传输时,协议类型字段必须被设置为 0x800。当一个隧道终点拆封此含有 IPv4 包作为有效载荷的 GRE 包时,IPv4 包头中的目的地址必须用来转发包,并且需要减少有效载荷包的 TTL。值得注意的是,在转发这样一个包时,如果有效载荷包的目的地址就是包的封装器(也就是隧道另一端),就会出现回路现象。在此情形下,必须丢弃该包。当 GRE 包被封装在 IPv4 中时,需要使用 IPv4 协议 47。
GRE 下的网络安全与常规的 IPv4 网络安全是较为相似的,GRE 下的路由采用 IPv4 原本使用的路由,但路由过滤保持不变 。包过滤要求防火墙检查 GRE 包,或者在 GRE 隧道终点完成过滤过程。在那些这被看作是安全问题的环境下,可以在防火墙上终止隧道[4]。
2.2.7 VPN
VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或WINDOWS2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网[4]。
2.2.8 PVST
PVST: Per-VLAN Spanning Tree(每VLAN生成树)
PVST是解决在虚拟局域网上处理生成树的CISCO特有解决方案.PVST为每个虚拟局域网运行单独的生成树实例.一般情况下PVST要求在交换机之间的中继链路上运行CISCO的ISL。
每VLAN生成树 (PVST)为每个在网络中配置的VLAN维护一个生成树实例。它使用ISL中继和允许一个VLAN中继当被其它VLANs的阻塞时将一些VLANs转发。尽管
word文档 可自由复制编辑
PVST对待每个VLAN作为一个单独的网络,它有能力(在第2层)通过一些在主干和其它在另一个主干中的不引起生成树循环的Vlans中的一些VLANs来负载平衡通信[7]。
2.2.9 HSRP
HSRP:热备份路由器协议(HSRP:Hot Standby Router Protocol)
热备份路由器协议(HSRP)的设计目标是支持特定情况下 IP 流量失败转移不会引起混乱、并允许主机使用单路由器,以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说,当源主机不能动态知道第一跳路由器的 IP 地址时,HSRP 协议能够保护第一跳路由器不出故障。该协议中含有多种路由器,对应一个虚拟路由器。HSRP 协议只支持一个路由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。
负责转发数据包的路由器称之为主动路由器(Active Router)。一旦主动路由器出现故障,HSRP 将激活备份路由器(Standby Routers)取代主动路由器。HSRP 协议提供了一种决定使用主动路由器还是备份路由器的机制,并指定一个虚拟的 IP 地址作为网络系统的缺省网关地址。如果主动路由器出现故障,备份路由器(Standby Routers)承接主动路由器的所有任务,并且不会导致主机连通中断现象。
HSRP 运行在 UDP 上,采用端口号1985。路由器转发协议数据包的源地址使用的是实际 IP 地址,而并非虚拟地址,正是基于这一点,HSRP 路由器间能相互识别
[10]
。
2.2.10 AAA认证
AAA-----身份验证 (Authentication)、授权 (Authorization)和统计
(Accounting)Cisco开发的一个提供网络安全的系统。
AAA ,认证(Authentication):验证用户的身份与可使用的网络服务;授权(Authorization):依据认证结果开放网络服务给用户;计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。整个系统在网络管理与安全问题中十分有效。
首先,认证部分提供了对用户的认证。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合,那么对用户认证通过。如果不符合,则拒绝提供网络连接。
接下来,用户还要通过授权来获得操作相应任务的权限。比如,登陆系统后,用户可能会执行一些命令来进行操作,这时,授权过程会检测用户是否拥有执行这些命令的权限。简单而言,授权过程是一系列强迫策略的组合,包括:确定活动的种类或
word文档 可自由复制编辑
质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中。一旦用户通过了认证,他们也就被授予了相应的权限。 最后一步是帐户,这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息,还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行帐户过程。
验证授权和帐户由AAA服务器来提供。AAA服务器是一个能够提供这三项服务的程序。当前同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 (RADIUS)”[10]。
word文档 可自由复制编辑
第3章 大型企业网络需求分析
3.1 案例分析
Cisco公司已经成功地在中国实践了前述的教育网络设计思想,特别是河南省教育科研宽带IP骨干网络全部采用了先进的高速宽带 光传输网络技术,已经成为这类新型教育网络的典范。
河南省教育科研宽带IP网络全面采用Cisco公司的AVVID网络体系结构,一期工程总共采用了10台Cisco GSR 12016和GSR12012,近20台Cisco OSR 6509,其他各类交换机和路由器数百台。该网络集成了远程教学等多种多媒体应用,特别是采用了550部Cisco的新型7940 IP电话和4套CallManager组建了我国第一个省级IP Telephony网络,并结合Cisco视频产品IPTV系列建立了许多新的教育模式。这一网络基于分层设计分为三层:骨干传输网、城域网、接入网,采用三级管理模式:省网络中心、地市网络中心、校园网,连接省内各大中专院校、各中小学校、各级教育主管部门和其他教育科研单位,未来更将延伸到每一个需要教育培训的公众面前。
骨干网络由分布在17个地市的核心节点组成,与河南省广电合作利用其光纤资源,全省形成环网状冗余拓扑结构。在各个核心节点分别配置Cisco公司在国际上多次获奖的千兆位路由交换机 GSR 12000系列中的 12016和12012作为核心传输设备,节点间使用裸光纤配合POS 技术实现OC-482.48G链路互连并采用HSRP技术,以提供物理层、链路层及IP层的冗余连接能力。根据各地市的具体情况,可以建设城域教育网络也可以在核心节点配置汇接设备直接解决接入网络的接入问题,汇接设备可选用Cisco 12012或6509,采用POS、DPT或千兆以太技术,传输速率可达1~2.48Gbps,具体设计可以非常灵活。
基于Cisco IOS的多功能网络平台:网络中采用的网络设备均采用Cisco IOS (Internetworking Operation System互联网络操作系统)为核心功能软件。Cisco IOS集成了路由技术,局域网交换技术,ATM交换技术,各种移动远程访问接入技术,广域网互连技术等超过15,000个网络互连功能,已经成为网络互连的标准。CiscoIOS系统支持今天的绝大多数网络应用系统,同时Cisco IOS系统可提供从数据链路层到应用层的多种网络服务,如:L2/L3VPN(虚拟专网),VPDN(虚拟拨号专网),以及对MPLS技术的支持允许提供各种网络增值服务。
丰富的网络安全机制:网络设计是按照标准ISP(国际互联网络服务商)方式设计的IP交换网络平台。整个网络与国际互联网络平滑连接,因此网络的安全性尤其重要。方案中采用Cisco IOS多种安全策略:
1) 网络路由信息交换安全策略:包含路由器的认证,路由信息过滤,多种动态
word文档 可自由复制编辑
路由协议信息交换控制等。
2) 网络服务安全控制:包含标准访问控制列表(ACL),扩展的访问控制列表(Extend ACL),动态访问控制列表(Refliex ACL),按数据流的访问统计和监控(Netflow),网络资源访问用户认证/授权和记帐(lock & key)。
3) 基于网络层的加密:网络设备可提供基于标准的网络层加密技术:IPSec ,可以提供高可靠的网络访问安全机制。
4) 网络攻击防范:Cisco IOS可通过对网络访问连接的监控和分析,发现可能出现的网络攻击,如Sync Attack 等,并采取相应的的控制手段保护网络资源。
5) 网络系统告警(Syslog):网络中采用的设备可对监控到的网络攻击和各种非正常访问发出告警,提醒网络管理人员及时发现问题并采取相应安全策略。
设备安全:网络的各种安全策略的实现均基于网络设备的安全设置,这使得网络设备本身的安全控制显得尤其重要。网络设备本身具有多种访问控制安全策略:
1) 多级访问控制密码:网络中各设备访问控制可通过15级不同的访问权限,网管人员可设置不同的访问权限。如:普通操作员只能监视设备运行,不可进行其他操作;高级的管理员可做故障诊断,不可修改设备配置文件;系统管理员可具有所有功能权限等。
2) 网络管理系统的安全控制:由于本网络中网络管理系统采用标准的SNMP网络管理技术,因此网络设备的网管可能出现漏洞。本网络中的网络设备可提供多种保护手段,如:特别的网管访问密码;由设备指定特别的网络管理工作站系统等。
易管理维护的网络:由于采用了IP骨干技术、DHCP技术和MPLS技术,使得网络的管理简单化。这可以使网络管理人员大为精简,节约运行开销。网络管理人员只需在规划好的网络结构内提供各个接入网络的接入控制即能实行各种网络服务。网络系统的管理工作重点变为对于骨干网络的运行实施系统监控。由于采用的网络设备自身已具备较为完善的网络管理、监控和维护功能,因此采用建立一个管理工具齐全的集中的网络管理中心即可实现全网络的系统管理和监控[11]。
word文档 可自由复制编辑
大型企业网络规划与设计-毕业论文
