课程代码4741计算机网络原理第九章-实用网络技术.ppt

第9章 实用网络技术9.1 分组交换技术v广域网公共传输网络:电路交换和分组交换v分组交换技术的网络：X.25，帧中继，ATMv分组交换网络的服务：虚电路和数据报v虚电路：面向连接，分永久虚电路和交换虚电路v数据报：无连接9.1.2  X.25协议vITU提出的X.25协议描述了主机(DTE)与分组交换网(PSN)之间的接口标准，使主机不必关心网络内部的操作就能方便地实现对各种不同网络的访问vX.25实际上是DTE与PSN之间接口的一组协议，它包括物理层、数据链路层和分组层三个层次vX.25的分组级相当与OSI参考模型中的网络层，其主要功能是向主机提供多信道的虚电路服务 vX.25分组交换网的结构™三类设备vDTE：数据终端设备，如计算机、路由器等；vDCE：数据电路设备，其中又分为：™数据电路终端设备：Modem；™数据电路交换设备：如数字传输设备、分组交换机PSE等vPAD：分组封包/解封包器非分组终端X.25网卡主机主机LANRouterDCEDCEDCEDCEPSEPSEPSEPSEPC机PSNX.25X.25X.25X.25为了保证通信可靠性，每个PSE至少与另外两个PSE相连接，使得一个PSE故障时，还能通过其他路由继续传输信息。

PSE采用存储转发的方法交换分组PAD用于将非分组设备接入X.25网位于DTE与DCE之间，实现三个功能：缓冲、打包、拆包1.X.25 分组级的功能分组级的功能 vX.25分组级的主要功能是将链路层所提供的连接DTE-DCE的一条或多条物理链路复用成数条逻辑信道，并且对每一条逻辑信道所建立的虚电路执行与链路层单链路协议类似的链路建立、数据传输、流量控制、顺序和差错检测、链路的拆除等操作25分组级协议，可向网络层的用户提供多个虚电路连接，使用户可以同时与公用数据网中若干个其它X25数据终端有用户(DTE)通信vX.25提供虚呼叫和永久虚电路两种虚电路服务，虚呼叫即需要呼叫建立与拆除过程的虚电路服务，永久虚电路即在接入是由协商指定的不需要呼叫建立与拆除过程的虚电路服务每条虚电路都要赋予一个虚电路号，X.25中的虚电路号由逻辑信道组号(0～15)和逻辑信道号(0～255)组成用于虚呼叫的虚电路号范围和永久虚电路的虚电路号应在签定服务时与管理部门协商确定与分配2. X.25分组级分组格式分组级分组格式 v在分组级上，所有的信息都以分组为基本单位进行传输和处理，无论是DTE之间所要传输的数据，还是交换网所用的控制信息，都以分组形式来表示，并按照链路协议穿越DTE-DCE界面进行传输。

因此在链路层上传输时，分组应嵌入到信息帧(I帧)的信息字段中，即表示成如下的格式：  标记字段F地址字段控制字段(分组)帧校验序列FCS标记字段F 8　　7　　6　　5　　4　　3　　2　　1(位)1234┇─┬─↑分组头│↓─┼─↑数据↓─┴─通用格式标识逻辑信道组号逻辑信道号分组类型标识与分组类型有关的信息(可为空)数据(可变长、可为空)vX.25分组级协议规定了多种类型的分组由于DTE与DCE的不对称性，所以具有相同类型编码的同类型分组，因其传输方向的不同的含义和解释，具体实现时也有所不同v分组协议从本地DTE的角度出发，为它们取了不同的名称以示区别一般来说，从DTE到DCE的分组表示本地DTE经DCE向远地DTE发送的命令请求或应答响应；反之，从DCE到DTE的分组表示DCE代表远地DTE向本地DTE发送的命令或应答响应 X.25 分组级分组类型　分组类型名称分组类型编号(位)格式编号DTE->DCEDTE->DCE8 7 6 5 4 3 2 1呼叫建立和清除呼叫请求呼叫接受释放请求DTE释放确认呼叫指示呼叫接通释放指示DCE释放确认0 0 0 0 1 0 1 10 0 0 0 1 1 1 10 0 0 1 0 0 1 10 0 0 1 0 1 1 1①⑥④⑥数据和中断DTE数据DTE中断请求DTE中断确认DCE数据DCE中断请求DCE中断确认P(R)　M　P(S) 00 0 1 0 0 0 1 10 0 1 0 0 1 1 1②④⑥流量控制和复位DTE RRDTE RNR复位请求DTE复位确认DCE RRDCE RNR复位请求DCE复位确认P(R)　0 0 0 0 1P(R)　0 0 1 0 10 0 0 1 1 0 1 10 0 0 1 1 1 1 1③③⑤⑥重启动重启动请求DTE重启动确认重启动指示DCE重启动确认1 1 1 1 1 0 1 11 1 1 1 1 1 1 1④⑥任选DTE REJDCE REJP(R)　0 1 0 0 1    ③9.1.2 帧中继帧中继1.帧中继的基本原理帧中继的基本原理v帧中继是继X.25后发展起来的数据通信方式。

从原理上看，帧中继与X.25及ATM都同属分组交换一类但由于X.25带宽较窄，而帧中继和ATM带宽较宽，所以常将帧中继和ATM称为快速分组交换v帧中继保留了X.25链路层的HDLC帧格式但不采用HDLC的平衡链路接入规程LAPB，而采用D通道链路接入规程LAPDLAPD规程能在链路层实现链路的复用和转接，所以帧中继的层次结构中只有物理层和链路层v与X.25相比，帧中继在操作处理上做了大量的简化帧中继不考虑传输差错问题，其中节点只做帧的转发操作，不需要执行接收确认和请求重发等操作，差错控制和流量控制均交由高层端系统完成，所以大大缩短了节点的时延，提高了网内数据的传输速率FR网络的组成网桥网桥FRSFRSFRSFRSNTU/DTURouterRouter帧中继网帧中继网Router用户用户-网络网络接口接口HostBridgeFRS：帧中继交换机：帧中继交换机UNIUNIUNIUNIUNI帧中继的特点帧中继的特点vOSI两层服务及部分网络层服务v采用光纤，误码率低v简化处理过程，降低网络时延v采用永久虚电路或交换虚电路，一条物理线路提供多个逻辑连接，减少用户进网端口数v具有按需分配带宽的功能v接入费用少2 . 帧中继的帧格式帧中继的帧格式帧中继帧帧中继帧发送在前发送在前标标 志志标标 志志地地     址址信信            息息帧检验序列帧检验序列字节字节122~41可可     变变首部首部尾部尾部§ 标志字段是一个标志字段是一个 01111110 的比特序列，用于指示帧中继的比特序列，用于指示帧中继帧的起始和结束。

它的惟一性是通过比特填充法来确保的帧的起始和结束它的惟一性是通过比特填充法来确保的§ 信息字段是长度可变的用户数据信息字段是长度可变的用户数据§ 帧检验序列字段是帧检验序列字段是 2 字节的字节的 CRC 检验当检测出差错时，检验当检测出差错时，就将此帧丢弃就将此帧丢弃§ 地址字段一般为地址字段一般为 2 字节，但也可扩展为字节，但也可扩展为 3 或或 4 字节v 地址字段地址字段n 数据链路连接标识符数据链路连接标识符 DLCI    DLCI 字段的长度一般为字段的长度一般为10 bit（（采用采用默认值默认值 2 字节地址字段），但也可扩展为字节地址字段），但也可扩展为 16 bit（（用用 3字节地址字段），字节地址字段），或或 23 bit（（用用 4 字节地址字段），这取决于扩展地址字段的值字节地址字段），这取决于扩展地址字段的值n 为了区分开不同的永久虚电路（为了区分开不同的永久虚电路（PVC），每一条），每一条PVC的两个的两个端点都端点都有一个有一个DLCI，，DLCI 的值用于标识永久虚电路的值用于标识永久虚电路(PVC)、、呼叫控制或管理呼叫控制或管理信息n 数据链路连接标识符数据链路连接标识符 DLCI 只具有本地意义。

只具有本地意义  连接两端的用户网络连接两端的用户网络接口所使用的两个接口所使用的两个DLCI都是各自独立选取的都是各自独立选取的DLC1高C/REAODLC1低FECNBECHDEEAI     6             1              1                4              1               1               1              1§前向显式拥塞通知前向显式拥塞通知 FECN：： 若某结点将若某结点将 FECN 置为置为1，表，表明与该帧在同方向传输的帧可能受网络拥塞的影响而产生明与该帧在同方向传输的帧可能受网络拥塞的影响而产生时延n 反向显式拥塞通知反向显式拥塞通知 BECN ：：若某结点将若某结点将BECN置为置为1即指即指示接受者，与该帧反方向传输的帧可能受网络拥塞的影响示接受者，与该帧反方向传输的帧可能受网络拥塞的影响产生时延产生时延n 可可丢丢弃弃指指示示 DE：：DE的的长长度度是是 1 bitDE 比比特特为为 1 的的帧帧表明这是较为不重要的低优先级帧，在必要时可丢弃表明这是较为不重要的低优先级帧，在必要时可丢弃。

  3.帧中继的应用帧中继的应用v（1）局域网的互连由于帧中继具有支持不同数据速率的能力，使其非常适于处理局域网-局域网的突发数据流量传统的局域网互连，每啬一条端-端线路，就要在用户的路由器上增加一个端口基于帧中继的局域网互连，只要局域网内每个用户至网络间有一条带宽足够的线路，则既不用增加物理线路也不占用物理端口，就可增加端-端线路，而不致对用户性能产生影响v（2）语音传输帧中继不仅适用于对时延不敏感的局域网的应用，还可以进行对时延要求较高的低档语音（质量优于长途）的应用v（3）文件传输帧中继既可保证用户所需的带宽，又有实满意的传输时延，非常适合大流量文件的传输9.2  异步传输模式异步传输模式 ATM§9.2.1 ATM交换交换§1.ATM的定义与功能的定义与功能 §ATM交换方式也属于快速分组交换，把检错纠错功能放在终交换方式也属于快速分组交换，把检错纠错功能放在终端设备，但它不仅仅是简化了控制，提高了速率的分组交换，端设备，但它不仅仅是简化了控制，提高了速率的分组交换，同时为了满足实时业务的要求，还使用了一些电路交换中的同时为了满足实时业务的要求，还使用了一些电路交换中的方法。

方法ATM改进了电路交换的功能，使其能灵活地适配不同改进了电路交换的功能，使其能灵活地适配不同速率的业务；速率的业务；ATM改进了分组交换功能，满足实时性业务的改进了分组交换功能，满足实时性业务的要求所以要求所以ATM交换方式又可以看作是电路交换方式和分组交换方式又可以看作是电路交换方式和分组交换方式的结合交换方式的结合v “异步异步”的含义的含义§ 当用户的当用户的ATM信元需要传送时，就可插入到信元需要传送时，就可插入到SDH的一个帧的一个帧中§ SDH传送的同步比特流被划分为一个个固定时间长度的帧传送的同步比特流被划分为一个个固定时间长度的帧（注意，这是时分复用的时间帧，而不是数据链路层的）注意，这是时分复用的时间帧，而不是数据链路层的） § 每一个用户发送的每一个用户发送的ATM信元在每一时分复用帧中的相对位信元在每一时分复用帧中的相对位置并不是固定不变的置并不是固定不变的§ 如如果果用用户户有有很很多多信信元元要要发发送送，，就就可可以以接接连连不不断断地地发发送送出出去去只要只要SDH的帧有空位置就可以将这些信元插入进来的帧有空位置就可以将这些信元插入进来§ ATM名名词词中中的的“异异步步”是是指指将将 ATM 信信元元“异异步步插插入入”到到同同步的步的 SDH 比特流中。

比特流中v电路交换，分组交换和电路交换，分组交换和ATM交换方式的比较交换方式的比较优点优点缺点缺点电路交换电路交换1.适合固定速率的业务适合固定速率的业务2.没有接入时没有接入时 延1.信息速率种类较少信息速率种类较少2.网络资源及电路利用率不高网络资源及电路利用率不高分组交换分组交换1.适合可变速率的业务适合可变速率的业务 2.通过合并若干个分组，通过合并若干个分组，可以达到各种速率可以达到各种速率 1.由于时延大，不适合实时业务由于时延大，不适合实时业务2.可变的分组长度增加了处理成本可变的分组长度增加了处理成本ATM交换交换1.通过给一个逻辑连接分通过给一个逻辑连接分配若干个信元，可以达到配若干个信元，可以达到各种速率各种速率 2.可以更好地利用网络资可以更好地利用网络资源，如动态容量分配，统源，如动态容量分配，统计复用等不同速率的连接计复用等不同速率的连接1.面向分组，对于实时业务需要附面向分组，对于实时业务需要附加的机制加的机制 2.分组装拆会引起一些时延分组装拆会引起一些时延2.ATM 的优点的优点§ 选择固定长度的短信元作为信息传输的单位，有利于宽带选择固定长度的短信元作为信息传输的单位，有利于宽带高速交换。

信元长度为高速交换信元长度为 53 字节，其首部（可简称为信头）字节，其首部（可简称为信头）为为 5 字节§ 能支持不同速率的各种业务（能支持不同速率的各种业务（25M,45M,155M,625M) § 所有信息在最低层是以面向连接的方式传送，保持了电路所有信息在最低层是以面向连接的方式传送，保持了电路交换在保证实时性和服务质量方面的优点交换在保证实时性和服务质量方面的优点  § ATM 使用光纤信道传输由于光纤信道的误码率极低，且使用光纤信道传输由于光纤信道的误码率极低，且容量很大，因此在容量很大，因此在ATM 网内不必在数据链路层进行差错控制网内不必在数据链路层进行差错控制和流量控制和流量控制(放在高层处理放在高层处理)，因而明显地提高了信元在网络，因而明显地提高了信元在网络中的传送速率中的传送速率 9.2.2 ATM的特征的特征v1.基于信元的分组交换技术基于信元的分组交换技术vATMATM的传送单元是固定长度的传送单元是固定长度53byte53byte的的CELLCELL（信元），其中（信元），其中5B5B为信元头，用为信元头，用来承载该信元的控制信息；来承载该信元的控制信息；48B48B为信元体，用来承载用户要分发的信息。

为信元体，用来承载用户要分发的信息信头部分包含了选择路由用的信头部分包含了选择路由用的VPIVPI（虚通道标识符）（虚通道标识符）/VCI/VCI（虚通路标示符）（虚通路标示符）信息，因而它具有分组交换的特点信息，因而它具有分组交换的特点v2.快速交换技术快速交换技术vATM采用统计时分复用技术，并且综合吸收了分组交换高效率和电路交采用统计时分复用技术，并且综合吸收了分组交换高效率和电路交换速度快的优点，针对分组交换速率比较低的缺陷，利用电路交换几乎换速度快的优点，针对分组交换速率比较低的缺陷，利用电路交换几乎与协议处理无关的特点，通过高性能的硬件设备来提高处理速度，实现与协议处理无关的特点，通过高性能的硬件设备来提高处理速度，实现快速交换快速交换v3.ATM的网络环境的网络环境v传输介质：双绞线、同轴电缆或光纤可分为专用传输介质：双绞线、同轴电缆或光纤可分为专用ATM和通用和通用ATM.4.面向连接的信元交换面向连接的信元交换 § ATM端端点点（（又又称称为为 ATM 端端系系统统））通通过过点点到到点点链链路路与与 ATM 交换机相连交换机相连§ ATM交交换换机机是是一一个个快快速速分分组组交交换换机机（（交交换换容容量量高高达达数数百百 Gb/s），），其主要构件是：其主要构件是：v 交换结构交换结构(switching fabric)v 若干个高速输入端口和输出端口若干个高速输入端口和输出端口v 必要的缓存必要的缓存  v ATM 的交换结构的交换结构ATM 交换机交换机abcdefgh交换结构交换结构输入信元输入信元输出信元输出信元n 一一个个虚虚通通路路 VC 是是在在两两个个或或两两个个以以上上的的端端点点之之间间的的一一个个运运送送 ATM 信元的通信通路。

信元的通信通路n 一一个个虚虚通通道道 VP 包包含含有有许许多多相相同同端端点点的的虚虚通通路路 VC，，而而这这许许多多 VC 都使用同一个都使用同一个 VPI传输链路传输链路虚通道虚通道 VPxVPzVPyVCxVCxVCyVCzVCzVCyVCyVCx虚通路虚通路n 在在一一个个给给定定的的接接口口，，复复用用在在一一条条链链路路上上的的许许多多不不同同的的  VP，，用它们的用它们的 VPI 来识别n 复用在一个复用在一个 VP 中的不同的中的不同的 VC，，用它们的用它们的 VCI 来识别n在在一一个个给给定定的的接接口口上上，，属属于于两两个个不不同同的的VP的的两两个个VC，，可可具具有相同的有相同的VCI传输链路传输链路虚通道虚通道 VPxVPzVPyVCxVCxVCyVCzVCzVCyVCyVCx虚通路虚通路v5.预约带宽v可实现不同的用户分配不同的优先级9.2.3 ATM的层次结构的层次结构§ ATM 的协议参考模型的协议参考模型   ATM 的的协协议议参参考考模模型型共共有有三三层层，，大大体体上上与与 OSI的的最最低低两两层层相当（但无法严格对应）相当（但无法严格对应）。

 ATM 层物理层PMD 子层TC 子层ATM 适配层 (AAL 层)SAR子层CS子层321 ATM的层次ATM 层和层和 AAL 层层§ AAL层的功能只能驻留在层的功能只能驻留在ATM端点中，而在端点中，而在 ATM 交换机中交换机中只有物理层和只有物理层和 ATM 层ATM 端点端点AAL层层IP 层层物理层物理层ATM层层AAL层层IP 层层物理层物理层ATM层层ATM 网络网络ATM 网络网络交换机交换机交换机交换机ATM 层层物理层物理层物理层物理层物理层物理层ATM 层层物理层物理层ATM 端点端点1.ATM 层层§ 主主要要完完成成交交换换和和复复用用功功能能，，与与传传送送 ATM 信信元元的的物物理理媒媒体体或或物理层无关物理层无关§ 每每一一个个ATM 连连接接用用信信元元首首部部中中的的两两级级标标号号来来识识别别第第一一级级标标号号是是虚虚通通路路标标识识 VCI (Virtual Channel Identifier)，，第第二二级标号是虚通道标识符级标号是虚通道标识符 VPI (Virtual Path Identifier) § 在在信信元元结结构构中中，，VPI和和VCI是是最最重重要要的的两两部部分分。

这这两两部部分分合合起起来来构构成成了了一一个个信信元元的的路路由由信信息息，，也也就就是是这这个个信信元元从从哪哪里里来来，，到到哪哪里里去去ATM交交换换机机就就是是根根据据各各个个信信元元上上的的VPI-VCI来来决决定把它们送到哪一条线路上去定把它们送到哪一条线路上去 ATM ATM的信元结构的信元结构ATM信元首部中各字段的作用:v（ 1） 类 属 流 量 控 制 GFC  (Generic  Flow Control)：4 bit字段，通常置为0v（2）VPI/VCI：即路由字段v（3）有效载荷类型PT (Payload Type)3 bit字段，用来区分该信元是用户信息或非用户信息此字段又称为有效载荷类型指示PTI  (I表示Indicator)ATM信元首部中各字段的作用v（ 4） 信 元 丢 失 优 先 级 CLP  (Cell  Loss Priority)：16 bit字段，指示信元的丢失优先级网络还可能将违反通信量合约(contract)的信元的CLP从0改为1，这个过程称为“打标记”(tagging)v（ 5） 首 部 差 错 控 制 HEC  (Header  Error Control)：8 bit字段，提供覆盖信元首部所有字段(但不包括有效载荷部分)的差错控制。

2. ATM 适配层适配层AAL§ AAL (ATM Adaptation Layer)层层的的作作用用就就是是增增强强 ATM 层层所提供的服务，并向上面高层提供各种不同的服务所提供的服务，并向上面高层提供各种不同的服务v 负责将用户层的信息转换成负责将用户层的信息转换成 ATM 网络可用的格式等网络可用的格式等用户层把较长的数据分组交给用户层把较长的数据分组交给 ATM 适配层后，适配层后， ATM 适适配层按规定的长度将数据分成若干信元体，再传给配层按规定的长度将数据分成若干信元体，再传给 ATM 层(1) ITU的通信业务分类的通信业务分类vClass A　　A类业务是面向连接的恒定比特率业务，在信源和信宿之间要求维持定时关系，典型的业务类型有64Kbit/s的话音业务、电路仿真(如传送2Mbit/s或34Mbit/s的电路交换信号)以及恒定比特率的图像业务vClass B　　B类业务是面向连接的可变比特率业务，信源和信宿之间要求维持定时关系，典型的业务类型如可变比特率的图像和音频业务.vClass C　　C类业务也是面向连接的可变比特率业务，但信源和信宿之间不要求维持定时关系，如面向连接的数据传送。

vClass D　　D类业务是无连接的可变比特率业务，信源和信宿之间不要求定时关系，典型的业务是无连接数据传送业务（（2））AAL协议类型协议类型§ 汇聚子层汇聚子层 CS       使使 ATM 系统可对不同的应用提供不同的服务每一个系统可对不同的应用提供不同的服务每一个 AAL 用户通过相应的服务访问点用户通过相应的服务访问点 SAP接入到接入到 AAL 层在 CS 子层形成的协议数据单元叫做子层形成的协议数据单元叫做 CS-PDU § 拆装子层拆装子层 SAR       在在发发送送时时，， SAR 子子层层将将 CS 子子层层传传下下来来的的协协议议数数据据单单元元 CS-PDU 划划分分成成为为 48 字字节节的的单单元元，，交交给给 ATM 层层作作为为信信元元的的有有效效载载荷荷在在接接收收时时，，SAR 子子层层进进行行相相反反的的操操作作，，将将 ATM 层交上来的层交上来的 48 字节长的有效载荷装配成字节长的有效载荷装配成 CS-PDU       4种AAL协议及服务类型ALL1ALL2ALL3/4ALL5连接模式面向连接面向连接无连接面向连接端到端定时要求要求不要求要求比特率恒定可变可变可变业务类型CLASS ACLASS BCLASS C/DCLASS D/D（（3））AAL5的工作过程的工作过程n 所有的支持交换虚连接所有的支持交换虚连接 SVC 的的 ATM 交换机和端点都必须交换机和端点都必须支持支持 AAL5。

n 用户数据先传递给用户数据先传递给 AAL5 的汇聚子层的汇聚子层 CS，，作为汇聚子层作为汇聚子层的数据n SAR 的协议数据单元的协议数据单元 SAR-PDU 是由是由 CS 子层交来的子层交来的48字节的数据块组成字节的数据块组成n 每个每个 SAR-PDU 再加上再加上 5 个字节的个字节的 ATM 信元首部就构成信元首部就构成了一个完整的了一个完整的 ATM 信元    AAL5 将用户数据交给将用户数据交给 ATM 层层SAR-PDUAAL5 层层CS 子层子层尾部尾部1~65535 字节字节填充填充长度长度CRC 检验检验保留保留字节字节    2          2               4SAR 子层子层ATM 层层CS-PDU用户数据（例如，用户数据（例如，IP 数据报）数据报）ATM 信元信元53 字节字节发送发送ATM 信元信元53 字节字节ATM 信元信元53 字节字节ATM 信元信元53 字节字节48 字节字节48 字节字节48 字节字节48 字节字节PT ＝＝ 000PT ＝＝ 000PT ＝＝ 000PT ＝＝ 001 表示是最后一个信元表示是最后一个信元9.2.4 ATM的工作方式的工作方式9.3 9.3 第三层交换技术第三层交换技术9.3.1 第三层交换的引入1.传统的网络互连设备的局限性         v网络层主要的任务是为分组寻找合适的路由，路由器用来连接不同的局域网，具有协议转换的功能。

传统的路由器由于使用软件和通用的CPU来实现对数据报的转发，因而延迟比较大，转发的速度也比较慢，而第三层交换正是针对这个问题提出的v二层交换机是多端口的网桥，用来分割局域网，实现无冲突交换，转发简单速度快，但不具有隔离广播包的功能2.第三层交换技术的引入第三层交换技术的引入v第三层交换是在网络交换机中引入路由模块而取代传统路由器实现交换与路由相结合的网络技术它根据实际应用时的情况，灵活地在网络第二层或者第三层进行网络分段具有三层交换功能的设备是一个带有第三层路由功能的第二层交换机，但它是二者的有机结合，并不是简单地把路由器设备的硬件及软件叠加在局域网交换机上v但是三层交换机的主要功能仍是数据交换，它的路由功能通常比较简单，因为它所连接的局域网必须是相同的局域网，它不具备协议转换的功能，路由路径远没有路由器那么复杂，它用在局域网中的主要用途还是提供快速数据交换功能，满足局域网数据交换频繁的应用特点 9.3.2 局域网局域网L3交换技术交换技术1.Fast IP技术技术v采用一次路由，随后交换：不同子网上的终端系统之间的通信先通过路由器进行，此后的信息流都取捷径更快的二层交换通路实现了局域网环境中的主机到主机模式的NHRP协议。

v它采用IETF的NHRP标准草案，通过终端系统之间的请求响应过程来实现这个过程可以在不同子网上的终端节点之间找出第2层通路，从而避开路由器慢道Fast IP工作于现有的第2层交换机和第3层路由器上，既改善了现有网络的性能又保护了已有的设备投资Fast IP易于实现，为基于数据包的网络和基于单元的网络提供了消除路由器瓶颈的解决方案 2. Net Flow 技术技术v是典型的基于核心模型的L3交换方案，其目的是提高网络核心节点即路由器的性能vNetFlow是Cisco公司的独有技术，它既是一种流量分析协议，又是一种流交换技术v在NetFlow交换中，查询过程仅对分组流中的第一个分组进行，当一个网络流被识别并确定了与其相关的服务后，那么后面所有的分组都作为该信息流的一部分广域网广域网L3L3交换技术交换技术 vTag Switching技术是一种典型的基于核心模型的L3交换解决方案，其基本思想是增强广域网核心路由器的路由／转发能力v标记交换过程：1)根据路由协议建立路由和标记映射表2)标记边缘路由器接收数据帧，实现第三层增值业务，并给帧加标记3)标记交换机进行标记交换4)输出端边缘路由器去掉标记，恢复帧。

标记交换核心网中传输的可以是ATM信元，也可以是加标记的帧 9.4 虚拟局域网技术虚拟局域网技术v虚拟局域网( Virtual LAN，VLAN)是通过路由和交换设备在网络的物理拓扑结构基础上建立的逻辑网络VLAN代表着一种不用路由器实现对广播数据进行抑制的解决方案另外，VLAN还可以跟踪各个网络节点物理位置的变化，使之在移动位置后不需要对其网络地址重新进行手工配置vVLAN相当于OSI参考模型的第二层的广播域，能够将广播风暴控制在一个VLAN内部，划分VLAN后，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高不同的VLAN之间的数据传输是通过第三层（网络层）的路由来实现的，因此使用VLAN技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问，  以太网交换机A4B1以太网交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网交换机以太网交换机三个虚拟局域网: VLAN1, VLAN2 和 VLAN3以太网交换机A4B1以太网交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网交换机以太网交换机三个虚拟局域网 VLAN1, VLAN2和 VLAN3 的构成 当 B1 向 VLAN2 工作组内成员发送数据时，工作站 B2 和 B3 将会收到广播的信息。

以太网交换机A4B1以太网交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网交换机以太网交换机三个虚拟局域网 VLAN1, VLAN2和 VLAN3 的构成 B1 发送数据时，工作站 A1, A2 和 C1都不会收到 B1 发出的广播信息 以太网交换机A4B1以太网交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网交换机以太网交换机三个虚拟局域网 VLAN1, VLAN2和 VLAN3 的构成 虚拟局域网限制了接收广播信息的工作站数，使得网络不会因传播过多的广播信息(即“广播风暴”)而引起性能恶化 虚拟局域网的交换技术虚拟局域网的交换技术 v建立虚拟局域网的交换技术包括端口交换( Port Switch)、帧交换(Frame Switch)和信元交换(Cell Switch)3种方式v（1）端口交换：利用交换机的端口划分VLAN成员，在一个交换机上进行虚网划分不同交换机上的若干个端口也可组成同一个虚拟网v（2）帧交换：交换机根据节点的MAC地址，决定将其放置于哪个VLAN中可以允许网络用户从一个物理位置移动到另一个物理位置上，并且自动保留其所属虚拟网段的成员身份。

 v（3）信元交换：在ATM交换机上实现虚拟局域网的划分方法虚拟局域网的划分方法 v1. 基于端口的基于端口的VLAN v基于端口的VLAN的划分是最简单、最有效的VLAN划分方法该方法只需网络管理员针对于网络设备的交换端口进行重新分配组合在不同的逻辑网段中即可而不用考虑该端口所连接的设备是什么 v2. 基于基于MAC地址的地址的VLAN vMAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是唯一的基于MAC地址的VLAN划分其实就是基于工作站、服务器的VLAN的组合在网络规模较小时，该方案亦不失为一个好的方法，但随着网络规模的扩大，网络设备、用户的增加，则会在很大程度上加大管理的难度 v3. 基于三层协议的基于三层协议的VLAN v路由协议工作在七层协议的第三层：网络层，即基于IP和IPX协议的转发这类设备包括路由器和路由交换机该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中 9.4.3 9.4.3 虚拟局域网的互连方式虚拟局域网的互连方式 1.边界路由边界路由 边界路由指的是将路由功能包含在位于主干网络边界的每一个LAN交换设备中，此时，VLAN间的报文将由交换设备内在的路由能力进行处理，从而无需再将其传送至某个外部的路由器上，数据的转发延迟因而也将得以降低。

此种路由方式的主要优点：在于不像集中式路由那样会因中央路由站点的崩溃而导致整个网络的瘫痪 主要的不利之处在于：相对于统一路由功能的集中式管理而言，边界路由需要对多个物理设备进行管理另外此种方式可能比由一个集中式路由器和多个较便宜的边界路由器组成的集中式方案 在价格上要贵一些v2.“独臂”路由器 v采用“独臂”路由器的网络方案因能消除主干网上集中式处理和高延迟的路由功能而越来越受广泛的关注 v要求：大部分报文在VLAN内传输；少量的报文通过路由器进行传输 v这种路由器一般接在主干网上的一个交换设备上，以使得网络中的大部分报文在通过主干网时无需通过路由器进行处理，而且此种方式配置和管理起来也比较方便 v优点：我们可以看到同一个VLAN内的报文将用不着通过路由器而直接在交换设备间进行高速传输这种路由方式的不足之处在于它仍然是一种集中式的路由策略，因此在主干网上一般均设置有多个冗余“独臂”路由器，但如果网络中VLAN之间的数据传输量比较大，那么在路由器处将形成瓶颈v3.ATM上的多协议路由(MPOA) vMPOA的目的是给可能属于不同路由子网的多个用ATM网络连接的设备提供直接的虚拟连接。

也就是说，MPOA将使得多个属于不同E—LAN（仿真局域网）的站点通过ATM网络直接进行通信，而用不着经过一个中间的路由器其中ELAN可以看成为另一种的VLAN，它是在ATM网络环境下用LANEmulation（模仿）标准建立起来的v4.第三层交换技术 在第三层交换技术中，有的技术方案本身就是一个带有路由功能的交换器特别是基于智能可编程ASIC技术的第三层交换器，它既包括了第二层和第三层的交换功能，而且还具备路由寻址功能因此利用它来作为网络的主干交换器，既可以根据多种方法来定义VLAN成员，继后配置VLAN，又能不附加其它路由设备来实现VLAN之间的通信不论从网络结构还是降低网络传输延迟来说，用第三层交换技术不失是一个很好的选择 9.5 虚拟专用网虚拟专用网VPNv9.5.1 何谓VPNv虚拟专用网（Virtual Private Network，VPN）指通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过公用网络的安全、稳定的隧道，是对企业内部网的扩展v9.5.2 VPN的特点v安全保障安全保障™隧道、加密、密钥管理、数据包认证、用户认证、访问隧道、加密、密钥管理、数据包认证、用户认证、访问控制控制v服务质量服务质量 QoS™通过通过Internet连接的连接的VPN服务质量很大程度取决于服务质量很大程度取决于Internet的状况的状况v可扩展性和灵活性可扩展性和灵活性™支持如何类型的数据流，增加节点方便支持如何类型的数据流，增加节点方便™支持多种介质，满足高质量需求支持多种介质，满足高质量需求v可管理性可管理性™完善的管理系统完善的管理系统™包括安全管理、设备管理、配置管理、访问控制列表管包括安全管理、设备管理、配置管理、访问控制列表管理、理、QoS管理管理9.5.3 VPN安全技术vVPN技术通过架构安全为专网通信提供具有隔离性和隐藏性的安全需求。

目前，VPN主要采用4种技术来保证安全，v这4种技术分别是隧道技术、加解密技术、密钥管理技术和身份认证技术其中隧道技术是VPN的基本技术VPN的解决方案vAccessVPN（远程访问（远程访问VPN））v    又称为拨号又称为拨号VPN(即即VPDN)，是指企业员工或企业的小分，是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网典型的远程支机构通过公网远程拨号的方式构筑的虚拟网典型的远程访问访问VPN是用户通过本地的信息服务提供商是用户通过本地的信息服务提供商(ISP)登录到因登录到因特网上，并在现在的办公室和公司内部网之间建立一条加密特网上，并在现在的办公室和公司内部网之间建立一条加密信道 VPN的解决方案vIntranetVPN（内部网（内部网VPN））即企业的总部与分支机构间即企业的总部与分支机构间通过公网构筑的虚拟网这种类型的连接带来的风险最小，通过公网构筑的虚拟网这种类型的连接带来的风险最小，因为公司通常认为他们的分支机构是可信的，并将它作为公因为公司通常认为他们的分支机构是可信的，并将它作为公司网络的扩展内部网司网络的扩展内部网VPN的安全性取决于两个的安全性取决于两个VPN服务器服务器之间加密和验证手段上。

之间加密和验证手段上VPN的解决方案vExtranetVPN（外联网（外联网VPN））v    即企业间发生收购、兼并或企业间建立战略联盟后，使不同企业网通即企业间发生收购、兼并或企业间建立战略联盟后，使不同企业网通过公网来构筑的虚拟网它能保证包括过公网来构筑的虚拟网它能保证包括TCP和和UDP服务在内的各种应用服务在内的各种应用服务的安全，如服务的安全，如Email、、HTTP、、FTP、、RealAudio、数据库的安全以及、数据库的安全以及一些应用程序如一些应用程序如Java、、ActiveX的安全9.5.4 VPN的发展趋势的发展趋势v基于IP的VPN获得极大的发展空间vQoS得到根本改善和解决v将成为广域网建设的最佳解决方案v推动电子商务、电子贸易的发展9.6 计算机网络管理与安全计算机网络管理与安全v网络管理基本功能网络管理基本功能v ISO建议网络管理包含以下基本功能：故障管理、计费管理、配置管理、性能管理和安全管理计算机网络安全包括物理安全和信息安全物理安全是指网络设备、程序、线路等方面的安全；信息安全则是防止在网络中存储或传送的信息受到破坏v9.6.2 网络安全网络安全v1．网络安全的概念．网络安全的概念v 从广义上讲，术语“网络全安”和“信息安全”是指确保网络上的信息和资源不被非授权用户所使用，通常把为了保护数据及反黑客而设计的工具的集合成为计算机安全(Computer Security)。

网络安全是为了在数据传输期间保护这些数据并且保证数据的传输是可信的，它强调是网络中信息或数据的完整性、可用性以及保密性v2．网络安全攻击．网络安全攻击v 网络安全攻击有以下四种形式：中断是以可用性作为攻击目标，它毁坏系统资源（如硬件），切断通信线路+女或使文件系统变得不可用，截获是以保密性作为攻击目标，非授权用户通过某种手段获得对系统资源的访问，修改是以完整性作为攻击目标，非授权用户不仅获得对系统资源泉的访问，而且对文件进行篡改，伪造是以完整性作为攻击目标，非授权用户将伪造的数据插入到正常系统中网络安全攻击又可分为主动攻击和被动攻击v3．网络安全机制．网络安全机制v安全策略(Security Policy)是描述保护数据或信息的规则，但不需要规定具体的技术实现v    (1)传统的加密机制加密就是将明文（原信息）经过处理转换成密文（与原信息不同的、不易理解的信息）的过程，解密是加密的逆过程，即将密文翻译成明文的过程加密／解密必须遵循明文与密文的相互交换是唯一的、无误差的可逆变换的规则v    (2)公开密钥加密公开密钥加密技术是给每个用户分配两把密钥：一个是保密的私有密钥；另一个是公开密钥。

v    (3)加密算法最常用的传统加密算法是分组密码(Block Ciphers)，它将明文输入变成固定长度的数据块，并生成与明文大小相同的密文块两种最重要的传统算法是DES和TDEA，它们都属于分组密码v(4)认证(Authentication)加密可以保护数据不被动攻击（窃听），而要保护数据不受主动攻击（数据的伪造和变动）则有不同的要求防止此类攻击的保护措施称为报文认证™ 报文的认证过程使通信各方能够证实接收到的报文是可信的有两个重要的内容需要证实一方面是报文的内容没有被改变，另一方面报文的来源是可信的™ 报文的认证方式有以下四种：使用传统加密方式的认证、没有报文加密的报文认证、使用密钥的报文认证码方式、使用单向散列函数的认证v (5)数字签名所谓数字签名，就是附加在数据单元上的一些数据，或是对数据单元作的密码变换，也就是信息的发送者使用公开密钥算法的主要技术产生的别人无法伪造的一段数字串应用广泛的数字签名方法有三种，即RSA签名、DSS签名、Hash签名。