多分支企业网络规划与设计 - 图文

重庆理工大学综合课程设计报告 科技型跨广域网企业设计 往下一条条比较。

2、一个数据包如果与访问列表的一行匹配，则按规定进行操作，不再进行后续的比较。

3、在每个访问列表的最后一行是隐含的deny any语句--意味着如果数据包与所有行都不配的话，将被丢弃。

访问列表的配置规则：

1、你在访问列表中可以写多条比较语句，它们是按你输入的顺序来进行放置的。

2、在标准访问列表扩展访问列表中，你不能单独删除其中的一行，只能删除整个列表。

3、每个列表应当至少有一个permit语句，否则将拒绝所有流量。 4、访问列表可以用在接口的出方向，也可以用在入方向，但是要注意，在一个接口在一个方向上只能有一个访问列表。

5、访问列表可以过滤通过路由器的流量，对自已产生的流量不起作用。 6、将标准访问列表要尽可能放置在靠近目的地址的地方 7、将扩展访问列表要尽量放置在靠近源地址的地方

4.3.6 路由重分布

路由器可以同时运行多种路由协议，当不同路由协议进行LSA交换时，需要设置一种路由协议进程中来通告另一种路由协议进程的路由。如本次课题中，用于OSPF和EIGRP的双向多点重分发和在各公司的三层核心交换机上将直连路由重分布进OSPF进程或EIGRP进程中

4.3.7 IPsec

IPSec 是一项标准的安全技术，主要用来保护网络层（IP）数据，它提供了网络层的安全性。

IPSec TCP/UDP

应用应用重庆理工大学综合课程设计报告 科技型跨广域网企业设计 IP头部

头部 头部 层头部 层数据 IPSec的封装方式可以对原始的IP负载实现加密，同时还可以实现对IPSec头部和IP负载的验证，以确保数据的完整性。

IPSec技术对VPN流量提供3方面的保护：

1、私密性（Confidentiality） 对数据加密 >>>>DES 2、完整性（Integrity） 没有第三方篡改 >>>>MD5 3、源认证（Authenticity） 源认证 >>>>DH(迪夫赫尔曼算法)

(一)、IPSce框架

(1)、散列函数（HASH函数） 代表：MD5/SHA-1 散列函数的特点：

1.固定大小 MD5 输出长度总是128bit SHA-1输出长度总是160bit

2.雪崩效应 原始数据修改一个bit,也会发生巨大变化 3.单向

4.冲突避免 几乎不能找到另外一个数据和当前数据计算的HASH值相同。

散列函数能够确认数据的完整性，却不能确保这个数据来自于可信的源（不提供源认证）

为了弥补不提供源认证的漏洞，就可以用HMAC这项技术来解决，HMAC 不仅仅能够实现完整性校验，还能完成认证的任务。

HMAC（Hash-based Message Authentication Code)是密钥相关的哈希运算

重庆理工大学综合课程设计报告 科技型跨广域网企业设计 消息认证码。（例如HMAC技术如何验证OSPF路由更新包）

（2）加密算法

a.对称加密算法； 相同密钥 优点：速度快、安全、紧凑

缺点：明文传输共享密钥、参与人多密钥急剧膨胀、密钥不好管理、不支持数字签名。

对称加密算法的主流协议： 1.DES 2.3DES 3.AES 4.RC4

b.非对称加密算法

在使用非对称加密算法之前，都要使用非对称加密算法（如：RSA）产生一对密钥，包括一个公钥和一个私钥。

私钥用于数字签名，公钥实现数据加密，共同实现数据的私密性、不可否认性。

优点：安全、密钥数据不变、事先不用建立信任关系、支持签名 缺点： 加密速度慢、密文会变长 非对称加密的主流协议：

1.RSA（数字证书和数字签名的主要协议） 2.DH (IPSec产生密钥资源的主要协议) 3.ECC( 椭圆曲线算法)

在加密解决的方案中一般采用对称加密算法加密数据，非对称加密算法加密随机密钥

重庆理工大学综合课程设计报告 科技型跨广域网企业设计 IPSec VPN使用非对称密钥算法DH来产生密钥资源，再用对称密钥算法来加密实际数据。

Diffie–Hellman key exchange(迪菲－赫尔曼密钥交换)

（三）封装协议

IPSec有ESP和AH两种封装协议。