第9章-IP交换与IP安全.pptVIP

第*页 LOREM IPSUM DOLOR （iv）收到标签映射消息的LSR检查本地存储的标签请求消息状态。对于某一FEC的标签映射消息，如果数据库中记录了相应的标签请求消息，LSR将为该FEC进行标签分配，并在其标签转发表中增加相应的条目，然后向上游LSR发送标签映射消息。 （v）当入口LSR收到标签映射消息时，它也需要在标签转发表中增加相应的条目。这时，就完成了LSP的建立，接下来就可以对该FEC对应的数据分组进行标签转发了。 第*页 （4）会话撤销 LDP通过检测会话连接上传输的LDP pdu来判断会话的完整性。 LSR为每个会话建立一个“生存状态”定时器，每收到一个LDP pdu时刷新该定时器。如果在收到新的LDP pdu之前定时器超时，LSR认为会话中断，对等关系失效。LSR将关闭相应的传输层连接，终止会话进程。 第*页 4. LDP环路检测两种方式 在MPLS域中建立LSP也要防止产生环路，LDP环路检测机制可以检测LSP环路的出现，并避免标签请求等消息发生环路。 （1）最大跳数 在传递标签绑定的消息中包含跳数信息，每经过一跳该值就加一。当该值超过规定的最大值时认为出现环路，终止LSP的建立过程。 （2）路径向量 在传递标签绑定的消息中记录路径信息，每经过一跳，相应的LSR就检查自己的id是否在此记录中。如果没有，将自己的id添加到该记录中；如果有，说明出现了环路，终止LSP的建立过程。 第*页 5. 基于约束路由的LDP MPLS还支持基于约束路由的LDP机制（CR-LDP，Constrain-based Routing LDP）。所谓CR-LDP，就是入口节点在发起建立LSP时，在标签请求消息中对LSP路由附加了一定的约束信息。这些约束信息可以是对沿途LSR的精确指定，即逐一指定LSP上的LSR，此时叫严格的显式路由；也可以是对选择下游LSR的模糊限制，即只指定LSP上的个别LSR，此时叫松散的显式路由。 第*页 主要内容 9.1 IP交换 9.2 MPLS 9.3 IP安全 9.4 VPN 9.5 本章小结 第*页 9.3 IP安全 IP分组本身并不继承任何安全特性。很容易便可伪造出IP包的地址、修改其内容、重播以前的包，在传输途中拦截并查看包的情况每时每刻都在发生。因此，我们收到的IP数据报会有很多安全隐患。诸如IP分组是否来自IP头内的源地址，来自真实的发送方；IP分组中是否还是发送方当初放在其中的原始数据；原始数据在传输中途是否被其它人看查阅。 第*页 LOREM IPSUM DOLOR 针对这些问题，IPSec可有效地保护IP数据报的安全。它采取的具体保护形式有，数据起源地验证；无连接数据的完整性验证；数据内容的机密性；抗重播保护；以及有限的数据流机密性保证。 第*页 9.3.1 IPSec IPSec（IP Security）是IETF 制定的三层隧道加密协议，它为Internet 上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。特定的通信方之间在IP层通过加密与数据源认证等方式，提供了以下的安全服务： 数据机密性（Confidentiality），数据完整性（Data Integrity），数据来源认证（Data Authentication），防重放（Anti-Replay）。 第*页 IPSec 两种实现协议AH IPSec通过AH认证头协议和ESP认证头协议两种协议实现安全服务。 AH（Authentication Header）是认证头协议，协议号为51。主要提供的功能有数据源认证、数据完整性校验和防报文重放功能，可选择的认证算法有MD5（Message Digest）、SHA-1（Secure Hash Algorithm）等。AH 报文头插在标准IP 包头后面，保证数据包的完整性和真实性，防止黑客截获数据包或向网络中插入伪造的数据包。 第*页 ESP ESP（Encapsulating Security Payload）认证头协议，协议号为50。与AH 协议不同的是，ESP 将需要保护的用户数据进行加密后再封装到IP 包中，以保证数据的机密性。常见的加密算法有DES、3DES、AES 等。同时，作为可选项，用户可以选择MD5、SHA-1 算法保证报文的完整性和真实性。 AH 和ESP 可以单独使用，也可以联合使用。设备支持的AH 和ESP 联合使用的方式为：先对报文进行ESP 封装，再对报文进行AH 封装，封装之后的报文从内到外依次是原始IP 报文、ESP 头、AH 头和外部IP 头。 第*页 2. 安全联盟（Security Association，SA） IPSec 在两个端点之间提供安全通信，端点被称为IPSec 对等体。 SA 是IPSec 的