北京幸运28需要多少钱,边界路由策略在网络安全中的应用需求与测试

2019-11-07 19:10:05     来源:物联网技术

摘要:路由策略和策略路由的目的都是提高网络的安全性能。北京幸运28需要多少钱通过对路由策略和策略路由两者的比较,发现都是根据一定的要求制定相应的规则,通过改变某些参数实现不同流量在不同转发路径之间的传输控制。区别在于路由策略是路由发现时所用到的规则,能控制路由表的大小;策略路由是数据包转发时所用到的规则,能实现网络的负载均衡和链路备份。路由策略和策略路由应用技术对提高网络安全性能具有重要意义。


北京幸运28需要多少钱在对网络服务质量要求越来越高的大环境中,访问控制列表(Access Control List,ACL)产生并得到了快速、广泛的应用。ACL是一组指令集,可根据网络安全的不同需求,通过有序的排列组合形成有效的条件列表,实现对流量的分类过滤,过滤技术是ACL实现的核心[1],可以在交换机、路由器、防火墙等网络设备中应用ACL以更好地实现对网络的安全防护。


ACL实际上是路由器上的流量过滤器,它可以根据分组的属性,比如IP地址来识别特定类型的分组流量[2]。在识别以后ACL可执行特定操作,比如阻止它们通过某个特定的接口。ACL作为网络安全领域发展较为成熟的一项流量控制技术,在网络安全中发挥着较为重要的作用。在ACL的具体应用中,通过标准ACL与扩展ACL相结合实现对流量的控制,并且对不同级别的用户提供不同的服务器访问权限[3];在ACL的扩展應用中,通过设计ACL与其他应用技术相结合以实现不同的路由策略。


1 ACL工作原理


ACL由访问控制条目(ACE)组成,ACE通常也被称为ACL语句,其根据某一标准(源地址、目的地址、协议号和端口号)创建[4]。


ACL从第三层数据包报头中读取源IP地址、目的IP地址、ICMP消息类型信息;从第四层数据包报头中读取TCP/UDP源端口号、TCP/UDP目的端口号信息;根据预先定义的规则决定哪些数据包可以接收,哪些数据包需要拒绝,从而实现访问控制目的[5]。


北京幸运28需要多少钱ACL提供了一种区分不同类型数据包的方法。根据各自的特点,将不同的数据包分为不同的类型,以达到控制用户访问的目的。


ACL的工作原理如图1所示。

北京幸运28需要多少钱,边界路由策略在网络安全中的应用需求与测试

2应用需求


2.1路由策略需求


路由策略通过某些规则来改变影响路由发布、接收及路由选择的参数,从而改变路由发现的结果,目的是控制路由表的内容[6]。路由策略需求如下:


(1)路由器R1只能将环回接口中第3位为奇数的路由和F0/0接口的路由发送出去;


北京幸运28需要多少钱(2)在路由器R1和路由器R2之间使用RIPv2路由协议。


2.2策略路由需求


策略路由仅针对某些特定需求,如主机不根据当前路由表中的路由进行转发,而单独使用别的路径转发。策略路由在数据包转发时进行策略匹配,使用单独的路径转发但不改变路由表中的路由信息。需求如下:


(1)在路由器R3的F0/0接口采用相应策略,PCA数据的下一跳地址为192.168.23.2,所有其他数据包正常转发;


(2)在路由器R3的F0/1接口应用相应策略,源地址为192.168.2.0/24网段的TELNET包,设置下一跳地址为192.168.32.2,将IP包的优先级设置为critical,其他包正常转发;


(3)在路由器R2与路由器R3之间使用EIGRP路由协议。


2.3拓扑结构


应用拓扑结构如图2所示。

北京幸运28需要多少钱,边界路由策略在网络安全中的应用需求与测试

拓扑图中在路由器R1与R2之间实现路由更新策略,路由器R2与R3之间实现策略路由;路由器R4,R5,R6分别表示三台主机。


2.4设备需求及IP地址分配


北京幸运28需要多少钱根据需求分析及应用拓扑图,该应用设备及IP分配见表1所列。

北京幸运28需要多少钱,边界路由策略在网络安全中的应用需求与测试

3应用实现


3.1路由策略实现


4应用测试


4.1路由策略测试


在R2上查看路由表,结果如图3所示。


结果分析:


在路由器R1的接口S2/0的出方向应用distribute-list 10,该分发列表中调用ACL 10只允许第三位为奇数的路由条目,其他路由条目拒绝。


图中大写字母R表示从路由器R1所收到的RIPv2路由条目,并且第三位为奇数,基于ACL的路由更新控制生效。


4.2策略路由测试


4.2.1网络层测试结果


在PCA上ping地址2.2.2.2,路由器R3上显示的信息如图4所示。


结果分析:


以上输出信息表明源地址为192.168.1.2的主机发送给目的地址2.2.2.2的数据包在接口F0/0匹配route-map MAP1的序列号10所定义的策略,执行策略路由并设置数据包下一跳地址为192.168.23.2。


在PCA上使用L0接口地址ping地址2.2.2.2,路由器R3显示的信息如图5所示。


结果分析:


以上输出信息表明源地址为3.3.3.3接口发送到目的地址的2.2.2.2数据包在接口F0/1不匹配策略路由,数据包正常转发。


北京幸运28需要多少钱在策略路由中只允许源地址为192.168.1.2的数据包,所以当源地址为3.3.3.3时不匹配策略路由故正常转发。


4.2.2应用层测试结果


在PCB上访问2.2.2.2的TELNET服务,路由器R3显示的信息如图6所示。


结果分析:


以上输出信息表明从PCB发送的TELNET数据包在接口F0/1匹配策略,执行策略路由并设置数据包下一跳地址为192.168.32.2。


在PCB上ping路由器R2的2.2.2.2,路由器R3显示的调试信息如图7所示。


结果分析:


以上输出信息表明源地址为192.168.2.2的主机发送到目的地址2.2.2.2的数据包在接口F0/1不匹配路由策略,数据包正常转发。


在策略中ACL只接纳源地址为192.168.2.2的TELNET数据包,在PCB上ping路由器R2的地址2.2.2.2则产生ICMP类型数据包,不匹配策略,所以正常转发。


在PCB上用L0接口访问2.2.2.2的TELNET服务,路由器R3显示的信息如图8所示。


结果分析:


以上输出信息表明源地址为4.4.4.4的接口发送到目的地址2.2.2.2的HTTP数据包在接口F0/1不匹配路由策略,数据包正常转发。


虽然源地址4.4.4.4发送的是TELNET类型数据包,但在策略中只允许源地址为192.168.2.2的数据包执行策略,所以不匹配策略正常转发。


5结语


本文通过不同的需求实现路由策略和策略路由。分析实现需求,列出路由协议的配置和策略配置,对应用进行测试,并对测试结果进行分析说明。两者的相同点:均根据一定的要求制定相应的规则,通过改变某些参数实现不同流量在不同转发路径之间的传输控制。两者之间的区别:路由策略是路由发现时所用到的规则,可控制路由表的大小。策略路由是数据包转发时所用到的规则,能实现网络的负载均衡和链路备份。路由策略和策略路由应用技术对提高网络安全性能具有重要意义。

注:文章内的所有配图皆为网络转载图片,侵权即删!

我来说几句

不吐不快,我来说两句
最新评论

还没有人评论哦,抢沙发吧~

为您推荐

基于超声波和红外传感器设计轮式机器人避障系统
基于超声波和红外传感器设计轮式机器人避障系统
11月14日 18:21   超声波  红外传感器  机器人
工业互联网平台框架2.0如何推进不同领域的应用?
工业互联网平台框架2.0如何推进不同领域的应用?
11月14日 17:49   工业互联网平台  工业互联网
​物联网如何创造价值?
​物联网如何创造价值?
11月14日 17:37   物联网
张忠谋:德州仪器是一家怎样的企业?
张忠谋:德州仪器是一家怎样的企业?
11月14日 14:33   德州仪器  台积电
Sketch软件最新版本功能使用体验
Sketch软件最新版本功能使用体验
11月14日 13:25   Sketch软件
​高通骁龙865提前爆料,与主流的旗舰芯片相比哪个强
​高通骁龙865提前爆料,与主流的旗舰芯片相比哪个强
11月14日 13:21   高通芯片  芯片设计
区块链和央行数字货币的“前世今生”
区块链和央行数字货币的“前世今生”
11月14日 10:56   区块链  数字货币