111/111H3C網絡安全技術與網絡部署目次摘要 I目次 31緒論 51.1研究意義和背景 51.2目前研究現狀 51.2.1局域網內部安全 51.2.2遠程接入和邊界安全 61.2.4路由安全 81.3研究內容和擬解決的問題 91.4結語 92網絡安全概述 102.1網絡安全的基本概念 102.2網絡安全的特征 112.3網絡安全策略 112.3.1網絡物理安全策略 112.3.2網絡訪問控制策略 112.3.3網絡信息加密策略 122.3.4網絡安全管理策略 123局域網安全 133.1基于H3C系列交換機VLAN的應用 133.2基于VLAN的PVLAN技術的應用 143.3利用GVRP協議來管理VLAN 153.4H3C交換機設備之間的端口匯聚 163.5啟用端口鏡像對流量進行監控 173.6構建安全的STP生成樹體系 193.7多層交換體系中部署VRRP 203.8IRF技術的應用 214邊界網絡安全 234.1NAT技術的應用 244.2ACL技術的應用 244.3VPN技術的應用 264.3.1IPsecVPN的應用 274.3.2IPsec上的GRE隧道 284.3.3二層VPN技術L2TP的應用 284.3.4SSLVPN技術的應用 294.3.5DVPN技術的應用 294.3.6VPN技術在MPLS網絡中的應用 304.4H3CSecPath系列防火墻/VPN的部署 314.5H3C的各類安全模塊 334.5.1H3CSecBladeFW模塊 334.5.2H3CSSLVPN模塊 344.5.3H3CASM防病毒模塊 364.5.4H3CNSM網絡監控模塊 374.6H3C的IPS和UTM設備 375身份認證與訪問控制 405.1AAA安全服務 405.2EAD安全解決方案 425.3802.1X身份認證 435.4設備安全 445.4.1物理安全 455.4.2登錄方式和用戶帳號 455.4.3SNMP協議的應用 465.4.4NTP協議的應用 475.4.4禁用不安全的服務 476路由安全 496.1靜態路由協議 496.1.1利用靜態路由實現負載分擔 496.1.2利用靜態路由實現路由備份 496.2OSPF路由協議 506.2.1OSPF身份驗證 506.2.2分層路由 506.2.3可靠的擴散機制 516.2.4OSPFLSDB過載保護 526.2.5DR\BDR的選舉和路由器ID的標識 526.3BGP路由協議 526.3.1BGP報文保護 526.3.2BGP對等體組PeerGroup 536.3.3BGP負載均衡 536.3操縱路由選擇更新 546.4.1路由重分發 546.4.2靜態路由和默認路由 556.4.3路由分發列表和映射表 566.4.4操縱管理距離 567網絡攻擊的趨勢和主流的網絡攻擊 577.1ARP攻擊 587.2DDOS攻擊 587.3TCPSYN攻擊 597.4口令攻擊 607.5緩沖區溢出攻擊 607.6蠕蟲病毒 607.7Land攻擊 617.8Vlan攻擊 611緒論1.1研究意義和背景計算機網絡安全已引起世界各國的關注，我國近幾年才逐漸開始在高等教育中滲透計算機網絡安全方面的基礎知識和網絡安全技術應用知識。隨著網絡高新技術的不斷發展，社會經濟建設與發展越來越依賴于計算機網絡，計算機網絡安全對我們生活的重要意義也不可同日而語。【1】2010年1月，國務院決定加快推進電信網、廣播電視網和互聯網三網融合，2010年至2012年廣電和電信業務雙向進入試點，2013年至2015年，全面實現三網融合。所謂三網融合即推進電信網、廣播電視網和互聯網三網互聯互通、資源共享，為用戶提供語音、數據和廣播電視等多種服務。此政策涉及領域廣泛，涉及上市公司眾多。這將導致未來幾年網絡規模以指數形式增長，網絡也會變得越來越復雜，承擔的任務越來越關鍵，給運營和管理網絡的人們帶來新的挑戰，很顯然這些快速發展的技術引發了新的安全問題。網絡安全對國民經濟的威脅、甚至對國家和地區的威脅也日益嚴重。【2】因此網絡安全扮演的角色也會越來越重要。與此同時，加快培養網絡安全方面的應用型人才、廣泛普及網絡安全知識和掌握網絡安全技術突顯重要和迫在眉睫。H3C設備是目前我國政府，企業，電信，教育行業的主流網絡設備生產商，研究旗下路由器，交換機以及安全設備，存儲設備的網絡安全系統的綜合部署對以后系統集成案例有很好的效仿作用。1.2目前研究現狀目前廣泛應用的網絡安全模型是機密性、完整性、可用性（CIA,confidentiality，integrity，andavailability）3項原則。這三項原則應指導所有的安全系統。CIA還為安全實施提供了一個度量工具。這些準則適用于安全分析的整個階段——從訪問一個用戶的Internet歷史到Internet上加密數據的安全。違反這3項原則中的任何一個都會給相關方帶來嚴重后果。【3】1.2.1局域網內部安全雖然很多攻擊是從外網展開的，但是部分攻擊也會源于內網，比如常見的ARP攻擊等等，系統的安全性不是取決于最堅固的那一部分，而是取決于最薄弱的環節。因此內網安全十分重要。【4】（1）基于ACL的訪問控制如今的網絡充斥著大量的數據，如果沒有任何適當的安全機制，則每個網絡都可以完全安全訪問其他網絡，而無需區分已授權或者未授權。控制網絡中數據流動有很多種方式，其中之一是使用訪問控制列表（通常稱作ACL，accesscontrollist）。ACL高效、易于配置，在H3C設備中易于部署和實現。【5】（2）同一個子網內PVLAN的應用PVLAN即私有VLAN（PrivateVLAN），PVLAN采用兩層VLAN隔離技術，只有上層VLAN全局可見，下層VLAN相互隔離。如果將交換機設備的每個端口化為一個（下層）VLAN，則實現了所有端口的隔離。PVLAN通常用于企業內部網，用來防止連接到某些接口或接口組的網絡設備之間的相互通信，但卻允許與默認網關進行通信。盡管各設備處于不同的PVLAN中，它們可以使用相同的IP子網，從而大大減少了IP地址的損耗，也防止了同一個子網內主機的相互攻擊。【6】（3）網關冗余備份機制VRRP（VirtualRouterRedundancyProtocol，虛擬路由冗余協議）是一種網關冗余備份協議。通常，一個網絡內的所有主機都設置一條缺省路由，這樣，主機發出的目的地址不在本網段的報文將被通過缺省路由發往網關，從而實現了主機與外部網絡的通信。當網關斷掉時，本網段內所有主機將斷掉與外部的通信。VRRP就是為解決上述問題而提出的。使用VRRP，可以通過手動或DHCP設定一個虛擬IP地址作為默認路由器。虛擬IP地址在路由器間共享，其中一個指定為主路由器而其它的則為備份路由器。如果主路由器不可用，這個虛擬IP地址就會映射到一個備份路由器的IP地址（這個備份路由器就成為主路由器）。【7】GLBP（GatewayLoadBanancingProtocol網關負載均衡協議)，和VRRP不同的是，GLBP不僅提供冗余網關，還在各網關之間提供負載均衡，而HRSP、VRRP都必須選定一個活動路由器，而備用路由器則處于閑置狀態,這會導致資源一定程度的浪費。和HRSP不同的是，GLBP可以綁定多個MAC地址到虛擬IP，從而允許客戶端選擇不同的路由器作為其默認網關，而網關地址仍使用相同的虛擬IP，從而實現一定的冗余和負載均衡。以上兩種協議不僅可以在H3C網絡設備使用，也可以在其它廠商的網絡設備中使用。1.2.2遠程接入和邊界安全遠程接入是直接接入到網絡系統內部，而接入控制器也往往處于網絡系統的邊界部分。因此邊界安全成為應對外部威脅和攻擊面對的第一道防線。【8】（1）網絡地址轉換(NAT)網絡地址轉換(NAT,NetworkAddressTranslation)屬接入廣域網(WAN)技術,是一種將私有(保留)地址轉化為合法IP地址的轉換技術,它被廣泛應用于各種類型Internet接入方式和各種類型的網絡中。原因很簡單，隨著接入Internet的計算機數量的不斷猛增，IP地址資源也就愈加顯得捉襟見肘。NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網絡外部的攻擊，隱藏并保護網絡內部的計算機。雖然NAT可以借助于某些代理服務器來實現，但考慮到運算成本和網絡性能，很多時候都是在H3C路由器上來實現的。（2）H3C硬件防火墻防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，使Internet與Intranet之間建立起一個安全網關（SecurityGateway），從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成。【9】（3）H3C入侵檢測系統（IPS）雖然防火墻可以根據IP地址和服務端口過濾數據包，但它對于利用合法地址和端口而從事的破壞活動則無能為力，防火墻主要在第二到第四層起作用，很少深入到第四層到第七層去檢查數據包。入侵預防系統也像入侵偵查系統一樣，專門深入網路數據內部，查找它所認識的攻擊代碼特征，過濾有害數據流，丟棄有害數據包，并進行記載，以便事后分析。除此之外，更重要的是，大多數入侵預防系統同時結合考慮應用程序或網路傳輸重的異常情況，來輔助識別入侵和攻擊。【10】（4）遠程接入VPN應用虛擬專用網（VPN）被定義為通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入，以實現安全連接；可用于實現企業網站之間安全通信的虛擬專用線路，用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。VPN主要采用隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術保證網絡安全。【11-12】1.2.3身份安全和訪問管理一種訪問管理的解決方案是建立一個基于策略的執行模型，確保用戶有一種安全的管理模型。針對網絡中所有設備與服務，這種管理模型的安全性可為用戶提供基于策略的訪問控制、審計、報表功能，使系統管理員可以實施基于用戶的私密性和安全策略。身份安全和訪問管理處于首要層面。【13】（1）AAA認證AAA，認證(Authentication)：驗證用戶的身份與可使用的網絡服務;授權(Authorization)：依據認證結果開放網絡服務給用戶;計帳(Accounting)：記錄用戶對各種網絡服務的用量，并提供給計費系統；整個系統在網絡管理與安全問題中十分有效。此項功能可以結合TACACS+服務器實現。【14】（2）IEEE802.1X802.1x協議是基于Client/Server的訪問控制和認證協議。它可以限制未經授權的用戶/設備通過接入端口(accessport)訪問LAN/WLAN。在獲得交換機或LAN提供的各種業務之前，802.1x對連接到交換機端口上的用戶/設備進行認證。在認證通過之前，802.1x只允許EAPoL（基于局域網的擴展認證協議）數據通過設備連接的交換機端口；認證通過以后，正常的數據可以順利地通過以太網端口。（3）網絡準入控制（NAC）網絡準入控制(NetworkAccesscontrol，NAC)是一項由思科發起、多家廠商參加的計劃，其宗旨是防止病毒和蠕蟲等新興黑客技術對企業安全造成危害。借助NAC，客戶可以只允許合法的、值得信任的端點設備(例如Pc、服務器、PDA)接入網絡，而不允許其它設備接人。在初始階段，當端點設備進入網絡時，NAC能夠幫助管理員實施訪問權限。此項決策可以根據端點設備的信息制定，例如設備的當前防病毒狀況以及操作系統補丁等。【15】（4）設備安全策略H3C設備，如路由器、交換機、防火墻和VPN集中器等都是網絡的組成部分，確保這些設備的安全是整體網絡安全策略的一個重要組成部分。物理安全要考慮網絡拓撲設計冗余、設備的安全位置、介質、電力供應等安全因素。對設備進行訪問時，必須采用密碼或者RSA認證，對遠程訪問采用更加安全的SSH協議，針對不同的用戶級別，設定不同的優先級等級。【16】1.2.4路由安全為了有一個安全的網絡，將安全作為網絡中流量怎樣流動的一部分是根本。因為路由協議決定流量在網絡中是怎樣流動的，所以確保以一種與網絡的安全需要相一致的方法選擇和實現路由協議很關鍵。（1）操縱路由選擇更新操作路由選擇更新的常用方法是路由分發列表，如果想進行更細致的調節可以設置相應的路由更新策略。當網絡中有兩種不同的路由協議時，可以采用上述策略。其它控制或防止生成動態路由選擇更新的方法主要有：被動接口，默認和靜態路由，操縱管理距離。（2）OSPF路由協議安全OSPF是一個被廣泛使用的內部網關路由協議。通過對路由器進行身份驗證，可避免路由器收到偽造的路由更新。使用回環接口作為路由器ID是OSPF網絡用以確保穩定性并從而確保安全的一個重要技術。針對區域的不同功能設定不同的區域類型。（3）BGP路由協議安全BGP是運行在當今Internet上大部分相互域間路由的路由協議，大型網絡比較常見。雖然，目前國內除運營商外大多數企業網絡選擇內部網關協議，然而對于有多條ISP鏈路的企業，邊界采用BGP對網絡還是很有優勢的。BGP通常采用對等體認證，路由過濾，路由抑制等手段來保證協議的安全性。1.3研究內容和擬解決的問題論文通過對目前網絡存在的安全問題進行分析，針對各種安全漏洞制定相應的安全解決方案。局域網安全部分，解決接入層子網的劃分，如何控制廣播風暴，防止物理鏈路失效，網關的冗余備份。邊界安全方面，包括隱藏內部地址，控制部分網段的訪問，遠程登錄。身份認證方面，保證對交換機、路由器等網絡設備的安全訪問的身份認證、授權和統計，合法用戶安全接入網絡。路由安全方面，如何對不同的路由協議采用安全認證，針對不同的網絡區域過濾不必要的路由更新。另外針對目前主流的網絡攻擊行為，采用不同的安全技術對其進行防御和反偵察。1.4結語網絡安全技術是一個永恒的，綜合性的課題，并不是我們的網絡采用了相關的防范技術，就不用考慮網絡安全因素了，一種安全技術只能解決一方面的問題，而不是萬能的。新型的攻擊手段總在不斷地涌現，最好的防范措施就是計算機網絡安全人員的安全意識。計算機操作人員需要不斷學習，不斷積累經驗，提高計算機網絡水平，這才是提高我們計算機網絡安全最重要的安全措施。【17】2網絡安全概述隨著網絡規模以指數形式增長，網絡變得越來越復雜，承擔的任務越來越關鍵，給運營和管理網絡的人們帶來了新的挑。很明顯需要包括語音、視頻和數據（全能）服務的綜合網絡基礎設施建設，但是這些快速發展的技術引發了新的安全問題。因此網絡管理員竭盡所能在網絡基礎設施里添加最新的技術，在構建和維護當今高速增長的網絡方面，網絡安全扮演了舉足輕重的角色。本章對當今快速變化網絡環境下的網絡安全進行了廣泛描述。網絡中最為常見的拓撲結構就是如圖2.1所示的三層網絡拓撲圖。圖2.1三層網絡結構圖2.1網絡安全的基本概念網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。網絡安全從其本質上來講就是網絡上的信息安全。從廣義來說，凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。2.2網絡安全的特征網絡安全應具有以下五個方面的特征：保密性：信息不泄露給非授權用戶、實體或過程，或供其利用的特性。完整性：數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。可用性：可被授權實體訪問并按需求使用的特性。即當需要時能否存取所需的信息。例如網絡環境下拒絕服務、破壞網絡和有關系統的正常運行等都屬于對可用性的攻擊。可控性：對信息的傳播及內容具有控制能力。可審查性：出現的安全問題時提供依據與手段。從網絡運行和管理者角度說，他們希望對本地網絡信息的訪問、讀寫等操作受到保護和控制，避免出現“陷門”、病毒、非法存取、拒絕服務和網絡資源非法占用和非法控制等威脅，制止和防御網絡黑客的攻擊。對安全保密部門來說，他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵，避免機要信息泄露，避免對社會產生危害，對國家造成巨大損失。從社會教育和意識形態角度來講，網絡上不健康的內容，會對社會的穩定和人類的發展造成阻礙，必須對其進行控制。2.3網絡安全策略計算機網絡系統的安全管理主要是配合行政手段，制定有關網絡安全管理的規章制度，在技術上實現網絡系統的安全管理，確保網絡系統的安全、可靠地運行，主要涉及以下四個方面：

2.3.1網絡物理安全策略計算機網絡系統物理安全策略的目的是保護計算機系統、網絡服務器、網絡用戶終端機、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和攻擊；驗證用戶的身份和使用權限、防止用戶越權操作；確保計算機網絡系統有一個良好的工作環境；建立完備的安全管理制度，防止非法進入計算機網絡系統控制室和網絡黑客的各種破壞活動。

2.3.2網絡訪問控制策略訪問控制策略是計算機網絡系統安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非常規訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。各種網絡安全策略必須相互配合才能真正起到保護作用，所以網絡訪問控制策略是保證網絡安全最重要的核心策略之一。2.3.3網絡信息加密策略信息加密策略主要是保護計算機網絡系統內的數據、文件、口令和控制信息等網絡資源的安全。2.3.4網絡安全管理策略在計算機網絡系統安全策略中，不僅需要采取網絡技術措施保護網絡安全，還必須加強網絡的行政安全管理，制定有關網絡使用的規章制度，對于確保計算機網絡系統的安全、可靠地運行，將會起到十分有效的作用。計算機網絡系統的安全管理策略包括：確定網絡安全管理等級和安全管理范圍；制定有關網絡操作使用規程和人員出入機房管理制度；制定網絡系統的管理維護制度和應急措施等等。3局域網安全3.1基于H3C系列交換機VLAN的應用VLAN技術的出現，主要為了解決交換機在進行局域網互連時無法限制廣播的問題。這種技術可以把一個LAN劃分成多個邏輯的LAN即VLAN，每個VLAN是一個廣播域，VLAN內的主機間通信就和在一個LAN內一樣，而VLAN間則不能直接互通，這樣，廣播報文被限制在一個VLAN內，從而最大程度的減少了廣播風暴的影響。VLAN可以增強局域網的安全性，含有敏感數據的用戶組可與網絡的其余部分隔離，從而降低泄露機密信息的可能性。不同VLAN內的報文在傳輸時是相互隔離的，即一個VLAN內的用戶不能和其它VLAN內的用戶直接通信，如果不同VLAN要進行通信，則需要通過路由器或三層交換機等三層設備，如圖3.1。圖3.1vlan部署圖從技術角度講，VLAN的劃分可依據不同原則，一般有以下三種劃分方法：1、基于端口的VLAN劃分這種劃分是把一個或多個交換機上的幾個端口劃分一個邏輯組，這是最簡單、最有效的劃分方法。該方法只需網絡管理員對網絡設備的交換端口進行重新分配即可，不用考慮該端口所連接的設備。2、基于MAC地址的VLAN劃分MAC地址其實就是指網卡的標識符，每一塊網卡的MAC地址都是惟一且固化在網卡上的。MAC地址由12位16進制數表示，前6位為網卡的廠商標識（OUI），后6位為網卡標識（NIC）。網絡管理員可按MAC地址把一些站點劃分為一個邏輯子網。3、基于路由的VLAN劃分路由協議工作在網絡層，相應的工作設備有路由器和路由交換機（即三層交換機）。該方式允許一個VLAN跨越多個交換機，或一個端口位于多個VLAN中。就目前來說，對于VLAN的劃分主要采取上述第1、3種方式，第2種方式為輔助性的方案。H3C低端系列以太網交換機支持的以太網端口鏈路類型有三種：Access類型：端口只能屬于1個VLAN，一般用于連接計算機；Trunk類型：端口可以屬于多個VLAN，可以接收和發送多個VLAN的報文，一般用于交換機之間的連接；Hybrid類型：端口可以屬于多個VLAN，可以接收和發送多個VLAN的報文，可以用于交換機之間連接，也可以用于連接用戶的計算機。交換機與工作站之間的連接接口配置為Access，交換機和交換機之間的連接一般采用Trunk端口，協議采用802.1q（ISL為cisco專用協議）。3.2基于VLAN的PVLAN技術的應用傳統的VLAN固然有隔離廣播風暴，增強局域網內部安全性等好處，然而不可避免的有以下幾個方面的局限性:（1）VLAN的限制：交換機固有的VLAN數目的限制；

（2）復雜的STP：對于每個VLAN，每個相關的Spanning

Tree的拓撲都需要管理；

（3）IP地址的緊缺：IP子網的劃分勢必造成一些IP地址的浪費；

（4）路由的限制：每個子網都需要相應的默認網關的配置。現在有了一種新的VLAN機制，所有服務器在同一個子網中，但服務器只能與自己的默認網關通信。這一新的VLAN特性就是專用VLAN（Private

VLAN）。在Private

VLAN的概念中，交換機端口有三種類型：Isolated

port，Community

port，Promiscuous

port；它們分別對應不同的VLAN類型：Isolated

port屬于Isolated

PVLAN,Community

port屬于Community

PVLAN，而代表一個Private

VLAN整體的是Primary

VLAN，前面兩類VLAN需要和它綁定在一起，同時它還包括Promiscuous

port。在Isolated

PVLAN中，Isolated

port只能和Promiscuous

port通信，彼此不能交換流量；在Community

PVLAN中Community

port不僅可以和Promiscuous

port通信，而且彼此也可以交換流量。Promiscuous

port

與路由器或第3層交換機接口相連,它收到的流量可以發往Isolated

port和Community

port。

PVLAN的應用對于保證接入網絡的數據通信的安全性是非常有效的，用戶只需與自己的默認網關連接，一個PVLAN不需要多個VLAN和IP子網就提供了具備第2層數據通信安全性的連接，所有的用戶都接入PVLAN，從而實現了所有用戶與默認網關的連接，而與PVLAN內的其他用戶沒有任何訪問。PVLAN功能可以保證同一個VLAN中的各個端口相互之間不能通信，但可以穿過Trunk端口。這樣即使同一VLAN中的用戶，相互之間也不會受到廣播的影響。目前很多廠商生產的交換機支持PVLAN技術，PVLAN技術在解決通信安全、防止廣播風暴和浪費IP地址方面的優勢是顯而易見的，而且采用PVLAN技術有助于網絡的優化，再加上PVLAN在交換機上的配置也相對簡單，PVLAN技術越來越得到網絡管理人員的青睞。3.3利用GVRP協議來管理VLAN通過使用GVRP，可以使同一局域網內的交換機接收來自其它交換機的VLAN注冊信息，并動態更新本地的VLAN注冊信息，包括：當前的VLAN、配置版本號、這些VLAN可以通過哪個端口到達等。而且設備能夠將本地的VLAN注冊信息向其它設備傳播，使同一局域網內所有設備的VLAN信息達成一致，減少由人工配置帶來的錯誤的可能性。對GVRP不熟悉的朋友，可以參考CISCO的VTP協議，兩者大同小異。如圖3-2：圖3-2GVRP組網示意圖SwitchC靜態配置了VLAN5，SwitchD靜態配置了vlan8，SwitchE靜態配置了VLAN5和VLAN7，SwitchA和SwitchB開啟了全局和端口的GVRP功能，這樣可以動態學習到VLAN5,VLAN7,VLAN8。端口有兩種注冊模式，一種是fixed，即禁止端口動態注冊VLAN，僅允許本地創建的VLAN向外傳播；另一種注冊模式為forbidden，即禁止端口動態注冊VLAN，僅允許缺省VLAN1向外傳播。3.4H3C交換機設備之間的端口匯聚端口匯聚是將多個以太網端口匯聚在一起形成一個邏輯上的匯聚組，使用匯聚服務的上層實體把同一匯聚組內的多條物理鏈路視為一條邏輯鏈路。將多個物理鏈路捆綁在一起后，不但提升了整個網絡的帶寬，而且數據還可以同時經由被綁定的多個物理鏈路傳輸，具有鏈路冗余的作用，在網絡出現故障或其他原因斷開其中一條或多條鏈路時，剩下的鏈路還可以工作。這樣，同一匯聚組的各個成員端口之間彼此動態備份，提高了連接可靠性，增強了負載均衡的能力。圖3.3以太網端口匯聚配置示例圖對于H3C的交換機設備做端口匯聚時，必須注意以下幾點：做端口匯聚時，H3C交換機最多可以包括8個端口，這些端口不必是連續分布的，也不必位于相同的模塊中；至于有幾個匯聚組則視交換機的類型而定。一個匯聚組內的所有端口必須使用相同的協議如LACP。一個匯聚組內的端口必須有相同的速度和雙工模式。一個端口不能再相同時間內屬于多個匯聚組。一個匯聚組內的所有端口都必須配置到相同的接入VLAN中。3.5啟用端口鏡像對流量進行監控由于部署IDS和IPS等產品需要監聽網絡流量（網絡分析儀同樣也需要），但是在目前廣泛采用的交換網絡中監聽所有流量有相當大的困難，因此需要通過配置交換機來把一個或多個端口（VLAN）的數據轉發到某一個端口來實現對網絡的監聽，這樣就產生了端口鏡像。端口鏡像（portMirroring)分為本地端口鏡像和遠程端口鏡像兩種。本地端口鏡像是指將設備的一個或多個端口（源端口）的報文復制到本地設備的一個監視端口（目的端口），用于報文的分析和監視。其中，源端口和目的端口必須在同一臺設備上。如圖3.4：SwitchC的端口E1/0/3可以把端口研發部所連得端口E1/0/1和市場部連接的E1/0/2端口的流量復制過來,然后交給數據檢測設備分析，從而可以對危險流量進行隔離和控制。圖3.4本地端口鏡像實例圖遠程端口鏡像突破了源端口和目的端口必須在同一臺設備上的限制，使源端口和目的端口可以跨越網絡中的多個設備，從而方便網絡管理人員對遠程設備上的流量進行監控。為了實現遠程端口鏡像功能，需要定義一個特殊的VLAN，稱之為遠程鏡像VLAN（Remote-probeVLAN）。所有被鏡像的報文通過該VLAN從源交換機的反射口傳遞到目的交換機的鏡像端口，實現在目的交換機上對源交換機端口收發的報文進行監控的功能。遠程端口鏡像的應用示意圖如圖3.5所示。對部門1和部門2的流量進行監控，SwitchA為源交換機：被監控的端口所在的交換機，負責將鏡像流量復制到反射端口，然后通過遠程鏡像VLAN傳輸給中間交換機或目的交換機；SwitchB為中間交換機：網絡中處于源交換機和目的交換機之間的交換機，通過遠程鏡像VLAN把鏡像流量傳輸給下一個中間交換機或目的交換機，如果源交換機與目的交換機直接相連，則不存在中間交換機；SwitchC為目的交換機：遠程鏡像目的端口所在的交換機，將從遠程鏡像VLAN接收到的鏡像流量通過鏡像目的端口轉發給監控設備。圖3.5遠程端口鏡像實例圖3.6構建安全的STP生成樹體系STP協議最主要的應用是為了避免局域網中的網絡環回，解決以太網網絡的“廣播風暴”問題，從某種意義上說是一種網絡保護技術，可以消除由于失誤或者意外帶來的循環連接，各大交換機設備廠商默認開啟STP協議。H3C交換機支持的生成樹協議有三種類型，分別是STP（IEEE802.1D）、RSTP（IEEE802.1W）和MSTP（IEEE802.1S），這三種類型的生成樹協議均按照標準協議的規定實現，采用標準的生成樹協議報文格式。手動指定根網橋不要讓STP來決定選舉哪臺交換機為根網橋。對于每個VLAN，您通常可以確定哪臺交換機最適合用做根網橋。哪臺交換機最適合用做根網橋取決于網絡設計，一般而言，應選擇位于網絡中央的功能強大的交換機。如果讓根網橋位于網絡中央，并直接連接到多臺服務器和路由器，通常可縮短客戶端到服務器和路由器的距離。對于VLAN，靜態地指定要用做根網橋和備用（輔助）根網橋的交換機。多層交換體系中部署MSTPMSTP（MultIPleSpanningTreeProtocol）是把IEEE802.1w的快速生成樹（RST）算法擴展而得到的，體現的是將多個VLAN映射到一個生成樹實例的能力。STP不能遷移，RSTP可以快速收斂，但和STP一樣不能按VLAN阻塞冗余鏈路，所有VLAN的報文都按一顆生成樹進行轉發。MSTP兼容STP和RSTP，從而彌補STP和RSTP的缺陷，不但可以快速收斂，同時還提供了數據轉發的多個冗余路徑，使不同VLAN的流量沿各自的路徑分發，在數據轉發過程中實現VLAN數據的負載均衡，使設備的利用率達到最高。圖3.6MST配置組網圖圖3.6所示：網絡中所有交換機屬于同一個MST域；VLAN10的報文沿著實例1轉發，VLAN30沿著實例3轉發，VLAN40沿著實例4轉發，VLAN20沿著實例0轉發；0中SwitchA和SwitchB為匯聚層設備，SwitchC和SwitchD為接入層設備。VLAN10、VLAN30在匯聚層設備終結，VLAN40在接入層設備終結，因此可以配置實例1和實例3的樹根分別為SwitchA和SwitchB，實例4的樹根為SwitchC。3.7多層交換體系中部署VRRP隨著Internet的發展，人們對網絡可靠性,安全性的要求越來越高。對于終端用戶來說，希望時時與網絡其他部分保持通信。VRRP（VirtualRouterRedundancyProtocol，虛擬路由冗余協議）是一種容錯協議，它保證當主機的下一跳路由器失效時，可以及時由另一臺路由器代替，從而保持通信的連續性和可靠性。Cisco系列交換機更多的采用思科廠商專用的HSRP（HotStandbyRouterProtocol，熱備份路由器協議）為了使VRRP工作，要在路由器上配置虛擬路由器號和虛擬IP地址，同時會產生一個虛擬MAC(00-00-5E-00-01-[VRID])地址，這樣在這個網絡中就加入了一個虛擬路由器。一個虛擬路由器由一個主路由器和若干個備份路由器組成，主路由器實現真正的轉發功能。當主路由器出現故障時，一個備份路由器將成為新的主路由器，接替它的工作,避免備份組內的單臺或多臺交換機發生故障而引起的通信中斷。圖3.7VRRP協議部署圖圖3.7所示：主機A把交換機A和交換機B組成的VRRP備份組作為自己的缺省網關，訪問Internet上的主機B。備份組號可以自己設定；主路由是交換機A還是交換機B，取決于兩者的優先級，高的成為主路由，優先級一樣比較IP地址，誰的大誰是主路由，另外一臺作為備份路由；VRRP默認搶占開啟。3.8IRF技術的應用IRF（IntelligentResilientFramework，智能彈性架構）是H3C公司融合高端交換機的技術，在中低端交換機上推出的創新性建設網絡核心的新技術。它將幫助用戶設計和實施高可用性、高可擴展性和高可靠性的千兆以太網核心和匯聚主干。在堆疊之前要先了解堆疊設備的規格，一個堆疊最多支持多少個設備，或者最多支持多少個端口。在系統啟動時、新Unit加入時、merge時都會進行配置比較。配置比較時將以最小ID的Unit的配置作為參照基準。比較結果不同的Unit將把基準配置保存為臨時文件，然后重起。重起時將采用這個臨時文件作為自己的配置。為增加堆疊的可靠性，盡量使用環形堆疊。IRF設備堆疊端口相連時一定是UP端口和另一臺設備的DOWN端口相連。圖3.7S58系列以太網交換機在企業網/園區網的應用在大中型企業或園區網中，S58系列以太網交換機作為大樓匯聚交換機，通過IRF智能彈性架構將多臺匯聚交換機虛擬為一臺邏輯設備，從而簡化管理維護，實現彈性擴展。此外H3C的開發業務架構也可以使S58系列交換機集成防火墻模塊，提高網絡安全性，而在集成了無線控制器模塊以后，可以集中配置管理無線接入點，從而使S58系列交換機提供一套完整的有線無線一體化的解決方案。4邊界網絡安全網絡邊界就是網絡的大門，大門的安全防護是網絡安全的基礎需求。隨著網絡的日益復雜，域邊界的概念逐漸替代了網絡邊界，邊界成了網絡安全區域之間安全控制的基本點。黑客攻擊與廠家防護技術都會最先出現在這里，然后在對抗中逐步完善與成熟起來。在本文中，邊界安全主要是指企業網在互聯網接入這部分。對邊界進行安全防護，首先必須明確哪些網絡邊界需要防護，這可以通過安全分區設計來確定。定義安全分區的原則就是首先需要根據業務和信息敏感度定義安全資產，其次對安全資產定義安全策略和安全級別，對于安全策略和級別相同的安全資產，就可以認為屬于同一安全區域。根據以上原則，H3C提出以下的安全分區設計模型，主要包括內網辦公區、數據中心區、外聯數據區、互聯網連接區、對外連接區、網絡管理區、廣域網連接區等區域。圖4.0H3C提出的安全分區設計模型通過以上的分區設計和網絡現狀，H3C提出了以防火墻、VPN和應用層防御系統為支撐的深度邊界安全解決方案。4.1NAT技術的應用NAT（NetworkAddressTranslation，網絡地址轉換)屬接入廣域網(WAN)技術,是一種將私有(保留)地址轉化為合法IP地址的轉換技術,它被廣泛應用于各種類型Internet接入方式和各種類型的網絡中。NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網絡外部的攻擊，隱藏并保護網絡內部的計算機。如圖4.1所示，運用NAT技術隱藏了局域網內部的網段，在Internet網上顯示的是網段。圖4.1NAT技術組網圖NAT的實現方式有三種，即靜態轉換StaticNat、動態轉換DynamicNat和端口多路復用PAT。靜態轉換是指將內部網絡的私有IP地址轉換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉換為某個公有IP地址。借助于靜態轉換，可以實現外部網絡對內部網絡中某些特定設備(如服務器)的訪問。動態轉換是指將內部網絡的私有IP地址轉換為公用IP地址時，IP地址是不確定的，是隨機的，所有被授權訪問上Internet的私有IP地址可隨機轉換為任何指定的合法IP地址。也就是說，只要指定哪些內部地址可以進行轉換，以及用哪些合法地址作為外部地址時，就可以進行動態轉換。動態轉換可以使用多個合法外部地址集。當ISP提供的合法IP地址略少于網絡內部的計算機數量時。可以采用動態轉換的方式。端口多路復用(PortaddressTranslation,PAT)是指改變外出數據包的源端口并進行端口轉換，即端口地址轉換(PAT，PortAddressTranslation)。采用端口多路復用方式。內部網絡的所有主機均可共享一個合法外部IP地址實現對Internet的訪問，從而可以最大限度地節約IP地址資源。同時，又可隱藏網絡內部的所有主機，有效避免來自internet的攻擊。因此，目前網絡中應用最多的就是端口多路復用方式。4.2ACL技術的應用ACL（AccessControlList，訪問控制列表）在路由器中被廣泛采用，它是一種基于包過濾的流控制技術。目前有兩種主要的ACL:標準ACL和擴展ACL。標準的ACL使用1-99以及1300-1999之間的數字作為表號，擴展的ACL使用100-199以及2000-2699之間的數字作為表號。標準ACL可以阻止來自某一網絡的所有通信流量，或者允許來自某一特定網絡的所有通信流量，或者拒絕某一協議簇（比如IP）的所有通信流量。如圖4.2所示,VLAN10可以拒絕VLAN11的所有訪問流量。擴展ACL比標準ACL提供了更廣泛的控制范圍,擴展IP訪問控制列表比標準IP訪問控制列表具有更多的匹配項，包括協議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優先級等。如圖4.2所示服務器所在的VLAN1可以允許客戶的80端口訪問。一個端口執行哪條ACL，這需要按照列表中的條件語句執行順序來判斷。如果一個數據包的報頭跟表中某個條件判斷語句相匹配，那么后面的語句就將被忽略，不再進行檢查。數據包只有在跟第一個判斷條件不匹配時，它才被交給ACL中的下一個條件判斷語句進行比較。如果匹配（假設為允許發送），則不管是第一條還是最后一條語句，數據都會立即發送到目的接口。如果所有的ACL判斷語句都檢測完畢，仍沒有匹配的語句出口，則該數據包將視為被拒絕而被丟棄。圖4.2ACL技術組網圖另外還有一些特殊情況下的ACL技術的應用：基于MAC地址的ACL:二層ACL根據源MAC地址、目的MAC地址、802.1p優先級、二層協議類型等二層信息制定規則，對數據進行相應處理。二層ACL的序號取值范圍為4000～4999。如圖4.2所示：PC2可以針對PC3的MAC地址進行限制。用戶自定義的ACL:非用戶自定義的ACL一旦制定之后，修改起來十分麻煩，要把整個ACL去掉，然后才能重新建立生效，然而用戶自定義的ACL解決了這一問題，可以在原有的ACL基礎上進行修改。在Qos中應用ACL:QosACL指定了Qos分類、標記、控制和調度將應用于那些數據包，也可以基于時間段、流量監管、隊列調度、流量統計、端口重定向、本地流鏡像以及WEBCache重定向的功能及應用部署相關的ACL。在VLAN中應用ACL：VACL又稱為VLAN的訪問映射表，應用于VLAN中的所有通信流。需要先建立一個普通的ACL列表，然后建立一個關于VLAN的訪問映射表將建立的ACL列表包含進去，最后把訪問映射表映射到所需要的VLANA。4.3VPN技術的應用VPN（VirtualPrivateNetwork，虛擬私有網）是近年來隨著Internet的廣泛應用而迅速發展起來的一種新技術，實現在公用網絡上構建私人專用網絡。VPN只為特定的企業或用戶群體所專用。從用戶角度看來，使用VPN與傳統專網沒有任何區別。VPN作為私有專網，一方面與底層承載網絡之間保持資源獨立性，即在一般情況下，VPN資源不會被網絡中的其它VPN或非該VPN用戶使用；另一方面，VPN提供足夠安全性，能夠確保VPN內部信息的完整性、保密性、不可抵賴性。圖4.3VPN技術典型組網圖如圖4.3所示，在企業互聯網出口部署防火墻和VPN設備，分支機構及移動辦公用戶分別通過VPN網關和VPN客戶端安全連入企業內部網絡；同時通過防火墻和IPS將企業內部網、DMZ、數據中心、互聯網等安全區域分隔開，并通過制定相應的安全規則，以實現各區域不同級別、不同層次的安全防護。H3C公司的安全解決方案的VPN特性非常豐富，包括適用于分支機構的動態VPN（DVPN）解決方案、適用于MPLSVPN和IPSecVPN環境下的VPE解決方案、適用于鏈路備份的VPN高可用方案等，可以滿足各種VPN環境的需要。接下來我們介紹下VPN領域的一些主流技術。4.3.1IPsecVPN的應用IPsec(IPSecurity)是保障IP層安全的網絡技術，它并不是指某一項具體的協議，而是指用于實現IP層安全的協議套件集合。IPsec實質上也是一種隧道傳輸技術，它將IP分組或IP上層載荷封裝在IPsec報文內，并根據需要進行加密和完整性保護處理，以此保證數據在公共網絡中傳輸過程的安全。IPsec支持兩種協議標準，鑒別首部(AuthenticaionHeader，AH)和封裝安全有效載荷(EncapsulationSecurityPayload，ESP)：AH可證明數據的起源地(數據來源認證)、保障數據的完整性以及防止相同的數據包不斷重播(抗重放攻擊);ESP能提供的安全服務則更多，除了上述AH所能提供的安全服務外，還能提供數據機密性，這樣可以保證數據包在傳輸過程中不被非法識別;AH與ESP提供的數據完整性服務的差別在于，AH驗證的范圍還包括數據包的外部IP頭。在建立IPsec隧道的時候還需要用到一個重要的協議即IKE協議，通過建立IKE的兩個階段，完成數據的傳送。4.3.2IPsec上的GRE隧道GRE（GenericRoutingEncapsulation，通用路由封裝）隧道已經應用了很長的一段時間，GRE首先由Cisco公司提出，目的是提供IP網絡承載其他路由協議。某些網絡管理員為了降低其網絡核心的管理開銷，將除IP外的所有傳送協議都刪除了，因而IPX和AppleTalk等非IP協議只能通過GRE來穿越IP核心網絡。如圖4.4所示。圖4.4IPX網絡通過GRE隧道互連GRE是無狀態協議，與IPsec隧道不同，端點在通過隧道發送流量之前并不調整任何參數，只要隧道目的地是可路由的，流量就可以穿過GRE隧道。GRE的源動力就是任何東西都可以被封裝在其中，GRE的主要應用就是在IP網絡中承載非IP包，這個恰恰是IPsec所不能的。另外與IPsec不同，GRE允許路由協議（OSPF和BGP）穿越連接。但是GRE隧道不提供安全特性，不會對流量進行加密、完整性驗證，而IPsec剛好解決了這個難題，這樣基于IPsec的GRE的VPN強大功能特性就充分體現了。4.3.3二層VPN技術L2TP的應用L2TP提供了一種遠程接入訪問控制的手段，其典型的應用場景是：某公司員工通過PPP撥入公司本地的網絡訪問服務器(NAS)，以此接入公司內部網絡，獲取IP地址并訪問相應權限的網絡資源該員工出差到外地，此時他想如同在公司本地一樣以內網IP地址接入內部網絡，操作相應網絡資源，他的做法是向當地ISP申請L2TP服務，首先撥入當地ISP，請求ISP與公司NAS建立L2TP會話，并協商建立L2TP隧道，然后ISP將他發送的PPP數據通道化處理，通過L2TP隧道傳送到公司NAS，NAS就從中取出PPP數據進行相應的處理，如此該員工就如同在公司本地那樣通過NAS接入公司內網。L2TP本質上是一種隧道傳輸協議，它使用兩種類型的消息：控制消息和數據隧道消息。控制消息負責創建、維護及終止L2TP隧道，而數據隧道消息則負責用戶數據的真正傳輸。L2TP支持標準的安全特性CHAP和PAP，可以進行用戶身份認證。在安全性考慮上，L2TP僅定義了控制消息的加密傳輸方式，對傳輸中的數據并不加密。L2TP與IPsec的一個最大的不同在于它不對隧道傳輸中的數據進行加密，從而沒法保證數據傳輸過程中的安全。因此這個時候，L2TP常和IPsec結合使用，先使用L2TP封裝第二層數據，再使用IPsec封裝對數據進行加密和提供完整性保護，由此保證通信數據安全傳送到目的地。因此就一般企業用戶構建安全的VPN而言，應該使用IPsec技術，當然如果需要實現安全的VPDN，就應該采用L2TP+IPsec組合技術。4.3.4SSLVPN技術的應用SSL協議提供了數據私密性、端點驗證、信息完整性等特性。SSL協議由許多子協議組成，其中兩個主要的子協議是握手協議和記錄協議。握手協議允許服務器和客戶端在應用協議傳輸第一個數據字節以前，彼此確認，協商一種加密算法和密碼鑰匙。在數據傳輸期間，記錄協議利用握手協議生成的密鑰加密和解密后來交換的數據。SSL獨立于應用，因此任何一個應用程序都可以享受它的安全性而不必理會執行細節。SSL置身于網絡結構體系的傳輸層和應用層之間。與復雜的IPSecVPN相比，SSL通過簡單易用的方法實現信息遠程連通。任何安裝瀏覽器的機器都可以使用SSLVPN，這是因為SSL內嵌在瀏覽器中，它不需要像傳統IPSecVPN一樣必須為每一臺客戶機安裝客戶端軟件。IPSecVPN最大的難點在于客戶端需要安裝復雜的軟件，而且當用戶的VPN策略稍微有所改變時，VPN的管理難度將呈幾何級數增長。SSLVPN則正好相反，客戶端不需要安裝任何軟件或硬件，使用標準的瀏覽器，就可通過簡單的SSL安全加密協議，安全地訪問網絡中的信息。SSLVPN相對IPsecVPN主要有以下優點：方便：實施SSLVPN之需要安裝配置好中心網關即可。其余的客戶端是免安裝的，因此，實施工期很短，如果網絡條件具備，連安裝帶調試，1-2天即可投入運營。容易維護：SSLVPN維護起來簡單，出現問題，就維護網關就可以了。如果有雙機備份的話，就可以啟用備份路由器。安全:SSLVPN是一個安全協議，數據全程加密傳輸的。另外，由于SSL網關隔離了內部服務器和客戶端，只留下一個Web瀏覽接口，客戶端的大多數病毒木馬感染不倒內部服務器。而SSLVPN就不一樣，實現的是IP級別的訪問，遠程網絡和本地網絡幾乎沒有區別。4.3.5DVPN技術的應用DVPN（DynamicVirtualPrivateNetwork,動態虛擬私有網絡技術）通過動態獲取對端的信息建立VPN連接。DVPN提出了NBMA類型的隧道機制，使用Tunnel邏輯接口作為DVPN隧道的端點，完成DVPN報文的封裝和發送，同時通過Tunnel接口完成私網路由的動態學習。DVPN采用了Client和Server的方式解決了傳統VPN的缺陷，Client通過在Server注冊，將Client自己的信息在Sever進行保存，這樣Client可以通過Server的重定向功能得到其它Client的信息，從而可以在Client之間建立獨立的Session（會話，進行數據傳輸的通道）。當多個DVPN接入設備通過向共同的Server進行注冊，構建一個DVPN域，就實現了各個DVPN接入設備后面的網絡的VPN互聯。所有通過DVPN實現互連的私有網絡以及網絡中的防火墻、路由器設備共同構成DVPN域。DVPN不但繼承了傳統VPN的各種優點，更大程度上解決了傳統VPN目前還沒有解決的問題。配置簡單、網絡規劃簡單、功能強大，比傳統的VPN更加符合目前以及未來的網絡應用。其特點如下：配置簡單:一個DVPN接入設備可以通過一個tunnel邏輯接口和多個VPN接入設備建立會話通道，而不用為每一個通道配置一個邏輯的接口作為隧道的端點，大大的簡化了配置的復雜度，提高了網絡的可維護性和易擴充性。支持依賴動態IP地址構建VPN:當在一個DVPN域內部構建隧道時，只需要指定相應的Server的IP地址，并不關心自己當前使用的IP地址是多少，更加適應如普通撥號、xdsl撥號等使用動態IP地址的組網應用。支持自動建立隧道技術:DVPN中的server維護著一個DVPN域中所有接入設備的信息，DVPN域中的client可以通過server的重定向功能自動獲得需要進行通信的其它client的信息，并最終在兩個client之間自動建立會話隧道（session）。支持多個VPN域:DVPN允許用戶在一臺DVPN設備上支持多個VPN域。即一臺防火墻不僅可以屬于VPNA，也可以屬于VPNB；同一設備可以在VPNA中作為client設備，同時還在VPNB中作為server設備使用。4.3.6VPN技術在MPLS網絡中的應用MPLSVPN是一種基于MPLS（MultiprotocolLabelSwitching，多協議標簽交換）技術的VPN技術，是在網絡路由和交換設備上應用MPLS技術，簡化核心路由器的路由選擇方式，利用結合傳統路由技術的標記交換實現的IP虛擬專用網絡（IPVPN），可用來構造寬帶的Intranet、Extranet，滿足多種靈活的業務需求。傳統VPN使用第二層隧道協議（L2TP、L2F和PPTP等）或者第三層隧道技術（IPsec、GRE等），獲得了很大成功，被廣泛應用。但是，隨著VPN范圍的擴大，傳統VPN在可擴展性和可管理性等方面的缺陷越來越突出。通過MPLS技術可以非常容易地實現基于IP技術的VPN業務，而且可以滿足VPN可擴展性和管理的需求。利用MPLS構造的VPN，通過配置，可將單一接入點形成多種VPN，每種VPN代表不同的業務，使網絡能以靈活方式傳送不同類型的業務。圖4.5MPLSVPN模型如上圖所示，MPLSVPN模型中，包含三個組成部分：CE、PE和P。CE（CustomerEdge）設備：是用戶網絡邊緣設備，有接口直接與服務提供商相連，可以是路由器或是交換機等。CE“感知”不到VPN的存在。PE（ProviderEdge）路由器：即運營商邊緣路由器，是運營商網絡的邊緣設備，與用戶的CE直接相連。MPLS網絡中，對VPN的所有處理都發生在PE路由器上。P（Provider）路由器：運營商網絡中的骨干路由器，不和CE直接相連。P路由器需要支持MPLS能力。CE和PE的劃分主要是從運營商與用戶的管理范圍來劃分的，CE和PE是兩者管理范圍的邊界。安全網關可以用于CE或PE設備。4.4H3CSecPath系列防火墻/VPN的部署防火墻是最主流也是最重要的安全產品，是邊界安全解決方案的核心。它可以對整個網絡進行區域分割，提供基于IP地址和TCP/IP服務端口等的訪問控制；對常見的網絡攻擊，如拒絕服務攻擊、端口掃描、IP欺騙、IP盜用等進行有效防護；并提供NAT地址轉換、流量限制、用戶認證、IP與MAC綁定、智能蠕蟲防護等安全增強措施。H3CSecPathF5000-A5是目前全球處理性能最高的分布式防火墻，旨在滿足大型企業、運營商和數據中心網絡高性能的安全防護。SecPathF5000-A5采用多核多線程、ASIC等先進處理器構建分布式架構，將系統管理和業務處理相分離，實現整機吞吐量達到40Gbps，使其具有全球最高性能的分布式安全處理能力。SecPathF5000-A5支持外部攻擊防范、內網安全、流量監控、郵件過濾、網頁過濾、應用層過濾等功能，能夠有效的保證網絡的安全；采用ASPF（ApplicationSpecificPacketFilter）應用狀態檢測技術，可對連接狀態過程和異常命令進行檢測；支持多種VPN業務，如L2TPVPN、GREVPN、IPSecVPN和動態VPN等，可以構建多種形式的VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由。圖4.6SecPathF5000-A5組網實例H3CSecPathF1000系列防火墻總共有五款產品主要應用于大中型企業H3CSecPathF100系列防火墻總共有七款產品，主要應用于中小型企業。這兩個系列產品都具有支持外部攻擊防范、內網安全、流量監控、郵件過濾、網頁過濾、應用層過濾等功能。SecPathV100-S是H3C公司面向中小型企業用戶開發的新一代專業VPN網關設備。支持多種VPN業務，如L2TPVPN、GREVPN、IPSecVPN和動態VPN等，可以構建多種形式的VPN；采用ASPF（ApplicationSpecificPacketFilter）應用狀態檢測技術，可對連接狀態過程和異常命令進行檢測；提供多種智能分析和管理手段，支持郵件告警，支持多種日志，提供網絡管理監控，協助網絡管理員完成網絡的安全管理；提供基本的路由能力，支持RIP/OSPF/BGP路由策略及策略路由；支持豐富的QoS特性，提供流量監管、流量整形及多種隊列調度策略。圖4.7SecPathV100-E網關在線部署模式SecPathSSLVPN系列網關是SecPath系列產品的新成員，是H3C公司開發的新一代專業安全產品。SecPathSSLVPN網關能夠讓用戶直接使用瀏覽器訪問內部網絡資源，無需安裝客戶端軟件，提供了高經濟、低成本的遠程移動安全接入方式。如圖4.7所示,SecPathV100-E作為集IPSecVPN和SSLVPN功能與一體的專業VPN網關，還具有完善的防火墻功能，能夠有效的保護網絡安全；采用應用狀態檢測技術，可對連接狀態過程和異常命令進行檢測；提供多種智能分析和管理手段；提供基本的路由能力，支持路由策略及策略路由；支持豐富的QoS特性。4.5H3C的各類安全模塊4.5.1H3CSecBladeFW模塊H3CSecBladeFW是業內第一款萬兆高性能防火墻模塊，可應用于H3CS5800/S7500E/S9500E交換機以及SR6600/SR8800路由器。SecBladeFW集成防火墻、VPN、內容過濾和NAT地址轉換等功能，提升了網絡設備的安全業務能力，為用戶提供全面的安全防護。能提供外部攻擊防范、內網安全