TCP/IP协议中的三个参数
□山东 钟卫东
TCP/IP(Transmite Control Protocol 传输控制协议/Internet Protocol网际协议)已成为计算机网络的一套工业标准协议。Internet网之所以能将广阔范围内各种各样网络系统的计算机互联起来,主要是因为应用了“统一天下”的TCP/IP协议。在应用TCP/IP协议的网络环境中,为了唯一地确定一台主机的位置,必须为TCP/IP协议指定三个参数,即IP地址、子网掩码和网关地址。
IP地址实际上是采用IP网间网层通过上层软件完成“统一”网络物理地址的方法,这种方法使用统一的地址格式,在统一管理下分配给主机。Internet网上不同的主机有不同的IP地址,每个主机的IP地址都是由32比特,即4个字节组成的。为了便于用户阅读和理解,通常采用“点分十进制表示方法”表示,每个字节为一部分,中间用点号分隔开来。如10.67.53.5就是胜利油田计算中心WEB服务器的IP地址。每个IP地址又可分为两部分。网络号表示网络规模的大小,主机号表示网络中主机的地址编号。按照网络规模的大小,IP地址可以分为A、B、C、D、E五类,其中A、B、C类是三种主要的类型地址,D类专供多目传送用的多目地址,E类用于扩展备用地址。A、B、C三类IP地址有效范围如下表:
类别 网络号 主机号
A 1~126 0~255 0~255 1~254
B 128~191 0~255 0~255 1~254
C 192~223 0~255 0~255 1~254
在IP地址中,有几种特殊含义的地址:
广播地址 TCP/IP协议规定,主机号部分各位全为1的IP地址用于广播。所谓广播地址指同时向网上所有的主机发送报文,也就是说,不管物理网络特性如何,Internet网支持广播传输。如136.78.255.255就是B类地址中的一个广播地址,你将信息送到此地址,就是将信息送给网络号为136.78的所有主机。
有限广播地址 有时需要在本网内广播,但又不知道本网的网络号时,TCP/IP协议规定32比特全为1的IP地址用于本网广播,即255.255.255.255。
“0”地址 TCP/IP协议规定,各位全为0的网络号被解释成“本网络”。若主机试图在本网内通信,但又不知道本网的网络号,那么,可以利用“0”地址。
回送地址 A类网络地址的第一段十进制数值为127是一个保留地址,如127.1.11.13用于网络软件测试以及本地机进程间通信。
为了快速确定IP地址的哪部分代表网络号,哪部分代表主机号,以及判断两个IP地址是否属于同一网络,就产生了子网掩码的概念。子网掩码给出了整个IP地址的位模式,其中的1代表网络部分,0代表IP主机号部分,应用中也采用点式十进制表示。用它来帮助确定IP地址网络号在哪结束,主机号在哪开始。A、B、C三类网络的标准缺省掩码如下:
类别 子 网 掩 码 位 模 式 子网掩码
A 11111111.00000000.00000000.00000000 255.0.0.0
B 11111111.11111111.00000000.00000000 255.255.0.0
C 11111111.11111111.11111111.00000000 255.255.255.0
如果在Internet网上进行通信的两台主机的IP地址分别为192.83.192.10和192.83.192.32,那么子网掩码255.255.255.0分别对两个IP地址进行与(and)运算后,得出网络号和主机号,并且结果一致,可以判断这两个IP地址属于同一个网络。
为了在网络分段情况下有效地利用IP地址,可以攫取主机号的高位部分作为子网号,从通常的八位界限中扩展子网掩码,用来创建某类地址的更多子网。但创建更多的子网时,在每个子网上的可用主机地址数目会减少。要确定更多子网的子网掩码,首先应确定传输IP信息流的网段的数目,然后再确定能够容纳网段数的最低子网掩码数目,记住不要使用包含全0或全1的网络地址。
若要使两个完全不同的网络(异构网)连接在一起,一般使用网关,在Internet中两个网络也要通过一台称为网关的计算机实现互联。这台计算机能根据用户通信目标计算机的IP地址,决定是否将用户发出的信息送出本地网络,同时,它还将外界发送给属于本地网络计算机的信息接收过来,它是一个网络与另一个网络相联的通道。为了使TCP/IP协议能够寻址,该通道被赋予一个IP地址,这个IP地址称为网关地址。
子网掩码的简便算法
举例说明该算法。
例:给定一 class c address : 192.168.5.0 ,要求划分20个子网,每个子网5
个主机。
解:因为4 <5 < 8 ,用256-8=248 ――>即是所求的子网掩码,对应的子网数
也就出来了。这是针对C类地址。老师也只讲了针对C类地址的做法。下面是我自
己推出来的针对B类地址的做法。
对于B类地址,假如主机数小于或等于254,与C类地址算法相同。
对于主机数大于254的,如需主机 700台,50个子网(相当大了),
512 < 700< 1024
256-(1024/256)=256-4=252 ――>即是所求的子网掩码,对应的子网数也就
出来了。
上面256-4中的4(2的2次幂)是指主机数用2进制表示时超过8位的位数,即超过
2位,掩码为剩余的前6位,即子网数为2(6)-2=62个。
欢迎指正。
Append :Host/Subnet Quantities Table
Class A Effective Effective
# bits Mask Subnets Hosts
2 255.192.0.0 2 4194302
3 255.224.0.0 6 2097150
4 255.240.0.0 14 1048574
5 255.248.0.0 30 524286
6 255.252.0.0 62 262142
7 255.254.0.0 126 131070
8 255.255.0.0 254 65536
9 255.255.128.0 510 32766
10 255.255.192.0 1022 16382
11 255.255.224.0 2046 8190
12 255.255.240.0 4094 4094
13 255.255.248.0 8190 2046
14 255.255.252.0 16382 1022
15 255.255.254.0 32766 510
16 255.255.255.0 65536 254
17 255.255.255.128 131070 126
18 255.255.255.192 262142 62
19 255.255.255.224 524286 30
20 255.255.255.240 1048574 14
21 255.255.255.248 2097150 6
22 255.255.255.252 4194302 2
Class B Effective Effective
# bits Mask Subnets Hosts
2 255.255.192.0 2 16382
3 255.255.224.0 6 8190
4 255.255.240.0 14 4094
5 255.255.248.0 30 2046
6 255.255.252.0 62 1022
7 255.255.254.0 126 510
8 255.255.255.0 254 254
9 255.255.255.128 510 126
10 255.255.255.192 1022 62
11 255.255.255.224 2046 30
12 255.255.255.240 4094 14
13 255.255.255.248 8190 6
14 255.255.255.252 16382 2
Class C Effective Effective
# bits Mask Subnets Hosts
2 255.255.255.192 2 62
3 255.255.255.224 6 30
4 255.255.255.240 14 14
5 255.255.255.248 30 6
6 255.255.255.252 62 2
*Subnet all zeroes and all ones excluded.
*Host all zeroes and all ones excluded.
WideBand千兆网络技术漫谈
本文所说的WideBand虽然也可译成宽带,但它与我们常用的Broadband不同,它指的是由WideBand公司所开发的一种宽带网络技术。这种技术可以让LAN提速到千兆位,可以让普通的学校也用得起视频应用。
WideBand千兆位网络技术在其问世之时并未引起多大的轰动,然而LAN技术的支持者们均认为其QoS性能以及低廉的价位完全可以满足对无论是ATM、光纤通道还是千兆以太网的市场需求。
WideBand技术可以在5类铜缆上提供1Gb/每秒的数据流量从而确保对QoS的要求。这种技术是由Roder Billings在90年代初所发明,当时他还在担任美国密苏里州独立国际科学院的校长。
在他发明这种技术的时候,高速路由器对于许多机构来说还非常的昂贵,所以Billings就开发了WideBand技术以便让迅速提高的以太网性能可以适用于更多的人。他希望为学校和其它没有多少预算经费但又需要视频广播的机构提供一种廉价的平台。
1994年,Billings创建了WideBand公司,并从1996年开始提供商业化产品。该公司的WideBand产品包括网卡、LAN集中器以及利用光缆连接WideBand组件的FiberLink模块。除此之外,WideBand还代理销售WideNet公司所生产的基于WideBand技术的各类服务器产品。
与其它千兆位技术相比,WideBand产品的价格相当低廉。该公司生产的PCI网卡只卖199美元,带9个端口的集中器也只卖到1665美元。而3Com的千兆EtherLink服务器网卡的售价近900美元,3Com的SuperStack II Hub 1000 SX则高达6400多美元。
不过,WideBand技术并未对主流的千兆以太网构成威胁,因为除了WideBand和WideNet在生产WideBand网卡和集中器以外,它们的志同道合者极少。在以太网的建造中,人们大多看重品牌价值,而新的铜缆千兆以太网标准也有可能最终挤垮WideBand的价格优势。
对操作系统来说,WideBand看上去跟普通的以太网完全一样,也采用了IEEE 802.3的包和寻址标准。然而当操作系统把一个包提交给WideBand驱动程序进行发送时,该驱动程序会加上一个特殊的WideBand包头。而在接收时,该驱动程序又会去掉这个包头,把包恢复成典型的以太网格式。以太网用户因此便可获得WideBand所提供的好处,而不必去更换软件或者双绞线。
WideBand的拓扑结构也跟以太网一样,采取了星型的结构,但两者的相似也到此为止。在以太网上,所有客户端共享物理媒介。当某个客户端发送一个包上网时,它必须监听是否与其它客户端发送的包发生了冲突。如果监听到了这样一个冲突,那么它就得回收这个包等待稍后再次发送。
以太网的冲突监测应该算是有效率的,但并不是非常有效的。一个10Mb/s的共享以太网一般只能提供4M到5Mb/s的有效信量,而其余的带宽则浪费在了冲突监测和包的回收上了。
虽说以太网交换机可以减少冲突的次数,但WideBand技术在使用带宽方面还是要比以太网有效得多。在WideBand上,来自不同来源的包彼此之间的间隔极小,因此几乎没有什么带宽损失。
连接客户端和集中器(其实就是一台交换机)的每根5类线缆内含4对双绞线。第1对为客户端到集中器提供一条267Mb/s通道,第2对则提供返回的267Mb/s通道。这两对双绞线可以为普通的客户机/服务器通信提供全双工连接。第3对双绞线是267Mb/s的WideCast通道,用于延迟敏感通信,而第4对则为控制通道。客户机/服务器以及WideCast通道的实际传输率其实接近333Mb/s,但其中的20%花费在了包头编码的开销上。
虽然WideBand不允许出现冲突,但来自两个客户端的包完全有可能同时到达集中器,从而争夺同一个输入缓冲区。在发生这种情况时,集中器将给其中的一个客户端发出信号要求它等待另一个客户端完成发送。当然,由于267Mb/s的速率,等待的时间微乎其微。而在以太网上,两个发送者都必须回收各自的包,然后等待一个随机的时间量才能再次尝试发送。
WideBand在每个包头中含有一个服务等级确认标志,因而可在客户机/服务器通道上支持优先通信序列。这种网络技术是通过分离延迟敏感通信并在WideCast通道上进行传输来实现QoS的。WideCast通道可以同时传输170个MPEG1格式的视频流。
1997年,为了推进WideBand技术,有关的厂商成立了WideBand千兆网络联盟(WGNA),该联盟目前已拥有近50家成员单位,多数是线缆厂商和科研院校。
线缆厂商之所以支持WideBnad,当然是因为WideBand使用的是5类线缆。而院校加入WGNA则是因为它们对可以用得起的QoS有着浓厚兴趣。比如西北密苏里州立大学两年前就已建成了一个WideBand网络,该网络可支持视频教学和一个视频电话亭,以及其它的宽带应用。
该大学的副校长Jon Rickman对WideBand的性能印象极佳,他说:“这个网络的速度是如此之快,会令你彻底改变对网络的看法。”
□ 郑宝山 《网络世界》
千兆字节系统网络的技术与应用
千兆字节系统网络(Gigabyte System Network 简称GSN)是带宽最宽、延迟时间最小的互连网络标准,它提供每秒6400百万比特(800MB/s)全双工无差错、流控制的数据传输。该技术对于位于任何地方要求及时有效的传送大量数据的组织机构都是最理想的。高清晰度电视(HDTV)、数据挖掘、事务处理、录像及影片归档、存储管理等领域都可以采用GSN技术。ANSI推荐的GSN标准与Ethernet、Fibre Channel、ATM、HIPPI-800及其他标准具有互操作性。
GSN的优点
GSN具有下列优点:
有效载荷的带宽:可达到全双工800MB/s的带宽,比Fibre Channel ATM OC12、千兆位以太网及HIPPI 快8倍。
适配器的延时时间小于10毫秒;MPI的延迟小于30毫秒。
具有并行协议栈的适配器。
GSN支持以下协议:
IP over GSN
ST over GSN
ARP over GSN
价值:
适配器具有杰出的性能价格比。
对于技术计算的应用诸如集群及系统区域网络以及对于数据量大的客户机/服务器模式的企业级应用,诸如HDTV、后期制作室、MR医学成像以及存储管理主干网等需要巨大的带宽、低延迟时间及充分利用CPU的领域而言,SGI的GSN是理想的网络解决方案。它也是能向影像工业把数据传输到数字化演播室及HDTV等应用场合提供所需带宽唯一一种网络。需要大型数据仓库的客户可以把这种技术用于超高性能的文件服务器及每小时能传送兆兆字节的备份服务器。虽然一些著名的计算机厂商也在发展GSN产品,但SGI一直在GSN方面处于领先地位,在本世纪末之前它是唯一能推出GSN产品的供应商。
GSN技术
千兆字节系统网络是交互式网络的一种新技术,它可以800MB/s或6.4Gb/s的速率在每个方向可靠地传输数据流。GSN链路的传输的速度,大约比ATM
OC48c线路快3倍,比千兆位以太网线路快8倍。GSN是ASNI T11.1 HIPPI任务小组作为HIPPI(高性能并行接口)新一代标准研制出来的,它也可以称作HIPPU-6400;此外它还具有HIPPI
、ATM、 Ethernet的最好特性。
GSN使用4路多路复用通道,也可以把这种通道称作虚拟通道。虚拟通道可用于流量控制、低延时的网络流量以及大数据量的网络流量场合。一般的HIPPI用户可以发现只用一个通道在大数据量以及交互式通信传输时会出现交通阻塞问题,在GSN中数据是以32字节的微包加上带外(out of band)控制字传输的,使用小的封包(packets)以及虚拟通道,意味着在交互式通信时非常大的交换机文件传输也不会封锁主机或交换机的端口。链路控制以及向前看的流控制是由管理微包来实现。管理微包的长度和数据微包相同,它们都是32字节。
GSN对消息的最大长度作了规定。当某一数据长度超出规定时会自动地对消息进行分割,以适合传输的需要。消息的分割与重组是由调度头来控制的。
调度传输(ST)协议可以在数据开始传递前,在信源、信宿两个端点上为此次传送进行准备和预先安排。GSN利用ST协议可以旁路操作系统而直接完成存储器到存储器的数据传输。换句话说,ST允许直接进行存储器存取而无需操作系统介入。采用ST协议在数据传递前,可以在接收端预先分配好存储空间,这样就为解决网络拥塞问题提供了一种简单的处理方法。
正确的链路状态是在链路层通过CRC(循环冗余码)校验和来检验的。数据的完整性是用第二个CRC校验和在整个数据路径上实现的。
GSN可使用两类通用的传输介质:铜线电缆或并行的光纤电缆。铜线电缆由20根同轴线组成,每个方向信号的带宽可达500MHz,最大传输距离为40米。并行光纤电缆每个方向可使用10条多模光纤,带宽可达1GHz,传输距离为300米。并行光缆可在1999年投入使用。单模光纤电缆连接的距离可达2公里。
目前正在开发32X32连接的交换机。交换机可以看成是一种平移的桥接器。在一个GSN节点内可连接8条HIPPI-800传输线。GSN也使用标准的MAC(媒体访问控制)地址格式,该格式允许GSN使用802.2标准的其它介质桥接。
调度传输(ST)协议允许存储器与存储器之间透明地传输数据。该技术与GSN和其它网络诸如Fibre Channel,ATM及千兆位以太网结合无关。ST在其它一些标准协议(如IP)之上。
GSN,也就是HIPPI-6400,在物理层和协议层已作了明确规定。GSN当前已处于ANSI国际化标准的最后确定阶段。GSN的物理层协议是在HIPPI互连标准基础上发展起来的。它的正式项目代号为1213-D。
SGI已为Origin2000,Onyx2,Origin200的GIGA通道提供GSN适配器。这是一种单端口的网络接口板,符合ANSI HIPPI-6400-PH规范。它可以在GSN用铜线电缆在每个方向以800MB/s速率传输数据。此速率比Fiber Channel快8倍,每小时在每个方向可以传送2.5TB的数据。
□ 许耀昌 《网络世界》
千兆以太网与六类布线
1997年9月, ISO/IEC JTC1 SC25 WG3 标准委员会决定为ISO 11801的下一版本开发两种新型电缆,这两种新型电缆按性能分为六类/E级和七类/F级。该决定引起了布线工业及一些标准委员会 (特别是美国TIA/EIA组织及欧洲CENELEC)的极大兴趣。
除了布线标准委员会开展的这些工作之外,局域网标准委员会也在开发在现有结构化电缆系统上实现千兆位传输的技术。1996年开始研究的IEEE802.3千兆位以太网作为一种特殊的局域网技术引起了网络工业界的广泛关注。IEEE802.3委员会所面对的最具挑战性的工作是开发出一种能够在现有五类/D级系统上运行的可靠而且鲁棒的千兆位以太网技术。
众所周知,以太网技术与布线技术紧密相联系,那么千兆位以太网技术是如何发展以支持新一代电缆,特别是建议中的六类线/E类电缆的呢?
IEEE 802.3 千兆以太网
千兆以太网项目开始于1996年,目前已完成了大量工 作。千兆位以太网项目的主要目的是为骨干网络 提供1Gbps的带宽,并为现有快速以太网提供自然升级 的办法,同时要尽可能地利用现有的网络管理工 具和相应的培训。
在局域网中为了维持直径为200米的最大碰撞区域,最小CSMA/CD载波时间,以太网时间片已从目前的512比特扩展到512字节(4096比特),最小信息包大小仍为64字节。载波扩展特性在不修改最小包尺寸的条件下解决了CSMA/CD固有的时序问题。虽然这些改变可能会影响到小信息包的性能,然而这种影响已经被CSM/CD算法中称作信息包突发传送的特性所抵消。
为了缩小千兆以太网产品进入市场的时间,标准中1000BASE-SX, -LX 和 -CX版本都能适应目前经过时间考验的 Fiber Channel技术。即采用8B10 NRZ (不归零制) 编码方式 ,提供1.25Gbaud的有效波特率, 因此能提供全速1Gbps的数据速率。
1000BASE-SX 系列采用低成本短波的CD(compact disc,光盘激光器) 或者VCSEL(Vertical Cavity Surface Emitting Laser,垂直腔体表面发光激光器)发送器,而1000BASE-LX系列则使用相对昂贵的长波激光器。1000BASE-CX系列则打算在配线间使用短跳线电缆把高性能服务器和高速外围设备连接起来。
1000BASE-T系列是支持大量已安装的五类布线系统的新设计。为了克服5类线的缺陷而运用了复杂的数字信号处理 (DSP) 技术。 1000BASE-T在传输中使用了全部4对双绞线并工作在全双工模式下,因此新增加的参数例如回波损耗以及远端串扰功率和(FEXT)等就显得重要起来。这种设计采用 PAM-5 (5级脉冲放大调制) 编码在每个线对上传输 250 Mbps。 双向传输要求所有的四个线对收发器端口必须使用混合磁场线路,因为无法提供完美的混合磁场线路,所以无法完全隔离发送和接收电路。任何发送与接受线路都会对设备发生回波。因此,要达到要求的10-10的错误率(BER)就必须抵消回波。1000BASE-T无法对频率集中在125MHz之上的频段进行过滤,但是使用扰频技术和网格编码能对80MHz之后的频段进行过滤。为了解决五类线在如此之高的频率范围内因近端串扰 (在PSNEXT的情况下)而受到的限制,应该采用合适的方案来抵消串扰。使用网格编码可以增强抗干扰能力,这一结论对上面的所有情况都适用。
最终用户可能会为使用什么样的电缆来支持1000BASE-T而感到困惑。尽管这种技术支持已安装5类线系统,需要特别指出的是新增加的布线传输参数也必须要令人满意。这些参数包括回波损耗,等级远端串扰(ELFEXT),传播延迟和延时畸变。因此,如果电缆满足5类线(1998)或者超5类线的要求,那么它将支持1000BASE-T。如果已安装的电缆仅满足5类线标准(1995), 那么,在连接1000BASE-T设备之前,应对布线系统按照新增加的布线参数进行测量和认证 。
需要6类布线吗 ?
目前布线行业中对是否需要六类布线的争论很多 (即使在当前的草案阶段)为了正确分析,让我们回头看看1992年3类布线盛行、而5类布线仅刚提出时的情形。廉价的10Mbps是为运行以太网(10 BASE-T) 和25 Mbps ATM 局域网而在三类布线的基础之上研制的。当以太网的比特率增加到100 Mbps , ATM 局域网增长为155.5 Mbps时, 为了在三类布线的基础上支持这些局域网技术,电子设备不得不提高其复杂性与成本。 100BASE-T4, 100BASE-T2和 155.5 Mbps CAP64 ATM 局域网要求使用复杂的DSP技术以克服三类布线的局限性。随着5类布线被众多最终用户采用,廉价的100Mbps(100BASE-TX)以太网和155.5Mbps NRZ ATM局域网也得以发展并在五类布线的基础上得到了更好的性能。
实际情况表明: 使用三类布线运行100BASE-T4时每个用户连接的全部费用(例如从路由器到网卡,包括电缆在内)为164英镑,而在五类布线的基础上实现100BASE-TX仅需费用132英镑,相比之下,平均每个用户连接费用节省24%。
毫无疑问,同样的发展将再次发生在1000BASE-T局域网技术上,由于1000BASE-TX设计采用两对线对发送、两对接收的工作方式,因此不需要全双工模式下的回波抵消。为了缩短进入市场的时间,将选择100BASE-TX使用的MLT- 3编码方式, MLT-3的带宽效率为每 赫兹4 比特,因此频宽为125MHz。这很好地限制在六类布线的NEXT和PSNEXT范围内,因此串扰抵消就是不必要的。就目前的半导体技术水平来看,不使用回波及串扰抵消器件将至少减少1000BASE-TX 设计的50%的整体复杂性 (与目前的1000BASE-T设计相比 )。网格编码技术可能还需改进以确保符合电磁兼容性(EMC)要求。
引申开来,如果数据比率从每对500 Mbps提高到600 Mbps, 那么这种设计就可以用于1.2 Gbps系统 。因此,六类布线不仅可以降低支持千兆以太网的电子设备的费用,同时也为今后可能超过1Gbps 的局域网技术提供了基本设施保障。
布线基础设施的投资将被认为是一种长期投资,布线设施本身也应作为一种资产。根据国际布线标准ISO 11801, 一个布线系统的期望寿命至少为10年。在这段时间内,PC技术将取得巨大的发展。就目前而言,桌面系统虽然还没有用到1Gbps的需求,但是这主要是由于当前PC内部总线结构限制造成的,因为总线决定处理器和内存以及其他外围设备(例如网卡)之间的的数据交换速率。著名的摩尔定律预言芯片上的晶体管数目每过18个月就增加一倍。这一经常被用来描述PC处理器性能的增长速度,也就是说,每过18个月PC的性能就要提高一倍。基于这些事实,也许三年内台式PC中就会出现PCI 2总线。以此类推,在布线系统的生命周期内,1000BASE-TX技术应用到桌面系统是非常可能的。
可能的应用
让我们想一下那些应用会需要如此巨大的吞吐量 吧。多媒体应用正在成为台式PC的基本要求。Intel 推出 了MMX (MultiMedia Exchange,多媒体交换)技术,该技术将极大推动多媒体应 用。多媒体商务和多媒体信息传递的出现戏剧性 地影响了局域网的设计。将来多媒体商务应用将 必然要求更高带宽和更低的响应时间以达到令人 满意的性能。按Intel的说法,未来的计算机商务将是 屏幕之间的交流,商业建立在采用Intel结构的可视连 接PC(Visual Connected PC,VCPC)之间。1997年推出的AGP(加速图形接口)接口支持 MMX技术,用于低成本、高性能的3D图形应用。随着低 成本的DVD(Digital Versatile Disk,数字式通用磁盘)的出现,扫描仪和 数字照相机将为用户带来一种全新的互动式的, 直觉和生活化的计算机体验,用户可以把自己独 特的的可视数据输入软件中去。文件尺寸将急剧 增大,出现大量位图图形以及图片用来引导操作 ,使得文件、文档更为有趣并更加用友好。可视 计算将要求提供比目前局域网更高带宽。
结 论
过去五年中IT(信息技术)工业在网络技术方面取得了 巨大发展和长足进步。越来越多的最终用户进入
网络,这促进了复杂和基于事务的应用软件的发 展。PC机性能的增强与数字信号处理能力的成倍增
加,以及硅片的储存能力的加大为软件开发商开 发要求大量带宽的应用软件创造了新的商机。结
果必然导致文件尺寸迅速增加。所有这些趋势都 对网络提出了更高的要求。布线基础设施是其中
枢神经系统,必须保证其高效运行并且要避免网 络瘫痪。这样,最终用户至少要选择超5类线以保
证网络的正常工作,对于新安装的系统推荐使用 6类线,这将保证千兆位以太网技术可以经济地满
足目前和将来的需要。
小议ADSL与Cable Modem
伴随Internet的迅猛发展,各种接入技术不断涌现,PSTN模拟接入、ISDN接入、DDN接入和X.25租用线接入等方法都曾小试身手,但皆因带宽或费用的原因而无法令人十分满意,渐渐退出舞台。就目前情况而言,在光纤到户之前,ADSL和Cable Modem将成为Internet高速接入中的佼佼者。
ADSL(Asymmetrical Digital Subscriber Line)是DSL(Digital Subscriber Line)家族中的一员,中文名字为非对称数字用户线,最早由Bell公司研发成功。它的传输介质是广泛分布的铜质电话线,上行速率为16K~640Kbps,下行通信速率可达1.5Mbps~8Mbps,有效传输距离3-5公里。ADSL设备工作时,通过频分多路复用(FDM)或回波消除(Echo Cancellation)技术在双绞线上产生多个供数据传呼的上/下行信道,同时为POTS预留下4Kbps的通道,以保证POTS和ADSL可以在一条电话线路上同时使用而无需为POTS另设线路。
而Cable Modem(线缆调制解调器)利用已有有线电视网的HFC(Hybrid Fiber Coax)系统接入Internet。目前的CATV系统中,Cable Modem上/下行信道分布在电视模拟信号所占频带50~550MHz的两侧,其中,上行信道频谱范围为5~45MHz,下行信道频率范围为550~750MHz。其下行信道中每6MHz为一个子通道,当采用64QAM调制方式时传输速率为 25~40Mbps,而用256QAM技术时速率可达40Mbps以上;由于其上行通道的RF频谱中充满了尖锐的噪声、窄波段的干扰、宽波段的高斯噪声以及非线性干扰等,一般采用慢速的具鲁棒性的DWMT或QPSK方式调制,导致其上行信道中每个子通道的吞吐量为3~10Mbps。
可以看出,ADSL和Cable Modem在Internet高速接入中各有千秋,笔者下面分别从带宽,抗干扰能力,实现难易和标准化四个方面简单进行一比较:
1.带宽
相比之下,Cable Modem要比ADSL更具有带宽的优势。Cable Modem的每一个子信道下行通道的数据吞吐量都可以达到25~40Mbps,所以当整个系统的用户较少时,其带宽的优势将非常明显;但由于Cable Modem所依赖的HFC系统的拓扑结构是分层的树状总线结构,所以其终端用户将共享连接段线路的带宽,当一条线路上用户激增时,各个用户所得到的有效带宽将远小于25Mbps,一般只能达到1~2Mbps,甚至更低,在这点上HFC系统与共享的总线型以太网非常相似;而ADSL接入方案则不同,其网络拓扑为比较安全的星型结构,用户能够独占1.5~8Mbps的带宽。因此在用户激增时,其服务质量反而较Cable Modem高。
2.抗干扰能力
Cable Modem的入户连接线是同轴电缆,它内部铜芯传送信号,外面的铜丝网和铝箔屏蔽外界的干扰,一般,只要作好相应线缆连接器的屏蔽,就可避免绝大部分外界干扰;而ADSL的传输介质是极易受外界高频信号串扰的电话线,抗干扰能力较Cable Modem而言天生不足。
3.实现的难易
ADSL接入方案的实现只需在电话线的两端接上ADSL设备就可以了,无需对整个网络进行改造;而Cable Modem接入Internet比较复杂,因为CATV的HFC系统仅是为单向广播电视节目而设计的,所以要利用Cable Modem 实现在HFC网络上双向数据通信就必须对现有的有线电视网络进行需要大量资金投入的改造。
4.标准化问题
目前,国际电信联盟(ITU)已完成了ADSL的标准化工作,对应的G.Lite也于今年7月得到通过;而Cable Modem的标准DOCSIS虽得到国际电信联盟认可成为国际标准,但真正得到实施还尚需时日。
综上所述,ADSL和Cable Modem在性能上各有优势。但在中国未来 Internet高速接入市场应用中,谁将略胜一筹?对此,笔者更倾心于ADSL。原因之一是基于电话线的ADSL与电信部门的天然联系,而到目前为止,中国电信仍是我国最大的Internet接入服务提供者,因此ADSL的盛行也就顺理成章;之二是目前电话网络的覆盖率要远大于有线电视网,1亿有线电话用户为ADSL的发展提供了一个广阔的市场空间;之三是与Cable
Modem系统建设巨大的前期投资相比,ADSL的性价比更加的诱人。
局域网核心的高可用性
新一代网络的要求
随着企业需求的不断变化,为了在市场中保持竞争力,企业对信息技术(IT)策略的依赖进一步加强了。网络的性能直接影响着企业在市场上的表现。这种对网络的依赖推动了人们对网络基础设施高可用性的要求。随着统一进程的不断深化,对时延敏感的流量在网络中所占的比例也在不断地增加。网络能否对流量无延迟地进行重新路由,对于保持应用的完整性来说非常重要。
将10/100Mbps以太网引入桌面、部署新的高带宽应用以及对语音、视频和数据基础网络设施的统一都要求在今天企业级局域网络的核心提高网络的能力。这种对网络能力的迫切要求加上企业对其局域网前所未有的依赖,都将对网络的建设过程产生影响。
总而言之,新一代的网络基础设施必须具备足够的灵活性和可伸缩性,以便在企业应用发生变化时产生最大的投资回报和增长。在这里,我们介绍一种被称为多点链路汇聚(MPLA)的新技术, MPLA是一种高带宽、高度容错的结构,它可以提高网络的可伸缩性,降低网络的复杂性,从而满足新一代局域网的核心对网络能力与可用性的严格要求。
什么是MPLA
多点链路汇聚技术是由3COM公司开发的,一种可以满足新一代网络需求的以太网技术。利用即时故障恢复功能,MPLA将可伸缩的链路带宽进行叠加,对于构建可拓展、可容错、功能强大的网络核心非常有用。MPLA可以针对链路失效或设备失效起到预防的作用。而且,由于所有的物理链路都是激活的, MPLA可以实现资源配置的完全最优化。
MPLA技术不仅可以为网络提供灵活性与可伸缩性,而且还降低了部署新一代网络基础设施时的复杂性,在较低的成本上实现了向新技术的过渡。
网络核心的伸缩性:构成MPLA的基石是汇聚在一起的链路和千兆以太网交换机。通过将多个物理链路绑定在一起形成一条逻辑链路,链路汇聚技术提高了可用带宽。例如,为了提高两台千兆以太网交换机之间的交换性能,链路汇聚技术可以绑定多个千兆位交换物理端口,形成一条逻辑上的通道,在需要时还可以对其进行拓展。
如果没有链路汇聚技术,以这种方式互联起来的交换机为了防止环形拓扑的出现,需要按照生成树协议(STP)封锁其他所有的链路,只留下一条可用链路。但是,采用了链路汇聚技术之后,最多可以有6条链路被捆绑在一起形成一条6Gbps的通道。当MPLA系统中绑定的某条链路得到了拓展时,跨越MPLA核心的汇聚带宽也会相应地增加。
位于MPLA核心的逻辑链路不仅是可以伸缩的,而且还是冗余的。这些冗余的、可伸缩的逻辑链路都是处于激活状态的,因而可以实现负载分担。因此,MPLA系统中的各条线路和交换机可以共同分担流量负载,进一步增强了网络的能力。由于MPLA系统中各组成部分的高可伸缩性,MPLA核心本身也是可拓展的。在向MPLA核心添加设备的同时,该核心中汇聚的带宽也会随之增加。由于已有的一些技术,如FDDI的核心,在核心设备增加时,相应的汇聚带宽便会减少,因此,相比之下,在这一点上MPLA技术拥有巨大的优势。
网络核心的容错特性:冗余链路不仅是一种负载分担机制,它还是一种重要的灵活性机制。一旦局域网核心的某条链路或某台交换机出现了故障,MPLA会动态地引导流量绕开失效的部件。在MPLA核心进行故障恢复所需的时间非常之短(一般不超过两秒钟)。MPLA进行故障恢复的速度使它有别于其他的像STP这样的第二层容错技术。后者的故障恢复时间需要至少30~45秒钟。MPLA中的容错链路也是激活的,并且也要分担负载。因此,MPLA技术可以比STP和类似的容错机制更有效地利用带宽。采用其他的技术时,通常一部分带宽是处于“锁死”状态的,因而这部分带宽对于局域网流量来说是无法使用的。
复杂性降低:MPLA可以在第二层支持多种协议,省去了对工作在高层上的各种复杂协议(如OSFP“最短路径优先”协议和专用网络- 网络接口(PNNI)协议)
进行配置和调试的麻烦。MPLA进行统一的数据单元传输,并保持着一致的以太网数据分组格式,从而避免了数据包—信元报文封装以及以太网-FDDI数据包转换
机制的种种缺陷。在避免了像其他的核心技术那样造成网络复杂性的增加和性能降低的同时,MPLA实现了网络的核心所必需的性能与灵活性。
节约成本:由于MPLA技术是基于标准的千兆以太网交换技术和3Com公司的链路汇聚技术的,它可以带来巨大的成本收益。千兆以太网交换机不仅非常可靠,而且价格也极为合算。需要特别指出的是,联入MPLA核心仅仅是出于带宽需求的考虑。相比之下,一个路由式的局域网核心网状架构需要占用宝贵的端口,作用却仅仅是用来提供冗余路径。
另外,MPLA技术工作在数据链路层(第二层),因而不会带来由网络层(第三层)路由协议所引起的诸如复杂性和相关成本的提高等问题。即便如此,MPLA技术仍可以实现相同的容错能力,同时具备更强的可伸缩性。
IPOA-IP与ATM技术的结合
IPOA技术概要
IPOA(IP Over ATM) 是在ATM-LAN上传送IP数据包的一种技术。它规定了利用 ATM网络在ATM终端间建立连接,特别是建立交换型虚连接(SVC:Switched Virtual Circuit)进行IP数据通信的规范。
·ATM-LAN中的LIS
如上图所示,在ATM-LAN中,ATM网络可看作一个单一的(通常是本地的)物理网络,如同其它网络一样,人们使用路由器连接所有异构网络,而TCP/IP允许ATM网络上的一组计算机象一个独立的局域网一样工作,这样的一组计算机被叫做LIS(Logical IP Subnet),在一个LIS内的计算机共享一个IP网络地址(IP子网地址),LIS内部的计算机可以互相直接通信,但是当一个LIS内的计算机要和其它的 LIS或网络中的计算机通信时必须经过两个互连的LIS路由器,很明显,LIS的特性与传统IP子网相似。
类似以太网,IP数据包在ATM网络上传输也必须进行IP地址绑定,ATM给每一个连接的计算机分配ATM物理地址,当建立虚连接时必须使用这个物理地址,但由于 ATM硬件不支持广播,所以,IP无法使用传统的ARP将其地址绑定到ATM地址。在ATM网络中,每一个LIS配置至少一个 ATMARP SERVER以完成地址绑定工作。
· IPOA功能介绍
IPOA的主要功能有两个:地址解析和数据封装。
地址解析就是完成地址绑定功能。对于PVC(Permanent Virtual Circuit)来说,因为PVC是由管理员手工配置的,因此一个主机可能只知道PVC的VPI/VCI标识,而不知道远地主机的IP地址和ATM地址,这就需要IP解析机制能够识别连接在一条PVC上的远地计算机;对于SVC来说,地址解析更加复杂,需要两级地址解析过程。首先,当需要建立SVC时,必须把目的端的IP地址解析成ATM地址;其次,当在一条已有的SVC上传输数据包时,目的端的IP地址必须映射成SVC的VPI/VCI标识。
对于IP数据包的封装问题,目前有下面两种封装形式可以采用:
* VC封装:一条VC用于传输一种特定的协议数据(如IP数据和ARP数据),传输效率很高;
* 多协议封装:使用同一条VC传输多种协议数据,这样必须给数据加上类型字段,IPOA中使用缺省的LLC/SNAP封装标明数据类型信息。
IPOA工作过程
整个系统的工作过程如下:首先是Client端的IPOA初始化过程,即Client加入LIS的过程,由Client端的IPOA高层发出初始化命令,向SERVER注册自身,注册成功后,Client变为“Operational"状态,意味着现在的Client可以接收/传输数据了。当主机要发送数据时,它使用通常的IP选路,以便找到适当的下一跳(next-hop)地址,然后把数据发送到相应的网络接口,网络接口软件必须解析出对应目的端的ATM地址,该地址有两种方法可以获得:(1)直接从Client端的解析表中查到;(2)通过发送ATMARP请求获得。接下去用户可作两种选择:(1)假如有可利用的连接目的端的VCC,那么直接把数据发送给AAL5层,通过VCC传输出去;(2)假如(1)不满足,那就通过信令过程建立适合的链路,然后进行传输。 (实际中的数据传输过程由于牵涉到QOS设置问题,所以要比上面的论述复杂一些。)当Client接收到AAL5的数据时,处理过程比较简单,只须简单地解除封装,根据协议数据类型交给相应模块处理即可。
除了数据传输的任务外,Client还要维护地址信息,包含定期更新SERVER上的地址信息和本地的地址信息。假如Client的地址信息不能被及时更新,那么此Client就会变成非可用状态,需要重新初始化后才能使用。
在Client传输数据时,它可能同时向许多不同的目的端发送和接收数据,因此必须同时维护多条连接。连接的管理发生在IP下面的网络接口软件中,该系统可以采用一个链表来实现此功能,链表中的每一数据项包含诸如链路的首/末端地址、使用状态、更新标志、更新时间、QOS信息和VCC等一条链路所必须的信息。
IPOA在TCP/IP
协议栈中的位置
ATM网络是面向连接的,TCP/IP只是将其作为象以太网一样的另一种物理网络来看待。从TCP/IP的协议体系结构来看,除了要建立虚连接之外,IPOA与网络接口层完成的功能类似,即完成IP地址到硬件地址(ATM地址)的映射过程,封装并发送输出的数据分组,接收输入的数据分组并将其发送到对应的模块。当然,除了以上功能之外,网络接口还负责与硬件通信(设备驱动程序也属于网络接口层)。
在OSI模型中,IPOA位于IP层以下,属网络接口层,其建立连接的工作通过RFC 1755请求UNI3.1处理信令消息完成。
IPOA技术应用发展趋势
IPOA最大的优点就是其利用了ATM网络的QOS,可以支持多媒体业务,它在网络层上将局域网接入ATM网络,既提高了网络带宽,也提升了网络的性能;但同时IPOA也存在一些缺点,比如目前的IPOA不支持广播和组播业务;另外,由于ATM-LAN中一台主机要与所有成员建立 VC连接,随着网络的增加,VC连接的数目会呈平方级数的增加,因此IPOA技术不适合于大网结构,一般用在企业网、校园网这样的网络中。
目前大家都在谈论IP和ATM的前景问题,其中一点毋庸置疑:IP和ATM在某种程度上是互补的,IP应用广泛,造价低廉;ATM虽然复杂、昂贵,但可以提供高带宽和
QOS业务质量,保障用户对业务的要求,因此两者在很长时期内将共存发展。随着用户对带宽和多业务,特别是多媒体业务的需求,网络上层采用IP已成公认事实,但下层IP由何种网络承载,是ATM、SDH,还是DWDM呢?对此依然众说纷纭,但就目前情况来看,即便作为一种过渡,IP
Over ATM技术仍将具有很强的生命力。
Internet路由
路由概述
路由的过程可以概述为一个节点找到通往每个可能目的地的路径。路由出现在从第一层到第七层的每一层中。人们所熟悉的路由是出现在第三层(网络层)的,因此我们也只讨论第三层的IP路由。
交换路由信息的协议联接世界上的许多路由器,尽管这些路由器并不同类,通过路由表还是可以提供它们共同的网络视图。路由表为路由器存储了到达网络上任一目的地所需要的一切必要的信息。
路由协议
各种各样的路由协议被用来填写网络中的路由表。象BGP,OSPF,RIP和ISIS这样的协议可以传输给所有的路由器一个正确和一致的网络视图。
路由协议想要实现目标
你能够想象如果每个路由器都存储从它的节点所能到达的每个目标点所需的信息,很可能该路由器会积累一张庞大的路由表。由于物理上(cpu,内存)的限制路由器很难有时就根本不可能处理一个庞大的路由表。因此在不影响到达每个目的地的能力的情况下,我们要使路由表最小化。例如,一个路由器通过连接到另一个路由器一个DS1链路连接到Internet,那么这个路由器可以将Internet上所有节点的信息都存储,或者它也可以将所有DS1串行链路外的非本地的信息都不存储。也就是说路由器没有在它的路由表中存储任何有关数据“包”要寻找的非本地网络目的地的信息,而是将这些“包”发送到串行链路另一端的路由器,由这个路由器来提供必要的信息。我们常把像本例中我们所说的在串行DS1链路另一端的路由器称为“Gateway of Last Resort”。这种简单的小把戏可以替路由表节省30个数量级的条目。路由信息没有必要被过于频繁地在路由器之间交换。通常路由表中的搅拌器给任何路由器所能提供的贫乏的内存和CPU施加了许多不必要的压力。信息的复制不应该影响路由器的转发操作。尽管没有必要每毫秒都刷新路由表,当然也不能每隔一个星期才刷新一次路由表。路由的一重要的目标就是为主机提供能够准确反映当前网络状态的一张路由表。
路由器最重要的操作是将接收的包发送到正确的路径。未经路由的包可能会导致数据丢失。而路由表的不一致将会导致路由环路并使某个数据包在两个相邻的界面之间被循环发送。
人们十分希望所有的路由器都能有快速的收敛性。收敛性可以被非正式地定义为计量所有路由器获得一致的网络视图的速度的单位。人们希望有极小的收敛时间,因为如此网络上的每个路由器即使在网络拓扑(即网络视图)被严重改变的情况下也能准确地反映当前的网络拓扑。当网络拓扑被改变时,每个路由器必须传输数据以帮助其它路由器来收敛出正确的网络视图。但是在刷新路由表时快速收敛也存在着它的问题。如果一个链路在迅速地振动(一会儿断开,一会儿合上),它会产生大量的安装和撤销的请求。这个链路最终将会耗尽网络上每个路由器的资源,因为其它路由器被强迫快速安装或撤消这个路由。因此,即使快速收敛是路由协议的目标,它也不是所有网络难题的万能药。
距离矢量路由
距离矢量路由协议向路由器的所有邻居分发一张记录形式为<目标,开销>的列表。这些记录为网络中的每个非本节点的其它节点赋上了开销这个值。值得注意的是这些信息只分发给源路由器的邻路由器。这里的邻路由器常常是物理上的,但在eBGP中也有适用于逻辑上的情况。开销的意思是从源路由器到目标节点的链路开销的总和。源路由器定期地刷新它的距离矢量记录并把记录分发给它的邻路由器。邻路由器将过去接收到的记录与现在的比较,如果过去的开销较小路由器将沿过去接收的距离矢量记录所指的路径发送输出。
许多距离矢量在实际使用时将会碰到无穷大的问题。例如,我们假设所有的链路都有一个开销单元并且每一对相邻节点之间的链路对应一个单元。如果路由器X连接到路由器Y并且路由器Y连接到路由器Z如图1,我们将会发现无穷大的问题。Y知道到Z要有1个单元的开销并且X知道到Z要2个单元的开销。假设链路YZ关闭,这条链路的开销就成为无穷大(如图2)。现在Y知道到达Z的开销是无穷大,它就将这个距离矢量路由发送给X。假设X这时发送给Y一个距离矢量路由声称它到达Z要2个单元的开销。现在Y就会认为它能通过X到达Z,它就发送给X一个刷新的距离矢量路由声称它到达Z的开销是3个单元(如
图3)。请注意X没有想到Y发给它的这个距离矢量路由是由它发送给Y的那个距离矢量路由推算来的。这就是距离矢量路由的严重缺陷,在它们未改进的结构中不包含路由障碍的信息。正如图例所示路由器将会不断改变到Z的路径信息。X和Y这两个路由器将会永远交换这个有关Z路由器的路径信息或者直到开销单元的值到达某一个事先约定的无穷大的值(例如,在RIP中是15)。
X- -Y- -Z
Y:1 X:1 X:2
Z:2 Z:1 Y:1
[ 图一 ]
X- -Y- * * -Z
Y:1 < Z:无穷大
Z:2 > X:1
[ 图二 ]
X- -Y- * * -Z
Z:无穷大(从 Y) > X:1
Y:1 < Z:3
[ 图三 ]
使用路径矢量路由就可以解决无穷大的问题。每个距离矢量也包括他所通过的路径(如图4)。路由器如果接收到一个路径矢量中包含自己的刷新记录,路由器将不会刷新该记录(如图5)。边界网关协议(The
Border Gateway Protocol)就使用了上述的方法以解决无穷大的问题。很明显如果你想使路由表包含路由器所传输的AS(Autonomous
Systems on the internet)路径信息,你将必须要向路由表中添入更多的信息。因此BGP的设计者决定牺牲一点路由器能够承受的起的存储空间和处理能力。
X- -Y- -Z
Y:1 (Y) X:1 (X) X:2 (YX)
Z:2 (YZ) Z:1 (Z) Y:1 (Y)
[ 图四 ]
X- -Y- * * -Z
Y:1 (Y) X:1 (X)
Z:2 (Y Z) Z:infinity
[ 图五 ]
另一个无穷大问题的解决之道是分离范围。主要思想是,如果邻路由器处在通往目的地的路径上的第二个节点,路由器就不向该邻路由器广播该路径。这个解决的办法可以用刚才的例子来说明。因为到Z的路径是从X通过Y再到Z,又因为Y是X的邻路由器,所以该路径从X广播时Y不被广播。
链路状态路由
一个路由器在使用链路状态路由时,它将会向网络上所有其它的路由器分发它到它邻路由器的距离。这就使每个路由器不用知道从某一源节点到目的节点的开销,该路由器就可以产生一张路由表。环路的问题不会出现,因为每个路由器都拥有整个网络的拓扑。主要思想是一个路由器产生有3个部分的记录包含源路由器(它自己)、邻路由器和到邻路由器的开销。因此,如果路由器A通过一条开销为3的链路连接到路由器B,并且路由器A通过一条开销为5的链路连接到路由器C,那么路由器将会向网络上所有的路由器广播链路状态包(LSPs)和。每个路由器将可以从接收到的LSPs中推算出一条通向目的节点的最短路径。
很显然,LSP是收敛过程中的一个组成部分。如果向网络中加入了错误的LSP。将会导致错误的路由信息(会使包沿比原来更长的路径传输)甚至产生路由黑洞。如果路由器C向其它路由器广播一条到他的邻路由器的路径信息,但当该链路断开时路由器C撤回了刚才的广播。不幸的是第二个LSP先到而第一个LSP先到,这时其它路由器的路由表就不能正确地反映网络的拓扑,而只能等到另一个正确的LSP来到。
为了解决这个问题,LSP引进了序列码。因此网络上所有的路由器都会以一些值作为起始值来初始化他们的序列码,然后在广播他们的LSP。这就解决了刚才的问题。
当使用序列码时会碰到序列码空间是有限这一问题。LSPs可以用的序列码都被设置成有限值。因此,当序列码到达最大值后,有要从最小值重新开始。这就给路由器在比较链路状态的当前记录和刷新记录时带来困难,因为序列码大的有优先权。为了解决这个问题,可以为LSP定义一个最大老化时间。也就是说,如果路由器在X段时间内没有收到刷新记录,它就将现有的记录丢弃而去等待更新的记录。要注意必须使到目的地的路径信息无效。例如,当路由器Y连向某一局网的链路断开时,路由器Y向路由器Z广播了这条链路的信息,这时局网中的路由器们此时还在认为它们仍可以到达Z。如果它们在最大老化时间内接收不到刷新记录,它们就会假设到Y的链路已经不可达。这样所有的路由器的路由表才会一致,路由器Y和Z也可以使用有限的序列码。
序列码的初始化也是这个问题中另一个重要的方面。假设路由器Y重起了,而此时网络又开始重新计算路径。当该路由器的链路状态协议开始工作,它必须知道重新初始化它的序列码为何值以使它和其它路由器保持一致。因此,它就广播一个带有特别的初始化集合的路径信息。这条记录会告诉其它路由器它需要那个序列码,并且其它路由器会告诉它。
路由技术介绍
STUN技术:
即串行隧道(serial tunnel)技术。该技术是将SNA的软件包从FEP
(3745/6)的串口出来送到路由器,经路由器打包成IP数据包,然后在
由路由器构成的网络中传输,至目标路由器后,再经该路由器拆包还原
成SNA的SDLC数据包送到SDLC接口设备。
CIP技术:
CIP即通道接口处理器(Channel Interface Processor)。它被
成一个插卡设备,可以方便地安装在CISCO7000系列的路由器中。CIP
通过直接与IBM大机的通道联接,为IBM大机提供多协议网间网的访问能力
。为大机提供TCP/IP、SNA、APPN流量,从而取消了对中间设备(诸如3172
互联控制器和IBM3745/6 FEP的需求。
DLSw技术:
是一种国际标准技术,可将SNA的软件包经IP方式打包后由IP网传输至I
P网上的任何一个路由器节点,再经路由器的串口以SDLC方式传送给SDLC接口
设备或经以太网接口(或TOKEN RING)接口设备传送给LLC2链路层协议传输SNA
数据包的SNA节点(如RS6000)。
MIP的一个E1接口:
可提供30条64Kbps的子通道,通道还可组合成N×64K的更大的子通道,
足以满足相当长时间内与地市行连接的带宽需求。
CiscoWorks:
网管应用是一系列基于SNMP的管理应用软件,可集成在SunNet Manager、
HP OpenView、IBM NetView/AIX、Windows95/NT平台上,提供的主要功能有
:
允许利用邻近的路由器远程地安装新的路由器
对Cisco的网际产品提供广泛的动态状态、统计和配置信息,直观地以图形方式
显示Cisco的设备,以及基本的故障排除信息。
审计和记录配置文件的改变,探测出网络上非授权配置改变
方便网络中相似路由器的配置
记录某一特定设备的联系人的详细信息
查看一个设备的状态信息,包括缓冲内存,CPU的负载,可用内存,正使用的接
口和协议
收集网络的历史数据,分析网络的流量和性能趋势,并以图形方式显示出来
建立授权检查程序以保护CiscoWorks应用和网络设备不受非授权用户的访问
尤其需要说明是,Cisco为很好地管理SNA互联网络,专门开发了用于I
BM网络管理的CiscoWorks Blue网管应用,除支持上述功能外,还增加了路由
器中SNA型的MIBs,支持NMVT和LU6.2管理方式,提供SNA管理相关功能,如:
知道网络中每个SNA资源的状态,并用来改变SNA资源状态
帮助检测与网络数据流的延迟有关的问题,可用来测量从主机到LU的响应时间.
边 界 路 由 是 指 什 么, 它 有 何 好 处?
边 界 路 由 系 统 体 系 结 构 是 一 种 令 广 域 网(WAN) 设 计 人 员 极 感 兴 趣 的 创 新 软 件 技 术, 这 种 技 术 可 以 极 大 地 简 化WAN 外 围 的 全 功 能 路 由。 因 此, 它 第 一 会 使 降 低 很 昂 贵 的WAN 维 护 费 用 成 为 现 实。 除 边 界 路 由 的 软 件 优 势 外, 边 界 路 由 还 可 在 不 限 制 所 支 持 的 协 议 的 前 提 下, 节 省 访 问 与 路 由 有 关 的 远 程 硬 件 费 用。
所 谓 边 界 路 由 是 将 标 准 的 路 由 软 件 看 作n 路 本 地 路 由, 并 将 软 件 中 的 局 域 网 部 分 扩 展 到 广 域 网。 这 将 导 致 远 程 路 由 器 采 用 一 套 全 新 的、 并 且 是 极 大 简 化 了 路 由 软 件 功 能。
换 言 之, 边 界 路 由 把 中 心 和 远 程 的 设 备 看 作 一 个 单 一 系 统, 而 解 决 路 由 问 题 的 这 一 创 新 提 供 了 只 配 置 单 个 接 口 的 所 有 优 点, 该 接 口 极 类 似 于 在 一 个 集 中 式 主 干 网LAN 环 境 中 的 中 心 设 备, 不 过 在 大 型WAN 网 络 中。 由 于 很 少 需 要 配 置 中 心 或 远 程 路 由 器 的WAN 端 口, 从 而 减 少 了 管 理 的 复 杂 性。
边 界 路 由 的 软 件 创 新 为 与 访 问 路 由 器 有 关 的 硬 件 优 势 又 增 加 了 简 单 和 廉 价 等 优 点, 但 它 并 不 限 制 在 远 程 点 对 路 由 协 议 的 选 择。
边 界 路 由 通 过 把 路 由 管 理 的 复 杂 性 转 移 到 一 个 路 由 管 理 中 心 来 简 化 对 路 由 器 的 管 理; 有 了 边 界 路 由, 网 络 管 理 员 能 够 迅 速 而 有 效 地 管 理 多 个 远 程 地 点。 如 果WAN 连 接 需 要 从 边 界 路 由 转 移 到 通 常 的 路 由, 那 么 软 件 升 级 工 具 便 可 以 快 速 地 把 一 台 远 程 边 界 路 由 设 备 转 换 为 一 台 通 常 的 路 由 器。 边 界 路 由 支 持 以 下 强 大 的 路 由 改 进 能 力:
· 数 据 压 缩, 它 允 许 在 低 速 线 路 上 运 载 更 大 的 信 息 流 量, 并 极 大 地 降 低WAN 成 本。
· 服 务 类, 实 现 数 据 优 先 化 以 便 加 速 关 键 应 用 的 处 理。
· 可 灵 活 设 置 的 过 滤, 以 提 供 网 络 安 全 和 流 量 控 制。
· 交 换 式 线 路 支 持, 包 括 支 持 帧 中 继、ISDN、 拨 号 线 路 以 及X.25, 以 降 低 远 程 办 公 室WAN 连 接 的 成 本。
· 故 障 恢 复 能 力, 当 路 由 器 检 测 到 主 线 路 故 障 时, 可 提 供 拨 号 备 份。
· 基 于 对 整 个 系 统 的 代 理 识 别 而 进 行 功 能 强 大 的 网 络 管 理。
边 界 路 由 技 术 通 过 将 大 多 数 路 由 器 操 作 集 中 起 来, 使 中 央 办 公 室 的 几 个 全 功 能 路 由 器, 能 够 为 网 络 外 围 的 低 成 本 路 由 器 提 供 服 务 的 方 法 来 降 低 购 买 设 备 的 费 用。
交换机的重要技术参数
下面我将对交换机的重要技术参数作一一介绍,方便网友在选购交换机时比较不同厂商的不同产品。每一个参数都影响到交换机的性能、功能和不同集成特性。
1、转发技术:交换机采用直通转发技术或存储转发技术?
2、延时:交换机数据交换延时多少?
3、管理功能:交换机提供给拥护多少可管理功能?
4、单/多MAC地址类型:每个端口是单MAC地址,还是多MAC地址?
5、外接监视支持:交换机是否允许外接监视工具管理端口、电路或交换机所有流量?
6、扩展树:交换机是否提供扩展树算法或其他算法,检测并限制拓扑环?
7、全双工:交换机是否允许端口同时收/发,全双工通讯?
8、高速端口集成:交换机是否提供高速端口连接关键业务服务器或上行主干?
下面逐项讨论各项参数:
1) 转发技术:(Forwarding Technologies)
转发技术是指交换机所采用的用于决定如何转发数据包的转发机制。各种转发技术各有优缺点。
直通转发技术:(Cut-through)
交换机一旦解读到数据包目的地址,就开始向目的端口发送数据包。通常,交换机在接收到数据包的前6个字节时,就已经知道目的地址,从而可以决定向哪个端口转发这个数据包。直通转发技术的优点是转发速率快、减少延时和提高整体吞吐率。其缺点是交换机在没有完全接收并检查数据包的正确性之前就已经开始了数据转发。这样,在通讯质量不高的环境下,交换机会转发所有的完整数据包和错误数据包,这实际上是给整个交换网络带来了许多垃圾通讯包,交换机会被误解为发生了广播风暴。总之,直通转发技术适用与网络链路质量较好、错误数据包较少的网络环境。
存储转发技术:(Store-and-Forward)
存储转发技术要求交换机在接收到全部数据包后再决定如何转发。这样一来,交换机可以在转发之前检查数据包完整性和正确性。其优点是:没有残缺数据包转发,减少了潜在的不必要数据转发。其缺点是:转发速率比直接转发技术慢。所以,存储转发技术比较适应与普通链路质量的网络环境。
碰撞逃避转发技术:(Collision-avoidance)
某些厂商(3Com)的交换机还提供这种厂商特定的转发技术。碰撞逃避转发技术通过减少网络错误繁殖,在高转发速率和高正确率之间选择了一条折衷的解决办法。
2) 延时:(Latency)
交换机延时是指从交换机接收到数据包到开始向目的端口复制数据包之间的时间间隔。有许多因素会影响延时大小,比如转发技术等等。采用直通转发技术的交换机有固定的延时。因为直通式交换机不管数据包的整体大小,而只根据目的地址来决定转发方向。所以,它的延时是固定的,取决于交换机解读数据包前6个字节中目的地址的解读速率。采用存储转发技术的交换机由于必须要接收完了完整的数据包才开始转发数据包,所以它的延时与数据包大小有关。数据包大,则延时大;数据包小,则延时小。
3) 管理功能:(Management)
交换机的管理功能是指交换机如何控制用户访问交换机,以及用户对交换机的可视程度如何。通常,交换机厂商都提供管理软件或满足第三方管理软件远程管理交换机。一般的交换机满足SNMP MIB I / MIB II统计管理功能。而复杂一些的交换机会增加通过内置RMON组(mini-RMON)来支持RMON主动监视功能。有的交换机还允许外接RMON探监视可选端口的网络状况。
4) 单/多MAC地址类型:(Single- versus Multi-MAC)
单MAC交换机的每个端口只有一个MAC硬件地址。多MAC交换机的每个端口捆绑有多个MAC硬件地址。单MAC交换机主要设计用于连接最终用户、网络共享资源或非桥接路由器。它们不能用于连接集线器或含有多个网络设备的网段。多MAC交换机在每个端口有足够存储体记忆多个硬件地址。多MAC交换机的每个端口可以看作是一个集线器,而多MAC交换机可以看作是集线器的集线器。每个厂商的交换机的存储体Buffer的容量大小各不相同。这个Buffer容量的大小限制了这个交换机所能够提供的交换地址容量。一旦超过了这个地址容量,有的交换机将丢弃其它地址数据包,有的交换机则将数据包复制到各个端口不作交换。
5) 外接监视支持:(Extendal Monitoring)
一些交换机厂商提供“监视端口”(monitoring port),允许外接网络分析仪直接连接到交换机上监视网络状况。但各个厂商的实现方法各不相同。
6) 扩展树:(Spanning Tree)
由于交换机实际上是多端口的透明桥接设备,所以交换机也有桥接设备的固有问题—“拓扑环”问题(Topology Loops)。当某个网段的数据包通过某个桥接设备传输到另一个网段,而返回的数据包通过另一个桥接设备返回源地址。这个现象就叫“拓扑环”。一般,交换机采用扩展树协议算法让网络中的每一个桥接设备相互知道,自动防止拓扑环现象。交换机通过将检测到的“拓扑环”中的某个端口断开,达到消除“拓扑环”的目的,维持网络中的拓扑树的完整性。在网络设计中,“拓扑环”常被推荐用于关键数据链路的冗余备份链路选择。所以,带有扩展树协议支持的交换机可以用于连接网络中关键资源的交换冗余。
7) 全双工:(Full Duplex)
全双工端口可以同时发送和接收数据,但这要交换机和所连接的设备都支持全双工工作方式。具有全双工功能的交换机具有以下优点:
1、高吞吐量(Throughput):两倍于单工模式通信吞吐量。
2、避免碰撞(Collision Avoidance):没有发送/接收碰撞。
3、突破长度限制(Improved Distance Limitation):由于没有碰撞,所以不受CSMA/CD链路长度的限制。通信链路的长度限制只与物理介质有关。
现在支持全双工通信的协议有:快速以太网、千兆以太网和ATM。
8) 高速端口集成:(High-Speed Intergration)
交换机可以提供高带宽“管道”(固定端口、可选模块或多链路隧道)满足交换机的交换流量与上级主干的交换需求。防止出现主干通信瓶颈。常见的高速端口有:
FDDI:应用较早,范围广。但有协议转换花费。
Fast Ethernet / Gigabit Ethernet:连接方便,协议转换费用少;但受到网络规模限制。
ATM:可提供高速交换端口;但协议转换费用大。
二、ATM交换(ATM Switch)
随着ATM交换技术的发展,现在企业网络中越来越多在高速网络主干或边缘网络采用ATM交换技术。根据现有企业计算的发展要求,适应数据网络交换的技术趋势,我们有必要了解ATM。ATM的数据交换由一个一个固定长度的ATM信元组成。每个ATM信元都是53字节长(5个字节长的信头和48字节长的信体)。信头包括虚拟通路(VP)和虚拟电路(VC)标识等地址信息。ATM根据VP和VC来确定信元的发送源地址和接收目的地址。
ATM交换机中的连接分为永久虚拟电路(PVC)和交换虚拟电路(SVC)两种。PVC是在源地址与目的地址之间的永久性硬件电路连接。SVC是根据实时交换要求建立的临时交换电路连接。两者的最大区别是:PVC不论是否有数据传输,它都保持连接;而SVC在数据传输完成后就自动断开。两者的应用区别是:在通常的ATM交换中,有一些PVC用于保持信号和管理信息通 讯,保持永久连接;而SVC主要用于大量的具体数据的传输。
ATM交换另一个特点是:ATM本身就是全双工的。发送数据和接收数据在不同虚拟电路中同时进行,保持双向高速通讯。为了满足以太网帧(Frames)与ATM信元(Cells)的相互通讯要求,ATM协议标准规定了针对数据应用的ATM适配层(ATM Adaption Layer),它工作在帧交换和信元交换之间,将以太帧的逻辑电路层的地址信息对应得转换为虚拟电路VC、虚拟通路VP地址信息,完成帧-信元转换和信元-帧转换工作。
ATM交换的广泛应用,也给交换网络的网络监视和管理带来了新的挑战。
三、 虚拟局域网(VLAN)
交换技术的发展,也加快了新的交换技术(VLAN)的应用速度。通过将企业网络划分为虚拟网络VLAN网段,可以强化网络管理和网络安全,控制不必要的数据广播。在共享网络中,一个物理的网段就是一个广播域。而在交换网络中,广播域可以是有一组任意选定的第二层网络地址(MAC地址)组成的虚拟网段。这样,网络中工作组的划分可以突破共享网络中的地理位置限制,而完全根据管理功能来划分。这种基于工作流的分组模式,大大提高了网络规划和重组的管理功能。
在同一个VLAN中的工作站,不论它们实际与哪个交换机连接,它们之间的通讯就好象在独立的集线器上一样。同一个VLAN中的广播只有VLAN中的成员才能听到,而不会传输到其他的 VLAN中去,这样可以很好的控制不必要的广播风暴的产生。同时,若没有路由的话,不同VLAN之间不能相互通讯,这样增加了企业网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。交换机是根据用户工作站的MAC地址来划分VLAN的。所以,用户可以自由的在企业网络中移动办公,不论他在何处接入交换网络,他都可以与VLAN内其他用户自如通讯。
VLAN可以是有混合的网络类型设备组成,比如:10M以太网、100 M以太网、令牌网、FDDI、CDDI等等,可以是工作站、服务器、集线器、网络上行主干等等。
VLAN的管理需要比较复杂的专门软件,它通过对用户、MAC地址、交换机端口号、VLAN号等管理对象的综合管理,来满足整个网络的VLAN划分、监视等功能,以及其他扩展管理功能。现在比较通用的VLAN的划分方法是基于MAC地址。但也有一些厂商的交换机提供更多的VLAN划分方法:MAC地址、协议地址、交换机端口、网络应用类型和用户权限等等。
用户在选择交换机的同时,应当仔细考察选购的交换机的VLAN功能,根据自己企业的实际需要,选择满足要求而且管理方便的交换机。同时,应当特别注意现在不同厂商的交换机的VLAN之间大多数是不兼容的。
帧 中 继 以 及 其 特 点
帧 中 继(Frame Relay) 是 一 种 网 络 与 数 据 终 端 设 备(DTE) 接 口 标 准。 由 于 光 纤 网 比 早 期 的 电 话 网 误 码 率 低 得 多, 因 此, 可 以 减 少X.25 的 某 些 差 错 控 制 过 程, 从 而 可 以 减 少 结 点 的 处 理 时 间, 提 高 网 络 的 吞 吐 量。 帧 中 继 就 是 在 这 种 环 境 下 产 生 的。 帧 中 继 提 供 的 是 数 据 链 路 层 和 物 理 层 的 协 议 规 范, 任 何 高 层 协 议 都 独 立 于 帧 中 继 协 议, 因 此, 大 大 地 简 化 了 帧 中 继 的 实 现。 目 前 帧 中 继 的 主 要 应 用 之 一 是 局 域 网 互 联, 特 别 是 在 局 域 网 通 过 广 域 网 进 行 互 联 时, 使 用 帧 中 继 更 能 体 现 它 的 低 网 络 时 延、 低 设 备 费 用、 高 带 宽 利 用 率 等 优 点。
帧 中 继 的 主 要 特 点 是: 使 用 光 纤 作 为 传 输 介 质,
因 此 误 码 率 极 低, 能 实 现 近 似 无 差 错 传 输, 减 少 了 进 行 差
错 校 验 的 开 销, 提 高 了 网 络 的 吞 吐 量; 帧 中 继 是 一 种 宽 带
分 组 交 换, 使 用 复 用 技 术 时, 其 传 输 速 率 可 高 达44.6Mbps。
但 是, 帧 中 继 不 适 合 于 传 输 诸 如 话 音、 电 视 等 实 时 信 息,
它 仅 限 于 传 输 数 据。数 据。
NAT———网络地址翻译
陈维义
随着Internet的飞速发展,网上丰富的资源产生着巨大的吸引力。接入Internet、访问Internet成为当今信息业最为迫切的需求。
但这受到IP地址的许多限制。首先,许多局域网在未联入Internet之前,就已经运行许多年了,局域网上有了许多现成的资源和应用程序,但它的IP地址分配不符合Internet的国际标准,因而需要重新分配局域网的IP地址,这无疑是劳神费时的工作;其二,随着Internet的膨胀式发展,其可用的IP地址越来越少,要想在ISP处申请一个新的IP地址已不是很容易的事了。这不仅仅是费用的问题,而是IP地址的现行标准IPv4决定的。当然,随着IPv6的出台,这个问题应当能够得到解决。但从IPv4到IPv6的升级不是一两天就能完成的。
NAT(网络地址翻译)能解决不少令人头疼的问题。它解决问题的办法是:在内部网络中使用内部地址,通过NAT把内部地址翻译成合法的IP地址,在Internet上使用。其具体的做法是把IP包内的地址域用合法的IP地址来替换。
NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT设备维护一个状态表,用来把非法的IP地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址发往下一级,这意味着给处理器带来了一定的负担。但这对于一般的网络来说是微不足道的,除非是有许多主机的大型网络。
需要注意的是,NAT并不是一种有安全保证的方案,它不能提供类似防火墙、包过滤、隧道等技术的安全性,仅仅在包的最外层改变IP地址。这使得黑客可以很容易地窃取网络信息,危及网络安全。
NAT有三种类型:静态NAT(staticNAT)、NAT池(pooledNAT)和端口NAT(PAT)。其中静态NAT设置起来最为简单,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而NAT池则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要,各种NAT方案都是有利有弊。
■使用NAT池
使用NAT池,可以从未注册的地址空间中提供被外部访问的服务,也可以从内部网络访问外部网络,而不需要重新配置内部网络中的每台机器的IP地址。例如,建立在NT+IIS服务器上的内部试验子网192.168.0.0,其网络地址属于B类保留地址。作为企业网的一个子网,其IP地址不分配给企业网上的设备而仅仅局限在试验子网的设备上。为了使企业网能访问到这个内部网,在网络上增加一条静态路径,使信息能回传给Cisco4700路由器。其中的路由器可以把内部网和企业网连接起来,使之能相互访问。在内部网中不要使用RIP协议,因为使用RIP后,内部网络相对外部来说变得不可见了。
这样,本地信息可以相互访问了,但由于192.168.0.0属于保留地址,故不能直接访问Internet。所以在路由器中设置一个NAT池,用来翻译来自内部网络的IP包,把它的IP地址映射成地址池(pooledaddresses)中的合法IP地址。那么,内部网可以访问Internet上的任何服务器,Internet上的任何主机也能通过TCP或UDP访问到内部网。
采用NAT池意味着可以在内部网中定义很多的内部用户,通过动态分配的办法,共享很少的几个外部IP地址。而静态NAT则只能形成一一对应的固定映射方式。该引起注意的是,NAT池中动态分配的外部IP地址全部被占用后,后续的NAT翻译申请将会失败。庆幸的是,许多有NAT功能的路由器有超时配置功能。例如在上述的Cisco4700中配置成开始15分钟后删除当前的NAT进程,为后续的NAT申请预留出外部IP地址。通过试验表明,一般的外部连接不会很长,所以短的时间阈值也可以接受。当然用户可以自行调节时间阈值,以满足各自的需求。
NAT池提供很大灵活性的同时,也影响到网络原有的一些管理功能。例如,SNMP管理站利用IP地址来跟踪设备的运行情况。但使用NAT之后,意味着那些被翻译的地址对应的内部地址是变化的,今天可能对应一台工作站,明天就可能对应一台服务器。这给SNMP管理带来了麻烦。一个可行的解决方案就是把划分给NAT池的那部分地址在SNMP管理平台上标记出来,对于这些不响应管理信号的地址不予报警,如同它们被关掉了一样。
■使用PAT
PAT在远程访问产品中得到了大量的应用,特别是在远程拨号用户使用的设备中。PAT可以把内部的TCP/IP映射到外部一个注册IP地址的多个端口上。PAT可以支持同时连接64500个TCP/IP、UDP/IP,但实际可以支持的工作站个数会少一些。因为许多Internet应用如HTTP,实际上由许多小的连接组成。
在Internet中使用PAT时,所有不同的TCP和UDP信息流看起来仿佛都来源于同一个IP地址。这个优点在小型办公室(SOHO)内非常实用,通过从ISP处申请的一个IP地址,将多个连接通过PAT接入Internet。实际上,许多SOHO远程访问设备支持基于PPP的动态IP地址。这样,ISP甚至不需要支持PAT,就可以做到多个内部IP地址共用一个外部IP地址上Internet。虽然这样会导致信道的一定拥塞,但考虑到节省的ISP上网费用和易管理的特点,用PAT还是很值得的。
■基于NAT的负载平衡
以上所谈论的均是关于使用NAT和PAT来把内部IP地址转换成外部合法的IP地址使用。下面介绍NAT的另一个运用:作为用于负载平衡的DNS系列服务器(DNSround-robin)的一个替代品。DNS系列服务器解决了多个IP地址共用一个域名的问题。它会在响应DNS申请时跳跃式地寻找可用的IP地址。达到的效果就是一个域名可以对应多个IP地址。这种功能可以应用在一个HTTP服务器群中,利用它可以平衡多个服务器的负载。但是这里还有一个问题,IP客户端会在本地缓冲DNS/IP地址解析,从而使它的后续的申请都会到达同一个IP地址,减弱了DNS系列服务器的作用。
使用基于NAT的负载平衡方案,则可以避免这个问题。路由器或其它NAT设备把需要负载平衡的多个IP地址翻译成一个公用的IP地址,每个TCP连接被NAT送到一个IP地址,而后续的TCP连接则被NAT送到下一个IP地址。真正实现了负载平衡。当然,基于NAT的负载平衡只能在NAT上实现,而不能在PAT上实现。
■安全问题
当NAT改变包的IP地址后,需要认真考虑这样做对安全设施带来的影响。
对于防火墙,它利用IP地址、TCP端口、目标地址以及其它在IP包内的信息来决定是否干预网络的连接。当使用了NAT之后,可能就不得不改变防火墙的规则,因为NAT改变了源地址和目的地址。
在许多配置中,NAT被集成在防火墙系统之中,提供访问控制和地址翻译的功能。不要把NAT设在防火墙之外,因为黑客可以轻易地骗过NAT,让NAT认为它是一个授权用户,从而进入网络。
若企业网中使用了VPN(虚拟专用网),并用IPSec进行加密安全保证,那么错误地设置NAT将会破坏VPN的功能。把NAT放在受保护的VPN内部,而不是在中间。因为NAT改变IP包内的地址域,而IPSec规定一些信息是不能被改变的。若IP地址被改变了,IPSec就会认为这个包是伪造的,拒绝使用。
虽然NAT带来了许多优越性,例如使现有网络不必重新编址、减少了ISP接入费用,还可以起平衡负载的作用,但NAT潜在地影响到一些网络管理功能和安全设施,这就需要谨慎地使用它。
基于NAT的混合型防火墙
(作者:刘玉岩、罗军舟 2000年04月04日 17:09)
传统防火墙分析
包过滤防火墙位于协议网络层,按照网络安全策略对IP包进行选择,允许或拒绝特定的报文通过。过滤一般是基于一个IP分组的有关域(IP源地址、IP目的地址、TCP/UDP源端口或服务类型和TCP/UDP目的端口或服务类型)进行的。基于IP源/目的地址的过滤,即根据特定组织机构的网络安全策略,过滤掉具有特定IP地址的分组,从而保护内部网络;基于TCP/UDP源/目的端口的过滤,因为端口号区分了不同的服务类型或连接类型(如SMTP使用端口25,Telnet使用端口23等),所以为包过滤提供了更大的灵活性。同时由于它是位于协议的网络层,所以效率较高;但是该防火墙所依靠的安全参数仅为IP报头的地址和端口信息,若要增加安全参数,增加对数据报文的处理,则势必加大处理难度,降低系统效率,故安全性较低。同时一般的包过滤还具有泄露内部网的安全数据信息(如拓扑结构信息)和暴露内部主机的所有安全漏洞的缺点,难以抵制IP层的攻击行为。
应用层防火墙是由一个高层的应用网关作为代理服务器,接受外来的应用连接请求,进行安全检查后,再与被保护的网络应用服务器连接,使得外部服务用户可以在受控制的前提下使用内部网络的服务。另外内部网络到外部的服务连接也可以受到监控。应用网关的代理服务实体将对所有通过它的连接作出日志记录,以便对安全漏洞进行检查和收集相关的信息。同时该实体可采取强认证技术,能对数据内容进行过滤,保证信息数据内容的安全,防止病毒以及恶意的Java Applet或ActiveX代码,具有较高的安全性;但是由于每次数据传输都要经过应用层转发,造成应用层处理繁忙,性能下降。
在对上述两种防火墙技术分析的基础上,我们设计和开发了基于网络地址转换(Network Address Translator, NAT)的复合型防火墙系统,它融合了代理技术的高性能和包过滤技术高效性的优点。
设计思想
代理技术造成性能下降的主要原因在于其在指定的应用服务中,传输的每一个报文都需代理主机转发,应用层的处理量过于繁重,改变这一状况的最理想的方案是让应用层仅处理用户身份鉴别的工作,而网络报文的转发由TCP层或IP层来完成。另一方面,包过滤技术仅仅是根据IP包中源及目的地址来判定一个包是否可以通过,而这两个地址是很容易被篡改和伪造的,一旦网络的结构暴露给外界后,就很难抵御IP层的攻击行为。
集中访问控制技术是在服务请求时由网关负责鉴别,一旦鉴别成功,其后的报文交互都直接通过TCP/IP层的过滤规则,无需象应用层代理那样逐个报文转发,这就实现了与代理方式同样的安全水平而处理量大幅下降,性能随即得到大大提高。另一方面,NAT技术通过在网关上对进出IP包源与目的地址的转换,实现过滤规则的动态化。这样,由于IP层将内部网与外部网隔离开,使得内部网的拓扑结构、域名以及地址信息对外成为不可见或不确定信息,从而保证了内部网中主机的隐蔽性,使绝大多数攻击性的试探失去所需的网络条件。
系统设计
图1给出了本防火墙系统的总体结构模型,由五大模块组成。
基于web的防火墙管理系统
| |
内部网 | 集中访问 临时访问 认证与访问 网络安全 | 外部网
| 控制模块 端口表 控制系统 监控系统 |
| |
| NAT模块 |
图1 防火墙系统结构模型
NAT模块依据一定的规则,对所有出入的数据包进行源与目的地址识别,并将由内向外的数据包中源地址替换成一个真实地址,而将由外向内的数据包中的目的地址替换成相应的虚拟地址。
集中访问控制(CAC)模块负责响应所有指定的由外向内的服务访问,通知认证访问控制系统实施安全鉴别,为合法用户建立相应的连接,并将这一连接的相关信息传递给NAT模块,保证在后续的报文传输时直接转发而无需控制模块干预。
临时访问端口表及连接控制(TLTC)模块通过监视外向型连接的端口数据动态维护一张临时端口表,记录所有由内向外的连接的源与目的端口信息,根据此表及预先配置好的协议集由连接控制模块决定哪些连接是允许的而哪些是不允许的,即根据所制定的规则(安全政策)禁止相应的由外向内发起的连接,以防止攻击者利用网关允许的由内向外的访问协议类型做反向的连接访问。
认证与访问控制系统是防火墙系统的关键环节,它按照网络安全策略负责对通过防火墙的用户实施用户的身份鉴别和对网络信息资源的访问控制,保证合法用户正常访问和禁止非法用户访问。
上述几种技术都属于网络安全的被动防范技术,为了更有效的遏止黑客的恶意攻击行为,该防火墙系统采用主动防范技术——网络监控技术。网络监控系统负责截取到达防火墙网关的所有数据包,对信息包报头和内容进行分析,检测是否有攻击行为,并实时通知系统管理员。
基于WEB的防火墙管理系统负责对防火墙系统进行远程的管理和配置,管理员可在任何一台主机上控制防火墙系统,增加系统利用的灵活性。
系统的实现
1、 网络地址转换模块
NAT模块是本系统核心部分,而且只有本模块与网络层有关,因此,这一部分应和Unix系统本身的网络层处理部分紧密结合在一起,或对其直接进行修改。本模块进一步可细分为包交换子模块、数据包头替换子模块、规则处理子模块、连接记录子模块与真实地址分配子模块及传输层过滤子模块。
2、集中访问控制模块
集中访问控制模块可进一步细分为请求认证子模块和连接中继子模块。请求认证子模块主要负责和认证与访问控制系统通过一种可信的安全机制交换各种身份鉴别信息,识别出合法的用户,并根据用户预先被赋予的权限决定后续的连接形式。连接中继子模块的主要功能是为用户建立起一条最终的无中继的连接通道,并在需要的情况下向内部服务器传送鉴别过的用户身份信息,以完成相关服务协议中所需的鉴别流程。
3、临时访问端口表
为了区分数据包的服务对象和防止攻击者对内部主机发起的连接进行非授权的利用,网关把内部主机使用的临时端口、协议类型和内部主机地址登记在临时端口使用表中。由于网关不知道内部主机可能要使用的临时端口,故临时端口使用表是由网关根据接收的数据包动态生成的。对于入向的数据包,防火墙只让那些访问控制表许可的或者临时端口使用表登记的数据包通过。
4、 认证与访问控制系统
认证与访问控制系统包括用户鉴别模块和访问控制模块,实现用户的身份鉴别和安全策略的控制。其中用户鉴别模块采用一次性口令(One-Time Password)认证技术中Challenge/Response机制实现远程和当地用户的身份鉴别,保护合法用户的有效访问和限制非法用户的访问。它采用Telnet和WEB两种实现方式,满足不同系统环境下用户的应用需求。访问控制模块是基于自主型访问控制策略(DAC),采用ACL的方式,按照用户(组)、地址(组)、服务类型、服务时间等访问控制因素决定对用户是否授权访问。
5、 网络安全监控系统
监控与入侵检测系统作为系统端的监控进程,负责接受进入系统的所有信息,并对信息包进行分析和归类,对可能出现的入侵及时发出报警信息;同时如发现有合法用户的非法访问和非法用户的访问,监控系统将及时断开访问连接,并进行追踪检查。
6、基于WEB的防火墙管理系统
管理系统主要负责网络地址转换模块、集中访问控制模块、认证与访问控制系统、监控系统等模块的系统配置和监控。它采用基于WEB的管理模式,由于管理系统所涉及到的信息大部分是关于用户帐号等敏感数据信息,故应充分保证信息的安全性,我们采用JAVA APPLET技术代替CGI技术,在信息传递过程中采用加密等安全技术保证用户信息的安全性。
防火墙系统的应用
防火墙型安全保障技术假设被保护网络具有明确定义的边界和服务,并且网络安全的威胁仅来自外部网络,进而用防火墙型技术通过监测、限制、更改跨越防火墙的数据流及通过尽可能地对外部网络屏蔽有关被保护网络的信息、结构来实现对网络的安全保护。由此可见,防火墙型系统比较适合相对独立、与外部网络互联途径有限并且网络服务种类相对集中单一的网络系统。常见的Internet与Intranet的连接即属于此类。但防火墙技术原理上对来自网络内部的安全威胁不具备防范作用,并且常常需要有特殊的、相对较为封闭的网络拓扑结构来支持,因而对网络安全功能的加强往往是以网络服务的灵活性、多样性和开放性为代价的,并且需要较大的网络管理开销。由于防火墙技术的实施相对简单,因此是目前应用较广的网络安全技术。但防火墙技术的基本特征及运行代价局限了它在开放型的大规模网络系统中应用的潜力,并且由于它只在网络边界上具有安全保障功能,其实用范围相对有限,安全保障的程度也不易度量和维持在稳定水平,因而防火墙型安全系统往往是针对特定需要而专门设计实施的系统,是一类短期内实用的解决方案。
防火墙技术及产品介绍
(作者:张慷、谭平 2000年04月04日 17:06)
防火墙是目前主要的网络安全设备。防火墙通常使用的安 全控制手段主要有包过滤、状态检测、代理服务。下面,我们将介绍这些手段的工作机理及特点,并介绍一些防火墙的主流产品。
防火墙技术
包过滤
包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。包过滤的最大优点是对用户透明,传输性能高。但由于安全控制层次在网络层、传输层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。
使用包过滤技术时,要特别注意一般应用的数据通信大多都是双向的,在设置过滤规则时必须予以考虑。
状态检测
与包过滤相类似的、更为有效的安全控制方法是状态检测。对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。这种方式的好处在于:由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包(通常是大量的数据包)通过散列算法,直接进行状态检查,从而使得性能得到了较大提高;而且,由于状态表是动态的,因而可以有选择地、动态地开通1024号以上的端口,使得安全性得到进一步地提高。
此外,部分状态检测型防火墙还支持多种用户认证方式,提供了应用级的安全认证手段,增加了某些应用的代理功能,使得安全控制力度更为细致。
代理服务
代理服务是运行于内部网络与外部网络之间的主机(堡垒主机)之上的一种应用。当用户需要访问代理服务器另一侧主机时,对符合安全规则的连接,代理服务器会代替主机响应,并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后,内部主机同外部主机之间的通信将通过代理程序将相应连接映射来实现。对于用户而言,似乎是直接与外部网络相连的,代理服务器对用户透明。由于代理机制完全阻断了内部网络与外部网络的直接联系,保证了内部网络拓扑结构等重要信息被限制在代理网关内侧,不会外泄,从而减少了黑客攻击时所需的必要信息。
代理服务器的应用也受到诸多限制。首先是当一项新的应用加入时,如果代理服务程序不予支持,则此应用不能使用。解决的方法之一是自行编制特定服务的代理服务程序,但工作量大,而且技术水平要求很高,一般的应用单位无法完成。其次是处理性能远不及状态检测高。
防火墙主流产品介绍
目前,防火墙产品也主要分为两大类:基于代理服务方式的和基于状态检测方式的。下面列举一些主流产品,从其各自的特点、功能、处理性能及操作复杂程度等方面进行比较,并将实际使用中遇到的一些问题提出来,供大家借鉴。
Check Point Firewall-1 4.0
Check Point Firewall-1 4.0是基于Unix、WinNT平台上的软件防火墙,属状态检测型,综合性能较为优秀。首先,其安全控制力度很高,尽管是状态检测型防火墙,但是它可以进行基于内容的安全检查,如对URL进行控制;对某些应用,它甚至可以限制可使用的命令,如FTP。其次,它不仅可以基于地址、应用设置过滤规则,而且还提供了多种用户认证机制,如User Authentication、Client Authentication和Session Authentication,使安全控制方式更趋灵活。再次,Check Point Firewall-1是一个开放的安全系统,提供了API,用户可以根据需要配置安全检查模块,如病毒检查模块。此外,Check Point Firewall-1还提供了可安装在Bay路由器、Lannet交换机的防火墙模块。
由于Check Point Firewall-1采用的是状态检测方式,因而处理性能也较高,对于10BaseT接口,完全可以达到线速,号称可达80Mbps。需要指出的是Check Point Firewall-1的处理性能相当程度上取决于硬件平台的配置,主要是硬件平台的内存和CPU的处理速度。
除此以外,Check Point Firewall-1的用户管理方式也是非常优秀的。它是集中管理模式,即用户可以通过GUI同防火墙管理模块(Check Point Firewall Management Module)通信,维护安全规则;而防火墙管理模块则负责编译安全规则,并下载到各个防火墙模块中。对于用户而言,管理线条十分清晰,不易疏漏,修改方便。同时,Check Point Firewall-1管理界面的功能丰富,不仅可以对AXENT Raptor、Cisco PIX等防火墙进行管理,还可以在管理界面中对Bay、Cisco、3Com等公司的路由器进行ACL设置(要单独购买License,价格很贵)。
Check Point Firewall-1存在的问题主要体现在其底层操作系统对路由的支持(这在后面还会谈到)以及不具备ARP Proxy等方面,特别是后者,在做地址转换(NAT)时,不仅要配置防火墙,还要对操作系统的路由表进行修改,大大增加了NAT配置的复杂程度。
Cisco PIX
Cisco PIX是硬件防火墙,也属状态检测型。由于它采用了专用的操作系统,因此减少了黑客利用操作系统BUG攻击的可能性。就性能而言,Cisco PIX是同类产品中最好的,对100BaseT可达线速。因此,对于数据流量要求高的场合,如大型的ISP,应该是首选。
与Check Point防火墙管理模块类似,Cisco公司同样提供了集中式的防火墙管理工具Cisco Security Policy Manager,但在对第三方厂商产品的支持、日志管理、事件管理等方面没有Check Point防火墙管理模块那么强劲。除此之外,还可以通过命令行方式或是基于Web的命令行方式对PIX进行配置,但这种方式不支持集中管理模式,必须对每台设备单独进行配置。而且,配置复杂的过滤规则是相当麻烦的,特别是当需要前插一条安全规则时,后面的所有过滤规则都得先擦除,再重写。
AXENT Raptor
与Check Point Firewall-1和PIX不同,Raptor完全是基于代理技术的软件防火墙,它是代理服务型防火墙中的佼佼者。这主要体现在,相对于其他代理型防火墙而言,可支持的应用类型多;相对于状态检测型防火墙而言,由于所采用的技术手段不同,使得Raptor在安全控制的力度上较上述产品更加细致。
Raptor防火墙甚至可以对NT服务器的读、写操作进行控制,并对SMB(Server Message Block)进行限制。对Oracle数据库,Raptor还可以作为SQL Net的代理,从而对数据库操作提供更好的保护。Raptor防火墙的管理界面也相当简单。
显然,由于Raptor防火墙所采用的技术,决定了其处理性能较前面两种防火墙低。而且,对于用户新增的应用,如果没有相应的代理程序,那么就不可能透过防火墙。在这一点上,不如前两者灵活。
DPT技术及其应用
——适应光纤网络和IP业务发展的新技术
□佘其炯
目前通信业务传输的情况是这样的。一方面,光纤传输正在快速发展并不断走向应用。光纤传输由PDH(准同步数字系列)走向SDH(同步数字序列),155Mb/s、622Mb/s、2.5Gb/s等SDH系列设备已经大量采用;DWDM(密集波分复用)技术更进一步经济有效地增加了光纤容量,从2×2.5Gb/s、4×2.5Gb/s、8×2.5Gb/s直到16×2.5Gb/s,而且,n×10Gb/s、n×20Gb/s、n×40Gb/s的DWDM系列正在开发并逐步进入市场。
另一方面,由于Internet的迅速发展,IP向传统电信业务的渗透和传统电信业务与IP融合的步伐也正大大地加快。传统的电路交换技术由于不是针对基本分组的业务、其复杂的时分复用方法、语音编码和64kb/s的交换速率等已不能适应未来以数据业务量为主的网络要求。因此,基于IP的分组网应运而生,IPoverATM、IPoverSDH和IPoverWDM等纷纷涌现。IP业务正以指数速率迅速增长。这其中的主要原因是:Internet和企业Intranet网使用的强劲增长;不断新兴的IP业务的推出,如Voice(话音)overIP(VOIP)及多点广播业务等;采用XDSL和CableModem(电缆调制解调器)等经济有效的宽带住宅接入网的发展。
正是由于IP的不断发展,为通信提出了许多新的需求,主要如下:
适应IP业务量和光纤带宽的增长需求,即使拥塞的情况下也能保持最大的带宽利用率;在节点数量,以及节点的距离等方面提供大规模的环形拓扑,例如大城市环,广城网环以及大楼内的环等;节点间的流量公平处理机制,并防止操作运行中止;提供不同带宽和时延需求的多种业务等级;迅速恢复传输媒体故障和节点故障的手段;即插即用的操作,能以最小的配置和设置移开和恢复环形节点。
为了适应光纤网络及IP业务发展所提出的新的需求,最近Cisco最新推出的DPT——(动态分组传送)技术,其独特的功能将有可能成为新一代的传送技术。
什么是DPT
DPT是新一代的,采用优化的动态分组(或称包)的传送技术。DPT吸收当前SONET(同步光纤网)/SDH的优点,克服其缺点,把充分利用带宽,IP的丰富功能,以及光环自愈等有效地集合起来,在现有的光纤网络上提供最经济与有效的服务。
DPT的主要特点如下:
采用分组环解决方案充分利用带宽复用功能,如在大的传输信道上的统计复用,以及空间再利用技术等。带宽可由155Mb/s扩展到10Gb/s以上。
比TDM的SONET/SDH设备和分/插复用器(ADM)等组网经济便宜。
新的即插即用的综合网络管理功能,大大节省了传统的交换和传输网络网管配置及管理费用,并大大提高了效率。
DPT的基本概况
1.充分利用带宽
传统的SONET/SDH环有专门的保护时隙,这样在任何时候都要保留环上带宽的一半。SONET/SDH环采用TDM技术。设置点到点的带宽连接,而不论是否在使用。为了克服上述缺点,Cisco的分组优化及先进的光纤传输技术充分利用最新的MAC(媒介接入控制)层协议——空间再利用协议(SRP);以及两种专用的算法——SRP公平机制算法(SRP-fa)和智能保护交换(IPS)。
(1)DPT环
DPT环有二个相反路由的环,每个环都能同时传送数据和控制分组(图1)。如果一组数据在一根光纤的一个方向发送数据(下行),并在另一个光纤环的反向环路上发送控制分组(上行)。这样,DPT最大地利用了动态分组传输的带宽,并加快了配合带宽利用和自愈等目的的控制信号的传送。
(2)DPT的SRP
SRP的特点是接收端卸分组(包)操作。通常的数据环技术,如FFDI或令牌环由发送源卸下分组。例如,各分组(所用的带宽)在发送源不拿开前总是环绕环运行的。SRP则采用目的地卸下分组的方式,在目的地的节点上把分组从环上卸下,而在环上其它段的全部频带均仍可被利用。由于每个环上的节点都可以同时发送分组到环上,因而使环上的带宽利用率最高。当DPT环在4,5,6及A路由器间的业务量很大时,与此同时,在1,2,3和B路由器间的业务流量仍可以不受影响地分开地正常运行。可以说,空间再利用技术方便地提供了二倍带宽的复用。
(3)SRP公平机制(SRP-fa)
SRP公平机制(图2)的功能有:
全环公平的处理。通过控制送到环上分组的速率(时间),使环上的分组信息(发送分组或过路分组)每个节点均可分平地享用带宽,并防止出现运行中断和时延过大等现象。
优化的局部应用。环上的节点充分利用环上的空间再利用性能,优点局部的利用。
可伸缩性的发展。SRP-fa可处理环上高达128个节点的路由器,可以广域地运行从OC-48c/STM-16c到OC-192c/STM-64c的高速率。
(4)统计复用
DPT环和TDM环不一样。DPT无时隙和专用频宽或设置连接等。DPT的统计复用,可弹性地处理突发性业务。
(5)高度的弹性和恢复功能
DPT采用IPS进行预防性的性能监测,迅速自愈,以及在环上节点或光纤设备发生故障时的及时恢复。
2.灵活的传输方式
DPT利用SONET/SDH帧可在未用的光纤对,WDM和SONET/SDH环或点到点的传输。DPT也可在混合环境传送。例如在DPT环上,同时可有一些节点连到未用的光纤对,有一些节点连到SONET/SDH,有一些连到WDM。
IP业务开始时可以利用SONET/SDH的空余容量,当IP业务不断增加时,随后可以很快地转到采用在未用的光纤对或WDM设备上的分组传送。
3.可用于各种光纤
(1)用于业务提供点内连接的多模。
(2)业务提供点间和地区间的单模中距离和长距离的MAN和WAN应用。
(3)长距离DPT环,在环上可以把CiscoIP再生中继器和SONET/SDH再生中继器组合在一起应用。
4.经济的设备组成
通常不同的堆栈用来在光纤上传送高速的IP,堆栈层数的减少将会节省开销及投资,最大地利用带宽,并使设备配置简化,经济,以及方便了操作,故障检测及分析,提高了网络规划,设计与网络恢复的水平。DPT的设备组成正是朝这个方向发展的。
5.分组的优先级
DPT的数据分组可分为高优先级及低优先级分组。低优先级分组获得环上的最佳处理。高优先级分组则可获得优先的处理及合适的时延,抖动控制或带宽保证等服务。
6.即插即用的操作
如前所述,即插即用的操作是DPT主要特点之一。它和以往的数据环或城域环技术(如FDDI,SONET/SDH等)不同,DPT不需要为配置和设置需要冗长的过程。其自动处理的功能是:独特的,永久的MAC地址分配;IPS程序迅速地插入新节点及从环上移开现有节点;IPS程序对环上发生的事件自动进行自愈处理(环绕回或去掉环绕回);自动的拓扑恢复,ARP(寻址处理协议),信息传播的路由选择程序,以及动态分组路径选择等。
7.网络管理
DPT提供了一个全面,综合,基于SNMP的网络管理,网络包括分组交换(路由器)和分组传送(路由器和IP再生中继器)等网络部件的管理。而目前现有的网管,为管理路由器网络及传输网络却需求分开的,昂贵的管理技术和过程。(图3)DPT网络管理的主要功能是:具有事件,告警,当前和历史的近端及远端性能监测信息的RFC15951SONET/SDHMIB(管理基础信息);为监测,调整和环上业务设计用的MAC分组计数器;为环上路由和状态信息的节点,逐个地观察的MIB拓扑。
DPT的应用
1.提供业务提供者(PoP)内的连接
传统的业务提供者内的连接通常采用FDDI环,FDDI,ATM或快速以太网的交换,以及点到点的PoS(销售点)。其主要缺点是设备组成复杂,网络部件较多,频带利用率不高,以及负荷平衡等问题。
有线电视网经千兆比交换路由器GSR接至Internet骨干网,传输实时的VideoOverIP业务。其中有的GSR尚与web/介质高速缓冲存储器服务器连接。
4.电视传输分配应用
DPT环上的GSR节点可以送入电视节目及送出电视节目给用户。
5.城市IP接入环
DPT环可提供在商业楼,办公楼,居民楼,郊区商业区等的多个接入。大楼内的路由器将提供多个大楼用户的高宽带IP业务,包括VPN(虚拟专用网),Internet接入,以及由IP业务提供者提供的低成本VoiceOverIP及VideoOverIP业务等。
6.校园网应用
DPT环可为校园网提供从FDDI环过渡到楼内骨干网和数据中心的连接,并保持自愈环等优点。
7.综合的增值业务网应用
DPT环的增值业务主要有:
VOIP和VideoOverIP业务。DPT环集合了高带宽,线路速率处理,优先级安排,以及第三层IPCoS(服务等级)连网,以提供优质的实时业务,满足话音和视频所需的时延和抖动控制要求。
保护业务。业务提供者可充分利用优质的预防性性能监测,保护倒换,以及IPS功能的快速业务恢复。
IPVPN和管理带宽业务。DPT环提供多址IPVPN业务,大楼间宽频带连接,重要的应用,高速的Internet接入,以及基于MAC的安全的地址过滤。
DPT环还提供了从SONET/SDH管理频带业务的最佳升级,为业务提供者提供较低的基础设施费用,以及为大公司用户提供灵活的,便宜的宽带分组传输。