《网络新技术专题》PPT课件

计算机网络--刘桂江
12/51
10.1.5 VLAN的互联
1、接入链路（Access Link） • 用来将非VLAN标识的工作站或者非VLAN成员资格的VLAN设备接入一个
VLAN交换机端口的一个LAN网段。 2、中继链路（Trunk Link） • 是指承载标记数据的干线链路，只能支持那些理解VLAN帧格式和VLAN
计算机网络--刘桂江
10/51
10.1.4 划分虚拟局域网的方法（3/4）
3、基于第三层的VLAN • 基于第三层信息的VLAN在确定其成员时考虑协议类型（如果多
协议得到支持）或网络层地址（如IP地址）。 • 优点：
– 它根据协议类型实现分区。 – 用户可以实际地移动他们的工作站而不必重新配置每台工作
计算机网络--刘桂江
7/51
10.1.3 VLAN的技术标准
• IEEE802.10
– IEEE802.10标准原来是为了安全因素而提出的一种帧标签格式。 1995年Cisco公司提倡使用IEEE802.10协议。在此之前， IEEE802.10曾经在全球范围内作为VLAN安全性的统一规范。
• IEEE802.1Q
成员资格的VLAN设备。 • 中继链路最通常的实现就是连接两个VLAN交换机的链路。 3、混合链路（Hybrid Link） • 是接入链路和中继链路混合所组成的链路。
计算机网络--刘桂江
13/51
10.2 下一代IP：IPv6
10.2.1 10.2.2 10.2.3 10.2.4 10.2.5
IPv6的导入背景 IPv6地址体系结构 IPv6协议基本首部 IPv6协议扩展报头 从IPv4向IPv6过渡
计算机网络--刘桂江
8/51
10.1.4 划分虚拟局域网的方法（1/4）
1、根据端口划分VLAN
– 端口分组是定义虚拟局域网成员最常用的方法，而且配置也相当 直截了当。
– 缺点：当用户从一个端口移动到另一个端口的时候网络管理员必 须重新配置虚拟局域网成员。
计算机网络--刘桂江
9/51
10.1.4 划分虚拟局域网的方法（2/4）
计算机网络
Computer Network
2020年11月6日
课程目录
第1章 概述 第2章 物理层与数据通信基础 第3章 数据链路层 第4章 局域网 第5章 网络层 第6章 网络互联技术 第7章 传输层 第8章 应用层 第9章 网络管理与信息安全 第10章 网络新技术专题
计算机网络--刘桂江
2
第10章 网络新技术专题
• 虚拟局域网的概念 ： – VLAN（Virtual Local Area Network）即虚拟局域网，是一 种通过将局域网内的设备逻辑地划分成一个个网段从而实现 虚拟工作组的新兴技术。 – VLAN是在交换局域网的基础上，采用网络管理软件构建的逻 辑网络。一个VLAN组成一个逻辑广播域。 – 可以把同一台交换机上的用户划分在不同的VLAN中，也可以 把位于不同交换机上的用户主机划分在同一个VLAN中。
站的网络地址。 – 在第三层定义VLAN可以消除为了在交换机之间传达VLAN成员
信息对数据帧标记的需求，减少了经常性的传输开销。 • 缺点：
– 使用第三层信息定义VLAN的交换机一般要比使用第二层信息 的交换机运行得慢些。
计算机网络--刘桂江
11/51
10.1.4 划分虚拟局域网的方法 （4/4）
– NAT-PT使用一个IPv4的地址池动态地为IPv6节点分配地址，NAT-PT将 IPv6的地址与IPv4的地址进行绑定，反之依然。
计算机网络--刘桂江
22/51
10.3 虚拟专用网VPN
10.3.1 VPN出现的背景 10.3.2 VPN的工作原理 10.3.3 VPN的特点 10.3.4 VPN的实现技术
215E:0:0:AD20::/60
计算机网络--刘桂江
16/51
10.2.2 IPv6地址体系结构(2/2)
• IPv6地址分类 – 单播地址 • 寻址到单播地址的数据包最终会被发送到一个唯一的接口。 – 多播地址 • 又称为组播地址，是指一个源节点发送的单个数据包能被特定的多 个目的节点接收到。 – 任播地址 • 用来标识一组网络接口（目的地址是任播地址的数据包将被发送给 其中路由意义上最近的一个网络接口）。
• VPN的工作过程
A
IKE（1） B
安全协议(2)
– A作为发起方向B发出VPN连接的请求。首先，A与B通过IKE过程 在应用层协商一组用来加密通信的密钥信息，然后，A与B就可 以在协商成功后的一段时间应用这组密钥信息进行安全协议下 的加密的可靠的通信。
• VPN实现的几种方式
– PPTP协议（Point-to-Point Tunneling Protocol，点到点隧道协议） – L2TP协议（Layer Two Tunneling Protocol，第二层隧道协议）
2、根据MAC地址划分VLAN • 即对每个MAC地址的主机都配置它属于哪个组。 • 优点：
– 由于MAC地址是固化到工作站的网卡上的，所以基于MAC地址的 VLAN使网络管理者能够把网络上的工作站移动到不同的实际位置， 而且可以让这台工作站自动地保持它原有的VLAN成员资格。
• 缺点： – 要求所有的主机必须初始手工配置在至少一个VLAN中。
计算机网络--刘桂江
26/51
10.3.4 VPN的实现技术
1、安全隧道技术 • 通过将待传输的原始信息经过加密和封装处理后，再嵌套装入另一种协议
– 它是为了在不同厂商生产的设备之间交流VLAN信息而制定的局 域网物理帧的改进标准。
• Cisco ISL标签
– ISL（Inter-Switch Link）是Cisco公司的专有封装方式，因 此仅在Cisco的设备上支持。
• VTP（VLAN Trunking Protocol）
– VTP是一种通过Trunk（链路聚合）来进行VLAN管理的协议，属 于客户/服务器方式。
2、隧道技术 – 隧道是指将一种协议封装到另外一种协议中以实现互联目的的机制。
计算机网络--刘桂江
21/51
10.2.5 从IPv4向IPv6过渡(3/3)
3、网络地址转换/协议转换技术（ NAT-PT ） – NAT-PT是附带协议转换器的网络地址转换器，可以看作是IPv6网络与 IPv4网络之间的网关，通过修改协议报头来转换网络地址，使它们能够 互通。
计算机网络--刘桂江
23/51
10.3.1 VPN出现的背景
• VPN技术使企业能够在公共网络上创建自己的专用网络。
• VPN有两层含义： – 首先，它是虚拟的网络，即没有固定的物理连接，网络只在用户需要时才 建立； – 其次，它是利用公共网络设施构成的专用网。
计算机网络--刘桂江
24/51
10.3.2 VPN的工作原理
4、根据IP组播划分VLAN • 当一个IP数据包通过多点传输发送时，他被送到显示定义的一组IP地址的代
理地址中去。这些IP地址是动态设置的。 • 优点：
– 它的动态特性产生了非常高的灵活性和应用灵敏度。 – 具有一种跨越路由器、因而跨越广域网连接的固有能力。
注意：不同VLAN之间的数据传输需要通过网络层的路由实现。
– IPSec安全协议（IP security Protocol，IP安全协议） – MPLS（Multi-Protocol Label switching，多协议标记交换） – SSL（security socket layer，安全套接字层）
计算机网络--刘桂江
25/51
10.3.3 VPN的特点
计算机网络--刘桂江
4/51
10.1.1虚拟局域网的概念（1/2）
• 产生背景
– 一个局域网上的广播数据包都可以被该网段上的所有设备收到，而无 论这些设备是否需要。
– 从安全性的角度看，不同部门的机器不能混用一个以太网段，以防止 数据窃听。
计算机网络--刘桂江
5/51
10.1.1虚拟局域网的概念（2/2）
计算机网络--刘桂江
17/51
10.2.3 IPv6协议基本首部
• IPv6将首部长度变为固定的40字节，称为基本首部，其中包括：
计算机网络--刘桂江
18/51
10.2.4 IPv6协议扩展首部
• IPv6数据报在基本首部的后面允许有零个或多个扩展首部 （Extension Header），再后面是数据。
• IPv6将所有的可选项都移出IPv6报头，置于扩展头中，增强了IPv6 的功能。 – 逐跳选项报头（Hop-by-Hop header） – 源路由选择报头（Routing header） – 分段报头（fragment header） – 目的地选项报头（destination option header） – 认证报头（authentication header） – 加密安全负载报头（encapsulation security payload header）
计算机网络--刘桂江
6/51
10.1.2 虚拟局域网的技术特性和
优点
• VLAN的技术特性 ： – 灵活的、软定义的、边界独立于物理媒质的设备群 – 广播流量被限制在软定义的边界内，提高了网络的安全性 – 在同一个VLAN的成员之间提供低延迟、线速的通信
• VLAN的优点： – 提高了网络管理效率 – 建立虚拟工作组 – 限制广播包 – 提高网络整体安全性 – 网络管理简单、直观
10.1 虚拟局域网VLAN 10.2 下一代IP:IPv6 10.3 虚拟专用网VPN 10.4 IP组播技术 10.5 移动IP技术
计算机网络--刘桂江
3
10.1 虚拟局域网VLAN
10.1.1 虚拟局域网的概念 10.1.2 虚拟局域网的技术特性和优点 10.1.3 VLAN的技术标准 10.1.4 划分虚拟局域网的方法 10.1.5 VLAN的互联
1、双协议栈技术 – 双协议栈技术是在设备上（如一个主机或一个路由器）同时启用IPv4 和IPv6协议栈。 – 双协议栈技术互通性好，并且易于理解。其缺点是只能用于双协议栈 节点本身，且每个IPv6节点都需要IPv4地址，它并不能解决IPv4地址 短缺的问题。
计算机网络--刘桂江
20/51
10.2.5 从IPv4向IPv6过渡(2/3)
• 通信安全 – VPN使用隧道技术、加解密技术、密钥管理技术、用户与设备身份认证 技术保证了通信的安全性。
• 成本低 • 覆盖地域广泛 • 可扩展性强
– 由于Internet的广泛存在，应用VPN技术可以非常方便地增加或减少用 户。
• 便于管理 – 企业或部门可以将VPN的解决方案外包给运营商，将全部精力集中到自 身的发展上。 – VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、 QoS管理等内容。
::192.168.1.9
（兼容IPv4的IPv6地址）
::ffff:192.168.1.9 （映射IPv4的IPv6地址）
• IPv6地址前缀的文本表示
– 用“地址/前缀长度”来表示，如
215E:0000:0000:AD20:0000:0000:0000:0000/60
215E::AD20:0:0:0:0/60
• 路由器按照报文中扩展头出现的顺序依次进行处理
计算机网络--刘桂江
19/51
10.2.5 从IPv4向IPv6过渡(1/3)
• 为了实现IPv4网络向IPv6网络的过渡，IETF成立了下一代互联网过渡工作组 （Next Generation Transition，NGTrans），研究IPv4到IPv6的转换问题， 现己提出了多种过渡技术。
计算机网络--刘桂江
14/51
10.2.1 IPv6的导入背景
• IPv6是继IPv4以后的互联网协议，是下一代互联网协议 • IPv6与IPv4相比，新增了许多功能：
– IPv6提供巨大的地址空间 – IPv6具有与网络适配的层次地址 – 可靠的安全功能保障 – 提供更高的服务质量保证 – 即插即用（Plug & Play）功能 – 移动性能的改进计Fra bibliotek机网络--刘桂江
15/51
10.2.2 IPv6地址体系结构(1/2)
• IPv6地址的文本表示方式
– 首选格式 2001:0250:540a:0041:0000:0000:0000:0010
– 压缩格式 2001:250:540a:41::10 （最多出现一个::）
– 内嵌IPv4地址的IPv6地址