Cyber_Security_Notes/B. 第二阶段/课后作业/0904.md
2024-09-04 14:53:02 +08:00

5.7 KiB
Raw Blame History

2024.09.04_课后作业

1.简述VRRP抢占功能的作用

VRRPVirtual Router Redundancy Protocol虚拟路由器冗余协议是一种网络协议用于实现路由器的高可用性。VRRP可以让多台路由器共同构成一个虚拟路由器在主备模式下工作以保证当主路由器出现故障时能够快速由备用路由器接管服务从而保证网络的不间断运行。

VRRP抢占功能的作用如下

  1. 提高网络可靠性:当主路由器恢复正常后,如果没有抢占功能,它将不会自动恢复成主状态,这可能会导致网络资源的浪费。而抢占功能允许主路由器在恢复后重新获得控制权,从而充分利用所有设备的处理能力。
  2. 快速角色切换:在主路由器故障后,如果备用路由器拥有更高的优先级,且开启了抢占功能,那么一旦原主路由器恢复,备用路由器会立即将控制权交还给原主路由器,实现快速的角色切换。
  3. 优化资源利用:抢占功能可以确保总是优先级最高的路由器担任主角色,这样可以根据路由器的性能和配置来合理分配工作负载,优化网络资源的利用。
  4. 维护网络策略一致性:某些网络策略可能需要在特定的路由器上执行,抢占功能可以确保这些策略在主路由器恢复后能够得到继续执行,从而保持网络策略的一致性。
  5. 简化网络管理:抢占功能可以减少网络管理员的干预,因为路由器可以根据预设的优先级自动进行角色切换,减少了手动干预的需要。

2.简述 ACL 的工作原理

ACLAccess Control List访问控制列表是一种用于控制网络流量的安全策略它可以根据预设的规则来允许或拒绝通过网络设备的数据包。以下是ACL的工作原理简述

  1. 定义规则首先网络管理员会根据网络安全策略的需要定义一系列的规则。这些规则基于各种标准如源IP地址、目的IP地址、端口号、协议类型等。
  2. 配置ACL将定义好的规则配置到网络设备如路由器或交换机上。在配置过程中管理员会指定ACL应用到哪个接口入站或出站以及规则是应用于数据包的流入还是流出。
  3. 数据包检查当数据包到达网络设备时设备会根据ACL的配置对数据包进行检查。检查通常在数据包处理过程的早期进行以确保安全策略得到有效执行。
  4. 匹配规则
    • 顺序匹配设备按照ACL中规则的顺序从第一条规则开始检查直到找到匹配的规则。一旦找到匹配的规则设备将不再检查后续的规则。
    • 规则条件:每条规则都包含一个或多个条件,如源地址、目的地址、端口号等。数据包必须满足规则中所有条件才算匹配。
  5. 执行动作一旦数据包与某条规则匹配设备将执行该规则中定义的动作这个动作可以是“允许”permit或“拒绝”deny
    • 允许Permit:如果规则的动作是“允许”,则数据包将继续转发。
    • 拒绝Deny:如果规则的动作是“拒绝”,则数据包将被丢弃,并且通常不会发送任何通知给源主机。
  6. 默认规则如果数据包没有与任何规则匹配那么将根据ACL的默认规则来处理。默认规则通常是“隐含”的即在ACL中没有明确写出它可以是“允许”或“拒绝”这取决于ACL的类型标准ACL通常默认允许而扩展ACL通常默认拒绝

3.简述NAT的工作原理

NATNetwork Address Translation网络地址转换是一种在IP网络中使用的地址转换技术它允许一个或多个私有地址空间内的设备通过一个或多个共有IP地址与外部网络如互联网进行通信。以下是NAT的工作原理简述

  1. 私有地址与公有地址
    • 私有地址在内部网络如家庭、办公室局域网中使用的IP地址这些地址是根据RFC 1918定义的不在互联网上公开路由。
    • 公有地址在互联网上唯一且可路由的IP地址。
  2. 数据包的转换
    • 当内部网络中的设备使用私有地址发送数据包到外部网络时数据包首先到达运行NAT的设备如路由器
    • NAT设备检查数据包的源IP地址并将其替换为NAT设备的公有IP地址。这个过程称为“源NAT”Source NATSNAT
  3. 端口号映射
    • 为了能够将多个内部设备的通信复用到单个公有IP地址上NAT设备还会修改数据包的源端口号创建一个端口号映射表。
    • 映射表记录了内部设备的私有IP地址和端口号与NAT设备的公有IP地址和端口号之间的对应关系。
  4. 数据包转发
    • 经过源地址和端口号转换的数据包现在有了可路由的公有IP地址可以被发送到互联网上的目的地。
  5. 返回数据包的处理
    • 当外部网络设备响应时数据包将发送到NAT设备的公有IP地址。
    • NAT设备检查数据包的目的端口号并根据端口号映射表将目的IP地址和端口号转换回相应的内部设备的私有IP地址和端口号。
    • 然后将数据包转发到内部网络中的正确设备。
  6. NAT的类型
    • 静态NAT一对一的映射将内部网络的私有IP地址永久映射到公有IP地址。
    • 动态NAT从有限的公有IP地址池中动态分配地址给内部网络设备。
    • 端口地址转换PAT也称为NAT过载允许多个内部设备共享一个公有IP地址通过端口号区分不同的会话。