CISP0204协议及网络架构安全(周军修改)

网络协议及架构平安培训机构名称讲师名字课程内容2知识域：网络协议平安知识子域：TCP/IP协议平安理解开放互联系统模型ISO/OSI七层协议模型理解TCP/IP协议体系结构和工作原理及其平安威胁了解IPV6的平安优势

什么是协议定义协议是网络中计算机或设备之间进行通信的一系列规那么的集合理解重点：规那么交通中的红绿黄灯：红灯停、绿灯行就是规那么我国汽车靠右行驶是规那么、香港、西方国家靠左行驶也是规那么4OSI七层结构模型OSI参考模型的各层ISO/OSI开放互联模型5ISO/OSI七层模型结构6物理层网络层传输层会话层表示层应用层数据链路层应用层〔高〕数据流层7654321分层结构的优点降低复杂性促进标准化工作各层间相互独立，某一层的变化不会影响其他层协议开发模块化简化理解与学习7数据链路层作用定义物理链路的电气、机械、通信规程、功能要求等；电压，数据速率，最大传输距离，物理连接器；线缆，物理介质；将比特流转换成电压；典型物理层设备光纤、双绞线、中继器、集线器等；常见物理层标准〔介质与速率〕100BaseT,OC-3,OC-12,DS1,DS3,E1,E3；第一层：物理层8物理层网络层传输层会话层表示层应用层作用物理寻址，网络拓扑，线路规章等；错误检测和通告〔但不纠错〕；将比特聚成帧进行传输；流量控制〔可选〕寻址机制使用数据接收设备的硬件地址〔物理地址〕寻址〔如MAC地址〕典型数据链路层设备网卡、网桥和交换机数据链路层协议PPP,HDLC,FR,Ethernet,TokenRing,FDDI第二层：数据链路层9数据链路层物理层网络层传输层会话层表示层应用层第二层：以太网协议标准〔两个子层〕LLC〔LogicalLinkControl〕IEEE802.2为上层提供统一接口；使上层独立于下层物理介质；提供流控、排序等效劳；MAC〔MediaAccessControl〕IEEE802.3烧录到网卡ROM；48比特；唯一性；LLCMAC物理层网络层传输层会话层表示层应用层10第三层：网络层作用逻辑寻址路径选择寻址机制使用网络层地址进行寻址〔如IP地址〕网络层典型设备路由器三层交换机11数据链路层物理层网络层传输层会话层表示层应用层第四层：传输层作用提供端到端的数据传输效劳；建立逻辑连接；寻址机制应用程序的界面端口〔如端口号〕传输层协议TCP(TransmissionControlProtocol)状态协议；按序传输；纠错和重传机制；Socket；UDP(UserDatagramProtocol)无状态协议；SPX12数据链路层物理层网络层传输层会话层表示层应用层第五层：会话层作用不同应用程序的数据隔离；会话建立，维持，终止；同步效劳；会话控制〔单向或双向〕13数据链路层物理层网络层传输层会话层表示层应用层第六层：表示层作用数据格式表示；协议转换；字符转换；数据加密/解密；数据压缩等；表示层数据格式ASCII,MPEG,TIFF,GIF,JPEG；14数据链路层物理层网络层传输层会话层表示层应用层第七层：应用层作用应用接口；网络访问流处理；流控；错误恢复；应用层协议FTP,Telnet,HTTP,SNMP,SMTP,DNS；15数据链路层物理层网络层传输层会话层表示层应用层数据发送过程---数据封装SegmentPacketBitsFramePDU数据接收过程---数据解封OSI平安体系结构定义的平安效劳OSI平安体系结构定义了系统应当提供的五类平安效劳，以及提供这些效劳的八类平安机制；某种平安效劳可以通过一种或多种平安机制提供，某种平安机制可用于提供一种或多种平安效劳。鉴别；访问控制；数据机密性；数据完整性；抗抵赖；OSI平安体系结构定义的平安机制加密；数字签名；访问控制；数据完整性；鉴别；流量填充〔用于对抗通信流量分析，在加密时才是有效的〕；路由控制〔可以指定路由选择说明，回避某些特定的链路或子网〕；公证〔notarization〕；TCP/IP与OSI模型的对应关系TCP/IP常用协议与平安威胁TCP/IP协议模型20TCP/IP协议与OSI模型的对应21物理层网络层传输层会话层表示层应用层数据链路层互联网络层传输层应用层网络接口层TCP/IP协议结构22应用层传输层互联网络层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARP网络接口层平安损坏干扰电磁泄漏搭线窃听欺骗23拒绝效劳嗅探网络接口层平安损坏：自然灾害、动物破坏、老化、误操作干扰：大功率电器/电源线路/电磁辐射电磁泄漏：传输线路电磁泄漏搭线窃听：物理搭线欺骗：ARP欺骗嗅探：常见二层协议是明文通信的〔以太、arp等〕拒绝效劳：macflooding，arpflooding等24ARP欺骗DAI〔DynamicARPInspection〕是思科交换机的一个平安特性。DAI能够检查arp数据包的真实性，自动过滤虚假的arp包。利用DAI防御arp欺骗互联网络层体系结构27应用层传输层互联网络层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARPIP是TCP/IP协议族中最为核心的协议不可靠〔unreliable〕通信无连接〔connectionless〕通信提供分层编址体系〔ip地址〕IP协议简介28IP报头结构IP地址类别 *127(01111111)是保存用于环回测试的A类地址，不能将其分配给网络。

D类224-23911100000到11101111组播通信地址

E类240-25511110000到11111111保留地址，用于测试国际互联网私有IP地址范围类私有地址范围A

到55B

到55C

到55特点：构建在IP报文结构上，但被认为是与IP在同一层的协议IP报头ICMP报文8位类型8位代码16位校验和内容ICMP协议32internetICMP查询报文网关ICMP差错报文pingpingICMP查询报文ICMP差错报文Couldn’tfind传递过失报文及其他需要注意的信息ICMP地址掩码请求与应答ICMP时间戮请求与应答ICMP协议的作用33IP层平安拒绝效劳欺骗窃听伪造34互联网络层平安拒绝效劳：分片攻击〔teardrop〕/死亡之ping欺骗：IP源地址欺骗窃听：嗅探伪造：IP数据包伪造35分片攻击〔teardrop〕Teardrop的工作原理是利用分片重组漏洞进行攻击而造成目标系统的崩溃或挂起。例如，第一个分片从偏移0开始，而第二个分片在tcp首部之内。理想的解决方案是对ip分片进行重组时，保证TCP/IP实现不出现平安方面的问题。启用路由器、防火墙、IDS/IPS的平安特性能够防御teardrop攻击。36smurf攻击攻击者使用播送地址发送大量的欺骗icmpecho请求，如果路由器执行了三层播送到二层播送转换〔定向播送〕，那么，同一ip网段的大量主时机向该欺骗地址发送icmpecho应答，导致某一主机〔具有欺骗地址〕收到大量的流量，从而导致了DoS攻击。防御方法为关闭路由器或三层交换机的定向播送功能。37防御IP源地址欺骗〔rfc3704过滤〕大多数攻击都伴随着ip源地址欺骗。38传输层体系结构39应用层传输层互联网络层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARPTCP:传输控制协议作用：TCP提供一种面向连接的、可靠的字节流效劳功能数据包分块发送接收确认超时重发数据校验数据包排序控制流量……TCP协议4016位源端口号16位目的端口号32位序号32位确认序号偏移量保留UAP

RSF16位窗口大小16位紧急指针16位校验和数据TCP包头数据结构TCP首部41URG紧急指针〔urgentpointer〕有效ACK确认序号有效PSH接收方应该尽快将这个报文段交给应用层RST重建连接SYN同步序号，用来发起一个连接。FIN发送端完成发送任务TCP首部-标记位42TCP/UDP通过16bit端口号来识别应用程序知名端口号由Internet号分配机构〔InternetAssignedNumbersAuthority,IANA〕来管理现状1－255端口号分配给知名的网络效劳256－1023分配给Unix操作系统特定的效劳1024～5000临时分配的端口号5000以上端口号保存给应用效劳TCP首部-端口号43TCP建立连接过程——三次握手CTL=TCP报头中设置为1的控制位特点：UDP是一个简单的面向数据报的传输层协议不具备接收应答机制不能对数据分组、合并不能重新排序 没有流控制功能协议简单占用资源少，效率高……UDP协议4516位源端口号16位目的端口号16位UDP长度16位UDP校验和数据UDP协议包头46相同点同一层的协议，基于IP报文根底上不同点TCP是可靠的，高可用性的协议，但是复杂，需要大量资源的开销UDP是不可靠，但是高效的传输协议UDP与TCP比较47传输层平安拒绝效劳欺骗窃听伪造48传输层平安问题拒绝效劳：synflood/udpflood、Smurf欺骗：TCP会话劫持窃听：嗅探伪造：数据包伪造49TCPsynflood攻击攻击者使用虚假地址在短时间内向目标主机发送大量的tcpsyn连接请求，导致目标主机无法完成tcp三次握手，导致目标主机的连接队列被充满，从而导致目标主机拒绝为合法用户提供tcp效劳。可以在路由器、防火墙或IPS启用ip源地址过滤〔rfc3704〕，并启用tcp最大连接数和连接速率限制等特性进行防御。50TCP会话劫持攻击者对两台通信主机的信息流进行监视，通过猜测会话序列号可能注入其中一台主机的信息流，当合法主机与网络的连接被断开后，攻击者使用合法主机的访问权继续进行会话。最好的防御方法是使用防火墙或IPS进行会话合法性检查以及部署加密通信技术〔如ipsec等〕。51TCP序列号和确认号应用层协议域名解析：DNS电子邮件：SMTP/POP3文件传输：FTP网页浏览：HTTP……53应用层平安拒绝效劳欺骗窃听伪造暴力破解……54应用层协议的平安问题拒绝效劳：超长URL链接、欺骗：跨站脚本、钓鱼式攻击、cookie欺骗窃听：嗅探伪造：应用数据篡改暴力破解：应用认证口令暴力破解等……55应用层协议平安问题-明文用户名：scn密码：scn432156实现加密通信57使用ssh替代telnet使用s替代使用S/MIME平安多用途英特网邮件扩展部署ipsecvpn嗅探攻击利用各种工具收集目标网络或系统的信息.常用攻击工具:Sniffers〔数据包嗅探〕端口扫描Ping扫描嗅探攻击的防御方法用户和设备身份鉴别AAA效劳、dot1x、NAC等。数据加密IPSec、SSL、SSH、WAPI、802.11i等。部署IDS/IPS部署交换机根底架构使用交换机根底架构能够减少数据包嗅探攻击。访问攻击特点访问攻击的目的:获取数据获取访问特权常见的访问攻击和工具口令攻击〔各种口令破解工具、嗅探、病毒、木马〕信任关系利用端口重定向中间人攻击缓冲区溢出访问攻击的防御方法使用强口令、一次性口令,AAA效劳等部署严格的边界信任和访问控制防火墙或路由器Window域或活动目录Linux、Unix部署加密技术部署IDS/IPS部署路由协议鉴别AAA效劳Authentication〔身份鉴别〕Authorization〔授权〕Accounting〔记账〕DoS攻击特点DoS攻击的目的是导致目标网络、系统或效劳不可用.DistributedDoS攻击能够协同大量的攻击主机向同一个目标进行集群攻击。DoS和DDoS攻击通常伴随着ip地址欺骗攻击，以隐藏攻击者.DoS攻击容易实施，但是非常难以彻底防范，需要所有的互联网ISP和所有的企业和用户共同防御才能减少其危害〔互联网公共道德和平安意识〕。DistributedDoS例如DoS攻击的防御方法在路由器和防火墙部署防ip源地址欺骗在路由器和防火墙启用防御DoS平安特性路由器Tcp拦截、常用acl策略防火墙tcp连接监控部署网络和主机IDS/IPS检测和防御DoS攻击在互联网效劳提供商〔ISP〕部署流量限速IPv6平安特性IPv6平安特性支持移动性地址数量大支持端到端业务模式支持QoS和性能问题强制IPSEC简化的路由表配置简单66IPv6与IPv4的地址数量差异IPv4地址数量：2^32，共4294967296个地址IPv6地址数量：2^128，共3.402823*10^38每个人可以分配到整个比原来整个IPv4还多的地址，地球上每平方米可以分配到一千多个地址IPv6提供的许多增强功能增强的IP编址简化的报头移动性和平安性多种过渡方式IP地址平安特性67IPv4报头具有20个八位二进制数和12个根本报头字段，然后是选项字段和数据局部〔通常是传输层数据段〕IPv6报头具有40个八位二进制数、三个IPv4根本报头字段和五个附加报头字段简单报文结构68大多数应用协议需要进行升级FTP,SMTP,Telnet,Rlogin需要对以下标准进行修改全部51个Internet标准中27个20个草案中的6个130个标准建议中的25个IPv6应用问题69知识域：网络协议平安知识子域：无线网络平安理解802.11和WAPI无线网络协议原理及其平安特性知识子域：移动通信网络平安了解3G网络〔TD-CDMA、CDMA2000、WCDMA〕原理及平安特性70无线网络及移动通讯无线网络体系及标准无线局域网国际标准802.11x平安问题WAPI标准介绍3G技术概述71无线技术72PAN(PersonalAreaNetwork)LAN(LocalAreaNetwork)WAN(WideAreaNetwork)MAN(MetropolitanAreaNetwork)PANLANMANWANStandardsBluetooth

802.15.3

UltraWideBand(WiMedia)802.11802.11(Wi-Fi)

802.16(Wi-Max)

802.20GSM,CDMA,SatelliteSpeed<1Mbps11to54Mbps10-100+Mbps10Kbps–2MbpsRangeShortMediumMedium-LongLongApplicationsPeer-to-Peer

Device-to-DeviceEnterpriseNetworksLastMileAccessMobileDataDevices无线局域网的传输媒质分为无线电波和光波两类无线电波主要使用无线电波和微波，光波主要使用红外线无线电波和微波频率由各个国家的无线电管理部门规定，分为专用频段和自由频段。专用频段需要经过批准的单独有偿使用的频段；自由频段主要是指ISM频段〔Industrical，Scientific，Medical〕无线局域网根本概念73无线局域网网络结构APSTA无线站点〔station，STA〕无线网的端头设备，例如笔记本、掌上电脑等无线接入点〔AccessPoint，AP〕专用的无线接入设备分布系统〔distributionsystem，DS〕其他网络，无线或者有线网络DS74无线局域网安全风险

无线局域网平安问题75传统无线平安防护措施效劳集标识符SSID极易暴露和伪造，没有平安性可言物理地址〔MAC〕过滤MAC地址容易伪造，扩展性差有线等效加密〔WEP〕IEEE802.11定义的WEP保密机制加密强度缺乏，在很短的时间内WEP密钥即可被破解WEP机制本身存在平安漏洞，密钥长度增加无法解决问题，目前各种基于WEP的改进措施〔WPA〕等平安性仍然没有得到根本解决。76问题例如：“中间人”攻击后台AS合法AP伪造AP

用户（终端）攻击者攻击者利用伪造AP进行中间人攻击：伪造AP对用户〔终端〕相当于合法AP；对合法AP相当于用户〔终端〕77WAPI标准简介WAPI(WLANAuthenticationandPrivacyInfrastructure)是我国自主研发的，拥有自主知识产权的无线局域网平安技术标准782001200320042005200620082009启动标准编制标准推出并准备强制启用无限期退出强制执行并申请国际标准政府发文促进标准体系完善，国际标准投票失败启动第二次国际标准申请，可能成为独立标准标准化组织达成共识，推动成为独立标准计算机

WAPIGB15629.11-2003GB15629.11-2003/XG1-2006GB15629.1102-2003GB15629.1101-2006GB15629.1104-2006GB/T15629.1103-2006……5.8GHz54Mbps2.4GHz11Mbps不同国家之间漫游2.4GHz54Mbps2006年6月公布四项新的无线局域网国家标准。形成全面采用WAPI我国无线局域网国家标准体系基于WAPI的无线局域网标准体系792009-3-09基于三元结构和对等鉴别的访问控制方法

可普遍适用于无线、有线网络

WAPI目的：“合法用户接入合法网络”用户网络合法合法WAPI的技术思想80WLAN〔AP〕终端终端终端WMAN〔基站〕有线连接2公里50米LAN〔交换机/路由器〕后台网络终端接入点后台AS全IP架构下的接入网三元结构81WEP802.1x+EAP(802.11i)、WiMAXWAPI二元平安架构对应二物理实体单向鉴别无法保证平安三元平安架构对应三物理实体接入点/基站有独立身份完整双向认证有效保证平安“元”在网络平安接入领域指具有认证功能的功能体二元平安架构对应三物理实体AP无独立身份，易被攻击仍无法保证平安WAPI构筑三元平安架构82STA其他网络设备AS服务器AP鉴别激活接入鉴别请求证书鉴别请求证书鉴别响应接入鉴别响应访问网络资源（链路加密）通信过程身份鉴别过程密钥协商请求组播密钥响应密钥协商响应组播密钥通告WAPI-WLAN平安接入协议采用公钥证书机制，通过双向身份鉴别和密钥协商过程实现平安接入控制和保密通信。WAPI平安协议流程83应用层表示层TCP/IP链路层〔MAC〕物理层ISO7层模型标准……安全MAC……编码/调制频率智能天线通信协议：模块化构成特征84安全MAC……编码/调制频率智能天线互相啮合，而非叠加或拼凑必然存在于芯片中应用层表示层TCP/IP链路层〔MAC〕物理层ISO7层模型标准……通信协议：模块化构成特征85安全MAC……编码/调制频率智能天线WAPIWAPI取代802.11中的WEP/TKIP＋802.11i(802.1x+EAP)例如：WAPI与无线局域网技术地位863G概述第三代移动通信系统〔3G〕:IMT2000采用宽带码分多址(CDMA)，实现移动宽带多媒体通信IMT2000:2000年，在2000M频段实现2000K的数据通信3G对数据通信速率的要求室内环境至少2Mbps室内外步行环境至少384kbps室外车辆运动中至少144kbps卫星移动环境至少9.6KbpsIMT2000推荐的3种制式：WCDMA、CDMA2000、TD-SCDMA87WCDMA技术特性WCDMA〔宽带分码多工存取〕WCDMA的版本Release99(R99)release4(R4)、release5、release6〔R6〕各版本的特点R99：兼容性好、技术成熟、风险小，但语音质量差、核心网采用过时TDM技术，效率低且网管复杂R4：全新协议和技术，风险较大R5：R4的一个补充，用于满足IP多媒体业务88CDMA2000技术特性CDMA2000的阶段CDMA20001XEV-DO语音别离的信道传输数据CDMA20001XEV-DO数据信道语音信道合一CMDA2000网络平安无线链路采用伪随机码对信号进行扩频，很难监听平安协议依赖64bit认证密钥和终端序列号网络对接入终端认证，终端不认证网络89特点TDD技术基于智能天线；采用软件无线电技术；采用1.6MHz载频间隔；优点频段使用灵活；采用1.6MHz带宽，在5MHz内可有三个载频，系统应用灵活适应于非对称数据传输，适合无线Internet业务频谱效率高，容量大；本钱低；TD-CDMA的技术优势和特点903G平安的威胁来自哪里智能终端及多种接入方式带来的风险无线、移动接入的风险漫游带来的风险消息和业务带来的风险互联网访问及下载带来的风险913G平安目标确保用户相关的信息平安确保网络资源和业务平安确保平安特征的充分标准化确保给用户和业务提供者提供的平安水平高于当前正在使用的固定网络和移动网络平安确保3G平安特征的可扩展性923G平安架构网络接入平安确保3G效劳接入的平安，重点考虑无线链路上的平安问题，例如用户信息保密〔身份、位置、行政〕，认证信息保密、用户数据与信令数据的保密及消息认证。网络域平安3G提供者域节点直接的数据交换平安，重点是有线网络上的攻击，包括相互之间实体身份认证、数据加密、主要保证提供者域的节点之间能够平安交换数据，并对抗有线网络上的攻击。包括网络实体间身份认证、数据加密、消息认证、以及对欺骗信息的收集933G架构平安用户域平安确保移动台的平安接入，只有获得授权才可以访问移动终端应用域平安确保用户应用与提供者应用之间平安的交换信息，重点包括针对应用数据攻击的检测和应用数据完整性保护等943G网络接入平安增强的用户身份保密认证和密钥协商机密性保护完整性保护2G和3G网络共存时的用户鉴权95知识域：网络架构平安知识子域：网络架构平安根底理解网络平安域的含义理解网络边界防护的含义理解网络线路冗余的作用96网络平安域

定义平安域是遵守相同平安策略的用户和系统的集合平安域划分的目的把大规模负责系统平安问题化解为更小区域的平安保护问题平安域的分类按信息资产划分按业务类型划分按区域划分按组织架构划分97同级别平安域同级别平安域之间的边界-同级别平安域之间的平安防护主要是平安隔离和可信互访不同级别平安域不同级别平安域之间的边界－实际设计实施时又分为高等级平安域和低等级平安域的边界和防护远程连接用户远程连接的用户－对于远程接入用户通常采用VPN结合用户认证授权的方式进行边界防护同级别平安域之间的边界远程接入边界的平安网络平安域防护98网络边界的概念具有不同平安级别的网络之间的分界线都可以定义为网络边界网络常见边界：内部网络与外部网络之间组织机构各部门之间重要部门与其他部门之间组织机构总部与分支机构之间99网络边界防护目的实现大规模复杂信息系统平安等级保护作用把一个大规模复杂系统的平安问题，化解为更小区域的平安保护问题依据信息资产平安策略级别平安区域确定区域100网络边界划分根本平安防护采用常规的边界防护机制，如根本的登录/连接控制等，实现根本的信息系统边界平安防护，采用路由器或者三层交换机。较严格平安防护采用较严格的平安防护机制，如较严格的登录/连接控制，普通功能的防火墙、防病毒网关、入侵防御、信息过滤、边界完整性检查等严格平安防护根据当前信息平安对抗技术的开展，采用严格的平安防护机制，如严格的登录/连接机制，高平安功能的防火墙、防病毒网关、入侵防御、信息过滤、边界完整性检查等特别平安防护采用当前最先进的边界防护技术，必要时可以采用物理隔离平安机制，实现特别平安要求的边界平安防护101边界平安防护机制102边界平安防护技术防火墙负载均衡IDS/IPSUTM隔离网闸抗拒绝效劳攻击……内部网络与互联网边界防护内部网络与外部网络边界防护内部网络与分支机构边界防护内部网络重要部门边界防护103边界平安防护实施需要考虑的问题是否需要对外提供效劳，提供什么效劳IP数量，如何使用IP〔NAT或直接效劳〕带宽问题互联网病毒传播问题采取的防护措施路由器防火墙流量管理防病毒网关UTM……内部网络与互联网边界防护104需要考虑的问题相互的效劳提供及数据交换情况〔在保证应用的情况下隔离〕病毒传播问题采取的防护措施路由器防火墙防病毒网关隔离网闸……内部网络与外部网络边界防护105需要考虑的问题连接的方式〔VPN或直接网络访问〕病毒传播问题采取的防护措施VPN防火墙防病毒网关……106内部网络与分支机构边界防护需要考虑的问题防护的程度和标准病毒传播问题非法访问问题采取的防护措施VLAN划分防火墙防病毒网关……107内部网络重要部门边界防护108线路冗余的价值防止单点故障可以提高网络的健全性、稳定性线路冗余的风险播送风暴多帧复制地址表的不稳定线路冗余的解决方法生成树协议防止环路网络线路冗余知识域：网络架构平安知识子域：网络平安规划实践掌握IP地址规划、VLAN划分的根本平安原那么掌握网络设备平安配置〔交换机、路由器、无线局域网〕的根本原那么掌握网络平安设备部署和配置的根本原那么109IP地址规划从IP地址规划中可以看出一个网络的规划质量、甚至可以反映出网络设计师的技术水准。110为什么需要进行IP规划提高路由协议的运行效率确保网络的性能确保网络可扩展确保网络可管理唯一性连续性扩展性实意性节约性IP地址规划的原那么111核心设备使用相对较小的地址所有网管地址使用相同的末位数字，如.254都是网关或.1都是网关IP地址通常要聚合后发布，在规划时要充分考虑使用连续的可聚合地址。IP地址规划的技巧112IP地址块的划分分层规划IP地址核心层需要规划的地址会聚层需要规划的地址接入层需要规划的地址确定地址块划分的总体原那么先纵向划分，再横向划分。即：按照业务先将地址划分为公网、VPN1——VPNn。然后再按照地域在每一个地址块中为每一个地域划分一个地址块。先横向划分，再纵向划分。即：按照地域将地址划分为多块。然后再按照业务将每个地市的地址块划分为：公网、VPN1——VPNn。113非体系化的ip编址主干网和每个分支网络需要维护全网的详细IP网段，路由表条目数明显增多，明显增加了路由协议运行开销。体系化的ip编址主干网只需维护每个分支网络的一条汇总路由每个分支网络只需要维护本网络区域的详细IP网段，对于其他每个分支网络只需维护一条汇总路由。路由表题目数量很少，明显减少了路由协议运行开销。VLAN定义VLAN〔VirtualLocalAreaNetwork〕的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。116VLAN规划划分VLAN的作用有效的宽带利用平安性多路径负载均衡隔离故障域VLAN的分类基于端口划分的VLAN基于MAC地址划分VLANPVLAN〔privatevlan〕117VLAN实施End-to-EndVLAN实现方法与用户物理位置无关的vlan规划LocalVLAN实现方法LocalVLANs内的用户都终止于一个共同的物理边界。VLAN