b.基于 802.1x 的端口认证
基于端口的认证就是将 AAA 认证与端口保护相结合,默认情况下。一个支持802.1x 的交换机端口处于未授权状态,除了和 802.1x 有关的数据,其他数据都不能通过该端口,只有客户的交换机创建了一个 802.1x 的会话,客户被授权访EAPOL:Extensible Authentication Protocol OVER LAN 局域网上的可扩展身 份认证。
在端口处于未授权状态下,客户端只能使用 EAPOL 与交换机通信。
4.3 VRRP(虚拟路由冗余协议)原理
VRRP给路由器组提供了一个冗余网关地址,它是一种容错协议,通过定义 不同的组,不同优先级的路由器,它保证网络的主路由器失效时,可以及时的由 备分来实现路由器来替代,从而保持通讯的连续性和可靠性。并可以在该协议上 实现负载均衡等高级交换特性。
VRRP 技术的实现: 汇聚到核心冗余连接及 VRRP 的实现通过 VRRP 技术将多个设备虚拟成为一台逻辑设备,实现汇聚/接入链路冗余。
如下例:
-if)#vrrp 5 ip 192.168.2.5
-if)# vrrp 6 ip 192.168.2.6
A: -if)#vrrp 5 priority 200
B: -if)#vrrp 6 priority 200
-if)#vrrp 5 authen name
-if)#vrrp 6 authen name
见图如下:
4.4 RSTP、MSTP原理
RSTP 协议完全向下兼容 802.1D STP 协议,除了和传统的 STP 协议一样具有避免回路、提供冗余链路的功能 外,最主要的特点就是“快”。如果一个局域网内的网桥都支持 RSTP 协议且管理员配置得当,一旦网络拓朴改变而 要重新生成拓朴树只需要不超过 1 秒的时间(传统的 STP 需要大约 50 秒)。
本交换机支持 MSTP,MSTP 是在传统的 STP、RSTP 的基础上发展而来的新的生成树协议,本身就包含了 RSTP的快速 FORWARDING 机制。
由于传统的生成树协议与 vlan 没有任何联系,因此在特定网络拓朴下就会产生以下问题: 如下图 所示,交换机 A、B 在 vlan1 内,交换机 C、D 在 vlan2 内,然后连成环路。
在某种情况的配置下,会造成把交换机 A 和 B 间的链路给 DISCARDING.由于交换机 C、D 不包含 vlan1,无法转发 vlan1 的数据包,这样交换机 A 的 vlan1 就无法与交换机 B 的 vlan1 进行通讯。
在网络末梢,连接到单个工作站的时候,是不可能形成桥接环路的。在接口 上启用了 portfast 特性,可以使交换机端口立即变为转发状态,提高了网络的 响应速度及收敛时间。 基于 RSTP 的交换机高级特性 Uplinkfast 在网络中的应用
考虑到有冗余上行连接的网络,使用冗余连接到上层交换机,通常情况下一 个上行连接处于转发状态,另一个处于阻塞状态,如果主上行连接断开,在使用 冗余连接之前所经历的时间高达 50S
在使用 Uplinkfast 之后,使的具有冗余上行连接的交换机具有根端口失效 时,另一个阻塞的上行连接能够立即使用,这个时间大大缩小到 1-5S 之间,在 集团 网 的 特 殊 环 境 之 下 , 能 大 大 增 强 网 络 的 稳 定 性 , 加 快 网 络 收 敛 。
4.5 NAT 的描述及策略路由的实现
在组建网络时,为了节约地址,我们在内部使用保留的私有地址段中的地 址,但是使用私有地址不能访问 Internet,所以必须申请多个公开地址配置在和 Internet 相连的局域网边缘设备上。应用 NAT 进行地址转换。
NAT 是网络地址翻译技术,在路由器上起用 NAT 之后,可以在部私有地址和 外部公网地址之间做转换。比如我们可以把网络内部使用的 IP 翻 译成外部公网的 IP。
配置基于策略的路由选择时,可使用路由映射表来指定基于 IP 地址,应用 程序,协议或者分组长度的条件。基于策略的路由选择命令对中选的路由实现策 略。
基于策略的路由和静态路由有很多共同之处。然而,静态路由根据目标网络 地址来转换分组,而策略路由根据源地址来转发分组。在路由选择表中使用访问 列表时,可根据诸如目标地址,分组长度,IP 协议字段,优先级或端口号来转发数据流。这样可以指定范围更广泛,更细致的条件,并根据这些条件来决定下 一跳路由器。
4.6 ACL (访问控制列表)
访问列表为我们提供了一种对网络访问进行有效管理的方法,通过访问列 表,我们可以设置允许或拒绝数据包通过路由器,或者允许或者拒绝具体的某些 端口进行访问和使用,如果满足条件则执行相应的操作,放行这个包或者放弃这 个包。我们通过这些设置来满足实际网络的灵活需求,从而达到设置网络安全策 略,防止网络中的敏感设备受到非授权访问的情况。
在具体实现过程中从技术上来说我们需要了解到 ACL 分为两种类型,他们分 别是标准访问列表(Standard access lists)和扩展访问列表(Extends access lists) 前者在过滤网络的时候只使用 IP 数据报的源地址,那么在使用这种访问列表的 情况下它做出允许或者拒绝这个决定完全是依赖于源 IP 地址,它无法区分具体 的流量类型。而扩展访问列表则可以提供更细的决定,它可以具体到端口,从而 精确到某一个服务,比如对 WEB,FTP 的访问等,给我们网络的策略提供了更细 的控制手段。我们利用这种访问列表进行协议级的控制以达到对网络一个有效的 管理。标准访问控制列表一般放在靠近目标的路由器上,而扩展访问控制列表一 般放于近源端的路由上器。
4.7 链路聚合 EC(Ethernet Channel)
以太网信道链路聚合可以让交换机之间和交换机与服务器之间的链路带宽有非常好的 伸缩性,比如可以把多个千兆的链路绑定在一起,使链路的带宽成倍增长。链路聚合技术可以实现不同端口的负载均衡,同时也能够互为备份,保 证链路的冗余性。在神州数码千兆以太网交换机中,最多可以支持 4 组链路聚合,每组中最大 4 个端口。链路聚合一般是不允许跨芯片设置的。生成树协议和链路聚合都可以保证一个网络的冗余性。在一个网络中设置冗余链路,并用生成树协议让备份链路阻塞,在逻辑上不形成环路。而一旦出现故障,启用备份链路。
4.8 VLAN (虚拟局域网)
VLAN(Virtual Local Area Network)的中文名为"虚拟局域网", VLAN是一种将局域网设备从逻辑上划分(注意,不是从物理上划分)成一个个网段,从而实现虚拟工作组的新兴数据交换技术。VLAN 虚拟局域网是一种在二层设备上隔离和划分广播域的技术,通过这种划分,我们可以把物理位置上分离的网络设备在逻辑上划为同一个广播域,或者把物理位置上邻近的网络设备划为不同的广播域,从而更方便我们管理和做一个逻辑层次的划分。从技术上说 VLAN 可以分为静态 VLAN 和动态 VLAN,那么静 态的 VLAN 是基于交换机端口进行划分,根据网络设备连接不同的交换机端口, 则进入相应的 VLAN。动态 VLAN 则更灵活,它可以根据接入计算机的 IP 地址, MAC地址,甚至是用户的登陆账号做出相应的处理,把计算机划分进相应的 VLAN 中,这样就为我们实际的网络管理带来了比较大的方便性和灵活性。 那么在我们的企业网方案中,我们希望通过使用VLAN技术进行划分达到以下目的:
VLAN除了能将网络划分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
4.9 WLAN 无线局域网
无线局域网有 4 大特点: 移动性:不受时间限制,空间限制,用户可以在网络中漫游; 灵活性:不受线缆的限制,可以随意增加和配置工作站; 低成本:无线网络不再需要大量的工程布线,同时节省了线路的文护费用; 易安装:对于有线网络来说,无线网络的组建、配置和文护更为容易。无线客户端可以通 过无线接入器 AP(Access Point)接入以太网共享网络资源,多个 AP 分布在相邻 的区域可以实现无线客户端的移动漫游。
上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] 下一页