职业学院毕业论文-h3c网络安全技术在校园网中的设计与实现(编辑修改稿)

职业学院毕业论文-h3c网络安全技术在校园网中的设计与实现(编辑修改稿)内容摘要：

还可以同时经由被绑定的多个物理链路传输，具有链路冗余的作用，在网络出现故障或其他原因断开其中一条或多条链路时，剩下的链路还可以工作。 这样，同一汇聚组的各个成员端口之间彼此动态备份，提高了连接可靠性，增强了负载均衡的能力。 以太网端口汇聚配置示例图 对于 H3C的交换机设备做端口汇聚时，必须注意以下几点 ：  做端口汇聚时， H3C交换机最多可以包括 8个端口，这些端口不必是连续分布的，也不必位于相同的模块中；至于有几个汇聚组则视交换机的类型而哈尔滨铁道职业技术学院毕业设计 6 定。  一个汇聚组内的所有端口必须使用相同的协议如 LACP。  一个汇聚组内的端口必须有相同的速度和双工模式。  一个端口不能再相同时间内属于多个汇聚组。 一个汇聚组内的所有端口都必须配置到相同的接入 VLAN中。 构建安全的 STP生成树体系 STP协议最主要的应用是为了避免 局域网中的网络环回，解决以太网网络的“广播风暴”问题，从某种意义上说是一种网络保护技术，可以消除由于失误或者意外带来的循环连接，各大交换机设备厂商默认开启 STP协议。 H3C交换机支持的生成树协议有三种类型，分别是 STP（ IEEE ）、 RSTP（ IEEE ）和 MSTP（ IEEE ），这三种类型的生成树协议均按照标准协议的规定实现，采用标准的生成树协议报文格式。  手动指定根网桥 不要让 STP来决定选举哪台交换机为根网桥。 对于每个 VLAN，您通常可以确定哪台交换机最适合 用做根网桥。 哪台交换机最适合用做根网桥取决于网络设计，一般而言，应选择位于网络中央的功能强大的交换机。 如果让根网桥位于网络中央，并直接连接到多台服务器和路由器，通常可缩短客户端到服务器和路由器的距离。 对于 VLAN，静态地指定要用做根网桥和备用（辅助）根网桥的交换机。  多层交换体系中部署 MSTP MSTP（ MultIPle Spanning Tree Protocol）是把 的快速生成树（ RST）算法扩展而得到的，体现的是将多个 VLAN映射到一个生成树实例的能力。 STP不能迁移， RSTP可以快速收敛，但和 STP一样不能按 VLAN阻塞冗余链路，所有 VLAN的报文都按一颗生成树进行转发。 MSTP兼容 STP和 RSTP，从而弥补 STP和 RSTP的缺陷，不但可以快速收敛，同时还提供了数据转发的多个冗余路径，使不同 VLAN 的流量沿各自的路径分发，在数据转发过程中实现 VLAN 数据的负载均衡，使设备的利用率达到最高。 多层交换体系中部署 VRRP 随着 Inter的发展，人们对网络可靠性 ,安全性的要求越来越高。 对于终端用户来说，希望时时与网络其他部分保持通信。 VRRP（ Virtual Router Redundancy Protocol，虚拟路由冗余协议）是一种容错协议，它保证当主机的下一跳路由器失效时，可以及时由另一台路由器代替，从而保持通信的连续性和可靠性。 Cisco系列交换机更多的采用思科厂商专用的 HSRP（ Hot Standby Router Protocol，热备份路由器协议） 为了使 VRRP 工作，要在路由器上配置虚拟路由器号和虚拟 IP 地址，同时会产生一个虚拟 MAC(00005E0001[VRID])地址，这样在这个网络中就加入了一个虚拟路由器。 一个虚拟路由器由 一个主路由器和若干个备份路由器组成，主路由器实现真正的转发功能。 当主路由器出现故障时，一个备份路由器将成为新的主路由器，哈尔滨铁道职业技术学院毕业设计 7 接替它的工作 , 避免备份组内的单台或多台交换机发生故障而引起的通信中断。 哈尔滨铁道职业技术学院毕业设计 8 4 边界网络安全技术 边界网络安全技术概述 网络边界就是网络的大门，大门的安全防护是网络安全的基础需求。 随着网络的日益复杂，域边界的概念逐渐替代了网络边界，边界成了网络安全区域之间安全控制的基本点。 黑客攻击与厂家防护技术都会最先出现在这里，然后在对抗中逐步完善与成熟起来。 NAT 技术的应用 NAT（ Network Address Translation，网络地址转换 )属接入广域网 (WAN)技术 ,是一种将私有 (保留 )地址转化为合法 IP 地址 的转换技术 ,它被广泛应用于各种类型Inter接入方式和各种类型的网络中。 NAT不仅完美地解决了 lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。 如图 所示，运用 NAT 技术隐藏了局域网内部的 网段，在 Inter 网上显示的是 网段 图 NAT 技术组网图 NAT的实现方式有三种，即 静态转换 Static Nat、 动态转换 Dynamic Nat 和 端口多路复用 PAT。 静态转换 是指将内部网络的私有 IP地址转换为公有 IP地址， IP地址对是一对一的，是一成不变的，某个私有 IP地址只转换为某个公有 IP地址。 借助于静态转换，可以实现外部网络对内部网络中某些特定设备 (如服务器 )的访问。 动态转换 是指将内部网络的私有 IP地 址转换为公用 IP地址时， IP地址是不确定的，是随机的，所有被授权访问上 Inter的私有 IP地址可随机转换为任何指定的合法 IP地址。 也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。 动态转换可以使用多个合法外部地址集。 当 ISP提供的合法 IP地址略少于网络内部的计算机数量时。 可以采用动态转换的方式。 端口多路复用 (Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换 (PAT， Port Address Translation)。 采用端口多路复用方式。 内部网络的所有主机均可共享一个合法外部 IP地址实现对 Inter的访问，从而可以最大限度地节约 IP地址资源。 同时，又可隐藏网络内部的所有主机，有效避免来自 inter的攻击。 因此，目前网络中应用最多的就是端口多路复用方式。 ACL 技术的应用 ACL（ Access Control List，访问控制列表）在路由器中被广泛采用，它是一种基于包过滤的流控制技术。 目前有两种主要的 ACL:标准 ACL和扩展 ACL。 标准的 ACL使用 1 99 以及 13001999之间的数字作为表号，扩展的 ACL使用 100 199以及哈尔滨铁道职业技术学院毕业设计 9 20xx2699之间的数字作为表号。 标准 ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如 IP）的所有通信流量。 如图 ,VLAN10可以拒绝 VLAN11的所有访问流量。 扩展 ACL比标准 ACL提供了更广泛的控制范围 , 扩展 IP访问控制列表比标准 IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和 IP优先级等。 如图 服务器所在的 VLAN1可以允许客户的 80端口访问。 一个端口执行哪条 ACL，这需要按照列表中的条件语句执行顺序来判断。 如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。 数据包只有在跟第一个判断条件不匹配时，它才被交给 ACL中的下一个条件判断语句进行比较。 如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。 如果所有的 ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。 图 ACL技术组网图 另外还有一些特殊情况下的 ACL技术的应用 ： 基于 MAC地址的 ACL：二层 ACL 根据源 MAC 地址、目的 MAC 地址、 优先级、二层协议类型等二层信息制定规则，对数据进行相应处理。 二层 ACL 的序号取值范围为 4000～ 4999。 如图 ： PC2可以针对 PC3的 MAC地址进行限制。 用户自定义的 ACL：非用户自定义的 ACL一旦制定之后，修改起来十分麻烦，要把整个 ACL去掉，然后才能重新建立生效，然而用户自定义的 ACL解决了这一问题，可以在原 有的 ACL基础上进行修改。 在 Qos中应用 ACL： Qos ACL指定了 Qos分类、标记、控制和调度将应用于那些哈尔滨铁道职业技术学院毕业设计 10 数据包，也可以基于时间段、流量监管、队列调度、流量统计、端口重定向、本地流镜像以及 WEB Cache重定向的功能及应用部署相关的 ACL。 在 VLAN中应用 ACL： VACL又称为 VLAN的访问映射表，应用于 VLAN中的所有通信流。 需要先建立一个普通的 ACL列表，然后建立一个关于 VLAN的访问映射表将建立的 ACL列表包含进去，最后把访问映射表映射到所需要的 VLAN。 VPN 技术的应用 VPN（ Virtual Private Network，虚拟私有网）是近年来随着 Inter 的广泛应用而迅速发展起来的一种新技术，实现在公用网络上构建私人专用网络。 VPN 只为特定的企业或用户群体所专用。 从用户角度看来，使用 VPN 与传统专网没有任何区别。 VPN 作为私有专网，一方面与底层承载网络之间保持资源独立性，即在一般情况下，VPN 资源不会被网络中的其它 VPN 或非该 VPN 用户使用；另一方面， VPN 提供足够安全性，能够确保 VPN 内部信息的完整性、保密性、不可抵赖性。 图 VPN技术典型组网图 如图 ，在企业互联网出口部署防火墙和 VPN设备，分支机构及移动办公用户分别通过 VPN网关和 VPN客户端安全连入企业内部网络；同时通过防火墙和 IPS将企业内部网、 DMZ、数据中心、互联网等安全区域分隔开，并通过制定相应的安全规则，以实现各区域不同级别、不同层次的安全防护。 H3C公司的安全解决方案的 VPN特性非常丰富，包括适用于分支机构的动态 VPN（ DVPN）解决方案、适用于 MPLS VPN和 IPSec VPN环境下的 VPE解决方案、适用于链路备份 的 VPN高可用方案等，可以满足各种 VPN环境的需要。 接下来我们介绍下 VPN领域的一些主流技术： 一、 IPsec VPN 的应用 IPsec(IP Security)是保障 IP层安全的网络技术，它并不是指某一项具体的协哈尔滨铁道职业技术学院毕业设计 11 议，而是指用于实现 IP层安全的协议套件集合。 IPsec实质上也是一种隧道传输技术，它将 IP分组或 IP上层载荷封装在 IPsec报文内，并根据需要进行加密和完整性保护处理，以此保证数据在公共网络中传输过程的安全。 IPsec支持两种协议标准，鉴别首部 (Authenticaion Header， AH)和封装安全有效载荷 (Encapsulation Security Payload， ESP)： AH可证明数据的起源地 (数据来源认证 )、保障数据的完整性以及防止相同的数据包不断重播 (抗重放攻击 )。 ESP能提供的安全服务则更多，除了上述 AH所能提供的安全服务外，还能提供数据机密性，这样可以保证数据包在传输过程中不被非法识别。 AH与 ESP提供的数据完整性服务的差别在于， AH验证的范围还包括数据包的外部 IP头。 在建立 IPsec隧道的时候还需要用到一个重要的协议即 IKE协议，通过建立 IKE的两个阶段，完成数据的传送。 二、 IPsec 上的 GRE 隧道 GRE（ Generic Routing Encapsulation，通用路由封装）隧道已经应用了很长的一段时间， GRE 首先由 Cisco 公司提出，目的是提供 IP 网络承载其他路由协议。 某些网络管理员为了降低其网络核心的管理开销，将除 IP 外的所有传送协议都删除了，因而 IPX 和 AppleTalk 等非 IP 协议只能通过 GRE 来穿越 IP 核心网络。 GRE是无状态协议，与 IPsec隧道不同，端点在通过隧道发送流量之前并不调整任何参数，只要隧道目的地是可路由的，流量就可以穿过 GRE隧道。 GRE的源动力就是任何东西都可以被封装在其中， GRE的主要应用就是在 IP网络中承载非 IP包，这个恰恰是 IPsec所不能的。 另外与 IPsec不同， GRE允许路由协议（ OSPF和 BGP）穿越连接。 但是 GRE隧道不提供安全特性，不会对流量进行加密、完整性验证，而 IPsec刚好解决了这个难题，这样基于 IPsec的 GRE的 VPN强大功能特性就充分体现了。 三、 二层 VPN 技术 L2TP 的应用 L2TP提供了一种远程接入访问控制的手段，其典型的应用场景是：某公司员工通过 PPP拨入公司本地的网络访问服务器 (NAS)，以此接入公司内部网 络，获取 IP地址并访问相应权限的网络资源该员工出差到外地，此时他想如同在公司本地一样以内网 IP地址接入内部网络，操作相应网络资源，他的做法是向当地 ISP申请 L2TP服务，首先拨入当地 ISP，请求 ISP与公司 NAS建立 L2TP会话，并协商建立。