌烦，应注意防止。完整性要素包括了网络根底设施的平安(物理及逻辑接入)，周界平安和数据保密性。物理接入平安可将网络设备远远地放置在特别建立的网络设备柜中，并加以限制。逻辑接入平安主要指在允许Telnet或控制台接入到必不可少的网络根底设施元件(例如路由器和防火墙)之前提供身份鉴别机制(确认与授权)。边界平安涉及到防火墙种类的功能，决定网络的不同区域允许或拒绝何种业务，特别是在Internet和主园区网之间或拨入网和主园区网之间。最后一个主要平安要素是审查元件，这对确证和监督平安策略的实施是非常必要的。为检验平安根底设施的有效性，应经常进行定期的平安审查，应包括新系统安装检查，发现恶意入侵行为的措施，可能的特殊问题(拒绝业务攻击)以及对平安策略的全面遵守等方面。基于身份的网络访问控制和策略实施提供了一个解决方案，这个解决方案允许网络管理员真正实现基于用户身份对网络访问进行控制。它能够对用户和设备进行认证，并且把已通过认证的实体与相应的策略绑定，确保网络访问地平安性。思科的网络访问控制和策略实施为网络提供了如下的效劳和能力：用户及设备的认证把网络实体的身份与预定义策略集绑定在一起的能力依据授权策略在端口级允许或禁止网络访问的能力在任何被允许的访问连接上实施附加应用策略的能力，这些附加应用策略包括资源访问和效劳质量保证等在实施这个解决方案时，需要如下一些设备和效劳：思科支持这个解决方案的交换机，如思科7600/Catalyst6500系列交换机思科SecureAccessControlServer(ACS)v3.3forWindows支持IEEE802.1x的客户端操作系统，如WindowsXP，以及增加了微软附加应用的Windows98、Windows98SE和Windows2000等。还可以使用基于X.509PKI公共密钥体系的更为强壮的认证功能。通过支持IEEE802.1x标准，思科Catalyst交换机能够执行根本的基于端口的网络访问控制。通过在支持802.1x的客户端软件上配置PKI认证，或是用户名/口令认证，运行802.1x特性的思科Catalyst交换机能够结合后台的思科SecureACS效劳器对发出请求的用户或系统进行认证。认证过程如下列图：1.1.登录请求2.登录信息5.登录成功允许访问3.通过策略数据库检查4.这是John。John允许访问6.交换机翻开端口用户或设备的证书或相关信息由思科SecureACS效劳器进行处理，思科SecureACS在处理用户或设备的相关策略信息时，既可以使用内置的用户数据库，也可以使用外部的的数据库，如MicrosoftActiveDirectory,LDAP,NovellNDS或是Oracle数据库。虽然根本的802.1x标准提供的简单认证能够显著改良网络访问控制的能力，我们仍然需要一个更为强大的解决方案。思科的端到端解决方案就可以提供这样一个更好的解决方案。思科的网络访问控制和策略实施方案可以提供更好的特性用于网络控制和策略分配，这个解决方案是完全基于标准，并且可以与第三方的802.1x和RADIUS效劳设备兼容的。这个解决方案可以让思科SecureACS效劳器把相应的策略信息和参数通报回网络设备，从而使ACS的后台数据库成为策略配置的中心点，网络设备那么成为这些策略的实施点。可以被动态配置的的参数包括：VLAN访问控制表QoS参数等等相应过程如下列图：1.1.登录请求2.登录信息5.登录成功允许访问3.通过策略数据库检查4.这是John，John属于VLAN5,被允许访问办公网，其效劳质量保证标记为7。6.交换机应用策略，并翻开端口SetportVLANto5SetportQoSTaggingto7SetQoSratelimitforFTPto5Mbps用于业务分类的IP优先权(IPPrecedence)：IP优先权提供了将业务划分为多个效劳类的功能。网络管理员可以定义多达六个效劳类，并利用扩展访问控制列表(扩展ACL)，为每个效劳类定义拥塞处理和带宽分配策略。IP优先权功能利用在IP头上用于标识效劳类型(Type-of-Service)的三个比特位,确定每个分组的效劳类。IP优先权功能为预定分配提供了相当的灵活性，包括客户分配(如根据应用程序和访问效劳器)和基于IP或MAC地址、物理端口或应用程序的网络分配。IP优先权功能既可采用被动模式(接收客户分配的优先权)，也可采用主动模式，此时，网络根据预先定义的策略设置优先权或超越客户分配的优先权。IP优先权可被映射到邻接技术(如标记交换、帧中继或ATM)，在非均匀网络环境下提供端到端的QoS策略。在不改变现有应用程序，不需要复杂化网络信令的前提下，仅利用IP优先权功能就可建立效劳类等级。用允许访问速率(CommittedAccessRate)管理访问带宽:CAR为网络管理员提供了一个为业务目的地分配带宽，并制定超过带宽分配额度时的业务处理策略的工具。CAR既可以用于网络入口也可以用于网络出口。CAR阈值可根据访问端口、IP地址和应用程序设定。CAR测量业务负载，限制带宽资源分配，能适应IP业务固有的流量突增特点。CAR利用扩展ACL对超出分配带宽的业务制定处理策略，包括重新定义带宽可用阈值、修改分组的优先级、制定分组丢弃原那么等。CAR策略的选择包括：1〕FirmCAR：丢弃超过分配带宽的分组2〕CAR+Premium：为分组重新定义更高或更低的优先级3〕CAR+BestEffort：丢弃之前先为其分配一个极大的阈值4〕PerApplicationCAR：为不同的应用程序制定不同的策略。用于拥塞管理的随机早期预测(RED)：RED为网络管理员提供了灵活制定流量控制策略的能力，使其能在拥塞情况下保持尽可能大的吞吐量。RED与抗干扰的传输协议(如TCP)协同工作，可根据如下的实现算法智能化地防止网络拥塞：区分网络可适应的临时性流量爆炸和将耗尽网络资源的极度超载；提供公平的带宽递减策略，按比例减少带宽的可用额度。RED和TCP协同工作，在大流量出现时，能预先控制拥塞，并用丢弃分组的方式，保持大吞吐量。同时，RED也为网络管理员提供了相当灵活的参数设置手段，包括调整队列长度阈值的最大值和最小值、分组丢弃几率和MIB，分组交换和分组丢弃的管理策略等。加权RED，基于效劳类的拥塞管理(WRED)：WRED结合了IP优先权和RED功能，为不同类别的效劳提供不同的性能对优先权较高的分组优先处理。WRED在拥塞情况下仍能进行优先处理，而且不会加剧拥塞。网络管理员可以灵活地为不同的效劳类定义排队长度最大和最小阈值以及分组丢弃率。系统还为每个效劳级别提供MIB，以实现网络管理的可见性。根据效劳类别加权公平排队(WFQ)：WFQ提供了这样一种能力，在为较低优先级业务公平分配现有带宽的同时，保证要求低延时的高优先级和低优先级流。高优先级流立即得到处理，低优先级流那么插入队列，按比例共享现存带宽。在出现拥塞时，低优先级流的分组可能被丢弃。QoS效劳提供了基于效劳类型的分布式WFQ，从而提高了性能和可扩展性。最后，有一个“热点〞问题，就是使用企业目录效劳来定义标志和策略。这是一种高于IP寻址的级别。也就是说，只要知道单位名称或企业名称，就可以使用企业目录效劳给该企业打。CAR/WRED/WFQ/WDRR的工作机制如下列图所示，这些机制共同工作完成了网络接入局部的IPQOS保证机制，对不同效劳质量要求的用户在接入骨干网络之前进行了有序的流量管理和控制，从而在保证用户QOS的前提下，也减少的对骨干网络的压力。图：网络系统QOS保证机制交换机通过上述机制在数据进入网络的进入点—以太网端口就对数据流分类标识，然后全网的网络设备都可以根据这些标识为数据流提供适宜的效劳质量保证，从而保证全网端到端的效劳质量保证。

第六章、网络管理设计网络管理对于不同的管理人员有着不同的意味。比方，在一些军队的网络中，管理人员会很注重对网络活动的监视，乐于使用旧式的网络分析仪；而在另一些网络中，网络管理那么包含着分布式的数据库，对网络设备和高性能工作站的自动轮询，产生实时的网络拓扑图、流量图等。一般来说，网络管理提供的是一种效劳，它通过一系列的工具、程序和设备，帮助管理人员监视和维护网络运行，以及为网络系统的规划提供网络层和应用层的可靠数据。在日常的网络管理过程当中，经常包含下面三个过程：安装配置和更改配置网络监视和故障诊断网络设计和优化实施和更改监控和诊断设计和优化安装配置地址管理添加、迁移、更改平安记帐和计费资产和库存报告用户管理数据管理定义阈值监控期望值孤立问题通知关联纠错旁路和解决校正收集历史基线趋势分析响应时间分析容量规划采购拓扑设计效劳级别协议网络管理提供的不只是一个网络管理平台，而是基于的全线网络设备的一系列系统管理软件。网络管理系统必须实现比方设备面板监控、配置管理、设备软件升级管理、QoS效劳质量管理、平安管理、规划管理等，以及许多现代网络中必备的技术的管理，如VLAN管理、ATM管理、访问控制管理等功能。为用户提供强大的网络管理、分析和规划的手段。网管管理系统的内容非常丰富，大体上分为三个层次。