中国科学技术大学：《计算机网络 Computer Networks》课程教学资源（课件讲稿，第7版）第4章网络层（3/3）.pdf_大学文库

2018/4/13 多播可大大节约网络资源 P多播视频服务器M 采用多播方式， ·在互联网上进行多播就叫做P多播。只漏发送一次到多舞组， ·互联网范围的多播要靠路由器来实现。略由程复制分组。 1 局地网具有要件麦福功能， ·能够运行多播协议的路由器称为多播路由器不需要复制分组。 (multicast router)。当然它也可以转发普通的单播 1个 1 当多播组的主凯数很大时 IP数据报。 R R (如成千上万个)，聚用 ·从I992年起，在互联网上开始试验虚拟的多播 ,1个多播方式就可明显地减轻网培中各种资的测。主千网MBONE(Multicast Backbone On the InterNEt)。现在多播主干网已经有了相当大的规模。多播组成员共有90个多播 11:网98 711 11 Rag s1 多播P地址多播数据报 ·IP多播所传送的分组需要使用多播IP地址。 ·多播数据报和一般的P数据报的区别就是它使 ·在多播数据报的目的地址写入的是多播组的标识用D类P地址作为目的地址，并且首部中的协行。议字段值是2，表明使用网际组管理协议IGMP: ·多播组的标识符就是P地址中的D类地址（多 ·多播数据报也是“尽最大努力交付”，不保证一播地址)。定能够交付多播组内的所有成员。 ·每一个D类地址标志一个多播组。 ·对多播数据报不产生ICMP差错报文。因此，若在PNG命令后面键入多播地址，将永远不会收 ·多播地址只能用于目的地址，不能用于源地址。到响应。 11me 。11 111ae 4.7.2在局域网上进行硬件多播 D类P地址 ·互联网号码指派管理局IANA拥有的以太网地址块与以太网多播地址的映射关系的高24位为00-00-5E。 ·因此TCPP协议使用的以太网多播地址块的范围是这5位不使用从00-00-5E-00-00-00 0 16 24 到00-00-5E-FF-FF-FF D类P地址10 ·不难看出，在每一个地址中，只有23位可用作多播。 01005E ·D类1P地址可供分配的有28位，在这28位中的前 5位不能用来构成以太网硬件地址。表示多是一最無B位来自D典P地址 48位以太同地址 11 1, 2

2018/4/13 2 多播可大大节约网络资源采用多播方式，只需发送一次到多播组。路由器复制分组。局域网具有硬件多播功能，不需要复制分组。当多播组的主机数很大时（如成千上万个），采用多播方式就可明显地减轻网络中各种资源的消耗。多播组成员共有 90 个 R1 R3 R4 R2 视频服务器 M … … … 1 个 1 个 1 个 1 个 1 个 1 个 1 个复制多播多播多播多播 4.网络层 7 IP 多播 • 在互联网上进行多播就叫做 IP 多播。 • 互联网范围的多播要靠路由器来实现。 • 能够运行多播协议的路由器称为多播路由器 (multicast router)。当然它也可以转发普通的单播 IP数据报。 • 从 1992 年起，在互联网上开始试验虚拟的多播主干网 MBONE (Multicast Backbone On the InterNEt)。现在多播主干网已经有了相当大的规模。 4.网络层 8 多播 IP 地址 • IP 多播所传送的分组需要使用多播 IP 地址。 • 在多播数据报的目的地址写入的是多播组的标识符。 • 多播组的标识符就是 IP 地址中的 D 类地址（多播地址）。 • 每一个 D 类地址标志一个多播组。 • 多播地址只能用于目的地址，不能用于源地址。 4.网络层 9 多播数据报 • 多播数据报和一般的 IP 数据报的区别就是它使用 D 类 IP 地址作为目的地址，并且首部中的协议字段值是 2，表明使用网际组管理协议 IGMP。 • 多播数据报也是“尽最大努力交付”，不保证一定能够交付多播组内的所有成员。 • 对多播数据报不产生 ICMP 差错报文。因此，若在 PING 命令后面键入多播地址，将永远不会收到响应。 4.网络层 10 4.7.2 在局域网上进行硬件多播 • 互联网号码指派管理局 IANA 拥有的以太网地址块的高 24 位为 00-00-5E。 • 因此 TCP/IP 协议使用的以太网多播地址块的范围是从 00-00-5E-00-00-00 到 00-00-5E-FF-FF-FF • 不难看出，在每一个地址中，只有23位可用作多播。 • D 类 IP 地址可供分配的有 28 位，在这 28 位中的前 5 位不能用来构成以太网硬件地址。 4.网络层 11 D 类 IP 地址与以太网多播地址的映射关系 0000000100000000010111100 1110 0 8 16 24 31 D 类 IP 地址这 5 位不使用 48 位以太网地址 0 1 0 0 5 E 表示多播最低 23 位来自 D 类 IP 地址 4.网络层 12

2018/4/13 D类P地址 4.7.3网际组管理协议IGMP 与以太网多播地址的映射关系和多播路由选择协议 ·由于多播P地址与以太网硬件地址的映射关系不是 1.P多播需要两种协议唯一的，因此收到多播数据报的主机，还要在P层利用软件进行过滤，把不是本主机要接收的数据报 ·为了使路由器知道多播组成员的信息，需要利用网际组丢弃。管理协议IGMP(Internet Group Management Protocol)。 ·连接在局域网上的多播路由器还必须和互联网上的其他多播路由器协同工作，以便把多播数据报用最小代价传送给所有的组成员。这就需要使用多播路由选择协议。 11,网08 11 111网a9 ,1 IGMP使多播路由器知道多播组成员信息 IGMP的使用范围 ◆加多拥坦 ·IGMP并非在互联网范围内对所有多播组成员进 128.56.24.34 行管理的协议。未加■ 事限想 ·IGMP不知道P多播组包含的成员数，也不知命加事细姐 135.27.74.52 R IGMP 童加事相道这些成员都分布在哪些网络上。 130.12.14.56 ·IGMP协议是让连接在本地局域网上的多播路由 GMP 多精粗 IGMP 器知道本局域网上是否有主机（严格讲，是主机 226.15.37.123 上的某个进程)参加或退出了某个多播组。 IGMP R 130.12.14.43 ◆加事洲相 111 11 111ae 6:1 多播路由选择协议更为复杂多播路由选择协议更为复杂多播路由选择协议比单播路由选择协议复杂得多。 ·多播转发必须动态地适应多播组成员的变化（这时网络拓扑并未发生变化)。请注意，单播路由选择通常是在网络拓扑发生变化时才需要更新路由。 ·多播路由器在转发多播数据报时，不能仅仅根据多播数据报中的目的地址，而是还要考虑这个多播数据报从什么地方来和要到什么地方去。 ·多播数据报可以由没有加入多播组的主机发出，也可以通过没有组成员接入的网络。 3

2018/4/13 3 D 类 IP 地址与以太网多播地址的映射关系 • 由于多播 IP 地址与以太网硬件地址的映射关系不是唯一的，因此收到多播数据报的主机，还要在 IP 层利用软件进行过滤，把不是本主机要接收的数据报丢弃。 4.网络层 13 4.7.3 网际组管理协议 IGMP 和多播路由选择协议 1. IP 多播需要两种协议 • 为了使路由器知道多播组成员的信息，需要利用网际组管理协议 IGMP (Internet Group Management Protocol)。 • 连接在局域网上的多播路由器还必须和互联网上的其他多播路由器协同工作，以便把多播数据报用最小代价传送给所有的组成员。这就需要使用多播路由选择协议。 4.网络层 14 IGMP 使多播路由器知道多播组成员信息 128.56.24.34 135.27.74.52 130.12.14.56 130.12.14.43 多播组 226.15.37.123 IGMP IGMP IGMP IGMP R1 R4 R3 R2 参加多播组参加多播组参加多播组参加多播组未参加多播组未参加多播组 4.网络层 15 IGMP 的使用范围 • IGMP 并非在互联网范围内对所有多播组成员进行管理的协议。 • IGMP 不知道 IP 多播组包含的成员数，也不知道这些成员都分布在哪些网络上。 • IGMP 协议是让连接在本地局域网上的多播路由器知道本局域网上是否有主机（严格讲，是主机上的某个进程）参加或退出了某个多播组。 4.网络层 16 多播路由选择协议更为复杂 N2 A 多播组① G F B C D E N1 N3 R 多播组② 多播路由选择协议比单播路由选择协议复杂得多。 4.网络层 17 多播路由选择协议更为复杂 • 多播转发必须动态地适应多播组成员的变化（这时网络拓扑并未发生变化）。请注意，单播路由选择通常是在网络拓扑发生变化时才需要更新路由。 • 多播路由器在转发多播数据报时，不能仅仅根据多播数据报中的目的地址，而是还要考虑这个多播数据报从什么地方来和要到什么地方去。 • 多播数据报可以由没有加入多播组的主机发出，也可以通过没有组成员接入的网络。 4.网络层 18

2018/4/13 2.网际组管理协议IGMP IGMP是整个网际协议P ·1989年公布的RFC11I2(IGMPv1)早已成为的一个组成部分了互联网的标准协议。 ·和ICMP相似，IGMP使用IP数据报传递其报文 ·1997年公布的RFC2236(IGMPv2,建议标准) (即IGMP报文加上P首部构成IP数据报)，但对IGMPvl进行了更新。它也向P提供服务。 ·2002年10月公布了RFC3376(IGMPv3,建议 ·因此，我们不把IGMP看成是一个单独的协议，而标准)，宜布RFC2236(IGMPv2)是陈I旧的。是属于整个网际协议IP的一个组成部分。 111网08 911 111网a9 2011 IGMP工作可分为两个阶段 IGMP可分为两个阶段 ·第一阶段：加入多播组。 ·第二阶段：探询组成员变化情况。 ‘之蓊态贽的系漫用财投度实酸锅殷 ·因为组成员关系是动态的，因此本地多插路由器要周期性地探询本地局域网上的主机，以使知道这些主机员。是否还继续是组的成员。 ·本地的多播路由器收到IGMP报文后，将组成员关系 ·只要对禁个组有一个主机响应，那么多播路由器就认转发给互联网上的其他多播路由器。为这个组是活跃的。 ·但一个组在经过几次的探询后仍然没有一个主机响应。则不再将该组的成员关系转发给其他的多播路由器。 11m8 五11 111g 2 IGMP采用的一些具体措施 IGMP采用的一些具体措施（续） ·在主机和多播路由器之间的所有通信都是使用 ·在IGMP的询问报文中有一个数值N,它指明一 IP多播。个最长响应时间（默认值为10秒）。当收到询 ·多播路由器在探询组成员关系时，只需要对所有问时，主机在0到N之间随机选择发送响应所的组发送一个请求信息的询问报文，而不需要对需经过的时延。对应于最小时延的响应最先发送：每一个组发送一个询问报文。默认的询间速率是 ·同一个组内的每一个主机都要监听响应，只要有每125秒发送一次。本组的其他主机先发送了响应，自己就可以不再 ·当同一个网络上连接有几个多播路由器时，它们发送响应了。能够迅速和有效地选择其中的一个来探询主机的成员关系。 ”11 1,线 241 4

2018/4/13 4 2. 网际组管理协议 IGMP • 1989 年公布的 RFC 1112（IGMPv1）早已成为了互联网的标准协议。 • 1997 年公布的 RFC 2236（IGMPv2，建议标准）对 IGMPv1 进行了更新。 • 2002 年 10 月公布了 RFC 3376（IGMPv3，建议标准），宣布 RFC 2236（IGMPv2）是陈旧的。 4.网络层 19 IGMP 是整个网际协议 IP 的一个组成部分 • 和 ICMP 相似，IGMP 使用 IP 数据报传递其报文（即 IGMP 报文加上 IP 首部构成 IP 数据报），但它也向 IP 提供服务。 • 因此，我们不把 IGMP 看成是一个单独的协议，而是属于整个网际协议 IP 的一个组成部分。 4.网络层 20 IGMP 工作可分为两个阶段 • 第一阶段：加入多播组。 • 当某个主机加入新的多播组时，该主机应向多播组的多播地址发送 IGMP 报文，声明自己要成为该组的成员。 • 本地的多播路由器收到 IGMP 报文后，将组成员关系转发给互联网上的其他多播路由器。 4.网络层 21 IGMP 可分为两个阶段 • 第二阶段：探询组成员变化情况。 • 因为组成员关系是动态的，因此本地多播路由器要周期性地探询本地局域网上的主机，以便知道这些主机是否还继续是组的成员。 • 只要对某个组有一个主机响应，那么多播路由器就认为这个组是活跃的。 • 但一个组在经过几次的探询后仍然没有一个主机响应，则不再将该组的成员关系转发给其他的多播路由器。 4.网络层 22 IGMP 采用的一些具体措施 • 在主机和多播路由器之间的所有通信都是使用 IP 多播。 • 多播路由器在探询组成员关系时，只需要对所有的组发送一个请求信息的询问报文，而不需要对每一个组发送一个询问报文。默认的询问速率是每 125 秒发送一次。 • 当同一个网络上连接有几个多播路由器时，它们能够迅速和有效地选择其中的一个来探询主机的成员关系。 4.网络层 23 IGMP 采用的一些具体措施（续） • 在 IGMP 的询问报文中有一个数值 N，它指明一个最长响应时间（默认值为 10 秒）。当收到询问时，主机在 0 到 N 之间随机选择发送响应所需经过的时延。对应于最小时延的响应最先发送。 • 同一个组内的每一个主机都要监听响应，只要有本组的其他主机先发送了响应，自己就可以不再发送响应了。 4.网络层 24

2018/4/13 3.多播路由选择 3.多播路由选择 ·多播路由选择协议尚未标准化。 ·多播路由选择协议在转发多播数据报时使用三种 ·一个多播组中的成员是动态变化的，随时会有主机方法：加入或离开这个多播组。 ·(1)洪泛与剪除 ·多播路由选择实际上就是要找出以源主机为根结点 ·(2)隧道技术(tunneling) 的多播转发树。 ·()基于核心的发现技术 ·在多播转发树上的路由器不会收到重复的多播数据报。 ·对不同的多播组对应于不同的多播转发树。 ·同一个多播组，对不同的源点也会有不同的多播转发树。 11:网0是 511 111网a9 2地11 (1)洪泛与剪除 RPB的要点 ·这种方法适合于较小的多播组，而所有的组成员 ·路由器收到多播数据报时，先检查它是否是从源点经最接入的局域网也是相邻接的。短路径传送来的。 ·一开始，路由器转发多播数据报使用洪泛的方法 ·若是，就向所有其他方向转发刚才收到的多播数据报 (这就是广播)。 (但进入的方向除外)，否则就丢弃而不转发。 ·如果存在几条同样长度的最短路径，那么只能选择一条 ·为了避免兜圈子，采用了叫做反向路径广播最短路径，选择的准则就是看这几条最短路径中的相邻 RPB(Reverse Path Broadcasting)的策略。路由器谁的P地址最小。 ·最后就得出了用来转发多播数据报的多播转发树，以后就按这个多播转发树转发多播数据报。避免了多播数据报的兜阁子，同时每一个路由器也不会接收重复的多播数据报。 111四 ”11 111ag ,1 RPB的要点反向路径广播 ·如果在多播转发树上的某个路由器发现它的下游 RPB和剪除 ■一转发多数场报树枝（即叶节点方向）已没有该多播组的成员， +X收到后即要济就应把它和下游的树枝一起剪除。 ·当某个树枝有新增加的组成员时，可以再接入到 R 多播转发树上。剪除没有组成员的树枝 1,m 11 5

2018/4/13 5 3. 多播路由选择 • 多播路由选择协议尚未标准化。 • 一个多播组中的成员是动态变化的，随时会有主机加入或离开这个多播组。 • 多播路由选择实际上就是要找出以源主机为根结点的多播转发树。 • 在多播转发树上的路由器不会收到重复的多播数据报。 • 对不同的多播组对应于不同的多播转发树。 • 同一个多播组，对不同的源点也会有不同的多播转发树。 4.网络层 25 3. 多播路由选择 • 多播路由选择协议在转发多播数据报时使用三种方法： • (1) 洪泛与剪除 • (2) 隧道技术 (tunneling) • (3) 基于核心的发现技术 4.网络层 26 (1) 洪泛与剪除 • 这种方法适合于较小的多播组，而所有的组成员接入的局域网也是相邻接的。 • 一开始，路由器转发多播数据报使用洪泛的方法（这就是广播）。 • 为了避免兜圈子，采用了叫做反向路径广播 RPB (Reverse Path Broadcasting) 的策略。 4.网络层 27 RPB 的要点 • 路由器收到多播数据报时，先检查它是否是从源点经最短路径传送来的。 • 若是，就向所有其他方向转发刚才收到的多播数据报（但进入的方向除外），否则就丢弃而不转发。 • 如果存在几条同样长度的最短路径，那么只能选择一条最短路径，选择的准则就是看这几条最短路径中的相邻路由器谁的 IP 地址最小。 • 最后就得出了用来转发多播数据报的多播转发树，以后就按这个多播转发树转发多播数据报。避免了多播数据报的兜圈子，同时每一个路由器也不会接收重复的多播数据报。 4.网络层 28 RPB 的要点 • 如果在多播转发树上的某个路由器发现它的下游树枝（即叶节点方向）已没有该多播组的成员，就应把它和下游的树枝一起剪除。 • 当某个树枝有新增加的组成员时，可以再接入到多播转发树上。 4.网络层 29 剪除没有组成员的树枝源点 R3 R4 R6 R7 R8 R1 R5 R2 转发多播数据报收到后即丢弃反向路径广播 RPB 和剪除 4.网络层 30

2018/4/13 (2)隧道技术(tunneling) (3)基于核心的发现技术腿道技术适用于多播组的位 ·这种方法对于多播组的大小在较大范围内变化时置在地理上很分散的情况。都适合。 (支持海酒) (支持海) ·这种方法是对每一个多播组G指定一个核心不支持多播 (core)路由器，给出它的IP单播地址。的网鳍 R ·核心路由器按照前面讲过的方法创建出对应于多播组G的转发树。多得量振一雕道周1和两2中的事量最报中前都数量能道中题行的单播P数■报单播P散辑报膜道技术在多湘中的应用 11,网08 11 111网a9 卫11 几种多播路由选择协议 4.8虚拟专用网VPN和网络地址转换NAT ·距离向量多播路由选择协议DVMRP(Distance Vector ·4.8.I虚拟专用网VPN Multicast Routing Protocol) ·4.8.2网络地址转换NAT ,基于核心的转发树CBT(Core Based Tree) ·开放最短通路优先的多播扩展MOSPF(Multicast Extensions to OSPF) ·协议无关多播-稀疏方式PIM-SM(Protocol Independent Multicast-Sparse Mode) ·协议无关多播-密集方式PIM-DM(Protocol Independent Multicast-Dense Mode) |1,mg ”11 |11g :1 4.8.1虚拟专用网VPN 本地地址与全球地址 ·由于P地址的紧缺，一个机构能够申请到的P ·本地地址一仅在机构内部使用的P地址，可地址数往往远小于本机构所拥有的主机数。以由本机构自行分配，而不需要向互联网的管理 ·考虑到互联网并不很安全，一个机构内也并不需机构申请。要把所有的主机接入到外部的互联网。 ·全球地址一全球唯一的P地址，必须向互联 ·假定在一个机构内部的计算机通信也是采用网的管理机构申请。 TCPP协议，那么从原则上讲，对于这些仅在 ·问题：在内部使用的本地地址就有可能和互联网机构内部使用的计算机就可以由本机构自行分配中某个P地址重合，这样就会出现地址的二义其P地址。性问题。 1,m 511 1, 6

2018/4/13 6 (2) 隧道技术 (tunneling) 多播数据报单播 IP 数据报首部数据首部数据网1和网 2 中的多播数据报隧道中通行的单播IP 数据报不支持多播的网络隧道 R1 R2 网 2 （支持多播）网 1 （支持多播）隧道技术适用于多播组的位置在地理上很分散的情况。隧道技术在多播中的应用 4.网络层 31 (3) 基于核心的发现技术 • 这种方法对于多播组的大小在较大范围内变化时都适合。 • 这种方法是对每一个多播组 G 指定一个核心 (core) 路由器，给出它的 IP 单播地址。 • 核心路由器按照前面讲过的方法创建出对应于多播组 G 的转发树。 4.网络层 32 几种多播路由选择协议 • 距离向量多播路由选择协议 DVMRP (Distance Vector Multicast Routing Protocol) • 基于核心的转发树 CBT (Core Based Tree) • 开放最短通路优先的多播扩展 MOSPF (Multicast Extensions to OSPF) • 协议无关多播 - 稀疏方式 PIM-SM (Protocol Independent Multicast-Sparse Mode) • 协议无关多播 - 密集方式 PIM-DM (Protocol Independent Multicast-Dense Mode) 4.网络层 33 4.8 虚拟专用网 VPN和网络地址转换 NAT • 4.8.1 虚拟专用网 VPN • 4.8.2 网络地址转换 NAT 4.网络层 34 4.8.1 虚拟专用网 VPN • 由于 IP 地址的紧缺，一个机构能够申请到的IP 地址数往往远小于本机构所拥有的主机数。 • 考虑到互联网并不很安全，一个机构内也并不需要把所有的主机接入到外部的互联网。 • 假定在一个机构内部的计算机通信也是采用 TCP/IP 协议，那么从原则上讲，对于这些仅在机构内部使用的计算机就可以由本机构自行分配其 IP 地址。 4.网络层 35 本地地址与全球地址 • 本地地址——仅在机构内部使用的 IP 地址，可以由本机构自行分配，而不需要向互联网的管理机构申请。 • 全球地址——全球唯一的 IP 地址，必须向互联网的管理机构申请。 • 问题：在内部使用的本地地址就有可能和互联网中某个 IP 地址重合，这样就会出现地址的二义性问题。 4.网络层 36

2018/4/13 本地地址与全球地址 RFC1918指明的专用P地址 ·问题：在内部使用的本地地址就有可能和互联网中某个P地址重合，这样就会出现地址的二义三个专用P地址块：性问题。 (1)10.0.0.0到10.255.255.255 ·解决：RFC19I8指明了一些专用地址(private A类，或记为10.0.0.0/8，它又称为24位块 address)。专用地址只能用作本地地址而不能用作全球地址。在互联网中的所有路由器，对目的 (2)172.16.0.0到172.31.255.255 地址是专用地址的数据报一律不进行转发。 B类，或记为172.16.0.0/12，它又称为20位块 (3)192.168.0.0到192.168.255.255 C类，或记为192.168.0.0/16，它又称为16位块 11,网08 ”11 111网a9 培，1 专用网虚拟专用网VPN ·采用这样的专用P地址的互连网络称为专用互 ·利用公用的互联网作为本机构各专用网之间的通联网或本地互联网，或更简单些，就叫做专用网。信载体，这样的专用网又称为虚拟专用网VPN ·因为这些专用地址仅在本机构内部使用。专用P (Virtual Private Network). 地址也叫做可重用地址(reusable address). “专用网”是因为这种网络是为本机构的主机用于机构内部的通信，而不是用于和网络外非本机构的主机通信。 ·“虚拟”表示“好像是”，但实际上并不是，因为现在并没有真正使用通信专线，而VPN只是在效果上和真正的专用网一样。 |11m8 ”11 111g 虚拟专用网VPN构建用隧道技术实现虚拟专用网 ·如果专用网不同网点之间的通信必须经过公用的互联网，但又有保密的要求，那么所有通过互联本地地址金球地址本地地址网传送的数据都必须加密。 125.1237Y19445.6 ·一个机构要构建自己的VPN就必须为它的每一都门A 门B 个场所购买专门的硬件和软件，并进行配置，使 R 10.1.01 互联网方 10.2.0.3 每一个场所的VPN系统都知道其他场所的地址。使用腿道技术周络地址=10.1.0.0 周培地址=10.2.0.0 (本地地址) (本地地址) 腿道技术 1,m 1, 7

2018/4/13 7 本地地址与全球地址 • 问题：在内部使用的本地地址就有可能和互联网中某个 IP 地址重合，这样就会出现地址的二义性问题。 • 解决：RFC 1918 指明了一些专用地址 (private address)。专用地址只能用作本地地址而不能用作全球地址。在互联网中的所有路由器，对目的地址是专用地址的数据报一律不进行转发。 4.网络层 37 RFC 1918 指明的专用 IP 地址三个专用 IP 地址块： (1) 10.0.0.0 到 10.255.255.255 (2) 172.16.0.0 到 172.31.255.255 (3) 192.168.0.0 到 192.168.255.255 A类，或记为10.0.0.0/8，它又称为 24 位块 B类，或记为172.16.0.0/12，它又称为 20 位块 C类，或记为192.168.0.0/16，它又称为 16 位块 4.网络层 38 专用网 • 采用这样的专用 IP 地址的互连网络称为专用互联网或本地互联网，或更简单些，就叫做专用网。 • 因为这些专用地址仅在本机构内部使用。专用IP 地址也叫做可重用地址 (reusable address)。 4.网络层 39 虚拟专用网 VPN • 利用公用的互联网作为本机构各专用网之间的通信载体，这样的专用网又称为虚拟专用网VPN (Virtual Private Network)。 • “专用网”是因为这种网络是为本机构的主机用于机构内部的通信，而不是用于和网络外非本机构的主机通信。 • “虚拟”表示“好像是”，但实际上并不是，因为现在并没有真正使用通信专线，而VPN只是在效果上和真正的专用网一样。 4.网络层 40 虚拟专用网 VPN 构建 • 如果专用网不同网点之间的通信必须经过公用的互联网，但又有保密的要求，那么所有通过互联网传送的数据都必须加密。 • 一个机构要构建自己的 VPN 就必须为它的每一个场所购买专门的硬件和软件，并进行配置，使每一个场所的 VPN 系统都知道其他场所的地址。 4.网络层 41 用隧道技术实现虚拟专用网 X 10.1.0.1 部门 A 网络互联网部门 B R 网络 1 R2 隧道 125.1.2.3 194.4.5.6 Y 10.2.0.3 使用隧道技术本地地址全球地址本地地址网络地址 = 10.1.0.0 （本地地址）网络地址 = 10.2.0.0 （本地地址）隧道技术 4.网络层 42

2018/4/13 8 X 10.1.0.1 部门 A 网络互联网部门 B 网络 R1 R2 隧道 125.1.2.3 194.4.5.6 Y 10.2.0.3 使用隧道技术加密的从X到Y的内部数据报外部数据报的数据部分源地址：125.1.2.3 目的地址：194.4.5.6 数据报首部部门 A 网络部门 B 网络 X R1 Y R2 125.1.2.3 194.4.5.6 10.1.0.1 10.2.0.3 虚拟专用网 VPN 用隧道技术实现虚拟专用网 4.网络层 43 内联网 intranet 和外联网 extranet • 它们都是基于 TCP/IP 协议的。 • 由部门 A 和 B 的内部网络所构成的虚拟专用网 VPN 又称为内联网 (intranet)，表示部门 A 和 B 都是在同一个机构的内部。 • 一个机构和某些外部机构共同建立的虚拟专用网 VPN 又称为外联网 (extranet)。部门 A 网络部门 B 网络 X R1 Y R2 125.1.2.3 194.4.5.6 10.1.0.1 10.2.0.3 内联网 (虚拟专用网 VPN) 4.网络层 44 远程接入 VPN • 远程接入 VPN (remote access VPN)可以满足外部流动员工访问公司网络的需求。 • 在外地工作的员工拨号接入互联网，而驻留在员工 PC 机中的 VPN 软件可在员工的 PC 机和公司的主机之间建立 VPN 隧道，因而外地员工与公司通信的内容是保密的，员工们感到好像就是使用公司内部的本地网络。 4.网络层 45 4.8.2 网络地址转换 NAT • 问题：在专用网上使用专用地址的主机如何与互联网上的主机通信（并不需要加密）？ • 解决： • (1) 再申请一些全球 IP 地址。但这在很多情况下是不容易做到的。 • (2)采用网络地址转换 NAT。这是目前使用得最多的方法。 4.网络层 46 网络地址转换 NAT • 网络地址转换 NAT (Network Address Translation) 方法于1994年提出。 • 需要在专用网连接到互联网的路由器上安装 NAT 软件。装有 NAT 软件的路由器叫做 NAT路由器，它至少有一个有效的外部全球IP地址。 • 所有使用本地地址的主机在和外界通信时，都要在 NAT 路由器上将其本地地址转换成全球 IP 地址，才能和互联网连接。 4.网络层 47 网络地址转换的过程 NAT 路由器专用网 192.168.0.0 互联网源 IP 地址主机 A 192.168.0.3 192.168.0.3 源 IP 地址 172.38.1.5 主机 B 213.18.2.4 目的 IP 地址 192.168.0.3 目的 IP 地址 172.38.1.5 全球 IP 地址 172.38.1.5 NAT 路由器的工作原理 4.网络层 48

2018/4/13 网络地址转换的过程网络地址转换的过程 ·内部主机A用本地地址P,和互联网上主机B通信 ·可以看出，在内部主机与外部主机通信时，在NAT 所发送的数据报必须经过NAT路由器。路由器上发生了两次地址转换： ·NAT路由器将数据报的源地址P,转换成全球地址 “臺开专用网时：普换源地址，将内部地址特换为全球地 IPG,并把转换结果记录到NAT地址转换表中，目的 ·进入专用网时：替换目的地址，将全球地址替换为内部地址：地址Pg保持不变，然后发送到互联网。 NAT地址转换表举例] 方向字段旧的P地址斯的P地址 ·NAT路由器收到主机B发回的数据报时，知道数据出潭P地址 192168.0.3172.38.15 报中的源地址是Pg而目的地址是IPc。入目的P地址 172.38.1.5 192.168.0.3 ·根据NAT转换表，NAT路由器将目的地址IP。转换出源P地址 192.168.0.7 172.38.1.6 入目的P地址 172.38.1.6192.168.0.7 为P,转发给最终的内部主机A。物11 11 Rag 地11 网络地址转换NAT 网络地址与端口号转换NAPT ·当NAT路由器具有n个全球P地址时，专用网 ·为了更加有效地利用NAT路由器上的全球P地内最多可以同时有n台主机接入到互联网。这样址，现在常用的NAT转换表把运输层的端口号就可以使专用网内较多数量的主机，轮流使用也利用上。这样，就可以使多个拥有本地地址的 NAT路由器有限数量的全球P地址。主机，共用一个NAT路由器上的全球IP地址， ·通过NAT路由器的通信必须由专用网内的主机因而可以同时和互联网上的不同主机进行通信。发起。专用网内部的主机不能充当服务器用，因 ·使用端口号的NAT叫做网络地址与端口号转换为互联网上的客户无法请求专用网内的服务器提 NAPT (Network Address and Port Translation), 供服务。不使用端口号的NAT就叫做传统的NAT (traditional NAT). |1,g 数， |11ag 拉：1川 NAPT地址转换表 4.9多协议标记交换MPLS NAPT地址转换表举例 ·4.9.1MPLS的工作原理方向字般旧的P地址和墙口号斯新的户地址和境口号 ·4.9.2MPLS首部的位置与格式出潭P地址TCP源填口 1s2.168.0.330000 172.38.15:40001 源P地址TCP源口 192168.0.4:30000 1723815:40002 目的P地址TCP目的增口 17238.1.5:40001 192.168.0.330000 入目的P地址TCP目的口 17238.1.5:4000 192.168.0.430000 NAPT把专用两内不同的源P地址，都转摸为同样的全球P她址，但对源主机所采用的CP口号（不管相同或不商》，则转换为不同的新的嫩口号，因此，当NAPr略由收到从互底网发来的应等时，就可以从P数婚报的数竭部分找出运糖层的端口号，然后鞭塘不同的目的嘴口号，从NAPT转换表中找到正确的目的主机。 1, 9

2018/4/13 9 网络地址转换的过程 • 内部主机 A 用本地地址 IPA 和互联网上主机 B 通信所发送的数据报必须经过 NAT 路由器。 • NAT 路由器将数据报的源地址 IPA 转换成全球地址 IPG，并把转换结果记录到NAT地址转换表中，目的地址 IPB 保持不变，然后发送到互联网。 • NAT 路由器收到主机 B 发回的数据报时，知道数据报中的源地址是 IPB 而目的地址是 IPG。 • 根据 NAT 转换表，NAT 路由器将目的地址 IPG 转换为 IPA，转发给最终的内部主机 A。 4.网络层 49 网络地址转换的过程 • 可以看出，在内部主机与外部主机通信时，在NAT 路由器上发生了两次地址转换： • 离开专用网时：替换源地址，将内部地址替换为全球地址； • 进入专用网时：替换目的地址，将全球地址替换为内部地址；方向字段旧的IP地址新的IP地址出源IP地址 192.168.0.3 172.38.1.5 入目的IP地址 172.38.1.5 192.168.0.3 出源IP地址 192.168.0.7 172.38.1.6 入目的IP地址 172.38.1.6 192.168.0.7 NAT地址转换表举例 4.网络层 50 网络地址转换 NAT • 当 NAT 路由器具有 n 个全球 IP 地址时，专用网内最多可以同时有 n 台主机接入到互联网。这样就可以使专用网内较多数量的主机，轮流使用 NAT 路由器有限数量的全球 IP 地址。 • 通过 NAT 路由器的通信必须由专用网内的主机发起。专用网内部的主机不能充当服务器用，因为互联网上的客户无法请求专用网内的服务器提供服务。 4.网络层 51 网络地址与端口号转换 NAPT • 为了更加有效地利用 NAT 路由器上的全球IP地址，现在常用的 NAT 转换表把运输层的端口号也利用上。这样，就可以使多个拥有本地地址的主机，共用一个 NAT 路由器上的全球 IP 地址，因而可以同时和互联网上的不同主机进行通信。 • 使用端口号的 NAT 叫做网络地址与端口号转换 NAPT (Network Address and Port Translation)，而不使用端口号的 NAT 就叫做传统的 NAT (traditional NAT)。 4.网络层 52 NAPT 地址转换表方向字段旧的IP地址和端口号新的IP地址和端口号出源IP地址:TCP源端口 192.168.0.3:30000 172.38.1.5:40001 出源IP地址:TCP源端口 192.168.0.4:30000 172.38.1.5:40002 入目的IP地址:TCP目的端口 172.38.1.5:40001 192.168.0.3:30000 入目的IP地址:TCP目的端口 172.38.1.5:40002 192.168.0.4:30000 NAPT 地址转换表举例 NAPT把专用网内不同的源 IP 地址，都转换为同样的全球 IP 地址。但对源主机所采用的 TCP 端口号（不管相同或不同），则转换为不同的新的端口号。因此，当 NAPT 路由器收到从互联网发来的应答时，就可以从 IP 数据报的数据部分找出运输层的端口号，然后根据不同的目的端口号，从 NAPT 转换表中找到正确的目的主机。 4.网络层 53 4.9 多协议标记交换 MPLS • 4.9.1 MPLS 的工作原理 • 4.9.2 MPLS 首部的位置与格式 4.网络层 54

2018/4/13 为了实现文换，可以利用面向连接的概念， 4.9多协议标记交换MPLS 使每个分组携带一个叫徽标记Iabe)的小整数： ·ETF于I997年成立了MPLS工作组，开发出当分组到达交换机（即标记交换路由疆）时，种新的协议一多协议标记交换MPLS 交换机读取分组的标记， (MultiProtocol Label Switching). 并用标记值来检察分组转发表。 ·“多协议”表示在MPLS的上层可以采用多种这样就比查找路由表来装发分组要快得多，协议，例如：P,PX:可以使用多种数据链路回+ 层协议，例如：PPP,以太网，ATM等。 ·“标记”是指每个分组被打上一个标记，根据该标号转发接口标记对分组进行转发。 2 3 1 5,的装发表 11,网08 511 611 MPLS特点 4.9.1MPLS的工作原理 ·MPLS并没有取代P,而是作为一种P增强技 1.基本工作过程术，被广泛地应用在互联网中。 ·1P分组的转发 ·MPLS具有以下三个方面的特点： ·在传统的P网络中，分组每到达一个路由器后，都必须 ·(1)支持面向连接的服务质量：提取出其目的地址，按目的地址查找路由表，并按照 ·(2)支持流量工程，平衡网络负载：最长前缀匹配”的原则我到下一跳的P地址（请注意前缀的长度是不确定的)， ·(3)有效地支持虚拟专用网VPN。 ·当网络很大时，查找含有大量项目的路由表要花费很多的时间。 ·在出现突发性的通信量时，往往还会使缓存滋出，这就会引起分组丢尖、传输时延增大和服务质量下降. |11me 9:1 |11g P分组的转发 MPLS协议的基本原理 Dest Out ·在MPLS域的入口处，给每一个P数据报打上 Dest Out 47.11 固定长度“标记”，然后对打上标记的IP数据 47.11 47.22 报用硬件进行转发。 47.22 Dest Out 47.33 ·采用硬件技术对打上标记的P数据报进行转发 47.33 47.11 47.1 就称为标记交换。 47.2 ·“交换”也表示在转发时不再上升到第三层查找 47.33 P4711.1 转发表，而是根据标记在第二层（链路层）用硬件进行转发。 31 52 像绿.1110 1,m想 ”1 1,起 10

2018/4/13 10 4.9 多协议标记交换 MPLS • IETF于1997年成立了 MPLS 工作组，开发出一种新的协议 —— 多协议标记交换 MPLS (MultiProtocol Label Switching)。 • “多协议”表示在 MPLS 的上层可以采用多种协议，例如：IP，IPX；可以使用多种数据链路层协议，例如：PPP，以太网，ATM 等。 • “标记”是指每个分组被打上一个标记，根据该标记对分组进行转发。 4.网络层 55 为了实现交换，可以利用面向连接的概念，使每个分组携带一个叫做标记 (label) 的小整数。当分组到达交换机（即标记交换路由器）时，交换机读取分组的标记，并用标记值来检索分组转发表。这样就比查找路由表来转发分组要快得多。 0 1 S1 S2 S3 0 S1 的转发表标号转发接口 0 1 1 0 2 1 3 1 1 4.网络层 56 MPLS 特点 • MPLS 并没有取代 IP，而是作为一种 IP 增强技术，被广泛地应用在互联网中。 • MPLS 具有以下三个方面的特点： • (1) 支持面向连接的服务质量； • (2) 支持流量工程，平衡网络负载； • (3) 有效地支持虚拟专用网VPN。 4.网络层 57 4.9.1 MPLS 的工作原理 1. 基本工作过程 • IP 分组的转发 • 在传统的 IP 网络中，分组每到达一个路由器后，都必须提取出其目的地址，按目的地址查找路由表，并按照 “最长前缀匹配”的原则找到下一跳的 IP 地址（请注意，前缀的长度是不确定的）。 • 当网络很大时，查找含有大量项目的路由表要花费很多的时间。 • 在出现突发性的通信量时，往往还会使缓存溢出，这就会引起分组丢失、传输时延增大和服务质量下降。 4.网络层 58 IP 分组的转发 47.1 47.3 47.2 IP 47.1.1.1 Dest Out 47.1 1 47.2 2 47.3 3 1 2 3 Dest Out 47.1 1 47.2 2 47.3 3 1 2 1 2 3 IP 47.1.1.1 IP 47.1.1.1 IP 47.1.1.1 Dest Out 47.1 1 47.2 2 47.3 3 3 4.网络层 59 MPLS 协议的基本原理 • 在 MPLS 域的入口处，给每一个 IP 数据报打上固定长度“标记”，然后对打上标记的 IP 数据报用硬件进行转发。 • 采用硬件技术对打上标记的 IP 数据报进行转发就称为标记交换。 • “交换”也表示在转发时不再上升到第三层查找转发表，而是根据标记在第二层（链路层）用硬件进行转发。 4.网络层 60

中国科学技术大学：《计算机网络 Computer Networks》课程教学资源（课件讲稿，第7版）第4章 网络层（3/3）

中国科学技术大学：《计算机网络 Computer Networks》课程教学资源（课件讲稿，第7版）第4章网络层（3/3）