《网络新技术专题》PPT课件

计算机网络ComputerNetwork,2020年5月21日,2,计算机网络-刘桂江,课程目录,第1章概述第2章物理层与数据通信基础第3章数据链路层第4章局域网第5章网络层第6章网络互联技术第7章传输层第8章应用层第9章网络管理与信息安全第10章网络新技术专题,3,计算机网络-刘桂江,10.1虚拟局域网VLAN10.2下一代IP:IPv610.3虚拟专用网VPN10.4IP组播技术10.5移动IP技术,第10章网络新技术专题,4/51,计算机网络-刘桂江,10.1虚拟局域网VLAN,10.1.1虚拟局域网的概念10.1.2虚拟局域网的技术特性和优点10.1.3VLAN的技术标准10.1.4划分虚拟局域网的方法10.1.5VLAN的互联,5/51,计算机网络-刘桂江,10.1.1虚拟局域网的概念（1/2）,产生背景一个局域网上的广播数据包都可以被该网段上的所有设备收到，而无论这些设备是否需要。从安全性的角度看，不同部门的机器不能混用一个以太网段，以防止数据窃听。,6/51,计算机网络-刘桂江,10.1.1虚拟局域网的概念（2/2）,虚拟局域网的概念：VLAN（VirtualLocalAreaNetwork）即虚拟局域网，是一种通过将局域网内的设备逻辑地划分成一个个网段从而实现虚拟工作组的新兴技术。VLAN是在交换局域网的基础上，采用网络管理软件构建的逻辑网络。一个VLAN组成一个逻辑广播域。可以把同一台交换机上的用户划分在不同的VLAN中，也可以把位于不同交换机上的用户主机划分在同一个VLAN中。,7/51,计算机网络-刘桂江,10.1.2虚拟局域网的技术特性和优点,VLAN的技术特性：灵活的、软定义的、边界独立于物理媒质的设备群广播流量被限制在软定义的边界内，提高了网络的安全性在同一个VLAN的成员之间提供低延迟、线速的通信VLAN的优点：提高了网络管理效率建立虚拟工作组限制广播包提高网络整体安全性网络管理简单、直观,8/51,计算机网络-刘桂江,10.1.3VLAN的技术标准,IEEE802.10IEEE802.10标准原来是为了安全因素而提出的一种帧标签格式。1995年Cisco公司提倡使用IEEE802.10协议。在此之前，IEEE802.10曾经在全球范围内作为VLAN安全性的统一规范。IEEE802.1Q它是为了在不同厂商生产的设备之间交流VLAN信息而制定的局域网物理帧的改进标准。CiscoISL标签ISL（Inter-SwitchLink）是Cisco公司的专有封装方式，因此仅在Cisco的设备上支持。VTP（VLANTrunkingProtocol）VTP是一种通过Trunk（链路聚合）来进行VLAN管理的协议，属于客户/服务器方式。,9/51,计算机网络-刘桂江,10.1.4划分虚拟局域网的方法（1/4）,1、根据端口划分VLAN端口分组是定义虚拟局域网成员最常用的方法，而且配置也相当直截了当。缺点：当用户从一个端口移动到另一个端口的时候网络管理员必须重新配置虚拟局域网成员。,10/51,计算机网络-刘桂江,2、根据MAC地址划分VLAN即对每个MAC地址的主机都配置它属于哪个组。优点：由于MAC地址是固化到工作站的网卡上的，所以基于MAC地址的VLAN使网络管理者能够把网络上的工作站移动到不同的实际位置，而且可以让这台工作站自动地保持它原有的VLAN成员资格。缺点：要求所有的主机必须初始手工配置在至少一个VLAN中。,10.1.4划分虚拟局域网的方法（2/4）,11/51,计算机网络-刘桂江,3、基于第三层的VLAN基于第三层信息的VLAN在确定其成员时考虑协议类型（如果多协议得到支持）或网络层地址（如IP地址）。优点：它根据协议类型实现分区。用户可以实际地移动他们的工作站而不必重新配置每台工作站的网络地址。在第三层定义VLAN可以消除为了在交换机之间传达VLAN成员信息对数据帧标记的需求，减少了经常性的传输开销。缺点：使用第三层信息定义VLAN的交换机一般要比使用第二层信息的交换机运行得慢些。,10.1.4划分虚拟局域网的方法（3/4）,12/51,计算机网络-刘桂江,10.1.4划分虚拟局域网的方法（4/4）,4、根据IP组播划分VLAN当一个IP数据包通过多点传输发送时，他被送到显示定义的一组IP地址的代理地址中去。这些IP地址是动态设置的。优点：它的动态特性产生了非常高的灵活性和应用灵敏度。具有一种跨越路由器、因而跨越广域网连接的固有能力。,注意：不同VLAN之间的数据传输需要通过网络层的路由实现。,13/51,计算机网络-刘桂江,10.1.5VLAN的互联,1、接入链路（AccessLink）用来将非VLAN标识的工作站或者非VLAN成员资格的VLAN设备接入一个VLAN交换机端口的一个LAN网段。2、中继链路（TrunkLink）是指承载标记数据的干线链路，只能支持那些理解VLAN帧格式和VLAN成员资格的VLAN设备。中继链路最通常的实现就是连接两个VLAN交换机的链路。3、混合链路（HybridLink）是接入链路和中继链路混合所组成的链路。,14/51,计算机网络-刘桂江,10.2下一代IP：IPv6,10.2.1IPv6的导入背景10.2.2IPv6地址体系结构10.2.3IPv6协议基本首部10.2.4IPv6协议扩展报头10.2.5从IPv4向IPv6过渡,15/51,计算机网络-刘桂江,10.2.1IPv6的导入背景,IPv6是继IPv4以后的互联网协议，是下一代互联网协议IPv6与IPv4相比，新增了许多功能：IPv6提供巨大的地址空间IPv6具有与网络适配的层次地址可靠的安全功能保障提供更高的服务质量保证即插即用（Plug&Play）功能移动性能的改进,16/51,计算机网络-刘桂江,10.2.2IPv6地址体系结构(1/2),IPv6地址的文本表示方式首选格式2001:0250:540a:0041:0000:0000:0000:0010压缩格式2001:250:540a:41:10（最多出现一个:）内嵌IPv4地址的IPv6地址:192.168.1.9（兼容IPv4的IPv6地址）:ffff:192.168.1.9（映射IPv4的IPv6地址）IPv6地址前缀的文本表示用“地址/前缀长度”来表示，如215E:0000:0000:AD20:0000:0000:0000:0000/60215E:AD20:0:0:0:0/60215E:0:0:AD20:/60,17/51,计算机网络-刘桂江,10.2.2IPv6地址体系结构(2/2),IPv6地址分类单播地址寻址到单播地址的数据包最终会被发送到一个唯一的接口。多播地址又称为组播地址，是指一个源节点发送的单个数据包能被特定的多个目的节点接收到。任播地址用来标识一组网络接口（目的地址是任播地址的数据包将被发送给其中路由意义上最近的一个网络接口）。,18/51,计算机网络-刘桂江,10.2.3IPv6协议基本首部,IPv6将首部长度变为固定的40字节，称为基本首部，其中包括：,19/51,计算机网络-刘桂江,10.2.4IPv6协议扩展首部,IPv6数据报在基本首部的后面允许有零个或多个扩展首部（ExtensionHeader），再后面是数据。IPv6将所有的可选项都移出IPv6报头，置于扩展头中，增强了IPv6的功能。逐跳选项报头（Hop-by-Hopheader）源路由选择报头（Routingheader）分段报头（fragmentheader）目的地选项报头（destinationoptionheader）认证报头（authenticationheader）加密安全负载报头（encapsulationsecuritypayloadheader）路由器按照报文中扩展头出现的顺序依次进行处理,20/51,计算机网络-刘桂江,10.2.5从IPv4向IPv6过渡(1/3),为了实现IPv4网络向IPv6网络的过渡，IETF成立了下一代互联网过渡工作组（NextGenerationTransition，NGTrans），研究IPv4到IPv6的转换问题，现己提出了多种过渡技术。1、双协议栈技术双协议栈技术是在设备上（如一个主机或一个路由器）同时启用IPv4和IPv6协议栈。双协议栈技术互通性好，并且易于理解。其缺点是只能用于双协议栈节点本身，且每个IPv6节点都需要IPv4地址，它并不能解决IPv4地址短缺的问题。,21/51,计算机网络-刘桂江,10.2.5从IPv4向IPv6过渡(2/3),2、隧道技术隧道是指将一种协议封装到另外一种协议中以实现互联目的的机制。,22/51,计算机网络-刘桂江,10.2.5从IPv4向IPv6过渡(3/3),3、网络地址转换/协议转换技术（NAT-PT）NAT-PT是附带协议转换器的网络地址转换器，可以看作是IPv6网络与IPv4网络之间的网关，通过修改协议报头来转换网络地址，使它们能够互通。NAT-PT使用一个IPv4的地址池动态地为IPv6节点分配地址，NAT-PT将IPv6的地址与IPv4的地址进行绑定，反之依然。,23/51,计算机网络-刘桂江,10.3虚拟专用网VPN,10.3.1VPN出现的背景10.3.2VPN的工作原理10.3.3VPN的特点10.3.4VPN的实现技术,24/51,计算机网络-刘桂江,10.3.1VPN出现的背景,VPN技术使企业能够在公共网络上创建自己的专用网络。VPN有两层含义：首先，它是虚拟的网络，即没有固定的物理连接，网络只在用户需要时才建立；其次，它是利用公共网络设施构成的专用网。,25/51,计算机网络-刘桂江,10.3.2VPN的工作原理,VPN的工作过程A作为发起方向B发出VPN连接的请求。首先，A与B通过IKE过程在应用层协商一组用来加密通信的密钥信息，然后，A与B就可以在协商成功后的一段时间应用这组密钥信息进行安全协议下的加密的可靠的通信。VPN实现的几种方式PPTP协议（Point-to-PointTunnelingProtocol，点到点隧道协议）L2TP协议（LayerTwoTunnelingProtocol，第二层隧道协议）IPSec安全协议（IPsecurityProtocol，IP安全协议）MPLS（Multi-ProtocolLabelswitching，多协议标记交换）SSL（securitysocketlayer，安全套接字层）,26/51,计算机网络-刘桂江,10.3.3VPN的特点,通信安全VPN使用隧道技术、加解密技术、密钥管理技术、用户与设备身份认证技术保证了通信的安全性。成本低覆盖地域广泛可扩展性强由于Internet的广泛存在，应用VPN技术可以非常方便地增加或减少用户。便于管理企业或部门可以将VPN的解决方案外包给运营商，将全部精力集中到自身的发展上。VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。,27/51,计算机网络-刘桂江,10.3.4VPN的实现技术,1、安全隧道技术通过将待传输的原始信息经过加密和封装处理后，再嵌套装入另一种协议的数据包并送入网络中，像普通数据包一样进行传输。2、密码技术3、认证技术认证技术防止对数据的伪造和篡改。4、网络访问控制技术网络访问控制技术对出入局域网的数据包进行过滤，即传统的防火墙功能。,28/51,计算机网络-刘桂江,10.4IP组播技术,10.4.1组播的概念10.4.2组播组和组播地址10.4.3组管理协议：IGMP10.4.4组播路由协议10.4.5组播应用和发展,29/51,计算机网络-刘桂江,10.4.1组播的概念,组播是在发送者和每一个接收者之间实现点到多点的网络连接，是指一个发送者将数据包同时发送给多个接收者的通信方式IP组播通信介于IP单播和IP广播通信之间，并且能使主机发送IP信息包到IP网络中任何一组特定的主机上支持组播的路由器会转发IP组播信息包至所有具有该组播地址的主机的接口上网络在每个接收者的最后可能存在的一跳复制组播包，在一个给定的网络上每个包只存在一次,30/51,计算机网络-刘桂江,10.4.2组播组和组播地址,组播组是指某系统或用户指定方式下协同工作的多个节点的集合组播组内的节点称为组播组的成员，即成员节点。成员节点可以动态地加入或者离开组播组IP地址方案专门为组播划出一个地址范围，在IPv4中为D类地址，范围是224.0.0.0到239.255.255.255组播地址有局部链接组播地址、预留组播地址、管理权限组播地址,31/51,计算机网络-刘桂江,10.4.3组管理协议：IGMP,因特网组管理协议在组播主机与其直接相连的路由器之间建立一种通信机制，报告主机成员关系，以完成组播用户组的管理IGMPv1：消息格式、查询过程、报告抑制机理，查询路由器、加入过程和离开过程IGMPv2：克服了在实验中发现的IGMPv1的缺点，增加了一些新特性IGMPv3：加入“源过滤”机制,32/51,计算机网络-刘桂江,10.4.4组播路由协议,组播必须借助特殊的组播路由器来实现组播路由器每隔一定的时间就向其所在的LAN上的主机发送一条链路层组播消息。主机收到这些消息之后，回送应答消息，在应答消息中报告它们愿意接收哪些组的组播消息主要的组播路由协议距离向量组播路由协议开放最短路径组播协议核心基干树协议协议无关模式域间组播路由组播源发现协议,33/51,计算机网络-刘桂江,10.4.5组播应用和发展,典型的组播应用领域军事多媒体应用数据分发实时数据的组播网络游戏组播研究工作组Multicast&Anycastgroupmembership（Magma）Source-SpecificMulticast（SSM）MulticastSecurity（MSEC）ReliableMulticast（RMT）GroupSecurity（GSEC）,34/51,计算机网络-刘桂江,10.5移动IP技术,10.5.1移动IP协议概述10.5.2代理发现10.5.3移动IP中的注册10.5.4移动IP的路由10.5.5移动IP的基本操作过程,35/51,计算机网络-刘桂江,10.5.1移动IP协议概述(1/6),1.用户移动性问题用户移动程度不同，在网络设计时需要解决的问题也不同，其程度取决于他在网络连接点之间如何移动，是否需要保持网络连接。,36/51,计算机网络-刘桂江,10.5.1移动IP协议概述(2/6),2.移动中的IP地址问题移动IP技术就是以应用透明的方式为移动计算机用户提供无缝移动和“网络漫游”服务，使他们从一个地方到另一个地方，保持IP地址固定而不中断网络连接，获得如同在本地网络中一样的服务。例如：你正在飞驰的列车上通过无线网络接入你公司的VPN来查看今天的财务报表。我们知道，在TCP/IP的网络通信过程中IP地址必须保持，否则通信将重新开始。试想，当列车穿越到另一个无线网络的覆盖区域而你必须要更改你的IP地址时，你只能从公司的VPN中退出，当获得新的IP地址后，你需要重新登陆VPN再重新打开财务报表。当列车穿越多个无线网络时，你所作的工作就只能是退出、登陆、再退出，而无法完成正常工作。可见在这样一个应用需求的前提下，保持一个IP地址的固定是多么的重要。,37/51,计算机网络-刘桂江,10.5.1移动IP协议概述(3/6),3.移动IP中的基本概念基本概念(1)本地网络(HomeNetwork),在网络环境下，移动节点的固定“居所”，在图10.2中，指的是172.16.1.0/24。(2)本地地址(HomeAddress)，流动青年固定的家庭住址，由节点所属的本地网络分配的固定IP地址，在整个移动过程和通信过程中保持不变，使得移动节点在逻辑上看上去始终在本地网络上，图中是172.16.1.3。,38/51,计算机网络-刘桂江,10.5.1移动IP协议概述(4/6),(3)本地代理(HomeAgent)，位于本地网上的一个路由器，维持移动节点当前位置信息的列表，当移动节点不在本地网时，按照移动节点当前位置信息将相关的数据包转发给移动节点所在外部网上的一个路由器，为移动节点提供默认路由服务。在图中指的是本地网络的边缘路由器。(4)外部网络(ForeignNetwork),在网络环境下，移动节点流动的临时“居所”，图中是10.1.1.0/24。,39/51,计算机网络-刘桂江,10.5.1移动IP协议概述(5/6),(5)转交地址(CareofAddress，COA)，又称外部地址，流动青年当前房屋的住址。移动节点在外部网络中的IP地址，即10.1.1.18。(6)外地代理(ForeignAgent)，位于外部网上的一个路由器，为移动节点提供默认路由服务，负责将移动节点的当前位置向本地网(本地代理)通告和注册，以及为来自本地代理转发给移动节点的数据包提供最后的传送服务。在图中指的是外部网络的边缘路由器。(7)通信者(Correspondent)，是希望与移动节点通信的实体。,40/51,计算机网络-刘桂江,10.5.1移动IP协议概述(6/6),移动标准由三个部分组成：(1)代理发现(AgentDiscovery)，定义了本地代理或外部代理向移动节点通告其服务所使用的协议，以及移动节点请求外部代理或本地代理的服务所使用的协议。(2)向本地代理注册(Registrationwiththehomeagent)，定义了移动节点与外部代理向移动节点的本地代理注册或取消注册COA所使用的协议。(3)数据报间接选路(Indirectroutingofdatagram)，定义了本地代理转发数据报给移动节点的方法，包括转发数据报使用的规则、处理差错情况的规则和几种不同的封装形式。,41/51,计算机网络-刘桂江,10.5.2代理发现(1/2),代理发现机制可以使移动节点发现所处网络中的代理实体，通过代理实体提供的信息判断自己当前所在的网络是本地网络还是外地网络，当移动节点处于外地网络时，代理发现机制可以提供一个临时的转交地址。代理发现可以通过代理通告或代理请求两种方式来实现。1.代理通告代理通告是指移动代理使用路由器发现协议向外通告它的存在。代理周期性地在所连接的链路上广播一个路由器发现的扩展ICMP报文，就相当于说代理定期的在网络上向所有节点发布消息“我是代理，我在这”。,42/51,计算机网络-刘桂江,10.5.2代理发现(2/2),移动节点监听代理在网络上广播的代理公告消息，根据收到的代理公告判断自己当前的位置。如果它发现自己在本地网上，则继续以正常方式工作。当移动节点判断出自己在外部网时，通过接收到的代理公告信息，获得一个临时的转交地址。2.代理请求代理请求是指移动节点不等待接收代理通告，主动在所处网络中广播一个类型为10的ICMP报文，即代理请求报文。收到该请求后，代理将直接向该移动节点单播一个代理通告，当移动节点收到该通告后，就像收到一个未经请求的代理通告一样，后续过程同上。,43/51,计算机网络-刘桂江,10.5.3移动IP中的注册(1/3),移动IP中的注册是指移动节点与外部代理向移动节点的本地代理注册或取消注册COA的过程。(1)外部代理周期性发送代理通告广播，并被新加入网络移动节点收到。(2)移动节点收到外部代理的通告以后，会在报文中选择一个转交地址，图中为10.1.1.18。为了保证这个转交地址不再被分配给其它的移动节点，该节点必须向外部代理发送IP注册报文，开始注册请求。,注册报文中包括其获得的转交地址(10.1.1.18)、节点的本地地址(172.16.1.3)、本地代理地址(172.16.1.1)以及请求注册的时间和注册标识。,44/51,计算机网络-刘桂江,10.5.3移动IP中的注册(2/3),(3)外部代理接收注册请求报文，记录移动节点的本地IP地址。同时外部代理也获得了移动节点的本地代理的IP地址。通过这个地址，外部代理向本地网络的本地代理发送一个移动IP注册报文。该报文中包含移动节点的转交地址(10.1.1.18)、本地地址(172.16.1.3)、本地代理地址(172.16.1.1)、外部代理地址(10.1.1.1)以及注册时间和注册标识。,45/51,计算机网络-刘桂江,10.5.3移动IP中的注册(3/3),(4)本地代理接收外部代理注册请求并验证真伪，同时把移动节点的转交地址和本地地址绑定在一起,形成10.1.1.18与172.16.1.3的地址对。然后，本地代理向外部代理发送注册响应消息。此后，发往本地地址的数据包将被本地代理转发给转交地址对应的移动节点。(5)外部代理接收到来自本地代理的注册响应消息后，将移动节点加入其来访者列表，并向移动节点转发注册响应消息。,46/51,计算机网络-刘桂江,10.5.4移动IP的路由(1/4),当通信者向移动节点发送数据包时，也可以采取间接选路和直接选路的两种方式。下面我们重点讨论一下间接选路的过程。(1)如图10.5所示，当通信者需要与移动节点通信时，它发送一个IP包到移动节点，该数据包的目的地址为移动节点的本地地址172.