作者： muyu

背景 　　电子认证服务器可以发布某个机构或个人对于某个公共密钥拥有权的证明数字文件，也就是认证证书。在了解认证服务器的工作原理之前，您必须先了解什么是“公共密钥”。 　　这里先简要介绍一下认证、公共密钥及数字签名的概念. 　　什么是公共密钥加密? 　　当您在公共网络如视聆通或INTERNET上进行信息传送时，别人很有可能把您的信息窃取。为了保证信息的安全，您就必须进行加密传输。 　　公共密钥加密是一种利用成对密钥加解密的方法：一个公共密钥（任何人都可以知道的）和一个私有密钥（只限拥有者知道）。 　　公共密钥和私有密钥的关系如下所示: 　　用公共密钥加密的数据只能由相应的私有密钥进行解密。 　　例如，如果您要给某人发送一则加密的信息，您就可以先用那个人的公共密钥对这则信息进行加密，然后再送出去。这样，这则信息就只有掌握着相对应的私有密钥的接受人才能读取。 　　用公共密钥加密的数据只能由相应的私有密钥进行解密。 　　例如，为了证明您的确是某则信息的发送人，而非他人冒名顶替，那么您就可以用您的私有密钥先对这则信息加密再发送。别人就可以用您的公共密钥解密以证明这则信息的确是您发出来的。 　　什么是数字签名? 　　数字签名可以证明某则信息的确是有某个人发出来的，并且可以保证该信息在传送过程中没有受到修改。 　　在进行数字签名时，先由一个hash算法从要发送的信息中得到一个定长的字符串，称为“信息摘要”（message digest）, 然后对这个“摘要”用私有密钥进行加密以作为数字签名同时发送，从而保证信息是来自该发送者的。 　　例如您把具有您的数字签名的信息发送出去以后，接受者可以按以下的步骤来进行验证： 　　1.接受者用您的公共密钥解密“信息摘要”。 　　2.接受者用同样的hash 算法对这则信息计算出“信息摘要”。 　　3.接受者对比新生成的“信息摘要”和随信息传送过来的“信息摘要”。 　　如果两者相同，那么就可以认定信息的确是由您发出来的。 　　如果两者不同，则有以下几种可能： 　　“信息摘要”是用其他私有密钥加密的，也就是说发送者是冒牌的。 　　信息在传送过程中遭到修改或损坏，从而使得用同一算法新生成的“信息摘要”与加密传送过来的“信息摘要”不一致。 　　什么是电子认证? 　　由于在数字签名的过程中，我们是用公共密钥来验证的，这样公共密钥属主的认定工作就显得非常重要。您必须能判断出某个公共密钥的确来自于他所声称的拥有者，而不是由其他冒名顶替者提供的。 　　电子认证就是一个随公共密钥附带的，用于表明该公共密钥对应的私有密钥的确属于某个组织或个人的证明文件。电子认证是由能够保证这种拥有性的权威机构提供的，这种权威机构就称为“认证机构”（CA）。 　　认证的标准在 ITU-T Recommendation X.509 中有定义。 　　如何使用电子认证? 　　目前大多数浏览器和服务器都可以按照SSL协议来使用电子认证。作为一个SSL的握手过程，服务器需要把自己的认证证书发送给客户端，以证明自己的身份。服务器也可以按配置的要求决定是否向客户端索取认证证书。 　　另外，电子认证还可以有效的减轻记多个密码的负担。如果您的多个服务器都采用电子认证而非普通的密码，那么用户就只需记住一个用于读取私有密钥的密码就可以了，而不用对每一个服务器记一个密码。 　　电子认证还可以用于安全的EMAIL协议通信中，如S/MIME (Secure Multipurpose Internet Mail Extensions). 利用S/MIME协议，信件可以进行签名以保证它是由某人发出的。信件中还包含有签名者的认证证书，这样接收者就可以用于验证数字签名了。 　　最后。电子认证还可以用于验证其他电子认证的合法性。比如，假设您用Netscape Navigator浏览某个使用SSL协议的服务器的信息。那个服务器给您发送了一个由 “Ace Industries Certificate Authority.” 签发的认证证书，在接受这个证书之前，您的 Netscape Navigator 会先用”Ace Industries Certificate Authority”的“CA证明”（该证明用于验证签署证书的密钥）来判断服务器的证书是否真的。 　　证书的有效期? 　　认证证书在签署的同时，定有一个有效期。证书只有在这个有效期内才是合法有效的。在有效期内，发证机构也可以通过废止来使证书失效。 　　发证的权威机构公布的废止证书列表称为certificate revocation list (CRL). CRL就象信用卡的黑名单，它通知别人某些证书不再有效。 　　电子认证服务器 　　用电子认证服务器，可以进行公共密钥认证的管理、签署和废止。她使用的是X.509标准。

　　我们知道，传统的局域网Ethernet 使用具有冲突检测的载波监听多路访问( CSMA / CD )方法。在CSMA / CD 网络中，节点可以在它们有数据需要发送的任何时候使用网络。在节点传输数据之前，它进行”监听”以了解网络是否很繁忙。如果不是，则节点开始传送数据。如果网络正在使用，则节点等待。如果两个节点进行监听，没有听到任何东西，而开始同时使用线路，则会出现冲突。在发送数据时，它如果使用广播地址，那么在此网段上的所有PC都将收到数据包，这样一来如果该网段PC众多，很容易引起广播风暴。而冲突和广播风暴是影响网络性能的重要因素。为 解 决这一问题，引入了虚拟局域网（VLAN的概念。 　　虚拟网络是在整个网络中通过网络交换设备建立的虚拟工作组。虚拟网在逻辑上等于OSI模型的第二层的广播域，与具体的物理网及地理位置无关。虚拟工作组可以包含不同位置的部门和工作组，不必在物理上重新配置任何端口，真正实现了网络用户与它们的物理位置无关。虚拟网技术把传统的广播域按需要分割成各个独立的子广播域，将广播限制在虚拟工作组中，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。我们结合下面的图来看看讲下。图1所表示的是两层楼中的相同性质的部门划分到一个VLAN中，这样，会计的数据不会向市场的机器上广播，也不会和市场的机器发生数据冲突。所以VLAN有效的分割了冲突域和广播域。 　　我们可以在交换机的某个端口上定义VLAN ，所有连接到这个特定端口的终端都是虚拟网络的一部分，并且整个网络可以支持多个VLAN。VLAN通过建立网络防火墙使不必要的数据流量减至最少，隔离各个VLAN间的传输和可能出现的问题，使网络吞吐量大大增加，减少了网络延迟。在虚拟网络环境中，可以通过划分不同的虚拟网络来控制处于同一物理网段中的用户之间的通信。这样一来有效的实现了数据的保密工作，而且配置起来并不麻烦，网络管理员可以逻辑上重新配置网络，迅速、简单、有效地平衡负载流量，轻松自如地增加、删除和修改用户，而不必从物理上调整网络配置。既然VLAN有那么多的优点，我们为什么不了解它从而把VLAN技术应用到我们的现实网络管理中去呢。好的让我们通过实际的在Catalyst 1900交换机上来配置静态VLAN的例子来看看如何在交换机上配置VLAN。 　　　　　图1 在Catalyst 1900 上的两个VLAN 　　设置好超级终端，连接上1900交换机后（可以参考《1900系列以太网交换机快速入门指南》或其他的CISCO参考资料），会出现如下的主配置界面：