【计网II】CHAP10

IPsec主要由以下协议组成^[1][2]：

• 一、认证头（AH），为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护^[3][4]；

• 二、封装安全载荷（ESP），提供机密性、数据源认证、无连接完整性、防重放和有限的传输流（traffic-flow）机密性^[5]；

• 三、因特网密钥交换（英语： Internet Key Exchange ，简称IKE或IKEv2)，为 AH、ESP 操作所需的 安全关联（SA） 提供算法、数据包和密钥参数^[6]。

安全协议ESP

ESP能够做AH所能做的所有事情，但增加了保密

在ESP协议的传输模式加密中，IP首部和其后所有的扩展首部，一直到真正的ESP 首部，都没有进行加密，这些部分不能受到加密保护是有原因的

 

 

IPv6没有碎片，所以防止了碎片攻击

组播防止了广播会产生的风暴现象

如果在本地网络通信，内部地址/本地地址进行通信

 

IPSec并无法有效防止IPv6协议本身漏洞

1.侦查攻击

2.洪泛攻击

 

怎么用IPSec支持动态地址分配‘   

 

IPSec安全协议认证首部

安全参数索引（SPI）

建立安全关联’

 

接到分组-抽取认证信息

 

 

路由通告报文详细信息：1.通告标记位 2.通告路由器的MAC

攻击者可以伪装成默认路由器

 

邻居请求和通告欺骗攻击防御

 攻击主机在网络中充当所有IPv6地址主机，在其发

送的邻居请求和邻居发现报文中，IPv6地址和链路

层地址是无法对应的



解决该问题的思路是，设计结点信息缓存表，当接收到

链路地址与其IPv6地址不对应的邻居请求和邻居发现数

据包时，生成报警记录

 

 

通过缓存来

 

现代网络技术

租用光纤

以太网是一种链路层的网络

速率很高

 

合久必分，分久必合

 

---

 

PLE

损耗大，但可以在局部（如厕所、卧室）派上用场

POE

POE (Power Over Ethernet)指的是在现有的以太网baiCat.5布线基础架构不作做何改动的情况下，在为一些基于IP的终端（如IP电话机、无线局域网接入点AP、网络摄像机等）传输数据信号的同时，还能为此类设备提供直流供电的技术。POE技术能在确保现有结构化布线安全的同时保证现有网络的正常运作，最大限度地降低成本。
POE也被称为基于局域网的供电系统(POL, Power over LAN )或有源以太网( Active Ethernet)，有时也被简称为以太网供电，这是利用现存标准以太网传输电缆的同时传送数据和电功率的最新标准规范，并保持了与现存以太网系统和用户的兼容性。IEEE 802.3af标准是基于以太网供电系统POE的新标准，它在IEEE 802.3的基础上增加了通过网线直接供电的相关标准，是现有以太网标准的扩展，也是第一个关于电源分配的国际标准。

---

 

 

1.ATM

2.广域网

 

迁移到以太网

 

 

10G

子网

对带宽比较敏感的

Qos视频服务

应用托管

*衍生出服务器托管

 

-以太网发展历程

100 G

 

 

25/50 过渡式

如果10G不够，而100G投入又太多

 

 

2.5/5

 

以太网供选择的比较多

 

 

云计算

特征

1.

 

 

网络汇聚