第五組第五章HM-064特性設(shè)計(jì)3

1、ISSUE 4.0組員：組員：莫葵鳳 黃燕曉 田新芳 黃勛 韋福欽5.1 培訓(xùn)目標(biāo)2網(wǎng)絡(luò)可靠性設(shè)計(jì)網(wǎng)絡(luò)可靠性設(shè)計(jì)網(wǎng)絡(luò)安全性設(shè)計(jì)網(wǎng)絡(luò)安全性設(shè)計(jì)網(wǎng)絡(luò)網(wǎng)絡(luò)Qos設(shè)計(jì)設(shè)計(jì)主要包括網(wǎng)絡(luò)的可靠性、安全性與QOS設(shè)計(jì)是指設(shè)備或網(wǎng)絡(luò)出現(xiàn)故障時(shí)，網(wǎng)絡(luò)提供服務(wù)的不間斷性。指網(wǎng)絡(luò)及服務(wù)、信息的可用性、完整性和機(jī)密性針對(duì)各種不同的需求，提供不同的服務(wù)質(zhì)量(帶寬、抖動(dòng)、時(shí)延、丟包率等)5.2 可靠性需求分析與業(yè)務(wù)經(jīng)營(yíng)息息相關(guān)的網(wǎng)絡(luò);商品化網(wǎng)絡(luò)/運(yùn)營(yíng)商網(wǎng)絡(luò);管理、神經(jīng)/控制網(wǎng)絡(luò)等。保持網(wǎng)絡(luò)長(zhǎng)時(shí)間的無(wú)故障運(yùn)行；保證突發(fā)情況下的網(wǎng)絡(luò)可用性和可恢復(fù)性；惡劣環(huán)境條件下的網(wǎng)絡(luò)應(yīng)用；抵抗災(zāi)難。5.2.2 可靠性設(shè)計(jì)需求分析4設(shè)備投資

2、設(shè)備投資線路投資線路投資維護(hù)管理維護(hù)管理保障需求層次保障需求層次獲得利益獲得利益代價(jià)代價(jià)利益利益5.2.3 可靠性保障設(shè)計(jì)的層次技術(shù)5l應(yīng)用級(jí)保護(hù)應(yīng)用級(jí)保護(hù)l拓?fù)浔Ｗo(hù)拓?fù)浔Ｗo(hù)l設(shè)備級(jí)保護(hù)設(shè)備級(jí)保護(hù)l多主機(jī)冗余技術(shù)多主機(jī)冗余技術(shù)l數(shù)據(jù)庫(kù)同步備份技術(shù)數(shù)據(jù)庫(kù)同步備份技術(shù)lLAN LAN 拓?fù)浔Ｗo(hù)拓?fù)浔Ｗo(hù)lWAN WAN 拓?fù)浔Ｗo(hù)拓?fù)浔Ｗo(hù)l端口備份技術(shù)端口備份技術(shù)l模塊備份技術(shù)模塊備份技術(shù)l設(shè)備間備份技術(shù)設(shè)備間備份技術(shù)5.2.4 5.2.4 實(shí)施可靠性保障設(shè)計(jì)6 1、有效的拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)；、有效的拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)； 2、利用有效的局域網(wǎng)技術(shù)：、利用有效的局域網(wǎng)技術(shù)：Spanning TreeM-Spanni

3、ng TreeTrunking 1、拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)；、拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)； 2、線路備份技術(shù)、線路備份技術(shù); 3 、路由設(shè)計(jì)、路由設(shè)計(jì).5.2.5 LAN可靠性設(shè)計(jì)實(shí)施技術(shù)7l純二層交換機(jī)的組網(wǎng)純二層交換機(jī)的組網(wǎng)D節(jié)點(diǎn)是公司重要的業(yè)務(wù)部門，為了保證與公司總部節(jié)點(diǎn)是公司重要的業(yè)務(wù)部門，為了保證與公司總部的可靠性的可靠性,設(shè)計(jì)了兩條路徑可以到達(dá)總部，設(shè)計(jì)了兩條路徑可以到達(dá)總部，B-D和和B-C-D，這樣是不是直接就可以實(shí)現(xiàn)呢，這樣是不是直接就可以實(shí)現(xiàn)呢?A地B地C地D地5.2.5 LAN可靠性實(shí)施技術(shù)8l純二層交換機(jī)的組網(wǎng)純二層交換機(jī)的組網(wǎng):配置生成樹協(xié)議，指定以太網(wǎng)的根橋以及其他橋（交配置生成樹協(xié)議，指

4、定以太網(wǎng)的根橋以及其他橋（交換機(jī)）的換機(jī)）的BPDU（端口優(yōu)先級(jí)、開銷），最終維持一（端口優(yōu)先級(jí)、開銷），最終維持一棵樹型的拓?fù)浣Y(jié)構(gòu)，保證不出現(xiàn)環(huán)路棵樹型的拓?fù)浣Y(jié)構(gòu)，保證不出現(xiàn)環(huán)路Node ANode BNode CNode DBPDUBPDUBPDUBPDU啟用spanning treeROOT5.2.5 LAN可靠性設(shè)計(jì)實(shí)施技術(shù)9l啟用華為公司以太網(wǎng)產(chǎn)品的端口匯啟用華為公司以太網(wǎng)產(chǎn)品的端口匯聚聚Trunk/Link aggregation 技術(shù)；技術(shù)；l成倍增加上行端口、服務(wù)器訪問帶成倍增加上行端口、服務(wù)器訪問帶寬；寬；l實(shí)現(xiàn)負(fù)載分擔(dān)和鏈路備份。實(shí)現(xiàn)負(fù)載分擔(dān)和鏈路備份。Node ANode

5、 B5.2.5 WAN可靠性設(shè)計(jì)實(shí)施技術(shù)10l提供任意節(jié)點(diǎn)的全互聯(lián)；提供任意節(jié)點(diǎn)的全互聯(lián)；l節(jié)點(diǎn)間提供最少的跳數(shù)；節(jié)點(diǎn)間提供最少的跳數(shù)；l任意兩點(diǎn)之間提供任意兩點(diǎn)之間提供N-1條冗余的鏈路，可達(dá)性可以經(jīng)受最殘酷的鏈路條冗余的鏈路，可達(dá)性可以經(jīng)受最殘酷的鏈路通斷狀態(tài)；通斷狀態(tài)；l與節(jié)點(diǎn)數(shù)量呈幾何增長(zhǎng)關(guān)系的線路投資；與節(jié)點(diǎn)數(shù)量呈幾何增長(zhǎng)關(guān)系的線路投資；l隨著節(jié)點(diǎn)數(shù)量的提高，路由的收斂速度顯著降低。隨著節(jié)點(diǎn)數(shù)量的提高，路由的收斂速度顯著降低。A地B地E地C地D地5.2.6 WAN的可靠性設(shè)計(jì)實(shí)施技術(shù)11l環(huán)形的拓?fù)浣Y(jié)構(gòu)環(huán)形的拓?fù)浣Y(jié)構(gòu)每?jī)蓚€(gè)節(jié)點(diǎn)間存在兩條通路；每?jī)蓚€(gè)節(jié)點(diǎn)間存在兩條通路；規(guī)劃和維護(hù)更加便

6、捷；規(guī)劃和維護(hù)更加便捷；保證冗余的前提下大幅減少可用路徑的數(shù)量；保證冗余的前提下大幅減少可用路徑的數(shù)量；線路投資少；線路投資少；冗余可靠性相對(duì)較低；冗余可靠性相對(duì)較低；鏈路鏈路COST均衡的前提下，任意節(jié)點(diǎn)之間的最大跳數(shù)為：均衡的前提下，任意節(jié)點(diǎn)之間的最大跳數(shù)為：J=（int）（）（n+1）/2）+1；A地B地E地C地D地5.2.6 WAN5.2.6 WAN可靠性設(shè)計(jì)實(shí)施技術(shù)12l部分網(wǎng)狀連接的拓?fù)浣Y(jié)構(gòu)：部分網(wǎng)狀連接的拓?fù)浣Y(jié)構(gòu)：提供客戶可控的冗余鏈路設(shè)計(jì)空間；提供客戶可控的冗余鏈路設(shè)計(jì)空間；平衡投資和冗余特性；平衡投資和冗余特性；折中的解決方案，但要注意部分網(wǎng)狀連接結(jié)構(gòu)的選擇。折中的解決方案，

7、但要注意部分網(wǎng)狀連接結(jié)構(gòu)的選擇。A地B地E地C地D地5.2.6 5.2.6 典型的業(yè)務(wù)核心網(wǎng)絡(luò)結(jié)構(gòu)13數(shù)據(jù)中心數(shù)據(jù)中心數(shù)據(jù)中心數(shù)據(jù)中心B地A地D地C地E地F地G地網(wǎng)絡(luò)拓?fù)浜司W(wǎng)絡(luò)拓?fù)浜诵膶臃秶膶臃秶?.2.6 5.2.6 雙歸網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)14l良好的冗余性：核心層一個(gè)路由器或鏈路失敗不會(huì)失去任何目的地良好的冗余性：核心層一個(gè)路由器或鏈路失敗不會(huì)失去任何目的地址可達(dá)性。址可達(dá)性。l每個(gè)雙歸的匯聚層路由器可能增加一倍的路徑，會(huì)降低收斂速度。每個(gè)雙歸的匯聚層路由器可能增加一倍的路徑，會(huì)降低收斂速度。l強(qiáng)迫使用某一條路徑時(shí)強(qiáng)迫使用某一條路徑時(shí),雙倍路徑數(shù)量依舊，需要使用浮動(dòng)靜態(tài)路由。雙倍路徑數(shù)量依舊，

8、需要使用浮動(dòng)靜態(tài)路由。A地B地C地D地E地核心層核心層匯聚層匯聚層5.2.6 其他網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)15l核心層路由表的大小增加了一倍核心層路由表的大小增加了一倍-與雙歸接入核心層一樣。與雙歸接入核心層一樣。l同一層次節(jié)點(diǎn)互連提供了冗余性。同一層次節(jié)點(diǎn)互連提供了冗余性。l匯聚層路由器可能優(yōu)先選擇通過接入層的冗余路徑而不是通過核心層的路徑。匯聚層路由器可能優(yōu)先選擇通過接入層的冗余路徑而不是通過核心層的路徑。l注意路由的設(shè)計(jì)，避免路由信息泄露。注意路由的設(shè)計(jì)，避免路由信息泄露。l不穩(wěn)定會(huì)傳播到所有的匯聚層分支，收斂時(shí)間增加。不穩(wěn)定會(huì)傳播到所有的匯聚層分支，收斂時(shí)間增加。A地B地C地D地核心層核心層匯聚層

9、匯聚層E地5.2.6 WAN冗余備份的實(shí)現(xiàn)16l路由選擇：路由選擇：動(dòng)態(tài)路由協(xié)議動(dòng)態(tài)路由協(xié)議策略路由策略路由l設(shè)備間：設(shè)備間：VRRPl設(shè)備內(nèi)：設(shè)備內(nèi)：物理端口備份物理端口備份邏輯端口備份邏輯端口備份混合備份混合備份5.2.6 使用Backup Center技術(shù)17l作用：管理備份功能的模塊，為網(wǎng)絡(luò)互連提供安全保障，提高作用：管理備份功能的模塊，為網(wǎng)絡(luò)互連提供安全保障，提高網(wǎng)絡(luò)的可用性。網(wǎng)絡(luò)的可用性。Quidway 路由器路由器備份中心備份中心PSTNX.25Frame-relayISDNDDN可靠性可靠性虛擬路由虛擬路由數(shù)據(jù)中心數(shù)據(jù)中心路由路由路由安全閥值路由安全閥值備份n備份3備份2備份1

10、主口5.2.6 端口備份示例18l備份中心的配置步驟：備份中心的配置步驟：l進(jìn)入使用備份功能的主接口的配置模式。進(jìn)入使用備份功能的主接口的配置模式。l設(shè)定主接口使用的備份接口及優(yōu)先級(jí)。設(shè)定主接口使用的備份接口及優(yōu)先級(jí)。l在主接口中，配置主備接口切換條件（可選）。在主接口中，配置主備接口切換條件（可選）。l若主接口是邏輯通道，設(shè)定判斷其若主接口是邏輯通道，設(shè)定判斷其downdown和和upup的條件（可選）。的條件（可選）。l若備份接口是邏輯通道，設(shè)定判斷其若備份接口是邏輯通道，設(shè)定判斷其downdown和和upup的條件（可選）。的條件（可選）。l配置主備接口的路由，無(wú)論使用動(dòng)態(tài)路由或靜態(tài)路由

11、，主備接口配置主備接口的路由，無(wú)論使用動(dòng)態(tài)路由或靜態(tài)路由，主備接口都必須有到達(dá)目的網(wǎng)絡(luò)的路由。都必須有到達(dá)目的網(wǎng)絡(luò)的路由。X.25Router 1Router 2S0:10.110.0.1S0:10.110.0.2S1:129.102.0.1S1:129.102.0.2PPP5.2.6 利用PSTN進(jìn)行備份19中心LAN分部LANDDR/FRPSTNQuidway R3600Quidway R3600/2600Quidway R3600/260010.110.9.0/16gateway 10.110.9.110.110.10.0/16gateway 10.110.9.15.2.6 設(shè)備冗余備份

12、20lVRRPVRRP路由器間備份協(xié)議：服務(wù)器只設(shè)一個(gè)路由器間備份協(xié)議：服務(wù)器只設(shè)一個(gè)，路，路由器自動(dòng)進(jìn)行主備切換。由器自動(dòng)進(jìn)行主備切換。Gateway 10.110.0.1E0: 10.110.0.2E0: 10.110.0.3VRRP(Virtual)ip=10.110.0.1(Virtual)mac=xx.xx.xx.xx.xx.xx5.2.6 災(zāi)難備份21l災(zāi)難備份由兩部分共同完成：災(zāi)難備份由兩部分共同完成：應(yīng)用層部分：主要控制兩臺(tái)或者多臺(tái)熱備份主機(jī)之間應(yīng)用層部分：主要控制兩臺(tái)或者多臺(tái)熱備份主機(jī)之間的切換，由主機(jī)系統(tǒng)與應(yīng)用層軟件完成；的切換，由主機(jī)系統(tǒng)與應(yīng)用層軟件完成；網(wǎng)絡(luò)層部分：主要

13、由網(wǎng)絡(luò)設(shè)備根據(jù)網(wǎng)絡(luò)情況進(jìn)行判斷網(wǎng)絡(luò)層部分：主要由網(wǎng)絡(luò)設(shè)備根據(jù)網(wǎng)絡(luò)情況進(jìn)行判斷和切換，由網(wǎng)絡(luò)設(shè)備完成和切換，由網(wǎng)絡(luò)設(shè)備完成。l災(zāi)難備份是考慮非常狀況（如地震、火災(zāi)、戰(zhàn)災(zāi)難備份是考慮非常狀況（如地震、火災(zāi)、戰(zhàn)爭(zhēng)等）的需求，因此設(shè)計(jì)應(yīng)遵循安全可靠、主爭(zhēng)等）的需求，因此設(shè)計(jì)應(yīng)遵循安全可靠、主備分離、備分離、線路備份多運(yùn)營(yíng)商的線路備份多運(yùn)營(yíng)商的原則建設(shè)。原則建設(shè)。5.2.7 5.2.7 設(shè)備級(jí)可靠性保障22l設(shè)備級(jí)可靠性保障考察什么要素？設(shè)備級(jí)可靠性保障考察什么要素？足夠的系統(tǒng)性能資源足夠的系統(tǒng)性能資源關(guān)鍵部件的設(shè)備內(nèi)冗余關(guān)鍵部件的設(shè)備內(nèi)冗余冗余部件切換方式對(duì)網(wǎng)絡(luò)的影響冗余部件切換方式對(duì)網(wǎng)絡(luò)的影響部件相

14、互影響因素部件相互影響因素設(shè)備的自我安全發(fā)現(xiàn)設(shè)備的自我安全發(fā)現(xiàn)告警策略支持告警策略支持自動(dòng)恢復(fù)策略自動(dòng)恢復(fù)策略5.2.7 設(shè)備本身可靠性23 總線部分總線部分 主控部分主控部分 接口部分接口部分 電源部分電源部分 告警部分告警部分0 0槽槽1515槽槽R RS SU UH HA AU UH HA AU UR RS SU U主控槽位主控槽位NE16ENE16E背面接口板示意圖背面接口板示意圖VIUVIU插槽插槽VIUVIU插槽插槽5.2.8 備份網(wǎng)絡(luò)構(gòu)建24總行PSTNWAN生產(chǎn)中心網(wǎng)絡(luò)生產(chǎn)中心網(wǎng)絡(luò)備份切換中心備份切換中心NE16-2NE16-1E3680SW-1SW-2SW-NServer綜合

15、業(yè)務(wù)數(shù)據(jù)綜合業(yè)務(wù)數(shù)據(jù)關(guān)鍵業(yè)務(wù)數(shù)據(jù)關(guān)鍵業(yè)務(wù)數(shù)據(jù)L1L2L1L5L6L4L3L7L8L9L10L12L13L115.2.8 災(zāi)難備份中心25MANWAN災(zāi)難備份中心災(zāi)難備份中心一級(jí)分行生產(chǎn)中心一級(jí)分行生產(chǎn)中心總行主用網(wǎng)絡(luò)中心總行主用網(wǎng)絡(luò)中心二級(jí)分行二級(jí)分行骨干路由器骨干路由器一級(jí)分行網(wǎng)絡(luò)切換中心一級(jí)分行網(wǎng)絡(luò)切換中心NE08NE08NE08網(wǎng)絡(luò)安全威脅安全策略網(wǎng)絡(luò)安全技術(shù)5.3 網(wǎng)絡(luò)安全設(shè)計(jì)5.3.1 網(wǎng)絡(luò)安全威脅27l明確網(wǎng)絡(luò)的安全問題所在明確網(wǎng)絡(luò)的安全問題所在l從多角度看待網(wǎng)絡(luò)安全問題從多角度看待網(wǎng)絡(luò)安全問題網(wǎng)絡(luò)協(xié)議網(wǎng)絡(luò)協(xié)議組網(wǎng)模型（結(jié)合業(yè)務(wù)）組網(wǎng)模型（結(jié)合業(yè)務(wù)）l選擇安全技術(shù)，提出安全解決方案

16、選擇安全技術(shù)，提出安全解決方案5.3.1 網(wǎng)絡(luò)分層對(duì)應(yīng)的安全問題28l應(yīng)用層安全應(yīng)用層安全l傳輸層安全傳輸層安全l網(wǎng)絡(luò)層安全網(wǎng)絡(luò)層安全l鏈路層安全鏈路層安全l操作系統(tǒng)操作系統(tǒng)l應(yīng)用程序應(yīng)用程序l權(quán)限的設(shè)置權(quán)限的設(shè)置l其他安全問題其他安全問題l報(bào)文竊聽報(bào)文竊聽l用戶名用戶名/ /口令失密口令失密l流量攻擊流量攻擊l拒絕服務(wù)攻擊拒絕服務(wù)攻擊lIPIP地址欺騙地址欺騙l網(wǎng)絡(luò)設(shè)備的后門網(wǎng)絡(luò)設(shè)備的后門l5.3.1 網(wǎng)絡(luò)層安全 (1)29l報(bào)文竊聽報(bào)文竊聽:地理位置因素地理位置因素,竊聽不可避免竊聽不可避免關(guān)注用戶網(wǎng)絡(luò)是否基于城域網(wǎng)關(guān)注用戶網(wǎng)絡(luò)是否基于城域網(wǎng)是否傳輸敏感數(shù)據(jù)是否傳輸敏感數(shù)據(jù)l用戶名用戶名/

17、口令失密口令失密:冒充真正用戶冒充真正用戶,可能入侵內(nèi)部網(wǎng)絡(luò)可能入侵內(nèi)部網(wǎng)絡(luò)采用什么樣的驗(yàn)證措施采用什么樣的驗(yàn)證措施lCallback 號(hào)碼驗(yàn)證號(hào)碼驗(yàn)證l加密技術(shù)加密技術(shù)5.3.1 網(wǎng)絡(luò)層安全 (2)30l了解網(wǎng)絡(luò)可靠性設(shè)計(jì)需求搜集要點(diǎn)了解網(wǎng)絡(luò)可靠性設(shè)計(jì)需求搜集要點(diǎn)l流量攻擊流量攻擊線路負(fù)載能力的不對(duì)稱線路負(fù)載能力的不對(duì)稱是否連接公共網(wǎng)絡(luò)是否連接公共網(wǎng)絡(luò)l拒絕服務(wù)攻擊拒絕服務(wù)攻擊合法用戶不能正常訪問資源合法用戶不能正常訪問資源是否通過是否通過Internet對(duì)外提供業(yè)對(duì)外提供業(yè)務(wù)務(wù)l訪問控制技術(shù)lASPF與應(yīng)用與應(yīng)用層結(jié)合層結(jié)合5.3.1 5.3.1 網(wǎng)絡(luò)層安全 (3) (3)31lIP 地址

18、欺騙地址欺騙偽造報(bào)文偽造報(bào)文,干擾正常運(yùn)行干擾正常運(yùn)行竊取信息竊取信息lVLAN訪問控制訪問控制身份驗(yàn)證身份驗(yàn)證I I5.3.1 5.3.1 應(yīng)用層安全 (1) (1)32l操作系統(tǒng)操作系統(tǒng)/應(yīng)用程序漏洞應(yīng)用程序漏洞特定特定UDP報(bào)文導(dǎo)致網(wǎng)絡(luò)中斷報(bào)文導(dǎo)致網(wǎng)絡(luò)中斷WEB服務(wù)器的大量缺陷服務(wù)器的大量缺陷是否對(duì)外提供服務(wù)是否對(duì)外提供服務(wù)l非法訪問非法訪問不受限訪問，越級(jí)訪問不受限訪問，越級(jí)訪問是否存在多個(gè)不能相互訪問的部門是否存在多個(gè)不能相互訪問的部門l安裝安裝PATCHl采用安全系統(tǒng)采用安全系統(tǒng)l網(wǎng)絡(luò)隔離網(wǎng)絡(luò)隔離l選擇合適的選擇合適的OA5.3.1 應(yīng)用層安全 (2)33l網(wǎng)絡(luò)隔離網(wǎng)絡(luò)隔離l全網(wǎng)的

19、監(jiān)測(cè)全網(wǎng)的監(jiān)測(cè)l采用加密技術(shù)采用加密技術(shù)l選擇應(yīng)用程序選擇應(yīng)用程序l病毒病毒/木馬程序木馬程序某公司被某公司被QAZ木馬竊取源代碼木馬竊取源代碼Melissa、Happy Time、Sir Cam、Code Red是否允許員工上網(wǎng)，允許哪些是否允許員工上網(wǎng)，允許哪些員工上網(wǎng)員工上網(wǎng)l業(yè)務(wù)的安全性業(yè)務(wù)的安全性Telnet明文傳送密碼明文傳送密碼網(wǎng)上業(yè)務(wù)需要加密網(wǎng)上業(yè)務(wù)需要加密是否存在這樣的業(yè)務(wù)是否存在這樣的業(yè)務(wù)WANService-Server5.3.1 組網(wǎng)分層對(duì)應(yīng)的安全問題34l不同的網(wǎng)絡(luò)組成部分具有不同的安全特點(diǎn)。不同的網(wǎng)絡(luò)組成部分具有不同的安全特點(diǎn)。l匯聚層匯聚層l核心層核心層l邊緣節(jié)點(diǎn)

20、邊緣節(jié)點(diǎn)5.3.1 邊緣網(wǎng)絡(luò)的安全35l地址位置分散地址位置分散l對(duì)本地設(shè)備、主機(jī)的管理：訪問控制，確保不對(duì)本地設(shè)備、主機(jī)的管理：訪問控制，確保不成為網(wǎng)絡(luò)攻擊的跳板成為網(wǎng)絡(luò)攻擊的跳板l存在多種到匯聚層的網(wǎng)絡(luò)連接方式存在多種到匯聚層的網(wǎng)絡(luò)連接方式撥號(hào)接入：撥號(hào)接入： 采用采用call back 保證線路的安全保證線路的安全 采用加密方法防止線路被竊聽采用加密方法防止線路被竊聽DDN接入：接入： 采用訪問控制及認(rèn)證進(jìn)行連接采用訪問控制及認(rèn)證進(jìn)行連接 采用加密提供更高的安全性采用加密提供更高的安全性VPN技術(shù)接入：技術(shù)接入： 采用加密防止信息泄密采用加密防止信息泄密5.3.1 5.3.1 匯聚層網(wǎng)絡(luò)

21、的安全36l匯聚層與業(yè)務(wù)網(wǎng)點(diǎn)之間：匯聚層與業(yè)務(wù)網(wǎng)點(diǎn)之間：撥號(hào)撥號(hào)DDNVPNl匯聚層到核心層的連接方式匯聚層到核心層的連接方式DDN上行：上行：采用訪問控制及認(rèn)證進(jìn)行連接采用訪問控制及認(rèn)證進(jìn)行連接采用加密提供更高的安全性采用加密提供更高的安全性VPN技術(shù)接入：技術(shù)接入：采用高強(qiáng)度的加密技術(shù)防止信息泄密采用高強(qiáng)度的加密技術(shù)防止信息泄密5.3.1 5.3.1 核心層的安全37l一般用以太網(wǎng)方式的局域網(wǎng)。一般用以太網(wǎng)方式的局域網(wǎng)。l核心層與匯聚層之間：配合匯聚層的安全策略，提供相應(yīng)核心層與匯聚層之間：配合匯聚層的安全策略，提供相應(yīng)的安全機(jī)制。的安全機(jī)制。l不對(duì)外提供服務(wù)時(shí)，核心層的安全威脅主要來(lái)自內(nèi)

22、部：不對(duì)外提供服務(wù)時(shí)，核心層的安全威脅主要來(lái)自內(nèi)部：內(nèi)部主動(dòng)訪問外部網(wǎng)絡(luò)：內(nèi)部主動(dòng)訪問外部網(wǎng)絡(luò)： 訪問訪問Internet就會(huì)存在被攻擊及泄密的可能，采用加密防止線路被竊聽就會(huì)存在被攻擊及泄密的可能，采用加密防止線路被竊聽不同業(yè)務(wù)部門之間的訪問控制不同業(yè)務(wù)部門之間的訪問控制 采用采用VLAN或或ACL、應(yīng)用程序的訪問控制功能、應(yīng)用程序的訪問控制功能l對(duì)外提供業(yè)務(wù)的情況下對(duì)外提供業(yè)務(wù)的情況下必須通過必須通過DMZ防止提供業(yè)務(wù)防止提供業(yè)務(wù)嚴(yán)格控制訪問權(quán)限嚴(yán)格控制訪問權(quán)限5.3.2 5.3.2 安全技術(shù)38安全技術(shù)備份中心、Callback=線路安全AAA和CA技術(shù)=認(rèn)證授權(quán)包過濾與地址轉(zhuǎn)換=網(wǎng)絡(luò)訪

23、問控制/地址隱藏分級(jí)分權(quán)=管理控制安全針對(duì)應(yīng)用層的報(bào)文過濾 =動(dòng)態(tài)訪問控制IPSEC/IKE技術(shù) =數(shù)據(jù)加密密鑰技術(shù)5.3.2 CALLBACK-回呼391.過程過程Client Server 發(fā)起呼叫 回呼接受呼叫，口令、用戶名認(rèn)證， 根據(jù)本端配置的號(hào)碼呼叫Client并決定是否向Client端發(fā)起回呼2.優(yōu)點(diǎn)優(yōu)點(diǎn)增強(qiáng)安全性（物理地址與用戶名口令雙重保護(hù)）增強(qiáng)安全性（物理地址與用戶名口令雙重保護(hù)）節(jié)省話費(fèi)（當(dāng)兩個(gè)方向的呼叫費(fèi)率不同時(shí)）節(jié)省話費(fèi)（當(dāng)兩個(gè)方向的呼叫費(fèi)率不同時(shí)）改變?cè)捹M(fèi)承擔(dān)方改變?cè)捹M(fèi)承擔(dān)方合并話費(fèi)清單合并話費(fèi)清單5.3.2 AAA5.3.2 AAA和CACA技術(shù)40lAuthent

24、ication Authorize Accounting驗(yàn)證：驗(yàn)證：PPP用戶、用戶、Login用戶等用戶等授權(quán)：通過屬性描述定義用戶權(quán)限授權(quán)：通過屬性描述定義用戶權(quán)限記賬：對(duì)用戶訪問進(jìn)行跟蹤并發(fā)送記費(fèi)信息記賬：對(duì)用戶訪問進(jìn)行跟蹤并發(fā)送記費(fèi)信息lCertification Authentication公開密鑰體系，通過安全證書來(lái)實(shí)現(xiàn)公開密鑰體系，通過安全證書來(lái)實(shí)現(xiàn)安全證書規(guī)定證書版本、發(fā)證安全證書規(guī)定證書版本、發(fā)證CA和持證用戶身份、和持證用戶身份、用戶公鑰、有效期等用戶公鑰、有效期等證書由發(fā)證證書由發(fā)證CA數(shù)字簽名，不能偽造，不可修改數(shù)字簽名，不能偽造，不可修改用于用于IPSec/IKE協(xié)議

25、協(xié)議5.3.2 5.3.2 為什么要采用訪問控制列表41l訪問控制列表具有區(qū)分?jǐn)?shù)據(jù)包的能力訪問控制列表具有區(qū)分?jǐn)?shù)據(jù)包的能力防火墻：哪些數(shù)據(jù)可以通過防火墻，哪些需要被丟棄防火墻：哪些數(shù)據(jù)可以通過防火墻，哪些需要被丟棄地址轉(zhuǎn)換：哪些數(shù)據(jù)需要被轉(zhuǎn)換，轉(zhuǎn)換成什么樣的地地址轉(zhuǎn)換：哪些數(shù)據(jù)需要被轉(zhuǎn)換，轉(zhuǎn)換成什么樣的地址址加密：哪些數(shù)據(jù)需要加密加密：哪些數(shù)據(jù)需要加密/驗(yàn)證，加密驗(yàn)證，加密/驗(yàn)證的算法是驗(yàn)證的算法是什么什么QoS：什么樣的數(shù)據(jù)有什么樣的服務(wù)等級(jí)：什么樣的數(shù)據(jù)有什么樣的服務(wù)等級(jí)5.3.2 5.3.2 地址轉(zhuǎn)換42l實(shí)現(xiàn)私有地址到共有地址的轉(zhuǎn)換實(shí)現(xiàn)私有地址到共有地址的轉(zhuǎn)換l屏蔽內(nèi)部網(wǎng)絡(luò)的實(shí)際地址，

26、節(jié)省屏蔽內(nèi)部網(wǎng)絡(luò)的實(shí)際地址，節(jié)省IP地址地址l外部網(wǎng)絡(luò)不能直接訪問內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)不能直接訪問內(nèi)部網(wǎng)絡(luò)lNAPT(PAT)內(nèi)部地址內(nèi)部地址+端口端口 - 外部地址外部地址+端口端口lEast IPl地址池地址池l對(duì)數(shù)據(jù)流進(jìn)行區(qū)分對(duì)數(shù)據(jù)流進(jìn)行區(qū)分l內(nèi)部服務(wù)器內(nèi)部服務(wù)器內(nèi)部地址內(nèi)部地址+端口端口 外部地址外部地址+端口端口 5.3.2 IPSEC43l提供的安全服務(wù)提供的安全服務(wù)私有性：加密報(bào)文防止被竊聽私有性：加密報(bào)文防止被竊聽完整性：驗(yàn)證報(bào)文保證未被修改完整性：驗(yàn)證報(bào)文保證未被修改真實(shí)性：驗(yàn)證報(bào)文來(lái)自真正的對(duì)方真實(shí)性：驗(yàn)證報(bào)文來(lái)自真正的對(duì)方防重放：丟棄重復(fù)的報(bào)文防重放：丟棄重復(fù)的報(bào)文l實(shí)現(xiàn)協(xié)議

27、實(shí)現(xiàn)協(xié)議Internet Key Exchange Authentication HeaderEncapsulation Security Payload5.3.2 加密/驗(yàn)證特性44l硬件加密硬件加密采用國(guó)家認(rèn)可的硬件加密芯片進(jìn)行加密采用國(guó)家認(rèn)可的硬件加密芯片進(jìn)行加密密鑰長(zhǎng)度密鑰長(zhǎng)度128128位以上位以上l軟件加密軟件加密DES/3DESDES/3DES：密鑰長(zhǎng)度：密鑰長(zhǎng)度56/12856/128位位CAST-128CAST-128：密鑰長(zhǎng)度：密鑰長(zhǎng)度128128位，位，PGPPGP的對(duì)稱加密算法的對(duì)稱加密算法BLOWFISHBLOWFISH：密鑰長(zhǎng)度可變，最?。好荑€長(zhǎng)度可變，最小4040

28、位，最大位，最大448448位，缺省位，缺省128128位，位，ASEASE候選算法的參考原型候選算法的參考原型SKIPJACKSKIPJACK：密鑰長(zhǎng)度：密鑰長(zhǎng)度8080位位l驗(yàn)證算法驗(yàn)證算法MD5MD5：RSARSA公司的算法，是公司的算法，是128128位的摘要算法位的摘要算法SHA1SHA1：由：由NSANSA為為National Institute Standards TechnologyNational Institute Standards Technology制訂，制訂，是是160160位的摘要算法位的摘要算法5.3.2 IKE45l驗(yàn)證對(duì)方，協(xié)商和建立驗(yàn)證對(duì)方，協(xié)商和建立SA

29、l安全協(xié)商密鑰、算法安全協(xié)商密鑰、算法l核心技術(shù)：核心技術(shù)：Diffie-Hellman交換交換Peer1Peer2生成隨機(jī)數(shù)生成隨機(jī)數(shù) a a生成隨機(jī)數(shù)生成隨機(jī)數(shù) b bC= ga mod pD= gb mod pResult=Da mod pResult=Cb mod pEqualExchange C and D即使第三方截獲了即使第三方截獲了g,p,c,dg,p,c,d，也不能推算出結(jié)果，也不能推算出結(jié)果5.3.3 安全策略46l防火墻技術(shù)不能解決所有的安全問題防火墻技術(shù)不能解決所有的安全問題l防火墻不能防范不經(jīng)由防火墻的攻擊防火墻不能防范不經(jīng)由防火墻的攻擊采用撥號(hào)上網(wǎng)采用撥號(hào)上網(wǎng)/接入

30、，繞過防火墻接入，繞過防火墻l防火墻不能防范人為因素的攻擊防火墻不能防范人為因素的攻擊以各種方式攜帶機(jī)密文件以各種方式攜帶機(jī)密文件業(yè)務(wù)的口令失竊業(yè)務(wù)的口令失竊l防火墻不能防范病毒防火墻不能防范病毒/木馬文件的傳輸木馬文件的傳輸一般防火墻不檢測(cè)數(shù)據(jù)的內(nèi)容一般防火墻不檢測(cè)數(shù)據(jù)的內(nèi)容l配置不合理的防火墻配置不合理的防火墻防火墻形同虛設(shè)防火墻形同虛設(shè)l物理上不安全的防火墻設(shè)備物理上不安全的防火墻設(shè)備5.3.2 5.3.2 安全策略47l網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)工程網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)工程l管理制度管理制度制訂網(wǎng)絡(luò)安全規(guī)章制度制訂網(wǎng)絡(luò)安全規(guī)章制度檢查檢查/維護(hù)，保障制度的執(zhí)行維護(hù)，保障制度的執(zhí)行l(wèi)培訓(xùn)員工的安全

31、意識(shí)培訓(xùn)員工的安全意識(shí)l與防病毒等技術(shù)結(jié)合與防病毒等技術(shù)結(jié)合統(tǒng)一網(wǎng)絡(luò)出口，病毒檢測(cè)統(tǒng)一網(wǎng)絡(luò)出口，病毒檢測(cè)l保證設(shè)備的物理安全保證設(shè)備的物理安全l合理采用安全設(shè)備及安全技術(shù)合理采用安全設(shè)備及安全技術(shù)5.3.3 安全策略48l網(wǎng)絡(luò)安全是一個(gè)長(zhǎng)期的、變化的工程網(wǎng)絡(luò)安全是一個(gè)長(zhǎng)期的、變化的工程l不存在一勞永逸的安全措施不存在一勞永逸的安全措施l新的系統(tǒng)或應(yīng)用的漏洞被發(fā)現(xiàn)新的系統(tǒng)或應(yīng)用的漏洞被發(fā)現(xiàn)l新增加的業(yè)務(wù)或其他設(shè)備引起的安全隱患新增加的業(yè)務(wù)或其他設(shè)備引起的安全隱患l員工安全意識(shí)的薄弱員工安全意識(shí)的薄弱ll幾十安裝系統(tǒng)或應(yīng)用程序的安全補(bǔ)丁幾十安裝系統(tǒng)或應(yīng)用程序的安全補(bǔ)丁l充分考慮新業(yè)務(wù)的各個(gè)特性，保

32、證系統(tǒng)安全充分考慮新業(yè)務(wù)的各個(gè)特性，保證系統(tǒng)安全l培訓(xùn)員工的安全意識(shí)培訓(xùn)員工的安全意識(shí)5.4 網(wǎng)絡(luò)QoS設(shè)計(jì)49三網(wǎng)合一網(wǎng)絡(luò)QoS設(shè)計(jì)與案例QoS服務(wù)模式與技術(shù)5.4.1 三網(wǎng)分離50北京北京深圳深圳上海上海分別建網(wǎng)分別建網(wǎng)管理復(fù)雜管理復(fù)雜投資浪費(fèi)投資浪費(fèi)維護(hù)艱難維護(hù)艱難擴(kuò)展性差擴(kuò)展性差5.4.1 5.4.1 三網(wǎng)合一51PSTNLANWANvideocomputerIP phonephoneLANvideocomputerIP phone統(tǒng)一建網(wǎng)統(tǒng)一建網(wǎng)管理簡(jiǎn)單管理簡(jiǎn)單投資節(jié)約投資節(jié)約維護(hù)方便維護(hù)方便擴(kuò)展性好擴(kuò)展性好適應(yīng)多業(yè)務(wù)發(fā)展的需要適應(yīng)多業(yè)務(wù)發(fā)展的需要利于支撐新業(yè)務(wù)（如語(yǔ)音郵箱）利于支撐

33、新業(yè)務(wù)（如語(yǔ)音郵箱）優(yōu)點(diǎn)5.4.1 QoS5.4.1 QoS定義525.4.2 5.4.2 解決QoSQoS問題的兩種思路535.4.2 IntServ5.4.2 IntServ與DiffServDiffServ之間的互通545.4.2 SLA與TCA555.4.2 VRP5.4.2 VRP支持QoSQoS技術(shù)實(shí)施方案56接收?qǐng)?bào)文接收?qǐng)?bào)文分類分類 源地址源地址 目的地址目的地址 源端口源端口 目的端口目的端口 協(xié)議類型協(xié)議類型TOSACL分類分類Queue0Queue1Queue2QueueNREDWRED擁塞檢測(cè)擁塞檢測(cè)/避免避免隊(duì)列隊(duì)列FIFOPQCQWFQCBWFQ令牌令牌流量監(jiān)控流量監(jiān)

34、控/整形整形丟棄丟棄丟棄丟棄繼續(xù)發(fā)送繼續(xù)發(fā)送入入隊(duì)隊(duì)出出隊(duì)隊(duì)令牌筒令牌筒出接口出接口入接口入接口CARGTS5.4.3 QoS5.4.3 QoS設(shè)計(jì)步驟業(yè)務(wù)數(shù)據(jù)及QoS需求分析 1網(wǎng)絡(luò)帶寬服務(wù)設(shè)計(jì) 2QoS服務(wù)模型選擇3QoS技術(shù)實(shí)施方案設(shè)計(jì)462030102根據(jù)對(duì)時(shí)延的敏感度區(qū)分根據(jù)對(duì)時(shí)延的敏感度區(qū)分根據(jù)對(duì)數(shù)據(jù)傳送的要求區(qū)根據(jù)對(duì)數(shù)據(jù)傳送的要求區(qū)分分根據(jù)對(duì)時(shí)延抖動(dòng)敏感區(qū)分根據(jù)對(duì)時(shí)延抖動(dòng)敏感區(qū)分混合業(yè)務(wù)混合業(yè)務(wù)5.4.3 5.4.3 業(yè)務(wù)數(shù)據(jù)及QoSQoS需求分析585.4.3 5.4.3 網(wǎng)絡(luò)寬帶服務(wù)設(shè)計(jì)595.4.3 QoS5.4.3 QoS服務(wù)模型選擇655.4.3 QoS5.4.3 Qo

35、S技術(shù)實(shí)施方案設(shè)計(jì)接入/核心層采用不同技術(shù)及策略不同業(yè)務(wù)數(shù)據(jù)可選擇不同特性的鏈路傳輸各條線路（虛鏈路）上進(jìn)行采用帶寬分配、擁塞控制不同服務(wù)需求業(yè)務(wù)數(shù)據(jù)的區(qū)分665.4.3 5.4.3 單優(yōu)先業(yè)務(wù)網(wǎng)絡(luò)QoSQoS實(shí)施62l只有實(shí)時(shí)語(yǔ)只有實(shí)時(shí)語(yǔ)音業(yè)務(wù)優(yōu)先音業(yè)務(wù)優(yōu)先PBXRefinerGKQuidway RA Quidway RB PBX分支機(jī)構(gòu)分支機(jī)構(gòu)中心中心Quidway RC 10.0.32.1 10.0.32.2 WAN5.4.3 5.4.3 多優(yōu)先業(yè)務(wù)網(wǎng)絡(luò)QoSQoS實(shí)施63l實(shí)時(shí)交易，語(yǔ)音實(shí)時(shí)交易，語(yǔ)音等優(yōu)先業(yè)務(wù)等優(yōu)先業(yè)務(wù)PBXRefinerGKQuidway RA Quidway RB WANPBX分支機(jī)構(gòu)分支機(jī)構(gòu)中心中心Quidway RC 10.0.32.1 40.0.32.1 10.0.32.2 10.0.191.1 40.0.191.1 Realtime systemRealtime business system 256KbpsN x 256Kbps營(yíng)業(yè)性業(yè)務(wù)管理性業(yè)務(wù)綜合業(yè)務(wù)5.4.3 5.4.3 案例：業(yè)務(wù)數(shù)據(jù)及QOSQOS需求分析某銀行的業(yè)務(wù)分類與柜面業(yè)務(wù)密與柜面業(yè)務(wù)密切相關(guān)的業(yè)務(wù)切相關(guān)的業(yè)務(wù)與銀行管理有關(guān)的業(yè)務(wù)與銀行管理有關(guān)的業(yè)務(wù)其余其余645.4.3 5.4.3 案例：業(yè)務(wù)數(shù)據(jù)及QOSQOS需求分析（續(xù)）65l包