为什么要实施?
实施的最大动机是省钱。
虚拟专用网络的分类:
虚拟专用网分类方法很多。
-
站点到站点的虚拟专用网
ATM,Rrame Relay, GRE, MPLS 虚拟专用网 , IPSec 虚拟专用网。
常用的是IPSec 虚拟专用网 。
CPU 是如何读写内存的
谁来告诉CPU读写内存
我们第一个要搞清楚的问题是:谁来告诉CPU去读写内存?答案很明显,是程序员,更具体的是编译器。CPU只是按照指令按部就班的执行,机器指令从哪里来的呢?是编译器生成的,程序员通过高级语言编写程序,编译器将其翻译为机器指令,机器指令来告诉CPU去读写内存。在精简指令集架构下会有特定的机器指令,Load/Store指令来读写内存,以x86为代表的复杂指令集架构下没有特定的访存指令。精简指令集下,一条机器指令操作的数据必须来存放在寄存器中,不能直接操作内存数据,因此RISC下,数据必须先从内存搬运到寄存器,这就是为什么RISC下会有特定的Load/Store访存指令,明白了吧。
openswan性能初步分析
这里相对openswan的性能做个简单的说明。为什么要介绍这个话题呢?
其实最主要的原因还是想openswan的性能到底如何、极限是多少隧道、会有哪些瓶颈等等? 比如某个项目,客户需要设备支持1000条隧道,那么首先要考虑自己的产品能否支持到这么多?也就是说需要知道自己的实力。如果不考虑这些实际的问题,只一味的接项目,那么最可能的结果就是白白投入这么多的人力物力时间,最终对于公司来说收效甚微。
IPsec在NAT下的端口浮动
IKE端口浮动
IPsec在隧道建立第一第二阶段主要进行加密方式、加密策略等信息的协商,这部分功能是通过IKE协议来实现的。 IKE协议默认端口为500,但是如果IPsec隧道传输路径上存在NAT设备,那么IKE的端口会从500浮动到4500端口,这样做最主要的目的是:
DH算法图解+数学证明
前几天和同事讨论IKE密钥交换流程时,提到了Diffie-Hellman交换。DH算法最主要的作用便是在不安全的网络上成功公共密钥(并未传输真实密钥)。但由于对于DH算法的数学原理则不清楚,因此私下对DH算法进行一个简单学习。
IPSEC的感兴趣流引流实现方式
在IPSEC通信中涉及到一个重要方面,那就是如何定义要保护的数据流(又称为感兴趣流)。这不仅涉及到IPSEC最终要保护哪部分数据,还关系到IPSEC的实现方式,因此有必要把感兴趣流的定义方式进行详细说明。
为什么ESP能够穿越NAT,而AH则不能
严格地说,只能是隧道模式下的ESP才能穿越NAT。
首先需要了解的是IPSEC的作用,即数据的机密性、完整性、认证性。
-
机密性就是保证数据包的原始内容不被看到;
-
完整性即保证数据包的内容不会被修改;
-
认证性保证数据来自被信任的客户端。
IP 协议号列表 List of IP protocol numbers
IP协议号列表 List of IP protocol numbers
这是用在IPv4头部和IPv6头部的下一首部域的IP协议号列表。
| 十进制 | 十六进制 | 关键字 | 协议 | 引用 |
|---|---|---|---|---|
| 0 | 0x00 | HOPOPT | IPv6逐跳选项 | RFC 2460 |
| 1 | 0x01 | ICMP | 互联网控制消息协议(ICMP) | RFC 792 |
| 2 | 0x02 | IGMP | 因特网组管理协议(IGMP) | RFC 1112 |
| 3 | 0x03 | GGP | 网关对网关协议 | RFC 823 |
| 4 | 0x04 | IPv4 | IPv4 (封装) / IP-within-IP 封装协议(IPIP) | RFC 2003 |
| 5 | 0x05 | ST | 因特网流协议 | RFC 1190, RFC 1819 |
| 6 | 0x06 | TCP | 传输控制协议(TCP) | RFC 793 |
| 7 | 0x07 | CBT | 有核树组播路由协议 | RFC 2189 |
| 8 | 0x08 | EGP | 外部网关协议 | RFC 888 |
| 9 | 0x09 | IGP | 内部网关协议(任意私有内部网关(用于思科的IGRP)) | |
| 10 | 0x0A | BBN-RCC-MON | BBN RCC 监视 | |
| 11 | 0x0B | NVP-II | 网络语音协议 | RFC 741 |
| 12 | 0x0C | PUP | Xerox PUP | |
| 13 | 0x0D | ARGUS | ARGUS | |
| 14 | 0x0E | EMCON | EMCON | |
| 15 | 0x0F | XNET | Cross Net Debugger | IEN 158 |
| 16 | 0x10 | CHAOS | Chaos | |
| 17 | 0x11 | UDP | 用户数据报协议(UDP) | RFC 768 |
| 18 | 0x12 | MUX | 多路复用 | IEN 90 |
| 19 | 0x13 | DCN-MEAS | DCN Measurement Subsystems | |
| 20 | 0x14 | HMP | Host Monitoring Protocol | RFC 869 |
| 21 | 0x15 | PRM | Packet Radio Measurement | |
| 22 | 0x16 | XNS-IDP | XEROX NS IDP | |
| 23 | 0x17 | TRUNK-1 | Trunk-1 | |
| 24 | 0x18 | TRUNK-2 | Trunk-2 | |
| 25 | 0x19 | LEAF-1 | Leaf-1 | |
| 26 | 0x1A | LEAF-2 | Leaf-2 | |
| 27 | 0x1B | RDP | 可靠数据协议 | RFC 908 |
| 28 | 0x1C | IRTP | Internet Reliable Transaction Protocol | RFC 938 |
| 29 | 0x1D | ISO-TP4 | ISO Transport Protocol Class 4 | RFC 905 |
| 30 | 0x1E | NETBLT | Bulk Data Transfer Protocol | RFC 998 |
| 31 | 0x1F | MFE-NSP | MFE Network Services Protocol | |
| 32 | 0x20 | MERIT-INP | MERIT Internodal Protocol | |
| 33 | 0x21 | DCCP | Datagram Congestion Control Protocol | RFC 4340 |
| 34 | 0x22 | 3PC | Third Party Connect Protocol | |
| 35 | 0x23 | IDPR | Inter-Domain Policy Routing Protocol | RFC 1479 |
| 36 | 0x24 | XTP | Xpress Transport Protocol | |
| 37 | 0x25 | DDP | Datagram Delivery Protocol | |
| 38 | 0x26 | IDPR-CMTP | IDPR Control Message Transport Protocol | |
| 39 | 0x27 | TP++ | TP++ Transport Protocol | |
| 40 | 0x28 | IL | IL Transport Protocol | |
| 41 | 0x29 | IPv6 | IPv6 封装 | RFC 2473 |
| 42 | 0x2A | SDRP | Source Demand Routing Protocol | RFC 1940 |
| 43 | 0x2B | IPv6-Route | IPv6路由拓展头 | RFC 2460 |
| 44 | 0x2C | IPv6-Frag | IPv6分片扩展头 | RFC 2460 |
| 45 | 0x2D | IDRP | Inter-Domain Routing Protocol | |
| 46 | 0x2E | RSVP | 资源预留协议 | RFC 2205 |
| 47 | 0x2F | GRE | 通用路由封装(GRE) | RFC 2784, RFC 2890 |
| 48 | 0x30 | DSR | 动态源路由 | |
| 49 | 0x31 | BNA | BNA | |
| 50 | 0x32 | ESP | 封装安全协议(ESP) | RFC 4303 |
| 51 | 0x33 | AH | 认证头协议(AH) | RFC 4302 |
| 52 | 0x34 | I-NLSP | Integrated Net Layer Security Protocol | TUBA |
| 53 | 0x35 | SWIPE | SwIPe | IP with Encryption |
| 54 | 0x36 | NARP | NBMA Address Resolution Protocol | RFC 1735 |
| 55 | 0x37 | MOBILE | IP Mobility (Min Encap) | RFC 2004 |
| 56 | 0x38 | TLSP | 传输层安全性协议(使用Kryptonet密钥管理) | |
| 57 | 0x39 | SKIP | Simple Key-Management for Internet Protocol | RFC 2356 |
| 58 | 0x3A | IPv6-ICMP | 互联网控制消息协议第六版(ICMPv6) | RFC 4443, RFC 4884 |
| 59 | 0x3B | IPv6-NoNxt | IPv6无负载头 | RFC 2460 |
| 60 | 0x3C | IPv6-Opts | IPv6目标选项扩展头 | RFC 2460 |
| 61 | 0x3D | 任意的主机内部协议 | ||
| 62 | 0x3E | CFTP | CFTP | |
| 63 | 0x3F | 任意本地网络 | ||
| 64 | 0x40 | SAT-EXPAK | SATNET and Backroom EXPAK | |
| 65 | 0x41 | KRYPTOLAN | Kryptolan | |
| 66 | 0x42 | RVD | MIT远程虚拟磁盘协议 | |
| 67 | 0x43 | IPPC | Internet Pluribus Packet Core | |
| 68 | 0x44 | Any distributed file system | ||
| 69 | 0x45 | SAT-MON | SATNET Monitoring | |
| 70 | 0x46 | VISA | VISA协议 | |
| 71 | 0x47 | IPCV | Internet Packet Core Utility | |
| 72 | 0x48 | CPNX | Computer Protocol Network Executive | |
| 73 | 0x49 | CPHB | Computer Protocol Heart Beat | |
| 74 | 0x4A | WSN | Wang Span Network | |
| 75 | 0x4B | PVP | Packet Video Protocol | |
| 76 | 0x4C | BR-SAT-MON | Backroom SATNET Monitoring | |
| 77 | 0x4D | SUN-ND | SUN ND PROTOCOL-Temporary | |
| 78 | 0x4E | WB-MON | WIDEBAND Monitoring | |
| 79 | 0x4F | WB-EXPAK | WIDEBAND EXPAK | |
| 80 | 0x50 | ISO-IP | 国际标准化组织互联网协议 | |
| 81 | 0x51 | VMTP | Versatile Message Transaction Protocol | RFC 1045 |
| 82 | 0x52 | SECURE-VMTP | Secure Versatile Message Transaction Protocol | RFC 1045 |
| 83 | 0x53 | VINES | VINES | |
| 84 | 0x54 | TTP | TTP | |
| 84 | 0x54 | IPTM | Internet Protocol Traffic Manager | |
| 85 | 0x55 | NSFNET-IGP | NSFNET-IGP | |
| 86 | 0x56 | DGP | Dissimilar Gateway Protocol | |
| 87 | 0x57 | TCF | TCF | |
| 88 | 0x58 | EIGRP | 增强型内部网关路由协议(EIGRP) | |
| 89 | 0x59 | OSPF | 开放式最短路径优先(OSPF) | RFC 1583 |
| 90 | 0x5A | Sprite-RPC | Sprite RPC Protocol | |
| 91 | 0x5B | LARP | Locus Address Resolution Protocol | |
| 92 | 0x5C | MTP | Multicast Transport Protocol | |
| 93 | 0x5D | AX.25 | AX.25 | |
| 94 | 0x5E | IPIP | IP-within-IP 封装协议 | 与4号协议重复 |
| 95 | 0x5F | MICP | Mobile Internetworking Control Protocol | |
| 96 | 0x60 | SCC-SP | Semaphore Communications Sec. Pro | |
| 97 | 0x61 | ETHERIP | Ethernet-within-IP 封装协议 | RFC 3378 |
| 98 | 0x62 | ENCAP | 封装头部 | RFC 1241 |
| 99 | 0x63 | 任意的加密模式 | ||
| 100 | 0x64 | GMTP | GMTP | |
| 101 | 0x65 | IFMP | Ipsilon Flow Management Protocol | |
| 102 | 0x66 | PNNI | PNNI over IP | |
| 103 | 0x67 | PIM | Protocol Independent Multicast | |
| 104 | 0x68 | ARIS | IBM’s ARIS (Aggregate Route IP Switching) Protocol | |
| 105 | 0x69 | SCPS | 空间通信协议规范 | SCPS-TP[1] |
| 106 | 0x6A | QNX | QNX | |
| 107 | 0x6B | A/N | Active Networks | |
| 108 | 0x6C | IPComp | IP负载压缩协议 | RFC 3173 |
| 109 | 0x6D | SNP | Sitara Networks Protocol | |
| 110 | 0x6E | Compaq-Peer | Compaq Peer Protocol | |
| 111 | 0x6F | IPX-in-IP | 封装于IP的IPX | |
| 112 | 0x70 | VRRP | 虛擬路由器備援協定、共用位址冗餘協定(没在IANA注册) | VRRP:RFC 3768 |
| 113 | 0x71 | PGM | 实际通用多播 | RFC 3208 |
| 114 | 0x72 | Any 0-hop protocol | ||
| 115 | 0x73 | L2TP | 第二层隧道协议第三版 | RFC 3931 |
| 116 | 0x74 | DDX | D-II Data Exchange (DDX) | |
| 117 | 0x75 | IATP | Interactive Agent Transfer Protocol | |
| 118 | 0x76 | STP | Schedule Transfer Protocol | |
| 119 | 0x77 | SRP | SpectraLink Radio Protocol | |
| 120 | 0x78 | UTI | Universal Transport Interface Protocol | |
| 121 | 0x79 | SMP | Simple Message Protocol | |
| 122 | 0x7A | SM | Simple Multicast Protocol | draft-perlman-simple-multicast-03(页面存档备份,存于互联网档案馆) |
| 123 | 0x7B | PTP | Performance Transparency Protocol | |
| 124 | 0x7C | IS-IS over IPv4 | 负载于IPv4的IS-IS | RFC 1142 and RFC 1195 |
| 125 | 0x7D | FIRE | Flexible Intra-AS Routing Environment | |
| 126 | 0x7E | CRTP | Combat Radio Transport Protocol | |
| 127 | 0x7F | CRUDP | Combat Radio User Datagram | |
| 128 | 0x80 | SSCOPMCE | Service-Specific Connection-Oriented Protocol in a Multilink and Connectionless Environment | ITU-T Q.2111 (1999)(页面存档备份,存于互联网档案馆) |
| 129 | 0x81 | IPLT | ||
| 130 | 0x82 | SPS | Secure Packet Shield | |
| 131 | 0x83 | PIPE | Private IP Encapsulation within IP | Expired I-D draft-petri-mobileip-pipe-00.txt(页面存档备份,存于互联网档案馆) |
| 132 | 0x84 | SCTP | Stream Control Transmission Protocol | |
| 133 | 0x85 | FC | 光纤通道 | |
| 134 | 0x86 | RSVP-E2E-IGNORE | Reservation Protocol (RSVP) End-to-End Ignore | RFC 3175 |
| 135 | 0x87 | Mobility Header | IPv6移动IP扩展头 | RFC 6275 |
| 136 | 0x88 | UDPLite | UDP-Lite | RFC 3828 |
| 137 | 0x89 | MPLS-in-IP | 封装于IP协议的多协议标签交换 | RFC 4023 |
| 138 | 0x8A | manet | MANET Protocols | RFC 5498 |
| 139 | 0x8B | HIP | Host Identity Protocol | RFC 5201 |
| 140 | 0x8C | Shim6 | Site Multihoming by IPv6 Intermediation | RFC 5533 |
| 141 | 0x8D | WESP | 包装过的封装安全协议(ESP) | RFC 5840 |
| 142 | 0x8E | ROHC | Robust Header Compression | RFC 5856 |
| 143-252 | 0x8F-0xFC | 未分配 | ||
| 253-254 | 0xFD-0xFE | 用于实验和测试 | RFC 3692 | |
| 255 | 0xFF | 保留 |