freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

天津移動(dòng)mplsvpn培訓(xùn)教材(存儲(chǔ)版)

  

【正文】 鑰 數(shù)字簽名 + 身份信息 Hash 1 2 數(shù)字 證書(shū) + Inter 對(duì)稱 密鑰 數(shù)字簽名 數(shù)字 證書(shū) IPSec框架結(jié)構(gòu) ESP AH DES 3DES AES MD5 SHA DH1 DH2 IPSec框架 可選擇的算法 IPSec安全協(xié)議 加密 數(shù)據(jù)摘要 對(duì)稱密鑰交換 IPSec安全協(xié)議 ? AH (Authentication Header) 只能進(jìn)行數(shù)據(jù)摘要 (hash) ,不能實(shí)現(xiàn)數(shù)據(jù)加密 ahmd5hmac、 ahshahmac ? ESP (Encapsulating Security Payload) 能夠進(jìn)行數(shù)據(jù)加密和數(shù)據(jù)摘要 (hash) espdes、 esp3des、 espmd5hmac、 espshahmac、 IPSec安全協(xié)議描述了如何利用加密和 hash來(lái)保護(hù)數(shù)據(jù)安全 IPSec封裝模式 ? IPSec支持兩種封裝模式:傳輸模式和隧道模式 傳輸模式: 不改變?cè)械?IP包頭 ,通常用于主機(jī)與主機(jī)之間。 MPLS網(wǎng) P1 P2 PE1 PE2 CE1 CE2 MPLS標(biāo)簽 MPLS VPN的特點(diǎn) ? MPLS標(biāo)簽位于二層和三層之間 三層包頭 MPLS 標(biāo)簽 二層包頭 二層包頭 三層包頭 MPLS封裝 三種 VPN的比較 L2TP IPSec MPLS VPN 隧道協(xié)議類型 第二層 第三層 第二層和第三層之間 是否支持?jǐn)?shù)據(jù)加密 不支持 支持 不支持 對(duì)設(shè)備的要求 只要求邊緣設(shè)備支持 L2TP 只要求邊緣設(shè)備支持 IPSec 要求邊緣設(shè)備和核心設(shè)備都支持MPLS 目 錄 ? VPN簡(jiǎn)介 ? IPSec VPN ? BGP/MPLS VPN IPSec基礎(chǔ) 端到端 IPSec VPN的工作原理及配置 Easy VPN(遠(yuǎn)程接入 VPN)的工作原理及配置 BGP/MPLS VPN的工作原理 BGP/MPLS VPN的配置示例 IPSec概述 IPSec是一種開(kāi)放標(biāo)準(zhǔn)的框架結(jié)構(gòu),特定的通信方之間在 IP 層 通過(guò)加密和數(shù)據(jù)摘要 (hash)等手段,來(lái)保證數(shù)據(jù)包在 Inter 網(wǎng)上傳輸時(shí)的 私密性(confidentiality) 、 完整性 (data integrity)和 真實(shí)性(origin authentication)。 IP/MPLS網(wǎng) 中心站點(diǎn) 分支機(jī)構(gòu) 移動(dòng)辦公人員 隧道機(jī)制 ? IP VPN可以理解為:通過(guò)隧道技術(shù)在公眾 IP/MPLS網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線 。 土豆兩塊錢一斤 Hash fefe23fgrNMop7 土豆兩塊錢一斤 fefe23fgrNMop7 土豆三塊錢一斤 2fwex67N32rfee3 我同時(shí)改數(shù)據(jù)和摘要 兩者還是不一致 Hash fergergr23frewfgh 對(duì)稱密鑰交換 ? 對(duì)稱加密和 hash都 要求通信雙方具有相同的密鑰 問(wèn)題:怎樣在雙方之間安全地傳遞密鑰? 密鑰 哈哈,要是敢直接傳遞密鑰,我就只好偷看了 密鑰 DH算法的基本原理 Router A Router B 生成一個(gè)整數(shù) p 生成一個(gè)整數(shù) q 把 p發(fā)送到對(duì)端 p 把 q發(fā)送到對(duì)端 q 根據(jù) p、 q生成 g 根據(jù) p、 q生成 g 生成密鑰 Xa 生成密鑰 Xb 把 Ya=g^ Xa發(fā)送 到對(duì)端 把 Yb=g^ Xb發(fā)送 到對(duì)端 Ya Yb Key=Yb^Xa =g^(Xb*Xa) Key=Ya^Xb =g^(Xa*Xb) 最后得到的對(duì)稱密鑰 雙方?jīng)]有直接傳遞密鑰 通過(guò)身份認(rèn)證保證數(shù)據(jù)的真實(shí)性 ? 真實(shí)性:數(shù)據(jù)確實(shí)是由特定的對(duì)端發(fā)出 ? 通過(guò)身份認(rèn)證可以保證數(shù)據(jù)的真實(shí)性。 IP頭 數(shù)據(jù) AH頭 hash NAT:我要修改源 /目的 IP地址 AH:不行!我對(duì) IP地址也進(jìn)行了 hash IPSec與 NAT ? ESP模式下: 只進(jìn)行地址映射時(shí), ESP可與它一起工作。 ? 啟動(dòng) IKE階段 2,在上述安全通道上協(xié)商 IPSec參數(shù)。 B A N K SPI–12 ESP/3DES/SHA tunnel 28800 SPI–39 ESP/DES/MD5 tunnel 28800 Inter IPSec SA ? IPSec SA (安全關(guān)聯(lián), Security Association): 達(dá)到 lifetime以后,原有的 IPSec SA就會(huì)被刪除 如果正在傳輸數(shù)據(jù),系統(tǒng)會(huì)在原 SA超時(shí)之前自動(dòng)協(xié)商建立新的 SA,從而保證數(shù)據(jù)的傳輸不會(huì)因此而中斷。 三層包頭 MPLS 標(biāo)簽 二層包頭 MPLS包頭結(jié)構(gòu) ? MPLS包頭通常有 32Bit: 20Bit用作標(biāo)簽( Label) 3個(gè) Bit的 EXP, 協(xié)議中沒(méi)有明確,通常用作 COS 1個(gè) Bit的 S,用于標(biāo)識(shí)是否是棧底 ,表明 MPLS的標(biāo)簽可以嵌套。 標(biāo)簽分配方式 (優(yōu)化前) 標(biāo)簽分配方式 (優(yōu)化后) 轉(zhuǎn)發(fā)方式 (優(yōu)化前 ) 轉(zhuǎn)發(fā)方式 (優(yōu)化后 ) 倒數(shù)第一跳 隨機(jī)分配 分配特定的標(biāo)簽 3 標(biāo)簽彈出, IP路由轉(zhuǎn)發(fā) IP路由轉(zhuǎn)發(fā) 倒數(shù)第二跳 隨機(jī)分配 隨機(jī)分配 標(biāo)簽交換 標(biāo)簽彈出 地址沖突 BGP 地址沖突的細(xì)分 CE CE CE CE PE PE P P 本地路由沖突問(wèn)題,即在同一臺(tái) PE上 如何區(qū)分不同VPN的相同路由 。 VPN_A VPN_A VPN_B VPN_B BGP連接 BGP報(bào)文的種類 ? Open: 用于建立 BGP鄰居關(guān)系,是 BGP路由器之間的初始握手信息 ? Keepalive: 定期檢測(cè) BGP鄰居是否存活 ? Update: 發(fā)送路由更新信息 ? Notification: 檢測(cè)到差錯(cuò)時(shí)發(fā)送該報(bào)文 Update報(bào)文的格式 不可達(dá)路由長(zhǎng)度 (2byte) 不可達(dá)路由 withdrawn routes(變長(zhǎng) ) 路由屬性長(zhǎng)度 (2byte) 路由屬性 (變長(zhǎng) ) 可達(dá)路由信息 NLRI (變長(zhǎng) ) 不可達(dá)路由中不攜帶路由屬性,可達(dá)路由同時(shí)攜帶路由屬性 一個(gè) update報(bào)文中可以攜帶多條不可達(dá)路由信息,可攜帶多條具有相同路由屬性的可達(dá)路由信息 常見(jiàn)的路由屬性 ? Origin ? Aspath ? Nexthop ? Community: 團(tuán)體屬性,可用來(lái)對(duì)入路由和出路由進(jìn)行過(guò)濾。 ? 在 IPv4地址前加上 RD之后,就稱為 VPNIPv4地址族 。 ? 要求路由信息中包含私網(wǎng) MPLS標(biāo)簽。 P router In Label FEC Out Label PE1 CE1 CE2 VPNA VRF , NH= Label=(28) 28 41 入口 PE出口 PE CE ? 該報(bào)文在公網(wǎng)上沿著 LSP轉(zhuǎn)發(fā),并根據(jù)途徑的每一臺(tái)設(shè)備的標(biāo)簽轉(zhuǎn)發(fā)表進(jìn)行標(biāo)簽交換。 ? 通過(guò)本 VRF的路由協(xié)議引入上述路由并轉(zhuǎn)發(fā)給相應(yīng)的 CE。 ? PE與 CE之間傳遞的是 IPv4路由 , PE與 PE之間傳遞的是 VPNIPv4路由 。所以在收到 來(lái)自不同 vpn、具有相同網(wǎng)段的不可達(dá)路由信息時(shí) ,路由器將無(wú)法根據(jù) RT來(lái)分辨。/or BGP VRF ? VRF(VPN Routing amp。 Label 20 In 20 Label 30 Label 40 Label 50 MPLS數(shù)據(jù)包轉(zhuǎn)發(fā) R1 R2 R3 R4 1 30 2 30 3 20 4 20 5 6 MPLS的優(yōu)化 1 R1 R2 R3 R4 1 30 2 30 3 20 4 20 5 6 最后一跳路由器收到數(shù)據(jù)包后,并不需要進(jìn)行標(biāo)簽轉(zhuǎn)發(fā),所做的只是去掉標(biāo)簽,然后送交 IP層。 P (Provider Router): 運(yùn)營(yíng)商核心 路由器,主要完成路由和快速轉(zhuǎn)發(fā)功能。 IKE階段 1 Host A Host B Router A Router B IKE 階段 1 協(xié)商建立 IKE安全 通道所使用的參數(shù) 交換對(duì)稱密鑰 雙方身份認(rèn)證 建立 IKE安全通道 協(xié)商建立 IKE安全 通道所使用的參數(shù) 交換對(duì)稱密鑰 雙方身份認(rèn)證 建立 IKE安全通道 IKE階段 2 Host A Host B Router A Router B IKE 階段 2 協(xié)商 IPSec安全參數(shù) 協(xié)商 IPSec安全參數(shù) IKE階段 2 ? 雙方協(xié)商 IPSec安全參數(shù),稱為 變換集transform set,包括: 加密算法 Hash算法 安全協(xié)議 封裝模式 存活時(shí)間 Transform 10 DES MD5 ESP Tunnel lifetime Transform 20 3DES SHA ESP Tunnel lifetime IKE與 IPSec安全參數(shù)的比較 加密算法 Hash算法 存活時(shí)間 DH算法 身份認(rèn)證 安全協(xié)議 封裝模式 IKE IPSec IKE階段 2 Host A Host B Router A Router B IKE 階段 2 協(xié)商 IPSec安全參數(shù) 建立 IPSec SA 協(xié)商 IPSec安全參數(shù) 建立 IPSec SA IPSec SA ? IPSec SA (安全關(guān)聯(lián), Security Association): SA由 SPD (security policy database)和SAD(SA database)組成。 問(wèn)題 1:要成功建立 IPSec VPN,兩端路由器必須采用相同 的加密算法、 hash算法和安全協(xié)議等,但 IPSec協(xié)議中并沒(méi)有描述雙方應(yīng)如何協(xié)商這些參數(shù) 。 ? 數(shù)字證書(shū)中存儲(chǔ)了公鑰,以及用戶名等身份信息。 L2TP的典型應(yīng)用 VPDN L2TP連接 PPP連接 用戶發(fā)起 PPP連接到接入服務(wù)器 接入服務(wù)器封裝用戶的 PPP會(huì)話到 L2TP隧道, L2TP隧道穿過(guò)公共 IP網(wǎng)絡(luò),終止于電信 VPDN機(jī)房的 LNS 用戶的 PPP session經(jīng)企業(yè)內(nèi)部的認(rèn)證服務(wù)器認(rèn)證通過(guò)后即可訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)資源 IPSec ? IPSec只能工作在 IP層,要求乘客協(xié)議和承載協(xié)議都是 IP協(xié)議 被封裝的原始 IP包 新增加的 IP頭 IPSec頭 必須是 IP協(xié) 議 必須是 IP協(xié) 議 ? IPSec可以對(duì)被封裝的數(shù)據(jù)包進(jìn)行加密和摘要等,以進(jìn)一步提高數(shù)據(jù)傳輸?shù)陌踩? MPLS VPN的基本工作模式 ? 在入口邊緣路由器為每個(gè)包加上 MPLS標(biāo)簽,核心路由器根據(jù)標(biāo)簽值進(jìn)行轉(zhuǎn)發(fā),出口邊緣路由器再去掉標(biāo)簽,恢復(fù)原來(lái)的 IP包 。 ? 隧道是利用一種協(xié)議來(lái)傳輸另外一種協(xié)議的技術(shù),共涉及三種協(xié)議,包括:乘客協(xié)議、隧道協(xié)議和承載協(xié)議 。常用的 身份認(rèn)證方式 包括: Preshared key,預(yù)共享密鑰 RSA Signature,數(shù)字簽名 預(yù)共享密鑰 ? 預(yù)共享密鑰,是指通信雙方在配置時(shí)手工輸入相同的密鑰。 進(jìn)行端口映射時(shí),需要修改端口,而 ESP已經(jīng)對(duì)端口號(hào)進(jìn)行了加密和 /或 hash,所以將無(wú)法進(jìn)行。 ? 按協(xié)商好的 IPSec參數(shù)對(duì)數(shù)據(jù)流進(jìn)行加密、hash等保護(hù)。 SA示例 端到端 IPSec VPN的配置流程 ? 配置 IPSec前的準(zhǔn)備工作 ? 配置 IKE參數(shù) ? 配置 IPSec參數(shù) ? 測(cè)試并驗(yàn)證 IPSec是否正常工作 端到端 IPSec VPN的配置步驟 1 ? 配置 IPSec前的準(zhǔn)備工作 確認(rèn)在配置 IPSec之前,網(wǎng)絡(luò)是通的。 理論上,標(biāo)記??梢詿o(wú)限嵌套,從而提供無(wú)限的業(yè)務(wù)支持能力。 ( PE發(fā)時(shí)) 路由在網(wǎng)絡(luò)中的傳播問(wèn)題,即在 PE上接收到 來(lái)自不同VPN的兩條相同路由 時(shí),如何進(jìn)行辨別( PE收時(shí)) 數(shù)據(jù)包的轉(zhuǎn)發(fā)問(wèn)題,即使成功解決了路由表的沖突,但在 PE接收到一個(gè) IP數(shù)據(jù)包時(shí),怎么知道該發(fā)給那個(gè)VPN?因?yàn)?IP數(shù)據(jù)包頭中唯一可用的信息就是目的地址,而很多 VPN中都可能存在這個(gè)地址。 Communit
點(diǎn)擊復(fù)制文檔內(nèi)容
公司管理相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖鄂ICP備17016276號(hào)-1