局域网组建、管理与维护第9章.ppt

9.3.1 网络屏蔽线敷设 屏蔽布线系统必须是从终点到终点的连续的屏蔽路径。例如，AMP NETCONNECT屏蔽布线系统从工作区域的信息插座，双绞线，配线架，RJ45跳线，组成了从终点到终点的连续的屏蔽路径。屏蔽路径结构示意，如图9.3所示。 屏蔽系统所有设施应选择同一品牌的产品。通常屏蔽系统设计时充分考虑了接续的连续性。在水平子系统FTP连接的两端，RJ45屏蔽接口的屏蔽金属壳与RJ45接头的金属包覆套采用紧密嵌套接合，确保跳线和接口完全充分的接触。 例如，AMP 4对FTP线有锡箔屏蔽包覆层，屏蔽层内有一条接地线，这条接地线对于降低接地电阻，并保持一个低的接地电阻有重要作用。 屏蔽布线安装工艺要求 屏蔽层的续接密实、连续； 一个完全紧密的接地系统会提高屏蔽系统的整体性能，降低接地电阻，并使其一直保持低于1欧姆的电阻值； 每个配线架独立接地； 每个配线架只有一个接地点； 尽量缩短屏蔽线的开剥长度； 保持双绞线转弯时有大于线径8倍的弯曲半径。 9.3.2 物理隔离网闸 物理隔离网闸（也称安全隔离与信息交换系统），是利用双主机形式，从物理上来隔离阻断潜在攻击的连接，如图9.4所示。其中包括一系列的阻断特征，如没有通信连接，没有命令，没有协议，没有TCP/IP连接，没有应用连接，没有包转发等。只有文件“摆渡”，对固态介质只有读和写两个命令。其结果是无法攻击，无法入侵，无法破坏。 9.3.3 基于VPN的业务隔离 1. VPN技术 要能够使得政务网内一个局域网的数据透明的穿过公用网到达另一个局域网，VPN采用了一种称之为隧道的技术。 基于隧道的VPN网络 VPN技术 根据ISO模型，VPN的主要协议如表9.1所示。 表9.1 VPN 的主要协议标准 OSI模型 安全技术 安全协议 应用层 表示层 应用代理 ? 会话层 传输层 会话层代理 SOCKSv5/SSL 网络层 数据链路层 物理层 包过滤 IPSec PPTP/L2F/L2TP 2. VPN类型 （1）Access VPN（远程访问虚拟专网） （2）Intranet VPN（内部虚拟专网） （3）Extranet VPN（扩展内部虚拟专网） 该类型与传统的远程访问网络相对应。在Access VPN方式下，远端用户不需要通过长途电话拨号到政府远程接入端口，而是拨号接入到用户本地的ISP，利用VPN系统在公众网上建立一个从客户端到网关的安全传输通道。 该类型与政府内部的Intranet相对应。在Intranet VPN 方式下，政府两个异地机构的局域网互连不租用专线，而是政府分支机构网络利用VPN特性可以在ChinaNET上组建省、市和县范围内的Intranet VPN。 该类型与政府网和相关企业网、教育网所构成的Extranet相对应。该类型与Intranet VPN没有本质的区别，但由于是不同集团用户的网络相互通信，所以要更多的考虑设备的互连，地址的协调，安全策略的协商等问题。 基于VPN的业务隔离 例如，市工商局下属有2个工商所，工商所与局机关分别相距6.2Km~9.6Km。工商局和下属2个所均建立了办公局域网，通过支持VPN接口的防火墙连接电子政务城域网。工商所分支网络与工商局网络分别建立安全隧道后，工商所分支网络可以与工商局网络安全通信，工商所分支网络之间也可以安全通信。这样大大的减少了隧道的配置条数。 多协议标签交换技术（MPLS，Multi Protocol Label Switching）是在Cisco公司所提出来的Tag Switching技术基础上发展起来的，属于第三层交换技术。 9.3.4基于MPLS的业务隔离 边缘路由器 交换路由器 交换路径 交换路径 MPLS的工作流程 LSR可以看作是ATM交换机与传统路由器的结合，由控制单元和交换单元组成。LER的作用是分析IP包头，决定相应的传送级别和标签交换路径（LSP）。 网络边缘行为。当IP数据包到达一个LER时，MPLS第一次应用标记 网络核心行为。当一个带有标记的包到达LSR的时候，LSR提取入局标记，同时以它作为索引在标记信息库中查找。 建立标记交换路径。第一种，逐跳寻径（Hop by Hop）路由，第二种，显式路由。 ER-LSP从源端到目的端建立一条直接的端到端的路径。MPLS将显式路由嵌入到限制路由的标记分配协议的信息中，从而建立这条路径。 MPLS VPN框架结构中包括P（P routers）、PE（Provider Edge）、CE（Custom Edge）等设备。 P代表骨干网中不与CE直接相连的路由器，不感知VPN。 PE代表骨干网中的边缘路由器，它直接与用户的CE相连，实施VPN主要功能。 CE代表用户网络中直接与骨干网相连的