最短路徑路由算法課件

1、第7章 網(wǎng)絡(luò)層學(xué)習(xí)本章方法本章是本書最重要的一章,其中7.5節(jié)是重中之重. 1) 算法著重理解,也可自己發(fā)明新的算法或改進(jìn)已有的算法,并能根據(jù)現(xiàn)有的算法編寫程序 2) IP地址,子網(wǎng)的劃分,超網(wǎng)的構(gòu)造,路由選擇網(wǎng)絡(luò)層是向傳輸層提供以下服務(wù): 路由選擇 擁塞控制 網(wǎng)絡(luò)互聯(lián)第7 章網(wǎng)絡(luò)層ISO 定義 網(wǎng)絡(luò)層為一個網(wǎng)絡(luò)連接的兩個傳送實體間交換網(wǎng)絡(luò)服務(wù)數(shù)據(jù)單元提供功能和規(guī)程的方法，它使傳送實體獨立于路由選擇和交換的方式。網(wǎng)絡(luò)層與數(shù)據(jù)鏈路層的區(qū)別： 網(wǎng)絡(luò)層是將源端發(fā)出的分組經(jīng)各種途徑送到目的端。 而數(shù)據(jù)鏈路層僅將數(shù)據(jù)幀從傳輸介質(zhì)的一端送到另一端。因此，網(wǎng)絡(luò)層是處理端到端數(shù)據(jù)傳輸?shù)淖畹蛯?。網(wǎng)絡(luò)層要解決的關(guān)

2、鍵問題 了解通信子網(wǎng)的拓?fù)浣Y(jié)構(gòu)，選擇路由。7.2 路由算法路由算法 就是產(chǎn)生路由表的算法； 是網(wǎng)絡(luò)層軟件的一部分。 子網(wǎng)采用數(shù)據(jù)報方式，每個包都要做路由選擇； 子網(wǎng)采用虛電路方式，只需在建立連接時做一次 路由選擇。理想的路由算法 正確性（correctness）：算法必須正確； 簡單性（simplicity）： 算法開銷小，效率高； 健壯性（robustness）： 算法能適應(yīng)網(wǎng)絡(luò)負(fù)荷和拓樸的變化； 穩(wěn)定性（stability）： 算法必須收斂，不能振蕩發(fā)散； 振蕩：算法得出的路由是在一些路由之間回蕩。 公平性（fairness）：算法對所有用戶必須是平等的； 最優(yōu)性（optimality）：

3、算法應(yīng)提供最佳路徑選擇； 最佳：鏈路長度、傳輸時延、數(shù)據(jù)速率、鏈路容量、鏈路 差錯率、鏈路丟失率等。路由算法分類 非自適應(yīng)算法（靜態(tài)路由算法）； 簡單、開銷小，但不能適應(yīng)網(wǎng)絡(luò)狀態(tài)變化； 采用離線方式求出路由表。 自適應(yīng)算法（動態(tài)路由算法）； 復(fù)雜、開銷大，但能適應(yīng)網(wǎng)絡(luò)狀態(tài)變化；7.2.1最優(yōu)化原則（optimality principle） 從所有的源結(jié)點到一個給定的目的結(jié)點的最優(yōu)路由的集合形成了一個以目的結(jié)點為根的樹，稱為匯集樹（sink tree） ； 路由算法的目的是找出并使用匯集樹。最短路徑路由算法屬于靜態(tài)路由算法基本思想 構(gòu)建子網(wǎng)的拓?fù)鋱D，圖中的每個結(jié)點代表一個路由器，每條弧代表一條

4、通信線路。為了選擇兩個路由器間的路由，算法在圖中找出最短路徑。測量路徑長度的方法結(jié)點數(shù)量地理距離傳輸延遲距離、信道帶寬等參數(shù)的加權(quán)函數(shù)Dijkstra算法 采用標(biāo)注的方式求出某一結(jié)點的匯集樹和路由表。每個結(jié)點用從源結(jié)點沿已知最佳路徑到本結(jié)點的距離來標(biāo)注，標(biāo)注分為臨時性標(biāo)注和永久性標(biāo)注；初始時，所有結(jié)點都為臨時性標(biāo)注，標(biāo)注為無窮大；將源結(jié)點標(biāo)注為0，且為永久性標(biāo)注，并令其為工作結(jié)點；檢查與工作結(jié)點相鄰的臨時性結(jié)點，若該結(jié)點到工作結(jié)點的距離與工作結(jié)點的標(biāo)注之和小于該結(jié)點的標(biāo)注，則用新計算得到的和重新標(biāo)注該結(jié)點；在整個圖中查找具有最小值的臨時性標(biāo)注結(jié)點，將其變?yōu)橛谰眯越Y(jié)點，并成為下一輪檢查的工作結(jié)點

5、； 重復(fù)第、步，直到所有結(jié)點成為工作結(jié)點；請指出AD最短路徑Dijkstra算法程序7.2.3洪泛算法（也叫擴(kuò)散算法）屬于靜態(tài)路由算法基本思想 把收到的每一個包，向除了該包到來的線路外的所有輸出線路發(fā)送。主要問題 產(chǎn)生大量重復(fù)包，導(dǎo)致出現(xiàn)擁塞現(xiàn)象。解決措施 方法1：每個包頭包含站點計數(shù)器（端到端的最大段數(shù)），每經(jīng)過一站計數(shù)器減1，為0時則丟棄該包。 方法2：在每個節(jié)點建立一個登記表，凡經(jīng)過此節(jié)點的進(jìn)行登記，若再次經(jīng)過該節(jié)點，丟棄該包。選擇性擴(kuò)散算法（selective flooding）擴(kuò)散法的一種改進(jìn)。將進(jìn)來的每個包僅發(fā)送到與正確方向接近的線路上。應(yīng)用情況路由器和線路的資源過于浪費，實際很少

6、直接采用；具有很強的健壯性，常用于軍用網(wǎng)；作為衡量標(biāo)準(zhǔn)評價其它路由算法。7.2.4基于流量的路由算法屬于靜態(tài)路由算法基本思想既考慮拓?fù)浣Y(jié)構(gòu)，又兼顧網(wǎng)絡(luò)負(fù)荷；前提：每對結(jié)點間平均數(shù)據(jù)流相對穩(wěn)定和可預(yù)測；根據(jù)網(wǎng)絡(luò)帶寬和平均流量，可得出平均包延遲，因此路由選擇問題歸結(jié)為找產(chǎn)生網(wǎng)絡(luò)最小延遲的路由選擇算法;提前離線計算。需要預(yù)知的信息網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；通信量矩陣Fij，即線路ij之間的平均通信量。線路帶寬矩陣Cij，即線路ij 之間允許的最大通信量。路由算法（可能是臨時的）。7.2.5距離矢量路由算法屬于動態(tài)路由算法 最初應(yīng)用于ARPANET，后來應(yīng)用于因特網(wǎng)的RIP協(xié)議（路由信息協(xié)議）?；舅枷朊總€結(jié)點通

7、過測取與相鄰結(jié)點的距離，再依據(jù)與其相鄰結(jié)點交換的距離信息，間接地求出路由表；各結(jié)點周期性地測取相鄰結(jié)點的距離； 向相鄰結(jié)點發(fā)送它到每個目的結(jié)點的距離表，同時，它也接收每個鄰居結(jié)點發(fā)來的距離表；結(jié)點中的老路由表在計算中不被使用。操作過程：每個路由器維護(hù)一張表，表中列出了到每個目的地址的最佳距離和線路，并通過與鄰居結(jié)點交換信息來更新表。表(路由表)的構(gòu)成：以子網(wǎng)中其它路由器為表的索引，到達(dá)目的結(jié)點的最佳輸出線路，和到達(dá)目的結(jié)點所需時間或距離。路由器需要知曉自己到鄰居結(jié)點的“距離”。所用的度量標(biāo)準(zhǔn)可以為站點、估計的時間延遲等。如果為站點，本路由器到每個鄰居結(jié)點的距離都為1。如果是延遲，本路由器就發(fā)送

8、一個要對方立即響應(yīng)的ECHO分組，用來回時間除以2即得到延遲時間，每隔一段時間，路由器向所有鄰居結(jié)點發(fā)送它到每個目的結(jié)點的距離表，同時它也接收每個鄰居結(jié)點發(fā)來的距離表。鄰居結(jié)點X發(fā)來的表中，X到路由器i的距離為Xi。本路由器到X的距離為m，則本路由器經(jīng)過X到i的距離為Xi + m。根據(jù)不同鄰居發(fā)來的信息，計算Xi + m，取最小值，更新本路由器的表。注意：在計算中不使用本路由器中的老路由表。路由器J計算到達(dá)路由器C的最新路由JAC=8+25=33msJIC=10+18=28msJHC=12+19=31msJKC=6+36=42ms其中JIC是最好的。因此在路由器J的新路由表中填上到C的延遲為2

9、8ms，經(jīng)過路由器I。距離向量路由算法的缺陷缺陷無窮計算問題對好消息反應(yīng)迅速：在最長路徑為N各結(jié)點的子網(wǎng)中，在N次交換之內(nèi)，所有的路由器都會指導(dǎo)新增的線路和路由器。對壞消息反應(yīng)遲鈍：對于已經(jīng)消失的結(jié)點，相互欺騙。圖例如下。水平分裂算法基本思想工作過程與距離向量算法相同，區(qū)別在于到X的距離不向真正通向X的鄰居結(jié)點報告。從而使得壞消息以每次一個結(jié)點的速度傳播。舉例：如右圖。在路由信息的交換中，B知道可以直達(dá)A，并告訴C，通過B到C路徑為1。C得到B發(fā)來的路由信息后，告訴D通過C到達(dá)A距離為2，告訴B通過C到達(dá)A為無窮。D得到C發(fā)來的路由信息后，告訴E通過D到達(dá)A距離為3，告訴C通過D到達(dá)A為無窮。

10、當(dāng)A下網(wǎng)后，第一次交換：B發(fā)現(xiàn)到達(dá)A的直達(dá)路線沒有了，而且C也向B說到達(dá)A為無窮，故B將其到達(dá)A的距離設(shè)置為無窮。第二次交換：C得到B的通知，B到達(dá)A為無窮；同時D也告訴C，通過D到達(dá)A為無窮，故C將其到達(dá)A的距離設(shè)置為無窮。以次類推，在第四次交換的時候，E也知道A不可達(dá)了。解決方案之一水平分裂A B C D E水平分裂不能解決所有的問題水平分裂雖然廣泛使用，但有時候會失敗。如右圖。開始時，A和B到D的舉例都為2，C到D的舉例為1。假設(shè)CD線路斷了，使用水平分裂，A和B都告訴C，它們不能到達(dá)D，同時C自己也發(fā)現(xiàn)直達(dá)D的線路斷了，于是C很快認(rèn)定D不可達(dá)了。但是，A認(rèn)為B有一條通向D長度為2的路徑

11、，通過B經(jīng)過3個結(jié)點可到達(dá)D。類似，B也這樣認(rèn)為。于是兩個結(jié)點每交換一次信息，到達(dá)D的距離就增加1，直至加大無窮。7.2.6鏈路狀態(tài)路由算法距離向量路由算法的主要問題由于延遲度量僅僅是隊列長度，在選擇路由時沒有考慮線路帶寬。即使使用了水平分裂，路由收斂速度依然慢。在1979年前，ARPANET上都采用距離向量路由算法，但是之后，即為鏈路狀態(tài)路由算法所替代。鏈路狀態(tài)路由算法的簡單步驟發(fā)現(xiàn)鄰居結(jié)點，并學(xué)習(xí)它們的網(wǎng)絡(luò)地址。測量到每個鄰居結(jié)點的延遲或開銷。將所有學(xué)習(xí)到的內(nèi)容封裝成一個分組。將這個分組發(fā)送給所有其它路由器。計算到每個其它路由器的最短路徑。步驟1：發(fā)現(xiàn)鄰居結(jié)點發(fā)現(xiàn)鄰居結(jié)點，并學(xué)習(xí)它們的網(wǎng)絡(luò)

12、地址。路由器啟動后，通過發(fā)送HELLO分組，并得到鄰居路由器的響應(yīng)來發(fā)現(xiàn)鄰居結(jié)點。路由器的名稱必須是唯一的。當(dāng)兩個或多個路由器連在一個LAN時，引入人工結(jié)點。圖例。步驟2/3：測量線路開銷和封裝分組測量到每個鄰居結(jié)點的延遲或開銷，一種直接的方法是：發(fā)送一個要對方立即響應(yīng)的ECHO分組，來回時間除以2即為延遲時間。如果在測量延遲時間的時候，考慮負(fù)載，會是什么情況？將所有學(xué)習(xí)到的內(nèi)容封裝成一個分組，即在信息收集完畢后，構(gòu)造一個包含所有數(shù)據(jù)的分組。該分組的結(jié)構(gòu)為：發(fā)送方的標(biāo)識符、序號、年齡、鄰居結(jié)點列表（鄰居結(jié)點標(biāo)識符，線路開銷值）。創(chuàng)建鏈路狀態(tài)分組的時機：一是定期創(chuàng)建，一是在發(fā)生重大事件后創(chuàng)建。步

13、驟4：發(fā)布鏈路狀態(tài)分組鏈路狀態(tài)分組的發(fā)布算法基本思想：洪泛鏈路狀態(tài)分組。為控制洪泛，每個分組中增加一個序號域，每次發(fā)送新分組時加1。路由器記錄信息對(源路由器，序號)，當(dāng)一個鏈路狀態(tài)分組到達(dá)時，若是新的，則分發(fā)；若是重復(fù)的，則丟棄；若序號比路由器記錄中的最大序號小，則認(rèn)為過時而丟棄?；舅惴ㄋa(chǎn)生的問題序號循環(huán)使用會混淆。路由器崩潰后，所有的序號丟失，從0開始記，以后所有的新到分組都可能被當(dāng)作重復(fù)分組而被拒絕。序號在發(fā)送出去后出現(xiàn)錯誤。步驟4：發(fā)布鏈路狀態(tài)分組基本算法的改進(jìn)方案為了避免序號重復(fù)，使用32位的序號。解決序號丟失和出錯的方法是增加年齡(age)域，每秒鐘年齡減1，至零則丟棄。鏈路狀

14、態(tài)分組到達(dá)后，延遲一段時間(被放置在一個保持區(qū)中)，并與其它已到達(dá)的來自同一路由器的鏈路狀態(tài)分組比較序號，丟棄重復(fù)分組和超齡分組。為了防止鏈路出錯，所有的鏈路狀態(tài)分組都需要應(yīng)答。步驟5：計算新路由在路由器積累了一整套網(wǎng)絡(luò)的鏈路狀態(tài)分組后，就可以通過計算得到整個網(wǎng)絡(luò)的結(jié)構(gòu)?？梢岳肈ijkstra算法計算得到每個其它路由器的最短路徑。基于鏈路狀態(tài)的路由協(xié)議Open Shortest Path First (OSPF)Intermediate System-Intermediate System (IS-IS)7.2.7分層路由網(wǎng)絡(luò)規(guī)模增長帶來的問題路由器中的路由表增大。路由器為選擇路由而占用的內(nèi)

15、存、CPU時間和網(wǎng)絡(luò)帶寬增大。解決辦法 分層路由對于大型網(wǎng)絡(luò)分而治之，每個路由器只知道自己所在子網(wǎng)的路由信息，而不去了解其他子網(wǎng)的內(nèi)部結(jié)構(gòu)。根據(jù)需要，可以分成區(qū)域(regions)、聚類(clusters)、區(qū)(zones)和組(groups) 圖例。分級路由帶來的問題路由表中的路由不一定是最優(yōu)路由。分級路由圖例小結(jié) 路由算法最優(yōu)化原則路由算法的目的是找出并使用匯集樹。最短路徑路由算法目的是構(gòu)建兩個路由器間的路由，算法是在子網(wǎng)拓?fù)鋱D中找出最短路徑。Dijkstra算法。洪泛算法把收到的每一個分組，向除了該分組到來的線路外的所有輸出線路發(fā)送?；诹髁康穆酚伤惴ǜ鶕?jù)網(wǎng)絡(luò)帶寬和平均流量，可得出平均延

16、遲，因此路由問題歸結(jié)為找產(chǎn)生網(wǎng)絡(luò)最小延遲的路由算法。距離向量路由算法根據(jù)兩個結(jié)點間的隊列長度來完成路由選擇，但是最大的問題是無窮計算，而且水平分裂也不能完全解決所有的問題。鏈路狀態(tài)路由算法發(fā)現(xiàn)鄰居結(jié)點測量線路開銷將所有學(xué)習(xí)到的內(nèi)容封裝成一個分組發(fā)布鏈路狀態(tài)信息計算新路由分級路由對于大型網(wǎng)絡(luò)分而治之，每個路由器只知道自己所在子網(wǎng)的路由信息，而不去了解其他子網(wǎng)的內(nèi)部結(jié)構(gòu)。7.3 擁塞控制算法擁塞（congestion） 網(wǎng)絡(luò)資源上有太多的分組時，導(dǎo)致性能會下降。對資源的需求 可用資源資源：鏈路容量、交換結(jié)點中的緩存和處理機等。擁塞產(chǎn)生的原因 結(jié)點緩存容量太?。欢鄠€輸入對應(yīng)一個輸出； 結(jié)點處理機速度

17、不高； 低帶寬線路；針對某個因素改善擁塞若結(jié)點緩存容量太小，到達(dá)結(jié)點的分組無空間暫存;若增大結(jié)點緩存容量，而鏈路容量和處理機速度未提高，分組排隊會很長，導(dǎo)致時延增大，可能因超時發(fā)送端進(jìn)行重發(fā)，擁塞更加惡化；提高結(jié)點處理機速度，增大鏈路容量，固然可以改善擁塞，但可能瓶頸轉(zhuǎn)移到其它地方。 因此，針對某個因素的解決方案，只能對提高網(wǎng)絡(luò)性能起到一定的好處，甚至僅僅是轉(zhuǎn)移了影響性能的瓶頸。擁塞控制與流量控制的差別擁塞控制（congestion control）需要確保通信子網(wǎng)能夠承載用戶提交的通信量，是一個全局性過程，涉及主機、路由器等很多因素；流量控制（flow control）與點到點的通信量有關(guān)，

18、主要解決快速發(fā)送方與慢速接收方的問題，是局部過程，一般都是基于反饋進(jìn)行控制的。擁塞控制的分類根據(jù)控制論，擁塞控制可分為兩類。開環(huán)控制(防患于未然)通過良好的設(shè)計解決問題，以避免擁塞發(fā)生。一旦運行，就不再做中間階段的更正。進(jìn)行開環(huán)控制的工具需要決定何時接收新的分組、何時丟棄分組、丟棄哪些分組，制定網(wǎng)絡(luò)中不同地點的計劃表等。利用開環(huán)進(jìn)行擁塞控制時，所有這些操作都不會考慮網(wǎng)絡(luò)的當(dāng)前狀態(tài)。閉環(huán)控制(因地制宜)基于反饋機制。其工作過程為： 監(jiān)控系統(tǒng)，發(fā)現(xiàn)何時何地發(fā)生擁塞。把發(fā)生擁塞的消息傳給能采取動作的站點。調(diào)整系統(tǒng)操作，解決擁塞問題。閉環(huán)控制操作需要完成以下三個問題：何為擁塞、如何反饋和如何解決。閉環(huán)

19、控制何為擁塞 衡量網(wǎng)絡(luò)擁塞的參數(shù)缺乏緩沖區(qū)造成的丟包率平均隊列長度超時重傳的分組數(shù)目平均分組延遲分組延遲變化(Jitter)如何反饋 反饋方法向負(fù)載的發(fā)生源發(fā)送一個報警分組，這同時加強了擁塞。在分組結(jié)構(gòu)中保留一個位或一個域來表示發(fā)生擁塞，一旦發(fā)生擁塞，路由器將所有輸出分組的擁塞位填充，報警。主機或路由器主動地、周期性地發(fā)送探報(probe)，查詢是否發(fā)生擁塞。如何解決 利用擁塞控制算法開環(huán)控制 擁塞預(yù)防策略影響擁塞的網(wǎng)絡(luò)設(shè)計策略數(shù)據(jù)鏈路層重傳、亂序緩存、確認(rèn)、流控網(wǎng)絡(luò)層子網(wǎng)中的虛電路和數(shù)據(jù)報、分組排隊和服務(wù)策略、分組丟棄策略、路由算法、分組的生存時間管理傳輸層重傳、亂序緩存、確認(rèn)、流控、超時中

20、止開環(huán)控制 通信量整形通信量整形(Traffic Shaping)的基本思想網(wǎng)絡(luò)上，突發(fā)的通信量是造成擁塞的主要原因。強迫分組以某種可以預(yù)見的速率傳送，減少擁塞，這種方法就被稱為通信量整形。此方法廣泛應(yīng)用于ATM網(wǎng)絡(luò)中。漏桶算法和令牌桶算法都可以實現(xiàn)通信量整形。漏桶算法(The Leaky Bucket Algorithm)基本原理：在計算機中的使用漏桶有限內(nèi)部隊列；水 通信量，需要發(fā)送的分組。分組到達(dá)隊列時，隊列滿，分組被丟棄；隊列空，分組放置在隊尾。效果將用戶發(fā)出的不平滑的分組流轉(zhuǎn)變成網(wǎng)絡(luò)中平滑的分組流。漏桶算法既可以用于分組長度固定的協(xié)議，如ATM，使用分組計數(shù)；也可用于可變長分組的協(xié)議

21、，如IP，使用字節(jié)計數(shù)。無論水流進(jìn)桶的速度為多少，只要桶中有水，水從桶中外漏的速度是恒定的。桶空了，速度為零。桶滿了，水外泄。令牌桶算法由于漏桶算法不夠靈活，因此加入令牌機制。令牌桶算法 (The Token Bucket Algorithm) 基本思想：漏桶存放令牌，每T秒產(chǎn)生一個令牌，分組發(fā)送傳輸之前必須獲得一個令牌，傳輸之后刪除該令牌。令牌代表的不是發(fā)送一個分組的權(quán)利，而是可以發(fā)送的字節(jié)數(shù)。 小結(jié) 擁塞控制算法擁塞控制的基本原理網(wǎng)絡(luò)中存在過多分組的時候，網(wǎng)絡(luò)性能降低，產(chǎn)生擁塞。開環(huán)控制 (通過良好的設(shè)計解決問題)擁塞預(yù)防策略：數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層都策略可以進(jìn)行預(yù)防通信量整形強迫分組

22、以某種可以預(yù)見的速率傳送。漏桶和令牌桶均可實現(xiàn)通信量整形。流說明閉環(huán)控制虛電路網(wǎng)絡(luò)中的擁塞控制許可控制、繞開擁塞、資源預(yù)留抑制分組：向源主機發(fā)送抑制分組。為了公平，可以采用加權(quán)公平算法(字節(jié)輪巡)。為了得到快速的抑制效果，可采用Hop-by-Hop抑制分組，抑制分組對其所經(jīng)過的路由器都起作用。負(fù)載丟棄：對不同服務(wù)采用不同的丟棄策略。7.4 網(wǎng)絡(luò)互聯(lián)互聯(lián)網(wǎng)（internet）：兩個或多個網(wǎng)絡(luò)構(gòu)成互聯(lián)網(wǎng)。因特網(wǎng)（Internet）：是互聯(lián)網(wǎng)的著名例子。網(wǎng)絡(luò)互聯(lián)示例多種不同網(wǎng)絡(luò)（協(xié)議）存在的原因歷史原因：不同公司的網(wǎng)絡(luò)產(chǎn)品大量使用；價格原因：網(wǎng)絡(luò)產(chǎn)品價格低，更多的人有權(quán)決定使用何種網(wǎng)絡(luò)；技術(shù)原因：不

23、同網(wǎng)絡(luò)采用不同技術(shù)、不同硬件、不同協(xié)議。網(wǎng)絡(luò)互聯(lián)要解決的問題不同的尋址方式、不同的最大分組長度；不同的超時控制、不同的路由選擇技術(shù)；不同的差錯控制、不同的網(wǎng)絡(luò)接入機制；不同的管理方式、不同的網(wǎng)絡(luò)計費方式；不同的服務(wù)（面向連接服務(wù)和無連接服務(wù)）；網(wǎng)絡(luò)互聯(lián)設(shè)備(P130)圖 7-14 OSI各層使用的中繼系統(tǒng)問：交換機是ISO哪層設(shè)備？路由器與交換機的主要區(qū)別體現(xiàn)在以下幾個方面： （1）工作層次不同 最初的的交換機是工作在數(shù)據(jù)鏈路層，也就是第二層，而路由器一開始就設(shè)計工作在網(wǎng)絡(luò)層。由于交換機工作在OSI的第二層（數(shù)據(jù)鏈路層），所以它的工作原理比較簡單，而路由器工作在OSI的第三層（網(wǎng)絡(luò)層），可以得

24、到更多的協(xié)議信息，路由器可以做出更加智能的轉(zhuǎn)發(fā)決策。 （2）數(shù)據(jù)轉(zhuǎn)發(fā)所依據(jù)的對象不同 交換機是利用物理地址或者說MAC地址來確定轉(zhuǎn)發(fā)數(shù)據(jù)的目的地址。而路由器則是利用不同網(wǎng)絡(luò)的ID號（即IP地址）來確定數(shù)據(jù)轉(zhuǎn)發(fā)的地址。IP地址是在軟件中實現(xiàn)的，描述的是設(shè)備所在的網(wǎng)絡(luò)，有時這些第三層的地址也稱為協(xié)議地址或者網(wǎng)絡(luò)地址。MAC地址通常是硬件自帶的，由網(wǎng)卡生產(chǎn)商來分配的，而且已經(jīng)固化到了網(wǎng)卡中去，一般來說是不可更改的。而IP地址則通常由網(wǎng)絡(luò)管理員或系統(tǒng)自動分配。 （3）傳統(tǒng)的交換機只能分割沖突域，不能分割廣播域；而路由器可以分割廣播域 由交換機連接的網(wǎng)段仍屬于同一個廣播域，廣播數(shù)據(jù)包會在交換機連接的所有

25、網(wǎng)段上傳播，在某些情況下會導(dǎo)致通信擁擠和安全漏洞。連接到路由器上的網(wǎng)段會被分配成不同的廣播域，廣播數(shù)據(jù)不會穿過路由器。雖然第三層以上交換機具有VLAN功能，也可以分割廣播域，但是各子廣播域之間是不能通信交流的，它們之間的交流仍然需要路由器。 （4）路由器提供了防火墻的服務(wù) 路由器僅僅轉(zhuǎn)發(fā)特定地址的數(shù)據(jù)包，不傳送不支持路由協(xié)議的數(shù)據(jù)包傳送和未知目標(biāo)網(wǎng)絡(luò)數(shù)據(jù)包的傳送，從而可以防止廣播風(fēng)暴。 如果是考試用的：路由器是三層，交換機是二層，核心交換機三層 7.4.1網(wǎng)絡(luò)互聯(lián)方法 級聯(lián)虛電路級聯(lián)虛電路(Concatenated Virtual Circuits)的工作過程建立連接當(dāng)目的主機不在本子網(wǎng)內(nèi)時，

26、則在子網(wǎng)內(nèi)找一個離目的網(wǎng)絡(luò)最近的路由器，與之建立一條虛電路；該路由器與外部網(wǎng)關(guān)建立虛電路；該網(wǎng)關(guān)與下一個子網(wǎng)中的一個路由器建立虛電路。重復(fù)上述操作，直到到達(dá)目的主機。傳輸數(shù)據(jù)相同連接的分組沿同一虛電路按照順序傳輸；網(wǎng)關(guān)根據(jù)需要轉(zhuǎn)換分組格式和虛電路號。拆除連接7.4.2網(wǎng)絡(luò)互聯(lián)方法 無連接網(wǎng)絡(luò)互聯(lián)(數(shù)據(jù)報模型)無連接網(wǎng)絡(luò)互聯(lián)(Connectionless Internetworking)的工作過程無連接網(wǎng)絡(luò)互聯(lián)的工作過程與數(shù)據(jù)報子網(wǎng)的工作過程相似。每個分組獨立路由，不保證分組按順序到達(dá)，提高網(wǎng)絡(luò)利用率 。其中，連接不同子網(wǎng)的多協(xié)議路由器做協(xié)議轉(zhuǎn)換，包括分組格式轉(zhuǎn)換和地址轉(zhuǎn)換等。級連虛電路與無連接

27、網(wǎng)絡(luò)互聯(lián)的比較級連虛電路優(yōu)點路由器預(yù)留緩沖區(qū)等資源，保證服務(wù)質(zhì)量。分組按序號傳輸。分組的報文頭部較短。缺點路由器需要大量內(nèi)存存儲虛電路信息。一旦發(fā)生擁塞，沒有其它路由，健壯性差。如果網(wǎng)絡(luò)中有一個不可靠的數(shù)據(jù)報子網(wǎng)，級連虛電路很難實現(xiàn)。無連接網(wǎng)絡(luò)互聯(lián)優(yōu)點能夠容忍擁塞，并能適應(yīng)擁塞。健壯性好。可用于多種網(wǎng)絡(luò)互聯(lián)。無連接網(wǎng)絡(luò)互聯(lián)的缺點分組的報文頭部較長。不能保證分組按序號到達(dá)。不能保證服務(wù)質(zhì)量。7.4.3網(wǎng)絡(luò)互聯(lián)方法 隧道技術(shù)(為了將兩個不同的網(wǎng)絡(luò)相互連接起來)路由器1剝掉局域網(wǎng)幀頭、幀尾，將得到的IP分組封裝到廣域網(wǎng)幀中(如PPP)，IP地址不變，幀地址 = 路由器2-幀地址；廣域網(wǎng)傳輸；路由器2

28、剝掉廣域網(wǎng)幀頭、幀尾，將得到的IP分組封裝到局域網(wǎng)幀中，IP地址不變，幀地址 = 主機2-MAC地址；局域網(wǎng)傳輸；主機2接收。如果源和目的主機所在網(wǎng)絡(luò)類型相同，但連接它們的是一個不同類型的網(wǎng)絡(luò)，可采用隧道技術(shù)(Tunneling)。隧道技術(shù)的工作過程主機1構(gòu)造一個分組，IP地址 = 主機2-IP，將分組封裝到局域網(wǎng)幀中，幀地址 = 路由器1-MAC；局域網(wǎng)傳輸；7.4.4網(wǎng)絡(luò)互聯(lián)方法 互聯(lián)網(wǎng)路由互聯(lián)網(wǎng)路由(Internetwork Routing)的工作過程互聯(lián)網(wǎng)絡(luò)的路由與單獨子網(wǎng)的路由過程相似，只是更復(fù)雜。一般使用兩級路由算法：內(nèi)部網(wǎng)關(guān)協(xié)議(interior gateway protocol

29、)：RIP，OSPF外部網(wǎng)關(guān)協(xié)議(exterior gateway protocol)：BGP自治系統(tǒng)AS(Autonomous System)：使用統(tǒng)一算法的一個網(wǎng)絡(luò)。7.4.5網(wǎng)絡(luò)互聯(lián)方法 分段(如何把大的分組傳向小的分組目標(biāo)網(wǎng)絡(luò))每種網(wǎng)絡(luò)都對分組的最大長度有限制，因為：硬件要求。操作系統(tǒng)，例如所有緩沖區(qū)都是512字節(jié)。協(xié)議，例如分組長度域的比特數(shù)。與標(biāo)準(zhǔn)的兼容性；希望減少傳輸出錯的概率。希望避免一個分組占用信道時間過長。當(dāng)長的分組經(jīng)過分組長度短的網(wǎng)絡(luò)時，網(wǎng)關(guān)要將長分組分成若干段(fragment)，每段作為獨立的分組傳輸。發(fā)送主機：將報文分組。路由器：將長的分組分段。接收主機：將得到的(

30、有/沒有)被切割的段重組起來，構(gòu)成完整的報文。分段重組策略分段重組過程對其它網(wǎng)絡(luò)透明網(wǎng)關(guān)將長的分組分段后，每段都要經(jīng)過同一出口網(wǎng)關(guān)，并在那里重組。例如：ATM網(wǎng)絡(luò)。所帶來的問題出口網(wǎng)關(guān)需要知道何時所有分組都到齊。所有分組必須從同一出口網(wǎng)關(guān)離開。長分組經(jīng)過一系列短分組網(wǎng)絡(luò)時，需要反復(fù)地分段重組，開銷大。分段重組過程對其它網(wǎng)絡(luò)不透明中間網(wǎng)關(guān)不做重組，而由目的主機做。所帶來的問題對主機要求高，能夠重組。每個段都要有一個報頭，網(wǎng)絡(luò)開銷增大。7.4.6 防火墻為防止網(wǎng)絡(luò)中的 信息泄露出去或不好的信息滲透進(jìn)來，在網(wǎng)絡(luò)邊緣設(shè)置防火墻(firewall)。防火墻的一種常用配置：兩個路由器，根據(jù)某種規(guī)則表，進(jìn)行

31、分組過濾；一個應(yīng)用網(wǎng)關(guān)，審查應(yīng)用層信息。防火墻定義防火墻就是一個位于計算機和它所連接的網(wǎng)絡(luò)之間的軟件。該計算機流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。防火墻的功能 防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過濾掉一些攻擊，以免其在目標(biāo)計算機上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。為什么使用防火墻防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計算機。你可以將防火墻配置成許多不同保護(hù)級別。高級別的保護(hù)可能會禁止一些服務(wù)，如視頻流等，但至少這是你自己的保

32、護(hù)選擇。防火墻的類型防火墻有不同類型。一個防火墻可以是硬件自身的一部分，你可以將因特網(wǎng)連接和計算機都插入其中。防火墻也可以在一個獨立的機器上運行，該機器作為它背后網(wǎng)絡(luò)中所有計算機的代理和防火墻。最后，直接連在因特網(wǎng)的機器可以使用個人防火墻。3防火墻的種類防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點的不同而分為很多種類型，但總體來講可分為二大類：分組過濾、應(yīng)用代理。 分組過濾(包過濾)（Packet filtering）：作用在網(wǎng)絡(luò)層和傳輸層，它根據(jù)分組包頭源地址，目的地址和端口號、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。

33、應(yīng)用代理（Application Proxy）：也叫應(yīng)用網(wǎng)關(guān)（Application Gateway）,它作用在應(yīng)用層，其特點是完全阻隔了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實現(xiàn)。 4.分組過濾型防火墻分組過濾或包過濾，是一種通用、廉價、有效的安全手段。之所以通用，因為它不針對各個具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式；之所以廉價，因為大多數(shù)路由器都提供分組過濾功能；之所以有效，因為它能很大程度地滿足企業(yè)的安全要求。包過濾在網(wǎng)絡(luò)層和傳輸層起作用。它根據(jù)分組包的源、宿地址，端口號及協(xié)議類型、標(biāo)志確定是否允許分組包通過。所根

34、據(jù)的信息來源于IP、TCP或UDP包頭。5應(yīng)用代理型防火墻代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點，起著監(jiān)視和隔絕應(yīng)用層通信流的作 用。同時也常結(jié)合入過濾器的功能。它工作在OSI模型的最高層，掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。防火墻的局限性存在著一些防火墻不能防范的安全威脅，如防火墻不能防范不經(jīng)過防火墻的攻擊。例如，如果允許從受保護(hù)的網(wǎng)絡(luò)內(nèi)部向外撥號，一些用戶就可能形成與Internet的直接連接。另外，防火墻很難防范來自于網(wǎng)絡(luò)內(nèi)部的攻擊以及病毒的威脅。 入侵檢測技術(shù)入侵檢測系統(tǒng)（IDS）：由于入侵檢測系統(tǒng)的市場在近幾年中飛速發(fā)展，許多公司投入到這一領(lǐng)域上來。Internet Securi

35、ty System（ISS）、思科、賽門鐵克等公司都推出了自己的產(chǎn)品。系統(tǒng)組成IETF將一個入侵檢測系統(tǒng)分為四個組件：事件產(chǎn)生器；事件分析器；響應(yīng)單元；事件數(shù)據(jù)庫。系統(tǒng)分類 根據(jù)檢測對象的不同，入侵檢測系統(tǒng)可分為主機型和網(wǎng)絡(luò)型?；谥鳈C的監(jiān)測。主機型入侵檢測系統(tǒng)就是以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，當(dāng)然也可以通過其他手段（如監(jiān)督系統(tǒng)調(diào)用）從所在的主機收集信息進(jìn)行分析。主機型入侵檢測系統(tǒng)保護(hù)的一般是所在的系統(tǒng)。這種系統(tǒng)經(jīng)常運行在被監(jiān)測的系統(tǒng)之上，用以監(jiān)測系統(tǒng)上正在運行的進(jìn)程是否合法。網(wǎng)絡(luò)型入侵檢測。它的數(shù)據(jù)源是網(wǎng)絡(luò)上的數(shù)據(jù)包。往往將一臺機子的網(wǎng)卡設(shè)于混雜模式（promisc mode）,對所

36、有本網(wǎng)段內(nèi)的數(shù)據(jù)包并進(jìn)行信息收集，并進(jìn)行判斷。一般網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負(fù)著保護(hù)整個網(wǎng)段的任務(wù)。入侵檢測技術(shù)對各種事件進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測系統(tǒng)的核心功能。從技術(shù)上，入侵檢測分為兩類：一種基于標(biāo)志，另一種基于異常情況。對于基于標(biāo)識的檢測技術(shù)來說，首先要定義違背安全策略的事件的特征，如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息。檢測主要判別這類特征是否在所收集到的數(shù)據(jù)中出現(xiàn)。此方法非常類似殺毒軟件。而基于異常的檢測技術(shù)則是先定義一組系統(tǒng)“正常”情況的數(shù)值，如CPU利用率、內(nèi)存利用率、文件校驗和等（這類數(shù)據(jù)可以人為定義，也可以通過觀察系統(tǒng)、并用統(tǒng)計的辦法得出），然后將系統(tǒng)運行時的數(shù)值與所定義的“

37、正?！鼻闆r比較，得出是否有被攻擊的跡象。這種檢測方式的核心在于如何定義所謂的“正?！鼻闆r。兩種檢測技術(shù)的方法、所得出的結(jié)論有非常大的差異?；诋惓５臋z測技術(shù)的核心是維護(hù)一個知識庫。對于已知的攻擊，它可以詳細(xì)、準(zhǔn)確的報告出攻擊類型，但是對未知攻擊卻效果有限，而且知識庫必須不斷更新?；诋惓５臋z測技術(shù)則無法準(zhǔn)確判別出攻擊的手法，但它可以（至少在理論上可以）判別更廣范、甚至未發(fā)覺的攻擊。總結(jié)入侵檢測作為一種積極主動地安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵檢測系統(tǒng)面臨的最主要挑戰(zhàn)有兩個：一個是虛警率太高，一個是檢測速度太慢?，F(xiàn)有的入侵檢測

38、系統(tǒng)還有其他技術(shù)上的致命弱點。因此，可以這樣說，入侵檢測產(chǎn)品仍具有較大的發(fā)展空間，從技術(shù)途徑來講，除了完善常規(guī)的、傳統(tǒng)的技術(shù)（模式識別和完整性檢測）外，應(yīng)重點加強統(tǒng)計分析的相關(guān)技術(shù)研究。 但無論如何，入侵檢測不是對所有的入侵都能夠及時發(fā)現(xiàn)的，即使擁有當(dāng)前最強大的入侵檢測系統(tǒng)，如果不及時修補網(wǎng)絡(luò)中的安全漏洞的話，安全也無從談起。入侵誘騙技術(shù)(honeypot and honeynet)端口掃描技術(shù)(NAMP)Snort and sniffer網(wǎng)絡(luò)互聯(lián)小結(jié)網(wǎng)絡(luò)互聯(lián)設(shè)備：中繼器、網(wǎng)橋、路由器、各種網(wǎng)關(guān)。級聯(lián)虛電路：在網(wǎng)關(guān)和網(wǎng)關(guān)之間建立虛電路連接。無連接網(wǎng)絡(luò)互聯(lián)：每個分組獨立路由。隧道技術(shù)：兩個同類型

39、網(wǎng)絡(luò)通過不同類型的網(wǎng)絡(luò)連接時使用。互聯(lián)網(wǎng)路由：使用兩級的分級路由法，在自治系統(tǒng)內(nèi)部的為內(nèi)部網(wǎng)關(guān)算法，在自治系統(tǒng)之間的是外部網(wǎng)關(guān)算法。分段分段的時候可以通過樹形結(jié)構(gòu)或者偏移量方法來標(biāo)記段，分段重組，可以由網(wǎng)關(guān)來重組也可以由接收方主機完成重組。防火墻：常用配置是兩個路由器根據(jù)某種規(guī)則表進(jìn)行分組過濾，一個應(yīng)用網(wǎng)關(guān)審查應(yīng)用層信息。7.5 因特網(wǎng)的網(wǎng)絡(luò)層因特網(wǎng)(Internet) 是目前世界上最大的分布式計算機網(wǎng)絡(luò)的集合。在因特網(wǎng)中不存在一個統(tǒng)一管理的單位，而是有各個本地網(wǎng)自己管理。因特網(wǎng)中最重要的是TCP/IP協(xié)議，這個網(wǎng)絡(luò)通訊協(xié)議使任意數(shù)目的計算機網(wǎng)可以互聯(lián)在一起。IP協(xié)議（Internet Pro

40、tocol）網(wǎng)際協(xié)議（網(wǎng)絡(luò)層的協(xié)議），實現(xiàn)異種機及異種網(wǎng)的互連。TCP 協(xié)議（Transmission Control Protocol）傳輸控制協(xié)議（傳輸層的協(xié)議）IP協(xié)議（Internet Protocol）與IP協(xié)議配套使用的協(xié)議地址解析協(xié)議ARP反向地址解析協(xié)議RARP因特網(wǎng)控制報文協(xié)議ICMP在網(wǎng)絡(luò)層，Internet可以看成是自治系統(tǒng)的集合，是由網(wǎng)絡(luò)組成的網(wǎng)絡(luò)。網(wǎng)絡(luò)之間互連的紐帶是IP協(xié)議。IP數(shù)據(jù)報IP數(shù)據(jù)報= 首部+ 數(shù)據(jù)IP數(shù)據(jù)報首部包含報文的控制信息源IP地址、目的IP地址；本報文攜帶的運輸層數(shù)據(jù)屬于何種協(xié)議（TCP、UDP、.）；本報文長度（最大65535，實際使用576

41、字節(jié)）；首部校驗和； IP數(shù)據(jù)報首部格式IP數(shù)據(jù)報首部=固定部分（20個字節(jié)） +變長的可選部分（最長40字節(jié)）固定部分20字節(jié)可變部分04816192431版 本標(biāo)志生 存 時 間協(xié) 議標(biāo) 識區(qū) 分 服 務(wù)總 長 度片 偏 移填 充首 部 檢 驗 和源 地 址目 的 地 址可 選 字 段 （長 度 可 變）位首部長度數(shù) 據(jù) 部 分?jǐn)?shù) 據(jù) 部 分首 部IP 數(shù)據(jù)報首部發(fā)送在前首部04816192431版 本標(biāo)志生 存 時 間協(xié) 議標(biāo) 識總 長 度片 偏 移填 充首 部 檢 驗 和源 地 址目 的 地 址可 選 字 段 （長 度 可 變）位首部長度數(shù) 據(jù) 部 分固定部分可變部分版本占 4 位，指

42、 IP 協(xié)議的版本目前的 IP 協(xié)議版本號為 4 (即 IPv4)區(qū) 分 服 務(wù)1. IP 數(shù)據(jù)報首部的固定部分中的各字段 首部04816192431版 本標(biāo)志生 存 時 間協(xié) 議標(biāo) 識總 長 度片 偏 移填 充首 部 檢 驗 和源 地 址目 的 地 址可 選 字 段 （長 度 可 變）位首部長度數(shù) 據(jù) 部 分固定部分可變部分首部長度占 4 位，可表示的最大數(shù)值是 15 個單位(一個單位為 4 字節(jié))因此 IP 的首部長度的最大值是 60 字節(jié)。區(qū) 分 服 務(wù)首部04816192431版 本標(biāo)志生 存 時 間協(xié) 議標(biāo) 識總 長 度片 偏 移填 充首 部 檢 驗 和源 地 址目 的 地 址可 選

43、 字 段 （長 度 可 變）位首部長度數(shù) 據(jù) 部 分固定部分可變部分區(qū)分服務(wù)占 8 位，用來獲得更好的服務(wù)在舊標(biāo)準(zhǔn)中叫做服務(wù)類型，但實際上一直未被使用過。1998 年這個字段改名為區(qū)分服務(wù)。只有在使用區(qū)分服務(wù)（DiffServ）時，這個字段才起作用。在一般的情況下都不使用這個字段 區(qū) 分 服 務(wù)首部04816192431版 本標(biāo)志生 存 時 間協(xié) 議標(biāo) 識總 長 度片 偏 移填 充首 部 檢 驗 和源 地 址目 的 地 址可 選 字 段 （長 度 可 變）位首部長度數(shù) 據(jù) 部 分固定部分可變部分總長度占 16 位，指首部和數(shù)據(jù)之和的長度，單位為字節(jié)，因此數(shù)據(jù)報的最大長度為 65535 字節(jié)?？?/p>

44、長度必須不超過最大傳送單元 MTU。 區(qū) 分 服 務(wù)首部04816192431版 本標(biāo)志生 存 時 間協(xié) 議標(biāo) 識總 長 度片 偏 移填 充首 部 檢 驗 和源 地 址目 的 地 址可 選 字 段 （長 度 可 變）位首部長度數(shù) 據(jù) 部 分固定部分可變部分標(biāo)識(identification) 占 16 位，它是一個計數(shù)器，用來產(chǎn)生數(shù)據(jù)報的標(biāo)識。 區(qū) 分 服 務(wù)首部04816192431版 本標(biāo)志生 存 時 間協(xié) 議標(biāo) 識區(qū) 分 服 務(wù)總 長 度片 偏 移填 充首 部 檢 驗 和源 地 址目 的 地 址可 選 字 段 （長 度 可 變）位首部長度數(shù) 據(jù) 部 分固定部分可變部分標(biāo)志(flag) 占

45、 3 位，目前只有前兩位有意義。標(biāo)志字段的最低位是 MF (More Fragment)。MF 1 表示后面“還有分片”。MF 0 表示最后一個分片。標(biāo)志字段中間的一位是 DF (Dont Fragment) 。只有當(dāng) DF 0 時才允許分片。 首部04816192431版 本標(biāo)志生 存 時 間協(xié) 議標(biāo) 識總 長 度片 偏 移填 充首 部 檢 驗 和源 地 址目 的 地 址可 選 字 段 （長 度 可 變）位首部長度數(shù) 據(jù) 部 分固定部分可變部分片偏移(12 位)指出：較長的分組在分片后某片在原分組中的相對位置。片偏移以 8 個字節(jié)為偏移單位。區(qū) 分 服 務(wù)首部04816192431版 本標(biāo)志

46、生 存 時 間協(xié) 議標(biāo) 識總 長 度片 偏 移填 充首 部 檢 驗 和源 地 址目 的 地 址可 選 字 段 （長 度 可 變）位首部長度數(shù) 據(jù) 部 分固定部分可變部分生存時間(8 位)記為 TTL (Time To Live)數(shù)據(jù)報在網(wǎng)絡(luò)中可通過的路由器數(shù)的最大值。區(qū) 分 服 務(wù)首部04816192431版 本標(biāo)志生 存 時 間協(xié) 議標(biāo) 識總 長 度片 偏 移填 充首 部 檢 驗 和源 地 址目 的 地 址可 選 字 段 （長 度 可 變）位首部長度數(shù) 據(jù) 部 分固定部分可變部分協(xié)議(8 位)字段指出此數(shù)據(jù)報攜帶的數(shù)據(jù)使用何種協(xié)議以便目的主機的 IP 層將數(shù)據(jù)部分上交給哪個處理過程區(qū) 分 服

47、 務(wù)運輸層網(wǎng)絡(luò)層首部TCPUDPICMPIGMPOSPF數(shù) 據(jù) 部 分IP 數(shù)據(jù)報協(xié)議字段指出應(yīng)將數(shù)據(jù)部分交給哪一個進(jìn)程首部04816192431版 本標(biāo)志生 存 時 間協(xié) 議標(biāo) 識總 長 度片 偏 移填 充首 部 檢 驗 和源 地 址目 的 地 址可 選 字 段 （長 度 可 變）位首部長度數(shù) 據(jù) 部 分固定部分可變部分首部檢驗和(16 位)字段只檢驗數(shù)據(jù)報的首部不檢驗數(shù)據(jù)部分。這里不采用 CRC 檢驗碼而采用簡單的計算方法。 區(qū) 分 服 務(wù)發(fā)送端接收端16 位字 116 位字 2置為全 0檢驗和16 位字 n16 位反碼算術(shù)運算求和取反碼數(shù)據(jù)報首部IP 數(shù)據(jù)報16 位檢驗和16 位字 11

48、6 位字 216 位檢驗和16 位字 n16 位反碼算術(shù)運算求和16 位結(jié)果取反碼數(shù)據(jù)部分若結(jié)果為 0, 則保留；否則，丟棄該數(shù)據(jù)報數(shù)據(jù)部分不參與檢驗和的計算首部04816192431版 本標(biāo)志生 存 時 間協(xié) 議標(biāo) 識總 長 度片 偏 移填 充首 部 檢 驗 和源 地 址目 的 地 址可 選 字 段 （長 度 可 變）位首部長度數(shù) 據(jù) 部 分固定部分可變部分源地址和目的地址都各占 4 字節(jié)區(qū) 分 服 務(wù)點分十進(jìn)制記法 10000000000010110000001100011111 機器中存放的 IP 地址是 32 位 二進(jìn)制代碼10000000 00001011 00000011 0001

49、1111 每隔 8 位插入一個空格能夠提高可讀性采用點分十進(jìn)制記法則進(jìn)一步提高可讀性1 128 11 3 31 將每 8 位的二進(jìn)制數(shù)轉(zhuǎn)換為十進(jìn)制數(shù)IP地址使用范圍IP地址的分配 由Internet最高管理機構(gòu)(ICANN)分配與管理。 我國用戶可向亞太網(wǎng)絡(luò)信息中心APNIC申請（ 交費）。主機地址由本網(wǎng)絡(luò)自己分配與管理。有幾個特殊地址要記住: 網(wǎng)絡(luò)地址:主機地址全0時：表示為本網(wǎng)絡(luò)地址；如:就是一個B類網(wǎng)絡(luò)地址.廣播地址:主機地址全1時：在本網(wǎng)絡(luò)上進(jìn)行廣播； 例如:55就是一個B類廣播地址. 本地回路測試地址:網(wǎng)絡(luò)地址127保留給診斷用, IP地址為127.X.X.X：用于本地軟件回路測試；

50、私有地址:這種地址不能在公網(wǎng)上出現(xiàn),只能在內(nèi)部網(wǎng)絡(luò)中,下面都是私有地址: -55 1個A類地址 55 16個B類地址 55 256個C類地址IP地址與硬件地址假定：主機通過局域網(wǎng)進(jìn)行網(wǎng)絡(luò)互連。在IP層抽象的互連網(wǎng)上只能看到的是IP數(shù)據(jù)報。路由器只根據(jù)目的站的IP地址進(jìn)行選路。在具體的物理網(wǎng)絡(luò)的鏈路層只能看到的是MAC幀。不直接使用硬件地址進(jìn)行通信？ 由于全世界存在著各式各樣的網(wǎng)絡(luò)，它們使用不同的硬件地址。要使這些異構(gòu)網(wǎng)絡(luò)能夠互相通信就必須進(jìn)行非常復(fù)雜的硬件地址轉(zhuǎn)換工作，因此幾乎是不可能的事。連接到因特網(wǎng)的主機都擁有統(tǒng)一的 IP 地址，它們之間的通信就像連接在同一個網(wǎng)絡(luò)上那樣簡單方便，因為調(diào)用

51、ARP 來尋找某個路由器或主機的硬件地址都是由計算機軟件自動進(jìn)行的，對用戶來說是看不見這種調(diào)用過程的。 地址解析協(xié)議ARP（The Address Resolution Protocol）解決IP地址與MAC地址的轉(zhuǎn)換（映射）問題。（IP-MAC)IP地址是主機在網(wǎng)絡(luò)層中的地址，為32bit；MAC地址是數(shù)據(jù)鏈路層中的硬件地址，為48bit；要發(fā)送的IP數(shù)據(jù)報必須轉(zhuǎn)變?yōu)镸AC幀，才能發(fā)送到網(wǎng)絡(luò)。因此需要在IP地址和MAC 地址之間進(jìn)行轉(zhuǎn)換；若用戶使用主機名字標(biāo)識主機，因此需要在主機名字和IP地址之間進(jìn)行轉(zhuǎn)換；對于小型網(wǎng)絡(luò)，主叫主機通過hosts文件（主機名字到IP地址轉(zhuǎn)換的映射表）進(jìn)行轉(zhuǎn)換；對

52、于大型網(wǎng)絡(luò)，主叫主機通過網(wǎng)絡(luò)中的域名系統(tǒng)DNS的服務(wù)器進(jìn)行轉(zhuǎn)換；每個主機有一個ARP高速緩存，里面有IP地址到硬件地址的映射表；主機A首先在ARP高速緩存中查找主機B的IP地址對應(yīng)的硬件地址，然后將此硬件地址寫入MAC幀，再通過局域網(wǎng)發(fā)往此硬件地址。 若ARP高速緩存中沒有主機B的映射項，主機自動運行ARP進(jìn)程來尋找主機B的硬件地址：ARP進(jìn)程廣播發(fā)送一個ARP請求分組，內(nèi)含主機B的IP地址；所有主機上運行的ARP進(jìn)程都收到此ARP請求分組；主機B在ARP請求分組中見到自己的IP地址，就向主機A發(fā)送一個ARP響應(yīng)分組，內(nèi)含主機B的硬件地址；主機A收到主機B的ARP響應(yīng)分組后，就在ARP高速緩存

53、中寫入主機B的IP地址到硬件地址的映射。反向地址解析協(xié)議RARP解決MAC地址與IP地址的轉(zhuǎn)換（映射）問題。(MAC-IP)主要用于無盤工作站啟動；RARP的工作過程： 在局域網(wǎng)中有一個主機充當(dāng)RARP服務(wù)器；內(nèi)建硬件地址到IP地址的映射表。 無盤工作站廣播發(fā)送一個RARP請求分組，內(nèi)含自己的硬件地址； RARP服務(wù)器收到RARP請求分組后，從映射表中查出該無盤工作站的I P地址， 然后發(fā)回一個RARP響應(yīng)分組，內(nèi)含無盤工作站的IP地址； 無盤工作站收到RARP響應(yīng)分組后，就獲得自己的IP地址。8.子網(wǎng)的劃分分而治之：為了便于管理和使用，可以將網(wǎng)絡(luò)分成若干供內(nèi)部使用的部分子網(wǎng)。對外界，該網(wǎng)絡(luò)還

54、是一個單獨的網(wǎng)絡(luò)。一個單位被分配到IP地址的網(wǎng)絡(luò)號，后面的主機號由本單位進(jìn)行分配。本單位所有主機都使用同一個網(wǎng)絡(luò)號。本單位可將IP地址中的主機號字段劃分出若干位作為子網(wǎng)號字段。利用子網(wǎng)掩碼來提供劃分后的分界情況。采用子網(wǎng)掩碼相當(dāng)于三級分址；在本單位網(wǎng)絡(luò)中的路由器收到一個分組時，首先檢查分組的IP地址中的網(wǎng)絡(luò)號（此時不需子網(wǎng)掩碼信息，因為，從IP地址即可判斷它是A類、B類、C類地址）；若網(wǎng)絡(luò)號不是本單位網(wǎng)絡(luò)，則轉(zhuǎn)發(fā)出去；若網(wǎng)絡(luò)號是本單位網(wǎng)絡(luò)，再檢查IP地址中的子網(wǎng)絡(luò)號（IP地址和子網(wǎng)掩碼進(jìn)行與運算），若子網(wǎng)號不是本子網(wǎng)，則轉(zhuǎn)發(fā)到本單位相應(yīng)的子網(wǎng)；若子網(wǎng)號是本子網(wǎng)，則依據(jù)主機號把分組送到本路由器相

55、應(yīng)的端口上的主機；劃分子網(wǎng)純屬一個單位內(nèi)部的事情。單位對外仍然表現(xiàn)為沒有劃分子網(wǎng)的網(wǎng)絡(luò)。從主機號借用若干個位作為子網(wǎng)號 subnet-id，而主機號 host-id 也就相應(yīng)減少了若干個位。IP地址 := , , 劃分子網(wǎng)的基本思路 凡是從其他網(wǎng)絡(luò)發(fā)送給本單位某個主機的 IP 數(shù)據(jù)報，仍然是根據(jù) IP 數(shù)據(jù)報的目的網(wǎng)絡(luò)號 net-id，先找到連接在本單位網(wǎng)絡(luò)上的路由器。然后此路由器在收到 IP 數(shù)據(jù)報后，再按目的網(wǎng)絡(luò)號 net-id 和子網(wǎng)號 subnet-id 找到目的子網(wǎng)。最后就將 IP 數(shù)據(jù)報直接交付目的主機。 劃分子網(wǎng)的基本思路（續(xù)） 01014563所有到網(wǎng)絡(luò) 的分組均到達(dá)此路由器我

56、的網(wǎng)絡(luò)地址是 R1R3R2網(wǎng)絡(luò)一個未劃分子網(wǎng)的 B 類網(wǎng)絡(luò)劃分為三個子網(wǎng)后對外仍是一個網(wǎng)絡(luò) 01014563子網(wǎng) 子網(wǎng) 子網(wǎng) 所有到達(dá)網(wǎng)絡(luò) 的分組均到達(dá)此路由器網(wǎng)絡(luò)R1R3R2當(dāng)沒有劃分子網(wǎng)時，IP 地址是兩級結(jié)構(gòu)。劃分子網(wǎng)后 IP 地址就變成了三級結(jié)構(gòu)。劃分子網(wǎng)只是把 IP 地址的主機號 host-id 這部分進(jìn)行再劃分，而不改變 IP 地址原來的網(wǎng)絡(luò)號 net-id。 劃分子網(wǎng)后變成了三級結(jié)構(gòu) 從一個 IP 數(shù)據(jù)報的首部并無法判斷源主機或目的主機所連接的網(wǎng)絡(luò)是否進(jìn)行了子網(wǎng)劃分。使用子網(wǎng)掩碼(subnet mask)可以找出 IP 地址中的子網(wǎng)部分。 2. 子網(wǎng)掩碼IP 地址的各字段和子網(wǎng)掩

57、碼 145 . 13 .3 . 10兩級 IP 地址子網(wǎng)號為 3 的網(wǎng)絡(luò)的網(wǎng)絡(luò)號三級 IP 地址主機號子網(wǎng)掩碼net-idhost-id子網(wǎng)的網(wǎng)絡(luò)地址1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 10 0 0 0 0 0 0 00net-idsubnet-idhost-id145 . 13 .145 . 13 . 33 . 10(IP 地址) AND (子網(wǎng)掩碼) =網(wǎng)絡(luò)地址網(wǎng)絡(luò)號 net-id主機號 host-id兩級 IP 地址網(wǎng)絡(luò)號三級 IP 地址主機號net-idhost-idsubnet-id子網(wǎng)號子網(wǎng)掩碼子網(wǎng)的網(wǎng)絡(luò)地址1 1 1 1 1

58、 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 10 0 0 0 0 0 0 0net-idsubnet-id0逐位進(jìn)行 AND 運算1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 10 0 0 0 0 0 0 00 0 0 0 0 0 0 0 0 0 0 0 0 0 0 01 1 1 1 1 1 1 1 1 1 1 1 1 1 1 11 1 1 1 1 1 1 10 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0net-idnet-idhost-id 為全 0net-id網(wǎng)絡(luò)地址

59、A類地址默認(rèn)子網(wǎng)掩碼網(wǎng)絡(luò)地址B類地址默認(rèn)子網(wǎng)掩碼網(wǎng)絡(luò)地址C類地址默認(rèn)子網(wǎng)掩碼host-id 為全 0host-id 為全 0默認(rèn)子網(wǎng)掩碼 子網(wǎng)掩碼是一個重要屬性子網(wǎng)掩碼是一個網(wǎng)絡(luò)或一個子網(wǎng)的重要屬性。路由器在和相鄰路由器交換路由信息時，必須把自己所在網(wǎng)絡(luò)（或子網(wǎng)）的子網(wǎng)掩碼告訴相鄰路由器。路由器的路由表中的每一個項目，除了要給出目的網(wǎng)絡(luò)地址外，還必須同時給出該網(wǎng)絡(luò)的子網(wǎng)掩碼。若一個路由器連接在兩個子網(wǎng)上就擁有兩個網(wǎng)絡(luò)地址和兩個子網(wǎng)掩碼。141 . 14 . 0 1 0 0 0 0 0 0 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0 0【例7-2】

60、已知 IP 地址是 4，子網(wǎng)掩碼是 。試求網(wǎng)絡(luò)地址。 (a) 點分十進(jìn)制表示的 IP 地址(c) 子網(wǎng)掩碼是 0 0 0 0 0 0 0 0141 . 14 . 72 . 24141 . 14 .64 . 0. 00 1 0 0 1 0 0 0141 . 14 . 24(b) IP 地址的第 3 字節(jié)是二進(jìn)制(d) IP 地址與子網(wǎng)掩碼逐位相與(e) 網(wǎng)絡(luò)地址（點分十進(jìn)制表示）141 . 14 . 0 1 0 0 0 0 0 0 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0【例7-3】在上例中，若子網(wǎng)掩碼改為。試求網(wǎng)絡(luò)地址，討論所得結(jié)果。 (a