网络层向传输层提供的服务.ppt

1 Chapter6Networklayer 6 1网络层向传输层提供的服务6 2虚电路与数据报6 3路由算法6 4拥塞控制6 5网络互连 2 6 1网络层向传输层提供的服务 网络层设计目标 服务应与通信子网的技术无关对于传输层而言 通信子网的数量 类型和拓扑结构是隐蔽的网络地址应该采用统一的编号模式争论 网络层提供面向连接的服务还是非连接的服务 传输层 网络层 主机 通信子网 用户 网络运营商 复杂功能 复杂功能 3 6 2虚电路与数据报 OSI的网络层提供两种服务面向连接 虚电路 virtualcircuit 首先要发出连接请求 与目的端建立连接数据通信拆除连接非连接 数据报 datagram 每个分组头都必须包含目的地址每个分组在途径节点上被单独处理同一数据流的分组可以走不同的路径 4 虚电路的特点 一条物理链路可以对应多条逻辑信道一条虚电路由各物理链路上的逻辑信道级联而成 占用了节点上的一条逻辑信道实际上就是占用了该节点上缓存器内的一个存储空间分组靠逻辑信道号 LCN 选择路由 因LCN只有局部意义 所以减少了分组头标的开销和处理的复杂度能有效的防止拥塞 5 Virtualcircuits signalingprotocols usedtosetup maintainteardownVCusedinATM frame relay X 25notusedintoday sInternet 1 Initiatecall 2 incomingcall 3 Acceptcall 4 Callconnected 5 Dataflowbegins 6 Receivedata networkdatalinkphysical 6 数据报的特点 每个分组的寻路是独立的 可以合理利用网络资源如果途中一个节点或一条链路发生故障 能给分组重选路由分组头需要包含地址字段 也会增加开销 overhead 各分组途经的路径可能不同 因此有可能出现先发后到现象分组必须有生存时间限制 当生存期满时 分组则被抛弃 免得在网络内死转 7 Datagramnetworks theInternetmodel nocallsetupatnetworklayerrouters nostateaboutend to endconnectionsnonetwork levelconceptof connection packetstypicallyroutedusingdestinationhostIDpacketsbetweensamesource destpairmaytakedifferentpaths 1 Senddata 2 Receivedata 8 6 3路由算法 网络层的主要功能是根据分组目的地址选择路径 对数据报 每个分组都要在途径的节点上被单独寻路 而虚电路 则在建立连接时要进行寻路 路由算法有两类 非自适应和自适应 非自适应 自适应 静态路由 动态路由 路由表固定 路由表定时刷新 路由协议 简便 可靠 易行 适用于负荷稳定 拓扑结构变化不大的网络 算法复杂 会增加网络负担 但能够改善网络的性能 并有利于流量控制 9 6 3 1Dijkstra最短通路搜索算法 最短通路算法的基本准则 在全双工链路连接的网络上 每条链路的每个方向上都有一个与之相关的权值 两个节点之间一条路由的代价是它所经过的链路权值之和 所以 这两个节点间的最佳路由为其所有可能路由中具有最小代价的那条路由 Routingmetrics度量 weight cost NumberofhopsDelayBandwidthLoad 利用Dijkstra算法求A到D的最短通路 A B 2 A E G 6 A C F H D A B 2 A E 4 B G 6 A C 9 B F H D A B 2 A E 4 B G 5 E C 9 B F 6 E H D A B 2 A E 4 B G 5 E C 9 B F 6 E H 9 G D A B 2 A E 4 B G 5 E C 9 B F 6 E H 8 F D A B 2 A E 4 B G 5 E C 9 B F 6 E H 8 F D 10 H A B 2 A E 4 B G 5 E C 9 B F 6 E H 8 F D 10 H A B 2 A E 4 B G 5 E C 9 B F 6 E H 8 F D 10 H 最短通路为 A B E F H D 权值为10 11 6 3 2距离矢量 DistanceVector 路由算法 距离矢量路由选择 distancevectorrouting 算法是现代计算机网络两个最常使用的动态路由选择算法之一 ARPAnet DECnet Novell的IPX以及Internet的一种内部网关协议 IGP InteriorGatewayProtocol RIP RouteInformationProtocol 都使用了距离矢量路由选择算法 Cisco则开发了一种改进的协议 叫作IGRP InteriorGatewayRoutingProtocol 每个节点都定期地将它们的路由表传送给所有相邻节点 这里的路由表所包含的内容有 每条路径的目的地址 矢量本节点到该目的地址的代价 距离每个节点根据收到的相邻节点的路由信息更新自己的路由表 12 距离矢量路由算法举例 8 10 12 6 13 问题 寻路环 routingloops 慢收敛 slowconvergence 无穷计算 counttoinfinity 它对好消息的反应迅速 但对坏消息却反应迟钝 14 水平分割算法 水平分割 splithorizon 算法是解决无穷计算问题的一种方法 其工作过程与距离矢量法一样 不同之处在于 如果节点C通过节点B向A发送分组 则节点B不会再试图通过C向A发送分组 换句话说 节点C向B发送的路由信息中不会包含通往A的路由信息 15 6 3 3链路状态 LinkState 路由算法 链路状态路由算法于1979年出现在ARPAnet上 作为一种用来取代DVR的动态路由选择算法 得到了广泛的应用 算法 主动测试邻接节点的状态定期地将相邻节点的状态信息传送给所有节点每个节点都有完整的网络拓扑信息 然后计算到每个节点的最佳路径该方法也叫最短路径优先 shortestpathfirst 简称SPF算法 16 DistanceVectorvs LinkState DV节点向相邻节点告诉它所知道的所有节点的路由信息节点根据相邻节点的路由信息更新自己的路由表分布式计算可扩展性差LS节点向所有节点告诉其相邻节点的状态信息每个节点都有一个全局的拓扑结构根据此拓扑结构计算路由表可扩展性好 可靠 17 分级路由选择 hierarchicalrouting 将网络分成一些区域 每个区域内的路由器只负责本区域内的分组转发 而不管其它区域的情况 目的地址不在本区域内的分组都发给指定的区域路由器去处理 当网络规模很大时 往往需要分成多级 路由信息的交换只在本区域内进行 路由器内部需存储的路由信息大大减少 节省了路由器的存储空间和网络带宽 缺点是选择的路由可能不是最佳的 18 分级路由示例 19 6 4拥塞控制 什么是网络的拥塞当大量分组进入通信子网 超出了网络的处理能力时 就会引起网络局部或整体性能下降 这种现象称为拥塞 路由器的队列溢出 分组丢失拥塞会导致什么后果拥塞使许多分组重传导致更多的业务量 直至崩溃拥塞的原因路由器的处理速度 存储空间 带宽不匹配网络负载的不平衡 20 拥塞控制与流量控制 拥塞控制网络负载的不均衡 例如 某个路由器的多个输入端口向同一个输出端口传输分组是全局问题 涉及的节点包括主机 路由器流量控制接收端或所在网络的接收速度小于发送端的发送速度只涉及收发两端 是局部问题由于解决方法相似 两者经常混淆 21 6 4 1拥塞控制的一般原理 从控制理论观点出发 可分为两类 开环控制 基于良好的设计业务量整形 漏桶算法 令牌桶法闭环控制 基于反馈概念监测系统何时 何处发生拥塞将拥塞信息传到能控制它的地方调整系统操作指示网络拥塞的参数分组丢失率平均队列长度分组重传率平均分组延时 22 6 4 2拥塞控制的策略 闭环控制检测到拥塞时 就发一个分组给源端或向所有主机广播在每个分组头中保留一个位或域 当拥塞超过一定值时 路由器就在该位或域上填上拥塞信息通知网络节点由主机或路由器发送询问分组打听拥塞情况 23 虚电路中的拥塞控制采用接纳控制 admissioncontrol 的三种策略 一旦出现拥塞的信号 就不再创建任何虚电路 直至拥塞解除 允许建立新的虚电路 但要仔细选择路由 以便所有新的虚电路绕过拥塞的区域 在虚电路建立时 子网与主机对所需服务质量进行协商 若不能满足主机最低要求 则拒绝建立连接 否则就保留连接所需的多种资源 避免拥塞发生 24 数据报中的拥塞控制抑制分组 chokepacket 每个路由器监视本节点的资源利用情况 若某个方向的资源利用率超过一定的门限 则该路由器向有关源节点发送抑制分组 源节点相应减少发往该方向的数据量 直至该方向的拥塞解除 TCP的窗口机制对拥塞的有着慢启动和拥塞回避策略 但有时会引起同步效应 可采用随机早期检测 RED RandomEarlyDetection 的方法进行拥塞控制 该方法采用提早丢包来减轻网络负载 25 服务质量 QoS 服务质量参数 可靠性 延时 抖动和带宽各种不同业务对QoS的需求 26 服务质量 QoS 控制方法 资源预留 带宽 缓冲区 CPU资源接纳控制队列调度缓存 消除延时抖动 业务量整形 也是拥塞控制的两种常用方法 漏桶算法令牌桶法 27 漏桶算法 以恒定的速率 向网络发送 28 举例 计算机以25MB s 200Mbps 速率产生数据 向网络发送1MB的数据 即以25MB s速率发送了40ms 而网络的最佳传输速率不超过2MB s 为了降低传送速率 令漏桶的 2MB s 因此1MB的数据将传输500ms 29 令牌桶法 令牌桶以每隔 T秒产生令牌 分组得到令牌后就可发送 30 举例 设突发长度为S秒 令牌桶容量Cbytes 令牌产生速率为 bytes s 计算机最大数据速率Mbytes s 设前例中 C 250KB M 25MB s 2MB sC s MSS C M 11ms剩余的以2MB s发送364ms 31 C 250kB C 500kB C 750kB C 500kB令牌桶加10MB s漏桶 32 服务质量 QoS 控制技术 综合服务 IntServ IntegratedServices 资源预留 RSVP协议 接入控制基于流的QOS控制技术 不适合大规模使用区分服务 DiffServ DifferentiatedServices 在分组的TOS域中标记基于类的QOS控制 但不是严格意义的QOS多协议标记交换 MPLS Multi ProtocolLabelSwitching 33 6 5网络互连 为什么需要互连 怎样互连 有哪些互连设备 34 为什么需要互连 怎样互连 距离 由于媒体的传输距离有限 100mor185mor500mor2 5km 中继器 延长传输距离容量 同一网段的所有主机共享 10or100Mbps 异种LAN的互连网桥 以太网交换机 隔离碰撞域 转发数据帧 第二层连接设备路由 物理地址不具备广域可寻路特性 广播数据 异种网络的互连路由器 隔离广播域 转发分组 第三层连接设备交换机 虚电路 在面向连接的网络 X 25 ATM 帧中继 中 级联逻辑链路 35 互连设备 Repeater HubBridge SwitchRouter L3SwitchGateway 36 互连设备的功能 网络连接设备有repeaterorhub 在物理层透明地复制比特流 以补偿信号的衰减bridgeorswitch 在不同的LAN间存储转发帧 必要时要进行链路层的协议转换router 在不同的网络间存储转发发组 必要时进行网络层协议转换Gateway 指对高层协议进行转换的协议转换器 37 Repeaters JoinstwosegmentsofcableOnlyonepathofsegmentsandrepeatersbetweenanytwostations cannothaveloopsAttempttoforwardallFrames errorframeswillbeforwardedNologicalisolationofsegmentsCollisiondomainsarenotisolated iftwostationsondifferentsegmentssendatthesametime packetswillcollideBroadcastdomainsarenotisolatedHasnoeffectonMACorNetworkAddresses 38 SegmentedBasebandwithRepeaters 39 RepeaterscandoMediaConversion 40 Hubs HubisamultiportrepeaterSharedmediumhubCentralhubHubretransmitsincomingsignaltoalloutgoinglinesOnlyonestationcantransmitatatimeWitha10MbpsLAN totalcapacityis10Mbps 41 Bridges Abridgeisadevicewhichhastwoormoreportswhichcanbeconnectedtoavarietyofmediatypes andprovidesamechanismforthefilteringandforwardingofdataframesamongtheportswhilebuildingonelargelogicalnetwork OperatesattheDataLinkLayerSelectivelyforwardsframesErrorFrameswillnotbeforwardedCollisiondomainsareisolatedBroadcastdomainsarenotisolatedHasnoeffectonMACorNetworkAddresses 42 BridgeOperation AbridgeisasimpledevicewhichsimplyrecognizestheMACaddressesontwoLANsandretransmitspacketsfromoneLANdestinedfordevicesontheother TheLANsusuallyneedtohavethesameMACformat 43 Switches SwitchedHubs 交换机 switch 源自于多端口网桥 bridge 工作在第二层 采用存储 转发方式在各端口之间进行数据帧的交换交换机检测每个到达数据的帧头根据数据帧的目的MAC地址查找输出端口如果地址查找表中没有该表项 交换机就向所有端口 除接收端口 转发地址查找表是通过帧的源MAC地址与到达端口的对应关系建立的 44 CapacitywithSwitchedHub 45 SwitchApplications 46 Routers OperateattheNetworkLayerSelectivelyforwardspacketsErrorFrameswillnotbeforwardedCollisiondomainsareisolatedBroadcastdomainsareisolatedProtocolscanbeFilteredHasaneffectonMACAddressesbutnoeffectonNetworkAddresses 47 PerPacketProcessinginanIProuter 1 Acceptpacketarrivingonanincominglink 2 Lookuppacketdestinationaddressintheforwardingtable toidentifyoutgoingport s 3 Manipulatepacketheader e g decrementTTL updateheaderchecksum 4 Sendpackettotheoutgoingport s 5 Bufferpacketinthequeue 6 Transmitpacketontooutgoinglink 48 R1 R2 图中路由器的左 右接口MAC地址MB MD 站点B D的MAC地址 MB R1 MD R2 目的MAC地址 源MAC地址 49 Gateway 网关也称协议转换器 它是用于连接不同网络的高层网络互连设备应用层网关 在应用层连接两个网络 如IP电话网关传输层网关 在传输层连接两个网络安全网关 用于安全考虑的协议过滤 包过滤 内容过滤等 也称为防火墙 用于连接内外网络 保护内部网络的安全 50 防火墙技术 什么是防火墙防火墙是建立在两个网络的边界上的实现安全策略和网络通信监控的系统或系统组 强制执行对内部网和外部网的访问控制 通过建立一整套规则和策略来监测 限制 更改跨越防火墙的数据流 达到保护内部网络的目的 Firewall 51 防火墙的功能访问控制授权认证内容安全 病毒扫描 URL扫描 HTTP过滤加密路由器安全管理地址翻译均衡负载日志记帐 审计报警 52 防火墙的技术分类 包过滤型防火墙状态检测防火墙应用级网关型防火墙代理服务型防火墙复合型防火墙 53 包过滤型防火墙 包过滤 PacketFiltering 技术是在网络层对数据包进行选择选择的依据是系统内设置的过滤逻辑 被称为访问控制表 AccessControlTable 通过检查数据流中每个数据包的源地址 目的地址 所用的端口号 协议状态等因素 或它们的组合来确定是否允许该数据包通过 工作在网络层和传输层 54 包过滤防火墙 包过滤设置规则 丢弃或通过默认丢弃 不被明确允许的将被禁止 比较保守默认转发 不被明确禁止的允许通过数据包头部信息IP源地址和目标地址协议 TCP UDP或ICMP包 TCP UDP源和目的端口TCP头中的ACK位ICMP信息类型 55 过滤规则举例 第一条规则 主机10 1 1 1任何端口访问任何主机的任何端口 基于TCP协议的数据包都允许通过 第二条规则 任何主机的20端口访问主机10 1 1 1的任何端口 基于TCP协议的数据包允许通过 第三条规则 任何主机的20端口访问主机10 1 1 1小于1024的端口 如果基于TCP协议的数据包都禁止通过 56 包过滤防火墙 几种包过滤系统用过滤路由器进行包过滤用双宿主主机进行包过滤用堡垒主机进行包过滤 57 IP过滤路由器双宿主主机防火墙 Internet 内部网 外部网 防火墙 Internet R 内部网 外部网 路由器 58 包过滤的优点 一个包过滤路由器即可保护整个网络不需要用户软件支撑 不需要对用户作特别培训包过滤产品比较容易获得包过滤的缺点 包过滤规则配置比较困难对包过滤规则配置的测试比较麻烦包过滤功能有种种局限性 59 状态检测防火墙 包过滤防火墙局限性 包过滤防火墙只通过简单的规则控制数据流的进出 没考虑高层的上下文信息具有未授权用户可利用的漏洞通过建立一个出网的TCP连接目录而加强TCP数据流的检测规则报文过滤机制只允许那些和目录中某个连接匹配的数据流通过防火墙 60 应用级网关型防火墙 应用级网关 ApplicationLevelGateways 是在网络应用层上建立协议过滤和转发功能 它针对特定的网络应用服务协议使用指定的数据过滤逻辑 并在过滤的同时 对数据包进行必要的分析 登记和统计 形成报告 数据包过滤和应用网关防火墙有一个共同的特点 就是它们仅仅依靠特定的逻辑判定是否允许数据包通过 一旦满足逻辑 则防火墙内外的计算机系统建立直接联系 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态 这有利于实施非法访问和攻击 61 应用级网关 ApplicationLevelGateway 建立在网络应用层上基于主机的协议过滤 转发器 在用户和应用层之间提供访问控制 Internet 应用程序网关 62 HTTP网关 端口号要访问的端口号限制时间检查限制时间 结束用户访问最大进程个数能访问的进程个数要切断的ContentsContents JavaApplet JavaScript ActiveX 63 前三种防火墙的比较 包过滤防火墙 状态检测防火墙 应用层防火墙 64 代理服务型防火墙 代理服务 ProxyService 也称电路级网关或TCP通道 CircuitLevelGatewaysorTCPTunnels 也有人将它归于应用级网关一类 它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术 其特点是将所有跨越防火墙的网络通信分为两段 防火墙内外计算机系统间应用