《计算机网络课件第10章网络新技术专题.ppt》由会员分享,可在线阅读,更多相关《计算机网络课件第10章网络新技术专题.ppt(50页珍藏版)》请在三一办公上搜索。
1、计算机网络Computer Network,2023年9月15日,2,计算机网络-刘桂江,课程目录,第1章概述第2章物理层与数据通信基础第3章数据链路层第4章局域网第5章网络层第6章网络互联技术第7章传输层第8章应用层第9章网络管理与信息安全第10章 网络新技术专题,3,计算机网络-刘桂江,10.1 虚拟局域网VLAN10.2 下一代IP:IPv6 10.3 虚拟专用网VPN 10.4 IP组播技术 10.5 移动IP技术,第10章网络新技术专题,4,计算机网络-刘桂江,10.1 虚拟局域网VLAN,10.1.1 虚拟局域网的概念 10.1.2 虚拟局域网的技术特性和优点 10.1.3 VLA
2、N的技术标准 10.1.4 划分虚拟局域网的方法 10.1.5 VLAN的互联,5,计算机网络-刘桂江,虚拟局域网的概念(1/2),产生背景一个局域网上的广播数据包都可以被该网段上的所有设备收到,而无论这些设备是否需要。从安全性的角度看,不同部门的机器不能混用一个以太网段,以防止数据窃听。,6,计算机网络-刘桂江,虚拟局域网的概念(2/2),虚拟局域网的概念:VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地划分成一个个网段从而实现虚拟工作组的新兴技术。VLAN是在交换局域网的基础上,采用网络管理软件构建的逻辑网络。一个VLAN组成一
3、个逻辑广播域。可以把同一台交换机上的用户划分在不同的VLAN中,也可以把位于不同交换机上的用户主机划分在同一个VLAN中。,7,计算机网络-刘桂江,10.1.2 虚拟局域网的技术特性和优点,VLAN的技术特性:灵活的、软定义的、边界独立于物理媒质的设备群广播流量被限制在软定义的边界内,提高了网络的安全性在同一个VLAN的成员之间提供低延迟、线速的通信VLAN的优点:提高了网络管理效率 建立虚拟工作组 限制广播包 提高网络整体安全性 网络管理简单、直观,8,计算机网络-刘桂江,10.1.3 VLAN的技术标准,IEEE802.10 IEEE802.10标准原来是为了安全因素而提出的一种帧标签格式
4、。1995年Cisco公司提倡使用IEEE802.10协议。在此之前,IEEE802.10曾经在全球范围内作为VLAN安全性的统一规范。IEEE802.1Q它是为了在不同厂商生产的设备之间交流VLAN信息而制定的局域网物理帧的改进标准。Cisco ISL标签 ISL(Inter-Switch Link)是Cisco公司的专有封装方式,因此仅在Cisco的设备上支持。VTP(VLAN Trunking Protocol)VTP是一种通过Trunk(链路聚合)来进行VLAN管理的协议,属于客户/服务器方式。,9,计算机网络-刘桂江,10.1.4 划分虚拟局域网的方法(1/4),1、根据端口划分VL
5、AN 端口分组是定义虚拟局域网成员最常用的方法,而且配置也相当直截了当。缺点:当用户从一个端口移动到另一个端口的时候网络管理员必须重新配置虚拟局域网成员。,10,计算机网络-刘桂江,2、根据MAC地址划分VLAN 即对每个MAC地址的主机都配置它属于哪个组。优点:由于MAC地址是固化到工作站的网卡上的,所以基于MAC地址的VLAN使网络管理者能够把网络上的工作站移动到不同的实际位置,而且可以让这台工作站自动地保持它原有的VLAN成员资格。缺点:要求所有的主机必须初始手工配置在至少一个VLAN中。,10.1.4 划分虚拟局域网的方法(2/4),11,计算机网络-刘桂江,3、基于第三层的VLAN
6、基于第三层信息的VLAN在确定其成员时考虑协议类型(如果多协议得到支持)或网络层地址(如IP地址)。优点:它根据协议类型实现分区。用户可以实际地移动他们的工作站而不必重新配置每台工作站的网络地址。在第三层定义VLAN可以消除为了在交换机之间传达VLAN成员信息对数据帧标记的需求,减少了经常性的传输开销。缺点:使用第三层信息定义VLAN的交换机一般要比使用第二层信息的交换机运行得慢些。,10.1.4 划分虚拟局域网的方法(3/4),12,计算机网络-刘桂江,10.1.4 划分虚拟局域网的方法(4/4),4、根据IP组播划分VLAN 当一个IP数据包通过多点传输发送时,他被送到显示定义的一组IP地
7、址的代理地址中去。这些IP地址是动态设置的。优点:它的动态特性产生了非常高的灵活性和应用灵敏度。具有一种跨越路由器、因而跨越广域网连接的固有能力。,注意:不同VLAN之间的数据传输需要通过网络层的路由实现。,13,计算机网络-刘桂江,10.1.5 VLAN的互联,1、接入链路(Access Link)用来将非VLAN标识的工作站或者非VLAN成员资格的VLAN设备接入一个VLAN交换机端口的一个LAN网段。2、中继链路(Trunk Link)是指承载标记数据的干线链路,只能支持那些理解VLAN帧格式和VLAN成员资格的VLAN设备。中继链路最通常的实现就是连接两个VLAN交换机的链路。3、混合
8、链路(Hybrid Link)是接入链路和中继链路混合所组成的链路。,14,计算机网络-刘桂江,10.2 下一代IP:IPv6,10.2.1 IPv6的导入背景 10.2.2 IPv6地址体系结构 10.2.3 IPv6协议基本首部 10.2.4 IPv6协议扩展报头 10.2.5 从IPv4向IPv6过渡,15,计算机网络-刘桂江,10.2.1 IPv6的导入背景,IPv6是继IPv4以后的互联网协议,是下一代互联网协议 IPv6与IPv4相比,新增了许多功能:IPv6提供巨大的地址空间 IPv6具有与网络适配的层次地址 可靠的安全功能保障提供更高的服务质量保证即插即用(Plug&Play)
9、功能 移动性能的改进,16,计算机网络-刘桂江,10.2.2 IPv6地址体系结构(1/2),IPv6地址的文本表示方式首选格式 2001:0250:540a:0041:0000:0000:0000:0010 压缩格式 2001:250:540a:41:10(最多出现一个:)内嵌IPv4地址的IPv6地址:192.168.1.9(兼容IPv4的IPv6地址):ffff:192.168.1.9(映射IPv4的IPv6地址)IPv6地址前缀的文本表示 用“地址/前缀长度”来表示,如215E:0000:0000:AD20:0000:0000:0000:0000/60215E:AD20:0:0:0:0
10、/60215E:0:0:AD20:/60,17,计算机网络-刘桂江,10.2.2 IPv6地址体系结构(2/2),IPv6地址分类 单播地址寻址到单播地址的数据包最终会被发送到一个唯一的接口。多播地址又称为组播地址,是指一个源节点发送的单个数据包能被特定的多个目的节点接收到。任播地址用来标识一组网络接口(目的地址是任播地址的数据包将被发送给其中路由意义上最近的一个网络接口)。,18,计算机网络-刘桂江,10.2.3 IPv6协议基本首部,IPv6将首部长度变为固定的40字节,称为基本首部,其中包括:,19,计算机网络-刘桂江,10.2.4 IPv6协议扩展首部,IPv6数据报在基本首部的后面允
11、许有零个或多个扩展首部(Extension Header),再后面是数据。IPv6将所有的可选项都移出IPv6报头,置于扩展头中,增强了IPv6的功能。逐跳选项报头(Hop-by-Hop header)源路由选择报头(Routing header)分段报头(fragment header)目的地选项报头(destination option header)认证报头(authentication header)加密安全负载报头(encapsulation security payload header)路由器按照报文中扩展头出现的顺序依次进行处理,20,计算机网络-刘桂江,10.2.5 从IPv
12、4向IPv6过渡(1/3),为了实现IPv4网络向IPv6网络的过渡,IETF成立了下一代互联网过渡工作组(Next Generation Transition,NGTrans),研究IPv4到IPv6的转换问题,现己提出了多种过渡技术。1、双协议栈技术 双协议栈技术是在设备上(如一个主机或一个路由器)同时启用IPv4和IPv6协议栈。双协议栈技术互通性好,并且易于理解。其缺点是只能用于双协议栈节点本身,且每个IPv6节点都需要IPv4地址,它并不能解决IPv4地址短缺的问题。,21,计算机网络-刘桂江,10.2.5 从IPv4向IPv6过渡(2/3),2、隧道技术隧道是指将一种协议封装到另外
13、一种协议中以实现互联目的的机制。,22,计算机网络-刘桂江,10.2.5 从IPv4向IPv6过渡(3/3),3、网络地址转换/协议转换技术(NAT-PT)NAT-PT是附带协议转换器的网络地址转换器,可以看作是IPv6网络与IPv4网络之间的网关,通过修改协议报头来转换网络地址,使它们能够互通。NAT-PT使用一个IPv4的地址池动态地为IPv6节点分配地址,NAT-PT将IPv6的地址与IPv4的地址进行绑定,反之依然。,23,计算机网络-刘桂江,10.3 虚拟专用网VPN,10.3.1 VPN出现的背景 10.3.2 VPN的工作原理 10.3.3 VPN的特点 10.3.4 VPN的实
14、现技术,24,计算机网络-刘桂江,10.3.1 VPN出现的背景,VPN技术使企业能够在公共网络上创建自己的专用网络。VPN有两层含义:首先,它是虚拟的网络,即没有固定的物理连接,网络只在用户需要时才建立;其次,它是利用公共网络设施构成的专用网。,25,计算机网络-刘桂江,10.3.2 VPN的工作原理,VPN的工作过程 A作为发起方向B发出VPN连接的请求。首先,A与B通过IKE过程在应用层协商一组用来加密通信的密钥信息,然后,A与B就可以在协商成功后的一段时间应用这组密钥信息进行安全协议下的加密的可靠的通信。VPN实现的几种方式 PPTP协议(Point-to-Point Tunnelin
15、g Protocol,点到点隧道协议)L2TP协议(Layer Two Tunneling Protocol,第二层隧道协议)IPSec安全协议(IP security Protocol,IP安全协议)MPLS(Multi-Protocol Label switching,多协议标记交换)SSL(security socket layer,安全套接字层),26,计算机网络-刘桂江,10.3.3 VPN的特点,通信安全VPN使用隧道技术、加解密技术、密钥管理技术、用户与设备身份认证技术保证了通信的安全性。成本低 覆盖地域广泛 可扩展性强 由于Internet的广泛存在,应用VPN技术可以非常方便
16、地增加或减少用户。便于管理 企业或部门可以将VPN的解决方案外包给运营商,将全部精力集中到自身的发展上。VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。,27,计算机网络-刘桂江,10.3.4 VPN的实现技术,1、安全隧道技术 通过将待传输的原始信息经过加密和封装处理后,再嵌套装入另一种协议的数据包并送入网络中,像普通数据包一样进行传输。2、密码技术 3、认证技术 认证技术防止对数据的伪造和篡改。4、网络访问控制技术 网络访问控制技术对出入局域网的数据包进行过滤,即传统的防火墙功能。,28,计算机网络-刘桂江,10.4 IP组播技术,10.4.1 组播的概
17、念10.4.2 组播组和组播地址 10.4.3 组管理协议:IGMP 10.4.4 组播路由协议10.4.5 组播应用和发展,29,计算机网络-刘桂江,10.4.1 组播的概念,组播是在发送者和每一个接收者之间实现点到多点的网络连接,是指一个发送者将数据包同时发送给多个接收者的通信方式 IP组播通信介于IP单播和IP广播通信之间,并且能使主机发送IP信息包到IP网络中任何一组特定的主机上支持组播的路由器会转发IP组播信息包至所有具有该组播地址的主机的接口上网络在每个接收者的最后可能存在的一跳复制组播包,在一个给定的网络上每个包只存在一次,30,计算机网络-刘桂江,10.4.2 组播组和组播地址
18、,组播组是指某系统或用户指定方式下协同工作的多个节点的集合组播组内的节点称为组播组的成员,即成员节点。成员节点可以动态地加入或者离开组播组 IP地址方案专门为组播划出一个地址范围,在IPv4中为D类地址,范围是到239.255.255.255 组播地址有局部链接组播地址、预留组播地址、管理权限组播地址,31,计算机网络-刘桂江,10.4.3 组管理协议:IGMP,因特网组管理协议在组播主机与其直接相连的路由器之间建立一种通信机制,报告主机成员关系,以完成组播用户组的管理 IGMPv1:消息格式、查询过程、报告抑制机理,查询路由器、加入过程和离开过程 IGMPv2:克服了在实验中发现的IGMPv
19、1的缺点,增加了一些新特性IGMPv3:加入“源过滤”机制,32,计算机网络-刘桂江,10.4.4 组播路由协议,组播必须借助特殊的组播路由器来实现 组播路由器每隔一定的时间就向其所在的LAN上的主机发送一条链路层组播消息。主机收到这些消息之后,回送应答消息,在应答消息中报告它们愿意接收哪些组的组播消息主要的组播路由协议距离向量组播路由协议开放最短路径组播协议 核心基干树协议 协议无关模式域间组播路由组播源发现协议,33,计算机网络-刘桂江,10.4.5 组播应用和发展,典型的组播应用领域军事 多媒体应用数据分发实时数据的组播网络游戏组播研究工作组Multicast&Anycast group
20、 membership(Magma)Source-Specific Multicast(SSM)Multicast Security(MSEC)Reliable Multicast(RMT)Group Security(GSEC),34,计算机网络-刘桂江,10.5 移动IP技术,10.5.1 移动IP协议概述10.5.2 代理发现10.5.3 移动IP中的注册10.5.4 移动IP的路由 移动IP的基本操作过程,35,计算机网络-刘桂江,10.5.1 移动IP协议概述(1/6),1.用户移动性问题用户移动程度不同,在网络设计时需要解决的问题也不同,其程度取决于他在网络连接点之间如何移动,是否
21、需要保持网络连接。,36,计算机网络-刘桂江,10.5.1 移动IP协议概述(2/6),2.移动中的IP地址问题移动IP技术就是以应用透明的方式为移动计算机用户提供无缝移动和“网络漫游”服务,使他们从一个地方到另一个地方,保持IP地址固定而不中断网络连接,获得如同在本地网络中一样的服务。例如:你正在飞驰的列车上通过无线网络接入你公司的VPN来查看今天的财务报表。我们知道,在TCP/IP的网络通信过程中IP地址必须保持,否则通信将重新开始。试想,当列车穿越到另一个无线网络的覆盖区域而你必须要更改你的IP地址时,你只能从公司的VPN中退出,当获得新的IP地址后,你需要重新登陆VPN再重新打开财务报
22、表。当列车穿越多个无线网络时,你所作的工作就只能是退出、登陆、再退出,而无法完成正常工作。可见在这样一个应用需求的前提下,保持一个IP地址的固定是多么的重要。,37,计算机网络-刘桂江,10.5.1 移动IP协议概述(3/6),3.移动IP中的基本概念基本概念(1)本地网络(Home Network),在网络环境下,移动节点的固定“居所”,在图10.2中,指的是172.16.1.0/24。(2)本地地址(Home Address),流动青年固定的家庭住址,由节点所属的本地网络分配的固定IP地址,在整个移动过程和通信过程中保持不变,使得移动节点在逻辑上看上去始终在本地网络上,图中是172.16.
23、1.3。,38,计算机网络-刘桂江,10.5.1 移动IP协议概述(4/6),(3)本地代理(Home Agent),位于本地网上的一个路由器,维持移动节点当前位置信息的列表,当移动节点不在本地网时,按照移动节点当前位置信息将相关的数据包转发给移动节点所在外部网上的一个路由器,为移动节点提供默认路由服务。在图中指的是本地网络的边缘路由器。(4)外部网络(Foreign Network),在网络环境下,移动节点流动的临时“居所”,图中是10.1.1.0/24。,39,计算机网络-刘桂江,10.5.1 移动IP协议概述(5/6),(5)转交地址(Care of Address,COA),又称外部地
24、址,流动青年当前房屋的住址。移动节点在外部网络中的IP地址,即10.1.1.18。(6)外地代理(Foreign Agent),位于外部网上的一个路由器,为移动节点提供默认路由服务,负责将移动节点的当前位置向本地网(本地代理)通告和注册,以及为来自本地代理转发给移动节点的数据包提供最后的传送服务。在图中指的是外部网络的边缘路由器。(7)通信者(Correspondent),是希望与移动节点通信的实体。,40,计算机网络-刘桂江,10.5.1 移动IP协议概述(6/6),移动标准由三个部分组成:(1)代理发现(Agent Discovery),定义了本地代理或外部代理向移动节点通告其服务所使用的
25、协议,以及移动节点请求外部代理或本地代理的服务所使用的协议。(2)向本地代理注册(Registration with the home agent),定义了移动节点与外部代理向移动节点的本地代理注册或取消注册COA所使用的协议。(3)数据报间接选路(Indirect routing of datagram),定义了本地代理转发数据报给移动节点的方法,包括转发数据报使用的规则、处理差错情况的规则和几种不同的封装形式。,41,计算机网络-刘桂江,10.5.2 代理发现(1/2),代理发现机制可以使移动节点发现所处网络中的代理实体,通过代理实体提供的信息判断自己当前所在的网络是本地网络还是外地网络,
26、当移动节点处于外地网络时,代理发现机制可以提供一个临时的转交地址。代理发现可以通过代理通告或代理请求两种方式来实现。1.代理通告 代理通告是指移动代理使用路由器发现协议向外通告它的存在。代理周期性地在所连接的链路上广播一个路由器发现的扩展ICMP报文,就相当于说代理定期的在网络上向所有节点发布消息“我是代理,我在这”。,42,计算机网络-刘桂江,10.5.2 代理发现(2/2),移动节点监听代理在网络上广播的代理公告消息,根据收到的代理公告判断自己当前的位置。如果它发现自己在本地网上,则继续以正常方式工作。当移动节点判断出自己在外部网时,通过接收到的代理公告信息,获得一个临时的转交地址。2.代
27、理请求 代理请求是指移动节点不等待接收代理通告,主动在所处网络中广播一个类型为10的ICMP报文,即代理请求报文。收到该请求后,代理将直接向该移动节点单播一个代理通告,当移动节点收到该通告后,就像收到一个未经请求的代理通告一样,后续过程同上。,43,计算机网络-刘桂江,10.5.3 移动IP中的注册(1/3),移动IP中的注册是指移动节点与外部代理向移动节点的本地代理注册或取消注册COA的过程。(1)外部代理周期性发送代理通告广播,并被新加入网络移动节点收到。(2)移动节点收到外部代理的通告以后,会在报文中选择一个转交地址,图中为10.1.1.18。为了保证这个转交地址不再被分配给其它的移动节
28、点,该节点必须向外部代理发送IP注册报文,开始注册请求。,注册报文中包括其获得的转交地址(10.1.1.18)、节点的本地地址(172.16.1.3)、本地代理地址(172.16.1.1)以及请求注册的时间和注册标识。,44,计算机网络-刘桂江,10.5.3 移动IP中的注册(2/3),(3)外部代理接收注册请求报文,记录移动节点的本地IP地址。同时外部代理也获得了移动节点的本地代理的IP地址。通过这个地址,外部代理向本地网络的本地代理发送一个移动IP注册报文。该报文中包含移动节点的转交地址(10.1.1.18)、本地地址(172.16.1.3)、本地代理地址(172.16.1.1)、外部代理
29、地址(10.1.1.1)以及注册时间和注册标识。,45,计算机网络-刘桂江,10.5.3 移动IP中的注册(3/3),(4)本地代理接收外部代理注册请求并验证真伪,同时把移动节点的转交地址和本地地址绑定在一起,形成10.1.1.18与172.16.1.3的地址对。然后,本地代理向外部代理发送注册响应消息。此后,发往本地地址的数据包将被本地代理转发给转交地址对应的移动节点。(5)外部代理接收到来自本地代理的注册响应消息后,将移动节点加入其来访者列表,并向移动节点转发注册响应消息。,46,计算机网络-刘桂江,10.5.4 移动IP的路由(1/4),当通信者向移动节点发送数据包时,也可以采取间接选路
30、和直接选路的两种方式。下面我们重点讨论一下间接选路的过程。(1)如图10.5所示,当通信者需要与移动节点通信时,它发送一个IP包到移动节点,该数据包的目的地址为移动节点的本地地址172.16.1.3,源地址为通信者IP地址192.168.1.1。,47,计算机网络-刘桂江,10.5.4 移动IP的路由(2/4),(2)本地代理捕获该IP包,根据目的IP地址查找它所维护的移动节点地址绑定表,找到移动节点所对应的转交地址为10.1.1.18。(3)数据包的传递对于应用程序来说应该是透明的。本地代理将通信者的原始、完整地数据包封装在个新的数据包中,该数据包的目的地址是移动节点的转交地址10.1.1.
31、18,然后发送出去。,48,计算机网络-刘桂江,10.5.4 移动IP的路由(3/4),(4)封装过的IP包到达移动节点所在的外部网络后,外部代理(10.1.1.1)对其进行拆包处理,得到原始的数据包,按照移动节点的链路层地址将数据包转发给移动节点。(5)当移动节点向通信者发送数据包时,它只需将数据包直接发送给外部代理,接着外部代理将按照正常的IP路由模式将数据包直接进行转发。,49,计算机网络-刘桂江,10.5.4 移动IP的路由(4/4),两种选路方法的比较间接选路的方法存在一个低效的问题,又称三角路由问题,即在通信者与移动节点之间如果存在一条更有效的路由,发往移动节点的数据包也要先发给本
32、地代理,然后在发往外部网络。直接选路的方法中,通信者所在网络中的通信者代理先知道移动节点的转交地址。然后通行者代理以类似于本地代理执行的隧道方式,将数据包直接封装传递给移动节点的转交地址。虽然直接选路克服了三角选路问题,但是它却引入了额外的复杂性。目前,在移动IP的实现过程中,大多采用的是间接选路方式。,50,计算机网络-刘桂江,10.5.5 移动IP的基本操作过程,移动IP的基本操作过程,包括代理发现、向本地代理注册和数据报间接选路三个部分。(1)在代理发现过程中,移动节点通过接收的代理通告判断自己是否在外部网络中。(2)通信节点按照移动节点的本地地址发送数据包。(3)本地代理截获发送给移动节点的数据包,执行隧道封装处理后,按照移动节点的转交地址转发出去。(4)外部代理对接收到的数据包进行拆包处理,并将通信节点发送给移动节点的原始数据包传送给移动节点。(5)移动节点发送的响应报文,以及移动节点主动与通信节点进行通信时发送的数据包,无需经过本地代理,直接发送给通信节点,而不再由移动节点的本地代理转发。,
