2023年全國碩士研究生考試考研英語一試題真題(含答案詳解+作文范文)_第1頁
已閱讀1頁,還剩108頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、北京郵電大學(xué)朱洪亮,網(wǎng)絡(luò)流量監(jiān)控概述,北京郵電大學(xué)信息安全中心,本章主要內(nèi)容,北京郵電大學(xué)信息安全中心,OSI/RM,1.ISO創(chuàng)建了OSI(開放式系統(tǒng)互連)模型,并在1984年發(fā)布2.ISO/OSI模型將網(wǎng)絡(luò)通信劃分為七個層次3.層與層之間相互獨(dú)立而又相互依靠,北京郵電大學(xué)信息安全中心,OSI/RM,,北京郵電大學(xué)信息安全中心,OSI/RM,,,功能,提供電氣連接和信號標(biāo)準(zhǔn),控制系統(tǒng)與另一端的系統(tǒng)之間的數(shù)據(jù)流,層次,應(yīng)用層,表示

2、層,會話層,傳輸層,數(shù)據(jù)鏈路層,物理層,網(wǎng)絡(luò)層,決定數(shù)據(jù)傳輸?shù)奈锢硗ǖ?IP,路徑確定、傳輸質(zhì)量控制 TCP、UDP,通信進(jìn)程間安全性操作、名字識別、登錄等,最終數(shù)據(jù)反映形式。如字符、圖形、語音,網(wǎng)絡(luò)操作系統(tǒng)及應(yīng)用程序,OSI/RM,,,北京郵電大學(xué)信息安全中心,本章主要內(nèi)容,北京郵電大學(xué)信息安全中心,TCP/IP模型,TCP/IP是一組協(xié)議棧,它利用一組協(xié)議完成OSI所實(shí)現(xiàn)的功能,而不僅僅是兩個單獨(dú)的協(xié)議組成,

3、組合了100多個協(xié)議。這組協(xié)議利用已有的物理網(wǎng)絡(luò)互連起來,實(shí)現(xiàn)不同物理網(wǎng)絡(luò)的主機(jī)之間的通信。因特網(wǎng)采用的TCP/IP模型并不與OSI模型發(fā)生沖突,因?yàn)檫@兩種標(biāo)準(zhǔn)是并行開發(fā)的,它們是互相補(bǔ)充的。OSI模型和TCP/IP模型相比,認(rèn)為OSI的結(jié)構(gòu)更嚴(yán)謹(jǐn),層次更加獨(dú)立,但現(xiàn)在似乎更喜歡使用TCP/IP模型,OSI模型是否放棄也難說。,北京郵電大學(xué)信息安全中心,TCP/IP模型,TCP/IP與OSI對應(yīng),協(xié)議層和相應(yīng)PDU名稱,TCP/

4、IP協(xié)議棧主流協(xié)議,北京郵電大學(xué)信息安全中心,TCP/IP數(shù)據(jù)封裝,北京郵電大學(xué)信息安全中心,TCP/IP數(shù)據(jù)封裝,FrameHeader,IPHeader,TCP/UDP/ICMP Header,Data,Trailer,IPHeader,TCP / UDP/ICMPHeader,Data,UDPHeader,Data,TCPHeader,Data,Data,Application Layer:User Data,TCP

5、 or UDPor ICMP Layer,IPLayer,LowerLayer,,,ICMPHeader,Data,北京郵電大學(xué)信息安全中心,本章主要內(nèi)容,北京郵電大學(xué)信息安全中心,數(shù)據(jù)鏈路層,數(shù)據(jù)鏈路層使用的信道有兩種類型: 1、點(diǎn)對點(diǎn)信道。這種信道使用一對一的點(diǎn)對點(diǎn)通信方式。 2、廣播信道。這種信道使用一對多的廣播通信方式,因此過程比較復(fù)雜。廣播信道上連接的主機(jī)很多,因此必須使用專用的共享信道協(xié)議來協(xié)調(diào)這些主

6、機(jī)的數(shù)據(jù)發(fā)數(shù)據(jù)鏈路層的協(xié)議有許多種:SLIP、PPP、以太網(wǎng)等。有三個問題是共通的: 封裝成幀、透明傳輸、差錯控制,北京郵電大學(xué)信息安全中心,數(shù)據(jù)鏈路層,封裝成幀,封裝成幀(framing)就是在一段數(shù)據(jù)的前后分別添加首部和尾部,然后就構(gòu)成了一個幀。確定幀的界限。首部和尾部的一個重要作用就是進(jìn)行幀定界。,幀結(jié)束,幀首部,IP 數(shù)據(jù)報,幀的數(shù)據(jù)部分,幀尾部,,,,,,,? MTU,數(shù)據(jù)鏈路層的幀長,,開始發(fā)送,,,幀

7、開始,數(shù)據(jù)鏈路層,透明傳輸,透明傳輸就是在傳輸過程中,對外界透明.數(shù)據(jù)直接通過系統(tǒng)中的互連功能模式而不進(jìn)行RLP糾錯,如果進(jìn)行了RLP糾錯即為非透明傳輸。所謂的透明傳輸,不管傳的是什么,所采用的設(shè)備只是起一個通道作用,把要傳輸?shù)膬?nèi)容完好的傳到對方!透明傳輸?shù)脑O(shè)備是個黑箱子,進(jìn)來是什么出去也是什么,北京郵電大學(xué)信息安全中心,數(shù)據(jù)鏈路層,差錯控制,在傳輸過程中可能會產(chǎn)生比特差錯:1 可能會變成 0 而 0 也可能變成 1。在一

8、段時間內(nèi),傳輸錯誤的比特占所傳輸比特總數(shù)的比率稱為誤碼率 BER (Bit Error Rate)。誤碼率與信噪比有很大的關(guān)系。為了保證數(shù)據(jù)傳輸?shù)目煽啃?,在?jì)算機(jī)網(wǎng)絡(luò)傳輸數(shù)據(jù)時,必須采用各種差錯檢測措施。 在數(shù)據(jù)鏈路層傳送的幀中,廣泛使用了循環(huán)冗余檢驗(yàn) CRC 的檢錯技術(shù)。,北京郵電大學(xué)信息安全中心,數(shù)據(jù)鏈路層-PPP協(xié)議,現(xiàn)在全世界使用得最多的數(shù)據(jù)鏈路層協(xié)議是點(diǎn)對點(diǎn)協(xié)議 PPP (Point-to-Point Protoc

9、ol)。用戶使用撥號電話線接入因特網(wǎng)時,一般都是使用 PPP 協(xié)議。 1992 年制訂了 PPP 協(xié)議。經(jīng)過 1993 年和 1994 年的修訂,現(xiàn)在的 PPP 協(xié)議已成為因特網(wǎng)的正式標(biāo)準(zhǔn)[RFC 1661]。,北京郵電大學(xué)信息安全中心,數(shù)據(jù)鏈路層-PPP協(xié)議,,,用戶,至因特網(wǎng),,已向因特網(wǎng)管理機(jī)構(gòu)申請到一批 IP 地址,ISP,,,接入網(wǎng),,,,,PPP 協(xié)議,北京郵電大學(xué)信息安全中心,數(shù)據(jù)鏈路層-PPP協(xié)議,IET

10、F認(rèn)為,在設(shè)計(jì)PPP協(xié)議時必須考慮以下多方面的需求:簡單:IETF把簡單作為首要的需求,數(shù)據(jù)鏈路層的協(xié)議非常簡單,接收方每收到一個幀,就進(jìn)行CRC檢驗(yàn),正確則收下,不正確則丟棄封裝成幀 :PPP協(xié)議必須規(guī)定特定的字符作為幀定界符透明性 :PPP協(xié)議必須保證數(shù)據(jù)傳輸?shù)耐该餍远喾N網(wǎng)絡(luò)層協(xié)議 :PPP協(xié)議必須能夠在同一條物理鏈路上同時支持多種網(wǎng)絡(luò)層協(xié)議(如IP和IPX等)的運(yùn)行。多種類型鏈路 :除了要支持多種網(wǎng)絡(luò)層的協(xié)議外,PPP還

11、必須能夠在多種類型的鏈路上運(yùn)行。,北京郵電大學(xué)信息安全中心,數(shù)據(jù)鏈路層-PPP協(xié)議,差錯檢測 :PPP必須能夠?qū)邮斩耸盏降膸M(jìn)行檢測,并立即丟棄有差錯的幀。檢測連接狀態(tài) :PPP協(xié)議必須具有一種機(jī)制能夠及時自動檢測鏈路是否處于正常工作狀態(tài)。最大傳送單元 :設(shè)置最大傳送單元是為了促進(jìn)各種實(shí)現(xiàn)之間的互操作性網(wǎng)絡(luò)層地址協(xié)商 :PPP協(xié)議必須提供一種機(jī)制使通信的兩個網(wǎng)絡(luò)層的實(shí)體能夠通過協(xié)商知道或能夠配置彼此的網(wǎng)絡(luò)層地址。數(shù)據(jù)壓縮協(xié)商

12、 :PPP協(xié)議必須提供一種方法來協(xié)商使用數(shù)據(jù)壓縮算法,北京郵電大學(xué)信息安全中心,數(shù)據(jù)鏈路層-PPP協(xié)議,糾錯 :可靠傳輸由TCP負(fù)責(zé),PPP只進(jìn)行檢錯。流量控制 :在TCP/IP協(xié)議族中,端到端的流量控制由TCP負(fù)責(zé)序號 :PPP不是可靠傳輸協(xié)議,因些不需要使用幀的序號多點(diǎn)線路 :PPP不支持多點(diǎn)線路,只支持點(diǎn)對點(diǎn)半雙工或單工鏈路 :PPP只支持全雙工,PPP 協(xié)議不需要的功能:,北京郵電大學(xué)信息安全中心,數(shù)據(jù)鏈路層-PPP協(xié)議

13、,PPP 協(xié)議有三個組成部分 一個將 IP 數(shù)據(jù)報封裝到串行鏈路的方法。一個用來建立、配置和測試數(shù)據(jù)鏈路連接的鏈路控制協(xié)議 LCP (Link Control Protocol)。一組網(wǎng)絡(luò)控制協(xié)議 NCP (Network Control Protocol)。,北京郵電大學(xué)信息安全中心,數(shù)據(jù)鏈路層-PPP協(xié)議,PPP 協(xié)議的幀格式,PPP 有一個 2 個字節(jié)的協(xié)議字段。當(dāng)協(xié)議字段為 0x0021 時,PPP 幀的信息字段就

14、是IP 數(shù)據(jù)報。若為 0xC021, 則信息字段是 PPP 鏈路控制數(shù)據(jù)。若為 0x8021,則表示這是網(wǎng)絡(luò)控制數(shù)據(jù)。,IP 數(shù)據(jù)報,1,2,1,1,字節(jié),1,2,,,不超過 1500 字節(jié),,PPP 幀,先發(fā)送,,,,7E,,,FF,03,F,A,C,FCS,F,7E,,協(xié)議,信 息 部 分,,,首部,尾部,,,,,北京郵電大學(xué)信息安全中心,數(shù)據(jù)鏈路層-PPP協(xié)議,PPP 協(xié)議工作流程,當(dāng)用戶撥號接入 ISP 時

15、,就建立了一條從用戶PC機(jī)到ISP的物理連接。這時,PC 機(jī)向ISP發(fā)送一系列的 LCP 分組(封裝成多個 PPP 幀),以便建立LCP連接。這些分組及其響應(yīng)選擇一些 PPP 參數(shù),并進(jìn)行網(wǎng)絡(luò)層配置,NCP 給新接入的 PC機(jī)分配一個臨時的 IP 地址,使 PC 機(jī)成為因特網(wǎng)上的一個主機(jī)。通信完畢時,NCP 釋放網(wǎng)絡(luò)層連接,收回原來分配出去的 IP 地址。接著,LCP 釋放數(shù)據(jù)鏈路層連接。最后釋放的是物理層的連接。,北京郵電大學(xué)信

16、息安全中心,數(shù)據(jù)鏈路層-PPP協(xié)議,北京郵電大學(xué)信息安全中心,數(shù)據(jù)鏈路層-以太網(wǎng)協(xié)議,局域網(wǎng)具有的一些主要優(yōu)點(diǎn):具有廣播功能,從一個站點(diǎn)可很方便地訪問全網(wǎng)。局域網(wǎng)上的主機(jī)可共享連接在局域網(wǎng)上的各種硬件和軟件資源。 便于系統(tǒng)的擴(kuò)展和逐漸地演變,各設(shè)備的位置可靈活調(diào)整和改變。提高了系統(tǒng)的可靠性、可用性和生存性。,北京郵電大學(xué)信息安全中心,數(shù)據(jù)鏈路層-以太網(wǎng)協(xié)議,局域網(wǎng)的拓?fù)?,,,,,,,,,,,,,,,,,,,,,,,,,匹配電

17、阻,,,集線器,,,干線耦合器,,,,,,,,,,,,總線網(wǎng),星形網(wǎng),樹形網(wǎng),環(huán)形網(wǎng),北京郵電大學(xué)信息安全中心,數(shù)據(jù)鏈路層-以太網(wǎng)協(xié)議,局域網(wǎng)具有的一些主要優(yōu)點(diǎn):,1、DIX Ethernet V2 是世界上第一個局域網(wǎng)產(chǎn)品(以太網(wǎng))的規(guī)約。2、IEEE 的 802.3 標(biāo)準(zhǔn)。DIX Ethernet V2 標(biāo)準(zhǔn)與 IEEE 的 802.3 標(biāo)準(zhǔn)只有很小的差別,因此可以將 802.3 局域網(wǎng)簡稱為“以太網(wǎng)”。嚴(yán)格說來,“以太網(wǎng)”

18、應(yīng)當(dāng)是指符合 DIX Ethernet V2 標(biāo)準(zhǔn)的局域網(wǎng),北京郵電大學(xué)信息安全中心,數(shù)據(jù)鏈路層-以太網(wǎng)協(xié)議,數(shù)據(jù)鏈路層的兩個子層:,為了使數(shù)據(jù)鏈路層能更好地適應(yīng)多種局域網(wǎng)標(biāo)準(zhǔn),802 委員會將局域網(wǎng)的數(shù)據(jù)鏈路層拆成兩個子層:邏輯鏈路控制 LLC (Logical Link Control)子層媒體接入控制 MAC (Medium Access Control)子層。與接入到傳輸媒體有關(guān)的內(nèi)容都放在 MAC子層,而 LLC 子層

19、則與傳輸媒體無關(guān),不管采用何種協(xié)議的局域網(wǎng)對 LLC 子層來說都是透明的,北京郵電大學(xué)信息安全中心,數(shù)據(jù)鏈路層-以太網(wǎng)協(xié)議,數(shù)據(jù)鏈路層的兩個子層:,,,,,,,局 域 網(wǎng),,,,網(wǎng)絡(luò)層,物理層,站點(diǎn) 1,,,,網(wǎng)絡(luò)層,物理層,,數(shù)據(jù)鏈路層,站點(diǎn) 2,LLC 子層看不見下面的局域網(wǎng),北京郵電大學(xué)信息安全中心,數(shù)據(jù)鏈路層-以太網(wǎng)協(xié)議,一般不考慮LLC子層,由于 TCP/IP 體系經(jīng)常使用的局域網(wǎng)是 DIX Ethernet V2 而不是

20、 802.3 標(biāo)準(zhǔn)中的幾種局域網(wǎng),因此現(xiàn)在 802 委員會制定的邏輯鏈路控制子層 LLC(即 802.2 標(biāo)準(zhǔn))的作用已經(jīng)不大了。很多廠商生產(chǎn)的適配器上就僅裝有 MAC 協(xié)議而沒有 LLC 協(xié)議。,北京郵電大學(xué)信息安全中心,數(shù)據(jù)鏈路層-以太網(wǎng)協(xié)議,CSMA/CD協(xié)議 (載波監(jiān)聽多點(diǎn)接入/碰撞檢測),CSMA/CD 表示 Carrier Sense Multiple Access with Collision Detecti

21、on。1、“多點(diǎn)接入”表示許多計(jì)算機(jī)以多點(diǎn)接入的方式連接在一根總線上。說明適用于總線型網(wǎng)絡(luò)2、“載波監(jiān)聽”是指每一個站在發(fā)送數(shù)據(jù)之前先要檢測一下總線上是否有其他計(jì)算機(jī)在發(fā)送數(shù)據(jù),如果有,則暫時不要發(fā)送數(shù)據(jù),以免發(fā)生碰撞。,北京郵電大學(xué)信息安全中心,數(shù)據(jù)鏈路層-以太網(wǎng)協(xié)議,CSMA/CD重要特性,使用 CSMA/CD 協(xié)議的以太網(wǎng)不能進(jìn)行全雙工通信而只能進(jìn)行雙向交替通信(半雙工通信)。每個站在發(fā)送數(shù)據(jù)之后的一小段時間內(nèi),存在著

22、遭遇碰撞的可能性。 這種發(fā)送的不確定性使整個以太網(wǎng)的平均通信量遠(yuǎn)小于以太網(wǎng)的最高數(shù)據(jù)率。 如果為全雙工方式(萬兆以太網(wǎng)只工作在全雙工方式),無爭用問題,不采用CSMA/CD協(xié)議,北京郵電大學(xué)信息安全中心,數(shù)據(jù)鏈路層-以太網(wǎng)協(xié)議,以太網(wǎng)的MAC地址,在局域網(wǎng)中,硬件地址又稱為物理地址,或 MAC 地址。802 標(biāo)準(zhǔn)所說的“地址”嚴(yán)格地講應(yīng)當(dāng)是每一個站的“名字”或標(biāo)識符。 IEEE 的注冊管理機(jī)構(gòu) RA 負(fù)責(zé)向廠家分配地址字段

23、的前三個字節(jié)(即高位 24 位)。地址字段中的后三個字節(jié)(即低位 24 位)由廠家自行指派,稱為擴(kuò)展標(biāo)識符,必須保證生產(chǎn)出的適配器沒有重復(fù)地址這種 48 位地址稱為 MAC-48,它的通用名稱是EUI-48。實(shí)際上就是適配器地址或適配器標(biāo)識符EUI-48,北京郵電大學(xué)信息安全中心,數(shù)據(jù)鏈路層-以太網(wǎng)協(xié)議,MAC幀格式,最常用的MAC幀格式就是以太網(wǎng)v2的格式,,,,以太網(wǎng) MAC 幀,物理層,MAC層,,,,1010101010101

24、0 10101010101010101011,,前同步碼,幀開始定界符,7 字節(jié),1 字節(jié),,,…,,8 字節(jié),,插入,IP層,,,,,,,,目的地址,源地址,類型,數(shù) 據(jù),FCS,6,6,2,4,字節(jié),46 ~ 1500,,,MAC 幀,北京郵電大學(xué)信息安全中心,數(shù)據(jù)鏈路層-ARP與RARP協(xié)議,因?yàn)橛布⒉欢甀P地址,通過物理網(wǎng)絡(luò)傳送幀時必須使用硬件的幀格式,即幀中的物理地址。在傳送幀之前,必須將下一跳

25、的IP地址轉(zhuǎn)換成硬件可以讀懂的相應(yīng)硬件地址ARP (Address Resolution Protocol)用于將IP地址轉(zhuǎn)換成MAC地址RARP用于將MAC地址轉(zhuǎn)換為IP地址,多用于無盤工作站,北京郵電大學(xué)信息安全中心,數(shù)據(jù)鏈路層-ARP與RARP協(xié)議,ARP用于將一個已知的IP地址映射到MAC地址。方法:1)檢查ARP高速緩存表;2)若地址不包含在表中,就向網(wǎng)上發(fā)廣播來尋找。具有該IP地址的目的站用其MAC地址作為響應(yīng)。

26、ARP只能用于具有廣播能力的網(wǎng)絡(luò)。,北京郵電大學(xué)信息安全中心,數(shù)據(jù)鏈路層-ARP與RARP協(xié)議,RARP用于將一個已知的MAC地址映射到IP地址。RARP要依賴于RARP服務(wù)器,該服務(wù)器中有一張MAC地址與IP地址的映射表。需要查找自己IP地址的站點(diǎn)向網(wǎng)上發(fā)送包含有其MAC地址的RARP廣播,RARP服務(wù)器收到后將該MAC地址翻譯成IP地址予以響應(yīng)。RARP同樣只能用于具有廣播能力的網(wǎng)絡(luò)。,北京郵電大學(xué)信息安全中心,北京郵電大學(xué)

27、信息安全中心,數(shù)據(jù)鏈路層設(shè)備,Hub集線器,采用廣播方式轉(zhuǎn)發(fā)MAC幀,因此在任一端口處均可監(jiān)聽全網(wǎng)流量數(shù)據(jù)交換機(jī) 特點(diǎn)不是以廣播方式轉(zhuǎn)發(fā)MAC幀利用MAC地址表,存儲交換機(jī)各端口和MAC地址的對應(yīng)關(guān)系,轉(zhuǎn)發(fā)數(shù)據(jù)包時根據(jù)目標(biāo)MAC檢查決定從哪個端口發(fā)出去;如果目的MAC不在地址表中,會采用廣播MAC地址表依賴自學(xué)習(xí)機(jī)制建立完善,根據(jù)源MAC對應(yīng)關(guān)系來存儲 網(wǎng)橋可看成只有兩個端口的二層交換機(jī),為了隔離兩個獨(dú)立的以太網(wǎng),兩網(wǎng)之

28、間通信需通過網(wǎng)橋。目前已不再用!,北京郵電大學(xué)信息安全中心,本章主要內(nèi)容,網(wǎng)絡(luò)層,網(wǎng)絡(luò)層主要協(xié)議:IP協(xié)議、ICMP協(xié)議、IGMP協(xié)議等IP(Internet Protocol)是核心協(xié)議,具有對IP地址的管理功能;子網(wǎng)劃分;為數(shù)據(jù)包路由選擇等功能IP協(xié)議的主要任務(wù)是把來自TCP或者UDP協(xié)議執(zhí)行軟件裝配的消息裝配成數(shù)據(jù)包(datagram),負(fù)責(zé)安排數(shù)據(jù)包的傳送路徑以及在接收端把數(shù)據(jù)包還原成原來的消息段。,北京郵電大學(xué)信息安全

29、中心,網(wǎng)絡(luò)層-IP協(xié)議,IP報文格式,服務(wù)類型:引導(dǎo)IP如何處理數(shù)據(jù)包,延遲、吞吐量、可靠性等標(biāo)識域:引導(dǎo)IP如何還原出原來的消息標(biāo)志域:控制IP包的分塊偏移域:MF為1時,分塊的位置信息,北京郵電大學(xué)信息安全中心,網(wǎng)絡(luò)層-IP協(xié)議,IP地址,北京郵電大學(xué)信息安全中心,網(wǎng)絡(luò)層-IP協(xié)議,一個數(shù)字形式的IP地址由32 bits組成,用4 Bytes表示,每個字節(jié)用10進(jìn)制表示,字節(jié)之間用“.”隔開,即點(diǎn)分十進(jìn)制表示法,IP地址由“網(wǎng)

30、絡(luò)號”+“主機(jī)號”組成一個人的身份證號碼:3 4 0 1 25801012233,,,地區(qū)代碼,個人標(biāo)識代碼,一個主機(jī)的IP地址:192.168.0. 10,,網(wǎng)絡(luò)號,,主機(jī)號,北京郵電大學(xué)信息安全中心,網(wǎng)絡(luò)層-IP協(xié)議,,,,,,,北京郵電大學(xué)信息安全中心,網(wǎng)絡(luò)層-IP協(xié)議,子網(wǎng)劃分,面臨問題: IP地址資源的嚴(yán)重匱乏 路由表規(guī)模的急速增長解決辦法:從主機(jī)號部分拿出幾位作為子網(wǎng)號前提:網(wǎng)絡(luò)規(guī)模較小,IP地址空間沒有全

31、部利用,北京郵電大學(xué)信息安全中心,網(wǎng)絡(luò)層-IP協(xié)議,子網(wǎng)劃分,北京郵電大學(xué)信息安全中心,網(wǎng)絡(luò)層-IP協(xié)議,子網(wǎng)掩碼,子網(wǎng)劃分后,如何識別不同的子網(wǎng)?解決:采用子網(wǎng)掩碼來分離網(wǎng)絡(luò)號和主機(jī)號。子網(wǎng)掩碼格式:32比特,網(wǎng)絡(luò)號(包括子網(wǎng)號)部分全為“1”,主機(jī)號部分全為“0”。子網(wǎng)掩碼∧ IP地址,結(jié)果就是該 IP地址的網(wǎng)絡(luò)號。,北京郵電大學(xué)信息安全中心,網(wǎng)絡(luò)層-ICMP協(xié)議,ICMP-Internet Control Message P

32、rotocol ICMP用于在IP主機(jī)、路由器之間傳遞控制消息,北京郵電大學(xué)信息安全中心,網(wǎng)絡(luò)層-ICMP協(xié)議,北京郵電大學(xué)信息安全中心,網(wǎng)絡(luò)層-ICMP協(xié)議,類型:3,代碼:0-15,檢驗(yàn)和,未使用(全0),收到的IP數(shù)據(jù)報的一部分,包括IP首部和數(shù)據(jù)報數(shù)據(jù)的前8個字節(jié),源端抑制:,類型:4,代碼:0,檢驗(yàn)和,未使用(全0),收到的IP數(shù)據(jù)報的一部分,包括IP首部和數(shù)據(jù)報數(shù)據(jù)的前8個字節(jié),超時:,類型:11,代碼:0或1,

33、檢驗(yàn)和,未使用(全0),收到的IP數(shù)據(jù)報的一部分,包括IP首部和數(shù)據(jù)報數(shù)據(jù)的前8個字節(jié),目的端不可達(dá):,北京郵電大學(xué)信息安全中心,網(wǎng)絡(luò)層-ICMP協(xié)議,實(shí)例—Tracert命令,北京郵電大學(xué)信息安全中心,,北京郵電大學(xué)信息安全中心,網(wǎng)絡(luò)層設(shè)備,路由器根據(jù)目的IP地址進(jìn)行轉(zhuǎn)發(fā),利用路由表存儲IP地址和路由器端口的對照表可通過RIP、OSPF、EIGRP等路由協(xié)議交換路由信息三層交換機(jī)三層路由,二層轉(zhuǎn)發(fā);首次三層路由,隨后二層交換

34、轉(zhuǎn)發(fā)決定不僅取決于MAC地址表,也取決于內(nèi)部的一個路由表,這個路由表可以通過手工配置或ARP協(xié)議得到。 VLAN(虛擬局域網(wǎng))局域網(wǎng)主機(jī)邏輯分組,每一個VLAN有一個ID,同組成員可相互廣播,不同組間隔離不同VLAN直接的通信需要在第三層實(shí)現(xiàn),依靠IP路由協(xié)議基于交換機(jī)端口、基于MAC地址、基于IP地址劃分的VLAN等實(shí)現(xiàn)VLAN需要設(shè)備支持。802.1Q定義了VLAN幀格式,在源MAC地址后加4字節(jié)tag字段,含0x810

35、0類型標(biāo)識和VID等信息,北京郵電大學(xué)信息安全中心,本章主要內(nèi)容,傳輸層,傳輸層為應(yīng)用層上的應(yīng)用提供兩類截然不同的服務(wù):第一類服務(wù)叫做可靠的面向連接服務(wù)(connection-oriented service),確保正確無誤地把消息從源端傳送到目的地,使用的協(xié)議主要是TCP(Transmission Control Protocol)協(xié)議。第二類服務(wù)是不可靠的無連接服務(wù)(unreliable, connectionless serv

36、ice),使用的協(xié)議主要是用戶數(shù)據(jù)包協(xié)議UDP(User Datagram Protocol)。一般來說,應(yīng)用層協(xié)議運(yùn)行在操作系統(tǒng)之上,而傳輸層協(xié)議集成在操作系統(tǒng)之中。因此,當(dāng)設(shè)計(jì)網(wǎng)絡(luò)應(yīng)用時,設(shè)計(jì)人員必需要指定其中的一種網(wǎng)絡(luò)傳輸協(xié)議,網(wǎng)絡(luò)多媒體應(yīng)用通常使用UDP協(xié)議。,北京郵電大學(xué)信息安全中心,傳輸層-TCP協(xié)議,TCP是傳輸層上的協(xié)議,該協(xié)議定義在RFC 793,RFC 1122,RFC 1323和RFC 2001文件中。TCP

37、是面向連接的和全雙工的協(xié)議,全雙工(full duplex)的意思是,如果在主機(jī)A和主機(jī)B之間有連接,A可向B傳送數(shù)據(jù),而B也可向A傳送數(shù)據(jù)。TCP為應(yīng)用層和網(wǎng)絡(luò)層上的IP提供許多服務(wù),其中3個最重要的服務(wù)是:可靠傳輸、流程控制、擁塞控制適用場景:對傳輸質(zhì)量要求較高,以及傳輸大量數(shù)據(jù)的通信;點(diǎn)對點(diǎn)通信,北京郵電大學(xué)信息安全中心,傳輸層-TCP協(xié)議,可靠傳輸:為應(yīng)用層提供可靠的面向連接服務(wù),確保發(fā)送端發(fā)出的消息能夠被接收端正確無誤

38、地接收到。接收端的應(yīng)用程序確信從TCP接收緩存中讀出的數(shù)據(jù)是否正確是通過檢查傳送的序列號、確認(rèn)和出錯重傳等措施給予保證的。流程控制:連接雙方的主機(jī)都給TCP連接分配了一定數(shù)量的緩存。每當(dāng)進(jìn)行一次TCP連接時,接收方主機(jī)只允許發(fā)送端主機(jī)發(fā)送的數(shù)據(jù)不大于緩存空間的大小。擁擠控制:TCP保證每次TCP連接不過分加重路由器的負(fù)擔(dān)。當(dāng)網(wǎng)絡(luò)上的鏈路出現(xiàn)擁擠時,經(jīng)過這個鏈路的TCP連接將自身調(diào)節(jié)以減緩擁擠。,北京郵電大學(xué)信息安全中心,傳輸層-

39、TCP協(xié)議,TCP報文格式,端口號:16位域識別本機(jī)和遠(yuǎn)程TCP服務(wù)順序號和確認(rèn)號:用于可靠傳輸,北京郵電大學(xué)信息安全中心,傳輸層-TCP協(xié)議,端口號,北京郵電大學(xué)信息安全中心,傳輸層-TCP協(xié)議,TCP連接-三次握手,北京郵電大學(xué)信息安全中心,傳輸層-TCP協(xié)議,斷開TCP連接,北京郵電大學(xué)信息安全中心,傳輸層-TCP協(xié)議,滑動窗口,北京郵電大學(xué)信息安全中心,傳輸層-TCP協(xié)議,確認(rèn)重傳,當(dāng)主機(jī)A發(fā)送一個包含數(shù)據(jù)的消息段時,它啟動一

40、個定時器后就等待主機(jī)B對這個消息段的響應(yīng)。如果在等待時間之內(nèi)沒有接收到確認(rèn)消息段,主機(jī)A就重發(fā)包含數(shù)據(jù)的消息段,北京郵電大學(xué)信息安全中心,傳輸層-UDP協(xié)議,UDP是一個無連接協(xié)議,傳輸數(shù)據(jù)之前源端和終端不建立連接。在接收端,UDP把每個消息段放在隊(duì)列中,應(yīng)用程序每次從隊(duì)列中讀一個消息段。UDP信息包的標(biāo)題很短,只有8個字節(jié),相對于TCP的20個字節(jié)信息包的額外開銷很小。傳送速度和吞吐量不受擁擠控制算法的調(diào)節(jié),只受應(yīng)用軟件生成數(shù)

41、據(jù)的速率、傳輸帶寬、源端和終端主機(jī)性能的限制。適用場景:發(fā)送小尺寸數(shù)據(jù)(如:對DNS服務(wù)器進(jìn)行IP地址查詢時,若進(jìn)行連接之后再進(jìn)行數(shù)據(jù)傳輸就會降低效率,這時就使用UDP。);接收到數(shù)據(jù),給出應(yīng)答較困難的網(wǎng)絡(luò)中使用UDP;廣播式通信中,北京郵電大學(xué)信息安全中心,傳輸層-UDP協(xié)議,UDP報文格式,用戶數(shù)據(jù)包的長度:包括UDP報文頭部和數(shù)據(jù)長度和Checksum:用于檢查傳輸中是否出現(xiàn)錯誤,北京郵電大學(xué)信息安全中心,北京郵電大學(xué)信息安全

42、中心,本章主要內(nèi)容,網(wǎng)絡(luò)應(yīng)用與協(xié)議,應(yīng)用層主要服務(wù)類型,北京郵電大學(xué)信息安全中心,應(yīng)用層協(xié)議-DNS協(xié)議,DNS產(chǎn)生原因32比特的IP地址難于記憶,應(yīng)該使用符號地址,比如用www.bupt.edu.cn表示211.68.69.254。但是,網(wǎng)絡(luò)本身是使用IP地址的,因此需要一個完成二者之間相互轉(zhuǎn)換的機(jī)制。當(dāng)網(wǎng)絡(luò)規(guī)模比較小時,例如ARPANET,每臺主機(jī)只需查找一個文件(UNIX的host),該文件中列出了主機(jī)與IP地址的對應(yīng)關(guān)系。

43、當(dāng)網(wǎng)絡(luò)規(guī)模很大時,上述方法就不適用了,因此產(chǎn)生了域名系統(tǒng)DNS(Domain Name System)。,北京郵電大學(xué)信息安全中心,應(yīng)用層協(xié)議-DNS協(xié)議,域名系統(tǒng)是一個典型的客戶/服務(wù)器交互系統(tǒng);域名系統(tǒng)是一個多層次的、基于域的命名系統(tǒng),并使用分布式數(shù)據(jù)庫實(shí)現(xiàn)這種命名機(jī)制;當(dāng)應(yīng)用程序需要進(jìn)行域名解析時(從符號名到IP地址),它成為域名系統(tǒng)的一個客戶。它向本地域名服務(wù)器發(fā)出請求(調(diào)用resolver),請求以UDP包格式發(fā)出,域

44、名服務(wù)器找到對應(yīng)的IP地址后,給出響應(yīng)。當(dāng)本地域名服務(wù)器無法完成域名解析,它臨時變成其上級域名服務(wù)器的客戶,遞歸解析,直到該域名解析完成。DNS本質(zhì)上是一個由很多名稱服務(wù)器主機(jī)構(gòu)成的層次結(jié)構(gòu)的分布式數(shù)據(jù)庫系統(tǒng),允許客戶主機(jī)和名稱服務(wù)器主機(jī)通信以使用域名轉(zhuǎn)換服務(wù)。名稱服務(wù)器主機(jī)通常是運(yùn)行Berkeley Internet Name Domain(簡稱BIND)軟件的Unix主機(jī)。DNS協(xié)議運(yùn)行在UDP之上,使用端口號53。,北京郵電大學(xué)

45、信息安全中心,應(yīng)用層協(xié)議-DNS協(xié)議,DNS域名結(jié)構(gòu)因特網(wǎng)采用了層次樹狀結(jié)構(gòu)的命名方法,任何一個連接在因特網(wǎng)上的主機(jī)或路由器,都有一個惟一的層次結(jié)構(gòu)名字。即域名域名的結(jié)構(gòu)由若干個分量組成,各分量之間用點(diǎn)隔開: ….三級域名.二級域名.頂級域名。例如www.bupt.edu.cn.域名是大小寫無關(guān)的,“edu”和“EDU”相同。域名最長255個字符,每部分最長63個字符。,北京郵電大學(xué)信息安全中心,應(yīng)用層協(xié)議-DNS協(xié)議,DNS

46、域名空間結(jié)構(gòu),北京郵電大學(xué)信息安全中心,應(yīng)用層協(xié)議-DNS協(xié)議,頂級國際域名類型,北京郵電大學(xué)信息安全中心,應(yīng)用層協(xié)議-DNS協(xié)議,DNS查詢機(jī)制,北京郵電大學(xué)信息安全中心,應(yīng)用層協(xié)議-HTTP協(xié)議,1989年~1991年在歐洲粒子物理研究所(Conseil Européen pour la Recherche Nucléaire,the European Laboratory for Particle Physic

47、s,CERN)由Tim Berners-Lee構(gòu)思了萬維網(wǎng)(Web),它的4個核心部分是HTML,HTTP,Web服務(wù)器和Web瀏覽器。超文本傳輸協(xié)議(Hypertext Transfer Protocol,HTTP)是應(yīng)用層協(xié)議,它定義Web頁面如何從Web服務(wù)器傳送到Web瀏覽器。直到1997年,幾乎所有Web瀏覽器和Web服務(wù)器都使用HTTP/1.0,該協(xié)議定義在RFC 1945中。從1998年開始Web瀏覽器和Web服務(wù)器開

48、始執(zhí)行HTTP/1.1,該協(xié)議定義在RFC 2068中。,北京郵電大學(xué)信息安全中心,應(yīng)用層協(xié)議-HTTP協(xié)議,HTTP執(zhí)行過程,使用TCP協(xié)議傳輸與TCP的連接一旦建立,Web瀏覽器就發(fā)送一個HTTP請求消息到這個連接上,服務(wù)器接收到請求之后就給Web瀏覽器回送一個HTTP響應(yīng)消息,在服務(wù)器發(fā)送響應(yīng)信息之后就斷開TCP連接。,北京郵電大學(xué)信息安全中心,應(yīng)用層協(xié)議-HTTP協(xié)議,HTTP請求消息,HTTP協(xié)議(RFC 1945和RFC

49、2068)定義了兩種消息格式: HTTP請求消息(HTTP Request Message)格式 HTTP響應(yīng)消息(HTTP Response Message)格式。HTTP消息請求格式如圖所示,北京郵電大學(xué)信息安全中心,應(yīng)用層協(xié)議-HTTP協(xié)議,HTTP響應(yīng)消息,HTTP協(xié)議響應(yīng)消息格式如圖:,北京郵電大學(xué)信息安全中心,應(yīng)用層協(xié)議-HTTP協(xié)議,HTTP/1.1與HTTP/1.0HTTP1.1向后兼容HTTP/1.0協(xié)議HT

50、TP/1.0和HTTP/1.1都有非持續(xù)連接(non-persistent connection)和持續(xù)連接(persistent connection)功能。非持續(xù)連接是指啟動一次TCP連接服務(wù)機(jī)就向客戶機(jī)傳送一個對象,而持續(xù)連接是指服務(wù)機(jī)可在相同的TCP連接上向客戶機(jī)發(fā)送多個對象。HTTP/1.0的默認(rèn)設(shè)置是非持續(xù)連接,而HTTP/1.1的默認(rèn)設(shè)置是持續(xù)連接。效率低體現(xiàn)在:每次TCP需建立和斷開;對每次連接需分配發(fā)送和接收緩存;

51、對大對象TCP低速啟動算法限制傳輸速度。,北京郵電大學(xué)信息安全中心,應(yīng)用層協(xié)議-電子郵件協(xié)議,SMTP與POP協(xié)議電子郵件系統(tǒng):由和用戶進(jìn)行交換的接口MUA(報文用戶媒介)、進(jìn)行郵件(信息)發(fā)送的MTA(報文傳遞媒介)以及信息形式構(gòu)成,北京郵電大學(xué)信息安全中心,,應(yīng)用層協(xié)議-電子郵件協(xié)議,SMTP與POP協(xié)議POP的基本功能是鑒別用戶的登錄名和口令,把用戶的郵件從服務(wù)器傳送到客戶機(jī)的郵件軟件(郵件解釋程序)?,F(xiàn)在使用的版本為POP

52、3。POP協(xié)議工作在110號端口。SMTP協(xié)議是簡單郵件傳輸協(xié)議,郵件發(fā)送協(xié)議,工作在25號端口。,北京郵電大學(xué)信息安全中心,應(yīng)用層協(xié)議-VoIP協(xié)議,VoIP介紹VoIP簡而言之就是將模擬聲音信號(Voice)數(shù)字化,以數(shù)據(jù)封包(Data Packet)的形式在 IP 數(shù)據(jù)網(wǎng)絡(luò) (IP Network)上做實(shí)時傳遞。基本原理是:通過語音的壓縮算法對語音數(shù)據(jù)編碼進(jìn)行壓縮處理,然后把這些語音數(shù)據(jù)按TCP/IP標(biāo)準(zhǔn)進(jìn)行打包,經(jīng)過&#

53、160;IP 網(wǎng)絡(luò)把數(shù)據(jù)包送至接收地,再把這些語音數(shù)據(jù)包串起來,經(jīng)過解壓處理后,恢復(fù)成原來的語音信號,從而達(dá)到由互聯(lián)網(wǎng)傳送語音的目的。語音->模數(shù)轉(zhuǎn)換->壓縮->分包傳輸->解壓縮->數(shù)模轉(zhuǎn)換->語音常用控制協(xié)議:H.323,SIP、MGCP、H.248等,北京郵電大學(xué)信息安全中心,NGN框架下的協(xié)議應(yīng)用實(shí)例,ISUP,SIGTRAN,H.248,RTP,SIP,SIP,H.323,NGN框架下的協(xié)

54、議應(yīng)用實(shí)例,呼叫控制協(xié)議棧示意圖,典型的NGN控制協(xié)議棧,H.323協(xié)議棧,H.323,IP,UDP,RTP,RTCP,TCP/UDP,TCP,UDP,UDP,TCP,AudioCodecsG.711G.723.1G.729..,VideoCodecsH.261H.263H.264..,V.150,T.120,TCP/UDP,T.38,H.225.0CallSignaling,H.245,H.225.0RAS,

55、Terminal Control and Management,DataApplications,Media Control,Multimedia Applications, User Interface,,應(yīng)用層協(xié)議-P2P協(xié)議,P2P介紹對等網(wǎng)絡(luò)是一種網(wǎng)絡(luò)模型,更是一種思想,在這種網(wǎng)絡(luò)中各個節(jié)點(diǎn)是對等的,具有相同的責(zé)任和能力并協(xié)同完成任務(wù)。與C/S模式相對應(yīng)體系結(jié)構(gòu)包括:集中式、分布式、混合式,北京郵電大學(xué)信息安全中心,,,北

56、京郵電大學(xué)信息安全中心,應(yīng)用層協(xié)議-P2P協(xié)議,P2P網(wǎng)絡(luò)應(yīng)用 文件共享類BitTorrent、Gnutella、eDonkey、Maze、迅雷等 即時通訊類Skype等 流媒體類PPlive、PPStream、QQLive、CoolStreaming等 協(xié)同處理類SETI@home、Groove、Magi、NET My Service等分布式存儲類Farsite、Ocean Store類數(shù)據(jù)存儲等........

57、.............,北京郵電大學(xué)信息安全中心,應(yīng)用層協(xié)議-P2P協(xié)議,BT協(xié)議數(shù)據(jù)實(shí)例,北京郵電大學(xué)信息安全中心,應(yīng)用層協(xié)議-RADIUS協(xié)議,簡介 特點(diǎn)遠(yuǎn)程用戶撥號認(rèn)證系統(tǒng),目前最廣泛使用的標(biāo)準(zhǔn)認(rèn)證協(xié)議,應(yīng)用于AAAC/S結(jié)構(gòu),認(rèn)證機(jī)制靈活,可采用PAP、CHAP、UNIX登錄認(rèn)證等多種方式 工作原理用戶接入NAS(網(wǎng)絡(luò)接入服務(wù)器),NAS向RADIUS服務(wù)器提交用戶的用戶名、密碼等信息,密碼通過MD5加密,使用共享

58、密鑰服務(wù)器進(jìn)行驗(yàn)證,必要時可要求進(jìn)一步認(rèn)證。如果合法允許繼續(xù)使用網(wǎng)絡(luò);否則拒絕用戶訪問 底層協(xié)議通過UDP傳輸,1812端口負(fù)責(zé)認(rèn)證、1813端口負(fù)責(zé)計(jì)費(fèi)工作,其他網(wǎng)絡(luò)監(jiān)控相關(guān)或影響,北京郵電大學(xué)信息安全中心,北京郵電大學(xué)信息安全中心,,,,,,物理層,數(shù)據(jù)鏈路層,網(wǎng)絡(luò)層,傳輸層,應(yīng)用層,PPTP/L2TP/L2F,IPSEC,SSL/TLS/SSH/SOCKS,S/MIME/SET/SHTTP/PGP,通信安全協(xié)議層次,其他-V

59、PN技術(shù),,定義虛擬專用網(wǎng)(Virtual Private Network) 是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng),尤其是Internet連接而成的邏輯上的虛擬子網(wǎng)。為了保障信息的安全,VPN技術(shù)采用了鑒別、訪問控制、保密性、完整性等措施,以防止信息被泄露、篡改和復(fù)制。虛擬(V,Virtural)是針對傳統(tǒng)的企業(yè)“專用網(wǎng)絡(luò)”而言的。傳統(tǒng)的專用網(wǎng)絡(luò)往往需要建立自己的物理專用線路,使用昂貴的長途撥號以及長途專線服務(wù);而VPN

60、則是利用公共網(wǎng)絡(luò)資源和設(shè)備建立一個邏輯上的專用通道,盡管沒有自己的專用線路,但是這個邏輯上的專用通道卻可以提供和專用網(wǎng)絡(luò)同樣的功能。換言之,VPN雖然不是物理上真正的專用網(wǎng)絡(luò),但卻能夠?qū)崿F(xiàn)物理專用網(wǎng)絡(luò)的功能。,,定義專用(P,Private) 表示VPN是被特定企業(yè)或用戶私有的,并不是任何公共網(wǎng)絡(luò)上的用戶都能夠使用已經(jīng)建立的VPN通道,而是只有經(jīng)過授權(quán)的用戶才可以使用。在該通道內(nèi)傳輸?shù)臄?shù)據(jù)經(jīng)過了加密和認(rèn)證,使得通信內(nèi)容既不能被第三者

61、修改,又無法被第三者破解,從而保證了傳輸內(nèi)容的完整性和機(jī)密性。因此,只有特定的企業(yè)和用戶群體才能夠利用該通道進(jìn)行安全的通信。網(wǎng)絡(luò)(N,Network)表示這是一種專門的組網(wǎng)技術(shù)和服務(wù),企業(yè)為了建立和使用VPN必須購買和配備相應(yīng)的網(wǎng)絡(luò)設(shè)備。,其他-VPN技術(shù),,分類按業(yè)務(wù)類型劃分 (Access,Intranet和Extranet)Access VPN(遠(yuǎn)程訪問VPN) :適用于企業(yè)內(nèi)部人員流動頻繁或遠(yuǎn)程辦公的情況,出差員工或者

62、在家辦公的員工利用當(dāng)?shù)豂SP就可以和企業(yè)的VPN網(wǎng)關(guān)建立私有的隧道連接—對應(yīng)于傳統(tǒng)的遠(yuǎn)程訪問內(nèi)部網(wǎng)絡(luò)。在傳統(tǒng)方式中,在企業(yè)網(wǎng)絡(luò)內(nèi)部需要架設(shè)一個撥號服務(wù)器作為RAS(Remote Access Server),用戶通過撥號到該RAS來訪問企業(yè)內(nèi)部網(wǎng)?!狝ccess VPN通過撥入當(dāng)?shù)氐腎SP進(jìn)入Internet再連接企業(yè)的VPN網(wǎng)關(guān),在用戶和VPN網(wǎng)關(guān)之間建立一個安全的“隧道”,通過該隧道安全地訪問遠(yuǎn)程的內(nèi)部網(wǎng),撥入方式包括

63、撥號、ISDN、數(shù)字用戶線路(xDSL)等,其他-VPN技術(shù),Intranet VPN(企業(yè)內(nèi)部VPN):如果要進(jìn)行企業(yè)內(nèi)部異地分支機(jī)構(gòu)的互聯(lián),可以使用Intranet VPN方式,這是所謂的網(wǎng)關(guān)對網(wǎng)關(guān)VPN,它對應(yīng)于傳統(tǒng)的Intranet解決方案— 在異地兩個網(wǎng)絡(luò)的網(wǎng)關(guān)之間建立了一個加密的VPN隧道,兩端的內(nèi)部網(wǎng)絡(luò)可以通過該VPN隧道安全地進(jìn)行通信,就好像和本地網(wǎng)絡(luò)通信一樣?!?Intranet VPN利用公共網(wǎng)絡(luò)(如Intern

64、et)的基礎(chǔ)設(shè)施,連接企業(yè)總部、遠(yuǎn)程辦事處和分支機(jī)構(gòu)。企業(yè)擁有與專用網(wǎng)絡(luò)相同的策略,包括安全、服務(wù)質(zhì)量(QoS)、可管理性和可靠性。,其他-VPN技術(shù),Extranet VPN(企業(yè)內(nèi)部VPN):如果一個企業(yè)希望將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng),可以使用Extranet VPN,它對應(yīng)于傳統(tǒng)的Extranet解決方案— Extranet VPN其實(shí)也是一種網(wǎng)關(guān)對網(wǎng)關(guān)的VPN,與Intranet VPN不同的是,它需要

65、在不同企業(yè)的內(nèi)部網(wǎng)絡(luò)之間組建,需要有不同協(xié)議和設(shè)備之間的配合和不同的安全配置。,其他-VPN技術(shù),,發(fā)起主體劃分客戶發(fā)起,也稱基于客戶的VPN 服務(wù)器發(fā)起,也稱客戶透明方式或基于網(wǎng)絡(luò)的VPN按隧道協(xié)議層次劃分二層隧道協(xié)議:L2F/L2TP、PPTP 三層隧道協(xié)議:GRE、IPSec介于二、三層間的隧道協(xié)議:MPLS基于Socket V5的VPN按實(shí)現(xiàn)方式劃分硬件實(shí)現(xiàn)軟件實(shí)現(xiàn),其他-VPN技術(shù),優(yōu)點(diǎn)降低成本 利

66、用了現(xiàn)有的Internet或其他公共網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建安全隧道,不需要使用專門的線路,如DDN和PSTN,這樣就節(jié)省了專門線路的租金。如果是采用遠(yuǎn)程撥號進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部資源,還需要支付長途話費(fèi);而采用VPN技術(shù),只需撥入當(dāng)?shù)氐腎SP就可以安全地接入內(nèi)部網(wǎng)絡(luò),這樣也節(jié)省了線路話費(fèi)。易于擴(kuò)展如果采用專線連接,實(shí)施起來比較困難,在分部增多、內(nèi)部網(wǎng)絡(luò)結(jié)點(diǎn)越來越多時,網(wǎng)絡(luò)結(jié)構(gòu)趨于復(fù)雜,費(fèi)用昂貴。如果采用VPN,只是在結(jié)點(diǎn)處架設(shè)VP

67、N設(shè)備,就可以利用Internet建立安全連接,如果有新的內(nèi)部網(wǎng)絡(luò)想加入安全連接,只需添加一臺VPN設(shè)備,改變相關(guān)配置即可。安全特性 VPN技術(shù)利用可靠的加密認(rèn)證技術(shù),在內(nèi)部網(wǎng)絡(luò)之間建立隧道,能夠保證通信數(shù)據(jù)的機(jī)密性和完整性,保證信息不被泄漏或暴露給未授權(quán)的實(shí)體,保證信息不被未授權(quán)的實(shí)體改變、刪除或替代,其他-VPN技術(shù),關(guān)鍵技術(shù)隧道技術(shù) 定義:實(shí)質(zhì)上是一種封裝,將一種協(xié)議(協(xié)議X)封裝在另一種協(xié)議(協(xié)議Y)中傳輸,從而實(shí)現(xiàn)協(xié)議

68、X對公用傳輸網(wǎng)絡(luò)(采用協(xié)議Y)的透明性。隧道協(xié)議內(nèi)包括以下三種協(xié)議 ---乘客協(xié)議(Passenger Protocol) ---封裝協(xié)議(Encapsulating Protocol) ---運(yùn)載協(xié)議(Carrier Protocol)隧道協(xié)議例子分類依據(jù):被封裝的數(shù)據(jù)在OSI/RM的層次。如二層隧道:PPTP、L2TP;三層隧道:IPSEC,其他-

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論