网络互连设备及技术幻灯片.ppt

《网络互连设备及技术幻灯片.ppt》由会员分享，可在线阅读，更多相关《网络互连设备及技术幻灯片.ppt（48页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络互连设备及技术网络互连设备及技术第1页，共48页，编辑于2022年，星期二网络互连的基本概念网络互连的基本概念l网络互连（网络互连（Internetworking）是指将分布在）是指将分布在不同地理位置的网络、设备相连接，以构成更不同地理位置的网络、设备相连接，以构成更大规模的互连网络系统，并实现互连网络资源大规模的互连网络系统，并实现互连网络资源的共享；的共享；l互连的网络和设备可以是同种类型的网络、不互连的网络和设备可以是同种类型的网络、不同类型的网络，以及运行不同网络协议的设备同类型的网络，以及运行不同网络协议的设备与系统。与系统。第2页，共48页，编辑于2022年，星期二典型网络互

2、连设备典型网络互连设备交换机交换机第3页，共48页，编辑于2022年，星期二局域网交换机的工作原理（续）局域网交换机的工作原理（续）l以以A A机器向机器向C C机器发送数据包为例：机器发送数据包为例：A A机器向控机器向控制单元发送一个数据帧，控制单元截取该数制单元发送一个数据帧，控制单元截取该数据帧的首部，该帧的首部包括了目标机器的据帧的首部，该帧的首部包括了目标机器的MACMAC地址，控制单元将到交换表中查询该地址，控制单元将到交换表中查询该MACMAC地址对应的端口信息，然后将该数据帧从地址对应的端口信息，然后将该数据帧从C C机机器所对应的端口发送到器所对应的端口发送到C C机器。机

3、器。第4页，共48页，编辑于2022年，星期二局域网交换机的技术特点局域网交换机的技术特点l低交换延迟低交换延迟l支持不同的传输速率和工作模式支持不同的传输速率和工作模式l支持虚拟局域网服务支持虚拟局域网服务 第5页，共48页，编辑于2022年，星期二典型网络互连设备典型网络互连设备网桥网桥网桥的应用环境网桥的应用环境：l一个单位的多个部门局域网的互连；一个单位的多个部门局域网的互连；l办公楼之间局域网的互连；办公楼之间局域网的互连；l将数千台计算机按地理位置或组织关系划分将数千台计算机按地理位置或组织关系划分为多个子网的互连；为多个子网的互连；l超过单个局域网的最大覆盖范围的多个局域超过单个

4、局域网的最大覆盖范围的多个局域网互连；网互连；l企业中部门的信息对安全、保密方面要求不企业中部门的信息对安全、保密方面要求不同的局域网互连。同的局域网互连。第6页，共48页，编辑于2022年，星期二网桥的基本特征网桥的基本特征 l网桥在数据链路层上实现局域网互连；网桥在数据链路层上实现局域网互连；l网桥能够互连两个采用不同数据链路层协议、网桥能够互连两个采用不同数据链路层协议、不同传输介质与不同传输速率的网络；不同传输介质与不同传输速率的网络；l网桥以接收、存储、地址过滤与转发的方式网桥以接收、存储、地址过滤与转发的方式实现互连的网络之间的通信；实现互连的网络之间的通信；l网桥需要互连的网络在

5、数据链路层以上采用网桥需要互连的网络在数据链路层以上采用相同的协议；相同的协议；l网桥可以分隔两个网络之间的广播通信量，网桥可以分隔两个网络之间的广播通信量，有利于改善互连网络的性能与安全性。有利于改善互连网络的性能与安全性。第7页，共48页，编辑于2022年，星期二网桥的分类网桥的分类 l透明网桥透明网桥 透明网桥由各网桥自己来决定路由选择，局域透明网桥由各网桥自己来决定路由选择，局域网上的各结点不负责路由选择；网上的各结点不负责路由选择；l源路选网桥源路选网桥 源路选网桥由发送帧的源结点负责路由选择。源路选网桥由发送帧的源结点负责路由选择。第8页，共48页，编辑于2022年，星期二第9页，

6、共48页，编辑于2022年，星期二网桥与广播风暴网桥与广播风暴 第10页，共48页，编辑于2022年，星期二典型网络互连设备典型网络互连设备路由器路由器l路由器是在网络层上实现多个网络互连的设备；路由器是在网络层上实现多个网络互连的设备；l局域网的数据链路层与物理层可以是不同的，局域网的数据链路层与物理层可以是不同的，但数据链路层以上的高层要采用相同的协议；但数据链路层以上的高层要采用相同的协议；l路由器可以有效地隔离多个局域网的广播通信路由器可以有效地隔离多个局域网的广播通信量，每一个局域网都是独立的子网。量，每一个局域网都是独立的子网。第11页，共48页，编辑于2022年，星期二路由器的工

7、作原理路由器的工作原理 第12页，共48页，编辑于2022年，星期二具体步骤具体步骤l第一步：当数据包到达路由器，根据第一步：当数据包到达路由器，根据网络物理接口的类型，路由器调用相网络物理接口的类型，路由器调用相应的链路层功能模块，以解释处理此应的链路层功能模块，以解释处理此数据包的链路层协议报头。主要是对数据包的链路层协议报头。主要是对数据的完整性进行验证，如数据的完整性进行验证，如CRCCRC校验、校验、帧长度检查等。帧长度检查等。第13页，共48页，编辑于2022年，星期二具体步骤（续）具体步骤（续）l第二步：在链路层完成对数据帧的完整性第二步：在链路层完成对数据帧的完整性验证后，路由

8、器开始处理此数据帧的验证后，路由器开始处理此数据帧的IPIP层。层。根据数据帧中根据数据帧中IPIP包头的目的包头的目的IPIP地址，路地址，路由器在路由表中查找下一跳的由器在路由表中查找下一跳的IPIP地址；地址；同时，同时，IPIP数据包头的数据包头的TTLTTL（Time To LiveTime To Live）域开始减数，并重新计算校验和）域开始减数，并重新计算校验和（ChecksumChecksum）。）。第14页，共48页，编辑于2022年，星期二具体步骤（续）具体步骤（续）l第三步：根据路由表中所查到的下一跳第三步：根据路由表中所查到的下一跳IPIP地址，将地址，将IPIP数据包

9、送往相应的输出链数据包送往相应的输出链路层，被封装上相应的链路层包头，最路层，被封装上相应的链路层包头，最后经输出网络物理接口发送出去。后经输出网络物理接口发送出去。第15页，共48页，编辑于2022年，星期二多协议路由器的工作原理多协议路由器的工作原理 第16页，共48页，编辑于2022年，星期二典型的路由器产品典型的路由器产品 lCiscoCisco公司的公司的CiscoCisco系列路由器系列路由器l3Com3Com公司的公司的Office Connect NetBuilderOffice Connect NetBuilder系列系列lNortelNortel公司的公司的AccelarA

10、ccelar系列系列lIntelIntel公司的公司的Express RouterExpress Router系列系列l华为公司的华为公司的QuidwayQuidway系列系列 lTP-LINKTP-LINKlD-LINKD-LINK第17页，共48页，编辑于2022年，星期二典型企业典型企业网结构网结构 第18页，共48页，编辑于2022年，星期二实际问题实际问题l究竟有多少方法实现内网和外网间的互联？第19页，共48页，编辑于2022年，星期二问题的关键问题的关键l代理服务器l路 由 器第20页，共48页，编辑于2022年，星期二第21页，共48页，编辑于2022年，星期二第22页，共48

11、页，编辑于2022年，星期二路由器与代理服务器的比较路由器与代理服务器的比较l从性能稳定的角度从性能稳定的角度l从价格角度从价格角度l从组网方便角度从组网方便角度l从故障发生角度从故障发生角度第23页，共48页，编辑于2022年，星期二家庭组建宽带无线网络家庭组建宽带无线网络第24页，共48页，编辑于2022年，星期二典型网络互连设备典型网络互连设备网关网关 第25页，共48页，编辑于2022年，星期二网关的基本类型网关的基本类型 l网关通过使用适当的硬件与软件实现不同网络协议之间的转换功能；l硬件提供不同网络的接口，软件实现不同互连网协议之间的转换。第26页，共48页，编辑于2022年，星期

12、二网关实现协议转换的方法网关实现协议转换的方法 l网关直接将输入网络的信息包的格式转换成输网关直接将输入网络的信息包的格式转换成输出网络信息包的格式；出网络信息包的格式；l首先制定一种标准的网间信息包格式，网关在首先制定一种标准的网间信息包格式，网关在输入端将输入网络信息包格式转换成标准网间输入端将输入网络信息包格式转换成标准网间信息包格式，在输出端再将标准网间信息包格信息包格式，在输出端再将标准网间信息包格式转换成输出网络信息包格式。式转换成输出网络信息包格式。第27页，共48页，编辑于2022年，星期二防火墙技术防火墙技术l防火墙：防火墙：是计算机网络之间的一种特殊的访问控制设备，是计算机

13、网络之间的一种特殊的访问控制设备，是设置在被保护网络和外部网络之间的一道屏障。是设置在被保护网络和外部网络之间的一道屏障。l 防火墙具有下列特征：防火墙具有下列特征：l所有从内到外和从外到内的通信量都必须经过防火所有从内到外和从外到内的通信量都必须经过防火墙。墙。l只有被认可的通信量，通过本地安全策略进行只有被认可的通信量，通过本地安全策略进行定义后，才允许传递。定义后，才允许传递。l防火墙对于渗透是免疫的，即本身是不可穿透防火墙对于渗透是免疫的，即本身是不可穿透的。的。第28页，共48页，编辑于2022年，星期二防火墙体系结构防火墙体系结构l屏蔽路由器屏蔽路由器 （Screening Rou

14、terScreening Router）l双宿主机网关双宿主机网关 （Dual Homed Gateway Dual Homed Gateway）l被屏蔽主机网关被屏蔽主机网关 （Screened Host GatewayScreened Host Gateway）单宿堡垒机单宿堡垒机 双宿堡垒机双宿堡垒机l被屏蔽子网被屏蔽子网 （Screened SubnetScreened Subnet）第29页，共48页，编辑于2022年，星期二屏蔽路由器（屏蔽路由器（Screening Router）第30页，共48页，编辑于2022年，星期二双宿主机网关（双宿主机网关（Dual Homed Gate

15、way）第31页，共48页，编辑于2022年，星期二性能分析性能分析l双宿主机用两个网络适配器分别连接两个网络，双宿主机用两个网络适配器分别连接两个网络，又称堡垒主机。堡垒主机上运行着又称堡垒主机。堡垒主机上运行着防火墙软件防火墙软件（通常是（通常是代理服务器代理服务器），可以转发应用程序，提），可以转发应用程序，提供服务等。双宿主机网关有一个致命弱点，一旦供服务等。双宿主机网关有一个致命弱点，一旦入侵者侵入堡垒主机并使该主机只具有路由器功入侵者侵入堡垒主机并使该主机只具有路由器功能，则任何网上用户均可以随便访问有保护的内能，则任何网上用户均可以随便访问有保护的内部网络部网络 。第32页，共4

16、8页，编辑于2022年，星期二被屏蔽主机网关（单宿堡垒主机）被屏蔽主机网关（单宿堡垒主机）第33页，共48页，编辑于2022年，星期二性能分析性能分析l堡垒主机只有一个网卡，与内部网络连接。通堡垒主机只有一个网卡，与内部网络连接。通常在路由器上设立过滤规则，并使这个单宿堡常在路由器上设立过滤规则，并使这个单宿堡垒主机成为从垒主机成为从InternetInternet惟一可以访问的主机，惟一可以访问的主机，确保了内部网络不受未被授权的外部用户的确保了内部网络不受未被授权的外部用户的攻击。而攻击。而IntranetIntranet内部的客户机，可以受控内部的客户机，可以受控制地通过屏蔽主机和路由器

17、访问制地通过屏蔽主机和路由器访问InternetInternet。第34页，共48页，编辑于2022年，星期二性能分析性能分析l在提供直接的因特网访问方面提供了灵活性，在提供直接的因特网访问方面提供了灵活性，如路由器可以配置成允许如路由器可以配置成允许WebWeb服务器和因特网服务器和因特网之间有直接的数据通信量。之间有直接的数据通信量。l如果分组过滤器被攻破，则因特网和专用网中如果分组过滤器被攻破，则因特网和专用网中的通信量就可以直接通过路由器而进入内部网。的通信量就可以直接通过路由器而进入内部网。第35页，共48页，编辑于2022年，星期二被屏蔽主机网关（双宿堡垒主机）被屏蔽主机网关（双宿

18、堡垒主机）第36页，共48页，编辑于2022年，星期二性能分析性能分析l双宿堡垒主机型与单宿堡垒主机型的区双宿堡垒主机型与单宿堡垒主机型的区别是，堡垒主机有两块网卡，一块连接别是，堡垒主机有两块网卡，一块连接内部网络，一块连接包过滤路由器。双内部网络，一块连接包过滤路由器。双宿堡垒主机在应用层提供代理服务，与宿堡垒主机在应用层提供代理服务，与单宿型相比更加安全。单宿型相比更加安全。第37页，共48页，编辑于2022年，星期二被屏蔽子网（被屏蔽子网（Screened Subnet）第38页，共48页，编辑于2022年，星期二性能分析性能分析l使使用用了了两两个个分分组组过过滤滤路路由由器器，一一

19、个个在在堡堡垒垒主主机机和和因因特特网网之之间间，另另一一个个在在堡堡垒垒主主机机和和内内部部网网之之间间。这这样样就就创创建建了了一一个个被被隔隔离离的的子子网网，称称为为非非军军事事区区DMZDMZ。因因特特网网和和内内部部网网都都有有DMZDMZ子子网网上上主主机机的的访访问问权利，但是穿越权利，但是穿越DMZDMZ子网的通信量将被阻断。子网的通信量将被阻断。这种配置的优点：这种配置的优点：l有有三级防卫措施三级防卫措施来抵抗入侵者。来抵抗入侵者。l外外部部的的路路由由器器只只对对因因特特网网通通告告屏屏蔽蔽子子网网DMZDMZ的的存存在在，因因此此，内内部部网对于因特网是网对于因特网是

20、不可见不可见的。的。l内内部部路路由由器器只只对对内内部部网网络络通通告告屏屏蔽蔽子子网网的的存存在在，因因此此，内内部网络中的系统不能构造到因特网的直接通信部网络中的系统不能构造到因特网的直接通信。第39页，共48页，编辑于2022年，星期二 防火墙的一种常用配置防火墙的一种常用配置n 两个路由器：两个路由器：根据某种规则表，进行包过滤。根据某种规则表，进行包过滤。n 一个应用网关：审查应用层信息。一个应用网关：审查应用层信息。第40页，共48页，编辑于2022年，星期二防火墙产品选购策略防火墙产品选购策略l防火墙的安全性防火墙的安全性l防火墙的高效性防火墙的高效性l防火墙的适用性防火墙的适

21、用性l防火墙的可管理性防火墙的可管理性l完善及时的售后服务体系完善及时的售后服务体系第41页，共48页，编辑于2022年，星期二典型防火墙产品介绍典型防火墙产品介绍Cisco PIX防火墙l实时嵌入式操作系统。实时嵌入式操作系统。l保保护护方方案案基基于于自自适适应应安安全全算算法法（ASAASA），可可以以确确保最高的安全性。保最高的安全性。l用于验证和授权的用于验证和授权的“直通代理直通代理”技术。技术。l最多支持最多支持250 000250 000个同时连接。个同时连接。lURLURL过滤。过滤。第42页，共48页，编辑于2022年，星期二典型防火墙产品介绍典型防火墙产品介绍3Com O

22、ffice Connect Firewall3Com Office Connect Firewalll新新增增的的网网络络管管理理模模块块使使技技术术经经验验有有限限的的用用户户也也能保障他们的商业信息的安全。能保障他们的商业信息的安全。lOffice Office Connect Connect Internet Internet Firewall Firewall 2525使使用用全全静静态态数数据据包包检检验验技技术术来来防防止止非非法法的的网网络络接接入入和和防防止止来来自自InternetInternet的的“拒拒绝绝服服务务”攻攻击击，它它还还可可以以限限制制局局域域网网用用户户对

23、对InternetInternet的的不不恰恰当当使使用。用。第43页，共48页，编辑于2022年，星期二选读：第三层交换技术与应用选读：第三层交换技术与应用 l增加网络带宽与提高网络服务质量的解决途径可以有增加网络带宽与提高网络服务质量的解决途径可以有两个：一是采用光纤作为传输介质，增加传输通道的两个：一是采用光纤作为传输介质，增加传输通道的带宽；二是研究出性能更优越的路由器产品，提高网带宽；二是研究出性能更优越的路由器产品，提高网络数据交换能力络数据交换能力;l高性能的网络路由器设备是网络硬件制造商重点高性能的网络路由器设备是网络硬件制造商重点研究的问题之一研究的问题之一;l将交换机制引入

24、路由器的设计中，大幅度缩短路由将交换机制引入路由器的设计中，大幅度缩短路由器对数据包的处理时间，提高网络数据交换能力，器对数据包的处理时间，提高网络数据交换能力，由此产生了第三层交换的概念。由此产生了第三层交换的概念。第44页，共48页，编辑于2022年，星期二4.4.2 网桥、交换机与第二层交换网桥、交换机与第二层交换 l局域网交换机与传统的集线器相比较，具有低数据传输延局域网交换机与传统的集线器相比较，具有低数据传输延迟、高传输带宽的明显优点；迟、高传输带宽的明显优点；l网桥的数据帧转发功能是通过软件来实现的，而局域网网桥的数据帧转发功能是通过软件来实现的，而局域网交换机的数据帧转发功能是

25、通过硬件来实现的；交换机的数据帧转发功能是通过硬件来实现的；l局域网交换机可以起到网桥的作用，同时又具有低交换局域网交换机可以起到网桥的作用，同时又具有低交换传输延迟、高传输带宽的优点；传输延迟、高传输带宽的优点；l通过硬件结构，使得局域网交换机的数据帧处理的延通过硬件结构，使得局域网交换机的数据帧处理的延迟时间由网桥的几百个迟时间由网桥的几百个ss减少到几十减少到几十ss。第45页，共48页，编辑于2022年，星期二4.4.3 第三层交换技术与产品第三层交换技术与产品 第三层交换技术第三层交换技术：l将局域网交换机的设计思想应用在路由器的设计中，就将局域网交换机的设计思想应用在路由器的设计中

26、，就出现了第三层交换的概念出现了第三层交换的概念 ；l传统的路由器通过软件来实现路由选择功能，而第三传统的路由器通过软件来实现路由选择功能，而第三层交换的路由器通过专用集成电路芯片来实现路由选层交换的路由器通过专用集成电路芯片来实现路由选择功能，将数据包处理时间从传统路由器的几千择功能，将数据包处理时间从传统路由器的几千ss减少到几十减少到几十ss，大大缩短数据包在交换设备中的传输延迟，大大缩短数据包在交换设备中的传输延迟时间；时间；l通过硬件来实现第三层交换的路由器，在网络层协议类型通过硬件来实现第三层交换的路由器，在网络层协议类型上受到一定的限制。上受到一定的限制。第46页，共48页，编辑

27、于2022年，星期二典型的第三层交换产品典型的第三层交换产品 lCabletronCabletron公司的公司的Smart SwitchSmart Switch系列路由器系列路由器 lFoundryFoundry公司的公司的Big IronBig Iron系列与系列与SererIronSererIron系列交换机系列交换机lPacketEnginesPacketEngines公司的公司的PowerRailPowerRail系列交换式路由器系列交换式路由器lCiscoCisco公司的公司的40004000系列、系列、50005000系列、系列、60006000系列与系列与80008000系系列交换式路由器列交换式路由器 第47页，共48页，编辑于2022年，星期二本章思考题本章思考题l1、网桥的工作原理是什么？网桥的工作原理是什么？l2、在什么情况下会产生网络风暴？、在什么情况下会产生网络风暴？l3、路由器的工作原理是什么？、路由器的工作原理是什么？l4、究竟有哪些方法可以实现内网与外网的互、究竟有哪些方法可以实现内网与外网的互联，请简述其方案。联，请简述其方案。l5、防火墙是什么？分为几类？、防火墙是什么？分为几类？l6、请简述两种类型的防火墙组建方案。、请简述两种类型的防火墙组建方案。l7、网关的作用是什么？、网关的作用是什么？第48页，共48页，编辑于2022年，星期二