全部科目 > 信息安全工程师 >
2019年上半年 上午试卷 综合知识
第 27 题
知识点 路由协议安全威胁   路由器   外部网关协议   网关   自治系统  
关键词 报文   路由器   外部网关协议   自治系统   路由   网关   协议  
章/节 网络设备安全概况  
 
 
外部网关协议BGP是不同自治系统路由器之间交换路由信息的协议,BGP-4使用四种报文:打开报文、更新报文、保活报文和通知报文。其中用来确认打开报文和周期性地证实邻站关系的是( )。
 
  A.  打开报文
 
  B.  更新报文
 
  C.  保活报文
 
  D.  通知报文
 
 




 
 
 
知识点讲解
· 路由协议安全威胁
· 路由器
· 外部网关协议
· 网关
· 自治系统
 
        路由协议安全威胁
        路由器接收恶意路由协议包,导致路由服务混乱。例如,BGP前缀劫持攻击(BGP prefix hijacking attack)、BGP AS路径欺骗攻击(BGP AS path spoofing attack),两者的攻击过程分别如下图一和下图二所示。
        
        BGP前缀劫持攻击示意图
        
        BGP AS路径欺骗攻击示意图
 
        路由器
        路由器是计算机网络中重要的一个环节,分为模块化和非模块化两种类型。模块化结构的路由器的扩展性好,支持多种端口类型(如以太网接口、快速以太网接口、高速串行口等),并且各种端口的数量一般是可选的,但价格通常比较昂贵。固定配置的路由器扩展性差,只能用于固定类型和数量的端口,但价格低廉。
        在选择路由器产品时,应多从技术角度来考虑,如可延展性、路由协议互操作性、广域数据服务支持、内部ATM支持、SAN集成能力等。另外,选择路由器还应遵循标准化原则、技术简单性原则、环境适应性原则、可管理性原则和容错冗余性原则等。特别是对于高端路由器,还应该更多地考虑是否和如何适应骨干网对网络高可靠性、接口高扩展性以及路由查找和数据转发的高性能要求。高可靠性、高扩展性和高性能的“三高”特性是高端路由器区别于中、低端路由器的关键所在。从技术性能上考察路由器产品,一般要考察路由器的容量、每秒钟能处理多少数据包、能否被集群等性能问题,还要注意路由器是否能够提供增值服务和其他各种服务。另外,在安装、调试、检修、维护或扩展网络的过程中,免不了要给网络中增减设备,也就是说可能会要插拔网络部件。那么路由器能否支持带电插拔,也是路由器产品应该考察的一个重要性能指标。
        总的来说,路由器的主要性能指标有设备吞吐量、端口吞吐量、全双工线速转发能力、背靠背帧数、路由表能力、背板能力、丢包率、时延、时延抖动、虚拟专用网支持能力、内部时钟精度、队列管理机制、端口硬件队列数、分类业务带宽保证、资源预留、区分服务、CIR、冗余、热插拔组件、路由器冗余协议、基于Web的管理、网管类型、带外网管支持、网管粒度、计费能力、分组语音支持方式、协议支持、语音压缩能力、端口密度、信令支持等。
 
        外部网关协议
        自治系统之间使用EGP,最新的EGP叫作边界网关协议(BGP)。BGP的主要功能是控制路由策略,如是否愿意转发过路的分组等。BGP的报文通过TCP连接传送。BGP报文可实现以下3个功能过程。
        (1)建立邻居关系。位于不同自治系统中的两个路由器首先要建立邻居关系,然后才能周期性地交换路由信息。建立邻居关系的过程是:一个路由器发送open报文,另一个路由器若愿意接受请求,则以keepalive(保持活动状态)报文应答。
        (2)邻居可达性。这个过程维护邻居关系的有效性。通过周期性地互相发送keepalive报文,双方都知道对方的活动状态。
        (3)网络可达性。每个路由器保持一个数据库,记录着它可到达的所有子网。当情况有变化时,用更新报文把最新信息及时地广播给所有实现BGP的路由器。
 
        网关
        在一个计算机网络中,当连接不同类型而协议差别又较大的网络时,要选用网关(Gateway)设备。网关的功能体现在OSI模型的最高层,它将协议进行转换,将数据重新分组,以便在两个不同类型的网络系统之间进行通信。由于协议转换是一件复杂的事,一般来说,网关只进行一对一转换,或是少数几种特定应用协议的转换,网关很难实现通用的协议转换。用于网关转换的应用协议有电子邮件、文件传输和远程登录等。
        网关和多协议路由器组合在一起可以连接多种不同的系统。和网桥一样,网关可以是本地的,也可以是远程的。常见的网关有电子邮件网关、IBM主机网关、因特网网关和局域网网关等。
        冲突域是连接在同一导线上的所有工作站的集合。这个域代表了冲突在其中发生并传播的区域,这个区域可以被认为是共享段。在OSI模型中,冲突域被看作第一层的概念,连接同一冲突域的设备有集线器(Hub)、中继器(Repeater)或者其他进行简单复制信号的设备。也就是说,用Hub或者Repeater连接的所有节点可以被认为是在同一个冲突域内,它不会划分冲突域。而第二层设备(如网桥、交换机)和第三层设备(如路由器)都可以划分冲突域。
        广播域是接收同样广播消息的节点集合。由于广播域被认为是OSI中的第二层概念,所以像集线器、交换机等第一层、第二层设备连接的节点被认为都是在同一个广播域。而路由器、第三层交换机则可以划分广播域。
 
        自治系统
        自治系统是由同构型的网关连接的互联网,这样的系统往往是由一个网络管理中心控制的。自治系统内部的网关之间执行内部网关协议(IGP),互相交换路由信息。IGP是自治系统内部专用的,为特定的应用服务,在自治系统之外是无效的。
        一个互联网也可能由不同的自治系统互联而成。在这种情况下,不同的自治系统可能采用不同的路由表和不同的路由选择算法。在不同自治系统中的网关之间交换路由信息,要用外部网关协议(EGP)。EGP比IGP传送的信息要少一些,因为EGP只涉及自治系统之间的路由信息,而与系统内部路由无关。EGP以自治系统为节点,通告各个网关可到达哪些系统。



更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5
京公网安备 11010502032051号 | 营业执照
 Copyright ©2000-2023 All Rights Reserved
软考在线版权所有