【文章內容簡介】 由表的完整副本 到直接相連的鄰居。 在大型網絡中，這可能導致每次更新時產生巨大的網絡流量。 ?大型網絡發(fā)生改變時，網絡 收斂的速度很慢 。 RIP 目前有兩個版本： RIPv1 和 RIPv2。 RIPv2 支持無類路由，因為它的路由更新中含有子網掩碼信息， 而 RIPv1 不會在更新中發(fā)送子網掩碼信息，因此必須依靠有類默認子網掩碼。 RIPv2 用組播更新， RIP v1用廣播更新。 78 RIP配置 在配置 RIP 之前，請啟用參與路由的所有物理接口，并為其分配 IP 地址。 在串行鏈路中，需要在主控路由器上設置時鐘速率， 然后再配置 RIP。 對于大多數(shù)的基本 RIP 配置，必須記住三個命令： Router(config)router rip Router (configrouter)version 2 Router(configrouter)work [網絡號 ] 做實驗 79 查看路由 80 自治系統(tǒng) AS 是由單個管理機構使用同一套內部路由策略統(tǒng)一控制的一組網絡。 每個 AS 都以唯一的 AS 編號 (ASN) 標識。 ASN 在 Inter 上控制和注冊 。 81 常見路由協(xié)議 82 自治系統(tǒng)之間的路由 內部網關協(xié)議 (IGP) (RIP、 EIGRP 和 OSPF)用于在自治系統(tǒng)或組織內部交換路由信息。 外部網關協(xié)議 (EGP) 用于在不同自治系統(tǒng)之間交換路由信息。 EGP 協(xié)議運行于外部路由器上，也就是位于 AS 邊界的路由器上。 外部路由器也稱為邊界網關 。 內部路由器使用 IGP 互相交換各自的路由，而外部路由器則使用外部協(xié)議交換網絡路由信息。 83 BGP協(xié)議 目前 Inter 上最常用的外部路由協(xié)議是邊界網關協(xié)議 (BGP)。 估計有 95% 的自治系統(tǒng)使用 BGP。 BGP 的最新版本是第 4 版 (BGP4)，其最新說明可參見 RFC 4271。 84 本地流量和中轉流量 Inter 中的消息流稱為流量。 Inter 流量可分為以下兩類： 本地流量 在一個 AS 內傳輸?shù)牧髁浚髁恳雌鹪从谠? AS，要么以該 AS 內部為目的地。這就像同一條街道內的交通流量一樣。 中轉流量 起源于該 AS 之外、通過該 AS 發(fā)送到外部目的地的流量。這就像經過某條街道的交通流量一樣。 自治系統(tǒng)之間的流量受到嚴格控制。為了保障安全性或防止過載，必須限制甚至禁止特定類型的消息進入或流出 AS。 許多自治系統(tǒng)網絡管理員選擇不傳送中轉流量。如果路由器的容量不足以處理大量流量，中轉流量可能會使其過載并且路由失敗。 85 BGP的配置 ISP 在客戶處安裝路由器時，通常會將其配置為使用默認靜態(tài)路由到達該 ISP。 但有時候， ISP 可能會希望該路由器包含在其自治系統(tǒng)中，并且加入 BGP。 此時，必須通過啟用 BGP 的命令來配置客戶所在地路由器。 router bgp [AS 編號 ] neighbor [IP 地址 ] remoteas [AS 編號 ] work [網絡地址 ] 用于 BGP 的 IP 地址通常是已注冊、可路由的地址，用來標識唯一的組織。 在超大型的組織中，可如前所述在 BGP 過程中使用私有地址。 但在 Inter 上， BGP 絕不能用來通告私有網絡地址。 如果 ISP 客戶有自己的注冊 IP 地址塊，可能會希望其內部的某些網絡路由為 Inter 所知曉。 要使用 BGP 通告內部路由，需執(zhí)行一條 work 命令 86 本單元任務 6 ?全體做練習 ， 5分鐘，取前三名。 87 ISP提供的服務 代維服務 主機托管 88 TCP/IP協(xié)議 89 TCP與 UDP 90 數(shù)據(jù)傳輸過程 對于數(shù)據(jù)庫、網頁和電子郵件之類的應用，所有數(shù)據(jù)都必須以原始形式到達目的地，這樣得到的數(shù)據(jù)才有用。 91 建立連接 92 三次握手 93 UDP 一般認為 UDP 是不可靠的傳輸協(xié)議，因為它無法保證消息能夠被目的主機接收到。但這并不表示使用 UDP 的應用程序也同樣不可靠，而 只是意味著傳輸層協(xié)議不提供這些功能 。 如有必要，可通過其它方式來實現(xiàn) 。 在常見網絡中， UDP 通信的總量往往相對較低，但某些常用的應用層協(xié)議使用了 UDP，包括： ?域名系統(tǒng) (DNS) ?簡單網絡管理協(xié)議 (SNMP) ?動態(tài)主機配置協(xié)議 (DHCP) ?路由信息協(xié)議 (RIP) ?簡單文件傳輸協(xié)議 (TFTP) ?在線游戲 94 TCP與 UDP的對比 95 支持多種服務 96 配置常見服務 ? DNS ? FTP/TFTP ? HTTP/HTTPS ? IMAP/POP3/SNMP ? DHCP 97 思考 ?企業(yè)有沒有部署 DNS服務器的必要性？ ?HTTP服務器是托管好還是自行維護好？ ?郵件服務器對企業(yè)有什么意義？ ?企業(yè)部署 DHCP容易出現(xiàn)什么問題？ 98 ISP提供的安全服務 ?幫助客戶端設置安全的設備密碼 ?通過補丁管理和軟件升級保護應用程序 ?刪除可能形成漏洞的多余應用程序和服務 ?確保應用程序和服務僅供必要的用戶使用 ?配置桌面防火墻和病毒檢查軟件 ?對軟件和服務執(zhí)行安全掃描，確定技術人員必須保護的安全漏洞 99 最佳安全作法 常用的數(shù)據(jù)安全功能和規(guī)程包括： 保密： ?加密服務器硬盤中存儲的數(shù)據(jù) 訪問控制： ?設置權限，限制對文件和文件夾的訪問 ?根據(jù)用戶帳戶或用戶組成員資格允許或拒絕訪問 ?如果允許訪問，則根據(jù)用戶帳戶或用戶組成員資格分配不同的權限級別 在分配訪問文件和文件夾的權限時，最佳安全做法是遵循最小權限的原則。 100 身份認證、授權和記帳 (AAA) 是網絡管理員為提高對攻擊者入侵網絡的防范能力而采取的三步式措施。 身份認證 ：要求用戶提供用戶名和密碼以驗明其身份。 授權 ：為用戶分配使用特定資源和執(zhí)行特定任務的權限。 記帳 ：記錄使用的應用程序及其使用時間。 AAA 可用于不同類型的網絡連接，它需要一個數(shù)據(jù)庫來記錄用戶證書、權限和帳戶統(tǒng)計數(shù)據(jù)。本地身份認證是 AAA 最簡單的形式，它在網關路由器上保留本地數(shù)據(jù)庫。如果某組織有大量用戶要使用 AAA 進行身份認證，則必須在單獨的服務器上保留一個數(shù)據(jù)庫。 最佳安全作法 101 有許多網絡協(xié)議可供應用程序使用。有些協(xié)議具有安全版本，有些則沒有。 數(shù)據(jù)加密 102 DoS （ 標準的拒絕服務 ）攻擊是指服務器或服務受到攻擊而導致合法用戶無法使用服務。標準 DoS 攻擊的部分示例包括 SYN 泛洪攻擊、 ping 泛洪、 LAND 攻擊、帶寬消耗攻擊和緩沖區(qū)溢出攻擊。 DDoS（ 分布式拒絕服務 ）攻擊是指使用多臺計算機攻擊一個特定的目標。在 DDoS 攻擊中，攻擊者對許多臺受到入侵的計算機系統(tǒng)（通常是 Inter 上的計算機系統(tǒng)）擁有權限，從而可以遠程發(fā)動攻擊。 DDoS 攻擊的性質通常與標準 DoS 攻擊的性質相同，但 DDoS 攻擊是同時從多個計算機系統(tǒng)上發(fā)出的。 DRDoS（ 分布式反射拒絕服務 ）攻擊是指攻擊者發(fā)送欺騙性或虛假請求到 Inter 上的許多計算機系統(tǒng)，并將請求的源地址修改為目標計算機系統(tǒng)。接收請求的計算機系統(tǒng)將會作出響應。當計算機系統(tǒng)響應請求時，所有這些請求都會導向同一目標計算機系統(tǒng)。攻擊的反射特性使得攻擊的 來源非常難以確認 。 訪問列表和端口過濾 盡管使用了 AAA 和加密，但 ISP 仍然必須防范許多不同類型的攻擊。目前有三種主要的拒絕服務攻擊。 103 訪問列表和端口過濾 端口過濾 是根據(jù)特定的 TCP 或 UDP 端口控制通信流量。許多 服務器操作系統(tǒng) 具有通過端口過濾限制訪問的選項。這樣，服務器既可以提供所