基本介紹

概述

?當兩臺主機之間的距離較遠(如相隔幾十或幾百公里，甚至幾千公里)時，就需要另一種結構的網(wǎng)絡，即廣域網(wǎng)。廣域網(wǎng)尚無嚴格的定義。通常是指覆蓋范圍很廣(遠超過一個城市的范圍)的長距離的單個網(wǎng)絡。它由一些結點交換機以及連接這些交換機的高速鏈路組成。將兩個或多個計算機網(wǎng)絡互聯(lián)起來，就構成了互聯(lián)網(wǎng)(internet) 。不同網(wǎng)絡的“互連” 是它的最主要的特征。

相距較遠的局域網(wǎng)通過路由器與廣域網(wǎng)相連，組成了一個覆蓋范圍很廣的互聯(lián)網(wǎng)。

• 廣域網(wǎng)是單個網(wǎng)絡，使用結點交換機連接各主機。互聯(lián)網(wǎng)是使用路由器來連接多個網(wǎng)絡。從轉(zhuǎn)發(fā)分組的角度，結點交換機和路由器具有相似的工作原理。
• 結點交換機是在單個網(wǎng)絡中轉(zhuǎn)發(fā)分組，路由器是在多個網(wǎng)絡構成的互聯(lián)網(wǎng)中轉(zhuǎn)發(fā)分組。位于一個廣域網(wǎng)(或一個局域網(wǎng))上的主機在該網(wǎng)內(nèi)進行通信時，只需要使用其網(wǎng)絡的物理地址即可。

?實現(xiàn)網(wǎng)絡互聯(lián)的中間設備，稱為中間設備或中繼系統(tǒng)。

根據(jù)中間設備所在的層次，有以下幾種中間設備：

• 物理層的中間設備——轉(zhuǎn)發(fā)器(repeater)
• 數(shù)據(jù)鏈路層的中間設備——網(wǎng)橋或橋接器(bridge)
• 網(wǎng)絡層的中間設備——路由器(router)
• 網(wǎng)絡層以上層次的中間設備——網(wǎng)關(gateway)

當中繼系統(tǒng)是轉(zhuǎn)發(fā)器或網(wǎng)橋時，一般并不認為是網(wǎng)絡互連。因為這僅僅是把一個網(wǎng)絡擴大了，它仍然是一個網(wǎng)絡。

?使用網(wǎng)關實現(xiàn)網(wǎng)絡互連。當N個網(wǎng)絡互連時，由于每兩個網(wǎng)絡之間都需要有一個協(xié)議轉(zhuǎn)換器，N個網(wǎng)絡就需要有多達N(N-1)個協(xié)議轉(zhuǎn)換器。為了簡化網(wǎng)關的設計，提出了一種互聯(lián)網(wǎng)的概念。采用互聯(lián)網(wǎng)概念時，只要實現(xiàn)網(wǎng)絡與互聯(lián)網(wǎng)協(xié)議之間的互相轉(zhuǎn)換。對于N個網(wǎng)絡互連，所需2N個協(xié)議轉(zhuǎn)換器就行了。因特網(wǎng)就是采用這種做法。凡參與互連的所有計算機網(wǎng)絡都使用相同的網(wǎng)際協(xié)議IP。那么，參與互連的計算機網(wǎng)絡相當于構成了一個虛擬互連網(wǎng)絡。

?

?虛擬互連網(wǎng)絡的意義

• 所謂虛擬互連網(wǎng)絡也就是邏輯互連網(wǎng)絡，它的意思就是互連起來的各種物理網(wǎng)絡的異構性本來是客觀存在的，但是我們利用 IP 協(xié)議就可以使這些性能各異的網(wǎng)絡從用戶看起來好像是一個統(tǒng)一的網(wǎng)絡。
• 使用 IP 協(xié)議的虛擬互連網(wǎng)絡可簡稱為 IP 網(wǎng)。
• 使用虛擬互連網(wǎng)絡的好處是：當互聯(lián)網(wǎng)上的主機進行通信時，就好像在一個網(wǎng)絡上通信一樣，而看不見互連的各具體的網(wǎng)絡異構細節(jié)。
• 如果在這種覆蓋全球的IP網(wǎng)的上層使用TCP協(xié)議，那么就是現(xiàn)在的因特網(wǎng)(Internet)。??

如果我們只從網(wǎng)絡層考慮問題，那么 IP 數(shù)據(jù)報就可以想象是在網(wǎng)絡層中傳送。

服務與功能?

在計算機網(wǎng)絡領域，網(wǎng)絡層應該向運輸層提供怎樣的服務(“面向連接”還是“無連接”)曾引起了長期的爭論。爭論焦點的實質(zhì)就是：在計算機通信中，可靠交付應當由誰來負責?是網(wǎng)絡還是端系統(tǒng)呢?

• 基于電信網(wǎng)的成功經(jīng)驗，讓網(wǎng)絡負責可靠交付，采用面向連接的通信方式 。建立虛電路(Virtual Circuit) ，以保證雙方通信所需的一切網(wǎng)絡資源。如果再使用可靠傳輸?shù)木W(wǎng)絡協(xié)議，就可使所發(fā)送的分組無差錯按序到達終點。
• 如果網(wǎng)絡層不提供可靠傳送，則可簡化路由器設計，端-端可靠通信由傳輸層負責。這就是在因特網(wǎng)中采用數(shù)據(jù)報的設計思路，有著許多好處。

虛電路服務

虛電路服務是網(wǎng)絡層向運輸層提供的一種使所有分組都能按序到達目的端系統(tǒng)的可靠的數(shù)據(jù)傳送方式。

在進行虛電路服務時，兩個端系統(tǒng)之間存在著一條為之服務的虛電路。虛電路只是一條邏輯上的連接，分組都沿著這條邏輯連接按照存儲轉(zhuǎn)發(fā)方式傳送，并不是真正建立了一條物理連接。而電路交換的電話通信是先建立了一條真正的連接。因此分組交換的虛連接和電路交換的連接只是類似，并不完全相同

?數(shù)據(jù)報服務

數(shù)據(jù)報服務是網(wǎng)絡層向上提供簡單靈活的、無連接的、盡力而為交付的服務方式。被因特網(wǎng)所采納。

• 網(wǎng)絡在發(fā)送分組時不需要先建立連接。每一個分組(即 IP 數(shù)據(jù)報)都攜帶完整的目的地址信息，選擇不同的路由獨立發(fā)送，與其前后的分組無關(不進行編號)。
• 網(wǎng)絡層不提供服務質(zhì)量的承諾。由于每個分組經(jīng)歷的路由不同，到達目的端系統(tǒng)的所花費的時間也不一樣，所傳送的分組可能出錯、丟失、重復和失序(不按序到達終點)，當然也不保證分組傳送的時限

?提供盡力而為服務的好處

• ?由于傳輸網(wǎng)絡不提供端到端的可靠傳輸服務，這就使網(wǎng)絡中的路由器可以做得比較簡單，而且價格低廉(與電信網(wǎng)的交換機相比較)。
• ?如果主機(即端系統(tǒng))中的進程之間的通信需要是可靠的，那么就由網(wǎng)絡的主機中的運輸層負責(包括差錯處理、流量控制等)。
• 網(wǎng)絡的造價大大降低，運行方式靈活，能夠適應多種應用。
• 因特網(wǎng)能夠發(fā)展到今日的規(guī)模，充分證明了當初采用這種設計思路的正確性

?H1 發(fā)送給 H2 的分組可能沿著不同路徑傳送

項?? 目	虛電路服務	數(shù)據(jù)報服務
設計思路	可靠通信由網(wǎng)絡負責	可靠通信由用戶主機負責
端-端連接	需要	不需要
目的地址	僅在建立連接時使用，每個分組使用虛電路號	每個分組都要攜帶完整的目的地址
分組傳送	所有分組均按所建的同一條（虛）路由進行傳送	每個分組獨立選擇路由進行傳送
結點故障	虛電路中故障的結點均不能工作	故障的結點可能會丟失分組，也會改變某些路由
分組順序	按序發(fā)送、按序接收	按序發(fā)送，但不一定按序接收
端到端的差錯控制和流量控制	由網(wǎng)絡負責，也可由用戶主機負責	由用戶主機負責

網(wǎng)際協(xié)議IPv4?

網(wǎng)際協(xié)議IP是TCP/IP體系中兩個重要的協(xié)議之一。IPv4雖有最終被IPv6取代的趨勢，但它仍是當前使用的最重要的因特網(wǎng)協(xié)議。 與IP配套使用的還有3個協(xié)議：

• 地址解析協(xié)議ARP(Address Resolution Protocol)
• 因特網(wǎng)控制報文協(xié)議ICMP(Internet Control Message Protocol)
• 網(wǎng)際組管理協(xié)議IGMP(Internet Group Management Protocol)

網(wǎng)際協(xié)議 IP 及其配套協(xié)議

??

分類的 IP 地址

?IPv4協(xié)議的主要特點

• IPv4協(xié)議提供一種無連接的分組傳送服務，它不承諾服務質(zhì)量的保證(即不保證傳送的分組可能出現(xiàn)的差錯、丟失、重復和失序等現(xiàn)象)。
• IPv4協(xié)議是點–點的網(wǎng)絡層通信協(xié)議。
• Pv4協(xié)議對傳輸層屏蔽了物理網(wǎng)絡的差異。網(wǎng)絡層借助IP協(xié)議向傳輸層提供統(tǒng)一的IP分組，這有助于各種異構網(wǎng)絡的互連。??

?IP地址及其指派

• 把整個因特網(wǎng)可看成為一個單一的、抽象的網(wǎng)絡。IP地址就是給每個連接在因特網(wǎng)上的主機(或路由器)分配一個在全世界范圍內(nèi)惟一的標識符(長度為32bit ) 。
• P地址由因特網(wǎng)名字與號碼指派公司ICANN (Internet Corporation for Assigned Names and Numbers)進行分配的。

?IP 地址的編址方法

IP地址的編址經(jīng)歷兩個階段：

• 分類IP地址。這是最基本的編址方法，1981年通過了相應的標準協(xié)議?；诜诸?/span>IP地址存在的問題，又于1985年提出子網(wǎng)劃分、變長子網(wǎng)劃分的概念。這是對最基本的分類編址方法的改進。
• 無分類IP地址。1993年又提出新的分類編址方法，且得到了推廣應用。

所謂“分類的IP地址”就是將IP地址劃分為若干個固定類，每一類地址都由兩個固定長度的字段組成，其中一個字段是網(wǎng)絡號net-id，它標志某主機(或路由器)所連接的網(wǎng)絡編號；另一個字段則是主機號host-id，它標志該主機(或路由器)在該類網(wǎng)絡中的編號。n這種兩級結構的 IP 地址可以記為：IP 地址 ::= { <網(wǎng)絡號>, <主機號>}???

其中，::= 代表“定義為”

?IPv4 地址的格式

?IP地址的表示——點分十進制記法 ?

辨別IP地址類別

如果給出了二進制記法表示的地址，用它的前幾位表示地址的類別。

• A、00000001? 00001011? 00001011? 11101111???? A類
• B、11000001? 10000011? 00011011? 11111111???? C類
• C、10100111? 11011011? 10001011? 01101111???? B類
• D、11110011? 10011011? 11111011? 00001111???? E類

?如果用點分十進制記法表示的地址，則按第1 字節(jié)表示的十進制數(shù)來判定地址類別：A類為0～127，B類為128～191，C類為192～223，D類為224～239，E類為240～255。

• A、227.12.14.87? D類
• B、193.14.56.22? C類
• C、14.23.120.8? A類
• D、252.5.15.111? E類
• E、134.11.78.56? B類

?特殊的IP地址

• 網(wǎng)絡號為全0是指本網(wǎng)絡。
• 網(wǎng)絡號和主機號均為全1是對本網(wǎng)絡進行廣播(路由器不轉(zhuǎn)發(fā))。
• A類網(wǎng)絡地址127是一個保留地址，用于本地軟件環(huán)回測試之用。
• 主機號為全1是指對本網(wǎng)絡號的所有主機進行廣播。

地址 類別	可指派的 最多網(wǎng)絡數(shù)	第一個可指派的網(wǎng)絡號	最后一個可指派的網(wǎng)絡號	每個網(wǎng)絡中可擁有的最多主機數(shù)	約占整個地址空間的比例
A	125(27-3)	1	126	16777214(224-2)	50%
B	16367(216-17)	128.1	191.255	65534(216-2)	25%
C	2096895(221-257)	192.0.1	223.255.255	254(28-2)	12.5%

IP 地址的一些重要特點

• IP地址是一種分級式地址結構。它不反映主機(或路由器)所在地理位置的任何信息。每一個IP地址都由網(wǎng)絡號和主機號兩部分組成。這種地址結構的好處是：P地址管理機構在分配IP地址時只分配網(wǎng)絡號(第一級)，而剩下的主機號(第二級)則由得到該網(wǎng)絡號的單位自行分配。這樣就方便了IP 地址的管理。路由器僅根據(jù)目的主機所連接的網(wǎng)絡號來轉(zhuǎn)發(fā)分組(而不考慮目的主機號)，這樣就可以使路由表中的項目數(shù)大幅度減少，從而減小了路由表所占的存儲空間。
• ?IP地址指明了一臺主機(或路由器)和一條鏈路的接口。 當一個主機同時連接到兩個網(wǎng)絡上時，該主機就必須同時具有兩個相應的IP地址，其網(wǎng)絡號 net-id必須是不同的。這種主機稱為多歸屬主機(multihomed host)。由于一個路由器至少應當連接到兩個網(wǎng)絡，因此一個路由器至少也應當有兩個不同的 IP 地址
• 凡是分配到網(wǎng)絡號net-id的網(wǎng)絡，無論是范圍很小的局域網(wǎng)，還是可能覆蓋很大地理范圍的廣域網(wǎng)，其地位都是平等的。
• 按照因特網(wǎng)的觀點，一個網(wǎng)絡是指具有相同網(wǎng)絡號的主機的集合。用轉(zhuǎn)發(fā)器或網(wǎng)橋連接起來的若干個局域網(wǎng)仍為一個網(wǎng)絡，因為這些局域網(wǎng)都具有相同的網(wǎng)絡號 net-id。

?劃分子網(wǎng)

三級IP地址的構成

當初的IP地址設計不夠合理，主要體現(xiàn)在：

• IP地址使用存在很大的浪費，地址空間的利用率很低。如10BASE-T允許加接的主機數(shù)是1024，但必須申請一個B類地址，則浪費了64510個地址，地址空間利用率僅為1.56%。
• 兩級IP地址不夠靈活。某單位對本單位的網(wǎng)絡都有按部門劃分的要求，但兩級IP地址結構中并沒有作出這方面的規(guī)定。
• 按物理網(wǎng)絡分配一個網(wǎng)絡號的方法，將導致路由表的表項越來越多，這不易改善網(wǎng)絡性能

?1985年起，IP地址格式中增加了一個“子網(wǎng)號字段”，使IP地址由兩級結構變?yōu)槿壗Y構。這種做法叫作劃分子網(wǎng)。

劃分子網(wǎng)的基本思路

• 劃分子網(wǎng)純屬單位內(nèi)部的事情，對本單位以外的網(wǎng)絡是完全透明的。
• 劃分子網(wǎng)的方法是把主機號字段的前若干個比特作為子網(wǎng)號字段，則?IP地址∷={<網(wǎng)絡號>，<子網(wǎng)號>，<主機號>}????? ?
• 凡從其他網(wǎng)絡傳送到本單位網(wǎng)絡某主機的IP數(shù)據(jù)報，仍然按IP數(shù)據(jù)報的目的網(wǎng)絡號傳送到連接在本單位網(wǎng)絡上的路由器。此路由器收到 IP 數(shù)據(jù)報后，再按目的網(wǎng)絡號 net-id 和子網(wǎng)號 subnet-id 找到目的子網(wǎng)。最后將 IP 數(shù)據(jù)報直接交付給目的主機。

舉例：一個未劃分子網(wǎng)的 B 類網(wǎng)絡145.13.0.0

劃分為三個子網(wǎng)后，對外仍是一個網(wǎng)絡

?子網(wǎng)掩碼

• 由于IP地址本身以及數(shù)據(jù)報的首部都沒有包含任何關于劃分子網(wǎng)的信息，所以從一個IP數(shù)據(jù)報的首部無法判斷源主機或目的主機所連接的網(wǎng)絡是否進行了子網(wǎng)的劃分。
• 如何知道子網(wǎng)的劃分呢？劃分子網(wǎng)要用到子網(wǎng)掩碼(subnet mask)的概念。使用子網(wǎng)掩碼(subnet mask)可以很方便地找出 IP 地址中的子網(wǎng)部分。

TCP/IP體系規(guī)定：子網(wǎng)掩碼是一個32位二進制數(shù)，由一串連續(xù)的“1”后隨一串連續(xù)的“0”組成。其中“1”對應于IP地址的網(wǎng)絡號和子網(wǎng)號字段，而“0”對應于IP地址的主機號字段。

?子網(wǎng)掩碼采用點分十進制表示法(255.255.0.0)，也可用網(wǎng)絡前綴(或斜線)標記法(135.41.0.0/16)

?IP 地址的各字段和子網(wǎng)掩碼的關系

(IP地址) AND (子網(wǎng)掩碼) =網(wǎng)絡地址?

子網(wǎng)掩碼是一個網(wǎng)絡或一個子網(wǎng)的重要屬性。因特網(wǎng)標準規(guī)定：所有的網(wǎng)絡都必須有一個子網(wǎng)掩碼，它包含在路由表中。

劃分子網(wǎng)的概念也適用于未劃分子網(wǎng)的情況。未劃分子網(wǎng)的網(wǎng)絡可使用默認子網(wǎng)掩碼。使用子網(wǎng)掩碼可簡化路由器的路由選擇算法。

A、B和C類IP地址的默認子網(wǎng)掩碼

劃分子網(wǎng)的利弊

• 利——增加了靈活性。
• 弊——減少了能夠連接在網(wǎng)絡上的主機總數(shù)。例如，一個B類地址最多可連接65534臺主機，但當劃分成4個子網(wǎng)后，實際連接的主機為32764臺，這是因為[RFC950]規(guī)定：子網(wǎng)號不能為全0或全1

變長子網(wǎng)

子網(wǎng)劃分的最初目的是把基于類的網(wǎng)絡劃分為幾個規(guī)模相同的子網(wǎng)。其實，創(chuàng)建不同規(guī)模的子網(wǎng)可避免IP地址的浪費。對于不同規(guī)模子網(wǎng)的劃分，稱為變長子網(wǎng)劃分。

變長子網(wǎng)劃分是一種用不同長度的子網(wǎng)掩碼來分配子網(wǎng)號字段的技術。它是對已劃分好的子網(wǎng)使用不同的子網(wǎng)掩碼做進一步劃分形成不同規(guī)模的網(wǎng)絡，從而提高IP地址資源的利用率。

變長子網(wǎng)劃分舉例

一個B類IP地址為136.48.0.0的網(wǎng)絡，需配置為1個能容納32000臺主機的子網(wǎng)，15個能容納2000臺主機的子網(wǎng)和8個能容納254臺主機的子網(wǎng)。

無分類編址?

劃分子網(wǎng)的概念緩解了當初IP地址設計不夠合理所引起的矛盾，而變長子網(wǎng)的概念也符合用戶對IP地址實際使用的需要。但這些措施并未從根本上緩解因特網(wǎng)在發(fā)展過程中所遇到的困難。

在1992年，因特網(wǎng)面臨著三個急需解決的問題：①B類地址在1992年已分配過半。②因特網(wǎng)主干網(wǎng)上的路由表中的項目數(shù)急劇增長。③2011年2月，IANA宣布IPv4地址已經(jīng)耗盡。

IETF在VLSM的基礎上，又研究出采用無分類編址方法來解決上述問題。無分類編址方法的正式名字無分類域間路由選擇CIDR(Classless Inter-Domain Routing)，其新文檔是RFC 4632

CIDR的主要設計思想

CIDR取消了以往對IP地址進行分類以及劃分子網(wǎng)的概念，利用各種長度的“網(wǎng)絡前綴 (network-pfefix) ”來代替分類地址中的網(wǎng)絡號和子網(wǎng)號。

??????????? IP地址∷={<網(wǎng)絡前綴>，<主機號>}

?CIDR把網(wǎng)絡前綴相同的連續(xù)的IP地址塊組成“CIDR地址塊”。一個CIDR地址塊可用它的起始地址和塊中地址數(shù)來表示。如136.48.32.8/20表示某CIDR地址塊中的一個地址。

?無分類編址的表示

CDIR使用網(wǎng)絡前綴標記法(或斜線記法)，即在IP地址后面加一斜線“/”再加一數(shù)字，此數(shù)字是網(wǎng)絡前綴的位數(shù)，如136.48.52.36，表示該IP地址的前20位是網(wǎng)絡前綴。

CIDR還使用其他幾種表示形式。一種是把點分十進制中的低位連續(xù)的“0”省去，如20.0.0.0/10，可表示為20/10。另一種是在網(wǎng)絡前綴后面加一個星號“*”，如00010100 00*，其中星號前是網(wǎng)絡前綴，星號表示IP地址中的主機號

CIDR地址塊舉例

• 136.48.32.8/20表示在這個32位的IP地址中，前20位為網(wǎng)絡前綴，后12位為主機號。每個地址塊共有212個地址，其起始地址是136.48.32.0。
• 在不需要指出地址塊的起始地址時，也可將這樣的地址塊簡稱為“/20地址塊”。
• 136.48.32.0/20地址塊的最小地址：136.48.32.0，最大地址：136.48.47.255。
• 全 0 和全 1 的主機號地址一般不使用。

136.48.32.8/20地址塊含有212個地址

?路由聚合(route aggregation)

一個CIDR地址塊可以包含很多地址，路由表的表項也可改用地址塊來表示。這種地址聚合稱為路由聚合。路由聚合既利于縮短路由表，又可減少查找路由表的時間，從而提高了因特網(wǎng)的性能。路由聚合也稱為構建超網(wǎng)(supernetting)。

CIDR 雖然不使用子網(wǎng)概念，但仍然使用“掩碼”這一名詞(只是不叫子網(wǎng)掩碼而已)。如對 /20 地址塊，它的掩碼是20個連續(xù)的1。斜線記法中的數(shù)字就是掩碼中 1 的個數(shù)。

?構建超網(wǎng)

在“包含的地址數(shù)中”，包含了全0和全1地址。表中K表示210(即1024)。網(wǎng)絡前綴小于13或大于27的地址較少使用。 CIDR地址塊中的地址數(shù)一定是2的整數(shù)次冪。

• 前綴長度不超過23位的CIDR地址塊都包含了相當于多個C類地址。這些C類地址合起來就構成了超網(wǎng)。
• 網(wǎng)絡前綴越短，其地址塊所包含的地址數(shù)就越多。而在三級結構的IP地址中，劃分子網(wǎng)是使網(wǎng)絡前綴變長。
• 使用CIDR構建超網(wǎng)，必須得到相關路由器及其協(xié)議的支持。

使用CIDR地址塊的最大好處

• 可以更有效地分配IPv4的地址空間。如某單位需用900個IP地址。未使用CIDR時，ISP可以分配給該單位一個B類地址或者4個C類地址。但使用了CIDR，ISP可分配給該單位一個地址塊208.18.128.0/22，它包含1024個IP地址，相當于4個連續(xù)的/24地址塊。
• 可以按網(wǎng)絡所在的地理位置來分配地址塊，這可以大大縮小路由表所占的空間，即減少路由表的表項數(shù)。

地址解釋和地址轉(zhuǎn)換

?IP 地址與硬件地址的區(qū)別

舉例：用兩個路由器互連三個局域網(wǎng)

?通信的路徑是：H1→經(jīng)過 R1 轉(zhuǎn)發(fā)→再經(jīng)過 R2 轉(zhuǎn)發(fā)→ H2

從協(xié)議棧的層次上看數(shù)據(jù)的流動

?

從虛擬的 IP 層上看 IP 數(shù)據(jù)報的流動

在鏈路上看 MAC 幀的流動

?在IP層抽象的互聯(lián)網(wǎng)上只能看到IP數(shù)據(jù)報。圖中的IP1→IP2表示從源地址IP1到目的地址IP2，兩個路由器的IP地址并不出現(xiàn)在IP數(shù)據(jù)報的首部中

• 雖然在IP數(shù)據(jù)報首部有源站IP地址，但路由器只根據(jù)目的站的IP地址的網(wǎng)絡號進行路由選擇 ?
• 在具體的物理網(wǎng)絡的鏈路層，只能看見MAC幀，而看不見IP數(shù)據(jù)報(它被封裝在MAC幀中) 。MAC幀在傳送過程中，首部中填寫的硬件地址HAx是不同的。
• 盡管互連在一起的網(wǎng)絡的硬件地址體系各不相同，但IP層抽象的互聯(lián)網(wǎng)屏蔽了下層很復雜的細節(jié)。在抽象的網(wǎng)絡層上討論問題，就能夠使用統(tǒng)一的、抽象的 IP 地址來研究主機與主機或主機與路由器之間的通信。 ?

地址解析協(xié)議ARP

無論網(wǎng)絡層使用什么協(xié)議，在實際網(wǎng)絡的鏈路上傳送數(shù)據(jù)幀時，最終使用的是硬件地址。

IP地址(32位)和硬件地址(48位)之間不存在簡單的映射關系。ARP協(xié)議解決IP地址與物理地址的映射，而RARP協(xié)議解決物理地址與IP地址的映射。

每一個主機都設有一個ARP高速緩存(cache)，里面存放有所在的局域網(wǎng)上的各主機和路由器的IP地址到硬件地址的映射表。

當主機A欲向本局域網(wǎng)上的某個主機B發(fā)送IP數(shù)據(jù)報時，就先在其ARP高速緩存中查看有無主機B的IP地址。如有，即得到其對應的硬件地址，再將此硬件地址寫入MAC幀，然后通過局域網(wǎng)將該 MAC幀發(fā)往此硬件地址。否則該主機運行ARP協(xié)議。

ARP 高速緩存

• 高速緩存的作用就在于可以減少網(wǎng)絡上的通信量。如果不用高速緩存，因為網(wǎng)絡上的任一臺主機要進行通信都需用廣播方式發(fā)送ARP請求分組，這將導致網(wǎng)絡上的通信量大大增加。用了高速緩存就可將得到的地址映射存入待用。
• ARP對存放在高速緩存中的“IP地址-硬件地址”映射表設置生存時間(如10min)。凡超過生存時間的表項即刪除。被刪除的表項無原則重新建立，也要經(jīng)過前面所述的查找目的主機硬件地址的過程。

ARP是解決同一個局域網(wǎng)上的主機(或路由器)的IP地址和硬件地址的映射問題。只要主機或路由器與本網(wǎng)絡上的另一個已知IP地址的主機或路由器進行通信，ARP協(xié)議就會自動地將該 IP地址解析為鏈路層所需要的硬件地址。

如果所要找的目的主機和源主機不在同一個局域網(wǎng)上，那么就要通過ARP找到一個位于本局域網(wǎng)上的某個路由器的硬件地址，然后把分組發(fā)送給這個路由器，讓這個路由器把分組轉(zhuǎn)發(fā)給下一個網(wǎng)絡。剩下的工作就由下一個網(wǎng)絡來做。

從IP地址到硬件地址的解析是自動進行的，這種地址解析過程對用戶對透明的。

使用 ARP 的四種典型情況

• 發(fā)送方是主機，要把IP數(shù)據(jù)報發(fā)送到本網(wǎng)絡上的另一個主機。這時用 ARP 找到目的主機的硬件地址。
• 發(fā)送方是主機，要把 IP 數(shù)據(jù)報發(fā)送到另一個網(wǎng)絡上的一個主機。這時用 ARP 找到本網(wǎng)絡上的一個路由器的硬件地址。剩下的工作由這個路由器來完成。
• 發(fā)送方是路由器，要把 IP 數(shù)據(jù)報轉(zhuǎn)發(fā)到本網(wǎng)絡上的一個主機。這時用 ARP 找到目的主機的硬件地址。
• 發(fā)送方是路由器，要把 IP 數(shù)據(jù)報轉(zhuǎn)發(fā)到另一個網(wǎng)絡上的一個主機。這時用 ARP 找到本網(wǎng)絡上另一個路由器的硬件地址。剩下的工作由這個路由器來完成。 ?

?為什么不直接使用硬件地址進行通信？

• 由于全世界存在著各式各樣的網(wǎng)絡，它們使用不同的硬件地址。要使這些異構網(wǎng)絡能夠互相通信就必須進行非常復雜的硬件地址轉(zhuǎn)換工作，這幾乎是不可能的事。
• IP編址解決了這個復雜問題。凡連接到因特網(wǎng)的主機都擁有統(tǒng)一的IP地址，它們之間的通信就像連接在同一個網(wǎng)絡上那樣簡單方便，因為調(diào)用ARP來尋找某個路由器或主機的硬件地址都是由計算機軟件自動進行的，對用戶來說是看不見這種調(diào)用過程的。?

虛擬專用網(wǎng)VPN

由于IP地址的緊缺，一個機構能夠申請到的IP地址數(shù)往往遠小于本機構所擁有的主機數(shù)。

考慮到因特網(wǎng)安全性并不很好，一個機構內(nèi)也并不需要把所有的主機都接入到外部的因特網(wǎng)。

因而就有一個設想：假定一個機構內(nèi)部的計算機通信也采用TCP/IP協(xié)議，那么從原則上講，對于這些僅在機構內(nèi)部使用的計算機就可以由本機構自行分配其IP地址

兩種地址

• 本地地址－－僅在本機構內(nèi)部使用的IP地址，可由本機構自行分配，不必向因特網(wǎng)的管理機構申請。
• 全球地址－－全球唯一的IP地址，必須向因特網(wǎng)的管理機構申請。

存在的問題：在內(nèi)部使用的本地地址有可能與因特網(wǎng)中某個IP地址重合，從而出現(xiàn)地址的二義性問題

解決的辦法：RFC1918指明了一些專用地址。專用地址只能用作本地地址而不能用作全球地址。在因特網(wǎng)中的所有路由器，對目的地址是專用地址的數(shù)據(jù)報一律不進行轉(zhuǎn)發(fā)。三個專用地址塊，即ICANN預留的部分A、B和C類專用地址塊。

• A類：10.0.0.0～10.255.255.255；
• B類：172.16.0.0～172.31.255.255；
• C類：192.168.0.0～192.168.255.255

?采用這種專用IP地址的專用網(wǎng)稱為擬專用網(wǎng)VPN。虛擬專用網(wǎng)VPN是建立在基礎網(wǎng)絡之上的一種功能性網(wǎng)絡。它向使用者提供一般專用網(wǎng)所具有的功能，但本身卻不是一個獨立的物理網(wǎng)絡，而是通過隧道技術，架構在公共網(wǎng)絡服務商所提供的網(wǎng)絡平臺(如Internet、ATM和FR等)之上的邏輯網(wǎng)絡。

虛擬專用網(wǎng)的兩個含義：一是“虛擬”，因為整個VPN網(wǎng)上的任意兩個結點之間的連接并沒有傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路，而是將它建立在分布廣泛的公用網(wǎng)絡的平臺上；二是一個“專用網(wǎng)”，每個VPN用戶都可以從臨時的“專用網(wǎng)”上獲得所需的資源。

構建虛擬專用網(wǎng)的注意事項

• 在不同網(wǎng)點的專用網(wǎng)之間進行通信，而需要通過公用的因特網(wǎng)，又有保密要求的，那么所有通過因特網(wǎng)的數(shù)據(jù)都必須加密。
• 一個機構要構建自己的VPN就必須為它的每一個場所購買專用的硬件和軟件，并進行配置，使每一個場所的VPN系統(tǒng)都知道其他場所的地址。

?虛擬專用網(wǎng)的特點

• 成本低廉，只需支付日常的上網(wǎng)費用。
• 得到最常用的網(wǎng)絡協(xié)議的廣泛支持。
• 具有身份驗證、數(shù)據(jù)加密等安全可靠功能。
• 易于擴充和管理。

?虛擬專用網(wǎng)的不足

• 安全性。由于因特網(wǎng)不是一個可信賴的安全網(wǎng)絡，為確保數(shù)據(jù)傳輸?shù)陌踩?#xff0c;應對入網(wǎng)傳輸?shù)臄?shù)據(jù)進行加密處理。
• 可管理性。VPN的管理要能夠應對電信單位需求的快速變化，以避免額外的遠行開支。
• 性能。由于ISP是“盡力交付”傳輸?shù)?/span>IP分組，而跨因特網(wǎng)的傳輸性能又無法得到保證，且時有變化，所以附加的安全措施也會顯著地降低性能。

利用隧道技術實現(xiàn)虛擬專用網(wǎng)

隧道的建立有兩種方式：一種是自愿隧道，指服務器計算機或路由器可以通過發(fā)送VPN請求配置和創(chuàng)建的隧道；另一種是強制隧道，指由VPN服務提供商配置和創(chuàng)建的隧道。

隧道有兩種類型：①點-點隧道。隧道由遠程用戶計算機延伸到企業(yè)服務器，由兩邊的設備負責隧道的建立，以及兩點之間數(shù)據(jù)的加密和解密。②端-端隧道。隧道中止于防火墻等網(wǎng)絡邊緣設備，它的主要功能是連接兩端的局域網(wǎng)。

IP 數(shù)據(jù)報的格式 ?

?IP數(shù)據(jù)報由首部和數(shù)據(jù)兩部分組成。

IP數(shù)據(jù)報的首部

• 首部的前一部分為固定長度(20字節(jié))，這是所有IP數(shù)據(jù)報必須具有的。
• 首部固定部分的后面是選項和填充字段(長度可變) 。
• 數(shù)據(jù)部分的長度也是可變的

版本——4位，指IP協(xié)議的版本。目前廣泛使用的協(xié)議版本號為4 (即IPv4)。通信雙方的協(xié)議版本必須一致。

首部長度——4位，表示數(shù)據(jù)報首部的長度。因首部長度可表示的最大數(shù)值是15個單位(每單位為4 字節(jié))，所以IP的首部長度的最大值為60字節(jié)。當首部長度不足4字節(jié)的整數(shù)倍時，可利用填充字段加以填充補齊

區(qū)分服務——8位，表示對數(shù)據(jù)報的服務要求。前三位表示優(yōu)先級(0～7，0最低)，D、T、R和C分別表示對時延、吞吐量、可靠性和路由服務費用有選擇的要求。最后一位未用。該字段只有當使用區(qū)分服務時才使用。

總長度——16位，指整個數(shù)據(jù)報(包括首部和數(shù)據(jù))的長度，單位為字節(jié)。數(shù)據(jù)報的最大長度為65535字節(jié)(64KB)。總長度必須不超過數(shù)據(jù)鏈路層的最大傳送單元MTU。當數(shù)據(jù)報長度超過MTU時，需對其分片，此時的總長度是指分片后的每一分片(包括首部與數(shù)據(jù)) 的長度

標識(identification) ——16位，它用于數(shù)據(jù)報各分片最終被重裝成來原來的數(shù)據(jù)報。它是一個計數(shù)器，每產(chǎn)生一個數(shù)據(jù)報，計數(shù)器就加1，并將此值賦給標識字段。目的主機將相同標識字段值的各分片數(shù)據(jù)報最后進行正確地重裝(合片)。

標志(flag) ——3位，目前只有后兩位有意義。最低位記作 MF (More Fragment)。MF=1表示后面“還有分片”。MF=0表示已是最后一個分片。次低位是DF(Don‘t Fragment) 用來控制是否允許數(shù)據(jù)報分片。只有DF=0才允許分片。

片偏移——13位，指較長的分組在分片后某片在原分組中的相對位置。也就是說，相對于用戶數(shù)據(jù)字段的起點，該片從何處開始，以便目的主機重裝數(shù)據(jù)報。片偏移以8個字節(jié)為偏移單位。這就是說，每個分片的長度一定是8字節(jié)(64位)的整數(shù)倍。

?IP數(shù)據(jù)報分片舉例：

• 一數(shù)據(jù)報的總長度為 3820 字節(jié)，其數(shù)據(jù)部分的長度為 3800 字節(jié)（使用固定首部），需要分片為長度不超過 1420 字節(jié)的數(shù)據(jù)報片。
• 因固定首部長度為 20 字節(jié)，因此每個數(shù)據(jù)報片的數(shù)據(jù)部分長度不能超過 1400 字節(jié)。
• 于是分為 3 個數(shù)據(jù)報片，其數(shù)據(jù)部分的長度分別為 1400、1400 和 1000 字節(jié)。
• 原始數(shù)據(jù)報首部被復制為各數(shù)據(jù)報片的首部，但必須修改有關字段的值。

?

	總長度	標識	MF	DF	片偏移
原始數(shù)據(jù)報	3820	12345	0	0	0
數(shù)據(jù)報片1	1420	12345	1	0	0
數(shù)據(jù)報片2	1420	12345	1	0	175
數(shù)據(jù)報片3	1020	12345	0	0	350

?生存時間——8位，記為TTL(Time To Live)，表示該數(shù)據(jù)所在網(wǎng)絡中的壽命。其單位最初是秒，但為了方便，現(xiàn)在都用“跳數(shù)”作為TTL的單位。數(shù)據(jù)報每經(jīng)過一個路由器，其TTL值就減 1，當TTL值減為零時，就丟棄這個數(shù)據(jù)報。