【文章內(nèi)容簡介】 thm BF BF BF DUAL Metric Hops Hops Comp Comp Hop count limit 16 16 100 100 Scalability Med Med Large Large 鏈路狀態(tài)協(xié)議比較 特征 OSPF ISIS EIGRP Hierarchical topology— Required X X Retains knowledge of all possible routes X X X Route summarization— Manual X X X Route summarization— Automatic X Eventtriggered announcements X X X Load balancing— Equal paths X X X Load balancing— Unequal paths X VLSM support X X X Routing algorithm Dijkstra ISIS DUAL Metric Cost Cost Comp Hop count limit 200 1024 100 Scalability Large VryLg Large 路由協(xié)議比較 特征 RIPv1 RIPv2 IGRP EIGRP OSPF Distance vector X X X X Linkstate X Classful (auto route summ.) X X X X Classless (VLSM support) X X X Proprietary X X Scalability Small Small Med. Large Large Convergence time Slow Slow Slow Fast Fast ** ** EIGRP is an advanced distance vector protocol IPv6 IPv4 Header IPv6 Header Field‘s name kept from IPv4 to IPv6 Fields not kept in IPv6 Name and position changed in IPv6 New field in IPv6 Legend Version Traffic Class Flow Label Payload Length Next Header Hop Limit Source Address Destination Address Version IHL Type of Service Total Length Identification Flags Fragment Offset Time to Live Protocol Header Checksum Source Address Destination Address Options Padding 無線技術(shù) PAN (Personal Area Network) LAN (Local Area Network) WAN (Wide Area Network) MAN (Metropolitan Area Network) PAN LAN MAN WAN Standards Bluetooth UltraWideBand (WiMedia) (WiFi) (WiMax) GSM, CDMA, Satellite Speed 1 Mbps 11 to 54 Mbps 10100+ Mbps 10 Kbps–2 Mbps Range Short Medium MediumLong Long Applications PeertoPeer DevicetoDevice Enterprise Networks Last Mile Access Mobile Data Devices IEEE Ratified 1999 1999 2023 1999 Data Rates (Mbps) 1,2 1,2,11 1,2,11 and 6,9,12,18,24, 36,48,54 6,9,12,18,24, 36,48,54 Number of NonOverlapping Channels Frequency Hopping 3 3 8 Indoors/ 4 Outdoors (Excluding Bridging) Frequency Range (GHz) – –, –* Status Obsolete Worldwide Available Limited Worldwide Availability ? Authentication ? 你是誰 ? ? Authorization ? 你被允許做什么 ? ? Accounting ? 你做了什么 ? ? 認證發(fā)生在主體與認證服務(wù)器或主體與認證服務(wù)器代理之間； ? 希望認證協(xié)議具有 ? 信任憑證易于管理； ? 抵御竊聽和中間人攻擊； ? 抗抵賴； ? 認證可以單向或雙向； 認證 認證協(xié)議 ? PAP ? CHAP ? EAP ? ? Kerberos Remote Router (Santa Cruz) CentralSite Router (HQ) IOS Configuration: Hostname: Santacruz Password: Boardwalk Local Database: Username Santacruz Password Boardwalk 2Way Handshake ―Santa Cruz, Boardwalk‖ PAP ? 口令以明文方式傳輸； ? 由客戶端發(fā)起； ? 一次會話只進行一次認證； Accept/Reject Access Bootcamp 74 Response W/MD5 Hash CHAP ? 口令從不在線路上傳輸； ? 由 Challenger發(fā)起； ? 一次連接發(fā)生多次認證； Challenge W/key 3Way Handshake Remote Router (Santa Cruz) CentralSite Router (HQ) IOS Configuration: Hostname: Santacruz Local Database Username Santacruz Password: Boardwalk Local Database: Username Santacruz Password Boardwalk Accept/Reject Access Bootcamp 75 EAP ? Extensible Authentication Protocol ? 本身并不是認證方法，而是一個較為靈活的用以承載認證信息的傳輸協(xié)議； ? 支持 challengeresponse, onetime passwords, certificates, tickets； ? 出發(fā)點是降低系統(tǒng)間的復(fù)雜關(guān)系，提供更加安全的認證方法； ? 通常直接運行在數(shù)據(jù)鏈路層，如 PPP或IEEE 802介質(zhì)； ? 在終端和認證服務(wù)器之間代理認證； 傳統(tǒng) PPP CHAP認證 ? NAS 翻譯功能 : ? 撥號客戶端和 NAS之間運行 PPP CHAP； ? NAS將 LCP認證消息翻譯為 RADIUS Access Request消息； ? ACS的 Access Challenge消息被翻譯為 CHAP challenge； ? 客戶端的響應(yīng)再一次被翻譯為 RADIUS Access Request消息； ? ACS向 NAS發(fā)出認證通過或失敗的應(yīng)答消息。 PPP EAPMD5認證 ? NAS代理功能 ? EAP 認證請求通過封裝到 RADIUS消息中轉(zhuǎn)發(fā)給 ACS； ? ACS Challenge被轉(zhuǎn)發(fā)給客戶端； ? 響應(yīng)消息再一次被轉(zhuǎn)發(fā)給 ACS； ? ACS向 NAS發(fā)出認證通過或失敗的應(yīng)答消息。 Authentication ? IEEE標準，定義在共享介質(zhì)中（如 Ether， WLAN）提供二層認證服務(wù)； ? 類似于 PPP 中提供認證服務(wù)的 LCP； ? 在客戶端和認證代理（如以太網(wǎng)交換機、無線 AP）之間進行 EAP認證信息的封裝； ? RADIUS在認證代理和認證服務(wù)器之間進行 EAP信息的封裝； ? Authentication 在客戶端和認證服務(wù)器之間進行 (EAP)； ? Authorization and accounting 在認證代理和認證服務(wù)器之間進行 (RADIUS)； 端口訪問控制模型 Request for Service (Connectivity) Backend Authentication Support Identity Store Integration Supplicant ? Desktop/laptop ? IP phone ? WLAN AP ? Switch Authenticator ? Switch ? Router ? WLAN AP Authentication Server ? IAS ? ACS ? Any IETF RADIUS server Identity Store/Management ? MS AD ? LDAP ? NDS ? ODBC Kerberos ? 認證協(xié)議 : ? 口令從不在網(wǎng)絡(luò)中傳輸； ? SSO （ Single signon）； ? 三個實體 : ? 訪問應(yīng)用服務(wù)器上運行服務(wù)的客戶端； ? 認證服務(wù)器 ，即 KDC (Key Distribution Center ?認證服務(wù)； ?ticketgranting服務(wù)； ? 應(yīng)用服務(wù)器； ? 使用 DES對所有消息（除初始化請求）進行加密； ? 根據(jù) TGT（ Ticketgranting ticket ）向用戶提供服務(wù) Service Ticket； Kerberos – 初始化認證 Kerberos – 獲取 Service Ticket Kerberos – 服務(wù)驗證 認證代理協(xié)議 ? RADIUS ? TACACS+ RADIUS ? Remote authentication dialin user service； ? 主要用于撥號網(wǎng)絡(luò)； ? IETF標準； ? 使用 UDP端口 1812，1813； ? 不足： ? 口令傳輸一般為明文；可使用 MD5進行加密； ? 授權(quán)作為認證的一部分； ? 屬性值空間有限； ? 最多支持 255個并發(fā)請求； ? 最多支持 255個廠商定義屬性值； ? 單向 RADIUS Server PSTN/ISDN Corporate Network DIAMETER ? 新的 IETF標準提案，提供向后的兼容性； ? 解決 RADIUS的不足； ? 雙向 ? 最多可支持 232個 vendorspecific attributes屬性； ? 基本上無限個并發(fā)請求； ? 通過 Acknowledgement和 Keepalive機制提高彈性； ? 提供加密保證消息的機密性和完整性； TACACS+ ? Terminal Access Controller Access Control System (enhanced)； ? Cisco開發(fā)； ? 基于 TCP端口 49； ? 提供比 RADIUS更多的授權(quán)選項； ? 支持 Automand； ? 支持多種協(xié)議；