做电子相册的大网站,亚马逊deal网站怎么做,写软文一篇多少钱合适,南宁网站建设怎么样第十七章 广域网互联技术
17.1 GRE VPN
GRE VPN用于分支与分支通过私网地址互联#xff0c;通过在私网报文上添加一个GRE的头部#xff0c;以及添加一层外层的IP头部#xff0c;通过外层头部中的目IP地址使得报文到达隧道对端接口#xff0c;并解封装得到原始的私网报文…第十七章 广域网互联技术
17.1 GRE VPN
GRE VPN用于分支与分支通过私网地址互联通过在私网报文上添加一个GRE的头部以及添加一层外层的IP头部通过外层头部中的目IP地址使得报文到达隧道对端接口并解封装得到原始的私网报文。隧道的两个源目IP地址就相当于是形成了一个隧道。
17.1.1 报文格式
格式外层的帧头外层IP头部GRE头部内层的IP头部载荷部分
外层帧头由报文外层目的IP地址及查找路由的下一跳决定。
外层IP头部Tunnel接口中配置的隧道远端IP地址和隧道目的端IP地址决定
GRE头部
1、C bit位如果置1表示该头部中携带校验和字段可变字段置0不携带2、K bit位如果置1表示该头部中携带Key字段主要是用于隧道通信时进行隧道合法性验证置0不携带。
Recursion该字段表示报文经过了几层GRE的封装防止报文进行无限次数封装。GRE头部最多3层设备收到超过3层GRE的封装的报文则丢弃。Protocol type字段乘客协议是指GRE报文内部中封装的私网报文是何种协议。
私网IP头部源目IP地址是互访的两条私网设备自身地址。
GRE隧道是承载3层数据通信的L3VPN支持广播、组播、单播、因此该隧道中可以传递动态路由协议可以承载IPv4和IPv6报文。
17.1.2 GRE功能
1、Keepalive机制
GRE默认不开启Keepalive 机制手动开启后设备将按照默认5s的周期发送Keepalive报文给隧道对端的接口如果重传3次对端仍为未回复Keepalive报文则认为隧道Down。
2、校验和机制
GRE头部中Cbit位置1表示携带校验和字段校验和根据载荷部分报文hash计算得来一起发送给对端对端收到报文之后对载荷部分重新按照相同算法再进行一次校验得出校验值与报文GRE头部中的校验和进行比较相同则接受不同则丢弃。
Key功能
GRE隧道两端设备都隧道接口都设置相同的关键字key收发报文关键字必须一致否则就丢弃报文。Kbit位置1携带Key字段。
动态路由支持IGP协议直接通过隧道学习分支路由表 在私网的IGP中通告GRE Tunnel接口的本身的IP地址但是不同通告隧道的源地址。如果通告了隧道的源地址公网地址公网地址也通过隧道封装会导致报文重复进行GRE封装而封装失败。隧道接口网络层协议平繁的up和down应用场景MPLS VPN 中CE设备和PE设备非直连通过GRE隧道在CE和PE之间建立GRE VPNPE上创建实例在Tunnel 接口下绑定。
17.2 L2TP VPN
概念 NAS网络接入服务器连接的终端的拨号网络也是LACLAC网络接入客户端发起L2TP连接的设置一般为出差员工的终端设备LNSL2TP网络服务器与LAC是一对接收L2TP的连接请求的服务器。一般总部的出口设备组网模型三种常用远程办公连接 远程办公设备作为LAC直接向LNS进行拨号分支的出口设备作为LAC向总部LNS进行拨号分支的终端设备通过PPPoE向ISP的NAS进行拨号NAS作为LAC向总部的LNS进行L2TP拨号连接。消息类型控制消息和数据消息 控制消息主要是用于隧道建立会话建立拆除等 公网IP头部UDP头部L2TP头部控制消息部分数据消息 公网IP头部UDP头部L2TP头部PPP头部私网IP头部数据部分 IPsec VPN
17.3.1 IPsec的功能 加密、认证提供报文的安全防重放机制防止恶意大量复制IPsec报文并发送给IPsec目标设备消耗目标设备系统资源不可否认性通过对通信双方身份进行信息认证。
17.3.2 加密方式
对称加密用于数据传输过程中对报文的加密加密和解密使用相同的密钥进行。
加解密需要用密钥算法和密钥密码。DES、3DES算法AES算法。
非对称加密用于身份认证保护对称密钥加密和解密使用不同的密钥进行。DH算法RSA算法。公钥和私钥公钥是公开的所有人可以得到该用户的公钥私钥用户自己保存不能泄露。
数据认证主要作用是报文被篡改后能够及时发现 A将报文和报文hash计算之后的hash值一起发送给BB将报文的内容重新进行hash计算得出的hash值与报文携带的hash值进行比较相同则说明报文未被修改接收。不同则说明报文被篡改丢弃不接受。
17.4 IPsec 工作原理
加密思路 通信报文通过对称密钥A进行加解密需要保障密钥A交互的过程中必须要安全使用对端的公钥B1进行加密对称密钥A得到密钥A的密文X对端收到密文X后通过自己的私钥B2进行解密得到对称密钥A用于数据通信加密。IPsec SA安全联盟用于隧道建立的一些要素的约定包含了加密算法、认证算法、封装的类型隧道模式封装传输模式封装。两个方向对于同一个通信的两个点本端设备上会存在两个IPsec SAinbound和outbound方向。Ipsec隧道的建立过程就是SA的建立过程。两种方式手工和IKE自动建立。IPsec加密和认证 认证本端根据加密算法将自己的报文A加密得到A1在根据认证算法将A1进行hash计算得到hash值ICVICV与A1一起发送给对端。对端将根据相同的认证算法对报文进行hash计算得到ICV与报文后携带ICV进行比较相同则进行解密不同则丢弃。解密对端根据解密算法将报文A1进行解密得到原始报文A两种传输协议AH支持认证、ESP认证、加密两种封装模式隧道封装、传输模式封装 隧道封装报文AH 原报文私网IPData部分AH封装后报文外层IPAH头部ICV私网IP头部Data部分AH认证的部分外层IP头部到Data部分包含这两个部分隧道封装报文ESP 原报文私网IP头部Data部分ESP封装后的报文外层IP头部ESP头部私网IP头部Data部分ESP尾部ESP认证数据ESP加密后的报文私网IP头部Data部分ESP尾部ESP认证范围ESP头部私网IP头部Data部分ESP尾部对加密后的报文进行认证将认证后计算的Hash值放入到ESP认证数据部分报文格式外层IP头部ESP头部私网IP头部Data部分ESP尾部ESP认证数据传输模式封装报文AH 原报文私网IPData部分AH封装后私网IPAH头部Data部分认证范围私网IPAH头部Data部分传输模式封装报文ESP 原报文私网IPData部分ESP封装后私网IP头部ESP头部数据部分ESP尾部ESP认证数据认证范围ESP的头部数据部分ESP的尾部认证数据放到报文尾部ESP认证数据字段加密范围数据部分ESP尾部总结AH的认证范围是包含外层IP头部ESP的加密范围是ESP头部之后的数据隧道模式包含内层的IP头部ESP尾部ESP认证范围是ESP的头部到ESP尾部中间包含头尾。
17.5 IPsec 隧道动态建立过程
17.5.1 IKE 协议动态建立IPsec SA
IKE两个版本v1版本和V2版本
IKE V1版本两种模式主动模式和野蛮模式两个阶段主动模式第一阶段6个报文三次交互 1,2个报文进行IKE提议的交互确定IKE SA3,4个报文交互密钥材料生成相同的密钥生成飞对称密钥。5,6个报文使用第2步生成密钥对身份认证和过程的认证报文交互进行加密保护野蛮模式第一阶段3个报文 1,2个携带IKE 提议、身份和验证信息交互报文确定IKE SA发送验证数据快速模式第二阶段主要的任务协商IPsec SA该过程使用第一阶段生成的密钥进行加密保护。 1,2报文进行IPsec 提议的交互协商IPsec SA发送方发送确认信息确认与响应方可以通信协商结束。
17.5.2 IKE v2
除了初始交换过程开始两个报文不加密其他报文均加密
1、初始交换用于协商IPsec SA的4个报文其中两个报文用于交互IKE参数2个报文用于进行身份和过程认证。
2、子SA交换过程如果需要协商过个IPSec SA每增加一个SA增加一次子SA交换过程即可
3、通知交换过程用于交换查错信息消息信息等。
17.6 IPsec NAT穿越
AH协议由于要对报文的外层IP头部进行认证经过了NAT设备后IP头部发生改变会导致对端接受到报文后认证失败因此AH不支持NAT穿越
ESP协议新增加封装UDP头部则可以支持NAT穿越。
NAT-T 功能开启NAT-T检测数据包的源IP地址和端口号将源IP地址与源端口号hash计算传递给对端对端收到报文后将报文的IP源IP地址和与源端口再次hash计算得出的结果不同则认为报文经过了NAT设备。
NAT穿越只能通过分部发起IPsec协商如果需要总部发起IPsec协商可以在NAT设备上将端口500和4500一起映射到公网。总部发起IPsec协商的地址是分部的公网地址。如果不映射分部发起IPsec协商总部采用策略模版配置。
NAT-T场景IPsec网关在分支的NAT设备后面分支访问总部在NAT设备上创建NAT会话表总部回包根据NAT会话NAT设备进行向内部转发。总部无法主动访问分支因为NAT设备上不存在NAT会话表。但是如果存在NAT会话表总部也可以主动访问分支IPsec网关。
NAT会话保活分支IPsec网关周期默认20s一次发送NAT保活报文用于保留NAT设备上的NAT映射表此时总部和分支都可以主动任意互访。
17.7 NAT穿越
17.7.1 NAT的类型
圆锥型同一个内部tuple转换为同一个外部tuple
完全圆锥型收到报文检查报文的目的地址与映射表中的外部tuple是否相同相同则转发限制圆锥型收到报文之后检查报文的目的地址与映射表中的外部tuple是否相同还检查报文的源地址是否与映射表中的目的tuple是否相同。端口限制圆锥型收到报文之后检查报文的目的地址与因设备表的外部tuple是否相同还检查报文的源地址与端口号是否与目的tuple相同。
对称型同一个内部tuple加上同一个目的tuple转为同一个外部tuple否则不同的外部tuple收到报文后检查项和端口限制圆锥型相同。
17.7.2 映射表
存在三个tuple 内部tuple私网IP地址和私网端口号转换前的IP地址和端口号外部tuple转换后的IP地址和端口号公网IP地址和端口号目的tuple私网设备经过NAT设备访问公网设备报文的目的IP地址和端口号。
17.7.3 NAT穿越
NAT ALG技术对应用层报文的内容进行识别并修改应用层报文的内容提前建立映射表。实现NAT穿越。典型应用是FTP协议。
参考命令
[Huawei]nat alg all enable //使能所有可以支持的应用层协议支持ALG功能。
STUN技术作用主要适用于获取NAT地址转换映射关系
内网设备发送绑定请求消息给到STUN服务器服务器收到请求消息后从消息中读取设备的源地址私网地址和端口号以及报文的源地址公网地址和端口号的映射关系。将绑定关系回复给内网设备客户端通过BGP协议相互学习对方的NAT信息从而或者对方的映射信息私网之间设备通信访问映射消息中的公网地址和端口号即可。必须是要完全圆锥型NAT才能支持。
