① 路由的工作机制是什么
路由器
解释路由器的概念,首先得知道什么是路由。所谓“路由”,是指把数据从一个地方传送到另一个地方的行为和动作,而路由器,正是执行这种行为动作的机器,它的英文名称为Router,是一种连接多个网络或网段的网络设备,它能将不同网络或网段之间的数据信息进行“翻译”,以使它们能够相互“读懂”对方的数据,从而构成一个更大的网络。
简单的讲,路由器主要有以下几种功能:
第一,网络互连,路由器支持各种局域网和广域网接口,主要用于互连局域网和广域网,实现不同网络互相通信;
第二,数据处理,提供包括分组过滤、分组转发、优先级、复用、加密、压缩和防火墙等功能;
第三,网络管理,路由器提供包括配置管理、性能管理、容错管理和流量控制等功能。
为了完成“路由”的工作,在路由器中保存着各种传输路径的相关数据--路由表(Routing Table),供路由选择时使用。路由表中保存着子网的标志信息、网上路由器的个数和下一个路由器的名字等内容。路由表可以是由系统管理员固定设置好的,也可以由系统动态修改,可以由路由器自动调整,也可以由主机控制。在路由器中涉及到两个有关地址的名字概念,那就是:静态路由表和动态路由表。由系统管理员事先设置好固定的路由表称之为静态(static)路由表,一般是在系统安装时就根据网络的配置情况预先设定的,它不会随未来网络结构的改变而改变。动态(Dynamic)路由表是路由器根据网络系统的运行情况而自动调整的路由表。路由器根据路由选择协议(Routing Protocol)提供的功能,自动学习和记忆网络运行情况,在需要时自动计算数据传输的最佳路径。
为了简单地说明路由器的工作原理,现在我们假设有这样一个简单的网络。如图所示,A、B、C、D四个网络通过路由器连接在一起。
现在我们来看一下在如图所示网络环境下路由器又是如何发挥其路由、数据转发作用的。现假设网络A中一个用户A1要向C网络中的C3用户发送一个请求信号时,信号传递的步骤如下:
第1步:用户A1将目的用户C3的地址C3,连同数据信息以数据帧的形式通过集线器或交换机以广播的形式发送给同一网络中的所有节点,当路由器A5端口侦听到这个地址后,分析得知所发目的节点不是本网段的,需要路由转发,就把数据帧接收下来。
第2步:路由器A5端口接收到用户A1的数据帧后,先从报头中取出目的用户C3的IP地址,并根据路由表计算出发往用户C3的最佳路径。因为从分析得知到C3的网络ID号与路由器的C5网络ID号相同,所以由路由器的A5端口直接发向路由器的C5端口应是信号传递的最佳途经。
第3步:路由器的C5端口再次取出目的用户C3的IP地址,找出C3的IP地址中的主机ID号,如果在网络中有交换机则可先发给交换机,由交换机根据MAC地址表找出具体的网络节点位置;如果没有交换机设备则根据其IP地址中的主机ID直接把数据帧发送给用户C3,这样一个完整的数据通信转发过程也完成了。
从上面可以看出,不管网络有多么复杂,路由器其实所作的工作就是这么几步,所以整个路由器的工作原理基本都差不多。当然在实际的网络中还远比上图所示的要复杂许多,实际的步骤也不会像上述那么简单,但总的过程是这样的。
增加路由器涉及的基本协议
路由器英文名称为Router,是一种用于连接多个网络或网段的网络设备。这些网络可以是几个使用不同协议和体系结构的网络(比如互联网与局域网),可以是几个不同网段的网络(比如大型互联网中不同部门的网络),当数据信息从一个部门网络传输到另外一个部门网络时,可以用路由器完成。现在,家庭局域网也越来越多地采用路由器宽带共享的方式上网。
路由器在连接不同网络或网段时,可以对这些网络之间的数据信息进行“翻译”,然后“翻译”成双方都能“读”懂的数据,这样就可以实现不同网络或网段间的互联互通。同时,它还具有判断网络地址和选择路径的功能以及过滤和分隔网络信息流的功能。目前,路由器已成为各种骨干网络内部之间、骨干网之间以及骨干网和互联网之间连接的枢纽。
NAT:全称Network Address Translation(网络地址转换),路由器通过NAT功能可以将局域网内部的IP地址转换为合法的IP地址并进行Internet的访问。比如,局域网内部有个IP地址为192.168.0.1的计算机,当然通过该IP地址可以和内网其他的计算机通信;但是如果该计算机要访问外部Internet网络,那么就需要通过NAT功能将192.168.0.1转换为合法的广域网IP地址,比如210.113.25.100。
DHCP:全称Dynamic Host Configuration Protocol(动态主机配置协议),通过DHCP功能,路由器可以为网络内的主机动态指定IP地址,而不需要每个用户去设置静态IP地址,并将TCP/IP配置参数分发给局域网内合法的网络客户端。
DDNS:全称Dynamic Domain Name Server(动态域名解析系统),通常称为“动态DNS”,因为对于普通的宽带上网使用的都是ISP(网络服务商)提供的动态IP地址。如果在局域网内建立了某个服务器需要Internet用户进行访问,那么,可以通过路由器的DDNS功能将动态IP地址解析为一个固定的域名,比如www.cpcw.com,这样Internet用户就可以通过该固定域名对内网服务器进行访问。
PPPoE:全称PPP over Ethernet(以太网上的点对点协议),通过PPPoE技术,可以让宽带调制解调器(比如ADSL Modem)用户获得宽带网的个人身份验证访问,能为每个用户创建虚拟拨号连接,这样就可以高速连接到Internet。路由器具备该功能,可以实现PPPoE的自动拨号连接,这样与路由器连接的用户可以自动连接到Internet。
ICMP:全称Internet Control Message Protocol(Internet控制消息协议),该协议是TCP/IP协议集中的一个子协议,主要用于在主机与路由器之间传递控制信息,包括报告错误、交换受限控制和状态信息等。
总的来说,路由器与交换机的主要区别体现在以下几个方面:
(1)工作层次不同
最初的的交换机是工作在OSI/RM开放体系结构的数据链路层,也就是第二层,而路由器一开始就设计工作在OSI模型的网络层。由于交换机工作在OSI的第二层(数据链路层),所以它的工作原理比较简单,而路由器工作在OSI的第三层(网络层),可以得到更多的协议信息,路由器可以做出更加智能的转发决策。
(2)数据转发所依据的对象不同
交换机是利用物理地址或者说MAC地址来确定转发数据的目的地址。而路由器则是利用不同网络的ID号(即IP地址)来确定数据转发的地址。IP地址是在软件中实现的,描述的是设备所在的网络,有时这些第三层的地址也称为协议地址或者网络地址。MAC地址通常是硬件自带的,由网卡生产商来分配的,而且已经固化到了网卡中去,一般来说是不可更改的。而IP地址则通常由网络管理员或系统自动分配。
(3)传统的交换机只能分割冲突域,不能分割广播域;而路由器可以分割广播域
由交换机连接的网段仍属于同一个广播域,广播数据包会在交换机连接的所有网段上传播,在某些情况下会导致通信拥挤和安全漏洞。连接到路由器上的网段会被分配成不同的广播域,广播数据不会穿过路由器。虽然第三层以上交换机具有VLAN功能,也可以分割广播域,但是各子广播域之间是不能通信交流的,它们之间的交流仍然需要路由器。
(4)路由器提供了防火墙的服务
路由器仅仅转发特定地址的数据包,不传送不支持路由协议的数据包传送和未知目标网络数据包的传送,从而可以防止广播风暴。
交换机一般用于LAN-WAN的连接,交换机归于网桥,是数据链路层的设备,有些交换机也可实现第三层的交换。 路由器用于WAN-WAN之间的连接,可以解决异性网络之间转发分组,作用于网络层。他们只是从一条线路上接受输入分组,然后向另一条线路转发。这两条线路可能分属于不同的网络,并采用不同协议。相比较而言,路由器的功能较交换机要强大,但速度相对也慢,价格昂贵,第三层交换机既有交换机线速转发报文能力,又有路由器良好的控制功能,因此得以广泛应用。
目前个人比较多宽带接入方式就是ADSL,因此笔者就ADSL的接入来简单的说明一下。现在购买的ADSL猫大多具有路由功能(很多的时候厂家在出厂时将路由功能屏蔽了,因为电信安装时大多是不启用路由功能的,启用DHCP。打开ADSL的路由功能),如果个人上网或少数几台通过ADSL本身就可以了,如果电脑比较多你只需要再购买一个或多个集线器或者交换机。考虑到如今集线器与交换机的 价格相差十分小,不是特殊的原因,请购买一个交换机。不必去追求高价,因为如今产品同质化十分严重,我最便宜的交换机现在没有任 何问题。给你一个参考报价,建议你购买一个8口的,以满足扩充需求,一般的价格100元左右。接上交换机,所有电脑再接到交换机上就行了。余下所要做的事情就只有把各个机器的网线插入交换机的接口,将猫的网线插入uplink接口。然后设置路由功能,DHCP等, 就可以共享上网了。
看完以上的解说读者应该对交换机、集线器、路由器有了一些了解,目前的使用主要还是以交换机、路由器的组合使用为主,具体的组合方式可根据具体的网络情况和需求来确定。
② 计算机网络-网络层-地址解析协议ARP
地址解析协议ARP: 已经知道了一个机器(主机或路由器)的IP地址,需要找出其相应的硬件地址。还有一个旧的协议叫做逆地址解析协议RARP,它的作用是使只知道自己硬件地址的主机能够通过RARP协议找出其IP地址。现在的DHCP协议已经包含了RARP协议的功能。
由于是IP协议使用了ARP协议,因此通常就把ARP协议划归网络层。但ARP协议的用途是为了从网络层使用的IP地址,解析出在数据链路层使用的硬件地址,因此,有的就按照协议的所用,把ARP协议划归在数据链路层。
网络层使用的是IP地址,但在实际网络的链路上传送数据帧时,最终还是必须使用该网络的硬件地址,但P地址和下面的网络的硬件地址之间由于格式不同而不存在简单的映射关系(例如,IP地址有32位,而局域网的硬件地址是48位)。此外,在一个网络上可能经常会有新的主机加入进来,或撤走一些主机。更换网络适配器也会使主机的硬件地址改变。地址解析协议ARP解快这个问题的方法是在主机ARP高速缓存中存放一个从IP地址到硬件地址的映射表,并且这个映射表还经常动态更新(新增或超时删除)。
每一台主机都设有一个ARP高速缓存(ARP cache),里面有本局域网上的各主机和路由器的IP地址到硬件地址的映射表,这些都是该主机目前知道的一些地址。那么主机怎样知道这些地址呢?我们可以通过下面的例子来说明:
当主机A要向本局域网上的某台主机B发送IP数据报时,就先在其ARP高速缓存中查看有无主机B的IP地址,如有,就在ARP高速缓存中查出其对应的硬件地址,再把这个硬件地址写入MAC帧,然后通过局域网把该MAC帧发往此硬件地址。也有可能查不到主机B的P地址的项目。这可能是主机B才入网,也可能是主机A刚刚加电,其高速缓存还是空的,在这种情况下,主机A就自动运行ARP,然后按以下步最找出主机B的硬件地址。
(1)ARP进程在本局域网上广播发送一个ARP请求分组。图4-11(a)是主机A广播发送ARP请求分组的示意图。ARP请求分组的主要内容是:“我的P地址是209.0.0.5,硬件地址是00-00-C0-15-AD-18。我想知道IP地址为209.0.0.6的主机的硬件地址。.”
(2)在本局域网上的所有主机上运行的ARP进程都收到此ARP请求分组。
(3)主机B的IP地址与ARP请求分组中要查询的P地址一致,就收下这个ARP请求分组,并向主机A发送ARP响应分组,同时在这个ARP响应分组中写入自己的硬件地址。由于其余的所有主机的P地址都与ARP请求分组中要查询的P地址不一致,因此都不理睬这个ARP请求分组,见图4-16。ARP响应分组的主要内容是:“我的IP地址是209.0.0.6,我的硬件地址是08-00-2B-00-EE-0A,”请注意:虽然ARP请求分组是广播发送的,但ARP响应分组是普通的单播,即从一个源地址发送到一个目的地址。
(4)主机A收到主机B的ARP响应分组后,就在其ARP高速缓存中写入主机B的P地址到硬件地址的映射。
当主机A向B发送数据报时,很可能以后不久主机B还要向A发送数据报,因而主机B也可能要向A发送ARP请求分组。为了减少网络上的通信量,主机A在发送其ARP请求分组时,就把自己的P地址到硬件地址的映射写入ARP请求分组。当主机B收到A的ARP请求分组时,就把主机A的这一地址映射写入主机B自己的ARP高速缓存中。以后主机B向A发送数据报时就很方便了。
可见ARP高速缓存非常有用。如果不使用ARP高速缓存,那么任何一台主机只要进行一次通信,就必须在网络上用广播方式发送ARP请求分组,这就使网络上的通信量大大增加。ARP把已经得到的地址映射保存在高速缓存中,这样就使得该主机下次再和具有同样目的地址的主机通信时,可以直接从高速缓存中找到所需的硬件地址而不必再用广播方式发送ARP请求分组。
ARP对保存在高速缓存中的每一个映射地址项目都设置生存时间(例如,10~20分钟)。凡超过生存时间的项目就从高速缓存中删除掉。设置这种地址映射项目的生存时间是很重要的。设想有一种情况。主机A和B通信。A的ARP高速缓存里保存有B的硬件地址。但B的网络适配器突然坏了,B立即更换了一块,因此B的硬件地址就改变了。假定A还要和B继续通信。A在其ARP高速缓存中查找到B原先的硬件地址,并使用该硬件地址向B发送数据帧。但B原先的硬件地址已经失效了,因此A无法找到主机B。但是过了一段不长的生存时间,A的ARP高速缓存中已经删除了B原先的硬件地址,于是A重新广播发送ARP请求分组,又找到了B。
请注意,ARP是解决同一个局域网上的主机或路由器的P地址和硬件地址的映射问题。如果所要找的主机和源主机不在同一个局域网上,例如,在主机 H1 就无法解析出另一个局域网上主机 H11 的硬件地址(实际上主机H,也不需要知道远程主机 H11 的硬件地址)。主机 H1 发送给 H11 的P数据报首先需要通过与主机 H1 连接在同一个局域网上的路由器R2来转发。因此主机H1这时需要把路由器R2的IP地址解析为硬件地址HA2,以便能够把IP数据报传送到路由器R2。以后,R2从转发表找出了下一跳路由器R3, 同时使用ARP解析出R3的硬件地址HA3。于是IP数据报按照硬件地址HA3转发到路由器R3。路由器R3在转发这个IP数据报时用类似方法解析出目的主机 H11 的硬件地址HA11,使IP数据报最终交付主机H11。
从IP地址到硬件地址的解析是自动进行的,主机的用户对这种地址解析过程是不知道的。只要主机或路由器要和本网络上的另一个已知IP地址的主机或路由器进行通信,ARP协议就会自动地把这个IP地址解析为链路层所需要的硬件地址。
(1)发送方是主机,要把IP数据报发送到同一个网络上的另一台主机。这时一个逐渐发送ARP请求分组(在网络上广播),找到目的主机的硬件地址。
(2)发送方是主机,要把IP数据报发送到另一个网络上的一台主机。这时发送方的主机发送ARP请求分组(在网络上广播),找到网络上的一个路由器的硬件地址。剩下的工作由路由器R来完成。R要做的事情是下面的(3)或(4)。
(3)发送方是路由器,要把IP数据报转发到与R相连接在同一个网络上的主机。这时R发送ARP请求分组(在网络上广播),找到目的主机的硬件地址。
(4)发送方是路由器R1要把IP数据报转发到网络上的一台主机。这台主机与R1不是连接在同一个网络上。这时R1发送ARP请求分组(在网络上广播),找到连接在网络上的另一个路由器R2的硬件地址。剩下的工作由这个路由器R2来完成。
在许多情况下需要多次使用ARP。但这只是以上几种情况的反复使用而已。
既然在网络链路上传送的帧最终是按照硬件地址找到目的主机的,为什么不直接使用硬件地址进行通信?这样似乎可以免除(IP 地址)使用ARP:
由于存在着各式各样的网络,使用不同的硬件地址。要使这些异构网络能够互相通信就必须进行非常复杂的硬件地址转换工作,因此由用户或用户主机来完成这项工作几乎是不可能的事。但IP编址把这个复杂问题解决了。 连接到互联网的主机只需各自拥有一个唯一的IP地址,它们之间的通信就像连接在同一个网络上那样简单方便 ,因为上述的调用ARP的复杂过程都是由计算机软件自动进行的,对用户来说是看不见这种调用过程的。因此,在虚拟的IP网络上用P地址进行通信给广大的计算机用户带来很大的方便。
③ 计算机网络之五层协议
一:概述
计算机网络 (网络)把许多 计算机 连接在一起,而 互联网 则把许多网络连接在一起,是 网络的网络 。因特网是世界上最大的互联网。
以小写字母i开始的internet( 互联网或互连网 )是 通用 名词,它泛指由多个计算机网络互连而成的网络。在这些网络之间的通信协议(通信规则)可以是 任意 的。
以大写字母I开始的Interent( 因特网 )是 专有 名词,它指当前全球最大的、开放的、由众多网络相互连接而成的特定计算机网络,它采用的是 TCP/IP 协议族 作为通信规则,且其前身是美国的 ARPANET 。
因特网现在采用 存储转发 的 分组交换 技术,以及三层因特网服务提供者(ISP)结构。
因特网按 工作方式 可以划分为 边缘 部分和 核心 部分,主机在网络的边缘部分,作用是进行信息处理。 路由器 是在网络的核心部分,作用是:按存储转发方式进行 分组交换 。
计算机通信是计算机的 进程 (运行着的程序)之间的通信,计算机网络采用 通信方式 :客户–服务器方式和对等连接方式(P2P方式)
按作用 范围 不同,计算机网络分为:广域网WAN,城域网MAN,局域网LAN和个人区域网PAN。
五层协议 的体系结构由:应用层,运输层,网络层,数据链路层和物理层。
<1>:应用层 : 是体系结构中的最高层,应用层的任务是 通过应用进程间的交互来完成特定网络应用 。应用层协议定义的是 应用进程间通信和交互的规则 。
<2>:运输层 :任务是负责向 两个主机中的进程之间的通信提供可靠的端到端服务 ,应用层利用该服务传送应用层报文。
TCP :提供面向连接的,可靠的数据传输服务,其数据传输的单位是报文段。
UDP :提供无连接的,尽最大努力的数据传输服务,不保证数据传输的可靠性。
<3>网络层: 网络层的任务就是要选择合适的路由,在发送数据时, 网络层把运输层产生的报文段或者用户数据报 封装 成分组或包进行交付给目的站的运输层。
<4>数据链路层: 数据链路层的任务是在两个相邻结点间的线路上无差错地传送以帧(frame)为单位的数据。每一帧包括数据和必要的控制信息。
<5>:物理层: 物理层的任务就是 透明 地传送比特流,物理层还要确定连接电缆插头的 定义 及 连接法 。
运输层最重要的协议是:传输控制协议 TCP 和用户数据报协议 UDP ,而网络层最重要的协议是网络协议 IP 。
分组交换的优点:高效、灵活、迅速、可靠。
网络协议主要由三个要素组成: (1)语法:即数据和控制信息的结构或者格式; (2)语义:即需要发出何种控制信息,完成何种动作以及做出何种响应。 (3)同步:即事件实现顺序的详细说明。
二:物理层
物理层的主要任务:描述为确定与 传输媒体 的 接口 有关的一些特性。
机械特性 :接口所用接线器的形状和尺寸,引脚数目和排列,固定和锁定装置等,平时常见的各种规格的插件都有严格的 标准化的规定 。
电气特性 :接口电缆上的各条线上出现的电压 范围 。
功能特性 :某条线上出现的某一电平的点电压表示何种 意义 ;
过程特性 :指明对不同功能的各种可能事件的出现 顺序 。
通信的目的 是: 传送消息 , 数据 是运送消息的 实体 。 信号 是数据的电气或电磁的表现。
根据信号中代表 参数 的取值方式不同。 信号分为 : 模拟信号 (连续无限)+ 数字信号 (离散有限)。代表数字信号不同的离散数值的基本波形称为 码元 。
通信 的双方信息交互的方式来看,有三中 基本方式 :
单向 通信(广播)
双向交替 通信(**半双工**_对讲机)
双向同时 通信( 全双工 _电话)
调制 :来自信源的信号常称为基带信号。其包含较多低频成分,较多信道不能传输低频分量或直流分量,需要对其进行调制。
调制分为 两大类 : 基带调制 (仅对波形转换,又称 编码 ,D2D)+ 带通调制 (基带信号频率范围搬移到较高频段, 载波 调制,D2M)。
编码方式 :
不归零制 (正电平1/负0)
归零制度 (正脉冲1/负0)
曼彻斯特编码 (位周期中心的向上跳变为0/下1)
差分曼彻斯特编码 (每一位中心处有跳变,开始辩解有跳变为0,无跳变1)
带通调制方法 : 调 幅 ( AM ):(0, f1) 。调 频 ( FM ):(f1, f2) 。调 相 ( PM ):(0 , 180度) 。
正交振幅调制(QAM)物理层 下面 的 传输媒体 (介质): 不属于任何一层 。包括有: 引导性传输媒体 :双绞、同轴电缆、光缆 、 非引导性传输媒体 :短波、微波、红外线。
信道复用技术 : 频分复用 :(一样的时间占有不不同资源) ; 时分复用 :(不同时间使用同样资源) ;统计时分复用、波分复用(WDM)、码分复用(CDM)。
宽带接入技术 : 非对称数字用户线 ADSL (Asymmetric Digital Subcriber Line)(用数字技术对现有的模拟电话用户线进行改造)
三:数据链路层
数据链路层使用的 信道 有 两种类型: * 点对点(PPP) 信道+ 广播*信道
点对点信道的数据链路层的协议数据单元- -帧
数据链路层协议有许多, 三个基本问题 是共同的
封装成桢
透明传输
差错检测
局域网的数据链路层拆成两个子层,即 逻辑链路层(LLC) 子层+ 媒体接入控制(MAC) 子层;
适配器的作用:
计算机与外界局域网的连接是通过通信适配器,适配器本来是主机箱内插入的一块网络接口板,又称网络接口卡,简称( 网卡 )。
以太网采用 无连接 的工作方式,对发送的数据帧 不进行编号 ,也不要求对方发回确认,目的站收到差错帧就丢掉。
以太网采用的协议是:具有 冲突检测 的 载波监听多点接入 ( CSMA/CD )。协议的要点是: 发送前先监听,边发送边监听,一旦发现总线出现了碰撞,就立即停止发送。
以太网的硬件地址 , MAC 地址实际上就是适配器地址或者适配器标识符。 48位长 , 以太网最短帧长:64字节。争用期51.2微秒。
以太网适配器有 过滤 功能:只接收 单播帧,广播帧,多播帧 。
使用 集线器 可以在 物理层 扩展以太网(半双工),使用 网桥 可以在 数据链路层 扩展以太网(半双工),网桥转发帧时, 不改变帧 的源地址。网桥 优点 :对帧进行转发过滤,增大 吞吐量 。扩大网络物理范围,提高 可靠 性,可 互连 不同物理层,不同MAC子层和不同速率的以太网。 网桥 缺点 :增加时延,可能产生广播风暴。
透明网桥 : 自学习 办法处理接收到的帧。
四:网络层
TCP/IP 体系中的网络层向上只提供简单灵活的、无连接,尽最大努力交付的数据报服务。网络层不提供服务质量的承诺,不保证分组交付的时限, 进程 之间的通信的 可靠性 由 运输层 负责。
一个IP地址在整个因特网范围内是唯一的,分类的 IP地址 包括A类( 1~126 )、B类( 128~191 )、C类( 192~223 单播地址)、D类( 多播 地址)。
分类的IP地址由 网络号字段 和 主机号字段 组成。
物理地址(硬件地址)是数据链路层和物理层使用的地址,而 IP 地址是网络层和以上各层使用的地址,是一种 逻辑地址 ,数据链路层看不见数据报的IP地址。
IP首部中的 生存时间 段给出了IP数据报在因特网中经过的 最大路由器数 ,可防止IP数据报在互联网中无限制的 兜圈 子。
地址解析协议 ARP(Address Resolution Protocol) 把IP地址解析为 硬件地址 ,它解决 同一个局域网的主机或路由器的IP地址和硬件地址的映射问题 ,是一种解决地址问题的协议。以目标IP地址为线索,用来定位一个下一个应该接收数据分包的网络设备对应的MAC地址。如果目标主机不再同一链路上时,可以通过ARP查找下一跳路由器的MAC地址,不过ARP只适用于IPV4,不能用于IPV6,IPV6中可以用ICMPV6替代ARP发送邻居搜索消息。
路由选择协议有两大类: 内部网关 协议(RIP和OSPE)和 外部网关 协议(BGP-4)。
网际控制报文协议 ICMP (Internet Control Message Protocol )控制报文协议。是IP层协议,ICMP报文作为IP数据报的数据,加上首部后组成IP数据报发送出去,使用ICMP并不是实现了可靠传输。ICMP允许主机或者路由器 报告差错 情况和 提供有关异常 的情况报告。
ICMP是一个重要应用是分组网间探测 PING
与单播相比,在一对多的通信中,IP多播可大大节约网络资源, IP多播使用D类地址,IP多播需要使用 网际组管理协议IGMP 和多播路由选择协议。
五: 运输层
网络层为主机之间提供逻辑通信,运输层为应用进程之间提供端到端的逻辑通信。
运输层有两个协议 TCP和UDP
运输层用一个 16位 端口号来标志一个端口。
UDP特点 :无连接、尽最大努力交付、面向报文、无拥塞控制、支持一对一,多对一,一对多,多对多的交互通信。首部开销小。
TCP特点: 面向连接,每一条TCP连接只能是点对点、提供可靠的交付服务,提供全双工通信、面向字节流。
TCP用主机的IP地址加上主机上的端口号作为TCP连接的端点,这样的端点就叫 套接字 。
流量控制 是一个 端到端 的问题,是接收端抑制发送端发送数据的速率,以方便接收端来得及接收。 拥塞控制 是一个全局性过程,涉及到所有的主机,所有的路由器,以及与降低网络传输性能有关的所有因素。
TCP拥塞控制采用四种算法: 慢开始、拥塞避免、快重传、快恢复 。
传输有 三个连接 :连接建立、数据传送、连接释放。
TCP连接建立采用三次握手机制,连接释放采用四次握手机制。
六:应用层
文件传送协议FTP 使用 TCP 可靠传输服务。FTP使用客户服务器方式,一个FTP服务器进程可同时为多个客户进程提供服务。在进行文件传输时,FTP的客户和服务器之间要建立两个并行的TCP连接,控制连接和数据连接,实际用于传输文件的是 数据连接 。
万维网 WWW 是一个大规模,联机式的信息储藏所,可以方便从因特网上一个站点链接到另一个站点。
万维网使用 统一资源定位符URL 来标志万维网上的各种文档,并使每一个文档在整个因特网的范围内具有唯一的标识符 URL 。
一.虚拟网技术
虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。
由以上运行机制带来的网络安全的好处是显而易见的:信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是,虚拟网技术也带来了新的安全问题:
执行虚拟网交换的设备越来越复杂,从而成为被攻击的对象。
基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。
基于MAC的VLAN不能防止MAC欺骗攻击。
以太网从本质上基于广播机制,但应用了交换器和VLAN技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听和插入(改变)问题。
但是,采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此,VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。
网络层通讯可以跨越路由器,因此攻击可以从远方发起。IP协议族各厂家实现的不完善,因此,在网络层发现的安全漏洞相对更多,如IP sweep, teardrop, sync-flood, IP spoofing攻击等。
二.防火墙枝术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.
防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(代理服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型.
虽然防火墙是保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击.
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展.国内外已有数十家公司推出了功能各不相同的防火墙产品系列.
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴.在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统如果答案是"是",则说明企业内部网还没有在网络层采取相应的防范措施.
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一.虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务.另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客侵入等方向发展.
1、使用Firewall的益处
保护脆弱的服务
通过过滤不安全的服务,Firewall可以极大地提高网络安全和减少子网中主机的风险。
例如,Firewall可以禁止NIS、NFS服务通过,Firewall同时可以拒绝源路由和ICMP重定向封包。
控制对系统的访问
Firewall可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如,Firewall允许外部访问特定的Mail Server和Web Server。
集中的安全管理
Firewall对企业内部网实现集中的安全管理,在Firewall定义的安全规则可以运用于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。如在Firewall可以定义不同的认证方法,而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过—次认证即可访问内部网。
增强的保密性
使用Firewall可以阻止攻击者获取攻击网络系统的有用信息,如Finger和DNS。
记录和统计网络利用数据以及非法使用数据
Firewall可以记录和统计通过Firewall的网络通讯,提供关于网络使用的统计数据,并且,Firewall可以提供统计数据,来判断可能的攻击和探测。
策略执行
Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时,网络安全取决于每台主机的用户。
2、 设置Firewall的要素
网络策略
影响Firewall系统设计、安装和使用的网络策略可分为两级,高级的网络策略定义允许和禁止的服务以及如何使用服务,低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。
服务访问策略
服务访问策略集中在Internet访问服务以及外部网络访问(如拨入策略、SLIP/PPP连接等)。
服务访问策略必须是可行的和合理的。可行的策略必须在阻止己知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是:允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务;允许内部用户访问指定的Internet主机和服务。
Firewall设计策略
Firewall设计策略基于特定的firewall,定义完成服务访问策略的规则。通常有两种基本的设计策略:
允许任何服务除非被明确禁止;
禁止任何服务除非被明确允许。
通常采用第二种类型的设计策略。
3、 Firewall的基本分类
包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术.网络上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等.防火墙通过读取数据包中的地址信息来判断这些"包"是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以根据实际情况灵活制订判断规则.
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全.
但包过滤技术的缺陷也是明显的.包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源,目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒.有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙.
网络地址转换(NAT)
是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准.它允许具有私有IP地址的内部网络访问因特网.它还意味着用户不许要为其网络中每一台机器取得注册的IP地址.
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录.系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址.在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问.OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全.当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中.当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求.网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可.
代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展.代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流.从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机.当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机.由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统.
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效.其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
监测型监测型
防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义.监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入.同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用.据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部.因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙.基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术.这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本.
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势.由于这种产品是基于应用的,应用网关能提供对协议的过滤.例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄.正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
4、 建设Firewall的原则
分析安全和服务需求
以下问题有助于分析安全和服务需求:
√ 计划使用哪些Internet服务(如http,ftp,gopher),从何处使用Internet服务(本地网,拨号,远程办公室)。
√ 增加的需要,如加密或拔号接入支持。
√ 提供以上服务和访问的风险。
√ 提供网络安全控制的同时,对系统应用服务牺牲的代价。
策略的灵活性
Internet相关的网络安全策略总的来说,应该保持一定的灵活性,主要有以下原因:
√ Internet自身发展非常快,机构可能需要不断使用Internet提供的新服务开展业务。新的协议和服务大量涌现带来新的安全问题,安全策略必须能反应和处理这些问题。
√ 机构面临的风险并非是静态的,机构职能转变、网络设置改变都有可能改变风险。
远程用户认证策略
√ 远程用户不能通过放置于Firewall后的未经认证的Modem访问系统。
√ PPP/SLIP连接必须通过Firewall认证。
√ 对远程用户进行认证方法培训。
拨入/拨出策略
√ 拨入/拨出能力必须在设计Firewall时进行考虑和集成。
√ 外部拨入用户必须通过Firewall的认证。
Information Server策略
√ 公共信息服务器的安全必须集成到Firewall中。
√ 必须对公共信息服务器进行严格的安全控制,否则将成为系统安全的缺口。
√ 为Information server定义折中的安全策略允许提供公共服务。
√ 对公共信息服务和商业信息(如email)讲行安全策略区分。
Firewall系统的基本特征
√ Firewall必须支持.“禁止任何服务除非被明确允许”的设计策略。
√ Firewall必须支持实际的安全政策,而非改变安全策略适应Firewall。
√ Firewall必须是灵活的,以适应新的服务和机构智能改变带来的安全策略的改变。
√ Firewall必须支持增强的认证机制。
√ Firewall应该使用过滤技术以允许或拒绝对特定主机的访问。
√ IP过滤描述语言应该灵活,界面友好,并支持源IP和目的IP,协议类型,源和目的TCP/UDP口,以及到达和离开界面。
√ Firewall应该为FTP、TELNET提供代理服务,以提供增强和集中的认证管理机制。如果提供其它的服务(如NNTP,http等)也必须通过代理服务器。
√ Firewall应该支持集中的SMTP处理,减少内部网和远程系统的直接连接。
√ Firewall应该支持对公共Information server的访问,支持对公共Information server的保护,并且将Information server同内部网隔离。
√ Firewall可支持对拨号接入的集中管理和过滤。
√ Firewall应支持对交通、可疑活动的日志记录。
√ 如果Firewall需要通用的操作系统,必须保证使用的操作系统安装了所有己知的安全漏洞Patch。
√ Firewall的设计应该是可理解和管理的。
√ Firewall依赖的操作系统应及时地升级以弥补安全漏洞。
5、选择防火墙的要点
(1) 安全性:即是否通过了严格的入侵测试。
(2) 抗攻击能力:对典型攻击的防御能力
(3) 性能:是否能够提供足够的网络吞吐能力
(4) 自我完备能力:自身的安全性,Fail-close
(5) 可管理能力:是否支持SNMP网管
(6) VPN支持
(7) 认证和加密特性
(8) 服务的类型和原理
(9)网络地址转换能力
三.病毒防护技术
病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联,病毒的传播途径和速度大大加快。
我们将病毒的途径分为:
(1 ) 通过FTP,电子邮件传播。
(2) 通过软盘、光盘、磁带传播。
(3) 通过Web游览传播,主要是恶意的Java控件网站。
(4) 通过群件系统传播。
病毒防护的主要技术如下:
(1) 阻止病毒的传播。
在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。
(2) 检查和清除病毒。
使用防病毒软件检查和清除病毒。
(3) 病毒数据库的升级。
病毒数据库应不断更新,并下发到桌面系统。
(4) 在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件,禁止未经许可的控件下载和安装。
四.入侵检测技术
利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙、网络安全还远远不够:
(1) 入侵者可寻找防火墙背后可能敞开的后门。
(2) 入侵者可能就在防火墙内。
(3) 由于性能的限制,防火焰通常不能提供实时的入侵检测能力。
入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。
实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够缩短hacker入侵的时间。
入侵检测系统可分为两类:
√ 基于主机
√ 基于网络
基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查,非法访问的闯入等,并且提供对典型应用的监视如Web服务器应用。
基于网络的入侵检测系统用于实时监控网络关键路径的信息,其基本模型如右图示:
上述模型由四个部分组成:
(1) Passive protocol Analyzer网络数据包的协议分析器、将结果送给模式匹配部分并根据需要保存。
(2) Pattern-Matching Signature Analysis根据协议分析器的结果匹配入侵特征,结果传送给Countermeasure部分。
(3) countermeasure执行规定的动作。
(4) Storage保存分析结果及相关数据。
基于主机的安全监控系统具备如下特点:
(1) 精确,可以精确地判断入侵事件。
(2) 高级,可以判断应用层的入侵事件。
(3) 对入侵时间立即进行反应。
(4) 针对不同操作系统特点。
(5) 占用主机宝贵资源。
基于网络的安全监控系统具备如下特点:
(1) 能够监视经过本网段的任何活动。
(2) 实时网络监视。
(3) 监视粒度更细致。
(4) 精确度较差。
(5) 防入侵欺骗的能力较差。
(6) 交换网络环境难于配置。
基于主机及网络的入侵监控系统通常均可配置为分布式模式:
(1) 在需要监视的服务器上安装监视模块(agent),分别向管理服务器报告及上传证据,提供跨平台的入侵监视解决方案。
(2) 在需要监视的网络路径上,放置监视模块(sensor),分别向管理服务器报告及上传证据,提供跨网络的入侵监视解决方案。
选择入侵监视系统的要点是:
(1) 协议分析及检测能力。
(2) 解码效率(速度)。
(3) 自身安全的完备性。
(4) 精确度及完整度,防欺骗能力。
(5) 模式更新速度。
五.安全扫描技术
网络安全技术中,另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。
安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。
安全扫描工具通常也分为基于服务器和基于网络的扫描器。
基于服务器的扫描器主要扫描服务器相关的安全漏洞,如password文件,目录和文件权限,共享文件系统,敏感服务,软件,系统漏洞等,并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。
基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。网络安全扫描的主要性能应该考虑以下方面:
(1) 速度。在网络内进行安全扫描非常耗时。
(2) 网络拓扑。通过GUI的图形界面,可迭择一步或某些区域的设备。
(3) 能够发现的漏洞数量。
(4) 是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别,所以预制的扫描方法肯定不能满足客户的需求。
(5) 报告,扫描器应该能够给出清楚的安全漏洞报告。
(6) 更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级,并给出相应的改进建议。
安全扫描器不能实时监视网络上的入侵,但是能够测试和评价系统的安全性,并及时发现安全漏洞。
六. 认证和数宇签名技术
认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。
认证技术将应用到企业网络中的以下方面:
(1) 路由器认证,路由器和交换机之间的认证。
(2) 操作系统认证。操作系统对用户的认证。
(3) 网管系统对网管设备之间的认证。
(4) VPN网关设备之间的认证。
(5) 拨号访问服务器与客户间的认证。
(6) 应用服务器(如Web Server)与客户的认证。
(7) 电子邮件通讯双方的认证。
数字签名技术主要用于:
(1) 基于PKI认证体系的认证过程。
(2) 基于PKI的电子邮件及交易(通过Web进行的交易)的不可抵赖记录。
认证过程通常涉及到加密和密钥交换。通常,加密可使用对称加密、不对称加密及两种加密方法的混合。
UserName/Password认证
该种认证方式是最常用的一种认证方式,用于操作系统登录、telnet、rlogin等,但由于此种认证方式过程不加密,即password容易被监听和解密。
使用摘要算法的认证
Radius(拨号认证协议)、路由协议(OSPF)、SNMP Security Protocol等均使用共享的Security Key,加上摘要算法(MD5)进行认证,由于摘要算法是一个不可逆的过程,因此,在认证过程中,由摘要信息不能计算出共享的security key,敏感信息不在网络上传输。市场上主要采用的摘要算法有MD5和SHA-1。
基于PKI的认证
使用公开密钥体系进行认证和加密。该种方法安全程度较高,综合采用了摘要算法、不对称加密、对称加密、数字签名等技术,很好地将安全性和高效率结合起来。后面描述了基于PKI认证的基本原理。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。
该种认证方法安全程度很高,但是涉及到比较繁重的证书管理任务。