【MPLS LDP】安全策略

news2024/12/23 4:46:46
  正在备考华为认证的小伙伴应该知道,除了理论知识外,刷题也相当重要,周工这里有一份HCIA+HCIP-Datacom带解析的最新题库  点赞+留言  即可领取。

LDP协议

安全策略介绍

  • LDP MD5验证

    MD5称为Message-Digest Algorithm 5,是国际标准摘要密码算法。MD5的典型应用是针对一段信息计算出对应的信息摘要,从而防止信息被篡改。MD5信息摘要是通过不可逆的字符串变换算法产生的,结果唯一。因此,不管信息内容在传输过程中发生任何形式的改变,只要重新计算就会产生不同的信息摘要,接收端就可以由此判定收到的是一个不正确的报文。

    LDP MD5应用其对同一信息段产生唯一摘要信息的特点来实现LDP报文防篡改校验,比一般意义上TCP校验和更为严格。

    LDP MD5验证是在TCP发出去之前进行的:LDP消息在经TCP发出前,会在TCP头后面填充一个唯一的信息摘要再发出。而这个信息摘要就是把TCP头、LDP消息、以及用户设置的密码一起作为原始信息,通过MD5算法计算出的。

    当接收端收到这个TCP报文时,首先会取得报文的TCP头、信息摘要、LDP消息,并结合TCP头、LDP消息以及本地保存的密码,利用MD5计算出信息摘要,然后与报文携带的信息摘要进行比较,从而检验报文是否被篡改过。

    在用户设置密码时有明文和密文两种形式选择,这里的明文密文是对用户设置的密码在配置文件中的记录形式而言的。明文就是直接在配置文件中记录用户设置的字符串,密文就是在配置文件中记录经过特殊算法加密后的字符串。

    但无论用户选择密码记录形态是明文还是密文形式,参与摘要计算时都是直接使用用户输入的字符串。

  • LDP Keychain认证

    Keychain是一种增强型加密算法,类似于MD5,Keychain也是针对同一段信息计算出对应的信息摘要,实现LDP报文防篡改校验。

    Keychain允许用户定义一组密码,形成一个密码串,并且分别为每个密码指定加解密算法(包括MD5,SHA-1等)及密码使用的有效时间。在收发报文时,系统会按照用户的配置选出一个当前有效的密码,并按照与此密码相匹配的加密解密算法以及密码的有效时间,进行发送时加密和接收时解密报文。此外,系统可以依据密码使用的有效时间,自动完成有效密码的切换,避免了长时间不更改密码导致的密码易破解问题。

    Keychain的密码、所使用的加解密算法以及密码使用的有效时间可以单独配置,形成一个Keychain配置节点,每个Keychain配置节点至少需要配置一个密码,并指定加解密算法。

    Keychain节点配置完成后,在全局MPLS LDP视图下指定需要引用Keychain节点的对等体和Keychain节点名称,对Keychain进行引用,即可实现对LDP会话的加密。不同的对等体可以引用同一个Keychain配置节点。

  • LDP GTSM特性

    LDP GTSM是GTSM在LDP方面的具体应用。

    GTSM通过判定报文的TTL值,确定报文是否有效,从而保护设备免受攻击。GTSM For LDP即是对相邻或相近(基于只要跳数确定的原则)设备间的LDP消息报文应用此种机制,预先在各路由上设定好针对其他设备报文的有效范围,使能GTSM,这样当相应设备之间应用LDP时,如果LDP消息报文的TTL不符合之前设置的范围要求,就认为此报文为非法攻击报文予以丢弃,进而实现对上层协议的保护。

攻击方法介绍

配置维护指南

  • 配置LDP MD5认证

    配置LDP认证,可以提高LDP会话连接的安全性。需要在会话两端的LSR上进行配置。

    为了提高LDP会话连接的安全性,可以对LDP使用的TCP连接配置MD5认证。LDP会话的两个对等体可以配置不同的认证方式,但是密码必须相同。

    LDP MD5就是应用其对同一信息段产生唯一摘要信息的特点来实现LDP报文防篡改校验,比一般意义上TCP校验更为严格。

    可以根据需求的不同选择配置LDP MD5认证或者LDP Keychain认证。

    MD5算法配置简单,配置后生成单一密码,需要人为干预才可以切换密码,适用于需要短时间加密的网络。

    Keychain具有一组密码,可以根据配置自动切换,但是配置过程较为复杂,适用于对安全性能要求比较高的网络。

    对于同一邻居,在配置Keychain认证后,不能再配置MD5认证;同样,在配置MD5认证后,不能再配置Keychain认证。

    1. 执行命令system-view,进入系统视图。

    2. 执行命令mpls ldp,进入MPLS-LDP视图。

    3. 执行命令md5-password { plain | cipher } peer-lsr-id password,使能MD5认证,并配置认证密码。

      在用户配置认证密码时有明文和密文两种形式选择,这里的明文密文是对用户设置的认证密码在配置文件中的记录形式而言的。明文就是直接记录用户设置的字符串,密文就是记录经过特殊算法加密后的字符串。

      缺省情况下,LDP对等体之间不进行MD5认证。

      配置LDP MD5认证会导致LDP会话重建,与原来会话相关的LSP将被删除。

      如果使用plain选项,密码将以明文形式保存在配置文件中,以低级别登录的用户可以通过查看配置方式获取密码,造成安全隐患。因此,建议使用cipher选项,将密码加密保存。

  • 配置LDP Keychain认证

    为了提高LDP会话连接的安全性,可以对LDP使用的TCP连接配置Keychain认证。

    Keychain允许用户定义一组密码,形成一个密码串,并且分别为每个密码指定加解密算法(包括MD5,SHA-1等)及密码使用的有效时间。在收发报文时,系统会按照用户的配置选出一个当前有效的密码,并按照与此密码相匹配的加密解密算法以及密码的有效时间,进行发送时加密和接收时解密报文。此外,系统可以依据密码使用的有效时间,自动完成有效密码的切换,避免了长时间不更改密码导致的密码易破解问题。

    可以根据需求的不同选择配置LDP MD5认证或者LDP Keychain认证。

    MD5算法配置简单,配置后生成单一密码,需要人为干预才可以切换密码,适用于需要短时间加密的网络。

    Keychain具有一组密码,可以根据配置自动切换,但是配置过程较为复杂,适用于对安全性能要求比较高的网络。

    对于同一邻居,在配置Keychain认证后,不能再配置MD5认证;同样,在配置MD5认证后,不能再配置Keychain认证。

    配置LDP Keychain认证之前,首先要配置全局Keychain。

    1. 执行命令system-view,进入系统视图。

    2. 执行命令mpls ldp,进入MPLS-LDP视图。

    3. 执行命令authentication key-chain peer peer-id name keychain-name,使能LDP Keychain认证,并引用配置的Keychain名称。

      缺省情况下,LDP对等体之间不进行LDP Keychain认证。

      配置LDP Keychain认证会导致LDP会话重建,与原来会话相关的LSP将被删除。

  • 配置LDP GTSM功能

    配置LDP GTSM,需要在LDP对等体两节点上进行相关配置。

    通用TTL安全保护机制GTSM(Generalized TTL Security Mechanism)通过判定报文的TTL值,确定报文是否有效,从而保护设备免受攻击。在LDP对等体上配置GTSM功能,通过配置的TTL有效范围,对LDP对等体间的LDP消息报文进行TTL检测。如果LDP消息报文的TTL不符合配置的范围要求,就认为此报文为非法攻击报文予以丢弃,以免LDP协议在收到大量伪装报文时,因处理报文导致CPU利用率过高等情况的攻击,进而实现对上层协议的保护。

    1. 执行命令system-view,进入系统视图。

    2. 执行命令mpls ldp,进入MPLS LDP视图。

    3. 执行命令gtsm peer ip-address valid-ttl-hops hops,配置LDP GTSM功能。

      如果将hops设置为GTSM功能允许的最大有效跳数,当LDP对等体发来报文的TTL值在[255–hops+1,255]范围内,则接收该报文,否则丢弃该报文。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/920713.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

面试题(一)

目录 一.@Transactional 原理和常见的坑 前期准备 事务不生效的几种 Case 原理 源码解读 @Transactional 执行机制 private 导致事务不生效原因 异常不匹配原因 两种 @Transactional Spring @Transactional javax.transaction.Transactional 二.@Autowired 和 @R…

EasyExcel实现文件分批次导入

文章目录 EasyExcel引入依赖表结构项目结构DozerUtils工具类实体类StudentController监听类ServiceServiceImplmapper 启动项目测试测试数据PostMan测试 EasyExcel EasyExcel是一个基于Java的、快速、简洁、解决大文件内存溢出的Excel处理工具。 他能让你在不用考虑性能、内存…

智能交通顶会 IEEE ITSC工作 LimSim:长期交互式多场景交通仿真器(已开源)

交通仿真器是自动驾驶技术发展的重要支撑。交通仿真器可以在虚拟环境中仿真各种交通场景和车辆行驶情况,从而提高测试效率、降低测试风险、提高测试准确性和加速开发周期,是自动驾驶技术验证和优化的重要手段之一。 **LimSim是由上海人工智能实验室智能…

怎么把PDF转成Word?需要注意什么事项?

PDF是一种常见的文档格式,但是与Word文档不同,PDF文件通常不能直接编辑。如果您想编辑PDF文件中的文本,或者想将PDF文件转换为Word文档,下面我们就来看一看把PDF转成Word有哪些方法和注意事项。 PDF转Word工具 有许多将PDF转换为…

AndroidStudio升级后总是Read Time Out的解决办法

AndroidStudio升级后在gradle的时候总是Time out,遇到过多次,总结一下解决办法 1、gradle下载超时 在工程目录../gradle/wrapper/gradle-wrapper.properties中找到gradle版本的下载链接,如下图: 将其复制到迅雷里下载&#xff0…

vue和react学哪一个比较有助于以后发展?

前言 首先声明vue和react这两个框架都是很优秀的前端框架,使用的人群下载量上数量也是相当的庞大,这篇文章没有贬低或者攻击任何一个框架的意思,只在于根据答主的问题来对这两个框架做出对比,以方便大家更加清晰的了解到当下vue和…

小迪和小捷的太空之旅——汽车篇

前情提要 书接上回,小迪与小捷接到外星人的委托,前往其母星拿取特殊小硬件。 在这个陌生的星球,小迪和小捷将遇到怎样的故事呢?

flask实现获取到上传的文件--postman实战

python: index_page.route("/upload",methods["POST"]) def upload():f request.files[file]return "request:%s,params:%s,var_a:%s" % (request.method, request.files, f)postman测试 也可以使用curl进行测试,post可…

高防护等级工业RFID读写器

工业环境恶劣,RFID工业读写器要能够在工业领域应用必须满足一定的防护等级,才能避免外界灰尘油污对设备产生影响,因此企业选择一款高防护等级的读写器尤为重要。下面本文就为大家介绍一下工业读写器对应的防护等级,给大家一个参考…

Wireshark数据抓包分析之互联网控制报文协议_ICMP

一、实验目的: 通过使用wireshark抓取的ICMP数据包对这个ICMP控制报文进行分析 二、预备知识: 1.ICMP协议概述:ICMP是Internet Control Message Protocol的缩写,即互联网控制报文协议。它是TCP/IP协议族的一个子协议,用于IP主机、…

c++ qt--页面布局(第五部分)

c qt–页面布局(第五部分) 一.页面布局 在设计页面的左侧一栏的组件中我们可以看到进行页面布局的一些组件 布局组件的使用 1.水平布局 使用:将别的组件拖到水平布局的组件中即可,可以选择是在哪个位置 2.垂直布局 使用&…

线性代数的学习和整理5: 矩阵的加减乘除及其几何意义

目录 1 矩阵加法 1.1 矩阵加法的定义 1.2 加法的属性 1.2.1 只有同类型,相同n*m的矩阵才可以相加 1.2.1 矩阵加法的可交换律: 1.2.2 矩阵加法的可结合律: 1.3矩阵加法的几何意义 2 矩阵的减法 2.1 矩阵减法定义和原理基本同 矩阵的…

MongoDB【CRUD练习-条件查询-文档关系】

练习1-CRUD // 进入test数据库 use test; // 查询文档内容 db.students.find(); // 显示当前数据库中所有集合 show collections; // 向数据库的user集合中插入一个文档 db.users.insertOne({username: "lyh"} ); // 查看当前数据库中所有的集合 发现users集合被创建…

JavaFX笔记

设置透明 group.setOpacity(0.5);,这里给group设置了半透明,其中的组件也会跟着变化。 按钮的字体 按钮背景 麻烦方法 paint是颜色 CornerRadii是圆角的弧度 CSS方法 单击事件

java八股文面试[java基础]——反射

知识来源: 【23版面试突击】讲讲JAVA的反射机制_哔哩哔哩_bilibili

华为云服务器部署mysql

1. 下载mysql压缩包 本机是64位,直接用命令安装 msyql官网: https://dev.mysql.com/downloads/mysql/ 去网站看下所需的版本,修改下列命令 wget http://dev.mysql.com/get/Downloads/MySQL-5.7/mysql-5.7.20-linux-glibc2.12-x86_64.tar.…

学习JAVA打卡第四十天

对象的字符串表示 在此类中我们讲过,所有的类都默认是java.lang包中object类的子类或间接子类。 Object类有一个public String toString()方法,一个对象通过调用该方法可以获得该对象的字符串表示。一个对象调用toString法(&…

vcomp140.dll丢失的修复方法分享,电脑提示vcomp140.dll丢失修复方法

今天,我的电脑出现了一个奇怪的问题,打开某些程序时总是提示“找不到vcomp140.dll文件”。这个问题让我非常头疼,因为我无法正常使用电脑上的一些重要软件。为了解决这个问题,我在网上查找了很多资料,并尝试了多种方法…

【面试经典150题】删除有序数组中的重复项-JavaScript版

题目链接 思路1&#xff1a;使用set。 /*** param {number[]} nums* return {number}*/ var removeDuplicates function(nums) {const uniqueSetnew Set();for(let i0;i<nums.length;i){uniqueSet.add(nums[i]);}const uniqueArrayArray.from(uniqueSet);nums.length0;nu…

【项目经理】项目管理杂谈

杂谈 1. 走上管理岗位&#xff0c;别再自己埋头干了2. 如何更好地管理项目进度3. 管理是“管事”而不是“管人”4. 让领导欣赏的十个沟通技巧在这里插入图片描述 1. 走上管理岗位&#xff0c;别再自己埋头干了 2. 如何更好地管理项目进度 3. 管理是“管事”而不是“管人” 4. 让…