CISP0204协议及网络架构安全

网络协议及架构安全,中国信息安全测评中心2012-10,课程内容,2,网络安全,网络架构安全,网络安全设备,网络协议安全,无线数据网络协议安全,无线蜂窝网络协议安全,防火墙,入侵检测系统,其它网络安全设备,网络架构安全的概念,TCP/IP协议簇安全,网络架构安全的实践,知识体,知识域,知识子域,知识域：网络协议安全,知识子域：TCP/IP协议安全理解开放互联系统模型ISO/OSI七层协议模型理解TCP/IP协议面临安全威胁及安全对策理解无线网络安全协议的原理和应用了解IPV6的安全优势,OSI七层结构模型OSI参考模型的各层,ISO/OSI开放互联模型,4,ISO/OSI七层模型结构,5,物理层,网络层,传输层,会话层,表示层,应用层,数据链路层,应用层（高）,数据流层,7654321,分层结构的优点,降低复杂性促进标准化工作各层间相互独立，某一层的变化不会影响其他层协议开发模块化简化理解与学习,6,数据链路层,作用定义物理链路的电气、机械、通信规程、功能要求等；电压，数据速率，最大传输距离，物理连接器；线缆，物理介质；将比特流转换成电压；典型物理层设备光纤、双绞线、中继器、集线器等；常见物理层标准（介质与速率）100BaseT,OC-3,OC-12,DS1,DS3,E1,E3；,第一层：物理层,7,物理层,网络层,传输层,会话层,表示层,应用层,作用物理寻址，网络拓扑，线路规章等；错误检测和通告（但不纠错）；将比特聚成帧进行传输；流量控制（可选）寻址机制使用数据接收设备的硬件地址（物理地址）寻址（如MAC地址）典型数据链路层设备网卡、网桥和交换机数据链路层协议PPP,HDLC,FR,Ethernet,TokenRing,FDDI,第二层：数据链路层,8,数据链路层,物理层,网络层,传输层,会话层,表示层,应用层,第二层：以太网协议标准（两个子层）,LLC（LogicalLinkControl）IEEE802.2为上层提供统一接口；使上层独立于下层物理介质；提供流控、排序等服务；MAC（MediaAccessControl）IEEE802.3烧录到网卡ROM；48比特；唯一性；,LLCMAC,物理层,网络层,传输层,会话层,表示层,应用层,9,第三层：网络层,作用逻辑寻址路径选择寻址机制使用网络层地址进行寻址（如IP地址）网络层典型设备路由器三层交换机,10,数据链路层,物理层,网络层,传输层,会话层,表示层,应用层,第四层：传输层,作用提供端到端的数据传输服务；建立逻辑连接；寻址机制应用程序的界面端口（如端口号）传输层协议TCP(TransmissionControlProtocol)状态协议；按序传输；纠错和重传机制；Socket；UDP(UserDatagramProtocol)无状态协议；SPX,11,数据链路层,物理层,网络层,传输层,会话层,表示层,应用层,第五层：会话层,作用不同应用程序的数据隔离；会话建立，维持，终止；同步服务；会话控制（单向或双向）,12,数据链路层,物理层,网络层,传输层,会话层,表示层,应用层,第六层：表示层,作用数据格式表示；协议转换；字符转换；数据加密/解密；数据压缩等；表示层数据格式ASCII,MPEG,TIFF,GIF,JPEG；,13,数据链路层,物理层,网络层,传输层,会话层,表示层,应用层,第七层：应用层,作用应用接口；网络访问流处理；流控；错误恢复；应用层协议FTP,Telnet,HTTP,SNMP,SMTP,DNS；,14,数据链路层,物理层,网络层,传输层,会话层,表示层,应用层,数据发送过程-数据封装,Segment,Packet,Bits,Frame,PDU,数据接收过程-数据解封,OSI安全体系结构定义的安全攻击,OSI安全体系结构定义了被动攻击和主动攻击被动攻击:监听流量分析主动攻击:假冒重放篡改拒绝服务,OSI安全体系结构定义的安全服务,OSI安全体系结构定义了系统应当提供的五类安全服务，以及提供这些服务的八类安全机制；某种安全服务可以通过一种或多种安全机制提供，某种安全机制可用于提供一种或多种安全服务鉴别；访问控制；数据机密性；数据完整性；抗抵赖；,OSI安全体系结构定义的安全机制,加密；数字签名；访问控制；数据完整性；鉴别；流量填充（用于对抗通信流量分析，在加密时才是有效的）；路由控制（可以指定路由选择说明，回避某些特定的链路或子网）；公证（notarization）；,TCP/IP与OSI模型的对应关系TCP/IP常用协议与安全威胁,TCP/IP协议模型,20,TCP/IP协议与OSI模型的对应,21,物理层,网络层,传输层,会话层,表示层,应用层,数据链路层,互联网络层,传输层,应用层,网络接口层,TCP/IP协议结构,22,网络接口层安全,损坏,干扰,电磁泄漏,搭线窃听,欺骗,23,拒绝服务,嗅探,网络接口层安全,损坏：自然灾害、动物破坏、老化、误操作干扰：大功率电器/电源线路/电磁辐射电磁泄漏：传输线路电磁泄漏搭线窃听：物理搭线欺骗：ARP欺骗嗅探：常见二层协议是明文通信的（以太、arp等）拒绝服务：macflooding，arpflooding等,24,ARP欺骗,DAI（DynamicARPInspection）是思科交换机的一个安全特性。DAI能够检查arp数据包的真实性，自动过滤虚假的arp包。,利用DAI防御arp欺骗,互联网络层体系结构,27,IP是TCP/IP协议族中最为核心的协议不可靠（unreliable）通信无连接（connectionless）通信提供分层编址体系（ip地址）,IP协议简介,28,IP报头结构,IP地址类别,*127(01111111)是保留用于环回测试的A类地址，不能将其分配给网络。,国际互联网私有IP地址范围,特点：构建在IP报文结构上，但被认为是与IP在同一层的协议,ICMP协议,32,传递差错报文及其他需要注意的信息ICMP地址掩码请求与应答ICMP时间戮请求与应答,ICMP协议的作用,33,IP层安全,拒绝服务,欺骗,窃听,伪造,34,互联网络层安全,拒绝服务：分片攻击（teardrop）/死亡之ping欺骗：IP源地址欺骗窃听：嗅探伪造：IP数据包伪造,35,分片攻击（teardrop）,Teardrop的工作原理是利用分片重组漏洞进行攻击而造成目标系统的崩溃或挂起。例如，第一个分片从偏移0开始，而第二个分片在tcp首部之内。理想的解决方案是对ip分片进行重组时，保证TCP/IP实现不出现安全方面的问题。启用路由器、防火墙、IDS/IPS的安全特性能够防御teardrop攻击。,36,smurf攻击,攻击者使用广播地址发送大量的欺骗icmpecho请求，如果路由器执行了三层广播到二层广播转换（定向广播），那么，同一ip网段的大量主机会向该欺骗地址发送icmpecho应答，导致某一主机（具有欺骗地址）收到大量的流量，从而导致了DoS攻击。防御方法为关闭路由器或三层交换机的定向广播功能。,37,防御IP源地址欺骗（rfc3704过滤）,大多数攻击都伴随着ip源地址欺骗。,38,/12,传输层体系结构,39,TCP:传输控制协议作用：TCP提供一种面向连接的、可靠的字节流服务功能数据包分块发送接收确认超时重发数据校验数据包排序控制流量,TCP协议,40,TCP首部,41,URG紧急指针（urgentpointer）有效ACK确认序号有效PSH接收方应该尽快将这个报文段交给应用层RST重建连接SYN同步序号，用来发起一个连接。FIN发送端完成发送任务,TCP首部-标记位,42,TCP/UDP通过16bit端口号来识别应用程序知名端口号由Internet号分配机构（InternetAssignedNumbersAuthority,IANA）来管理现状1255端口号分配给知名的网络服务2561023分配给Unix操作系统特定的服务10245000临时分配的端口号5000以上端口号保留给应用服务,TCP首部-端口号,43,TCP建立连接过程三次握手,CTL=TCP报头中设置为1的控制位,特点：UDP是一个简单的面向数据报的传输层协议不具备接收应答机制不能对数据分组、合并不能重新排序没有流控制功能协议简单占用资源少，效率高,UDP协议,45,UDP协议包头,46,相同点同一层的协议，基于IP报文基础上不同点TCP是可靠的，高可用性的协议，但是复杂，需要大量资源的开销UDP是不可靠，但是高效的传输协议,UDP与TCP比较,47,传输层安全,拒绝服务,欺骗,窃听,伪造,48,传输层安全问题,拒绝服务：synflood/udpflood、Smurf欺骗：TCP会话劫持窃听：嗅探伪造：数据包伪造,49,TCPsynflood攻击,攻击者使用虚假地址在短时间内向目标主机发送大量的tcpsyn连接请求，导致目标主机无法完成tcp三次握手，导致目标主机的连接队列被充满，从而导致目标主机拒绝为合法用户提供tcp服务。可以在路由器、防火墙或IPS启用ip源地址过滤（rfc3704），并启用tcp最大连接数和连接速率限制等特性进行防御。,50,TCP会话劫持,攻击者对两台通信主机的信息流进行监视，通过猜测会话序列号可能注入其中一台主机的信息流，当合法主机与网络的连接被断开后，攻击者使用合法主机的访问权继续进行会话。最好的防御方法是使用防火墙或IPS进行会话合法性检查以及部署加密通信技术（如ipsec等）。,51,TCP序列号和确认号,应用层协议,域名解析：DNS电子邮件：SMTP/POP3文件传输：FTP网页浏览：HTTP网络终端协议:TELENET简单网络管理协议:SNMP网络文件系统:NFS路由协议:BGP,53,应用层安全,拒绝服务,欺骗,窃听,伪造,暴力破解,54,应用层协议的安全问题,拒绝服务：超长URL链接、欺骗：跨站脚本、钓鱼式攻击、cookie欺骗窃听：嗅探伪造：应用数据篡改暴力破解：应用认证口令暴力破解等,55,实现加密通信,56,使用ssh替代telnet使用https替代http使用S/MIME安全多用途英特网邮件扩展部署ipsecvpn,嗅探攻击,利用各种工具收集目标网络或系统的信息.常用攻击工具:Sniffers（数据包嗅探）端口扫描Ping扫描,嗅探攻击的防御方法,用户和设备身份鉴别AAA服务、dot1x、NAC等。数据加密IPSec、SSL、SSH、WAPI、802.11i等。部署IDS/IPS部署交换机基础架构使用交换机基础架构能够减少数据包嗅探攻击。,访问攻击特点,访问攻击的目的:获取数据获取访问特权常见的访问攻击和工具口令攻击（各种口令破解工具、嗅探、病毒、木马）信任关系利用端口重定向中间人攻击缓冲区溢出,访问攻击的防御方法,使用强口令、一次性口令,AAA服务等部署严格的边界信任和访问控制防火墙或路由器Window域或活动目录Linux、Unix部署加密技术部署IDS/IPS部署路由协议鉴别,AAA服务,Authentication（身份鉴别）Authorization（授权）Accounting（记账）,DoS攻击特点,DoS攻击的目的是导致目标网络、系统或服务不可用.DistributedDoS攻击能够协同大量的攻击主机向同一个目标进行集群攻击。DoS和DDoS攻击通常伴随着ip地址欺骗攻击，以隐藏攻击者.DoS攻击容易实施，但是非常难以彻底防范，需要所有的互联网ISP和所有的企业和用户共同防御才能减少其危害（互联网公共道德和安全意识）。,DistributedDoS示例,DoS攻击的防御方法,在路由器和防火墙部署防ip源地址欺骗在路由器和防火墙启用防御DoS安全特性路由器Tcp拦截、常用acl策略防火墙tcp连接监控部署网络和主机IDS/IPS检测和防御DoS攻击在互联网服务提供商（ISP）部署流量限速,TCP/IP协议簇的安全架构,IPv6安全特性,IPv6安全特性,支持移动性,地址数量大,支持端到端业务模式,支持QoS和性能问题,强制IPSEC,简化的路由表,配置简单,66,IPv6与IPv4的地址数量差异IPv4地址数量：232，共4294967296个地址IPv6地址数量：2128，共3.402823*1038每个人可以分配到整个比原来整个IPv4还多的地址，地球上每平方米可以分配到一千多个地址IPv6提供的许多增强功能增强的IP编址简化的报头移动性和安全性多种过渡方式,IP地址安全特性,67,IPv4报头具有20个八位二进制数和12个基本报头字段，然后是选项字段和数据部分（通常是传输层数据段）IPv6报头具有40个八位二进制数、三个IPv4基本报头字段和五个附加报头字段,简单报文结构,68,大多数应用协议需要进行升级FTP,SMTP,Telnet,Rlogin需要对下列标准进行修改全部51个Internet标准中27个20个草案中的6个130个标准建议中的25个,IPv6应用问题,69,知识域：网络协议安全,知识子域：无线数据网络协议安全无线局域网协议安全理解802.11无线网络协议原理及其安全特性理解802.11i无线网络协议原理及其安全特性了解WAPI的原理和安全特性无线应用协议安全理解WAP的产生背景、原理和架构理解WTLS协议架构理解WAPEND-TO-END安全的实现原理,70,无线局域网协议安全,无线网络体系及标准无线局域网国际标准802.11简介无线局域网国际标准802.11安全问题IEEE802.11i无线局域网安全协议介绍WAPI标准介绍,71,无线技术,72,无线局域网的传输媒质分为无线电波和光波两类无线电波主要使用无线电波和微波，光波主要使用红外线无线电波和微波频率由各个国家的无线电管理部门规定，分为专用频段和自由频段。专用频段需要经过批准的独自有偿使用的频段；自由频段主要是指ISM频段（Industrical，Scientific，Medical）,无线局域网基本概念,73,IEEE802.11简介,WLAN是通过无线信道来实现网络设备之间的通信，并实现通信的移动化、个性化和宽带化。在WLAN中，当前使用最为广泛的为IEEE指定的802.11.802.11标准（组）包括802.11a，802.11b，802.11g及802.11n（草案），加上安全方面的802.11i，以及QoS方面的802.11e。使用802.11系列协议的局域网又称Wi-Fi(Wireless-Fidelity),802.11局域网网络结构,75,无线局域网安全问题,76,传统无线安全防护措施,服务集标识符SSID极易暴露和伪造，没有安全性可言物理地址（MAC）过滤MAC地址容易伪造，扩展性差有线等效加密（WEP）IEEE802.11定义的WEP保密机制加密强度不足，在很短的时间内WEP密钥即可被破解AirSnort的工具程序，利用WEP弱密钥的缺陷，可以在分析100万帧之后破解RC4的40位或者104位密钥。经过改进，它可以在分析20000帧之后破解。,77,问题示例：“中间人”攻击,后台AS,合法AP,伪造AP,用户（终端）,攻击者,攻击者利用伪造AP进行中间人攻击：伪造AP对用户（终端）相当于合法AP；对合法AP相当于用户（终端）,78,802.11i简介,在WEP之后，802.11i任务组完成了提高WLAN安全能力的开发工作为了尽快提高WLAN的安全能力，Wi-Fi联盟颁布了Wi-FiProtectedAccess(WPA)作为Wi-Fi标准802.11i标准的最终版本称作RSN（RobustSecurityNetwork）。Wi-Fi的WPA2完整的实现了802.11i标准。,802.11i的网络架构,规定了二种网络架构：过渡安全网络(TSN)：可以兼容现有的使用WEP方式工作的设备，使现有的无线局域网系统可以向802.11i网络平稳过渡。强健的安全网络(RSN)：针对WEP加密机制的各种缺陷做了多方面的改进，大大增强WLAN的数据加密和认证性能。,IEEE802.11iRSN的运行,三种加密方式的比较,WAPI标准简介,WAPI(WLANAuthenticationandPrivacyInfrastructure)是我国自主研发的，拥有自主知识产权的无线局域网安全技术标准,83,启动标准编制,标准推出并准备强制启用,无限期退出强制执行并申请国际标准,政府发文促进,标准体系完善，国际标准投票失败,启动第二次国际标准申请，可能成为独立标准,标准化组织达成共识，推动成为独立标准,计算机,WAPI,GB15629.11-2003,GB15629.11-2003/XG1-2006,GB15629.1102-2003,GB15629.1101-2006,GB15629.1104-2006,GB/T15629.1103-2006,5.8GHz54Mbps,2.4GHz11Mbps,不同国家之间漫游,2.4GHz54Mbps,2006年6月颁布四项新的无线局域网国家标准。形成全面采用WAPI我国无线局域网国家标准体系,基于WAPI的无线局域网标准体系,84,2009-3-09,基于三元结构和对等鉴别的访问控制方法可普遍适用于无线、有线网络WAPI目的：“合法用户接入合法网络”,用户,网络,合法,合法,WAPI的技术思想,85,WLAN（AP）,终端,终端,终端,WMAN（基站）,有线连接,2公里,50米,LAN（交换机/路由器）,后台网络,终端,接入点,后台AS,全IP架构下的接入网三元结构,86,WEP,802.1x+EAP(802.11i)、WiMAX,WAPI,二元安全架构对应二物理实体单向鉴别无法保证安全,三元安全架构对应三物理实体接入点/基站有独立身份完整双向认证有效保证安全,“元”在网络安全接入领域指具有认证功能的功能体,二元安全架构对应三物理实体AP无独立身份，易被攻击仍无法保证安全,WAPI构筑三元安全架构,87,WAPI-WLAN安全接入协议采用公钥证书机制，通过双向身份鉴别和密钥协商过程实现安全接入控制和保密通信。,WAPI安全协议流程,88,无线应用协议安全,WAP概况WAP基础设施WAP程序设计模型无线标识语言（WML）WAP协议体系结构无线网传输层安全(WTLS)WAPEND-TO-END安全,WAP产生背景,1997年中期，世界几个主要的移动设备制造商Motorola、NokiaEricsson和美国一家软件公司P作为最初的发起者成立了WAP论坛，开始进行WAP协议的开发。WAP协议设计目标是，基于Internet中广泛应用的标准（如HTTP,TCP/IP,SSL,XML等），提供一个对空中接口和无线设备独立的无线设备独立的无线Internet全面解决方案，同时支持未来的开放标准。,移动终端的局限,设备的限制较弱的处理器能力不足的内存大小较短的电池寿命较小的显示屏较弱的数据输入能力无线网络的限制窄带宽大延迟低稳定性,WAP规范的主要内容,与WWW程序设计兼容的程序设计模型，B/S结构符合XML规范的语言：WML（WirelessMarkupLanguage）适合移动无线终端的微浏览器轻量级的通信协议栈无线电话应用（wirelesstelephonyapplications，WTAs）框架，提供电话和Internet访问功能的集成,WAP基础设施,WAP程序设计模型,无线标识语言（WML）,WML的重要特征支持文本和图像支持用户输入支持导航窄带优化,WAP协议体系结构,WTLS协议体系结构,WAPEND-TO-END安全,基于TLS的安全架构基于IPSec的安全架构,为什么提出WAPEND-TO-END安全,基于TLS的安全架构,基于IPSec的安全架构,知识域:网络协议安全,知识子域:无线蜂窝网络协议安全GSM的安全性了解GSM的安全机制和安全缺陷CDMA的安全性了解CDMA的安全机制和安全缺陷3G系统的安全性了解3G系统的安全机制和安全缺陷,102,GSM的安全措施,访问AUC（AuthenticationCenter，鉴权中心），进行用户认证无线通道加密移动设备确认IMSI临时身份TMSI的使用（用户号码保密和避免被别人对用户定位）,103,GSM的安全缺陷,安全系统内在的弱点固定网络中的数据和信令传输并未得到充分的保护入侵者轻易能得到的全部有关安全的信息.SIM卡易受一种称为“SIM克隆”的攻击.数据业务的弱点短信信息在传输时未加密加密算法的弱点DavidWagner和IanGoldberg曾用不到一天的时间破解了COMP128算法。,104,CDMA的安全措施,用防篡改的UIM（UserIdentifyModule）卡代替了GSM的SIM卡CDMA认证CDMA的保密性,105,CDMA的安全缺陷,当前的许多系统不支持认证功能手机既没有认证算法也无法输入A-KEY参数的管理存在问题,106,3G的安全措施,用户身份保密在无线链路上窃听用户身份IMSI是不可能的；确保不能够通过窃听方式获取当前用户的位置；不能在无线链路上获知用户正在使用的不同的业务3G认证完成了网络和用户间的双向认证；防止重放攻击;数据保密性数据完整性,107,3G系统的安全漏洞,3G允许将比较弱的加密算法标准化以便于出口;不支持公钥密码体制，难以实现用户数字签名终端存储能力和处理能力的增强更有利于病毒的传播,108,知识域：网络架构安全,知识子域：网络架构安全的概念理解网络架构安全的含义理解网络架构的安全需求（安全域、安全边界、用户接入控制、数据安全访问和控制等）,109,网络架构安全的含义,网络架构的定义：定义一：指对网络系统中物理部件的规划、规格描述以及布署定义二：为设计、构建和管理一个通信网络提供一个构架和技术基础的蓝图。定义三：指对由软件、互联设备、通信协议和传输模式等构成的网络的结构和布署，用以确保可靠的信息传输，满足的业务需要。网络架构安全是网络架构在安全方面的考虑，是网络规划和设计的重要内容之一,网络架构的安全需求,安全域划分边界安全策略路由交换设备安全配置要求防火墙安全配置要求网闸安全配置要求入侵检测安全配置要求抗DDoS攻击安全配置要求虚拟专用网（VPN）攻能要求流量管理部署与功能要求网络监控与审计部署与功能要求访问控制的功能要求,网络安全域,定义安全域是遵守相同安全策略的用户和系统的集合安全域划分的目的把大规模系统安全问题化解为更小区域的安全保护问题安全域的分类按信息资产划分按业务类型划分按区域划分按组织架构划分,112,同级别安全域同级别安全域之间的边界-同级别安全域之间的安全防护主要是安全隔离和可信互访不同级别安全域不同级别安全域之间的边界实际设计实施时又分为高等级安全域和低等级安全域的边界和防护远程连接用户远程连接的用户对于远程接入用户通常采用VPN结合用户认证授权的方式进行边界防护,同级别安全域之间的边界,远程接入边界的安全,网络安全域防护,113,网络边界的概念具有不同安全级别的网络之间的分界线都可以定义为网络边界网络常见边界：核心网络与互联网的边界核心网络与部门、分支机构网络的边界核心网络与异地容灾中心边界安全不同部门、分支机构网络的边界,114,网络边界防护,路由器防火墙；IDS。VPN设备。软件DMz和被屏蔽的于网隔离网闸。,115,网络边界防护部件,路由交换设备安全配置要求,每台设备上要求安装经认可的操作系统，并及时修补漏洞路由器设置加长口令，网络管理人员调离或退出本岗位时口令应立即更换。路由器密码不得以明文形式出现在纸制材料上，密码应隐式记录，记录材料应存放于保险柜中。限制逻辑访问，合理处置访问控制列表，限制远程终端会话。监控配置更改。定期备份配置和日志。明确责任，维护人员对更改路由器配置时间、操作方式、原因和权限需要明确。,入侵检测安全配置要求,中大型网络平台应部署基于网络的入侵检测系统（NIDS）网络入侵检测系统应对核心局域网、DMZ区域进行检测。对大型网络、分支机构网络的入侵检测，应采用分布式方式部署入侵检测系统。入侵检测产品应有国家相关安全部门的证书。监控配置更改时要进行监控。、定期备份配置和日志。入侵检测系统设置加长口令。如采用分布式部署方式，各级入侵检测系统宜采用分级管理方式进行管理。,访问控制的功能要求,网络边界部署访问控制设备，启用访问控制功能。能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。在会话处于非活跃一定时间或会话结束后终止网络连接。限制网络最大流量数及网络连接数。重要网段应采取技术手段防止地址欺骗。按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户。,知识域：网络架构安全,知识子域：网络架构安全实践掌握IP地址规划、VLAN划分的基本安全原则掌握网络设备安全功能和安全配置的基本原则掌握网络安全设备部署和配置的基本原则,119,网络架构安全,IP地址规划VLAN规划和实施网络设备的安全功能和配置网络安全设备的功能和配置,IP地址规划,从IP地址规划中可以看出一个网络的规划质量、甚至可以反映出网络设计师的技术水准。,121,为什么需要进行IP规划提高路由协议的运行效率确保网络的性能确保网络可扩展确保网络可管理,核心设备使用相对较小的地址所有网关地址使用相同的末位数字，如.254都是网关或.1都是网关IP地址通常要聚合后发布，在规划时要充分考虑使用连续的可聚合地址。,IP地址规划的技巧,122,非体系化的ip编址,主干网和每个分支网络需要维护全网的详细IP网段，路由表条目数明显增多，明显增加了路由协议运行开销。,体系化的ip编址,主干网只需维护每个分支网络的一条汇总路由每个分支网络只需要维护本网络区域的详细IP网段，对于其他每个分支网络只需维护一条汇总路由。路由表题目数量很少，明显减少了路由协议运行开销。,VLAN定义VLAN（VirtualLocalAreaNetwork）的中文名为虚拟局域网。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。,125,VLAN规划,划分VLAN的作用有效的宽带利用安全性多路径负载均衡隔离故障域VLAN的分类基于端口划分的VLAN基于MAC地址划分VLANPVLAN（privatevlan）,126,VLAN实施,交换机安全功能和