計算機網絡(十一)
學習計算機網絡過程中的心得體會以及知識點的整理,方便我自己查找,也希望可以和大家一起交流。
—— 網絡層 ——
文章目錄
上接《計算機網絡 網絡層(四)》
8. 虛擬專用網 VPN 和網絡地址轉換 NAT
8.1 虛擬專用網 VPN
-
由於 IP 地址的緊缺,一個機構能夠申請到的IP地址數往往遠小於本機構所擁有的主機數。
-
考慮到互聯網並不很安全,一個機構內也並不需要把所有的主機接入到外部的互聯網。
-
假定在一個機構內部的計算機通信也是採用 TCP/IP 協議,那麼從原則上講,對於這些僅在機構內部使用的計算機就可以由本機構自行分配其 IP 地址。
-
本地地址——僅在機構內部使用的 IP 地址,可以由本機構自行分配,而不需要向互聯網的管理機構申請。
-
全球地址——全球唯一的 IP 地址,必須向互聯網的管理機構申請。
-
問題:在內部使用的本地地址就有可能和互聯網中某個 IP 地址重合,這樣就會出現地址的二義性問題。
-
問題:在內部使用的本地地址就有可能和互聯網中某個 IP 地址重合,這樣就會出現地址的二義性問題。
-
解決:RFC 1918指明瞭一些專用地址 (private address)。專用地址只能用作本地地址而不能用作全球地址。在互聯網中的所有路由器,對目的地址是專用地址的數據報一律不進行轉發。
RFC 1918 指明的專用 IP 地址:
![網絡層]()
8.1.1 專用網
- 採用這樣的專用 IP 地址的互連網絡稱爲專用互聯網或本地互聯網,或更簡單些,就叫作專用網。
- 因爲這些專用地址僅在本機構內部使用。專用IP地址也叫作可重用地址(reusable address)。
8.1.2 虛擬專用網VPN
- 利用公用的互聯網作爲本機構各專用網之間的通信載體,這樣的專用網又稱爲虛擬專用網VPN (Virtual Private Network)。
- “專用網”是因爲這種網絡是爲本機構的主機用於機構內部的通信,而不是用於和網絡外非本機構的主機通信。
- “虛擬”表示“好像是”,但實際上並不是,因爲現在並沒有真正使用通信專線,而VPN只是在效果上和真正的專用網一樣。
- 如果專用網不同網點之間的通信必須經過公用的互聯網,但又有保密的要求,那麼所有通過互聯網傳送的數據都必須加密。
- 一個機構要構建自己的 VPN 就必須爲它的每一個場所購買專門的硬件和軟件,並進行配置,使每一個場所的 VPN 系統都知道其他場所的地址。
用隧道技術實現虛擬專用網:
![網絡層]()
![網絡層]()
8.1.3 內聯網 intranet 和外聯網 extranet
- 它們都是基於 TCP/IP 協議的。
- 由部門 A 和 B 的內部網絡所構成的虛擬專用網 VPN 又稱爲內聯網 (intranet),表示部門 A 和 B 都是在同一個機構的內部。
- 一個機構和某些外部機構共同建立的虛擬專用網 VPN 又稱爲外聯網 (extranet)。
![網絡層]()
8.1.4 遠程接入 VPN
- 遠程接入 VPN (remote access VPN)可以滿足外部流動員工訪問公司網絡的需求。
- 在外地工作的員工撥號接入互聯網,而駐留在員工 PC 機中的 VPN 軟件可在員工的 PC 機和公司的主機之間建立 VPN 隧道,因而外地員工與公司通信的內容是保密的,員工們感到好像就是使用公司內部的本地網絡。
8.2 網絡地址轉換 NAT
- 問題:在專用網上使用專用地址的主機如何與互聯網上的主機通信(並不需要加密)?
- 解決:
- (1) 再申請一些全球 IP 地址。但這在很多情況下是不容易做到的。
- (2)採用網絡地址轉換 NAT。這是目前使用得最多的方法。
- 網絡地址轉換 NAT (Network Address Translation) 方法於1994年提出。
- 需要在專用網連接到互聯網的路由器上安裝 NAT 軟件。裝有 NAT 軟件的路由器叫作 NAT路由器,它至少有一個有效的外部全球IP地址。
- 所有使用本地地址的主機在和外界通信時,都要在 NAT 路由器上將其本地地址轉換成全球 IP 地址,才能和互聯網連接。
![網絡層]()
網絡地址轉換的過程: - 內部主機 A 用本地地址 IPA 和互聯網上主機 B 通信所發送的數據報必須經過 NAT 路由器。
- NAT 路由器將數據報的源地址 IPA 轉換成全球地址 IPG,並把轉換結果記錄到NAT地址轉換表中,目的地址 IPB 保持不變,然後發送到互聯網。
- NAT 路由器收到主機 B 發回的數據報時,知道數據報中的源地址是 IPB 而目的地址是 IPG。
- 根據 NAT 轉換表,NAT 路由器將目的地址 IPG 轉換爲 IPA,轉發給最終的內部主機 A。
- 可以看出,在內部主機與外部主機通信時,在NAT路由器上發生了兩次地址轉換:
- 離開專用網時:替換源地址,將內部地址替換爲全球地址;
- 進入專用網時:替換目的地址,將全球地址替換爲內部地址;
![網絡層]()
- 當 NAT 路由器具有 n 個全球 IP 地址時,專用網內最多可以同時有 n 臺主機接入到互聯網。這樣就可以使專用網內較多數量的主機,輪流使用 NAT 路由器有限數量的全球 IP 地址。
- 通過 NAT 路由器的通信必須由專用網內的主機發起。專用網內部的主機不能充當服務器用,因爲互聯網上的客戶無法請求專用網內的服務器提供服務。
8.2.1 網絡地址與端口號轉換 NAPT
- 爲了更加有效地利用 NAT 路由器上的全球IP地址,現在常用的 NAT 轉換表把運輸層的端口號也利用上。這樣,就可以使多個擁有本地地址的主機,共用一個 NAT 路由器上的全球 IP 地址,因而可以同時和互聯網上的不同主機進行通信。
- 使用端口號的 NAT 叫作網絡地址與端口號轉換NAPT (Network Address and Port Translation),而不使用端口號的 NAT 就叫作傳統的 NAT (traditional NAT)。
![網絡層]()
9. 多協議標記交換 MPLS
- IETF於1997年成立了 MPLS 工作組,開發出一種新的協議——多協議標記交換 MPLS (MultiProtocol Label Switching)。
- “多協議”表示在 MPLS 的上層可以採用多種協議,例如:IP,IPX;可以使用多種數據鏈路層協議,例如:PPP,以太網,ATM 等。
- “標記”是指每個分組被打上一個標記,根據該標記對分組進行轉發。
![網絡層]()
MPLS特點 : - MPLS並沒有取代 IP,而是作爲一種 IP 增強技術,被廣泛地應用在互聯網中。
- MPLS 具有以下三個方面的特點:
- (1) 支持面向連接的服務質量;
- (2) 支持流量工程,平衡網絡負載;
- (3) 有效地支持虛擬專用網 VPN。
9.1 MPLS 的工作原理
- 基本工作過程
- IP 分組的轉發
- 在傳統的 IP 網絡中,分組每到達一個路由器後,都必須提取出其目的地址,按目的地址查找路由表,並按照“最長前綴匹配”的原則找到下一跳的 IP 地址(請注意,前綴的長度是不確定的)。
- 當網絡很大時,查找含有大量項目的路由表要花費很多的時間。
- 在出現突發性的通信量時,往往還會使緩存溢出,這就會引起分組丟失、傳輸時延增大和服務質量下降。
![網絡層]()
- IP 分組的轉發
9.1.1 MPLS 協議的基本原理
-
在 MPLS 域的入口處,給每一個 IP 數據報打上固定長度“標記”,然後對打上標記的 IP 數據報用硬件進行轉發。
-
採用硬件技術對打上標記的 IP 數據報進行轉發就稱爲標記交換。
-
“交換”也表示在轉發時不再上升到第三層查找轉發表,而是根據標記在第二層(鏈路層)用硬件進行轉發。
-
MPLS 域 (MPLS domain) 是指該域中有許多彼此相鄰的路由器,並且所有的路由器都是支持 MPLS 技術的標記交換路由器 LSR (Label Switching Router)。
-
LSR 同時具有標記交換和路由選擇這兩種功能,標記交換功能是爲了快速轉發,但在這之前LSR 需要使用路由選擇功能構造轉發表。
![網絡層]()
(1) MPLS 域中的各 LSR 使用專門的標記分配協議 LDP 交換報文,並找出標記交換路徑 LSP。各 LSR 根據這些路徑構造出分組轉發表。
(2) 分組進入到 MPLS 域時, MPLS 入口結點把分組打上標記,並按照轉發表將分組轉發給下一個 LSR。給IP數據報打標記的過程叫作分類(classification)。
(3) 一個標記僅僅在兩個標記交換路由器 LSR 之間纔有意義。分組每經過一個 LSR,LSR 就要做兩件事:一是轉發,二是更換新的標記,即把入標記更換成爲出標記。這就叫作標記對換 (label swapping)。
![網絡層]()
(4) 當分組離開 MPLS 域時,MPLS 出口結點把分組的標記去除。再以後就按照一般分組的轉發方法進行轉發。
![網絡層]()
9.1.2 轉發等價類 FEC
-
MPLS 有個很重要的概念就是轉發等價類 FEC (Forwarding Equivalence Class)。
-
“轉發等價類”就是路由器按照同樣方式對待的分組的集合。
“按照同樣方式對待”表示: 從同樣接口轉發到同樣的下一跳地址, 並且具有同樣服務類別和同樣丟棄優先級等。 -
劃分 FEC 的方法不受什麼限制,這都由網絡管理員來控制,因此非常靈活。
-
入口結點並不是給每一個分組指派一個不同的標記,而是將屬於同樣 FEC 的分組都指派同樣的標記。
-
FEC 和標記是一一對應的關係。
![網絡層]()
9.1.3 流量工程 TE
- 網絡管理員採用自定義的 FEC 就可以更好地管理網絡的資源。
- 這種均衡網絡負載的做法也稱爲流量工程 TE (Traffic Engineering) 或通信量工程。
9.2 MPLS 首部的位置與格式
- MPLS 並不要求下層的網絡都使用面向連接的技術。
- 下層的網絡並不提供打標記的手段,而 IPv4 數據報首部也沒有多餘的位置存放 MPLS 標記。
- 這就需要使用一種封裝技術:在把 IP 數據報封裝成以太網幀之前,先要插入一個 MPLS 首部。
- 從層次的角度看,MPLS 首部就處在第二層和第三層之間。
![網絡層]()
MPLS 首部的格式:
![網絡層]()
- MPLS 首部共包括以下四個字段:
- (1) 標記值(佔 20 位)。可以同時容納高達 220 個流(即 1048576 個流)。實際上幾乎沒有哪個 MPLS 實例會使用很大數目的流,因爲通常需要管理員人工管理和設置每條交換路徑。
- (2) 試驗(佔 3 位)。目前保留用作試驗。
- (3) 棧S(佔 1 位)。在有“標記棧”時使用。
- (4) 生存時間TTL(佔 8 位)。用來防止 MPLS 分組在 MPLS 域中兜圈子。
