基于网络安全的下一代边界网关协议
[摘要] 边界网关协议bgp4+是保证下一代互联网网络安全基础的中重要的域间路由协议,它是在bgp4的基础上加入了对ipv6的支持,对它的测试研究有助于ipv6网络的顺利部署。本文针对下一代边界网关协议bgp4+进行了一致性测试研究。文章分析了bgp4+的工作机制,对一致性测试研究中使用的测试方法进行了介绍,然后详细的介绍了bgp4+协议的测试实践过程。
[关键词] bgp4+ 协议一致性测试 ipv6 测试例
目前许多发达国家都加大力度在一致性测试方面进行研究,不仅在理论研究上取得了很大进展,而且先后建立了一批可以提供协议测试服务的一致性测试系统。如美国杜克大学计算机系[2]开发的pcts协议一致性测试系统可以完成ttcn描述的x.400协议测试集的一致性测试。芬兰的oes公司[3]开发的运行在windows和linux 操作系统下的基于ttcn-3的openttcn tester v2.54.0测试平台。国内在协议测试研究方面近些年也取得了一定的研究成果,如清华大学计算机系开发的协议集成测试系统pits,该系统使用ttcn作为测试集描述语言,使用该系统已经对cisco、huawei等许多厂家的路由产品进行了一致性测试并发现了其中存在的不一致问题。国内还有中科院计算所、兰州大学、中国科技大学、内蒙古大学等多所高校成立了ipv6实验室从事这方面的研究,也发表了一些相关的文章。文章[4,5]针对bgp4+作为路由协议的特点,对现有的测试方法进行了分析研究,并设计实现了bgp4+协议一致性测试系统。
《网络协议栈分析与设计》大作业 边界网关协议(BGP)RFC分析与设计Border Gateway Protocol 学生:吕卿网络1101班 201192334 2013/12/16
1.背景介绍 边界网关协议是用来连接网络上不同自治系统(AS)的路由选择协议。BGP是为了取代最初的外部网关协议EGP所设计的,也被认为是路径矢量协议。它通过维护IP路由表和前缀表来实现自治系统(AS)间的可达性。BGP的主要功能是和其他BGP系统交换网络可达性信息。必须要注意的是BGP是建立在可靠连接的基础之上的。 2.操作总结 在两个系统建立的连接中他们互相交互信息更改数据。初始数据流是整个BGP路由表。BGP不要求整个BGP路由表的周期性更新。保持存活信息定期的被发送以确保连接的存活。通知信息被发送来回馈错误通知和特殊情况。执行边际路由协议的主机不必是路由器。一个非路由器的主机可以和路由器经由EGP甚至内部路由协议进行交互。如果一个特殊的自治系统(AS)有多个BGP发言者,那么一定要注意在一个AS内要的几个发言者要有一致的路由视野。 3.信息格式 信息在可靠传输协议连接上发送。信息只有在被完全接收之后才能够被处理。最大的信息大小是4096字节。所有的实现必须支持这一最大信息规格。最小的数据规格要包含BGP头部不含数据部分。 3.1数据头格式 每个信息有个固定大小的头部。包括标识物·长度·类型。标识物:这16字节大小的领域包含信息接收方可以对信息进行确认的信息。长度:这2字节无符号整数表明这则信息的总长度。长度的值必须在19到4096之间类型:这一字节无符号整数表明这则信息的代码模式。共有四种类型: 1 - OPEN 2 - UPDATE 3 - NOTIFICATION 4 - KEEPALIVE
下一代网络安全解决方案 随着网络的泛化和无边界化,网络安全问题会越来越严峻。单就恶意代码一项,就呈现出爆炸增长的趋势。目前全球已经有50亿恶意样本,每天还将以300万种的速度产生。如果把恶意代码问题看作天灾的话,那么现代网络同时还面临着“人祸”。“棱镜门”事件揭露了网络数据被监听的事实,暴露出国家安全、网络安全形势严峻。无论数据被恶意代码破坏,还是被黑客监听,最终都使得安全问题回归到了安全体系如何建设这样一个根本命题。 1、安全现状 地下黑色产业链的发展,使得制作黑客工具、控制用户终端、盗取用户信息、滥用互联网资源、攻击受害系统等行为形成产业化,并快速壮大,对互联网安全造成严峻挑战。 新型安全攻击方式增长迅猛,传统技术难以应对。利用0Day进行攻击案例迅速增长,而APT攻击方式向更加多维化的方向发展,综合运用各类攻击手段的能力、复杂度继续提升。 网络IP化、IPv6、云、物联网的智能化发展趋势,产生了更为复杂的安全问题。 运营商网络往往规模庞大,安全脆弱点多,安全体系建设难以达到更好的效果,在这样的网络结构下,运营商骨干网、短信系统长期受到攻击,获取用户信息,难以发现,国家安全部门发现运营商重要系统中被植入特种木马的事例也逐渐增多,在这种安全趋势下,新的安全威胁对旧的安全体系发起了挑战。 2、基于P2DR安全模型的早期安全防护体系 早期的安全体系建设就是基于P2DR模型,包括4个主要部分:策略、防护、检测和响应。 (1)策略(Policy):根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等。策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的。 (2)防护(Protection):通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生;通过定期检查来发现可能存在的系统脆弱性;通过教育等手段,使用户和操作员正确使用系统,防止意外威胁;通过访问控制、监视等手段来防止恶意威胁。采用的防护技术通常包括数据加密、身份认证、访问控制、授权和虚拟专用网(VPN)技术、防火墙、安全扫描和数据备份等。 (3)检测(Detection):是动态响应和加强防护的依据,通过不断地检测和监控网络系统,来发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。当攻击者穿透防护系统时,检测功能就发挥作用,与防护系统形成互补。 (4)响应(Response):系统一旦检测到入侵,响应系统就开始工作,进行事件处理。响应包括紧急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。 该安全体系的好处是基于风险评估理论,将安全看做一个动态的整体。通过策略与响应来使得安全问题形成闭环,但是该安全体系并没有对安全威胁的本质进行分析,是安全体系的初级阶段的产物。 基于该安全体系,产生了一些如防火墙、入侵检测等初期的安全产品。 3、基于木桶原理的近期安全防护体系 随着安全威胁的不断发展和对安全理解的不断加深,人们开始对安全本质进行思考,出现了基于木桶原理的安全防护体系。 木桶原理简单的说就是整个系统的安全系数取决于最弱一环,即短板理论,因此整个安全体系的建设就是寻找整个网络的所有安全边界,然后将这些安全边界进行防护,避免安全短板的出现。 安全领域近10年的时间都是靠边界思想来指导安全体系建设,用网关防护类产品确定
BGP协议原理总结 BGP协议3: 边界网关路由协议(版本3) RFC1267 王尚 201192339
名词解释: 1AS(自治系统):在单一技术管理下的一系列路由器,他们使用一个内部网关,在AS内部路由数据包的共同标准,使用同一个外部网关协议来想其他AS传输数 据包。因为这个经典的解释已经被扩展,所以对于一个单一的AS来说在内部 使用多个内部网关协议和有时多个系列的标准已经很普遍了。 (在这里使用的AS强调了这样的事实,即便多个内部网关协议和度量标准被 使用,一个AS面向其他的AS的管理拥有一个单一的连贯一致的内部路由方 案,并且展示一个始终如一的图片,什么的网络通过它可以到达。从外部的路 由的观点来看一个AS可以被看做一个单片集成电路:) 图1AS系统 2IGP(内部的边界网关协议)专门用于自治系统中的网关间交换数据流转通道信息的协议 3EGP(外部的边界网关协议)在自治系统间的相邻的网关主机间交换路由信息的协议。常用于在INTERNET主机间交换路由表信息。一个轮询协议,利用H ELLO和I-HEARD-YOU消息的转换,能让每个网关控制盒接受网络 可达性信息的速率,容许每个系统控制自己的开销,同时发出命令请求更新响应。 路由表包括一组一知路由器及这些路由器的可到达地址及路径开销,从而选择最 佳路由。每个路由器没个120或者480秒访问邻居一次,邻居发挥完整的路 由表来响应。 4IBGP(内部边界网关协议) 5EBGP(外部边界网关协议) 6EBGP对等体 7BGP和IGP同步:一个BGP路由器不将从内部Peer得知的目的地通告给外部Peer,除非该目的地也能通过IGP得知。若一个路由器通过IGP得知该 目的地,则可以认为路由能在AS中传播,内部通达已经可以得到保证。 BGP协议概述 1BGP协议是外部路由协议,用来在AS之间传递路由信息。 2是一种增强的距离矢量路由协议。具有以下特点: ①可靠的路由更新机制
下一代网络安全的技术的问题 随着我国电信市场的不断发展,业务流量也每年加倍增长,路由器结构变得越来越复杂。由于宽带化,用户接入速率剧增,网络可扩展性和网络安全性问题成为下一代网络必须面对的挑战。 IP层的安全性考虑 由于NGI具有更大、更快、更安全、和更能赢利等特征,业界普遍认为IPv6是NGI 的主要特征,但还需要扩展一些协议,通过扩展互联网的一些协议和增加容量,将实现NGI IPv6的安全能力。尽管IPv4的作用不可估量,但是IPv6的作用也是显而易见的。在安全问题上IPv6并不比IPv4更显著,IPv6和IPv4都能使用IPSec,但这仅带来一些低水平的对安全的改进。另外IPv6本身也不比IPv4有更好的QoS,IPv4与IPv6两者都使用同样的QoS 技术,在加密问题上IPv6并不比IPv4有更大的能力,源地址能够随每一次“会晤”而变。 连接还是无连接? NGN定义是下一代网,是基于分组的网络,能够提供包括电信业务在内的各种业务,能够使用多种宽带和保证QoS的传送技术,业务相关功能与承载的传送技术无关,为用户提供不同的业务提供者的不受限接入能力,支持通用移动性,允许将业务协调的和无处不在的信息提供给用户。它适用于电路交换、TDM传送、简单终端、高可靠性和安全性、适于实时业务、对数据效率较低、对宽带业务可扩展性差和基于等级的受控的QoS、优化对收据业务的支持、容易实现宽带业务。NGN的安全组成是IP-CAN安全在互联网的运用上,NGN 采用的是技术而不是它的机理。互联网应当是面向连接还是无连接?目前业界选择的是后者。NGN的研究现阶段仍然处在试验阶段,它与NGI相比更强调运用、安全、计费和商业模式的重要性,未来的互联网要在通话对象之间建立直接的链路。 未来的网络安全体系 今后,NGN需要具有不依赖于加密系统的内在网络安全体系,NGN应当提供对蠕虫、病毒和垃圾邮件的合法拦截。ITU FGNGN和ETSI新的安全工作组将研究:开发NGN多媒体通信的安全规范;调查在互联网上提供业务所需的安全业务与机理;对在NGN框架内,实现系统所采用的候选协议,以及在网元进行安全性分析和EMTEL方面,继续追踪世界各地将要进行的网络安全性研究与试验,以获取更有价值的信息。
2012.7 29 下一代防火墙:网络安全 防范技术分析 林鸿 福州职业技术学院 福建 350108 摘要:面对日趋复杂的应用控制和安全威胁,传统的网络安全防御架构已显力不从心。新一代的网关安全产品NGFW(下一代防火墙)是否能成为未来网络安全防范的新选择?下一代防火墙是什么样的安全产品,与传统安全产品有什么不同,可实现哪些安全功能并具有哪些技术特色,都值得我们加以讨论和分析。 关键词:下一代防火墙;NGFW ;网络安全;技术分析 0 引言 2011年岁未,网络上盛传许多网站、论坛数据库遭黑客 攻击,密码、账号被盗的“泄露门”事件,频频搅动了国内 互联网安全的神经。截至2011年12月29日,国家互联网 应急中心(CNCERT)通过公开渠道获得疑似泄露的数据库有26个,涉及账号、密码2.78亿条。在这场中国互联网有史 以来波及面最广、规模最大的泄密事件中,人们不禁拷问, 企业的防火墙、IPS(入侵防御系统)、UTM(统一威胁管理)都 怎么啦?也在深入思考,在面对当今热门的数据中心整合和 互联、云计算、移动计算环境下更为分散和全方位的安全需 求时,传统的网络安全架构体系,是否还能担当信息安全的 防范重任,我们需要什么样的网络安全防范产品。下一代防 火墙(Next Generation Firewall,NGFW),这个近来在业界得到厂 商热捧的新一代的网关安全产品,能否面对互联网的安全现 状,在应用模式、业务流程、安全威胁不断变化的今天挑起 大梁,迎接挑战?它是一个什么样的安全产品,与传统的安 全产品有什么不同,硬件架构的设计做了什么改进,能实现 什么样的安全功能,技术性能上有哪些特色,都值得我们加 以关注和讨论。 1 什么是下一代防火墙 防火墙产品从上世纪九十年代使用至今,虽经系统架构和软件形态的多次改进和革新,但在应对和识别目前日趋复杂的混合性安全威胁时已显力不从心,应运而生的一款全新 安全产品NGFW 是否会取代传统防火墙、IPS 、UTM ,成为未来网络安全防御的主流产品,它能否解决网络新环境下产生的新安全隐患,NGFW 究竟是一个什么样的产品? 关于NGFW ,业界普遍认同的定义来自市场分析咨询机构Gartner 于2009年10月发布的一份名为《Defining the Next-Generation Firewall 》的文章。Gartner 认为,NGFW 应该是一个线速的网络安全处理平台,可执行深层流量检测,应用识别,阻止攻击的网关安全产品。在Gartner 看来,NGFW 至少应该具备以下的功能属性: 传统防火墙:NGFW 必须拥有传统防火墙的所有功能,如数据包过滤、NAT 、协议状态检查、VPN 等。 集成IPS :NGFW 在同一硬件内集成了传统防火墙和IPS 的功能,IPS 成为NGFW 的核心组件,它不是防火墙和IPS 两个硬件的简单叠加,而是功能的无缝融合。NGFW 中防火墙和IPS 的无缝融合、自动联动的协作机制将大大提升防御性能,增强网络安全性。 应用识别、控制与可视化:NGFW 与传统防火墙基于端口和IP 协议进行应用识别不同,而是会根据深度包检测引擎识别到的流量在应用层执行访问控制策略。流量控制不再是单纯地阻止或允许特定应用,而是可用来管理带宽或优先排 序应用层流量。深度流量检测让管理员可针对单个应用组件 执行细粒度策略。 超级智能的防火墙:NGFW 可以收集来自防火墙外面的 各类信息,用于改进阻塞决定,或优化阻塞规则库。
bgp边界网关协议,用于AS与AS之间的路由协议,bgp本身只负责控制路由,数据转发依然靠静态和IGP路由。 bgp分为同一个AS内的ibgp和不同AS之间的ebp。 bgp对等体和igp对等体不同,bgp对等体是指使用tcp建立连接的两端,而非与igp 同概念的直连邻居,只要有tcp可以建立连接并不需要直连。 bgp地址族,最初bgp-4标准协议仅支持ipv4网络,为了解决bgp多多种网络层协议的支持,对bgp进行了地址族功能的扩展,形成了支持多协议的MP-BGP。所谓的“地址族”就是一种网络层协议的配置模块,就是把不同类型的网络分块进行配置,目的就是把针对运行不同网络网络层协议的网络分别进行功能配置,这样配置起来就更加有条理。为了进一步区分一类网络中不同的网络应用,又可以再地址族下划分子地址族,地址族使用AFI地址标识符进行标识,对应的子地址族标识为SAFI,目前在ip网络中,MP-BGP主要包括4个地址族:iPv4、ipv6、L2VPN、VPLS等,而在ipv4地址族下有ipv4单播、ipv4组播、ipv4-mpls和ipv4-mdt等子地址族,ipv6地址族下有ipv6单播和ipv6组播等子地址族,在哪个(子)地址族模式下配置的就只能影响该地址族,而在BGP全局下配置的影响所有地址族。 igp路由选择使用metric,而bgp中使用路由属性来做路由选择。 IBGP中的ebgp叫做联邦,目的是为了解决ibgp内路由只传一跳的特性,与路由反射器RR功能一样。 EBGP邻居默认情况下限制了建立邻居的最大跳数为1,如果不是直连接口收发bgp报文需要修改最大跳数。 bgp对等体建立的三个阶段:Idle(查找到达对等体路由)、Active(主动建立tcp连接)、Established(对等体建立完成) bgp对等体建立的必要条件:ibgp中需要tcp连接可达,ebgp中需要tcp可达+允许的最大条数可达(默认是1直连),ebgp中如果需要使用loopback等接口来(收发bgp报文)建立对等体,那么就必须修改允许的最大条数。 在BGP中,向IBGP和EBGP邻居发送路由时,下一跳的处理是不同的。向EBGP邻居(即在AS间传播)发送路由时,next-hop均改为该路由器的出口IP地址(当下一跳修改前后的地址符合第三方下一跳时,不做修改);向IBGP邻居(即在AS内传播)发送路由时,next-hop是不变的。由于BGP向其他IBGP邻居转发来自EBGP路由时不修改下一跳,这样的话若IBGP邻居所处的设备没有到该下一跳地址的路由,会导致该IBGP收到这条转发自IBGP邻居的EBGP邻居的路由后下一跳不可达,导致路由失效。 session 2 BGP实例配置 一、bgp的基本配置
网络安全:华为下一代安全之NGFW 自2009年Gartner定义了下一代防火墙产品以来,这一产品已经迅速成为了网络安全领域最火的细分市场之一。根据2014年Gartner报告显示: 2013 年底,全球下一代防火墙的用户数量已占整个防火墙总数的20%。Gartner还预测,在2014年底,这一比例会达到35%。而且在2014年,70%的企业新部署的 边界防护都会采购下一代防火墙,市场对下一代防火墙的需求上升已经显而易见。 作为一个新的安全产品类别,Gartner对下一代防火墙的定义并不是十分清晰。目前市场上众多的下一代防火墙产品在实际的使用中,表现参差不齐。就目前市场情况来看,下一代防火墙已成为整个安全市场的一个热点,不论是传统的防火墙安全厂商,还是UTM厂商,甚至一些做上网行为管理的厂商都纷纷进入这一领域,推出自己的下一代防火墙的产品。 而对于目前国内的众多企业客户而言,他们更加关注的是下一代防火墙能否真正能够解决问题,而不是在于Gartner提出的这个概念本身。在2013年9月,华为也推出了下一代防火墙产品。产品主要聚焦于应用管控的精细程度、使用的简易性、威胁防护的全面性、以及在实际使用场景下的高性能等各方面。目前看来,华为的下一代防火墙在业界处于较为领先的地位。 对此华为下一代防火墙产品营销经理陈科向记者介绍道:“华为的下一代防火墙产品在Gartner定义的几个维度方面,如:对应用层的深入访问控制、对应用的识别和控制的精准程度等方面,拥有很大的优势。” 据悉,目前华为下一代防火墙能够识别的应用数量已经达到6000多种,在业界居首。此外,华为下一代防火墙还能够做到同时对应用不同的功能,如对微信的语音和文字进行区分。“这个应用识别一方面可以做应用的访问控制,另外一方面可以做相关的业务加速。”陈科解释道。 在功能的全面性方面,华为下一代防火墙也毫不逊色。据陈科介绍,华为曾在某项目中,以一台下一代防火墙替代了客户原有的七台设备,这从侧面证明了华为下一代防火墙产品功能的全面性。
<> 浅谈下一代网络的安全问题 (Discussion about the Security Problem of NGN network) 程谭华 (中国电信股份研究院公网技术部) 摘要随着下一代网络(NGN)对传统网络的替代逐渐成为一种趋势,基于IP承载的NGN的安全问题也日益引起人们的重视。本文主要针对NGN自身的安全隐患、NGN所面对的安全威胁两个方面进行了探讨,并提出了提高NGN安全的一些应对措施。 关键词下一代网络NGN 网络安全应对措施 前言 随着我国信息产业的迅猛发展,信息技术已经逐渐成为主导中国国民经济和社会发展的重要因素。当今,世界各国都在积极应对信息化的挑战和机遇,信息化、网络化、数字化正在全球围形成一场新的技术、产业和革命。大力发展信息化,其中一个重要的问题就是信息安全问题,它不仅仅是一个IT网络安全的问题,从大的方面来说,信息安全问题直接关系到国家安全。互联网的高速发展推动了整个社会进入信息时代的进程,同时也改变了人们的生活方式。但是我们可以看到,由于第一代互联网在设计之初并没有充分考虑到信息安全问题,使得各种病毒、木马、间谍软件、黑客攻击在网络中层出不穷,整个网络世界疲于应付,已经成为困扰互联网用户的首要问题;同时,由于安全问题给用户带来的不信任感和不安全感,基于IP技术的电子商务的发展也受到了极大的限制。 下一代网络(NGN)是一个建立在IP技术基础上的新型公共电信网络,能够容纳各种形式的信息,在统一的管理平台下,
实现音频、视频、数据信号的传输和管理,提供各种宽带应用和传统电信业务,是一个真正实现宽带窄带一体化、有线无线一体化、有源无源一体化、传输接入一体化的综合业务网络。下一代网络的构成 与传统的PSTN网络不同,NGN以在统一的网络架构上解决各种综合业务的灵活提供能力为出发点,提供诸如业务逻辑、业务的接入和传送手段、业务的资源提供能力和业务的认证管理等服务。为此,在NGN中,以执行各种业务逻辑的软交换(Softswitch)设备为核心进行网络的构架建设。除此之外,业务逻辑可在应用服务器(AS)上统一完成,并可向用户提供开放的业务应用编程接口(API)。而对于媒体流的传送和接入层面,NGN将通过各种接入手段将接入的业务流集中到统一的分组网络平台上传送。 分组化的、开放的、分层的网络架构体系是下一代网络的显著特征。业界基本上按业务层、控制层、传送层、接入层四层划分,各层之间通过标准的开放接口互连。 业务层:一个开放、综合的业务接入平台,在电信网络环境中,智能地接入各种业务,提供各种增值服务,而在多媒体网络环境中,也需要相应的业务生成和维护环境。 控制层:主要指网络为完成端到端的数据传输进行的路由判决和数据转发的功能,它是网络的交换核心,目的是在传输层基础上构建端到端的通信过程,软交换(Softswitch)将是下一代网络的核心,体现了NGN的网络融合思想。 传送层:面向用户端支持透明的TDM线路的接入,在网络核心提供大带宽的数据传输能力,并替代传统的配线架,构建灵活和可重用的长途传输网络,一般为基于DWDM技术的全光网。
基于IPv6的下一代互联网安全问题初探 栗培国 清华大学计算机系北京(100084) E-mail(lipeiguo@https://www.doczj.com/doc/401585000.html,) 摘要随着互联网的大规模商用,安全问题变得日益突出。IPv6 在解决目前互联网IP 地址不足而应运而生,它引入了加密和认证机制,并且强制实现IPsec。IPv6实现了基于网络层的身份认证,确保了数据包的完整性和机密性,实现了网络层安全。但是,这种安全并不是绝对的。下一代互联网仍存在许多安全威胁,需要建立全方位可信任的计算机网络安全体系,保证下一代互联网的安全性。 关键字:IPv6 网络安全下一代互联网 中图分类号: TP393.08 1 引言 互联网刚出现时,主要用于教育科研网,在各大学的研究人员之间传送E-Mail,以及共同合作的职员间共享资源。在这种使用环境下,网络协议的设计中很少关注网络的安全性,安全性未能引起足够的注意[1]。但是现在,随着互联网的大规模商用化,大家每天利用互联网进行学习,使用网络来处理银行事务和网上购物。互联网在国民经济中越来越重要的地位,网络安全问题变得日益突出。这里所说的安全问题既涉及网络安全也涉及信息安全,网络安全是指运行安全与数据安全;信息安全是指对信息的机密性、完整性、可用性的保护。安全威胁成为一个必须解决的问题,是发展下一代互联网应注意的最关键问题。因此,早在90年代初期,互联网工程任务组IETF(Internet Engineering Task Force)就开始着手下一代互联网协议IPng(Internet Protocol the next generation)的制定工作,1994年IETF提出了IPng建议草案,1995年底IETF提出了正式的协议规范,该规范经过进一步修改,成为今天的IPv6 (Internet Protocol version 6)。在设计基于IPv6的下一代互联网协议时,增加了对网络层安全性的要求,规定所有的IPv6实现必须支持IPSec(Internet Protocol Security)。IPsec 提供了两种安全机制:加密和认证[2]。加密是通过对数据进行编码来保证数据的机密性,以防数据在传输过程中被他人截获而失密。认证使得IP 通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭到改动。这样基于IPv6的下一代互联网在网络层的安全性得到了大大的增强。 2 IPv6的十大主要技术特点 针对目前互联网协议IPv4的不足,IETF提出了下一代互联网协议IPv6。因而其主要技术特点也是针对
BGP路由协议详解 制作人:张选波 二〇〇九年六月二十二日
一、BGP的概况 BGP最新的版本是BGP第4版本(BGP4),它是在RFC4271中定义的;一个路由器只能属于一个AS。AS的范围从1-65535(64512-65535是私有AS号),RFC1930提供了AS 号使用指南。 BGP的主旨是提供一种域间路由选择系统,确保自主系统只能够无环地交换路由选择信息,BGP路由器交换有关前往目标网络的路径信息。 BGP是一种基于策略的路由选择协议,BGP在确定最佳路径时考虑的不是速度,而是让AS能够根据多种BGP属性来控制数据流的传输。 1、BGP的特性 BGP将传输控制协议(TCP)用作其传输协议。是可靠传输,运行在TCP的179端口上(目的端口) 由于传输是可靠的,所以BGP0使用增量更新,在可靠的链路上不需要使用定期更新,所以BGP使用触发更新。 类似于OSPF和ISIS路由协议的Hello报文,BGP使用keepalive周期性地发送存活消息(60s)(维持邻居关系)。 BGP在接收更新分组的时候,TCP使用滑动窗口,接收方在发送方窗口达到一半的时候进行确定,不同于OSPF等路由协议使用1-to-1窗口。 丰富的属性值 可以组建可扩展的巨大的网络 2、BGP的三张表 邻居关系表 ?所有BGP邻居 转发数据库 ?记录每个邻居的网络 ?包含多条路径去往同一目的地,通过不同属性判断最好路径 ?数据库包括BGP属性 路由表 ?最佳路径放入路由表中 ?EBGP路由(从外部AS获悉的BGP路由)的管理距离为20 ?IBGP路由(从AS系统获悉的路由)管理距离为200 如下图所示。