【计算机网络】知识梳理（四）网络层

4.1网络层提供的两种服务

在计算机网络领域，网络层应该向运输层提供怎样的服务(“面向连接”还是“无连接”)曾引起了长期的争论。
争论焦点的实质就是:在计算机通信中，可靠交付应当由谁来负责?是网络还是端系统?
 

一种观点:让网络负责可靠交付

这种观点认为，应借助于电信网的成功经验，让网络负责可靠交付,计算机网络应模仿电信网络，使用面向连接的通信方式。
通信之前先建立虚电路(Virtual Circuit),以保证双方通信所需的一切网络资源。
如果再使用可靠传输的网络协议，就可使所发送的分组无差错按序到达终点，不丢失、不重复。

虚电路服务

 

虚电路表示这只是一条逻辑上的连接，分组都沿着这条逻辑连接按照存储转发方式传送，而并不是真正建立了一条物理连接。请注意，电路交换的电话通信是先建立了一条真正的连接。因此分组交换的虚连接和电路交换的连接只是类似，但并不完全一样。

另一种观点:网络提供数据报服务

互联网的先驱者提出了一种崭新的网络设计思路。
网络层向上只提供简单灵活的、无连接的、尽最大努力交付的数据报服务
网络在发送分组时不需要先建立连接。每一个分组(即IP数据报)独立发送，与其前后的分组无关(不进行编号)。
网络层不提供服务质量的承诺。即所传送的分组可能出错、丢失、重复和失序(不按序到达终点)，当然也不保证分组传送的时限。

由于传输网络不提供端到端的可靠传输服务，这就使网络中的路由器可以做
得比较简单，而且价格低廉(与电信网的交换机相比较)。
如果主机(即端系统)中的进程之间的通信需要是可靠的，那么就由网络的主机中的运输层负责可靠交付(包括差错处理、流量控制等)
采用这种设计思路的好处是:网络的造价大大降低，运行方式灵活，能够适应多种应用。
互连网能够发展到今日的规模，充分证明了当初采用这种设计思路的正确性。

虚电路和数据报服务对比

4.2网际协议IP

网际协议IP是TCP/IP体系中两个最主要的协议之一。
与IP协议配套使用的还有三个协议:
1.地址解析协议ARP (Address Resolution Protocol)
2.网际控制报文协议ICMP (Internet Control Message Protocol)
3.网际组管理协议IGMP (Internet Group Management Protocol)

 

将网络互相连接起来要使用一-些中间设备。
中间设备又称为中间系统或中继(relay)系统。
有以下五种不同的中间设备:
1.物理层中继系统:转发器(repeater)。
2.数据链路层中继系统:网桥或桥接器(bridge)。
3.网络层中继系统:路由器(router)。
4.网桥和路由器的混合物:桥路器(brouter)。
5.网络层以上的中继系统:网关(gateway)。
当中继系统是转发器或网桥时，一般并不称之为网络互连，因为这仅仅是把一个网络扩大了，而这仍然是一个网络。
网关由于比较复杂，目前使用得较少。
网络互连都是指用路由器进行网络互连和路由选择。
由于历史的原因，许多有关TCP/IP的文献将网络层使用的路由器称为网关。

所谓虚拟互连网络也就是逻辑互连网络，它的意思就是互连起来的各种物理网络的异构性本来是客观存在的，但是我们利用IP协议就可以使这些性能各异的网络从用户看起来好像是一个统一的网络。使用IP协议的虚拟互连网络可简称为IP网。使用虚拟互连网络的好处是:当互联网上的主机进行通信时，就好像在一个网络上通信一样，而看不见互连的各具体的网络异构细节。如果在这种覆盖全球的IP网的上层使用TCP协议，那么就是现在的互联网(Internet)。
 

如果我们只从网络层考虑问题，那么IP数据报就可以想象是在网络层中传送。 

4.2.2分类的IP地址 

我们把整个互联网看成为一个单一的、抽象的网络。
IP地址就是给每个连接在互联网.上的主机(或路由器)分配一个在全世界范围是唯一的32位的标识符。
IP地址现在由互联网名字和数字分配机构ICANN (InternetCorporation for Assigned Names and Numbers)进行分配。

分类的IP地址。这是最基本的编址方法，在1981年就通过了相应的标准协议。
子网的划分。这是对最基本的编址方法的改进，其标准[RFC 950]在1985年通过。
构成超网。这是比较新的无分类编址方法。1993年提出后很快就得到推广应用。

将IP地址划分为若干个固定类。
每一类地址都由两个固定长度的字段组成，其中一个字段是网络号net-id,它标志主机(或路由器)所连接到的网络，而另一个字段则是主机号host-id,它标志该主机(或路由器)。
主机号在它前面的网络号所指明的网络范围内必须是唯一的。
由此可见，一个IP地址在整个互联网范围内是唯一的。

 

点分十进制表示法 

 2.常用的三种类别的IP地址

一般不使用的特殊的 IP地址

 

IP地址的一些重要特点

(1) IP地址是一种分等级的地址结构。 分两个等级的好处是:
第一，IP地址管理机构在分配IP地址时只分配网络号，而剩下的主机号则由得到该网络号的单位自行分配。这样就方便了IP地址的管理。
第二，路由器仅根据目的主机所连接的网络号来转发分组(而不考虑目的主机号)，这样就可以使路由表中的项目数大幅度减少，从而减小了路由表所占的存储空间。

(2)实际上IP地址是标志一个主机(或路由器)和一条链路的接口。
●当一个主机同时连接到两个网络上时，该主机就必须同时具有两个相应的IP地址，其网络号net-id必须是不同的。这种主机称为多归属主机(multihomed host)。
●由于一个路由器至少应当连接到两个网络(这样它才能将IP数据报从一个网络转发到另-个网络)，因此-个路由器至少应当有两个不同的IP地址。

(3)用转发器或网桥连接起来的若3F个局域网仍为一个网络，因此这些局域网都具有同样的网络号net-id。
(4)所有分配到网络号net-id的网络，无论是范围很小的局域网，还是可能覆盖很大地理范围的广域网，都是平等的。

 

4.2.3 IP地址与硬件地址

 

 

 

4.2.4地址解析协议ARP

 

4.2.5 IP 数据报的格式

 

4.2.6 IP层转发分组的流程

 

路由器分组转发算法

1.从数据报的首部提取目的主机的IP地址D,得出目的网络地址为N。
2.若网络N与此路由器直接相连，则把数据报直接交付目的主机D;否则是间接交付,执行(3)。
3.若路由表中有目的地址为D的特定主机路由，则把数据报传送给路由表中所指明的下一跳路由器;否则，执行(4)。
4.若路由表中有到达网络N的路由，则把数据报传送给路由表指明的下一跳路由器;否则，执行(5)。
5.若路由表中有一个默认路由，则把数据报传送给路由表中所指明的默认路由器;否则，执行(6)。
6.报告转发分组出错。

4.3划分子网和构造超网

4.3.1划分子网

1.从两级IP地址到三级IP地址

在ARPANET的早期，IP地址的设计确实不够合理:
(1) IP地址空间的利用率有时很低。
(2)给每一个物理网络分配一-个网络号会使路由表变得太大因而使网络性能变坏。
(3)两级的IP地址不够灵活。

三级IP地址

从1985年起在IP地址中又增加了一个“子网号字段”,使两级的IP地址变成为三级的IP地址。
这种做法叫做划分子网(subnetting).
划分子网己成为互联网的正式标准协议。

划分子网的基本思路

凡是从其他网络发送给本单位某个主机的IP数据报，仍然是根据IP数据报的目的网络号net-id,先找到连接在本单位网络.上的路由器。然后此路由器在收到IP数据报后，再按目的网络号net-id 和子网号subnet-id找到目的子网。最后就将IP数据报直接交付目的主机。

当没有划分子网时，IP地址是两级结构。划分子网后IP地址就变成了3级结构。划分子网只是把IP地址的主机号host-id这部分进行再划分，而不改变IP地址原来的网络号net-id。

划分成3级结构的优点：
1.减少了IP地址的浪费
2.使网络的组织更加灵活
3.更便于维护和管理
划分子网纯属一个单位内部的事情，对外部网络透明，对外仍然表现为没有划分子网的一个网络。

2.子网掩码

●从一个IP数据报的首部并无法判断源主机或目的主机所连接的网络是否进行了子网划分。
●使用子网掩码(subnet mask)可以找出IP地址中的子网部分。
规则:
●子网掩码长度=32位
●子网掩码左边部分的一连串1,对应于网络号和子网号
●子网掩码右边部分的一连串0，对应于主机号

有固定长度子网和变长子网两种子网划分方法。
在采用固定长度子网时，所划分的所有子网的子网掩码都是相同的。虽然根据已成为互联网标准协议的RFC 950文档，子网号不能为全1或全0，但随着无分类域间路由选择CIDR的广泛使用，现在全1和全0的子网号也可以使用了，但一定要谨慎使用，确认你的路由器所用的路由选择软件是否支持全0或全1的子网号这种较新的用法。划分子网增加了灵活性，但却减少了能够连接在网络上的主机总数。

4.3.2使用子网时分组的转发

1.从收到的分组的首部提取目的IP地址D。
2.先用各网络的子网掩码和D逐位相“与”，看是否和相应的网络地址匹配。若匹配，则将分组直接交付。否则就是间接交付，执行(3)。
3.若路由表中有目的地址为D的特定主机路由，则将分组传送给指明的下一跳路由器;否则，执行(4)。
4.对路由表中的每一行， 将子网掩码和D逐位相“与”。若结果与该行的目的网络地址匹配，则将分组传送给该行指明的下一跳路由器;否则，执行(5)。
5.若路由表中有一个默认路由，则将分组传送给路由表中所指明的默认路由器;否则，执行(6)。
6.报告转发分组出错。

4.3.3无分类编址CIDR

CIDR最主要的特点

CIDR消除了传统的A类、B类和C类地址以及划分子网的概念，因而可以更加有效地分配IPv4的地址空间。
CIDR使用各种长度的"网络前缀”(network-prefix)来代替分类地址中的网络号和子网号。
IP地址从三级编址(使用子网掩码)又回到了两级编址。

CIDR使用“斜线记法”(slash notation),它又称为CIDR记法，即在IP地址面加上一个斜线"/"，然后写上网络前缀所占的位数(这个数值对应于三级编址中子网掩码中1的个数)。例如:220.78.168.0/24

前缀长度不超过23位的CIDR地址块都包含了多个C类地址。这些C类地址合起来就构成了超网。CIDR地址块中的地址数一定是2的整数次幂。网络前缀越短，其地址块所包含的地址数就越多。而在三级结构的IP地址中，划分子网是使网络前缀变长。CIDR的一个好处是:可以更加有效地分配IPv4的地址空间，可根据客户的需要分配适当大小的CIDR地址块。

2.最长前缀匹配

使用CIDR时，路由表中的每个项目由“网络前缀”和“下一跳地址”组成。在查找路由表时可能会得到不止一个匹配结果。应当从匹配结果中选择具有最长网络前缀的路由:最长前缀匹配(longest-prefix matching).网络前缀越长，其地址块就越小，因而路由就越具体(morespecific)。最长前缀匹配又称为最长匹配或最佳匹配。

3.使用二叉线索查找路由表

当路由表的项目数很大时，怎样设法减小路由表的查找时间就成为一个非常重要的问题。为了进行更加有效的查找，通常是将无分类编址的路由表存放在一种层次的数据结构中，然后自.上而下地按层次进行查找。这里最常用的就是二叉线索(binary trie)。IP地址中从左到右的比特值决定了从根结点逐层向下层延伸的路径,而二叉线索中的各个路径就代表路由表中存放的各个地址。为了提高二叉线索的查找速度，广泛使用了各种压缩技术。

4.4网际控制报文协议ICMP

为了更有效地转发IP数据报和提高交付成功的机会,在网际层使用了网际控制报文协议ICMP (Internet Control Message Protocol)。ICMP是互联网的标准协议。ICMP允许主机或路由器报告差错情况和提供有关异常情况的报告。但ICMP不是高层协议(看起来好像是高层协议，因为ICMP报文是装在IP数据报中，作为其中的数据部分)，而是IP层的协议。

4.4.1 ICMP报文的种类

ICMP报文的种类有两种，即ICMP差错报告报文和ICMP询问报文。ICMP报文的前4个字节是统一的格式，共有三个字段:即类型、代码和检验和。接着的4个字节的内容与ICMP的类型有关。

ICMP差错报告报文共有4种

终点不可达
时间超过
参数问题
改变路由(重定向) (Redirect)

4.5互连网的路由选择协议

4.5.1有关路由选择协议的几个基本概念

1.理想的路由算法

算法必须是正确的和完整的。
算法在计算上应简单。
算法应能适应通信量和网络拓扑的变化，这就是说，要有自适应性。
算法应具有稳定性。
算法应是公平的。
算法应是最佳的。

关于“最佳路由”
不存在一种绝对的最佳路由算法。
所谓"最佳”只能是相对于某-种特定要求下得出的较为合理的选择而已。
实际的路由选择算法，应尽可能接近于理想的算法。
路由选择是个非常复杂的问题
1.它是网络中的所有结点共同协调工作的结果。
2.路由选择的环境往往是不断变化的，而这种变化有时无法事先知道。

2.分层次的路由选择协议

自治系统AS (Autonomous System)
自治系统AS的定义:在单一的技术管理下的一组路由器，而这些路由器使用一种AS内部的路由选择协议和共同的度量以确定分组在该AS内的路由，同时还使用一种AS之间的路由选择协议用以确定分组在AS之间的路由。
现在对自治系统AS的定义是强调下面的事实:尽管一个AS使用了多种内部路由选择协议和度量，但重要的是一个AS对其他AS表现出的是一个单一的和一 致的路由选择策略。

内部网关协议IGP (Interior Gateway Protocol)
1.在一个自治系统内部使用的路由选择协议。
2.目前这类路由选择协议使用得最多，如RIP和OSPF协议。
外部网关协议EGP (External Gateway Protocol)
1.若源站和目的站处在不同的自治系统中，当数据报传到一个自治系统的边界时，就需要使用一种协议将路由选择信息传递到另一个自治系统中。这样的协议就是外部网关协议EGP。
2.在外部网关协议中目前使用最多的是BGP-4。

4.5.2内部网关协议RIP

1.工作原理

路由信息协议RIP (Routing Information Protocol)是内部网关协议IGP中最先得到广泛使用的协议。
RIP是一种分布式的、基于距离向量的路由选择协议。
RIP协议要求网络中的每一个路由器都要维护从它自己到其他每一个目的网络的距离记录。

2.距离向量算法

距离向量算法的基础就是Bellman-Ford算法(或Ford-Fulkerson算法)
这种算法的要点是这样的:
设X是结点A到B的最短路径上的一个结点。
若把路径A→B拆成两段路径A→X和X→B,则每一段路径A→X和X→B也都分别是结点A到X和结点X到B的最短路径。

RIP协议的优缺点
优点:
1.实现简单，开销较小。
缺点:
1. RIP限制了网络的规模，它能使用的最大距离为15 (16表示不可达)。
2.路由器之间交换的路由信息是路由器中的完整路由表，因而随着网络规模的扩大，开销也就增加。
3. "坏消息传播得慢” ，使更新过程的收敛时间过长。

4.5.3内部网关协议OSPF

1. OSPF协议的基本特点

'开放"表明OSPF协议不是受某一 家厂商控制，而是公开发表的。最短路径优先”是因为使用了Dijkstra提出的最短路径算法SPF采用分布式的链路状态协议(link state protocol)。注意: OSPF 只是一个协议的名字，它并不表示其他的路由选择协议不是“最短路径优先"

OSPF不用UDP而是直接用IP数据报传送。
OSPF构成的数据报很短。这样做可减少路由信息的通信量。
数据报很短的另-好处是可以不必将长的数据报分片传送。
但分片传送的数据报只要丢失一个， 就无法组装成原来的数据报,而整个数据报就必须重传。
OSPF对不同的链路可根据IP分组的不同服务类型TOS而设置成不同的代价。因此，OSPF对于不同类型的业务可计算出不同的路由。如果到同一个目的网络有多条相同代价的路径，那么可以将通信量分配给这几条路径。这叫做多路径间的负载平衡。所有在OSPF路由器之间交换的分组都具有鉴别的功能。支持可变长度的子网划分和无分类编址CIDR。每一个链路状态都带上一个32位的序号，序号越大状态就越新。

 

2. OSPF的五种分组类型

类型1,   问候(Hello)分组。
类型2，数据库描述(Database Description)分组。
类型3，链路状态请求(Link State Request)分组。
类型4，链路状态更新(Link State Update)分组，用洪泛法对全网更新链路状态。
类型5，链路状态确认(Link State Acknowledgment)分组。

 

4.5.4外部网关协议BGP

互联网的规模太大，使得自治系统之间路由选择非常困难。对于自治系统之间的路由选择，要寻找最佳路由是很不现实的。
1.当一条路径通过几个不同AS时，要想对这样的路径计算出有意义的代价是不太可能的。
2.比较合理的做法是在AS之间交换“可达性”信息。
自治系统之间的路由选择必须考虑有关策略。
因此，边界网关协议BGP只能是力求寻找一条能够到达目的网络且比较好的路由(不能兜圈子)，而并非要寻找一条最佳路由。
每一个自治系统的管理员要选择至少一个路由器作为该自治系统的“BGP发言人”(BGP speaker)。一般说来，两个BGP发言人都是通过一个共享网络连接在一起的,而BGP发言人往往就是BGP边界路由器，但也可以不是BGP边界路由器。

BGP-4共使用四种报文
1.打开(OPEN)报文，用来与相邻的另-个BGP发言人建立关系。
2.更新(UPDATE)报文，用来发送某-路由的信息， 以及列出要撤消的多条路由。
3.保活(KEEPALIVE)报文，用来确认打开报文和周期性地证实邻站关系。
4.通知(NOTIFICATION)报文，用来发送检测到的差错。

 

4.5.5路由器的构成

路由器是一种典型的网络层设备。
路由器是互联网中的关键设备。
路由器的主要作用是:
1.连通不同的网络。
2.选择信息传送的线路。选择通畅快捷的近路，能大大提高通信速度，减轻网络系统通信负荷，节约网络系统资源，提高网络系统畅通率，从而让网络系统发挥出更大的效益来。

1.路由器的结构

 

整个的路由器结构可划分为两大部分:
1.路由选择部分
2.分组转发部分
路由选择部分
1.也叫做控制部分，其核心构件是路由选择处理机。
2.路由选择处理机的任务是根据所选定的路由选择协议构造出路由表，同时经常或定期地和相邻路由器交换路由信息而不断地更新和维护路由表。

分组转发部分由三部分组成:
1.交换结构(switching fabric):又称为交换组织，其作用是根据转发表(forwarding table)对分组进行处理。
2.一组输入端口
3.一组输出端口(请注意:这里的端口就是硬件接口)
“转发" (forwarding)就是路由器根据转发表将用户的IP数据报从合适的端口转发出去。
“”路由选择”(routing)则是按照分布式算法,根据从各相邻路由器得到的关于网络拓扑的变化情况，动态地改变所选择的路由。
路由表是根据路由选择算法得出的。而转发表是从路由表得出的。
在讨论路由选择的原理时，往往不去区分转发表和路由表的区别。

 

2.交换结构

交换结构是路由器的关键构件。
正是这个交换结构把分组从一个输入端口转移到某个合适的输出端口。
实现交换有多种方法。常用交换方法有三种:
(1)通过存储器
(2)通过总线
(3)通过纵横交换结构

通过存储器
(1)当路由器的某个输入端口收到-个分组时，就用中断方式通知路由选择处理机。然后分组就从输入端口复制到存储器中。
(2)路由器处理机从分组首部提取目的地址，查找路由表,再将分组复制到合适的输出端口的缓存中。
(3)若存储器的带宽(读或写)为每秒M个分组，那么路由器的交换速率(即分组从输入端口传送到输出端口的速率)一定小于M/2。

通过总线
(1)数据报从输入端口通过共享的总线直接传送到合适的输出端口，而不需要路由选择处理机的干预。
(2)因为每一个要转发的分组都要通过这一条总线， 因此路由器的转发带宽就受总线速率的限制。
(3)现代的技术已经可以将总线的带宽提高到每秒吉比特的速率，因此许多的路由器产品都采用这种通过总线的交换方式。

通过纵横交换结构(crossbar switch fabric)
(1)这种交换结构常称为互连网络(interconnection network)。
(2)它有2N条总线，可以使N个输入端口和N个输出端口相连接。
(3)当输入端口收到一个分组时，就将它发送到与该输入端口相连的水平总线上。.
(4)若通向所要转发的输出端口的垂直总线是空闲的，则在这个结点将垂直总线与水平总线接通，然后将该分组转发到这个输出端口。
(5)但若该垂直总线已被占用(有另一个分组正在转发到同一个输出端口)则后到达的分组就被阻塞，必须在输入端口排队。

4.6 IPv6

4.6.1 IPv6 的基本首部

IPv6仍支持无连接的传送，但将协议数据单元PDU称为分组。为方便起见，本书仍采用数据报这一名词。
所引进的主要变化如下:
1.更大的地址空间。IPv6将地址从IPv4的32位增大到了128位。
2.扩展的地址层次结构。
3.灵活的首部格式。IPv6 定义了许多可选的扩展首部。
4.改进的选项。IPv6 允许数据报包含有选项的控制信息，其选项放在有效载荷中。

5.允许协议继续扩充。
6.支持即插即用(即自动配置)。因此IPv6不需要使用DHCP。
7.支持资源的预分配。IPv6支持实时视像等要求，保证一定的带宽和时延的应用。
8. IPv6首部改为8字节对齐。首部长度必须是8字节的整数倍。原来的IPv4首部是4字节对齐。

4.6.2 IPv6 的地址

IPv6数据报的目的地址可以是以下3三种基本类型地址之一: 
1.单播(unicast): 传统的点对点通信。
2.多播(multicast): 一点对多点的通信。
3.任播(anycast):这是IPv6增加的-种类型。任播的目的站是一组计算机，但数据报在交付时只交付其中的一个，通常是距离最近的一个。

4.6.3 从IPv4向IPv6过渡

向IPv6过渡只能采用逐步演进的办法，同时，还必须使新安装的IPv6系统能够向后兼容: IPv6系统必须能够接收和转发IPv4分组,并且能够为IPv4分组选择路由。
两种向IPv6过渡的策略:
1.使用双协议栈
2.使用隧道技术

4.6.4 ICMPv6

IPv6也不保证数据报的可靠交付，因为互联网中的路由器可能会丢弃数据报。
因此IPv6也需要使用ICMP来反馈一些差错信息。 新的版本称为ICMPv6。

 4.7 IP多播

4.7.1 IP 多播的基本概念

IP多播(multicast,以前曾译为组播)已成为互联网的一个热门课题。
目的:更好地支持一对多通信。
一对多通信: 一个源点发送到许多个终点。
例如，实时信息的交付(如新闻、股市行情等)， 软件更新，交互式会议及其他多媒体通信。

4.7.2 在局域网上进行硬件多播

互联网号码指派管理局IANA拥有的以太网地址块的高24位为00-00-5E。
因此TCP/IP协议使用的以太网地址块的范围是从00-00-5E-00-00-00到00-00-5E-FF-FF-FF
不难看出，在每-个地址中，只有23位可用作多播。
D类IP地址可供分配的有28位,在这28位中的前5位不能用来构成以太网硬件地址。

4.7.3 网际组管理协议IGMP和多播路由选择协议

1. IP 多播需要两种协议

为了使路由器知道多播组成员的信息，需要利用网际组管理协议IGMP (Internet Group Management Protocol)。
连接在局域网.上的多播路由器还必须和互联网.上的其他多播路由器协同工作，以便把多播数据报用最小代价传送给所有的组成员。这就需要使用多播路由选择协议。

2.网际组管理协议IGMP

和ICMP相似,IGMP使用IP数据报传递其报文(即IGMP报文加上IP首部构成IP数据报)，但它也向IP提供服务。因此，我们不把IGMP看成是一个单独的协议，而是属于整个网际协议IP的一个组成部分。

3.多播路由选择

多播路由选择协议尚未标准化。
一个多播组中的成员是动态变化的，随时会有主机加入或离开这个多播组。
多播路由选择实际上就是要找出以源主机为根结点的多播转发树。
在多播转发树.上的路由器不会收到重复的多播数据报。
对不同的多播组对应于不同的多播转发树。
同一个多播组，对不同的源点也会有不同的多播转发树。

多播路由选择协议在转发多播数据报时使用3种方法: 
(1)洪泛与剪除
(2)隧道技术(tunneling)
(3)基于核心的发现技术

4.8 虚拟专用网VPN和网络地址转换NAT

4.8.1 虚拟专用网VPN

由于IP地址的紧缺，一个机构能够申请到的IP地址数往往远小于本机构所拥有的主机数。
考虑到互联网并不很安全，一个机构内也并不需要把所有的主机接入到外部的互联网。
假定在一个机构内部的计算机通信也是采用TCP/IP协议，那么从原则上讲，对于这些仅在机构内部使用的计算机就可以由本机构自行分配其IP地址。
利用公用的互联网作为本机构各专用网之间的通信载体，这样的专用网又称为虚拟专用网VPN (Virtual Private Network)。
“专用网”是因为这种网络是为本机构的主机用于机构内部的通信,而不是用于和网络外非本机构的主机通信。
"虚拟”表示“好像是”，但实际上并不是，因为现在并没有真正使用通信专线，而VPN只是在效果上和真正的专用网一样。
如果专用网不同网点之间的通信必须经过公用的互联网，但又有保密的要求，那么所有通过互联网传送的数据都必须加密。
一个机构要构建自己的VPN就必须为它的每一个场所购买专门的硬件和软件，并进行配置，使每一个场所的VPN系统都知道其他场所的地址。
远程接入VPN (remote access VPN)可以满足外部流动员工访问公司网络的需求。在外地工作的员工拨号接入互联网，而驻留在员工PC机中的VPN软件可在员工的PC机和公司的主机之间建立VPN隧道，因而外地员工与公司通信的内容是保密的，员工们感到好像就是使用公司内部的本地网络。

4.8.2 网络地址转换NAT

网络地址转换NAT (Network Address Translation)方法于1994年提出。
需要在专用网连接到互联网的路由器.上安装NAT软件。装有NAT软件的路由器叫做NAT路由器，它至少有一个有效的外部全球IP地址。
所有使用本地地址的主机在和外界通信时，都要在NAT路由器上将其本地地址转换成全球IP地址，才能和互联网连接。

当NAT路由器具有n个全球IP地址时，专用网内最多可以同时有n台主机接入到互联网。这样就可以使专用网内较多数量的主机，轮流使用NAT路由器有限数量的全球IP地址。通过NAT路由器的通信必须由专用网内的主机发起。专用网内部的主机不能充当服务器用，因为互联网,上的客户无法请求专用网内的服务器提供服务。

为了更加有效地利用NAT路由器.上的全球IP地址，现在常用的NAT转换表把运输层的端口号也利用上。这样，就可以使多个拥有本地地址的主机，共用一个NAT路由器.上的全球IP地址，因而可以同时和互联网.上的不同主机进行通信。使用端口号的NAT叫做网络地址与端口号转换NAPT (Network Address and Port Translation),而不使用端口号的NAT就叫做传统的NAT (traditional NAT)。

4.9 多协议标记交换MPLS

IETF于1997年成立了MPLS工作组，开发出一种新的协议——多协议标记交换MPLS (MultiProtocol Label Switching)。
多协议"表示在MPLS的.上层可以采用多种协议，例如: IP,IPX;可以使用多种数据链路层协议，例如: PPP，以太网，ATM等。
“标记”是指每个分组被打上-个标记，根据该标记对分组进行转发。

MPLS具有以下三个方面的特点:
1.支持面向连接的服务质量; 
2.支持流量工程，平衡网络负载;
3.有效地支持虚拟专用网VPN。

4.9.1 MPLS 的工作原理

1.基本工作过程

IP分组的转发
(1)在传统的IP网络中，分组每到达-个路由器后，都必须提取出其目的地址，按目的地址查找路由表，并按照“最长前缀匹配”的原则找到下一跳的IP地址(请注意，前缀的长度是不确定的)。
(2)当网络很大时，查找含有大量项目的路由表要花费很多的时间。
(3)在出现突发性的通信量时，往往还会使缓存溢出，这就会引起分组丢失、传输时延增大和服务质量下降。

基本原理

 

2.转发等价类FEC

MPLS有个很重要的概念就是转发等价类FEC (Forwarding Equivalence Class).
"转发等价类”就是路由器按照同样方式对待的分组的集合。
按照同样方式对待”表示:从同样接口转发到同样的下一跳地址，并且具有同样服务类别和同样丢弃优先级等。
划分FEC的方法不受什么限制，这都由网络管理员来控制，因此非常灵活。
入口结点并不是给每一个分组指派一个不同的标记，而是将属于同样FEC的分组都指派同样的标记。
FEC和标记是一 一对应的关系。

流量工程
(1)网络管理员采用自定义的FEC就可以更好地管理网络的资源。
(2)这种均衡网络负载的做法也称为流量工程TE (TrafficEngineering)或通信量工程。

4.9.2 MPLS首部的位置与格式

MPLS并不要求下层的网络都使用面向连接的技术。
下层的网络并不提供打标记的手段，而IPv4数据报首部也没有多余的位置存放MPLS标记。
这就需要使用一种封装技术:在把IP数据报封装成以太网帧之前，先要插入一个MPLS首部。
从层次的角度看，MPLS首部就处在第二层和第三层之间。

MPLS首部共包括以下四个字段:
(1)标记值(占20位)。可以同时容纳高达220个流(即1048576个流)。实际上几乎没有哪个MPLS实例会使用很大数目的流，因为通常需要管理员人工管理和设置每条交换路径。
(2)试验(占3位)。目前保留用作试验。
(3)栈S(占1位)在有"标记栈”时使用。
(4)生存时间TTL (占8位)。用来防止MPLS分组在MPLS域中兜圈子。