[工学]第9讲：计算机网络故障诊断与排除 其他业务故障诊断与排除.ppt

计算机网络故障诊断与排除讲座教材 《计算机网络故障诊断与排除》第 2 版 清华大学出版社( 2010.12 ) 第9讲：其他业务故障诊断与排除 本章重点介绍以下内容： ● IPSec概述; ● IPSec IKE; ● IP Sec 管理和故障排除; ● 防火墙; ● 有关包过滤规则的几个概念; ● 地址过滤常见问题; ● 规则表; ● IP碎片处理; ● QoS概述; ● DCC、ISDN简介。 9.1 IPSec概述 IPSec即因特网协议安全，是由IETF(Internet Engineering Task Force)定义的一套在网络层提供IP安全性的协议。 1. IPSec使用的模式 IPSec可以使用两种模式：通道模式和传输模式。 通道模式 通道模式表明数据流经过通道到达远端网关，远端网关将对数据进行解密/认证，把数据从通道中提取出来，并发往最终目的地。这样，偷听者只能看到加密数据流从VPN的一端发往另一端。 传输模式 传输模式无法使数据流通过通道传输，因此不适用于VPN通道。但可以用于保证VPN客户端到安全网关连接的安全，如IPSec保护的远程配置。大多数配置中都设置为“通道”(远端网关)。远端网关(Remote Gateway)就是远端安全网关，负责进行解密/认证，并把数据发往目的地。 传输模式不适用远程网关。 2. IPSec协议(IPSec Protocols) IPSec协议描述如何处理数据的方法。IPSec可以选择的两种协议是AH(Authentication Header，认证头)和ESP(Encapsulating Security Payload，封装安全有效载荷)。 ESP具有加密、认证的功能。建议不仅使用加密功能，因为它会大大降低安全性。 AH只有认证作用。与ESP认证之间的不同之处仅仅在于，AH可以认证部分外发的IP头，如源和目的地址，保证包确实来自IP包声明的来源。 IPSec协议是用来保护通过VPN传输数据流的。使用的协议及其密钥是由IKE协商的。 AH AH是一种认证数据流的协议。它运用加密学复述功能，根据IP包的数据生成一个MAC。此MAC随包发送，允许网关确认原始IP包的整体性，确保数据在通过因特网的途中不受损坏。除IP包数据外，AH也认证部分IP头。 AH协议把AH头插在原始IP头之后，在通道模式里，AH头是插在外部IP头之后的，但在原始内部IP头之前。 ESP ESP用于IP包的加密和认证。还可只用于加密或认证。 ESP头插在原始IP头之后，在通道模式里，ESP头是插在外部IP头之后的，但在原始内部IP头之前。ESP头之后的所有数据是经过加密/认证的。与AH不同的是，ESP也对IP包加密。认证阶段也不同，ESP只认证ESP头之后的数据，因此不保护外部IP头。 3. IPSec使用期限(IPsec Lifetime) VPN连接的使用期限用时间(秒)和数据量(千字节)表示。只要超出其中任何一个值，就要重新创建用于加密和认证的密钥。如果最后一个密钥期没有使用VPN连接，那么就会终止连接并在需要连接时从头开始重新打开连接。 IPSec多用于企业网之间的连接，可以保证局域网、专用或公用的广域网以及Internet上信息传输的安全。例如，IPSec可以保证Internet上各分支办公点的安全连接。公司可以借助Internet或公用的广域网搭建安全的虚拟专用网络，使得公司可以不必耗巨资去建立自己的专用网络，而只需依托Internet即可以获得同样的效果。IPSec通过认证和密钥交换机制确保企业与其他组织的信息往来的安全性和机密性。 IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证，正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输和Web访问在内的多种应用程序的安全。 4. IPSec的优点 如果在路由器或防火墙上执行了IPSec，它就会为周边的通信提供强有力的安全保障。一个公司或工作组内部的通信将不涉及与安全相关的费用。下面介绍IPSec的一些优点： (1) IPSec在传输层之下，对于应用程序来说是透明的。当在路由器或防火墙上安装IPSec时，无需更改用户或服务器系统中的软件设置。即使在终端系统中执行IPSec，应用程序一类的上层软件也不会被影响。 (2) IPSec对终端用户来说是透明的，因此不必对用户进行安全机制的培训。 (3) 如果需要的