数据通信与网络协议 第9章 IP交换与IP安全

第三版 ) 第 3章 第 1页 第 9章 本章概述 本章的学习目标 主要内容 第三版 ) 第 3章 第 2页 本章概述 为了解决了传统路由器低速、复杂所造成的 网络瓶颈 问题，需要设计快速的转发技术， 因此要想利用二层转发效率高这一优点，又要处理三层 三层交换技术就诞生了。 在解决兼容问题的同时，负面效应随之而来。网络层除了转发速度的问题，还有安全隐患，解决数据安全、认证信息、完整性等问题是网络层无法绕开的职责。 本章全面简述 第三版 ) 第 3章 第 3页 本章的学习目标 理解第三层交换基本概念 理解 掌握 掌握 掌握 掌握 第三版 ) 第 3章 第 4页 主要内容 本章小结 第三版 ) 第 3章 由于 快速和更便宜的 实上许多 果发生拥塞， 塞消除，网络通信可以恢复如初。如果主机继续将分组注入一个已经阻塞的网络，而忽略或不理解隐含或显式的拥塞指示，问题不但不会消失，反而可能更严重。 如何在路由器三层设备实现分组快速转发，是应用的迫切需求。 第 5页 第三版 ) 第 3章 络层的 三层路由技术的基本功能是实现路径确定、路由表维护等路由处理，完成地址解析、计数器维护、报文头重写等业务流转发任务。第二层交换技术的基本功能就是转发业务流，将输入端口与输出端口对应起来。交换机的体系结构和实现方法决定了在什么时候进行对应以及如何对应。第二层交换技术使用端口的 第 6页 第三版 ) 第 3章 两个基本类型 第三层交换选实现基于第三层（ 址转发业务流，执行交换功能，可能提供诸如认证的特别服务，执行或不执行路由处理。第三层交换分为两个基本类型：一种在第三层对每个信息报文都进行处理；而另一种则不是这样。前者称为报文到报文第三层交换（ 后者称为第三层流交换（ 第 7页 第三版 ) 第 3章 第三层交换机的定位 第三层交换机为网络设计提供了许多灵活性。例如，它可用于会聚建筑物内网段的业务流，将局部业务流局限于子网内，而同时以线速度转发跨子网的业务流。它们可用于前端共享资源（如服务器群），提供高速交换连接，同时保护这些服务器免受消耗其处理时间的外部广播业务流的影响。它们也可减轻传统路由器的 需对老技术进行进一步扩充或投资以改善所有第三层协议的性能。 第 8页 第三版 ) 第 3章 建立一条直通路径的标准和置于直通路径上的业务流的分类标准依赖于 般而言，有两种 驱动和拓扑驱动。 第 9页 第三版 ) 第 3章 撑技术 除了交换和路由技术外，新的第三层技术的成功与其他正在开发的技术有着密切联系。 虚拟局域网 、 第 10页 第三版 ) 第 3章 第 11页 主要内容 本章小结 第三版 ) 第 3章 多协议标签交换（ 一种用于快速数据包交换和路由的体系，它为网络数据流量提供了目标、路由、转发和交换等能力。更特殊的是，它具有管理各种不同形式通信流的机制。 立于第二和第三层协议，诸如 提供了一种方式，将 址映射为简单的具有固定长度的标签，用于不同的包转发和包交换技术。它是现有路由和交换协议的接口，如 中继、资源预留协议（ 开放最短路径优先（ 等。 第 12页 第三版 ) 第 3章 多协议标签交换技术 一种在开放的通信网上利用标签引导数据高速、高效传输的技术。 种技术融合了第二层的分组交换转发技术和第三层的路由技术。 承了传统路由协议的柔韧强健的特性，可运行在大多数网络上，包括 太网，并且支持高带宽高速率的 第 13页 第三版 ) 第 3章 主要运行负责与其他 现 立 发标签绑定信息，建立和维护标签转发表等工作。 第 14页 第三版 ) 第 3章 由 于区域边缘的 ，主要完成连接 实现对业务的分类、分发标签（作为出口 剥去标签等。其中入口 口 位于区域内部的 心 可以是支持 提供标签分发、交换功能（带标签的分组沿着由一系列 送。 第 15页 第三版 ) 第 3章 第 16页 L S R R R R R R R R R P P r o t o c o L S D o m a i PI n g r e s sE g r e s 第三版 ) 第 3章 转发等价类 将具有相同转发处理方式，例如目的地相同、使用转发路径相同、具有相同的服务等级的分组归为一类，称为转发等价类。 具有相同属性的分组映射到某个 射的目的是标记分组。一个 可以是一组数据流。 地”意义，如何建立数据流分组到 般来说，划分分组的 于相同转发等价类的分组，在 第 17页 第三版 ) 第 3章 标签分发协议 控制调 有标记的包或信元进行交换， 也能支持第三层路由功能，完成 标记加到包上，主要完成连接 现 对业务进行分类、分发标签、剥去标签等，流量工程， 记交换通路于 记分发协议 于分配标签。 第 18页 第三版 ) 第 3章 数据通信过程中，用标记分配协议 （ 代现面向连接功能。中间的 （ 只做信元交换功能，消减了传统路由器网逐跳寻址的弊端，减少处理时延。 上的，根据不同的映射策略可以提供对不同业务的支持，方便提供了新业务的 时提供了灵活的转发机制。 第 19页 第三版 ) 第 3章 在传统的路由中路由器中，需要分析包含在每个分组头中的信息，然后解析分组头、提取目的地址、查询路由表、决定下一跳地址、计算头校验、减 持高带宽高速率的 制路由的标记分配协议 提供了对 量工程的强大支持。提供 且在以与传统的路由协议共存而不增加现在网管的负担。可与现在 第 20页 第三版 ) 第 3章 签 （标记） 1. 标签的定义 标签为一个长度固定、具有本地意义的短标识符，用于标识一个 当分组到达 将按一定规则被划归不同的 据分组所属的相应的标签封装在分组中，这样，在网络中，按标签进行分组转发即可。 第 21页 第三版 ) 第 3章 2. 标签的结构 标签的结构如图 9签位于链路层包头和网络层分组之间，长度为 4个字节。 标签共有 4个域： 签值字段，长度为20于转发的指针。 3留，协议中没有明确规定，通常用于 S： 1多重标签。值为 1时表明为最底层标签。 8 第 22页 第三版 ) 第 3章 标签的结构图 9 23页 2 21 9 3 10L a b e P 第三版 ) 第 3章 3. 标签的操作 （ 1）标签映射 （ 2）标签的封装 （ 3）标签分配和分发 （ 4）标签分配控制方式 （ 5） 标签保持方式 标签保持方式分为自由标签保持方式和保守标签保持方式两种。 第 24页 第三版 ) 第 3章 为进入网络中的 通过对标记的交换来实现 记作为 网络内部 数据包要退出 据包被解开封装，继续按照 络的中心行为以及如何建立标记交换路径。 第 25页 第三版 ) 第 3章 1. 网络的边缘行为 当 先， 且按照它的目的地址和业务等级加以区分。 在 概念来，将输入的数据流映射到一条 单地说， 相同处理过程的数据包。这就意味着所有 第 26页 第三版 ) 第 3章 对于每一个 达目的地。数据包分配到一个 为其生成一个标记。标记信息库将每一个 果下一跳的链路是 转发数据包时， 后将数据包用 标记信息库所规定的下一个接口发送出去。 第 27页 第三版 ) 第 3章 2. 网络的核心行为 当一个带有标记的包到达 时以它作为索引在标记信息库中查找。当 出出局的标记，并由出局标记代替入局标签，从标记信息库中所描述的下一跳接口送出数据包。 最后，数据包到达了 这一点， 然按照 第 28页 第三版 ) 第 3章 3. 建立标记交换路径两种方式 （ 1） “一个 于这些 从传统的 一台沿途的路由器都要检查包的目的地址，并且选择一条合适的路径将数据包发送出去。而 据包虽然也沿着 是它的数据包头在整条路径上从始至终都没有被检查。 在每一个节点， 且是通过与它们的对等层交换标记而生成的。交换是通过 第 29页 第三版 ) 第 3章 （ 2） 显式路由 引导 ”数据包，比如避免拥塞或者满足业务的以规定数据包将选择的路径。 不像 而代之， 图 3所示。 而建立这条路径。 第 30页 第三版 ) 第 3章 送。将这种绑定通告 个过程是通过标签分发协议 及路由选择方式。 第 31页 第三版 ) 第 3章 1. 一条 能并不是路由协议所提供路径的一部分， 避免了传统的网络层封装隧道。当隧道经由的路由和逐跳与从路由协议取得的路由一致时，这种隧道叫逐跳路由隧道；若不一致，则这种隧道叫显式路由隧道。如图 92、 第 32页 第三版 ) 第 3章 图 9第 33页 R 1 R 2 R 3 R 4R 2 1 R 2 2第 一 层第 二 层第三版 ) 第 3章 标签栈 在 分组可以携带多个标签，这些标签在分组中以 “堆栈 ”的形式存在，对堆栈的操作按“后进先出”的原则，决定如何转发分组的标签始终是栈顶标签。标签入栈是指向输出分组中加入一个标签，使标签栈的深度加 1，同时，分组的当前标签就变为此新加入的标签；标签出栈是指从分组中去掉一个标签，使标签栈的深度减 1，同时，分组的当前标签将变为原来处于下一层的标签。 第 34页 第三版 ) 第 3章 在 分组在 组的标签就会有多层。在每一隧道的入口和出口处，要进行标签栈的入栈和出栈操作，每发生一次入栈操作，标签就会增加一层。 标签栈按照 “后进先出 ”方式组织标签， 若一个分组的标签栈深度为 m，则位于栈底的标签为 1级标签，位于栈顶的标签为 打标签的分组可看作标签栈为空（即标签栈深度为零）的分组。 第 35页 第三版 ) 第 3章 2. 标签报文的转发 在 进入网络的分组根据其特征划分成转发等价类 般根据 于相同 后从相应的接口转发出去。 第 36页 第三版 ) 第 3章 在 已建立了输入 /输出标签的映射表（该表的元素叫下一跳标签转发条目，简称 对于接收到的标签分组， 用新的标签来替换原来的标签，然后，对标签分组进行转发，这个过程叫输入标签映射 续 常规的网络层转发要简单得多，转发速度得以提高。 第 37页 第三版 ) 第 3章 过 而建立起网络层上的 可以终止于网络出口节点，从而在网络中所有中间节点上都使用标签交换。 第 38页 第三版 ) 第 3章 1. 用个， 放等消息。 本地 DP 建立会话的两个 远端 DP 建立会话的两个 第 39页 第三版 ) 第 3章 发现（ 息，用于通告和维护网络中 会话（ 息，用于建立、维护和终止 通告（ 息，用于创建、改变和删除标记 通知（ 息，用于提供建议性的消息和差错通知。 第 40页 第三版 ) 第 3章 标签空间与 以为 可以整个 一个六字节的数值，格式如下： ： 标签空间序号 。其中，四字节的 签空间序号占两字节。 第 41页 第三版 ) 第 3章 2. 图 9 第 42页 第三版 ) 第 3章 图 9签分发 第 43页 L a b e l R e q u e s tL a b e l M a p p i n gI n g r e s s E g r e s P 1L D P 会 话M P L S （ L E R ）边 缘 路 由 器L S P 2 L S （ L E R ）核 心 交 换 路 由 器第三版 ) 第 3章 标签分发模式 在一条 数据传送的方向，相邻的 如，在上图中的 SR 签的分发过程有下游按需标签分发 们的主要区别在于标签映射的发布是上游请求还是下游主动发布。 第 44页 第三版 ) 第 3章 式 上游 含下游 将绑定的标签通过标签映射消息反馈给上游 下游 决于该 用有序标签控制方式时，只有收到它的下游返回的标签映射消息后，才向其上游发送标签映射消息；采用独立标签控制方式时，不管有没有收到它的下游返回的标签映射消息，都立即向其上游发送标签映射消息。 上游 图 1SR 第 45页 第三版 ) 第 3章 式 下游 动向其上游游 根据路由表信息来处理收到的标签映射信息。 第 46页 第三版 ) 第 3章 3 . 按照先后顺序， 话建立与维护， 话撤销四个阶段。 第 47页 第三版 ) 第 3章 发现阶段 在这一阶段，希望建立会话的 知相邻节点本地对等关系。通过这一过程， 无需进行手工配置。 第 48页 第三版 ) 第 3章 （ 1） 基本发现机制 基本发现机制用于发现本地的 通过链路层直接相连的 立本地 种方式下， 携带特定端口所属标签空间的果 表明可能存在一个可达的对等 过 第 49页 第三版 ) 第 3章 扩展发现机制 扩展发现机制用于发现远端的 不通过链路层直接相连的 立远端 种方式下， 第 50页 第三版 ) 第 3章 （ 2）会话建立与维护 对等关系建立之后， 先建立传输层连接，即在 后对 商会话中涉及的各种参数，如 签分发方式、定时器值、标签空间等。 第 51页 第三版 ) 第 3章 （ 3） 将这种绑定通告 个过程是通过 要步骤如下。 （ i）当网络的路由改变时，如果有一个边缘节点发现自己的路由表中出现了新的目的地地址，并且这一地址不属于任何现有的 该边缘节点需要为这一目的地址建立一个新的缘 其下游 指明是要为哪个 第 52页 第三版 ) 第 3章 （ 到标签请求消息的下游 据本地的路由表找出对应该 续向下游 （ 标签请求消息到达目的节点或 果这些节点尚有可供分配的标签，并且判定上述标签请求消息合法，则该节点为 向上游发出标签映射消息，标签映射消息中包含分配的标签等信息； 第 53页 第三版 ) 第 3章 （ 到标签映射消息的 于某一 果数据库中记录了相应的标签请求消息， 在其标签转发表中增加相应的条目，然后向上游 （ v）当入口 也需要在标签转发表中增加相应的条目。这时，就完成了 下来就可以对该 第 54页 第三版 ) 第 3章 （ 4）会话撤销 DP 存状态”定时器，每收到一个 果在收到新的 等关系失效。 止会话进程。 第 55页 第三版 ) 第 3章 4. 在 避免标签请求等消息发生环路。 （ 1）最大跳数 在传递标签绑定的消息中包含跳数信息，每经过一跳该值就加一。当该值超过规定的最大值时认为出现环路，终止 （ 2）路径向量 在传递标签绑定的消息中记录路径信息，每经过一跳，相应的 果没有，将自己的 果有，说明出现了环路，终止 第 56页 第三版 ) 第 3章 5. 基于约束路由的 所谓 是入口节点在发起建立 标签请求消息中对 些约束信息可以是对沿途 逐一指定 时叫严格的显式路由；也可以是对选择下游 只指定 时叫松散的显式路由。 第 57页 第三版 ) 第 3章 第 58页 主要内容 本章小结 第三版 ) 第 3章 容易便可伪造出 改其内容、重播以前的包，在传输途中拦截并查看包的情况每时每刻都在发生。因此，我们收到的 如 自真实的发送方； 始数据在传输中途是否被其它人看查阅。 第 59页 第三版 ) 第 3章 针对这些问题， 采取的具体保护形式有，数据起源地验证；无连接数据的完整性验证；数据内容的机密性；抗重播保护；以及有限的数据流机密性保证。 第 60页 第三版 ) 第 3章 定的三层隧道加密协议，它为 传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。特定的通信方之间在 供了以下的安全服务： 数据机密性（ ， 数据完整性（， 数据来源认证（ ， 防重放（ 第 61页 第三版 ) 第 3章 1. 种 实现协议 认证头协议，协议号为 51。主要提供的功能有数据源认证、数据完整性校验和防报文重放功能，可选择的认证算法有 。 文头插在标准 头后面，保证数据包的完整性和真实性，防止黑客截获数据包或向网络中插入伪造的数据包。 第 62页 第三版 ) 第 3章 证头协议，协议号为 50。与 议不同的是，需要保护的用户数据进行加密后再封装到中，以保证数据的机密性。常见的加密算法有 3。同时，作为可选项，用户可以选择 法保证报文的完整性和真实性。 以单独使用，也可以联合使用。设备支持的 合使用的方式为：先对报文进行 装，再对报文进行 装，封装之后的报文从内到外依次是原始 文、 、 和外部 。 第 63页 第三版 ) 第 3章 2. 安全联盟（ 两个端点之间提供安全通信，端点被称为 等体。 基础，也是 本质。 通信对等体间对某些要素的约定，例如，使用哪种协议（ 是两者结合使用）、协议的封装模式（传输模式和隧道模式）、加密算法（ 3 特定流中保护数据的共享密钥以及密钥的生存周期等。 单向的，在两个对等体之间的双向通信，最少需要两个 分别对两个方向的数据流进行安全保护。同时，如果两个对等体希望同时使用 进行安全通信，则每个对等体都会针对每一种协议来构建一个独立的 第 64页 第三版 ) 第 3章 一个三元组来唯一标识，这个三元组包括全参数索引）、目的 址、安全协议号（ 为唯一标识 生成的一个 32 比特的数值，它在 中传输。在手工配置安全联盟时，需要手工指定 取值。使用 商产生安全联盟时， 随机生成。 第 65页 第三版 ) 第 3章 3. 种封装模式 隧道（ 式：用户的整个 据包被用来计算 ， 以及 密的用户数据被封装在一个新的 据包中。通常，隧道模式应用在两个安全网关之间的通讯。 传输（ 式：只是传输层数据被用来计算 ， 以及 密的用户数据被放置在原 头后面。通常，传输模式应用在两台主机之间的通讯，或一台主机和一个安全网关之间的通讯。 第 66页 第三版 ) 第 3章 图 9第 67页 I P A H E S P E S P - TD a t a I P A H E S P E S P - TD a t I P E S P E S P - TD a t I P E S P E S P - TD a t A H D a t a I P A H D a t A H - E S T r a n s p o r t T u n n e lM o d eP r o t o c o 第三版 ) 第 3章 4. 认证算法与加密算法 认证算法的实现主要是通过杂凑函数。杂凑函数是一种能够接受任意长的消息输入，并产生固定长度输出的算法，该输出称为消息摘要。 等体计算摘要，如果两个摘要是相同的，则表示报文是完整未经篡改的。 用两种认证算法， 加密算法实现主要通过对称密钥系统，它使用相同的密钥对数据进行加密和解密。目前设备的现三种加密算法：这三个加密算法的安全性由高到低依次是： 3 第 68页 第三版 ) 第 3章 5. 协商方式 手工方式（ 置比较复杂，创建 需的全部信息都必须手工配置，而且不支持一些高级特性（例如定时更新密钥），但优点是可以不依赖 单独实现 能。 动协商（ 式相对比较简单，只需要配置好 商安全策略的信息，由 动协商来创建和维护 第 69页 第三版 ) 第 3章 当与之进行通信的对等体设备数量较少时，或是在小型静态环境中，手工配置 于中、大型的动态网络环境中，推荐使用 商建立 第 70页 第三版 ) 第 3章 6. 越 一个主要应用是建立 在实际组网应用中，有一种情况会对部署 络造成障碍：如果发起者位于一个私网内部，而它希望在自己与远端响应者之间直接建立一条道；这就涉及到 配合，主要问题在于， 协商过程中如何发现两个端点之间存在 关，以及如何使 关。 第 71页 第三版 ) 第 3章 首先，建立 道的两端需要进行 越能力协商，这是在 商的前两个消息中进行的，通过 D 载荷指明的一组数据来标识，该载荷数据的定义随所采用草案（ 本的不同而不同。而 关发现是通过 荷来实现的，该载荷用于两个目的：在 存在；确定 备在哪一侧。 的 为发起者，需要定期发送 文，以使 关确保安全隧道处于激活状态。 第 72页 第三版 ) 第 3章 越 单来说就是在原报文的 和 （不考虑 式）间增加一个标准的头。这样，当 文穿越 关时， 该报文的外层 和增加的 头进行地址和端口号转换；转换后的报文到达普通 理方式相同，但在发送响应报文时也要在 和 头。 第 73页 第三版 ) 第 3章 安全联盟可以通过手工配置的方式建立，但是当网络中节点增多时，手工配置将非常困难，而且难以保证安全性。这时就要使用因特网密钥交换协议 自动地进行安全联盟的建立与密钥的交换。，该协议建立在由 联网安全联盟和密钥管理协议）定义的框架上。 第 74页 第三版 ) 第 3章 供了自动协商交换密钥、建立安全联盟。 服务，能