沈鑫剡编著(网络安全)教材配套课件第9章

网络安全第九章网络安全第九章第9章互连网安全技术本章主要内容互连网安全技术概述；安全路由；流量管制；NAT；VRRP。

第9章互连网安全技术本章主要内容29.1互连网安全技术概述本讲主要内容路由器和互连网结构；互连网安全技术范畴和功能。9.1互连网安全技术概述本讲主要内容3一、路由器和互连网结构1．互连网结构一、路由器和互连网结构1．互连网结构4一、路由器和互连网结构1．互连网结构多个不同类型的网络通过路由器连接在一起，路由器采用数据报交换方式，通过路由项指出通往每一个网络的传输路径，路由表是路由项的集合。连接在不同传输网络上的两个主机之间的传输路径分为两个层次，一是传输网络建立的连接在同一传输网络上的两个结点之间的传输路径。二是IP传输路径，由源和目的主机、路由器和传输网络组成。一、路由器和互连网结构1．互连网结构5一、路由器和互连网结构2．路由器作用路由器的作用主要有三个，一是通过多个连接不同类型的传输网络的接口实现不同类型传输网络的互连，二是建立用于指明通往互连网中每一个网络的传输路径的路由项，三是实现IP分组的转发过程。一、路由器和互连网结构2．路由器作用6一、路由器和互连网结构黑客攻击行为可以分为针对主机的攻击行为、针对传输网络的攻击行为和针对路由器的攻击行为。3．针对路由器的攻击路由项欺骗攻击；拒绝服务攻击。一、路由器和互连网结构黑客攻击行为可以分为针对主7二、互连网安全技术范畴和功能1．互连网安全技术范畴互连网安全技术可以分为三类，第一类是有着专门用途的安全技术，如防火墙、入侵检测系统和虚拟专用网（VPN）等。第二类是有着一般用途的安全技术，如防路由项欺骗、NAT、流量管制等。第三类是用于提高互连网可靠性、容错性的技术，如虚拟路由器冗余协议（VRRP）等。二、互连网安全技术范畴和功能1．互连网安全技术范畴8二、互连网安全技术范畴和功能只讨论有着一般用途的安全技术和用于提高互连网可靠性、容错性的技术。2．互连网安全技术功能安全路由；流量管制；NAT；VRRP。二、互连网安全技术范畴和功能只讨论有着一般用途的99.2安全路由本讲主要内容防路由项欺骗攻击机制；路由项过滤；单播反向路径验证；策略路由。9.2安全路由本讲主要内容10一、防路由项欺骗攻击机制1．路由项欺骗攻击过程一、防路由项欺骗攻击机制1．路由项欺骗攻击过程11一、防路由项欺骗攻击机制1．路由项欺骗攻击过程黑客终端发送一项LAN4与其直接相连的路由项；路由器R1将通往LAN4传输路径上的下一跳改为黑客终端；路由器R1将目的网络是LAN4的IP分组转发给黑客终端。一、防路由项欺骗攻击机制1．路由项欺骗攻击过程12一、防路由项欺骗攻击机制2．路由项源端鉴别和完整性检测路由器接收到路由消息后，必须确认是合法路由器发送的，且路由消息包含的路由项没有被篡改后，才对路由消息进行处理，并根据处理结果修改路由表。一、防路由项欺骗攻击机制2．路由项源端鉴别和完整性检测13一、防路由项欺骗攻击机制2．路由项源端鉴别和完整性检测

某个路由器组播路由消息时，该路由器根据路由消息和密钥K计算散列消息鉴别码（HMAC），并将HMAC附在路由消息后面一起组播给其他相邻路由器。一、防路由项欺骗攻击机制2．路由项源端鉴别和完整性检测14一、防路由项欺骗攻击机制2．路由项源端鉴别和完整性检测

其他相邻路由器接收到该路由消息后，首先根据路由消息和密钥K计算HMAC，然后将计算结果和附在路由消息后面的HMAC比较，如果相同，表明发送者和接收者具有相同密钥，且路由消息在传输过程中没有被篡改。一、防路由项欺骗攻击机制2．路由项源端鉴别和完整性检测15二、路由项过滤路由项过滤技术就是在公告的路由消息中屏蔽掉和过滤器中目的网络匹配的路由项，这样做的目的是为了保证一些内部网络的对外部路由器的透明性。三个网络，其中两个是内部网络。过滤器中的目的网络包含两个内部网络。路由消息中不包含被过滤器屏蔽掉的两个内部网络。二、路由项过滤路由项过滤技术就是在公告的路由消息中屏蔽掉和过16三、单播反向路径验证单播反向路径验证的目的是丢弃伪造源IP地址的IP分组；路由器通过检测接收IP分组的端口和通往源终端的端口是否相同确定源IP地址是否伪造。193.1.1.5193.1.1.7193.1.1.5三、单播反向路径验证单播反向路径验证的目的是丢弃伪造源IP地17四、策略路由策略路由允许为符合特定条件的IP分组选择特殊的传输路径，这种特殊的传输路径往往不是根据路由协议产生的通往该IP分组目的地的传输路径。策略路由项分为两部分，一部分是IP分组分类条件，它由IP首部和TCP首部字段值组成，和这些字段值相同的IP分组作为符合分类条件的IP分组。另一部分是下一跳地址。四、策略路由策略路由允许为符合特定条件的IP分组选择特殊的传189.3流量管制本讲主要内容拒绝服务攻击和流量管制；信息流分类；管制算法；流量管制抑止拒绝服务攻击机制。9.3流量管制本讲主要内容19一、拒绝服务攻击和流量管制SYN泛洪攻击过程一、拒绝服务攻击和流量管制SYN泛洪攻击过程20一、拒绝服务攻击和流量管制分布式拒绝服务（DDoS）攻击过程一、拒绝服务攻击和流量管制分布式拒绝服务（DDoS）攻击过程21一、拒绝服务攻击和流量管制拒绝服务攻击的共同点是黑客终端向攻击目标超量发送报文，因此，只要能够限制某类报文的流量，就能够抑制拒绝服务攻击。一、拒绝服务攻击和流量管制拒绝服务攻击的共同点22二、信息流分类信息流分类是要从IP分组流中分离出属于特定应用的一组IP分组，如需要分离出建立TCP连接过程中的第一个请求报文，需要从IP分组流中分离出具有如下特征的IP分组：IP首部协议字段值：6（TCP）；TCP首部控制标志位：SYN=1，ACK=0。二、信息流分类信息流分类是要从IP分组流中分离出23三、管制算法漏斗管制算法保证信息流恒速输出；突发性信息流存储在分组输出队列，队列稳定器以指定速率输出分组；如果分组输出队列溢出，丢弃后续分组，如果分组输出队列空，输出链路空闲。漏斗漏斗管制算法实现过程三、管制算法漏斗管制算法保证信息流恒速输出；漏斗漏斗管制算法24三、管制算法令牌生成器恒速生成令牌（每秒V令牌），但一旦令牌桶溢出，丢弃后续令牌，每一个令牌对应K字节，令牌桶容量为U令牌；如果分组输出队列头的分组的字节数＞（P－1）×K，则只当令牌桶中包含的令牌数≥P时，才允许输出该分组，并从令牌桶中取走P个令牌，如果令牌桶中令牌数＜P，停止输出，直到令牌桶中令牌数≥P；平均输出速率＝V×K/s（单位字节），突发性数据长度＝U×K（单位字节）。三、管制算法令牌生成器恒速生成令牌（每秒V令牌），但一旦令牌25四、流量管制抑止拒绝服务攻击机制校园网物理结构图四、流量管制抑止拒绝服务攻击机制校园网物理结构图26四、流量管制抑止拒绝服务攻击机制校园网逻辑结构图四、流量管制抑止拒绝服务攻击机制校园网逻辑结构图27四、流量管制抑止拒绝服务攻击机制抑制SYN泛洪攻击的流量管制器分类标准（1）目的IP地址＝IPA或IPB（2）IP首部协议字段值＝6（TCP）（3）TCP首部控制标志位：SYN=1，ACK=0速率限制：平均传输速率＝64kbps，突发性数据长度=8000B四、流量管制抑止拒绝服务攻击机制抑制SYN泛洪攻击的流量管制28四、流量管制抑止拒绝服务攻击机制抑制DDoS攻击流量管制器分类标准（1）目的IP地址＝IPA或IPB（2）IP首部协议字段值＝1（ICMP）（3）ICMP类型字段值：8（ECHO请求）或0（ECHO响应）速率限制：平均传输速率＝64kbps，突发性数据长度=8000B四、流量管制抑止拒绝服务攻击机制抑制DDoS攻击流量管制器299.4NAT本讲主要内容NAT概述；动态PAT和静态PAT；动态NAT和静态NAT；NAT的弱安全性。9.4NAT本讲主要内容30一、NAT概述NAT就是一种对从内部网络转发到外部网络的IP分组实现源IP地址内部本地地址至内部全球地址的转换、目的IP地址外部本地地址至外部全球地址的转换，对从外部网络转发到内部网络的IP分组实现源IP地址外部全球地址至外部本地地址的转换、目的IP地址内部全球地址至内部本地地址的转换的技术。一、NAT概述NAT就是一种对从内部网络转发到外部网络的IP31一、NAT概述三组私有IP地址如下。10.0.0.0/8172.16.0.0/12192.168.0.0/16

公共网络使用的全球地址空间中不允许包含属于这三组IP地址的地址空间一、NAT概述三组私有IP地址如下。32一、NAT概述局域网接入Internet过程NAT应用一一、NAT概述局域网接入Internet过程NAT应用一33一、NAT概述内部网络和外部网络互连NAT应用二一、NAT概述内部网络和外部网络互连NAT应用二34一、NAT概述内部网络之间相互通信NAT应用三一、NAT概述内部网络之间相互通信NAT应用三35二、动态PAT和静态PAT内部网络终端发送的IP分组，进入Internet时，以边缘路由器连接Internet端口的全球IP地址为源IP地址，为了正确鉴别源终端，用内部网络唯一的源端口号取代IP分组终端唯一的源端口号。内部网络唯一的源端口号和内部网络终端之间的绑定以会话为单位，会话开始时通过地址转换表建立绑定，会话结束时取消绑定；端口地址转换技术只能用于IP分组净荷是运输层报文的情况。二、动态PAT和静态PAT内部网络终端发送的IP分组，进入I36二、动态PAT和静态PAT允许Internet中的终端发起访问内部网络中的服务器的过程，需要静态配置服务器本地地址与局域网内唯一端口号之间的映射二、动态PAT和静态PAT允许Internet中的终端发起访37三、动态NAT和静态NAT动态地址转换以会话为单位，会话开始时在全球IP地址池中分配一个未使用的IP地址，并在地址转换表中将全球IP地址和本地地址之间的绑定与会话关联在一起，会话结束时取消绑定和关联；IP分组进入Internet时，用全球IP地址取代本地地址。IP分组进入内部网络时，用本地地址取代全球IP地址；动态NAT不需改动源端口号，因此，原则可用于IP分组净荷不是运输层报文的情况。三、动态NAT和静态NAT动态地址转换以会话为单位，会话开始38三、动态NAT和静态NAT端口地址转换和动态NAT在建立本地地址和全球IP地址之间绑定前，内部网络终端对外部网络是透明的。而且，建立本地地址和全球IP地址之间绑定的操作由内部网络终端发起建立和外部网络终端之间会话的过程实现，因此，只允许内部网络终端发起建立和外部网络终端之间的会话，这样，增强了内部网络的安全性，但不允许外部网络终端发起和内部网络终端之间的会话；静态NAT将建立本地地址和全球IP地址的固定关联，这样，允许外部网络终端随时通过该全球IP地址访问和该全球IP地址建立固定关系的本地地址所标识的内部网络终端。三、动态NAT和静态NAT端口地址转换和动态NAT在建立本地39四、NAT的弱安全性除了静态NAT和静态PAT外，在内部网络终端发起某个会话前，外部网络终端是无法访问到内部网络终端的，因此，也无法发起对内部网络终端的攻击，这是NAT被作为网络安全机制的主要原因。四、NAT的弱安全性除了静态NAT和静态PAT外，在409.5VRRP本讲主要内容容错网络结构；VRRP工作原理；VRRP应用实例。9.5VRRP本讲主要内容41一、容错网络结构每一个以太网内部通过链路冗余和生成树协议保证在发生单条链路故障的情况下仍然保持连接在同一以太网上的终端之间的连通性。同时，路由器R1和R2分别有接口连接到两个以太网，保证在其中一个路由器发生故障的情况下仍然保持连接在不同以太网上的终端之间的连通性。一、容错网络结构每一个以太网内部通过链路冗余和生成树协议保证42二、VRRP工作原理多个有接口连接在同一个网络上的VRRP路由器构成一个虚拟路由器，这些VRRP路由器中只有一个VRRP路由器是主路由器，其他路由器为备份路由器，每一个虚拟路由器分配唯一的8位二进制数的虚拟路由器标识符，对虚拟路由器配置多虚拟IP地址，虚拟IP地址与MAC地址00-00-5E-00-01-{VRID}绑定。二、VRRP工作原理多个有接口连接在同一个网络上的VRRP路43二、VRRP工作原理分别在路由器R1和R2创建VRID为2的虚拟路由器分别为路由器R1和R2的接口1分配IP地址为路由器R1和R2的接口1分配优先级为VRID为2的虚拟路由器分配虚拟IP地址该IP地址成为连接在网络上的终端的默认网关地址虚拟路由器根据VRID=2生成虚拟MAC地址00-00-5E-00-01-02

二、VRRP工作原理分别在路由器R1和R2创建VRID为2的44二、VRRP工作原理二、VRRP工作原理45二、VRRP工作原理每一个VRRP路由器启动后，处于初始化状态，如果该VRRP路由器是IP地址拥有者，立即成为主路由器，发送图VRRP报文，然后，周期性地发送VRRP报文

主路由器接收到VRRP报文，如果发送VRRP报文的路由器的优先级更高，主路由器立即转换为备份路由器，停止发送VRRP报文备份路由器接收到VRRP报文，如果备份路由器的优先级更高，且备份路由器允许抢占方式，转换为主路由器，发送VRRP报文

二、VRRP工作原理每一个VRRP路由器启动后，处于初始化状46二、VRRP工作原理主路由器功能必须对请求解析虚拟IP地址的ARP请求报文做出响应；必须对封装在以虚拟MAC地址为目的MAC地址的MAC帧中的IP分组进行转发操作；在成为主路由器时，立即发送将所有虚拟IP地址绑定到虚拟MAC地址的ARP报文，使得网络内的所有终端将默认网关地址与虚拟MAC地址绑定在一起。备份路由器功能不对请求解析虚拟IP地址的ARP请求报文做出响应；丢弃接收到的以虚拟MAC地址为目的地址的MAC帧；丢弃接收到的以虚拟IP地址为目的地址的IP分组。二、VRRP工作原理主路由器功能47二、VRRP工作原理如果终端在ARP缓存中找不到与默认网关地址绑定的MAC地址，会发送一个请求解析该默认网关地址的ARP请求报文，该ARP请求报文在终端所连接的网络中广播，连接在该网络上的所有VRRP路由器都接收到该ARP请求报文，但只有主路由器对该ARP请求报文做出响应，并在ARP响应报文中将虚拟MAC地址与默认网关地址绑定在一起。

二、VRRP工作原理如果终端在ARP缓存中找不到与默认网关地48二、VRRP工作原理当路由器R2成为主路由器时，立即发送一个VRRP报文，该VRRP报文最终被封装成以虚拟MAC地址00-00-5E-00-01-02为源MAC地址，以组地址01-00-5E-00-00-12为目的MAC地址的MAC帧，该MAC帧在以太网中广播，以太网中所有交换机都接收到该MAC帧，通过地址学习，在转发表中建立新的转发项。二、VRRP工作原理当路由器R2成为主路由器时，立即发送一个49二、VRRP工作原理创建两个VRID分别为2和3的虚拟路由器，同时将路由器R1和R2连接以太网的接口分配给两个虚拟路由器，分别为VRID为2和3的虚拟路由器分配不同的虚拟IP地址。将一半连接在网络的终端的默认网关地址配置成VRID为2的虚拟路由器对应的虚拟IP地址，将另一半连接在网络的终端的默认网关地址配置成VRID为3的虚拟路由器对应的虚拟IP地址。二、VRRP工作原理创建两个VRID分别为2和3的虚拟路由器50三、VRRP应用实例三、VRRP应用实例51网络结构与基本配置完成路由器配置，创建两个虚拟路由器，并分配虚拟IP地址生成路由器和转发项为实现负载均衡，指定路由器R1为VRID为2的虚拟路由器的主路由器，路由器R2为VRID为3的虚拟路由器的主路由器IP分组传输过程终端A向终端D发送IP分组时，终端A先将IP分组转发给默认网关——路由器R1，终端D向终端A发送IP分组时，终端D先将IP分组转发给默认网关——路由器R2三、VRRP应用实例网络结构与基本配置三、VRRP应用实例52网络安全第九章网络安全第九章第9章互连网安全技术本章主要内容互连网安全技术概述；安全路由；流量管制；NAT；VRRP。

第9章互连网安全技术本章主要内容549.1互连网安全技术概述本讲主要内容路由器和互连网结构；互连网安全技术范畴和功能。9.1互连网安全技术概述本讲主要内容55一、路由器和互连网结构1．互连网结构一、路由器和互连网结构1．互连网结构56一、路由器和互连网结构1．互连网结构多个不同类型的网络通过路由器连接在一起，路由器采用数据报交换方式，通过路由项指出通往每一个网络的传输路径，路由表是路由项的集合。连接在不同传输网络上的两个主机之间的传输路径分为两个层次，一是传输网络建立的连接在同一传输网络上的两个结点之间的传输路径。二是IP传输路径，由源和目的主机、路由器和传输网络组成。一、路由器和互连网结构1．互连网结构57一、路由器和互连网结构2．路由器作用路由器的作用主要有三个，一是通过多个连接不同类型的传输网络的接口实现不同类型传输网络的互连，二是建立用于指明通往互连网中每一个网络的传输路径的路由项，三是实现IP分组的转发过程。一、路由器和互连网结构2．路由器作用58一、路由器和互连网结构黑客攻击行为可以分为针对主机的攻击行为、针对传输网络的攻击行为和针对路由器的攻击行为。3．针对路由器的攻击路由项欺骗攻击；拒绝服务攻击。一、路由器和互连网结构黑客攻击行为可以分为针对主59二、互连网安全技术范畴和功能1．互连网安全技术范畴互连网安全技术可以分为三类，第一类是有着专门用途的安全技术，如防火墙、入侵检测系统和虚拟专用网（VPN）等。第二类是有着一般用途的安全技术，如防路由项欺骗、NAT、流量管制等。第三类是用于提高互连网可靠性、容错性的技术，如虚拟路由器冗余协议（VRRP）等。二、互连网安全技术范畴和功能1．互连网安全技术范畴60二、互连网安全技术范畴和功能只讨论有着一般用途的安全技术和用于提高互连网可靠性、容错性的技术。2．互连网安全技术功能安全路由；流量管制；NAT；VRRP。二、互连网安全技术范畴和功能只讨论有着一般用途的619.2安全路由本讲主要内容防路由项欺骗攻击机制；路由项过滤；单播反向路径验证；策略路由。9.2安全路由本讲主要内容62一、防路由项欺骗攻击机制1．路由项欺骗攻击过程一、防路由项欺骗攻击机制1．路由项欺骗攻击过程63一、防路由项欺骗攻击机制1．路由项欺骗攻击过程黑客终端发送一项LAN4与其直接相连的路由项；路由器R1将通往LAN4传输路径上的下一跳改为黑客终端；路由器R1将目的网络是LAN4的IP分组转发给黑客终端。一、防路由项欺骗攻击机制1．路由项欺骗攻击过程64一、防路由项欺骗攻击机制2．路由项源端鉴别和完整性检测路由器接收到路由消息后，必须确认是合法路由器发送的，且路由消息包含的路由项没有被篡改后，才对路由消息进行处理，并根据处理结果修改路由表。一、防路由项欺骗攻击机制2．路由项源端鉴别和完整性检测65一、防路由项欺骗攻击机制2．路由项源端鉴别和完整性检测

某个路由器组播路由消息时，该路由器根据路由消息和密钥K计算散列消息鉴别码（HMAC），并将HMAC附在路由消息后面一起组播给其他相邻路由器。一、防路由项欺骗攻击机制2．路由项源端鉴别和完整性检测66一、防路由项欺骗攻击机制2．路由项源端鉴别和完整性检测

其他相邻路由器接收到该路由消息后，首先根据路由消息和密钥K计算HMAC，然后将计算结果和附在路由消息后面的HMAC比较，如果相同，表明发送者和接收者具有相同密钥，且路由消息在传输过程中没有被篡改。一、防路由项欺骗攻击机制2．路由项源端鉴别和完整性检测67二、路由项过滤路由项过滤技术就是在公告的路由消息中屏蔽掉和过滤器中目的网络匹配的路由项，这样做的目的是为了保证一些内部网络的对外部路由器的透明性。三个网络，其中两个是内部网络。过滤器中的目的网络包含两个内部网络。路由消息中不包含被过滤器屏蔽掉的两个内部网络。二、路由项过滤路由项过滤技术就是在公告的路由消息中屏蔽掉和过68三、单播反向路径验证单播反向路径验证的目的是丢弃伪造源IP地址的IP分组；路由器通过检测接收IP分组的端口和通往源终端的端口是否相同确定源IP地址是否伪造。193.1.1.5193.1.1.7193.1.1.5三、单播反向路径验证单播反向路径验证的目的是丢弃伪造源IP地69四、策略路由策略路由允许为符合特定条件的IP分组选择特殊的传输路径，这种特殊的传输路径往往不是根据路由协议产生的通往该IP分组目的地的传输路径。策略路由项分为两部分，一部分是IP分组分类条件，它由IP首部和TCP首部字段值组成，和这些字段值相同的IP分组作为符合分类条件的IP分组。另一部分是下一跳地址。四、策略路由策略路由允许为符合特定条件的IP分组选择特殊的传709.3流量管制本讲主要内容拒绝服务攻击和流量管制；信息流分类；管制算法；流量管制抑止拒绝服务攻击机制。9.3流量管制本讲主要内容71一、拒绝服务攻击和流量管制SYN泛洪攻击过程一、拒绝服务攻击和流量管制SYN泛洪攻击过程72一、拒绝服务攻击和流量管制分布式拒绝服务（DDoS）攻击过程一、拒绝服务攻击和流量管制分布式拒绝服务（DDoS）攻击过程73一、拒绝服务攻击和流量管制拒绝服务攻击的共同点是黑客终端向攻击目标超量发送报文，因此，只要能够限制某类报文的流量，就能够抑制拒绝服务攻击。一、拒绝服务攻击和流量管制拒绝服务攻击的共同点74二、信息流分类信息流分类是要从IP分组流中分离出属于特定应用的一组IP分组，如需要分离出建立TCP连接过程中的第一个请求报文，需要从IP分组流中分离出具有如下特征的IP分组：IP首部协议字段值：6（TCP）；TCP首部控制标志位：SYN=1，ACK=0。二、信息流分类信息流分类是要从IP分组流中分离出75三、管制算法漏斗管制算法保证信息流恒速输出；突发性信息流存储在分组输出队列，队列稳定器以指定速率输出分组；如果分组输出队列溢出，丢弃后续分组，如果分组输出队列空，输出链路空闲。漏斗漏斗管制算法实现过程三、管制算法漏斗管制算法保证信息流恒速输出；漏斗漏斗管制算法76三、管制算法令牌生成器恒速生成令牌（每秒V令牌），但一旦令牌桶溢出，丢弃后续令牌，每一个令牌对应K字节，令牌桶容量为U令牌；如果分组输出队列头的分组的字节数＞（P－1）×K，则只当令牌桶中包含的令牌数≥P时，才允许输出该分组，并从令牌桶中取走P个令牌，如果令牌桶中令牌数＜P，停止输出，直到令牌桶中令牌数≥P；平均输出速率＝V×K/s（单位字节），突发性数据长度＝U×K（单位字节）。三、管制算法令牌生成器恒速生成令牌（每秒V令牌），但一旦令牌77四、流量管制抑止拒绝服务攻击机制校园网物理结构图四、流量管制抑止拒绝服务攻击机制校园网物理结构图78四、流量管制抑止拒绝服务攻击机制校园网逻辑结构图四、流量管制抑止拒绝服务攻击机制校园网逻辑结构图79四、流量管制抑止拒绝服务攻击机制抑制SYN泛洪攻击的流量管制器分类标准（1）目的IP地址＝IPA或IPB（2）IP首部协议字段值＝6（TCP）（3）TCP首部控制标志位：SYN=1，ACK=0速率限制：平均传输速率＝64kbps，突发性数据长度=8000B四、流量管制抑止拒绝服务攻击机制抑制SYN泛洪攻击的流量管制80四、流量管制抑止拒绝服务攻击机制抑制DDoS攻击流量管制器分类标准（1）目的IP地址＝IPA或IPB（2）IP首部协议字段值＝1（ICMP）（3）ICMP类型字段值：8（ECHO请求）或0（ECHO响应）速率限制：平均传输速率＝64kbps，突发性数据长度=8000B四、流量管制抑止拒绝服务攻击机制抑制DDoS攻击流量管制器819.4NAT本讲主要内容NAT概述；动态PAT和静态PAT；动态NAT和静态NAT；NAT的弱安全性。9.4NAT本讲主要内容82一、NAT概述NAT就是一种对从内部网络转发到外部网络的IP分组实现源IP地址内部本地地址至内部全球地址的转换、目的IP地址外部本地地址至外部全球地址的转换，对从外部网络转发到内部网络的IP分组实现源IP地址外部全球地址至外部本地地址的转换、目的IP地址内部全球地址至内部本地地址的转换的技术。一、NAT概述NAT就是一种对从内部网络转发到外部网络的IP83一、NAT概述三组私有IP地址如下。10.0.0.0/8172.16.0.0/12192.168.0.0/16

公共网络使用的全球地址空间中不允许包含属于这三组IP地址的地址空间一、NAT概述三组私有IP地址如下。84一、NAT概述局域网接入Internet过程NAT应用一一、NAT概述局域网接入Internet过程NAT应用一85一、NAT概述内部网络和外部网络互连NAT应用二一、NAT概述内部网络和外部网络互连NAT应用二86一、NAT概述内部网络之间相互通信NAT应用三一、NAT概述内部网络之间相互通信NAT应用三87二、动态PAT和静态PAT内部网络终端发送的IP分组，进入Internet时，以边缘路由器连接Internet端口的全球IP地址为源IP地址，为了正确鉴别源终端，用内部网络唯一的源端口号取代IP分组终端唯一的源端口号。内部网络唯一的源端口号和内部网络终端之间的绑定以会话为单位，会话开始时通过地址转换表建立绑定，会话结束时取消绑定；端口地址转换技术只能用于IP分组净荷是运输层报文的情况。二、动态PAT和静态PAT内部网络终端发送的IP分组，进入I88二、动态PAT和静态PAT允许Internet中的终端发起访问内部网络中的服务器的过程，需要静态配置服务器本地地址与局域网内唯一端口号之间的映射二、动态PAT和静态PAT允许Internet中的终端发起访89三、动态NAT和静态NAT动态地址转换以会话为单位，会话开始时在全球IP地址池中分配一个未使用的IP地址，并在地址转换表中将全球IP地址和本地地址之间的绑定与会话关联在一起，会话结束时取消绑定和关联；IP分组进入Internet时，用全球IP地址取代本地地址。IP分组进入内部网络时，用本地地址取代全球IP地址；动态NAT不需改动源端口号，因此，原则可用于IP分组净荷不是运输层报文的情况。三、动态NAT和静态NAT动态地址转换以会话为单位，会话开始90三、动态NAT和静态NAT端口地址转换和动态NAT在建立本地地址和全球IP地址之间绑定前，内部网络终端对外部网络是透明的。而且，建立本地地址和全球IP地址之间绑定的操作由内部网络终端发起建立和外部网络终端之间会话的过程实现，因此，只允许内部网络终端发起建立和外部网络终端之间的会话，这样，增强了内部网络的安全性，但不允许外部网络终端发起和内部网络终端之间的会话；静态NAT将建立本地地址和全球IP地址的固定关联，这样，允许外部网络终端随时通过该全球IP地址访问和该全球IP地址建立固定关系的本地地址所标识的内部网络终端。三、动态NAT和静态NAT端口地址转换和动态NAT在建立本地91四、NAT的弱安全性除了静态NAT和静态PAT外，在内部网络终端发起某个会话前，外部网络终端是无法访问到内部网络终端的，因此，也无法发起对内部网络终端的攻击，这是NAT被作为网络安全机制的主要原因。四、NAT的弱安全性除了静态NAT和静态PAT外，在929.5VRRP本讲主要内容容错网络结构；VRRP工作原理；VRRP应用实例。9.5VRRP本讲主要内容93一、容错网络结构每一个以太网内部通过链路冗余和生成树协议保证在发生单条链路故障的情况下仍然保持连接在同一以太网上的终端之间的连通性。同时，路由器R1和R2分别有接口连接到两个以太网，保证在其中一个路由器发生故障的情况下仍然保持连接在不同以太网上的终端之间的连通性。一、容错网络结构每一个以太网内部通过链路冗余和生成树协议保证94二、VRRP工作原理多个有接口连接在同一个网络上的VRRP路由器构成一个虚拟路由器，这些VRRP路由器中只有一个VRRP路由器是主路由器，其他路由器为备份路由器，每一个虚拟路由器分配唯一的8位二进制数的虚拟路由器标识符，对虚拟路由器配置多虚拟IP地址，虚拟IP地址与MAC地址00-00-5E-00-01-{VRID}绑定。二、VRRP工作原理多个有接口连接在同一个网络上的VRRP路95二、VRRP工作原理分别在路由器R1和R2创建VRID为2的虚拟路由器分别为路由器R1和R2的接口1分配IP地址为路由器R1和R2的接口1分配优先级为VRID为2的虚拟路由器分配虚拟IP地址该IP地址成为连接在网络上的终端的默认网关地址虚拟路由器根据VRID=2生成虚拟MAC地址00-00-5E-00-01-02

二、VRRP工作原理分别在路由器R1和R2创建VRID为2的96二、VRRP工作原理二、VRRP工作原理97二、VRRP工作原理每一个VRRP路由器启动后，处于初始化状态，如果该