一个定义良好的架构,通常边缘和核心路由器组成的。网络的范围通常到达地区,国家,甚至全球范围内,存在“点”(流行)位于战略位置。网络体系结构是由硬件和物理工厂提供高可用性和容错冗余。网络能力支持最大的鳞片。
一个定义良好的边缘之间的划分提供者和客户网络设备。很明显在大多数情况下,谁拥有所有的设备,这些设备负责,谁有权访问所有特定的设备和服务。虽然这也适用于企业网络,有一些差异服务提供商如何区分他们的网络。服务提供者网络有两种类型的边缘。首先是服务提供者之间的边缘网络和其客户的网络。第二个是凝视边缘,边缘服务提供者网络相互连接。这增加了不同的IP流量飞机因为两个独立的网络复杂性与独立IP流量飞机是相互联系的。安全是特别重要的。
一组定义良好的IP协议,包括一个显卡,无数的边界网关协议(东方)会话。显卡运行完全内部网络和一般不包含客户的IP地址。边界网关协议通常运行在服务提供者和企业之间网络,公开和对等网络,包含一个可寻址的IP地址空间。IP vpn的显卡或客户和服务提供商之间的边界网关协议可以使用。其他的IP协议支持网络管理(如SNMP, syslog, FTP,等等),账单和其他内部函数定义。
图1 - 2说明了一个普遍,服务提供者网络体系结构。
比较有趣的是服务提供者网络与企业网络因为他们的流量是非常不同的。在许多方面,他们可以被看作是对立的。
首先,企业网络几乎总是存在硬边上网,不允许交叉,除非它是返回从内部生成的交通流量,或严格控制外部起源于交通注定要定义良好的公共服务。服务提供者,另一方面,却恰恰相反。他们建立他们的网络允许所有流量交叉边缘几乎没有障碍。边缘被设计成宽都展开跨越,除非它是明确禁止穿越。
第二,企业网络的建立也为交通完全呆在网络或达到的核心(内部)网络。控制交通流,企业几乎总是使用有状态的防火墙等设备来控制任何外部交通流量。服务提供者网络,另一方面,又恰恰相反。外部,客流量不应该达到的核心(内部)设备或网络元素。相反,交通预计交通认为,它将注定之外其他地区服务提供商网络。此外,由于大体积的流量和无数的入口和出口点服务提供商网络中的发现,有状态的交通设备(如防火墙和入侵防护系统很少部署交通流量。服务提供者的工作是尽快转发数据包到最终目的地。
服务提供者网络体系结构概念
这些特征提供了依据保护飞机服务提供商网络中的IP通信量,正如您将在后面的部分详细学习。此外,一个详细的案例研究提供保障服务提供商网络中的IP流量飞机在第九章中,“服务提供者网络案例研究”。
为什么网络设计如此重要?主要是因为网络的方式是由其拓扑结构,解决方案,硬件selections-greatly影响如何(或很容易),它可以是安全的。你将学习,IP流量的网络设计提供了基础的飞机可以定义以及它们如何是安全的。IP流量飞机可以讨论之前,然而,一个快速回顾一下IP协议操作是必需的。
IP协议的操作
从根本上说,网络基本上有两种类型的所有数据包数据包,这属于客户,客户应用程序流量,和控制包,属于网络和交通网络操作和路由协议。当然,进一步细化在每个大类中有必要理解完整的IP网络设计的复杂性和协议操作。但就目前而言,这个只有这两个交通简化视图类型有助于说明的概念。
等传统网络专线、ISDN、帧中继和ATM使用单独的控制通道和数据通道为目的的分段和携带这两个交通类型。ISDN,例如,使用三角洲通道(或D通道)来构建和维护网络,和不记名频道(或B通道)携带的客流量。帧中继使用一个控制虚拟电路(VC)的建设和管理所有数据风投,和数据VCs的客流量。这种困难的分离控制交通从客户数据流量,再加上一个封闭,用户社区控制,导致合理安全的网络环境。
虽然这些网络不受攻击,恶意攻击这些网络所必需的知识并不是众所周知的。此外,没有“全球可达性”一样在IP。因为网络元素被客户交通不方便,直接攻击是不容易完成。大多数安全问题相关的错误配置和服务中断网络元素相关硬件或软件缺陷或基本配置(通常是人)错误。这些相同的属性也导致缺乏灵活性和低效率,防止这些网络生存在今天的任何地方,任何时候全球通信世界。IP是主导网络世界由于简单性和效率产生的主要来自于其无连接,任意对任意的性质,其开放的、基于标准的架构,及其普遍支持在任何链路层技术。
互联网协议技术完全是指传输控制协议/网际协议(TCP / IP)套件。TCP / IP协议套件主机对主机网络互连的复杂的任务分为抽象层,每一层代表一个函数执行合作应用程序之间传输数据时在一个网络互连环境。一层通常并不定义一个协议,而是一种数据通信功能由任意数量的协议能够在这一层。每一个协议与同行相同的通信协议在远程系统上的等效层。每个协议只有同行关注交流,不关心层之上或之下,除了在某种程度上,数据必须在层之间传递一个设备。开放系统互连(OSI)七层参考模型通常被用于描述层的结构和功能中使用IP协议数据通信,虽然对于TCP / IP映射到七层是不恰当的。OSI七层模型中说明了图1 - 3。
TCP / IP七层模型
七层的关键特性在这个模型中,和他们映射到TCP / IP协议套件,如下:
Layer 7- - - - - -应用程序层:定义了用户(应用程序)流程接口通信和数据传输服务。很常见的例子,一个应用程序层协议是用户应用程序的HTTP。一些网络控制应用程序也在这一层操作。
6层- - - - - -表示层:提供不同系统间的数据格式翻译服务。MIME编码、数据压缩、数据加密和类似的数据操作被描述为执行在这一层。
5层- - - - - -会话层:管理用户会话的建立和终止,包括本地和远程应用程序之间的连接。TCP使用这一层提供某些会话管理功能。
第四层- - - - - -传输层:管理端到端网络中本地和远程端点间的会话。例子包括面向连接、可靠和顺序分批交货与TCP提供的错误恢复和流控制机制,和无连接包交付机制所提供的用户数据报协议(UDP)。
第三层- - - - - -网络层:提供网络设备之间的路由机制变长数据包。这一层还提供的机制来维护所请求的服务质量(QoS)传输层,执行数据分片和重组的部分(在需要时),并报告分组交付和网络错误。IP协议运行在这一层。其他协议(如Internet控制消息协议(ICMP)和地址解析协议(ARP)常常被描述为操作在这一层。
层2- - - - - -数据链路层:提供了机制之间传输帧相邻的网络实体,并可能检测并纠正帧传输错误。虽然最常见的例子是以太网,其他著名的例子包括高级数据链路控制(为),点对点协议(PPP)和遗留协议FDDI和令牌环。
图层1- - - - - -物理层:定义的物理媒介之间发送的数据网络设备电压或光脉冲。它包括光功率和电压水平、电缆等力学特性的别针,布局和其他电缆规格。
所示图1 - 3,每一层都扮演一个角色在网络上传输数据的过程。不是每一层是由每个设备在处理网络,然而。此外,并不是每一个协议从端到端运营。有些是为了用户应用程序,这些通常从端到端运营。然而,某些协议意味着网络操作。这些可能在一个端到端的方式,端点网络元素本身,或者他们可能相邻设备之间点对点的方式进行运作。稍后您将了解更详细,这种分层,各种协议的功能和操作,是非常重要的在发展中IP流量飞机安全策略。
的基本协议TCP / IP协议套件包括:
ip层3
tcp层4
udp层4
ICMP-Layer 3
IP是一个网络层(第三层)协议,其中包含寻址信息和一些控制信息,使数据包路由到目的地。随着TCP, IP是互联网协议的核心。如前所述,TCP提供面向连接的传输层(4)服务的应用程序。UDP也是运输(第4层)服务,但与TCP、UDP提供无连接传输。ICMP是一种有效的控制协议和IP网络层提供的错误控制和维护功能。当然,许多其他相关协议TCP / IP,而且有许多引用描述他们的使用和操作。在“列出几个优秀的资源进一步的阅读“本章结尾部分。
许多应用程序层(7)利用运输(4)层服务的TCP和UDP。一些常见的例子包括以下:
超文本传输协议(HTTP):客户机/服务器应用程序,使用TCP的传输检索HTML页面。
域名服务(DNS):名称到地址的翻译应用程序,使用TCP和UDP传输。
远程登录:一个虚拟终端应用程序,使用TCP的传输。
文件传输协议(FTP):一个文件传输应用程序,使用TCP的传输。
简单文件传输协议(TFTP):一个文件传输应用程序,它使用UDP传输。
网络时间协议(NTP):一个应用程序,该应用程序同步时间与时间源和使用UDP传输。
边界网关协议(东方):一个外部网关路由协议使用TCP的传输。边界网关协议是用来交换路由信息的网络和服务提供商之间使用的协议。
由于IP是无连接的协议,它将数据转发自包含的可路由的单位称为数据报或包。每个包包含一个IP报头(封装期间建造的端站),其中包含的信息(如源地址和目的地址)时,使用路由器转发和政策决策。这个IP报头的存在原因,在无连接的网络环境中,没有必要(如有遗留的网络前面提到的)之前设置的端到端路径源和目的地之间的数据传输之前启动。
IP数据包的头部通常需要20字节指定必要的数据路由数据包。然而,IP报头能够允许进一步的可选信息被添加到包运输期间调用专业服务。与某些例外,IP选项并不是通常使用的。(你将学习更多关于IP选项和它们对IP流量的影响飞机安全后在本节中。)显示了IP报头图1 - 4。
IP包头第三层
所示的头字段图1 - 4包括以下: