</p>静态路由特点:
8 p# C" g6 N% I) \5 C1 k8 h1、它允许对路由的行为进行精确的控制;7 b$ a1 x& \2 R5 g- U- ^
2、减少了网络流量;6 p( K6 |& w# ^- D! N
3、是单向的;
6 j. p; n- h2 }& k3 O& t0 v4、配置简单。4 V# p' Q. k9 S$ c( k0 b
动态路由是网络中的路由器之间相互通信,传递路由信息,利用收到的路由信息更新路由器表的过程。是基于某种路由协议来实现的。常见的路由协议类型有:距离向量路由协议(如RIP)和链路状态路由协议(如OSPF)。路由协议定义了路由器在与其它路由器通信时的一些规则。动态路由协议一般都有路由算法。其路由选择算法的必要步骤:
+ Q1 D( _+ M/ J! g1、向其它路由器传递路由信息;
6 `! ?# C* N9 m( D2 @* B2、接收其它路由器的路由信息;: P+ {, u" D0 W9 v3 Q% Q
3、根据收到的路由信息计算出到每个目的网络的最优路径,并由此生成路由选择表;
9 G: B: M3 a( i* [+ [7 i4、根据网络拓扑的变化及时的做出反应,调整路由生成新的路由选择表,同时把拓扑变化以路由信息的形式向其它路由器宣告。
L- a/ i; C' I; b1 ?动态路由适用于网络规模大、拓扑复杂的网络。
3 O' {- m/ g3 C动态路由特点:6 }# [! ]4 V/ q6 H5 F" {
1、无需管理员手工维护,减轻了管理员的工作负担。
3 y" J9 @- } Z# C( K2、占用了网络带宽。0 b5 l; U8 D5 C' ~4 t, Q
3、在路由器上运行路由协议,使路由器可以自动根据网络拓朴结构的变化调整路由条目;
9 C2 X" u/ D z※VLAN和VPN有什么区别?分别实现在OSI的第几层?/ ~- f5 P; ]/ N. R& F5 i
VPN是一种三层封装加密技术,VLAN则是一种第二层的标志技术(尽管ISL采用封装),尽管用户视图有些相象,但他们不应该是同一层次概念。
- r. y f8 s: u) X! q9 ?VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
3 @3 F& f, }' l& KVLAN在交换机上的实现方法,可以大致划分为2大类:基基于端口划分的静态VLAN;2、基于MAC地址|IP等划分的动态VLAN。当前主要是静态VLAN的实现。
+ m) d: @: i$ v2 L G跨交换机VLAN通讯通过在TRUNK链路上采用Dot1Q或ISL封装(标识)技术。
! S4 Y2 L; |6 L4 Y9 L) PVPN(虚拟专用网)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。 j7 V4 S8 Q! z3 w# v) b. F
VPN使用三个方面的技术保证了通信的安全性:隧道协议、数据加密和身份验证。
- T! W$ q1 a* x+ v1 c■VPN使用两种隧道协议:点到点隧道协议(PPTP)和第二层隧道协议(L2TP)。
' {- s, [8 j5 q/ h■VPN采用何种加密技术依赖于VPN服务器的类型,因此可以分为两种情况。: p( n! K6 n; C0 y; _# L0 n
对于PPTP服务器,将采用MPPE加密技术 MPPE可以支持40位密钥的标准加密方案和128位密钥的增强加密方案。只有在 MS-CHAP、MS-CHAP v2 或 EAP/TLS 身份验证被协商之后,数据才由 MPPE 进行加密,MPPE需要这些类型的身份验证生成的公用客户和服务器密钥。
1 f+ P+ ?$ j. y对于L2TP服务器,将使用IPSec机制对数据进行加密 IPSec是基于密码学的保护服务和安全协议的套件。IPSec 对使用 L2TP 协议的 VPN 连接提供机器级身份验证和数据加密。在保护密码和数据的 L2TP 连接建立之前,IPSec 在计算机及其远程VPN服务器之间进行协商。IPSec可用的加密包括 56 位密钥的数据加密标准DES和 56 位密钥的三倍 DES (3DES)。) C) v* [) @* }; j2 V# q( y
■VPN的身份验证方法
+ u7 L8 E, i9 D( G8 v" M2 q前面已经提到VPN的身份验证采用PPP的身份验证方法,下面介绍一下VPN进行身份验证的几种方法。8 n' m) W8 |1 H2 S! r( F% M
CHAP CHAP通过使用MD5(一种工业标准的散列方案)来协商一种加密身份验证的安全形式。0 P9 d$ m$ L% G# g
CHAP 在响应时使用质询-响应机制和单向 MD5 散列。用这种方法,可以向服务器证明客户机知道密码,但不必实际地将密码发送到网络上。
: P2 p5 t3 K. MMS-CHAP 同CHAP相似,微软开发MS-CHAP 是为了对远程 Windows 工作站进行身份验证,它在响应时使用质询-响应机制和单向加密。而且 MS-CHAP 不要求使用原文或可逆加密密码。$ @. S2 M9 _* ]% h2 [
MS-CHAP v2 MS-CHAP v2是微软开发的第二版的质询握手身份验证协议,它提供了相互身份验证和更强大的初始数据密钥,而且发送和接收分别使用不同的密钥。如果将VPN连接配置为用 MS-CHAP v2 作为唯一的身份验证方法,那么客户端和服务器端都要证明其身份,如果所连接的服务器不提供对自己身份的验证,则连接将被断开。7 r4 V: v! S& Y/ U
EAP EAP 的开发是为了适应对使用其他安全设备的远程访问用户进行身份验证的日益增长的需求。通过使用 EAP,可以增加对许多身份验证方案的支持,其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他身份验证。对于VPN来说,使用EAP可以防止暴力或词典攻击及密码猜测,提供比其他身份验证方法(例如 CHAP)更高的安全性。. M4 @$ T& R9 D5 T7 z. G9 W0 V
在Windows系统中,对于采用智能卡进行身份验证,将采用EAP验证方法;对于通过密码进行身份验证,将采用CHAP、MS-CHAP或MS-CHAP v2验证方法。 |