虚链路(Virtual Link)

4.1.5 虚链路(Virtual Link)
以下两种情况需要使用到虚链路:
1. 通过一个非骨干区域连接到一个骨干区域。

2. 通过一个非骨干区域连接一个分段的骨干区域两边的部分区域。

虚链接是一个逻辑的隧道（Tunnel）,配置虚链接的一些规则:
1. 虚链接必须配置在2个ABR之间。

2. 虚链接所经过的区域叫Transit Area,它必须拥有完整的路由信息。

3. Transit Area不能是Stub Area。

4. 尽可能的避免使用虚链接,它增加了网络的复杂程度和加大了排错的难
度。

4.2路由规划拓扑图
4.3 IP地址规划
标识网络中的一个节点。

IP 地址空间的分配，要与网络层次结构相
适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活
性，同时能满足路由协议的要求，提高路由算法的效率，加快路由变
化的收敛速度。

我们根据以下几个原则来分配IP 地址：
唯一性：一个IP 网络中不能有两个主机采用相同的IP 地址
简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项
连续性：连续地址在层次结构网络中易于进行路由总结(Route
Summarization)，大大缩减路由表，提高路由算法的效率
可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址总结所需的连续性
灵活性：地址分配应具有灵活性，可借助可变长子网掩码技术
(VLSM Variable-Length Subnet Mask)，以满足多种路由策略的优
化，充分利用地址空间。

部门网段子网掩码网关地址广播地址VLAN
总部市场部10.1.1.0 255.255.255.0 10.1.1.1 10.1.1.255 2 财务部10.1.2.0 255.255.255.0 10.1.2.1 10.1.2.255 3 营销部10.1.3.0 255.255.255.0 10.1.3.1 10.1.3.255 4 人事部10.1.4.0 255.255.255.0 10.1.4.1 10.1.4.255 5 科研部10.1.5.0 255.255.255.0 10.1.5.1 10.1.5.255 6 行政部10.1.6.0 255.255.255.0 10.1.6.1 10.1.6.255 7
部门网段子网掩码子网网段网关地址广播地址保留地址VLAN
市场部10.10.0.0 255.255.255.224 10.10.0.0/27 10.10.0.1 10.10.0.31 6个 2 财务部10.10.0.0 255.255.255.248 10.10.0.96/29 10.10.0.97 10.10.0.103 1个 3
营销部10.10.0.0 255.255.255.224 10.10.0.32/27 10.10.0.33 10.10.0.63 10个 4 分部
人事部10.10.0.0 255.255.255.240 10.10.0.64/28 10.10.0.65 10.10.0.79 4个 5 科研部10.10.0.0 255.255.255.240 10.10.0.80/28 10.10.0.81 10.10.0.95 4个 6 行政部10.10.0.0 255.255.255.248 10.10.0.104/29 10.10.0.105 10.10.0.111 1个7
第五章网络安全解决方案
5.1 网络边界安全威胁分析
与非安全网络的互联面临的安全问题与网络内部的安全是不同的，主要的原因是
攻击人是不可控的，攻击是不可溯源的，也没有办法去“封杀”，一般来说网络边
界上的安全问题主要有下面几个方面：
1、信息泄密：网络上的资源是可以共享的，但没有授权的人得到了他不
该得到的资源，信息就泄露了。

一般信息泄密有两种方式：
∙攻击者(非授权人员)进入了网络，获取了信息，这是从网络内部的泄密∙合法使用者在进行正常业务往来时，信息被外人获得，这是从网络外部的泄密
2、入侵者的攻击：互联网是世界级的大众网络，网络上有各种势力与团体。

入侵就是有人通过互联网进入你的网络(或其他渠道)，篡改数据，或实施破坏行为，造成你网络业务的瘫痪，这种攻击是主动的、有目的、甚至是有组织的行为。

3、网络病毒：与非安全网络的业务互联，难免在通讯中带来病毒，一旦在你的网络中发作，业务将受到巨大冲击，病毒的传播与发作一般有不确定的随机特性。

这是“无对手”、“无意识”的攻击行为。

4、木马入侵：木马的发展是一种新型的攻击行为，他在传播时象病毒一样自由扩散，没有主动的迹象，但进入你的网络后，便主动与他的“主子”联络，从而让主子来控制你的机器，既可以盗用你的网络信息，也可以利用你的系统资源为他工作，比较典型的就是“僵尸网络”。

来自网络外部的安全问题，重点是防护与监控。

来自网络内部的安全，人员是可控的，可以通过认证、授权、审计的方式追踪用户的行为轨迹，也就是我们说的行为审计与合轨性审计。

由于有这些安全隐患的存在，在网络边界上，最容易受到的攻击方式有下面几种：
1、黑客入侵：入侵的过程是隐秘的，造成的后果是窃取数据与系统破坏。

木马的入侵也属于黑客的一种，只是入侵的方式采用的病毒传播，达到的效果与黑客一样。

2、病毒入侵：病毒就是网络的蛀虫与垃圾，大量的自我繁殖，侵占系统与网络资源，导致系统性能下降。

病毒对网关没有影响，就象“走私”团伙，一旦进入网络内部，便成为可怕的“瘟疫”，病毒的入侵方式就象“水”的渗透一样，看似漫无目的，实则无孔不入。

3、网络攻击：网络攻击是针对网络边界设备或系统服务器的，主要的目的是中断网络与外界的连接，比如DOS攻击，虽然不破坏网络内部的数据，但阻塞了应用的带宽，可以说是一种公开的攻击，攻击的目的一般是造成你服务的中断。

5.2 网络内部安全威胁分析
公司内部网络的风险分析主要针对整个内网的安全风险，主要表现为以下几个方面：
1.内部用户的非授权访问；内部的资源也不是对任何的员工都开放的，也需要有相应的访问权限。

内部用户的非授权的访问，更容易造成资源和重要信息的泄漏。

2.内部用户的误操作；由于内部用户的计算机造作的水平参差不
齐，对于应用软件的理解也各不相同，如果一部分软件没有相应的对
误操作的防范措施，极容易给服务系统和其他主机造成危害。

内部用户的恶意攻击；就网络安全来说，据统计约有70％左右
的攻击来自内部用户，相比外部攻击来说，内部用户具有更得天独厚
的优势，因此，对内部用户攻击的防范也很重要。

设备的自身安全性也会直接关系到各种系统和各种网络应用的正常运转。

例如，路由设备存在路由信息泄漏、交换机和路由器设备配置风险等。

3.重要服务器或操作系统自身存在安全的漏洞，如果管理员没有及
时的发现并且进行修复，将会为网络的安全带来很多不安定的因素。

重要服务器的当机或者重要数据的意外丢失，都将会造成内部的业务无法正常运行。

4.安全管理的困难，对于众多的网络设备和网络安全设备，安全策
略的配置和安全事件管理的难度很大。

5.3 安全产品选型原则
公司网络属于一个行业的专用网络，因此在安全产品的选型
上，必须慎重，选型的原则包括：
1.安全保密产品的接入应不明显影响网络系统运行效率，并且满足
工作的要求，不影响正常的业务；
2.安全保密产品必须满足上面提出的安全需求，保证整个公司企业网络的安全性。

3.安全保密产品必须通过国家主管部门指定的测评机构的检测；
4.安全保密产品必须具备自我保护能力；
5.安全保密产品必须符合国家和国际上的相关标准；
6.安全产品必须操作简单易用，便于简单部署和集中管理
5.4 网络常用技术介绍
HSRP 协议
我们使用HSRP来实现对故障路由器的接管,HSRP中文解释是热备份路由协议，
其含义是系统中有多台路由器，它们组成一个“热备份组”，这个组形成一个虚拟路由器。

在任一时刻，一个组内只有一个路由器是活动的，并由它来转发数据包，如果活动路由器发生了故障，将选择一个备份路由器来替代活动路由器，但是在本网络内的主机看来，虚拟路由器没有改变。

所以主机仍然保持连接，没有受到故障的影响，这样就较好地解决了路由器切换的问题。

VLAN 技术
（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。

IEEE 于1999 年颁布了用以标准化VLAN 实现方案的802.1Q 协议标准草案。

VLAN 技术允许网络管理者将一个物理的LAN 逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN 都包含一组有着相同需求的计算机工作站，与物理上形成的LAN 有着相同的属性。

但由于它是逻辑地而不是物理地划分，所以同一个VLAN 内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。

一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

Trunk 技术
一般的交换机端口只能属于一个VLAN，对于多个VLAN 需要跨过
多台交换机，就需要用到Trunk 技术。

Trunk 是指交换机之间或交换
机与路由器之间VLAN 之间的连接，VLAN 信息通过Trunk 在交换机之间或路由器之间传递，从而可以将VLAN 跨越整个网络，而不仅仅是局限在一台交换机上。

Cisco 支持802.1Q、ISL 的技术。

其中IEEE 802.1q 是业界的标准协议，而ISL 是CISCO 专有的协议，用于在一条链路上封装多个VLAN 的信息。

ISL 技术得到了Intel 等厂商的大力支持，TagSwitching 被3Com 及Lucent Cajun 支持。

对于CISCO 交换机的Trunk 端口，既可以指定它的封装协议为802.1q 或ISL，也可以通过DTP 协议（Dynamic Trunking Protocol）
自动协商。

DTP 协议主要用于处理Trunk 端口的802.1q 和ISL 封装
协议的自动协商，对于不同厂家的交换机互连时很有帮助。

对Trunk 的定义只能在快速以太网端口和千兆以太网端口上进行，它既可以是单个的快速以太网端口或千兆以太网端口，也可以是快速以太网通道（FEC）或千兆以太网通道（GEC）。

虽然我们采用的是思科交换机，但是最为一个标准的、开放、先进的网络系统，我们推荐是用IEEE802.1Q 标准协议。

Spanning-Tree协议
在局域网中是不允许出现环路的，而为了实现冗余和负载的均衡，通常会有多条链路的连接，这样就会引入环路。

为了解决这个矛盾，推出了STP 协议。

STP 算法会将网络中的连接生成一个树，通过特定的算法自动将优先权高的链路激活，将优先权低的链路阻塞，保证在网络中任何时候都不会出现环路。

如果网络的连接状况发生了变化，STP 算法会自动地重新计算新的连接关系，重新选出新的活动的连接。

STP 算法会造成网络的暂时的不稳定状态，该转换时间在30秒之内，亦即在30 秒之内网络会重新恢复到稳定状态。

STP 对于终端是透明的，终端感觉不到STP 的操作过程。

在交换机上可以通过修改端口的优先级来改变连接的优先权，使得STP 算法将高优先权的连接作为活动连接，例如：两个交换机之间有两条链路连接，一条是光纤连接，另一条是双绞线连接，由于光纤连接明显要比双绞线连接更稳定、更可靠，我们可以将交换机上的光纤端口的优先权设定成比双绞线端口更高的优先权，这样STP 算法就会将光纤连接作为活动连接，而将双绞线连接阻塞。

Cisco 交换机的一个非常有用的特性就是可以对每个VLAN 设置Spanning -Tree ,而不是对整个网络只能属于一个Spanning-Tree。

这个特征是很多厂商的设备所不具备的。

在交换机上对端口的优先权的设置可以基于VLAN 进行，每个端口对于不同的VLAN 设置不同的优先权。

对于指定的VLAN，具有该VLAN 最高优先权的端口转发该VLAN的信息，其它VLAN 的信息则阻塞。

通过这种方法，在具有冗余连接的交换机端口上分别针对不同的
VLAN 设置不同的优先权，既可以实现链路的冗余，又可以实现负载的均衡。

CISCO 交换机端口支持每VLAN 的生成树协议，每个端口都可设置基于VLAN 的Cost 或Priority 参数，从而实现在多条路径上的负载均衡能力。

目前多数厂商都支持STP 协议，但是不允许多个STP 域。

采用多个STP 域显然可以获得比单个域高的网络可靠性。

QOS
为了防止数据包的传输质量，为了解决这个问题，就用到了QOS技术。

服务质量（Quality of Service，QOS）是网络（互联网）传输质量和服务可用性的度量。

服务可用性是QOS的重要基础要素。

成功实现QOS的前提是网络基础构造必须高度可靠。

它是指网络为某特定数据流提供优良服务（满足或超过业务要求的服务质量）的能力。

承载数据流的底层网络技术包括帧中继、ATM、以太、SONET/SDH和PTN网络等。

QOS利用以下特性提供优良的、更可预知的网络服务：
提供专用带宽；
降低丢包率；
管理和避免网络拥塞；
对网络流量整形（shaping）；
设置数据优先级。

决定QOS的因素
端到端（end-to-end）QOS是指从网络一端到另一端的QOS，这种QOS是全路程的QOS，不是点到点的。

端到端（end-to-end）QOS也是指网络能够为特定数据提供所要求服务质量的能力。

决定这种能力的因素有以下几种。

（1）带宽（Bandwidth）--带宽描述了网络设备的接口或网络链路在单位时间（秒）内发送或传送的比特量。

带宽越大表示单位时间内传送的数据量越大，越能够保证服务质量。

（2）丢包率（Loss）--指未被接收到的数据包占总发送数据包的比率。

丢包率是网络可靠性的一个参数。

如果网络高度可靠，则在非拥塞情况下丢包率应该是0。

在拥塞情况下，如果使用了QOS，则QOS将决定选择丢弃哪些数据包来缓解拥塞。

（3）延迟（Delay）--一个数据包从发送端被发送出去到达接收端所经历的有限时间。

如语音，它的延迟就是指从讲话者说出口，到接听者听到声音这段时间。

如果延迟过大，超过了规定值，就表明网络所提供的服务质量低，不能满足业务要求。

（4）抖动（Jitter）--也称延迟变量（delay variation），用来描述不同数据包在端到端传输中的不同延迟。

如一个数据包从源端到目的端用时100ms，而其后的数据包经由同一条路径时却花费125ms，那么抖动就是25ms。

终端设备上的应用软件，如Media Player，可以使用缓冲区来弥补由抖动造成的质量下降，但它不能补偿数据包到达时间的瞬时变化，这也会造成缓冲区的过载或欠载运行，导致业务质量降级。

如在网上看电影时，视频播放仍然不够流畅。

网络对任何组织都是非常重要的。

它承载着大量的应用，包括实时语音、高质量视频和对延迟敏感的数据等，这就要求网络必须能够通过管理带宽、延迟、抖动和丢包率等参数提供可预测、可管理，甚至有时是可保证的服务。

QOS就是用于达到这一目标的技术和工具。

QOS的目标是形成一个聚合的、对于用户来说透明的网络，在这个聚合的网络平台上，各种数据共存且并不公平地竞争网络资源，加上重要应用的数据被网络设备赋予较高的优先级或得到优先服务，这样这些应用的服务质量就不会降低至不可用的地步了。

/xianjindubo//haiwangxingyulecheng/ By-gnksguybb。