2.POP=point of presence服务器(位于ISP得边缘,直接接用户) 五、VPN的本质,共4点 1.VPN=隧道+加密
2.隧道分为二层隧道和三层隧道
3.二层隧道一般终止在用户侧设备,三层隧道一般终止在ISP网关;三层隧道比二层隧道更安全更容易扩展更可靠
4.二层隧道和三层隧道可独立使用,也可配置使用,这样更更全更佳的性能 六、VPDN总结,共2点
1.VPDN=virtual private dial network虚拟私有拨号网:指利用公共网络(ISDN或PSTN)的拨号功能及接入网来实现VPN
2.VPDN有两种实现方式:①NAS通过隧道协议,与VPDN网关建立通道②客户机直接与VPDN网关建立隧道 七、L2TP总结
1.协议背景:PPP协议定义了一种封装技术,可在二层点到点链路传输多种协议数据包,用户与NAS间运行PPP协议,二层链路端点与PPP会话点驻留在相同硬件设备上;L2TP提供了对PPP链路层数据包的通道(tunnel)传输支持,允许二层链路端点和PPP会话点驻留在不同设备上,且采用包交换进行信息交互,扩展了PPP模型。
2.术语:LAC=L2TP accessconnectrator(具有PPP端系统和L2TP协议处理能力的设备)
LNS=L2TP network server(PPP端系统处理L2TP协议服务器端的设备)
3.PPP帧和控制通道及数据通道间的关系:PPP帧在不可靠的L2TP数据通道上传输,控制消息在可靠的L2TP控制通道内传输。
4.tunnel和session:tunnel连接定义了一个LNS和LAC对;session连接复用在tunnel之上,用于表示承载在tunnel连接中的每个PPPsession过程;同一对LAC和LNS间可建立多个L2TP tunnel,tunnel由一个控制连接和一个或多个session组成;session连接必须在tunnel建立成功后进行,每个session对应于LAC和LNS间的一个PPP数据流;控制消息和PPP数据报文都在tunnel上传
输。
5.控制消息和数据消息:控制消息用于隧道和会话的建立、维护、传输控制;数据消息用于封装PPP帧在隧道上传输;控制消息和数据消息共享相同的报文头。 6.L2TP的两种tunnel模式:①远程拨号用户发起②直接由LAC客户发起。 7.L2TP隧道和会话建立过程:(①用户端PC发起呼叫连接请求②PC和LAC进行PPP LCP协商③LAC对PC提供的用户信息进行PAP或CHAP认证④LAC将热证信息(用户名、密码)发送给radius服务器进行认证⑤radius服务器认证该用户;如果认证通过则返回该用户对应的LNS地址等相关信息且LAC准备发起tunnel连接请求⑥LAC向指定LNS发起tunnel连接请求⑦LAC向指定LNS发送CHAP challenge信息,LNS会送该challenge响应消息CHAP response并发送LNS侧的CHAP challenge,LAC返回该challenge的响应消息CHAP response⑧隧道验证通过⑨LAC将用户CHAPresponse、response identifier和PPP协商参数传送给LNS⑩LNS将介入请求信息发送给radius服务器进行认证(11)radius服务器认证该请求信息,如果认证通过则返回响应信息(12)若用户在LNS配置强制本端CHAP认证,则LNS对用户进行认证,发送CHAP challenge,用户侧回应CHAP response(13)LNS再次将接入请求信息发送给radius服务器进行认证(14)radius服务器认证该请求信息,如果认证通过则返回响应信息;验证通过,用户访问企业内部资源。 八、GRE总结,共6点。
1.GRE=generic routing encapsulation(通用路由封装):是对某些网络层协议(如ip和IPX)的数据报文进行封装,使被封装的数据报文能在另一网络层协议(如ip)中传输。 2.GRE是VPN的三层隧道协议。
3.tunnel是一个虚拟点到点连接,可以看成仅支持点到点连接的虚拟接口。 4.报文在tunnel中传输,必须经历2个处理过程:①encapsulation②de-encapsulation
5.GRE的使用:①多协议的本地网通过单一协议骨干网传输②扩大步跳数受限协议(如IPX)的网络工作范围③将不连续子网连接用于组建VPN④与IPsec结合使用。
6.GRE的配置:①必须先创建tunnel虚拟接口,然后在tunnel接口上配置其它功能特性(删除tunnel接口同时接口所有配置也被删除)②目前comware不支持GRE对IPX的封装。 九、IPsec总结
1.IPsec概述:①由IETF制定②IPsec是特定通信方在ip层通过加密与数据源验证等来保证数据传输的私有性、完整性、真实性和放重放③IPsec通过AH和ESP实现安全,通过IKE自动协商交换密钥、建立和维护SA④AH提供数据源验证、数据完整性校验、报文放重放功能⑤ESP提供AH所有功能外,还提供对ip报文加密。⑥AH和ESP可单独使用也可搭配使用更安全。
2.安全联盟SA:①IPsec在对等体间提供安全通信②通过SA,IPsec能对不同数据流提供不同安全级别,专业说法叫“控制对等体间安全服务的粒度”③SA是IPsec对等体间对某些要素的约定④SA是单向的(两个对等体间双向通信,至少需要两个SA)⑤SA由三元组来标识(SPI\\目的ip地址\\安全协议号AH或ESP)⑥SA有生存周期,计算方式有两种(时间和流量)。
3.IPsec的操作模式有2种:①传输模式(AH或ESP被插入到ip头之后所有传输层协议之前或所有其他IPsec协议之前)②隧道模式(AH或ESP插入在原始ip头之前,另外生成一个新头放在AH或ESP之前)③隧道模式的安全性优于传输模式但性能不及传输模式。
4.验证算法和加密算法:①验证算法(有两种MD5和SHA-1;用于完整性验证判断报文在传输过程中是否被篡改;验证算法通过杂凑函数接受任意长的消息输入,产生固定长度输出的算法,输出信息称为消息摘要;MD5输入任意长度产生128bits摘要,SHA-A输入小于2的64次方bits产生160bits摘要)②加密算法(DES=data encryption standard使用56bits的密钥对64bits明文加密;3DES=Triple DES使用3个56bits密钥对明文加密;AES=advanced encryption standard -comware实现了128bits/192bits/256bits密钥长度的AES算法)。 5.IPsec的2种协商方式:①手工方式(manual)②IKE自动协商③手工方式配置复杂且IPsec一些高级特性(如定时更新密钥)不被支持;IKE只需配置好IKE协商安全策略信息由IKE自动协商来创建和维护SA④对等体设备数量少或小型静态环境使用手工配置SA;大中型动态网络环境中使用IKE协商建立SA。
6.加密卡:①加密/解密、认证算法一般比较复杂,占用大量CPU资源,影响路由器整体处理效率②模块化路由可以使用加密卡,以硬件方式完成IPsec运算;提高了路由器工作效率也提高了IPsec处理效率。 第六部分 QoS
一、QoS概述,共5点
1.QoS是网络转发分组的服务能力
2.传统ip网络QoS是FIFO(best-effort)
3.现今的ip网络要承载新业务(视频语音等业务),对带宽和延迟、抖动要求较高
4.延迟、抖动主要是拥塞引起的
5.流量管理的5种技术:①流分类②流量监管③流量整形④拥塞管理⑤拥塞避免 二、流分类总结,共6点
1.流分类是对流量进行分类,是实现QoS的基础
2.流分类可使用TOS或根据源地址、目的地址、MAC地址、ip协议或端口号灯信息对流进行分类
3.一般的分类依据都局限在封装报文的头部信息,使用报文内容作为分类标准比较少见。
4.一般在网络边界对报文分类,同时设置报文ip头TOS字段的优先级位。这样在网络内部直接使用ip优先级作为分类标准,队列技术也可使用这个优先级对报文进行不同的处理。下游网络可选择接受上游网络的分类结果,也可按自己的标准重新进行分类。
5.当报文进入网络时依据承诺速率进行监管,流出结点前进行整形,拥塞时的队列调度管理,拥塞加剧时采取拥塞避免
6.TOS和DSCP:①TOS有8bits,前3bits是ip优先级,取值范围是0-7;后3-6bits是TOS优先级,取值范围是0-15。②重新定义TOS域,称为DS域。DSCP优先级使用前6bits,取值范围0-64,后2bits保留。 三、令牌桶
1.令牌桶是流量评估机制,或者说是评估流量是否超标的手段
2.令牌桶是存放一定数量令牌的容器。系统按设定的速度向桶中放置令牌,当桶中令牌满时,多出的令牌溢出,桶中令牌不再增加。 3.通常一个令牌关联一个比特的转发权限。
4.简单评估(CIR\\CBS):CIR承诺信息速率;CBS承诺突发尺寸,设置的突发尺寸必须大于最大报文长度。
5.复杂评估(c桶和e桶,CIR\\CBS\\PIR\\EBS) IR峰值信息速率;EBS超出突发尺寸。
四、流量监管总结,共4点
1.流量监管是监督进入网络某一流量规格,将流量限制在合理范围。
2.如果发现某个链接流量超标,流量监管可选择丢弃报文,或重新设置报文的优先级。
3.流量监管广泛用于监管进入Internet ISP的网络流量。
4.监管动作:①转发(比如对评估结果“符合”的报文继续转发)②丢弃(比如对评估结果为“不符合”的报文进行丢弃)③改变优先级并转发(比如对评估结果为“符合”的报文将之标记为其它的优先级后再进行转发)④改变优先级进入下一级监管(比如对评估结果为“符合”的报文将之标记为其它的优先级后在进入下一级监管)⑤进入下一级监管(流量监管可以逐级堆叠,每级关注和监管更具体的目标)
五、流量整形总结,共3点
1.流量整形是主动调整流量输出速率的措施。典型应用时基于下游网络结点的TP指标来控制本地流量的输出。
2.整形和监管的区别是整形对监管中需要丢弃的报文进行缓存,当令牌桶中有足够令牌,均匀向外发送这些报文。另外,整形会增加延迟,而监管几乎不引入额外的延迟。
3.举例:RA向RB发送报文,RB要对RA发送来的报文进行监管,对超出的流量直接丢弃。为了减少报文无谓丢失,可在RA的出口对报文进行整形处理,将超出的流量缓存起来,当可以继续发送时再发送。 六、拥塞管理总结,共3点
1.分组到达速度大于接口发送分组的速度就产生拥塞;如果没有足够空间存储这