建立智能与安全的校园网络体系-宜春学院校园网设计方案

建立智能与安全的校园网络体系——宜春学院校园网设计方案公司：CiscoSystems日期:2003目录1 概述 41.1 宜春学院校园网建设的目标 41.2 宜春学院校园网设计原则 42 宜春学院校园网技术方案简介 62.1 宜春学院校园网设计思想简介 62.1.1网络核心设计分析 72.1.2行政教学区网络设计分析 82.1.3学生公寓区网络设计分析 82.1.4广域网接入设计分析 92.1.5核心交换机与服务器之间的高速安全连接 112.1.6网络管理设计 112.2 VLAN设计 122.2.1VLAN的定义 122.2.2VLAN的作用 132.2.3VLAN划分和路由 142.2.4在Catalyst6509上配置第三层服务 162.2.5PVLAN的应用2.3 网络可靠性分析 182.4 网络可扩展性分析 192.4.1IP地址扩展分析 192.4.2网络拓扑扩展分析 203 网络安全性分析 213.1 网络安全策略 213.2 网络设备的安全 223.3 校园网VPN设计分析 253.4 网络特殊安全需求分析 393.5 互连网访问管理设计分析 403.6 以一卡通为例的安全防护设计 414 思科解决方案特点 454.1 更安全的网络核心平台 454.2 思科基于身份的网络服务（IBNS） 484.2.1思科IBNS概述 484.2.2IEEE802.1X技术介绍 514.2.3思科IBNS增强的802.1X 545 其他网络应用技术介绍 575.1 无线技术方案 575.2 IPTelephone技术方案 585.3 多媒体教学解决方案 616 附录一：网络主要设备介绍 706.1 网络设备选择原则 706.2 网络核心交换机——Catalyst6509 706.3 汇聚交换机——Catalyst4500 746.4 汇聚交换机――Catalyst3750 776.5 接入交换机——Catalyst2970G 85产品规格与性能 856.6 接入交换机——Catalyst2950G 876.7 接入交换机——Catalyst2950 886.8 防火墙――PIX525 946.9 入侵检测设备——IDS4235 956.10 路由器――Cisco7401 996.11 网络管理软件CiscoWorks2000 996.11.1CiscoWorks2000产品概览 996.11.2CiscoWorks2000局域网管理组件 1006.12 身份认证（AAA）－CiscoSecureACS 1037 宜春学院校园网网络设备清单 107

1 概述1.1 宜春学院校园网建设的目标1.2 宜春学院总占地1200亩，在校学生10000余人，教职员工1000余人。拥有教学楼、人文楼、医农楼、理工楼、艺术楼、图书馆、行政楼各一栋，学生宿舍15栋以及体育馆、体育场、食堂等多栋建筑。本项目是就宜春学院新校区校园网项目进行招厂商参于项目的竞标，通过先进的网络产品及技术实现园区内信息网络的互连互通，为实现未来的校园网络系统、银校一卡通系统、数字监控系统、多媒体查询系统、数字图书馆系统、教务管理系统等打下良好的网络基础。为保障各项网络应用的稳定可靠运行，需要构建的校园网络具备高度智能，易于管理，能够抵御网络中各种安全隐患，诸如病毒对网络攻击、非法侦听和侵入、未经授权访问、不良信息通过网络传播等等。1.3 宜春学院校园网设计原则本次校园网系统建设遵循统一规划、分步实施的指导思想，工程的设计必须在考虑到满足当前需求的同时，充分考虑到将来整个网络系统的投资保护和对新应用的支持。设计及实施应充分遵循以下原则：易用性：系统具有良好简单的用户界面，供各类用户使用。先进性：紧密结合实际，立足先进技术，采用最新科技水平，使项目具备国内乃至国际领先的地位。可扩展性和可升级性：在保证目前需要的前提下，还要满足未来发展的需要，为将来在本系统上继续发展增值服务提供一个优良的平台、打下坚实的基础。软硬件系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流会呈指数增长，需要系统有很好的可扩展性，并能随技术的发展不断升级。国际标准性和开放性：严格按照国际国内相关标准设计实施，保证系统具有较长的生命力和扩展能力，满足将来系统升级的要求。安全性和可靠性：安全性与可靠性是教育网正常运转的保证。包括系统的快速查找及排除故障，在线故障恢复，数据传输的保密及完整，外部非法侵入的防范，内部人员的越级操作的防止等等。成熟性和稳定性：尽量采用成熟稳定的产品和集成技术。注意提高系统整体性能，使整体投资达到最佳。易管理和易维护性：集成的系统必须降低系统维护的难度和要求，方便用户日后的应用、管理和维护。系统设计完成的同时，必须完成与之相关的可操作的管理维护规定，保证系统的稳定运行。高性能：系统设计应充分发挥软硬件和网络的处理能力，并最优化系统的整体性能。投标方应具体说明以上八点的实施方案，选择先进成熟的切实可行的技术，充分利用宽带网的优势。

2 宜春学院校园网技术方案简介2.1 宜春学院校园网设计思想简介宜春学院校园网络拓扑图如下：如上图所示，本次网络设计采用星型三层结构,以网络中心为核心，通过光纤连接教学楼、人文楼、医农楼、理工楼、艺术楼、图书馆、行政楼、学生宿舍、食堂、体育场内部等各个区域，根据流量的不同可采用单链路上联（全双工2Gbps）或双链路上联（全双工4Gbps）。教学行政区通过分布在8个行政教学大楼的汇聚层交换机，分别连接到网络中心。学生公寓区在10号宿舍楼配置了网络分中心，其余14个宿舍楼的通过光纤汇聚在此，然后上连到网络中心。对于重要的接入交换机，例如教学楼教师办公接入交换机、多媒体教室楼接入交换机，根据需求都采用相应数量的10/100/1000M自适应接口，以实现高速率、高性能、良好的投资保护。对于其它接入交换机，采用10/100M自适应接口。服务器集中在网管中心机房，方便管理。配置防火墙、路由器等实现安全的内外部访问。通过网管软件实现全网的统一管理，AAA认证软件灵活控制用户接入。通过该网络设计，将实现安全高速的信息共享，同时奠定未来银校一卡通系统、数字监控系统、多媒体查询系统、数字图书馆系统、教务管理系统等网络基础。以下将对各个部分进行详细介绍。2.1.1针对用户的实际需求，宜春学院校园网拓扑结构选择星型结构。星型结构是指所有的外围接入用户通过接入层和汇聚层的交换机连接到处于网络中心的核心设备上。星型结构的优点是结构简单，易于扩容与维护，但对中心设备和链路有依赖性，中心设备必须保证高可靠性、高性能、支持丰富的应用。在本方案设计中，核心配置1台Catalyst6509交换机，配置双电源、256G高速交换矩阵，实现高可用性、高性能的网络核心。在Catalyst6509上配置1个高性能16口千兆接口模块WS-X6816-GBIC，其与2个引擎上的4个千兆接口共提供20个可用的千兆接口。Catalyst6509分别通过9个千兆光纤接口卡连接到网络流量很大的汇聚层交换机上，如8个行政教学汇聚交换机、1个学生公寓区分中心汇聚交换机，关键应用可以利用GigaEtherChannel技术实现双链路连接（全双工4Gbps）。核心交换机Catalyst6509剩余千兆光接口随时可以实现校园网络的二期铺设和扩展。该处配置的核心交换机Catalyst6509，支持256Gbps（可以扩展到720Gbps）背板，提供210Mpps（400Mpps/720Gbps）包转发能力，性能卓越。Catalyst6509可以平滑升级到更高性能，并提供线速万兆以太网。Catalyst6509上配置的双引擎，支持NSF（Non-StopForwarding）切换方式，引擎切换时会话不会中断，是目前最优异的双引擎备份方式。另外，Catalyst交换机所采用的三层交换处理机制，有别于其它厂商使用的传统Flow-basedSwitching/Cache-basedSwitching机制，Catalyst交换机CEF-basedSwitching机制更适应实际的网络情况，尤其适合于校园网大量用户、大量连接的情况，对于网络中存在的病毒攻击有良好适应力。3种交换方式的详细说明可参见后文。高端的Catalyst6509交换机，不仅仅支持基本的二层、三层功能，还支持丰富的服务应用。例如：Catalyst6500系列交换机可以支持入侵检测模块（IDS）、业界最高性能的防火墙模块（Firewall）、虚拟专网的VPN模块（VPN）、用于负载均衡的内容交换机模块(CSM)、网络流量统计的模块（NAM）等各种应用。一款6500交换机能够满足用户各种不同的需求，而这来自于Catalyst6500系列交换机自身优异的性能基础。可以说，使用Catalyst6500系列交换机作为网络核心，保护了用户未来的投资成本。2.1.2行政教学区的教学楼、人文楼、医农楼、理工楼、艺术楼、图书馆、行政楼分别独立的以光纤连接到网络中心，其中单模光纤7个，多模光纤1个。虽然各个行政教学楼网络要求的功能和各项应用差别比较大，但是对于网络设备的性能要求是一致的，网络拓扑结构也是一致的，因此可以选择相同系列的网络产品。本方案设计中，行政教学区为各楼选择的高档汇聚交换机是WS-C4503，同样具备高达64Gbps无阻塞交换矩阵、48Mpps的2－4层包转发能力，支持高速、智能、多应用网络；配置2个全线速的千兆上连接口（GBIC），同时为教学楼中办公科研用户提供48口10/100/1000M自适应的高速接入。本方案设计中，行政教学区为各楼选择的中档汇聚交换机是WS-C3750G-24TS-S，在一台交换机上集成了24口10/100/1000M自适应接口，和4口小型光纤扩展口。Catalyst3750系列产品采用业界最先进StackWise的堆叠技术，通过高达32Gbps的堆叠背板，为学校提供了优异的投资保护性和易扩展性。本方案设计中，行政教学区为各楼选择的低档汇聚交换机是WS-C2970G-24TS-E，在一台交换机上集成了24口10/100/1000M自适应接口，和4口小型光纤扩展口。它同样具备56Gbps的交换背板和高达38.7Mpps本方案设计中，行政教学区为各楼选择的接入交换机是WS-C2950T-24，具备2口光纤千兆上连，剩余24个端口采用10/100M接入方式。2.1.3在学生公寓区，由于其端口数量大（约5500个），数据流量巨大，在此区域设定了网络分中心（10号宿舍楼），分中心通过光纤再连接其余的14个宿舍楼（其中有10个多模光纤、4个单模光纤）。分中心汇聚层的交换机，需要使用较高背板带宽和三层包转发性能交换机，并保证在大流量突发时，性能不下降。为提高网络带宽，汇聚层交换机与核心交换机连接时建议采用2根光纤双上联，实现全双工4Gbps带宽，同时预留富裕光纤接口为双机冗余备用。光纤口应该同时支持1000Base－X（SX/LX）和1000Base－T，通过接不同千兆接口卡实现。本方案设计中，学生公寓区分中心的核心交换机为WS-C4506，配置新一代的交换技术CEF，基于硬件（ASIC）的第二层到第四层交换引擎，提供高达64Gbps无阻塞交换矩阵、48Mpps的2－4层包转发能力，支持高速、智能、多应用网络；配置18个全线速的千兆接口（GBIC），并具有优异的投资保护性；配置完成后，不仅具有三层交换汇聚和高速上联性能，模块化的结构还具有良好的扩展性，为未来应用的扩展保留了空间。本方案设计中，学生公寓区各个宿舍楼的汇聚交换机为WS-C2950G-24（针对单模光纤）或者WS-C2950SX-24（针对多模光纤）。两款交换机均具备24口10/100的交换端口，同时有2口千兆上连的光纤接口，配备不同的接口卡就可以连接单模或多模光纤。本方案设计中，中高档学生公寓区接入交换机为WS-C2950-24，低档的接入交换机为PC22224。2.1.4广域网接入设计分析广域网接入通过1台Cisco7401特殊应用路由器（ASR）实现。Cisco7400ASR使用了Cisco的并行快速转发（PXF）专利技术，可以提供整套优秀的硬件加速服务，尤其是对NAT、NetFlowv8、TurboACL、CEF等应用。Cisco7400互联网路由器是业界性能最高的单机架设备、支持多种服务的路由器产品。这种模块化的单端口适配器插槽设备可以支持四十多种接口的、灵活的广域网连接，包括串行、多通道、ISDN、帧中继、ATM、PacketoverSONET(PoS)、从NxDS0到OC3等电信线路和多出口环境。服务选择网关（SSG）是CiscoIOS软件的一项功能，它帮助校园网络运营管理者制定按需提供服务策略，开辟新的收入渠道。Cisco7400系列的SSG能为针对不同IP目的地的用户交互策略提供RADIUS身份认证和记帐功能，这可以为校园网络服务带来更高的系统灵活性和方便性，包括同时登陆多项服务的能力。此外，它还使校园网络运营管理者可根据用户的连接时间和所使用的服务，向用户收取相应的费用，而不是制定一成不变的价格。服务选择网关（SSG）也是思科网络安全体系SAFE的基于身份认证网络服务的有机组成部分。针对远程校区以及校外的家属区接入，可以采用VPN技术连接。2.1.在路由器与广域网公网连接时，需要将校园私网的地址翻译转换为公网地址。路由器上连接双出口，需要在每个端口上作相应的地址翻译NAT。NAT分为以下三种方式，可以根据实际情况选用合适的方式。1、静态地址转换：通过建立内部地址和外部地址的一一对应关系进行转换，可以用于保护内部主机的安全性，但是由于一一对应关系，所以有多少个外部IP地址，才有多少个内部IP地址可进行转换，且一个内部IP只能对应唯一一个外部IP地址。2、动态地址转换通过建立地址池进行动态地址映射转换，和第一中方式比较则具有更大的灵活性和可用性，但同样受到外部IP地址数量的限制。3、端口地址转换对于不同内部IP地址，通过分配外部IP地址的的TCP（UDP）端口号进行转换。Cisco路由器1个外部IP地址最多支持4000个本地IP地址，且具有优异的连接转换速度。此种方式对于内部地址较多，而外部地址较少的用户将是很好的解决方案，缺点是较消耗路由器资源，对路由器内存配置要求较高。2.1.5核心交换机与服2.1核心交换机通过10/100/1000M自适应端口与关键任务服务器连接。在服务器上配多个千兆网卡，就可以通过EthernetChannel技术实现更高速连接，避免服务器成为网络访问的瓶颈。这对于千兆向桌面普及的网络环境下是非常有用的。在核心交换机上可以组成若干服务器专用VLAN，每一个VLAN内部根据业务特性实现PVLAN功能。在核心交换机平台上配备了高性能防火墙、入侵检测模块后，交换机上的每一个端口都处于独立虚拟防火墙和入侵检测的直接保护下，核心网络服务应用安全畅通。2.1.网络管理包括两类：对设备和对应用的管理。建议采用Cisco公司的网络管理解决方案。Cisco公司网络管理解决方案提供一整套完整的网络管理组件，其中包括对Cisco网络设备本身的管理以及对网络上传输的不同应用的管理等。需要指出的是，网络管理会占用一定的网络带宽资源，其流量需求取决于网管配置中的具体参数、设备数目以及管理架构，一般来说，网络管理流量不会超过总流量的5%，这一开销在我们考虑设备性能要求时已经考虑在内。建议在宜春学院校园网网络中心配置CiscoWorks2000网管软件。CiscoWorks2000是基于Web的网络管理组件，它提供设备管理（软件、硬件）、配置管理、图形面板、流量监控、故障判断、拓扑发现等诸多网络管理基本功能。关于网管的设置，我们建议透过防火墙接入网络，同时采用加密通道的带内网管技术（SNMPv3/SSH），从而有效保证对网络的控制能力。为强化网络安全管理，配置CSACS-3.1-WIN-K9的用户权限、认证、计费（AAA）软件。它能够基于Web的用户界面简化和分配了配置工作，与Windows2000ActiveDirectory和NT数据库配合支持融合了Windows用户名/密码管理，能利用Windows性能监视器查看实时统计数据，ACS在运行一个RADIUS或者TACACS+嵌入式CiscoIOS版本时，可以与大多数Cisco路由器/网络访问服务器一同使用。2.2 VLAN设计为了便于管理，并提高校园网网络的效率和安全性，除了上述网络的物理设计外，还需要对网络进行逻辑设计，即划分虚拟网。虚拟网技术是将网络中的物理基础设施与网络的逻辑基础设施相分离，使得网管人员能方便而动态地建立和重构虚拟网络，以适应部门机构的协作与变动，方便网络管理，降低管理的成本。总结起来，有下列因素促使我们采用虚拟网技术： 一个平台多种应用，这些要求相互之间相对独立； 提高带宽的利用效率； 提高网络的安全性； 方便网络的管理。2.2.1VLAN是VirtualLAN的缩写，即虚拟局域网的意思，区别于物理分布的局域网，VLAN是按照某种逻辑划分的局域网，即根据组织结构、功能、项目组或应用而划分的逻辑网段。VLAN与物理分布的局域网间的区别还在于，VLAN能够通过软件改变特定端口的配置来改变局域网的布局，而不必物理地移动网络设备或线缆。一个VLAN的可以对应一个或多个物理端口，也可以跨越多台物理设备，即同一VLAN可以在分布在一台或多台网络设备中，这样VLAN就提供了最大限度的关于配置的灵活性。如下图所示，传统的物理网段与VLAN网段间的不同在于，同一VLAN网段是可以跨越多个物理网络设备形成的逻辑网段，而传统的物理网段只能位于同一个物理的网络设备中。VLAN示例2.2.2VLAN技术是伴随着局域网交换机技术的产生而发展起来的，其最为根本的作用是通过控制广播域的大小来实现本地性能的优化。具体而言，在局域网交换机上，每个VLAN对应一个广播域，这就意味着广播包只能在单独的VLAN内进行广播，而不能跨越一个VLAN广播到另一个VLAN中去。VLAN的作用归纳起来，有如下几个方面：A、控制广播提高性能：类似于局域网交换机隔离冲突，VLAN能够提供广播域间完全的隔离，所有的广播和组播信号只能在同一VLAN内传递，有效地减少广播风暴的产生，从而提高交换设备的性能。B、提高安全性：VLAN通过隔离的方式来改进局域网交换机整体的安全性，对安全性要求高的用户可以分配在同一VLAN中，通过激活路由器的访问控制列表和地址过滤等功能，可以提高系统整体的安全性。C、简化网络管理VLAN有助于简化网络管理，通过配置局域网交换机的物理端口的属性，不必物理地改变工作站的位置就可以实现工作站的添加、移动和改变。在局域网交换机中，缺省的设置是所有的端口都位于同一个VLAN中，如果不设置VLAN的话，全部的端口都位于同一广播域内，广播风暴会造成局域网交换机整体性能的下降。因此，在大型的局域网环境中，为主干交换设备配置VLAN是有重要意义的。但是，局域网交换机作为第二层的交换设备，并不能将数据包从一个VLAN传递到另一个VLAN中，因此，还需要在通过路由器实现多个VLAN间的通讯。方案中所选用的Catalyst6509是一个模块化的网络设备，并且支持多层交换功能，实际上可以将其视为一个集成了第二层交换与第三层路由功能的核心网络设备，通过配置多层交换功能，就可以实现多个VLAN间的通讯。校园网有多个按照职能划分的部门，这些部门内部的一些信息对其它部门的普通用户是不开放的，因此，校园网内部企业网应该根据具体职能部门的设置和工作流程的要求划分多个VLAN（虚拟局域网），将各个部门分配在不同的虚拟局域网之内，各个虚拟局域网彼此之间可以根据需要作连通或隔断的策略选择。比如规定部门A和部门B两个虚拟局域网内的普通用户是不能访问其它部门内部的信息的，而对于领导干部则可以放开互相访问数据的权限，这些策略的设置是通过IP地址、交换机端口等参数实现的。具体说来，在各个分配线间中Catalyst交换机上，可以根据端口或IP地址划分多个VLAN，并且同一个VLAN还可以跨越不同的Catalyst交换机，这些VLAN的通断策略在主干交换机Catalyst6509上制定并实现。网络管理人员通过在Catalyst6509上作配置就能达到对不同VLAN间的通信作控制的目的。Catalyst6509是具有路由功能的交换机，它支持动态路由与静态路由协议。各VLAN之间的连通性即路由可根据实际需要配置或加以限制。2.2.3校园网络中尤其是各种业务、信息流量的汇集点，涉及到不同的职能部门，很多部门具有相对独立的应用，例如财务部、各系教务部、校长办公室等等。因此，各部门之间的信息具有不同程度的保密要求，如果不进行虚拟网络的划分，是根本无法想象的。网络会被广播包所拥塞，用户根本无法使用网络，管理员也根本无法保证网络的安全性和实现对网络的管理。根据用户的需求，在实施时会将各中心局域网根据应用类型划分为多个VLAN，并可随需求进一步划分。虚拟网络划分可以根据实际情况通过使用专门的管理设置软件，对交换机所连接的网络进行虚拟分组，使几个不同端口所连接的网络成为一组。虚拟网的划分可以跨多个交换机，也可一个交换机内划分出多个虚拟网。虚拟网的划分要依据一定的原则，这些原则是对于那些相互之间联系频繁的节点，尽量划分在一个网段，比如说可以按照部门来划分虚拟网，对于较大的部门，可以进一步细化。对于公共的服务器，尽量设置在对其访问数据流量最大的VLAN中，对于应用核心级的服务器，或者为多个VLAN用户所经常访问的服务器，可以使用虚拟多宿主服务器技术，该技术使得一台服务器同时存在于多个VLAN中。有下列技术可以实现虚拟多宿主服务器： 通过在服务器插入多个网卡 服务器使用支持VLANTrunking技术（IEEE802.1Q或ISL）对于有些部门，由于其规模比较大，必须进一步对这些部门按其逻辑进行划分以建立相应的VLAN，划分VLAN之后所带来的问题是原来在一个VLAN中的名字服务现在因为要跨越VLAN而不能完全提供（通俗地说，用户不能在Windows9X的“网上邻居”中看到其它VLAN中的用户），因为由同一部门划分出来的VLAN往往有比较多的联系，为方便用户，名字服务是需要的。这个问题可以通过在网络设备中设置IPHelperAddress服务，将广播请求转发到有特定的地址的服务器来解决。在校园网络中，VLAN主要通过以下两种规则（Rule）的策略来实现： PortRules：基于端口的VLAN是最简单的一种虚拟网形式。但它提供了最好的控制和安全性，它是通过配置分配连在某一端口上的设备基于它们所连接的端口来加入某一个VLAN。 802.1xRules:根据用户的认证信息，由中心安全服务器预定的信息，在交换机端口上动态设置该用户的所属VLAN，相关安全设置参数以及DHCP信息。通过虚拟网的灵活设置，既可为网络管理带来灵活性，使网络维护工作量降低。同时通过虚拟网的组合设置，可实现安全的虚拟网划分，给网络带来相对的安全性。VLAN间的路由目前实现VLAN互连的技术主要有： IEEE802.1Q Inter-Switchlink（ISL） 第三层交换在网络方案中，由于主要使用Cisco设备，建议采用Cisco专有技术Inter-Switchlink来实现跨交换机VLAN之间的通讯，对于其它厂商的交换机可采用802.1q技术。我们可以将两台交换机上的若干不同的端口划归同一VLAN，同时在交换机链路上设置ISL封装，同时在交换机链路上设置ISL封装，通过Catalyst交换机的第三层交换模块来实现VLAN间的路由。三层交换技术是第三层路由技术与第二层交换技术的有机结合，不是简单的把路由器设备的硬件及软件简单地叠加在局域网交换机上。从硬件的实现上看，目前，第二层交换机的接口模块都是通过高速背板/总线（速率可高达几十Gbit/s）交换数据的，在第三层交换机中，与路由器有关的第三层路由硬件模块也插接在高速背板/总线上，这种方式使得路由模块可以与需要路由的其它模块间高速的交换数据，从而突破了传统的外接路由器缺陷。我们建议在不同VLANs的访问采用第三层交换的方式。2.2.4在Catalyst6509上配置第三层服2.2Catalyst6509是Cisco产品线中典型的多层路由交换平台，因其可集成第二层和第三层模块而使局域网交换和路由技术有机结合起来。因此，Catalyst6509不单纯是传统意义上的局域网交换机，而是支持路由技术的多层交换机。Catalyst6509交换机完全可以将其视为一个运行着标准CiscoIOS的路由器，其作用是为基于第二层端口所划分的VLAN提供第三层的路由服务。如果没有路由器的话，位于不同VLAN间网络设备不能实现相互之间的通讯。在多数的网络环境中，VLAN与单独的网络或子网相关联。Catalyst6509使用InterVLAN路由技术实现位于不同VLAN终端之间的通讯。为了配置Catalyst6509的第三层服务模块的InterVLAN路由，首先要配置VTP，然后在交换机上创建和配置VLAN。要在交换机上配置VTP和VLAN，需要在CatalystIOS的特权模式下执行如下的任务： 任务 命令第一步 指明VTP模式 setvtpmode{server|client|transparent}第二步 创建一个VTP域 setvtpdomainname第三步 创建VLAN setvlanvlan_num第四步 为VLAN分配物理端口 setvlanvlan_nummod_num/port_num对于Catalyst6509来讲，要将其视为一个配置了多个以太网端口的路由器。我们建议的配置方式是将千兆端口捆绑成一个port-channel。其他还有两种配置方式可供选择：一种是将每个千兆以太端口配置成IndependentlyInterface，另一种是将千兆以太端口配置成Trunk。这两种方式的共同点是每个千兆以太端口只属于一个VLAN的情况。显然，这不符合实际情况，所以，在配置中心交换机Catalyst6509时，按照我们建议按照port-channel的配置方式进行。这种方式的配置过程是，绑定千兆以太端口形成一个逻辑的port-channel，在这个port-channel上启用trunk连接，trunk是路由器与局域网交换机之间进行通讯的逻辑链路，然后可以在这个逻辑的port-channel下创建若干个子接口并把每个子接口配置成封装IEEE802.1Q协议的trunk连接，每个子接口对应一个VLAN，相应的每个子接口的IP地址就是每个VLAN的网关。2.2.在一个已经存在的VLAN里，思科可以使用privateVLANs为特定的网络应用提供更好的安全控制。PrivateVLANs可以限制同一个VLAN（PirmaryVLAN）的端口之间的访问。Isolatedports只能和promiscuousports通信，Communityports可以和同一个团体的端口和promiscuousports通信，Promiscuousports可以和PrimaryVLAN内所有端口通信。PrivateVLAN也可以有效减轻被侵入的影响范围。基本网络用户都与接入桌面交换机连接，在所有桌面用户的端口上均可以不预设VLAN信息。在相关交换机上设置802.1x安全认证机制，仅当用户通过认证之后，交换机才会根据安全服务器返回的授权信息设置该端口的VLAN属性，流量限制以及针对该特定用户所允许访问的控制列表信息。在桌面交换机接入用户之后，可以向中心安全服务器发送802.1x的记帐信息，当中心安全服务器收集并记入数据库之后，可以通过相关的记帐软件输出用户的网络使用情况并产生帐单。桌面交换机除了基本的802.1x设置之外，还需要设置全面的安全保护特性，其中包括：基于STP协议的安全保护，例如rootguard,portfast等，防止用户非法成为网络的STPROOT；基于MACCAM的安全保护，实现portfast功能；基于ARP攻击的保护，实现PVLAN的功能；基于DHCP与802.1x的保护，利用交换机关于DHCP82option的保护特性，将DHCP地址池与特定交换机对应，动态分配IP地址，网关以及DNS等信息；利用SSH以及思科专用的集簇管理技术，实现针对大量桌面交换机的带内管理，并且防止非法的用户侦听行为；2.3 网络可靠性分析网络的设计和建设应该充分考虑到网络的安全性和稳定性，应该能保证各种在网数据安全、完整，保证各类网络应用的畅通和稳定。对于单个的网络设备，要求设备本身有高可用性，和长期运行的稳定性。对于关键的设备需要支持关键部件的冗余和热插拔功能。另外还要求关键网络设备必须符合安全性要求，具有能阻挡一般性网络攻击的能力。对于整个网络的设计方面，使用技术成熟的网络设备和通信技术，对于网络的重要部分或设备应在网络设计上考虑冗余和备份。减少单点故障对整个网络的影响。网络在硬件和软件上考虑防止非法入侵和破坏的能力，主干网要能抑制广播风暴和地址过滤。整个网络要便于统一管理、监控和维护，并能跟踪、诊断和排除故障。主要网络设备要支持SNMP和RMON。大型的校园网络，必须依靠各种网管软件及特别的网管功能，实现监控、故障诊断和排错。特别强调的是：Catalyst交换机中RemoteSPAN功能可以远程映射端口流量进行分析，方便故障诊断。核心交换机将来自多台分布式主机和交换机的流量集中起来，将跨网络中多个交换机实现源端口和目的端口之间的网络通信流镜像，以此实现集中管理和监控。这样在网络出现故障的时候，在核心交换机的一点上就可以查找到网络中的故障设备和故障端口，不需要进行多个物理点的监控检查，极大降低网络管理的成本，提高网络使用效率。对于三层协议，路由协议可以负载均衡、链路备份、快速的故障恢复；对于二层协议，可以通过802.1s/802.1w或PVST/uplinkfast/backbonefast技术实现负载均衡、链路备份、快速的故障恢复。对于三层协议：通过某些动态路由协议，如EIGRP，可以配置相应的Metric值，使两条链路可以同时工作，当某条链路坏时，可以自动备份到余下的链路上。即实现了负载均衡、链路备份、快速的故障恢复。对于二层协议：802.1s/802.1w或PVST/uplinkfast/backbonefast技术，可以自定义一部分VLAN以链路1为主链路，链路2为备份；对另一部分VLAN以链路2为主链路，链路1为备份。则实现了负载均衡、链路备份、快速的故障恢复。2.4 网络可扩展性分析2.4.1根据经典的TCP/IP协议，全球公共网络（Internet）设备和用户的IP地址是按照相应编址规则分类的：地址类型IP地址子网掩码网段数量每段主机数量A类地址0.x.x.x-127.x.x.x12616,777,214B类地址128.x.x.x-191.x.x.x1638465,532C类地址192.x.x.x-223.x.x.x2097152254D类地址224.x.x.x-247.x.x.x网络广播专用地址E类地址248.x.x.x-255.x.x.x保留地址分解到每个组织或园区网络的公网地址往往不能满足其网络设备和用户的需求。学校在IP地址设计时，针对现有网络设备和用户规模，可以根据表中IP地址分类特点，选择私网的IP地址，通过NAT再将校园中每个用户转换为公网合法地址进行访问。举例说明网络地址的优化：如果选择C类地址，网段很多而每个网段的主机却很少，就可以考虑将校园网络地址改为B类地址。思科的路由设备（含高端三层交换机）支持先进的可变长度的子网掩码技术（VLSM），多数路由协议如OSPF、EIGRP、RIPv2，IS－IS，BGP都支持此项技术。传统路由协议和设备在网络数据传输过程中，只记录IP地址，子网掩码采用默认固定的格式，每个网段就只能有固定的主机数量，如C类地址默认每个网段就只有254的主机。而支持VLSM的设备在网络数据传输过程中，除了记录IP地址，还附带子网掩码的长度，其格式如3/27，这个网段下就可以有30个主机，而10/30，这个网段下就只有2个主机。通过VLSM，网络地址得到进一步的优化，避免有的网段主机地址不足，而有的网段地址浪费。IPv6是为解决Internet网公网地址不足而产生的新一代IP地址编址规则，思科中高端交换机都支持IPv6，这对于校园网采用IPv6进行IP地址扩展提供硬件保障，同时对于网络现在的投资有长远的保护。2.4.2在宜春学院校园网设计中，网络可扩展性由以下几点保证：网络拓扑结构为树型结构即两级星型结构，具有良好的网络规模扩展性。网络主干交换设备Catalyst6509及分中心设备Catalyst4506为插槽式模块化设备，在满足现有网络需求的基础上仍有空余插槽，在添加端口模块、升级网络技术时只需更改或增加模块甚至无需改动即可进行，具有良好的扩展性。由上可见，本网络设计方案具有很高的可扩展性，可以有效地保护宜春学院校园网系统的长期投资除了拓扑结构的扩展，思科核心交换机WS-C6509目前全面支持万兆线速交换，在未来校园网更新或升级为万兆主干時，只需要更新交换模块，原有的模块仍然可以使用。这种交换容量的扩展性是真正对学院投资的保护。

3 网络安全性分析网络安全越来越成为企业网络成功运行的关键因素。特别是随着多协议新业务的发展、网上教学、远程教育等各种应用使教育网络不再是一个封闭的网络，网络设计中必须制定网络安全策略，保证内部网络的完整性和安全性。建议采用CiscoSAFE（SecurityArchitectureforEnterprise企业安全体系结构）为宜春学院校园网提供整体的、可扩展的、高性能的、灵活的安全解决方案。SAFE采用模块化的方法根据用户需求制定安全的设计、实施和管理。在设计SAFE的每个模块时，Cisco都考虑到一些关键的因素，包括潜在可能的威胁或侵入及相应的对策、性能（不能因为安全控制带来不可接受的性能下降）、可扩展性、可管理性、服务质量和语音的支持等。我们为宜春学院校园网提出的网络安全策略正是基于SAFE企业安全体系结构而设计，满足宜春学院校园网对网络安全的要求。3.1 网络安全策略网络系统的安全主要涉及到应用系统信息传输的安全、信息存储的安全、对信息内容的审计以及鉴别与授权、用户访问控制等。本质上，网络的安全性就是指系统和信息的安全，一般的系统攻击能使系统不能正常工作，但不导致数据泄密，而信息的安全与否直接关系数据的泄密。下面是一些常规的网络安全解决手段： 信息传输安全（动态安全）：数据加密，数据完整性鉴别。 信息存储安全（静态安全）：数据库安全，终端安全。 信息的防泄密：信息内容审计。 用户访问控制：鉴别，授权，日志管理。网络系统的安全是一个涉及系统各个部件的问题，因此解决安全的手段也必须是一个系统的方案，一般来说网络系统的安全需要从以下几个方面来加以解决： 网络本身 主机与应用系统 用户认证 行政管理要指出的是，网络安全的解决是一个复杂的系统问题，需要从系统的各个层面加以解决，我们在建议采用的是一个循序渐进的解决策略，即首先实现基本的安全策略，再考虑更深入的安全解决方案。3.2 网络设备3.3 的安全网络的不同模块在网络中有着特定的功能和不同的安全需求，我们先分析一下网络中哪些现有设备是安全设计的目标，而这些设备本身应采用一定的安全防范措施。3.3.路由器控制着网络之间的访问，也是受攻击的目标之一。路由器的安全是任何安全实施时的关键部件，Cisco的IOS提供了路由器上基本的安全保护功能，通常我们会在路由器上采取以下一些安全措施： 设置访问控制列表（ACL）； 控制对路由器的远程登录； 控制对路由器的SNMP访问； 通过TACACS+或RADIUS来对路由器的接入进行AAA控制； 关掉不需要的服务； 设置不同的登录级别；对路由更新进行认证；3.3.对于交换机，和路由器一样也要对远程登录、SNMP进行安全控制外，还需要下面的一些安全措施：对于不需做中继的端口，将其中继模式设置为OFF（缺省为AUTO）防止某台主机安装了支持VLAN中继封装的网卡将链路变为中继而收到中继上所有VLAN的信息；确保中继端口的NativeVLAN为网络中不使用的VLAN号；将交换机上未使用的所有端口设置到无第三层连接的VLAN或者将其关闭（disable）;3.3.主机是最可能被攻击的目标之一，同时从安全方面也有最多的困难。企业网中有很多不同的硬件平台、操作系统、和应用程序。因为主机要向网络中其他机器提供服务，所以主机在网络中必须是可见的，因而主机是最有可能被尝试侵入的。为保证主机的安全，需要注意到系统中的每一个部件。保持系统及时的更新和安装适当的经过测试的补丁程序，当然最好选用专业的防护工具。思科专业的主机入侵保护系统（HIPS）产品CiscoSecurityAgent可以提供对核心服务器、台式机甚至用户终端安全防护。CSA超越传统服务器和用户机的传统安全模式，可以在一些潜在恶意攻击发生之前就能够识别和预防，因此可以清除校园网络各种应用中潜在的已知和未知的威胁。CSA是多种网络用户终点安全功能的集合和延伸，如主机入侵检测防护、分布式的防火墙、多变恶意代码的防护、操作系统集成保护、每台设备的数据包一级日志文件审查。一些显而易见的网络安全攻击如“红色代码”和SQLSlammer蠕虫，传统的主机和用户机安全技术只能限制各种新的、变种的攻击对网络影响。思科的CSA不是仅做特征代码的比对，而是分析在网络中行为。3.3.对整个网络的攻击不只是使某台设备被宕机，而是使整个网络无法响应，合法用户也无法得到服务。例如分布式拒绝服务攻击Distributeddenialofservice（DDoS）通过数十或数百台机器同时一个IP地址发送伪造数据来实现。常见的DdoS有ICMPfloods，TCPSYNfloods，或者UDPfloods。通常可以在ISP路由器的出口和企业网边界路由器的入口上设置对ICMP和TCPSYN的速率限制。通过对网络中设备被攻击的方式方法分析，除了用户身份的安全认证和权限设定，网络设备自身通过CiscoIOS的安全防护外，思科提供了灵活的配置选择来实现防火墙和入侵检测功能：依托功能强大的6500核心网络平台，选择内置于核心交换机的防火墙模块WS-SVC-FWM-1-K9和入侵检测模块WS-SVC-IDS2-BUN-K9借助于核心交换机WS-C6509的高性能交换背板和包转发速率，防火墙模块WS-SVC-FWM-1-K9能实现高达5Gbps的吞吐量，3Mpps包转发，一百万个并发连接，每秒建立和断开超过10万个连接；支持802.1q和ISL协议，最多可以支持100个防火墙VLAN。特别需要指出的是，Cisco一个防火墙模块可以被划分为最多256个逻辑虚拟防火墙，每个虚拟防火墙支持250个虚拟防火墙接口（单一模块虚拟防火墙接口总和不超过2000个）。这可以使网络管理者将核心交换机上的每一个端口置于各个不同防火墙的保护之下，对于不同性质、区域的设备采取不同的安全防护策略。而实现同样的功能，如果采用了独立防火墙设备，成本将远远超出单一模块。思科是唯一可以提供一个交换机内置IDS解决方案的厂商，体积只占一个机架单元，在CiscoCatalyst设备中只占用一个插槽，从而使它成为能够有效地支持所有Catalyst6500设备的平台，每秒600Mbps的IDS检测能力可以提供高速的分组检查功能，并让用户可以根据自己的需要，同时安装多个模块，为更多的VLAN和流量提供保护。这种解决方案可以通过VLAN访问控制列表（VACL）获取功能来提供对数据流的访问权限。VACL可以支持无限个VLAN。多种用于获取和响应的技术，包括SPAN/RSPAN和VACL获取功能，以及屏蔽和TCP重置功能，从而让用户可以监控不同的网段和流量，同时让产品可以采取及时的措施，以消除威胁通过被动的、综合的操作提供透明的操作。这种操作方式可以通过VACL获取功能和交换机端口分析工具/远程SPAN（RSPAN/SPAN）检测分组的复本，而且如果设备需要维护，因为它并不位于交换机转发路径上，因而它不会导致网络性能降低或者中断。可以利用已有CiscoIDS的全面的攻击识别能力和特征库，也可以用户自定义防范攻击的特征库，对已知的各种攻击模式和未来潜在变化攻击方式进行防范。独立的防火墙设备PIX-525-UR-BUN和独立的入侵检测设备IDS4235。作为世界领先的CiscoSecurePIX防火墙系列的组成部分，PIX535能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。该防火墙将静态防火墙和IP安全（IPSec）虚拟专网（VPN）功能与千兆位以太网吞吐量灵活地结合在一起。主要性能指标：纯文本吞吐量：300Mbps，同时会话连接28万，并发连接数2000。PIX525还是一种能够通过公网安全传输数据的全功能VPN网关，它支持使用56位数据加密标准（DES）或168位3DES对VPN应用进行站点到站点和远程访问。PIX535的集成VPN功能可以得到VPN加速卡（VAC）选件的支持，能够提供440Mbps的吞吐量和2000个IPSec隧道。入侵检测设备IDS4235是放置于网络主干的旁路检测设备，在不降低网络传输性能的前提下，可以实现无与伦比的250Mbps的包侦测速度，还能保护千兆位子网以及正在穿越交换机（从多个子网汇集流量）的流量；支持802.1q流量（中继）；支持对异常攻击的特征定义，用户可以更新升级特征；多种多样的管理解决方案，包括Web用户界面、命令行界面（CLI）或思科高度可扩展的CiscoWorkdVPN/安全管理解决方案（VMS）。3.4 校园网VPN设计分析虚拟专用网(VPN)是部署于公共网络基础设施中的一种网络。它使用和专用网络相同的安全性、管理以及服务质量策略。使用VPN的优点包括：降低成本；将连续性扩展到远程工作者、移动用户、远程办工室以及新用户（客户、供应商和合作伙伴）。远程访问VPN最初是一个用来取代传统远程访问服务器技术的构想。随着高速互联网访问和宽带连接继续被消费者和企业广泛采用。设计一个企业VPN的基础结构以及选择具体的VPN解决方案，主要依赖于您计划如何使用VPN。例如，一个用于认证和端接众多同时对话的远程访问VPN，其选择和设计考虑就与只有一个办公室或者通过一个永久的VPN网连接很多办公室的点对点VPN应用不同。同样地，一个只有有限的用户和站点的应用程序可以采用先进的防火墙技术。对于大规模的企业VPN——特别是必须支持宽带连接的企业VPN来说，一个有目的制造的通信设备是需要的。解决方案的主要特征如下：坚固的结构可扩展性易于管理灵活性管理服务提供商可以提供一个有吸引力的解决方案来构建和实施自己的内部基础架构。具体的解决方案会有不同，但一般地，它们基于客户单位设备（CPE）或新形成的以网络为基础的解决方案，有时被称作IP-VPN。今天，大型企业一般选择基于CPE的解决方案，因为它们提供了从远程桌面终端（或远程路由器）到中心站所有途径的端对端加密功能。降低成本访问费用—VPN利用公共互联网或者服务提供商所共享的IP网络来做为访问专用LAN的传输媒介。典型地，假如企业已部署了集中拓扑结构的或用于冗余目的的多地点远程访问基础设施，那么访问费（以及相关的上百万美元的长途话费）通常会被免除。这一成本模型与拥有大量远地员工的公司不是很成比例。可是普遍存在的并通过不断增加的提供点（POP）来覆盖的低成本互联网访问，意味着全体用户可以使用其本地号码与企业相连。这样就能极大地减少或免除长途访问费用。减少日常开支—VPN能减少经常性的管理费用以及远程访问所需的投资。在传统的远程访问基础设施中，调制解调器是核心技术。可是在许多情况下，调制解调器是一个频繁地危及服务有效性和访问基础设施性能的薄弱环节。修订控制、升级和修补在基础设施的寿命期间内要经常进行，而这一昂贵的日常开支消耗了有价值的IT资源。当这一基础设施没有得到有效维护时，那么远程访问用户有可能体验到逐渐变差的服务，这种服务称为尖峰服务。降低服务和支持成本—VPN能让IT管理人员利用其服务提供商的调制解调器池/远程访问服务器等基础设施来从本地POP享受到远程访问能力。因为顶级的服务提供商经常地监控、维护和升级他们的拨号基础设施，因此省却了您的很多麻烦。这样就彻底地减少了主要的服务呼叫，因为服务提供商可以对任一以及所有的调制解调器连接性问题提供24×7的技术支持。这种好处是微妙的但极其重要，因为大量的远程访问是发生在正常工作时间以后。提高服务水平更成功的连接—通过拨叫一个本地POP，终端用户可以达到一个比使用长途（电话）线直接拨入企业更高的连接速度。可扩展性—利用VPN可彻底地减少扩展和提供远程访问服务的成本和复杂性。当使用远程访问服务器时，升级受限于集成调制解调器的数量——典型值为24～48个。为了增加容量，IT经理们必须安装另外的系统和T1/基本速率接口（PRI）馈线（或单独测试过的业务线）。电信安装的时间变化很大，增加新的远程访问系统在成本上是一个逐步的过程。使用VPN设备，其最大容量接近于在一个单独的机箱内容纳几千个同时对话。IT经理们可简单地采用增加新的登录和分配客户机软件来满足远程访问服务增加的需要。可用性即“1：1端口率”—远程访问服务器的一个基于调制解调器的相对未知特性是：经理们必须为他们特定企业的使用样式估计一个端口率，因为在正常的情况下，远程访问用户在一天的不同时刻拨入，且在不同的持续时间内在线。端口率能使企业极大地降低他们远程访问基础设施的成本（成本的节省与端口率成正比），并保持了设备和电信费用。理论上，对于成本核算中心保持电信和设备费用来说，这是一个非常有效的手段。但在诸如大型的非现场会议、假日、暴风雪以及自然灾害的高峰条件下，远程访问基础设施则将成为不能适应高峰需要的瓶颈。终端用户会遇到忙音且必须持续重拨，直到容量有空余。利用VPN，用户通过一个本地呼叫拨入一个服务提供商或者一个具有既定商业利益、能提供可用的调制解调器容量的赢利中心。可以问您自己，您最后一次拨叫一个互联网服务提供商（ISP）且听到忙音在什么时候？而企业VPN解决方案能使成千上万个用户同时连向一台设备，甚至在高峰期间，也并不经常超出容量。扩展连接无长途费用—保证在世界上的任何一个地方能以本地访问费用来安全地访问LAN，已由VPN变成了现实，这就将企业从围绕个人级别的远地（或移动）员工的经济决策中解放出来。没有也不增加长途费用，甚至大型的文件也能通过登录和退出来经济高效地从网上下载。利用宽带投资优势—宽带电缆和数字用户线（DSL）基础设施日益增长的运用，使得远程访问的容量逐步增加。没有VPN，宽带仅仅是一个快速访问互联网的途径。然而，通过整合加密的VPN隧道和高速宽带互联网服务，远程用户可以享受到LAN般的速度和“持续在线”访问（假如企业容许的话）。而诸如e-mail这样的应用可以进行实时地运行，而不再需要通过频繁的（乏味的）拨入来同步或者复制信息。允许新的应用和用户类别—VPN是一项允许进行大量B2B应用的技术。例如，在客户处工作的咨询人员仍可以与他们自己公司的IT资源保持高速连接，咨询人员只要简单地通过客户的LAN将他的便携式电脑与互联网连接，并建立一个通向他（或她）的公司网络的高速隧道。这意味着咨询人员可以即刻访问他自己的LAN资源，如电子邮件、文件共享、计时和记费应用以及技术库——所有这些都保存在远程地点。这种连接在整个合同期间可以一直保持，直到合同结束，当新的任务开始后，再马上重建一个新的连接。VPN技术概述今天，市场上已出现了一系列的VPN产品和服务。从技术上说，加密隧道可以对不同的平台进行认证和端接，包括防火墙、路由器、PC（使用软件）和特制的VPN设备。这些平台中的每一个都与效益和费用有关，取决于您所需要解决的连接挑战。然而，不管平台/设备如何，保护VPN隧道安全所需的加密处理是一样的，而且非常精深。基于硬件的解决方案一般都需要大规模的硬件配置，专用的、基于客户现有设备的VPN集中器最适合大规模远程访问应用。安装和管理VPN集中器可由企业内部IT人员或有组织的VPN服务提供商来完成。有些服务提供商也正在对建立在服务提供商网络内，并由其进行管理的解决方案进行评估。这些有时也称为IP-VPN的将来的服务能够提供更有吸引力的价位，主要是因为它可以聚集大批的客户而又建立在一个公共平台上。另外，IP-VPN不需要额外的CPE（客户单位设备），因此，减少了安装费用和后续维护费用。IP-VPN的原理性缺点在于：加密隧道只端接到服务提供商网络，但其最后一英里是不安全的。一般地讲，企业宁愿选择所有到达物理站点的安全路程。VPN的组成和部署考虑这一部分着重阐述企业级远程访问VPN解决方案的一些关键组成。用户认证在很多情况下，一些正在将其拨号远程访问基础设施移植到VPN的企业，需要利用它们已有的认证服务器，如远程访问拨入用户服务器（RADIUS）、NT域认证及基于令牌的安全服务器。当被选的VPN设备不支持所选择的认证数据库时,您可以使用RADIUS代理。认证请求将从VPN设备发向RADIUS服务器，此服务器起到一个网关或VPN设备与实际认证服务器之间的信息翻译者的作用。在有些情况下，执行的RADIUS服务器和认证数据库可能属于同一服务器。一旦代理服务被定义，远程用户将觉察不出认证过程有任何不同。公钥基础结构（PKI）可用来认证远程访问用户和生成IP安全（IPsec）密钥（参见下面内容）。X.509数字证书被用来交换每一远程访问用户的密钥信息。而PKI则提供一整套用于数字证书的分配、管理及废止的安全服务。一个认证中心将对每一份证书进行数字签署并确认其完整性。VPN安全性IPsecVPN的目标是通过一个共享媒介来提供专网服务。一旦认证和网络访问已被授权给远程用户，安全协议必须保证数据传输是保密的。尽管已经发展和形成了了一系列的保密算法和公认的标准，仍要求有专门的隧道协议和加密服务。假设TCP/IP是用于企业网络计算的底层协议，这样VPN解决方案就有义务利用IP来提供保密的远程访问服务。如果没有具体的安全措施，标准的IP包就容易受到大量安全破坏因素的影响。例如，单个数据包或数据包流可能会在传输过程中被不了解用户或应用的第三者截取和修改，数据包的目录亦可能被检查和修改，而且源地址和目标地址可能会被改变，而TCP/IP不能对这些数据流提供任何安全措施。由IPsec工作组（Internet工程任务组〔IETF〕）提出的这种框架结构提供了数据完整性检查功能，可以对分组数据和数据路径进行篡改检测、源地址验证和数据保密性检查等。今天，IPsec做为一种保护IP传输的坚固、安全的方法而被广泛接受。在遵循IPsec的各种实施方案中采用了各种服务，其中包括密钥管理、数据加密和数据认证。加密加密是一个通过一个算法对数据进行编码的过程。如果不能对数据包进行有效解密，则不能阅读合成的数据报（加密数据流）。数据加密算法一般是可配置的。今天，3DES或三重DES（数据加密标准）加密被广泛使用，而且被认为对于企业的部署以及敏感数据的应用来说是足够安全的。国家标准和技术研究所从1975年起已认可了3DES。另外，数据认证协议也是可配置的，今天最流行的是安全混编算法1（SHA-1）和信息摘要5（MD5）。密钥交换可用来识别远程访问对话中的每一方。一个流行的密钥交换自动方法被称为IKE或者互联网密钥交换（亦即以前的ISAKMP/Oakley）。有关IPsec更进一步的信息，请参见IPsec体系结构文档RFC2401。隧道隧道是一项将一种协议的数据包用另一种协议来进行封装的技术，它可以被用于不同协议网络之间数据包的传送或路由。在VPN的环境中，它被用来封装保密信息，而且加密算法也被应用于有效负载。已经发展了几种不同的隧道协议，且每一种都基于一种第二层（第二层隧道）或第三层（第三层隧道）隧道协议。IPsec包（第三层）可能以自然形式或与其它隧道协议如第二层隧道协议(L2TP)嵌套使用。例如,Windows2000就包含了一个本地VPN桌面客户机程序，它采用IPsec上的L2TP作为传输协议。这种组合将L2TP的路由优势与IPsec的安全优势结合在一起。VPN隧道终端设备隧道终端设备位于企业网络的物理和逻辑接入点。它通过查找内部或外部的数据库来认证用户，然后对单独的数据流进行解密。这种设备一般有两个物理接口：一个是用来对从服务提供商网络输入的数据流进行加密的公共接口（以太网或T1/E1），另一个则是用来对输入和输出的LAN数据流进行解密的专用接口。专用设备的有关情况目前市场上有各种不同的VPN产品。对于高可用性的企业应用而言，最好是挑出一个专为汇聚大量同时对话而设计的专用VPN集中器平台。在评估集中器设备的能力时，应该先回答下列问题：它是一个专用通信平台吗？—许多厂商试图以通用PC建造他们的VPN设备来进入市场。但这一途径需忍受商用级PC技术的低平均无故障时间（MTBF）、易出故障的如磁盘、驱动器等机械部件以及缺乏用来处理性能需求的升级能力。就象路由器和交换机一样，VPN设备是通信基础设施的一部分，应该由一个特制的通信平台来实现。有物理冗余设计吗？—一个高可用性的平台应能提供完全冗余的电源、多风扇及现场可更换部件，同时可以方便地对故障单元进行更换。应该找到这样一种设备，它能够进行机柜安装，在发生故障时能够热插拔更换部件，同时其外形尺寸和重量还能连夜装运替换部件。产品使用的是否是经验证过的软件操作系统？—即使硬件采用了坚固的容错设计，系统的正常工作仍然可能受到那种使用专用、未经验证的操作系统的软件体系结构的影响。理想情况下，软件平台应该基于一种在嵌入系统产品中经过有效现场验证的行业标准操作系统。设备是否能进行主动管理来达到高可用性？—VPN设计应包括用于监视关键部件以及在潜在故障条件之前告警的工具。它应能对电源、风扇速度以及内部温度的状态进行监视。随着时间的推移，由这些部件而引起的系统故障将会逐步发生。另外，一旦系统“崩溃”，系统软件应能进行自动恢复。为了保证高可用性，各单元应能在没有外部干预的情况下，从软件故障中恢复。性能第一代远程访问VPN设备当时设计时是假定采纳者相对较少，并且首先支持通过拨号连接的低带宽电子邮件。随着远程访问VPN的成熟，需求继续迅速增长并包含了大型远程用户团体，他们可能正运行着各种密集实时数据（甚至多媒体）应用，不仅通过拨号及综合数字业务网（ISDN）线路，而且也通过高速宽带（有线，DSL和无线）连接上网。随着用户人口及应用需求的增加，需要提供一致的性能，而VPN集中器必须一致地将可用的高性能交付给处于可能的最宽范围工作条件下的所有用户。这些性能应由以下三条标准来评价：加密吞吐量—坚固的加密是保证VPN上数据保密的关键。尽管存在很多算法，但功能最强的可用标准加密算法是3DES，它使用了168位的有效密钥长度。这种加密一般来说不可能由于粗暴的强力处理而被破解，并且，它需要使用很多的处理资源。因此，高吞吐量的关键是产品处理高速度3DES加密的能力。不幸的是，各厂商给出的夸张的、令人误解的声明已使得对VPN产品吞吐量进行完全的对比变得非常困难。因此，最好的方法（除非给出独立第三方的测试结果）是询问各厂商几个关于他们的吞吐量数字是从何而来的“严肃问题”。这些问题包括：加密是否工作？考虑到VPN的安全性需求，在加密没有工作时得出的吞吐量数据基本上没有什么实际意义。考虑到加密的处理密集特性，在其没有工作时得出的吞吐量结果一般都是虚假、夸大其词的数字，特别是那些没有硬件加密辅助的纯软件产品。采用了什么加密方法？吞吐量与加密算法的复杂程度密切相关。要确认厂商是否提供了在使用最安全、同时也是处理密集程度最高的3DES时的吞吐量数字。另外，还要确认3DES的实施方案是否使用了完全的168位密钥长度。是否包含认证？高级安全协议如IPsec都提供数据保密（加密）和数据认证功能。认证部分一般是使用混编算法如MD5或SHA-1实现，从而保护数据包不被篡改或遭受安全攻击。但是，认证需要很大的处理开销，因此，要确认厂商所提供的性能数据不仅仅是在3DES加密情况下得到，而且要考虑到数据认证部分。数据包的大小如何？随着平均数据包容量的加大，吞吐量增加。因此，很多厂商使用最大的1500字节数据包来美化自己的吞吐量数字。不过，最小的64字节的数据包是最富挑战性的负载，但不幸的是，它又是正常工作情况下经常用到的。因此，在进行IP网络吞吐量测试时，比较合理的“平均”数据包容量应该为512字节。提供的数字是否全双工情况下给出？一些常见并且容易产生误导的做法是单独计算输入、输出的数据率，然后将它们加在一起，给出吞吐量数据，这种方法将产品的实际数据率提高了一倍。而实际的吞吐量应该是通过网络单元的数据率，也就是说，一个接口接收数据，进行处理，然后再发送出去的数据速率。在所声明的吞吐量下能够支持多少同时连接？与需要管理多个对话的关系型交换开销相比，使用一个单独的连接可以很容易地实现非常高的吞吐量。而在实际使用过程中，在大量同时连接上提供一致性能的能力至关重要。测试中使用的是什么样的数据流？使用高重复性的非应用数据，并且使用一些如压缩或高速缓存技术可以明显提高表面上的数据率，从而导致欺骗性的性能结果。因此，测试时应该使用真实的混合数据，并且使用正常的网络协议进行传输。哪些内容被统计成“数据”？当对吞吐量进行测量时，协议的头部信息都是正常开销，而不是数据。最有意义的性能结果是仅考虑用户净负载数据部分。因此，在进行性能数据的完全比较时，要比较一下数据的统计方法。响应时间。确保产品的低延迟时间也是提供一致的高性能的关键。这一点会影响到吞吐量的测试，因为随着负载的增加，内部的排队会增加，因而吞吐量提高，但延迟时间加大。一般来说，专用平台的性能要大大超过基于PC的产品，因为，它们专为数据密集通信应用而进行过特殊设计。对于高速宽带用户而言，响应时间成为越来越重要的关键考虑因素。因为其数据率比一般的Modem连接快50倍，这些宽带用户越来越对VPN引入的延迟敏感。每秒的数据包。加密吞吐量是最好的系统整体性能衡量标准，但每秒的数据包传输数量也是一个能够帮助消除与加密有关的误导声明的一个实用衡量指标。该数字能够衡量VPN产品在公网和专网接口之间路由数据包的能力。集成路由的有关说明VPN设备中的路由功能极大地提高了这些设备的灵活性。在很多情况下，企业将选择使用基于远程访问的VPN来连接一或多个远程站点。路由功能使中心站点的VPN设备在初始安装期间有效地了解远程网络，并在以后的实际工作中动态地更新连接。这样，极大地减少了安装时间和维护静态路由表的管理开销。防火墙功能VPN集中器的一个主要目的是通过共享的介质或公网实现对专网的安全访问。授权用户能够建立到设备的隧道，然后按照用户数据库的内容进行认证。若该用户是合法用户，VPN集中器将提供到本地局域网的连接，并为数据流提供加密和解密服务。防火墙的功能就是限制从共享介质或公网（通常是Internet）到专网的访问。虽然这两种服务之间有很大程度的重复，但在考虑为企业部署合适的集成解决方案之前，需要对各种服务的优缺点进行认真考虑。以下让我们考虑三种类型的防火墙：包过滤防火墙–这是复杂程度最低同时资源需求最小的防火墙。包过滤防火墙可用于简单的网络逻辑，如接受/拒绝源或目标地址或某种应用类型。代理防火墙–代理防火墙可以作为源和目标主机之间的网关。代理防火墙的主要优势在于所有出站的传输都是从代理地址发出，而不是本地安全局域网中的实际主机地址。这实现了Internet通信的分离，从而提高了安全性。另外，代理防火墙还能够提供详细使用情况跟踪、报告和访问控制功能。静态监视防火墙–静态监视防火墙是最复杂的一种防火墙，但其提供了丰富的传输审计、管理和安全政策管理能力。流过防火墙的每一个数据包都得到有效分析。包过滤防火墙适合于仅进行VPN访问的VPN集中器。事实上，大多数企业喜欢的部署拓扑结构是VPN集中器配合安装静态监视防火墙（用于常用的Internet传输）。在这种配置下，VPN集中器就具备了能够拒绝所有非VPN传输的数据包过滤器（由协议配置）。这种方法有很多优点。首先，加解密和静态防火墙监视所需要的密集CPU任务被分离到多个平台上来完成，这样提供了相当可观的扩展优势，特别是对于那些具有大量远程访问用户或基于局域网Internet用户的网络。第二项优点在于管理方面。这些服务中的每一种都基于复杂的政策管理规则，但是，它们必须能够进行简单的配置以方便企业的优化使用。VPN集中器和静态防火墙的管理需求和正确使用方式各不相同，因此，产品不是进行“混合管理”而是各自发展自己的管理接口，这种做法具有一定的优势。VPN和防火墙服务的主要缺点是需要两个设备。因此，对上述配置的经济性和培训需求应该予以考虑。自恢复性和高可用性很多厂商表示要提供VPN产品，而且呈现越来越多的趋势。他们大多数是在现有的产品上直接增加隧道和安全软件，然后就声称提供完全的VPN功能。虽然这种方法适合于小容量或非正式的VPN应用，但对于满足大使用率、关键业务远程访问的VPN部署需求就显得无能为力。对于那些远程用户或分支机构办公室的连接是企业运营成功关键的公司而言，VPN的停机将是不能容忍的。因此，若想支持数百甚至数千用户，企业更加需要一种更加系统的方法来检查所有的必需单元，从而提供一种高可用性的远程访问VPN。另外，为了实现高可用性，VPN集中器必须支持各种服务冗余特性。能够灵活地在可能不同的地点部署多种网络单元，但将它们作为同一虚拟服务实体的能力对提供持续的服务运行时间非常关键。为了提供完整的冗余VPN服务，这些设备必须提供以下特性：部署灵活性–完全的冗余需要VPN设备能够灵活地部署在网络拓扑的任何地点。目前，对于VPN产品有三种主要的型号：网桥、终端节点和路由型。当作网桥使用时，VPN设备对网络不可见，因此，通常只直接部署在Internet路由器的后面。另外，网桥结构通常会在拓扑结构中产生单故障点，引入明显的网络性能瓶颈。在终端节点方法中，VPN设备对网络可见，但需要人工配置静态路由才能成功地转发VPN对话流。只有VPN设备参加到网络路由拓扑中的路由型方法才能提供在网络中任何地点进行设备部署，并且在出现故障时能够动态切换到其它单元上去的能力。客户机的透明性–为了提供冗余，远程客户机必须在出现主要故障时能够将操作无缝地传输到冗余VPN集中器上。客户机/远程单元必须支持多个VPN集中器目标地址的配置，其中这些地址主要在故障情况下使用。另外，还需要软件检测主VPN设备的故障，并且自动地重建与冗余部件的对话。VPN服务器的透明性–这一点可以保证企业部署多个设备，并为客户机软件提供单一的表现（名称）。支持域名系统（DNS）的VPN集中器可以驻留在网络的不同访问点上，就象一个单元一样对申请的连接进行响应。该方法保护了Internet连接或路径中其它网络设备的故障，为VPN服务提供了完全冗余的路径。另外，VPN还允许管理员重新分配网络中的设备，而无需重新配置客户机中的地址信息。多主机VPN服务–一种更加出色的方法还提供了冗余设备上的负载平衡功能，它使用一种标准草案-虚拟路由器冗余协议（VRRP）来支持网络层上的冗余。VRRP使一个坚固的VPN设备集群在网络上看起来就象是只有一个IP地址的单个单元。另外，VRRP还在专用集群方法的采用方面表现出色，因为它内置在每个VPN集中器中（需要无单故障点的“主”设备），并且完全可以与现有的IP路由器网络兼容、透明和互操作。VRRP和DNS的联手能够在网络基础设施的多个点上提供VPN集中器的冗余集群，对网络性能具有最大的影响。VPN客户机软件远程访问客户机软件运行在远程桌面上，能够为建立到VPN端接设备的隧道提供用户接口和透明的底层VPN安全协议。企业必须权衡厂商提供的VPN客户机软件与Windows95、Windows98、WindowsNT和Windows2000中的内置客户机软件之间的优缺点。另外，第三方厂商也为MacOS、Solaris和Linux提供了软件。操作系统集成的桌面客户机能够轻松地部署，特别是没有服务包提供时。但是，请认真考虑一下现有远程访问基础结构（令牌安全性、数字证书、RADIUS——中的安全和兼容性问题。客户机软件应该易于安装和使用。开放的软件分销许可证为网络管理员在构建和升级阶段提供了固定费用。依靠这种形式，需求的增加不会引起费用的增长。