资源预览内容
第1页 / 共82页
第2页 / 共82页
第3页 / 共82页
第4页 / 共82页
第5页 / 共82页
第6页 / 共82页
第7页 / 共82页
第8页 / 共82页
第9页 / 共82页
第10页 / 共82页
亲,该文档总共82页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
Chapter 6 Network layern网络层向传输层提供的效劳n虚电路与数据报n路由算法n拥塞控制n网络互连1网络层向传输层提供的效劳n网络层设计目标:n效劳应与通信子网的技术无关n对于传输层而言,通信子网的数量、类型和拓扑结构是隐蔽的n网络地址应该采用统一的编号模式n争论:n网络层提供面向连接的效劳还是非连接的效劳传输层网络层主机通信子网用户网络运营商复杂功能复杂功能2虚电路与数据报nOSI的网络层提供两种效劳n面向连接虚电路virtual circuit):n首先要发出连接请求,与目的端建立连接n数据通信n撤除连接n非连接数据报(datagram)n每个分组头都必须包含目的地址n每个分组在途径节点上被单独处理n同一数据流的分组可以走不同的路径3虚电路的特点n一条物理链路可以对应多条逻辑信道n一条虚电路由各物理链路上的逻辑信道级联而成,占用了节点上的一条逻辑信道实际上就是占用了该节点上缓存器内的一个存储空间n分组靠逻辑信道号LCN选择路由,因LCN只有局部意义,所以减少了分组头标的开销和处理的复杂度n能有效的防止拥塞4Virtual circuits: signaling protocolsnused to setup, maintain teardown VCnnot used in todays Internetapplicationtransportnetworkdata linkphysicalapplicationtransportnetworkdata linkphysical1. Initiate call2. incoming call3. Accept call4. Call connected5. Data flow begins6. Receive datanetworkdata linkphysical5数据报的特点n每个分组的寻路是独立的,可以合理利用网络资源n如果途中一个节点或一条链路发生故障,能给分组重选路由n分组头需要包含地址字段,也会增加开销overhead)n各分组途经的路径可能不同,因此有可能出现先发后到现象n分组必须有生存时间限制,当生存期满时,分组那么被抛弃,免得在网络内死转6Datagram networks: the Internet modelnno call setup at network layernrouters: no state about end-to-end connectionsnno network-level concept of “connectionnpackets typically routed using destination host IDnpackets between same source-dest pair may take different pathsapplicationtransportnetworkdata linkphysicalapplicationtransportnetworkdata linkphysical1. Send data2. Receive data7路由算法n网络层的主要功能是根据分组目的地址选择路径,对数据报,每个分组都要在途径的节点上被单独寻路;而虚电路,那么在建立连接时要进行寻路。n路由算法有两类:非自适应和自适应非自适应自适应静态路由动态路由路由表固定路由表定时刷新路由协议简便、可靠、易行,适用于负荷稳定、拓扑结构变化不大的网络算法复杂,会增加网络负担,但能够改善网络的性能,并有利于流量控制8What does a Routing Table Look Like9最短通路搜索算法n最短通路算法的根本准那么:n在全双工链路连接的网络上,每条链路的每个方向上都有一个与之相关的权值。两个节点之间一条路由的代价是它所经过的链路权值之和,所以,这两个节点间的最正确路由为其所有可能路由中具有最小代价的那条路由。nRouting metrics (weight,cost)nNumber of hopsnDelaynBandwidthnLoadABCEFGHD2216427322310利用Dijkstra算法求A到D的最短通路ABCEFGHD22164273223AB(2,A)E(,-)G(6,A)C(,-)F(,-)H(,-)D(,-)AB(2,A)E(4,B)G(6,A)C(9,B)F(,-)H(,-)D(,-)AB(2,A)E(4,B)G(5,E)C(9,B)F(6,E)H(,-)D(,-)AB(2,A)E(4,B)G(5,E)C(9,B)F(6,E)H(9,G)D(,-)AB(2,A)E(4,B)G(5,E)C(9,B)F(6,E)H(8,F)D(,-)AB(2,A)E(4,B)G(5,E)C(9,B)F(6,E)H(8,F)D(10,H)AB(2,A)E(4,B)G(5,E)C(9,B)F(6,E)H(8,F)D(10,H)AB(2,A)E(4,B)G(5,E)C(9,B)F(6,E)H(8,F)D(10,H)最短通路为:A-B-E-F-H-D,权值为1011距离矢量 Distance Vector 路由算法n距离矢量路由选择distance vector routing算法是现代计算机网络两个最常使用的动态路由选择算法之一。nARPAnet;DECnet、Novell的IPX以及Internet的一种内部网关协议IGP,Interior Gateway ProtocolRIPRoute Information Protocol都使用了距离矢量路由选择算法;Cisco那么开发了一种改进的协议,叫作IGRPInterior Gateway Routing Protocol。n每个节点都定期地将它们的路由表传送给所有相邻节点,这里的路由表所包含的内容有:n每条路径的目的地址矢量n本节点到该目的地址的代价距离n每个节点根据收到的相邻节点的路由信息更新自己的路由表12 距离矢量路由算法举例81012613问题n寻路环routing loops)n慢收敛slow convergence)n无穷计算count to infinity):n它对好消息的反响迅速,但对坏消息却反响迟钝。14水平分割算法n水平分割split horizon算法是解决无穷计算问题的一种方法。n其工作过程与距离矢量法一样。n不同之处在于:如果节点C通过节点B向A发送分组,那么节点B不会再试图通过C向A发送分组。换句话说,节点C向B发送的路由信息中不会包含通往A的路由信息。15链路状态 Link State 路由算法n链路状态路由算法于1979年出现在ARPAnet上,作为一种用来取代DVR的动态路由选择算法,得到了广泛的应用。n算法:n主动测试邻接节点的状态n定期地将相邻节点的状态信息传送给所有节点n每个节点都有完整的网络拓扑信息,然后计算到每个节点的最正确路径n该方法也叫最短路径优先shortest path first),简称SPF算法16Distance Vector vs. Link StatenDVn节点向相邻节点告诉它所知道的所有节点的路由信息n节点根据相邻节点的路由信息更新自己的路由表n分布式计算n可扩展性差nLSn节点向所有节点告诉其相邻节点的状态信息n每个节点都有一个全局的拓扑结构n根据此拓扑结构计算路由表n可扩展性好,可靠17分级路由选择hierarchical routingn将网络分成一些区域,每个区域内的路由器只负责本区域内的分组转发,而不管其它区域的情况,目的地址不在本区域内的分组都发给指定的区域路由器去处理。n当网络规模很大时,往往需要分成多级。n路由信息的交换只在本区域内进行,路由器内部需存储的路由信息大大减少。节省了路由器的存储空间和网络带宽。n缺点是选择的路由可能不是最正确的。18分级路由例如19拥塞控制n什么是网络的拥塞n当大量分组进入通信子网,超出了网络的处理能力时,就会引起网络局部或整体性能下降,这种现象称为拥塞。n路由器的队列溢出,分组丧失n拥塞会导致什么后果n拥塞使许多分组重传n导致更多的业务量,直至崩溃n拥塞的原因n路由器的处理速度、存储空间、带宽不匹配n网络负载的不平衡20拥塞控制与流量控制n拥塞控制n网络负载的不均衡,例如,某个路由器的多个输入端口向同一个输出端口传输分组n是全局问题,涉及的节点包括主机、路由器n流量控制n接收端或所在网络的接收速度小于发送端的发送速度n只涉及收发两端,是局部问题n由于解决方法相似,两者经常混淆21拥塞控制的一般原理n从控制理论观点出发,可分为两类:n开环控制,基于良好的设计n业务量整形漏桶算法、令牌桶法n闭环控制,基于反响概念n监测系统何时、何处发生拥塞n将拥塞信息传到能控制它的地方n调整系统操作n指示网络拥塞的参数n分组丧失率n平均队列长度n分组重传率n平均分组延时22拥塞控制的策略n闭环控制n检测到拥塞时,就发一个分组给源端或向所有主机播送n在每个分组头中保存一个位或域,当拥塞超过一定值时,路由器就在该位或域上填上拥塞信息通知网络节点n由主机或路由器发送询问分组打听拥塞情况231.虚电路中的拥塞控制2.采用接纳控制admission control的三种策略:3.一旦出现拥塞的信号,就不再创立任何虚电路,直至拥塞解除。4.允许建立新的虚电路,但要仔细选择路由,以便所有新的虚电路绕过拥塞的区域。5.在虚电路建立时,子网与主机对所需效劳质量进行协商。假设不能满足主机最低要求,那么拒绝建立连接;否那么就保存连接所需的多种资源,防止拥塞发生。242.数据报中的拥塞控制3.抑制分组choke packet:每个路由器监视本节点的资源利用情况,假设某个方向的资源利用率超过一定的门限,那么该路由器向有关源节点发送抑制分组,源节点相应减少发往该方向的数据量,直至该方向的拥塞解除。4.TCP的窗口机制对拥塞的有着慢启动和拥塞回避策略,但有时会引起同步效应,可采用随机早期检测RED,Random Early Detection的方法进行拥塞控制,该方法采用提早丢包来减轻网络负载。25效劳质量QoS)n各种不同业务对QoS的需求应用可靠性延时延时抖动带宽E-mailhighlowlowlowFile transferHighlowlowmediumWeb accessHighmediumlowmediumRemote loginHighmediummediumlowAudio on demandlowlowhighmediumVideo on demandlowlowhighhighTelephonelowhighhighlowVideoconferencinglowhighhighhigh26效劳质量QoS)控制方法n资源预留n接纳控制n队列调度n缓存消除延时抖动n业务量整形也是拥塞控制的两种常用方法n漏桶算法n令牌桶法27漏桶算法以恒定的速率向网络发送28举例n计算机以25MB/s200Mbps速率产生数据,向网络发送1MB的数据即以25MB/s速率发送了40ms,而网络的最正确传输速率不超过2MB/s,为了降低传送速率,令漏桶的=2MB/s,因此1MB的数据将传输500ms。29令牌桶法令牌桶以每隔T秒产生令牌,分组得到令牌后就可发送30举例n设突发长度为S秒,令牌桶容量C bytes,令牌产生速率为 bytes/s,计算机最大数据速率M bytes/s。n设前例中,C=250KB,M=25MB/s, =2MB/snC+ s=MS S=C/M- =11msn剩余的以2MB/s发送364ms31C=250kBC=500kBC=750kBC=500kB令牌桶加10MB/s漏桶32效劳质量QoS)控制技术n综合效劳IntServ, Integrated Services)n基于流的QOS控制技术,不适合大规模使用 n区分效劳DiffServ, Differentiated Services)n基于类的QOS控制,但不是严格意义的QOSn多协议标记交换MPLS, Multi-Protocol Label Switching)33MPLS Operation1a. Routing protocols (e.g. OSPF-TE, IS-IS-TE) exchange reachability to destination networks1b. Label Distribution Protocol (LDP) establishes label mappings to destination network2. Ingress LER receives packet and “label”s packetsIPIP103. LSR forwards packets using label swappingIP20IP404. LER at egress removes label and delivers packetIP346.5 网络互连n互连设备:nRepeater/HubnBridge/SwitchnRouter/L3 Switch nGateway35One LAN is not EnoughnDue to Capacity 10 Mbps or 100 Mbps is shared between all stations on a segmentnAs a result:nOrganization ends up with several LANsnThe multiple LANs need to be interconnected36LAN 的扩展n随着LAN用户的增长,有必要将它划分成一些较小的碰撞域n降低拥塞n提高性能n提高可靠性n网络连接设备有nrepeater or hub:在物理层透明地复制比特流,以补偿信号的衰减nbridge or switch:在相同或不同的LAN间存储转发帧,必要时要进行链路层的协议转换nrouter:在不同的网络间存储转发发组,必要时进行网络层转换nGateway:指对高层协议进行转换的协议转换器37RepeatersnJoins two segments of cablenOnly one path of segments and repeaters between any two stations - cannot have loopsnAttempt to forward all Frames - error frames will be forwardednNo logical isolation of segmentsnCollision domains are not isolated - if two stations on different segments send at the same time, packets will collidenBroadcast domains are not isolatednHas no effect on MAC or Network Addresses38Segmented Baseband with Repeaters39Repeaters can do Media ConversionClientClientClientClientPrinterRepeaterThickThinnetServerNodeNodeNode10 BaseT HubEthernet Star40HubsnHub is a multiport repeaternShared medium hubnCentral hubnHub retransmits incoming signal to all outgoing linesnOnly one station can transmit at a timenWith a 10Mbps LAN, total capacity is 10Mbps41Stackable可堆叠 HubsnA stackable hub consists of modules stacked on top of another and connected by short cables.nStackable hubs have flexible port densities due to the scalable nature of stacking modules.nStackable hubs can be 12 or 24 ports each, and typically stack up to 128 total ports or more. Management ConsoleStackable Hub42BridgesnA bridge is a device which has two or more ports which can be connected to a variety of media types, and provides a mechanism for the filtering and forwarding of data frames among the ports while building one large logical network.nOperates at the Data Link LayernSelectively forwards framesnError Frames will not be forwardednCollision domains are isolatednBroadcast domains are not isolatednHas no effect on MAC or Network Addresses43Bridge OperationA bridge is a simple device which simply recognizes the MAC addresses on two LANs and retransmits packets from one LAN destined for devices on the other. The LANs usually need to have the same MAC format.44Less Collisions With A Bridge45Connection of Two LANs Using a BridgenMAC level lStation address is at this levelnBridge does not need LLC layerlIt is relaying MAC frames nEvery data frame sent on a LAN has two addresses associated with it: Source Address, which identifies which computer sent the frame; and Destination address, which computer the frame is addressed to. nThe Source Address can be compared to the return address on a letter, and the Destination Address can be compared to the destination address of a letter.46Switches & Switched Hubsn交换机switch源自于多端口网桥bridge,工作在第二层,采用存储-转发方式在各端口之间进行数据帧的交换n交换机检测每个到达数据的帧头n根据数据帧的目的MAC地址查找输出端口n如果地址查找表中没有该表项,交换机就向所有端口除接收端口转发n地址查找表是通过帧的源MAC地址与到达端口的对应关系建立的47Capacity with Switched Hub10 Mbps10 Mbps10 Mbps10 MbpsDCBA4849RoutersnOperate at the Network LayernSelectively forwards packetsnError Frames will not be forwardednCollision domains are isolatednBroadcast domains are isolatednProtocols can be FilterednHas an effect on MAC Addresses but no effect on Network Addresses50Per Packet Processing in an IP router1. Accept packet arriving on an incoming link.2. Lookup packet destination address in the forwarding table, to identify outgoing port(s).3. Manipulate packet header: e.g., decrement TTL, update header checksum.4. Send packet to the outgoing port(s).5. Buffer packet in the queue.6. Transmit packet onto outgoing link.51Another View of an IP RouterControl PlaneDatapathper-packet processingSwitchingForwardingRouting TableRouting Protocols52First Generation RoutersShared BackplaneLine InterfaceCPUMemoryRouteTableCPUBufferMemoryLineInterfaceMACLineInterfaceMACLineInterfaceMACFixed length “DMA blocksor cells. Reassembled on egress linecardFixed length cells or variable length packets53Second Generation RoutersRouteTableCPULineCardBufferMemoryLineCardMACBufferMemoryLineCardMACBufferMemoryFwdingCacheFwdingCacheFwdingCacheMACSlow PathDrop PolicyOutputLinkSchedulingBufferMemoryTypically 5Gb/s aggregate capacity54Third Generation RoutersLineCardMACLocalBufferMemoryCPUCardLineCardMACLocalBufferMemorySwitched BackplaneLine InterfaceCPUMemoryFwdingTableRoutingTableFwdingTableTypically 50Gb/s aggregate capacity55Fourth Generation Routers/SwitchesSwitch CoreLinecardsOptical links100sof feet56Basic Architectural ComponentsDatapath: per-packet processing2. Interconnect3. EgressForwardingTableForwardingDecision1. IngressForwardingTableForwardingDecisionForwardingTableForwardingDecision57Forwarding EngineheaderpayloadPacketRouterDestination AddressOutgoing PortDest-networkPortForwarding TableRouting Lookup Data Structure31758QoS Support Architectural ComponentsOutputSchedulingControl PlaneDatapathper-packet processingSwitchingForwardingTableAdmissionControlRouting TableRouting ProtocolsPolicing& AccessControlPacketClassificationIngressEgressInterconnect1.2.3.59QoS Support Architectural ComponentsDatapath: per-packet processing2. Interconnect3. EgressForwardingTableClassifierTablePolicing &AccessControlForwardingDecision1. IngressForwardingTableClassifierTablePolicing &AccessControlForwardingDecisionForwardingTableClassifierTablePolicing &AccessControlForwardingDecisionLimitation: Memory b/w Limitation: Interconnect b/w Power & Arbitration Limitation: Memory b/w 60Problems Facing Router BuildersnFast forwarding (route lookup)nFlow identificationnFast forwarding pathnQoS supportnCore routers, enterprise routers, access routersnSimpler is winnernReliability (stability) of high-speed routersnDual powernDuplicate data pathsnEase of configurationnMisconfiguration is another major problemnAccountability61L3 & L4 Switchesn几种说法n三层交换机:nIP Switch、TAG SwitchMPLS、Fast IPn“先路由,后交换Route first, then switchn集二层交换和三层路由于一体,“Switch where you can, route where you mustn硬件实现路由功能,线速转发n四层交换机:基于TCP/UDP端口号进行业务分类用于支持QoS62Gatewayn网关也称协议转换器,它是用于连接不同网络的高层网络互连设备n应用层网关:在应用层连接两个网络,如IP 网关n传输层网关:在传输层连接两个网络n平安网关,用于平安考虑的协议过滤,包过滤,内容过滤等,也称为防火墙,用于连接内外网络,保护内部网络的平安63防火墙技术n什么是防火墙n 防火墙是建立在两个网络的边界上的实现平安策略和网络通信监控的系统或系统组,强制执行对内部网和外部网的访问控制。通过建立一整套规那么和策略来监测、限制、更改跨越防火墙的数据流,到达保护内部网络的目的。InternetIntranetFirewallFirewall64n防火墙的功能n访问控制n授权认证n内容平安:病毒扫描、URL扫描、HTTP过滤n加密n路由器平安管理n地址翻译n均衡负载n日志记帐、审计报警65防火墙的技术分类n数据包过滤型防火墙 n应用级网关型防火墙 n代理效劳型防火墙 n复合型防火墙 66数据包过滤型防火墙n数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。工作在网络层和传输层 。 67包过滤防火墙包过滤:根据规那么有选择地让数据包在网络内外进行交换可以在一台机器上提供对整个网络的保护不识别数据包中的用户信息和文件信息数据包头部信息IP源地址和目标地址协议TCP、UDP或ICMP包TCP/UDP源和目标接口ICMP信息类型数据包要到达的端口和要出去的端口68包过滤防火墙几种包过滤系统用过滤路由器进行包过滤用双宿主主机进行包过滤用堡垒主机进行包过滤69nIP过滤路由器n双宿主主机防火墙Internet内部网外部网防火墙InternetR内部网外部网路由器70包过滤的优点:一个包过滤路由器即可保护整个网络不需要用户软件支撑,不需要对用户作特别培训包过滤产品比较容易获得包过滤的缺点:包过滤规那么配置比较困难对包过滤规那么配置的测试比较麻烦包过滤功能有种种局限性71应用级网关型防火墙n应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用效劳协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。 n数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑,那么防火墙内外的计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。 72n应用级网关(Application Level Gateway) 建立在网络应用层上基于主机的协议过滤、转发器,在用户和应用层之间提供访问控制。Internet应用程序网关73HTTP 网关网关n端口号端口号 要访问的端口号n限制时间检查限制时间,结束用户访问n最大进程个数能访问的进程个数n要切断的ContentsContents(Java Applet, JavaScript, ActiveX)74代理效劳型防火墙n代理效劳(Proxy Service)也称电路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信分为两段。防火墙内外计算机系统间应用层的 链接,由两个终止代理效劳器上的 链接来实现,外部计算机的网络链路只能到达代理效劳器,从而起到了隔离防火墙内外计算机系统的作用。 n此外,代理效劳也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保存攻击痕迹。 75n代理效劳器防火墙(Proxy Server)n 不允许外部网与内部网的直接通信,内外计算机应用层的连接由终止于Proxy Server上的连接来实现。InternetR内部网代理效劳器路由器76复合型防火墙复合型防火墙n屏蔽主机防火墙体系结构:在该结构中,分组过屏蔽主机防火墙体系结构:在该结构中,分组过滤路由器或防火墙与滤路由器或防火墙与Internet相连,同时一个堡相连,同时一个堡垒机安装在内部网络,通过在分组过滤路由器或垒机安装在内部网络,通过在分组过滤路由器或防火墙上过滤规那么的设置,使堡垒机成为防火墙上过滤规那么的设置,使堡垒机成为Internet上其它节点所能到达的唯一节点,这确上其它节点所能到达的唯一节点,这确保了内部网络不受未授权外部用户的攻击。保了内部网络不受未授权外部用户的攻击。 n屏蔽子网防火墙体系结构:堡垒机放在一个子网屏蔽子网防火墙体系结构:堡垒机放在一个子网内,形成非军事化区,两个分组过滤路由器放在内,形成非军事化区,两个分组过滤路由器放在这一子网的两端,使这一子网与这一子网的两端,使这一子网与Internet及内部及内部网络别离。在屏蔽子网防火墙体系结构中,堡垒网络别离。在屏蔽子网防火墙体系结构中,堡垒主机和分组过滤路由器共同构成了整个防火墙的主机和分组过滤路由器共同构成了整个防火墙的平安根底。平安根底。 77屏蔽主机防火墙体系结构78n屏蔽子网防火墙体系结构n在主机过滤结构中增加一层停火区(DMZ)的平安机制,n使内部网与外部网之间有两层隔断。InternetR内部路由器外部网外部路由器内部网R堡垒主机停火区停火区DMZDMZ79屏蔽子网防火墙体系结构(续外部防火墙抵挡外部的攻击并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第二道平安防线,当外部防火墙失效的时候,它还可以起到保护内部网络的功能。而局域网内对于internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里,一个黑客必须通过三个独立的区域外部防火墙、内部防火墙和堡垒主机才能够到达局域网。 8081小结n了解网络层的根本功能,掌握虚电路与数据报根本概念,掌握拥塞控制、路由算法。了解网络互连设备。n习题:3,6,9,2782
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号