Download presentation
Presentation is loading. Please wait.
1
第7章 路由技术 广域网技术概述 IP子网间的路由技术 7. 3 访问控制列表 7.4 网络地址转换(NAT)技术
2
企业网络拓扑结构 服务供应商
3
7.1.2 广域网接入技术分类 1 点对点链路 2 电路交换 3 虚拟电路 4 包交换 数据报 数据流 每次会话建立一条专用物理电路
服务供应商 2 电路交换 每次会话建立一条专用物理电路 服务供应商 3 虚拟电路 SVC PVC 4 包交换 采用统计利用技术实现电路共享 ATM/帧中继/X.25
4
7.1.3 广域网设备 1 广域网交换机 工作在OSI的数据链路层, 对帧中继,X.25以及SMDS等数据流量进行操作
交换式多兆位数据服务(SDMS)是基于数据报的高速分组交换WAN技术,主要用于公用数据网络的通信。SMDS可以采用光纤介质或铜介质,另外,SMDS的数据单元比较大,可以包容IEEE802.3、IEEE802.5和FDDI的帧。
5
7.1.3 广域网设备 2 接入服务器
6
7.1.3 广域网设备 3 调制解调器 4 CSU/DSU 5 ISDN终端适配器 6 路由器(Router)
数据终端设备到数据通信设备的复用器 功能:信号再生,线路调节,误码纠正,信号管理,同步和电路测试等 5 ISDN终端适配器 6 路由器(Router)
7
广域网接入 常见的DTE与DCE之间的连接标准 ★ EIA/TIA-232 ★ V.35 DTE (数据终端设备) DCE (数据通讯设备)
服务供应商
8
7.1.4 广域网中的数据链路层协议 定义数据如何封装和传输 包括点对点,多点和多路访问交换服务所设计的协议 点到点协议(PPP)
广域网中的数据链路层协议 定义数据如何封装和传输 包括点对点,多点和多路访问交换服务所设计的协议 点到点协议(PPP) 高级数据链路控制(HDLC)协议 帧中继(Frame Relay)
9
7.1.4 广域网中的数据链路层协议 专线 服务供应商 电路交换 分组交换 服务供应商 HDLC, PPP PPP, HDLC
X.25, F-R 分组交换 服务供应商
10
F.R网络的组成 广域网 PSTN, X.25, DDN FRS FRS FRS FRS Router Host Bridge LAN 网桥
CSU/DSU LAN 帧中继在这里工作 LAN
11
7.1.4 广域网中的数据链路层协议 TCP/IP IPX/SPX AppleTalk • PPP协议 – 支持同异步传输方式
SLIP HDLC • PPP协议 – 支持同异步传输方式 – 采用NCP协议(如IPCP、IPXCP),支持更多的网络层协议 – 具有验证协议CHAP、PAP, 更好了保证了网络的安全性 AppleTalk • HDLC,SLIP协议 – 只支持异步传输方式 – 只支持IP协议 – 没有验证机制
12
7.1.5 点对点协议(PPP) PPP是SLIP(Serial Line Interface protocol)的继承者
同步和异步电路实现路由器到路由器和主机到网络(host-to-network)的连接。 PPP能支持差错检测,支持各种协议,在连接时IP地址可复制,具有身份验证功能,可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑 PPP协议是目前使用最广泛的广域网协议
13
PPP的特性 (1)能够控制数据链路的建立; (2)能够对IP地址进行分配和使用; (3)允许同时采用多种网络层协议;
(4)能够配置和测试数据链路; (5)能够进行错误检测; (6)有协商选项,能够对网络层的地址和数据压缩等进行协商。
14
PPP的功能 (1)PPP采用高级数据链路控制(HDLC)作为在点对点的链路上封装数据报的基本方法。
(2)链路控制协议LCP(Link Control Protocol)用于启动线路、测试、任选功能的协商及关闭连接。 (3)网络控制协议NCP(Network Control Protocol)用来建立和配置不同的网络层协议。PPP协议允许同时采用多种网络层协议,如IP协议、IPX协议和DECnet协议。PPP协议使用NCP对多种协议进行封装。
15
PPP协议结构 NCP(网络控制协议) LCP(连接控制协议) 1,同步 2,异步 BCP IPCP IPXCP
OSI 3 (IP, IPX, AppleTalk) BCP IPCP IPXCP NCP(网络控制协议) 2 LCP(连接控制协议) (EIA/TIA-232、 449、520,V.21V.24, V.35, ISDN) 1 1,同步 2,异步
16
3,PPP会话建立的过程 链路的建立和配置协调 链路质量检测: 网络层协议配置协调 关闭链路
通信的发起方发送LCP帧来配置和检测数据链路,主要用于协商选择将要采用的PPP参数,包括身份验证、压缩、回叫、多链路等。 链路质量检测: 在链路建立、协调之后,这一阶段是可选的 网络层协议配置协调 通信的发起方发送NCP帧以选择并配置网络层协议。配置完成后,通信双方可以发送各自的网络层协议数据报。 关闭链路 通信链路将一直保持到LCP或NCP帧关闭链路
17
链路的建立和配置协调阶段中的 PPP LCP选项
PAP or CHAP 认证 Authentication PSTN/ISDN 回拨 Callback PSTN/ISDN Data 压缩 Compression 包Bundle 多链路捆绑 Multilink
18
实例:PC终端首先通过调制解调器呼叫远程访问服务器
PC终端首先通过调制解调器呼叫ISP的路由器。当路由器上的远程访问模块应答了这个呼叫后,就建立起一个初始的物理连接 两端开始传送一系列经过PPP封装的LCP分组。如果有一方要求认证,接下来就开始认证过程 如果认证失败,如错误的用户名、密码,则链路被终止,双方负责通信的设备或模块(如用户端的调制解调器或服务器端的远程访问模块)将关闭物理链路回到空闲状态。如果认证成功,通信双方开始交换一系列的NCP分组来配置网络层 如果网络层使用的是IP协议,此过程是由IPCP完成的。当NCP配置完成后,双方的逻辑通信链路就建立好了,双方可以开始在此链路上交换上层数据。 当数据传送完成后,一方会发起断开连接的请求。这时,首先使用NCP来释放网络层的连接,归还IP地址,然后利用LCP来关闭数据链路层连接,最后,双方的通信设备或模块关闭物理链路回到空闲状态。
19
4,PAP和CHAP原理 PPP提供了两种可选的身份认证方法:
口令验证协议(Password Authentication Protocol,PAP) 挑战握手协议(Challenge Handshake Authentication Protocol,CHAP)
20
身份认证 :PAP PAP是一个简单的、实用的身份验证协议,PAP认证进程只在双方的通信链路建立初期进行。如果认证成功,在通信过程中不再进行认证。如果认证失败,则直接释放链路。 当双方都封装了PPP协议且要求进行PAP身份认证,同时它们之间的链路在物理层己激活后,认证客户端(被认证一端)会不停地发送身份认证请求,直到身份认证成功。当认证客户端路由器发送了用户名或口令后,认证服务器会将收到的用户名和口令与本地数据库中的口令信息比较,如果正确则身份认证成功,否则认证失败。
21
身份认证 :PAP(二次握手) PAP认证过程经过了两个阶段,通常称为两次握手 阶段1:被验证方(远端路由器)发送用户名和口令到验证方
阶段2:验证方(中心路由器)对用户名和口令进行认证,根据结果返回接受或拒绝认证请求的信息。 PAP认证可以在一方进行,即由一方认证另一方的身份,也可以进行双向身份认证。这时,要求被认证的双方都要通过对方的认证程序,否则,无法建立二者之间的链路。 PAP的弱点是用户的用户名和密码是明文发送的,有可能被协议分析软件捕获而导致安全问题。但恰恰是这样,认证只在链路建立初期进行,因此节省了宝贵的链路带宽。
22
Request(username,password)
PPP PAP验证 Client Server Request(username,password) Auth Ack Auth Nak Hostname: wz Password: hyper123 username wz password hyper123 两次握手协议 明文方式进行验证
23
身份认证 :CHAP CHAP认证比PAP认证更安全,因为CHAP不在线路上发送明文密码,而是发送经过摘要算法加工过的随机序列,也被称为“挑战字符串”。同时,身份认证可以随时进行,包括在双方正常通信过程中。因此,非法用户就算截获并成功破解了一次密码,此密码也将在一段时间内失效。 CHAP对系统要求很高,因为需要多次进行身份质询、响应。这需要耗费较多的CPU资源,因此只用在对安全要求很高的场合。
24
身份认证 :CHAP(三次握手) CHAP认证过程经过了三个阶段,通常称为三次握手:
阶段1:当被验证方(远端路由器)向验证方(中心路由器)发送用户名做请求连接后,验证方向被验证方发送一串随机字符(“挑战”阶段) 阶段2:被验证方利用口令和MD5算法,对随机字符串进行加密产生密文,并将密文发送给验证方(“回应”阶段) 阶段3:验证方利用同样的方式对随机字符串进行加密产生密文,并将它与接收到的密文进行比较,然后根据比较结果接受或拒绝连接请求,若比较结果一致则接受,否则拒绝。
25
PPP CHAP验证 Challenge 挑战字符串 Server Client Response Success Failure
Hostname: wz Password: hyper123 username wz password hyper123 CHAP为三次握手协议 只在网络上传输用户名,而并不传输口令 安全性要比PAP高,但认证报文浪费带宽
26
PPP认证配置 第二步 定义接口封装类型: Router(config-if)#encapsulation ppp 第一步
定义本地数据库: Router(config)#username username password password
27
PPP认证配置 第三步 定义PAP认证: Router(config-if)#ppp authentication pap <callin> Router(config-if)#ppp pap sent-username username password password 定义CHAP认证: Router(config-if)#ppp authentication chap <callin> Router(config-if)#ppp chap hostname username Router(config-if)#ppp chap password password
28
PPP PAP认证配置实例 hostname right hostname left
ISDN/PSTN hostname right username left password left1 int bri 0 encapsulation ppp ppp authentication PAP ip add ppp pap sent-username right password right1 hostname left username right password right1 int bri 0 encapsulation ppp ppp authentication PAP ip add ppp pap sent-username left password left1
29
PPP CHAP认证配置实例 Username right password starnet
ISDN/PSTN Username right password starnet hostname R1 int serial 0 encapsulation ppp ppp authentication CHAP ppp chap hostname left ppp chap password starnet Username left password starnet hostname R2 int serial 0 encapsulation ppp ppp authentication CHAP ppp chap hostname right ppp chap password starnet
30
PPP认证的调试 Router#show interfaces serial <interface number>
Router#debug ppp authentication
31
7.2 IP子网间的路由技术 7.2.1 什么是路由 7.2.2 路由算法 7.2.3 设计目标 7.2.4 路由协议 7.2.5 静态路由
7.2.6 缺省路由 7.2.7 动态路由 7.2.8 RIP路由信息协议
32
CERNET拓扑图
33
网络实训室通过校园网访问 陈瑞球楼通过沙湾电信访问
北京Cernet主节点
34
7.2.1 什么是路由 目的主机的IP协议地址 路由:是把信息从源穿过网络传递到目的地行为 路由的两个动作:确定最佳路径和数据转发 路径选择
度量值(Metric) 下一跳 目的网络 数据转发 不是同一网络的数据包总是发送给路由器 根据两个地址转发:下一跳路由器的MAC地址 目的主机的IP协议地址 端系统(ES--end system) 中介系统(IS--intermediate system) 域内IS(intradomain IS)和域间IS(interdomain IS)
35
7.2.2 路由算法 路由算法使用许多不同的metric以确定最佳路径 常用的metric如下: 1 路径长度 2 可靠性 3 延迟
路由算法 路由算法使用许多不同的metric以确定最佳路径 常用的metric如下: 1 路径长度 2 可靠性 3 延迟 4 带宽 5 负载 6 通信代价
36
设计目标 路由算法通常具有下列设计目标的一个或多个: 优化 2 简单、低耗 3 健壮、稳定 4 快速聚合 5 灵活性
37
路由协议 路由协议(Routing Protocol):用于路由器动态寻找网络最佳路径,保证所有路由器拥有相同的路由表,一般路由协议决定数据包在网络上的行走路径。 RIP、IGRP、EIGRP、OSPF、IS-IS、EGP、BGP 路由协议通过提供共享路由选择信息的机制来支持可路由协议 路由协议消息在路由器之间传送,路由协议允许路由器与其他路由器通信来修改和维护路由选择表。
38
7.2.4 路由协议 1 Routed Protocol(可被路由的协议) 2 路由动作包括:寻址和转发 3 路由表
路由协议 1 Routed Protocol(可被路由的协议) IP、DECnet、AppleTalk、Novell NetWare 2 路由动作包括:寻址和转发 3 路由表 在路由器的内部都有一个路由表,这个路由表中包含有该路由器知道的目的网络地址以及通过此路由器到达这些网络的最佳路径,如某个接口或下一跳的地址,正是由于路由表的存在,路由器可以依据它进行转发。
39
路由协议 4 路由选择算法 必须启动并维护包含路由信息的路由表,其中路由信息依赖于所用的路由选择算法却不尽相同。路由选择算法将收集到的不同信息填入路由表中,并根据路由表可将目的网络与下一站(nexthop)的关系告诉路由器。 5 路由器就是互联网中的中转站
40
7.2.4 路由协议 6 Router(路由器)可以路由数据包,必须至少知道以下状况:
路由协议 6 Router(路由器)可以路由数据包,必须至少知道以下状况: 1) 目标地址(destination address) 2) 可以学习到远端网络状态的邻居router 3) 到达远端网络的所有路径 4) 到达远端网络的最佳路径 5) 如何保持和验证路由信息
41
7.2.4 路由协议 7 典型的路由选择方式有两种: 静态路由和动态路由 1) 动态路由与静态路由发生冲突时,以静态路由为准
路由协议 7 典型的路由选择方式有两种: 静态路由和动态路由 1) 动态路由与静态路由发生冲突时,以静态路由为准 2) 路由器中进行寻径时,路由器首先查找静态路由,如果查到则根据相应的静态路由转发分组;否则再查找动态路由。
42
7.2.5 静态路由 静态路由是指由网络管理员手工配置 静态路由的路由器之间没有必要进行路由信息的交换
静态路由 静态路由是指由网络管理员手工配置 静态路由的路由器之间没有必要进行路由信息的交换 动态路由因为需要路由器之间频繁地交换各自的路由表,而对路由表的分析可以揭示网络的拓扑结构和网络地址等信息,因此存在一定的不安全性,而静态路由不存在这样的问题,故出于安全方面的考虑也可以采用静态路由。 大型和复杂的网络环境通常不宜采用静态路由
43
静态路由 点对点或 电路交换连接 A B Network 1 只有一个网络 连接没有必要 进行路由信息 的更改
44
配置静态路由 ip route router(config)#ip route [网络编号] [子网掩码] [转发路由器的IP地址/本地接口] 静态路由的一般配置步骤 1.为每条链路确定地址(包括子网地址和网络地址) 2.为每个路由器,标识非直连的链路地址 3.为每个路由器写出未直连的地址的路由语句(写出直连地址的语句是没必要的)
45
静态路由配置实例 网络 S0 A B B router(config)#ip route 或 router(config)#ip route serial 0 删除静态路由用命令no ip route router(config)#no ip route [网络编号] [子网掩码]
46
7.2.6缺省(默认)路由 所有未明确指明目标网络的数据包都按缺省路由进行转发。
Internet 上 大约99.99%的路由器上都存在一条缺省路由! 网络 SO A B B router(config)#ip route 缺省路由一般使用在stub网络中(称末端或存根网络),stub网络是只有1条出口路径的网络。
47
7.2.7 动态路由 动态路由是指路由器能够自动地建立自己的路由表,并且能够根据实际情况的变化适时地进行调整。
48
7.2.7 动态路由 动态路由机制的运作依赖路由器的两个基本功能:对路由表的维护,路由器之间适时的路由信息交换。 路由器1 路由器2
路由协议 路由信息表 路由器1 路由器2
49
动态路由协议的分类 IGP EGP 外部网关协议:在自治系统之间交换路由选择信息的互联网络协议,如BGP。
链路状态协议(OSPF,IS-IS) 距离矢量协议(RIPv1,RIPv2,IGRP, EIGRP) EGP(外部网关协议) BGP(边界网关协议) 外部网关协议:在自治系统之间交换路由选择信息的互联网络协议,如BGP。 内部网关协议:在自治系统内交换路由选择信息的路由协议,常用的因特网内部网关协议有OSPF、RIP。
50
动态路由协议的分类 1,距离矢量路由协议 2,链路状态路由协议
OSPF:开放式最短路径优先(Open Shortest Path First)是一种链路状态路由协议。每一个OSPF路由器都维护一个相同的网络拓扑数据库,从这个数据库中,可以构造一个最短路径树来计算路由表。OSPF的收敛速度比RIP要快,而且在更新路由信息时,产生的流量也较少。为了管理大规模的网络,OSPF采用分层的连接结构,将自治系统分为不同的区域,以减少路由重计算的时间。
51
7.2.8 RIP RIP(Routing Information Protocols,路由信息协议)
是典型的距离矢量协议,通过计算抵达目的地的最少跳数(hop)来选取最佳路径 路由器每30秒相互发送广播信息 RIP协议的跳数最多计算到15跳 网络上的路由器在一条路径不能用时必须经历决定替代路径的过程,这个过程称为收敛 RIP收敛时间长
52
RIP RIP协议的原始版本(版本1,即RIPv1)不能应用VLSM,因此不能分割地址空间以最大效率地应用有限的IP地址。RIP协议的后来版本(版本2,即RIPv2)通过引入子网屏蔽与每一路由广播信息一起使用实现了这个功能。 路由协议还应该能防止数据包进入循环,或落入路由选择循环,这是由于多余连接影响网络的问题。RIP协议假定如果从网络的一个终端到另一个终端的路由跳数超过15个,那么一定牵涉到了循环,因此当一个路径达到16跳,将被认为是达不到的。显然,这限制了RIP协议在网络上的使用。
53
7.2.8 RIP RIP协议设计用于使用同种技术的中小型网络,适用于大多数的校园网和使用速率变化不是很大的连续性的地区性网络
RIP的路由信息都封装在UDP的数据报中,RIP在UDP的520端口上
54
RIP 路由更新 早期的RIP路由协议中路由的更新是通过定时广播实现的。缺省情况下,路由器每隔30秒向与它相连的网络广播自己的路由表,接到广播的路由器将收到的信息添加至自身的路由表中。每个路由器都如此广播,最终网络上所有的路由器都会得知全部的路由信息。正常情况下,每30秒路由器就可以收到一次路由信息确认,如果经过180秒,即6个更新周期,一个路由项还没有得到确认,路由器就认为它已失效了。如果经过240秒,即8个更新周期,路由项仍没有得到确认,它就被从路由表中删除。上面的30秒,180秒和240秒的延时都是由计时器控制的,它们分别是更新计时器(Update Timer)、无效计时器(Invalid Timer)和刷新计时器(Flush Timer)。
55
配置 RIP 1.启用 RIP进程 router(config)#router rip router(config-router)# 2.配置network命令 router(config-router)#network <主类网络号> 含义:1.公布属于该主类的子网 包含在该主类内的接口发送接收路由信息 3.指定RIP版本 router(config-router)#VERSION {1|2}
56
配置举例 在路由器Router1上的RIP配置如下: 1.启用 RIP进程 router(config)#router rip
2.配置network命令 router(config-router)#network
57
RIP的调试 验证 RIP的配置 router#show ip protocols 显示路由表的信息 router#show ip route 清除 IP路由表的信息 router#clear ip route * 在控制台显示 RIP的工作状态 router#debug ip rip
58
RIP的缺陷 1 .过于简单,以跳数为依据计算度量值,经常得出非最优路由; 2.度量值以16为限,不适合大的网络;
3.性能差,接受来自任何设备的路由更新; 4.支持无类IP地址和VLSM(Variable Length Subnet Mask,变长子网掩码); 5.收敛缓慢,时间经常大于5分钟; 6.带宽很大。
59
7.3 访问控制列表 访问控制列表(access control lists),也称为访问列表(access lists),在有的文档中还称之为包过滤,是通过定义一些准则对经过路由器接口上的数据报文进行控制:转发或丢弃。 基本访问控制列表 包括标准访问控制列表 和扩展访问控制列表 高级访问控制列表(动态访问控制列表)
60
7.3 访问控制列表 为什么要配置访问列表 什么时候配置访问列表 访问列表编号 限制路由更新 限制网络访问
列表要指定一个唯一的名称或编号,以便在协议内部能够唯一标识每个访问列表 标准编号为:1-99 扩展编号为:
61
7.3 基本访问控制列表配置准则 1 基本准则 典型准则主要有以下:
源地址 目标地址 上层协议 标准IP访问列表(1-99)主要是根据源地址来进行转发或阻断分组的,扩展IP访问列表(100-199)使用以上三种组合来进行转发或阻断分组的。
62
7.3 基本访问控制列表配置准则 2 隐含“拒绝所有数据流”准则语句典型准则
在每个访问列表的末尾隐含着一条“拒绝所有数据流”准则语句,因此如果分组与任何准则都不匹配,将被拒绝。 3. 输入准则语句的顺序 加入的每条准则都被追加到访问列表的最后,语句被创建以后,就无法单独删除它,而只能删除整个访问列表。所以访问列表语句的次序非常重要。路由器在决定转发还是阻断分组时,路由器按语句创建的次序将分组与语句进行比较,找到匹配的语句后,便不再检查其他准则语句。 假设创建了一条语句,它允许所有的数据流通过,则后面的语句将不被检查。
63
7.4 网络地址转换(NAT) NAT最初的目的也是通过允许较少的公用IP地址代表多数的专有IP地址来减缓IP地址空间枯竭的速度
在RFC3022中描述的IP地址转换操作扩展了RFC1631介绍的地址转换,包括了一类的网络地址和TCP/UDP端口转换。
64
用NAT实现PC1访问PC2
65
NAT技术的双向性 内部 PC 1 PC 2 NAT路由器 外部 Packet 1 源地址:192.168.1.100
目标地址: Packet 2 源地址: 目标地址: 源地址: 目标地址: 源地址: 目标地址: 内部 PC 1 PC 2 NAT路由器 外部
66
NAT技术的地址概念 NAT技术把地址分成两大部分,即内部地址和外部地址。 内部地址分为: 外部地址分为:
内部本地(IL,Inside Local)地址 内部全局(IG,Inside Global)地址 外部地址分为: 外部本地(OL,Outside Local)地址 外部全局(OG,Outside Global)地址
67
NAT技术的应用 NAT技术中最常用的两种实现模式:静态NAT和动态NAT
68
内部源地址NAT的过程
69
7.4.2 网络地址端口转换(NAPT) NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上
NAPT普遍应用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号
70
NAPT类型 静态NAPT 动态NAPT 需要向外网络提供信息服务的主机 永久的一对一“IP地址 + 端口”映射关系
只访问外网服务,不提供信息服务的主机 临时的一对一“IP地址+ 端口”映射关系
71
内部网络NAPT的整个过程
Similar presentations