发布时间 : 星期日 文章毕业设计论文-一种基于dmvpn技术的网络平台的设计论文更新完毕开始阅读23120a616ad97f192279168884868762caaebbc7
之前。从安全性来讲,隧道模式优于传输模式。它可以完全地对原始IP数据报进行验证和加密:此外,可以使用IPSec对等体的IP地址来隐藏客户机的IP地址。从性能来讲,隧道模式比传输模式占用更多带宽,因为它有一个额外的IP头。因此,到底使用哪种模式需要在安全性和性能间进行权衡。
4) 验证算法
AH和ESP都能够对IP报文的完整性进行验证,以判别报文在传输过程中是否被篡改。验证算法的实现主要是通过杂凑函数,杂凑函数是一种能够接受任意长的消息输入,并产生固定长度输出的算法,该输出称为消息摘要。IPSec对等体计算摘要,如果两个摘要是相同的,则表示报文是完整未经篡改的。一般来说IPSec使用两种验证算法:MD5和SHA-1。MD5通过输入任意长度的消息,产生128bit的消息摘要。SHA-1通过输入长度小于2的64次方比特的消息,产生160bit的消息摘要。SHA-I的摘要长于MD5,因而是更安全的。 5) 加密算法
ESP能够对IP报文内容进行加密保护,防止报文内容在传输过程中被窥探。加密算法实现主要通过对称密钥系统,它使用相同的密钥对数据进行加密和解密。VRP(Versatile Routing Platform,通用路由平台)中IPSec实现三种加密算法:DES(Data Encryption Standard):使用56bit的密钥对一个64bit的明文块进行加密;3DES(Triple DES):使用三个56bit的DES密钥(共168bit密钥)对明文进行加密;AES(Advanced Encryption Standard):VRP实现了128bit密钥长度的AES算法,这也是IETF标准要求实现的。 6) 协商方式
有两种协商方式建立安全联盟,一种是手工方式(manual),一种是IKE自动协商(isakmp)方式。前者配置比较复杂,创建安全联盟所需的全部信息都必须手工配置,而且IPSec的一些高级特性(例如定时更新密钥)不被支持,但优点是可以不依赖IKE而单独实现IPSec功能。而后者则相对比较简单,只需要配置好IKE协商安全策略的信息,由IKE自动协商来创建和维护安全联盟。当与之进行通信的对等体设备数量较少时,或是在小型静态环境中,手工配置安全联盟是可行的。对于中、大型的动态网络环境中,推荐使用IKE协商建立安全联盟。
2.3 GRE原理介绍
通用路由封装GRE(Generic Routing Encapsulation)定义了在任意一种网络层协议上封装任意一个其它网络层协议的协议。
在大多数常规情况下,系统拥有一个有效载荷(或负载)包,需要将它封装并发送至某个目的地。首先将有效载荷封装在一个GRE包中,然后将此GRE包
- 9 -
封装在其它某协议中并进行转发。此外发协议即为发送协议。当IPv4被作为GRE 有效载荷传输时,协议类型字段必须被设置为0x800。当一个隧道终点拆封此含有IPv4包作为有效载荷的GRE包时,IPv4包头中的目的地址必须用来转发包,并且需要减少有效载荷包的TTL。值得注意的是,在转发这样一个包时,如果有效载荷包的目的地址就是包的封装器(也就是隧道另一端),就会出现回路现象。在此情形下,必须丢弃该包。
GRE下的网络安全与常规的IPv4网络安全是较为相似的,GRE下的路由采用 IPv4原本使用的路由,但路由过滤保持不变。包过滤要求防火墙检查GRE包,或者在GRE隧道终点完成过滤过程。在那些这被看作是安全问题的环境下,可以在防火墙上终止隧道。 GRE简介
GRE协议是对某些网络层协议(如IP和IPX)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如IP)中传输。GRE采用Tunnel(隧道)技术,是VPN的第三层隧道协议。
Tunnel是一个虚拟的点对点的连接,提供了一条通路使封装的数据报文能够在这个通路上传输,并且在一个Tunnel的两端分别对数据报进行封装及解封装。 一个X协议的报文要想穿越IP网络在Tunnel中传输,必须要经过加封装与解封装两个过程: 1. 加封装过程
1) Router A连接Group 1的接口收到X协议报文后,首先交由X协议处理; 2) X协议检查报文头中的目的地址域来确定如何路由此包;
3) 若报文的目的地址要经过Tunnel才能到达,则设备将此报文发给相应的Tunnel接口;
4) Tunnel口收到此报文后进行GRE封装,在封装IP报文头后,设备根据此IP包的目的地址及路由表对报文进行转发,从相应的网络接口发送出去。 2. GRE封装后的报文格式
GRE封装后的报文格式为:[Delivery header(Transport protocol)]——[GRE header (Encapsulation protocol)]——[Payload header(Passenger protocol)]
需要封装和传输的数据报文,称之为净荷(Payload),净荷的协议类型为乘客协议(Passenger Protocol)。系统收到一个净荷后,首先使用封装协议(Encapsulation Protocol)对这个净荷进行GRE 封装,即把乘客协议报文进行了“包装”,加上了一个GRE头部成为GRE报文;然后再把封装好的原始报文和GRE 头部封装在IP报文中,这样就可完全由IP层负责此报文的前向转发(Forwarding)。通常把这个负责前向转发的IP协议称为传输协议(Delivery Protocol或者Transport
- 10 -
Protocol)。根据传输协议的不同,可以分为GRE over IPv4 和GRE over IPv6 两种隧道模式。 3. 解封装的过程
解封装过程和加封装的过程相反。
1) RouterB从Tunnel接口收到IP报文,检查目的地址;
2) 如果发现目的地是本路由器,则RouterB剥掉此报文的IP报头,交给GRE 协议处理(进行检验密钥、检查校验和及报文的序列号等);
3) GRE协议完成相应的处理后,剥掉GRE 报头,再交由X 协议对此数据报进行后续的转发处理。
说明:GRE收发双方的加封装、解封装处理,以及由于封装造成的数据量增加,会导致使用GRE后设备的数据转发效率有一定程度的下降。
2.4 NHRP原理介绍
下一跳解析协议(NHRP)用于连接到非广播、多路访问(NBMA)式子网络的源站(主机或路由器)决定到达目标站间的“NBMA下一跳”的互联网络层地址和NBMA子网地址。如果目的地与NBMA子网连接,NBMA下一跳就是目标站;否则,NBMA下一跳是从NBMA子网到目标站最近的出口路由器。NHRP被设计用于NBMA子网下的多重协议互联网络层环境中。
在到达要生成响应的站之前,NBMA子网内的NHRP解析请求经过一个甚至更多的跳。包括源站在内的每个站选择一个它要转发NHRP解析请求所去的邻近 NHS(下一跳服务器)。NHS选择过程是:在能返回路由决定的协议层路由表上应用目的协议层地址。这种路由选择决定用于转发NHRP请求给下游的NHS。先前提到的目标协议层地址存放在NHRP解析请求包中。注意:即使一个协议层地址被用来获取路由选择决定,NHRP包不会被封装于协议层头,而是通过由它自己的头描述的封装形式存放于NBMA层。
- 11 -