1、3.1网络互联基础 3.2 传输介质 3.3 网络互联设备 3.4 网络接入技术 3.5 结构化布线技术 3.6 三层交换技术 3.7 小结 习题 第第3章章 网络互联技术网络互联技术 3.1.1网络互联的概述网络互联的概述网络互联,也称网际互联,是指两个以上的计算机网络,通过一定的方法,用一种或多种通信设备相互联接起来,用以协调不同的网络体系结构,建立不同网络的连接体,使不同体系结构的网络系统能够相容,以达到不同网络互联的目的,实现更大范围的资源共享和信息交流。也可以是为提高网络性能和易管理性将一个原本很大的网络划分为多个子网或网段,再将这些网段或子网互联起来。3.1网络互联基础网络互联基础
2、将计算机网络互联起来组成一个单一大网,即互联网。互联网上的所有用户只要遵循相同的协议,就能相互通信,共享网络上的全部资源。所以说,互联网就是多个独立网络的集合。3.1.2网络互联模型网络互联模型最早网络刚刚出现的时候,很多大型的公司都拥有了网络技术,不同的开发者可能会使用完全不同的方式满足使用者的需求,由此产生了不同的网络系统和网络协议。这就造成了在同一网络系统中,网络协议是一致的,节点间的通信比较方便;在不同的网络系统中,网络协议很可能有不一致的现象,网络协议的不一致给网络连接和网际网之间节点的通信造成了很大的不方便。为了解决这个问题,国际标准化组织ISO(International Sta
3、ndardization Organization)于1979年推出“开放系统互联结构模型”,即OSI(Open System Interconnection)标准。该标准的目标是希望所有的网络系统都向此标准靠拢,消除不同系统之间因协议不同而造成的通信障碍,使得在互联网范围内,不同的网络系统可以不需要专门的转换装置就能够进行通信。OSI不是一个实际的物理模型,而是一个将网络协议规范化了的逻辑参考模型。OSI 根据网络系统的逻辑功能分为七层,并对每一层规定了功能、要求、技术特性等,但没有规定具体的实现方法。OSI仅仅是一个标准,而不是特定的系统或协议。网络开发者可以根据这个标准开发网络系统,制定
4、网络协议;网络用户可以用这个标准来考察网络系统、分析网络协议。网络互联不仅要把多个网络用物理线路连接起来,更重要的是使它们能够透明地通信,即在使用中,要使用户无法察觉不同网络之间的差异。所以,网络互联实质上是网络协议之间的转换。网络协议是分层的,不同网络使用的协议在不同协议层上存在差别,根据不同网络的协议差别,可以在不同协议层次上进行互联,即在具有相同协议的对应层之间进行互联,而对以下各层进行协议的转换。所以,网络互联的原理就是通过网络互联设备,把一个网络收到的符合该网络低层协议的数据单位,转换为符合另一网络低层协议的数据单元,再送到后一个网络中。OSI参考模型分为七个功能层,每一层都有自己的
5、协议,分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。我们分别通过各层互联要求来说明各层。1)物理层(Physical Layer)我们知道,要传递信息就要利用一些物理媒体,如双绞线、同轴电缆等,但具体的物理媒体并不在OSI的七层之内,有人把物理媒体当作第0层,物理层的任务就是为它的上一层提供一个物理连接,以及它们的机械、电气、功能和过程特性。如规定使用电缆和接头的类型、传送信号的电压等。在这一层,数据还没有被组织,仅作为原始的位流或电气电压处理,单位是比特。我们要进行网络互联的时候,只要保证相同的物理特性就可以完成。2)数据链路层(Data Link Layer)数据链路层
6、负责在两个相邻结点间的线路上,无差错地传送以帧为单位的数据。每一帧包括一定数量的数据和一些必要的控制信息。和物理层相似,数据链路层要负责建立、维持和释放数据链路的连接。在传送数据时,如果接收点检测到所传数据中有差错,就要通知发方重发这一帧。在数据链路层进行互联的时候,两个局域网的网络操作系统要相同,网络的拓扑结构、传输介质、介质访问控制子层(MAC,Media Access Control)子层及物理层都可以不同,但数据链路层中的逻辑链路控制子层及以上各层必须相同。3)网络层(Network Layer)在计算机网络中进行通信的两个计算机之间可能会经过很多个数据链路,也可能还要经过很多通信子网
7、。网络层的任务就是选择合适的网间路由和交换结点,提供路由选择、流量控制和网络互联,确保数据及时传送。网络层将数据链路层提供的帧组成数据包,包中封装有网络层包头,其中含有逻辑地址信息源站点和目的站点地址的网络地址,完成主机到主机的通信。在网络层互联时,两个网络的网络层及以上的各层功能是相同的,一个网络的网络层以下协议传输的数据单元送到互联设备后,由互联设备再转换为符合另一个网络的网络层以下协议的数据单元,传送到另一个网络。传输层、会话层、表示层和应用层在网络互联里统称为高层,它们在互联时遵守的规则就是各层及其以上各层的功能相同,互联时由互联设备按它们每一层所传送的不同的协议数据单元进行协议转换即
8、可。将它们归在一起,主要是由于使用的互联设备都是网关,且高层互联时,解决的是端对端的服务问题,高层协议没有相应的、统一的标准协议。对高层互联来说,互联的核心是进行不同协议的转换。3.1.3 网络互联形式网络互联形式在实际应用中,网络互联有四种形式:局域网与局域网互联、局域网与广域网互联、广域网与广域网互联以及局域网通过广域网的远程连接。网络互联形式可以用图3-1形象的表示:物理层:中继器在两段电缆之间传递单个位。数据链路层:网桥在两个LAN之间存储并转发数据链路帧。网络层:多协议路由器在不同网络之间转发数据分组。传输层:传输网关在传输层连接报文。传输层以上各层:应用网关允许第4层以上的互联。图
9、3-1 网络互联形式1局域网与局域网的互联局域网与局域网的互联随着网络的普及,各个企事业单位内部都已建立起了一定数量的局域网,将这些局域网连接起来以扩大通信范围,这就是常见的局域网互联。局域网互联又分为本地局域网互联和远程局域网互联。1)本地局域网互联方式本地局域网的互联有以下三种方式:(1)用网桥/路由器实现互联。目前的局域网,不论采用哪种拓扑结构、媒体访问控制方法及传输媒体,一般都遵循IEEE 802标准,具有相同的LLC子层,而MAC子层和物理层则有可能不同。对于相距不远的局域网,可用本地网桥/路由器将它们连接在一起。本地网桥/路由器有下面两种方式:内部网桥/路由器。这是配置在服务器上的
10、网桥/路由器。只要在服务器中配置相应的网桥/路由器模块,就可以互联4个相同或不同的局域网。外部网桥/路由器。用一台PC机作为网桥/路由器。在PC机中配置4个不同的网桥适配器,并装入相应的网桥/路由器模块,便可实现4个局域网的互联。(2)利用FDDI实现互联。光纤分布式数据接口FDDI是当今较为成熟、传输速率高达100Mb/s的高速网络技术。采用FDDI可以组建高速局域网。利用FDDI实现局域网的互联,不仅可以提高局域网之间互访和局域网对连接在FDDI主干网上的服务器的访问速度,而且具有较高的可靠性,能覆盖较大的地理范围。FDDI的最大距离可达100km,因而可以用它来连接地理上比较分散的局域网
11、。(3)利用路由器或交换集线器互联网络。利用FDDI实现互联,虽然能够获得比较好的互联网性能,但价格昂贵,技术复杂。因此在一般情况下,常用的互联设备是高档路由器或交换集线器。利用路由器实现局域网互联。这种互联方式实现了分布处理和集中管理,即处理功能分布在各个工作站和服务器上,但管理功能却集中在路由器上。同时还可互联不同类型的网络,即可将物理层、数据链路层和网络层都不相同的网络实现互联。但是,由于路由器是在网络层上实现互联的,因此时延较大。利用交换集线器实现互联。这是20世纪90年代推出的一种互联方式,由于使用方便、性能好而被广泛使用。此外,在局域网中,随着网络中节点数量的增多,会造成网络通信效
12、率下降,这种情形下可以通过增设网段来减少网络中的通信量,这种多网段互联也是局域网互联的一种形式。2)远程局域网互联方式当需要互联的局域网之间的地理位置很远时,就需要通过广域网WAN来互联各局域网。路由器是互联LAN和WAN最常用的设备。利用广域网来互联局域网的方式有很多种,主要有以下几种方式:(1)租用专线。租用专线来互联远程局域网是目前最成熟、最常用的一种方式,而且地理覆盖范围广。但是专线的租用价格昂贵,所提供的服务和故障处理尚不尽人意。图3-2所示是利用电话网中的租用专线来实现远程局域网互联的示意图。图3-2 租用专线互联远程局域网(2)X.25分组交换网互联。这种方式不仅技术成熟,地理覆
13、盖范围广,而且还有差错控制设施,能提供更多的服务,因而可以适应各种网络,包括低质量网络。但是它的传输速率不高,运行数据率是64KB/s,如图3-3所示。图3-3 利用X.25实现分组交换网互联(3)利用帧中继实现局域网互联。帧中继是综合业务数字网标准化过程中产生的一种重要技术,它是传输线路数字化和用户终端智能化的趋势所在,是由X.25分组交换技术发展起来的一种传输技术。它在用户与网络接口之间提供用户信息流的双向传送,并保持顺序不变,如图3-4所示。由于帧中继具有较高的传输速率,帧中继的流水线特性特别适合局域网的突发性、高速率与大流量数据传输的特点,因而利用帧中继来互联具有很大的优越性。此外,帧
14、中继主要以永久虚电路的方式提供服务,与租用专线类似。图3-4帧中继连接实例(4)DDN实现LAN/WAN的互联。DDN是数字数据网(Digital Data Network)的英文简称,是利用光纤、数字微波、卫星等数字通道,以传输数据信号为主的数字通信系统,可以提供2M及2M以内的全透明的数据专线,并承载语音、传真、视频等多种业务。DDN网技术成熟,网络运行管理简便,是目前较为常用的网络互联方式。(5)利用ATM网实现远程局域网的互联。ATM是异步转移模式(Asynchronous Transfer Mode)的英文缩写,是在分组交换技术上发展起来的快速分组交换技术。这种方式不仅传输速率很高,
15、还能提供数据和语音业务,支持图像和视频业务,具有广阔的发展前景。(6)综合业务数字网ISDN(Integrated Services Digital Network)。ISDN是一种信息通信网,可以通过普通电话线支持语音、数据、图形、视频等多种业务的通信。通过ISDN可以实现局域网的远程互联。2局域网与广域网的互联局域网与广域网的互联局域网与广域网的互联主要有三种情形:一是将LAN接入Internet,使LAN用户可以使用Internet服务;二是在一个跨地区的组织机构内部,将其地理位置分散的多个LAN连接起来相互通信,这通常需要租用公用网络线路,并将各个LAN分别与租用的WAN线路连接起来;
16、三是在城市网建设中,将多个企事业单位的LAN接入到都市网线路中。典型的局域网与广域网的互联应用就是公用电话网和与公用数据网的互联。通过电话网很容易实现局域网与广域网的互联。与公用电话网互联时,通常采用远程访问服务器和调制解调器。其次是与公用分组交换、数字数据网和帧中继等公用数据网互联,此时大都采用路由器。3广域网与广域网互联广域网与广域网互联广域网与广域网互联是将广域网连接起来,以实现广域网间的通信,由政府电信部门或大的电信公司规划实施,一般应用中不会触及。广域网的互联,一般使用路由器或网关在网络层及其以下各层实现协议转换。广域网的互联方式分为无连接和面向连接两种。1)无连接的网际互联方式无连
17、接互联方式是采用互联网协议IP,通过IP路由器将网络互联起来。如图3-5所示,当一些网络经过路由器或网关互联起来组成互联网络时,路由器或网关对应于分组交换网中的交换节点,被互联的各子网对应于分组交换网中的传输链路。其中,网关起到了分组交换的作用,通过与它相连的网络把分组从源主机H1传送到目的主机H2,或者相反。图3-5 无连接的网际互联方式2)面向连接的网际互联方式分组交换网采用的X.25协议提供面向连接的服务,虽然可以用IP实现互联,但不能充分利用所提供的面向连接服务。为此,作为X.25协议的一种补充,CCITT于1978年提出了用于实现X.25公用数据网互联的X.75建议书,主要用于定义X
18、.25公用网之间的接口,用以实现面向连接的网际互联。因此,实现面向连接的网际互联的前提是被连子网提供面向连接的服务。图3-6所示给出了利用X.75实现X.25公用数据网的互联。图3-6 利用X.75实现X.25公用数据网的互联4无线网络互联无线网络互联1)微波通信微波通信是利用微波波段的电磁波在对流层的视距范围内进行信息传输的一种通信方式,是现代化通信的一种重要传输手段。微波通信需要在通信双方各架设一个天线,且接收天线与发射天线必须精确地对准。天线有定向和全向两种类型,定向天线主要实现点到点的通信,而全向天线可以实现一点对多点的通信。图3-7所示是一个使用微波技术互联远程局域网的实例,它使用路
19、由器作为网间互联设备,由微波系统提供2 Mb/s的传输通道,以实现局域网之间的远程通信。图3-7利用微波无线网互联远程局域网2)卫星通信卫星通信利用人造地球卫星作为空中微波中继站,实现地球上两个或多个地面站之间的通信。利用卫星通信可以实现更大范围的局域网互联,它不仅可以为全球提供远距离的电视广播、移动通信服务,而且可以提供数据广播和定点式数据通信。图3-8所示为卫星通信示意图。图3-8中,路由器到基站的连接可以是光纤,也可是微波等其它的无线方式,此时,路由器使用无线路由器。图3-8 卫星互联示意图5虚拟专用网虚拟专用网VPN虚拟专用网VPN(Virtual Private Network)是一
20、种在现存的物理网络建立的专用逻辑网络。它通过一个公用网络建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展,也是一种互联网络的形式,而且以它特有的优势深受现代企业的青睐。1)产生背景在信息时代,企业网应用日益广泛,范围也在不断扩大,从本地到跨地区、城市,甚至是国家。随着网路范围的扩大,在实际应用上对网络的要求也不断提高。如果采用传统的广域网建立企业专用网,往往需要租用昂贵的跨地区的数字线路,或者是采用数字加密机专线的方式进行点对点的数据传输,这样,不但网络费用高,而且可扩展性还很差,很难满足企业不断发展的需要。随着分组交换、ATM、IP等技术
21、的发展,基于包交换和传送的虚拟网络技术开始得到广泛的应用。虚拟专用网就是基于“虚拟”技术,为解决传统技术的瓶颈而出现的。它指在公共网络中建立私有专用网络,数据通过安全的“加密管道”在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的公共信息网,各地的机构就可以互相传递信息。同时,企业还可以利用公共信息网的拨号接入设备,让自己的用户拨号到公共信息网上,这样就可以安全地接入企业网中。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通
22、信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。2)VPN的类型VPN指在一个共享基干网上采用与普通专用网相同的策略连接用户,如图3-9所示。图3-9 VPN的逻辑拓扑结构图共享基干网可以是服务提供者IP、DDN网、ATM主干网或Internet。根据VPN所起的作用,有以下三种类型:(1)访问型VPN(Access VPN):像其它专用网一样,在具有相同规则的共享设施上,提供对公司内部或外部网的远程访问,用户利用它可随时随地地访问公司的资源。访问型VPN包含模拟型、数字型、ISDN、数字用户线路(DSL)、移动IP和电缆技术,以安全地连接移动用户、远程通信或分支机
23、构。(2)Intranet型VPN:在专用连接的共享设施上连接公司总部、远程机构和分支机构的VPN。这种VPN通过Internet这一公共网络将公司在各地分支机构的LAN连到公司总部的LAN,以便进行公司内部的资源共享、文件传递等,可节省DDN等专线所带来的高额费用。(3)Extranet型VPN:在专用连接的共享设施上连接用户、提供者、合伙人或公司内部网感兴趣的通信VPN。由于不同公司网络环境的差异性,该产品必须能兼容不同的操作平台和协议。由于用户的多样性,公司的网络管理员还应该设置特定的访问控制表ACL(Access Control List),根据访问者的身份、网络地址等参数来确定其相应
24、的访问权限,开放部分资源,而非全部资源给外联网的用户。作为IP,VPN的服务分类如图3-10所示。它提供的功能如下:加密数据,保证通过公网传输的信息即使被他人截获也不会泄密。信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份。提供访问控制,不同的用户有不同的访问权限。VPN的应用拓扑图如图3-11所示。图3-10 作为IP的VPN分类图3-11 VPN的应用拓扑图3)VPN的优点(1)安全保障。虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道。可以利用加密技
25、术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。在安全性方面,由于VPN直接构建在公用网上,因此实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。Extranet VPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。(2)服务质量保证(QoS)。VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;对于拥有众多分支机构的
26、专线VPN网络,交互式的内部企业网应用要求网络能提供良好的稳定性;对于其它应用(如视频等),则对网络提出了更明确的要求,如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送,而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。(3)可扩充性
27、和灵活性。VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。(4)可管理性。从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,但企业仍需要自己完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络风险,具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全
28、管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。4)VPN的连网方式通过Internet实现网络互联,可以采用以下两种方式使用VPN连接远程局域网络。(1)使用专线连接分支机构和企业局域网。此种方式不需要使用价格昂贵的长距离专用电路,分支机构和企业端路由器可以使用各自本地的专用线路,通过本地的ISP连通Internet。VPN软件使用本地ISP建立的连接和Internet网络在分支机构和企业端路由器之间创建一个虚拟专用网络。(2)使用拨号线路连接分支机构和企业局域网。此种方式不同于传统的使用连接分支机构路由器的专线拨打长途或(1-800)电话连接企业的网络存储服务器(NAS,Ne
29、twork Attached Storage)的方式,它的分支机构端的路由器可以通过拨号方式连接本地ISP。VPN软件使用与本地ISP建立起的连接在分支机构和企业端路由器之间创建一个跨越Internet的虚拟专用网络。5)VPN的实现技术VPN实现的两个关键技术是隧道技术和加密技术。QoS技术对VPN的实现也至关重要。(1)VPN访问点模型。首先提供一个VPN访问点功能组成模型图作为参考。其中,IPSec集成了IP层隧道技术和加密技术。IP Sec(Internet Protocol Security)是IETF(Internet Engineer Task Force)的标准,它把几种安全技
30、术结合在一起形成一个较为完整的体系,通过对数据进行加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。(2)隧道技术。隧道技术简单地说就是:原始报文在A地进行封装,到达B地后把封装去掉,还原成原始报文,这样就形成了一条由A到B的通信隧道。目前,实现隧道技术的有一般路由封装(GRE,Generic Routing Encapsulation)、第二层隧道协议(L2TP,Layer 2 Tunneling Protocol)和点到点隧道协议(PPTP,Point-to-Point Tunneling Protocol)。GRE主要用于源路由和终路由之间所形成的隧道。例如,将通过隧道的报文
31、用一个新的报文头(GRE报文头)进行封装,然后带着隧道终点地址放入隧道中。当报文到达隧道终点时,GRE报文头被剥掉,继续以原始报文的目标地址进行寻址。GRE隧道通常是点到点的,即隧道只有一个源地址和一个终地址。然而也有一些实现允许点到多点,即一个源地址对多个终地址。这时候就要和下一跳路由协议NHRP(Next-Hop Routing Protocol)结合使用。NHRP主要是为了在路由之间建立捷径而制定的协议。用GRE隧道来建立VPN有很大的吸引力。从体系结构的观点来看,VPN就像是通过普通主机网络的隧道集合。普通主机网络的每个点都可利用其地址以及路由所形成的物理连接,配置成一个或多个隧道。在
32、GRE隧道技术中,入口地址用的是普通主机网络的地址空间,而在隧道中,流动的原始报文用的是VPN的地址空间,这样,反过来就要求隧道的终点应该配置成VPN与普通主机网络之间的交界点。这种方法的好处是使VPN的路由信息从普通主机网络的路由信息中隔离出来,多个VPN可以重复利用同一个地址空间而没有冲突。这使得VPN从主机网络中独立出来,从而满足了VPN的关键要求:可以不使用全局唯一的地址空间。隧道也能封装数量众多的协议族,减少实现VPN功能函数的数量。还有,对许多VPN所支持的体系结构来说,可以用同一种格式来支持多种协议,同时又保留协议的功能,这是非常重要的。IP路由过滤的主机网络不能提供这种服务,而
33、只有隧道技术才能把VPN私有协议从主机网络中隔离开来。基于隧道技术的VPN实现的另一特点是对主机网络环境和VPN路由环境进行隔离。对VPN而言,主机网络可看成点到点的电路集合,VPN能够用其路由协议穿过符合VPN管理要求的虚拟网。同样,主机网络使用的是符合网络要求的路由设计方案,因此不必受VPN用户网络的路由协议限制。虽然GRE隧道技术有很多优点,但用其作为VPN机制也有缺点,如管理费用高、隧道的规模数量大等。因为GRE是由手工配置的,所以配置和维护隧道所需的费用与隧道的数量是直接相关的每次隧道的终点改变,隧道要重新配置。隧道也可自动配置,但有缺点,如不能考虑相关路由信息、性能问题以及容易形成
34、回路问题。一旦形成回路,会极大恶化路由的效率。除此之外,通信分类机制是通过一个好的粒度级别来识别通信类型。如果通信分类过程是通过识别报文(进入隧道前的)进行的,就会影响路由发送速率的能力及服务性能。GRE隧道技术是用在路由器中的,可以满足Extranet VPN以及Intranet VPN的需求。但是在远程访问VPN中,多数用户是采用拨号上网的,这时可以通过L2TP和PPTP来加以解决。L2TP是第二层转发(L2F,Layer 2 Forwarding)和PPTP的结合,但是由于PC机的桌面操作系统包含着PPTP,因此PPTP仍比较流行。隧道的建立有两种方式:“用户初始化”隧道和“NAS(Ne
35、twork Access Server)初始化”隧道。前者一般指“主动”隧道,后者指“强制”隧道。“主动”隧道是用户为某种特定目的请求建立的,而“强制”隧道则是在没有任何来自用户的动作以及选择的情况下建立的。L2TP作为“强制”隧道模型,是让拨号用户与网络中的另一点建立连接的重要机制。建立过程为:用户通过Modem与NAS建立连接;用户通过NAS的L2TP接入服务器进行身份认证;在政策配置文件或NAS与政策服务器进行协商的基础上,NAS和L2TP接入服务器,动态地建立一条L2TP隧道;用户与L2TP接入服务器之间建立一条点到点协议PPP(Point to Point Protocol),访问服
36、务隧道;用户通过该隧道获得VPN服务。与之相反的是,PPTP作为“主动”隧道模型,允许终端系统进行配置,以与任意位置的PPTP服务器建立一条不连续的、点到点的隧道,并且,PPTP协商和隧道建立过程都没有中间媒介NAS的参与。NAS的作用只是提供网络服务。PPTP的建立过程为:用户通过串口以拨号IP访问的方式与NAS建立连接,取得网络服务;用户通过路由信息定位PPTP接入服务器;用户形成一个PPTP虚拟接口;用户通过该接口与PPTP接入服务器协商、认证,建立一条PPP访问服务隧道;用户通过该隧道获得VPN服务。在L2TP中,用户感觉不到NAS的存在,仿佛与PPTP接入服务器直接建立连接一样。在P
37、PTP中,PPTP隧道对NAS是透明的,NAS不需要知道PPTP接入服务器的存在,只是简单地把PPTP流量作为普通IP流量处理。采用L2TP还是采用PPTP实现VPN,取决于要把控制权放在NAS中还是用户手中。L2TP比PPTP更安全,因为L2TP接入服务器能够确定用户从哪里来。L2TP主要用于比较集中的、固定的VPN用户,而PPTP比较适合移动的用户。(3)加密技术。数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非授权者不能了解被保护信息的内容。加密算法有用于Windows 95的RC4(Rivest Cipher 4)、用于IPSec的数据加密算法(DES,Data
38、 Encryption Standard)和三次DES。RC4虽然强度比较弱,但是用于保护信息免受非专业人士的攻击已经足够了。DES和三次DES强度比较高,可用于敏感的商业信息。加密技术可以在协议栈的任意层进行,可以对数据或报文头进行加密。在网络层中的加密标准是IPSec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一跳路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,VPN安全粒度达到个人终端系统的标准,而“隧道模式”方案中,VPN安全粒度只达到子网标准。在链路层中
39、,目前还没有统一的加密标准,因此所有链路层加密方案基本上是生产厂家自己设计的,需要特别的加密硬件。VPN一般采用建立在网络协议堆栈上的应用层VPN技术,在系统的TDI层和协议堆栈之间增加安全扩展模块,实现密钥管理、协商、数据加密/解密的过滤驱动程序,如图3-12所示。图3-12 VPN的信息加密流程图3-12中的信息安全措施主要包含以下几种:基于公钥基础结构(PKI,Public Key Infrastructure)的用户授权体系。PKI是一个包含数字证书、管理机构、证书管理、目录服务的安全系统。PKI用标准的X.509证书将用户的身份和自己的公共密钥绑定在一起。通过PKI技术和数字证书技术
40、,可以有效地判明用户的身份,同时降低用户使用基于PKI体系的应用安全系统的复杂性。身份验证和数据加密。用户通过VPN客户端访问VPN网关时,客户端首先对用户进行双因子身份验证,即用户同时拥有用户数字证书和该证书的使用口令。VPN客户端采用基于PKI技术的数字证书技术,完成VPN网关服务器和用户身份的双向验证。验证通过后,VPN网关服务器产生对称会话密钥,并分发给用户。在用户与VPN网关服务器的通信过程中,使用该会话密钥对信息进行加密传输。身份验证和保护会话密钥在传递过程中的安全主要通过非对称加密算法完成,VPN系统使用1024位的RSA(Rivest,Shamir,Adleman)算法,具有高
41、度的安全性。数据完整性保护。完善的VPN系统不但要对用户的身份进行验证,同时还要对系统中传输的数据进行认证,确认传输过程中的消息已被全部发送并且没有失真。VPN系统对所有的传输数据进行Hash摘要,并对结果进行加密,以实现数字签名,这有效地保证了数据在传输过程中的完整性。访问权限控制。企业需要利用VPN网络组织内部运营流程,并与其客户及合作伙伴交换重要信息,这就要求企业VPN系统必须拥有严格的访问控制机制。VPN技术采用细粒度的访问权限列表模型(ACL),管理员可方便地为每个VPN用户分配不同的访问特权。ACL以用户身份特征为基础,其管理与VPN系统的技术维护无关,企业可以将制定和管理ACL的
42、工作交由行政部门执行,既方便公司的管理,又可有效防止网络维护人员窃取公司机密。(4)QoS技术。通过隧道技术和加密技术,已经能够建立起一个具有安全性、互操作性的VPN。但是该VPN在性能上不稳定,在管理上不能满足企业的要求,这就要加入QoS技术。QoS应该在主机网络中实行,即VPN所建立的隧道,这样才能建立一条性能符合用户要求的隧道。不同的应用对网络通信有不同的要求,这些要求可用如下参数给予体现:带宽:网络提供给用户的传输率。反应时间:用户所能容忍的数据报传递延时。抖动:延时的变化。丢失率:数据包丢失的比率。网络资源是有限的,有时用户要求的网络资源得不到满足,这时就可通过QoS机制对用户的网络
43、资源分配进行控制,以满足应用的需求。QoS机制具有通信处理机制以及供应(Provisioning)机制和配置(Configuration)机制。通信处理机制包括802.1p、区分服务DiffServ(Differentiated Service per-hop-behaviors)、综合服务IntServ(Integrated Services)等。现在,大多数局域网是基于IEEE 802技术的,如以太网、令牌环、FDDI等,802.1p为这些局域网提供了一种支持QoS的机制。802.1p对链路层的802报文定义了一个可表达八种优先级的字段。802.1p优先级只在局域网中有效,一旦出了局域网,
44、通过第三层设备时就被移走。DiffServ则是第三层的QoS机制,它在IP报文中定义了一个字段,称为DSCP(DiffServ Codepoint)。DSCP有六位,用作服务类型和优先级,路由器通过它对报文进行排队和调度。与802.1p、DiffServ不同的是,IntServ是一种服务框架,目前有两种:保证服务和控制负载服务。保证服务许诺在保证的延时下传输一定的通信量;控制负载服务同意在网络轻负载的情况下传输一定的通信量。典型地,IntServ与资源预留协议RSVP相关。IntServ服务定义了允许进入的控制算法,决定多少通信量被允许进入网络中。供应和配置机制包括RSVP、子网带宽管理SBM
45、(Subnet Bandwidth Manager)、政策机制和协议以及管理工具和协议。这里,供应机制指的是比较静态的、长期的管理任务,如网络设备的选择、网络设备的更新、接口添加/删除、拓扑结构的改变等;配置机制指的是比较动态、短期的管理任务,如流量处理的参数。网络管理员基于一定的政策进行QoS机制配置。政策组成部分包括政策数据(如用户名)、有权使用的网络资源、政策决定点PDP(Policy Decision Point)、政策加强点PEP(Policy Enforcement Point)以及它们之间的协议。传统的由上而下(Top Down)的政策协议包括简单网络管理协议SNMP(Simpl
46、e Network Management Protocol)、命令行接口CLI(Command Line Interface)、命令开放协议服务COPS(Command Open Protocol Services)等。这些QoS机制相互作用,使网络资源得到最大化利用,同时又向用户提供了一个性能良好的网络服务。3.1.4 网络互联的基本要求网络互联的基本要求计算机网络技术的发展极其迅速,日新月异。实际生活中存在着很多不同类型的局域网、城域网和广域网技术,它们之间存在着或多或少的差异。同时,由于网络发展的历史和人们对不同网络的需求,这些不同的网络技术将长期共存。网络互联不仅在同网之间进行,异构网
47、之间也需要进行互联。异构网具有不同的网络拓扑结构、不同的网络协议和不同的编址方案。在进行异构网互联时,必须有一种方法能够在使用不同协议的网络之间传输信息,且不改变网络的特性。为此,网络互联应该满足以下要求:(1)在要求互联的网络之间至少要有一条物理通路。网络互联首先要使用传输媒体和网络互联设备将网络连接起来,实现网络之间的物理连接。物理连接的目的是在网络之间提供一条物理通道以及对这条物理链路的控制规程,以便在它们之间传输信息。(2)为网络之间的通信提供路径选择和数据转发功能。在互联网环境中,不同的网络之间进行通信,可能需要经过很多个中间互联设备。当在网络之间传送信息时,网间互联设备必须知道向哪
48、里转发这些信息,即具有路径选择的功能。互联设备从一个网络接口接收数据分组,并对数据包进行分析,根据源地址和目的地址进行路径选择。然后,根据路由表指示的路径把数据包转发到下一个网间互联设备,数据被一级一级地转发下去,直到把数据传送到目的主机,完成互联网上的任意两台计算机之间的通信。(3)力求不修改互联在一起的各网络原有的结构和协议,利用网间互联设备进行协议转换,协调和适配各个网络的差异。人们常常使用不同的网络技术组建自己的网络。由于不同的网络技术具有不同的体系结构、协议和特性,它们之间在很多方面都有着很大的差异,因此必须协调和适配这些差异,确保各网络之间的正常通信。不同网络的差异具体表现在如下几
49、个方面:不同的传输介质,如同轴电缆、双绞线、光缆、微波、卫星等。不同的介质访问控制方法,如CSMA/CD(用于以太网)和Token Ring(用于令牌环网)。不同的拓扑结构,如总线状、环状、星状、树状等。不同的编址方案,如以太网的MAC子层采用6字节地址,IP地址采用32位表示,而ATM地址采用5个字节表示。不同的分组长度,如以太网帧的最大长度是1518字节,令牌环网帧的最大长度为8198个字节,而ATM的一个信元只有53个字节。不同的协议规范,不同的协议功能定义和不同的协议格式等。提供面向连接和无连接两种不同的服务类型,如ATM提供的是面向连接的服务,而以太网提供的是无连接的服务。(4)在网
50、络互联时,应尽量避免由于互联而降低网内的通信性能。(5)使用相同的网络互联协议。协议是通信双方共同遵守的规则和约定,网间互联协议是专为网络互联而设计的,它是网络互联的核心软件。从计算机的网络体系结构来看,为了解决网络互联问题,一般在网络层增加一个互联网层。在这个层上,所有的网络都执行相同的互联网协议,这样才能实现真正意义上的网络连通。网络互联协议旨在屏蔽物理网络上存在的差异,不管是异构网还是异构机,它们都可以通过网络互联协议得到统一。在互联网上的用户都必须使用相同的协议,相互之间才能通信。网络互联协议标准主要有两个:ISO 8473和TCP/IP。传输介质是数据通信系统中的发送器和接收器之间的