防重放:防止网络无用数据攻击(攻击者不停发送无效数据给设备进行解密消耗设备资源)
IPsec构成(架构):AH协议+ESP协议+IKE协议
IKE:秘钥交互协议,用于协商SA安全联盟、维护安全联盟
安全联盟:一套安全规则所构成就称之为安全联盟,每台设备独立构建一条,安全联盟为单向;两台设备
之间要构建两条
Security association
AH:authentication Header认证头部侧重于认证,不对原始数据进行加密只提供认证功能
ESP:encrypted Security protocol加密安全协议,提供加密和认证,侧重于加密
IPsec 封装模式:
IPsec 传输模式:只对原始数据保证安全,对原始IP头部不提供安全规则
常用于PC到PC
IPsec 隧道模式:在原始数据包之前加上隧道的源和目的IP地址(将原始数据包封装在隧道进行传递)
Site到Site
IPSec数据传输之前先进行安全联盟协商,在协商完成后数据到达直接使用协商完成的规则进行操作
ipsec policy B1 10 manual
security acl 3010
proposal B1
tunnel local 4.4.4.4
tunnel remote 2.2.2.2
sa spi inbound esp 12345
sa string-key inbound esp simple huawei456
sa spi outbound esp 56789
sa string-key outbound esp simple huawei123
SNMP:简单网络管理协议
MIB:管理信息数据库,相当于Windows注册表,记录设备各种信息
OID:对象ID
NMS:网络集中管理系统
agent:代理被管理设备上SNMP程序,可以读取MIB数据发给NMS
community:相当于密码
IPv6基本包头内容
1,hop limit 相当于TTL值
2,Next header 相当于protocol字段表示上层协议
3,traffic class 用于QOS
4,flow label流标记 标识数据流类型
5,payload length:负载长度 数据包大小
基本包头:必须携带
扩展包头:可选如果需要则携带
IPv6地址:网络前缀+接口标识
网络前缀相当于网络位
接口标识相当于主机位
IPV6地址:单播地址、任播地址、组播地址
link-local:链路本地地址相当于IPv4私有地址,只在本地使用,不能被路由出去
FE80::开头
FF02::1相当于224.0.0.1
FF02::2相当于224.0.0.2
任播地址:单播地址配置在过个设备上提供统一服务,实现负载均衡
EUI-64接口ID构成:将接口MAC地址分割为前24bit后24bit,将第7bit置位为1,在前后两端加入固定FFFE(
16bit)构成EUI-64接口ID
EUI64 IPv6地址=网络前缀64bit+接口ID64bit
无状态地址配置过程
1,发起router solicit消息发向网络中路由器(ICMPV6协议实现)
2,路由在收到后将接口网络前缀发送给请求者
3,请求将将网络前缀(64bit)+EUI-64接口ID构成IPv6地址
IPV6 地址解析:相当于IPV4ARP功能,生成IPV6地址对于MAC地址关系
过程
1,使用ICMPv6协议,发送neighbor solicit消息向网络请求目的IPv6地址所对应MAC地址
2,目的设备在手收到后使用ICMPv6 回复,回复neighbor advertise消息,告知IPv6地址与MAC地址映射关系
DAD:地址冲突检测,相当于IPv4中无故ARP
原理
1,获取到IPv6地址后,则立即使用neighbor solicit消息解析自己IPV6地址,如果有设备回复
advertise消息则说明地址重复,反之地址唯一可用
RIPNG:专用IPv6
UDP端口521
更新:FF02::9
DHCPv6
端口号;UDP 546客户使用、547服务使用
DUID:DHCPv6 User ID,用于唯一标识一台DHCPv6设备(服务器或客户机)
默认使用MAC地址标识
有状态DHCPv6:是指所有的IPv6地址等信息都是DHCPv6学习的称之为有状态DHCP
过程
1,客户发送DHCPv6 solicit消息目的地址为保留组播IPv6地址(FF02::1:2)发现网络中DHCPv6 Server
2,服务器在收到数据包目的FF02::1:2则处理,回复advertise消息提供IPv6地址等信息
3,客户发送Request消息(保留组播IPv6地址(FF02::1:2)向DHCPv6 server要IPv6地址等信息
4,服务器回复reply消息,提供IPv6地址等信息
无状态DHCPv6
1,IPv6地址通过状态自动配置
2,DNS等其他信息通过DHCPv6获取
2.1 Client发送information Request消息
2.2 Server在收到后回复reply提供DNS等其他信息