博文

三种新型技术在宽带综合城域网中的应用 (2006-07-06 23:02:00)

摘要:传统的电信网是为传送话音而设计,采用TDM和电路交换技术的网络,不适合传送IP数据业务和视频等多业务。为适应未来话音、数据和视频三网融合的需要,有必要建设宽带综合城域网。下面向大家介绍三种新型城域网技术及其应用。   采用POS+SDH/WDM的城域网技术   光纤通信以其巨大带宽成为物理层的首选技术。众所周知,现有的电信骨干传输网主要采用SDH/S ONET技术。SDH/SONET技术十分适合传输采用TDM技术的话音业务,它具有良好的网络保护和自愈功能。另外一方面,目前的IP网络还十分依赖电信网,如电信运营商外的ISP均靠租用电信线路。   因此宽带城域网的第一种方案很自然就是采用POS技术+SDH/WDM技术。该方案的特点是可以充分利用现有的城域网中已有的SDH和WDM设备,保护已有的网络投资。   采用EOS技术+SDH/WDM平台的城域网技术   如前所述,目前电信骨干网主要采用SDH技术,但在局域网中,主要采用以太网技术。以太网和SDH技术为目前通信网络中的两大主流技术。采用EOS技术+SDH/WDM平台的城域网技术的主要优点有:端到端的远端性能监视,远端故障指示,流量控制,低价格和易使用,很低的时延和时延抖动从而可很好地支持实时业务,可提供1+1保护功能的以太网/千兆以太网业务,可同时支持本端流控和远端流控,可最大限度地充分利用现有传输网络等特点。   采用MSR的新型宽带城域网技术   MSR是一种新型的城域网组网和应用模式。MSR是一个双向对称二纤环,主要的光传送机制采用千兆以太网和10G以太网中廉价的广域接口子层(WIS)或 SDH/SONET。MSR既可支持以太网、千兆以太网、数字视频广播、ATM、POS、X.85和X.86等业务支路,又可以像路由器一样支持数据包的转发。当给MSR节点上的支路加配业务时,它相当于一个多业务分插复用设备组成的环,支持业务的点到点、组播和广播应用。MSR集传输和数据交换于一体,可以降低传输设备和数据交换设备的复杂性。   MSR由一对双向对称、反向旋转的光纤环组成,MSR至少由两个节点组成,每个节点可以上、下一个或多个独立的支路(如以太网、千兆以太网、DVB、POS或ATM端口),也能够发送和接收3层(IPv4/IPv6)转发数据包(类似路由器)、控制信令分组和网络管理分组。   MSR支持这......

阅读全文(4084) | 评论:0

Cisco防火墙的安全和配置(3)(2006-05-27 02:25:00)

摘要:2、CBAC可提供如下服务   (1)状态包过滤:对企业内部网络、企业和合作伙伴互连以及企业连接internet提供完备的安全性和强制政策。   (2)Dos检测和抵御:CBAC通过检查数据报头、丢弃可疑数据包来预防和保护路由器受到攻击。 (3)实时报警和跟踪:可配置基于应用层的连接,跟踪经过防火墙的数据包,提供详细过程信息并报告可疑行为。   (4)无缝兼容性:整和防火墙和其它cisco IOS软件于一体;优化广域网利用率;提供强大的、可升级的路由选择etc。   (5)支持VPN:利用封装了防火墙版本的cisco Ios 软件和Qos特性来保证在公共网络上传输数据的安全性,同时节省费用。   (6)可升级配置:适用于大部分路由器平台,cisco带防火墙版本的IOS可升级来满足网络带宽和性能的需要。   3、CBAC受到的限制   (1)仅适用于IP数据流:只有TCP和UDP包被检测,其它如ICMP等不能被CBAC检测,只能通过基本的access lists过滤。   (2)如果我们在配置CBAC时重新更改access lists,要注意:如果access lists禁止TFTP数据流进入一个接口,我们将不能通过那个接口从网络启动路由器(netboot)。    (3)CBAC忽略ICMP unreachable 信息。   (4)当CBAC检查FTP传输时,它只允许目的端口为1024—65535范围的数据通道。   (5)如果FTP客户端/服务器认证失败,CBAC将不会打开一条数据通道。(6)IPSec 和CBAC的兼容性:如果CBAC和IPSec配置于同一台路由器上,只要对数据包的检查是在内部网接口上进行的,而数据包加密是终止在外部网接口上的,那么I Psec和CBAC就能共存在该边界路由器上。在这种方式下,检查的是不加密的数据流。   4、CBAC所需的内存和性能   有一些参数会影响CBAC所需的内存和性能:   (1)CBAC对每条连接使用600 byte的内存;   (2)在检查数据包的过程中,CBAC使用额外的CPU资源;   (3)尽管CBAC通过对access lists的高效存储(对access list进行散列索引,然后评估该散列)来最小化其对资源的需求,它在access list检查过程中仍要使用一定的CPU资源。   5、配置CBAC  ......

阅读全文(1470) | 评论:0

Cisco防火墙的安全和配置(2)(2006-05-27 02:25:00)

摘要:Cisco路由器提供了几种NAT转换的功能:   1、内部地址与出口地址的一一对应   缺点:在出口地址资源稀少的情况下只能使较少主机连到internet 。   2、内部地址分享出口地址  路由器利用出口地址和端口号以及外部主机地址和端口号作为接口。其中内部地址的端口号为随机产生的大于1024的号码,而外部主机端口号为公认的标准端口号。这样可以用同一个出口地址来分配不同的端口号连接任意数量的内部主机到外网。   具体配置:由于实验用的是ISDN拨号上网,在internet上只能随机获得出口地址,所以NAT转换的地址池设置为BRI口上拨号所获得的地址。   interface FastEthernet0/0   ip address 172.16.18.200 255.255.255.0   ip nat inside the interface connected to inside world   !   interface BRI0/0   ip address negotiated   ip nat outside the interface connected to outside network   encapsulation ppp   no ip split-horizon   dialer string 163     dialer load-threshold 150 inbound   dialer-group 1    isdn switch-type basic-net3 ip nat inside source list 1 interface BRI0/0 overload   access-list 1 permit 172.16.18.0 0.0.0.255   3、内部地址和外部地址出现交叠   当内部和外部用同一个网络段地址时,在地址没有重复的情况下,可以同时对内外接口进行NAT转换使之可以正常通讯。   4、用一个出口地址映射内部多台主机   应用于internet上的大型网站有多台主机对应同一个系统的同一个出口地址。     可以用sh ip nat translation 和debug ip nat 命令来检查NAT的状态。     二、基于上下文的访问控制(Context-based access control--CB......

阅读全文(1301) | 评论:0

Cisco防火墙的安全和配置(1)(2006-05-27 02:24:00)

摘要:所谓防火墙就是一个或一组网络设备(计算机或路由器等),可用来在两个或多个网络间加强访问控制. 它的实现有好多种形式,有些实现还是很复杂的,但基本原理原理却很简单. 你可以把它想象成一对开关, 一个开关用来阻止传输, 另一个开关用来允许传输.   设立防火墙的主要目的是保护一个网络不受来自另一个网络的攻击. 通常,被保护的网络属于我们自己,或者是我们负责管理的,而所要防备的网络则是一个外部的网络,该网络是不可信赖的,因为可能有人会从该网络上对我们的网络发起攻击,破坏网络安全. 对网络的保护包括下列工作:拒绝未经授权的用户访问,阻止未经授权的用户存取敏感数据,同时允许合法用户不受妨碍地访问网络资源.  不同的cisco防火墙侧重点不同. 从某种意义上来说,cisco防火墙实际上代表了一个网络的访问原则. 如果某个网络决定设定cisco防火墙,那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略(security policy),即确定那些类型的信息允许通过cisco防火墙,那些类型的信息不允许通过cisco防火墙. cisco防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络交流的数据进行检查,符合的予以放行,不符合的拒之门外.    在设计cisco防火墙时,除了安全策略以外,还要确定cisco防火墙类型和拓扑结构. 一般来说,cisco防火墙被设置在可信赖的内部网络和不可信赖的外部网络之间. cisco防火墙相当于一个控流器,可用来监视或拒绝应用层的通信业务, cisco防火墙也可以在网络层和传输层运行,在这种情况下,cisco防火墙检查进入和离去的报文分组的IP和TCP头部,根据预先设计的报文分组过滤规则来拒绝或允许报文分组通过.  cisco防火墙是用来实现一个组织机构的网络安全措施的主要设备. 在许多情况下需要采用验证安全和增强私有性技术来加强网络的安全或实现网络方面的安全措施. 本文主要介绍下列cisco防火墙的基本构件和技术:筛选路由器(screening router)、分组过滤(packet filtering)技术、双宿主机(dual-homed host)、代理服务 (Proxy Service)、应用层网关(application level gate......

阅读全文(1605) | 评论:0

三网合一加MPLS配置实例(2006-05-27 02:04:00)

摘要:hxga-rt-1#sh run Building configuration... Current configuration : 8247 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname hxga-rt-1 ! enable secret 5 $1$TJPE$rfRAoWFHEgXux9NegxTe7/ ! voice-card 1 ! ip subnet-zero ! ! ip domain-name gong'an.net ! ! ip vrf fy rd 100:3 route-target export 100:3 route-target import 100:3 ! ip vrf ga rd 100:1 route-target export 100:1 route-target import 100:1 ! ip vrf jc rd 100:4 route-target export 100:4 route-target import 100:4 ! ip vrf video rd 100:2 route-target export 100:2 route-target import 100:2 ip cef ! ! voice class codec 88 codec preference 1 g729br8 bytes 50 codec preference 3 g729r8 bytes 50 codec preference 5 g723ar53 codec preference 6 g723ar63 bytes 144 codec preference 7 g723r53 codec preference 8 g723r63 bytes 120 ! ! ! ! ! ! fax interface-type fax-mail mta receive maximum-recipients 0 ! controller E1 0/0 channel-group 0 timeslots 1-31 description hxga to q......

阅读全文(1329) | 评论:0

详述Cisco路由器的时间控制策略的应用(2006-05-27 02:03:00)

摘要:在校园网的管理中,客户端的访问控制是重要的一环,我们经常使用Access-list来进行控制,如果和时间相结合,控制起来将更加灵活。Cisco从IOS版本12.0开始引入基于时间的访问表,可以实现某个时间点或时间段的控制,如:我校控制“班班通”教室内的上网时间段为:每个工作日的早上8∶00到下午18∶00允许Web冲浪,其他时间禁止访问Internet。实现基于时间的访问表只需要两个步骤:第一步,定义一个时间范围;第二 步,在访问表中用Time-range引用刚刚定义的时间范围。下面我们就详细介绍一下它的使用方法。 一、定义时间范围 定义时间范围又分为两个步骤。 1.使用Time-range命令来正确地指定时间范围。格式:time-range time-range-nameTime-range-name 用来标志时间范围的,以便在访问表中进行引用。 2.使用Absolute或者一个或多个Periodic语句来定义时间范围,每个时间范围只能有一个Absolute语句,但它可以有多个Periodic语句。(1)格式:absolute [start time date] [end time date]Time以小时和分钟方式(hh:mm)输入时间。Date以日、月、年方式输入日期。如:absolute start 8:00 end 18:00(2)格式:periodic days-of-the-week hh:mm to [days-of-the-week] hh:mmDays-of-the-week产生作用的某天或某几天;参数可以是单一的一天(如 Monday)某几天(Monday到 Friday)或Daily、Weekday或Weekend。 Daily从星期一到星期天。Weekday从星期一到星期五。Weekend星期六和星期日。如:从星期六早上8∶00到星期天晚上18∶00periodic weekend 8:00 to 18:00一周中的每天8∶00到18∶00periodic daily 8:00 to 18:00从星期三的15∶00到星期六的8∶00periodic wednesday 15:00 to saturday 8:00 二、在访问表中用Time-range引用刚刚定义的时间范围 如:ip access-list......

阅读全文(1194) | 评论:0

以太网络建立多个VLAN典型案例(2006-05-27 02:02:00)

摘要:所谓典型局域网就是指由一台具备三层交换功能的核心交换机接几台分支交换机(不一定具备三层交换能力)。我们假设核心交换机名称为:com;分支交换机分别为:par1、par2、par3,分别通过port 1的光线模块与核心交换机相连;并且假设vlan名称分别为counter、market、managing……       需要做的工作:   &n bsp; A、设置vtp domain(核心、分支交换机上都设置)     B、配置中继(核心、分支交换机上都设置)     C、创建vlan(在server上设置)     D、将交换机端口划入vlan     E、配置三层交换     A、设置vtp domain。 vtp domain 称为管理域。    交换vtp更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连,那么只要在核心交换机上设置一个管理域,网络上所有的交换机都加入该域,这样管理域里所有的交换机就能够了解彼此的vlan列表。 com#vlan database 进入vlan配置模式 com(vlan)#vtp domain com 设置vtp管理域名称 com com(vlan)#vtp server 设置交换机为服务器模式 par1#vlan database 进入vlan配置模式 par1(vlan)#vtp domain com 设置vtp管理域名称com par1(vlan)#vtp client 设置交换机为客户端模式 par2#vlan database 进入vlan配置模式 par2(vlan)#vtp domain com 设置vtp管理域名称com par2(vlan)#vtp client 设置交换机为客户端模式 par3#vlan database 进入vlan配置模式 par3(vlan)#vtp domain com 设置vtp管理域名称com par3(vlan)#vtp client 设置交换机为客户端模式     ......

阅读全文(932) | 评论:0

思科、华为、HARBOUR交换机广播抑制功能的测试报告(2006-05-27 02:01:00)

摘要:一、CISCO2950(version 12.1(9))的测试  测试过程:               1、搭建如图一所示的网络并进行相应的配置;2、在PC1上用Solarwinds的WAN Killer向外发送30M的广播包;3、在交换机上观察PORT1和PORT2的广播流量也为30M左右,这说明广播被线速交换转发;4、停止发送广播包;5、在PORT1上启用广播抑制命令:  storm-control broadcast level 10  storm-control action shutdown   指令说明:命令1控制PORT1的带宽利用率为10M,命令2指广播流量超过10M就触发ACTION将PORT1关闭6、清空端口,用PC1再次向外发送30M的广播包;7、几分钟后,在交换机上观察PORT1已被自动DOWN掉,在交换机上查看PORT1和PORT2的广播流量为10M左右,这说明当广播流量超过设置的门限 值时,交换机就会自动DOWN掉其相应端口。 测试结果分析: 1、CISCO IOS version 12.1(9)或以上版本才支持广播抑制功能;2、CISCO的广播抑制功能是通过对INPUT的广播流量抑制而起作用的,所以实现此功能时需对CISCO的所有用户端口启用广播抑制;3、当广播流量下降到门限值一下时,不能自动打开DOWN掉的端口,需人为开启端口。    二、港湾U2(version: v140B0018)的测试   测试过程:   1、搭建如图二所示的网络并配置相应的IP地址;2、在PC1上用Sinffer向外发送30M的广播流量;3、在PC1、PC2上用Sinffer DASHBOARD监视广播流量为10M,每秒广播包数是16000个,广播被线速转发;4、停止发送广播包;5、启用广播抑制命令:  config broadcast-limit on 1000  指令说明:命令设置所有端口每秒钟允许通过的广播包数量是1000个6、清空端口,在PC1上用Sinffer向外发送10M的广播流量;7、在PORT2上用S......

阅读全文(1771) | 评论:0

实战手记之Advanced NAT(2006-05-27 01:59:00)

摘要:最近一台CheckPoint防火墙出了问题:在事件查看器中可以查到“No License for Routers”的错误,经常死机。这个错误在CheckPoing文档中没有记录, 据说是有一个“路由器管理模块”没有购买。最后发现,其实只要在安装正式License时不要将试用License去掉就没有这个问题。 在等待有关方面支持的同时,我们将该防火墙撤下来,暂时用路由器实现原来由防火墙完成的地址转换、访问控制等部分功能,新旧拓朴图如下:   设置方法比较简单: 如果临时使用的交换机SW不支持VLAN,则可以在路由器内网端口上使用secondary address,注意这样做会把DMZ跟内网出口混在一起,要在内网多层交换机上设置好访问控制列表,阻止通过DMZ入侵内网。配置形如: interface FastEthernet0/0 ip address 202.1.1.1 255.255.255.252 ip access-group 101 in ip nat outside ! interface FastEthernet1/0 ip address 192.168.1.254 255.255.255.0 secondary ip address 10.0.0.1 255.255.255.0 ip nat inside ! ip nat pool inet 202.2.2.1 202.2.2.9 netmask 255.255.255.0 ip nat inside source list 1 pool inet overload ip nat inside source static 192.168.1.230 202.2.2.230 ip nat inside source static 192.168.1.231 202.2.2.231 ip classless ip route 0.0.0.0 0.0.0.0 202.1.1.2 ip route 10.0.0.0 255.0.0.0 10.0.0.254 ! access-list 1 permit 10.0.0.0 0.0.0.255 access-list 101 permit tcp any any established access......

阅读全文(1090) | 评论:0

Configuring Static and Dynamic NAT(2006-05-27 01:59:00)

摘要:NAT Router ip nat pool test 172.16.131.2 172.16.131.10 netmask 255.255.255.0 ip nat inside source list 7 pool test ip nat inside source static 10.10.10.1 172.16.131.1 interface e 0 ip address 10.10.10.254 255.255.255.0 ip nat inside interface s 0 ip address 172.16.131.254 255.255.255.0 ip nat outside access-list 7 deny host 10.10.10.1 access-list 7 permit 10.10.10.0 0.0.0.255......

阅读全文(1256) | 评论:0