| 網絡層組成 |
| IP封包 |
- 1.版本:ip封包中,版本占了4位,用來表示該協定采用的是那一個版本的ip,相同版本的ip才能進行通信。一般此處的值為4,表示ipv4。
- 2.頭長度:該字段用四位表示,表示整個ip標頭的長度,其中數的機關是4位元組。即二進制數0000-1111(十進制數0-15),其中一個最小長度為0位元組,最大長度為60位元組。一般來說此處的值為0101,表示頭長度為20位元組。
- 3.Tos服務字段:該字段用8位表示。該字段一般情況下不使用。
- 4..總長度:該字段表示整個ip封包的長度,機關是1位元組。能表示的最大位元組為2^16-1=65535位元組。不過由于鍊路層的MTU限制。超過1480位元組後就會被分片(以太幀MTU為1500的情況下,除去20位元組的標頭)
- 5.辨別:該字段是ip軟體實作的時候自動産生的,該字段的目的不是為了接受方的按序接受而設定的,而是在ip分片以後,用來辨別同一片分片的。友善ip分片的重組。
- 6.标志:該字段是與ip分片有關的。其中有三位,但隻有兩位是有效的,分别為MF,DF,MF。MF辨別後面是否還有分片,為1時,表示後面還有分片。DF辨別是否能分片,為0表示可以分片。
- 7.片偏移:該字段是與ip分片後,相應的ip片在總的ip片的位置。該字段的機關是8位元組。比如,一個長度為4000位元組的ip封包,到達路由器。這是超過了鍊路層的MTU,需要進行分片,4000位元組中,20位元組為標頭,3980位元組為資料,需要分成3個ip片(鍊路層MTU為1500),那麼第一個分片的片偏移就是0,表示該分片在3980的第0位開始,第1479位結束。第二個ip片的片偏移為185(1480/8),表示該分片開始的位置在原來ip的第1480位,結束在2959。第三片的片偏移為370(2960/8),表示開始的時候是2960位,結束的時候在3979位。
- 8.TTL:該片表示生存周期,該值占8位。ip分片每經過一個路由器該值減一,它的出現是為了防止路由環路,浪費帶寬的問題。比如,該ip在R1路由器發送到R2路由器。R2路由器又發給R1路由器。防止這種循環。window系統預設為128.
- 9.協定:該值辨別上層的協定。占8位。其中1,辨別ICMP、2辨別IGMP、6辨別TCP、17辨別UDP、89辨別OSPF。
- 10校驗和:該值是對整個資料包的標頭進行的校驗。占16位。
-
11.源位址和目的位址。辨別發送ip片的源和目的ip,32位
關于更多IP的知識請點選《IP位址詳細介紹》
| 常見路由協定介紹 |
常見的路由協定有RIP、IGRP(Cisco私有協定)、EIGRP(Cisco私有協定)、OSPF、IS-IS、BGP等。
RIP、IGRP、EIGRP、OSPF、IS-IS是内部網關協定(IGP),适用于單個ISP的統一路由協定的運作,一般由一個ISP營運的網絡位于一個AS(自治系統)内,有統一的AS number(自治系統号)。BGP是自治系統間的路由協定,是一種外部網關協定,多用于不同ISP之間交換路由資訊,以及大型企業、政府等具有較大規模的私有網絡。
RIP
RIP“路由資訊協定(Route Information Protocol)”的簡寫,主要傳遞路由資訊,通過每隔30秒廣播一次路由表,維護相鄰路由器的位置關系,同時根據收到的路由表資訊計算自己的路由表信 息。RIP是一個距離矢量路由協定,最大跳數為16跳,16跳以及超過16跳的網絡則認為目标網絡不可達。此協定通常用在網絡架構較為簡單的小型網絡環境.現在分為RIPv1和RIPv2兩個版本,後者支援VLSM技術以及一系列技術上的改進。RIP的收斂速度較慢。
PS:路由收斂指網絡的拓撲結構發生變化後,路由表重建立立到發送再到學習直至穩定,并通告網絡中所有相關路由器都得知該變化的過程。也就是網絡拓撲變化引起的通過重新計算路由而發現替代路由的行為。
OSPF
OSPF協定是“開放式最短路徑優先(Open Shortest Path First)”的縮寫,屬于鍊路狀态路由協定。OSPF提出了“區域(area)”的概念,每個區域中所有路由器維護着一個相同的鍊路狀态資料庫 (LSDB)。區域又分為骨幹區域(骨幹區域的編号必須為0)和非骨幹區域(非0編号區域),如果一個運作OSPF的網絡隻存在單一區域,則該區域可以是 骨幹區域或者非骨幹區域。如果該網絡存在多個區域,那麼必須存在骨幹區域,并且所有非骨幹區域必須和骨幹區域直接相連。OSPF利用所維護的鍊路狀态資料 庫,通過最短生成樹算法(SPF算法)計算得到路由表。OSPF的收斂速度較快。由于其特有的開放性以及良好的擴充性,目前OSPF協定在各種網絡中廣泛部署。
OSPF共有以下5種分組類型:
1、問候(Hello)分組,用來發現和維持鄰站的可達性。
2、資料庫描述(Database Description)分組,向鄰站發出自己鍊路狀态資料庫中所有鍊路狀态項目的摘要資訊。
3、鍊路狀态請求(Link State Request)分組,像對方請求發送某些鍊路狀态項目的詳細資訊。
4、鍊路狀态更新(Link State Update)分組,用洪泛法對全網更新鍊路狀态。
5、鍊路狀态确認(Link State Acknowledgment)分組,對鍊路更新分組的确認。
為了使OSPF能夠用于規模很大的網絡,OSPF将一個自治系統再劃分為若幹個更小的範圍,叫做區域。下圖表示一個自治系統劃分為4個區域。每個區域都有一個32位的區域标志符(用點分十進制表示)
當然,一個區域也不能太大,一個區域内的路由器最好不超過200個。
IS-IS
IS-IS協定是Intermediate system to intermediate system(中間系統到中間系統)的縮寫,屬于鍊路狀态路由協定。标準IS-IS協定是由國際标準化組織制定的ISO/IEC 10589:2002 所定義的,标準IS-IS不适合用于IP網絡,是以IETF制 定了适用于IP網絡的內建化IS-IS協定(Integrated IS-IS)。和OSPF相同,IS-IS也使用了“區域”的概念,同樣也維護着一份鍊路狀态資料庫,通過最短生成樹算法(SPF)計算出最佳路徑。 IS-IS的收斂速度較快。內建化IS-IS協定是ISP骨幹網上最常用的IGP協定。
IGRP
IGRP協定是“内部網關路由協定(Interior Gateway Routing Protool)”的縮寫,由Cisco于 二十世紀八十年代獨立開發,屬于Cisco私有協定。IGRP和RIP一樣,同屬距離矢量路由協定,是以在諸多方面有着相似點,如IGRP也是周期性的廣 播路由表,也存在最大跳數(預設為100跳,達到或超過100跳則認為目标網絡不可達)。IGRP最大的特點是使用了混合路徑成本,同時考慮了鍊路的帶寬、 延遲、負載、MTU、可靠性5個方面來計算路由的路徑成本,而不像其他IGP協定單純的考慮某一個方面來計算路徑成本。目前IGRP已經被Cisco獨立開發的EIGRP協定所取代,版本号為12.3及其以上的Cisco IOS(Internetwork Operating System)已經不支援該協定,現在已經罕有運作IGRP協定的網絡。EIGRP
由于IGRP協定的種種缺陷以及不足,Cisco開發了EIGRP協定(增強型内部網關路由協定)來取代IGRP協定。EIGRP屬于進階距離矢量 路由協定(又稱混合型路由協定),繼承了IGRP的混合路徑成本,最大特點在于引入了非等價負載均衡技術,并擁有極快的收斂速度。EIGRP協定在 Cisco裝置網絡環境中廣泛部署。
BGP
為了維護各個ISP的獨立利益,标準化組織制定了ISP間的路由協定BGP。 BGP是“邊界網關協定(Border Gateway Protocol)”的縮寫,處理各ISP之間的路由傳遞。但是BGP運作在相對核心的地位,需要使用者對網絡的結構有相當的了解,否則可能會造成較大損失
| 虛拟專用網絡VPN |
1.虛拟專用網絡的功能
在公用網絡上建立專用網絡,進行加密通訊。在企業網絡中有廣泛應用。VPN網關通過對資料包的加密和資料包目标位址的轉換實作遠端通路。VPN有多種分類方式,主要是按協定進行分類。VPN可通過伺服器、硬體、軟體等多種方式實作。
★VPN并沒有真正使用通信專線,而是在效果上和真正的專線一樣。它使用IP隧道技術實作虛拟專用網★
2.根據不同的标準分類
2.1、按VPN的協定分類:
VPN的隧道協定主要有三種,PPTP、L2TP和IPSec,其中PPTP和L2TP協定工作在OSI模型的第二層,又稱為二層隧道協定;IPSec是第三層隧道協定。
2.2、按VPN的應用分類:
(1)Access VPN(遠端接入VPN):用戶端到網關,使用公網作為骨幹網在裝置之間傳輸VPN資料流量;
(2)Intranet VPN(内聯網VPN):網關到網關,通過公司的網絡架構連接配接來自同公司的資源;
(3)Extranet VPN(外聯網VPN):與合作夥伴企業網構成Extranet,将一個公司與另一個公司的資源進行連接配接。
2.3、按所用的裝置類型進行分類:
網絡裝置提供商針對不同客戶的需求,開發出不同的VPN網絡裝置,主要為交換機、路由器和防火牆:
(1)路由器式VPN:路由器式VPN部署較容易,隻要在路由器上添加VPN服務即可;
(2)交換機式VPN:主要應用于連接配接使用者較少的VPN網絡;
(3)防火牆式VPN:防火牆式VPN是最常見的一種VPN的實作方式,許多廠商都提供這種配置類型
2.4.按照實作原理劃分:
(1)重疊VPN:此VPN需要使用者自己建立端節點之間的VPN鍊路,主要包括:GRE、L2TP、IPSec等衆多技術。
(2)對等VPN:由網絡營運商在主幹網上完成VPN通道的建立,主要包括MPLS、VPN技術。
3.常用VPN技術
3.1 MPLS VPN是一種基于MPLS技術的IP VPN,是在網絡路由和交換裝置上應用MPLS(Multiprotocol Label Switching,多協定标記交換)技術,簡化核心路由器的路由選擇方式,利用結合傳統路由技術的标記交換實作的IP虛拟專用網絡(IP VPN)。MPLS優勢在于将二層交換和三層路由技術結合起來,在解決VPN、服務分類和流量工程這些IP網絡的重大問題時具有很優異的表現。是以,MPLS VPN在解決企業互連、提供各種新業務方面也越來越被營運商看好,成為在IP網絡營運商提供增值業務的重要手段。MPLS VPN又可分為二層MPLS VPN(即MPLS L2 VPN)和三層MPLS VPN(即MPLS L3 VPN)。
3.2 SSL VPN是以HTTPS(Secure HTTP,安全的HTTP,即支援SSL的HTTP協定)為基礎的VPN技術,工作在傳輸層和應用層之間。SSL VPN充分利用了SSL協定提供的基于證書的身份認證、資料加密和消息完整性驗證機制,可以為應用層之間的通信建立安全連接配接。SSL VPN廣泛應用于基于Web的遠端安全接入,為使用者遠端通路公司内部網絡提供了安全保證。
3.3 IPSec VPN是基于IPSec協定的VPN技術,由IPSec協定提供隧道安全保障。IPSec是一種由IETF設計的端到端的確定基于IP通訊的資料安全性的機制。它為Internet上傳輸的資料提供了高品質的、可互操作的、基于密碼學的安全保證。