交换机．路由器．防火墙-技术提升【1.6】

2.4.3    路由冗余

中心交换机是整个网络的核心和心脏，如果发生致命性的故障，将导致本地网络的瘫痪，所造成的损失也是难以估计的。因此，对三层路由采用热备份是提高网络可靠性的必然选择。

利用 HSRP、 VRRP、 GLBP 协议保证核心设备的负荷分担和热备份，在中心交换机和双汇聚层交换机中的某台交换机出现故障时，三层路由设备和虚拟网关能够快速切换，实现双线路的冗余备份，保证整网稳定性。

1. 热备份路由器协议

热备份路由器协议（ Hot Standby Router Protocol， HSRP）的设计目标是支持 IP 流量失败转移时不会引起混乱，并允许主机使用单路由器，以及即使实际第一跳路由器失败，也能保证路由器间的连通性。换句话说，当源主机不能动态了解第一跳路由器的 IP 地址时， HSRP 协议能够保护第一跳路由器不出故障。在 HSRP 协议中，多种路由器只对应一个虚拟路由器，即只支持一个路由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。

负责转发数据包的路由器称之为活动路由器（ Active Router）。一旦活动路由器出现故障， HSRP 将激活备份路由器（ Standby Routers）取代活动路由器（如图 2-17 所示）。 HSRP 协议提供了一种决定使用活动路由器还是备份路由器的机制，并指定一个虚拟的 IP 地址作为网络系统的默认网关地址。如果活动路由器出现故障，备份路由器承接活动路由器的所有任务，并且不会导致主机连通中断现象。

HSRP 运行在 UDP 上，采用端口号 1985。路由器使用它们的实际 IP 地址（而不是其虚拟 IP 地址）转发协议数据包，因此， HSRP 路由器间能相互识别，并在活动路由器故障时切换到备份路由器。
2. 多组热备用路由器协议

MHSRP（ Multigroup Hot Standby Router Protocol，多组热备用路由器协议）是 HSRP 协议的扩展，它允许路由器的一个端口隶属于多个热备份组。 MHSRP 协议需要 Cisco IOS 10.3或以上的版本支持，并且路由器硬件允许一个以太网端口绑定多个单点广播 MAC 地址。这些特殊路由器硬件允许配置路由器中的一个端口，使得该路由器成为多个备份组的备份路由器。

在某个局域网中，多个热备组可以共存和重叠。每个备份组都仿效一个虚拟路由器。对于每个备份组来说都有一个为别人所知的 MAC 地址，以及一个 IP 地址。而该 IP 地址应该是这个局域网中第一个子网中的地址，但必须不同于设置在所有路由器端口上的地址和局域网中主机的地址，甚至包括为其他 HSRP 组设的地址。

如图 2-18 所示，一半客户端配置使用路由器 A 作为默认网关，另一半客户端被配置使用路由器 B 作为默认网关，路由器 A 和路由器 B 建立两个 HSRP 组。对于 1 组而言，路由器 A是默认活动路由器，因为它被赋予最高优先权，路由器 A 是备用路由器。在正常运行时，两个路由共同承担 IP 传输负载。当一个路由器发生故障时，另外一个路由器将承担整个网络的路由转发任务。

3. 虚拟路由冗余协议

在网络中，一般给终端设备指定一个或多个默认网关（ Default Gateway）。如果作为默认网关的三层设备损坏，那么所有使用该网关的主机通信必然中断。即使配置了多个默认网关，如不重新启动终端设备，也不能切换到新的网关。采用虚拟路由冗余协议（ Virtual Router Redundancy Protocol， VRRP）可以很好地避免静态指定网关的缺陷。

一组 VRRP 路由器协同工作，共同构成一台虚拟路由器，如图 2-19 所示。该虚拟路由器对外表现为一个具有唯一固定 IP 地址和 MAC 地址的逻辑路由器。同一 VRRP 组的路由器有两种角色，即主控路由器和备份路由器。一个 VRRP 组中有且只有一台主控路由器，同时，可以有一台或多台备份路由器。 VRRP 协议使用选择策略选出一台作为主控路由器，负责 ARP响应和转发 IP 数据包，组中的其他路由器作为备份的角色处于待命状态。当主控路由器发生故障时，备份路由器能在几秒钟的时延后升级为主路由器，由于切换迅速且无需改变 IP 地址和 MAC 地址，所以对网络用户而言一切都是透明的。

4. 网关负载均衡协议

网关负载均衡协议（ Gateway Load Balancing Protocol， GLBP）不仅提供冗余网关，还在各网关之间提供负载均衡，而 HRSP、 VRRP 都必须选定一个活动路由器，备用路由器则处于闲置状态。

GLBP 可以绑定多个 MAC 地址到虚拟 IP，从而允许客户端选择不同的路由器作为其默认网关，而网关地址仍使用相同的虚拟 IP，从而实现一定的连接冗余。

优先级最高的路由器成为活动路由器（ Active Virtual Gateway， AVG），其他非 AVG 提供冗余。某路由器被推举为 AVG 后，和 HRSP 不同的工作开始了， AVG 分配虚拟的 MAC 地址给其他 GLBP 组成员。所有的 GLBP 组中的路由器都转发包，但是各路由器只负责转发与自己的虚拟 MAC 地址相关的数据包，如图 2-20 所示。

每个 GLBP 组中最多有 4 个虚拟 MAC 地址，非 AVG 路由器由 AVG 按序分配虚拟 MAC地址，非 AVG 也被称作活动虚拟发送者（ Active Virtual Forwarder， AVF）。

AVF 分为两类，即主虚拟发送者（ Primary Virtual Forwarder， PVF）和次虚拟发送者（ Secondary Virtual Forwarder， SVF）。直接由 AVG 分配虚拟 MAC 地址的路由器被称作 PVF，后续不知道 AVG 真实 IP 地址的组成员，只能使用 hello 包来识别其身份，然后被分配虚拟MAC 地址，此类路由器被称作 SVF。

当 AVG 失效时，推举过程就会发生，以决定哪个 AVF 替代 AVG 分配 MAC 地址。推举机制依赖于优先级。最多可以配置 1024 个 GLBP 组，不同的用户组可以配置成使用不同的组AVG 作为其网关，以实现负载均衡。

2.5 VoIP 技术

IP 语音技术（ Voice Over IP， VoIP），又称为 IP 电话或 IP 网络电话。 IP 语音技术通过对语音信号进行编码数字化、压缩处理成压缩帧，然后转换为 IP 数据包在 IP 网络上进行传输，从而达到了在 IP 网络上进行语音通信的目的。

2.5.1    IP 语音技术

VoIP 可以在 IP 网络上廉价地传送语音、传真、视频和数据等业务，如统一消息、虚拟电话、虚拟语音/传真邮箱、查号业务、 Internet呼叫中心、 Internet 呼叫管理、电视会议、电子商务、传真存储转发和各种信息的存储、转发等，甚至不必借助传统的语音电话链路。由于Internet 就是一个最大的 IP 网络，因此 VoIP 最大的优势就是可以广泛地采用 Internet 和全球IP 互连的环境，提供比传统业务更多、更好、更廉价的服务。图 2-21 所示为支持 VoIP 技术的交换机与 IP 电话。

不过，由于 IP 语音设备的价格较高，因此往往很少单纯应用于局域网络，更多地被应用于远程网络间（如银行专用网络、税务专用网络、公安专用网络，公司总部与分支机构，尤其是跨地域甚至是跨国的大型公司）的实时通信（如图 2-22 所示）。
 

2.5.2    服务质量技术

通常情况下，在交换机中数据是按照先后顺序排队等待转发的，应用只能作为“尽力而为”业务（无保证的业务）传输，在网络传输量较大时，每个端口的数据都将在缓存中排队等待，并且当端口缓存被占用完毕时，还会将后续到达的数据直接丢弃。对于普通数据（如电子文档、程序文件等）而言，数据包先后到达的顺序并不重要，因为可以通过重组而得到恢复。但对于语音、视频等实时传输的数据而言，由于数据的先后顺序非常重要，因此在网络拥塞时话音和视频变得非常不稳定。可见，在网络带宽或设备处理能力有限的情况下，如果不采取相应的措施，交换机显然无法满足一些需要实时传输数据（ IP 电话、电视会议及关键任务数据等）的需要。

服务质量（ Quality of Service， QoS）技术可以觉察和测量出网络的性能，并可以指定各种网络应用的优先级别，从而使某些特殊应用（如视频会议、 IP 电话等）享有优先转发权。当并发网络传输发生时，或者发生网络拥塞时，被指定网络应用总是能够优先被处理和转发，而普通网络应用的数据则将滞后传输甚至被丢弃。因此，借助于 QoS 技术，可以搭建完美的VoIP 网络，有效地控制丢包率、延迟和抖动，解决网络延迟和阻塞等问题，从而实现完美的实时多媒体数据传输（如图 2-23 所示）。

由此可见，当各种网络应用较多、数据传输较为频繁时，若欲实现多媒体数据的完美传输，就必须采用 QoS 技术。

2.6 安全技术

交换机作为网络通信的枢纽，既决定着网络的性能和效率，也决定着网络的安全和稳定。随着交换机技术的不断发展，交换机变得越来越成熟、越来越聪明、越来越强壮、越来越安全。

2.6.1    基于端口的传输控制

为了有效地保障网络传输安全，交换机内置了许多基于端口的传输控制，内容如下。

 广播风暴控制

当端口接收到大量的广播、单播或多播包时，就会发生广播风暴。转发这些包将导致网络速度变慢或超时。借助于对端口的广播风暴控制，可以有效地避免硬件损坏或链路故障而导致的网络瘫痪。默认状态下，广播、多播和单播风暴控制被禁用。

 保护端口

保护端口可以确保同一交换机上的端口之间不进行通信。保护端口不向其他保护端口转发任何数据包，包括单播、多播和广播包。传输不能在第二层保护端口间进行，所有保护端口间的传输都必须通过第三层设备转发。保护端口与非保护端口间的传输则不受影响。借助PVLAN 可以设置保护端口。

 端口安全

端口安全，可以使用端口安全特性来限制进入一个端口的访问，从而避免非授权用户接入网络。可以为端口指定安全的 MAC 地址，或者指定所允许的最大安全 MAC 地址数。当将MAC 地址绑定至某个端口后，这个端口将不会转发源自其他 MAC 地址的包。如果限制安全MAC 地址的数目为 1，并且绑定了唯一的源地址，那么连接在这个端口的主机将独自占有这个端口的全部带宽，如图 2-24 所示。

2.6.2    Cisco IOS 防火墙

Cisco IOS 是思科网络设备的操作系统平台，被广泛应用于交换机、路由器、防火墙和无线设备。 Cisco IOS 防火墙特性集通过在网络基础机构本身内提供安全访问策略，完善了 Cisco的端到端安全产品，从而实现了独立设备不能提供的灵活性和控制水准。

 基本的和高级的通信过滤基本的和高级的通信过滤包括：

 标准和扩展的访问控制列表（ Access Control List， ACL）——将访问控制用于特定的网段，并定义哪些通信可以通过一个网段。

 锁定和密钥动态的 ACL——根据用户身份（用户名/口令）授予通过防火墙的暂时访问。

 基干策略的多端口支持——根据由安全策略决定的 IP 地址和端口，提供控制用户访问的能力。

 网络地址转换（ Network Address Translation， NAT）——通过对外界隐藏内部地址增强网络保密性；通过启动注册 IP 地址的保护，降低 Internet 访问的成本。

 同级路由器验证——确保路由器从可靠的来源收到路由信息。

 事件日志记录——通过将系统错误消息输出到一个控制台终端或系统日志服务器、设置严重级并记录其他参数，允许管理员实时跟踪潜在的违法或其他非标准活动。

 虚拟专用网络（ Virtual Private Network， VPN）——利用下列任何协议，通过公共线路（例如 Internet）提供安全的数据传输；降低远程分支办事处和外部网的实现及管理成本；增强服务质量和可靠性；提供基于标准的互操作性。

 Cisco 加密技术——网络层加密功能，在传输期间防止通过网络窃取或窜改数据。

 IPSec——基于标准的网络层加密，提供数据保密性和验证。

 基于上下文的访问控制

基于上下文的访问控制（ Context-Based Access Control， CBAC）使管理员能够将防火墙智能实现为一个集成化单框解决方案的一部分。 CBAC 通过严格审查源和目的地址，增强了使用众所周知端口（例如 FTP 和电子邮件通信）的 TCP 和 UDP 应用程序的安全。

CBAC 通过检查整个（数据）包了解应用程序状态信息，给 ACL 功能增加了智能检查。CBAC 利用这种信息创建一个暂时的、对话期特定的 ACL 入口，从而允许回返通信进入可靠网络。这种暂时的 ACL 有效地在防火墙中打开了一个大门。当一个对话期结束时， ACL 入口被删除，大门关闭。标准和扩展的 ACL 不能创建暂时的 ACL 入口，因此，难以确保为回返通信流量选择通道的先进应用程序的安全。

CBAC 比目前的 ACL 解决方案更加安全，因为它根据应用类型决定是否允许一个对话通过防火墙，并决定为回返通信流量是否从多个通道进行选择。之前，管理员仅通过编写 ACL基本上使防火墙大门永久敝开，而借助 CBAC，可以在需要时打开防火墙大门，并在其他时候关闭大门，从而能够安全地许可多媒体和其他应用通信。

 Java 阻断

随着大量 Java 小程序可用于 Internet，保护网络免受恶意小程序的攻击已经成为网络管理人员的一个主要课题。可以配置 Java 阻断来过滤或完全拒绝对没有嵌入在一个文档或压缩文件中的 Java 小程序的访问。

 服务拒绝检测和预防

新近增强的服务拒绝检测和预防可以针对 SYN 泛滥、端口扫瞄和包注入提供网络防御。服务拒绝检测和预防可以检查 TCP 连接中的包顺序号。如果这些号码不在预期的范围内，路由器将撤消可疑的包。当路由器检测出新建包，它就发出一条警告信息。它还可以撤销半开的TCP 连接状态表，以防止系统资源耗尽。

 审计跟踪

增强的审计跟踪利用系统日志来跟踪所有事务；记录时间印迹、来源主机、目的地主机、所用的端口、对话，以及传输的总字节数。

 实时告警

一旦查出可疑的活动，实时告警将向中央管理控制台发送系统日志错误信息。网络管理人员有能力立即对入侵作出反应。