IPv4路由
一.IPv4路由
1.IPv4报头结构
① 版本:版本号为4。
② 报头长度(IHL):表示IP报头长度,最小值为5,最大值为15,表示IP报头长度范围位20~60字节。
③ 服务类型(ToS):通过前6个bit的区分代码点DSCP来定义不同的服务等级。
④ 总长度:用于表明数据包总长度最大为65535字节。
⑤ 标识符(Identifier):对超过网络设备接口MTU值(最大传输单元)的数据进行分片。发送端发送一个报文,中间网络设备根据MTU值决定是否分片,只有终端设备进行分片重组。分片数据加上原始的20字节IP首部。
⑥ 标记字段(Flag):第1位不使用。第2位不分段位(DF),DF位置为1时,表示路由器不能对数据包进行分片处理。第3位表示还有更多分片位(MF)。
⑦ 分段偏移:用于指明分片起始点相对于报头起始点的偏移量。如果一个分片在传输中丢失,那么必须在网络中同一位置点对整个数据包重新分片并重发。在计算偏移量的时候,需要将计算结果除以8,得到的值才是真正的偏移量。
⑧ 生存时间(TTL):在最初创建数据包时TTL即被设置为某个特定值。数据包经过每一台网络节点,TTL值会递减1,当TTL值减为0时,路由器将会丢弃该数据包并向源点发送错误信息。TTL值用于防止数据包转发环路。
⑨ 传输协议:内层协议,指出此数据包携带的数据使用何种协议,以便目的主机的IP层将数据部分上交给哪个进程处理。
⑩ 选项和填充:不常用的特殊路由选项和保证头部为32比特的倍数。
2.ICMP报文协议
ICMP是三层协议,用于在IP主机、路由器之间传递控制消息,错误报告控制信息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。ping与tracert均基于ICMP协议。
3.关于路由器
路由器工作在网络层,主要功能有协议转换,路由选择,流量控制,数据包分段与重组,网络管理等。路由器接口隔离广播域,目的地址为广播地址的报文会被接口丢弃。路由器通过路由协议学习到达每个目的地的路径形成路由表,根据路由表相关路由条目,寻找最优路径,根据下一跳地址将数据包发送出去。
路由表中的信息
① Destination/Mask:目标网段/掩码
② Proto:路由协议类型
③ Pre:路由优先级
④ Cost:路由开销值
⑤ Flags:特殊标识
⑥ NextHop:下一跳IP地址
⑦ Interface:出接口
路由匹配原则:
① 目标网段相同但掩码长度不同:无论是否运行相同路由协议,优先选择最长掩码长度的路由条目。
② 目标网段相同且掩码长度相同,运行不同路由协议,优先选择路由优先级值低的路由条目。
③ 目标网段相同且掩码长度相同,运行相同路由协议,优先选择路由开销值低的路由条目。
④ 以上均相同,则路由负载均衡。
二.直连路由与静态路由
1.直连路由
路由器访问直连网段时使用直连路由。直连路由的接口配置了IP地址并且处于up状态,直连路由会自动产生,不需要任何配置。
2.vlan间通信
一.单臂路由
交换机划分VLAN后,不同VLAN之间通过二层无法通信,需要通过三层路由进行通信。使用路由器配置单臂路由来实现不同VLAN间的三层通信。
二:交换机VLANif
交换机划分VLAN后,不同VLAN之间通过二层无法通信,需要通过三层路由进行通信。使用支持三层路由的交换机配置VLANIF接口来实现不同VLAN间的三层通信。
3.静态路由与缺省路由
一:静态路由
静态路由一般用于小型网络规模,不能根据网络的变更进行动态路由学习。配置形式一般为:目标网段 目标网段掩码 下一跳地址(本地出接口)
二:缺省路由
缺省路由是静态路由的一种特殊形态,一般用在内网三层设备需要访问互联网。配置形式一般为:0.0.0.0 0.0.0.0 下一跳地址(本地出接口)
VLAN间通信与静态路由和默认路由通常用于局域网的组建。
三.RIP
① RIP距离矢量路由协议,使用的路由算法是Bellman-Ford(贝尔曼-福特),以经过三层节点个数(跳数)为衡量路径最优的标准,经过节点最多不能超过15跳,16跳为目标不可达。
② 路由采用周期更新机制。
③ 报文封装在传输层,基于UDP的520端口发送消息。
④ 每个路由器只会学到邻居路由器的信息,不知道整个网络的拓扑结构。每次路由更新最多承载25条路由。
⑤ 支持路由过滤,路由聚合(RIPv1不支持),修改跳数值,默认路由下发,路由认证等路由优化功能。
2.RIP版本
(1)RIPv1:广播方式发布协议报文,只支持有类路由。不支持路由聚合,不支持可变长度子网掩码VLSM技术。不支持次优路径检测。
(2)RIPv2:广播或组播方式发布协议报文,组播地址为224.0.0.9。支持有类路由和无类路由。支持路由聚合,支持可变长度子网掩码VLSM技术,支持次优路径检测。
3.RIP计时器
① 更新定时器:30秒。周期发送更新报文。
② 老化定时器:180秒。老化定时器时间内没有收到邻居发来的更新报文,认为该路由不可达。
③ 垃圾收集定时器:120秒。垃圾收集定时器时间内不可达路由没有再次收到相同邻居的更新,则该路由被删除。
④抑制定时器:0秒。当RIP设备收到邻居发送的跳数为16的路由,启动抑制定时器。在抑制定时器超时之前,即使再收到该邻居发送的跳数为16的路由,也不接受。当抑制定时器超时后,就重新允许接受对端发送的路由更新报文。
4.RIP防环机制
① 水平分割:从某接口学到的路由不会再从本接口通告出去。
② 毒性反转:从某接口学到的路由,其跳数设置为16跳后允许再从本接口通告出去。
③ 触发更新:一旦检测到路由变更,立即发送路由更新,而不会等待周期更新。
④ 抑制计时器:环路使某路由的跳数增加到16跳后,该路由自动被抑制。
5.RIP报文
① Request报文:向邻居请求全部或部分路由信息。
② Reponse报文:发送自己全部或部分路由信息,一个报文中最多包含25个路由表项。
四.OSPF
① OSPF链路状态路由协议,采用Dijkstra(迪杰斯特拉)算法。OSPF报文封装在IP层,协议号89。使用组播地址224.0.0.5和224.0.0.6建立邻居。
② 路由采用触发更新机制。支持无类别路由协议,支持VLSM。
③ 影响邻居建立的因素有:router ID、area ID、hello时间、协议认证、子网掩码(MA网络中)。不同设备可以使用不同的OSPF进程号,不影响建立邻居。
④ OSPF使用cost作为路由度量,一条路径的cost等于本路由器到达目标网段沿途的所有路由传递方向入接口的cost总和,cost越小,路径越优。cost=参考值/接口带宽(默认参考值为1×108,可更改)。
⑤ OSPF路由器所发送的信息是与本路由器相邻的所有路由器的链路状态。OSPF路由器发送LSA,其他路由器收到后缓存一段时间,以保证不同节点的状态信息同步。收到的LSA保存在LSDB中并进行SPF运算,计算出最优的路由。OSPF协议本身不存在环路。
⑥ 支持路由过滤,路由聚合,修改cost,默认路由下发,路由认证等路由优化功能。
2.OSPF的普通区域
OSPF路由协议可以分为单区域和多区域,area 0(0.0.0.0)为骨干区域,是必须存在的区域。如果是多区域的OSPF,则只能存在一个骨干区域,其他区域为非骨干区域。非骨干区域必须和骨干区域相连,骨干区域不能分裂。如果出现上述情况,需要通过虚链路技术解决
3.设备类型
ABR:区域边界路由器,跨越OSPF不同区域的路由器
ASBR:自治域边界路由器,用于连接非OSPF路由区域的路由器
4.报文类型
① Hello报文:用于建立和维持邻居关系,周期性发送,包含网络掩码、Hello间隔、路由器的Router ID等。不同网络类型,周期时间不同,4倍Hello时间没有收到Hello报文,认为邻居断开。
② DD报文:描述本地LSDB(链路状态数据库)的摘要信息,用于两台路由器之间进行数据库同步。
③ LSR报文:向对方请求所需要的LSA。
④ LSU报文:向对方发送其所需要的LSA。
⑤ LSAck报文:用于对收到的LSA进行确认。
5.选举
(1)router ID选举
① OSPF进程下手动配置router ID
② 手动配置路由器全局router ID
③ 选择loopback接口IP地址最大的作为router ID
④ 选择活跃的物理接口IP地址最大的作为router ID
注意:如果先后配置了IP地址,则选择先配置的IP地址作为路由器全局router ID,进而成为最终的router ID。恢复上述选举机制,需要重置OSPF进程。
(2)DR、BDR的选举
① 优先级越大的越优先成为DR,其次为BDR(优先级为0时不参与选举)
② 选举router ID最大的作为DR,其次为BDR
6.LSA
① 1-LSA(Router-LSA):用于描述每台路由器在所在区域的链路状态信息,每台路由器都会产生,在本区域内泛洪。
② 2-LSA(Network-LSA):用于描述区域间DRother列表,需要选举DR和BDR的MA网络会产生,在本区域内泛洪。
③ 3-LSA(Network-summary-LSA):用于描述区域间路由信息,由ABR产生,将该LSA泛洪到其他区域。
④ 4-LSA(ASBR-summary-LSA):用于描述ASBR的信息,辅助5-LSA完成外部路由的计算,由ABR产生,将该LSA泛洪到其他区域。
⑤ 5-LSA(AS-external-LSA):用于描述OSPF外部路由信息,由ASBR产生并在OSPF域内泛洪。
⑥ 7-LSA(NSSA AS-External-LSA):与5类LSA作用相同,但是7类LSA只在特殊区域NSSA中才会出现,如果该LSA泛洪到其他区域时会由NSSA区域的ABR进行7-LSA转5-LSA的操作。
五.IS-IS
① IS-IS链路状态路由协议,采用Dijkstra(迪杰斯特拉)算法,路由优先级15。
IS-IS的地址结构由IDP(初始域)和DSP(域指定)组成,但是通常直接使用NET地址
作为协议地址(NET地址包括区域ID、系统ID、固定字段)。
② IS-IS使用cost作为路由度量,一条IS-IS路径的cost等于本路由器到达目标网段沿途的所有路由传递方向入接口的cost总和,cost值越小,路径越优。与OSPF不同的是,IS-IS接口的cost在缺省情况下并不与接口带宽相关(在实际部署时,IS-IS也支持根据带宽调整cost值),无论接口带宽多大,缺省时cost为10。
③ 支持路由过滤,路由聚合,修改cost,默认路由下发,路由认证等路由优化功能。
2.IS-IS等级划分
(1)IS-IS路由器分为level-1、level-2、level-1-2三种路由等级:
① level-1只能与本区域的level-1和本区域level-1-2设备建立邻居关系
② level-2能与任意区域的level-2和任意区域level-1-2设备建立邻居关系
(2)IS-IS路由协议可以划分不同区域,level-2设备所在区域为骨干区域,
level-1所在区域为非骨干区域(与OSPF区域划分原则不同)。
3.报文类型
① IIH:建立和维持邻接关系,每10s周期发送,广播网络Level-1路由器使用Level-1 LAN IIH;Level-2路由器使用Level-2 LAN IIH。点到点网络使用P2P IIH。
② LSP:用于交换链路状态信息。LSP分为两种,Level-1 LSP、Level-2 LSP。
③ SNP:通过描述全部或部分链路数据库中的LSP来同步各LSDB,从而维护LSDB的完整与同步。SNP包括CSNP和PSNP,进一步又可分为Level-1 CSNP、 Level-2 CSNP、 Level-1 PSNP和Level-2 PSNP。
六.BGP
① BGP边界网关协议属于距离矢量路由协议。承载路由条目数量大,选路原则丰富,适用于自治域(AS)之间路由。
② AS边界路由相连称为EBGP对等体,AS内部路由只有建立IBGP对等体才可以传递和接收BGP路由条目。
③ 报文封装在传输层,基于TCP的179端口发送消息。
④ 路由采用触发更新机制。支持有类和无类路由协议,支持VLSM。
⑤ 支持路由过滤,路由聚合,修改BGP路由属性,默认路由下发,路由认证等路由优化功能。
2.报文
① Open报文:建立BGP对等体连接。
② Update报文:通告更新的网络,或撤销网络。
③ Notification报文:通知对等路由器检测到了错误。
④ Keepalive报文:维持BGP邻居,每60s周期发送。180s没有收到,认为邻居断开。
⑤ Route-refresh报文:在改变路由策略后请求对等体重新发送路由信息。
3.防环机制
IBGP通过水平分割机制防环,EBGP通过AS_Path属性防环
4.BGP路由的生成方式
① 使用network宣告路由:存在于本地路由表中的所有非BGP路由均可以通network宣告方式成为BGP路由。可以精确宣告路由,但是大量的路由条目造成工作量较大
② 使用路由引入方式:存在与本地路由表中的所有非BGP路由均可以通过路由引入方式成为BGP路由。是针对某些特定路由进行引入(例如:对所有OSPF路由引入,成为BGP路由)。相对配置量小,但是一旦引入某种协议路由,会造成该协议的所有路由条目均成为BGP路由,精细化程度低。
5.BGP路由选路
① 优选Preferred-Value属性值最大的路由。
② 优选Local_Preference属性值最大的路由。
③ 优选手动聚合>自动聚合>network>import>从对等体学到的。
④ 优选AS_Path属性值最短的路由。
⑤ 优选Origin属性最优的路由。优先级从高到低的排列是:IGP、EGP、Incomplete。
⑥ 优选MED属性值最小的路由。
⑦ 优选从EBGP对等体学来的路由(EBGP路由优先级高于IBGP路由)。
⑧ 优选到Next_Hop的IGP度量值最小的路由。
⑨ 优选Cluster_List最短的路由。
⑩ 优选Router ID(Orginator_ID)最小的设备通告的路由。
六.IPv6
由于IPv4最大的问题在于网络地址资源不足,严重制约了互联网的应用和发展。IPv6的使用,不仅能解决网络地址资源数量的问题,而且也解决了多种接入设备连入互联网的障碍。IPv6的地址长度为128位,采用十六进制表示。
一:IPv6地址类型
① 单播(unicast):传统的点对点通信。
② 多播(multicast):一点对多点的通信,地址范围为FF00::/8。
③ 任播(anycast):目的IPv6地址是一组具有相同业务的终端,发往该IPv6任播地址的数据包最终传输到哪个终端是由具体的路由协议确定。任意播地址不能用作源地址,而只能作为目标地址;任意播地址不能指定给IPv6主机,只能指定给IPv6路由器。
2.地址
(1)地址压缩方式:
中间0可用::压缩;前导0可以压缩;两者可以同时使用;::只能出现一次
例:2001:0410:0000:0001:0000:0000:0000:45ff可表示为:
① 2001:0410:0000:0001::45ff------中间0全压缩
② 2001:410:0:1:0:0:0:45ff--------压缩前导的0
③ 2001:410:0:1::45ff-------------中间0全压缩和压缩前导0同时使用
(2)地址表示方法:
IPv6地址 = 前缀 + 接口标识
例:2001:da8:207::8207/64前缀相当于IPv4地址中的网络ID;接口ID相当于IPv4地址中的主机ID;前缀长度用“/xx”来表示
3.地址表示范围
(1)可聚合全球单播地址:作用类似于IPv4中的公网地址。有效地址范围前缀(2000~3FFF)。2001::/64为首批使用的可聚合全球单播地址;2002::/64用于IPv4网络中建立6to4隧道的地址。
(2)链路本地地址:只限于直连链路,作用是进行链路上节点的通信和一些协议的使用。前缀地址为FE80::/10。
(3)站点本地地址:规定站点内的通信,不能与站点外地址通信,也不能直接连接到全球Internet。类似于IPv4的内部私有地址。前缀地址为FEC0::/10。
(4)0:0:0:0:0:0:0:0或::(未指定地址)---用于表示不存在的地址。等同于IPV4的0.0.0.0。未指定地址通常在目标地址还未确定时充当源地址使用。此地址不能分配给接口或者是做为目标地址使用。
(5)0:0:0:0:0:0:0:1或::1(环回接口地址)---分配给环回接口,使得节点能够向自己发送数据包,该地址等同IPv4的环回地址127.0.0.1。发往环回地址的数据包永远不应该通过链路发送或者通过IPv6路由器进行转发。
4.基于v6的ICMP
IPv6定义了ICMPv6协议,除了提供类似ICMP的功能外,还定义了NDP邻居发现协议,NDP协议提供了如IPv6地址前缀发现、重复地址检测、地址解析、重定向等功能。
一个IPv6地址可以分为如下两部分:
① 网络前缀:n比特,相当于IPv4地址中的网络ID
② 接口标识:128-n比特,相当于IPv4地址中的主机ID,可手工配置和通过EUI-64
规范自动生成。
注意:单播地址中,有效地址范围前缀内的IPv6地址的接口标识必须为64位。
IPv6报头
(1)IPv6基本报头
① 版本:版本号为6
② 流量类别:区分特定服务流量,与IPv4的ToS服务类型字段相同。
③ 流标签:IPv6协议独有的字段。用来标记特定流的报文,以便在网络层区分不同的报文。转发路径上的路由器可以根据流标签来区分流并进行处理。包含流标签、源节点地址、目的节点地址信息。
④ 有效载荷长度:类似于IPv4中的总长度字段。
⑤ 下一报头:类似于IPv4中的协议字段,用于识别上层协议类型,也用于识别扩展包头类型,IPv4包头中原有的分片、校验等功能,均采用扩展包头的方式体现。
⑥ 跳数限制:类似于IPv4中的生存周期字段。
(2)IPv6扩展报头
IPv4中部分功能字段和可选项提供的特殊功能,都通过在IPv6头部之后增加的扩展头部实现。扩展头部仅在需要时添加,且要求扩展头部仅由终端主机处理。
IPv6报文分片
注意:由于IPv6的很多可选功能被包含在扩展报头中,所以基本报头中的字段固定,长度为40字节,不需要报头长度字段来表示。
在IPv6中,中间路由节点不对IPv6报文进行分片,源节点通过Path MTU发现机制来探测路径上的最小接口MTU,然后进行分片,在目的节点对数据包进行重组。这样可以避免路径上的路由节点进行分片而导致性能的下降。
组播技术的初衷是在IP网络中,发送信息到某个目标组,这个目标组称为组播组,组播源主机只发送一份数据,目的地址是组播组地址,属于该组的成员,都可以接收到一份原主机发送的数据,其他主机不会收到。因此组播方式解决了单播情况下数据的重复拷贝及带宽的重复占用,也解决了广播方式下带宽资源的浪费。
(1)组播地址范围
①224.0.0.0~~224.0.0.255:保留地址
②224.0.1.0~~238.255.255.255:公用组播地址,可以用于Internet ③239.0.0.0~~239.255.255.255:用户组播地址,在全网范围内有效
(2)常用组播地址
224.0.0.0--﹣保留
②224.0.0.1--﹣所有组播组
224.0.0.5、224.0.0.6---OSPF协议
④
224.0.0.9---RIPv2协议
(3)组播MAC地址
组播MAC地址:0100.5E00.0000-0100.5E07.FFFF
组播组成员在接收组播数据时可以对于组播数据源进行选择,因此产生了ASM(任意源组播)和SSM(指定源组播)两种组播服务模型。
ASM: 组成员加入组播组以后,组成员可以接收到任意源发送到该组的数据。SSM:组成员加入组播组以后,组成员只会收到指定源发送到该组的数据。
组播路由协议
(1)PIM路由协议
PIM能在现存IP网上传输组播数据。PIM是一种独立于路由协议的组播协议。
①密集模式(PIM-DM):
数据向所有端口转发,直到发生剪枝。适用于组播组成员相对比较密集的小型网络。
②疏松模式(PIM-SM):疏松模式与密集模式相反,只向有请求的端口发送组播数据。适用于组播组成员分布相对分散、范围较广的大中型网络。
(2)SSM路由协议
传统的组播服务中只使用组播组地址(*,G)来标识一个组播会话(任意源组播ASM模型),G表示一个特定的IP组播组,*表示发向组播组G的任意源。而SSM保留了传统PIM-SM模式中的主机加入组播组的方式,使用(S,G)来标识一个组播会话,G表示一个特定的IP组播组地址,S表示发向组播组G的特定源的IP地址。
RPF检查
由于组播转发容易产生环路,次优,重复报文,所以组播路由表项除了目的网络和出接口外还需要添加组播源和入接口的信息。设备仅转发从特定唯一的入接口收到的组播数据,从而避免组播转发时产生环路,次优路径,重复报文等问题。对于相同的组播源,设备通过RPF反向路径转发检查可以确定设备上唯一的组播流量入接口。
组管理IGMP协议
IGMP协议运行在主机和组播路由器之间,用于管理组播组成员的加入和离开。(1)IGMPv1
定义了主机加入组播组的信息,没有定义离开组播组的信息,路由器基于组播组的查询和响应机制发现离线的组成员。IGMPv1有普遍组查询报文、成员报告报文。(2)IGMPV2
在版本1上基础上增加了主机离开组播组的信息。IGMPv2有普遍组查询报文、特定组查询报文、成员报告报文、成员离开报文。
(3) IGMPv3
在兼容和继承版本1和版本2的基础上,进一步增强了主机的控制能力,并增强了查询和报告报文的功能,可以选择是否接收某个特定组播源的信息。IGMPv3有普遍组查询报文、特定组查询报文、特定组\源地址查询报文、成员报告报文。
一:主动攻击与被动攻击
(1)主动攻击
攻击者主动向被攻击目标发送恶意流量。主动攻击包括拒绝服务攻击(DoS)、分布式拒绝服务(DDoS)、信息篡改、欺骗、伪装、重放等攻击方法。
(2)被动攻击
被动攻击主要是进行信息收集,被攻击者通常无法感知。被动攻击包括嗅探、信息收集,端口扫描,弱口令扫描,数据分析等攻击方法。被动攻击通常是主动攻击的准备阶段。
二:常见网络攻击类型
(1)ARP攻击
局域网常见的一种攻击方式,主要是通过伪造IP地址和MAC地址进行欺骗。
例如:ARP泛洪攻击、主机欺骗攻击、网关欺骗攻击、中间人攻击、IP地址冲突攻击等。
(2)拒绝服务攻击(DoS)
消耗目标系统资源,破坏或更改配置信息,物理破坏,利用服务程序中的处理错误使服务失效。例如:Ping of Death攻击,缓冲区溢出,分片攻击。
(3)分布式拒绝服务攻击(DDoS)
攻击者入侵并控制一些计算机后,通过这些计算机向攻击目标统一发起拒绝服务攻击。例如:ICMP Flood攻击,SYN Flood攻击,UDP Flood攻击。
(4)Teardrop(泪滴)攻击
Teardrop攻击是一种畸形报文攻击。是基于UDP的病态分片数据包的攻击方法,通过伪造数据包中的偏移值,使数据重组时出现错误,造成协议栈崩溃。
(5)land攻击
伪造TCP SYN数据包,使目标机器开启一个源地址与目标地址均为自身IP地址的空连接,持续地自我应答,消耗系统资源直至崩溃。
(6)缓冲区溢出
通过覆盖程序的数据空间或者运行时的堆栈导致系统或者服务崩溃。
(7)跨站脚本攻击
将代码注入到用户浏览的网页上,这种代码包括HTML,JavaScript等。
例如:xxx.aa.com/login/js/pdf/,*/<ifr%00ame></sc%00ript>alert(55521)</sc%00ript>
(8)SQL 注入攻击
在服务器上的数据库运行非法的SQL语句,常见语句关键词有SELECT,FROM。
例如:userName,userName = "1' OR '1'='1";passWord = "1' OR '1'='1"等。
(9)欺骗攻击
利用假冒、伪装后的数据与其他主机进行合法的通信,使受攻击的主机出现错误,获取需要的数据信息。ARP欺骗攻击;DNS欺骗攻击;IP欺骗攻击等。
(10)重放攻击
攻击者拦截一条通常是加密的消息,并恶意将这条消息重新发送给消息接收方,以通过身份验证或在网络中实施欺骗行为。
(11)双花攻击
用于区块链技术中的恶意攻击。双花攻击可以达成重复使用加密货币而不被记录的效果,使区块链技术的安全性遭到破坏。攻击者可以在使用虚拟货币交易后,消除区块记录,使虚拟货币仍然存在在账户,而免费获得相应商品。但是这种攻击需要攻击者的算力至少为全网算力的51%,所以这种攻击的成本非常高,难度大,实现概率极低。
网络攻击防御体系
(一)主动防御
强调在攻击发生前进行预警和防范。常见技术为:数据加密技术、访问与权限控制、漏洞扫描技术、入侵防护技术、蜜罐技术等。
主动防御的缺点:
(1)误报和误操作风险:由于主动防御系统需要预测和识别潜在威胁,有时可能会出现误报,导致对正常活动的错误干预。此外,自动反击措施也可能因误判而引发不必要的网络冲突或法律问题。
(2)资源消耗:主动防御系统通常需要持续监控和分析网络流量、系统日志等大量数据,以识别潜在威胁。这可能会消耗较多的计算和网络资源,对系统性能产生一定影响。
(二)被动防御
主要是在攻击发生后进行应对和修复。常见技术为:防火墙技术、入侵检测技术、网络监控技术等
被动防御的缺点:
(1)防御滞后:被动防御主要是在攻击发生后进行应对,因此存在一定的时间滞后。在这段时间内,攻击者可能已经对系统造成了损害或窃取了敏感信息。
(2)无法应对未知威胁:被动防御通常依赖于已知的攻击特征和模式来识别威胁。然而,对于新型的、未知的攻击手段,被动防御可能无法及时识别和应对。
加密算法
一:非对称加密算法(公钥密码体制)
公钥和算法公开。生成一对公钥和私钥,公钥发布给对方,私钥自己保留。
加密:通过加密算法和对方的公钥对明文数据进行加密,得到密文数据。
解密:通过解密算法和自己的私钥对密文数据进行解密,得到明文数据。
① RSA算法:基于大素数(大整数)因子分解问题的困难性。
② ECC算法:基于椭圆曲线离散对数的计算困难性。比RSA密钥长度小,计算速度快。
二:对称加密算法(私钥密码体制)
加密和解密使用同一个密钥,又称为分组加密算法。
① DES算法:基于P盒的扩散过程盒与S盒的置换,包括初始置换、轮函数、生成轮密
钥、16轮加密、逆初始置换过程。密钥长度56位,分组长度64位。
② 3DES算法:使用2个密钥对数据进行3次加密。密钥长度112位,分组长度64位。
③ IDEA算法:DES的替代算法,密钥长度128位,分组长度64位。
④ AES算法:基于P盒的扩散过程盒与S盒的置换,属于高级加密标准,秘钥长度128,
192,256,分组长度均为128位。加密效率与安全级别高。
⑤ RC5算法:DES的替代算法,允许使用不同长度的密钥,最长为448位。
三:摘要算法
摘要算法又称HASH算法(散列函数算法),它表示输入任意长度的数据,输出固定长度的数据,相同的输入数据得到相同的输出,不同的输入数据得到不同的输出。数字签名常使用摘要算法。
① MD5:秘钥长度128位,分组长度512位
② SHA-1:秘钥长度160位,分组长度512位
③ SHA-2:秘钥长度256位、秘钥长度384位、秘钥长度512位,分组长度512位
四:国密SM算法
① SM1:对称加密算法中,分组长度、秘钥长度128位。应用于芯片、智能IC卡、智能密码钥匙、等安全产品等。
② SM2:基于椭圆曲线密码的公钥密码算法标准,私钥长度256位,公钥长度512位。应用于电子认证服务系统。
③ SM3:密码杂凑算法,属于摘要算法。应用于电子认证服务系统。
④ SM4:对称加密算法,分组长度、秘钥长度128位。应用于中使用分组密码的需求。
⑤ SM7:对称加密算法,分组长度、秘钥长度128位。应用于身份证明、票务、支付一通卡类应用。
⑥ SM9:基于椭圆曲线密码的公钥密码算法标准。应用于用户的身份认证。
⑦ ZUC:流密码算法,应用于4G网络和5G网络。
数字证书与数字签名
一:公钥基础设施(PKI)
采用公钥技术来提供安全服务的安全基础设施,由公开的密钥密码技术、数字证书、证书发放机构和安全策略等部分组成的。PKI通过第三方可信任机构(核心执行机构,认证中心CA),将用户的公钥和用户的其他标识信息捆绑在一起。CA本身拥有一个证书(内含公钥)。网上的用户通过验证CA的证书从而信任CA,任何人都可以得到CA的证书,用以验证它对其他用户所签发的证书。如果一个用户想鉴别另一个用户证书的真伪,可以使用CA的公钥对另一个用户证书上的签字进行验证,一旦验证通过,证明对方的证书是有效的。如果两个用户使用不同的CA中心发放的证书,则无法直接使用证书,需要两个CA之间交换公开密钥,才可以完成通信。证书申请注册机构RA,是数字证书的申请注册机构。
(1)数字证书的获取
用户向CA提出申请。在CA审核申请者的身份后,分配一个公钥,并将该公钥与申请者的身份信息绑定,签名后形成证书发给申请者。
(2)数字证书的吊销
证书到了有效期、用户私钥泄露、用户放弃使用原CA中心的服务、CA中心私钥泄露都需要吊销证书,这时CA中心会维护一个证书吊销列表CRL供大家查询。
二:数字签名
数字签名过程是基于公钥密码体制实现的。发送者生成的无法伪造的一段数字串,可以证明信息发送者的真实性,保证文件的完整性,真实性、可靠性和不可抵赖性。数字签名过程是本方的私钥签名,对方的公钥验证。
注意:数据加密和数字签名中,公钥加密验证,私钥解密签名。
三:X.509数字证书
X.509数字证书是密码学里公钥证书的格式标准,X.509证书里含有公钥、身份信息和签名信息,并附带了证书吊销列表。X.509通常采用带RSA加密的SHA-256算法进行签名。X.509证书己应用在包括TLS/SSL在内的众多Internet协议里,同时它也用在很多非在线应用场景里,如电子签名服务。
应用安全技术
一:SSL协议与TLS协议
SSL代表传输层安全套接字层,而TLS代表传输层安全。SSL/TLS协议是PKI体系中的重要组成部分,使用对称或非对称加密技术。SSL协议与TLS协议可以使通信双方能够相互识别和验证,并允许客户端和服务器应用程序以保密和可靠的方式进行通信,保证数据的机密性、可靠性、完整性。常用于HTTP加密,FTP加密等应用加密。
SSL/TLS协议分层
① 握手协议:SSL握手协议建立在SSL记录协议之上,用于在实际的数据传输开始前通信双方进行身份认证,加密算法协商,加密密钥交换等。
② 修改密文协议:最简单的一个协议,用于通信双方每隔一段时间改变密码组。
② 报警协议:用于提示通信过程中发现的异常。
③ 记录协议:建立在TCP之上,对上层协议进行封装,提供保密性和完整性。
(一)SSL/TLS实现HTTP与FTP加密
(1)密钥交换
① 握手过程:客户端和服务器协商加密算法和密钥。
② 公钥加密:服务器会向客户端发送公钥证书,这个证书包含了服务器的公钥。客户端使用这个公钥来加密一个随机生成的对称密钥(会话密钥),然后将这个加密后的会话密钥发送给服务器。
③ 私钥解密:服务器收到加密的会话密钥后,使用其私钥进行解密,从而获得对称密钥。
(2)数据加密
① 对称加密:握手过程完成,双方拥有了共享的对称密钥,后续的数据通信将使用这个会话密钥进行加密。
② 数据完整性:使用会话密钥中的消息认证码(MAC)来确保数据的完整性和真实性,防止数据在传输过程中被篡改。
(3)身份验证
① 服务器身份验证:客户端通过验证服务器提供的由CA颁发的公钥证书来确认服务器的身份。
② 客户端身份验证(可选):在某些情况下,服务器也可以要求客户端提供证书以进行双向身份验证,这通常用于企业环境或需要更高安全性的场景。
二:文件加密技术
文件加密技术一般有三种技术组合
(1)密码技术:对称或非对称加密,是文件加密的底层技术
(2)操作系统:可以对文件的输入输出操作进行加密。设备管理,进程管理。
(3)文件分析技术:不同文件类型的语义操作体现在对该文件类型进行操作的应用程序中。
【例】EFS文件加密技术是微软提供的文件加密系统,使用对称密钥和非对称密钥结合的方式提供文件保护。
三:HTTPs与s-HTTP协议
(1)HTTPs是在传输层使用SSL的HTTP,是一个安全通信通道,用于在客户计算机和服务器之间交换信息,所有的数据在传输过程中都是加密的。它使用TLS进行普通的HTTP传输。HTTPs默认使用的端口号为TCP 443端口。
(2)s-HTTP是工作于应用层的协议,仅提供了数据的加密机制,如服务页面的数据,以及用户提交的数据,其余的协议部分和HTTP是一样的。因此,s-HTTP是可以和传统的HTTP同时使用,使用TCP 80端口。
四:电子邮件加密协议
① PGP:基于RSA公匙加密体系,使用MD5进行摘要运算。功能包括加密,鉴别,电子签名和压缩技术。
② PEM:可以使用RSA和三重DES进行加密,比PGP有更完善的密钥管理机制,由证书机构(CA)发布证书。
③ S/MIME:使用非对称加密RSA来进行数字签名和邮件加密。可以进行发件人验证和不可否认性认证。
五:SET协议
安全电子交易SET协议参与者包括持卡人、商家、发卡行、收单行、支付网关、品牌(不同发卡行)、认证中心CA。SET协议使用散列函数、对称加密、非对称解密等算法。
六:Kerberos协议
Kerberos是一种网络认证协议,使用了私钥加密算法DES,通过密钥系统为客户机/服务器应用程序提供认证服务。该认证过程不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下,Kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。
(一)Kerberos协议内容
① KDC(Key Distribution Center)= 密钥分发中心
② AS(Authentication Server)= 认证服务器
③ TGS(Ticket Granting Server)= 票据授权服务器
④ TGT(Ticket Granting Ticket)= 授权票据
⑤ SS(Service Server)= 特定服务提供端
二)Kerberos认证过程
客户端发送自己的用户名到KDC的AS服务
器进行认证。AS服务器生成TGT票据,打
上时间戳,在本地数据库中查找该用户的
密码,并用该密码对TGT进行加密后发送给
客户端。客户端收到并使用自己的密码进
行解密得到TGT票据。当客户端需要访问特
定的应用服务器时,就发送TGT到KDC的TGS
服务器。当TGT验证通过并获得访问权限时,
TGS服务会生成一个该服务所对应的ticket和session key发送给客户端。客户端使用获得的ticket票据和session key即可访问应用服务器。
网络安全设备
一:防火墙
传统防火墙具有访问控制功能,日志查看功能,集中管理功能,支持NAT,VPN,流量控制等技术的应用及多数路由协议。作为网络边界的隔离防护设备,可以基于地址、端口、策略、行为等因素对内外网的流量进行审查及控制,也可以对如网站访问,数据库防护的应用起到防护作用,但不能处理网络内部攻击,不能防病毒。分布式防火墙解决了传统防火墙只能对企业网络内外流量进行过滤和审查的问题。
(一)防火墙的安全区域划分
安全区域(Security Zone),或者简称为区域(zone),配置防火墙需要定义安全区域等级,将接口关联区域后,该接口属于该区域的安全等级。同属一个安全区域发生数据流动不会触发安全策略。不同安全区域之间发生数据流动时才会触发
① 非信任区域(Untrust):默认安全优先级为5,通常用于定义外部的非安全网络。
② 非军事化区(DMZ):默认安全优先级为50,介于Untrust与Trust之间。
③ 信任区域(Trust):默认安全优先级为85,通常用于定义内网区域。
④ 本地区域(local):默认安全优先级为100,防火墙本身的区域。
注意:可以新建安全区域进行安全优先级的部署配置。
(二)防火墙的部署方式
① 路由模式:作为网络的边界设备。
② 透明模式:串接在网络内部,不影响整体网络结构,隐蔽性强。
③ 旁挂模式:旁挂在汇聚交换机,对流量进行分析与动作
二:入侵检测设备IDS
主动安全防护工具,可以对危险行为做出判断并告警,不能阻断恶意行为。
(一)IDS分类
① 基于主机的入侵检测(HIDS):用于对单个主机的攻击行为,网络连接,系统日志,非法访问等检测。
② 基于网络的入侵检测(NIDS):用于对网络,或者网段内数据包的检测。
(二)IDS的部署方式
由于IDS只能进行攻击的检测,分析数据并发出警告,并不会对攻击行为直接造成影响,不会对数据进行允许或拒绝等动作,所以通常模式下是以旁挂的形式部署在网络和核心设备,或者是部分区域的汇总设备上。
三:入侵防御系统IPS
IPS可以提供主动,实时的防护,可以对数据包中的每一个字节进行检查,对流量中的恶意数据包进行检测,并自动拦截,并进行记录。
(一)IPS分类
① 基于主机的入侵防护(HIPS):基于入侵防护的软件,部署在服务器上。
② 基于网络的入侵防护(NIPS):对于网络中所有的通信数据进行检测及防护。
③ 基于应用的入侵防护(AIPS):部署在接近主机的网络,对单一主机进行防护。
(二)IPS的部署方式
在部署方式上,IPS大多数是串接模式,由于需要对数据进行直接的动作,所以要部署在数据流经的链路上。串接方式可以保证所有网络数据都经过IPS。
四:网闸
网闸采用的技术主要是GAP技术,是一种由带有多种控制功能的专用硬件在电路上切断网络之间的链路层连接。同时能够在网络间进行安全适度的应用数据交换的网络安全设备。网闸属于物理层设备,可以从物理层进行网络的断开隔离。
五:其他常见网络防护设备
(1)基于web的防护设备(WAF)
针对WEB服务器进行安全防护,可以对WEB系漏洞,SQL注入漏洞和外部针对WEB系统的攻击行为进行针对性防护。
(2)流量清洗设备(Anti-DDoS)
对网络攻击(如DDoS攻击)流量进行过滤清洗。购买设备的同时也需要购买流量服务。
(3)行为管理设备
丰富的网络管理功能,可以提供例如内网限速,MAC地址绑定,安全接入等功能。
(4)审计设备
对网络中出现的正常或异常行为进行审计并生成日志,便于后期数据分析与调查取证。
如数据库安全审计系统,网络数据审计系统等。
(5)网络威胁态势感知系统
通过多种方式收集数据,将收集到的数据进行预处理和标准化,通过数据挖掘、机器学习等技术手段对处理后的数据进行深度分析,识别异常流量、恶意软件、网络攻击等安全事件,根据分析结果生成安全威胁情报,并进行告警。
(6)统一威胁管理(UTM)
集成了防火墙,防病毒软件,内容和垃圾邮件过滤等功能的设备平台。
VPN
一:2层VPN技术
(1)PPTP点到点隧道协议
基于IP网络,只提供单一的二层的隧道,本身不支持隧道验证,和IPsec结合使用,可以由IPsec提供隧道验证。
(2)L2TP第二层隧道协议
基于点对点的连接的网络,支持多条隧道,本身支持隧道验证。和IPsec结合使用,也可以由IPsec提供隧道验证。
二:2.5层VPN技术
MPLS-VPN
运营商为每个VPN提供一个唯一的VPN标识符(RD)。标签分发协议LDP在标签路由器之间互相自动分发标签,建立起来的路径称为LSP。转发表中包括由RD和用户的IP地址组合形成的唯一的地址VPN-IP地址,MPLS-VPN有通常有两层标签,外层标签(公网标签)由下游设备为上游设备通过LDP分发的。内层标签(私网标签,VPN标签),由Exgress PE通过MP-BGP协议分配,用于区分私网路由。
三:3层VPN
(一)IPsec-VPN
IP层通过加密与验证,保证数据包传输的安全性。IPSec通道中双方建立起来的连接称为安全关联SA,约定双方使用相同的封装模式,加密算法,加密密钥,验证算法,验证密钥。由于SA属于点对点的建立,不支持点到多点模式,所以也不支持组播数据传输。
①认证头AH:只支持身份验证
②安全封装载荷ESP,提供数据保密,身份验证
③秘钥交换协议:IKE生成管理分发秘钥
隧道模式
(1)传输模式:AH或ESP头被插到IP报文头和TCP头之间。IP报文头中的源目地址为隧道的源目地址,一般用于企业网内部主机直接配置公网地址并建立VPN。
(2)隧道模式:AH或ESP头被插到原始IP头之前,用新的IP报文作为公网IP地址封装数据,一般用于企业网边界设备配置公网地址并设备建立VPN。
(二)GRE技术
GRE(通用路由封装)协议是对某些网络层协议(如IPv4、IPv6、组播等)的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议中传输,即在协议层之间采用了一种被称之为Tunnel(隧道)的技术。GRE常见技术包括Ethernet over GRE、GRE over IPSec、IPSec over GRE、IPv6 over IPv4 GRE等。
四:应用层VPN
SSL-VPN
SSL-VPN采用SSL协议来实现远程接入的一种新型VPN技术,比L2TP更加灵活的VPN方案。用户可以通过浏览器的HTTPS登录VPN的网址。SSL-VPN的认证方式包括radius认证、CA认证、动态令牌认证、短信认证、USB Key认证等方式。
一:信息安全策略
(一)物理安全策略
物理安全是指在物理介质层次上对存储和传输的网络信息进行安全保护,是网络信息安全的基本保障。需要考虑自然灾害,物理设备故障,电磁辐射和人员误操作等方面。
(1)网络安装环境:自然灾害,磁场干扰,环境污染等。
(2)机房:防水,防强电场,防雷击,温度控制,防强噪声,人员访问安全管理,报警系统等。
(二)系统安全策略
系统安全可以分为强制安全策略和自主安全策略。强制安全策略具有普遍适用性,涉及保密性、完整性、可用性、责任可查性等。自主安全策略更偏向于用户自主的安全需求,具有多样性特点。
二:安全审计
安全审计内容包括识别,记录,存储,分析与安全相关行为的信息,审计记录用于检查与安全相关的活动和负责人包括安全审计自动响应,安全审计数据生成,安全审计分析,安全审计浏览,安全审计时间选择,安全审计事件存储。安全审计的功能包括监视网上的反常行为,收集操作系统和应用系统内部所产生的审计数据,实时报警,网络监控,审计数据维护和查询加密,权限控制,规则制定,其他附加功能。
三:PDR模型
PDR模型源是一个可量化、可数学证明、基于时间的安全模型。
Protection(保护):采用一系列手段(识别、认证、授权、访问控制、数据加密)保障数据的保密性、完整性、可用性、可控性和不可否认性等。
Detection(检测):利用各类工具检查系统可能存在的供黑客攻击、病毒泛滥的脆弱性,即入侵检测、病毒检测等。
Response(响应):对危及安全的事件、行为、过程及时作出响应处理,杜绝危害的进一步蔓延扩大,力求将安全事件的影响降到最低。
PDR模型是建立在基于时间的安全理论基础之上的,信息安全相关的所有活动,无论是攻击行为、防护行为、检测行为还是响应行为,都要消耗时间,需要使用时间尺度进行安全体系的衡量。
Pt:攻击成功所需时间被称做安全体系能够提供的防护时间。
Dt:在攻击发生的同时,检测系统发挥作用,攻击行为被检测出来需要的时间。
Rt:检测到攻击之后,系统会作出应有的响应动作,所需时间被称作响应时间。
① Pt>Dt+Rt:系统安全
② Pt<Dt+Rt:系统不安全
(1)一级等保:信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
(2)二级等保:信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
(3)三级等保:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
(4)四级等保:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
(5)五级等保:信息系统受到破坏后,会对国家安全造成特别严重损害。
信息安全等保级别周期要求
一级等保(自主保护级) 不需要
二级等保(指导保护级) 每两年至少一次
三级等保(监督保护级) 每一年至少一次
四级等保(强制保护级) 每半年至少一次
五级等保(专控保护级) 超出等保范畴
等保2.0标准
在1.0标准的基础上进行了优化,同时针对云计算、移动互联、物联网、工业控制系统及大数据等新技术和新应用领域提出新要求,形成了安全通用要求+新应用安全扩展要求构成的标准要求内容。
**移动网络技术
4G
(1)基于3G网络通过LTE-Advanced演进技术实现4G网络
(2)传输速度最高可达100Mbps
(3)最高可采用64-QAM调制技术,提供更高的数据传输速率
(4)采用OFDM正交频分复用技术消除或降低信号间的干扰
(5)采用MIMO(多输入多输出)天线技术,提高信道利用率和数据传输速率
(6)核心加密算法采用ZUC祖冲之算法
(7)相关网络构架包括EPON网络构架和TD-LTE网络构架
(8)4G网络类型:TD-LTE:中国主导使用4G网络制式
FDD-LTE:全球使用4G网络制式
5G
(1)传输速度最高可达1Gbps
(2)最高可采用256-QAM调制技术,提供更高的数据传输速率
(3)采用OFDM正交频分复用技术消除或降低信号间的干扰
(4)采用SDMA空分复用技术实现同时传输和接收
(5)采用Massive MIMO(大规模MIMO)天线技术提高信道利用率和数据传输速率
(6)核心加密算法采用ZUC祖冲之算法
(7)通过SDR和SDN提升网络架构的灵活性、可管理性和可扩展性
(8)采用切片技术,定义了三大场景:增强移动宽带eMBB:高速率场景
超高可靠低时延通信uRLLC:低延迟场景
机器类通信mMTC:数据采集场景
无线网络协议与机制
一:ALOHA
最早的无线数据通信协议。
(1)纯ALOHA:站点尽力发送数据,并同时进行冲突检测,规定时间内收到应答则表示发送成功,如果存在冲突,则随机等待时间并重新发送。信道利用率最高为18.4%。
(2)时隙ALOHA:通过开槽法将时间分为离散的时间片,每个站点占用时间片发送数据,减少了数据产生冲突的可能性。如果存在冲突,则随机等待时间并重新发送。信道利用率最高为36.8%。
(3)预约ALOHA:基于时隙ALOHA,并提供了多种时间片预约机制。
二:CSMA/CA(带有冲突避免的载波侦听多路访问)
CSMA/CA是一种数据传输是避免各站点之间数据传输冲突的算法,其特点是发送包的同时不能检测到信道上有无冲突,只能尽量“避免”。当不同节点发送数据造成冲突时,发送者可以随机等待一段时间,然后重发控制消息。发送节点在发送完一帧之后,必须等待接收站发回帧的确认ACK。如果接收到确认,则说明此次发送没有出现冲突,发送成功。如果在规定的时间内没有接收到确认,表明出现冲突,发送失败,重发该帧。这个规定时间间隔称为帧间隔(IFS)。
三:帧间隔IFS
1:帧间隔IFS与后退计数器工作原理
① 站点需要发送数据,但检测到信道忙,则产生一个随机数设置为后退计数器。
② 信道空闲后等待IFS时间,然后开始计数。最先计数完的站点首先发送数据。
③ 其他站点在监听到有站点发送数据,则暂停计数,等待该站点发送完毕后,再等待一个IFS时间后再计数,计数完成再发送数据。
两次IFS之间的间隔时间段是各个站点竞争发送的时间,算法对参与竞争的站点是公平的,按照先来先服务的顺序获得发送机会。
2:帧间隔类型
(1)SIFS(短IFS):最短IFS,优先级最高。在RTS/CTS机制中使用。
(2)PIFS(点协调IFS):中等长度IFS,优先级居中。帧间隔长度等于SIFS加上50us,点协调功能PCF操作中使用。
(3)DIFS(分布式协调IFS):最长IFS,优先级最低。帧间隔长度等于PIFS加上50us。分布式协调功能DCF操作中使用。
四:RTS/CTS机制
源端发送RTS帧(请求发送),其中包含源地址,目的地址,数据帧长度。终端收到后,等待一个SIFS,然后回复CTS(允许发送)。源端收到后再等待一个SIFS后再送数据,终端收到数据后也会等待SIFS后应答。
五:无线协调功能
(1)分布式协调功能DCF:基于CSMA/CA的监听机制,提供竞争式服务。监听信道空闲后等待DIFS时间后开始发送数据。
(2)点协调功能PCF:由中心节点集中轮询所有终端,提供无竞争式服务。轮询过程使用了PIFS作为帧间隔时间。
无线网络技术
(1)WiMAX
基于802.16标准,工作在2-66GHz无线频段,无线覆盖范围可达到50km,主要应用于城域网的接入(空中接口标准)。
WiMAX网络体系结构:核心网络,基站(BS),用户基站(SS),接力站(RS),用户终端(TE)。
(2)Ad-hoc
基于802.15.4标准,由带有无线收发装置的终端组成一个临时性自治系统。移动终端具有报文转发功能,可以组成任意的网络拓扑,也可以接入Internet或蜂窝网络。
Ad-hoc网络的优势:独立组网;无中心;自组织;多跳路由;动态拓扑。
Ad-hoc网络的不足:移动终端的局限性;安全性差。
Ad-hoc网络的应用场景:军事应用;传感器网络;紧急场合;偏远野外;临时场合;动态场合;个人通信。
(3)ZigBee技术
① 使用IEEE 802.15.4标准,工作在2.4GHz,最大传输速率为40kb/s
② 通信距离10~75米之间
③ 价格成本低,功耗低
④ 采用了碰撞避免和完全确认机制,确保数据传输的可靠性
⑤ 时延短,网络容量大,具备网络自自组织功能
⑥ 采用CRC校验和数据包完整性检查功能和AES-128加密算法,安全性较高
(4)蓝牙技术
① 使用IEEE 802.15.1标准,工作在2.4GHz,最大传输速率为3Mb/s
② 系统兼容性强,价格成本低,但是功耗较高
③ 通信距离10m,通过增加射频可以提高到100m
④ 具备调频扩频技术,抗干扰能力强
⑤ 支持点到点、点到多点、多点到多点的连接方式
⑥ 采用pin码保证传输安全,但容易遭到暴力攻击
无线局域网
一:IEEE 802.11协议
IEEE 802.11是现今无线局域网通用的标准,其中定义了媒体访问控制层(MAC层)和物理层。802.11的MAC层采用CSMA/CA控制发送与接收。
二:信道频段
(1)2.4G频段:可划分为14个子信道,相邻信道的中心频点间隔5MHz,相邻的多个信道存在频段重叠(如1信道与2、3、4、5信道有频段重叠),通常使用1、6、11非重叠信道。信道可选频宽为20MHz。
(2)5GHz频段:基于20MHz信道频宽,可划分为25个信道,每个信道不重叠。信道可选频宽为20MHz、40MHz、80MHz。信道可绑定。
(3)6GHz频段,基于20MHz信道频宽,可划分为59个信道,每个信道不重叠。信道可选频宽为20MHz、40MHz、80MHz、160MHz、320MHz。信道可绑定。
三:AC无线控制器+AP节点的无线网络架构
对于小型网络部署无线环境,AP可以使用Fat模式通过无线桥接的方式进行互联,但是这种部署方式会存在网络稳定性差,不能实现无缝漫游。所以在中大型的无线局域网部署中一般采用AC+Fit模式。通过AC无线网络控制器,对FIT AP进行下发配置、修改相关配置参数、安全控制等集中化控制管理。
AC模式
(1)路由模式:部署在网络边界。可以代替路由器,具备基本的路由转发及NAT功能。
(2)网桥模式:设备以网桥模式部署时对客户原有的网络基本没有改动,相当于透明串接在网络中,可以做行为管理,一般部署在边界路由器与交换机之间的链路。具体的部署位置根据网络需求而定。
(3)旁路模式:旁路模式主要用于实现监控功能,一般以旁挂的方式部署在核心交换机或汇聚交换机。
无线控制器转发模式
(1)本地转发(直接转发)
管理数据和业务数据分开,STA业务数据从AP
直接转发,不通过CAPWAP隧道封装,AC只负
责管理AP,包括为AP下发控制器系统版本,
管理模板等。
优势:减少AC的负载,AC故障不影响业务。
不足:不易排查问题,功能实现不全,不利于收集和分析数据。
(2)集中转发(隧道转发)
管理数据和业务数据由AP进行CAPWAP隧道封
装后,转发给AC,再由AC解封装后将数据业
务集中转发出去。
优势:便于管理,功能实现全面,便于扩展新功能。
不足:单点故障,AC吞吐、负载高。
四:无线加密
(1)WEP:有线等效保密WEP协议是对在两台设备间无线传输的数据进行加密的方式,用以防止非法用户窃听或侵入无线网络。WEP使用了RC4算法,有漏洞,被淘汰。
(2)WPA-PSK(TKIP):基于802.11i协议。WPA的安全机制,使用TKIP协议(临时密钥完整性协议),加密算法还是WEP中使用的加密算法RC4,每一个使用者必须输入密钥来接入网络,密钥可以是8到63个ASCII字符、或是64个16进位数字(256位元)。
(3)WPA2-PSK(AES):WPA2支持AES(高级加密算法),使用CCMP协议(计数器模式密码块链消息完整码协议)。
(4)WPA-PSK(TKIP)+WPA2-PSK(AES):两种加密方式的结合,是当前无线路由里最高的加密模式,但是这种加密模式因为兼容性的问题,还没有被很多用户所使用。目前最广为使用的就是WPA-PSK(TKIP)和WPA2-PSK(AES)两种加密模式。
五:客户端认证方案
(1)普通的加密认证
(2)MAC地址认证
(3)SSID隐藏
(4)portal认证
(5)短信认证
(6)结合802.1X认证和Radius认证
六:AP的部署与漫游
(1)无线网络覆盖要求AP部署时,AP之间覆盖范围要有一定重叠,且不同AP的工作信道要尽量分开,避免信道干扰。根据网络覆盖范围大小,环境中障碍物对无线信号的影响等因素,优化AP点位的部署。距离AP越远,或者障碍物越多,信号衰减越大。信号衰减一般由-db表示,值越小,证明信号衰减越小,信号质量越高。
(2)无线漫游是指终端设备在不同AP的覆盖范围之间移动且保持用户业务不中断的行为。漫游功能是由AC控制器开启并管理的。根据终端是否在同一个子网内漫游,可以将漫游分为二层漫游和三层漫游。漫游功能的前提是SSID相同;密钥相同;AP之间覆盖有重叠。
七:AP的供电方式
(1)电源供电:成本高,灵活性差
(2)POE供电:通用方式,利用POE交换机供电。POE供电系统由供电端设备(PSE)和受电端设备(PD)组成。POE供电遵循IEEE 802.3af和IEEE 802.3at标准,IEEE 802.3af标准的受电设备功率上限13W,而IEEE 802.3at的受电设备功率提高至25W。
供电方式分为应用空闲脚供电和应用数据脚供电。
应用空闲脚供电时:4、5脚连接为正极,7、8脚连接为负极。
应用数据脚供电时:线对1、2和线对3、6可以为任意极正负极。
八:隐蔽站问题
当A和C检测不到无线信号时,都认为B是空闲的,因而都向B发送数据,结果发生碰撞。
通过RTS/CTS机制。发送方发送RTS帧表明自己需要发送数据包。接收方使用CTS帧确认可以接收数据包,并通过广播方式通知其他设备不要发送数据包,以确保接收方能够正常接收。
DNS服务器
域名解析服务DNS是将域名解析成IP的服务,用户可以直接通过域名访问相应的网络服务,而不需要通过IP地址访问。
一:DNS服务器类别
(1)根据工作性质划类型
①主域名服务器:负责维护一个区域的所有域名信息,解析数据可以修改。②辅助域名服务器: 主域名服务器的备份服务器,解析数据从主域名服务器中同步,不可修改。
缓存域名服务器: 将从其他服务器获取的解析数据保存在高速缓存中,用于后续相同查询的直接调用。
④转发域名服务器:负责所有非本地域名的查询。如果查询没有结果,依次转发到指定的域名服务器进行查询。
(2)根据地域性划分类型
根域名服务器: 最高层域名服务器。存有所有顶级域名服务器的IP地址和域名。
顶级域名服务器:负责管理在本服务器上注册的所有二级域名。
权限域名服务器:可以部署在每一个DNS范围区域内,负责管理区域内的地址解析。
本地域名服务器。
DNS查询方式:
递归
迭代
注意:客户端先查询本地DNS缓存,再查询本地hosts文件。没有记录,再向本地服务器进行查询。
DNS服务器
三:DNS资源记录
①NS记录:名称服务器,指定可以由哪个DNS服务器来进行解析。
②SOA记录:起始授权机构记录,在多个NS记录里哪一个是主要的服务器。
③A记录: 正向域名解析,将域名转换成IP的记录。
④AAAA记录:IPv6正向域名解析,将域名转换成IPv6地址。
⑤PTR记录:逆向域名解析,将IP转换成域名的记录。
⑥MX记录:邮件交换记录,指向邮件服务器,用于电子邮件系统中定位邮件服务器。
⑦CNAME记录: 别名记录,允许将多个域名映射到同一个应用服务器
⑧HINFO记录:主机描述,记录CPU,S等信息。
DHCP服务器
DHCP动态主机配置协议可以自动为客户端分配IP地址、子网掩码、默认网关,DNS 信息等内容,服务器和交换机,路由器等常见网络设备均可以配置DHCP服务。
DHCP服务器
一:DHCP报文类型
① discover: 客户端广播发送,寻找服务器
② offer: 服务端单播应答客户端,携带IP地址等配置参数。
③ request: 客户端广播回应收到第一个offer的发送者服务端。IP地址超过租期的
50%时,客户端通过单播向同一个服务端申请续租。
④ACK: 服务端单播应答客户端,至此,客户端可以正式使用IP地址。
⑤NAK:服务端收到request后由于某些原因而无法正常分配IP地址,单播回应NAK。⑥ release: 客户端不再使用该IP地址时,单播发送该报文通知相关服务端。
⑦ decline: 客户端收到ACK后,使用IP地址发现有地址冲突,则单播告知服务端。
DHCP服务器
二:DHCP工作原理
(1)获取IP地址
①DHCP服务端打开UDP 67端口,监听请求。
②DHCP客户端从UDP 68利用UDP向服务端发送discover广播形式报文。③DHCP服务端发送offer单播形式报文,携带了IP地址等配置参数。④DHCP客户端选择最先收到offer报文,对offer的服务端发送request广播回复。⑤DHCP服务器回复ACK单播形式报文,这时客户才可以正式使用IP地址。注意: 当跨网段部署DHCP服务时,在路由可达的前提下,需要在第一个三层节点配置DHCP中继,用于将discover广播转换成discover单播,发送到DHCP服务器。
(2)续租IP地址
①当租期过了50%,客户端发送request单播向该IP的分配者服务器请求更新租期。②DHCP服务器回应ACK单播确认更新租用期。
③DHCP服务器无法正常分配IP,则回应NACK单播,客户端停止使用IP并重新申请。④DHCP服务器不响应步骤,当租期过了87.5%,客户端释放IP并重新请求IP。
FTP文件传输协议
文件传输协议FTP通常用于文件共享。客户端和服务器通过TCP 21端口(控制连接)和TCP 20端口(数据连接)建立TCP连接。会话期间,控制连接一直打开,有数据传输时打开数据连接,无数据传输则关闭数据连接。FTP具备断点续传功能,因某种原因中断传输并再次启动传输时,可以继续传输,断点信息保存在客户端上。
一:FTP的连接方式
(1)Port主动模式
客户端使用高阶端口N(N > 1023)发送Port命令到服务器的TCP 21端口。Port包含了客户端用N+1端口接收数据的信息。服务器端通过自己的TCP 20端口连接至客户端的N+1端口发送数据。
(2)Passive被动模式
客户端使用高阶端口N(N > 1023)发送Pasv命令到服务器的TCP 21端口,服务器通知客户端,自己使用高阶端口N(N > 1023)接收数据。客户端通过高阶端口N+1连接服务器的N端口发送数据。
二:FTP账户权限
(1)Real用户:所有账户默认为Real。默认的主目录是以帐号命名的目录。可以访问自己的主目录和其他用户的目录。
(2)Guest用户:只能访问为自己建立的主目录。
(3)Anonymous(匿名)用户:没有指定的匿名帐户,可以匿名访问某些公开的目
录。
三:FTP常用命令
Get:下载文件
② Put: 上传文件
③ Mget: 多文件下载
④Mput: 多文件上传⑤Dir、Is:显示文件信息
邮件服务器
(1)SMTP发送协议
负责发送邮件的SMTP进程是SMTP客户端,负责
接收邮件的SMTP进程是SMTP服务端。
件用户代理
(2)POP3接收协议
具有身份鉴别功能和对邮件的进行删除备份等功
POP3
能。用户读取邮件后,POP3服务器将会删除邮件。
(3)IMAP邮件访问协议
用户即使读取了邮件,IMAP服务器仍然会保存邮
件,直到用户手动删除邮件。
浙公网安备 33010602011771号