网络互连设备及技术.ppt

《网络互连设备及技术.ppt》由会员分享，可在线阅读，更多相关《网络互连设备及技术.ppt（47页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络互连的基本概念网络互连的基本概念l网络互连（网络互连（Internetworking）是指将分布在）是指将分布在不同地理位置的网络、设备相连接，以构成更不同地理位置的网络、设备相连接，以构成更大规模的互连网络系统，并实现互连网络资源大规模的互连网络系统，并实现互连网络资源的共享；的共享；l互连的网络和设备可以是同种类型的网络、不互连的网络和设备可以是同种类型的网络、不同类型的网络，以及运行不同网络协议的设备同类型的网络，以及运行不同网络协议的设备与系统。与系统。典型网络互连设备典型网络互连设备交换机交换机局域网交换机的工作原理（续）局域网交换机的工作原理（续）l以以A A机器向机器向C C

2、机器发送数据包为例：机器发送数据包为例：A A机器向控机器向控制单元发送一个数据帧，控制单元截取该数制单元发送一个数据帧，控制单元截取该数据帧的首部，该帧的首部包括了目标机器的据帧的首部，该帧的首部包括了目标机器的MACMAC地址，控制单元将到交换表中查询该地址，控制单元将到交换表中查询该MACMAC地址对应的端口信息，然后将该数据帧从地址对应的端口信息，然后将该数据帧从C C机机器所对应的端口发送到器所对应的端口发送到C C机器。机器。局域网交换机的技术特点局域网交换机的技术特点l低交换延迟低交换延迟l支持不同的传输速率和工作模式支持不同的传输速率和工作模式l支持虚拟局域网服务支持虚拟局域网

3、服务 典型网络互连设备典型网络互连设备网桥网桥网桥的应用环境网桥的应用环境：l一个单位的多个部门局域网的互连；一个单位的多个部门局域网的互连；l办公楼之间局域网的互连；办公楼之间局域网的互连；l将数千台计算机按地理位置或组织关系划分将数千台计算机按地理位置或组织关系划分为多个子网的互连；为多个子网的互连；l超过单个局域网的最大覆盖范围的多个局域超过单个局域网的最大覆盖范围的多个局域网互连；网互连；l企业中部门的信息对安全、保密方面要求不企业中部门的信息对安全、保密方面要求不同的局域网互连。同的局域网互连。网桥的基本特征网桥的基本特征 l网桥在数据链路层上实现局域网互连；网桥在数据链路层上实现局

4、域网互连；l网桥能够互连两个采用不同数据链路层协议、网桥能够互连两个采用不同数据链路层协议、不同传输介质与不同传输速率的网络；不同传输介质与不同传输速率的网络；l网桥以接收、存储、地址过滤与转发的方式网桥以接收、存储、地址过滤与转发的方式实现互连的网络之间的通信；实现互连的网络之间的通信；l网桥需要互连的网络在数据链路层以上采用网桥需要互连的网络在数据链路层以上采用相同的协议；相同的协议；l网桥可以分隔两个网络之间的广播通信量，网桥可以分隔两个网络之间的广播通信量，有利于改善互连网络的性能与安全性。有利于改善互连网络的性能与安全性。网桥的分类网桥的分类 l透明网桥透明网桥 透明网桥由各网桥自己

5、来决定路由选择，局域透明网桥由各网桥自己来决定路由选择，局域网上的各结点不负责路由选择；网上的各结点不负责路由选择；l源路选网桥源路选网桥 源路选网桥由发送帧的源结点负责路由选择。源路选网桥由发送帧的源结点负责路由选择。网桥与广播风暴网桥与广播风暴 典型网络互连设备典型网络互连设备路由器路由器l路由器是在网络层上实现多个网络互连的设备；路由器是在网络层上实现多个网络互连的设备；l局域网的数据链路层与物理层可以是不同的，局域网的数据链路层与物理层可以是不同的，但数据链路层以上的高层要采用相同的协议；但数据链路层以上的高层要采用相同的协议；l路由器可以有效地隔离多个局域网的广播通信路由器可以有效地

6、隔离多个局域网的广播通信量，每一个局域网都是独立的子网。量，每一个局域网都是独立的子网。路由器的工作原理路由器的工作原理 具体步骤具体步骤l第一步：当数据包到达路由器，根第一步：当数据包到达路由器，根据网络物理接口的类型，路由器调用据网络物理接口的类型，路由器调用相应的链路层功能模块，以解释处理相应的链路层功能模块，以解释处理此数据包的链路层协议报头。主要是此数据包的链路层协议报头。主要是对数据的完整性进行验证，如对数据的完整性进行验证，如CRCCRC校校验、帧长度检查等。验、帧长度检查等。具体步骤（续）具体步骤（续）l第二步：在链路层完成对数据帧的完整第二步：在链路层完成对数据帧的完整性验证

7、后，路由器开始处理此数据帧的性验证后，路由器开始处理此数据帧的IPIP层。根据数据帧中层。根据数据帧中IPIP包头的目的包头的目的IPIP地地址，路由器在路由表中查找下一跳的址，路由器在路由表中查找下一跳的IPIP地址；同时，地址；同时，IPIP数据包头的数据包头的TTLTTL（Time Time To LiveTo Live）域开始减数，并重新计算校）域开始减数，并重新计算校验和（验和（ChecksumChecksum）。）。具体步骤（续）具体步骤（续）l第三步：根据路由表中所查到的下一第三步：根据路由表中所查到的下一跳跳IPIP地址，将地址，将IPIP数据包送往相应的输数据包送往相应的输出

8、链路层，被封装上相应的链路层包出链路层，被封装上相应的链路层包头，最后经输出网络物理接口发送出头，最后经输出网络物理接口发送出去。去。多协议路由器的工作原理多协议路由器的工作原理 典型的路由器产品典型的路由器产品 lCiscoCisco公司的公司的CiscoCisco系列路由器系列路由器l3Com3Com公司的公司的Office Connect NetBuilderOffice Connect NetBuilder系列系列lNortelNortel公司的公司的AccelarAccelar系列系列lIntelIntel公司的公司的Express RouterExpress Router系列系列l

9、华为公司的华为公司的QuidwayQuidway系列系列 lTP-LINKTP-LINKlD-LINKD-LINK典型企业典型企业网结构网结构 实际问题实际问题l究竟有多少方法实现内网和外网间的互联？问题的关键问题的关键l代理服务器l路 由 器路由器与代理服务器的比较路由器与代理服务器的比较l从性能稳定的角度从性能稳定的角度l从价格角度从价格角度l从组网方便角度从组网方便角度l从故障发生角度从故障发生角度家庭组建宽带无线网络家庭组建宽带无线网络典型网络互连设备典型网络互连设备网关网关 网关的基本类型网关的基本类型 l网关通过使用适当的硬件与软件实现不同网络协议之间的转换功能；l硬件提供不同网络

10、的接口，软件实现不同互连网协议之间的转换。网关实现协议转换的方法网关实现协议转换的方法 l网关直接将输入网络的信息包的格式转换成输网关直接将输入网络的信息包的格式转换成输出网络信息包的格式；出网络信息包的格式；l首先制定一种标准的网间信息包格式，网关在首先制定一种标准的网间信息包格式，网关在输入端将输入网络信息包格式转换成标准网间输入端将输入网络信息包格式转换成标准网间信息包格式，在输出端再将标准网间信息包格信息包格式，在输出端再将标准网间信息包格式转换成输出网络信息包格式。式转换成输出网络信息包格式。防火墙技术防火墙技术l防火墙：防火墙：是计算机网络之间的一种特殊的访问控是计算机网络之间的一

11、种特殊的访问控制设备，是设置在被保护网络和外部网络之间的制设备，是设置在被保护网络和外部网络之间的一道屏障。一道屏障。l 防火墙具有下列特征：防火墙具有下列特征：l所有从内到外和从外到内的通信量都必须经所有从内到外和从外到内的通信量都必须经过防火墙。过防火墙。l只有被认可的通信量，通过本地安全策略进只有被认可的通信量，通过本地安全策略进行定义后，才允许传递。行定义后，才允许传递。l防火墙对于渗透是免疫的，即本身是不可穿防火墙对于渗透是免疫的，即本身是不可穿透的。透的。防火墙体系结构防火墙体系结构l屏蔽路由器屏蔽路由器 （Screening RouterScreening Router）l双宿主

12、机网关双宿主机网关 （Dual Homed Gateway Dual Homed Gateway）l被屏蔽主机网关被屏蔽主机网关 （Screened Host GatewayScreened Host Gateway）单宿堡垒机单宿堡垒机 双宿堡垒机双宿堡垒机l被屏蔽子网被屏蔽子网 （Screened SubnetScreened Subnet）屏蔽路由器（屏蔽路由器（Screening Router）双宿主机网关（双宿主机网关（Dual Homed Gateway）性能分析性能分析l双宿主机用两个网络适配器分别连接两个双宿主机用两个网络适配器分别连接两个网络，又称堡垒主机。堡垒主机上运行着网

13、络，又称堡垒主机。堡垒主机上运行着防火墙软件防火墙软件（通常是（通常是代理服务器代理服务器），可以），可以转发应用程序，提供服务等。双宿主机网转发应用程序，提供服务等。双宿主机网关有一个致命弱点，一旦入侵者侵入堡垒关有一个致命弱点，一旦入侵者侵入堡垒主机并使该主机只具有路由器功能，则任主机并使该主机只具有路由器功能，则任何网上用户均可以随便访问有保护的内部何网上用户均可以随便访问有保护的内部网络网络 。被屏蔽主机网关（单宿堡垒主机）被屏蔽主机网关（单宿堡垒主机）性能分析性能分析l堡垒主机只有一个网卡，与内部网络连接。堡垒主机只有一个网卡，与内部网络连接。通常在路由器上设立过滤规则，并使这个通常

14、在路由器上设立过滤规则，并使这个单宿堡垒主机成为从单宿堡垒主机成为从InternetInternet惟一可以访惟一可以访问的主机，确保了内部网络不受未被授权问的主机，确保了内部网络不受未被授权的外部用户的攻击。而的外部用户的攻击。而IntranetIntranet内部的客内部的客户机，可以受控制地通过屏蔽主机和路由户机，可以受控制地通过屏蔽主机和路由器访问器访问InternetInternet。性能分析性能分析l在提供直接的因特网访问方面提供了灵在提供直接的因特网访问方面提供了灵活性，如路由器可以配置成允许活性，如路由器可以配置成允许WebWeb服务服务器和因特网之间有直接的数据通信量。器和因

15、特网之间有直接的数据通信量。l如果分组过滤器被攻破，则因特网和专如果分组过滤器被攻破，则因特网和专用网中的通信量就可以直接通过路由器用网中的通信量就可以直接通过路由器而进入内部网。而进入内部网。被屏蔽主机网关（双宿堡垒主机）被屏蔽主机网关（双宿堡垒主机）性能分析性能分析l双宿堡垒主机型与单宿堡垒主机型的双宿堡垒主机型与单宿堡垒主机型的区别是，堡垒主机有两块网卡，一块区别是，堡垒主机有两块网卡，一块连接内部网络，一块连接包过滤路由连接内部网络，一块连接包过滤路由器。双宿堡垒主机在应用层提供代理器。双宿堡垒主机在应用层提供代理服务，与单宿型相比更加安全。服务，与单宿型相比更加安全。被屏蔽子网（被屏

16、蔽子网（Screened Subnet）性能分析性能分析l使使用用了了两两个个分分组组过过滤滤路路由由器器，一一个个在在堡堡垒垒主主机机和和因因特特网网之之间间，另另一一个个在在堡堡垒垒主主机机和和内内部部网网之之间间。这这样样就就创创建建了了一一个个被被隔隔离离的的子子网网，称称为为非非军军事事区区DMZDMZ。因因特特网网和和内内部部网网都都有有DMZDMZ子子网网上上主主机机的的访访问问权利，但是穿越权利，但是穿越DMZDMZ子网的通信量将被阻断。子网的通信量将被阻断。这种配置的优点：这种配置的优点：l有有三级防卫措施三级防卫措施来抵抗入侵者。来抵抗入侵者。l外外部部的的路路由由器器只只

17、对对因因特特网网通通告告屏屏蔽蔽子子网网DMZDMZ的的存存在在，因因此此，内部网对于因特网是内部网对于因特网是不可见不可见的。的。l内内部部路路由由器器只只对对内内部部网网络络通通告告屏屏蔽蔽子子网网的的存存在在，因因此此，内部网络中的系统不能构造到因特网的直接通信内部网络中的系统不能构造到因特网的直接通信。防火墙的一种常用配置防火墙的一种常用配置n 两个路由器：两个路由器：根据某种规则表，进行包过滤。根据某种规则表，进行包过滤。n 一个应用网关：审查应用层信息。一个应用网关：审查应用层信息。防火墙产品选购策略防火墙产品选购策略l防火墙的安全性防火墙的安全性l防火墙的高效性防火墙的高效性l防

18、火墙的适用性防火墙的适用性l防火墙的可管理性防火墙的可管理性l完善及时的售后服务体系完善及时的售后服务体系典型防火墙产品介绍典型防火墙产品介绍Cisco PIX防火墙l实时嵌入式操作系统。实时嵌入式操作系统。l保保护护方方案案基基于于自自适适应应安安全全算算法法（ASAASA），可可以确保最高的安全性。以确保最高的安全性。l用于验证和授权的用于验证和授权的“直通代理直通代理”技术。技术。l最多支持最多支持250 000250 000个同时连接。个同时连接。lURLURL过滤。过滤。典型防火墙产品介绍典型防火墙产品介绍3Com Office Connect Firewall3Com Office

19、 Connect Firewalll新新增增的的网网络络管管理理模模块块使使技技术术经经验验有有限限的的用用户户也也能保障他们的商业信息的安全。能保障他们的商业信息的安全。lOffice Office Connect Connect Internet Internet Firewall Firewall 2525使使用用全全静静态态数数据据包包检检验验技技术术来来防防止止非非法法的的网网络络接接入入和和防防止止来来自自InternetInternet的的“拒拒绝绝服服务务”攻攻击击，它它还还可可以以限限制制局局域域网网用用户户对对InternetInternet的的不不恰恰当当使使用。用。选读

20、：第三层交换技术与应用选读：第三层交换技术与应用 l增加网络带宽与提高网络服务质量的解决途径增加网络带宽与提高网络服务质量的解决途径可以有两个：一是采用光纤作为传输介质可以有两个：一是采用光纤作为传输介质，增增加传输通道的带宽加传输通道的带宽；二是研究出性能更优越的二是研究出性能更优越的路由器产品，提高网络数据交换能力路由器产品，提高网络数据交换能力;l高性能的网络路由器设备是网络硬件制造商重高性能的网络路由器设备是网络硬件制造商重点研究的问题之一点研究的问题之一;l将交换机制引入路由器的设计中，大幅度缩短将交换机制引入路由器的设计中，大幅度缩短路由器对数据包的处理时间，提高网络数据交路由器对

21、数据包的处理时间，提高网络数据交换能力，由此产生了第三层交换的概念。换能力，由此产生了第三层交换的概念。4.4.2 网桥、交换机与第二层交换网桥、交换机与第二层交换 l局域网交换机与传统的集线器相比较，具有低数据局域网交换机与传统的集线器相比较，具有低数据传输延迟、高传输带宽的明显优点；传输延迟、高传输带宽的明显优点；l网桥的数据帧转发功能是通过软件来实现的，而局网桥的数据帧转发功能是通过软件来实现的，而局域网交换机的数据帧转发功能是通过硬件来实现的；域网交换机的数据帧转发功能是通过硬件来实现的；l局域网交换机可以起到网桥的作用，同时又具有低局域网交换机可以起到网桥的作用，同时又具有低交换传输

22、延迟、高传输带宽的优点；交换传输延迟、高传输带宽的优点；l通过硬件结构，使得局域网交换机的数据帧处理的通过硬件结构，使得局域网交换机的数据帧处理的延迟时间由网桥的几百个延迟时间由网桥的几百个ss减少到几十减少到几十ss。4.4.3 第三层交换技术与产品第三层交换技术与产品 第三层交换技术第三层交换技术：l将局域网交换机的设计思想应用在路由器的设计中，将局域网交换机的设计思想应用在路由器的设计中，就出现了第三层交换的概念就出现了第三层交换的概念 ；l传统的路由器通过软件来实现路由选择功能，而第传统的路由器通过软件来实现路由选择功能，而第三层交换的路由器通过专用集成电路芯片来实现路三层交换的路由器

23、通过专用集成电路芯片来实现路由选择功能，将数据包处理时间从传统路由器的几由选择功能，将数据包处理时间从传统路由器的几千千ss减少到几十减少到几十ss，大大缩短数据包在交换设备，大大缩短数据包在交换设备中的传输延迟时间；中的传输延迟时间；l通过硬件来实现第三层交换的路由器，在网络层协通过硬件来实现第三层交换的路由器，在网络层协议类型上受到一定的限制。议类型上受到一定的限制。典型的第三层交换产品典型的第三层交换产品 lCabletronCabletron公司的公司的Smart SwitchSmart Switch系列路由器系列路由器 lFoundryFoundry公司的公司的Big IronBig

24、 Iron系列与系列与SererIronSererIron系列交系列交换机换机lPacketEnginesPacketEngines公司的公司的PowerRailPowerRail系列交换式路由系列交换式路由器器lCiscoCisco公司的公司的40004000系列、系列、50005000系列、系列、60006000系列与系列与80008000系列交换式路由器系列交换式路由器 本章思考题本章思考题l1、网桥的工作原理是什么？网桥的工作原理是什么？l2、在什么情况下会产生网络风暴？、在什么情况下会产生网络风暴？l3、路由器的工作原理是什么？、路由器的工作原理是什么？l4、究竟有哪些方法可以实现内网与外网的互、究竟有哪些方法可以实现内网与外网的互联，请简述其方案。联，请简述其方案。l5、防火墙是什么？分为几类？、防火墙是什么？分为几类？l6、请简述两种类型的防火墙组建方案。、请简述两种类型的防火墙组建方案。l7、网关的作用是什么？、网关的作用是什么？