国家教育网络建设方案建议书(3)

HSRP的路由器中再选择一台路由器作为新的备用路由器。

所有参与HSRP的路由器共享一个虚的IP地址，网络中的工作站将缺省网关指向该虚地址，被选出的主动路由器负责转发由工作站发到虚地址的数据包。Hello消息是基于UDP的信息包，配置了HSRP的路由器将会周期性的广播Hello消息包，并利用Hello消息包来选择主动路由器和备用路由器及判断路由器是否失效。

配置了HSRP协议的路由器交换以下三种多点广播消息： 1、

Hello──hello消息通知其他路由器，发送路由器的HSRP优先级和状态信息，HSRP路由器默认为每3秒钟发送一个hello消息；

2、

Coup──当一个备用路由器变为一个主动路由器时发送一个coup消息；

3、

Resign──当主动路由器要宕机或者当有优先级更高的路由器发送hello消息时，主动路由器发送一个resign消息。

4、 5、

在任一时刻，配置了HSRP协议的路由器处于由以下六种状态： Initial ——表示路由器的HSRP还未运行，一般在配置第一台HSRP路由器时会显示此状态；

6、

Learn——表示配置HSRP的路由器还未知道虚地址，并一直监听来自主动路由器的消息包；

7、

Listening──表示配置HSRP的路由器还已知道虚地址，路由器还在监听hello消息；

8、 9、

Speaking and listening──路由器正在发送和监听hello消息； Standby──处于被用状态，当主动路由器失效时路由器可被选为主动路由器，接管包转发功能；

10、

3、网络安全的设计

一个网络的正常使用，是建立在安全的基础上的。如果没有相应的网络安全措施，那么，我们的数据将会被截流，流量将会被监听，系统将会被破坏，一些正常的网络应用将不能进行。因此，在进行网络规划时，我们需要全盘考虑网络

10

Active──路由器执行包转发功能。

安全的问题，同时依据这个网络的特点进行相关的网络安全设计。

这次国家教育网络的建设主体是一个完整的广域网系统，同时，在每一个广域网的节点上又有一个局域网存在，因此，我们不但要考虑局域网的内部安全，同时要考虑广域网的外部安全。一般来说，整体网络安全会考虑以下几个部分：

（1）身份验证、授权和统计

身份验证——提供了识别用户的方法，包括登录和口令对话框、询问和应答、支持消息收发以及根据所选的安全协议进行加密。身份验证是允许用户访问网络和网络服务之前对其进行识别的方法。

授权——提供了进行远程访问控制的方法，包括一次性身份验证或针对每种服务的身份验证；用户帐户列表和配置文件；用户组支持；对IP 、IPX、ARA和Telnet的支持。

统计——提供了收集和发送安全服务器信息的方法，这些信息包括用户身份、开始和结束时间、已执行的命令、分组数目以及字节数等，可以用来计费、审计以及制作报表等。通过统计，可以跟踪用户正在访问的服务，以及他们占用的网络资源。

（2）安全服务协议

RADIUS——一种分布式客户机/服务器系统，通过AAA来实现，可以防止网络遭受未经授权的访问，并向中央RADIUS服务器发送身份认证请求。

TACACS+——一种安全应用程序，通过AAA来实现，对用户试图访问路由器或网络访问服务器的举动进行集中验证。TACACS+服务保存在TACACS+ daemon上的一个数据库中，而TACACS+ daemon通常运行在UNIX或Windows NT工作站上。TACACS+提供了单独的、模块化的身份认证、授权和统计功能。

TACACS和扩展TACACS——TACACS是一种较老的访问协议，与较新的TACACS+协议不兼容。出于安全和统计的用途，TACACS对用户行为进行口令检查、身份认证和通知。扩展TACACS是较老的TACACS协议的扩展，提供了一些附加的功能。

Kerberos——一种通过AAA实现的密钥网络身份认证协议，使用数据加密标

11

准（DES）加密算法进行加密和身份认证。Kerberos用来对网络资源进行身份认证。Kerberos基于这样一种概念，即由可信的第三方对用户和服务实施安全验证。Kerberos的主要用途是验证用户及其使用的网络服务是否名副其实。为此，由可信的Kerberos服务器对用户发放证书。这些证书有一定的期限，存储在用户的凭证cache中，可以用来代替标准的用户名—口令身份认证机制。

（3）数据流过滤

我们通过访问控制列表来实现数据流过滤。访问列表可以对针对所有网络协议进行数据流过滤。通过对访问列表的配置，可以控制对网络的访问，访问列表能够禁止特定的数据流进入或离开网络。

访问列表通过控制在路由器的接口上转发还是阻断被路由的分组来过滤网络数据流。路由器检查每一个分组，并根据访问列表指定的准则来确定转发还是丢弃该分组。访问列表指责可以针对数据流的源地址、目标地址、上层协议或其他信息。由于高级用户无须进行身份验证，所以他们有时可以绕过或欺骗基本访问列表。

应该使用访问列表为网络访问提供基本的安全性，如果没有在网络的路由器上配置访问列表，则所有通过路由器的分组将可以进入网络的任何部分。应该在防火墙和路由器上使用访问列表，防火墙通常位于内部网与外部网之间，也可以在网络两部分之间的路由器上使用访问列表，以便控制进入或流出内部网络特定部分的数据流。而对于路由器，应该在路由接口上为每种网络协议配置访问列表。以便在一个接口上过滤进站数据流、出站数据流或同时过滤他们。

必须针对每一种协议定义访问列表，换而言之，如果想要控制接口上可用协议的数据流，则应该为接口上启用的每种协议定义访问列表。

（4）网络数据加密

在不可靠的网络上传输的数据无法防范任何攻击。数据经过路由器时，任何能够访问该路由器的人都能够读取、改写或伪造它。对通过不可靠的网络从一台路由器传输到另一台路由器的网络数据，加密为他们提供了保护。传输机密和关键数据时，加密显得尤为重要。

12

建立加密会话期间，参与会话的两个对等路由器都将试图验证对方的身份。任何一方没有通过身份验证，都将无法建立加密会话，因此不能传输加密信息。对等身份验证确保只有已知的、可信的对等路由器才会交换加密信息，防止路由器被欺骗，而向非法或欺骗目标路由器发送敏感的加密信息。

通常情况下，对等路由器被置于不可靠网络的边缘，以便在两个物理上独立的安全网络间提供安全通信。从安全网络端进入对等路由器的明文信息被加密，并通过不可靠的网络进行转发。当加密信息到达远程对等路由器时，路由器将对信息进行解密，然后将解密后的信息转发到远程的安全网络中。分组在对等路由器的出站接口上被加密，然后在另一台对等路由器的入站接口上被解密。

目前国际通行的加密方式为：数字签名标准（DSS）、Diffle-Hellmen（DH）公用密钥算法和数据加密标准（DES）。DSS用于对等路由器身份验证。DH算法和DES标准用于在对等路由器之间发起和执行加密通信会话。

（5）其他安全措施

除了上述的安全措施，在对终端的安全考虑也是一个很重要的组成部分。我们使用口令和指定权限级别是在网络中提供终端访问控制的一种简单有效的方法。其中主要包括保护对特权EXEC命令的访问；加密口令；配置多重权限级别；恢复丢失的有效口令；恢复丢失的线路口令；配置标识支持。

4、数据库的建设

在网络系统建成之后，我们需要在这个系统上实现各种各样的应用，而这些应用的基础就是数据库。

目前，国际通用的数据库大部分来自Informix；Oracle和Sybase这三大数据库生产商。这些数据库都拥有相对完善的基础开发平台和各种功能插件，能够支持在目前流行的如UNIX、Solaris、AIX、Windows 2000 Server和Windows NT Server等操作系统上运行。能够支持在目前大多数硬件产品上使用，对于通用的硬件如网卡、光纤通道卡、SCSI卡和RAID卡之类也都有内置的品牌库可供识别。能够支持大多数语言的二次开发，如C、C++、VB、VC、JAVA、JAVA Script等。因此，这三种数据库不但能在绝大多数硬件匹配和操作系统环境中使用，同

13

时还为各种小型的专业功能数据库的开发提供了良好的底层基础。

现在，这些数据库都先后推出了各自的网络版本，比之以前只支持单机开发功能更全面、更强大，网络版本能支持多用户的协同开发。一般来说，标准网络版本可支持25用户同时使用，如果需要支持更多用户使用，只需在原有标准版本的基础上购买增加用户的Licence即可。可见，这些成熟的数据库系统都能够提供一种平滑的用户升级方式，可以依据用户使用的需要、发展的需要提供增长性的功能，使用户合理的安排自己的投资，只在需要的时候进行购买，而不必担心产品是否会随用户的需求增长而被淘汰的问题。

随着技术的发展，这三种数据库相互之间的数据共享、结构匹配、功能融合也越来越全面、越来越完善，界面越来越人性化，用户可以同时使用这三种数据库而不会觉得其中的一种数据不能被其他两种识别。这些功能使用户获得了更广泛和更有深度的使用范围。

下面简单介绍一下三种数据库各自的功能特点：

（1）Informix数据库

informix关系数据库系统是美国informix Software Inc.的优秀软件产品，具有很好的兼容性和可移植性，可联接性好，功能强大，便于维护，安全性好等特点，经过几十年的发展，已成为功能最齐全、最受欢迎的关系数据库管理系统之一。据IDG1992年度的统计结果显示，informix在全世界范围内拥有在unix、xenix上最多的用户，其所占份额达37％，该产品在开放系统上向不同层次的用户及不同领域的应用提供了全面的信息管理解决方案。全世界已有越来越多的用户正在使用或准备使用informix软件来开发数据库管理系统。

Intormix数据库的主要特点：

可提供原有文本文件与informix数据库表的双向转换技术 可充分调用特种类型的函数

可利用各种文本编辑软件提高开发效率 可提供次序调试过程中的出错检验功能 可利用动态语句实现程序通用设计

INFORMIX主要产品分为三大部分： 数据库服务器(数据库核心)；应用开发

14

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库国家教育网络建设方案建议书(3)在线全文阅读。