hcse完全筆記構(gòu)建安全優(yōu)化的廣域網(wǎng)

1、ip基于hopbyhop轉(zhuǎn)發(fā)模式，ATM不是，但它因控制復(fù)雜，成本高昂，難以普及（只有金橋和已倒閉的北電能夠熟練掌握其技術(shù)），而MPLS介于兩者之間。IP轉(zhuǎn)發(fā)采用最長(zhǎng)匹配，需多次查表，算法效率不高。ATM轉(zhuǎn)發(fā)采用唯一匹配，一次查表，效率很高。MPLS標(biāo)簽（label）長(zhǎng)度為32位，具有局部意義的標(biāo)識(shí)，放在鏈路層封裝頭和網(wǎng)絡(luò)層封裝頭之間，用此標(biāo)簽封裝網(wǎng)絡(luò)層分組，可以承載在各種鏈路層協(xié)議上。MPLS組成：【20比特label】【3比特EXP

2、】【1比特S】【8比特TTL】MPLS標(biāo)簽分為4個(gè)區(qū)域：1、Label：標(biāo)簽值，長(zhǎng)度20b，是標(biāo)簽轉(zhuǎn)發(fā)表的關(guān)鍵索引；2、EXP：用于QoS，長(zhǎng)度3b，作用與Ether802.1p值相似；3、S：棧底標(biāo)識(shí)長(zhǎng)度1b果有多個(gè)Label時(shí)，在棧底的Label的S位置為“1“，其他為“0“，只有一個(gè)Label時(shí)S位置為“1“4、TTL：存活時(shí)間，長(zhǎng)度8b，與IP報(bào)文的TTL值相似，這個(gè)值從IP報(bào)文頭的TTL域拷貝過(guò)來(lái)，每進(jìn)行一次Label交換時(shí)，

3、外層Label的TTL值就減“1”。MPLS網(wǎng)絡(luò)組成：非MPLS網(wǎng)絡(luò)【MPLS網(wǎng)絡(luò)：LER—LSR—LER】非MPLS網(wǎng)絡(luò)。MPLS網(wǎng)絡(luò)和非MPLS網(wǎng)絡(luò)兼容性很好。LER：標(biāo)簽邊界路由器；LSR：標(biāo)簽交換路由器?！啊尽俊边@條路徑稱做LSP：標(biāo)簽交換路徑。FEC轉(zhuǎn)發(fā)等價(jià)類：通俗說(shuō)，不管什么流都做等價(jià)轉(zhuǎn)發(fā)處理，在轉(zhuǎn)發(fā)過(guò)程中以等價(jià)的方式處理的一組數(shù)據(jù)分組，可以通過(guò)地址、隧道、COS等來(lái)標(biāo)識(shí)創(chuàng)建FEC。MPLS可實(shí)現(xiàn)多層嵌套：如，【數(shù)據(jù)鏈路層】

4、【MPLS標(biāo)簽1】【MPLS標(biāo)簽2】【MPLS標(biāo)簽…】【網(wǎng)絡(luò)層】MPLS標(biāo)簽識(shí)別：以太網(wǎng)幀結(jié)構(gòu)：【DMAC】【SMAC】【TYPE】【DATE】【CRC】普通IP包：【DMAC】【SMAC】【0800】【IPPacket】【CRC】MPLS包：【DMAC】【SMAC】【8847】【MPLS標(biāo)簽】【IPPacket】【CRC】能夠分配MPLS標(biāo)簽的協(xié)議：1、LDP標(biāo)簽分配協(xié)議（公有），取代之有TDP標(biāo)記分發(fā)協(xié)議（cisco私有）；2、RS

5、VP資源預(yù)留協(xié)議；3、MPBGP多協(xié)議BGP。在LDP協(xié)議中，存在4種類型的LDP消息：1、發(fā)現(xiàn)消息（Discoverymessages）：用于LDP鄰居的發(fā)現(xiàn)和維持。（使用UDP646端口，使用組播地址224.0.0.2）2、會(huì)話消息（Sessionmessages）：用于LDP鄰居會(huì)話的建立、維持和中止。（有地址大的一方發(fā)起TCP鏈接）3、通告消息（Advertisementmessages）：用于LDP實(shí)體向LDP鄰居宣告Labe

6、l、地址等信息。4、通知消息（Notificationmessages）：用于向LDP鄰居通知事件或者錯(cuò)誤。上游與下游：流量發(fā)起的一方為上游，接收的一方為下游，而label分配方向與流量方向相反，即由下游分配到上游。標(biāo)簽分配過(guò)程：LDPsession建立完成后，路由器根據(jù)路由表進(jìn)行標(biāo)簽分配，形成MPLS標(biāo)簽轉(zhuǎn)發(fā)表。標(biāo)簽轉(zhuǎn)發(fā)表主要包含入標(biāo)簽（IN）、出標(biāo)簽（OUT）和出接口，路由器可以根據(jù)標(biāo)簽轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)MPLS報(bào)文。標(biāo)簽是設(shè)備隨機(jī)自動(dòng)生成

7、的，16以下為系統(tǒng)保留。標(biāo)簽分配過(guò)程中，IN標(biāo)簽在華三定義中是自己分配的標(biāo)簽，分配給上游使用；OUT標(biāo)簽是別人分配的標(biāo)業(yè)，稱為Intra；如果VPN中的Site分屬不同的企業(yè)，則稱為Extra。VPN接入：VPN用戶PSTNISDNNAS服務(wù)器【inter】VPNServer隧道可以通過(guò)隧道協(xié)議來(lái)實(shí)現(xiàn)。根據(jù)是在OSI模型的第二層還是第三層實(shí)現(xiàn)隧道，隧道協(xié)議分為第二層隧道協(xié)議和第三層隧道協(xié)議。一般地，第二層隧道協(xié)議和第三層隧道協(xié)議都是獨(dú)立

8、使用的，如果合理地將這兩層協(xié)議結(jié)合起來(lái)使用，將可能為用戶提供更好的安全性（如將L2TP和IPSec協(xié)議配合使用）和更佳的性能。傳統(tǒng)企業(yè)網(wǎng)面臨的問(wèn)題::1、直接通過(guò)Inter或運(yùn)營(yíng)商骨干網(wǎng)絡(luò)連接分支機(jī)構(gòu)的缺點(diǎn)：網(wǎng)絡(luò)層協(xié)議必須統(tǒng)一、必須使用統(tǒng)一的路由策略、必須使用同一公網(wǎng)地址空間。2、企業(yè)直接通過(guò)專線、電路交換或分組交換的廣域網(wǎng)技術(shù)連接其分支機(jī)構(gòu)的缺點(diǎn)：布署成本高、變更不靈活、移動(dòng)用戶遠(yuǎn)程撥號(hào)接入費(fèi)用高。第二層隧道協(xié)議：第二層隧道協(xié)議是將整

9、個(gè)PPP幀封裝在內(nèi)部隧道中。1、PPTP（PointtoPointTunnelingProtocol）：點(diǎn)到點(diǎn)隧道協(xié)議，由微軟、end和3COM等公司支持，在WindowsNT4.0以上版本中支持。該協(xié)議支持點(diǎn)到點(diǎn)PPP協(xié)議在IP網(wǎng)絡(luò)上的隧道封裝，PPTP作為一個(gè)呼叫控制和管理協(xié)議，使用一種增強(qiáng)的GRE（GenericRoutingEncapsulation，通用路由封裝）技術(shù)為傳輸?shù)腜PP報(bào)文提供流控和擁塞控制的封裝服務(wù)。2、L2F（

10、Layer2Fwarding）協(xié)議：二層轉(zhuǎn)發(fā)協(xié)議，由北方電信等公司支持。L2F協(xié)議支持對(duì)更高級(jí)協(xié)議鏈路層的隧道封裝，實(shí)現(xiàn)了撥號(hào)服務(wù)器和撥號(hào)協(xié)議連接在物理位置上的分離。3、L2TP（Layer2TunnelingProtocol）：二層隧道協(xié)議，由IETF起草，微軟等公司參與，結(jié)合了上述兩個(gè)協(xié)議的優(yōu)點(diǎn)，為眾多公司所接受，并且已經(jīng)成為標(biāo)準(zhǔn)RFC。L2TP既可用于實(shí)現(xiàn)撥號(hào)VPN業(yè)務(wù)，也可用于實(shí)現(xiàn)專線VPN業(yè)務(wù)。第三層隧道協(xié)議：第三層隧道協(xié)議的

11、起點(diǎn)與終點(diǎn)均在ISP內(nèi)，PPP會(huì)話終止在NAS處，隧道內(nèi)只攜帶第三層報(bào)文。1、GRE（GenericRoutingEncapsulation）協(xié)議：這是通用路由封裝協(xié)議，用于實(shí)現(xiàn)任意一種網(wǎng)絡(luò)層協(xié)議在另一種網(wǎng)絡(luò)層協(xié)議上的封裝。2、IPSec（IPSecurity）協(xié)議：IPSec協(xié)議不是一個(gè)單獨(dú)的協(xié)議，它給出了IP網(wǎng)絡(luò)上數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括AH（AuthenticationHeader）、ESP（EncapsulatingSec

12、urityPayload）、IKE（InterKeyExchange）等協(xié)議。GRE和IPSec主要用于實(shí)現(xiàn)專線VPN業(yè)務(wù)?！緟f(xié)議B：協(xié)議B數(shù)據(jù)包】RTA【VPN網(wǎng)絡(luò)協(xié)議A：？封裝包數(shù)據(jù)】RTB【協(xié)議B：協(xié)議B數(shù)據(jù)包】封裝包格式：【協(xié)議A頭：承載協(xié)議】【封裝協(xié)議頭：封裝協(xié)議】【協(xié)議B頭：載荷協(xié)議】【載荷數(shù)據(jù)】VPN的分類：（1）按運(yùn)營(yíng)模式劃分：1.CPEbasedVPN（CustomerPremisesEquipmentbasedVPN