H3CSE完全笔记构建安全优化的广域网.docx
- 文档编号:25234472
- 上传时间:2023-06-06
- 格式:DOCX
- 页数:177
- 大小:139.48KB
H3CSE完全笔记构建安全优化的广域网.docx
《H3CSE完全笔记构建安全优化的广域网.docx》由会员分享,可在线阅读,更多相关《H3CSE完全笔记构建安全优化的广域网.docx(177页珍藏版)》请在冰豆网上搜索。
H3CSE完全笔记构建安全优化的广域网
*ip基于hop-by-hop转发模式,ATM不是,但它因控制复杂,成本高昂,难以普及(只有金桥和已倒闭的北电能够熟练掌握其技
术),而MPLS介于两者之间。
IP转发采用最长匹配,需多次查表,算法效率不高。
ATM转发采用唯一匹配,一次查表,效率很高。
*MPLS标签(label)长度为32位,具有局部意义的标识,放在链路层封装头和网络层封装头之间,用此标签封装网络层分组,
可以承载在各种链路层协议上。
*MPLS组成:
【20比特label】--【3比特EXP】--【1比特S】--【8比特TTL】
MPLS标签分为4个区域:
1、Label:
标签值,长度20b,是标签转发表的关键索引;
2、EXP:
用于QoS,长度3b,作用与Ethernet802.1p值相似;
3、S:
栈底标识,长度1b,果有多个Label时,在栈底的Label的S位置为"1",其他为"0",只有一个Label时S位置为"1";
4、TTL:
存活时间,长度8b,与IP报文的TTL值相似,这个值从IP报文头的TTL域拷贝过来,每进行一次Label交换时,
外层Label的TTL值就减“1”。
*MPLS网络组成:
非MPLS网络-----【MPLS网络:
LER—LSR—LER】-----非MPLS网络。
MPLS网络和非MPLS网络兼容性很好。
LER:
标签边界路由器;LSR:
标签交换路由器。
“【---】”这条路径称做LSP:
标签交换路径。
*FEC转发等价类:
通俗说,不管什么流都做等价转发处理,在转发过程中以等价的方式处理的一组数据分组,可以通过地址、隧
道、COS等来标识创建FEC。
*MPLS可实现多层嵌套:
如,【数据链路层】【MPLS标签1】【MPLS标签2】【MPLS标签…】【网络层】
*MPLS标签识别:
以太网帧结构:
【D-MAC】【S-MAC】【TYPE】【DATE】----------------【CRC】
普通IP包:
【D-MAC】【S-MAC】【0800】-----------【IPPacket】【CRC】
MPLS包:
【D-MAC】【S-MAC】【8847】【MPLS标签】【IPPacket】【CRC】
*能够分配MPLS标签的协议:
1、LDP标签分配协议(公有),取代之有TDP标记分发协议(cisco私有);2、RSVP资源预留协议;
3、MP-BGP多协议BGP。
*在LDP协议中,存在4种类型的LDP消息:
1、发现消息(Discoverymessages):
用于LDP邻居的发现和维持。
(使用UDP646端口,使用组播地址224.0.0.2)
2、会话消息(Sessionmessages):
用于LDP邻居会话的建立、维持和中止。
(有地址大的一方发起TCP链接)
3、通告消息(Advertisementmessages):
用于LDP实体向LDP邻居宣告Label、地址等信息。
4、通知消息(Notificationmessages):
用于向LDP邻居通知事件或者错误。
*上游与下游:
流量发起的一方为上游,接收的一方为下游,而label分配方向与流量方向相反,即由下游分配到上游。
*标签分配过程:
LDPsession建立完成后,路由器根据路由表进行标签分配,形成MPLS标签转发表。
标签转发表主要包含入标
签(IN)、出标签(OUT)和出接口,路由器可以根据标签转发表转发MPLS报文。
标签是设备随机自动生成的,16以下为系统保留。
*标签分配过程中,IN标签在华三定义中是自己分配的标签,分配给上游使用;OUT标签是别人分配的标签。
(与一些厂商相反)
*标签分配和管理:
1、标签分配模式;
a.DOD(downstream-on-demand,下游按需标记分配):
只有当上游向下游请求流量时,下游才向上游分配lable。
b.DU(downstreamunsolicited,下游自主标记分配):
不管上游请不请求,下游都分配lable。
(现在主流)
2、标签控制模式;
a.有序方式(Ordered):
上游设备只有收到它的下游返回的标签映射消息后才向其更上游发送标签映射消息。
b.独立方式(Independent):
不管有没有收到其下游返回的标签映射消息,都向上游发送标签映射消息。
(现在主流)
3、标签保持方式;
a.保守模式(Conservative):
只保留来自下一跳邻居的标签,丢弃所有非下一跳邻居发来的标签。
优点:
节省内存和标
签空间;缺点:
当IP路由收敛、下一跳改变时LSP收敛慢。
(如,最优路径突然down掉)
b.自由模式(Liberal):
保留来自邻居的所有标签。
优点:
当IP路由收敛、下一跳改变时减少了LSP收敛时间。
缺点:
需要更多的内存和标签空间。
(现在主流)
*MPLS转发实现:
1、标签PUSH:
非MPLS网络IP报文进入MPLS网络,LER进行标签压入(PUSH操作)。
2、标签SWAP:
报文在MPLS网络中间进行转发时,在LSR上进行标签交换(SWAP)。
设备只需查询标签转发表即可完成转发。
3、标签POP:
标签从MPLS网络进入非MPLS网络,LER进行标签弹出(POP操作)。
*随着硬件技术的进步,采用ASIC和NP进行转发的高速路由器和三层交换机得到广泛应用,使得IP转发性能大为提高,可以满
足网络数据转发性能需求。
MPLS技术(软件)在提高转发性能应用上未能发挥优势。
*MPLS支持多层标签嵌套和面向连接的特点,使得其在VPN(MPLS-VPN)、流量工程TE(MPLS-TE)、QoS、CCC等方面得到广泛应用。
*传统企业网面临的问题:
:
1、直接通过Internet或运营商骨干网络连接分支机构的缺点:
网络层协议必须统一、必须使用统一的路由策略、必须使
用同一公网地址空间。
2、企业直接通过专线、电路交换或分组交换的广域网技术连接其分支机构的缺点:
布署成本高、变更不灵活、移动用户远
程拨号接入费用高。
*VPN的优势:
1、可以快速构建网络,降低布署周期;2、与私有网络一样提供安全性,可靠性和可管理性;3、可利用Internet,
无处不连通,处处可接入;4、简化用户侧的配置和维护工作;5、提高基础资源利用率;6、于客户可节约使用开销;7、于运营商
可以有效利用基础设施,提供大量、多种业务。
*VPN是由若干Site组成的集合。
Site可以同时属于不同的VPN,但是必
须遵循如下规则:
两个Site只有同时属于一个VPN定义的Site集合,才
具有IP连通性。
按照VPN的定义,一个VPN中的所有Site都属于一个企
业,称为Intranet;如果VPN中的Site分属不同的企业,则称为Extranet。
*VPN接入:
VPN用户--PSTN/ISDN--NAS服务器--【internet】--VPNServer
*隧道可以通过隧道协议来实现。
根据是在OSI模型的第二层还是第三
层实现隧道,隧道协议分为第二层隧道协议和第三层隧道协议。
*一般地,第二层隧道协议和第三层隧道协议都是独立使用的,如果合理
地将这两层协议结合起来使用,将可能为用户提供更好的安全性(如将
L2TP和IPSec协议配合使用)和更佳的性能。
*传统企业网面临的问题:
:
1、直接通过Internet或运营商骨干网络连接分支机构的缺点:
网络层协
议必须统一、必须使用统一的路由策略、必须使用同一公网地址空间。
2、企业直接通过专线、电路交换或分组交换的广域网技术连接其分支机
构的缺点:
布署成本高、变更不灵活、移动用户远程拨号接入费用高。
*第二层隧道协议:
第二层隧道协议是将整个PPP帧封装在内部隧道中。
1、PPTP(Point-to-PointTunnelingProtocol):
点到点隧道协议,由微软、Ascend和3COM等公司支持,在WindowsNT
4.0以上版本中支持。
该协议支持点到点PPP协议在IP网络上的隧道封装,PPTP作为一个呼叫控制和管理协议,使用一种增强
的GRE(GenericRoutingEncapsulation,通用路由封装)技术为传输的PPP报文提供流控和拥塞控制的封装服务。
2、L2F(Layer2Forwarding)协议:
二层转发协议,由北方电信等公司支持。
L2F协议支持对更高级协议链路层的隧道
封装,实现了拨号服务器和拨号协议连接在物理位置上的分离。
3、L2TP(Layer2TunnelingProtocol):
二层隧道协议,由IETF起草,微软等公司参与,结合了上述两个协议的优点,
为众多公司所接受,并且已经成为标准RFC。
L2TP既可用于实现拨号VPN业务,也可用于实现专线VPN业务。
*第三层隧道协议:
第三层隧道协议的起点与终点均在ISP内,PPP会话终止在NAS处,隧道内只携带第三层报文。
1、GRE(GenericRoutingEncapsulation)协议:
这是通用路由封装协议,用于实现任意一种网络层协议在另一种网络层
协议上的封装。
2、IPSec(IPSecurity)协议:
IPSec协议不是一个单独的协议,它给出了IP网络上数据安全的一整套体系结构,包括
AH(AuthenticationHeader)、ESP(EncapsulatingSecurityPayload)、IKE(InternetKeyExchange)等协议。
GRE和IPSec
主要用于实现专线VPN业务。
*【协议B:
协议B数据包】--RTA--【VPN网络,协议A:
?
-封装包-数据】--RTB--【协议B:
协议B数据包】
封装包格式:
【协议A头:
承载协议】【封装协议头:
封装协议】【协议B头:
载荷协议】【载荷数据】
*VPN的分类:
(1)按运营模式划分:
1.CPE-basedVPN(CustomerPremisesEquipmentbasedVPN):
用户不但要安装价格昂贵的设备及专门认证工具,还要负责繁杂
的VPN维护(如通道维护、带宽管理等)。
这种方式组网复杂度高、业务扩展能力弱。
2.Network-basedVPN(NBIP-VPN):
将VPN的维护等外包给ISP实施(也允许用户在一定程度上进行业务管理和控制),并且将
其功能特性集中在网络侧设备处实现,这样可以降低用户投资、增加业务灵活性和扩展性,同时也可为运营商带来新的收入。
(2)按业务用途划分:
1.IntranetVPN(企业内部虚拟专网):
IntranetVPN通过公用网络进行企业内部各个分布点互联,是传统的专线网或其它企业网
的扩展或替代形式。
2.AccessVPN(远程访问虚拟专网):
AccessVPN向出差流动员工、远程办公人员和远程小办公室提供了通过公用网络与企业的
Intranet和Extranet建立私有的网络连接。
AccessVPN的结构有两种类型,一种是用户发起(Client-initiated)的VPN连
接,另一种是接入服务器发起(NAS-initiated)的VPN连接。
3.ExtranetVPN(扩展的企业内部虚拟专网):
ExtranetVPN是指利用VPN将企业网延伸至供应商、合作伙伴与客户处,使不同
企业间通过公网来构筑VPN。
(3)按组网模型划分:
1.虚拟专用拨号网络(VPDN):
VPDN(VirtualPrivateDialNetwork)是指利用公共网络(如ISDN和PSTN)的拨号功能及接入
网来实现虚拟专用网,从而为企业、小型ISP、移动办公人员提供接入服务。
2.虚拟租用线(VLL):
VLL(VirtualLeasedLine)是对传统租用线业务的仿真,通过使用IP网络对租用线进行模拟,提供非对
称、低成本的“DDN”业务。
从虚拟租用线两端的用户来看,该虚拟租用线近似于过去的租用线。
3.虚拟专用LAN网段(VPLS)业务:
VPLS(VirtualPrivateLANSegment)借助IP公共网络实现LAN之间通过虚拟专用网段互
连,是局域网在IP公共网络上的延伸。
4.虚拟专用路由网(VPRN)业务:
VPRN(VirtualPrivateRoutingNetwork)借助IP公共网络实现总部、分支机构和远端办公室
之间通过网络管理虚拟路由器进行互连,业务实现包括两类:
一种是使用传统VPN协议(如IPSec、GRE等)实现的VPRN,另
外一种是MPLS方式的VPRN。
(4)按网络层次划分:
1L2VPN:
包括Martini方式的MPLSL2VPN、Kompella方式的MPLSL2VPN、SVC方式的MPLSL2VPN、VPLS以及静态CCC配置。
2.L3VPN:
包括BGP/MPLSVPN、IPSecVPN、GREVPN、DVPN等。
*主要VPN技术:
1、主要的L2VPN技术:
L2TP、PPTP、MPLSL2VPN;
2、主要的L3VPN技术GRE、IPSec、BGP/MPLSVPN。
*GRE(GenericRoutingEncapsulation,通用路由封装)协议是对某些网络层协议的数据报进行封装,使这些被封装的数据报能
够在另一个网络层协议中传输。
GRE是VPN的第三层隧道协议,在协议层之间采用了一种被称之为Tunnel(隧道)的技术。
*GRE封装包格式:
【链路层头】【协议A头:
承载协议】【GRE头:
封装协议】【协议B头:
载荷协议】【载荷数据】
*IP用协议号47标识GRE;GRE使用以太类型0x0800标识载荷协议为IP。
*GRE隧道处理流程:
1隧道起点路由查找-->2加封装-->3承载协议路由转发-->4中途转发-->5解封装-->6隧道终点路由查找。
1、隧道起点路由查找:
源主机发出数据包,路由器检查包时,查找路由表,该路由条目转发接口显示为Tunnel_N。
2、加封装:
包格式,【公共IP头:
[S-IP][D-IP][]】【GRE头】【私网IP包】
3、承载协议路由转发:
封装好后,进行常规承载协议路由转发,继续查路由表,路由条目显示转发端口为实体接口,如:
S1/0。
4、中途转发:
按常规承载协议进行在VPN网络中路由。
5、解封装:
包到达目的路由器后,剥离公共IP头和GRE头。
6、隧道终点路由查找:
解封装后,数据包按照载荷协议进行私网路由到达目标主机。
*GREVPN的特点:
1、优点:
可以用当前最为普遍的IP网络作为承载网络、支持多种协议、支持路由协议和IP组播、配置简单,容易布署。
2、缺点:
点对点隧道、静态配置隧道参数、布署复杂连接关系时代价巨大、缺乏安全性、不能分隔地址空间。
*Tunnel接口虚假状态与静态路由:
1、中间链路故障时接,Tunnel口仍然UP;
2、由于使用静态路由,备份隧道始终空闲,数据包被丢弃。
所以使用“Tunnel接口Keepalive报文”:
Tunnel边沿两路由器互发该报文,若RTA收不到RTB的该报文时,Tunnel0接口down。
*
(1)GREVPN基本配置:
1、创建虚拟Tunnel接口,并进入其接口视图:
[Router]interfacetunnelinterface-number
2、指定Tunnel的源端:
[Router-Tunnel0]source{ip-address|interface-typeinterface-number}
3、指定Tunnel的目的端:
[RouterTunnel0]destinationip-address
4、设置Tunnel接口的IP地址:
[RouterTunnel0]ipaddressip-address{mask|mask-length}
(2)GREVPN高级配置:
1、设置Tunnel接口报文的封装模式为GRE:
[Router-Tunnel0]tunnel-protocolgre
2、设置Tunnel两端进行端到端校验:
[Router-Tunnel0]grechecksum
3、设置Tunnel接口的识别关键字:
[Router-Tunnel0]grekeykey-number
4、配置Tunnel的Keepalive功能:
[Router-Tunnel0]keepalive[seconds[times]]
(3)GREVPN调试命令:
1、调试GRE:
2、Tunnel调试:
*GREVPN配置示例一:
GREVPN配置示例二:
*VPDN隧道协议可分为PPTP、L2F和L2TP三种,目前使用最广泛的是L2TP。
*传统拨号接入模式:
1、拨号接入方式常用PSTN/ISDN等直接拨叫NAS;2、长途拨号费用高,NAS设备需要大量拨号接口。
*VPN用户通过PSTN/ISDN网拨入ISP的NAS(NetworkAccessServer)网络访问服务器,NAS服务器通过用户名或接入号码识
别出该用户为VPN用户后,就和用户的目的VPN服务器建立一条连接,称为隧道(Tunnel),然后将用户数包封装成IP报文后通
过该隧道传送给VPN服务器,VPN服务器收到数据包并拆封后就可以读到真正有意义的报文了。
反向的处理也一样。
*PPP协议定义了一种封装技术,可以在二层的点到点链路上传输多种协议数据包,这时,用户与NAS之间运行PPP协议,二层
链路端点与PPP会话点驻留在相同硬件设备上。
L2TP协议提供了对PPP链路层数据包的通道(Tunnel)传输支持,允许二层链路端点和PPP会话点驻留在不同设备上,并且
采用包交换网络技术进行信息交互,从而扩展了PPP模型。
*应用L2TP构建的VPDN服务:
远程主机A------【PSTN/ISDN】LAC【internet:
L2TP通道】LNS------【私网】
LAC:
表示L2TP访问集中器(L2TPAccessConcentrator),是附属在交换网络上的具有PPP端系统和L2TP协议处理能力
的设备。
LAC一般是一个网络接入服务器NAS,主要用于通过PSTN/ISDN网络为用户提供接入服务。
LNS:
表示L2TP网络服务器(L2TPNetworkServer),是PPP端系统上用于处理L2TP协议服务器端部分的设备。
*LAC位于LNS和远端系统(远地用户和远地分支机构)之间,用于在LNS和远端系统之间传递信息包,把从远端系统收到的信息
包按照L2TP协议进行封装并送往LNS,将从LNS收到的信息包进行解封装并送往远端系统。
LAC与远端系统之间可以采用本地连接
或PPP链路,VPDN应用中通常为PPP链路。
*L2TP介绍:
1、隧道传送PPP;2、验证和动态地址分配;3、点对网络特性。
*隧道和会话的概念:
在一个LNS和LAC对之间存在着两种类型的连接,一种是隧道(Tunnel)连接,它定义了一个LNS和LAC对;
另一种是会话(Session)连接,它复用在隧道连接之上,用于表示承载在隧道连接中的每个PPP会话过程。
在同一对LAC和LNS
之间可以建立多个L2TP隧道,隧道由一个控制连接和一个或多个会话(Session)组成。
会话连接必须在隧道建立(包括身份保护、
L2TP版本、帧类型、硬件传输类型等信息的交换)成功之后进行,每个会话连接对应于LAC和LNS之间的一个PPP数据流。
控制
消息和PPP数据报文都在隧道上传输。
L2TP使用Hello报文来检测隧道的连通性。
LAC和LNS定时向对端发送Hello报文,若在一段时间内未收到Hello报文的应答,
该隧道将会被拆除。
*通常L2TP数据以UDP报文的形式发送。
L2TP注册了UDP1701端口,但是这个端口仅用于初始的隧道建立过程中。
L2TP隧道
发起方任选一个空闲的端口(未必是1701)向接收方的1701端口发送报文;接收方收到报文后,也任选一个空闲的端口(未必是
1701),给发送方的指定端口回送报文。
至此,双方的端口选定,并在隧道保持连通的时间段内不再改变。
*L2TP控制消息和数据消息的概念:
L2TP中存在两种消息:
控制消息和数据消息。
控制消息用于隧道和会话连接的建立、维护以
及传输控制;数据消息则用于封装PPP帧并在隧道上传输。
控制消息的传输是可靠传输,并且支持对控制消息的流量控制和拥塞
控制;而数据消息的传输是不可靠传输,若数据报文丢失,不予重传,不支持对数据消息的流量控制和拥塞控制。
控制消息和数据
消息共享相同的报文头。
L2TP报文头中包含隧道标识符(TunnelID)和会话标识符(SessionID)信息,用来标识不同的隧道和
会话。
隧道标识相同、会话标识不同的报文将被复用在一个隧道上,报文头中的隧道标识符与会话标识符由对端分配。
*L2TP会话:
1、一个L2TP隧道对应一个L2TP控制连接;2、一个L2TP会话对应一个L2TP呼叫。
*用户地址由LNS分配;对远程拨号用户的验证与计费既可由LAC侧的代理完成,也可在LNS侧完成。
*独立LAC拓扑结构:
主机A--【PSTN/ISDN】--LAC------【公网internet】------LNS--【私网】
||
[LACRADIUSServer][LNSRADIUSServer]
L2TP隧道的呼叫建立流程:
独立LAC拓扑结构:
1、ISP提供LAC设备;2、可由LAC设备提供附加的用户控制和管理;3、不依赖IP接入点。
*客户LAC拓扑结构:
LAC用户---【internet】---LNS---【私网】(LAC用户:
指可在本地支持L2TP协议的用户)
1、需要直接的Internet接入点;2、不依赖额外的LAC设备灵活性强;3、企业可以依托Internet直接构建VPN。
*L2TP协议本身并不提供连接的安全性,但它可依赖于PPP提供的认证(比如CHAP、PAP等),因此具有PPP所具有的所有安全
特性。
L2TP可与IPSec结合起来实现数据安全,这使得通过L2TP所传输的数据更难被攻击。
*L2TP封装包:
【公网IP头】【UDP头】【L2TP头】【PPP头】【私网IP包】
*L2TP协议操作:
1、建立控制连接:
A、控制连接的建立由PPP触发;
B、LAC用任意UDP端口向LNS的UDP端口1701发起连接;
C、LNS将1701端口重定位为任意端口。
2、建立会话:
A、会话的建立以控制连接的建立为前提;
B、会话与呼叫有一一对应关系;
C、同一个隧道中可以建立多个会话。
3、转发PPP帧:
A、
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- H3CSE 完全 笔记 构建 安全 优化 广域网
![提示](https://static.bdocx.com/images/bang_tan.gif)