邏輯網(wǎng)絡設計82課件

NetworkDesign

第四章邏輯網(wǎng)絡設計leeyi@第一章概述第二章用戶需求分析第三章現(xiàn)有網(wǎng)絡分析第四章邏輯網(wǎng)絡設計第五章網(wǎng)絡設備選擇第六章WAN接入設計第七章網(wǎng)絡介質設計第八章網(wǎng)絡設計案例4.1邏輯設計概述4.2物理層的考慮4.3網(wǎng)絡設備的考慮4.4網(wǎng)絡拓撲結構考慮4.5網(wǎng)絡管理的考慮4.6TCP/IP尋址的考慮4.7網(wǎng)絡安全的考慮4.8防火墻的考慮4.9冗余設計4.10編寫邏輯設計檔案4.2物理層的考慮用需求和流量說明書作為指導開始設計物理層前，閱讀對需求和流量進行總結的建議，重點放在那些通過特別選擇的物理層技術能夠部分或全部實現(xiàn)的需求上。增長與可升級性：將來對網(wǎng)絡的添加、升級，要考慮安裝或重配置的難易程度。響應時間、帶寬和數(shù)據(jù)傳輸率：用戶需要多大的帶寬？廣域網(wǎng)連接是否超負荷？主干網(wǎng)或高性能工作組比廣域網(wǎng)應用有更多的需求嗎？可靠性、可恢復性：必須從下至上實施。物理傳輸技術能持續(xù)可用嗎？信息蜂擁時，無線連接也能工作嗎？周圍環(huán)境有電磁干擾嗎？網(wǎng)絡安全：物理層的網(wǎng)絡安全是未經(jīng)授權而非法訪問網(wǎng)絡介質，主要防范利用監(jiān)聽線纜來監(jiān)視或截獲傳輸信息。銅纜線、無線很容易被監(jiān)聽或截獲，而光纜最安全。遠程接入：必須明確用戶需要的遠程接入方式。通常有撥號接入、無線接入或衛(wèi)星接入，用戶是在同一城市還是在世界各地？節(jié)約成本：用現(xiàn)存的線纜網(wǎng)卡可行嗎？需求向物理介質映射特點對物理層的需求了解清楚后，可以進行物理介質和網(wǎng)卡的選擇了物理介質：物理介質對照表要素雙絞線光纖細纜粗纜無線距離較短較長適中適中適中(視距傳播)抗干擾性低（UTP）適中（STP）非常高適中低安裝難易簡單專業(yè)人員簡單專業(yè)人員微波專業(yè)安裝人員費用低高較低較低高拓撲結構總線、星型、環(huán)型星型總線總線-MAC協(xié)議以太網(wǎng)、令牌環(huán)、CDDIFDDI、ATM、SONET、以太網(wǎng)以太網(wǎng)、令牌總線以太網(wǎng)、令牌總線以太網(wǎng)、令牌網(wǎng)、FDDI數(shù)據(jù)速率100Mbps>100Mbps100Mbps10Mbps微波：5.7Mbps；擴頻：1-2Mbps物理介質的選擇依賴于MAC協(xié)議的選定：物理層規(guī)范表類型信令技術物理介質速率Mbps最大分段距離(m)最大分段數(shù)最大中繼器數(shù)最大中繼器間距離(km)802.310BASE5粗纜基帶50Ω粗同軸電纜1050010042.4802.310BASE2細纜基帶50Ω細同軸電纜102003040.9802.310BASET雙絞線基帶非屏蔽雙絞線10100---802.310BROAD36CATV纜寬帶75ΩCATV同軸電纜103600--3.6FDDI調幅光纜10010002802.5屏蔽令牌環(huán)曼碼光纜16300120.2802.5非屏蔽令牌環(huán)曼碼光纜1410020.124.3網(wǎng)絡設備的考慮 邏輯網(wǎng)絡設計必須指定連接LAN各端或者跨區(qū)域的多個LAN連接的設備類型。這些設備都要聯(lián)合工作。本節(jié)主要說明這些設備如何協(xié)同工作的。學習目標弄懂路由器與交換機之間的區(qū)別；敘述路由器與交換機在隔離網(wǎng)絡方面是如何協(xié)同工作的；說明物理網(wǎng)絡組件邏輯網(wǎng)絡組件之間的區(qū)別。知識重點網(wǎng)絡可用交換機和（或）路由器進行分割。用交換機和路由器設計網(wǎng)絡 網(wǎng)絡設計常常組合使用這兩種設備，建立高性能、可升級性網(wǎng)絡。用交換機和路由器劃分子網(wǎng)：交換機工作在第二層，劃分子網(wǎng)的目的是提供附加帶寬；路由器工作在第三層，劃分子網(wǎng)的目的是限制廣播通信，并提供網(wǎng)絡安全和控制單個廣播域內的冗余。示例環(huán)境： 以工作組環(huán)境為例。所謂工作組，就是共享計算機資源的用戶集合。工作組中計算機數(shù)量可多可少，計算機之間物理位置可近可遠，但組成成員的計算機固定。 下圖就是一個工作組環(huán)境。通常工作組是先于網(wǎng)絡設備安裝的。圖中只有兩個集線器，實際工作組可能包含10-20個集線器。 在這個例子中，網(wǎng)管想利用服務器可用的最大帶寬，將PC機分成更小的沖突域來共享10Mb/s的接入帶寬，只有有限的特權用戶才需要10Mb/s的帶寬用于運行程序。要實現(xiàn)這一目標，網(wǎng)管就要判斷是安裝交換機還是路由器，以消除日益增長的服務器瓶頸。示例環(huán)境：典型的集線器工作組工作組1工作組2集線器集線器服務器服務器交換機方案： 在交換環(huán)境中，一個廣播域被分成4個獨立的10Mbps的沖突域，給服務器分配了10Mbps的接入，消除了這些接點之間的訪問競爭。特權用戶可以直接接入交換機. 本地服務器也提供高速接口，與交換機高速接口想匹配，消除了可能出現(xiàn)的瓶頸。例如，以太網(wǎng)中5個10Mbps的交換機口以每秒4000幀(FPS)的速率向服務器發(fā)送64字節(jié)（8位）的數(shù)據(jù)幀，服務器的端的總負荷是20000FPS。這遠遠超過了標準以太網(wǎng)對64字節(jié)（8位）數(shù)據(jù)幀的14880FPS的限制，若服務器安裝100Mbps快速以太網(wǎng)卡，這個問題隨之消除。因為此網(wǎng)卡對64字節(jié)數(shù)據(jù)幀能達到148800FPS的速率。交換機實現(xiàn)方案工作組1工作組2集線器集線器交換機服務器服務器如果工作組需要訪問位于數(shù)據(jù)中心堆疊式的主干設備，就需要在交換機上添加另一個高速下行鏈路模塊。由于高速技術的影響主要體現(xiàn)在主干網(wǎng)和數(shù)據(jù)中心，工作組交換機應當應用這一技術為網(wǎng)絡的增長提供平穩(wěn)的升級方案。優(yōu)點：價格比路由器便宜；運行速度快；方案簡單，維護管理方便。隨著網(wǎng)絡設備數(shù)量增加，減少復雜設備、增加簡單設備帶來的管理、維護方便的優(yōu)點更加突出。部門工作組：由多個小型工作組構成的大型工作組。如下圖示。 下圖中，由小型交換機組網(wǎng)部門工作組，分為3個獨立的沖突域。如果服務器需要更大的帶寬，連接部門服務器的集線器可以換成低成本的10Mb/s的交換機。 用模塊化的部門交換機組件可以將各自分割獨立的數(shù)個工作組組成大型工作組。這些交換機組件提供包括以太網(wǎng)、FDDI、ATM的高速接口。利用部門交換機和共享高速接口，所有的用戶都可以訪問部門服務器。 高端工作組交換機可以提供單個工作組交換機功能、先進的交換技術、寬裕的性能指標、模塊化的多種功能和升級能力。 總之，部門級交換機是管理一層樓或整個建筑物范圍的工作組設備。部門工作組工作組1工作組2部門服務器集線器集線器集線器服務器服務器服務器交換機物理分割： 為消除交換機組網(wǎng)的廣播流過大的問題，可以用路由器將網(wǎng)絡進行物理劃分。使原來共處一個廣播域的網(wǎng)絡劃分成幾個廣播域。下圖用路由器作為部門工作組的頂級網(wǎng)絡設備，下面連三個交換機，服務器分散到各自的工作組內，這樣就使得共處一個廣播域的各個工作組分成了三個獨立的工作組。從而消除了廣播風暴對整個網(wǎng)絡的負面影響。 這種物理分割的效果在于，大量的信息流只在工作組內交流，而經(jīng)過路由器交換轉發(fā)的組間信息流大量減少，路由器的低吞吐量就顯得不明顯了。 物理分割工作組1工作組3路由器交換機服務器交換機服務器交換機服務器工作組2邏輯分割： 劃分子網(wǎng)更為靈活的方法是用交換機構造相互獨立的物理工作組，然后用VLAN技術在個子網(wǎng)中靈活地選擇任意的計算機組成邏輯子網(wǎng)。減少了因為挪動節(jié)點到另外一個子網(wǎng)帶來的勞動成本。 如果節(jié)點要進行廣播或多點傳輸，信息只傳輸?shù)轿挥谠凑军c的VLAN端口。每個交換機端口都配置在VLAN1和VLAN2中。VLAN之間的信息由路由器傳播。 這樣的組網(wǎng)既保證安全，又便于網(wǎng)絡管理。智能交換機終端交換機服務器路由器終端交換機工作組1工作組2用路由器和VLAN進行邏輯分割服務器主干網(wǎng)設備的實現(xiàn)：是否選擇堆疊式設備？主干網(wǎng)核心設備的選擇，影響整個網(wǎng)絡工程的成本和性能。堆疊式的主干設備可能是一臺交換機，也可能是一臺路由器。堆疊式的主干設備的優(yōu)點在于，集中復雜性，提高了整體性能，減少成本，支持服務器組模型，管理集中。缺點在于，成為性能瓶頸，一旦崩潰，整個網(wǎng)絡癱瘓。選擇交換機還是路由器？如果網(wǎng)干的功能僅僅是性能要求，就選擇一臺交換機。因為交換機以線纜速度進行數(shù)據(jù)包傳輸并且價格便宜；若性能與安全并舉，就選擇路由器。路由器雖然貴，但得到了控制手段，保障了安全，還留有冗余。限制了廣播流量。平面廣域網(wǎng)拓撲結構 一般由連接成環(huán)路的幾個站點構成。每個站點都有一臺廣域網(wǎng)路由器，通過點到點鏈路與其他站點相連（下左圖）。這種結構的特點是成本低。 這種結構在環(huán)路相反方向的路由器之間要經(jīng)歷許多跳，延遲和出錯率增高。如果流量分析顯示環(huán)路拓撲中相反方向的流量加大了，就應該選擇層次化拓撲結構了（下右圖）。這種結構的好處是可擴展性好，延遲低，可用性高。

公司總部銷售公司市區(qū)老廠郊區(qū)工廠平面環(huán)路拓撲層次化拓撲公司總部銷售公司郊區(qū)工廠市區(qū)老廠平面局域網(wǎng)拓撲結構 在局域網(wǎng)中使用層次化結構，我們將PC機和服務器連接到交換機上，可以把路由器添加到局域網(wǎng)中，將整個局域網(wǎng)分割成多個廣播域，減少廣播輻射的影響。 同時，層次化結構中，高端交換機為高流量提供最大的帶寬，低端交換機提供廉價的接入。網(wǎng)狀拓撲結構 可靠性高是網(wǎng)狀結構的顯著優(yōu)點，但成本高昂、維護難度大，升級困難的缺點也很郁悶。網(wǎng)狀結構對于廣播路由選擇更新或路由通告的鄰接路由器有限制。隨著鄰接路由器的增加，更新進程占用的帶寬和CPU資源也隨之增加。 層次化結構的設計從物理拓撲上就限制了鄰接路由器的數(shù)量，軟件上就不需要限制。并且，網(wǎng)絡崩潰而重建路由的代價小得多。路由器路由器路由器路由器部分網(wǎng)狀結構路由器路由器路由器路由器全網(wǎng)狀結構中國科大校園網(wǎng)主干示意圖層次化網(wǎng)絡設計原則 原則一：控制網(wǎng)絡層次的加大，一般有三個層次就夠了，否則延遲加大。常見的設計錯誤，是在接入層增加一條鏈路，或增加一個后門。增加一條鏈路的結果是使網(wǎng)絡增加了一個第4層，它使延遲增加；所謂后門是指同一層設備之間的一個連接，它引起不可預知的路由選擇和交換。 盡管有一些合理的理由需要增加一條鏈接或后門，但應盡量避免。 原則二：首先設計接入層，然后是分布層，最后才是核心層。從接入層開始，可以精確地為分布層和核心層進行容量規(guī)劃。增加一條鏈路分布層設備接入層交換機服務器接入層交換機接入層交換機服務器增加一個后門引入生成樹協(xié)議(STP)通過阻斷冗余鏈路來消除橋接網(wǎng)絡中可能存在的路徑回環(huán)當前活動路徑發(fā)生故障時激活冗余備份鏈路恢復網(wǎng)絡連通性ROOTLANALANCLANELANBLAND生成樹協(xié)議的基本原理基本思想：在交換機之間傳遞特殊的消息（配置消息），包含足夠的信息做以下工作：從網(wǎng)絡中的所有交換機中，選出一個作為根網(wǎng)橋（Root）計算本交換機到根網(wǎng)橋的最短路徑對每個LAN，選出離根橋最近的那個交換機作為指定網(wǎng)橋，負責所在LAN上的數(shù)據(jù)轉發(fā)交換機選擇一個根端口，該端口給出的路徑是此網(wǎng)橋到根橋的最佳路徑選擇除根端口之外的包含于生成樹上的端口（指定端口）橋協(xié)議數(shù)據(jù)單元的內容橋協(xié)議數(shù)據(jù)單元（BPDU）也被稱作配置消息主要內容包括根網(wǎng)橋的Identifier（RootID）從指定網(wǎng)橋到根網(wǎng)橋的最小路徑開銷（RootPathCost）指定網(wǎng)橋的Identifier指定網(wǎng)橋的指定端口的Identifier即（RootID，RootPathCost，DesignatedBridgeID，DesignatedPortID）橋協(xié)議數(shù)據(jù)單元格式DMALLCHeaderSMAL/TPayloadDMA:目的MAC地址配置消息的目的地址是一個固定的橋的組播地址（0x0180c2000000）SMA:源MAC地址即發(fā)送該配置消息的橋MAC地址 L/T:幀長LLCHeader:配置消息固定的鏈路頭Payload:BPDU數(shù)據(jù)值域占用字節(jié)協(xié)議ID2協(xié)議版本BPDU類型標志位根橋ID根路徑開銷指定橋ID指定端口IDMessageAge11184822MaxAgeHelloTimeForwardDelay222橋協(xié)議數(shù)據(jù)單元的處理將各個端口收到的配置消息和自己的配置消息做比較，得出優(yōu)先級最高的配置消息更新本身的配置消息，主要工作有：選擇根網(wǎng)橋RootID：最優(yōu)配置消息的RootID計算到根橋的最短路徑開銷RootPathCost：如果自己是根橋，則最短路徑開銷為0，否則為它所收到的最優(yōu)配置消息的RootPathCost與收到該配置消息的端口開銷之和選擇根端口RootPort：如果自己是根橋，則根端口為0，否則根端口為收到最優(yōu)配置消息的那個端口選擇指定端口：包括在生成樹上處于轉發(fā)狀態(tài)的其它端口從指定端口發(fā)送新的配置消息如何確定最優(yōu)的橋協(xié)議數(shù)據(jù)單元配置消息的優(yōu)先級比較原則：假定有兩條配置消息C1和C2，則：如果C1的RootID小于C2的RootID，則C1優(yōu)于C2如果C1和C2的RootID相同，但C1的RootPathCost小于C2，則C1優(yōu)于C2如果C1和C2的RootID和RootPathCost相同，但C1的TransmitID小于C2，則C1優(yōu)于C2如果C1和C2的RootID、RootPathCost和TransimitId相同，但C1的PortID小于C2，則C1優(yōu)于C2生成樹協(xié)議的不足端口從阻塞狀態(tài)進入轉發(fā)狀態(tài)必須經(jīng)歷兩倍的ForwardDelay時間，所以網(wǎng)絡拓撲結構改變之后需要至少兩倍的ForwardDelay時間，才能恢復連通性如果網(wǎng)絡中的拓撲結構變化頻繁，網(wǎng)絡會頻繁的失去連通性，這樣用戶就會無法忍受?？焖偕蓸鋮f(xié)議快速生成樹協(xié)議是從生成樹協(xié)議發(fā)展而來，實現(xiàn)的基本思想一致；快速生成樹具備生成樹的所有功能；快速生成樹改進目的就是當網(wǎng)絡拓撲結構發(fā)生變化時，盡可能快的恢復網(wǎng)絡的連通性?？焖偕蓸涞母倪M一如果舊的根端口已經(jīng)進入阻塞狀態(tài)，而且與新根端口連接的對端交換機的指定端口處于Forwarding狀態(tài)時，則在新拓撲結構中的根端口可以立刻進入轉發(fā)狀態(tài)，。TOROOTLANBLANALANAFF指定端口指定端口舊根端口阻塞端口FTOROOTLANBLANALANAFF指定端口指定端口新根端口阻塞端口F快速生成樹的改進二指定端口可以通過與相連的網(wǎng)橋進行一次握手，快速進入轉發(fā)狀態(tài)。LANBLANAF指定端口根端口握手請求握手響應1234兩點注意:握手必須在點對點鏈路的條件下進行一次握手之后，響應握手的網(wǎng)橋的非邊緣指定端口將變?yōu)閎locking狀態(tài)，則需要繼續(xù)向自己的鄰接網(wǎng)橋發(fā)起握手LANALANBLANCLANAF指定端口指定端口指定端口FF非點到點鏈路握手的擴散快速生成樹的改進三網(wǎng)絡邊緣的端口，即直接與終端相連，而不是和其它網(wǎng)橋相連的端口可以直接進入轉發(fā)狀態(tài)，不需要任何延時。LANBLANCLANA根端口邊緣端口LANDFTOROOT阻塞端口快速生成樹的性能第一種改進的效果：發(fā)現(xiàn)拓撲改變到恢復連通性的時間可達數(shù)毫秒，并且無需傳遞配置消息。第二種改進的效果：網(wǎng)絡連通性可以在交換兩個配置消息的時間內恢復，即握手的延時；最壞的情況下，握手從網(wǎng)絡的一邊開始，擴散到網(wǎng)絡的另一邊緣的網(wǎng)橋，網(wǎng)絡連通性才能恢復。比如當網(wǎng)絡直徑為7的時候，要經(jīng)過6次握手。第三種改進的效果：邊緣端口的狀態(tài)變化不影響網(wǎng)絡連通性，也不會造成回路，所以進入轉發(fā)狀態(tài)無需延時?？焖偕蓸湟彩窃谡麄€交換網(wǎng)絡應用單生成樹實例,不能解決由于網(wǎng)絡規(guī)模增大帶來的性能降低問題4.5網(wǎng)絡管理的考慮 網(wǎng)絡管理就是對網(wǎng)絡進行維護、控制、財務核算以及排除網(wǎng)絡及其設備故障。有很多用于遠程管理網(wǎng)絡組件的軟件和硬件解決方案，它們大多建立在SNMP協(xié)議之上。遠程網(wǎng)絡管理（RMON）具有附加功能和更高的效率。網(wǎng)絡管理目的：減少停機時間，改進響應時間，提高設備利用率減少運行費用，提高效率減少/消滅網(wǎng)絡瓶頸適應性技術容易使用安全學習目標：掌握SNMP協(xié)議的主要優(yōu)缺點；RMON是如何解決這些缺點的。關鍵知識：網(wǎng)絡管理主要是對網(wǎng)絡進行超前管理。SNMP的局限性 SNMP(簡單網(wǎng)絡管理協(xié)議)是一種廣為執(zhí)行的網(wǎng)絡協(xié)議，它使用嵌入到網(wǎng)絡設施中的代理軟件來收集網(wǎng)絡通信信息和有關網(wǎng)絡設備的統(tǒng)計數(shù)據(jù)。代理不斷地收集統(tǒng)計數(shù)據(jù)，如所收到的字節(jié)數(shù)，并把這些數(shù)據(jù)記錄到一個管理信息庫(MIB)中。網(wǎng)管員通過向代理的MIB發(fā)出查詢信號可以得到這些信息，這個過程叫輪詢(polling)。

雖然MIB計數(shù)器將統(tǒng)計數(shù)據(jù)的總和記錄下來了，但它無法對日常通信量進行歷史分析。為了能全面地查看一天的通信流量和變化率，管理人員必須不斷地輪詢SNMP代理，一天中每分鐘就輪詢一次。這樣，網(wǎng)管員可以使用SNMP來評價網(wǎng)絡的運行狀況，并揭示出通信的趨勢，如哪一個網(wǎng)段接近通信負載的最大能力或不必要地正使通信出錯。先進的SNMP網(wǎng)管站甚至可以進行編程來自動關閉端口或采取其它矯正措施來處理歷史的網(wǎng)絡數(shù)據(jù)。傳統(tǒng)SNMP模型在大型LAN的布局有如下的局限性：它沒有伸縮性。在大型的網(wǎng)絡中，輪詢會產(chǎn)生巨大的網(wǎng)絡管理通信量，因而導致通信擁擠情況的發(fā)生。它將收集數(shù)據(jù)的負擔加在網(wǎng)絡管理控制臺上。管理站也許能輕松地收集8個網(wǎng)段的信息，當它們監(jiān)控48個網(wǎng)段時，恐怕就應付不下來。管理員與客戶間通信網(wǎng)管工作站受控服務器受控工作站流量監(jiān)視器路由器代理軟件代理軟件代理軟件管理軟件鏈路A鏈路B鏈路A：運行中鏈路B：已中斷發(fā)送鏈路狀態(tài)遠程監(jiān)控（RMON） SNMP標準基本功能集最重要增強功能是RMON。與SNMP類似，RMON是基于客戶機/服務器結構的。見下圖示。RMON代理的功能類似于服務器，通過探測來維護歷史統(tǒng)計數(shù)據(jù)，亦稱為探測器。代理的這種附加功能免除了NMS定期發(fā)送調查測試來建立網(wǎng)絡運行趨勢歷史記錄的需要。 RMON代理可作為單機設備（帶有專用CPU和內存）配置。也可嵌入集線器、交換機或者路由器中。例如，3Com系統(tǒng)的LAN交換機配線就在每個交換機中安裝有相應軟件來跟蹤流經(jīng)的流量，并在MIB中記錄，通過圖形用戶界面（GUI）向管理員提供信息。遠程管理與探測器通信NMSRMON客戶機管理程序輪詢，發(fā)送歷史記錄代理響應(歷史記錄表)RMONMIB計數(shù)器本地歷史網(wǎng)絡設備RMON服務器分析工具 NMS作為客戶機運行，它組織和分析由探測器診斷到的網(wǎng)絡故障數(shù)據(jù)。NMS和分布式RMON探測器之間的通信采用SNMP進行，它提供了遠程網(wǎng)絡分析的基礎。 RMON統(tǒng)計數(shù)據(jù)存檔能力是的管理員可以為網(wǎng)絡運行開發(fā)基線模型?；€模型確立并配置好后，管理員可以確定網(wǎng)段正常運行狀態(tài)的閾值，用于監(jiān)視網(wǎng)段流量。當流量超過該閾值時，探測器就會給NMS發(fā)出警告。 NMS接到警告后，激活高級RMON性能來診斷該故障。例如，RMON內的HostTopN組可以確定是哪個主機在處理網(wǎng)段內的大部分對話，與誰進行對話，對話人是在本網(wǎng)段內還是在Intranet內。利用這些信息，管理員可用主機組的某個指定的主機來響應這個警告。 當然，RMON中數(shù)據(jù)包截獲組和過濾器用探測器將數(shù)據(jù)包截獲，并利用協(xié)議分析儀來輔助解決這種異常情況。RMON性能：與傳統(tǒng)的SNMP相比，RMON是較高級的Intranet管理工具。其特點表現(xiàn)為：RMON極大地降低了網(wǎng)絡管理的流量。由于WAN通道帶寬比LAN鏈路帶寬小得多，網(wǎng)管應充分利用RMON探測器實施網(wǎng)管，而不是利用SNMP進行調查測試。以將寶貴的WAN帶寬留給用戶傳輸數(shù)據(jù)。RMON提供有關整個網(wǎng)絡的信息，例如所有網(wǎng)絡設備、服務器、應用程序和所有用戶。RMONMIB：Internet工程特別小組(IETF)于1991年11月公布了RMONMIB來解決SNMP在日益擴大的分布式網(wǎng)絡中所面臨的局限性。實現(xiàn)了對異構環(huán)境進行一致的遠程管理，它為通過端口遠程監(jiān)視網(wǎng)段提供了合適的解決方案。RMON是對SNMP標準的擴展，定義了標準功能以及在基于SNMP管理站和遠程監(jiān)控者之間的接口，主要實現(xiàn)對一個網(wǎng)段乃至整個網(wǎng)絡的數(shù)據(jù)流量的監(jiān)視功能，目前已成為成功的網(wǎng)絡管理標準之一。RMONMIB特點可以記錄某些網(wǎng)絡事件，即使在網(wǎng)絡管理站沒有與監(jiān)控設備主動進行聯(lián)接（脫機）的情況下，也同樣可以完成記錄。可以用于記錄網(wǎng)絡性能數(shù)據(jù)和故障歷史，可以在任何時候訪問故障歷史數(shù)據(jù)以有利于進行有效的故障診斷。使用這種方法減少了管理者同代理間的通信流量，使簡單而有力地管理大型互聯(lián)網(wǎng)絡成為可能。RMON的一個重要的優(yōu)點還在于它與現(xiàn)存的SNMP框架相兼容，不需對該協(xié)議進行任何修改。RMONMIB如何收集數(shù)據(jù)：一種是通過專用的RMON探測儀（Probe），網(wǎng)管站直接從探測儀獲取管理信息并控制網(wǎng)絡資源，這種方式可以獲取RMONMIB的全部信息；另一種方法是將RMON代理直接植入網(wǎng)絡設備（路由器、交換機、Hub等）使它們成為帶RMONProbe功能的網(wǎng)絡設施，網(wǎng)管站用SNMP的基本命令與其交換數(shù)據(jù)信息，收集網(wǎng)絡管理信息，但這種方式受設備資源限制，一般不能獲取RMONMIB的所有數(shù)據(jù)，大多數(shù)只收集四個組的信息。RMONMIB功能組 RMON提供的信息可以進行較SNMPMIB更為全面的網(wǎng)絡管理，標準的RMONMIB功能可以劃分為十個組：統(tǒng)計累計的局域網(wǎng)通信和故障統(tǒng)計數(shù)據(jù)；歷史進行趨勢分析的區(qū)間抽樣統(tǒng)計數(shù)據(jù)；報警確定閥值；主機由介質訪問控制地址(MAC)組成的統(tǒng)計數(shù)據(jù)；HostTopN按MAC地址排序的統(tǒng)計數(shù)據(jù)；矩陣所追蹤的兩個設備之間的對話；事件對報警信號所引起的操作進行控制的機制；過濾器數(shù)據(jù)包選擇機制；包捕獲數(shù)據(jù)包收集和上載機制；令牌環(huán)針對令牌環(huán)設備的特殊參數(shù)，包括環(huán)站、環(huán)站次序、環(huán)站配置、源路由統(tǒng)計數(shù)據(jù)。RMON2MIB 在RMON基礎上產(chǎn)生的RMON2標準能將網(wǎng)管員對網(wǎng)絡的監(jiān)控層次提高到網(wǎng)絡協(xié)議棧的應用層。因而除了能監(jiān)控網(wǎng)絡通信與容量外，RMON2還提供有關各應用所使用的網(wǎng)絡帶寬量的信息，這也是在客戶機/服務器環(huán)境中進行故障排除的重要因素。 RMON在網(wǎng)絡中查找物理故障，RMON2進行的則是更高層次的觀察，它監(jiān)控實際的網(wǎng)絡使用模式。RMON探測器觀察的是由一個路由器流向另一個路由器的數(shù)據(jù)包，而RNOM2則深入到內部，它觀察的是哪一個服務器發(fā)送數(shù)據(jù)包，哪一個用戶預定要接受這一數(shù)據(jù)包，這一數(shù)據(jù)包表示何種應用。網(wǎng)管員能夠使用這種信息，按照應用帶寬和響應時間要求來區(qū)分用戶，就像過去他們使用網(wǎng)絡地址生成工作組一樣。 RMONII沒有取代RMON，而是它的補充技術。RMONII在RMON標準基礎上提供一種新層次的診斷和監(jiān)控功能。事實上，RMONII能夠監(jiān)控執(zhí)行RMON標準的設備所發(fā)出的意外事件報警信號。RMON與RMON2的網(wǎng)絡管理著眼點網(wǎng)絡管理問題相關OSI層管理標準物理故障與利用介質訪問控制層(MAC)RMON局域網(wǎng)網(wǎng)段數(shù)據(jù)鏈路層RMON網(wǎng)絡互連網(wǎng)絡層RMON2應用程序的使用應用層RMON2RMON和RMON2所支持的協(xié)議層應用層表示層會話層運輸層網(wǎng)絡層數(shù)據(jù)鏈路層物理層MonitoredByRMON2RMONOSIModel用RMON/RMON2監(jiān)控LAN流量確定關鍵網(wǎng)段：要想用RMON/RMON2對LAN進行交互式管理，設計者必須首先確定哪個網(wǎng)段對網(wǎng)絡的運行起關鍵作用。一般來說，主干網(wǎng)、重要工作組、交換機到交換機鏈路、服務器所在的網(wǎng)段等都是重要的關鍵網(wǎng)段。確定關鍵位置：若決定這些關鍵網(wǎng)段全部采用RMON/RMON2設備進行管理，應當安裝在最關鍵的位置。制定管理方案：后制定一個方案，保證RMON/RMON2所接收的統(tǒng)計數(shù)據(jù)和通信信息來自網(wǎng)絡中的合適位置（即網(wǎng)卡、網(wǎng)絡設備、單機探測器等）?？蛻魬贸绦蚩蛇\行在專用管理工作站、MSWindows工作站和網(wǎng)站上。對收集的數(shù)據(jù)進行解釋，然后發(fā)給網(wǎng)絡管理組。 網(wǎng)管可以監(jiān)控每個WAN鏈路、交換機端口和VLAN。監(jiān)視交換環(huán)境 在交換環(huán)境中，數(shù)據(jù)包按要求只傳向指定的端口。許多數(shù)據(jù)包都會經(jīng)過探測器。網(wǎng)管主要用下列技術之一來提供RMON管理：在每個交換端口上配置一定量的RMON組；應用統(tǒng)計采樣技術；使用滾動分析端口可以全部覆蓋選擇的端口。用RMON/RMON2監(jiān)控WAN流量 除了簡單的通信故障排除外，網(wǎng)管希望在WAN昂貴的帶寬讓客戶充分地利用，WAN超負荷運轉可導致錯誤增加、性能下降。RMONWAN探測器：由于WAN探測器監(jiān)控標準不包括數(shù)據(jù)鏈路層，這就意味著RMONWAN監(jiān)控標準是建立在專用所有權技術之上的，不能與其它探測器共同使用。但它能夠以清晰易懂的圖描繪出數(shù)據(jù)鏈路層和帶寬利用率，并保存有關基于IP地址的點對點通信的信息。RMON2WAN探測器：雖然RMON2監(jiān)測工具也是專用的，但它是為WAN數(shù)據(jù)鏈路層檢測流量的優(yōu)良工具。它能使網(wǎng)管運用應用程序而不是通過技術規(guī)范來調整網(wǎng)絡吞吐量。下圖中，RMON2探測器防在承擔WAN范圍流量的共享LAN網(wǎng)段上，探測器可看到多有進出的信息，并能為整個Intranet提供高層協(xié)議分析。RMON2WAN探測器RMON2探測器路由器WAN路由器4.6TCP/IP尋址的考慮 由于Internet連接的需求，許多NOS支持桌面級的TCP/IP尋址。在任何網(wǎng)絡設計中，TCP/IP尋址策略是一個不可輕視的設計重點。本節(jié)重點：一般路由和子網(wǎng)設計；無類別域間路由選擇(CIDR)；變長子網(wǎng)劃分。學習目標解釋經(jīng)典子網(wǎng)的工作原理；敘述IP尋址的缺點，新的尋址策略如何解決這個問題知識關鍵點不同的TCP/IP尋址策略可限制IP地址擴展IPv4地址的考慮 第四版本的IP地址用點分十進制數(shù)（Dotteddecimalnotation）表示，共32位。分為5類IP地址，分別為A類、B類、C類、D類和E類。A類地址用于大型網(wǎng)絡，B類地址用于中型網(wǎng)絡，C類地址用于小型網(wǎng)絡，D類地址用于廣播尋址，E類地址保留未用。IP地址包括兩部分組成：網(wǎng)絡地址和主機地址（也成為網(wǎng)絡號和主機號）。IPv4地址分類地址類別標志網(wǎng)絡號比特數(shù)主機號比特數(shù)首字節(jié)數(shù)字范圍A類首位為07241～126B類首兩位為101416128～191C類首三位為110218192～223D類首四位為1110廣播地址224～239E類首五位為11110保留未用240～247特殊的IP地址：它表示的是，所有不清楚的主機和目的網(wǎng)絡。這里的“不清楚”是指在本機的路由表里沒有特定條目指明如何到達。對本機來說，它就是一個“收容所”，所有不認識的“三無”人員，一律送進去。如果你在網(wǎng)絡設置中設置了缺省網(wǎng)關，那么Windows系統(tǒng)會自動產(chǎn)生一個目的地址為的缺省路由。55：限制廣播地址。對本機來說，這個地址指本網(wǎng)段內(同一廣播域)的所有主機。這個地址不能被路由器轉發(fā)。：回繞地址，主要用于測試。用漢語表示，就是“我自己”。在Windows中，這個地址有一個別名“Localhost”。尋址這樣一個地址，是不能把它發(fā)到網(wǎng)絡接口的。：組播地址，注意它和廣播的區(qū)別。從到55都是這樣的地址。特指所有主機，特指所有路由器。這樣的地址多用于一些特定的程序以及多媒體程序。如果你的主機開啟了IRDP(Internet路由發(fā)現(xiàn)協(xié)議，使用組播功能)功能，那么你的主機路由表中應該有這樣一條路由。169.254.x.x：如果你的主機使用了DHCP功能自動獲得一個IP地址，那么當你的DHCP服務器發(fā)生故障，或響應時間太長而超出了一個系統(tǒng)規(guī)定的時間，Windows系統(tǒng)會為你分配這樣一個地址。如果發(fā)現(xiàn)主機IP地址是此類地址，很不幸，十有八九是網(wǎng)絡不能正常運行了。10.x.x.x、172.16。x。x～172.31.x.x、192.168.x.x：私有地址，這些地址被大量用于企業(yè)內部網(wǎng)絡中。一些寬帶路由器，也往往使用作為缺省地址。私有網(wǎng)絡由于不與外部互連，因而可能使用隨意的IP地址。保留這樣的地址供其使用是為了避免以后接入公網(wǎng)時引起地址混亂。使用私有地址的私有網(wǎng)絡在接入Internet時，要使用地址翻譯(NAT)，將私有地址翻譯成公用合法地址。在Internet上，這類地址是不能出現(xiàn)的。IP子網(wǎng) 創(chuàng)建子網(wǎng)的目的擴展網(wǎng)絡。如果網(wǎng)絡達到了物理限制，可以通過創(chuàng)建多個子網(wǎng)，這些子網(wǎng)只分配一個網(wǎng)絡地址。以連接更多的主機。減少競爭。同一網(wǎng)絡中主機越多，需要帶寬越大，創(chuàng)建子網(wǎng)減少每個網(wǎng)絡的主機數(shù)，競爭也減少了。減少CPU使用負載。網(wǎng)絡中主機越多，產(chǎn)生的的廣播幀越多。每個主機必須聽網(wǎng)絡廣播，以便決定是否接收還是丟棄，這占用主機CPU。隔離網(wǎng)絡問題。通過將大網(wǎng)隔離成小網(wǎng)，限制子網(wǎng)對其它網(wǎng)絡的影響。有利于網(wǎng)絡管理員對網(wǎng)絡的管理。提高網(wǎng)絡的安全性。子網(wǎng)掩碼

子網(wǎng)掩碼是一位特殊的32位二進制數(shù)，它的格式與IP地址一樣，但它用二進制中的1來代替IP地址的網(wǎng)絡地址部分，用0來替代IP地址中的主機地址部分。 標準A類網(wǎng)的子網(wǎng)掩碼為： 標準B類網(wǎng)的子網(wǎng)掩碼為： 標準C類網(wǎng)的子網(wǎng)掩碼為：子網(wǎng)掩碼的作用 子網(wǎng)掩碼與IP地址結合使用，可以區(qū)分出一個IP地址的網(wǎng)絡地址和主機地址。例如：有一個C類地址為：3，其子網(wǎng)掩碼為：。則它的網(wǎng)絡號和主機號可按如下方法得到：將IP地址3轉換為二進制： 1100011001將子網(wǎng)掩碼轉換為二進制：

11111111111111111111111100000000將兩個二進制數(shù)邏輯與（AND）運算后得出的結果即為網(wǎng)絡部分：

1100011001

AND 11111111111111111111111100000000 1100011001結果為，即網(wǎng)絡地址為。將子網(wǎng)掩碼取反再與IP地址邏輯與（AND）后得到的結果即為主機部分： 1100011001

AND 0000000000 0000000000結果為3，即主機地址為13。無類別域間路由（CIDR） CIDR

是

Classless

Inter

Domain

Routing

的縮寫,

意為無類別的域間路由。它的思想是:

把許多C類地址合起來作B類地址分配。具體地說,

整個世界被分為四個地區(qū),

每個地區(qū)分配一段連續(xù)的C類地址： 歐洲:

~55 北美:

~

55 中南美:

~55 亞太:

~

55 通過這種方式，每個地區(qū)擁有約3200萬的地址，另有約3200萬的地址

~

55保留備用。這種分配方式的優(yōu)點是很明顯的:

地址的分配是連續(xù)的；CIDR使路徑表的設置更容易。 比如,在歐洲以外的一個路由器收到一個地址為: 194.xx.yy.zz

或

195.xx.yy.zz 的數(shù)據(jù)包(packet),

可以直接把它丟到通往歐洲的路徑上而不用考慮xx,yy,zz的值是什么.

當然,當這個packet到達歐洲后,

還要進行更詳細的路由,

比如根據(jù)子網(wǎng)模把它發(fā)送到某個子網(wǎng)。CIDR的表示形式 聲明一個CIDR網(wǎng)絡的格式是地址/y。 這里地址是IPv4或IPv6網(wǎng)絡地址而/y是網(wǎng)絡掩碼的二進制位數(shù)。如果省略/y，那么掩碼部分用舊的有類的網(wǎng)絡編號系統(tǒng)進行計算，但要求輸入的數(shù)據(jù)已經(jīng)包括了確定掩碼的所需的所有字節(jié)。如果聲明了一個網(wǎng)絡地址，它的指定掩碼的右邊置了位，那么算錯誤。 例如，28/25表示IP地址中前25位是網(wǎng)絡地址，后7位是主機地址；/17表示IP地址的前17位是網(wǎng)絡地址，后15位是主機地址。如何劃分子網(wǎng) 子網(wǎng)劃分技術，用來高效地將一個大型網(wǎng)絡劃分成多個子網(wǎng)，子網(wǎng)劃分是將單播IP地址中主機地址的高幾位分配給組織網(wǎng)絡的子網(wǎng)，作為子網(wǎng)地址。 最初定義IPv4的子網(wǎng)劃分是為了更好地利用A類和B類IPv4公用網(wǎng)絡ID的主機位。請考慮下圖示例網(wǎng)絡。 此B類網(wǎng)絡的ID，我們將它劃分成三個子網(wǎng)。網(wǎng)絡號這樣處理：

將兩字節(jié)主機地址的高字節(jié)的高4位用于新的子網(wǎng)地址，三個子網(wǎng)的子網(wǎng)掩碼都是。每個子網(wǎng)的二進制編號分別是0001、0010、0100和1000，三個網(wǎng)絡的網(wǎng)絡號分別為：/20，/20，/20和/20 當然，由于將主機地址的高4為用于了網(wǎng)絡地址，每個子網(wǎng)的主機地址就由原來的16位變成了12位。Internet路由器/16劃分子網(wǎng)后的網(wǎng)絡地址，12位劃分子網(wǎng)后的主機地址網(wǎng)絡地址子網(wǎng)主機地址8位8位4位4位8位IP地址設計中要考慮的事是，申請IP地址；申請域名；是否將網(wǎng)絡連入Internet；要不要進行子網(wǎng)劃分，如果要，需將主機地址的前多少位作為子網(wǎng)地址；確定各子網(wǎng)的掩碼；是采用靜態(tài)IP地址分配還是動態(tài)IP地址分配；是否采用NAT技術；是否采用無類域間路由。網(wǎng)絡地址轉換NAT在RFC1918中，IETF為內部專用網(wǎng)預留了三段地址作為私有地址。－55－55－55網(wǎng)絡地址轉換技術(NAT) 網(wǎng)絡地址轉換（NAT）是用于將一個地址域（如上面的私有Intranet地址）映射到另一個地址域（如：Internet）的標準方法。NAT允許一個機構內部使用私有Intranet地址，而與外部因特網(wǎng)交流數(shù)據(jù)時，用一個IP地址透明地連接到因特網(wǎng)中，機構內部主機無需擁有注冊的IP地址。聚合 在如下圖所示拓撲結構中，無論是/24還是/24鏈接的失敗，都會使路由器H重新計算路由表。那么怎樣設計才能使核心層路由器H不受接入層鏈接變化的影響呢？聚合是有效的方法，在分布層路由器G上把/24、/24、/24和/24聚合成一條路徑/22，并把這一 聚合路徑只傳遞給路由器H。 通過聚合，路由器H的路由表 就可以不再包括路由器G左側 的子網(wǎng)細節(jié)，路由器G左側的 個別鏈接的改變將不再影響路 由器H的路由表。 另外，聚合減少了路由器H的路由表的路徑數(shù)量，較小的路由表意味著較少的內存、較低的處理請求和更快的收斂過程。 聚合要遵循這樣一條規(guī)則：只提供網(wǎng)絡中必要的拓撲信息，而把不必要的信息隱藏起來。例如，核心層路由器將接入層的每一組目的地聚合為簡短的前綴路由，并將之傳送給核心層，不再向核心層傳送大量的目的地信息。IPv6地址表示方法：第六版本的IP地址用8段冒號分十六進制數(shù)表示，共128位。例如： FEDC:BA98:7654:4210:FEDC:BA98:7654:3210

2001:0:0:0:0:8:800:201C:417A

每一組數(shù)值前面的0可以省略。如0008寫成8。壓縮形式：IPv6地址會有包含長串0位的地址?？墒褂谩?:”符號簡化多個0位的16位組。“::”符號在一個地址中只能出現(xiàn)一次。該符號也可以用來壓縮地址中前部和尾部的0。舉例如下：

FF01:0:0:0:0:0:0:101可壓縮成FF01::101(多點傳送地址)

0:0:0:0:0:0:0:1可壓縮成::1(回送地址)

0:0:0:0:0:0:0:0可壓縮成::(未指定地址)IPv4和IPv6混合使用：表達方式為X:X:X:X:X:X:D.D.D.D，其中X是地址中6個高階16位段的十六進制值，D是地址中4個低階8位字段的十進制值（按照IPv4標準表示）。例如：下面兩種嵌入IPv4地址的IPv6地址：

0:0:0:0:0:0:9嵌入IPv4地址的IPv6地址，可縮寫成

::9 0:0:0:0:0:FFFF:0映射IPv4地址的IPv6地址，可縮寫成

::FFFF.0地址類型：IPv6中地址有三種類型：單點傳送（Unicast）：一個單接口標識符，送往單點傳送地址的包將被傳送到該地址所標識的接口上。多點傳送（Multicast）：一組接口（一般不屬于不同節(jié)點）的標識符。送往一個任意點傳送地址的包將被傳送到該地址所標識的接口之一（根據(jù)路由協(xié)議中的距離的計算方法而確定的“最近”的一個）。任意點傳送（Anycast）：一組接口（一般不屬于不同節(jié)點）的標識符。送往一個多點傳送地址的包將被傳送到該地址標識的所有接口上。 也有文獻稱之為單播、組播、泛播地址。IPv6中不再有象IPv4中那樣的廣播（broadcast）地址，它的功能由多點傳送地址來實現(xiàn)。對于IPv6的子網(wǎng)掩碼，它位數(shù)放在掩碼地址后面的，以/分隔，格式如下：12AB:0000:0000:CD30:0000:0000:0000:0000/60

12AB:0000:0000:CD30::/60意思是地址的前60位用作地址的網(wǎng)絡號部分。下面是一個IPv6地址和子網(wǎng)掩碼地址：11AC:0:0:CA20:123:4567:89AB:CDEF

11AC:0:0:CA20::/60常見的IPv6地址和前綴：::/128：即0:0:0:0:0:0:0:0，尚未獲得正式地址的主機的源地址，不能作為目的地址，不能分配給真實的網(wǎng)絡接口。::1/128：即0:0:0:0:0:0:0:1，回環(huán)地址，相當于ipv4中的localhost（）。2001::/16：全球可聚合地址，由IANA按地域和ISP進行分配，是最常用的IPv6地址2002::/16：6to4地址，用于6to4自動構造隧道技術的地址3ffe::/16：早期開始的IPv66bone試驗網(wǎng)地址注：上面后三個屬于單播地址，是目前互聯(lián)網(wǎng)上廣泛應用的IPv6地址fe80::/10：本地鏈路地址，用于單一鏈路，適用于自動配置、鄰機發(fā)現(xiàn)等，路由器不轉發(fā)ff00::/8：組播地址::A.B.C.D：其中<A.B.C.D>代表ipv4地址，兼容IPv4的IPv6地址。自動將IPv6包以隧道方式在IPv4網(wǎng)絡中傳送的IPv4/IPv6節(jié)點將使用這些地址::FFFF:A.B.C.D：其中<A.B.C.D>代表ipv4地址，例::ffff:0，是IPv4映射過來的IPv6地址，它是在不支持IPv6的網(wǎng)上用于表示IPv4節(jié)點VLAN劃分VLAN是標準局域網(wǎng)的仿真，它允許數(shù)據(jù)的傳輸不會受到網(wǎng)絡的傳統(tǒng)物理結構限制。一個VLAN是屬于同一個管理組的局域網(wǎng)設備。成員資格是由配置參數(shù)和管理策略決定的，而不是物理位置。一個VLAN中的成員可以相互通信，就好象連在同一條電纜和集線器上一樣，而實際上它們屬于不同的物理局域網(wǎng)段上。反之，兩個屬于不同VLAN的成員之間通信就好象它們屬于不同的局域網(wǎng)段上，即使他們連接到同一臺交換機上。因為VLAN是基于邏輯連接而不是物理連接的。因此管理、配置起來非常靈活。用VLAN劃分邏輯邊界站點1站點2站點3廣域網(wǎng)虛擬工作組1虛擬工作組2VLAN邊界VLAN的設計 同一交換機上不同VLAN要共享交換機、要爭奪交換機的CPU和背板資源。VLAN對交換機和鏈路的共享可分為兩種類型：廣播共享，即VLAN劃定的廣播域貫穿共享設備和鏈路(如左下圖示)，換句話說廣播共享是二層的共享。路由共享，也可以說是三層共享，在這種類型的共享中，不同VLAN的數(shù)據(jù)包是以路由(三層交換)方式穿過交換機的(如右下圖中虛線所示)，通過的包基本上不含有一般的廣播包(DHCP和特殊協(xié)議的廣播除外)。VLAN在“廣播共享”網(wǎng)絡資源時的相互影響要比“路由共享”時更大。 從上左圖可清楚地看出所共享的網(wǎng)絡資源(交換機和鏈路)。在正常情況下，VLAN間的這種影響不被我們所注意，原因是共享的交換機有足夠的交換能力，鏈路不是很擁擠，但在某一VLAN出現(xiàn)異常時(如感染病毒或出現(xiàn)環(huán)路)情況就不同了。這時被感染VLAN(如VLAN1)中的大量數(shù)據(jù)幀將擠占該VLAN所及的所有交換機的CPU資源、背板帶寬，并長時間占用物理鏈路，其他VLAN(如VLAN2)中的設備盡管“看”不到出現(xiàn)異常VLAN中的數(shù)據(jù)幀，但其所依賴的網(wǎng)絡資源已被用盡，因此，VLAN1所覆蓋的網(wǎng)絡區(qū)域就會出現(xiàn)異常。如果故障點發(fā)生在核心交換機附近，那么整個網(wǎng)絡就有可能癱瘓。 完全消除VLAN間的鏈路和設備的共享在理論上是不可能的。我們所做的努力只能盡量減少相互影響的范圍、降低相互影響的程度。設計中我們應堅持如下原則：盡量避免在同一交換機中配置多個VLAN;不同物理位置上的交換機上的端口盡量不要劃歸到同一個VLAN。 前者較好理解，也容易實現(xiàn)。如何做到VLAN不跨越核心交換機和拓撲結構的“層”。從上左圖可以看出，由于VLAN1的范圍跨越了整個網(wǎng)絡，如果把所有VLAN的覆蓋面都限定在核心交換機的同一側，這些資源被共享的程度就減輕了。按此想法上右圖較為適宜。 繼續(xù)分析上右圖中所存在的問題不難看出，盡管核心交換機被共享的形式改變了，但仍存在受到各VLAN出現(xiàn)異常情況的影響。要想避免核心交換機受到各個VLAN的影響、減小影響范圍、避免全網(wǎng)癱瘓的發(fā)生，很容易想到在核心交換機和劃有VLAN的交換機之間加上一層，以隔離核心交換機和各個VLAN。這時就形成了目前較為流行的三層拓撲結構的網(wǎng)絡，如下圖所示。VLAN分類 基于交換式以太網(wǎng)實現(xiàn)VLAN主要有三種途徑：基于端口的VLAN;基于MAC地址的VLAN;基于IP地址的VLAN?；诙丝诘腣LAN 基于端口的VLAN就是將交換機中的若干個端口定義為一個VLAN，同一個VLAN中的站點具有相同的網(wǎng)絡地址，不同VLAN之間進行通信需要通過路由器。這種VLAN不足之處是靈活性不好，例如當一個網(wǎng)絡站點從一個端口移動到另外一個新的端口時，如果新端口與舊端口不屬于同一個VLAN，則用戶必須對該站點重新進行網(wǎng)絡地址配置，否則，該站點將無法進行網(wǎng)絡通信。PVLAN技術 PVLAN（PrivateVLAN）將所有服務器置于同一個子網(wǎng)中，服務器只能與自己的默認網(wǎng)關通信。在PrivateVLAN的概念中，交換機端口有三種類型：Isolatedport：屬于IsolatedPVLAN。只能和Promiscuousport通信，Isolatedport彼此不能交換流量；Communityport,：屬于CommunityPVLAN。不僅可以和Promiscuousport通信，而且彼此也可以交換流量；Promiscuousport：與路由器或第3層交換機接口相連,它收到的流量可以發(fā)往Isolatedport和Communityport。 代表一個PrivateVLAN整體的是PrimaryVLAN，前面兩類VLAN需要和它綁定在一起，同時它還包括Promiscuousport。PVLAN的應用對于保證接入網(wǎng)絡的數(shù)據(jù)通信的安全性是非常有效的，用戶只需與自己的默認網(wǎng)關連接。一個PVLAN不需要多個VLAN和IP子網(wǎng)就提供了具備第2層數(shù)據(jù)通信安全性的連接。所有的用戶都接入PVLAN，從而實現(xiàn)了所有用戶與默認網(wǎng)關的連接，而與PVLAN內的其他用戶沒有任何訪問。PVLAN功能可以保證同一個VLAN中的各個端口相互之間不能通信，但可以穿過Trunk端口。這樣即使同一VLAN中的用戶，相互之間也不會受到廣播的影響?；贛AC地址的VLAN 在基于MAC地址的VLAN中，交換機對站點的MAC地址和交換機端口進行跟蹤，在新站點入網(wǎng)時根據(jù)需要將其劃歸至某一個VLAN，而無論該站點在網(wǎng)絡中怎樣移動，由于其MAC地址保持不變，因此用戶不需要進行網(wǎng)絡地址的重新配置。這種VLAN技術的不足之處是在站點入網(wǎng)時，需要對交換機進行比較復雜的手工配置，以確定該站點屬于哪一個VLAN?；贗P地址的VLAN 在基于IP地址的VLAN中，新站點在入網(wǎng)時無需進行太多配置，交換機則根據(jù)各站點網(wǎng)絡地址自動將其劃分成不同的VLAN。 三種VLAN的實現(xiàn)技術，基于IP地址的VLAN智能化程度最高，實現(xiàn)起來也最復雜。評價 VLAN作為一種新一代的網(wǎng)絡技術，它的出現(xiàn)為解決網(wǎng)絡站點的靈活配置和網(wǎng)絡安全性等問題提供了良好的手段。VLAN目前還有許多問題有待解決，例如技術標準的統(tǒng)一問題、VLAN管理的開銷問題和VALN配置的自動化問題等等。然而，隨著技術的不斷進步，上述問題將逐步加以解決。4.7網(wǎng)絡安全的考慮 給網(wǎng)絡提供安全措施，需要和網(wǎng)絡性能進行權衡。要想是網(wǎng)絡免受來自內部和外部的威脅，必須建立盡可能多的防范措施，因為沒有哪種措施能保百分之百安全；但安全措施越多，網(wǎng)絡運行性能就越低。 這種權衡的考慮就以為著，應該選擇幾種關鍵的安全措施在保持對用戶的相對透明的同時又能對網(wǎng)絡實施最大限度的安全防范。在網(wǎng)絡邏輯設計階段，要考慮實施技術和保證網(wǎng)絡性能的架構問。學習目標了解各種安全措施防范的攻擊類型；了解安全防范的關鍵層；解釋在用戶鑒定方面固有的問題。關鍵知識點如果選定的安全系統(tǒng)變成影響性能的障礙的話，用戶可能回另尋方案來回避它。

影響網(wǎng)絡安全的威脅網(wǎng)絡竊聽：讓入侵者探測內部網(wǎng)上傳遞的主機信息并獲得控制權或實施數(shù)據(jù)篡改。完整性破壞：完整性破壞是指傳輸、或存儲的數(shù)據(jù)存在著被篡改的可能。地址欺騙：地址欺騙技術的簡單原理就是偽造一個被主機信任的IP地址，從而獲得主機的信任而造成攻擊。拒絕服務攻擊：以消耗服務器端資源為目標，通過發(fā)出超過服務器處理能力的請求，造成服務器響應阻塞，從而使正常的用戶請求得不到響應，實現(xiàn)攻擊目的。計算機病毒：計算機病毒是一種破壞計算機系統(tǒng)的惡意程序，它潛伏在計算機中，感染并破壞其它計算機系統(tǒng)。系統(tǒng)漏洞：軟件設計中的Bug，容易被Hacker用來實施攻擊。

安全解決方案的分層原則網(wǎng)絡安全設計應遵循的原則

信息網(wǎng)絡是—個分層拓撲結構，因此網(wǎng)絡安全防護也需采用分層防范保護措施。一個完整的網(wǎng)絡安全解決方案應該覆蓋網(wǎng)絡的各個層次，并且與安全管理相結合?？紤]到技術難度及經(jīng)費等因素，設計時應遵循如下思想：大幅度地提高系統(tǒng)的安全性和保密性；保護網(wǎng)絡原有的性能特點，對網(wǎng)絡用戶具有很好的透明性；易于操作維護，便于自動化管理，不增加太多的附加操作；盡量不影響原網(wǎng)絡拓撲結構和網(wǎng)絡性能，便于系統(tǒng)升級和功能擴展；應有較好的性能價格比，一次性投入，可以長期使用；安全技術具有合法性，便于安全管理單位和密碼管理單位的檢查和監(jiān)督。 根據(jù)Internet網(wǎng)絡的特點，對Internet/Intranet安全實施分級管理的解決方案，常常將對它的控制點分為三級實施安全方案：第—級：中心級網(wǎng)絡，主要實現(xiàn)內外網(wǎng)隔離、內外網(wǎng)用戶的訪問控制、內部網(wǎng)的監(jiān)控、內部網(wǎng)傳輸數(shù)據(jù)的備份與稽查。第二級：部門級，主要實現(xiàn)內部網(wǎng)與外部網(wǎng)用戶的訪問控制、統(tǒng)計部門間的訪問控制、部門網(wǎng)內部的安全審計。第三級：終端／個人用戶級，實現(xiàn)部門內部主機的訪問控制、數(shù)據(jù)庫及終端信息資源的安全保護。 分層保護主要包括：安全措施：行政法律手段、管理制度(人員審查、工作流程、維護保障制度等)以及專業(yè)措施(識別技術、存取控制、密碼、容錯、防病毒、采用高安全產(chǎn)品等)。用戶的安全意識：通過培訓，將安全措施融合與日常工作中。物理保護：物理安全是整個網(wǎng)絡系統(tǒng)安全的前提。網(wǎng)絡工程設計時，必須考慮人和網(wǎng)絡設備不受電、火災和雷擊的侵害；考慮照明電線、動力電線、接地線路、通信線路、暖氣管道及冷熱空氣管道之間的距離；考慮布線系統(tǒng)和絕緣線、裸體線以及接地與焊接的安全；必須建設防雷、放靜電系統(tǒng)。網(wǎng)絡結構保護：設置防火墻和隔離帶，將公開服務器（WEB、DNS、EMAIL等）和外網(wǎng)及內部其它業(yè)務網(wǎng)絡進行必要的隔離；同時對外網(wǎng)的服務請求加以過濾，只允許正常通信的數(shù)據(jù)包到達內部主機。軟硬件平臺的安全：選用可靠的操作系統(tǒng)和硬件平臺，并對NOS進行安全配置。加強系統(tǒng)登錄過程的認證，嚴格限制登錄者的操作權限在能夠完成自己工作的最小范圍內。數(shù)據(jù)加密保護：關鍵信息必須以密文的形式傳輸和存儲。加強病毒清理、入侵檢測工作。

安全措施 總體安全措施必須確定需要保護的系統(tǒng)和數(shù)據(jù)，制訂各個系統(tǒng)響應的保護措施。安全措施也是用戶培訓和終端用戶可接受措施的基礎，它有助于防止組織內人員簡單的錯誤或蓄意地破壞而造成系統(tǒng)的破壞或安全事故。

用戶安全意識培訓 總體安全措施最重要也最容易流于形式的任務之一，就是用戶安全意識培訓。最好的安全措施沒有落實與用戶的日常行為，也達不到安全保障的效果。使用者守則 在經(jīng)過培訓之后，每個員工應當簽署一項協(xié)議，以合理利用LAN和Internet資源，包括如下事項：密碼使用和保密守則；電子郵件的使用守則，包括敏感信息的傳遞規(guī)則；下載與病毒的防范措施；可訪問的商務網(wǎng)站和公用信息；知識產(chǎn)權規(guī)則；對員工上網(wǎng)的監(jiān)控。監(jiān)控 為保證安全措施得以貫徹，必須建立某種自動監(jiān)控機制。收集有關訪問信息和通信信息。 防火墻可以生成用戶或黑客們的訪問日志清單。 如果公司禁止利用公司資源進行購物或電子游戲，就要由禁止程序來制止它。執(zhí)行 用戶的培訓計劃的一個重要組成部分是是人力資源政策，它規(guī)定了員工如果違反規(guī)定，將受到的懲罰細則。

物理安全措施 物理安全風險通常包括對機密部分的訪問。有大量的措施都可以用來提高網(wǎng)絡的物理安全性能：為用戶提供安全的物理環(huán)境；不再使用的文檔的銷毀方法；重要數(shù)據(jù)的保管存儲方法；

加密技術 可使用的加密手段很多。常用的加密方法有對稱密鑰加密算法，非對稱密鑰加密算法?？刹捎玫某Ｒ姷募用苁侄稳缦拢篊lipper芯片：一種具有80位專用密碼算法的芯片。美國法律執(zhí)行機構的關鍵部門采用此種算法。是DES的一種替代方案。Kerberos驗證系統(tǒng)：對用戶訪問和數(shù)據(jù)庫提供驗證支持。安全套接層（SSL）：在電子商務安全方面，SSL一成為一種主導技術。它被認為具有標準的網(wǎng)站服務器特色。PGP加密算法：使用與個人用戶的公共密鑰加密算法。

用戶認證 決定用戶是否可以訪問系統(tǒng)，首先就得“驗明正身”。以判斷當前的用戶有沒有資格進入系統(tǒng)使用機密數(shù)據(jù)。用戶認證系統(tǒng)依賴如下因素：用戶名及其密碼；用戶擁有的只能卡或數(shù)字證明書；物理屬性或者生物信息（指紋、視網(wǎng)膜掃描）

訪問控制 用戶認證只是決定你能不能進入機密系統(tǒng)，但這還不夠。機密信息分不同的密級，越是機密的信息，應該知道的人就必須越少。 我們通過訪問控制來決定一個合法用戶能夠使用哪些信息。只有經(jīng)過授權的個人，才能進行他職權范圍內相應密級的機密信息的訪問、修改、刪除。任何網(wǎng)絡系統(tǒng)都有一套管理細則來決定某個人是否可以訪問機密信息。 遠程訪問控制一般用防火墻或VPN（虛擬專用網(wǎng)）機制實現(xiàn)。虛擬專用網(wǎng)技術(VPN) 利用公共網(wǎng)絡來構建私用專用網(wǎng)絡稱為虛擬專用網(wǎng)，(VPN，VirtualPrivateNetwork)。出差員工隧道專線辦事處合作伙伴總部異地辦事處分支機構虛擬專用網(wǎng)的類型 VPN分為以下三種類型：企業(yè)內部虛擬網(wǎng)(IntranetVPN)：IntranetVPN通過公用網(wǎng)絡將企業(yè)各個分布點互連，是傳統(tǒng)的專線網(wǎng)絡或其它企業(yè)網(wǎng)的拓寬或替代。IntranetVPN也叫內部網(wǎng)VPN遠程訪問虛擬專用網(wǎng)(accessVPN)：遠程訪問虛擬專用網(wǎng)利用了二層網(wǎng)絡隧道技術在公用網(wǎng)絡上建立VPN隧道連接來傳輸私有網(wǎng)絡數(shù)據(jù)。它分兩種類型：一是用戶發(fā)起的(client-initiated)的VPN連接，它由遠程用戶通過服務提供點（POP）撥入Internet建立；另一個是接入服務器發(fā)起的(NAS-initiated)VPN連接，即用戶通過網(wǎng)絡隧道協(xié)議與企業(yè)網(wǎng)建立一條隧道連接。這種VPN適用于公司員工頻繁出差流動辦公的情況。accessVPN也叫撥號VPN。企業(yè)擴展虛擬專用網(wǎng)(ExtranetVPN)：這是利用VPN將企業(yè)網(wǎng)延伸至合作伙伴與客戶的網(wǎng)絡或主機。其主要目標是保證數(shù)據(jù)在傳輸過程中不被修改，保護網(wǎng)絡資源不受外界威脅。安全的外連虛擬專用網(wǎng)要求公司在同遠程伙伴、客戶經(jīng)因特網(wǎng)連接時，必須經(jīng)過虛擬專用網(wǎng)服務器進行，它可以為遠程客戶指定訪問權限。這種VPN適用于企業(yè)與合作伙伴或客戶之間的信息交流。ExtranetVPN也叫外聯(lián)網(wǎng)VPN。 這三種類型的VPN分別與傳統(tǒng)的遠程訪問網(wǎng)絡、企業(yè)內部的Intranet以及企業(yè)網(wǎng)和相關合作伙伴的企業(yè)網(wǎng)所構成的extranet相對應。VPN的工作原理 虛擬專用網(wǎng)是一種連接，從表面上看它類似一種專用連接，實際上是在共享網(wǎng)絡中使用隧道技術實現(xiàn)的。數(shù)據(jù)包在公共網(wǎng)絡的專用“隧道”中傳輸，專用“隧道”用于建立點到點的連接。 隧道的啟動和終止可由許多網(wǎng)絡設備或軟件來實現(xiàn)。一個通道可由ISP的網(wǎng)絡接入路由器的虛擬專用網(wǎng)網(wǎng)關終止或由隧道終結器或企業(yè)的交換機終止。 此外，通常還需要一臺安全服務器，用于加密數(shù)據(jù)認證和授權。VPN的工作流程 VPN需要在跨越公用網(wǎng)絡的兩個網(wǎng)絡之間建立虛擬的專用隧道。在隧道被初始化后，傳送過程中，VPN數(shù)據(jù)的保密性和我完整性通過加密技術來保證。一般的工作流程見下圖示。訪問控制報文加密報文鑒別IP封裝發(fā)送者接收者LAN1LAN2公用網(wǎng)絡訪問控制報文加密報文鑒別IP封裝源VPN設備宿VPN設備明文明文IP安全隧道4.8防火墻的考慮 防火墻是一種在內部網(wǎng)和外部網(wǎng)之間實施的安全防范措施，可以認為它是一種訪問機制，用于確定哪些內部服務可以提供給外部服務器，哪些外部服務器可以訪問內部網(wǎng)資源。 防火墻是一種包含硬件產(chǎn)品和軟件產(chǎn)品的安全解決方案。首先需要設計者關注的問題是：防火墻的防范立場；機構的總體安全措施；防火墻的經(jīng)濟成本；防火墻的構成和組建模塊。學習目標了解防火墻的構成；熟悉機構的安全措施如何影響防火墻設計；熟悉代理服務器的工作原理。關鍵知識點 防火墻可以使機構的網(wǎng)絡免受來自外部的威脅，但不能防范來自內部的攻擊。防火墻的防范立場防火墻防范策略有兩大類型：沒有特別允許的任何內容都禁止訪問；沒有特別指定的內容允許訪問。 我們強烈推薦第一種防范類型。它保證了真正的系統(tǒng)安全。其基本原則是安全重于使用方便。機構的安全策略 防火墻的安全策略是機構全面安全策略的一部分。防火墻防范策略應體現(xiàn)機構打算如何運行這個系統(tǒng)的策略：防火墻是為了明確地拒絕除對于連接到網(wǎng)絡至關重的服務之外的所有服務，或者說，防火墻是為以非威脅方式對“魚貫而入”的訪問（“queuing”

access）提供一種計量和審計的方法。 為此，需要在機構內有效地實施安全計劃，確定哪些數(shù)據(jù)需要保護。安全策略必須建立在安全事實細則分析、風險評估和商務需求分析的基礎之上。如何機構沒有全面周密的安全策略，再嚴密的防火墻都會使整個專用網(wǎng)絡受到攻擊。需要何種程度的監(jiān)視、冗余度以及控制水平？ 解決了機構的安全策略和防火墻的防范策略之后，可以列出一個必須監(jiān)測什么傳輸、必須允許什么傳輸流通行以及應當拒絕什么傳輸?shù)那鍐?。換句話說，開始時先列出總體防范的目標，然后把需求分析與風險評估結合在一起，挑出與風險始終對立的需求，加入到計劃完成的工作的清單中。防火墻成本以實施解決方案的費用多少，來量化提出的解決方案十分重要。一個完整的防火墻的高端產(chǎn)品可能價值10萬美元，而低端產(chǎn)品可能是免費的。像在Cisco或類似的路由器上做一些絕妙的配置，這類免費選擇不會花你一分錢，只需要工作人員幾杯茶的工夫；而從頭建立一個高端防火墻可能需要幾個人工月。系統(tǒng)管理開銷也是需要考慮的問題。建立自行開發(fā)的防火墻固然很好，但重要的是使建立的防火墻不需要費用高昂的不斷干預。換句話說，在評估防火墻時，重要的是不僅要以防火墻目前的費用來評估它，而且要考慮到像支持服務這類后續(xù)費用。防火墻的組成 防火墻總體防范策略確定后，現(xiàn)在該決定防火墻的組建了。通常，防火墻有以下一個或幾個模塊構成：包過濾防火墻；代理服務器（應用級防火墻）；電路級網(wǎng)關。構件模塊：包過濾路由器 對所接收的每個數(shù)據(jù)包做允許通過還是拒絕通過的決定。路由器審查每個數(shù)據(jù)包以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于可以提供給IP轉發(fā)過程的包頭信息。包頭信息中包括IP源地址、IP目標端Ｆ地址、內裝協(xié)（ICP、UDP、ICMP、或IPTunnel）、TCP/UDP目標端口、ICMP消息類型、包的進入接口和出接口如果有匹配并且規(guī)則允許該數(shù)據(jù)包，那么該數(shù)據(jù)包就會按照路由表中的信息被轉發(fā)。如果匹配并且規(guī)則拒絕該數(shù)據(jù)包，那么該數(shù)據(jù)包就會被丟棄。如果沒有匹配規(guī)則，用戶配置的缺省參數(shù)會決定是轉發(fā)還是丟棄數(shù)據(jù)包。包過濾路由器型防火墻Internet包過濾路由器專用內網(wǎng)周邊安全防護設施按服務要求的過濾 包過濾規(guī)則按具體的服務要求決定允許或者禁止數(shù)據(jù)包通過。通常的過濾規(guī)則包括：只對特定的內部主機清單允許引入Telnet會話；只對特定內部主機允許引入FTP會話；允許所有對外的FTP會話；禁止所有來自特殊指定外部網(wǎng)絡的數(shù)據(jù)進入。與數(shù)據(jù)無關的過濾 有些攻擊與服務類型無關，很難用前一種過濾來防范。這些攻擊包括：源地址假冒內網(wǎng)IP地址進行攻擊：防范方法是檢查所有到達路由器外部接口數(shù)據(jù)包，如果它的源地址是內網(wǎng)地址，通通丟棄。源端路由攻擊：源端路由是制數(shù)據(jù)包按照指定的IP路由到目的地。攻擊者利用源端路由，可能饒國安全檢查，沿著另外的路由進入內網(wǎng)。防范的方法是，將含有指定路由路徑的數(shù)據(jù)包丟棄不轉發(fā)。微片段攻擊：利用IP碎片生成極小的片段，強行在TCP報頭中假如一個獨立的數(shù)據(jù)包片段，從而規(guī)避了用戶定義的過濾規(guī)則，而通過防火墻。其防范的方法是，將協(xié)議類型為TCP以及IP片段偏移量等于1的數(shù)據(jù)包丟棄。包過濾路由器的好處成本低。因為數(shù)據(jù)過濾功能通過路由器軟件實現(xiàn)，不需購置防火墻硬件；簡單，易于操作維護；如果只定義少量過濾規(guī)則，對網(wǎng)絡性能幾乎沒有影響。包過濾路由器的局限難以找到檢驗配置好的過濾規(guī)則的測試工具，從而留下潛在的危險；如果定義的過濾規(guī)則很大，則網(wǎng)絡傳輸性能大大降低；不能控制流量。構件模塊：應用級網(wǎng)關（代理服務器） 應用級網(wǎng)關防火墻安裝在網(wǎng)絡應用層上，它是一種比包過濾防火墻更加安全的防火墻技術。一般工作在傳輸層以上的應用層。

代理服務器在源系統(tǒng)和目標系統(tǒng)之間充當“二傳手”。源與目標不直接連接，而是通過代理服務器中轉。 它一般針對某一特定的應用，由客戶端的代理客戶(ProxyClient)和防火墻端的代理服務器(ProxyServer)兩部分組成。 代理客戶通常是將原應用客戶進行改造，使其與防火墻，而不是與真正的應用服務器交互。而代理服務器則代替用戶向應用服務器提交請求，并將結果返回給用戶。應用級網(wǎng)關防火墻內網(wǎng)應用網(wǎng)關應用層物理層Internet……

堡壘主機 堡壘主機（bastionhost）：應用級網(wǎng)關通常又叫“堡壘主機”，它可以抵御來自外部網(wǎng)絡進攻的計算機。它處于內部網(wǎng)絡之外，作為進入內部網(wǎng)絡的一個檢查點。它有如下的設計特點：其安全依賴OS本身的安全；堡壘主機中只有有限的代理程序，如Telnet、DNS、和用戶認證系統(tǒng)；堡壘主機要求再一次認證才能允許用戶訪問代理服務；每個應用都有自己的代理程序，如果應用不支持或沒有安裝代理程序，即使是認證用戶也不能訪問；每項代理服務只允許訪問指定的主機；每個代理維護詳盡的審查信息；每個代理都是一個為網(wǎng)絡安全特別設計的小型程序；堡壘主機上的每個代理相互獨立；代理程序除了允許讀取初始配置文件外，不允許訪問磁盤；每個代理程序作為堡壘機上在專用和安全目錄中的非特權用戶運行。應用級防火墻的優(yōu)點在于，用戶和服務器之間不會有直接的IP報文交換，所有的數(shù)據(jù)均由防火墻中轉，并提供鑒別、日志與審計的功能，增強了安全性。并且，代理服務器在應用層作用，控制度可以達到特定用戶和特定服務的請求，服務粒度比較細致。應用級防火墻的缺點在于，效率低下。對于特定的服務需要特制代理程序。當防火墻不能工作時，對應的代理服務也就不能使用。構件模塊：電路級網(wǎng)關 電路級網(wǎng)關(CircuitGateway)用來監(jiān)控受信任的客戶或服務器與不受信任的主機間的TCP握手信息，這樣來決定該會話是否合法，電路級網(wǎng)關是在OSI模型中會話層上來過濾數(shù)據(jù)包。 另外，電路級網(wǎng)關還提供一個重要的安全功能：網(wǎng)絡地址轉移(NAT)，將所有內網(wǎng)IP地址映射到一個“安全”的IP地址，這個地址是由防火墻使用的。有兩種方法來實現(xiàn)這種類型的網(wǎng)關：一種是由一臺主機充當篩選路由器，另一臺充當應用級防火墻。另一種是在第一個防火墻主機和第二個之間建立安全的連接。這種結構的好處是當一次攻擊發(fā)生時能提供容錯功能。 電路級網(wǎng)關象電纜線一樣，在內部和外部連接之間來回復制數(shù)據(jù)。電路級網(wǎng)關內部主機外部主機電路級網(wǎng)關inininoutoutout外部連接內部連接非軍事化區(qū)(DMZ) DMZ（demilitarizedzone）位于企業(yè)內部網(wǎng)絡和外部網(wǎng)絡之間的小網(wǎng)絡區(qū)域，它是為內部網(wǎng)絡放置一些必須公開的服務器設施而劃分的，如企業(yè)Web服務器、FTP服務器和論壇等。另一方面，通過這樣一個DMZ區(qū)域，更加有效地保護了內部網(wǎng)絡，因為這種網(wǎng)絡部署，比起一般的防火墻方案，對攻擊者來說又多了一道關卡，就是這個DMZ區(qū)域。DMZ區(qū)示意圖DMZ區(qū)Internet專用內網(wǎng)堡壘主機外部路由器內部路由器幾種典型的防火墻設計屏蔽路由器模式：在原有的路由器上進行包過濾部署的。具備這種包過濾技術的路由器也稱為“屏蔽路由器”。 這種防火墻早期非常流行，主要是因為很多公司已經(jīng)具備了路由器，但沒有專門的防火墻設備推出。原有路由器設備的公司只需要進行一些另外的包過濾配置即可實現(xiàn)防火墻安全策略。這種防火墻方案拓撲結構如下圖所示。屏蔽路由器防火墻Internet專用內網(wǎng)屏蔽路由器雙宿主機模式 它不是用真正的硬件防火墻來實現(xiàn)的，而是通過在一臺稱為”堡壘主機“的計算機上安裝有配置網(wǎng)絡控制軟件來實現(xiàn)的。所謂”雙宿主機“，就是指堡壘主機同時連接著一個內、外部網(wǎng)絡，擔當起全部的網(wǎng)絡安全維護責任。網(wǎng)絡拓撲結構如下圖所示。 在堡壘主機上安裝的服務最少，只需要安裝一些與包過濾功能有關的軟件，滿足一般的網(wǎng)絡安全防護即可。它所擁有權限最少，這樣就可避免一旦黑客攻占了堡壘主機后，迅速控制內部網(wǎng)絡的不良后果。因為控制權限低，黑客雖然攻陷了堡壘主機，但仍不能擁有什么過高的網(wǎng)絡訪問權限，也就不至于給內部網(wǎng)絡造成太大危害。雙宿主機型防火墻Internet專用內網(wǎng)堡壘主機子網(wǎng)屏蔽模式 這種方式是在主機過濾方式中再增加一層過濾子網(wǎng)的安全機制，使內網(wǎng)和外網(wǎng)之間有兩層隔斷。這種方式能減輕外部攻擊者擊破堡壘機，給內網(wǎng)帶來的壓力。在最簡單的子網(wǎng)過濾結構中，堡壘機位于過濾子網(wǎng)上，使用兩臺過濾路由器，一臺位于過濾子網(wǎng)與內網(wǎng)之間，另一臺位于過濾子網(wǎng)與外網(wǎng)之間。這樣，整個防火墻就不會因一點被攻破而整個癱瘓。過濾子網(wǎng)限制了外網(wǎng)用戶在內網(wǎng)中的漫游能力，也限制了內網(wǎng)用戶在外網(wǎng)中的漫游能力。就象相隔地形復雜的開闊緩沖地帶，因而稱為緩沖帶或非軍事區(qū)（Demilitarizedzone,DMZ）。所以，這種防火墻有稱為DMZ方式。專用內網(wǎng)子網(wǎng)屏蔽防火墻防火墻Internet堡壘主機外部路由器內部路由器子網(wǎng)屏蔽防火墻評價 子網(wǎng)屏蔽防火墻有如下重要的優(yōu)點：入侵者必須攻破三個獨立的設備，即外部路由器、堡壘主機、內部路由器，才能進入內部網(wǎng)；因為外部路由器只將DMZ網(wǎng)絡通知給Internet，外網(wǎng)上的黑客是看不見內網(wǎng)的存在的；因為內部路由器