Cyber_Security_Notes/B. 第二阶段/课后作业/0925.md
2024-09-26 14:21:46 +08:00

87 lines
5.4 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

### 一、BGP的5种报文
BGP边界网关协议是一种在自治系统AS之间交换路由信息的协议。BGP使用了以下五种类型的报文
1. **打开Open报文**
- 当BGP路由器试图与另一个BGP路由器建立对等会话时发送。
- 包含建立BGP对等会话所需的信息如BGP版本号、自己的AS号、持有的时间Hold Time、BGP标识符等。
2. **更新Update报文**
- 用于发送新的路由信息或撤销旧的路由信息。
- 可以包含多个路径属性,用于描述到达目的地的路由,以及撤销的路由前缀列表。
3. **保活Keepalive报文**
- 用于维持BGP对等会话的活跃状态。
- 由于BGP不使用周期性的Keepalive消息因此只有在需要时才发送通常是在响应打开报文或在到达持有时间的一半时发送。
4. **通知Notification报文**
- 当BGP路由器检测到错误时发送。
- 通知报文会导致BGP对等会话的立即终止。
- 包含一个错误代码和一个错误子代码,用于指示错误的性质。
5. **路由刷新Route Refresh报文**
- 这是一个可选的BGP功能用于允许BGP路由器请求对等体重新发送其整个路由表而不是终止并重新建立对等会话。
- 这个功能在BGP路由器需要更新其路由信息而不中断BGP会话时非常有用。
### 二、IBGP水平分割的作用及解决方案
IBGP内部边界网关协议水平分割IBGP Split Horizon是一种防止路由循环的策略。以下是IBGP水平分割的作用及其解决方案
#### 1、作用
1. **防止路由循环**
- 在BGP中IBGP水平分割规则规定从IBGP对等体接收到的路由信息不能传递给另一个IBGP对等体。这样可以防止路由信息在同一个AS内部形成循环。
2. **控制路由更新**
- 通过限制路由更新的传播IBGP水平分割有助于减少不必要的路由器处理和路由更新流量。
3. **避免不必要的路由器负载**
- 由于IBGP水平分割减少了路由更新的传播因此可以降低AS内部路由器的CPU和内存使用。
#### 2、问题
虽然IBGP水平分割有其作用但它也带来了一些问题
1. **路由信息传递问题**
- 如果一个AS内部有多个IBGP对等体且每个对等体只连接了一部分路由器那么没有直接连接的对等体之间无法交换路由信息。
2. **全互联问题**
- 为了解决这个问题理论上需要在所有IBGP对等体之间建立全互联的IBGP会话这在大型网络中是不切实际的因为会话数量呈指数级增长。
#### 3、解决方案
以下是解决IBGP水平分割带来问题的几种方法
1. **路由反射器Route Reflector**
- 路由反射器是一种特殊的BGP路由器它被允许打破IBGP水平分割规则将从一个IBGP对等体接收到的路由信息反射给其他IBGP对等体。
- 这样不需要在每个IBGP对等体之间都建立全互联的会话。
2. **Confederation联盟**
- 联盟将一个大型AS划分为多个较小的子AS。
- 在子AS内部可以使用IBGP水平分割规则但在不同的子AS之间则不使用从而减少了全互联的需求。
- 子AS之间的BGP会话被视为EBGP会话因此不会应用IBGP水平分割。
3. **多跳BGPMulti-Hop BGP**
- 通过配置多跳BGP可以在没有直接物理连接的IBGP对等体之间建立会话。
- 这需要设置一个较大的BGP持有时间Hold Time以确保即使没有直接连接BGP会话也能保持稳定。
### 三、简述AC服务器的作用
AC接入控制器Access Controller服务器在计算机网络中扮演着重要的角色尤其是在无线网络和认证授权环境中。以下是AC服务器的主要作用
1. **用户认证**
- AC服务器负责验证尝试接入网络的用户身份通常通过用户名和密码、数字证书、生物识别等方式进行。
2. **授权管理**
- 一旦用户被认证AC服务器会确定用户可以访问哪些网络资源和服务实施相应的权限控制。
3. **策略实施**
- AC服务器可以根据预定义的策略来管理用户和设备的网络行为比如限制带宽、控制访问时间、指定可访问的URL等。
4. **网络安全**
- AC服务器通过实施安全策略来保护网络免受未授权访问和攻击例如通过防火墙规则、入侵检测和防御系统。
5. **接入控制**
- 对于无线网络AC服务器负责控制无线接入点AP的行为管理客户端设备的接入包括接入点的配置和监控。
6. **会话管理**
- AC服务器维护用户和设备的会话信息包括会话的建立、维护和终止确保用户状态的连贯性。
7. **计费和审计**
- AC服务器可以记录用户的使用数据用于计费和审计目的包括用户接入时间、流量使用等信息。
8. **集中管理**
- AC服务器通常提供集中管理平台使得网络管理员可以从单一控制台监控和管理整个网络。
9. **漫游支持**
- 在多接入点或多无线网络覆盖区域AC服务器支持用户的无缝漫游确保用户在不同接入点间移动时保持连接。
10. **设备管理**
- AC服务器还可以管理接入网络的设备包括配置更新、固件升级、状态监控等。