IP路由原理与VNP技术(精简版).ppt

网络与信息安全基础 第五章IP路由原理与VPN技术 主讲 沈阳航空航天大学程乃伟 程乃伟cnw2001 本章内容介绍 5 1路由的基本概念5 2路由范例5 3距离向量协议 RIP5 4链路状态协议 OSPF5 5VPN概述5 6隧道技术 程乃伟cnw2001 5 1路由的基本概念 所谓 路由 是指把数据从一个地方传送到另一个地方的行为和动作 而路由器 正是执行这种行为动作的机器 它的英文名称为Router 路由器的基本功能如下 第一 网络互连 路由器支持各种局域网和广域网接口 主要用于互连局域网和广域网 实现不同网络互相通信 第二 数据处理 提供包括分组过滤 分组转发 优先级 复用 加密 压缩和防火墙等功能 第三 网络管理 路由器提供包括路由器配置管理 性能管理 容错管理和流量控制等功能 程乃伟cnw2001 路由的要素路径选择 PathDetermination 数据转发 DataSwitching 路由算法的选择依据最优性 Optimality 简单性 Simplicity 强壮性 Robustness 快速收敛 RapidConvergence 灵活性 Flexibility 程乃伟cnw2001 路由算法的分类静态 动态单路径 多路径平面的 层次的域内的 域间的距离向量 DV 链路状态 LS 程乃伟cnw2001 距离向量算法 程乃伟cnw2001 链路状态算法 程乃伟cnw2001 度量值 Metrics 路径长度 PathLength或HopCount跳数 可靠性 Reliability 延迟 Delay 带宽 Bandwidth 负载 Load 通讯费用 CommunicationCost 程乃伟cnw2001 管理距离 AdminDistance 程乃伟cnw2001 路由和被路由协议 路由协议 RoutingProtocol RIP OSPF被路由协议 RoutedProtocol IP IPX不可被路由协议 NonRoutedProtocol NetBIOS 程乃伟cnw2001 列举IP路由的过程 从A1到F1 If3 If1 If2 If3 If1 If2 If1 If2 程乃伟cnw2001 A1主机 读取IP信息包的目的地址 F1的IP地址 判断F1是否与A1处于同一网络 若F1与A1位于同一局域网 A1先利用ARP解析出F1的MAC地址 然后直接与F1通信 若F1与A1不在同一局域网 A1先利用ARP解析出IP网关 路由器R1的If1口 的MAC地址 然后直接与网关通信 由R1负责转发IP包 程乃伟cnw2001 R1路由器 读取IP信息包头中TTL值 TTL 1 丢弃此包 发送ICMP错误信息给A1 TTL 1 TTL 1 继续 若F1位于与R1直连的局域网 R1先利用ARP解析出F1的MAC地址 然后将来自于A1的IP信息包转发给F1 若F1位于远端网络 R1必须先决定将IP信息包转发给哪一个路由器处理 R2 R1先利用ARP解析出路由器R2的If1口的MAC地址 R1由If2口转发IP包给R2的If1口 程乃伟cnw2001 R2路由器 R2的操作与R1类似 判断IP信息包头中TTL值 读取IP信息包的目的地址 F1的IP地址 从路由表中查找F1所在网络的路由信息 选取一条最佳路径 下一跳NextHoptoR3 将IP信息包转发给R3 R2由If3口转发IP包给R3的If1口 程乃伟cnw2001 R3路由器 R3的操作如下 判断IP信息包头中TTL值 读取IP信息包的目的地址 F1的IP地址 从路由表中查找F1所在网络的路由信息 选取一条最佳路经 由于F1位于与R3直连的局域网 If2口 R3先利用ARP解析出F1的MAC地址 然后将来自于A1的IP信息包转发给F1 程乃伟cnw2001 路由表简介 路由表的字段 网络地址 NetworkDestination 网络掩码 Netmask 接口 Interface 网关 Gateway 度量值 Metric 程乃伟cnw2001 模拟网络举例 程乃伟cnw2001 路由表的字段 1 R1路由器的网络地址和网络掩码 程乃伟cnw2001 路由表的字段 2 R1路由器的接口字段 B和D网络从一个接口转发 程乃伟cnw2001 路由表的字段 3 R1路由器的网关字段 R2路由器连接B网络的接口 程乃伟cnw2001 路由表的字段 4 R1路由器的度量值字段 经过另一台路由器 程乃伟cnw2001 决定路由的步骤 1 读取IP信息包中的目的地址 从路由表中读取第一条路由信息 将第一条路由信息中的网络掩码与目的地址按位相与 得到一个网络地址 程乃伟cnw2001 决定路由的步骤 2 2 将上述运算结果与路由表第一条中的网络地址比较 若二者相同 用该记录对应的端口转发此IP信息包 3 对每一条路由表中的记录依次重复步骤1 2 4 假如找不到任何确定的可用的路由记录 则使用缺省路由 程乃伟cnw2001 决定路由的步骤 3 5 若存在多条可用的路由条目 则使用较为精确的路由条目 203 74 205 0 24 网络掩码有24Bits为1203 74 205 0 16 网络掩码有16Bits为16 使用度量值最小的路径 程乃伟cnw2001 5 2路由范例 静态路由 1 一台路由器的环境 1 程乃伟cnw2001 静态路由 1 一台路由器的环境 2 程乃伟cnw2001 静态路由 1 一台路由器的环境 3 程乃伟cnw2001 静态路由 2 两台路由器的环境 1 程乃伟cnw2001 静态路由 2 两台路由器的环境 2 R1路由器的接口地址和子网掩码 R2路由器的接口地址和子网掩码 程乃伟cnw2001 静态路由 2 两台路由器的环境 3 R1路由器 程乃伟cnw2001 静态路由 2 两台路由器的环境 4 R2路由器 程乃伟cnw2001 静态路由 3 两台路由器 缺省路由 1 203 149 175 9 程乃伟cnw2001 静态路由 3 两台路由器 缺省路由 2 R3路由器的接口地址和子网掩码 203 149 175 9 程乃伟cnw2001 静态路由 3 两台路由器 缺省路由 3 缺省路由的设置原理有点类似于排除法 靠手工输入静态路由 是无法穷尽所有IP地址的 因此 所有路由条目中不包含的网络地址 就发往缺省路由所指向的网关 下表是本例中路由器R1 R2要访问Internet时 目的地址是除LAN1 LAN2 LAN3以外的IP地址 所用到的缺省路由 程乃伟cnw2001 静态路由 3 两台路由器 缺省路由 4 R3路由器的静态路由 路由指向的双向性 路由要有去有回 但IP数据包的路由过程是单向的 203 149 175 9 程乃伟cnw2001 动态路由 DynamicRoutingProtocol 动态建立路由表自动维护路由表路由算法 algorithm 应用层协议路由器之间相互通信比静态路由复杂 程乃伟cnw2001 动态路由协议具有的共性 动态学习到网络中全部子网的路由 并填写到路由表中 如果到一个子网有多条合法路由 那么将最好的一条放到路由表中 当路由表中的路由不再合法时 从路由表中删除这些路由 并向其它路由器发出通知 尽快的加入新的路由 或者用更好的当前路由替代失去的路由 从失去一个路由到找到一个替代路由的时间叫做收敛时间 阻止循环路由 程乃伟cnw2001 动态路由的分类 内部网关协议IGP InteriorGatewayProtocol 距离向量路由协议 DistanceVector 链路状态协议 linkstate 外部网关协议EGP ExteriorGatewayProtocol BorderGatewayProtocol BGP 边界网关协议ExteriorGatewayProtocol EGP 程乃伟cnw2001 5 3距离向量协议 RIP 路由信息协议RIP RoutingInformationProtocol 使用距离来决定最佳路径 通过路由跳数 Hop 来作为度量值 Metric 路由器每30秒互相发送广播信息路由器只与相邻的路由器交换信息路由器与相邻的路由器交换全部路由信息 程乃伟cnw2001 路由信息协议RIP 路由器知道直接相连的子网 这些路由将被广告 Advertising 路由器在指定间隔内从邻近路由器接收定期更新 如果在一定时间内没有从邻居接收到更新 将删除从邻居学习到的路由 路由更新在许多情况下是广播 或组播 收到广播信息的每个路由器增加一个跳数 程乃伟cnw2001 路由信息广播 路由器A 和我相邻的有LAN1 LAN2 路由器B 和我相邻的有LAN2 LAN3 路由器C 和我相邻的有LAN3 LAN4 程乃伟cnw2001 度量值计算 路径1 A B LAN2 度量值 1 路径2 A C D LAN2 度量值 2 程乃伟cnw2001 RIP的缺陷 1 RIP协议花费大量的时间用于收敛 在RIP协议认识到路径不能达到前 它被设为等待 直到它已错过6次更新总共180秒时间 在使用新路径更新路由表前 它等待另一个可行路径的下一个信息的到来 这意味着在备份路径被使用前至少经过了3分钟 这对于多数应用程序是超长的时间 程乃伟cnw2001 RIP协议的另一个基本问题是 当选择路径时它忽略了连接速度问题 例如 如果一条由所有快速以太网100Mbps连接组成的路径比包含一个10Mbps以太网连接的路径远一个跳数 具有较慢10Mbps以太网连接的路径将被选定作为最佳路径 RIP的缺陷 2 程乃伟cnw2001 RIP的缺陷 3 4 RIP1协议不能应用VLSM VariableLengthSubnetMask可变长子网掩码 因此不能分割地址空间以最大效率地应用有限的IP地址 RIP协议只支持从网络的一个终端到另一个终端的路由跳不超过16个 这限制了RIP协议只能在规模不大的网络上的使用 程乃伟cnw2001 路由信息协议2 RIP2 与RIP1相比 RIP2协议最大的变化是通过引入子网掩码子段 实现了支持VLSM这个功能 程乃伟cnw2001 RIP1的包结构 Command 1 6 Version 1 IP包头 UDP包头 RIP数据包 078151631 Mustbe0 AddressFamily Mustbe0 32BitsIPAddress Mustbe0 Mustbe0 Metric 0 16 upto24morerouteswiththelast20byteformat 程乃伟cnw2001 RIP2的包结构 Command 1 6 Version 2 IP包头 UDP包头 RIP数据包 078151631 RoutingDomain AddressFamily RoutingTags 32BitsIPAddress 32BitsSubnetMask 32BitsnextHopIPAddress Metric 0 16 upto24morerouteswiththelast20byteformat 程乃伟cnw2001 Command 该命令字段用来指定数据报用途 命令有五种 Request Response Traceon 已经淘汰 Traceoff 已经淘汰 和Reserved Version RIP版本号 当前为2 AddressFamily 指出该入口的地址类型 由于RIP2可能使用几种不同协议传送路由选择信息 所以使用到该字段 IP中的AddressFamily为2 程乃伟cnw2001 RouteTag 路由器指定属性 必须通过路由器保存和重新广告 路由标志是分离内部和外部RIP路由线路的一种方法 路由选择域内的网络传送线路 该方法在EGP或IGP都有引用 IPAddress 目标网络IP地址 程乃伟cnw2001 SubnetMask 应用于IP地址 生成非主机地址部分 如果为0 说明该入口不包括子网掩码 NextHop 下一跳IP地址 由路由入口指定的通向目的网络的数据包需要转发到该地址 Metric 表示从主机到目的地传输数据报的整个成本 该Metric就是与网络相关联的成本总和 程乃伟cnw2001 RIP举例 1 162 11 5 0 162 11 9 0 162 11 8 0 162 11 10 0 162 11 7 0 RouterA RouterB RouterC A3 1 RouterAAdvertisingDirectlyConnectedRouters 9 1 9 2 8 2 8 1 1 A2 A1 B1 B2 C2 C1 程乃伟cnw2001 RIP举例 2 162 11 5 0 162 11 9 0 162 11 8 0 162 11 10 0 162 11 7 0 RouterA RouterB RouterC 2 RouterCAdvertisingDirectlyConnectedRouters 9 1 9 2 8 2 8 1 1 A1 A2 A3 C2 C1 B2 B1 程乃伟cnw2001 RIP举例 3 162 11 5 0 162 11 9 0 162 11 8 0 162 11 10 0 162 11 7 0 RouterA RouterB RouterC 2 RouterBAdvertisingDirectlyConnectedRouters 9 1 9 2 8 2 8 1 1 A2 A1 A3 C2 C1 B2 B1 程乃伟cnw2001 5 4链路状态协议 OSPF 链路状态 linkstate 协议在每一个路由器上建立一个拓扑数据库 描述路由器与其他路由器之间的链路 与路由器相邻的路由器项目都包括在数据库中 就是说每个路由器都建立一个网络的完整地图 然后用一个叫做Dijkstrashortestpathfirst SPF 的算法来处理数据库 选择一个最佳路径放置到路由表中 详细的拓扑信息和Dijkstra算法使得链路状态协议能够避免循环并使算法快速收敛 程乃伟cnw2001 OSPF Openshortestpathfirst 与RIP不同 OSPF将一个自治域再划分为区 相应地有两种类型的路由选择方式 当源和目的地在同一区时 采用区内路由选择 当源和目的地在不同区时 则采用区间路由选择 这就大大减少了网络开销 增加了网络的稳定性 当一个区内的路由器出了故障时并不影响自治域内其它区路由器的正常工作 这也给网络的管理 维护带来方便 程乃伟cnw2001 OSPF与RIP的不同 OSPF 链路状态协议 不定期发送路由信息 只在网络结构发生变化的时候发送 OSPF收敛速度比RIP快 OSPF的度量值考虑了带宽的因素 OSPF的工作是有层次的 OSPF可以直接接收远端路由器的链路状态信息 程乃伟cnw2001 路由循环的解决 距离向量类的算法容易产生路由循环 RIP是距离向量算法的一种 所以它也不例外 如果网络上有路由循环 信息就会循环传递 永远不能到达目的地 水平分割 splithorizon 水平分割保证路由器记住每一条路由信息的来源 并且不在收到这条信息的端口上再次发送它 这是保证不产生路由循环的最基本措施 程乃伟cnw2001 毒性逆转 poisonreverse 当一条路径信息变为无效之后 路由器并不立即将它从路由表中删除 而是用16 即不可达的度量值将它广播出去 这样虽然增加了路由表的大小 但对消除路由循环很有帮助 它可以立即清除相邻路由器之间的任何环路 程乃伟cnw2001 路由循环的解决 触发更新 triggerupdate 当路由表发生变化时 更新报文立即广播给相邻的所有路由器 而不是等待30秒的更新周期 同样 当一个路由器刚启动RIP时 它广播请求报文 收到此广播的相邻路由器立即应答一个更新报文 而不必等到下一个更新周期 这样 网络拓扑的变化会最快地在网络上传播开 减少了路由循环产生的可能性 程乃伟cnw2001 抑制计时 holddowntimer 一条路由信息无效之后 一段时间内这条路由都处于抑制状态 即在一定时间内不再接收关于同一目的地址的路由更新 如果 路由器从一个网段上得知一条路径失效 然后 立即在另一个网段上得知这个路由有效 这个有效的信息往往是不正确的 抑制计时避免了这个问题 而且 当一条链路频繁起停时 抑制计时减少了路由的浮动 增加了网络的稳定性 程乃伟cnw2001 路由循环的解决 即便采用了上面的4种方法 路由循环的问题也不能完全解决 只是得到了最大程度的减少 一旦路由循环真的出现 路由项的度量值就会出现计数到无穷大 CounttoInfinity 的情况 这是因为路由信息被循环传递 每传过一个路由器 度量值就加1 一直加到16 路径就成为不可达的了 RIP选择16作为不可达的度量值是很巧妙的 它既足够的大 保证了多数网络能够正常运行 又足够小 使得计数到无穷大所花费的时间最短 程乃伟cnw2001 5 5VPN概述 Wherever Whoever Whenever Whatever Safety 程乃伟cnw2001 需求推动技术 技术提升需求 Mr Cheng 2014 9 22 企业 组织 商家等对专用网的需求 但传统的通过租用专线或拨号网络的方式越来越不适用高性能 高速度和高安全性 IP协议本身的局限性 不能保证信息直接传输的保密性 程乃伟cnw2001 5 5 1VPN的定义及特性 VPN VirtualPrivateNetwork 虚拟专用网络 将物理上分布在不同地点的网络通过公用网络连接成逻辑上的虚拟子网 并采用认证 访问控制 保密性 数据完整性等在公用网络上构建专用网络的技术 使得数据通过安全的 加密管道 在公用网络中传输 公用网通常指Internet 程乃伟cnw2001 Internet VPN的商业应用 传统模式 VPN模式 程乃伟cnw2001 移动VPN客户端 程乃伟cnw2001 虚拟 用户不再需要拥有实际的长途数据线路 而是使用公共网络资源 但它建立的只是一种临时的逻辑连接 一旦通信会话结束 这种连接就断开了 专用 用户可以定制最符合自身需求的网络 VPN使得企业通过互联网既安全又经济地传输私有的机密信息成为可能 程乃伟cnw2001 VPN的安全性 VPN的主要目的是保护传输数据必须具备4个关键功能认证 数据传输的来源确如其声明所言 目的地确实是数据期望到达的位置访问控制 限制对网络未经授权的访问机密性 防止数据在通过网络时被察看数据完整性 防止传输中对数据的任何篡改VPN的目的是保护信息从信道的一个端点到另一端点的传输 信道的端点之前和之后 VPN不提供任何的数据包保护 程乃伟cnw2001 VPN的特性 安全性隧道 加密 密钥管理 数据包认证 用户认证 访问控制可靠性硬件 软件 基础网络的可靠性可管理性记帐 审核 日志的管理支持集中的安全控制策略可扩展性成本的可扩展性 如使用令牌卡成本高性能低 是否考虑采用硬件加速加解密速度 程乃伟cnw2001 可用性系统对应用尽量透明对终端用户来说使用方便互操作性尽量采用标准协议 与其他供应商的设备能互通服务质量QoS通过Internet连接的VPN服务质量很大程度取决于Internet的状况多协议支持IPX费用低节省了租用专线的费用 仅有VPN设备费和网费 程乃伟cnw2001 VPN的组成 VPN服务器 接受来自VPN客户机的连接请求 VPN客户机 可以是终端计算机 也可以是路由器 公共网络 如Internet 也可以是其他共享型网络 VPN连接 在VPN连接中 数据必须经过加密 隧道 数据传输通道 在其中传输的数据必须经过封装 隧道协议 封装数据 管理隧道的通信标准 传输数据 经过封装 加密后在隧道上传输的数据 程乃伟cnw2001 5 6隧道技术 5 6 1隧道概念V Virtual Tunnel 隧道技术 PPTPL2TPIPSecGREP Private SecurityN Network RemoteAccessIntranetExtranet 程乃伟cnw2001 定义隧道是由支持VPN的路由器 Router 建立的一条持续的逻辑连接 或者说逻辑专线 工作原理首先进行加密 以确保安全 再将各种协议 如 IPX NetBEUI等 的数据包封装为统一的IP包的形式 通过隧道在公共网络上传输 IP隧道实现了信息的隐蔽和抽象 程乃伟cnw2001 示意图 公共网络 未加密数据包 解密后数据包 IP包头 原数据包 隧道 封装器 解包器 承载者 被承载者 隧道封装协议 程乃伟cnw2001 5 6 2隧道协议 二层隧道协议 数据链路层PPTP PointtoPointTunnelingProtocol 点对点隧道协议L2TP Layer2TunnelingProtocol 第二层隧道协议三层隧道协议 网络层GRE GenericRoutingEncapsulation IPSec 程乃伟cnw2001 关于二层隧道协议 程乃伟cnw2001 L2TP运作模式 LAC全称为L2TP访问连接器 L2TPAccessConcentrator LAC位于远程拨号用户和LNS设备之间 负责远程拨号用户和LNS设备彼此间的数据转发 从LAC向LNS转发数据需要先利用L2TP协议在两个设备之间建立隧道 LAC和远程拨号用户间仍使用PPP链路 L2TP网络服务器LNSLNS L2TPNetworkServer 程乃伟cnw2001 LAC支持客户端的L2TP 用于发起呼叫 接收呼叫和建立隧道 LNS是所有隧道的终点 在传统的PPP连接中 用户拨号连接的终点是LAC L2TP使得PPP协议的终点延伸到LNS 在安全性考虑上 L2TP仅仅定义了控制包的加密传输方式 对传输中的数据并不加密 因此 L2TP并不能满足用户对安全性的需求 如果需要安全的VPN 则依然需要IPSec 程乃伟cnw2001 第三层协议 网络层 GRE 通用路由封装协议 GenericRoutingEncapsulation IPSec IP层安全协议 InternetProtocolSecurity IPinIP 程乃伟cnw2001 通用路由封装协议GRE 基于IP的多协议隧道协议可以封装AppleTalk Banyan DECnet IP IPX 程乃伟cnw2001 GRE协议的头结构 程乃伟cnw2001 IPSec IPSecurity 的特点 是基于IPV6的标准 在任何两个VPN节点通信之前 都要协商一个安全联盟 TheSecurityAssociationSA 可以确保信息在整条隧道上的安全性 优势保证数据的私密性 可验证性和完整性 在网络中透明实现 可以作为端到端的解决方案 包括路由器 防火墙 PC和服务器 组成AH 验证头 ESP 封装安全负载 IKE 因特网密码交换 程乃伟cnw2001 IPSec把IP分组安全性定义为两种类型的数据传输方式 隧道模式对整个IP数据包进行加密或认证 此时 需要新产生一个IP头部 IPSec头部被放在新产生的IP头部和以前的IP数据包之间 从而组成一个新的IP头部 传输模式只对IP数据包的有效负载进行加密或认证 此时 继续使用以前的IP头部 只对IP头部的部分域进行修改 而IPSec协议头部插入到IP头部和传输层头部之间 程乃伟cnw2001 1 ESP EncapsulatingSecurityPayload IPSecESP通过加密需要保护的数据以及在IPSecESP的数据部分放置这些加密的数据来提供机密性和完整性 根据用户安全要求 这个机制既可以用于加密一个传输层的段 如 TCP UDP ICMP IGMP 也可以用于加密一整个的IP数据报 封装受保护数据是非常必要的 这样就可以为整个原始数据报提供机密性 程乃伟cnw2001 2 AH AuthenticationHeader AH只涉及到认证 不涉及到加密 认证头协议是IPsec体系结构中的一种主要协议 它为IP数据报提供无连接完整性与数据源认证 AH尽可能为IP头和上层协议数据提供足够多的认证 但是 在传输过程中某些IP头字段会发生变化 且发送方无法预测当数据包到达接受端时此字段的值 AH并不能保护这种字段值 因此 AH提供给IP头的保护有些是零碎的 程乃伟cnw2001 3 IKE InternetKeyExchange IKE协议主要是对密钥交换进行管理 它主要包括三个功能 对使用的协议 加密算法和密钥进行协商 方便的密钥交换机制 这可能需要周期性的进行 跟踪对以上这些约定的实施 程乃伟cnw2001 5 6 3VPN组网方式 AccessVPN 远程接入IntranetVPN 企业内域网ExtranetVPN 企业外域网 程乃伟cnw2001 AccessVPN 又称为拨号VPN 即VPDN 是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网 典型的远程访问VPN是用户通过本地的信息服务提供商 ISP 登录到因特网上 并与现在的办公室和公司内部网之间建立一条加密信道 程乃伟cnw2001 IntranetVPN 即企业的总部与分支机构间通过公网构筑的虚拟网 这种类型的连接带来的风险最小 因为公司通常认为他们的分支机构是可信的 并将它作为公司网络的扩展 内部网VPN的安全性取决于两个VPN服务器之间加密和验证手段上 程乃伟cnw2001 ExtranetVPN 即企业间发生收购 兼并或企业间建立战略联盟后 使不同企业网通过公网来构筑的虚拟网 它能保证包括TCP和UDP服务在内的各种应用服务的安全 如Email HTTP FTP RealAudio 数据库的安全以及一些应用程序如Java ActiveX的安全 程乃伟cnw2001 填写路由收敛后A B C三个路由器中的路由表 10 1 0 0 10 2 0 0 10 3 0 0 10 4 0 0 A B C A1 A2 B1 B2 C1 C2