计算机网络(十一)
学习计算机网络过程中的心得体会以及知识点的整理,方便我自己查找,也希望可以和大家一起交流。
—— 网络层 ——
文章目录
上接《计算机网络 网络层(四)》
8. 虚拟专用网 VPN 和网络地址转换 NAT
8.1 虚拟专用网 VPN
-
由于 IP 地址的紧缺,一个机构能够申请到的IP地址数往往远小于本机构所拥有的主机数。
-
考虑到互联网并不很安全,一个机构内也并不需要把所有的主机接入到外部的互联网。
-
假定在一个机构内部的计算机通信也是采用 TCP/IP 协议,那么从原则上讲,对于这些仅在机构内部使用的计算机就可以由本机构自行分配其 IP 地址。
-
本地地址——仅在机构内部使用的 IP 地址,可以由本机构自行分配,而不需要向互联网的管理机构申请。
-
全球地址——全球唯一的 IP 地址,必须向互联网的管理机构申请。
-
问题:在内部使用的本地地址就有可能和互联网中某个 IP 地址重合,这样就会出现地址的二义性问题。
-
问题:在内部使用的本地地址就有可能和互联网中某个 IP 地址重合,这样就会出现地址的二义性问题。
-
解决:RFC 1918指明了一些专用地址 (private address)。专用地址只能用作本地地址而不能用作全球地址。在互联网中的所有路由器,对目的地址是专用地址的数据报一律不进行转发。
RFC 1918 指明的专用 IP 地址:
![网络层]()
8.1.1 专用网
- 采用这样的专用 IP 地址的互连网络称为专用互联网或本地互联网,或更简单些,就叫作专用网。
- 因为这些专用地址仅在本机构内部使用。专用IP地址也叫作可重用地址(reusable address)。
8.1.2 虚拟专用网VPN
- 利用公用的互联网作为本机构各专用网之间的通信载体,这样的专用网又称为虚拟专用网VPN (Virtual Private Network)。
- “专用网”是因为这种网络是为本机构的主机用于机构内部的通信,而不是用于和网络外非本机构的主机通信。
- “虚拟”表示“好像是”,但实际上并不是,因为现在并没有真正使用通信专线,而VPN只是在效果上和真正的专用网一样。
- 如果专用网不同网点之间的通信必须经过公用的互联网,但又有保密的要求,那么所有通过互联网传送的数据都必须加密。
- 一个机构要构建自己的 VPN 就必须为它的每一个场所购买专门的硬件和软件,并进行配置,使每一个场所的 VPN 系统都知道其他场所的地址。
用隧道技术实现虚拟专用网:
![网络层]()
![网络层]()
8.1.3 内联网 intranet 和外联网 extranet
- 它们都是基于 TCP/IP 协议的。
- 由部门 A 和 B 的内部网络所构成的虚拟专用网 VPN 又称为内联网 (intranet),表示部门 A 和 B 都是在同一个机构的内部。
- 一个机构和某些外部机构共同建立的虚拟专用网 VPN 又称为外联网 (extranet)。
![网络层]()
8.1.4 远程接入 VPN
- 远程接入 VPN (remote access VPN)可以满足外部流动员工访问公司网络的需求。
- 在外地工作的员工拨号接入互联网,而驻留在员工 PC 机中的 VPN 软件可在员工的 PC 机和公司的主机之间建立 VPN 隧道,因而外地员工与公司通信的内容是保密的,员工们感到好像就是使用公司内部的本地网络。
8.2 网络地址转换 NAT
- 问题:在专用网上使用专用地址的主机如何与互联网上的主机通信(并不需要加密)?
- 解决:
- (1) 再申请一些全球 IP 地址。但这在很多情况下是不容易做到的。
- (2)采用网络地址转换 NAT。这是目前使用得最多的方法。
- 网络地址转换 NAT (Network Address Translation) 方法于1994年提出。
- 需要在专用网连接到互联网的路由器上安装 NAT 软件。装有 NAT 软件的路由器叫作 NAT路由器,它至少有一个有效的外部全球IP地址。
- 所有使用本地地址的主机在和外界通信时,都要在 NAT 路由器上将其本地地址转换成全球 IP 地址,才能和互联网连接。
![网络层]()
网络地址转换的过程: - 内部主机 A 用本地地址 IPA 和互联网上主机 B 通信所发送的数据报必须经过 NAT 路由器。
- NAT 路由器将数据报的源地址 IPA 转换成全球地址 IPG,并把转换结果记录到NAT地址转换表中,目的地址 IPB 保持不变,然后发送到互联网。
- NAT 路由器收到主机 B 发回的数据报时,知道数据报中的源地址是 IPB 而目的地址是 IPG。
- 根据 NAT 转换表,NAT 路由器将目的地址 IPG 转换为 IPA,转发给最终的内部主机 A。
- 可以看出,在内部主机与外部主机通信时,在NAT路由器上发生了两次地址转换:
- 离开专用网时:替换源地址,将内部地址替换为全球地址;
- 进入专用网时:替换目的地址,将全球地址替换为内部地址;
![网络层]()
- 当 NAT 路由器具有 n 个全球 IP 地址时,专用网内最多可以同时有 n 台主机接入到互联网。这样就可以使专用网内较多数量的主机,轮流使用 NAT 路由器有限数量的全球 IP 地址。
- 通过 NAT 路由器的通信必须由专用网内的主机发起。专用网内部的主机不能充当服务器用,因为互联网上的客户无法请求专用网内的服务器提供服务。
8.2.1 网络地址与端口号转换 NAPT
- 为了更加有效地利用 NAT 路由器上的全球IP地址,现在常用的 NAT 转换表把运输层的端口号也利用上。这样,就可以使多个拥有本地地址的主机,共用一个 NAT 路由器上的全球 IP 地址,因而可以同时和互联网上的不同主机进行通信。
- 使用端口号的 NAT 叫作网络地址与端口号转换NAPT (Network Address and Port Translation),而不使用端口号的 NAT 就叫作传统的 NAT (traditional NAT)。
![网络层]()
9. 多协议标记交换 MPLS
- IETF于1997年成立了 MPLS 工作组,开发出一种新的协议——多协议标记交换 MPLS (MultiProtocol Label Switching)。
- “多协议”表示在 MPLS 的上层可以采用多种协议,例如:IP,IPX;可以使用多种数据链路层协议,例如:PPP,以太网,ATM 等。
- “标记”是指每个分组被打上一个标记,根据该标记对分组进行转发。
![网络层]()
MPLS特点 : - MPLS并没有取代 IP,而是作为一种 IP 增强技术,被广泛地应用在互联网中。
- MPLS 具有以下三个方面的特点:
- (1) 支持面向连接的服务质量;
- (2) 支持流量工程,平衡网络负载;
- (3) 有效地支持虚拟专用网 VPN。
9.1 MPLS 的工作原理
- 基本工作过程
- IP 分组的转发
- 在传统的 IP 网络中,分组每到达一个路由器后,都必须提取出其目的地址,按目的地址查找路由表,并按照“最长前缀匹配”的原则找到下一跳的 IP 地址(请注意,前缀的长度是不确定的)。
- 当网络很大时,查找含有大量项目的路由表要花费很多的时间。
- 在出现突发性的通信量时,往往还会使缓存溢出,这就会引起分组丢失、传输时延增大和服务质量下降。
![网络层]()
- IP 分组的转发
9.1.1 MPLS 协议的基本原理
-
在 MPLS 域的入口处,给每一个 IP 数据报打上固定长度“标记”,然后对打上标记的 IP 数据报用硬件进行转发。
-
采用硬件技术对打上标记的 IP 数据报进行转发就称为标记交换。
-
“交换”也表示在转发时不再上升到第三层查找转发表,而是根据标记在第二层(链路层)用硬件进行转发。
-
MPLS 域 (MPLS domain) 是指该域中有许多彼此相邻的路由器,并且所有的路由器都是支持 MPLS 技术的标记交换路由器 LSR (Label Switching Router)。
-
LSR 同时具有标记交换和路由选择这两种功能,标记交换功能是为了快速转发,但在这之前LSR 需要使用路由选择功能构造转发表。
![网络层]()
(1) MPLS 域中的各 LSR 使用专门的标记分配协议 LDP 交换报文,并找出标记交换路径 LSP。各 LSR 根据这些路径构造出分组转发表。
(2) 分组进入到 MPLS 域时, MPLS 入口结点把分组打上标记,并按照转发表将分组转发给下一个 LSR。给IP数据报打标记的过程叫作分类(classification)。
(3) 一个标记仅仅在两个标记交换路由器 LSR 之间才有意义。分组每经过一个 LSR,LSR 就要做两件事:一是转发,二是更换新的标记,即把入标记更换成为出标记。这就叫作标记对换 (label swapping)。
![网络层]()
(4) 当分组离开 MPLS 域时,MPLS 出口结点把分组的标记去除。再以后就按照一般分组的转发方法进行转发。
![网络层]()
9.1.2 转发等价类 FEC
-
MPLS 有个很重要的概念就是转发等价类 FEC (Forwarding Equivalence Class)。
-
“转发等价类”就是路由器按照同样方式对待的分组的集合。
“按照同样方式对待”表示: 从同样接口转发到同样的下一跳地址, 并且具有同样服务类别和同样丢弃优先级等。 -
划分 FEC 的方法不受什么限制,这都由网络管理员来控制,因此非常灵活。
-
入口结点并不是给每一个分组指派一个不同的标记,而是将属于同样 FEC 的分组都指派同样的标记。
-
FEC 和标记是一一对应的关系。
![网络层]()
9.1.3 流量工程 TE
- 网络管理员采用自定义的 FEC 就可以更好地管理网络的资源。
- 这种均衡网络负载的做法也称为流量工程 TE (Traffic Engineering) 或通信量工程。
9.2 MPLS 首部的位置与格式
- MPLS 并不要求下层的网络都使用面向连接的技术。
- 下层的网络并不提供打标记的手段,而 IPv4 数据报首部也没有多余的位置存放 MPLS 标记。
- 这就需要使用一种封装技术:在把 IP 数据报封装成以太网帧之前,先要插入一个 MPLS 首部。
- 从层次的角度看,MPLS 首部就处在第二层和第三层之间。
![网络层]()
MPLS 首部的格式:
![网络层]()
- MPLS 首部共包括以下四个字段:
- (1) 标记值(占 20 位)。可以同时容纳高达 220 个流(即 1048576 个流)。实际上几乎没有哪个 MPLS 实例会使用很大数目的流,因为通常需要管理员人工管理和设置每条交换路径。
- (2) 试验(占 3 位)。目前保留用作试验。
- (3) 栈S(占 1 位)。在有“标记栈”时使用。
- (4) 生存时间TTL(占 8 位)。用来防止 MPLS 分组在 MPLS 域中兜圈子。
