資源描述:
《linux路由協(xié)議網(wǎng)絡(luò)協(xié)議?�!酚蓵T上傳分享�����,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫����。
1、邁普學(xué)習(xí)總結(jié)經(jīng)過在公司里學(xué)習(xí)了幾個(gè)月��,把大體的工作總結(jié)于下:在參與1800-203G路由的開發(fā)中���,我參與了l2tp,gre�����,靜態(tài)路由,ipsec��,日志關(guān)鍵信息提取的編寫��。并同時(shí)參與了ipsec-tools源碼�,linuxkernel網(wǎng)絡(luò)協(xié)議棧源碼,l2tpd源碼分析�。并且同時(shí)了解了vrrp,rip等協(xié)議��。L2TP模塊:L2tp代碼流程:連接請求lnslac連接成功lnslacPpp連接請求lnslacPpp允許連接協(xié)商lnslacPpp配置文件lnslacPpp配置文件lnslacPpp配置AC
2��、KlnslacPpp配置ACKlnslacPpp認(rèn)證lnslacncp網(wǎng)絡(luò)配置lnslac接受ncp網(wǎng)絡(luò)配置lnslacACKlaclns其中認(rèn)證過程分為pap和chap認(rèn)證:Pap認(rèn)證:認(rèn)證信息lnslac通過認(rèn)證lnslacChap認(rèn)證:發(fā)送加密數(shù)據(jù)��,使LAC認(rèn)證lnslac認(rèn)證信息lnslac通過認(rèn)證lnslac大體過程應(yīng)該是這樣的��,中間也許有錯(cuò)���,主要是記不大清楚了��。Pppd向內(nèi)核注冊過程如下圖:internet路由器lns路由器lac內(nèi)網(wǎng)2內(nèi)網(wǎng)1拓?fù)鋱D:做lac的路由器通過撥號到lns���,
3、通過上面的連接認(rèn)證后�,lns會給lac分配一個(gè)私有ip地址,該Ip地址可以和2通信���。通過這個(gè)過程后�,久可以讓內(nèi)網(wǎng)1的pc訪問內(nèi)網(wǎng)2的pc����。Gre模塊:internet路由器內(nèi)網(wǎng)2路由器內(nèi)網(wǎng)1模型:開始的時(shí)候,內(nèi)網(wǎng)1和內(nèi)網(wǎng)2是不能相互到達(dá)的����,因?yàn)橹虚g有許多中間網(wǎng)絡(luò)。當(dāng)建立好GRE隧道后���,內(nèi)網(wǎng)1就可以和內(nèi)網(wǎng)2通信了�����。實(shí)現(xiàn):GRE腳本主要通過iproute2這個(gè)工具實(shí)現(xiàn)�。使用的主要腳本命令:Iprouteadd$namemodegreremote$remoteiplocal$localipttl255
4����、Iprouteset$nameupIprouteaddnet$net/$maskdev$name腳本流程:腳本從lua保存的配置文件中獲取到上面的變量值,然后通過以上指令��,將變量值設(shè)置到相應(yīng)的隧道中�。責(zé)任:主要擔(dān)任gre模塊的測試(與linux)。DDNS模塊:原理:DDNS又叫動態(tài)域名解析���。實(shí)用環(huán)境是在用戶動態(tài)獲取IP地址的情況下��。因?yàn)閭鹘y(tǒng)的DNS只能與固定IP地址綁定�,一旦IP地址發(fā)生變化,相應(yīng)的域名將不能解析到變換后的IP地址上�。然后DDNS改變了這一點(diǎn)。它以動態(tài)域名綁定的方式來完成這一點(diǎn)
5����、。什么叫動態(tài)域名呢��?就是指在用戶的IP地址發(fā)生改變時(shí)����,相應(yīng)的DDNS客戶端會把自己現(xiàn)在的變化后的IP地址傳給DDNS服務(wù)器,告訴它自己的IP地址已經(jīng)發(fā)生變化�,需要服務(wù)器將以前綁定域名的IP換成現(xiàn)在變化后的IP地址。如果內(nèi)部在加上端口映射���,那么久可以實(shí)現(xiàn)路由器內(nèi)部的主機(jī)間接與DNS綁定�,即其他人通過域名就能訪問的內(nèi)網(wǎng)的某臺計(jì)算上的服務(wù)器���。責(zé)任:DDNS的測試�����。靜態(tài)路由模塊:原理:舉個(gè)例子��,當(dāng)一個(gè)路由器剛接入到一個(gè)網(wǎng)絡(luò)中時(shí)�����,在這個(gè)陌生的環(huán)境中����,它根本不知道去某個(gè)地址該怎么走���,靜態(tài)路由就相當(dāng)于一個(gè)指路
6��、人�����,它告訴路由器某個(gè)IP地址該怎么走��。配置的時(shí)候�,只需要告訴路由器到達(dá)某個(gè)網(wǎng)絡(luò)需要從哪張網(wǎng)卡和相應(yīng)網(wǎng)卡出去的網(wǎng)關(guān)地址就可以了�。這樣凡是到那個(gè)網(wǎng)絡(luò)的IP數(shù)據(jù)包���,路由器都會將它從相應(yīng)網(wǎng)卡轉(zhuǎn)發(fā)出去(ttl-1)。它并不關(guān)心數(shù)據(jù)包能否真正的到達(dá)����。實(shí)現(xiàn):具體命令:routeadd–net$netmask$netmaskgw$gatewaydev$device責(zé)任:靜態(tài)路由的腳本的基本框架。Ipsec模塊:原理:在內(nèi)核2.6版本中已經(jīng)存在ipsec模塊���,該模塊的主要作用是讓數(shù)據(jù)包經(jīng)過加密/認(rèn)證從安全的隧道中
7�����、到達(dá)指定的目標(biāo)地址�。它的有幾種數(shù)據(jù)包格式�����,一種是esp,一種是ah,另一種是esp+ah���。他們的報(bào)文格式如下:Ah是一種用于認(rèn)證報(bào)文���,它主要是給數(shù)據(jù)包提供認(rèn)證,防重放���;ESP是一種用于加密報(bào)文����,當(dāng)然它也有認(rèn)證的功能,并且也具有抗重放的機(jī)制���。它是一種更優(yōu)越于AH的報(bào)文結(jié)構(gòu)���。另外���,esp+ah則是一種集esp和ah于一身的格式�,當(dāng)然它的安全性就更不可否認(rèn)了���。整個(gè)模塊分為兩大類:第一類��,kernelipsec的實(shí)現(xiàn)�����,第二類上層應(yīng)用程序ike即為ipsec模塊協(xié)商認(rèn)證算法和加密算法的協(xié)議�����。下面談?wù)刬ke
8��、協(xié)議����。Ike協(xié)議分為兩個(gè)階段,第一階段協(xié)商對對方的身份進(jìn)行認(rèn)證����,并且為第二階段的協(xié)商提供一條安全可靠的通道。第一個(gè)階段又分為3種模式����,我們常用的有兩種模式,一個(gè)是主模式���,一個(gè)是積極模式����。第二階段主要對IPSEC的安全性能進(jìn)行協(xié)商��,產(chǎn)生真正可以用來加密數(shù)據(jù)流的密鑰���。主模式(IKESA階段):安全提議��,轉(zhuǎn)換載荷�����,一些詳情接收端發(fā)起端安全提議��,轉(zhuǎn)換載荷��,一些詳情接收端發(fā)起端DH算法產(chǎn)生公共密鑰��,密鑰交換接收端發(fā)起端DH算法產(chǎn)生公共密鑰����,密鑰交換接收端發(fā)起端加密ID��,進(jìn)行身份認(rèn)證接收端發(fā)起端加密ID��,進(jìn)
