網絡層

第四章 網絡層

網絡層的主要任務是實作網絡互連，進而實作資料包在各網絡之間的傳輸。

要實作網絡層任務，需要解決以下主要問題：

網絡層向運輸層提供怎樣的服務（“可靠傳輸”還是“不可靠傳輸”）

網絡層尋址問題

路由選擇問題

網際網路（Internet）是目前全世界使用者數量最多的網際網路，它使用TCP/IP協定棧。

由于TCP/IP協定棧的網絡層使用網際協定IP，它是整個協定棧的核心協定，是以在TCP/IP協定棧中網絡層常稱為網際層。

TCP/IP體系結構的網際網路的網際層提供的是簡單靈活的、無連接配接的、盡最大努力傳遞的資料報服務。

​

可靠通信由網絡來保證

必須建立網絡層的連接配接 -- 虛電路VC（Virtual Circuit）

通信雙方沿着已建立的虛電路發送分組

目的主機的位址僅在連接配接建立階段使用，之後每個分組的首部隻需要攜帶一條虛電路的編号（構成虛電路的每一段鍊路都有一個虛電路編号）。

這種通信方式如果再使用可靠傳輸的網路協定，就可使所發送的分組最終正确到達接收方（無差錯按序到達、不丢失、不重複）。

通信結束後，需要釋放之前所建立的虛電路。

很多廣域分組交換網都使用面向連接配接的虛電路服務。例如，曾經的X.25和逐漸過時的幀中繼FR、異步傳輸模式ATM等。

可靠通信應當由使用者主機來保證

不需要建立網絡層連接配接

每個分組可走不同的路徑

每個分組的首部必須攜帶目的主機的完整位址

這種通信方式所傳送的分組可能誤碼、丢失、重複和失序。

由于網絡本身不提供端到端的可靠傳輸服務，這就使網絡中的路由器可以做得比較簡單，而且價格低廉（與電信網的交換機相比較）。

網際網路采用這種設計思想，也就是将複雜的網絡處理功能置于網際網路的邊緣（使用者主機和其内部的運輸層），而将相對簡單的盡最大努力的分組傳遞功能置于網際網路的核心。

在TCP/IP體系中，IP位址是一個最基本的概念。

IPv4位址就是給網際網路上的每一台主機（或路由器）的每一個接口配置設定一個在全世界範圍内唯一的32比特的辨別符。

IP位址由網際網路名字和數字配置設定機構ICANN進行配置設定。

IPv4位址的編址方法經曆了三個曆史階段：

32比特的IPv4位址不友善閱讀、記錄以及輸入等，是以IPv4位址采用點分十進制表示方法以友善使用者使用。

注意事項：

隻有A類、B類和C類位址可配置設定給網絡中的主機或路由器的各接口

主機号為“全0”的位址是網絡位址，不能配置設定給主機或路由器的各接口

主機号為“全1”的位址是廣播位址，不能配置設定給主機或路由器的各接口

A類位址

最小網絡号為0，保留不指派

第一個可指派的網絡号為1，網絡位址為1.0.0.0

最大網絡号127，作為本地環回測試位址，不指派

最小的本地環回測試位址為127.0.0.1

最大的本地環回測試位址為127.255.255.254

最後一個可指派的網絡号為126，網絡位址為126.0.0.0

可指派的網絡數量為2^(8-1) -2 = 126 （減2的原因是出去最小網絡号0和最大網絡号127）

每個網絡中可配置設定的IP位址數量為2^24 - 2 = 16777214(減2的原因是主機号為全0的網絡位址和全1的廣播位址)。

B類位址

最小網絡還也是第一個可指派的網絡号128.0

網絡位址為128.0.0.0

最大網絡号也是最後一個可指派的網絡号191.255

網絡位址為191.255.0.0

可指派的網絡數量為2^(16-2) = 16384

每個網絡中可配置設定的IP位址數量為2^16 - 2 = 65534（減2的原因是除去主機号全0的網絡位址和全1的廣播位址）

C類位址

最下網絡号也是第一個可指派的網絡号192.0.0

網絡位址為192.0.0.0

最大網絡号也是最後一個可指派的網絡号223.255.255

網絡位址為223.255.255.0

可指派的網絡數量為2^(24-3) = 2097152

每個網絡中可配置設定的IP位址數量為2^8 - 2 = 254（減2的原因是除去主機号為全0的網絡位址和全1的廣播位址）

特殊的IPv4位址

位址0.0.0.0是一個特殊的IPv4位址，隻能作為源位址使用，表示“在本網絡上的本主機”。封裝有DHCP Discovery封包的IP分組的源位址使用0.0.0.0；

以127開頭且後面三個位元組非“全0”或“全1”的IP位址是一類特殊的IPv4位址，既可作為源位址使用，也可作為目的位址使用，用于本地軟體環回測試；

位址255.255.255.255是一個特殊的IPv4位址，隻能作為目的位址使用，表示“隻在本網絡上進行廣播（各路由器均不轉發）”。

給下圖各網絡的IPv4位址配置設定方案。請按照節約IP位址的原則進行配置設定。

為新增網絡申請新的網絡号會帶來以下弊端：

需要等待時間和花費更多的費用

會增加其他路由器中路由表記錄的數量

浪費原有網絡中剩餘的大量IP位址

從主機号部分借用一部分作為子網号

32比特的子網路遮罩可以标明分類IP位址的主機号被借用了幾個比特作為子網号

子網路遮罩使用連續的比特1來對應網絡号和子網号

子網路遮罩使用連續的比特0來對應主機号

将劃分子網的IPv4位址與其相應的子網路遮罩進行邏輯與運算就可得到IPv4位址所在子網的網絡位址。

已知某個網絡的位址為218.75.230.0，使用子網路遮罩255.255.255.128對其進行子網劃分，請給出劃分細節。

（減2是要去掉主機号為“全0”的網絡位址和“全1”的廣播位址）

預設子網路遮罩是指在未劃分子網的情況下使用的子網路遮罩

劃分子網在一定程度上緩解了網際網路在發展中遇到的問題，但是數量巨大的C類網因為其位址空間大小并沒有得到充分利用，而網際網路的IP位址仍在加速消耗，整個IPv4位址空間面臨全部耗盡的威脅。

為此，網際網路工程任務組IETF又提出了采用無分類編址的辦法來解決IP位址緊張的問題，同時也成了了IPv6工作組。

1993年，IETF釋出了無分類域路由選擇CIDR（Classless Inter-Domain Routing）的RFC文檔。

CIDR消除了傳統的A類、B類和C類位址，以及劃分子網的概念

CIDR可以更加有效配置設定IPv4的位址空間，并且可以在新的IPv6使用之前允許網際網路的規模繼續增長。

CIDR使用“斜線記法”，或稱CIDR記法。即在IPv4位址後面加上斜線“/”，在斜線後面寫上網絡字首所占的比特數量。

CIDR實際上是将網絡字首都相同的連續的IP位址組成一個“CIDR位址快”。

我們隻直到CIDR位址快中的任何一個位址，就可以直到該位址塊的全部細節：

位址塊的最小位址

位址塊的最大位址

位址塊中的位址數量

位址塊聚合某類網絡（A類、B類或C類）的數量

位址掩碼（也可繼續稱為子網路遮罩）

請給出CIDR位址塊128.14.35.7/20的全部細節（最小位址、最大位址、位址數量、聚合C類網數量、位址掩碼）。

路由聚合（構造超網）

網絡字首越長，位址塊越小，路由越具體

若路由器查表轉發分組時發現有多條路由可選，則選擇網絡字首最長的那條，這稱為最長字首比對，因為這樣的路由更具體。

定長的子網路遮罩FLSM（Fixed Length Subnet Mask）

使用同一個子網路遮罩來劃分子網

每個子網所配置設定的IP位址數量相同，造成IP位址的浪費

變長的子網路遮罩VLSM（Variable Lenght Subnet Mask）

使用不同的子網路遮罩來劃分子網

每個子網所配置設定的IP位址數量可以不同，盡可能減少對IP位址的浪費

假設申請到的C類網絡為218.75.230.0，請使用定長的子網路遮罩給下圖所示的小型網際網路中的各裝置配置設定IP位址。（定長的子網路遮罩劃分）

變長的子網路遮罩劃分

IP資料報的發送和轉發過程包含以下兩個部分：

主機發送IP資料報

路由器轉發IP資料報

為了将中重點放在TCP/IP協定棧的網際層發送和轉發IP資料報的過程上，我們忽略使用ARP協定來擷取目的主機或路由器接口的MAC位址的過程以及以太網交換機自學習和轉發幀的過程。

間接傳遞

路由器收到IP資料報後如何轉發？

檢查IP資料報首部是否出錯：

若出錯，則直接丢棄該IP資料報并通告源主機

若沒有出錯，則進行轉發

根據IP資料報的目的位址在路由表中查找比對的條目：

若找到比對的條目，則轉發給條目中訓示的下一跳

若找不到，則丢棄該IP資料報并通告源主機

下列網絡裝置中，能夠抑制廣播風暴的是：路由器

中繼器和集線器工作在實體層，既不隔離沖突域也不隔離廣播域；

網橋和交換機（多端口網橋）工作在資料鍊路層，可以隔離沖突域，不能隔離廣播域；

路由器工作在網絡層，既能隔離沖突域，也能隔離廣播域。

靜态路由配置是指使用者或網絡管理者使用路由器的相關指令給路由器人工配置路由表。

這種人工配置方式簡單、開銷小。但不能及時适應網絡狀态（流量、拓撲等）的變化。

一般隻在小規模網絡中采用。

使用靜态路由配置可能出現以下導緻産生路由環路的錯誤

配置錯誤

聚合了不存在的網絡

網絡故障

靜态路由配置

預設路由

特定主機路由

靜态路由配置錯誤導緻路由環路

為了防止IP資料報在路由環路中永久兜圈，在IP資料報首部設有生存時間TTL字段。

IP資料報進入路由器後，TTL字段的值減1.若TTL的值不等于0，則被路由器轉發，否則被丢棄。

聚合了不存在的網絡而導緻路由環路

網絡故障而導緻路由環路

靜态路由選擇

由人工配置的網絡路由、預設路由、特定主機路由、黑洞路由等都屬于靜态路由

動态路由選擇

路由器通過路由選擇協定自動擷取路由資訊。

比較複雜、開銷比較大。能較好地适應網絡狀态的變換。

适用于大規模網絡。

網際網路所采用的路由選擇協定的主要特點：

自适應：動态路由選擇，能較好地适應網絡狀态的變化

分布式：路由器之間交換路由資訊

分層次：将整個網際網路劃分為許多較小的自治系統AS（Autonomous System）

網際網路采用分層次的路由選擇協定

常見的路由選擇協定

路由器的基本結構

路由資訊協定RIP（Routing Information Protocol）是内部網關協定IGP中最先得到廣泛使用的協定之一，RIP協定使用運輸層的使用者資料報UDP進行傳送。

RIP要求自治系統AS内的每一個路由器都要維護從它自己到AS内其他每一個網絡的距離記錄。這是一組距離，稱為“距離向量D-V（Distance-Vector）”。

RIP使用跳數（Hop Count）作為度量（Metric）來衡量到達目的網路的距離。

路由器到直連網絡的距離定義為1。

路由器到非直連網絡的距離定義為所經過的路由器數加1。

允許一條路徑最多隻能包含15各路由器。“距離”等于16時相當于不可達。

是以，RIP隻适用于小型網際網路。

RIP認為好的路由就是“距離短”的路由，也就是所通過路由器數量最少的路由。

當到達同一目的網絡有多條“距離相等”的路由時，可以進行等價負載均衡。

RIP包含以下三個要點：

和誰交換資訊 僅和相鄰路由器交換資訊

交換什麼資訊 自己的路由表

何時交換資訊 周期性交換（例如每30秒）

RIP的基本工作過程

路由器剛開始工作時，隻知道自己到直連網絡的距離為1。

每個路由器僅和相鄰路由器周期性地交換并更新路由資訊。

若幹次交換和更新後，每個路由器都知道到達本AS内各網絡的最短距離和下一跳位址，稱為收斂。

RIP的路由條目的更新規則

到達目的網絡，相同下一跳，最新消息，更新發現了新的網絡，添加

發現了新的網絡，添加

到達目的網絡，不同下一跳，新路由優勢，更新

到達目的網絡，不同下一跳，等價負載均衡

到達目的網絡，不同下一跳，新路由劣勢，不更新

RIP存在“壞消息傳播得慢”的問題

“壞消息傳播得慢”又稱為路由環路或距離無窮計數問題，這是距離向量算法的一個固有問題。可以采取多種措施減少出現該問題的機率或減少該問題帶來的危害。

限制最大路徑距離為15（16表示不可達）

當路由表發生變化時就立刻發送更新封包（即“觸發更新”），而不是周期性發送

讓路由器記錄收到某特定路由資訊的接口，而不讓同一路由資訊再通過此接口反方向傳送（即“水準分割”）

開放最短路徑優先OSPF（Open Shortest Path First），是為客服RIP的缺點在1989年開發出來的。

開放标明OSPF協定不是受某一家廠商控制，而是公開發表的。

最短路徑優先是因為使用了Dijkstra提出的最短路徑算法SPF。

OSPF是居于鍊路狀态的，而不是像RIP那樣基于距離向量的。

OSPF采用SPF算法計算路由，從算法上保證了不會産生路由環路。

OSPF不限制網絡規模，更新效率高，收斂速度快。

鍊路狀态是指本路由器都和哪些路由器相鄰，以及相鄰鍊路的“代價”（cost）。

“代價”用來表示費用、距離、時延、帶寬等。這些都是由管理人員來決定的。

舉例

OSPF相鄰路由器之間通過互動問候（Hello）分組，建立和維護鄰居關系。

Hello分組封裝在IP資料報中，發往多點傳播位址224.0.0.5；

-

發送周期為10秒

40秒未收到來自鄰居路由器的Hello分組，則認為該鄰居路由器不可達。

使用OSPF的每個路由器都會産生鍊路狀态通告LSA（Link State Avdertisement）。LSA中包含以下内容：

直接網絡的鍊路狀态資訊

鄰居路由器的鍊路狀态資訊

LSA被封裝在鍊路狀态更新分組LSU中，采用洪泛法發送。

R4的鍊路狀态通告LSA

直接網絡N1的鍊路狀态資訊

鄰居路由器R1的鍊路狀态資訊

鄰居路由器R3的鍊路狀态資訊

使用OSPF的每個路由器都有一個鍊路狀态資料庫LSDB，用于存儲LSA。

通過各路由器洪泛發送封裝有自己LSA的LSU分組，各路由器的LSDB最終将達到一緻。

使用OSPF的各路由器基于LSDB進行最短路徑優先SPF計算，建構出各自到達其他路由器的最短路徑，即建構各自的路由表。

OSPF有以下五種分組類型

類型1，問候（Hello）分組

用來發現和維護鄰居路由器的可達性。

類型2，資料庫描述（Database Description）分組

向鄰居路由器給出自己的鍊路狀态資料庫中的所有鍊路狀态項目的摘要資訊

類型3，鍊路狀态請求（Link State Request）分組

向鄰居路由器請求發送某些鍊路狀态項目的詳細資訊。

類型4，鍊路狀态更新（Link State Update）分組

路由器使用這種分組将其鍊路狀态洪泛發送，即用洪泛法對全網更新鍊路狀态。

類型5，鍊路狀态确認（Link State Acknowlwdgement）分組

這是對鍊路狀态更新分組的确認。

OSPF的基本工作過程

OSPF在多點接入網絡中路由器鄰居關系的建立

選取指定路由器DR（designated router）和備用的指定路由器BDR（backup designated router）

所有的非DR/BDR隻與DR/BDR建立鄰居關系

非DR/BDR之間通過DR/BDR交換資訊

為了使OSPF能夠用于規模很大的網絡，OSPF把一個自治系統再劃分為若幹個更小的範圍，叫做區域（Area）

網際網路采用分層的路由選擇協定

内部網關協定IGP（例如路由資訊協定RIP或開放最短路徑優先OSPF）

設法使分組在一個自治系統内盡可能有效地從源網絡傳輸到目的網絡

無需考慮自治系統外部其他方面的政策

外部網關協定EGP（例如邊界網關協定BGP）

在不同自治系統内，度量路由的“代價”（距離、帶寬、費用等）可能不同。是以，對于自治系統之間的路由選擇，使用“代價”作為度量來尋找最佳路由是不行的。

自治系統之間的路由選擇必須考慮相關政策（政治、經濟、安全等）

BGP隻能是力求尋找一條能夠到達目的網絡且比較好的路由（不能兜圈子），而并非尋找一條最佳路由。

在配置BGP時，每個自治系統的管理者要選擇至少一個路由器作為該自治系統的“BGP發言人“。

不同自治系統的BGP發言人要交換路由資訊，首先必須建立TCP連接配接，端口号為179

在此TCP連接配接上交換BGP封包以建立BGP會話

利用BGP會話交換路由資訊（例如：增加新的路由，或撤銷過時的路由，以及報告出錯的情況等）

使用TCP連接配接交換路由資訊的兩個BGP發言人，彼此稱為對方的鄰站（neighbor）或對等站（peer）

BGP發言人除了運作BGP外，還必須運作自己所在自治系統所使用的内部網關協定IGP，例如OSPF或RIP。

BGP發言人交換網絡可達性的資訊（要到達某個網絡所要經過的一系列自治系統）

當BGP發言人互相交換了網絡可達性的資訊後，各BGP發言人就根據所采用的政策從收到的路由資訊中找到到達各自治系統的較好的路由。也就是構造出樹型結構，不存在回路的自治系統的連通圖。

BGP适用于多級結構的網際網路

BGP-4有以下四種封包

OPEN（打開）封包：用來與相鄰的另一個BGP發言人建立關系，使通信初始化。

UPDATE（更新）封包：用來通告某一路由的資訊，以及列出要撤銷的多條路由。

KEEPALIVE（保活）封包：用來周期性地證明鄰站的連通性。

NOTIFICATION（通知）封包：用來發送檢測到的差錯。

直接封裝RIP、OSPF、BGP的封包的協定分别是：

<col>

協定

RIP（應用層協定）

OSPF（網絡層協定）

BGP

類型

内部

外部

路由算法

距離-向量

鍊路狀态

路徑-向量

傳遞協定

UDP

IP

TCP

路由選擇

跳數最少

代價最低

較好，非最佳

交換結點

和本結點相鄰的路由器

網絡中所有的路由器

交換内容

目前本路由器知道的全部資訊，即自己的路由表

與本路由器相鄰的所有路由器的鍊路狀态

首次，整個路由表；非首次，有變化的部分

首部長度字段

占4比特，表示IP資料報首部的長度。該字段的取值為4位元組為機關。

最小十進制取值為5，表示IP資料報首部隻有20位元組固定部分；

最大十進制取值為15，表示IP資料報首部包含20位元組固定部分和最大40位元組可變部分。

可選字段

長度從1個位元組到40個位元組不等。用來支援排錯、測量及安全的措施。

可選字段增加了IP資料報的功能，但這同時也使得IP資料報的首部長度稱為可變的。這就增加了每一個路由器處理IP資料報的開銷。實際上可選字段很少被使用。

填充字段

確定首部長度為4的整數倍。使用全0進行填充。

區分服務

占8比特，用來擷取更好的服務。

該字段在舊标準中叫做服務類型，實際上一直沒有被使用過。

利用該字段的不同數值可提供不同等級的服務品質。

隻有在使用區分服務時，該字段才起作用。一般情況下都不适用該字段。

總長度

占16比特，表示IP資料報的總長度（首部+資料載荷）。

最大取值為十進制的65535，以位元組為機關。

辨別

占16比特，屬于同一個資料報的各分片資料報應該具有相同的辨別。

IP軟體維持一個計數器，每産生一個資料報，計數器值加1，并将此值賦給辨別字段。

标志

占3比特，各比特含義如何：

DF位：1表示不允許分片；0表示允許分片

MF位：1表示後面還有分片；0表示這是最後一個分片。

片偏移

占13比特，指出分片資料報的資料載荷部分偏移其在原資料報的位置有多少個機關。

片偏移以8個位元組為機關。

對IPv4資料報進行分片

生存時間TTL

占8比特，最初以秒為機關，最大生存周期為255秒；路由器轉發IP資料報時，将IP資料報首部中的該字段的值減去IP資料報在本路由器上所耗費的時間，若不為0就轉發，否則就丢棄。

現在以”跳數“為機關，路由器轉發IP資料報時，将IP資料報首部中的該字段的值減1，若不為0就轉發，否則就丢棄。

舉例：生存時間TTL字段的作用 -- 防止IP資料報在網絡中永久兜圈

占8比特，指明IPv4資料報的資料部分是何種協定資料單元。

常用的一些協定和相應的協定字段值如下。

首部檢驗和

占16比特，用來檢測首部在傳輸過程中是否出現差錯。比CRC檢驗碼更簡單，稱為網際網路檢驗和。

IP資料報每經過一個路由器，路由器都要重新計算首部檢驗和，因為某些字段（生存時間、标志、片偏移等）的取值可能發生變化。

由于IP層本身并不提供可靠傳輸的服務，并且計算首部檢驗和是一項耗時的操作，是以在IPv6中，路由器不再計算首部檢驗和，進而更快轉發IP資料報。

源IP位址和目的IP位址

各占32比特，用來填寫發送該IP資料報的源主機的IP位址和接收該IP資料報的目的主機的IP位址。

為了更有效地轉發IP資料報和提高傳遞成功的機會，在網際層使用了網際控制封包協定ICMP（Internet Control Message Protocol）。

主機或路由使用ICMP來發送差錯報告封包和詢問封包。

ICMP封包被封裝在IP資料報中發送。

ICMP差錯報告封包共有以下五種：

終點不可達：當路由器或主機不能傳遞資料報時，就向源點發送終點不可達封包。具體可再根據ICMP的代碼字段細分為目的網絡可不達、目的主機不可達、目的協定不可達、目的端口不可達、目的網絡未知、目的主機未知等13種錯誤。

源點抑制：當路由器或主機由于擁塞而丢棄資料報時，就向源點發送源點抑制封包，使源點應當把資料報的發送速率放慢。

時間超過：當路由器收到一個目的位址不是自己的IP資料報時，會将其生存時間TTL字段的值減1。若結果不為0，則将該IP資料報轉發出去；若結果為0，則丢棄該IP資料報外，還要向源點發送時間超過封包。另外，當終點在預先規定的時間内不能收到一個資料報的全部資料報片時，就把已收到的資料報片都丢棄，也會向源點發送時間超過封包。

參數問題：當路由器或目的主機收到IP資料報後，根據其首部種的檢驗和字段發現首部在傳輸過程種出現了誤碼，就丢棄該資料報，并向源點發送參數問題封包。

改變路由（重定向）：路由器把改變路由封包發送給主機，讓主機直到下次應将資料報發送給另外的路由器（可通過更好的路由）。

以下情況不應該發送ICMP差錯報告封包：

對ICMP差錯報告封包不再發送ICMP差錯報告封包

對第一個分片的資料報片的所有後續資料報片都不發送ICMP差錯報告封包

對具有多點傳播位址的資料報都不發送ICMP差錯報告封包

對具有特殊位址（如127.0.0.0或0.0.0.0）的資料報不發送ICMP差錯報告封包。

常用的ICMP詢問封包有以下兩種：

回送請求和回答

ICMP回送請求封包是由主機或路由器向一個特定的目的主機發出的詢問。

收到此封包的主機必須給源主機或路由器發送ICMP回送回答封包。

這種詢問封包用來測試目的站是否可達及了解其有關狀态。

時間戳請求和回答

ICMP時間戳請求封包是請求某個主機或路由器回答目前的日期和時間。

在ICMP時間戳回答封包中有一個32位的字段，其中寫入的整數代表從1900年1月1日起到目前時刻一共有多少秒。

這種詢問封包用來進行時鐘同步和測量時間。

ICMP應用舉例

分組網間探測PING（Packet InterNet Groper）

用來測試主機或路由器間的連通性

應用層直接使用網際層的ICMP（沒有運輸層的TCP或UDP）

使用ICMP回送請求和回答封包

跟蹤路由tracerouter

用來測試IP資料報從源主機到達目的主機要經過哪些路由器

Windows版本

tracert指令

應用層直接使用網際層ICMP

使用了ICMP回送請求和回答封包以及差錯檢測報告封包。

Unix版本

traceroute指令

在運輸層使用UDP協定

僅使用ICMP差錯報告封包

虛拟專用網VPN（Virtual Private Network）

利用公用的網際網路作為本機構各專用網之間的通信載體，這樣的專用網又稱為虛拟專用網。由于IPv4位址的緊缺，一個機構能夠申請到的IPv4位址數量往往遠小于本機構所擁有的主機數量。是以，虛拟專用網中的各主機所配置設定的位址應該是本機構可自由配置設定的專用位址，而不是需要申請的、在網際網路上使用的公用位址。

如下圖所示，同一機構内不同部門的内部網絡所構成的虛拟專用網VPN又稱為内聯網VPN。

有時一個機構的VPN需要有某些外部機構（通常就是合作夥伴）參加進來。這樣的VPN就稱為外聯網VPN。

在外地工作的員工需要通路公司内部的專用網絡時，隻要在任何地點接入網際網路，運作駐留在員工PC中的VPN軟體，在員工的PC和公司的主機之間建立VPN隧道，即可通路專用網絡中的資源。這樣VPN稱為遠端接入VPN。

網絡位址轉換NAT（Network Address Translation）

雖然網際網路采用了無分類編址方式來緩解IPv4位址空間耗盡的速度，但由于網際網路使用者數目的激增，特别是大量小型辦公室網絡和家庭網絡接入網際網路的需求不斷增加，IPv4位址空間即将面臨耗盡的危險仍然沒有解除。

1994年提出了一種網絡位址轉換NAT的辦法再次緩解了IPv4位址空間即将耗盡的問題。

NAT能使大量使用内部專用位址的專用網絡使用者共享少量外部全球位址來通路網際網路上的主機和資源。

IPv6的概念

IPv6的位址用16B（即128bit）表示。

IPv6減少了頭部字段數目，僅包含7個字段

IPv6支援QoS，以滿足實時、多媒體通信的需要

由于目前網闊傳輸媒體的可靠性較高，出現比特錯誤的可能性很低，且資料鍊路層和傳輸層有自己的校驗，為了效率，IPv6沒有校驗和字段。

IPv6的首部長度是固定不變的，是以不需要首部長度字段。

IPv6中不允許分片。是以，如果路由器發現到來的資料報太大而不能轉發到鍊路上，那麼丢棄該資料報，并向發送方發送一個訓示分組太大的ICMP封包。

IPv6資料報的目的位址可以是以下三種基本類型位址之一：

單點傳播：單點傳播就是傳統的點對點通信

多點傳播：多點傳播是一點對多點的通信，分組被傳遞到一組計算機的每台計算機。

任播：是IPv6增加的一種類型。任播的目的站是一組計算機，但資料報在傳遞時隻傳遞其中的一台計算機，通常是舉例最近的一台計算機。

IPv6擴充了IPv4位址的分級概念，它使用以下3個等級：

第一級（頂級）指明全球都直到的公共拓撲

第二級（場點級）指明單個場點

第三級指明單個網絡接口。

IPv6位址采用多級體系主要是為了使路由器能夠更快地查找路由。

IPv4向IPv6過渡可以采用雙協定棧和隧道技術兩種政策：

雙協定棧技術：指在一台裝置上同時安裝有IPv4和IPv6協定棧，那麼這台裝置既能和IPv4網絡通信，又能和IPv6網絡通信。

隧道技術：是将整個IPv6資料報封裝到IPv4資料報的資料部分，使得IPv6資料報可以在IPv4網絡的隧道中傳輸。

IP資料報的三種傳輸方式：

單點傳播：用于發送資料包到單個目的地，且每發送一份單點傳播封包都使用一個單點傳播IP位址作為目的位址。是一種點對點的傳輸方式。

廣播：是指發送資料包到同一廣播域或子網内的所有裝置的一種資料傳輸方式，是一種點對多點的傳輸方式。

多點傳播（多點傳播）：當網絡中的某些使用者需要特定資料時，多點傳播資料發送者僅發送一次資料，借助多點傳播路由協定為多點傳播資料包建立多點傳播分發樹，被傳遞的資料到達距離使用者端盡可能近的結點才開始複制和分發，是一種點對多點傳輸方式。

單點傳播：在發送者和每一接收者之間需要單獨的資料信道。

多點傳播：提高了資料傳送效率。減少了主幹網出現擁塞的可能性。多點傳播組中的主機可以是在同一個實體網絡，也可以來自不同的實體網路（如果有多點傳播路由器的支援）。

IP多點傳播位址

IP多點傳播位址讓源裝置能夠将分組發送給一組裝置。屬于多點傳播組的裝置被配置設定一個多點傳播組IP位址（一群共同需求主機的相同辨別）。

多點傳播位址範圍為244.0.0.0~239.255.255.255（D類位址），一個D類位址表示一個多點傳播組。隻能用作分組的目标位址。源位址總是單點傳播位址。

多點傳播資料報也是“盡最大努力傳遞”，不提供可靠傳遞，應用于UDP。

對多點傳播資料報不産生ICMP差錯封包。

并非所有D類位址都可以作為多點傳播位址。

硬體多點傳播

同單點傳播位址一樣，多點傳播IP位址也需要相應的多點傳播MAC位址在本地網絡中實際傳送幀。多點傳播MAC位址以16進制值01-00-5E打頭，餘下的6個十六進制位是根據IP多點傳播組位址的最後23位轉換得到的。

IGMP協定于多點傳播路由選擇協定

網際組管理協定IGMP：IGMP協定讓路由器知道本區域網路上是否有主機（的程序）參加或退出了某個多點傳播組。

ICMP和IGMP都是用IP資料報傳遞封包。

IGMP工作的兩個階段：

某主機要加入多點傳播組時，該主機向多點傳播組的多點傳播位址發送一個IGMP封包，聲稱自己要成為改組的成員。本機多點傳播路由器收到IGMP封包後，要利用多點傳播路由選擇協定把這組成員關系發給網際網路上的其他多點傳播路由器。

本地多點傳播路由器周期性探詢本地區域網路上的主機，以便知道這些主機是否還是多點傳播組的成員。隻要有一個主機對某個組相應，那麼多點傳播路由器就認為這個組是活躍的；如果經過幾次探詢後沒有一個主機相應，多點傳播路由器就認為本網絡上的沒有此多點傳播組的主機，是以就不再把這組的成員關系發給其他的多點傳播路由器。

多點傳播路由選擇協定

多點傳播路由協定目的是找出以源主機為根節點的多點傳播轉發樹。

構造樹可以避免在路由器之間兜圈子。

對不同的多點傳播組對應于不同的多點傳播轉發樹；同一個多點傳播組，對不同的源點也會有不同的多點傳播轉發樹。

三種算法：

基于鍊路狀态的路由選擇

基于距離-向量的路由選擇

協定無關的多點傳播（稀疏/密集）

移動IP技術是移動結點（計算機/伺服器等）以固定的網絡IP位址，實作跨越不同網段的漫遊功能，并保證了基于網絡IP的網路權限在漫遊過程中不發生任何改變。

移動結點: 具有永久IP位址的移動裝置。

歸屬代理（本地代理）：一個移動結點的永久“居所”稱為歸屬網絡，在歸屬網絡中代表移動結點執行移動管理功能的實體叫做歸屬代理。

永久位址（歸屬位址/主位址）：移動站點在歸屬網絡中的原始位址。

外部代理（外地代理）：在外部網絡中幫助移動結點完成移動管理功能的實體稱為外部代理。

轉交位址（輔位址）：可以是外部代理的位址或動态配置的一個位址。

移動IP通信過程

A光進入外部網絡：

獲得外部代理的轉交位址（外部代理廣播封包）。

移動節點通過外部代理發送注冊封包交給歸屬代理（包含永久位址&amp;轉交位址）。

歸屬代理接收請求，并将移動節點的永久位址和轉交位址綁定（以後到達該歸屬代理的資料報且要發往移動節點的資料報将被封裝并以隧道方式發給轉交位址），并傳回一注冊響應封包。

外部代理接收注冊響應，并轉發給移動節點。

A移動到下一個網絡：

在新外部代理登記注冊一個轉交位址。

新外部代理給本地代理發送新的轉交位址（覆寫舊的）。

通信

A回到了歸屬網絡：

A向本地代理登出轉交位址。

按原始方式通信。

路由器：是一種具有多個輸入端口和多個輸出端口的專用計算機，其任務是轉發分組。

路由選擇：根據所標明的路由選擇協定構造出路由表，同時經常或定期地和相鄰路由器交換路由資訊而不斷地更新和維護路由表。

分組轉發：

交換結構：根據轉發表（路由表得來）對分組進行轉發。

若收到RIP/OSPF分組等，則把分組送往路由選擇處理機：若收到資料分組，則查找轉發表并輸出。

輸入端對線路上收到的分組的處理

輸出端口将交換結構所傳來的分組發送到線路

若路由器處理分組的速率趕不上分組進入隊列的速率，則隊列的存儲空間最終必将減少到零，這就使後面再進入隊列的分組由于沒有存儲空間而隻能被丢棄。

路由器中的輸入或輸出隊列産生溢出是造成分組丢失的重要原因。

三層裝置的差別

路由器：可以互聯兩個不同網絡層協定的網段。

網橋：可以互聯兩個實體層和鍊路層不同的網段。

集線器：不能互聯兩個網絡層不同的網段。