hcse完全筆記構建安全優(yōu)化的廣域網

1、ip基于hopbyhop轉發(fā)模式，ATM不是，但它因控制復雜，成本高昂，難以普及（只有金橋和已倒閉的北電能夠熟練掌握其技術），而MPLS介于兩者之間。IP轉發(fā)采用最長匹配，需多次查表，算法效率不高。ATM轉發(fā)采用唯一匹配，一次查表，效率很高。MPLS標簽（label）長度為32位，具有局部意義的標識，放在鏈路層封裝頭和網絡層封裝頭之間，用此標簽封裝網絡層分組，可以承載在各種鏈路層協議上。MPLS組成：【20比特label】【3比特EXP

2、】【1比特S】【8比特TTL】MPLS標簽分為4個區(qū)域：1、Label：標簽值，長度20b，是標簽轉發(fā)表的關鍵索引；2、EXP：用于QoS，長度3b，作用與Ether802.1p值相似；3、S：棧底標識長度1b果有多個Label時，在棧底的Label的S位置為“1“，其他為“0“，只有一個Label時S位置為“1“4、TTL：存活時間，長度8b，與IP報文的TTL值相似，這個值從IP報文頭的TTL域拷貝過來，每進行一次Label交換時，

3、外層Label的TTL值就減“1”。MPLS網絡組成：非MPLS網絡【MPLS網絡：LER—LSR—LER】非MPLS網絡。MPLS網絡和非MPLS網絡兼容性很好。LER：標簽邊界路由器；LSR：標簽交換路由器?！啊尽俊边@條路徑稱做LSP：標簽交換路徑。FEC轉發(fā)等價類：通俗說，不管什么流都做等價轉發(fā)處理，在轉發(fā)過程中以等價的方式處理的一組數據分組，可以通過地址、隧道、COS等來標識創(chuàng)建FEC。MPLS可實現多層嵌套：如，【數據鏈路層】

4、【MPLS標簽1】【MPLS標簽2】【MPLS標簽…】【網絡層】MPLS標簽識別：以太網幀結構：【DMAC】【SMAC】【TYPE】【DATE】【CRC】普通IP包：【DMAC】【SMAC】【0800】【IPPacket】【CRC】MPLS包：【DMAC】【SMAC】【8847】【MPLS標簽】【IPPacket】【CRC】能夠分配MPLS標簽的協議：1、LDP標簽分配協議（公有），取代之有TDP標記分發(fā)協議（cisco私有）；2、RS

5、VP資源預留協議；3、MPBGP多協議BGP。在LDP協議中，存在4種類型的LDP消息：1、發(fā)現消息（Discoverymessages）：用于LDP鄰居的發(fā)現和維持。（使用UDP646端口，使用組播地址224.0.0.2）2、會話消息（Sessionmessages）：用于LDP鄰居會話的建立、維持和中止。（有地址大的一方發(fā)起TCP鏈接）3、通告消息（Advertisementmessages）：用于LDP實體向LDP鄰居宣告Labe

6、l、地址等信息。4、通知消息（Notificationmessages）：用于向LDP鄰居通知事件或者錯誤。上游與下游：流量發(fā)起的一方為上游，接收的一方為下游，而label分配方向與流量方向相反，即由下游分配到上游。標簽分配過程：LDPsession建立完成后，路由器根據路由表進行標簽分配，形成MPLS標簽轉發(fā)表。標簽轉發(fā)表主要包含入標簽（IN）、出標簽（OUT）和出接口，路由器可以根據標簽轉發(fā)表轉發(fā)MPLS報文。標簽是設備隨機自動生成

7、的，16以下為系統(tǒng)保留。標簽分配過程中，IN標簽在華三定義中是自己分配的標簽，分配給上游使用；OUT標簽是別人分配的標業(yè)，稱為Intra；如果VPN中的Site分屬不同的企業(yè)，則稱為Extra。VPN接入：VPN用戶PSTNISDNNAS服務器【inter】VPNServer隧道可以通過隧道協議來實現。根據是在OSI模型的第二層還是第三層實現隧道，隧道協議分為第二層隧道協議和第三層隧道協議。一般地，第二層隧道協議和第三層隧道協議都是獨立

8、使用的，如果合理地將這兩層協議結合起來使用，將可能為用戶提供更好的安全性（如將L2TP和IPSec協議配合使用）和更佳的性能。傳統(tǒng)企業(yè)網面臨的問題::1、直接通過Inter或運營商骨干網絡連接分支機構的缺點：網絡層協議必須統(tǒng)一、必須使用統(tǒng)一的路由策略、必須使用同一公網地址空間。2、企業(yè)直接通過專線、電路交換或分組交換的廣域網技術連接其分支機構的缺點：布署成本高、變更不靈活、移動用戶遠程撥號接入費用高。第二層隧道協議：第二層隧道協議是將整

9、個PPP幀封裝在內部隧道中。1、PPTP（PointtoPointTunnelingProtocol）：點到點隧道協議，由微軟、end和3COM等公司支持，在WindowsNT4.0以上版本中支持。該協議支持點到點PPP協議在IP網絡上的隧道封裝，PPTP作為一個呼叫控制和管理協議，使用一種增強的GRE（GenericRoutingEncapsulation，通用路由封裝）技術為傳輸的PPP報文提供流控和擁塞控制的封裝服務。2、L2F（

10、Layer2Fwarding）協議：二層轉發(fā)協議，由北方電信等公司支持。L2F協議支持對更高級協議鏈路層的隧道封裝，實現了撥號服務器和撥號協議連接在物理位置上的分離。3、L2TP（Layer2TunnelingProtocol）：二層隧道協議，由IETF起草，微軟等公司參與，結合了上述兩個協議的優(yōu)點，為眾多公司所接受，并且已經成為標準RFC。L2TP既可用于實現撥號VPN業(yè)務，也可用于實現專線VPN業(yè)務。第三層隧道協議：第三層隧道協議的

11、起點與終點均在ISP內，PPP會話終止在NAS處，隧道內只攜帶第三層報文。1、GRE（GenericRoutingEncapsulation）協議：這是通用路由封裝協議，用于實現任意一種網絡層協議在另一種網絡層協議上的封裝。2、IPSec（IPSecurity）協議：IPSec協議不是一個單獨的協議，它給出了IP網絡上數據安全的一整套體系結構，包括AH（AuthenticationHeader）、ESP（EncapsulatingSec

12、urityPayload）、IKE（InterKeyExchange）等協議。GRE和IPSec主要用于實現專線VPN業(yè)務。【協議B：協議B數據包】RTA【VPN網絡協議A：？封裝包數據】RTB【協議B：協議B數據包】封裝包格式：【協議A頭：承載協議】【封裝協議頭：封裝協議】【協議B頭：載荷協議】【載荷數據】VPN的分類：（1）按運營模式劃分：1.CPEbasedVPN（CustomerPremisesEquipmentbasedVPN