第 2 章 ip 技术
DESCRIPTION
第 2 章 IP 技术. 第 1 节 TCP/IP 及 IP 路由 第 2 节 TCP/IP 的安全性考虑 —— IPSecure 第 3 节 IPv6 第 4 节 IP 移动性的考虑 —— Mobile IP 课后作业. 第 1 节 TCP/IP 及 IP 路由. 2.1.1 交换方式 2.1.2 TCP/IP 体系结构 2.1.3 IP 路由 2.1.4 因特网的管理. 2.1.1 交换方式. 电路交换 存储转发 报文交换 分组交换. 电路交换. 在通话之前,通过用户的呼叫,由网络预先给用户分配传输带宽。 - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/1.jpg)
第 2 章 IP 技术
第1 节 TCP/IP及IP路由第2 节 TCP/IP的安全性考虑——IPSecure
第3 节 IPv6
第4 节 IP移动性的考虑——Mobile IP
课后作业
![Page 2: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/2.jpg)
第 1 节 TCP/IP及 IP 路由
2.1.1 交换方式2.1.2 TCP/IP体系结构2.1.3 IP路由2.1.4因特网的管理
![Page 3: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/3.jpg)
2.1.1 交换方式
• 电路交换• 存储转发
• 报文交换• 分组交换
![Page 4: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/4.jpg)
电路交换• 在通话之前,通过用户的呼叫,由网络预先给
用户分配传输带宽。• 用户若呼叫成功,则从主叫端到被叫端就建立
了一条物理通路。此后双方才能互相通话。• 通话完毕挂机后即自动释放这条物理链路。• 关键点:在通话的全部时间内用户始终专用端
到端的固定传输带宽
![Page 5: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/5.jpg)
两部电话机连接
• 两部电话机只需要用一对电线就能够互相连接起来。
![Page 6: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/6.jpg)
更多的电话机互相连通• 5 部电话机两两相连,需 10 对电线。
• N 部电话机两两相连,需 N(N – 1)/2 对电线。• 当电话机的数量很大时,这种连接方法需要的电线
对的数量与电话机数的平方成正比。
![Page 7: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/7.jpg)
使用交换机
• 当电话机的数量增多时,就要使用交换机来完成全网的交换任务。
…
交换机
![Page 8: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/8.jpg)
“交换”的含义
• 在这里,“交换” (switching) 的含义是:• 转接——把一条电话线转接到另一条电话线,
使它们连通起来。• 从通信资源的分配角度来看,“交换”
就是按照某种方式动态地分配传输线路的资源。
![Page 9: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/9.jpg)
电路交换的特点
• 电路交换必定是面向连接的。 • 电路交换的三个阶段:
• 建立连接• 通信• 释放连接
![Page 10: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/10.jpg)
电路交换举例
• A 和 B 通话经过四个交换机• 通话在 A 到 B 的连接上进行
交换机
交换机
交换机
交换机用户线
用户线
中继线中继线
B
D
C
A
![Page 11: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/11.jpg)
电路交换举例
• C 和 D 通话只经过一个本地交换机• 通话在 C 到 D 的连接上进行
交换机
交换机
交换机
交换机用户线
用户线
中继线中继线
B
D
C
A
![Page 12: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/12.jpg)
电路交换的缺点
• 资源浪费,价格昂贵 • 兼容性差• 不够灵活
![Page 13: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/13.jpg)
报文
分组交换的原理(一)• 在发送端,先把较长的报文划分成较短
的、固定长度的数据段。
1101000110101010110101011100010011010010
假定这个报文较长不便于传输
![Page 14: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/14.jpg)
分组交换的原理(二)• 每一个数据段前面添加上首部构成分组。
首部
首部
首部
分组 2
分组 1
分组 3
请注意:现在左边是“前面”
数 据 数 据 数 据
报文
![Page 15: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/15.jpg)
分组交换的原理(三)• 分组交换网以“分组”作为数据传输单
元。• 依次把各分组发送到接收端(假定接收
端在左边)。数 据首部
分组 1
数 据首部
分组 2
数 据首部
分组 3
![Page 16: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/16.jpg)
分组首部的重要性• 每一个分组的首部都含有地址等控制信
息。• 分组交换网中的结点交换机根据收到的
分组的首部中的地址信息,把分组转发到下一个结点交换机。
• 用这样的存储转发方式,最后分组就能到达最终目的地。
![Page 17: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/17.jpg)
分组交换的原理(四)• 接收端收到分组后剥去首部还原成报文。
数 据首部
分组 1
数 据首部
分组 2
数 据首部
分组 3
收到的数据
![Page 18: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/18.jpg)
数 据 数 据 数 据
分组交换的原理(五)• 最后,在接收端把收到的数据恢复成为
原来的报文。
• 这里我们假定分组在传输过程中没有出现差错,在转发时也没有被丢弃。
报文1101000110101010110101011100010011010010
![Page 19: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/19.jpg)
分组交换网的示意图
H1
A
分组交换网
B
D
E
CH5
H6
H4H2
H3
H1 向 H5 发送分组
H2 向 H6 发送分组
注意分组路径的变化!结点交换机
主机
![Page 20: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/20.jpg)
注意分组的存储转发过程
H1
A
分组交换网
E
CH5
H6
H4H2
H3
H1 向 H5 发送分组结点交换机
主机B
D在结点交换机 A 暂存
查找转发表找到转发的端口
在结点交换机 C 暂存查找转发表
找到转发的端口
在结点交换机 E 暂存查找转发表
找到转发的端口
最后到达目的主机 H5
![Page 21: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/21.jpg)
注意结点交换机有多个端口
A
B
C
D
EH1 H5
H2
H4
H3
H6
高速链路
结点交换机
1234
1234
1 2 3 4
1 2 3 4
1 2 3 4
![Page 22: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/22.jpg)
结点交换机
• 在结点交换机中的输入和输出端口之间没有直接连线。
• 结点交换机处理分组的过程是:• 把收到的分组先放入缓存(暂时存储);• 查找转发表,找出到某个目的地址应从哪个
端口转发;• 把分组送到适当的端口转发出去。
![Page 23: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/23.jpg)
主机和结点交换机的作用不同
• 主机是为用户进行信息处理的,并向网络发送分组,从网络接收分组。
• 结点交换机对分组进行存储转发,最后把分组交付给目的主机。
![Page 24: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/24.jpg)
分组交换的优点
• 高效 动态分配传输带宽,对通信链路是逐段占用。
• 灵活 以分组为传送单位和查找路由。• 迅速 不必先建立连接就能向其他主机
发送分组;充分使用链路的带宽。• 可靠 完善的网络协议;自适应的路由选择协议使网络有很好的生存性。
![Page 25: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/25.jpg)
分组交换带来的问题
• 分组在各结点存储转发时需要排队,这就会造成一定的时延。
• 分组必须携带的首部(里面有必不可少的控制信息)也造成了一定的开销。
![Page 26: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/26.jpg)
TCP/IP简述
• Transmission Control Protocol 传输控制协议 /Internet Protocol 网际协议
• 起源于 70年代中后期,为了实现异种网之间的互联和互通
• 1980年,最早出现的计算机网络ARPANET 上的所有计算机转换为TCP/IP ,并以它为主干建立 Internet
![Page 27: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/27.jpg)
TCP/IP简述 (续 )
• TCP/IP规定了信息包应该怎样分层、分组,怎样在收信计算机上将信息分组重新组装成计算机数据,怎样在线路上传输信号,及许多其它有关问题。
![Page 28: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/28.jpg)
TCP/IP具体层次划分
1) 应用层2) 传输层3) 网络层4) 链路层 传输媒质
![Page 29: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/29.jpg)
TCP/IP具体层次划分
1) 应用层2) 传输层3) 网络层4) 链路层 传输媒质
向用户提供一些常用的应用程序,用户也可根据自己的需要建立自己的专用程序。
常用协议: WWW、 FTP、 SMTP、TELNET
![Page 30: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/30.jpg)
TCP/IP具体层次划分
1) 应用层2) 传输层3) 网络层4) 链路层 传输媒质
为端到端(发信主机和收信主机之间 )应用程序间提供通信。
协议: TCP、 UDP
![Page 31: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/31.jpg)
TCP/IP具体层次划分
1) 应用层2) 传输层3) 网络层4) 链路层 传输媒质
负责不同主机之间的计算机通信,向它的上层——传输层提供统一的数据包,使得各种网络物理帧格式的差别被掩盖,是不同网络网间互联关键的一层。
协 议 :IP、 ICMP、 ARP、 RARP
![Page 32: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/32.jpg)
TCP/IP具体层次划分
1) 应用层2) 传输层3) 网络层4) 链路层 传输媒质
•接收网络层交下来的 IP 数据包,组装成帧,通过网络向外发送;•接收和处理从网络传上来的物理帧,抽出 IP 数据包,向其上层网络层传送。
![Page 33: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/33.jpg)
TCP/IP 体系结构和服务层次
应用层
链路层
网络层 IP
( 各种应用层协议如TELNET、 FTP 、
SMTP 等 )
传输层 (TCP 或 UDP)
TCP/IP 的体系结构
无连接分组交付服务
传输服务 (可靠或不可靠 )
各种应用服务
TCP/IP 的三个服务层次
![Page 34: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/34.jpg)
TCP/IP 互联网络
应用层传输层网络层
数据链路层
主机 A 主机 B
路由器
网络 2网络 1
应用层传输层网络层
数据链路层
网络层数据
链路层
4
3
2
1
![Page 35: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/35.jpg)
沙漏计时器形状的TCP/IP协议族
HTTPHTTP SMTPSMTP DNSDNS RTPRTP
TCPTCP UDPUDP
IPIP
EthetnetEthetnet ARPANETARPANET PDNPDN
网络层
链路层
传输层
应用层 … …
…
Everything over IP
IP 可为各式各样的应用程序提供服务IP over Everything
IP 可应用到各式各样的网络上
![Page 36: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/36.jpg)
IP 路由
• IPv4的地址格式• IPv4的地址分类• IP路由• 路由协议
![Page 37: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/37.jpg)
IPv4 的地址格式
• IP 地址是给每个连接在因特网上的主机(或路由器)分配的一个在全世界范围内惟一的 32 bit 的标识符。
• 地址由两个固定长度的字段组成:• 网络号 net-id字段,标志主机(或路由器)所连接到的网络
• 主机号 host-id字段,标志主机(或路由器)
![Page 38: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/38.jpg)
IPv4 的地址的点分十进制记法
10000000000010110000001100011111 机器中存放的 IP 地址是 32 bit 二进制代码
10000000 00001011 00000011 00011111 每隔 8 bit 插入一个空格
能够提高可读性
采用点分十进制记法则进一步提高可读性 128.11.3.31
128 11 3 31 将每 8 bit 的二进制数
转换为十进制数
![Page 39: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/39.jpg)
net-id24 bit
host-id24 bit
net-id16 bit
net-id8 bit
IPv4 的地址分类 0A 类地址
host-id16 bit
B 类地址
C 类地址 01 1
host-id8 bit
D 类地址 1 1 1 0 多 播 地 址
E 类地址 保 留 为 今 后 使 用1 1 1 1 0
01
![Page 40: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/40.jpg)
常用 IP 地址的使用范围
网络类别
最大网络数
第一个可用的网络号
最后一个可用的网络号
每个网络中最大的
主机数
A 126 (27 – 2) 1 12616, 777,
214
B 16, 384 (214) 128.0 191.255 65, 534
C2, 097, 152
(221)192.0.0 223.255.255 254
![Page 41: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/41.jpg)
IP 路由
• 路由:就是信息通过一条路径从源地址转移到目的地址的过程。
• 路由器仅根据目的主机所连接的网络号(而不考虑目的主机号)将 IP 分组从合适的端口转发出去。
• 路由设备依据路由表来判断路由。
![Page 42: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/42.jpg)
IP 路由
• IP 网络可以看作是由路由设备(如路由器)互联起来的 IP子网构成,路由设备负责在 IP子网之间寻找路由,并将 IP分组转发到下一个 IP子网。
![Page 43: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/43.jpg)
IP 路由
• 静态路由:网络管理员人工配置路由表中的路由选择信息。
• 缺点:网络改变或发生故障导致路由表中的部分路由不存在时,不会自动更新。
![Page 44: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/44.jpg)
IP 路由
• 动态路由:根据实际情况自动更新路由表的信息。
• 适应网络拓扑结构随时可能的变化
![Page 45: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/45.jpg)
自治系统( AS )
• Autonomous System
• 由一个管理机构控制下的通过相同的路由协议共享信息的网络和路由器群组。
![Page 46: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/46.jpg)
本地地址和全球地址
• 本地地址——仅在机构内部使用的 IP 地址,可以由本机构自行分配,而不需要向因特网的管理机构申请。
• 全球地址——全球惟一的 IP 地址,必须向因特网的管理机构申请。
![Page 47: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/47.jpg)
[RFC 1918]指明的专用地址(private address)
• 10.0.0.0 到 10.255.255.255
• 172.16.0.0 到 172.31.255.255
• 192.168.0.0 到 192.168.255.255
• 这些地址只能用于一个机构的内部通信,而不能用于和因特网上的主机通信。
• 专用地址只能用作本地地址而不能用作全球地址。在因特网中的所有路由器对目的地址是专用地址的数据报一律不进行转发。
![Page 48: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/48.jpg)
路由协议
有两个层次:• 各个自治系统内部使用内部路由协议,
一般用来在自治系统( AS )中动态决定到达每一个网络或子网的最佳路由。
• 自治系统之间使用外部路由协议,用于不同的自治系统间交换路由信息。
![Page 49: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/49.jpg)
内部路由协议
也叫内部网关协议( IGP, Interior Gateway Protocol )常见协议:• 路由信息协议 RIP
• 开放式最短路径优先协议 OSPF
![Page 50: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/50.jpg)
外部路由协议
也叫外部网关协议( EGP, Exterior Gateway Protocol )常见协议:• 外部网关协议 EGP
• 边界网关协议 BGF
![Page 51: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/51.jpg)
因特网的管理机构
因特网协会 ISOC
因特网研究指导小组IRSG
因特网研究部 IRTF 因特网工程部 IETF
因特网工程指导小组IESG
…
RG WG… …RG…
领域 领域
因特网体系结构研究委员会 IAB
WGWGWG
![Page 52: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/52.jpg)
制订因特网正式标准的四个阶段
• 因特网草案 (Internet Draft) —— 在这个阶段还不是 RFC 文档。
• 建议标准 (Proposed Standard) —— 从这个阶段开始就成为 RFC 文档。
• 草案标准 (Draft Standard)
• 因特网标准 (Internet Standard)
![Page 53: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/53.jpg)
标准化组织• IETF( Internet Engineering Task Forc
e )互联网工程任务组http://www.ietf.org/
• IPv6 Forum IPv6论坛http://www.ipv6forum.org/
• OMA( Open Mobile Alliance )开放移动联盟http://www.openmobilealliance.org/
• MWIF(Mobile Wireless Internet Forum )移动无线因特网论坛
![Page 54: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/54.jpg)
第 2 节 TCP/IP 的安全性考虑—— IPSecure
2.2.1 TCP/IP安全性问题 2.2.2 通常的安全措施——防火墙 2.2.3 IPSec网络安全体系结构
![Page 55: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/55.jpg)
2.2.1 TCP/IP安全性问题
• 边界和路径的不确定性• 边界的不确定性:容易被未经授权的非法用
户访问• 边界和路径的不确定性:可能会经过不安全站点
![Page 56: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/56.jpg)
TCP/IP安全性问题(续)
• TCP/IP (数据格式)的不安全因素:• 数据流采用明文传输• 以太网使用广播方式• 服务口令的不加密传输
![Page 57: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/57.jpg)
TCP/IP安全性问题(续)
• 协议验证和特殊情况处理的漏洞:• 没有考虑对攻击(源地址欺骗、 IP欺骗、
源路由选择欺骗、路由选择协议攻击、鉴别攻击、 SYN 同步攻击等)的防御
• 资源的共享性给破坏提供了机会
![Page 58: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/58.jpg)
2.2.2 通常的安全措施——防火墙
•概念:指设在不同网络(通常是可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。是提供信息安全服务,实现网络和信息安全的基础设施。
![Page 59: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/59.jpg)
2.2.2 通常的安全措施——防火墙
• 在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和 Internet 之间的任何活动,保证了内部网络的安全。
![Page 60: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/60.jpg)
防火墙的功能
• 功能:作为一个阻塞点、控制点能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
![Page 61: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/61.jpg)
防火墙的优点
• 能将所有安全软件配置在防火墙上集中管理,更有效、更经济。
• 能记录访问,提供网络使用情况的统计数据。
• 支持 VPN ,省去了专用通信线路,为信息共享提供了技术保障。
![Page 62: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/62.jpg)
防火墙的弱点
•无法避免明文传输•难以识别地址欺骗• 对数据在防火墙外的路由选择无能为力
![Page 63: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/63.jpg)
2.2.3 IPSec 网络安全体系结构 • IETF IP 制定的新的网络安全协议标准• 支持各种数据安全功能
• 数据初始检验• 数据一致性判断• 数据保密• 密钥管理• 安全会话管理等
• IPv6协议完全支持 IPSec
![Page 64: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/64.jpg)
IPSec 网络安全体系结构
• 最大特点:在网络层为 IP包提供安全保护• 为封装在 IP 数据包内的所有上层的应用数
据提供覆盖保护• 对用户具有透明性,以便在网络系统上开发安全的应用程序。
![Page 65: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/65.jpg)
IPSec 中最主要的两个部分 • 校验报头 AH (Authentication Header) :
AH提供源站鉴别和数据完整性,但不能保密。
• 封装安全有效载荷 ESP (Encapsulation
Security Payload): ESP 比 AH 复杂得多,它提供源站鉴别、数据完整性和保密。
![Page 66: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/66.jpg)
安全关联 SA(Security Association)
• 在使用 AH 或 ESP 之前,先要从源主机到目的主机建立一条网络层的逻辑连接。此逻辑连接叫做安全关联 SA 。
![Page 67: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/67.jpg)
安全关联(续)• 安全关联是一个单向连接。它由一个三
元组惟一地确定,包括:(1) 安全协议(使用 AH 或 ESP )的标识符
(2) 此单向连接的源 IP 地址(3) 一个 32 bit 的连接标识符,称为安全参数索引 SPI (Security Parameter Index)
![Page 68: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/68.jpg)
IP校验报头( IPAH ) 作用:为 IP 数据包的无连接数据提供 :• 数据一致性校验:通过信息校验码生成测试位。
• 数据初始性校验:在需要校验的数据中附加共享密钥。
• 数据的重播保护:在 IPAH 中使用顺序号字段。
![Page 69: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/69.jpg)
IPAH 两种应用模式• 传输模式:在 IP 报头和初始数据包的 IP载荷之间添加 IPAH ,通常用于两个终端之间的连接。
• 隧道模式:产生新的 IP 报头,之后是IPAH 和完整的初始数据包。
(隧道:当一个数据包被封装在另一个数据包的净荷中进行传送时,所经过的路径)
![Page 70: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/70.jpg)
IPAH 数据包格式
IP 报头 IP载荷
IP 报头 AH 报头 IP载荷
新 IP 报头 AH 报头 IP 报头 IP载荷
初始数据包
传输模式数据包
隧道模式数据包
![Page 71: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/71.jpg)
封装安全有效载荷 ESP
• 在 ESP 首部中有标识一个安全关联的安全参数索引 SPI (32 bit) ,和序号 (32 bit) 。
• 在 ESP 尾部中有下一个首部( 8 bit ,作用和 AH 首部的一样)。 ESP 尾部和原来数据报的数据部分一起进行加密,因此攻击者无法得知所使用的传输层协议。
• ESP 的鉴别数据和 AH 中的鉴别数据是一样的。因此,用 ESP 封装的数据报既有鉴别源站和检查数据报完整性的功能,又能提供保密。
![Page 72: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/72.jpg)
在 IP 数据报中的ESP 的各字段
IP 首部 ESP 首部 TCP/UDP 报文段
协议 = 50
可鉴别的保密的 IP 数据报
原数据报的数据部分
ESP 尾部
ESP 鉴别数据
加密的部分
鉴别的部分
![Page 73: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/73.jpg)
第 3 节 IPv6
2.3.1IPv4的不足2.3.2IPv6的对策2.3.3 IPv6的发展状况
![Page 74: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/74.jpg)
2.3.1 IPv4 的不足
1.地址资源行将枯竭2.路由表越来越庞大3.分配地址不方便4.不能满足对 QoS 的要求5.不能满足对安全性的要求
![Page 75: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/75.jpg)
IPv4地址剩余
![Page 76: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/76.jpg)
![Page 77: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/77.jpg)
2.3.2 IPv6 的对策
1.IPv6的地址方案2.IPv6的地址配置3.IPv6中的安全协议——IPSec
4.IPv6对多终点传输的支持5.IPv6对移动系统的支持6.IPv6对QoS的支持
![Page 78: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/78.jpg)
1. IPv6 的地址方案
• 地址格式:长度 128位,分为 8 个地址节,每个地址节 16位,以 4 个十六进制数书写,地址节之间用冒号分隔。
123F:100A:1114:64A5:458F:4646:2345:56A8
![Page 79: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/79.jpg)
1. IPv6 的地址方案 (续 )
IPv6 定义了三种不同的地址类型:• 单播传送地址(Unicast Address)
• 多播传送地址( Multicast Address )• 任意播传送地址( Anycast Address )
![Page 80: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/80.jpg)
1. IPv6 的地址方案 (续 )
• 所有类型的 IPv6 地址都是属于接口( Interface )而不是节点( node )。一个 IPv6 单播传送地址被赋给某一个接口,而一个接口又只能属于某一个特定的节点,因此一个节点的任意一个接口的单播传送地址都可以用来标示该节点。
![Page 81: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/81.jpg)
单播传送地址• 地址构造名称:
“可聚合全局单点广播地址”( Aggregatable Global Unicast Address )
![Page 82: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/82.jpg)
单播传送地址
• 地址分配结构:分级控制,同一级别下的主机和路由器分享同一地址字首。
3位地址类型前缀
13位TLAID
32位NLAID
16位SLAID
64位主机接口
ID
TLA :顶级聚合体,是与长途服务供应商和电话公司相互连接的公共网络接入点,从国际 Internet 注册机构获得地址。
NLA :下级聚合体,通常是大型 ISP ,从TLA 处申请获得地址,并为 SLA 分配地址。
SLA :位置级聚合体,可以是一个机构或一个小型的 ISP ,负责为属于它的订户分配地址,通常是连续地址组成的地址块,以便这些机构建立自己的地址分级结构以识别不同的子网。
![Page 83: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/83.jpg)
2. IPv6 的地址配置
• 全状态自动配置(从 IPv4继承)• 无状态自动配置:
IPv6 通过邻居发现机制为主机自动配置接口地址和缺省路由器信息,使得从互联网到最终用户之间的连接不经过用户干预就能够快速建立起来。
![Page 84: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/84.jpg)
3. IPv6 中的安全协议—— IPSec
IPv6 要求强制实施因特网安全协议IPSec ,并已将其标准化。参见本章第 2 节
![Page 85: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/85.jpg)
4. IPv6 对多终点传输的支持
• 多播传送地址(从 IPv4继承)• 任意播传送地址:离用户最近的一个服
务器响应
![Page 86: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/86.jpg)
5. IPv6 对移动系统的支持
在本章第 4 节中详述
![Page 87: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/87.jpg)
6. IPv6对 QoS 的支持
在数据包头中添加了• 业务流标识( Flow Label )• 优先权( Priority )字段支持对分组进行特殊处理,提供对不同服务质量的选择。
![Page 88: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/88.jpg)
2.3.3 IPv6 的发展状况
2004年 1月 15日,包括美国 Internet2 ,欧盟 GEANT 和中国 CERNET2 在内的全球最大的学术互联网,在比利时首都布鲁塞尔欧盟总部向全世界宣布,同时开通全球 IPv6 下一代互联网服务。
![Page 89: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/89.jpg)
CERNET2
• 中国下一代互联网示范工程 CNGI 最大的核心网和唯一的全国性学术网,是目前所知世界上规模最大的采用纯 IPv6 技术的下一代互联网主干网。
• 以 2.5Gbps-10Gbps 传输速率连接全国 20 个主要城市的 CERNET2核心节点,实现全国 200余所高校下一代互联网 IPv6 的高速接入,同时为全国其他科研院所和研发机构提供下一代互联网 IPv6高速接入服务,并通过中国下一代互联网交换中心 CNGI-6IX ,高速连接国内外下一代互联网。
![Page 90: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/90.jpg)
第 4 节 IP移动性的考虑——Mobile IP
2.4.1解决IP节点移动问题的几种受限方案2.4.2移动IP标准2.4.3移动IP解决的问题2.4.4 移动 IP 的应用范围2.4.5 移动 IP 的术语和功能实体2.4.6 移动 IP 的工作机制2.4.7 移动 IP 的关键技术
![Page 91: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/91.jpg)
2.4.1 解决 IP 节点移动问题的几种受限方案
1.改变节点的 IP 地址缺点:节点必须切断现有连接
2. 使用特定主机路由缺点:存在严重的可扩展性、可靠性和安全性问题
3. 在数据链路层解决移动问题 例如 CDPD和 IEEE802.11
缺点:只能在一种媒体内提供节点的移动性
![Page 92: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/92.jpg)
2.4.2 移动 IP标准• 1996年互联网工程任务小组( IETF )为了满足移动节点在移动中保持其连接性制定的一项开放标准
• Mobile IP 现在有两个版本,分别为• Mobile IPv4(RFC 3344 ,取代了 RFC 3220,
RFC 2002)
• Mobile IPv6(RFC 3775)
![Page 93: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/93.jpg)
2.4.3 移动 IP解决的问题
• 使移动节点可以以一个永久的 IP 地址连接到任何链路上
• 使移动节点在切换链路时仍可保持正在进行的通信
![Page 94: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/94.jpg)
2.4.4 移动 IP 的重要标志
• 移动 IP 是在因特网中提供移动功能的网络层方案,因此与传输媒介无关。
• 这种在不同媒介间移动的同时保持现有通信的功能是移动 IP 的重要标志。
![Page 95: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/95.jpg)
2.4.5 移动 IP 的术语• 家乡链路:与节点的 IP 地址具有相同网络前缀的链路
• 外地链路:家乡链路以外的链路• 家乡地址:“永久”分配给移动节点的地址• 转交地址:移动节点连接在外地链路上时相
关的 IP 地址• 外地代理转交地址• 配置转交地址
![Page 96: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/96.jpg)
移动 IP 的功能实体
• 移动节点:指可以将接入因特网的位置从一条链路切换到另一条链路上,而仍然保持所有正在进行的通信,并且只使用它的家乡地址的节点
• 家乡代理:指有一个接口与移动节点家乡链路相连的路由器
• 外地代理:指在移动节点的外地链路上的路由器
![Page 97: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/97.jpg)
2.4.6 移动 IP 的工作机制( 1 )
1.移动代理(家乡代理和外地代理)周期性的发送移动代理广播,向移动节点提供自己的服务配置信息和当前状态,同时,移动代理接收移动节点发送的代理请求并回应代理广播。
2.移动节点接收处理代理广播,判断当前所在的位置。
![Page 98: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/98.jpg)
2.4.6 移动 IP 的工作机制( 2 )
3.当移动节点在外地网络时,移动节点通过外地代理注册一个外地代理转交地址或配置一个配置转交地址。
4.移动节点向家乡代理注册得到的转交地址。
5.家乡代理把发给移动节点的 IP包封装后通过隧道送到外地代理,外地代理解除隧道封装,把原始的数据包传给移动节点。
![Page 99: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/99.jpg)
2.4.6 移动 IP 的工作机制( 3 )
6.移动节点发给通信对端的 IP包或者直接路由到目的地,或者通过反向隧道送到家乡网络后再路由到通信对端。
7.移动节点发现所连接的子网改变后,重新注册新的位置。
8.移动节点回到家乡网后,向家乡代理注销登记的外网位置。
![Page 100: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/100.jpg)
2.4.6 移动 IP 的工作机制( 4 )
9.所有注册消息使用密码强认证和时间戳来防止恶意攻击。
10.移动节点在不同的网络间移动的过程中,传输层如 TCP 连接等都保持正常的通信。
![Page 101: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/101.jpg)
移动 IP 的工作机制(图)
![Page 102: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/102.jpg)
2.4.7 移动 IP 的关键技术
• 代理搜索• 注册
![Page 103: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/103.jpg)
代理搜索( 1 )
• 代理搜索包括的消息• 代理广播消息• 代理请求消息
• 移动节点收到广播消息时如何判定自己在移动• 生存时间• 网络前缀
![Page 104: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/104.jpg)
代理搜索( 2 )
• 移动节点收不到广播消息时如何判定自己在移动
1. 设法在家乡链路上通信2. 在外地链路上配置一个配置转交地址
![Page 105: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/105.jpg)
注册( 1 )
• 注册功能:• 移动节点通过注册可以得到外地链路上外地代理的路由服务;
• 移动节点通过注册可以把它的转交地址通知本地代理;
• 注册有一定的生存时间,移动节点通过注册可以使一个要过期的注册重新生效;
![Page 106: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/106.jpg)
注册( 2 )• 在先前不知道本地代理的情况下,移动节点可以通过注册动态地得到本地代理的地址;
• 移动节点可以同时注册多个转交地址,此时本地代理将把发往移动节点本地地址的数据包通过隧道发往移动节点的每个转交地址。
![Page 107: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/107.jpg)
注册( 3 )
• 注册的种类• 用外地代理转交地址注册在一条外地链路上• 用配置转交地址注册在一条外地链路上• 在回到家乡链路后进行注销
![Page 108: 第 2 章 IP 技术](https://reader030.vdocuments.pub/reader030/viewer/2022033015/56814930550346895db66f74/html5/thumbnails/108.jpg)
课后作业1. IPSec 最主要的两个部分是什么 ?
IPAH 两种应用模式是什么 ?2. IPV4和 IPV6 的地址格式各是怎样的?
IPV6与 IPV4 相比做了哪些改进?3. 移动 IP解决了哪些问题?移动 IP 的重
要标志。