BGP(边界网关协议)使用TCP端口号179建立连接 BGP的路由算法较为复杂,其路由开销不仅要考虑延迟、网络拥塞等技术因素还要考虑政治、安全、经济等方面的因素
BGP基本上是属于距离矢量协议,但又与RIP那样的距离矢量协议不同,BGP路由器不仅维护到每个目标的开销量,还记录下到达该目标的路径,这样可以避免路径中出现循环,轻易的解决了距离矢量协议的循环路径问题。由于存储路径的信息BGP有时也称为距离矢量协议 4.4.2 BGP术语
EBGP:外部边界网关协议是用于在不同的自治系统之间交换路由信息的路由协议
IBGP:内部边界网关协议是用于在同一个自治系统内的BGP对等体之间交换路由信息的路由协议
自治系统域间路由:自治系统域间是发生在不同自治系统之间的路由 自治系统域内路由:自治系统域内是发生在同一个自治系统内部的路由 4.4.4 选择过程
阶段一:计算从邻居AS学习到的路由的优先程度。此阶段也负责向本地AS中BGP发言人通告具有最高优先程度的路由
阶段二:决定一个指定的目的地的最佳路由,然后将此路由保存到BGP发言人的Loc-RIB中,BGP发言人使用此阶段产生的路由来决定BGP路由
阶段三:BGP发言人根据输出策略引擎中设置的策略决定邻居AS通告哪些路由的过程。此过程还能执行路由汇聚。 4.5 路由重发布
路由重发布允许不同路由协议之间交换路由信息,出于各种原因在一个网络中很可能同时运行多种路由协议。
不同的路由协议有不同的算法和度量。
如果一个路由器从多个路由协议那里学习一个去往目的地的路由,这时就由管理距离决定哪一个路由进入路由表 4.5.5 管理距离
4.6 网络地址转换
网络地址转换(NAT)有称为NAPT即网络地址端口转换 4.6.1 NAT是什么
网络内部的设备分配的都是私有IP地址,但支持NAT的路由器保留一个或多个在网络外部有效的internet IP地址。当客户端将分组发送到网络外部时NAT将客户端的内部IP地址转换为外部地址
NAT的主要用途就是让网络能够使用私有IP地址以节省IP地址。将不可路由的私有内部地址转换为可路由的公有地址,在一定程度上增加了安全性 隐藏了内部的ip地址 4.6.2 NAT的优点
NAT让内部网络可使用私有地址,以节省注册的公有地址 NAT提高了连接到公有网络的灵活性 NAT提供了一致的内部网络编址方案 提供了网络安全性 NAT存在的缺点
Internet中的主机看起来直接与NAT设备而不是私有网络内部的主机通信 NAT增加了延迟
NAT隐蔽了端到端的IP地址
由于NAT改变了IP地址,就失去了追踪端到端的IP流量的能力 当出现恶意流量时,NAT也使得故障排除或追踪更加棘手
由于需要从外部网络进行访问的主机将有二个IP地址一个内部,一个外部地址 4.6.3 NAT的工作原理
运行NAT进程的路由器通常连接了二个网络,并且将本地非注册的IP地址转换为全局已注册的IP地址 NAT处理六步骤
1、ip地址为10.3.4.25的设备发送了一个数据包,并试图打开到206.100.29.1的连接
2、当第一个数据包到达NAT边界路由器时,它首先检查是否有一个源地址项与NAT表中的地址相匹配
3、如果在NAT表中找到了一个匹配项就继续进行步骤4。如果没找到匹配项,NAT路由就在其可用的IP地址池中选择一个地址。这样就创建了一个简单的项,使内部IP地址与外部ip地址相匹配。 4、然后NAT边界路由器用全局ip地址200.3.4.25代替内部ip地址10.3.4.25,这
使得目的主机将返回的数据包发送给200.3.4.25,这是在Internet已注册的ip地址
5、当Intern上的主机使用ip地址206.100.29.1对数据包进行应答时,它使用由NAT路由器分配的ip地址作为目的ip地址,这个地址是200.3.4.25
6、当NAT边界路由器接受来自206.100.29.1的应答,发现它带有目的地址为
200.3.4.25的数据包时,NAT路由器将再次检查其NAT表,NAT表将显示ip地址10.3.4.25会接受此数据包
第5章 网络安全
1、 重叠VPN技术
VPN,虚拟专用网络。是将物理位置分布在不用地点的网络通过共用骨干网,尤其是internet,连接而成的逻辑上的虚拟子网。VPN技术采用了鉴别、访问控制、保密性、完整性等措施,以防止信息被泄露、篡改和复制。 2、 基本原理
是利用隧道技术,把数据封装在隧道协议中,利用已有的公网建立专用数据传输通道,从而实现点到点的连接。 3、 分类
重叠VPN(静态):GRE VPN、L2TP VPN、IPSec VPN 对等VPN:MPLS
4、 GRE VPN的工作原理
GRE,通用路由封装,它规定了在一种协议上封装并转发另一种协议的通用方法。
工作原理:采用隧道技术,两个站点的路由器之间通过公网连接彼此的无力接口,并且通过物理接口进行传输数据。2个路由器上分别建立一个个虚拟接口,两个虚拟接口之间建立点对点的虚拟连接,形成一条跨越公网的隧道。
工作过程:隧道起点路由查找——GRE封装——承载路由协议转发——中途转发——解封装——隧道终点载荷协议路由查找。 5、 L2TP VPN技术和工作原理
第二层隧道协议,和点对点的隧道协议,是典型的链路层VPN协议。 工作过程:
由用户发起连接请求——该请求被送往LAC——LAC通过RADIUS服务器的LNS——LAC向LNS发送已协商的PPP参数——LNS再次认证用户——LNS向LAC发送接受信息,建立隧道。
6、 IPSec VPN技术和功能:
IPSec即Internet安全协议,是一种由IETF设计端到端的确保IP层通信安全的机制。IPSec不是一个单独的协议,而是一组协议。
它包括安全协议、密钥管理协议、安全关联以及加密、认证算法。
包括一下几个方面:IPSec体系结构、封装安全载荷、验证头、加密算法、验证算法、密钥管理、解释域、策略。 功能:
作为一个隧道协议实现了VPN通信、保证数据来源可靠、保证数据完整性、保证数据机密性。 7、 IPSec体系结构:包含AH、ESP、IKE这几个重要协议。
(1) AH为IP数据包提供3种服务:无连接的数据完整性验证、数据源身份认证和防重放攻击。
AH头部中的序列号可以防止重放攻击。
(2) ESP除了为IP数据报提供数据报加密和数据流加密。
(3) IKE协议负责密钥管理,定义了通信实体间进行身份认证、协商加密算法以及生成共享的回
话,密钥的方法。
8、 IPSec VPN的两种工作模式的比较 (1) 传输模式:传输模式要保护的内容是IP数据报的载荷,在传输模式下AH协议不能穿越NAT。 (2) 隧道模式:隧道模式要保护的内容是整个原始IP数据报,隧道模式为IP协议提供安全保护。 9、 对等VPN技术
(1) 是在CE与PE之间交换的专用网络由信息,然后由PE将这些专用网络由在公共网中传播。 (2) BGP/MPLS VPN技术 10、 防火墙:是一种广泛采用的网络安全措施,它能保护企业的网络免受外来攻击,确保只有
合法的信息交流才能被保护的网络。它对进出的网络数据报文进行分析、检测和过滤,保证合法的信息流的保护和对非法流量的抵御。 11、 防火墙的特性:
(1) 在外部网和内部网之间传输的数据一定要通过防火墙;
(2) 只有被授权的合法的数据,即防火墙系统中安全策略允许的数据才可以通过防火墙; (3) 防火墙本身不受各种攻击的影响; 12、 防火墙的作用:
(1) 管理进出网络的访问; (2) 保护网络中脆弱的服务; (3) 内部地址的隐藏; (4) 日志与统计; (5) 检测和报警; 13、 防火墙硬件架构技术:Intel x86架构技术、ASIC处理技术和网络处理器技术。 14、 防火墙实现技术:
(1) 包过滤型:简单包过滤型防火墙、状态检测型防火墙; (2) 应用代理型防火墙:应用关系型防火墙、自适应型防火墙; 15、 防火墙的规则: (1) 规则号 (2) 过滤域 (3) 动作域
第6章 网络管理与维护
6.1 SNMP
简单网络管理协议(SNMP)是一种基于tcp/ip的网络管理协议。SNMP采用轮询机制,提供基本的功能集。SNMP基本功能包括监视网络性能、检测分析网络差错和配置网络设备等。 SNMP适合在小型、快速、低价格的环境中使用,SNMP采用无证实的传输层UDP。 SNMP缺陷:基于SNMP的网管系统难以实现大数据量的数据传输 基于SNMP的网管系统缺少身份验证和加密机制 SNMP v2 具有以下特点:
(1)支持分布式网络管理 (2)扩展了数据类型
(3)可以实现大量数据的同时传输,提高了效率和性能 (4)丰富了故障处理能力 (5)增加了集合处理功能 (6)加强了数据定义语言
SNMPv1的缺陷:SNMP只提供简单的团体名认证,安全措施是很不够的。SNMP不支持管理站之间的通信,而这一点在分布式网络管理中是很需要的。
SNMPv2缺陷:没有达到“商业级别”的安全要求(提供数据源标识、报文完整性认证、防止重放、报文机密性、授权和访问控制、远程配置和高层管理能力等),即缺乏安全和高层管理功能。
SNMPv3:具有安全和高层管理功能,目标产生一组必要的文档,作为下一代SNMP核心功能的单一标准。
SNMP v3在SNMPv2的基础上增加了安全和管理机制对协议进行了加密。 6.1.2 基于SNMP的网管系统组成
SNMP体系结构由网络管理站和网管代理组成。 管理进程和代理进程之间的交互,通过使用UDP进行传送SNMP报文实现通信。基于SNMP的网络管理由3部分组成,即管理信息库(MIB)、管理信息结构(SMI)、以及SNMP本身 6.1.3 管理信息库
管理信息库存在于被管网络设备,指明了网络元素能够被管理进程查询和设置的信息。 SNMP采用层次结构命名方案来识别被管理对象,各个被管理对象之间形成一棵树的关系形状,类似域名系统。在这样的树形关系中,根在最上面,他没有名字,树的各个结点表示被管理对象,这些被管理对象可以用从数根结点开始的一条路径来无二义性进行识别,因此MIB又称为对象命名树