2019年12月20日计算机网络ComputerNetworks2计算机网络--刘桂江课程目录第1章概述第2章物理层与数据通信基础第3章数据链路层第4章局域网第5章网络层第6章网络互联技术第7章传输层第8章应用层第9章网络管理与信息安全第10章网络新技术专题3计算机网络--刘桂江10.1虚拟局域网VLAN10.2下一代IP:IPv610.3虚拟专用网VPN10.4IP组播技术10.5移动IP技术第10章网络新技术专题4/50计算机网络--刘桂江10.1虚拟局域网VLAN10.1.1虚拟局域网的概念10.1.2虚拟局域网的技术特性和优点10.1.3VLAN的技术标准10.1.4划分虚拟局域网的方法10.1.5VLAN的互联5/50计算机网络--刘桂江10.1.1虚拟局域网的概念(1/2)产生背景一个局域网上的广播数据包都可以被该网段上的所有设备收到,而无论这些设备是否需要。从安全性的角度看,不同部门的机器不能混用一个以太网段,以防止数据被窃听。6/50计算机网络--刘桂江10.1.1虚拟局域网的概念(2/2)虚拟局域网的概念:VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地划分成一个个网段从而实现虚拟工作组的新兴技术。VLAN是在交换局域网的基础上,采用网络管理软件构建的逻辑网络。一个VLAN组成一个逻辑广播域。可以把同一台交换机上的用户划分在不同的VLAN中,也可以把位于不同交换机上的用户主机划分在同一个VLAN中。7/50计算机网络--刘桂江10.1.2虚拟局域网的技术特性和优点VLAN的技术特性:灵活的、软定义的、边界独立于物理媒质的设备群广播流量被限制在软定义的边界内,提高了网络的安全性在同一个VLAN的成员之间提供低延迟、线速的通信VLAN的优点:提高了网络管理效率建立虚拟工作组限制广播包提高网络整体安全性网络管理简单、直观8/50计算机网络--刘桂江10.1.3VLAN的技术标准IEEE802.10IEEE802.10标准原来是为了安全因素而提出的一种帧标签格式。1995年Cisco公司提倡使用IEEE802.10协议。在此之前,IEEE802.10曾经在全球范围内作为VLAN安全性的统一规范。IEEE802.1Q它是为了在不同厂商生产的设备之间交流VLAN信息而制定的局域网物理帧的改进标准。CiscoISL标签ISL(Inter-SwitchLink)是Cisco公司的专有封装方式,因此仅在Cisco的设备上支持。VTP(VLANTrunkingProtocol)VTP是一种通过Trunk(链路聚合)来进行VLAN管理的协议,属于客户/服务器方式。9/50计算机网络--刘桂江10.1.4划分虚拟局域网的方法(1/4)1、根据端口划分VLAN端口分组是定义虚拟局域网成员最常用的方法,而且配置也相对简单。缺点:当用户从一个端口移动到另一个VLAN端口的时候网络管理员必须重新配置虚拟局域网成员。10/50计算机网络--刘桂江2、根据MAC地址划分VLAN即对每个MAC地址的主机都配置它属于哪个组。优点:由于MAC地址是固化到工作站的网卡上的,所以基于MAC地址的VLAN使网络管理者能够把网络上的工作站移动到不同的实际位置,而且可以让这台工作站自动地保持它原有的VLAN成员资格。缺点:要求所有的主机必须初始手工配置在至少一个VLAN中。10.1.4划分虚拟局域网的方法(2/4)11/50计算机网络--刘桂江3、基于第三层的VLAN基于第三层信息的VLAN在确定其成员时考虑协议类型(如果多协议得到支持)或网络层地址(如IP地址)。优点:它根据协议类型实现分区。用户可以实际地移动他们的工作站而不必重新配置每台工作站的网络地址。在第三层定义VLAN可以消除为了在交换机之间传达VLAN成员信息对数据帧标记的需求,减少了经常性的传输开销。缺点:使用第三层信息定义VLAN的交换机一般要比使用第二层信息的交换机运行得慢些。10.1.4划分虚拟局域网的方法(3/4)12/50计算机网络--刘桂江10.1.4划分虚拟局域网的方法(4/4)4、根据IP组播划分VLAN当一个IP数据包通过多点传输发送时,他被送到显示定义的一组IP地址的代理地址中去。这些IP地址是动态设置的。优点:它的动态特性产生了非常高的灵活性和应用灵敏度。具有一种跨越路由器、因而跨越广域网连接的固有能力。注意:不同VLAN之间的数据传输需要通过网络层的路由实现。13/50计算机网络--刘桂江10.1.5VLAN的互联1、接入链路(AccessLink)用来将非VLAN标识的工作站或者非VLAN成员资格的VLAN设备接入一个VLAN交换机端口的一个LAN网段。2、中继链路(TrunkLink)是指承载标记数据的干线链路,只能支持那些理解VLAN帧格式和VLAN成员资格的VLAN设备。中继链路最通常的实现就是连接两个VLAN交换机的链路。3、混合链路(HybridLink)是接入链路和中继链路混合所组成的链路。14/50计算机网络--刘桂江10.2下一代IP:IPv610.2.1IPv6的导入背景10.2.2IPv6地址体系结构10.2.3IPv6协议基本首部10.2.4IPv6协议扩展报头10.2.5从IPv4向IPv6过渡15/50计算机网络--刘桂江10.2.1IPv6的导入背景IPv6是继IPv4以后的互联网协议,是下一代互联网协议IPv6与IPv4相比,新增了许多功能:IPv6提供巨大的地址空间IPv6具有与网络适配的层次地址可靠的安全功能保障提供更高的服务质量保证即插即用(Plug&Play)功能移动性能的改进16/50计算机网络--刘桂江10.2.2IPv6地址体系结构(1/2)IPv6地址的文本表示方式首选格式2001:0250:540a:0041:0000:0000:0000:0010压缩格式2001:250:540a:41::10(最多出现一个::)内嵌IPv4地址的IPv6地址::192.168.1.9(兼容IPv4的IPv6地址)::ffff:192.168.1.9(映射IPv4的IPv6地址)IPv6地址前缀的文本表示用“地址/前缀长度”来表示,如215E:0000:0000:AD20:0000:0000:0000:0000/60215E::AD20:0:0:0:0/60215E:0:0:AD20::/6017/50计算机网络--刘桂江10.2.2IPv6地址体系结构(2/2)IPv6地址分类单播地址寻址到单播地址的数据包最终会被发送到一个唯一的接口。多播地址又称为组播地址,是指一个源节点发送的单个数据包能被特定的多个目的节点接收到。任播地址用来标识一组网络接口(目的地址是任播地址的数据包将被发送给其中路由意义上最近的一个网络接口)。18/50计算机网络--刘桂江10.2.3IPv6协议基本首部IPv6将首部长度变为固定的40字节,称为基本首部,其中包括:19/50计算机网络--刘桂江10.2.4IPv6协议扩展首部IPv6数据报在基本首部的后面允许有零个或多个扩展首部(ExtensionHeader),再后面是数据。IPv6将所有的可选项都移出IPv6报头,置于扩展头中,增强了IPv6的功能。逐跳选项报头(Hop-by-Hopheader)源路由选择报头(Routingheader)分段报头(fragmentheader)目的地选项报头(destinationoptionheader)认证报头(authenticationheader)加密安全负载报头(encapsulationsecuritypayloadheader)路由器按照报文中扩展头出现的顺序依次进行处理20/50计算机网络--刘桂江10.2.5从IPv4向IPv6过渡(1/3)为了实现IPv4网络向IPv6网络的过渡,IETF成立了下一代互联网过渡工作组(NextGenerationTransition,NGTrans),研究IPv4到IPv6的转换问题,现己提出了多种过渡技术。1、双协议栈技术双协议栈技术是在设备上(如一个主机或一个路由器)同时启用IPv4和IPv6协议栈。双协议栈技术互通性好,并且易于理解。其缺点是只能用于双协议栈节点本身,且每个IPv6节点都需要IPv4地址,它并不能解决IPv4地址短缺的问题。21/50计算机网络--刘桂江10.2.5从IPv4向IPv6过渡(2/3)2、隧道技术隧道是指将一种协议封装到另外一种协议中以实现互联目的的机制。22/50计算机网络--刘桂江10.2.5从IPv4向IPv6过渡(3/3)3、网络地址转换/协议转换技术(NAT-PT)NAT-PT是附带协议转换器的网络地址转换器,可以看作是IPv6网络与IPv4网络之间的网关,通过修改协议报头来转换网络地址,使它们能够互通。NAT-PT使用一个IPv4的地址池动态地为IPv6节点分配地址,NAT-PT将IPv6的地址与IPv4的地址进行绑定,反之依然。23/50计算机网络--刘桂江10.3虚拟专用网VPN10.3.1VPN出现的背景10.3.2VPN的工作原理10.3.3VPN的特点10.3.4VPN的实现技术24/50计算机网络--刘桂江10.3.1VPN出现的背景VPN技术使企业能够在公共网络上创建自己的专用网络。VPN有两层含义:首先,它是虚拟的网络,即没有固定的物理连接,网络只在用户需要时才建立;其次,它是利用公共网络设施构成的专用网。25/50计算机网络--刘桂江10.3.2VPN的工作原理VPN的工作过程A作为发起方向B发出VPN连接的请求。首先,A与B通过IKE过程在应用层协商一组用来加密通信的密钥信息,然后,A与B就可以在协商成功后的一段时间应用这组密钥信息进行安全协议下的加密的可靠的通信。VPN实现的几种方式PPTP协议(Point-to-PointTunnelingProtocol,点到点隧道协议)L2TP协议(LayerTwoTunnelingProtocol,第二层隧道协议)IPSec安全协议(IPsecurityProtocol,IP安全协议)MPLS(Multi-ProtocolLabelswitching,多协议标记交换)SSL(securitysocketlayer,安全套接字层)ABIKE(1)安全协议(2)26/50计算机网络--刘桂江10.3.3VPN的特点通信安全VPN使用隧道技术、加解密技术、密钥管理技术、用户与设备身份认证技术保证了通信的安全性。成本低覆盖地域广泛可扩展性强由于Internet的广泛存在,应用VPN技术可以非常方便地增加或减少用户。便于管理企业或部门可以将VPN的解决方案外包给运营商,将全部精力集中到自身的发展上。VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。27/50计算机网络--刘桂江10.3.4VPN的实现技术1、安全隧道技术通过将待传输的原始信息经过加密和封装处理后,再嵌套装入另一种协议的数据包并送入网络中,像普通数据包一样进行传输。2、密码技术3、认证技术认证技术防止对数据的伪造和篡改。4、网络访问控制技术网络访问控制技术对出入局域网的数据包进行过滤,即传统的防火墙功能。28/50计算机网络--刘桂江10.4IP组播技术10.4.1组播的概念10.4.2组播组和组播地址10.4.3组管理协议:IGMP10.4.4组播路由协议10.4.5组播应用和发展29/50计算机网络--刘桂江10.4.1组播的概念组播是在发送者和每一个接收者之间实现点到多点的网络连接,是指一个发送者将数据包同时发送给多个接收者的通信方式IP组播通信介于IP单播和IP广播通信之间,并且能使主机发送IP信息包到IP网络中