2020-2021第一学期2024"DCDD"小组第十周讨论

2020-2021第一学期“DCDD”第十周讨论

小组名称：DCDD

小组成员：20202403孟凡斌、20202411陈书桓、20202416刘铭睿、20202420黄椿淇

照例先来张集体照：

---

1.DNS和X.800

域名系统(Domain Name System,DNS)是Internet上解决网上机器命名的一种系统。就像拜访朋友要先知道别人家怎么走一样，Internet上当一台主机要访问另外一台主机时，必须首先获知其地址，TCP/IP中的IP地址是由四段以“.”分开的数字组成(此处以IPv4的地址为例，IPv6的地址同理)，记起来总是不如名字那么方便，所以，就采用了域名系统来管理名字和IP的对应关系。

X.800 建议（recommendation X.800），是CCITT关于开放系统互连安全体系结构的建议，它为开放系统互连（OSI）的安全通信提供一种概念性和功能性的框架，以及在OSI环境下解决网路安全问题的一致性途径。

---

2.IPSec VPN两种工作模式的详解

隧道（tunnel）模式：隧道模式保护所有 IP 数据并封装新的 IP 头部，不使用原始 IP 头部进行路由。在 IPSec 头部前加入新的 IP 头部，源目为 IPSec peer 地址。并允许 RFC 1918（私有地址）规定的地址参与 VPN 穿越互联网。传输（transport）模式：传输模式保护原始 IP 头部后面的数据，在原始 IP 头和 payload 间插入 IPSec 头部（ESP 或 AH）。典型应用为端到端的会话，并且要求原始 IP 头部全局可路由。两者的区别在于 IP 数据报的 ESP 负载部分的内容不同。在隧道模式中，整个 IP 数据报都在 ESP 负载中进行封装和加密。当这完成以后，真正的 IP 源地址和目的地址都可以被隐藏为 Internet 发送的普通数据。这种模式的一种典型用法就是在防火墙－防火墙之间通过虚拟专用网的连接时进行的主机或拓扑隐藏。在传输模式中，只有更高层协议帧（TCP、UDP、ICMP 等）被放到加密后的 IP 数据报的 ESP 负载部分。在这种模式中，源和目的 IP 地址以及所有的 IP 包头域都是不加密发送的。简单的说，加密点不等于通信点的时候就是 tunnel 模式，如果加密点等于通信点的话就是传输模式。但是要注意，默认情况下都是 tunnel 模式的需要你更改一下，这个你在 show crypto ipsec sa 中可以看到，因为传输模式比 tunnel 模式少了一个头，这样提供了更大的负载空间，所以尽量使用传输模式。Transport 是两台电脑直接通过 IPSec VPN 连接的时候用的，tunnel 是只要一端采用网关的话就需要用 Tunnel 隧道模式。因为如果采用 Transport 连接一端是网关的时候，网关有 NAT 功能，会将地址变换，而传输是只识别原 IP 的，这样就会被直接丢弃掉。而 Tunnel 隧道模式则是直接建立隧道用于两端的通讯，不会出现被抛弃的情况。

---

如有误，请指正。