第六讲 网络互连设备及技术.ppt

计算机网络原理 第六讲网络互连设备及技术 主讲人 钱燕BBS Mail jsjwl2009 网络互连的基本概念 网络互连 Internetworking 是指将分布在不同地理位置的网络 设备相连接 以构成更大规模的互连网络系统 并实现互连网络资源的共享 互连的网络和设备可以是同种类型的网络 不同类型的网络 以及运行不同网络协议的设备与系统 典型网络互连设备 交换机 局域网交换机的工作原理 续 以A机器向C机器发送数据包为例 A机器向控制单元发送一个数据帧 控制单元截取该数据帧的首部 该帧的首部包括了目标机器的MAC地址 控制单元将到交换表中查询该MAC地址对应的端口信息 然后将该数据帧从C机器所对应的端口发送到C机器 局域网交换机的技术特点 低交换延迟支持不同的传输速率和工作模式支持虚拟局域网服务 典型网络互连设备 网桥 网桥的应用环境 一个单位的多个部门局域网的互连 办公楼之间局域网的互连 将数千台计算机按地理位置或组织关系划分为多个子网的互连 超过单个局域网的最大覆盖范围的多个局域网互连 企业中部门的信息对安全 保密方面要求不同的局域网互连 网桥的基本特征 网桥在数据链路层上实现局域网互连 网桥能够互连两个采用不同数据链路层协议 不同传输介质与不同传输速率的网络 网桥以接收 存储 地址过滤与转发的方式实现互连的网络之间的通信 网桥需要互连的网络在数据链路层以上采用相同的协议 网桥可以分隔两个网络之间的广播通信量 有利于改善互连网络的性能与安全性 网桥的分类 透明网桥透明网桥由各网桥自己来决定路由选择 局域网上的各结点不负责路由选择 源路选网桥源路选网桥由发送帧的源结点负责路由选择 网桥与广播风暴 典型网络互连设备 路由器 路由器是在网络层上实现多个网络互连的设备 局域网的数据链路层与物理层可以是不同的 但数据链路层以上的高层要采用相同的协议 路由器可以有效地隔离多个局域网的广播通信量 每一个局域网都是独立的子网 路由器的工作原理 具体步骤 第一步 当数据包到达路由器 根据网络物理接口的类型 路由器调用相应的链路层功能模块 以解释处理此数据包的链路层协议报头 主要是对数据的完整性进行验证 如CRC校验 帧长度检查等 具体步骤 续 第二步 在链路层完成对数据帧的完整性验证后 路由器开始处理此数据帧的IP层 根据数据帧中IP包头的目的IP地址 路由器在路由表中查找下一跳的IP地址 同时 IP数据包头的TTL TimeToLive 域开始减数 并重新计算校验和 Checksum 具体步骤 续 第三步 根据路由表中所查到的下一跳IP地址 将IP数据包送往相应的输出链路层 被封装上相应的链路层包头 最后经输出网络物理接口发送出去 多协议路由器的工作原理 典型的路由器产品 Cisco公司的Cisco系列路由器3Com公司的OfficeConnectNetBuilder系列Nortel公司的Accelar系列Intel公司的ExpressRouter系列华为公司的Quidway系列TP LINKD LINK 典型企业网结构 实际问题 究竟有多少方法实现内网和外网间的互联 问题的关键 代理服务器路由器 路由器与代理服务器的比较 从性能稳定的角度从价格角度从组网方便角度从故障发生角度 家庭组建宽带无线网络 典型网络互连设备 网关 网关的基本类型 网关通过使用适当的硬件与软件实现不同网络协议之间的转换功能 硬件提供不同网络的接口 软件实现不同互连网协议之间的转换 网关实现协议转换的方法 网关直接将输入网络的信息包的格式转换成输出网络信息包的格式 首先制定一种标准的网间信息包格式 网关在输入端将输入网络信息包格式转换成标准网间信息包格式 在输出端再将标准网间信息包格式转换成输出网络信息包格式 防火墙技术 防火墙 是计算机网络之间的一种特殊的访问控制设备 是设置在被保护网络和外部网络之间的一道屏障 防火墙具有下列特征 所有从内到外和从外到内的通信量都必须经过防火墙 只有被认可的通信量 通过本地安全策略进行定义后 才允许传递 防火墙对于渗透是免疫的 即本身是不可穿透的 防火墙体系结构 屏蔽路由器 ScreeningRouter 双宿主机网关 DualHomedGateway 被屏蔽主机网关 ScreenedHostGateway 单宿堡垒机双宿堡垒机被屏蔽子网 ScreenedSubnet 屏蔽路由器 ScreeningRouter 双宿主机网关 DualHomedGateway 性能分析 双宿主机用两个网络适配器分别连接两个网络 又称堡垒主机 堡垒主机上运行着防火墙软件 通常是代理服务器 可以转发应用程序 提供服务等 双宿主机网关有一个致命弱点 一旦入侵者侵入堡垒主机并使该主机只具有路由器功能 则任何网上用户均可以随便访问有保护的内部网络 被屏蔽主机网关 单宿堡垒主机 性能分析 堡垒主机只有一个网卡 与内部网络连接 通常在路由器上设立过滤规则 并使这个单宿堡垒主机成为从Internet惟一可以访问的主机 确保了内部网络不受未被授权的外部用户的攻击 而Intranet内部的客户机 可以受控制地通过屏蔽主机和路由器访问Internet 性能分析 在提供直接的因特网访问方面提供了灵活性 如路由器可以配置成允许Web服务器和因特网之间有直接的数据通信量 如果分组过滤器被攻破 则因特网和专用网中的通信量就可以直接通过路由器而进入内部网 被屏蔽主机网关 双宿堡垒主机 性能分析 双宿堡垒主机型与单宿堡垒主机型的区别是 堡垒主机有两块网卡 一块连接内部网络 一块连接包过滤路由器 双宿堡垒主机在应用层提供代理服务 与单宿型相比更加安全 被屏蔽子网 ScreenedSubnet 性能分析 使用了两个分组过滤路由器 一个在堡垒主机和因特网之间 另一个在堡垒主机和内部网之间 这样就创建了一个被隔离的子网 称为非军事区DMZ 因特网和内部网都有DMZ子网上主机的访问权利 但是穿越DMZ子网的通信量将被阻断 这种配置的优点 有三级防卫措施来抵抗入侵者 外部的路由器只对因特网通告屏蔽子网DMZ的存在 因此 内部网对于因特网是不可见的 内部路由器只对内部网络通告屏蔽子网的存在 因此 内部网络中的系统不能构造到因特网的直接通信 防火墙的一种常用配置 两个路由器 根据某种规则表 进行包过滤 一个应用网关 审查应用层信息 防火墙产品选购策略 防火墙的安全性防火墙的高效性防火墙的适用性防火墙的可管理性完善及时的售后服务体系 典型防火墙产品介绍 CiscoPIX防火墙实时嵌入式操作系统 保护方案基于自适应安全算法 ASA 可以确保最高的安全性 用于验证和授权的 直通代理 技术 最多支持250000个同时连接 URL过滤 典型防火墙产品介绍 3ComOfficeConnectFirewall新增的网络管理模块使技术经验有限的用户也能保障他们的商业信息的安全 OfficeConnectInternetFirewall25使用全静态数据包检验技术来防止非法的网络接入和防止来自Internet的 拒绝服务 攻击 它还可以限制局域网用户对Internet的不恰当使用 选读 第三层交换技术与应用 增加网络带宽与提高网络服务质量的解决途径可以有两个 一是采用光纤作为传输介质 增加传输通道的带宽 二是研究出性能更优越的路由器产品 提高网络数据交换能力 高性能的网络路由器设备是网络硬件制造商重点研究的问题之一 将交换机制引入路由器的设计中 大幅度缩短路由器对数据包的处理时间 提高网络数据交换能力 由此产生了第三层交换的概念 4 4 2网桥 交换机与第二层交换 局域网交换机与传统的集线器相比较 具有低数据传输延迟 高传输带宽的明显优点 网桥的数据帧转发功能是通过软件来实现的 而局域网交换机的数据帧转发功能是通过硬件来实现的 局域网交换机可以起到网桥的作用 同时又具有低交换传输延迟 高传输带宽的优点 通过硬件结构 使得局域网交换机的数据帧处理的延迟时间由网桥的几百个 s减少到几十 s 4 4 3第三层交换技术与产品 第三层交换技术 将局域网交换机的设计思想应用在路由器的设计中 就出现了第三层交换的概念 传统的路由器通过软件来实现路由选择功能 而第三层交换的路由器通过专用集成电路芯片来实现路由选择功能 将数据包处理时间从传统路由器的几千 s减少到几十 s 大大缩短数据包在交换设备中的传输延迟时间 通过硬件来实现第三层交换的路由器 在网络层协议类型上受到一定的限制 典型的第三层交换产品 Cabletron公司的SmartSwitch系列路由器Foundry公司的BigIron系列与SererIron系列交换机PacketE