大型企業(yè)網(wǎng)絡(luò)設(shè)計實現(xiàn)分析

./大型企業(yè)網(wǎng)間網(wǎng)設(shè)計與實現(xiàn)引言：在網(wǎng)絡(luò)技術(shù)不斷發(fā)展的今天,大型企業(yè)網(wǎng)絡(luò)建設(shè)面臨多種網(wǎng)絡(luò)技術(shù)的選擇。選擇怎樣的網(wǎng)絡(luò)技術(shù)來滿足企業(yè)未來發(fā)展的需要,是擺在各大企業(yè)面前的一個課題。雖然網(wǎng)絡(luò)技術(shù)在飛速發(fā)展,但企業(yè)網(wǎng)絡(luò)建設(shè)有其內(nèi)在規(guī)律,把握這些內(nèi)在的規(guī)律,將有助于指導(dǎo)大型企業(yè)的網(wǎng)絡(luò)建設(shè)。本文定義的大型企業(yè)網(wǎng)絡(luò)是跨地域和有層次的網(wǎng)絡(luò)。企業(yè)的網(wǎng)絡(luò)層次和行政結(jié)構(gòu)相對應(yīng),網(wǎng)絡(luò)層次在二層或三層以上,網(wǎng)絡(luò)連接可能是跨地市、跨省的,也可能是全國范圍的。例如,銀行、國稅系統(tǒng),民航、鐵路、政府辦公系統(tǒng)等都是跨地域,多層次系統(tǒng),在網(wǎng)絡(luò)建設(shè)上都有其共同的特點。從總體上說,企業(yè)網(wǎng)絡(luò)涉及到系統(tǒng)軟件平臺、硬件平臺,布線系統(tǒng),局域網(wǎng)建設(shè),廣域網(wǎng)建設(shè),應(yīng)用軟件〔包括業(yè)務(wù)應(yīng)用和WWW服務(wù)等、網(wǎng)絡(luò)安全,網(wǎng)絡(luò)管理等方方面面。本文從大型企業(yè)網(wǎng)絡(luò)設(shè)計的角度介紹大型企業(yè)網(wǎng)絡(luò)的設(shè)計和實現(xiàn)方法。企業(yè)網(wǎng)絡(luò)建設(shè)過程的幾個階段企業(yè)網(wǎng)絡(luò)建設(shè)總體上分為設(shè)計階段、實施階段和網(wǎng)絡(luò)管理維護(hù)階段。從網(wǎng)絡(luò)設(shè)計的角度來講,分為應(yīng)用驅(qū)動法和基礎(chǔ)設(shè)施法。應(yīng)用驅(qū)動法是采用根據(jù)應(yīng)用需求,從工作組網(wǎng)絡(luò)、樓宇網(wǎng)絡(luò)、園區(qū)網(wǎng)絡(luò)到廣域網(wǎng)絡(luò)的由近到遠(yuǎn)的設(shè)計方法?；A(chǔ)設(shè)施法是根據(jù)基本的網(wǎng)絡(luò)規(guī)劃,采用從廣域網(wǎng)絡(luò)、園區(qū)網(wǎng)絡(luò)到樓宇網(wǎng)絡(luò)的由遠(yuǎn)及近的設(shè)計方法。企業(yè)網(wǎng)絡(luò)建設(shè)過程分為如下幾個階段：1、需求分析階段。通常大型企業(yè)在網(wǎng)絡(luò)建設(shè)中已有部分的網(wǎng)絡(luò)環(huán)境,這些網(wǎng)絡(luò)環(huán)境能滿足當(dāng)時網(wǎng)絡(luò)應(yīng)用的需要。但網(wǎng)絡(luò)可能是一個個孤立的小島,只能在局部范圍內(nèi)實現(xiàn)網(wǎng)絡(luò)應(yīng)用及資源共享,企業(yè)網(wǎng)絡(luò)沒有形成一個整體。企業(yè)網(wǎng)絡(luò)規(guī)劃時,要考慮網(wǎng)絡(luò)建設(shè)的整體性,既要保護(hù)原有的投資,又要在網(wǎng)絡(luò)技術(shù)的選型上有前瞻性。網(wǎng)絡(luò)需求分析主要是根據(jù)企業(yè)業(yè)務(wù)發(fā)展需求和企業(yè)信息技術(shù)應(yīng)用需求,提出企業(yè)網(wǎng)絡(luò)建設(shè)的總體目標(biāo)和關(guān)鍵技術(shù)指標(biāo)。企業(yè)網(wǎng)絡(luò)需求分析包含如下幾方面：網(wǎng)絡(luò)標(biāo)準(zhǔn)和協(xié)議要求。全網(wǎng)絡(luò)信息點分布需求,包括局域網(wǎng)布線結(jié)構(gòu)要求,廣域網(wǎng)傳輸介質(zhì)要求。網(wǎng)絡(luò)層次劃分及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)要求。結(jié)合應(yīng)用的網(wǎng)絡(luò)設(shè)備處理能力和帶寬要求。局域網(wǎng)和廣域網(wǎng)要求。Internet接入,外網(wǎng)接入,防火墻技術(shù)要求。企業(yè)網(wǎng)絡(luò)應(yīng)用要求。網(wǎng)絡(luò)設(shè)備選型要求。網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)技術(shù)的關(guān)系〔如多媒體、IP話音和網(wǎng)絡(luò)結(jié)構(gòu)的要求。網(wǎng)絡(luò)可靠性、擴(kuò)展性和安全性要求。網(wǎng)絡(luò)管理要求。2、網(wǎng)絡(luò)規(guī)劃階段。企業(yè)網(wǎng)絡(luò)規(guī)劃是從企業(yè)網(wǎng)絡(luò)需求分析到企業(yè)網(wǎng)邏輯設(shè)計中間必經(jīng)階段,主要根據(jù)企業(yè)網(wǎng)絡(luò)需求分析得出分離的、外在的技術(shù)指標(biāo)〔如用戶數(shù)、桌面微機(jī)的站點數(shù)、最大響應(yīng)時間要求等等。運用企業(yè)網(wǎng)絡(luò)本身內(nèi)在的規(guī)律和關(guān)聯(lián)算法,得出整個企業(yè)網(wǎng)絡(luò)內(nèi)在的技術(shù)框架和技術(shù)指標(biāo)〔如桌面帶寬要求、主干帶寬要求、服務(wù)器處理性能要求等等。3、網(wǎng)絡(luò)邏輯設(shè)計階段。網(wǎng)絡(luò)邏輯設(shè)計階段主要根據(jù)企業(yè)網(wǎng)絡(luò)需求分析結(jié)果,根據(jù)企業(yè)網(wǎng)絡(luò)規(guī)劃的內(nèi)在技術(shù)指標(biāo),按照計算機(jī)網(wǎng)絡(luò)設(shè)計的經(jīng)驗和方法,在現(xiàn)有的可行的網(wǎng)絡(luò)技術(shù)范圍內(nèi),設(shè)計企業(yè)網(wǎng)絡(luò)的連接結(jié)構(gòu)、協(xié)議結(jié)構(gòu)以及每個網(wǎng)絡(luò)的功能結(jié)構(gòu)。企業(yè)網(wǎng)絡(luò)設(shè)計主要確定網(wǎng)絡(luò)的連接結(jié)構(gòu),網(wǎng)絡(luò)節(jié)點的類型、功能和容量。網(wǎng)絡(luò)傳輸鏈路的類型和容量,以及網(wǎng)絡(luò)安全控制結(jié)構(gòu)和網(wǎng)絡(luò)管理結(jié)構(gòu)。網(wǎng)絡(luò)物理設(shè)計階段。網(wǎng)絡(luò)物理設(shè)計主要確定實施網(wǎng)絡(luò)邏輯設(shè)計方案的廠家產(chǎn)品的類型、數(shù)量和具體配置,以及與網(wǎng)絡(luò)邏輯設(shè)計方案中連接結(jié)構(gòu)相吻合的物理拓?fù)浣Y(jié)構(gòu)。網(wǎng)絡(luò)實施階段。網(wǎng)絡(luò)實施階段主要是采購所需的硬件設(shè)備和軟件系統(tǒng),以及安裝、調(diào)試和測試網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)維護(hù)和擴(kuò)展階段。在企業(yè)網(wǎng)絡(luò)通過測試之后,網(wǎng)絡(luò)就進(jìn)入了運行、維護(hù)和擴(kuò)展階段。企業(yè)網(wǎng)絡(luò)的運行維護(hù)階段的主要工作是對企業(yè)網(wǎng)絡(luò)的日常維護(hù)和管理,包括網(wǎng)絡(luò)配置管理、性能管理、故障管理、安全管理和用戶帳戶管理,對企業(yè)網(wǎng)絡(luò)的預(yù)防性測試和容量的規(guī)劃。企業(yè)網(wǎng)絡(luò)層次結(jié)構(gòu)分析及其模塊化設(shè)計思想大型企業(yè)網(wǎng)絡(luò)層次結(jié)構(gòu)與企業(yè)的行政結(jié)構(gòu)相對應(yīng),一般至少有二層,也有三層和四層結(jié)構(gòu)。多于四層的結(jié)構(gòu)作為遠(yuǎn)程訪問服務(wù)層看待。我們從網(wǎng)絡(luò)的層次劃分上分析探討多層網(wǎng)絡(luò)模塊化設(shè)計思想。大多數(shù)企業(yè)網(wǎng)絡(luò)都可以被層次性劃分為三個邏輯服務(wù)單元<Backbone>、區(qū)域網(wǎng)<Distribute>和訪問網(wǎng)<Local－access>。骨干網(wǎng)的主要目的在于完成分布于不同區(qū)域或邏輯組的路由最優(yōu)化通信；區(qū)域網(wǎng)主要是完成網(wǎng)絡(luò)流量的安全控制機(jī)制,以使骨干網(wǎng)和訪問網(wǎng)環(huán)境隔離開來；訪問網(wǎng)主要是支持客戶機(jī)對服務(wù)器的訪問。2.1模塊化網(wǎng)絡(luò)設(shè)計方法模塊化網(wǎng)絡(luò)設(shè)計方法的目標(biāo)在于把一個大型的網(wǎng)絡(luò)元素劃分成一個個互連的網(wǎng)絡(luò)層次。實質(zhì)上,模塊化方式把網(wǎng)絡(luò)劃分為一個個子網(wǎng),因此網(wǎng)絡(luò)節(jié)點和流量變得更容易管理。層次化的設(shè)計方法同時也使網(wǎng)絡(luò)的擴(kuò)展更容易處理,因為新的子網(wǎng)模塊和新的網(wǎng)絡(luò)技術(shù)能被更容易集成進(jìn)整個系統(tǒng)中,而不破壞已存在的骨干網(wǎng)。層次設(shè)計方法可為網(wǎng)絡(luò)帶來以下三個優(yōu)點：1、層次性網(wǎng)絡(luò)的可擴(kuò)展性可擴(kuò)展性是在包交換網(wǎng)絡(luò)連接中使用層次性設(shè)計的主要優(yōu)點。層次性網(wǎng)絡(luò)具有更多的可擴(kuò)展性是因為它可以讓你用模塊化方式擴(kuò)展網(wǎng)絡(luò),而不會遇到非層次性網(wǎng)絡(luò)或平面性網(wǎng)絡(luò)很快所遇上的問題。但是,層次性網(wǎng)絡(luò)同時也提出了一定的問題需要仔細(xì)考慮。這些問題包括：虛電路的費用,層次設(shè)計〔尤其是網(wǎng)狀拓?fù)洹车膬?nèi)在復(fù)雜聯(lián)系,以及需要額外的路由器接口來劃分網(wǎng)絡(luò)層次。為了獲得層次性網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點,你必須使你的網(wǎng)絡(luò)層次結(jié)構(gòu)充分與你所在地區(qū)的拓?fù)湎喾?。設(shè)計取決于你所使用的包交換模式,以及你所想要的容錯能力、網(wǎng)絡(luò)性能和網(wǎng)絡(luò)造價。2、層次性網(wǎng)絡(luò)的可管理性使網(wǎng)絡(luò)簡單化－－通過把網(wǎng)絡(luò)元素劃分為小單元、層次化,降低了整個網(wǎng)絡(luò)的復(fù)雜性。這種網(wǎng)絡(luò)單元的劃分使故障診斷變得清晰和簡單了,同時還可以提供防止廣播風(fēng)暴、路由循環(huán)等其他潛在問題的內(nèi)在保護(hù)機(jī)制。使設(shè)計更靈活－－層次化設(shè)計使得骨干網(wǎng)和區(qū)域網(wǎng)之間的包交換形式更具靈活性。很多網(wǎng)絡(luò)都得益于使用混合方式來構(gòu)造整個網(wǎng)絡(luò)架構(gòu)。在大多數(shù)情況下,可在骨干網(wǎng)部分使用專線而在區(qū)域網(wǎng)或本地網(wǎng)接入部分使用包交換服務(wù)。使路由器管理更容易－－由于層次化網(wǎng)絡(luò)結(jié)構(gòu)使網(wǎng)絡(luò)分層,相對縮小的網(wǎng)絡(luò)區(qū)域使路由器的鄰居或?qū)Φ韧ㄐ哦藬?shù)量減少,因此路由器的配置變得簡單化。3、優(yōu)化廣播和多點廣播的流量控制在包交換網(wǎng)絡(luò)中,減少路由器之間廣播信息量的最直接方法就是使用更少數(shù)目的路由器組,通過層次化模塊設(shè)計可以較好地控制網(wǎng)絡(luò)中的廣播。通常在包交換網(wǎng)絡(luò)中最常見的路由器之間的廣播信息流量是路由更新信息,如果在一個區(qū)域或一個層次中有太多的路由器,那么就會因為廣播的原因而造成網(wǎng)絡(luò)瓶頸。層次化的網(wǎng)絡(luò)結(jié)構(gòu)使你可以對區(qū)域網(wǎng)向骨干網(wǎng)的廣播作出限制。根據(jù)這種層次化網(wǎng)絡(luò)設(shè)計思想的原則,我們可以把企業(yè)Intranet網(wǎng)絡(luò)工程的整個網(wǎng)絡(luò)體系結(jié)構(gòu)分為以下三層或四層結(jié)構(gòu)二級或三級網(wǎng)絡(luò)主干：即由企業(yè)中心節(jié)點與二級節(jié)點組成一級主干網(wǎng)絡(luò),由二級節(jié)點和三級節(jié)點構(gòu)成二級網(wǎng)絡(luò),三級節(jié)點和四級節(jié)點構(gòu)成三級網(wǎng)絡(luò)。如下圖2.1所示：圖2.1評估一級主干網(wǎng)絡(luò)的服務(wù)如圖2.1所示的一級主干網(wǎng)絡(luò)所能提供的功能特性包括如下幾個部分：主干網(wǎng)絡(luò)帶寬管理：為了優(yōu)化主干網(wǎng)絡(luò)的操作,路由器提供幾種性能調(diào)節(jié)方法,如優(yōu)先權(quán)隊列管理和數(shù)據(jù)壓縮,動態(tài)路由協(xié)議權(quán)值定義,動態(tài)路由協(xié)議發(fā)包時間間隔優(yōu)化,協(xié)議本地確認(rèn)等優(yōu)化和節(jié)省廣域網(wǎng)帶寬。數(shù)據(jù)傳輸路徑優(yōu)化路由器最主要的特點之一是在邏輯網(wǎng)絡(luò)環(huán)境內(nèi),自動選擇最優(yōu)路徑傳輸信息。路由器依靠路由協(xié)議〔靜態(tài)和各類動態(tài)路由協(xié)議完成最優(yōu)路徑查找工作。路由協(xié)議是在網(wǎng)絡(luò)第三層上操作,并且各類網(wǎng)絡(luò)協(xié)議有相應(yīng)路由協(xié)議支持。如,在IP網(wǎng)絡(luò)環(huán)境中,Cisco公司的所有路由器支持所有路由協(xié)議,如OSPFRouting,RIPRouting,IGRPRouting,E-IGRPRouting,BGPRouting,EGPRoutingandHELLOPacket。路由收斂問題：路徑選擇涉及的相關(guān)問題是路由收斂。當(dāng)網(wǎng)絡(luò)發(fā)生變化時,如主干網(wǎng)上路由器關(guān)機(jī)或故障,或通信線路的故障,或主干網(wǎng)上路由器配置變化等,都會引起路由表的改變,這種改變過程引起網(wǎng)絡(luò)不能正常工作。因此,選擇收斂速度快的動態(tài)路由協(xié)議和避免路由慢收斂問題是網(wǎng)絡(luò)設(shè)計的關(guān)鍵問題之一。優(yōu)化傳輸隊列主干網(wǎng)上信息傳輸可以分成不同的優(yōu)先級別,將重要的信息定為高優(yōu)先級別,優(yōu)先傳輸。路由器可以對諸如不同協(xié)議類型,不同傳輸層協(xié)議,不同的應(yīng)用類型設(shè)定不同的傳輸優(yōu)先級。對IP協(xié)議來講,在網(wǎng)絡(luò)應(yīng)用層,可對諸如TELNET,FTP,SMTP,WWW等應(yīng)用進(jìn)行傳輸隊列優(yōu)先權(quán)的設(shè)定,以確保重要數(shù)據(jù)優(yōu)先傳輸。對傳輸隊列的優(yōu)化是在各類協(xié)議及子協(xié)議基礎(chǔ)上進(jìn)行,如下圖所示：負(fù)載均衡路由器支持多鏈路的負(fù)載均衡,最多可支持四條負(fù)載均衡鏈路,每條鏈路的負(fù)載閥值可以調(diào)整。路徑備份一級主干網(wǎng)上傳輸?shù)亩际侵匾畔?一級主干網(wǎng)的路徑備份就特別重要。考慮到投資成本,不要求主干網(wǎng)上所有路由器都雙鏈路連接,而只考慮主干網(wǎng)上各中間節(jié)點到中心節(jié)點的雙鏈路連接,各中間節(jié)點之間可以無鏈路連接。各中間節(jié)點之間的通信都跨越全國中心的路由器實現(xiàn)。因此,全國中心路由器必須具備強(qiáng)大的處理能力。2.3評估二級主干網(wǎng)絡(luò)的服務(wù)如圖2.1所示,我們對二級主干網(wǎng)絡(luò)作如下評估。區(qū)域和服務(wù)過濾信息流的過濾是建立在區(qū)域的劃分和服務(wù)類型上。來自區(qū)域內(nèi)部的信息不必要跨越廣域網(wǎng)一級主干網(wǎng)絡(luò),這樣可以減緩一級主干網(wǎng)絡(luò)的通信壓力。同時,在區(qū)域內(nèi)部可以針對網(wǎng)絡(luò)服務(wù)類型〔如TELNET,FTP,SMTP等和網(wǎng)段地址作訪問控制,這樣可確保重要數(shù)據(jù)的訪問安全性。在路由器中,設(shè)置access-list,路由器判定滿足條件的信息包通過網(wǎng)絡(luò)?；诓呗缘男畔⒎职l(fā)基于策略的信息分發(fā)的目的是確保傳輸性能和信息的完整性。在網(wǎng)間網(wǎng)中,這種策略可以定義成一個規(guī)則或一組規(guī)則,以此來控制跨越廣域主干的端對端的數(shù)據(jù)傳輸。例如一個部門,它可能有三種網(wǎng)絡(luò)協(xié)議要跨越主干,但只希望攜帶重要應(yīng)用的一種特殊的協(xié)議快速通過主干。另一部門,由于主干網(wǎng)絡(luò)過于繁忙,此時只允許e-mail跨越主干等。路由協(xié)議的一致性我們建議一級和二級廣域網(wǎng)主干動態(tài)路由協(xié)議應(yīng)是一致的,并采用開放的路由協(xié)議如ISIS或BGP4或OSPF。采用那種動態(tài)路由協(xié)議,要根據(jù)企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)和部門間的隸屬關(guān)系確定。介質(zhì)轉(zhuǎn)換介質(zhì)轉(zhuǎn)換技術(shù)是將不同網(wǎng)絡(luò)鏈路層上的幀的格式轉(zhuǎn)換為另一網(wǎng)絡(luò)幀的格式,例如以態(tài)網(wǎng)與令牌環(huán)網(wǎng)的轉(zhuǎn)換。由于區(qū)域內(nèi)網(wǎng)絡(luò)環(huán)境較為復(fù)雜,廠家必須有相應(yīng)的設(shè)備支持。2.4評估接入訪問服務(wù)接入訪問服務(wù)包含如下內(nèi)容：網(wǎng)絡(luò)增值地址網(wǎng)絡(luò)增值地址〔helpernetworkaddress是用來解決一些特殊的信息傳輸,使得原來是廣播方式的傳輸變?yōu)槎帱c傳輸。這樣,可以減少網(wǎng)絡(luò)的廣播壓力和路由器的負(fù)載。例如,Novell客戶端原來通過廣播方式查找它的服務(wù)器,而如果服務(wù)器不在本網(wǎng)段,廣播信息必須通過路由器。使用helperaddress后,就允許在一個網(wǎng)絡(luò)上的節(jié)點直接向另一個網(wǎng)絡(luò)上的服務(wù)器發(fā)送信息,而不用經(jīng)過路由器。網(wǎng)段局部訪問服務(wù)的基本要求是將網(wǎng)絡(luò)分成若干網(wǎng)段,每個網(wǎng)段實施各自的信息傳輸策略,通過路由器從而實現(xiàn)各網(wǎng)段廣播信息的相互隔離,減少主干網(wǎng)絡(luò)的擁塞。確定網(wǎng)段,是通過子網(wǎng)掩碼實現(xiàn)的。靈活的網(wǎng)段劃分,通過路由器access-list網(wǎng)段地址過濾,可以實現(xiàn)靈活的網(wǎng)絡(luò)安全訪問控制策略。廣播和多點廣播如上所說,路由器能隔離網(wǎng)段的廣播信息。然而,如果需要,路由器可以中繼廣播。通過路由器中繼某些廣播以達(dá)到一定的目的。IP的多點廣播是從一個站點向指定的多個目的站點發(fā)布信息,而不是向每個站點發(fā)布信息。IP的多點廣播為視頻會議,股票交易等提供出色的服務(wù)。參與多點廣播的計算機(jī),必須運行IGMP協(xié)議。路由器配置IGMP<InternetGroupManagementProtocol>后,可以實現(xiàn)位于不同網(wǎng)段內(nèi)的計算機(jī)的多點廣播。安全策略如果所有信息被所有員工隨意訪問得到,那么安全侵犯和不正當(dāng)?shù)奈募L問就不可避免。為了避免這些問題,路由器要做如下工作：防止局部網(wǎng)絡(luò)信息不正當(dāng)?shù)剡M(jìn)入網(wǎng)絡(luò)主干防止網(wǎng)絡(luò)主干的信息不正當(dāng)進(jìn)入部門或工作組實現(xiàn)這兩大功能的手段是路由的包過濾。一方面,包過濾能控制未受權(quán)的用戶訪問,增加安全性,同時能減少網(wǎng)絡(luò)的擁塞,減少網(wǎng)絡(luò)問題的發(fā)生。路由器有一整套信息過濾策略。如對地址的訪問過濾,對協(xié)議的訪問過濾,對應(yīng)用層的訪問過濾。具體地說,在以太網(wǎng)環(huán)境下,有一臺主機(jī)能Telnet到Internet的某一臺主機(jī),不允許Internet上該主機(jī)Telnet到這臺主機(jī)上,但可以作SMTP的訪問。只允許一個網(wǎng)段通過OSPF動態(tài)路由協(xié)議,其它網(wǎng)段OSPF被禁止。限止某些主機(jī)訪問某些網(wǎng)段。限止某些網(wǎng)段訪問另一些網(wǎng)段。上述訪問控制手段是常用的方法。另外還有遠(yuǎn)程訪問控制,通常采用認(rèn)證機(jī)制。對于MODEM訪問方式的站點,可采用TACACS<TerminalAccessControllerAccessControlSystem>認(rèn)證機(jī)制。對電話撥號站點,運行ppp協(xié)議,可采用chap或pap認(rèn)證機(jī)制。路由器查找主機(jī)必須知道其網(wǎng)關(guān)地址才能通過路由器訪問別的網(wǎng)段。可以用人工或動態(tài)路由的方式配置主機(jī)的網(wǎng)關(guān)地址。主機(jī)至少有一個路由器局域網(wǎng)端口地址作為其網(wǎng)關(guān)地址。但是,當(dāng)有多個路由器時,主機(jī)如何確定其網(wǎng)關(guān)地址呢?一般來說,主機(jī)選擇那臺能到達(dá)目的站點最佳路徑的路由器作為其網(wǎng)關(guān),這種情況涉及路由器的查找。支持這種查找的相關(guān)協(xié)議有以下幾種：EndSystem-to-IntermediateSystem<ES-IS>協(xié)議ICMPRoutingDiscoveryProtocol<IRDP>協(xié)議ProxyAddressResolutionProtocol<ARP>協(xié)議OSPF和RIP協(xié)議通過對上述網(wǎng)絡(luò)分層服務(wù)的分析,我們得出結(jié)論：對于大型企業(yè)Intranet網(wǎng)絡(luò)工程來說,要想建設(shè)成為一個全國性的、網(wǎng)絡(luò)性能優(yōu)良的、網(wǎng)絡(luò)控制極為靈活的、具有很強(qiáng)擴(kuò)展能力和升級能力的大型企業(yè)綜合性網(wǎng)絡(luò),那么在網(wǎng)絡(luò)設(shè)計中就必須采用層次化的網(wǎng)絡(luò)設(shè)計思想。企業(yè)網(wǎng)間網(wǎng)路由協(xié)議我們對企業(yè)網(wǎng)絡(luò)的層次結(jié)構(gòu)及相應(yīng)的網(wǎng)絡(luò)服務(wù)作了系統(tǒng)的分析,各層次的網(wǎng)絡(luò)服務(wù)是建立在網(wǎng)絡(luò)協(xié)議第三層動態(tài)路由或靜態(tài)路由基礎(chǔ)上。由于各類網(wǎng)絡(luò)動態(tài)路由協(xié)議都存在算法上的缺陷,沒有一種全優(yōu)的網(wǎng)絡(luò)動態(tài)路由協(xié)議能完全滿足企業(yè)網(wǎng)絡(luò)運行的需要。因此,網(wǎng)絡(luò)動態(tài)路由的選擇必須和整體網(wǎng)絡(luò)結(jié)構(gòu)相協(xié)調(diào),同時和企業(yè)網(wǎng)絡(luò)的運行方式、運營成本相協(xié)調(diào)。為此,我們簡單介紹幾種路由協(xié)議：3.1、RIP〔RouteInformationProtocol路由信息協(xié)議RIP路由協(xié)議與UNIX和TCP/IP緊緊地聯(lián)系在一起的。在互連網(wǎng)中RIP是最常用的路由協(xié)議。作為廣泛使用的一種距離矢量〔DistanceVector路由協(xié)議,RIP路由協(xié)議有如下特點：基于距離矢量路由協(xié)議路由器根據(jù)距離選擇使用路由。當(dāng)計算的那條路徑為最短路徑時,路由器確定這條路徑為最佳路徑并維持這條最佳路徑。當(dāng)新的路由比原路由更佳時,由新路由將替代老的路由。具有學(xué)習(xí)功能路由器定時向每個鄰近網(wǎng)絡(luò)廣播報文,通過路由器間相互學(xué)習(xí),不斷更新自己的路由。僅以跳數(shù)〔hopcount作為距離度量在路由器的路由決策中,要考慮的因素可以很多〔例如：帶寬、延遲、可靠性、路由等,如果參加決策的因素越多,路由策略的最佳路由更加趨于合理,對網(wǎng)絡(luò)的描述更加精確。所以RIP路由協(xié)議僅將跳數(shù)作為距離度量有缺陷的。最大站點數(shù)為15RIP協(xié)議允許最大站點數(shù)為15,任何超過15個站點的目的地均認(rèn)為不可達(dá)到的。RIP最大站數(shù)大大限制了大型網(wǎng)間網(wǎng)環(huán)境的應(yīng)用。每30秒向相鄰路由器廣播一次路由信息RIP路由協(xié)議采用了不少計數(shù)器,路由新計數(shù)器通常被設(shè)計為30秒。保證每個路由器在每30秒向其鄰接路由器發(fā)送一次路由表。3.2、OSPF〔OpenShortestPathFirst開放式最短路徑優(yōu)先協(xié)議80年代中期,由于RIP路由器協(xié)議越來越不適應(yīng)大規(guī)模異構(gòu)網(wǎng)絡(luò)互連。OSPF作為IETF〔網(wǎng)間工程任務(wù)組織為IP網(wǎng)絡(luò)開發(fā)的一種IGP〔內(nèi)部網(wǎng)關(guān)協(xié)議協(xié)議,克服了RIP路由協(xié)議的缺點。其采用SPF〔ShortestPathFirst算法,基于鏈路狀態(tài)路由協(xié)議。OSPF路由協(xié)議有如下特點：需要每臺路由器向同域〔Area的所有其它路由器發(fā)送鏈路狀態(tài)廣播〔LSA信息。路由器收集有關(guān)的鏈路狀態(tài)信息,并根據(jù)SPF的算法計算出到每個結(jié)點的最短路徑。同域內(nèi)的路由器共享相同的拓?fù)湫畔?。路由選擇的分級與RIP路由協(xié)議不同,OSPF可在一個域〔Area內(nèi)進(jìn)行路由選擇。域的最大集合是自治域〔AS。AS是共享同一路由選擇策略的網(wǎng)絡(luò)集合。一個自治域AS可分為多個域〔Area,域是由相鄰的網(wǎng)絡(luò)和連接的主機(jī)組成,如圖所示。根據(jù)源點和目的地是否在同一域內(nèi),OSPF有兩種類型的路由選擇方式：當(dāng)源和目的在同一區(qū)域時,采用域內(nèi)路由選擇。當(dāng)源和目的不在同區(qū)域時,采用域間路由選擇。由于有域的概念,OSPF路由協(xié)議比那些不將AS分區(qū)的情況下所需傳送的路由信息少得多。支持VLSM〔VanableLengthSubnetMask可變長度子網(wǎng)掩碼技術(shù)。由于每個發(fā)布的目的地均包括IP子網(wǎng)的掩碼,從而可利用子網(wǎng)掩碼將IP網(wǎng)絡(luò)分為不同大小的子網(wǎng),這種方法可節(jié)省IP地址空間并給網(wǎng)絡(luò)管理員管理帶來靈活性。對帶寬和CPU等資源消耗這個SPF算法占用了CPU的資源,一般來說與運算量與網(wǎng)內(nèi)鏈路數(shù)目與路由器數(shù)目乘積成正比。另外當(dāng)SPF路由器通電,初始的鏈路狀態(tài)包泛濫〔Floodting占用網(wǎng)絡(luò)帶寬,這些情況都是在網(wǎng)絡(luò)設(shè)計中要考慮的。3.3、EIGRP〔enchansedInteriorGatewayRoutingProtocolEIGRP即為CISCO公司所提出的IGRP路由協(xié)議的增強(qiáng)版。它是一種混合型的路由選擇協(xié)議,它結(jié)合了鏈路狀態(tài)協(xié)議及距離矢量協(xié)議的優(yōu)點,包括以下特點：快速聚合－－－增強(qiáng)IGRP使用擴(kuò)散更新算法〔DUALDiffusingUpdateAlgorithm來快速達(dá)到聚合,運行EIGRP的路由器存儲有相鄰路由器的路由選擇表,因此能快速地適應(yīng)路由的變化,若不存在合適的路由,EIGRP查詢其相鄰的路由器,以發(fā)現(xiàn)一個不同的路由,這種查詢傳播一直持續(xù)到新的路由發(fā)現(xiàn)為止。變長子網(wǎng)掩碼－－－EIGRP包括全支持變長子網(wǎng)掩碼,子網(wǎng)路由自動匯集到一個網(wǎng)絡(luò)號邊境上,除此之外,EIGRP能被配置集中在任意接口的任意位邊界上。部分、界限修改－－－EIGRP路由并不周期性地作修改,只是當(dāng)某路由的計量發(fā)生變化時,才發(fā)送部分更新。自動更新的信息是自動定義其邊界,所以只有那些需要這類信息的路由器才修改其路由表,因為EIGRP具有這兩種功能,因此它比IGRP、OSPF消耗的頻寬更少。支持多種網(wǎng)絡(luò)層－－－EIGRP支持Appletalk、IP以及NOVELL等多種協(xié)議。3.4、靜態(tài)路由協(xié)議以上我們介紹的均為動態(tài)路由協(xié)議,當(dāng)然還有另外一種路由協(xié)議便是靜態(tài)路由協(xié)議。靜態(tài)路由協(xié)議是由網(wǎng)絡(luò)系統(tǒng)管理員人工定制的,需要制出一切所需的路由。其優(yōu)點為不會產(chǎn)生動態(tài)路由所特有的路由信息廣播或路由信息、更新或HELLO從而不會在系統(tǒng)資源：內(nèi)存、CPU、帶寬等方面制成額外的開銷。但其缺點為會給系統(tǒng)管理員的管理工作帶來大量的工作,其次,由于路由是靜態(tài)的因而不能適應(yīng)網(wǎng)絡(luò)的動態(tài)變化的需要而改變路由。在上面的介紹中我們可以看出,作為一個大型綜合企業(yè)網(wǎng)的內(nèi)部路由協(xié)議可供選擇的實際上有靜態(tài)路由、IGRP、EIGRP和OSPF。而當(dāng)我們進(jìn)行一個大型網(wǎng)絡(luò)IP協(xié)議的選取時,需考慮以下兩方面的因素：網(wǎng)絡(luò)路由聚合時間網(wǎng)絡(luò)路由環(huán)境的可維護(hù)性3.5動態(tài)路由比較EIGRP是Cisco公司開發(fā)的一種先進(jìn)的路由技術(shù),它結(jié)合了距離向量<DV>協(xié)議和連接狀態(tài)<LS>協(xié)議的優(yōu)點,采用了擴(kuò)散更新算法〔DUALDiffusingUpdateAlgorithm達(dá)到網(wǎng)絡(luò)的快速收斂。EIGRP支持層次化和平面網(wǎng)絡(luò)結(jié)構(gòu),支持VLSM網(wǎng)絡(luò)地址分配,可在任意位邊界對直接相連的網(wǎng)絡(luò)進(jìn)行路徑疊合,只有在網(wǎng)絡(luò)變化時EIGRP才發(fā)送路由表更新信息,因此廣域網(wǎng)帶寬浪費很少,DUALDiffusingUpdate算法使其具有最好的收斂性,EIGRP采用五維參數(shù)來決定最佳路徑：帶寬、時延、可靠性、線路負(fù)載和最大數(shù)據(jù)包尺寸,不同帶寬的平行線路可負(fù)載平衡地同時傳輸數(shù)據(jù)。它采用模塊化軟件支持IP、IPX和AT協(xié)議。OSPF是標(biāo)準(zhǔn)的、基于最短路徑優(yōu)先<連接狀態(tài)>的、能快速收斂的路由協(xié)議,它只適用于IP協(xié)議。OSPF的網(wǎng)絡(luò)拓樸必須是層次結(jié)構(gòu)的,分骨干域和邊緣域,在設(shè)計OSPF網(wǎng)絡(luò)時最重要的是域邊界的定義地址分配,域邊界的定義決定了哪些路由器和連接包括在骨干域中,哪些包括在每一個下連的域中。OSPF支持VLSM地址分配,其路徑疊合能力有限,必須在路由器中手工設(shè)置。在大型企業(yè)網(wǎng)絡(luò)中,RIP由于其固有的局限性,它已被淘汰,最常見的路由協(xié)議是OSPF和EIGRP,它們的比較如下：OSPFEIGRP快速收斂是是帶寬利用率高高內(nèi)存使用兩者差不多CPU使用兩者差不多路由算法dyjkstraDUAL傳輸類型LinkStateDistanceVector路徑疊合有限任意邊界協(xié)議過濾非常有限非常強(qiáng)rtg協(xié)議速率調(diào)節(jié)無有多個缺省路徑無有區(qū)域拓樸層次必須要不要開放標(biāo)準(zhǔn)是不是用戶端可用是不是保持鄰居狀態(tài)是是改變只傳播不是是到相關(guān)網(wǎng)絡(luò)可用于多種不是是L3協(xié)議負(fù)載平衡傳輸非常有限很強(qiáng)網(wǎng)絡(luò)可擴(kuò)性好很好從以上比較可看出,EIGRP凝聚了距離矢量和鏈路狀態(tài)兩種算法的精華,避免了兩種算法各自的缺點,因而可達(dá)到最快速度的聚合。由于其采用DUAL算法,而且只有網(wǎng)絡(luò)拓?fù)渥兓绊懙降穆酚善鞑艆⑴c路由的計算,僅只有拓?fù)渥兓绊懙降穆酚刹胚M(jìn)行廣播,因此EIGRP對CPU及網(wǎng)絡(luò)帶寬的消耗都將低于OSPF、IGRP、RIP等路由協(xié)議。在大型企業(yè)網(wǎng)絡(luò)的設(shè)計中,除考慮線路的帶寬、延遲、可靠性等因素外,路由表的大小、網(wǎng)絡(luò)的延展性、路由的快速收斂同樣是影響網(wǎng)絡(luò)功能的重要因素。動態(tài)路由協(xié)議的選擇對于大型企業(yè)網(wǎng),平面結(jié)構(gòu)的路由協(xié)議〔如RIP,IGRP不能滿足網(wǎng)絡(luò)性能的要求。我們推薦采用E-IGRP,OSPF路由協(xié)議,多于三層結(jié)構(gòu)的網(wǎng)絡(luò)需采用BGP4網(wǎng)間網(wǎng)協(xié)議。OSPF協(xié)議是一層次化結(jié)構(gòu)的路由協(xié)議,可將大型網(wǎng)絡(luò)分成若干區(qū)域。如下圖：區(qū)域劃分可減少各路由器的路由表尺寸；利于網(wǎng)絡(luò)擴(kuò)展；支持VLSM,可通過路徑的疊合〔summarization優(yōu)化地址的設(shè)計和路由的計算。在OSPF協(xié)議中,Backbone區(qū)域是中心主干區(qū)域〔Area0,主干區(qū)域路由器保持OSPF的信息,負(fù)責(zé)各路由區(qū)域間的路由信息分配；跨接多個區(qū)域的路由器為ABR〔AreaBorderRouter,其保持所連接的區(qū)域的路由信息,并完成路徑疊合功能〔summarization；當(dāng)網(wǎng)絡(luò)大到需分成多個自主系統(tǒng)〔AS時,跨接AS的路由器為ASBR,在一個自主系統(tǒng)中可根據(jù)上述方法選擇路由協(xié)議,而自主系統(tǒng)之間目前最好的辦法是采用BGP協(xié)議進(jìn)行互連。BGP的最新標(biāo)準(zhǔn)是BGP4<RFC1654>,它支持CIDR。在每個自主系統(tǒng)中要定義BGPPEER路由器,用于在自主系統(tǒng)之間交換路由信息。對于OSPF的區(qū)域劃分的原則為：每個區(qū)域內(nèi)路由器不超過100個；每個路由器接口的相鄰路由器不超過60個；每個路由器所屬區(qū)域不超過3個；所有區(qū)域必物理地連接到主干區(qū)域；企業(yè)廣域網(wǎng)鏈路選擇我們從理論上分析了大型企業(yè)網(wǎng)絡(luò)的層次結(jié)構(gòu)和動態(tài)路由協(xié)議。通常企業(yè)租用ISP的通信線路,按照設(shè)計好的層次結(jié)構(gòu)進(jìn)行廣域連接。在申請通信線路時要綜合考慮企業(yè)業(yè)務(wù)需求、QOS、運行維護(hù)費用等多種因素。ISP提供多種通信鏈路來滿足企業(yè)用戶非實時網(wǎng)絡(luò)應(yīng)用的需求,如X.25,DDN,幀中繼,PSTN等。也可以選擇撥號VPN技術(shù),專線VPN技術(shù)。也可使用標(biāo)記交換技術(shù),MPLS技術(shù)等。選擇通信類型要根據(jù)運營成本和運營效率綜合考慮。對于廣域網(wǎng)上實現(xiàn)語音、圖像等多媒體應(yīng)用的廣域網(wǎng)DDN,FrameRelay和ATM都能實現(xiàn),但從運行費用和服務(wù)質(zhì)量保證來看,采用ATM作廣域鏈路是較好的選擇。目前,國內(nèi)ISP沒有開放ATM業(yè)務(wù),但企業(yè)如有需要可以申請ATM服務(wù)。企業(yè)園區(qū)局域網(wǎng)設(shè)計<1>企業(yè)園區(qū)局域網(wǎng)絡(luò)采用虛擬交換網(wǎng)絡(luò)從網(wǎng)絡(luò)的性價比來看,企業(yè)的局域網(wǎng)絡(luò)邏輯結(jié)構(gòu)采用交換虛擬網(wǎng)技術(shù)已是大勢所趨。交換虛擬網(wǎng)絡(luò)是基于ATM和局域網(wǎng)交換機(jī)為平臺的技術(shù),其目標(biāo)是真正建立一個可以滿足未來多媒體信息處理時代需要的企業(yè)網(wǎng)絡(luò)。從長遠(yuǎn)角度看,采用交換虛擬網(wǎng)絡(luò)技術(shù)可以降低組建企業(yè)網(wǎng)的成本、提高信息技術(shù)與企業(yè)發(fā)展的適應(yīng)能力。交換虛擬網(wǎng)可以滿足企業(yè)網(wǎng)絡(luò)在以下幾個方面對計算機(jī)網(wǎng)絡(luò)的需求：通過交換技術(shù),向最終用戶提供更高的帶寬?？梢韵虿煌脩簟⒉煌瑧?yīng)用提供所需的服務(wù)質(zhì)量保證的網(wǎng)絡(luò)服務(wù)。提供完整的網(wǎng)絡(luò)管理和控制系統(tǒng),控制網(wǎng)絡(luò)成本,特別是隱含的網(wǎng)絡(luò)成本開銷,例如網(wǎng)絡(luò)管理、網(wǎng)絡(luò)控制等方面的開銷。在外圍提供前面的網(wǎng)絡(luò)互連和系統(tǒng)集成方案,提供端到端的解決方案,提高網(wǎng)絡(luò)互連性和可靠性,減少網(wǎng)絡(luò)擴(kuò)展的成本。構(gòu)造虛擬工作組網(wǎng)絡(luò)以支持虛擬工作組工作。<2>企業(yè)局域網(wǎng)絡(luò)的主干交換企業(yè)局域網(wǎng)絡(luò)主干的作用就是互連網(wǎng)絡(luò)的各個部分,傳遞分布到網(wǎng)絡(luò)各個部分的數(shù)據(jù)流。主干網(wǎng)必須具有高效率、高可用性特征,在主干上任何一點不合理的延遲都是災(zāi)難性的！采用ATM交換技術(shù)可以提供邊緣交換機(jī)之間的高速連通性、可靠性和服務(wù)質(zhì)量保證,以及支持多種數(shù)據(jù)流類型,如IP、IPX、DECnet。利用ATM技術(shù)的高效擁擠控制和流量控制,高可用性和功能全面的網(wǎng)絡(luò)控制,動態(tài)用戶組管理及有效的流量管理,滿足大批量數(shù)據(jù)傳輸對帶寬的需求,同時滿足多媒體應(yīng)用對不同類型信息流和不同服務(wù)質(zhì)量的需求。采用千兆以太網(wǎng)技術(shù)可以提供極高的網(wǎng)絡(luò)主干帶寬,并融合傳統(tǒng)的以太網(wǎng)技術(shù)和交換技術(shù),給終端用戶提供滿足應(yīng)用需求的帶寬。雖然在帶寬上滿足終端用戶的需求,但在網(wǎng)絡(luò)的流量管理上和服務(wù)質(zhì)量上不及ATM。企業(yè)局域網(wǎng)絡(luò)還可以采用第三層或第四層交換技術(shù),以滿足網(wǎng)絡(luò)主干在性能上的需求。<3>企業(yè)園區(qū)樓宇網(wǎng)絡(luò)設(shè)計企業(yè)園區(qū)樓宇設(shè)計必須基于建筑物內(nèi)已有的或者可能設(shè)置的布線結(jié)構(gòu)進(jìn)行設(shè)計,同時要考慮每個樓宇內(nèi)信息資源中心的設(shè)置,局域網(wǎng)之間的數(shù)據(jù)通信類型和可能通信量,局域網(wǎng)之間需要設(shè)置的安全訪問控制策略,確定網(wǎng)絡(luò)互連模式和結(jié)構(gòu)。樓宇內(nèi)設(shè)計采用路由互連技術(shù)、ATM交換互連網(wǎng)技術(shù)和虛擬局域網(wǎng)組網(wǎng)技術(shù)。樓宇網(wǎng)絡(luò)設(shè)計需要考慮如下問題：樓宇內(nèi)部如果沒有干擾,而且傳輸距離在100米之內(nèi),一般采用雙絞線作為網(wǎng)絡(luò)的傳輸媒體。如果樓宇內(nèi)部有電磁干擾,可以采用光纖作為傳輸媒體。如果樓宇內(nèi)部的傳輸距離大于100米,可以采用互連設(shè)備的級聯(lián),也可以采用光纖作為傳輸媒體。在采用同一局域網(wǎng)技術(shù)的工作組網(wǎng)絡(luò)互連時,如果可以共享帶寬,而且無安全控制需要,只是由于工作組網(wǎng)絡(luò)覆蓋的距離不夠,則可以采用級聯(lián)集線器的方式擴(kuò)展網(wǎng)絡(luò)。在采用同一種局域網(wǎng)技術(shù)的工作組網(wǎng)絡(luò)互連時,如果各個工作組需要獨立的傳輸帶寬,則通過局域網(wǎng)交換機(jī)連接。采用不同局域網(wǎng)技術(shù)的工作組網(wǎng)絡(luò)互連時,如果互連的工作組網(wǎng)絡(luò)較少,各個工作組之間無需提供安全訪問控制,而且,各個工作組網(wǎng)絡(luò)之間需要提供快速連接,則采用支持多種局域網(wǎng)接口的交換機(jī)。采用不同的局域網(wǎng)技術(shù)的工作組網(wǎng)絡(luò)互連時,如果互連的工作組網(wǎng)絡(luò)數(shù)量較多,各個工作組網(wǎng)絡(luò)內(nèi)部有較大的廣播報文,或工作組網(wǎng)絡(luò)之間需要有較為嚴(yán)格的安全訪問控制,且在工作組之間沒有多媒體應(yīng)用,則采用路由器互連各個工作組網(wǎng)絡(luò)。如果工作組站點的地理分布,與其它工作組網(wǎng)絡(luò)站點地理分布重復(fù),則需要在同一地理區(qū)域采用同一局域網(wǎng)交換機(jī)連接不同工作組網(wǎng)絡(luò)站點,通過交換機(jī)構(gòu)成符合工作組劃分的虛擬網(wǎng)絡(luò)。對于具有多媒體應(yīng)用的點到點站點網(wǎng)絡(luò)服務(wù)質(zhì)量保證的傳輸信道,采用ATM技術(shù),到桌面采用25M服務(wù)器設(shè)備接入：采用光纖155MATM接入或光纖100M以太網(wǎng)接入。重點終端用戶采用光纖接入核心交換機(jī),實現(xiàn)安全傳輸。<4>企業(yè)園區(qū)虛擬局域網(wǎng)網(wǎng)絡(luò)廠商相繼開發(fā)了"開放"互聯(lián)技術(shù)VTP<VLANTrunkingProtocol>,支持的標(biāo)準(zhǔn)是ISL、802.1Q,MPLS。ATM交換機(jī)和局域網(wǎng)交換機(jī)為虛擬局域網(wǎng)提供了基礎(chǔ)平臺。虛擬局域網(wǎng)為企業(yè)局域網(wǎng)絡(luò)帶來的三個好處是：在最大限度地減少對路由器依賴的基礎(chǔ)上,有效地控制局域網(wǎng)內(nèi)的廣播流量,提高站點的傳輸效率。減少由于網(wǎng)絡(luò)站點的增加、移動和更改而增加的網(wǎng)絡(luò)維護(hù)成本。業(yè)務(wù)部門工作組的邏輯組合更為靈活。在VLAN的劃分中,都與"群組"這個概念有關(guān)。群組是指局域網(wǎng)交換機(jī)的一個集合。每個交換機(jī)支持的群組數(shù)目有一定的限制。因此,在網(wǎng)絡(luò)規(guī)劃時,必須考慮業(yè)務(wù)部門邏輯工作組的數(shù)量,并選擇相應(yīng)的交換機(jī)型號,使得交換機(jī)的VLAN數(shù)量和處理性能滿足業(yè)務(wù)應(yīng)用需要。一個群組可以包括全網(wǎng)中不同交換機(jī)的端口,每個群組可以看作是一個獨立的通信域。如果不使用路由功能,則一個群組中的通信量不能轉(zhuǎn)發(fā)到另一個群組中,群組的特征如下：<1>一個群組是一個廣播域；<2>一個群組是交換機(jī)物理端口的集合；<3>群組可以跨越多個交換機(jī)；<4>群組不能相互重疊,即每個端口只能屬于一個群組；<5>群組之間的幀可以通過路由轉(zhuǎn)發(fā)；<6>同一群組中不同的VLAN的幀也可以通過路由轉(zhuǎn)發(fā)。群組的概念實際上是基于以端口為基礎(chǔ)的VLAN。還有其它類型的VLAN劃分：<1>基于MAC地址的VLAN劃分,這種VLAN劃分方法靈活,但管理復(fù)雜；<2>基于協(xié)議規(guī)則的VLAN劃分,把具有相同的第三層協(xié)議網(wǎng)絡(luò)站點歸并成一個VLAN。這些站點連接的交換機(jī)端口構(gòu)成一個廣播域,以減少在同一網(wǎng)絡(luò)環(huán)境下不同協(xié)議棧之間的相互干擾。選擇不同的協(xié)議類型構(gòu)成不同的VLAN：1、所有IP協(xié)議流量；2、所有IPX協(xié)議流量；3、所有DECnet協(xié)議流量；所有AppleTtalk流量；4、所有指定以太類型的流量；5、所有攜帶指定源點和目的點SAP〔服務(wù)訪問點報頭的流量；6、所有攜帶指定SNAP〔子網(wǎng)訪問協(xié)議類型的流量。<3>基于網(wǎng)絡(luò)地址的VLAN。用IP地址和IP網(wǎng)絡(luò)掩碼劃分網(wǎng)段。<4>基于用戶定義規(guī)則的VLAN。企業(yè)網(wǎng)絡(luò)與外網(wǎng)連接企業(yè)網(wǎng)絡(luò)與外網(wǎng)的連接發(fā)生在企業(yè)網(wǎng)絡(luò)的各個層次上,其中包括Internet接入等。我們稱企業(yè)內(nèi)部網(wǎng)為內(nèi)網(wǎng),企業(yè)外部網(wǎng)為外網(wǎng)。顯然,內(nèi)網(wǎng)和外網(wǎng)間加裝防火墻。通常,內(nèi)網(wǎng)和外網(wǎng)間采用靜態(tài)路由或缺省路由。內(nèi)網(wǎng)和外網(wǎng)的信息訪問通過防火墻進(jìn)行過濾。內(nèi)網(wǎng)和外網(wǎng)的連接如下圖所示：企業(yè)網(wǎng)絡(luò)安全訪問控制機(jī)制7.1企業(yè)安全系統(tǒng)的設(shè)計目標(biāo)是：〔1防范黑客攻擊、計算機(jī)犯罪和有害信息傳播〔包括計算機(jī)病毒〔2加強(qiáng)應(yīng)用和數(shù)據(jù)的安全建立安全管理制度,注意內(nèi)外兼防,重點在內(nèi)部7.2安全框架安全方案的科學(xué)性、可行性是其順利實施的保障。安全方案必須架構(gòu)在科學(xué)的安全框架之上。安全框架是安全方案設(shè)計和分析的基礎(chǔ)。美國國防部DISSP〔DefenseWideInformationSystemSecurityProgram計劃中提出的三維安全框架結(jié)構(gòu),是事實上的標(biāo)準(zhǔn),反映了信息系統(tǒng)的安全需求和體系結(jié)構(gòu)的共性。其簡化的版本說明如下〔安全框架是一個三維結(jié)構(gòu)：第一維〔Ｘ軸是安全特性,給出了七種安全屬性；第二維〔Ｙ軸是系統(tǒng)單元,給出了信息網(wǎng)絡(luò)系統(tǒng)的組成；第三維〔Ｘ軸是結(jié)構(gòu)層次,給出了國際標(biāo)準(zhǔn)化組織ISO的開放系統(tǒng)互連〔ISO模型。網(wǎng)絡(luò)平臺系統(tǒng)平臺網(wǎng)絡(luò)平臺系統(tǒng)平臺應(yīng)用平臺安全管理物理環(huán)境數(shù)據(jù)完整結(jié)構(gòu)層次身份鑒別訪問控制數(shù)據(jù)保密不可抵賴審計管理可用性、可靠性應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層安全特性系統(tǒng)單元7.3安全方案的制訂 根據(jù)安全框架制訂安全方案的具體思路如下：確定安全方案涉及的系統(tǒng)單元,明確安全方案系統(tǒng)單元；確定安全方案系統(tǒng)單元在各個層次結(jié)構(gòu)的安全特性。安全方案的組成如下：網(wǎng)絡(luò)平臺安全方案系統(tǒng)平臺安全方案應(yīng)用平臺安全方案物理環(huán)境安全安全管理方案7.4網(wǎng)絡(luò)平臺安全方案網(wǎng)絡(luò)系統(tǒng)方案功能要點1>訪問控制。通過對特定網(wǎng)段、服務(wù)建立的訪問控制體系,將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。檢查安全漏洞。通過對安全漏洞的周期檢查,即使攻擊可到達(dá)攻擊目標(biāo),也可使絕大多數(shù)攻擊無效。攻擊監(jiān)控。通過對特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系,可實時檢測出絕大多數(shù)攻擊,并采取相應(yīng)的行動〔如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等。2>加密通訊。主動的加密通訊,可使攻擊者不能了解、修改敏感信息。3>認(rèn)證。良好的認(rèn)證體系可防止攻擊者假冒合法用戶。4>備份和恢復(fù)。良好的備份和恢復(fù)機(jī)制,可在攻擊造成損失時,及時地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。5>多層防御。攻擊者在突破第一道防線后,延緩或阻斷其到達(dá)攻擊目標(biāo)。6>隱藏內(nèi)部信息。使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。7>設(shè)立安全管理機(jī)構(gòu)。為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護(hù)及緊急情況服務(wù)。網(wǎng)絡(luò)平臺安全措施網(wǎng)絡(luò)平臺的安全措施應(yīng)涉及局域網(wǎng)、廣域網(wǎng)、互連網(wǎng)、防病毒和防黑客共五個方面。.1局域網(wǎng)的安全措施由于局域網(wǎng)中采用廣播方式,因此,本廣播域的信息傳遞都會暴露在黑客面前?？刹扇∠铝写胧┨岣甙踩裕骸?網(wǎng)絡(luò)分段網(wǎng)絡(luò)分段是保證安全的一項重要措施,將非法用戶與網(wǎng)絡(luò)資源相互隔離,從而達(dá)到限制用戶非法訪問的目的。網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式：物理分段通常是指將網(wǎng)絡(luò)從物理層和數(shù)據(jù)鏈路層上分為若干網(wǎng)段,使各網(wǎng)段相互間無法進(jìn)行直接通訊。邏輯分段則是指將整個系統(tǒng)在網(wǎng)絡(luò)層上進(jìn)行分段。把網(wǎng)絡(luò)分成若干IP子網(wǎng),各子網(wǎng)間必須通過路由器、路由交換機(jī)、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接,利用這些中間設(shè)備〔含軟件、硬件的安全機(jī)制來控制各子網(wǎng)間的訪問?！?VLAN技術(shù)虛擬網(wǎng)技術(shù)主要基于局域網(wǎng)交換技術(shù)〔ATM和以太網(wǎng)交換。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器。采用應(yīng)用交換器和VLAN技術(shù),可將廣播轉(zhuǎn)變?yōu)辄c到點通訊,從而防止大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵手段。通過虛擬網(wǎng)設(shè)置的訪問控制,也可使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點不能直接訪問虛擬網(wǎng)內(nèi)節(jié)點。.2廣域網(wǎng)安全措施廣域網(wǎng)采用公網(wǎng)傳輸數(shù)據(jù),在廣域網(wǎng)上傳輸?shù)男畔⒖赡軙徊环ǚ肿咏厝?。因此在廣域網(wǎng)上發(fā)送和接收信息時要保證：〔1除了發(fā)送方和接收方外,其他人是不可知悉的〔隱私性；〔2傳輸過程中不被篡改〔真實性；〔3發(fā)送方能確信接收方不會是假冒的〔非偽裝性；〔4發(fā)送方不能否認(rèn)自己的發(fā)送行為〔非否認(rèn)。有效的方法是對傳輸?shù)男畔⑦M(jìn)行加密,采用數(shù)據(jù)簽名和認(rèn)證技術(shù)加密技術(shù)數(shù)據(jù)加密技術(shù)分為三類,即對稱型加密、不對稱型加密和不可逆加密。對稱型加密使用單個密鑰對數(shù)據(jù)進(jìn)行加密或解密,其特點是計算量小、加密效率高。但是此類算法在分布式系統(tǒng)上使用較為困難。不對稱型加密算法也稱公用密鑰算法,其特點是有二個密鑰,只有二者搭配使用才能完成加密和解密的全過程。適用于分布式系統(tǒng)中的數(shù)據(jù)加密,在Internet中得到了廣泛應(yīng)用。不對稱加密的另一用法稱為"數(shù)字簽名"〔digitalsignature。在網(wǎng)絡(luò)系統(tǒng)中應(yīng)用的不對稱加密算法有RSA算法和DSA算法〔DigitalSignatureAlgorithm。不可逆加密算法的特征是加密過程不需要密鑰,不可逆加密算法不存在密鑰保管和分發(fā)問題,但是其加密計算工作量相當(dāng)可觀,所以通常用于數(shù)據(jù)量有限的情形下的加密,例如計算機(jī)系統(tǒng)中的口令就是利用不可逆算法加密的。數(shù)字簽名和認(rèn)證技術(shù)認(rèn)證技術(shù)主要解決網(wǎng)絡(luò)通訊過程中通訊雙方身份的認(rèn)可,數(shù)字簽名作為身份認(rèn)證技術(shù)中的一種具體技術(shù),同時數(shù)字簽名還可用于通信過程中的不可抵賴要求的實現(xiàn)。認(rèn)證過程通常涉及到加密和密鑰交換。通常,加密可使用對稱加密、不對稱加密及兩種加密方法的混合。數(shù)字簽名作為驗證發(fā)送者身份和消息完整性的根據(jù)。公共密鑰系統(tǒng)〔如RSA基于私有/公共密鑰對,作為驗證發(fā)送者身份和消息完整性的根據(jù)。CA使用私有密鑰計算其數(shù)字簽名,利用CA提供的公共密鑰,任何人均可驗證簽名的真實性。偽造數(shù)字簽名從計算能力上是不可行的。并且,如果消息隨數(shù)字簽名一同發(fā)送,對消息的任何修改在驗證數(shù)字簽名時都將會被發(fā)現(xiàn)。〔5遠(yuǎn)程訪問的安全性從外部撥號訪問內(nèi)部局域網(wǎng)的用戶,由于使用公用電話網(wǎng)進(jìn)行數(shù)據(jù)傳輸,必須嚴(yán)格控制其安全性。首先,應(yīng)嚴(yán)格限制撥號上網(wǎng)用戶所能訪問的系統(tǒng)信息和資源,這一功能可通過在撥號訪問服務(wù)器后設(shè)置的防火墻來實現(xiàn)。其次,應(yīng)加強(qiáng)對撥號用戶的身份驗證功能,使用TACACS+、RADIUS等專用身份驗證協(xié)議和服務(wù)器。一方面,可以實現(xiàn)對撥號用戶帳號的統(tǒng)一管理；另一方面,在身份驗證過程中采用PGP加密手段,避免用戶口令泄露的可能性。第三,在數(shù)據(jù)傳輸過程中采用加密技術(shù),防止數(shù)據(jù)被非法竊取。一種方法是使用PGP,對數(shù)據(jù)直接加密。另一種方法是采用防火墻所提供的VPN〔虛擬專網(wǎng)技術(shù)。VPN在提供網(wǎng)間數(shù)據(jù)加密的同時,也提供了針對單機(jī)用戶的加密客戶端軟件,即采用軟件加密的技術(shù)來保證數(shù)據(jù)傳輸?shù)陌踩浴?3互連網(wǎng)的安全措施對網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：非授權(quán)訪問、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運行、利用網(wǎng)絡(luò)傳播病毒、線路竊聽等方面。這就要求我們對與Internet互連所帶來的安全性問題予以足夠重視。大型網(wǎng)絡(luò)系統(tǒng)與Internet互連的第一道屏障是防火墻。其主要作用是在網(wǎng)絡(luò)入口點檢查網(wǎng)絡(luò)通訊,根據(jù)客戶設(shè)定的安全規(guī)則,在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下,提供內(nèi)外網(wǎng)絡(luò)通訊。防火墻能做到：保護(hù)脆弱的服務(wù) 通過過濾不安全的服務(wù),可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險?？刂茖ο到y(tǒng)的訪問 提供對系統(tǒng)的訪問控制。集中的安全管理 對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管理,防火墻所定義的安全規(guī)則可以運用于整個內(nèi)部網(wǎng)絡(luò)系統(tǒng),而無須在內(nèi)部網(wǎng)每臺機(jī)器上分別設(shè)立安全策略。增強(qiáng)的保密性 可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)記錄和統(tǒng)計通過防火墻的網(wǎng)絡(luò)通訊,提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計數(shù)據(jù),還可以提供統(tǒng)計數(shù)據(jù),用以判斷可能的攻擊。但防火墻做不到：停止所有外部入侵；完全不能阻止內(nèi)部襲擊；防病毒；終止有經(jīng)驗的黑客；提供完全的網(wǎng)絡(luò)安全性。因此,系統(tǒng)還應(yīng)該具備防病毒和防黑客的功能。.4防病毒的安全措施由于Internet的迅速發(fā)展,將文件附加在電子郵件中的能力不斷提高,使得病毒的擴(kuò)散速度急驟提高,范圍越來越廣?！?多層病毒防衛(wèi)體系為了企業(yè)的財產(chǎn)免受損失,多數(shù)企業(yè)都選擇多層的病毒防衛(wèi)體系。多層病毒防衛(wèi)體系,是指在企業(yè)的每個臺式機(jī)上要安裝臺式機(jī)的反病毒軟件,在服務(wù)器上要安裝基于服務(wù)器的反病毒軟件,在INTERNET網(wǎng)關(guān)上要安裝基于INTERNET網(wǎng)關(guān)的反病毒軟件。〔2市場反病毒產(chǎn)品目前市場上有各種反病毒軟件：第一種是高級桌面反病毒套裝軟件。第二種是服務(wù)器級反病毒套裝件。第三種Internet網(wǎng)的反病毒軟件。.5防黑客的安全措施〔1入侵檢測利用防火墻技術(shù),經(jīng)過仔細(xì)的配置,通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù),降低了網(wǎng)絡(luò)安全風(fēng)險。但是,僅僅使用防火墻,網(wǎng)絡(luò)安全還遠(yuǎn)遠(yuǎn)不夠,這是因為：入侵者可尋找防火墻背后可能敞開的后門。入侵者可能就在防火墻內(nèi)。由于性能的限制,防火墻通常不能提供實時的入侵檢測能力。入侵檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù),目的是提供實時的入侵檢測及采取相應(yīng)的防護(hù)手段,如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。實時入侵檢測不但能夠?qū)Ω秮碜詢?nèi)部網(wǎng)絡(luò)的攻擊,也能夠阻止黑客的入侵。入侵檢測系統(tǒng)可分為基于主機(jī)和基于網(wǎng)絡(luò)兩類。基于主機(jī)的入侵檢測系統(tǒng)用于保護(hù)關(guān)鍵的服務(wù)器,實時監(jiān)視可疑的連接,檢查系統(tǒng)日志和阻止非法訪問的闖入,并且提供對典型應(yīng)用如WEB服務(wù)器應(yīng)用的監(jiān)視。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)用于實時監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息。基于主機(jī)及網(wǎng)絡(luò)的入侵監(jiān)控系統(tǒng)通?？膳渲脼榉植际侥Ｊ?其要點如下：在需要監(jiān)視的服務(wù)器上安裝監(jiān)視模塊〔Agent,分別向管理服務(wù)器報告及上傳證據(jù),提供跨平臺的入侵監(jiān)視解決方案。在需要監(jiān)視的網(wǎng)絡(luò)路徑上,放置監(jiān)視模塊〔Sensor,分別向管理服務(wù)器報告及上傳證據(jù),提供跨網(wǎng)絡(luò)的入侵監(jiān)視解決方案?！?對關(guān)鍵服務(wù)器的保護(hù) 由于網(wǎng)絡(luò)的安全監(jiān)控系統(tǒng)自身的局限性,不可避免地出會現(xiàn)誤報、漏報等情況。因此,在提供關(guān)鍵服務(wù)的服務(wù)器上,安裝實時的安全監(jiān)控系統(tǒng),能夠使整個網(wǎng)絡(luò)安全系統(tǒng)更加強(qiáng)健。 實時的安全監(jiān)控系統(tǒng)為關(guān)鍵服務(wù)器提供了實時的保護(hù)。通過監(jiān)視來自網(wǎng)絡(luò)的攻擊、非法的闖入和異常進(jìn)程,并作出切斷服務(wù)/重啟服務(wù)器進(jìn)程/發(fā)出警報/記錄入侵過程等動作。實時監(jiān)控也可配置為分布式模式,由安裝在每臺服務(wù)器上的監(jiān)視模塊進(jìn)行攻擊識別及動作執(zhí)行,服務(wù)器則完成管理和記錄工作。目前,此類系統(tǒng)可安裝于NT4.0、Solaris2.5、2.6AIX以上的操作系統(tǒng)。關(guān)于系統(tǒng)安全和網(wǎng)絡(luò)安全措施,可進(jìn)一步參閱第四章有關(guān)內(nèi)容。7.5系統(tǒng)平臺安全方案操作系統(tǒng)安全方案網(wǎng)絡(luò)操作系統(tǒng)是計算機(jī)和用戶之間的接口,是管理網(wǎng)絡(luò)資源的核心系統(tǒng),它負(fù)責(zé)向通信設(shè)備發(fā)送信息,管理存儲設(shè)備上的存儲空間和將信息裝入內(nèi)存等調(diào)度工作。網(wǎng)絡(luò)操作系統(tǒng)采用管理文件目錄的方法進(jìn)行管理,并且利用口令字標(biāo)志存取控制權(quán)限,用加密及其它一些手段來提高文件的安全性。 UNIX主機(jī)在Internet上有著非常重要的地位,而WindowsNT具有較好的用戶界面和域特性,因此它們被廣大用戶所采用。〔1UNIX系統(tǒng)的安全特性UNIX系統(tǒng)本身具備良好的安全性,按照可信計算機(jī)評價標(biāo)準(zhǔn),它達(dá)到C2級標(biāo)準(zhǔn)。它提供以下安全特征：操作的可靠性選擇性訪問控制對象的可用性個人身份標(biāo)識與認(rèn)證審計網(wǎng)絡(luò)文件系統(tǒng)〔2WindowsNT的安全特性WindowsNT已將安全性嵌入操作系統(tǒng),有選擇的訪問控制可使系統(tǒng)管理員能對單個文件賦予權(quán)限。在安全管理上,采取了分布式安全服務(wù)與集中式安全管理相結(jié)合的策略,能夠簡化域的管理,改善系統(tǒng)性能。此外,還集成了基于公用鑰加密的Internet安全技術(shù)。WindowsNT用戶可以使用易于使用的工具和通用的用戶界面,通過對話來管理他們用于訪問Inetrnet資源的私鑰/公鑰對和身份證書。個人的安全證書通過安全的存儲方式存放。〔3操作系統(tǒng)中的漏洞幾乎所有的操作系統(tǒng)均已發(fā)現(xiàn)有安全漏洞,并且越流行的操作系統(tǒng)發(fā)現(xiàn)的問題越多?！?操作系統(tǒng)的安全措施選擇由大寫字母、小寫安母、數(shù)字組成的6個符號作為口令。避免用有特殊意義的口令,例如實際的名字或單字。經(jīng)常定期變化口令,且不告訴別人。對超級用戶采取雙口令。注冊次數(shù)限制。對于多次不正確注冊的用戶,進(jìn)行一次性拒絕。不斷增加供貨商發(fā)布的安全補(bǔ)丁。在操作系統(tǒng)中安裝網(wǎng)絡(luò)訪問控制驗證工具。7.6數(shù)據(jù)庫管理系統(tǒng)的安全方案數(shù)據(jù)庫系統(tǒng)基本安全框架數(shù)據(jù)庫系統(tǒng)信息安全性依賴于兩個層次：一層是數(shù)據(jù)庫管理系統(tǒng)本身提供的用戶名/口令字識別、使用權(quán)限控制、審計等管理措施,另一層是靠應(yīng)用程序設(shè)置的控制管理。作為數(shù)據(jù)庫用戶,最關(guān)心的是自身數(shù)據(jù)的安全,特別是用戶的查詢權(quán)限問題。對此,目前一些大型數(shù)據(jù)庫管理系統(tǒng)如Oracle、SyBASE等產(chǎn)品提供了以下幾種主要手段：〔1用戶分類對不同類型的用戶授予不同的數(shù)據(jù)管理權(quán)限。一般將權(quán)限分為三類：數(shù)據(jù)庫登錄權(quán)限類；資源管理權(quán)限類；數(shù)據(jù)庫管理員權(quán)限類。有了數(shù)據(jù)庫登錄權(quán)限的用戶才能進(jìn)入數(shù)據(jù)庫管理系統(tǒng),才能使用數(shù)據(jù)庫管理系統(tǒng)所提供的各類工具和實用程序。同時,數(shù)據(jù)庫客體的主人可以授予這類用戶以數(shù)據(jù)查詢、建立視圖等權(quán)限。這類用戶只能查閱部分?jǐn)?shù)據(jù)庫信息,不能改動數(shù)據(jù)庫中的任何數(shù)據(jù)。具有資源管理權(quán)限的用戶,除了擁有上一類的用戶權(quán)限外,還有創(chuàng)建數(shù)據(jù)庫表、索引等數(shù)據(jù)庫客體的權(quán)限,可以在權(quán)限允許的范圍內(nèi)修改、查詢數(shù)據(jù)庫；還能將自己擁有的權(quán)限授予其他用戶,可以申請審計。具有數(shù)據(jù)庫管理員權(quán)限的用戶將具有數(shù)據(jù)庫管理的一切權(quán)限,包括訪問任何用戶的任何數(shù)據(jù),授予〔或回收用戶的各種權(quán)限,創(chuàng)建各種數(shù)據(jù)庫客體,完成數(shù)據(jù)庫的整庫備份,裝入重組,以及進(jìn)行全系統(tǒng)的審計等工作。這類用戶的工作是謹(jǐn)慎而帶全局性的工作,只有極少數(shù)用戶屬于這種類型。〔2數(shù)據(jù)分類同一類權(quán)限的用戶,對數(shù)據(jù)庫中數(shù)據(jù)管理和使用的范圍又可能是不同的。為此數(shù)據(jù)庫管理系統(tǒng)提供了將數(shù)據(jù)分類的功能,即建立視圖。管理員把某用戶查詢的數(shù)據(jù)邏輯歸并起來,建成一個或多個視圖,并賦予名稱,再把該視圖的查詢權(quán)限授予該用戶〔也可以授予多個用戶。這種數(shù)據(jù)分類可以進(jìn)行得很細(xì),其最小粒度是數(shù)據(jù)庫二維表中一個交叉的元素?！?審計功能大型數(shù)據(jù)庫管理系統(tǒng)提供的審計功能是一個十分重要的安全措施,它用于監(jiān)視各用戶對數(shù)據(jù)庫施加的動作。有兩種審計的方式,即用戶審計和系統(tǒng)審計：用戶審計時,數(shù)據(jù)庫管理系統(tǒng)的審計系統(tǒng)記錄下所有對自己的表或視圖進(jìn)行訪問的企圖〔包括成功的和不成功的及每次操作的用戶名、時間、操作代碼等信息。這些信息一般都被記錄在數(shù)據(jù)字典〔系統(tǒng)表之中；用戶可以利用這些信息進(jìn)行審計分析。系統(tǒng)審計由系統(tǒng)管理員進(jìn)行,其審計內(nèi)容主要是系統(tǒng)一級命令以及數(shù)據(jù)庫客體的使用情況。例如,Oracle8數(shù)據(jù)庫具有審計發(fā)生在其內(nèi)部所有操作的能力。它可對三種不同類型的操作進(jìn)行審計：注冊企圖、對象訪問和數(shù)據(jù)庫操作。注冊審計：對每個連接數(shù)據(jù)庫的企圖進(jìn)行審計。操作審計：對影響數(shù)據(jù)庫對象〔如表、數(shù)據(jù)庫鏈、表空間、索引等的任何操作〔如create、alter和drop等進(jìn)行審計。對象審計：對對象的數(shù)據(jù)交換操作〔包括對表的選擇、插入、更新和刪除等進(jìn)行審計。數(shù)據(jù)庫加密一般而言,數(shù)據(jù)庫系統(tǒng)提供的上述基本安全技術(shù)能夠滿足一般的數(shù)據(jù)庫應(yīng)用,但對于一些重要部門或敏感領(lǐng)域的應(yīng)用,僅靠上述這些措施是難以完全保證數(shù)據(jù)的安全性的；某些用戶尤其是一些內(nèi)部用戶仍可能非法獲取用戶名、口令字,或利用其它方法越權(quán)使用數(shù)據(jù)庫,甚至可以直接打開數(shù)據(jù)庫文件來竊取或更改信息。因此,有必要對數(shù)據(jù)庫中存儲的重要數(shù)據(jù)進(jìn)行加密處理,以實現(xiàn)數(shù)據(jù)存儲的安全保護(hù)。〔1數(shù)據(jù)庫加密的特點與傳統(tǒng)的信息加密技術(shù)相比,數(shù)據(jù)庫密碼系統(tǒng)有其自身的要求和特點。傳統(tǒng)的加密以報文為單位,加密和解密都是從頭到尾進(jìn)行的。數(shù)據(jù)庫數(shù)據(jù)的使用方針決定了它不可能以整個數(shù)據(jù)庫文件為單位進(jìn)行加密。當(dāng)符合檢索條件的記錄被檢索出來后,就必須立即對該記錄解密。然而該記錄是整個數(shù)據(jù)庫文件中隨機(jī)的一段,無法從中間開始解密,除非從頭到尾進(jìn)行一次解密,然后再去查找相應(yīng)的這個記錄。顯然,這是不合適的,必須解決隨機(jī)地從數(shù)據(jù)庫文件中某一段數(shù)據(jù)開始解密的問題。數(shù)據(jù)庫密碼系統(tǒng)應(yīng)采取公開密鑰傳統(tǒng)的密碼系統(tǒng)中,密鑰是秘密的,知道的人越少越好。人們一旦獲取了密鑰和密碼體制就能攻破密碼,解開密文。而數(shù)據(jù)庫數(shù)據(jù)是共享的,有權(quán)限的用戶隨時需要知道密鑰來查詢數(shù)據(jù)。因此,數(shù)據(jù)庫密碼系統(tǒng)宜采用公開密鑰的加密方法。假設(shè)數(shù)據(jù)庫密碼系統(tǒng)的加密算法是保密的,而且具有相當(dāng)?shù)膹?qiáng)度,那么利用密鑰,采用OS和DBMS層的工具,也無法得到數(shù)據(jù)明文。加密機(jī)制有些公開密鑰體制的密碼,如RSA密碼,其加密密鑰是公開的,算法也是公開的,但其算法是各人一套；而作為數(shù)據(jù)庫密碼的加密算法不可能因人而異,加之尋找這種算法有其自身的困難和局限性,機(jī)器中也不可能存放很多種算法,因此這類典型的公開密鑰的加密體制也不適合于數(shù)據(jù)庫加密。數(shù)據(jù)庫加/解密密鑰應(yīng)該是相同、公開的,而加密算法應(yīng)該是絕對保密的。多級密鑰結(jié)構(gòu)數(shù)據(jù)庫關(guān)系運算中參與運算的最小單位是字段,查詢路徑依次是庫名、表名、記錄號和字段名。因此,字段是最小的加密單位。也就是說,當(dāng)查得一個數(shù)據(jù)后,該數(shù)據(jù)所在的庫名、表名、記錄名、字段名都應(yīng)是知道的。對應(yīng)的庫名、表名、記錄號、字段名都應(yīng)該具有自己的子密鑰；這些子密鑰組成一個能夠隨時加/脫密的公開密鑰。可以設(shè)計一個數(shù)據(jù)庫,其中存放有關(guān)數(shù)據(jù)庫名、表名、字段名的子密鑰,一般的方法應(yīng)是在該記錄中增加一條子密鑰數(shù)據(jù)字段?！?數(shù)據(jù)庫加密的范圍數(shù)據(jù)加密通過對明文進(jìn)行復(fù)雜的加密操作,來達(dá)到他人無法發(fā)現(xiàn)明文和密鑰之間的內(nèi)在關(guān)系的目的,也就是說,經(jīng)過加密的數(shù)據(jù)經(jīng)得起來自操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的攻擊。另一方面,DBMS要完成對數(shù)據(jù)庫文件的管理和使用,必須具有能夠識別部分?jǐn)?shù)據(jù)的條件。據(jù)此,只能對數(shù)據(jù)庫中數(shù)據(jù)進(jìn)行部分加密。數(shù)據(jù)庫安全措施數(shù)據(jù)庫管理系統(tǒng)的安全性能達(dá)到C2級標(biāo)準(zhǔn)<Oracle產(chǎn)品能滿足此要求>。數(shù)據(jù)庫對象〔如表、視圖、索引、觸發(fā)器等的所有權(quán)必須明確定義。為系統(tǒng)安全管理員提供創(chuàng)建和修改用戶口令的功能,而數(shù)據(jù)庫管理人員應(yīng)不知道用戶的口令。按照用戶或操作行為有選擇地進(jìn)行審計,審計信息加以保護(hù),防止非法訪問,審核信息必須包括充分的數(shù)據(jù),以確定"誰"在"什么時候"從"何地"訪問了"何種數(shù)據(jù)"。審核信息作為系統(tǒng)備份策略的一部分經(jīng)常備份,在超過保留期后,舊的審核信息應(yīng)歸檔,應(yīng)提供工具,以簡化數(shù)據(jù)庫管理員對審核信息的訪問。用戶離開后,其帳號必須注銷,長期離職的情況下,其帳號應(yīng)暫停使用。應(yīng)做必要的檢測以防止從操作系統(tǒng)級越過數(shù)據(jù)庫管理系統(tǒng)對數(shù)據(jù)庫進(jìn)行非法操作。對敏感數(shù)據(jù)進(jìn)行加密管理。7.7應(yīng)用平臺安全方案 應(yīng)用平臺主要指應(yīng)用軟件和數(shù)據(jù)管理,其安全功能主要包括以下內(nèi)容： 〔1身份認(rèn)證：完成用戶和服務(wù)器之間的雙向身份認(rèn)證,實現(xiàn)跨平臺、跨應(yīng)用系統(tǒng)的安全單點登錄,它是實現(xiàn)訪問控制、審計和抗否認(rèn)等的基礎(chǔ)。 〔2訪問控制：根據(jù)身份實現(xiàn)應(yīng)用和服務(wù)的精粒度或細(xì)粒度訪問控制,防止非授權(quán)訪問。 〔3數(shù)據(jù)完整性和保密性：在身份認(rèn)證、訪問控制、數(shù)據(jù)傳輸?shù)冗^程中,對數(shù)據(jù)進(jìn)行加密保護(hù)或完整性保護(hù)。 〔4審計記錄：審計功能具有可擴(kuò)充性,可溯性且能進(jìn)行全局審計。詳細(xì)記錄資源被訪問情況,能跟蹤到"誰"在"何時"、"何地"、"修改"、"訪問了"、"何種數(shù)據(jù)"。日志加密存儲在特定的目錄下,只有指定人員才能讀取,保證可審計性,防止否認(rèn)和抵賴。 關(guān)于應(yīng)用軟件和數(shù)據(jù)的安全,可進(jìn)一步參閱第三、