《课程代码4741计算机网络原理第九章-实用网络技术》由会员分享,可在线阅读,更多相关《课程代码4741计算机网络原理第九章-实用网络技术(67页珍藏版)》请在金锄头文库上搜索。
1、第9章实用网络技术9.1分组交换技术v广域网公共传输网络:电路交换和分组交换v分组交换技术的网络:X.25,帧中继,ATMv分组交换网络的服务:虚电路和数据报v虚电路:面向连接,分永久虚电路和交换虚电路v数据报:无连接9.1.2X.25协议vITU提出的X.25协议描述了主机(DTE)与分组交换网(PSN)之间的接口标准,使主机不必关心网络内部的操作就能方便地实现对各种不同网络的访问。vX.25实际上是DTE与PSN之间接口的一组协议,它包括物理层、数据链路层和分组层三个层次。vX.25的分组级相当与OSI参考模型中的网络层,其主要功能是向主机提供多信道的虚电路服务。vX.25分组交换网的结构
2、三类设备vDTE:数据终端设备,如计算机、路由器等;vDCE:数据电路设备,其中又分为:数据电路终端设备:Modem;数据电路交换设备:如数字传输设备、分组交换机PSE等。vPAD:分组封包/解封包器非分组终端X.25网卡主机主机LANRouterDCEDCEDCEDCEPSEPSEPSEPSEPC机PSNX.25X.25X.25X.25为了保证通信可靠性,每个PSE至少与另外两个PSE相连接,使得一个PSE故障时,还能通过其他路由继续传输信息。PSE采用存储转发的方法交换分组。PAD用于将非分组设备接入X.25网。位于DTE与DCE之间,实现三个功能:缓冲、打包、拆包。1.X.25分组级的功
3、能分组级的功能vX.25分组级的主要功能是将链路层所提供的连接DTE-DCE的一条或多条物理链路复用成数条逻辑信道,并且对每一条逻辑信道所建立的虚电路执行与链路层单链路协议类似的链路建立、数据传输、流量控制、顺序和差错检测、链路的拆除等操作。利用X。25分组级协议,可向网络层的用户提供多个虚电路连接,使用户可以同时与公用数据网中若干个其它X。25数据终端有用户(DTE)通信。vX.25提供虚呼叫和永久虚电路两种虚电路服务,虚呼叫即需要呼叫建立与拆除过程的虚电路服务,永久虚电路即在接入是由协商指定的不需要呼叫建立与拆除过程的虚电路服务。每条虚电路都要赋予一个虚电路号,X.25中的虚电路号由逻辑信
4、道组号(015)和逻辑信道号(0255)组成。用于虚呼叫的虚电路号范围和永久虚电路的虚电路号应在签定服务时与管理部门协商确定与分配。2.X.25分组级分组格式分组级分组格式v在分组级上,所有的信息都以分组为基本单位进行传输和处理,无论是DTE之间所要传输的数据,还是交换网所用的控制信息,都以分组形式来表示,并按照链路协议穿越DTE-DCE界面进行传输。因此在链路层上传输时,分组应嵌入到信息帧(I帧)的信息字段中,即表示成如下的格式:标记字段F地址字段控制字段(分组)帧校验序列FCS标记字段F87654321(位)1234分组头数据通用格式标识逻辑信道组号逻辑信道号分组类型标识与分组类型有关的信
5、息(可为空)数据(可变长、可为空)vX.25分组级协议规定了多种类型的分组。由于DTE与DCE的不对称性,所以具有相同类型编码的同类型分组,因其传输方向的不同的含义和解释,具体实现时也有所不同。v分组协议从本地DTE的角度出发,为它们取了不同的名称以示区别。一般来说,从DTE到DCE的分组表示本地DTE经DCE向远地DTE发送的命令请求或应答响应;反之,从DCE到DTE的分组表示DCE代表远地DTE向本地DTE发送的命令或应答响应。X.25分组级分组类型分组类型名称分组类型编号(位)格式编号DTE-DCEDTE-DCE87654321呼叫建立和清除呼叫请求呼叫接受释放请求DTE释放确认呼叫指示
6、呼叫接通释放指示DCE释放确认00001011000011110001001100010111数据和中断DTE数据DTE中断请求DTE中断确认DCE数据DCE中断请求DCE中断确认P(R)MP(S)00010001100100111流量控制和复位DTERRDTERNR复位请求DTE复位确认DCERRDCERNR复位请求DCE复位确认P(R)00001P(R)001010001101100011111重启动重启动请求DTE重启动确认重启动指示DCE重启动确认1111101111111111任选DTEREJDCEREJP(R)010019.1.2帧中继帧中继1.帧中继的基本原理帧中继的基本原理v帧
7、中继是继X.25后发展起来的数据通信方式。从原理上看,帧中继与X.25及ATM都同属分组交换一类。但由于X.25带宽较窄,而帧中继和ATM带宽较宽,所以常将帧中继和ATM称为快速分组交换。v帧中继保留了X.25链路层的HDLC帧格式但不采用HDLC的平衡链路接入规程LAPB,而采用D通道链路接入规程LAPD。LAPD规程能在链路层实现链路的复用和转接,所以帧中继的层次结构中只有物理层和链路层。v与X.25相比,帧中继在操作处理上做了大量的简化。帧中继不考虑传输差错问题,其中节点只做帧的转发操作,不需要执行接收确认和请求重发等操作,差错控制和流量控制均交由高层端系统完成,所以大大缩短了节点的时延
8、,提高了网内数据的传输速率。FR网络的组成网桥网桥FRSFRSFRSFRSNTU/DTURouterRouter帧中继网帧中继网Router用户用户-网络网络接口接口HostBridgeFRS:帧中继交换机:帧中继交换机UNIUNIUNIUNIUNI帧中继的特点帧中继的特点vOSI两层服务及部分网络层服务v采用光纤,误码率低v简化处理过程,降低网络时延v采用永久虚电路或交换虚电路,一条物理线路提供多个逻辑连接,减少用户进网端口数v具有按需分配带宽的功能v接入费用少2.帧中继的帧格式帧中继的帧格式帧中继帧帧中继帧发送在前发送在前标标志志标标志志地地址址信信息息帧检验序列帧检验序列字节字节1224
9、1可可变变首部首部尾部尾部标志字段是一个标志字段是一个01111110的比特序列,用于指示帧中继的比特序列,用于指示帧中继帧的起始和结束。它的惟一性是通过比特填充法来确保的。帧的起始和结束。它的惟一性是通过比特填充法来确保的。信息字段是长度可变的用户数据。信息字段是长度可变的用户数据。帧检验序列字段是帧检验序列字段是2字节的字节的CRC检验。当检测出差错时,检验。当检测出差错时,就将此帧丢弃。就将此帧丢弃。地址字段一般为地址字段一般为2字节,但也可扩展为字节,但也可扩展为3或或4字节。字节。v地址字段地址字段n数据链路连接标识符数据链路连接标识符DLCIDLCI字段的长度一般为字段的长度一般为
10、10bit(采用采用默认值默认值2字节地址字段),但也可扩展为字节地址字段),但也可扩展为16bit(用用3字节地址字段),字节地址字段),或或23bit(用用4字节地址字段),这取决于扩展地址字段的值。字节地址字段),这取决于扩展地址字段的值。n为了区分开不同的永久虚电路(为了区分开不同的永久虚电路(PVC),每一条),每一条PVC的两个的两个端点都端点都有一个有一个DLCI,DLCI的值用于标识永久虚电路的值用于标识永久虚电路(PVC)、呼叫控制或管理呼叫控制或管理信息。信息。n数据链路连接标识符数据链路连接标识符DLCI只具有本地意义。只具有本地意义。连接两端的用户网络连接两端的用户网络
11、接口所使用的两个接口所使用的两个DLCI都是各自独立选取的。都是各自独立选取的。DLC1高C/REAODLC1低FECNBECHDEEAI61141111前向显式拥塞通知前向显式拥塞通知FECN:若某结点将若某结点将FECN置为置为1,表,表明与该帧在同方向传输的帧可能受网络拥塞的影响而产生明与该帧在同方向传输的帧可能受网络拥塞的影响而产生时延。时延。n反向显式拥塞通知反向显式拥塞通知BECN:若某结点将若某结点将BECN置为置为1即指即指示接受者,与该帧反方向传输的帧可能受网络拥塞的影响示接受者,与该帧反方向传输的帧可能受网络拥塞的影响产生时延。产生时延。n可可丢丢弃弃指指示示DE:DE的的
12、长长度度是是1bit。DE比比特特为为1的的帧帧表明这是较为不重要的低优先级帧,在必要时可丢弃。表明这是较为不重要的低优先级帧,在必要时可丢弃。3.帧中继的应用帧中继的应用v(1)局域网的互连。由于帧中继具有支持不同数据速率的能力,使其非常适于处理局域网-局域网的突发数据流量。传统的局域网互连,每啬一条端-端线路,就要在用户的路由器上增加一个端口。基于帧中继的局域网互连,只要局域网内每个用户至网络间有一条带宽足够的线路,则既不用增加物理线路也不占用物理端口,就可增加端-端线路,而不致对用户性能产生影响。v(2)语音传输。帧中继不仅适用于对时延不敏感的局域网的应用,还可以进行对时延要求较高的低档
13、语音(质量优于长途电话)的应用。v(3)文件传输。帧中继既可保证用户所需的带宽,又有实满意的传输时延,非常适合大流量文件的传输。9.2异步传输模式异步传输模式ATM9.2.1ATM交换交换1.ATM的定义与功能的定义与功能ATM交换方式也属于快速分组交换,把检错纠错功能放在终交换方式也属于快速分组交换,把检错纠错功能放在终端设备,但它不仅仅是简化了控制,提高了速率的分组交换,端设备,但它不仅仅是简化了控制,提高了速率的分组交换,同时为了满足实时业务的要求,还使用了一些电路交换中的同时为了满足实时业务的要求,还使用了一些电路交换中的方法。方法。ATM改进了电路交换的功能,使其能灵活地适配不同改进
14、了电路交换的功能,使其能灵活地适配不同速率的业务;速率的业务;ATM改进了分组交换功能,满足实时性业务的改进了分组交换功能,满足实时性业务的要求。所以要求。所以ATM交换方式又可以看作是电路交换方式和分组交换方式又可以看作是电路交换方式和分组交换方式的结合。交换方式的结合。v“异步异步”的含义的含义当用户的当用户的ATM信元需要传送时,就可插入到信元需要传送时,就可插入到SDH的一个帧的一个帧中。中。SDH传送的同步比特流被划分为一个个固定时间长度的帧传送的同步比特流被划分为一个个固定时间长度的帧(注意,这是时分复用的时间帧,而不是数据链路层的)。(注意,这是时分复用的时间帧,而不是数据链路层
15、的)。每一个用户发送的每一个用户发送的ATM信元在每一时分复用帧中的相对位信元在每一时分复用帧中的相对位置并不是固定不变的。置并不是固定不变的。如如果果用用户户有有很很多多信信元元要要发发送送,就就可可以以接接连连不不断断地地发发送送出出去去。只要只要SDH的帧有空位置就可以将这些信元插入进来。的帧有空位置就可以将这些信元插入进来。ATM名名词词中中的的“异异步步”是是指指将将ATM信信元元“异异步步插插入入”到到同同步的步的SDH比特流中。比特流中。v电路交换,分组交换和电路交换,分组交换和ATM交换方式的比较交换方式的比较优点优点缺点缺点电路交换电路交换1.适合固定速率的业务。适合固定速率
16、的业务。2.没有接入时没有接入时延。延。1.信息速率种类较少。信息速率种类较少。2.网络资源及电路利用率不高。网络资源及电路利用率不高。分组交换分组交换1.适合可变速率的业务。适合可变速率的业务。2.通过合并若干个分组,通过合并若干个分组,可以达到各种速率可以达到各种速率1.由于时延大,不适合实时业务。由于时延大,不适合实时业务。2.可变的分组长度增加了处理成本。可变的分组长度增加了处理成本。ATM交换交换1.通过给一个逻辑连接分通过给一个逻辑连接分配若干个信元,可以达到配若干个信元,可以达到各种速率。各种速率。2.可以更好地利用网络资可以更好地利用网络资源,如动态容量分配,统源,如动态容量分
17、配,统计复用等不同速率的连接。计复用等不同速率的连接。1.面向分组,对于实时业务需要附面向分组,对于实时业务需要附加的机制。加的机制。2.分组装拆会引起一些时延。分组装拆会引起一些时延。2.ATM的优点的优点选择固定长度的短信元作为信息传输的单位,有利于宽带选择固定长度的短信元作为信息传输的单位,有利于宽带高速交换。信元长度为高速交换。信元长度为53字节,其首部(可简称为信头)字节,其首部(可简称为信头)为为5字节。字节。能支持不同速率的各种业务(能支持不同速率的各种业务(25M,45M,155M,625M)。所有信息在最低层是以面向连接的方式传送,保持了电路所有信息在最低层是以面向连接的方式
18、传送,保持了电路交换在保证实时性和服务质量方面的优点。交换在保证实时性和服务质量方面的优点。ATM使用光纤信道传输。由于光纤信道的误码率极低,且使用光纤信道传输。由于光纤信道的误码率极低,且容量很大,因此在容量很大,因此在ATM网内不必在数据链路层进行差错控制网内不必在数据链路层进行差错控制和流量控制和流量控制(放在高层处理放在高层处理),因而明显地提高了信元在网络,因而明显地提高了信元在网络中的传送速率。中的传送速率。9.2.2ATM的特征的特征v1.基于信元的分组交换技术基于信元的分组交换技术vATMATM的传送单元是固定长度的传送单元是固定长度53byte53byte的的CELLCELL
19、(信元),其中(信元),其中5B5B为信元头,用为信元头,用来承载该信元的控制信息;来承载该信元的控制信息;48B48B为信元体,用来承载用户要分发的信息。为信元体,用来承载用户要分发的信息。信头部分包含了选择路由用的信头部分包含了选择路由用的VPIVPI(虚通道标识符)(虚通道标识符)/VCI/VCI(虚通路标示符)(虚通路标示符)信息,因而它具有分组交换的特点。信息,因而它具有分组交换的特点。v2.快速交换技术快速交换技术vATM采用统计时分复用技术,并且综合吸收了分组交换高效率和电路交采用统计时分复用技术,并且综合吸收了分组交换高效率和电路交换速度快的优点,针对分组交换速率比较低的缺陷,
20、利用电路交换几乎换速度快的优点,针对分组交换速率比较低的缺陷,利用电路交换几乎与协议处理无关的特点,通过高性能的硬件设备来提高处理速度,实现与协议处理无关的特点,通过高性能的硬件设备来提高处理速度,实现快速交换。快速交换。v3.ATM的网络环境的网络环境v传输介质:双绞线、同轴电缆或光纤。可分为专用传输介质:双绞线、同轴电缆或光纤。可分为专用ATM和通用和通用ATM.4.面向连接的信元交换面向连接的信元交换ATM端端点点(又又称称为为ATM端端系系统统)通通过过点点到到点点链链路路与与ATM交换机相连。交换机相连。ATM交交换换机机是是一一个个快快速速分分组组交交换换机机(交交换换容容量量高高
21、达达数数百百Gb/s),),其主要构件是:其主要构件是:v交换结构交换结构(switchingfabric)v若干个高速输入端口和输出端口若干个高速输入端口和输出端口v必要的缓存必要的缓存vATM的交换结构的交换结构ATM交换机交换机abcdefgh交换结构交换结构输入信元输入信元输出信元输出信元n一一个个虚虚通通路路VC是是在在两两个个或或两两个个以以上上的的端端点点之之间间的的一一个个运运送送ATM信元的通信通路。信元的通信通路。n一一个个虚虚通通道道VP包包含含有有许许多多相相同同端端点点的的虚虚通通路路VC,而而这这许许多多VC都使用同一个都使用同一个VPI。传输链路传输链路虚通道虚通
22、道VPxVPzVPyVCxVCxVCyVCzVCzVCyVCyVCx虚通路虚通路n在在一一个个给给定定的的接接口口,复复用用在在一一条条链链路路上上的的许许多多不不同同的的VP,用它们的用它们的VPI来识别。来识别。n复用在一个复用在一个VP中的不同的中的不同的VC,用它们的用它们的VCI来识别。来识别。n在在一一个个给给定定的的接接口口上上,属属于于两两个个不不同同的的VP的的两两个个VC,可可具具有相同的有相同的VCI。传输链路传输链路虚通道虚通道VPxVPzVPyVCxVCxVCyVCzVCzVCyVCyVCx虚通路虚通路v5.预约带宽v可实现不同的用户分配不同的优先级9.2.3ATM的
23、层次结构的层次结构ATM的协议参考模型的协议参考模型ATM的的协协议议参参考考模模型型共共有有三三层层,大大体体上上与与OSI的的最最低低两两层层相当(但无法严格对应)。相当(但无法严格对应)。ATM层物理层PMD子层TC子层ATM适配层(AAL层)SAR子层CS子层321ATM的层次ATM层和层和AAL层层AAL层的功能只能驻留在层的功能只能驻留在ATM端点中,而在端点中,而在ATM交换机中交换机中只有物理层和只有物理层和ATM层。层。ATM端点端点AAL层层IP层层物理层物理层ATM层层AAL层层IP层层物理层物理层ATM层层ATM网络网络ATM网络网络交换机交换机交换机交换机ATM层层物
24、理层物理层物理层物理层物理层物理层ATM层层物理层物理层ATM端点端点1.ATM层层主主要要完完成成交交换换和和复复用用功功能能,与与传传送送ATM信信元元的的物物理理媒媒体体或或物理层无关。物理层无关。每每一一个个ATM连连接接用用信信元元首首部部中中的的两两级级标标号号来来识识别别。第第一一级级标标号号是是虚虚通通路路标标识识VCI(VirtualChannelIdentifier),第第二二级标号是虚通道标识符级标号是虚通道标识符VPI(VirtualPathIdentifier)。在在信信元元结结构构中中,VPI和和VCI是是最最重重要要的的两两部部分分。这这两两部部分分合合起起来来构
25、构成成了了一一个个信信元元的的路路由由信信息息,也也就就是是这这个个信信元元从从哪哪里里来来,到到哪哪里里去去。ATM交交换换机机就就是是根根据据各各个个信信元元上上的的VPI-VCI来来决决定把它们送到哪一条线路上去。定把它们送到哪一条线路上去。 ATM ATM的信元结构的信元结构ATM信元首部中各字段的作用:v( 1) 类 属 流 量 控 制 GFC (Generic FlowControl):4bit字段,通常置为0。v(2)VPI/VCI:即路由字段。v(3)有效载荷类型PT(PayloadType)3bit字段,用来区分该信元是用户信息或非用户信息。此字段又称为有效载荷类型指示PTI
26、 (I表示Indicator)。ATM信元首部中各字段的作用。v( 4) 信 元 丢 失 优 先 级 CLP (Cell LossPriority):16bit字段,指示信元的丢失优先级。网络还可能将违反通信量合约(contract)的信元的CLP从0改为1,这个过程称为“打标记”(tagging)。v( 5) 首 部 差 错 控 制 HEC (Header ErrorControl):8bit字段,提供覆盖信元首部所有字段(但不包括有效载荷部分)的差错控制。2.ATM适配层适配层AALAAL(ATMAdaptationLayer)层层的的作作用用就就是是增增强强ATM层层所提供的服务,并向上
27、面高层提供各种不同的服务。所提供的服务,并向上面高层提供各种不同的服务。v负责将用户层的信息转换成负责将用户层的信息转换成ATM网络可用的格式。等网络可用的格式。等用户层把较长的数据分组交给用户层把较长的数据分组交给ATM适配层后,适配层后,ATM适适配层按规定的长度将数据分成若干信元体,再传给配层按规定的长度将数据分成若干信元体,再传给ATM层。层。(1)ITU的通信业务分类的通信业务分类vClassAA类业务是面向连接的恒定比特率业务,在信源和信宿之间要求维持定时关系,典型的业务类型有64Kbit/s的话音业务、电路仿真(如传送2Mbit/s或34Mbit/s的电路交换信号)以及恒定比特率
28、的图像业务。vClassBB类业务是面向连接的可变比特率业务,信源和信宿之间要求维持定时关系,典型的业务类型如可变比特率的图像和音频业务.vClassCC类业务也是面向连接的可变比特率业务,但信源和信宿之间不要求维持定时关系,如面向连接的数据传送。vClassDD类业务是无连接的可变比特率业务,信源和信宿之间不要求定时关系,典型的业务是无连接数据传送业务。(2)AAL协议类型协议类型汇聚子层汇聚子层CS使使ATM系统可对不同的应用提供不同的服务。每一个系统可对不同的应用提供不同的服务。每一个AAL用户通过相应的服务访问点用户通过相应的服务访问点SAP接入到接入到AAL层。在层。在CS子层形成的
29、协议数据单元叫做子层形成的协议数据单元叫做CS-PDU。拆装子层拆装子层SAR在在发发送送时时,SAR子子层层将将CS子子层层传传下下来来的的协协议议数数据据单单元元CS-PDU划划分分成成为为48字字节节的的单单元元,交交给给ATM层层作作为为信信元元的的有有效效载载荷荷。在在接接收收时时,SAR子子层层进进行行相相反反的的操操作作,将将ATM层交上来的层交上来的48字节长的有效载荷装配成字节长的有效载荷装配成CS-PDU。4种AAL协议及服务类型ALL1ALL2ALL3/4ALL5连接模式面向连接面向连接无连接面向连接端到端定时要求要求不要求要求比特率恒定可变可变可变业务类型CLASSAC
30、LASSBCLASSC/DCLASSD/D(3)AAL5的工作过程的工作过程n所有的支持交换虚连接所有的支持交换虚连接SVC的的ATM交换机和端点都必须交换机和端点都必须支持支持AAL5。n用户数据先传递给用户数据先传递给AAL5的汇聚子层的汇聚子层CS,作为汇聚子层作为汇聚子层的数据。的数据。nSAR的协议数据单元的协议数据单元SAR-PDU是由是由CS子层交来的子层交来的48字节的数据块组成。字节的数据块组成。n每个每个SAR-PDU再加上再加上5个字节的个字节的ATM信元首部就构成信元首部就构成了一个完整的了一个完整的ATM信元。信元。AAL5将用户数据交给将用户数据交给ATM层层SAR
31、-PDUAAL5层层CS子层子层尾部尾部165535字节字节填充填充长度长度CRC检验检验保留保留字节字节224SAR子层子层ATM层层CS-PDU用户数据(例如,用户数据(例如,IP数据报)数据报)ATM信元信元53字节字节发送发送ATM信元信元53字节字节ATM信元信元53字节字节ATM信元信元53字节字节48字节字节48字节字节48字节字节48字节字节PT000PT000PT000PT001表示是最后一个信元表示是最后一个信元9.2.4ATM的工作方式的工作方式9.3 9.3 第三层交换技术第三层交换技术9.3.1 第三层交换的引入1.传统的网络互连设备的局限性v网络层主要的任务是为分组
32、寻找合适的路由,路由器用来连接不同的局域网,具有协议转换的功能。传统的路由器由于使用软件和通用的CPU来实现对数据报的转发,因而延迟比较大,转发的速度也比较慢,而第三层交换正是针对这个问题提出的。v二层交换机是多端口的网桥,用来分割局域网,实现无冲突交换,转发简单速度快,但不具有隔离广播包的功能。2.第三层交换技术的引入第三层交换技术的引入v第三层交换是在网络交换机中引入路由模块而取代传统路由器实现交换与路由相结合的网络技术。它根据实际应用时的情况,灵活地在网络第二层或者第三层进行网络分段。具有三层交换功能的设备是一个带有第三层路由功能的第二层交换机,但它是二者的有机结合,并不是简单地把路由器
33、设备的硬件及软件叠加在局域网交换机上。v但是三层交换机的主要功能仍是数据交换,它的路由功能通常比较简单,因为它所连接的局域网必须是相同的局域网,它不具备协议转换的功能,路由路径远没有路由器那么复杂,它用在局域网中的主要用途还是提供快速数据交换功能,满足局域网数据交换频繁的应用特点。9.3.2局域网局域网L3交换技术交换技术1.FastIP技术技术v采用一次路由,随后交换:不同子网上的终端系统之间的通信先通过路由器进行,此后的信息流都取捷径更快的二层交换通路。实现了局域网环境中的主机到主机模式的NHRP协议。v它采用IETF的NHRP标准草案,通过终端系统之间的请求响应过程来实现。这个过程可以在
34、不同子网上的终端节点之间找出第2层通路,从而避开路由器慢道。FastIP工作于现有的第2层交换机和第3层路由器上,既改善了现有网络的性能又保护了已有的设备投资。FastIP易于实现,为基于数据包的网络和基于单元的网络提供了消除路由器瓶颈的解决方案。2.NetFlow技术技术v是典型的基于核心模型的L3交换方案,其目的是提高网络核心节点即路由器的性能。vNetFlow是Cisco公司的独有技术,它既是一种流量分析协议,又是一种流交换技术。v在NetFlow交换中,查询过程仅对分组流中的第一个分组进行,当一个网络流被识别并确定了与其相关的服务后,那么后面所有的分组都作为该信息流的一部分。广域网广域
35、网L3L3交换技术交换技术vTagSwitching技术是一种典型的基于核心模型的L3交换解决方案,其基本思想是增强广域网核心路由器的路由转发能力。v标记交换过程:1)根据路由协议建立路由和标记映射表。2)标记边缘路由器接收数据帧,实现第三层增值业务,并给帧加标记。3)标记交换机进行标记交换。4)输出端边缘路由器去掉标记,恢复帧。标记交换核心网中传输的可以是ATM信元,也可以是加标记的帧。9.4虚拟局域网技术虚拟局域网技术v虚拟局域网(VirtualLAN,VLAN)是通过路由和交换设备在网络的物理拓扑结构基础上建立的逻辑网络。VLAN代表着一种不用路由器实现对广播数据进行抑制的解决方案。另外
36、,VLAN还可以跟踪各个网络节点物理位置的变化,使之在移动位置后不需要对其网络地址重新进行手工配置。vVLAN相当于OSI参考模型的第二层的广播域,能够将广播风暴控制在一个VLAN内部,划分VLAN后,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层(网络层)的路由来实现的,因此使用VLAN技术,结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问,以太网交换机A4B1以太网交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网交换
37、机以太网交换机三个虚拟局域网:VLAN1,VLAN2和VLAN3以太网交换机A4B1以太网交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网交换机以太网交换机三个虚拟局域网VLAN1,VLAN2和VLAN3的构成当B1向VLAN2工作组内成员发送数据时,工作站B2和B3将会收到广播的信息。以太网交换机A4B1以太网交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网交换机以太网交换机三个虚拟局域网VLAN1,VLAN2和VLAN3的构成B1发送数据时,工作站A1,A2和C1都不会收到B1发出的广播信息。以太网交换机A4B1以太网交换机VLAN3C3
38、B3VLAN1VLAN2C1A2A1A3C2B2以太网交换机以太网交换机三个虚拟局域网VLAN1,VLAN2和VLAN3的构成虚拟局域网限制了接收广播信息的工作站数,使得网络不会因传播过多的广播信息(即“广播风暴”)而引起性能恶化。 虚拟局域网的交换技术虚拟局域网的交换技术v建立虚拟局域网的交换技术包括端口交换(PortSwitch)、帧交换(FrameSwitch)和信元交换(CellSwitch)3种方式。v(1)端口交换:利用交换机的端口划分VLAN成员,在一个交换机上进行虚网划分。不同交换机上的若干个端口也可组成同一个虚拟网。v(2)帧交换:交换机根据节点的MAC地址,决定将其放置于哪
39、个VLAN中。可以允许网络用户从一个物理位置移动到另一个物理位置上,并且自动保留其所属虚拟网段的成员身份。v(3)信元交换:在ATM交换机上实现。虚拟局域网的划分方法虚拟局域网的划分方法v1.基于端口的基于端口的VLANv基于端口的VLAN的划分是最简单、最有效的VLAN划分方法。该方法只需网络管理员针对于网络设备的交换端口进行重新分配组合在不同的逻辑网段中即可。而不用考虑该端口所连接的设备是什么。v2.基于基于MAC地址的地址的VLANvMAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一的。基于MAC地址的VLAN划分其实就是基于工作站、服务器的VLAN的组合。在网络规模较小时
40、,该方案亦不失为一个好的方法,但随着网络规模的扩大,网络设备、用户的增加,则会在很大程度上加大管理的难度。v3.基于三层协议的基于三层协议的VLANv路由协议工作在七层协议的第三层:网络层,即基于IP和IPX协议的转发。这类设备包括路由器和路由交换机。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。9.4.3 9.4.3 虚拟局域网的互连方式虚拟局域网的互连方式1.边界路由边界路由边界路由指的是将路由功能包含在位于主干网络边界的每一个LAN交换设备中,此时,VLAN间的报文将由交换设备内在的路由能力进行处理,从而无需再将其传送至某个外部的路由器上,数据的转发延迟因而也将得以
41、降低。 此种路由方式的主要优点:在于不像集中式路由那样会因中央路由站点的崩溃而导致整个网络的瘫痪。 主要的不利之处在于:相对于统一路由功能的集中式管理而言,边界路由需要对多个物理设备进行管理。另外此种方式可能比由一个集中式路由器和多个较便宜的边界路由器组成的集中式方案 在价格上要贵一些。v2.“独臂”路由器v采用“独臂”路由器的网络方案因能消除主干网上集中式处理和高延迟的路由功能而越来越受广泛的关注。v要求:大部分报文在VLAN内传输;少量的报文通过路由器进行传输。v这种路由器一般接在主干网上的一个交换设备上,以使得网络中的大部分报文在通过主干网时无需通过路由器进行处理,而且此种方式配置和管理
42、起来也比较方便。v优点:我们可以看到同一个VLAN内的报文将用不着通过路由器而直接在交换设备间进行高速传输。这种路由方式的不足之处在于它仍然是一种集中式的路由策略,因此在主干网上一般均设置有多个冗余“独臂”路由器,但如果网络中VLAN之间的数据传输量比较大,那么在路由器处将形成瓶颈。v3.ATM上的多协议路由(MPOA)vMPOA的目的是给可能属于不同路由子网的多个用ATM网络连接的设备提供直接的虚拟连接。也就是说,MPOA将使得多个属于不同ELAN(仿真局域网)的站点通过ATM网络直接进行通信,而用不着经过一个中间的路由器。其中ELAN可以看成为另一种的VLAN,它是在ATM网络环境下用LA
43、NEmulation(模仿)标准建立起来的。v4.第三层交换技术在第三层交换技术中,有的技术方案本身就是一个带有路由功能的交换器。特别是基于智能可编程ASIC技术的第三层交换器,它既包括了第二层和第三层的交换功能,而且还具备路由寻址功能。因此利用它来作为网络的主干交换器,既可以根据多种方法来定义VLAN成员,继后配置VLAN,又能不附加其它路由设备来实现VLAN之间的通信。不论从网络结构还是降低网络传输延迟来说,用第三层交换技术不失是一个很好的选择。9.5虚拟专用网虚拟专用网VPNv9.5.1何谓VPNv虚拟专用网(VirtualPrivateNetwork,VPN)指通过一个公用网络(通常是
44、因特网)建立一个临时的、安全的连接,是一条穿过公用网络的安全、稳定的隧道,是对企业内部网的扩展。v9.5.2VPN的特点v安全保障安全保障隧道、加密、密钥管理、数据包认证、用户认证、访问隧道、加密、密钥管理、数据包认证、用户认证、访问控制控制v服务质量服务质量QoS通过通过Internet连接的连接的VPN服务质量很大程度取决于服务质量很大程度取决于Internet的状况的状况v可扩展性和灵活性可扩展性和灵活性支持如何类型的数据流,增加节点方便支持如何类型的数据流,增加节点方便支持多种介质,满足高质量需求支持多种介质,满足高质量需求v可管理性可管理性完善的管理系统完善的管理系统包括安全管理、设
45、备管理、配置管理、访问控制列表管包括安全管理、设备管理、配置管理、访问控制列表管理、理、QoS管理管理9.5.3VPN安全技术vVPN技术通过架构安全为专网通信提供具有隔离性和隐藏性的安全需求。目前,VPN主要采用4种技术来保证安全,v这4种技术分别是隧道技术、加解密技术、密钥管理技术和身份认证技术。其中隧道技术是VPN的基本技术。VPN的解决方案vAccessVPN(远程访问(远程访问VPN)v又称为拨号又称为拨号VPN(即即VPDN),是指企业员工或企业的小分,是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。典型的远程支机构通过公网远程拨号的方式构筑的虚拟网。典型的远程访
46、问访问VPN是用户通过本地的信息服务提供商是用户通过本地的信息服务提供商(ISP)登录到因登录到因特网上,并在现在的办公室和公司内部网之间建立一条加密特网上,并在现在的办公室和公司内部网之间建立一条加密信道。信道。VPN的解决方案vIntranetVPN(内部网(内部网VPN)。即企业的总部与分支机构间。即企业的总部与分支机构间通过公网构筑的虚拟网。这种类型的连接带来的风险最小,通过公网构筑的虚拟网。这种类型的连接带来的风险最小,因为公司通常认为他们的分支机构是可信的,并将它作为公因为公司通常认为他们的分支机构是可信的,并将它作为公司网络的扩展。内部网司网络的扩展。内部网VPN的安全性取决于两
47、个的安全性取决于两个VPN服务器服务器之间加密和验证手段上。之间加密和验证手段上。VPN的解决方案vExtranetVPN(外联网(外联网VPN)v即企业间发生收购、兼并或企业间建立战略联盟后,使不同企业网通即企业间发生收购、兼并或企业间建立战略联盟后,使不同企业网通过公网来构筑的虚拟网。它能保证包括过公网来构筑的虚拟网。它能保证包括TCP和和UDP服务在内的各种应用服务在内的各种应用服务的安全,如服务的安全,如Email、HTTP、FTP、RealAudio、数据库的安全以及、数据库的安全以及一些应用程序如一些应用程序如Java、ActiveX的安全。的安全。9.5.4VPN的发展趋势的发展
48、趋势v基于IP的VPN获得极大的发展空间vQoS得到根本改善和解决v将成为广域网建设的最佳解决方案v推动电子商务、电子贸易的发展9.6计算机网络管理与安全计算机网络管理与安全v网络管理基本功能网络管理基本功能vISO建议网络管理包含以下基本功能:故障管理、计费管理、配置管理、性能管理和安全管理。计算机网络安全包括物理安全和信息安全。物理安全是指网络设备、程序、线路等方面的安全;信息安全则是防止在网络中存储或传送的信息受到破坏。v9.6.2网络安全网络安全v1网络安全的概念网络安全的概念v从广义上讲,术语“网络全安”和“信息安全”是指确保网络上的信息和资源不被非授权用户所使用,通常把为了保护数据
49、及反黑客而设计的工具的集合成为计算机安全(ComputerSecurity)。网络安全是为了在数据传输期间保护这些数据并且保证数据的传输是可信的,它强调是网络中信息或数据的完整性、可用性以及保密性。v2网络安全攻击网络安全攻击v网络安全攻击有以下四种形式:中断是以可用性作为攻击目标,它毁坏系统资源(如硬件),切断通信线路+女或使文件系统变得不可用,截获是以保密性作为攻击目标,非授权用户通过某种手段获得对系统资源的访问,修改是以完整性作为攻击目标,非授权用户不仅获得对系统资源泉的访问,而且对文件进行篡改,伪造是以完整性作为攻击目标,非授权用户将伪造的数据插入到正常系统中。网络安全攻击又可分为主动
50、攻击和被动攻击。v3网络安全机制网络安全机制v安全策略(SecurityPolicy)是描述保护数据或信息的规则,但不需要规定具体的技术实现。v(1)传统的加密机制。加密就是将明文(原信息)经过处理转换成密文(与原信息不同的、不易理解的信息)的过程,解密是加密的逆过程,即将密文翻译成明文的过程。加密解密必须遵循明文与密文的相互交换是唯一的、无误差的可逆变换的规则。v(2)公开密钥加密。公开密钥加密技术是给每个用户分配两把密钥:一个是保密的私有密钥;另一个是公开密钥。v(3)加密算法。最常用的传统加密算法是分组密码(BlockCiphers),它将明文输入变成固定长度的数据块,并生成与明文大小相
51、同的密文块。两种最重要的传统算法是DES和TDEA,它们都属于分组密码。v(4)认证(Authentication)。加密可以保护数据不被动攻击(窃听),而要保护数据不受主动攻击(数据的伪造和变动)则有不同的要求。防止此类攻击的保护措施称为报文认证。报文的认证过程使通信各方能够证实接收到的报文是可信的。有两个重要的内容需要证实。一方面是报文的内容没有被改变,另一方面报文的来源是可信的。报文的认证方式有以下四种:使用传统加密方式的认证、没有报文加密的报文认证、使用密钥的报文认证码方式、使用单向散列函数的认证。v(5)数字签名。所谓数字签名,就是附加在数据单元上的一些数据,或是对数据单元作的密码变换,也就是信息的发送者使用公开密钥算法的主要技术产生的别人无法伪造的一段数字串。应用广泛的数字签名方法有三种,即RSA签名、DSS签名、Hash签名。
