HC网络安全技术

H3C网络安全技术与网络部署

目次

摘要...........................................................错误!未定义书签。

目次...........................................................................1

1绪论...........................................................................3

1.1研究意义和背景..........................................................3

1.2目前研究现状............................................................3

1.2.1局域网内部安全....................................................4

1.2.2远程接入和边界安全................................................5

1.2.4路由安全..........................................................6

1.3研究内容和拟解决的问题..................................................7

1.4结语....................................................................7

2网络安全概述...................................................................8

2.1网络安全的基本概念......................................................8

2.2网络安全的特点..........................................................9

2.3网络安全策略............................................................9

2.3.1网络物理安全策略..................................................9

2.3.2网络拜访控制策略.................................................10

2.3.3网络信息加密策略.................................................10

2.3.4网络安全治理策略.................................................10

3局域网安全....................................................................11

3.1基于H3c系列交换机VLAN的应用.......................................11

3.2基于VLAN的PVLAN技术的应用........................................13

3.3利用GVRP协议来治理VLAN.........................................................................................14

3.4H3C交换机设备之间的端口汇聚..........................................14

3.5启用端口镜像对流量进行监控............................................15

3.6构建安全的STP生成树体系..............................................17

3.7多层交换体系中部署VRRP..............................................................................................18

3.8IRF技术的应用.........................................................19

4边界网络安全..................................................................21

4.1NAT技术的应用........................................................22

4.2ACL技术的应用........................................................22

4.3VPN技术的应用........................................................24

4.3.1IPsecVPN的应用..................................................25

4.3.2IPsec上的GRE隧道..............................................26

4.3.3二层VPN技术L2Tp的应用........................................26

4.3.4SSLVPN技术的应用..............................................27

4.3.5DVPN技术的应用.................................................27

4.3.6VPN技术在MPLS网络中的应用.....................................28

4.4H3CSecPath系列防火墙/VPN的部署.....................................29

4.5H3C的各类安全模块....................................................31

4.5.1H3CSecBladeFW模块.............................................31

4.5.2H3CSSLVPN模块................................................32

4.5.3H3CASM防病毒模块.............................................34

4.5.4H3CNSM网络监控模块...........................................35

4.6H3C的IPS和UTM设备.................................................35

5身份认证与拜访控制...........................................................38

5.1AAA安全服务..........................................................38

5.2EAD安全解决方案......................................................40

5.3802.IX身份认证........................................................41

5.4设备安全...............................................................42

5.4.1物理安全..........................................................43

5.4.2登录方式和用户帐号...............................................43

5.4.3SNMP协议的应用.................................................44

5.4.4NTP协议的应用..................................................45

5.4.4禁用不安全的服务.................................................45

6路由安全......................................................................47

6.1静态路由协议...........................................................47

6.1.1利用静态路由实现负载分担........................................47

6.1.2利用静态路由实现路由备份........................................47

6.2OSPF路由协议.........................................................48

6.2.1OSPF身份验证...................................................48

6.2.2分层路由.........................................................48

6.2.3可靠的扩散机制...................................................49

6.2.4OSPFLSDB过载保护.............................................50

6.2.5DR\BDR的选举和路由器ID的标识.................................50

6.3BGP路由协议...........................................................50

6.3.1BGP报文保护.....................................................50

6.3.2BGP对等体组PeerGroup......................................................................................51

6.3.3BGP负载均衡.....................................................51

6.3操纵路由挑选更新........................................................52

6.4.1路由重分发.......................................................52

6.4.2静态路由和默认路由...............................................53

6.4.3路由分发列表和映射表.............................................54

6.4.4操纵治理距离.....................................................54

7网络攻击的趋势和主流的网络攻击...............................................55

7.1ARP攻击...............................................................56

7.2DDOS攻击.............................................................56

7.3TCPSYN攻击..........................................................57

7.4口令攻击...............................................................58

7.5缓冲区溢出攻击.........................................................58

7.6蠕虫病毒...............................................................58

7.7Land攻击..............................................................59

7.8Vian攻击...............................................................59

1绪论

1.1研究意义和背景

运算机网络安全已引起世界各国的关注，我国近几年才逐步开始在高等教育

中渗透运算机网络安全方面的基础知识和网络安全技术应用知识。随着网络高新

技术的不断发展，社会经济建设与发展越来越依靠于运算机网络，运算机网络安

全对我们生活的重要意义也不可同日而语。⑴

2010年1月，国务院决定加快推进电信网、广播电视网和互联网三网融合,

2010年至2012年广电和电信业务双向进入试点，2013年至2015年，全面实现

三网融合。所谓三网融合即推进电信网、广播电视网和互联网三网互联互通、资

源共享，为用户提供语音、数据和广播电视等多种服务。此政策涉及领域广泛，

涉及上市公司众多。这将导致未来几年网络规模以指数形式增长，网络也会变得

越来越复杂，承担的任务越来越关键，给运营和治理网络的人们带来新的挑战，

很明显这些快速发展的技术引发了新的安全问题。网络安全对国民经济的威逼、

甚至对国家和地区的威逼也日益严重。⑵因此网络安全扮演的角色也会越来越重

要。与此同时，加快培养网络安全方面的应用型人才、广泛普及网络安全知识和

把握网络安全技术突显重要和迫在眉睫。

H3c设备是目前我国政府，企业，电信，教育行业的主流网络设备生产商，

研究旗下路由器，交换机以及安全设备，储备设备的网络安全系统的综合部署对

以后系统集成案例有很好的效仿作用。

1.2目前研究现状

目前广泛应用的网络安全模型是秘密性、完整性、可用性

(CIA,confidentiality,integrity,andavailability)3项原则。这三项原则应指导

所有的安全系统。CIA还为安全实施提供了一个度量工具。这些准则适用于安全

分析的整个阶段从拜访一个用户的Internet历史到Internet上加密数据的安

全。违反这3项原则中的任何一个都会给相关方带来严重后果。⑶

1.2.1局域网内部安全

虽然很多攻击是从外网展开的，但是部分攻击也会源于内网，比如常见的

ARP攻击等等，系统的安全性不是取决于最坚固的那一部分，而是取决于最薄

弱的环节。因此内网安全十分重要。⑷

（1）基于ACL的拜访控制

如今的网络充斥着大量的数据，如果没有任何适当的安全机制，则每个网络

都可以完全安全拜访其他网络，而无需区分已授权或者未授权。控制网络中数据

流动有很多种方式，其中之一是使用拜访控制列表（通常称作ACL,accesscontrol

list）oACL高效、易于配置，在H3c设备中易于部署和实现。⑸

（2）同一个子网内PVLAN的应用

PVLAN即私有VLAN（PrivateVLAN）,PVLAN采用两层VLAN隔离技术，

只有上层VLAN全局可见，下层VLAN相互隔离。如果将交换机设备的每个端

口化为一个（下层）VLAN,则实现了所有端口的隔离。PVLAN通常用于企业

内部网，用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却答

应与默认网关进行通信。尽管各设备处于不同的PVLAN中，它们可以使用相同

的IP子网，从而大大减少了IP地址的损耗，也防止了同一个子网内主机的相互

攻击。⑹

（3）网关冗余备份机制

VRRP（VirtualRouterRedundancyProtocol,虚拟路由冗余协议）是一种网

关冗余备份协议。通常，一个网络内的所有主机都设置一条缺省路由，这样，主

机发出的目的地址不在本网段的报文将被通过缺省路由发往网关，从而实现了主

机与外部网络的通信。当网关断掉时，本网段内所有主机将断掉与外部的通信。

VRRP就是为解决上述问题而提出的。使用VRRP,可以通过手动或DHCP设

定一个虚拟IP地址作为默认路由器。虚拟IP地址在路由器间共享，其中一个

指定为主路由器而其它的则为备份路由器。如果主路由器不可用，这个虚拟IP

地址就会映射到一个备份路由器的IP地址（这个备份路由器就成为主路由器）。

17J

GLBP（GatewayLoadBanancingProtocol网关负载均衡协议）,和VRRP

不同的是，GLBP不仅提供冗余网关，还在各网关之间提供负载均衡，而HRSP、

VRRP都必须选定一个活动路由器，而备用路由器则处于闲置状态，这会导致资

源一定程度的浪费。和HRSP不同的是，GLBP可以绑定多个MAC地址到虚拟

IP,从而答应客户端挑选不同的路由器作为其默认网关，而网关地址仍使用相同

的虚拟IP,从而实现一定的冗余和负载均衡。

以上两种协议不仅可以在H3C网络设备使用，也可以在其它厂商的网络设

备中使用。

1.2.2远程接入和边界安全

远程接入是直接接入到网络系统内部，而接入控制器也往往处于网络系统的

边界部分。因此边界安全成为应对外部威逼和攻击面对的第一道防线。⑻

(1)网络地址转换(NAT)

网络地址转换(NAT,NetworkAddressTranslation)属接入广域网(WAN)技术,

是一种将私有(保留)地址转化为合法IP地址的转换技术，它被广泛应用于各种类

型Internet接入方式和各种类型的网络中。原因很简单，随着接入Internet的运

算机数量的不断猛增，IP地址资源也就愈加显得捉襟见肘。NAT不仅完美地解

决了］P地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并

保护网络内部的运算机。虽然NAT可以借助于某些代理服务器来实现，但考虑

到运算成本和网络性能，很多时候都是在H3C路由器上来实现的。

(2)H3C硬件防火墙

防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专

用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说

法，使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保

护内部网免受非法用户的侵入，防火墙主要由服务拜访规则、验证工具、包过滤

和应用网关4个部分组成。⑼

(3)H3c入侵检测系统(IPS)

虽然防火墙可以根据IP地址和服务端口过滤数据包，但它对于利用合法地

址和端口而从事的破坏活动则无能为力，防火墙主要在第二到第四层起作用，很

少深入到第四层到第七层去检查数据包。入侵预防系统也像入侵侦查系统一样，

专门深入网路数据内部，查找它所认识的攻击代码特点，过滤有害数据流，丢弃

有害数据包，并进行记载，以便事后分析。除此之外，更重要的是，大多数入侵

预防系统同时结合考虑应用程序或网路传输重的非常情形，来辅助识别入侵和攻

+(101

mo

(4)远程接入VPN应用

虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个

暂时的、安全的连接，是一条穿过纷乱的公用网络的安全、稳固的隧道。虚拟专

用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商

业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。

虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可

用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙

伴和用户的安全外联网虚拟专用网。VPN主要采用隧道技术、加解密技术、密

钥治理技术和使用者与设备身份认证技术保证网络安全。⑵

1.2.3身份安全和拜访治理

一种拜访治理的解决方案是建立一个基于策略的执行模型，确保用户有一种

安全的治理模型。针对网络中所有设备与服务，这种治理模型的安全性可为用户

提供基于策略的拜访控制、审计、报表功能，使系统治理员可以实施基于用户的

私密性和安全策略。身份安全和拜访治理处于首要层面。,⑶

(1)AAA认证

AAA,认证(Authentication)：验证用户的身份与可使用的网络服务;授权

(Authorizat沁n)：依据认证结果开放网络服务给用户;计帐(Accounting)：记录用户

对各种网络服务的用量，并提供给计费系统；整个系统在网络治理与安全问题中

十分有效。此项功能可以结合TACACS+服务器实现。

(2)IEEE802.1X

802.lx协议是基于Client/server的拜访控制和认证协议。它可以限制未经授

权的用户/设备通过接入端Dgccessport)拜访LAN/WLAN。在获得交换机或LAN

提供的各种业务之前，802.lx对连接到交换机端口上的用户/设备进行认证。在

认证通过之前，802.1X只答应EAPoL(基于局域网的扩展认证协议)数据通过

设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

(3)网络准入控制(NAC)

网络准入控制(NetworkAccesscontrol,NAC)是一项由思科发起、多家厂商

参加的计一划，其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借

助NAC,客户可以只答应合法的、值得信任的端点设备(例如Pc、服务器、PDA)

接入网络，而不答应其它设备接人。在初始阶段，当端点设备进入网络时，NAC

能够帮助治理员实施拜访权限。此项决策可以根据端点设备的信息制定，例如设

备的当前防病毒状况以及操作系统补丁等。,⑸

(4)设备安全策略

H3C设备，如路由器、交换机、防火墙和VPN集中器等都是网络的组成部

分，确保这些设备的安全是整体网络安全策略的一个重要组成部分。物理安全要

考虑网络拓扑设计冗余、设备的安全位置、介质、电力供应等安全因素。对设备

进行拜访时，必须采用密码或者RSA认证，对远程拜访采用更加安全的SSH协

议，针对不同的用户级别，设定不同的优先级等级。'⑹

1.2.4路由安全

为了有一个安全的网络，将安全作为网络中流量怎样流动的一部分是根本。

因为路由协议决定流量在网络中是怎样流动的，所以确保以一种与网络的安全需

要相一致的方法挑选和实现路由协议很关键。

(1)操纵路由挑选更新

操作路由挑选更新的常用方法是路由分发列表，如果想进行更细致的调剂可

以设置相应的路由更新策略。当网络中有两种不同的路由协议时，可以采用上述

策略。其它控制或防止生成动态路由挑选更新的方法主要有：被动接口，默认和

静态路由，操纵治理距离。

(2)OSPF路由协议安全

OSPF是一个被广泛使用的内部网关路由协议。通过对路由器进行身份验证,

可避免路由器收到伪造的路由更新。使用回环接口作为路由器ID是OSPF网络

用以确保稳固性并从而确保安全的一个重要技术。针对区域的不同功能设定不同

的区域类型。

(3)BGP路由协议安全

BGP是运行在当今Internet上大部分相互域间路由的路由协议，大型网络比

较常见。虽然，目前国内除运营商外大多数企业网络挑选内部网关协议，然而对

于有多条ISP链路的企业，边界采用BGP对网络还是很有优势的。BGP通常采

用对等体认证，路由过滤，路由抑制等手段来保证协议的安全性。

1.3研究内容和拟解决的问题

论文通过对目前网络存在的安全问题进行分析，针对各种安全漏洞制定相应

的安全解决方案。

局域网安全部分，解决接入层子网的划分，如何控制广播风暴，防止物理链

路失效，网关的冗余备份。

边界安全方面，包括隐藏内部地址，控制部分网段的拜访，远程登录。

身份认证方面，保证对交换机、路由器等网络设备的安全拜访的身份认证、

授权和统计，合法用户安全接入网络。

路由安全方面，如何对不同的路由协议采用安全认证，针对不同的网络区域

过滤不必要的路由更新。

另外针对目前主流的网络攻击行为，采用不同的安全技术对其进行防备和反

侦察。

1.4结语

网络安全技术是一个永恒的，综合性的课题，并不是我们的网络采用了相关

的防范技术，就不用考虑网络安全因素了，一种安全技术只能解决一方面的问题,

而不是万能的。

新型的攻击手段总在不断地涌现，最好的防范措施就是运算机网络安全人员的安

全意识。运算机操作人员需要不断学习，不断积存体会，提高运算机网络水平，

这才是提高我们运算机网络安全最重要的安全措施。,⑺

2网络安全概述

随着网络规模以指数形式增长，网络变得越来越复杂，承担的任务越来越关

键，给运营和治理网络的人们带来了新的挑。很明显需要包括语音、视频和数据

（全能）服务的综合网络基础设施建设，但是这些快速发展的技术引发了新的安

全问题。因此网络治理员竭尽所能在网络基础设施里添加最新的技术，在构建和

保护当今高速增长的网络方面，网络安全扮演了举足轻重的角色。本章对当今快

速变化网络环境下的网络安全进行了广泛描述。网络中最为常见的拓扑结构就是

如图2.1所示的三层网络拓扑图。

图2.1三层网络结构图

2.1网络安全的基本概念

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶

然的或者恶意的原因而遭受到破坏、更换、泄露，系统连续可靠正常地运行，网

络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说，

凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术

和理论都是网络安全的研究领域。

2.2网络安全的特点

网络安全应具有以下五个方面的特点：

保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。

完整性：数据未经授权不能进行改变的特性。即信息在储备或传输过

程中保持不被修改、不被破坏和丢失的特性。

可用性：可被授权实体拜访并按需求使用的特性。即当需要时能否存

取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运

行等都属于对可用性的攻击。

可控性：对信息的传播及内容具有控制能力。

可审查性：显现的安全问题时提供依据与手段。

从网络运行和治理者角度说，他们期望对本地网络信息的拜访、读写

等操作受到保护和控制，避免显现“陷门”、病毒、非法存取、拒绝服务和网

络资源非法占用和非法控制等威逼，禁止和防备网络黑客的攻击。对安全

保密部门来说，他们期望对非法的、有害的或涉及国家秘密的信息进行过

滤和防堵，避免机要信息泄露，避免对社会产生危害，对国家造成庞大缺

失。从社会教育和意识形状角度来讲，网络上不健康的内容，会对社会的

稳固和人类的发展造成阻碍，必须对其进行控制。

2.3网络安全策略

运算机网络系统的安全治理主要是配合行政手段，制定有关网络安全

治理的规章制度，在技术上实现网络系统的安全治理，确保网络系统的安

全、可靠地运行，主要涉及以下四个方面：

2.3.1网络物理安全策略

运算机网络系统物理安全策略的目的是保护运算机系统、网络服务器、

网络用户终端机、打印机等硬件实体和通信链路免受自然灾害、人为破坏

和攻击；验证用户的身份和使用权限、防止用户越权操作；确保运算机网

络系统有一个良好的工作环境；建立完备的安全治理制度，防止非法进入

运算机网络系统控制室和网络黑客的各种破坏活动。

2.3.2网络拜访控制策略

拜访控制策略是运算机网络系统安全防范和保护的主要策略，它的主

要任务是保证网络资源不被非法使用和非常规拜访。它也是保护网络系统

安全、保护网络资源的重要手段。各种网络安全策略必须相互配合才能真

正起到保护作用，所以网络拜访控制策略是保证网络安全最重要的核心策

略之一。

2.3.3网络信息加密策略

信息加密策略主要是保护运算机网络系统内的数据、文件、口令和控制

信息等网络资源的安全。

2.3.4网络安全治理策略

在运算机网络系统安全策略中，不仅需要采取网络技术措施保护网络安

全，还必须加强网络的行政安全治理，制定有关网络使用的规章制度，对

于确保运算机网络系统的安全、可靠地运行，将会起到十分有效的作用。

运算机网络系统的安全治理策略包括：确定网络安全治理等级和安全治理

范畴；制定有关网络操作使用规程和人员出入机房治理制度；制定网络系

统的治理保护制度和应急措施等等。

3局域网安全

3.1基于H3C系列交换机VLAN的应用

VLAN技术的显现，主要为了解决交换机在进行局域网互连时无法限

制广播的问题。这种技术可以把一个LAN划分成多个逻辑的LAN即VLAN,

每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，

而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内，从

而最大程度的减少了广播风暴的影响。

VLAN可以增强局域网的安全性，含有敏锐数据的用户组可与网络的

其余部分隔离，从而降低泄露秘密信息的可能性。不同VLAN内的报文在

传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户

直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机

等三层设备，如图3.1。

方法:

1、基于端口的VLAN划分

这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最

简单、最有效的划分方法。该方法只需网络治理员对网络设备的交换端口

进行重新分配即可，不用考虑该端口所连接的设备。

2、基于MAC地址的VLAN划分

MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是惟

一且固化在网卡上的。MAC地址由12位16进制数表示，前6位为网卡的

厂商标识（OUI）,后6位为网卡标识（NIC）。网络治理员可按MAC地址

把一些站点划分为一个逻辑子网。

3、基于路由的VLAN划分

路由协议工作在网络层，相应的工作设备有路由器和路由交换机（即

三层交换机）。该方式答应一个VLAN跨过多个交换机，或一个端口位于多

个VLAN中。就目前来说，对于VLAN的划分主要采取上述第1、3种方

式，第2种方式为辅助性的方案。

H3C低端系列以太网交换机支持的以太网端口链路类型有三种：

■Access类型：端口只能属于1个VLAN,一样用于连接运算机；

■Trunk类型：端口可以属于多个VLAN,可以接收和发送多个VLAN的

报文，一样用于交换机之间的连接；

■Hybrid类型：端口可以属于多个VLAN,可以接收和发送多个VLAN的

报文，可以用于交换机之间连接，也可以用于连接用户的运算机。

交换机与工作站之间的连接接口配置为Access,交换机和交换机之间

的连接一样采用Trunk端口，协议采用802.1q(ISL为cisco专用协议)。

3.2基于VLAN的PVLAN技术的应用

传统的VLAN固然有隔离广播风暴，增强局域网内部安全性等好处，

然而不可避免的有以下几个方面的局限性：

(1)VLAN的限制：交换机固有的VLAN数目的限制；

(2)复杂的STP：对于每个VLAN,每个相关的SpanningTree的拓扑都

需要治理；

(3)IP地址的紧缺：IP子网的划分势必造成一些IP地址的浪费；

(4)路由的限制：每个子网都需要相应的默认网关的配置。

现在有了一种新的VLAN机制，所有服务器在同一个子网中，但服务

器只能与自己的默认网关通信。这一新的VLAN特性就是专用VLAN

(PrivateVLAN)0在PrivateVLAN的概念中，交换机端口有三种类型：

Isolatedport,Communityport,Promiscuousport；它们分别对应不同的VLAN

类型：Isolatedport属于IsolatedPVLAN,Communityport属于

CommunityPVLAN,而代表一个PrivateVLAN整体的是PrimaryVLAN,

前面两类VLAN需要和它绑定在一起，同时它还包括Promiscuousport。在

IsolatedPVLAN中，Isolatedport只能和Promiscuousport通信，彼此不能

交换流量；在CommunityPVLAN中Communityport不仅可以和

Promiscuousport通信，而且彼此也可以交换流量。Promiscuousport与路由

器或第3层交换机接口相连，它收到的流量可以发往Isolatedport和

Communityporto

PVLAN的应用对于保证接入网络的数据通信的安全性是非常有效的，

用户只需与自己的默认网关连接，一个PVLAN不需要多个VLAN和IP子网就

提供了具备第2层数据通信安全性的连接，所有的用户都接入PVLAN,从而

实现了所有用户与默认网关的连接，而与PVLAN内的其他用户没有任何拜

访。PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信，

但可以穿过Trunk端口。这样即使同一VLAN中的用户，相互之间也不会受

到广播的影响。

目前很多厂商生产的交换机支持PVLAN技术，PVLAN技术在解决通

信安全、防止广播风暴和浪费IP地址方面的优势是显而易见的，而且采用

PVLAN技术有助于网络的优化，再加上PVLAN在交换机上的配置也相对简

单，PVLAN技术越来越得到网络治理人员的青睐。

3.3利用GVRP协议来治理VLAN

通过使用GVRP,可以使同一局域网内的交换机接收来自其它交换机

的VLAN注册信息，并动态更新本地的VLAN注册信息，包括：当前的

VLAN、配置版本号、这些VLAN可以通过哪个端口到达等。而且设备能

够将本地的VLAN注册信息向其它设备传播，使同一局域网内所有设备的

VLAN信息达成一致，减少由人工配置带来的错误的可能性。对GVRP不熟

悉的朋友，可以参考CISCO的VTP协议，两者大同小异。如图3-2：

图3-2GVRP组网示意图

SwitchC静态配置了VLAN5,SwitchD静态配置了vlan8,SwitchE静

态配置了VLAN5和VLAN7,SwitchA和SwitchB开启了全局和端口的GVRP

功能，这样可以动态学习到VLAN5,VLAN7,VLAN8。端口有两种注册模式，

一种是fixed,即禁止端口动态注册VLAN,仅答应本地创建的VLAN向外

传播；另一种注册模式为forbidden,即禁止端口动态注册VLAN,仅答应缺

省VLAN1向外传播。

3.4H3C交换机设备之间的端口汇聚

端口汇聚是将多个以太网端口汇聚在一起形成一个逻辑上的汇聚组，

使用汇聚服务的上层实体把同一汇聚组内的多条物理链路视为一条逻辑链

路。将多个物理链路捆绑在一起后，不但提升了整个网络的带宽，而且数

据还可以同时经由被绑定的多个物理链路传输，具有链路冗余的作用，在

网络显现故障或其他原因断开其中一条或多条链路时，剩下的链路还可以

工作。这样，同一汇聚组的各个成员端口之间彼此动态备份，提高了连接

可靠性，增强了负载均衡的能力。

SwitchA

Linkaggregation--------K

SwitchB

图3.3以太网端口汇聚配置示例图

对于H3c的交换机设备做端口汇聚时，必须注意以下几点：

■做端口汇聚时，H3c交换机最多可以包括8个端口，这些端口不必

是连续分布的，也不必位于相同的模块中；至于有几个汇聚组则

视交换机的类型而定。

■一个汇聚组内的所有端口必须使用相同的协议如LACP。

■一个汇聚组内的端口必须有相同的速度和双工模式。

■一个端口不能再相同时间内属于多个汇聚组。

■一个汇聚组内的所有端口都必须配置到相同的接入VLAN中。

3.5启用端口镜像对流量进行监控

由于部署IDS和IPS等产品需要监听网络流量（网络分析仪同样也需

要），但是在目前广泛采用的交换网络中监听所有流量有相当大的困难，因

此需要通过配置交换机来把一个或多个端口（VLAN）的数据转发到某一个

端口来实现对网络的监听，这样就产生了端口镜像。端口镜像（portMirroring）

分为本地端口镜像和远程端口镜像两种。

本地端口镜像是指将设备的一个或多个端口（源端口）的报文复制到

本地设备的一个监视端口（目的端口），用于报文的分析和监视。其中，源

端口和目的端口必须在同一台设备上。如图3.4：SwitchC的端口£1/0/3可以

把端口研发部所连得端DEl/O/l和市场部连接的E1/0/2端口的流量复制过来,

然后交给数据检测设备分析，从而可以对危险流量进行隔离和控制。

研发部SwitchA

Eth1/0/1

Eth1/0/3

E由段只

/SwitchC

数据监测设备

市场部SwitchB

图3.4本地端口镜像实例图

远程端口镜像突破了源端口和目的端口必须在同一台设备上的限制，使源

端口和目的端口可以跨过网络中的多个设备，从而方便网络治理人员对远

程设备上的流量进行监控。为了实现远程端口镜像功能，需要定义一个特

另I」的VLAN,称之为远程镜像VLAN(Remote-probeVLAN)。所有被镜像的

报文通过该VLAN从源交换机的反射口传递到目的交换机的镜像端口，实现

在目的交换机上对源交换机端口收发的报文进行监控的功能。远程端口镜

像的应用示意图如图3.5所示。对部门1和部门2的流量进行监控，SwitchA

为源交换机：被监控的端口所在的交换机，负责将镜像流量复制到反射端

口，然后通过远程镜像VLAN传输给中间交换机或目的交换机；SwitchB

为中间交换机：网络中处于源交换机和目的交换机之间的交换机，通过远

程镜像VLAN把镜像流量传输给下一个中间交换机或目的交换机，如果源

交换机与目的交换机直接相连，则不存在中间交换机；SwitchC为目的交换

机：远程镜像目的端口所在的交换机，将从远程镜像VLAN接收到的镜像

流量通过镜像目的端口转发给监控设备。

SwitchASwitchBSwitchC

部门1部门2数据监测设备

图3.5远程端口镜像实例图

3.6构建安全的STP生成树体系

STP协议最主要的应用是为了避免局域网中的网络环回，解决以太网网

络的“广播风暴”问题，从某种意义上说是一种网络保护技术，可以排除由于

失误或者意外带来的循环连接，各大交换机设备厂商默认开启STP协议。

H3c交换机支持的生成树协议有三种类型，分别是STP(IEEE802.1D)、RSTP

(IEEE802.1W)和MSTP(IEEE802.1S),这三种类型的生成树协议均按照

标准协议的规定实现，采用标准的生成树协议报文格式。

■手动指定根网桥

不要让STP来决定选举哪台交换机为根网桥。对于每个VLAN,您通常

可以确定哪台交换机最适合用做根网桥。哪台交换机最适合用做根网桥取

决于网络设计，一样而言，应挑选位于网络中央的功能强大的交换机。如

果让根网桥位于网络中央，并直接连接到多台服务器和路由器，通常可缩

短客户端到服务器和路由器的距离。对于VLAN,静态地指定要用做根网桥

和备用(辅助)根网桥的交换机。

■多层交换体系中部署MSTP

MSTP(MultiPieSpanningTreeProtocol)是把IEEE802.1w的快速生成

树(RST)算法扩展而得到的，体现的是将多个VLAN映射到一个生成树实

例的能力。STP不能迁移，RSTP可以快速收敛，但和STP一样不能按VLAN

阻塞冗余链路，所有VLAN的报文都按一颗生成树进行转发。

MSTP兼容STP和RSTP,从而补偿STP和RSTP的缺陷，不但可以快速收

敛，同时还提供了数据转发的多个冗余路径，使不同VLAN的流量沿各自

的路径分发，在数据转发过程中实现VLAN数据的负载均衡，使设备的利

用率达到最高。

VLAN所属实例

VLAN10MSTI1

VLAN20MSTIO

VLAN30MSTI3

VLAN40MSTI4

图3.6MST配置组网图

图3.6所示：网络中所有交换机属于同一个MST域；VLAN10的报文

沿着实例1转发，VLAN30沿着实例3转发，VLAN40沿着实例4转发,

VLAN20沿着实例0转发；0中SwitchA和SwitchB为汇聚层设备，SwitchC

和SwitchD为接入层设备。VLAN10、VLAN30在汇聚层设备终结，VLAN

40在接入层设备终结，因此可以配置实例1和实例3的树根分别为SwitchA

和SwitchB,实例4的树根为SwitchC。

3.7多层交换体系中部署VRRP

随着Internet的发展，人们对网络可靠性，安全性的要求越来越高。对于

终端用户来说，期望时时与网络其他部分保持通信。VRRP（VirtualRouter

RedundancyProtocol,虚拟路由冗余协议）是一种容错协议，它保证当主机

的下一跳路由器失效时，可以及时由另一台路由器代替，从而保持通信的

连续性和可靠性。Cisco系列交换机更多的采用思科厂商专用的HSRP（Hot

StandbyRouterProtocol,热备份路由器协议）

为了使VRRP工作，要在路由器上配置虚拟路由器号和虚拟IP地址，同

时会产生一个虚拟MAC（00-00-5E-00-01-[VRID]）地址，这样在这个网络中就

加入了一个虚拟路由器。一个虚拟路由器由一个主路由器和若干个备份路

由器组成，主路由器实现真正的转发功能。当主路由器显现故障时，一个

备份路由器将成为新的主路由器，接替它的工作，避免备份组内的单台或多

台交换机发生故障而引起的通信中断。

HostB

/24

图3.7VRRP协议部署图

图3.7所示：主机A把交换机A和交换机B组成的VRRP备份组作为自己

的缺省网关，拜访Internet上的主机B。备份组号可以自己设定；主路由是

交换机A还是交换机B,取决于两者的优先级，高的成为主路由，优先级一

样比较IP地址，谁的大谁是主路由，另外一台作为备份路由；VRRP默认抢

占开启。

3.8IRF技术的应用

IRF（IntelligentResilientFramework,智能弹性架构）是H3c公司融合

高端交换机的技术，在中低端交换机上推出的创新性建设网络核心的新技

术。它将帮助用户设计和实施高可用性、高可扩展性和高可靠性的千兆以

太网核心和汇聚主干。

在堆叠之前要先了解堆叠设备的规格，一个堆叠最多支持多少个设备，

或者最多支持多少个端口。在系统启动时、新Unit加入时、merge时都会进

行配置比较。配置比较时将以最小ID的Unit的配置作为参照基准。比较结果

不同的Unit将把基准配置储存为暂时文件，然后重起。重起时将采用这个暂

时文件作为自己的配置。为增加堆叠的可靠性，尽量使用环形堆叠。IRF

设备堆叠端口相连时一定是UP端口和另一台设备的DOWN端口相连。

图3.7S58系列以太网交换机在企业网/园区网的应用

在大中型企业或园区网中，S58系列以太网交换机作为大楼汇聚交换

机，通过IRF智能弹性架构将多台汇聚交换机虚拟为一台逻辑设备，从而简

化治理保护，实现弹性扩展。此外H3c的开发业务架构也可以使S58系列交

换机集成防火墙模块，提高网络安全性，而在集成了无线控制器模块以后，

可以集中配置治理无线接入点，从而使S58系列交换机提供一套完整的有线

无线一体化的解决方案。

4边界网络安全

网络边界就是网络的大门，大门的安全防护是网络安全的基础需求。

随着网络的日益复杂，域边界的概念逐步替代了网络边界，边界成了网络

安全区域之间安全控制的基本点。黑客攻击与厂家防护技术都会最先显现

在这里，然后在对抗中逐步完善与成熟起来。在本文中，边界安全主要是

指企业网在互联网接入这部分。

对边界进行安全防护，第一必须明确哪些网络边界需要防护，这可以

通过安全分区设计来确定。定义安全分区的原则就是第一需要根据业务和

信息敏锐度定义安全资产，其次对安全资产定义安全策略和安全级别，对

于安全策略和级别相同的安全资产，就可以认为属于同一安全区域。根据

以上原则，H3c提出以下的安全分区设计模型，主要包括内网办公区、数据

中心区、外联数据区、互联网连接区、对外连接区、网络治理区、广域网

连接区等区域。

图4.0H3c提出的安全分区设计模型

通过以上的分区设计和网络现状，H3c提出了以防火墙、VPN和应用

层防备系统为支撑的深度边界安全解决方案。

4.1NAT技术的应用

NAT（NetworkAddressTranslation,网络地址转换）属接入广域网（WAN）

技术,是一种将私有（保留）地址转化为合法IP地址的转换技术,它被广泛应用

于各种类型Internet接入方式和各种类型的网络中。NAT不仅完美地解决了1P

地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保

护网络内部的运算机。如图4.1所示，运用NAT技术隐藏了局域网内部的

17.LL0网段,在Internet网上显示的是LLL0网段。

图4.1NAT技术组网图

NAT的实现方式有三种，即静态转换StaticNat、动态转换DynamicNat

和端口多路复用PAT。

静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是

一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助

于静态转换，可以实现外部网络对内部网络中某些特定设备（如服务器）的拜

访。

动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是

不确定的，是随机的，所有被授权拜访上Internet的私有IP地址可随机转换

为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，

以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可

以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的运

算机数量时。可以采用动态转换的方式。

端口多路复用（PortaddressTranslation,PAT）是指改变外出数据包的源端

口并进行端口转换，即端口地址转换（PAT,PortAddressTranslation）o采用

端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现

对Internet的拜访，从而可以最大限度地节省IP地址资源。同时，又可隐藏

网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应

用最多的就是端口多路复用方式。

4.2ACL技术的应用

ACL（AccessControlList,拜访控制列表）在路由器中被广泛采用，它

是一种基于包过滤的流控制技术。目前有两种主要的ACL:标准ACL和扩展

ACLo标准的ACL使用1-99以及1300-1999之间的数字作为表号，扩展的

ACL使用100-199以及2000-2699之间的数字作为表号。

标准ACL可以阻止来自某一网络的所有通信流量，或者答应来自某一

特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。

如图4.2所示,VLAN10可以拒绝VLAN11的所有拜访流量。扩展ACL比标准

ACL提供了更广泛的控制范畴，扩展IP拜访控制列表比标准IP拜访控制列表

具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、