府應(yīng)急指揮-網(wǎng)絡(luò)通信部分第四章

1政府應(yīng)急指揮系統(tǒng)的網(wǎng)絡(luò)通信系統(tǒng)南開(kāi)大學(xué)濱海學(xué)院法政學(xué)系電政專業(yè)張一鳴2015年5月12日12第四章政府應(yīng)急管理計(jì)算機(jī)網(wǎng)絡(luò)通信

南開(kāi)大學(xué)濱海學(xué)院法政學(xué)系電政專業(yè)張一鳴2015年5月12日2本章主要內(nèi)容了解應(yīng)急指揮系統(tǒng)對(duì)網(wǎng)絡(luò)的要求掌握IP地址標(biāo)準(zhǔn)分類標(biāo)準(zhǔn)與特殊的IP地址形式掌握子網(wǎng)地址規(guī)劃方法掌握CDIR地址規(guī)劃方法虛擬專用網(wǎng)VPN和網(wǎng)絡(luò)地址轉(zhuǎn)換NAT掌握內(nèi)部網(wǎng)絡(luò)IP地址規(guī)劃與地址轉(zhuǎn)換NAT方法34.1應(yīng)急指揮系統(tǒng)對(duì)網(wǎng)絡(luò)的要求

在城市應(yīng)急指揮系統(tǒng)裝備的網(wǎng)絡(luò)通信、數(shù)據(jù)處理、控制指揮裝備，屬于整個(gè)應(yīng)急指揮系統(tǒng)的支撐平臺(tái)。是及時(shí)傳遞各種突發(fā)事件信息、調(diào)度各種救災(zāi)力量和指揮應(yīng)急突發(fā)事件處理的基本保障，具有不可替代的關(guān)鍵作用。它包括有：基于程控電話交換機(jī)和計(jì)算機(jī)處理系統(tǒng)的呼叫中心、基于城域網(wǎng)和廣域網(wǎng)的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、基于無(wú)線調(diào)度廣播的數(shù)字集群通信系統(tǒng)，以及現(xiàn)場(chǎng)圖形、圖像和聲音的實(shí)時(shí)采集與回送等數(shù)據(jù)傳輸技術(shù)。45政府應(yīng)急指揮系統(tǒng)系統(tǒng)組成聯(lián)動(dòng)單位1120分中心122分中心119分中心110分中心聯(lián)動(dòng)單位N系統(tǒng)維護(hù)、數(shù)據(jù)更新、功能完善、需求變化計(jì)算機(jī)局域網(wǎng)絡(luò)/有線數(shù)據(jù)網(wǎng)絡(luò)/無(wú)線數(shù)據(jù)網(wǎng)絡(luò)/Intranet/Internet操作系統(tǒng)、應(yīng)用系統(tǒng)、開(kāi)發(fā)平臺(tái)基于WEB的應(yīng)急信息服務(wù)系統(tǒng)數(shù)據(jù)維護(hù)系統(tǒng)應(yīng)急指揮調(diào)度系統(tǒng)有無(wú)線通訊系統(tǒng)圖像監(jiān)控系統(tǒng)GPS系統(tǒng)大型顯示系統(tǒng)交換機(jī)系統(tǒng)報(bào)警網(wǎng)絡(luò)首長(zhǎng)決策指揮系統(tǒng)應(yīng)急政務(wù)系統(tǒng)現(xiàn)場(chǎng)圖像傳輸電源及安全系統(tǒng)地圖數(shù)據(jù)+屬性數(shù)據(jù)數(shù)據(jù)庫(kù)系統(tǒng)地理信息系統(tǒng)…52012年4月6防火墻防火墻政府應(yīng)急指揮網(wǎng)絡(luò)通信系統(tǒng)的模型PABXCTILINK錄音系統(tǒng)GIS服務(wù)器調(diào)度臺(tái)服務(wù)器數(shù)據(jù)庫(kù)集群會(huì)議系統(tǒng)專家

輔助決策應(yīng)急預(yù)案管理系統(tǒng)

報(bào)表系統(tǒng)指揮席位城市應(yīng)急

指揮系統(tǒng)數(shù)據(jù)備份社會(huì)綜合

服務(wù)系統(tǒng)防火墻防火墻防火墻110指揮分系統(tǒng)119指揮分系統(tǒng)120指揮分系統(tǒng)人防指揮分系統(tǒng)6城市應(yīng)急指揮系統(tǒng)中通信層的位置72012年4月8城市應(yīng)急指揮系統(tǒng)的層次模型政策與標(biāo)準(zhǔn)安全保障服務(wù)資源及數(shù)據(jù)庫(kù)業(yè)務(wù)應(yīng)用系統(tǒng)支撐平臺(tái)82012年4月9物理安全保障信息資源安全保障計(jì)算機(jī)系統(tǒng)安全保障通信網(wǎng)絡(luò)安全保障災(zāi)難備份中心防火防盜防人為破壞……計(jì)算機(jī)病毒黑客入侵端到端加密……雙機(jī)熱備份N+1冗余配置……多路由備份設(shè)備冗余配置通信網(wǎng)絡(luò)備份……應(yīng)急管理通信系統(tǒng)的安全保障94.2IP地址標(biāo)準(zhǔn)分類

網(wǎng)際協(xié)議IP是TCP/IP體系中兩個(gè)最主要的協(xié)議之一。與IP協(xié)議配套使用的還有四個(gè)協(xié)議：地址解析協(xié)議ARP(AddressResolutionProtocol)逆地址解析協(xié)議RARP(ReverseAddressResolutionProtocol)網(wǎng)際控制報(bào)文協(xié)議ICMP(InternetControlMessageProtocol)網(wǎng)際組管理協(xié)議IGMP(InternetGroupManagementProtocol)10網(wǎng)際層的IP協(xié)議及配套協(xié)議各種應(yīng)用層協(xié)議

網(wǎng)絡(luò)接口層(HTTP,FTP,SMTP等)物理硬件運(yùn)輸層TCP,UDP應(yīng)用層ICMPIPRARPARP與各種網(wǎng)絡(luò)接口網(wǎng)絡(luò)層（網(wǎng)際層）IGMP11互連在一起的網(wǎng)絡(luò)要進(jìn)行通信，會(huì)遇到許多問(wèn)題，如：不同的尋址方案不同的最大分組長(zhǎng)度不同的網(wǎng)絡(luò)接入機(jī)制不同的超時(shí)控制不同的差錯(cuò)恢復(fù)方法不同的狀態(tài)報(bào)告方法不同的路由選擇技術(shù)不同的用戶接入控制不同的服務(wù)（面向連接服務(wù)和無(wú)連接服務(wù)）不同的管理與控制方式4.2.1虛擬互連網(wǎng)絡(luò)12中間設(shè)備又稱為中間系統(tǒng)或中繼(relay)系統(tǒng)。物理層中繼系統(tǒng)：轉(zhuǎn)發(fā)器(repeater)。數(shù)據(jù)鏈路層中繼系統(tǒng)：網(wǎng)橋或橋接器(bridge)。網(wǎng)絡(luò)層中繼系統(tǒng)：路由器(router)。網(wǎng)橋和路由器的混合物：橋路器(brouter)。網(wǎng)絡(luò)層以上的中繼系統(tǒng)：網(wǎng)關(guān)(gateway)。

把網(wǎng)絡(luò)互相連接起來(lái)

要使用一些中間設(shè)備13當(dāng)中繼系統(tǒng)是轉(zhuǎn)發(fā)器或網(wǎng)橋時(shí)，一般并不稱之為網(wǎng)絡(luò)互連，因?yàn)檫@僅僅是把一個(gè)網(wǎng)絡(luò)擴(kuò)大了，而這仍然是一個(gè)網(wǎng)絡(luò)。網(wǎng)關(guān)由于比較復(fù)雜，目前使用得較少?；ヂ?lián)網(wǎng)都是指用路由器進(jìn)行互連的網(wǎng)絡(luò)。由于歷史的原因，許多有關(guān)TCP/IP的文獻(xiàn)將網(wǎng)絡(luò)層使用的路由器稱為網(wǎng)關(guān)。網(wǎng)絡(luò)互連使用路由器14互連網(wǎng)絡(luò)與虛擬互連網(wǎng)絡(luò)網(wǎng)絡(luò)網(wǎng)絡(luò)網(wǎng)絡(luò)網(wǎng)絡(luò)網(wǎng)絡(luò)(a)互連網(wǎng)絡(luò)(b)虛擬互連網(wǎng)絡(luò)路由器

虛擬互連網(wǎng)絡(luò)（互聯(lián)網(wǎng)）15虛擬互連網(wǎng)絡(luò)的意義所謂虛擬互連網(wǎng)絡(luò)也就是邏輯互連網(wǎng)絡(luò)，它的意思就是互連起來(lái)的各種物理網(wǎng)絡(luò)的異構(gòu)性本來(lái)是客觀存在的，但是我們利用IP協(xié)議就可以使這些性能各異的網(wǎng)絡(luò)從用戶看起來(lái)好像是一個(gè)統(tǒng)一的網(wǎng)絡(luò)。使用IP協(xié)議的虛擬互連網(wǎng)絡(luò)可簡(jiǎn)稱為IP網(wǎng)。使用虛擬互連網(wǎng)絡(luò)的好處是：當(dāng)互聯(lián)網(wǎng)上的主機(jī)進(jìn)行通信時(shí)，就好像在一個(gè)網(wǎng)絡(luò)上通信一樣，而看不見(jiàn)互連的各具體的網(wǎng)絡(luò)異構(gòu)細(xì)節(jié)。165432154321主機(jī)H1

主機(jī)H2R1R4R5R2R3R1R2R3H1R5H2R4間接交付間接交付間接交付間接交付間接交付直接交付3221132211322113221132211分組在互聯(lián)網(wǎng)中的傳送17從網(wǎng)絡(luò)層看IP數(shù)據(jù)報(bào)的傳送如果我們只從網(wǎng)絡(luò)層考慮問(wèn)題，那么IP數(shù)據(jù)報(bào)就可以想象是在網(wǎng)絡(luò)層中傳送。網(wǎng)絡(luò)層網(wǎng)絡(luò)層網(wǎng)絡(luò)層網(wǎng)絡(luò)層網(wǎng)絡(luò)層網(wǎng)絡(luò)層網(wǎng)絡(luò)層IP數(shù)據(jù)報(bào)H1R1R2R3R4R5H2184.2.2分類的IP地址

1.IP地址及其表示方法我們把整個(gè)因特網(wǎng)看成為一個(gè)單一的、抽象的網(wǎng)絡(luò)。IP地址就是給每個(gè)連接在因特網(wǎng)上的主機(jī)（或路由器）分配一個(gè)在全世界范圍是唯一的32位的標(biāo)識(shí)符。IP地址現(xiàn)在由因特網(wǎng)名字與號(hào)碼指派公司ICANN

(InternetCorporationforAssignedNamesandNumbers)進(jìn)行分配19IP地址的編址方法分類的IP地址。這是最基本的編址方法，在1981年就通過(guò)了相應(yīng)的標(biāo)準(zhǔn)協(xié)議。子網(wǎng)的劃分。這是對(duì)最基本的編址方法的改進(jìn)，其標(biāo)準(zhǔn)[RFC950]在1985年通過(guò)。構(gòu)成超網(wǎng)。這是比較新的無(wú)分類編址方法。1993年提出后很快就得到推廣應(yīng)用。20分類IP地址每一類地址都由兩個(gè)固定長(zhǎng)度的字段組成，其中一個(gè)字段是網(wǎng)絡(luò)號(hào)net-id，它標(biāo)志主機(jī)（或路由器）所連接到的網(wǎng)絡(luò)，而另一個(gè)字段則是主機(jī)號(hào)host-id，它標(biāo)志該主機(jī)（或路由器）。兩級(jí)的IP地址可以記為：IP地址::={<網(wǎng)絡(luò)號(hào)>,<主機(jī)號(hào)>}(4-1)::=代表“定義為”21net-id24位host-id24位net-id16位net-id8位IP地址中的網(wǎng)絡(luò)號(hào)字段和主機(jī)號(hào)字段0A類地址host-id16位B類地址C類地址011host-id8位D類地址1

1

1

0多播地址E類地址保留為今后使用1

1

1

10122點(diǎn)分十進(jìn)制記法10000000000010110000001100011111機(jī)器中存放的IP地址是32位二進(jìn)制代碼10000000000010110000001100011111每隔8位插入一個(gè)空格能夠提高可讀性采用點(diǎn)分十進(jìn)制記法則進(jìn)一步提高可讀性1128

11331將每8位的二進(jìn)制數(shù)轉(zhuǎn)換為十進(jìn)制數(shù)23常用的三種類別的IP地址IP地址的使用范圍

網(wǎng)絡(luò)最大第一個(gè)最后一個(gè)每個(gè)網(wǎng)絡(luò)類別網(wǎng)絡(luò)數(shù)可用的可用的中最大的網(wǎng)絡(luò)號(hào)網(wǎng)絡(luò)號(hào)主機(jī)數(shù)

A126(27–2)112616,777,214B16,383(214

1)128.1191.25565,534C2,097,151(2211)192.0.1218.255.25525424IP地址的一些重要特點(diǎn)(1)IP地址是一種分等級(jí)的地址結(jié)構(gòu)。分兩個(gè)等級(jí)的好處是：第一，IP地址管理機(jī)構(gòu)在分配IP地址時(shí)只分配網(wǎng)絡(luò)號(hào)，而剩下的主機(jī)號(hào)則由得到該網(wǎng)絡(luò)號(hào)的單位自行分配。這樣就方便了IP地址的管理。第二，路由器僅根據(jù)目的主機(jī)所連接的網(wǎng)絡(luò)號(hào)來(lái)轉(zhuǎn)發(fā)分組（而不考慮目的主機(jī)號(hào)），這樣就可以使路由表中的項(xiàng)目數(shù)大幅度減少，從而減小了路由表所占的存儲(chǔ)空間。25IP地址的一些重要特點(diǎn)(續(xù)1)(2)實(shí)際上IP地址是標(biāo)志一個(gè)主機(jī)（或路由器）和一條鏈路的接口。當(dāng)一個(gè)主機(jī)同時(shí)連接到兩個(gè)網(wǎng)絡(luò)上時(shí)，該主機(jī)就必須同時(shí)具有兩個(gè)相應(yīng)的IP地址，其網(wǎng)絡(luò)號(hào)net-id必須是不同的。這種主機(jī)稱為多歸屬主機(jī)(multihomedhost)。由于一個(gè)路由器至少應(yīng)當(dāng)連接到兩個(gè)網(wǎng)絡(luò)（這樣它才能將IP數(shù)據(jù)報(bào)從一個(gè)網(wǎng)絡(luò)轉(zhuǎn)發(fā)到另一個(gè)網(wǎng)絡(luò)），因此一個(gè)路由器至少應(yīng)當(dāng)有兩個(gè)不同的IP地址。26(3)用轉(zhuǎn)發(fā)器或網(wǎng)橋連接起來(lái)的若干個(gè)局域網(wǎng)仍為一個(gè)網(wǎng)絡(luò)，因此這些局域網(wǎng)都具有同樣的網(wǎng)絡(luò)號(hào)net-id。(4)所有分配到網(wǎng)絡(luò)號(hào)net-id的網(wǎng)絡(luò)，范圍很小的局域網(wǎng)，還是可能覆蓋很大地理范圍的廣域網(wǎng)，都是平等的。IP地址的一些重要特點(diǎn)(續(xù)2)27互聯(lián)網(wǎng)中的IP地址B222.1.1.R1222.1.2.R3R2222.1.3.LAN3N3N222.1.6.N1LAN2LAN1互聯(lián)網(wǎng)在同一個(gè)局域網(wǎng)上的主機(jī)或路由器的IP地址中的網(wǎng)絡(luò)號(hào)必須是一樣的。圖中的網(wǎng)絡(luò)號(hào)就是IP地址中的net-id28IP1HA1HA5HA4HA3HA6HA2IP6主機(jī)H1主機(jī)H2路由器R1IP層上的互聯(lián)網(wǎng)IP2IP4IP3IP5路由器R2IP1→IP2IP1→IP2IP1→IP2MAC幀從HA1

到HA3從HA4

到HA5從HA6

到HA2MAC幀MAC幀IP數(shù)據(jù)報(bào)IP層抽象的互聯(lián)網(wǎng)屏蔽了下層很復(fù)雜的細(xì)節(jié)在抽象的網(wǎng)絡(luò)層上討論問(wèn)題，就能夠使用統(tǒng)一的、抽象的IP地址研究主機(jī)和主機(jī)或主機(jī)和路由器之間的通信294.3

標(biāo)準(zhǔn)與特殊的IP地址形式標(biāo)準(zhǔn)的IP地址由32位二進(jìn)制數(shù)值組成（4個(gè)字節(jié)），但為了方便用戶的理解和記憶，它采用了點(diǎn)分十進(jìn)制標(biāo)記法，即將4個(gè)字節(jié)的二進(jìn)制數(shù)值轉(zhuǎn)換為4個(gè)十進(jìn)制數(shù)值，每個(gè)數(shù)值小于等于255，數(shù)值中間用“.”隔開(kāi)，表示為w.x.y.z的形式。如下圖所示。30IP地址的直觀表示法第一字節(jié)第二字節(jié)第三字節(jié)第四字節(jié)w.x.y.z例如，二進(jìn)制IP地址：字節(jié)1字節(jié)2字節(jié)3字節(jié)4

11001010010111010111100000101100用點(diǎn)分十進(jìn)制標(biāo)記法表示成：4它為一個(gè)C類IP地址，前3個(gè)字節(jié)為網(wǎng)絡(luò)號(hào)，后一字節(jié)為主機(jī)號(hào)31特殊的IP地址形式1.網(wǎng)絡(luò)地址：包含一個(gè)有效的網(wǎng)絡(luò)號(hào)和一個(gè)全“0”的主機(jī)號(hào)，用來(lái)表示一個(gè)具體的網(wǎng)絡(luò)。如一個(gè)具有IP地址4的主機(jī)所處的網(wǎng)絡(luò)為，它的主機(jī)號(hào)為44。2.廣播地址：IP具有兩種廣播地址形式：直接廣播地址和有限廣播地址。直接廣播地址包含一個(gè)有效的網(wǎng)絡(luò)號(hào)和一個(gè)全“1”的主機(jī)號(hào)，其作用是向互聯(lián)網(wǎng)上的其他主機(jī)廣播信息。如C類地址55就是一個(gè)直接廣播地址，互聯(lián)網(wǎng)上的主機(jī)可以使用該地址向網(wǎng)絡(luò)上的所有主機(jī)廣播信息。32位全為“1”的IP地址（55）為有限廣播地址，用于本網(wǎng)廣播。若采用標(biāo)準(zhǔn)的IP編址，有限廣播在本網(wǎng)之中；若采用子網(wǎng)編址，有限廣播在本子網(wǎng)之中。32特殊的IP地址形式3.回送地址：A類地址是一個(gè)保留地址，用于網(wǎng)絡(luò)軟件測(cè)試及本機(jī)器進(jìn)程間通信，稱為回送地址。一旦使用回送地址發(fā)送數(shù)據(jù)，協(xié)議軟件不進(jìn)行任何網(wǎng)絡(luò)傳輸，立即將之返回，含有127網(wǎng)絡(luò)號(hào)的數(shù)據(jù)報(bào)不可能出現(xiàn)在任何網(wǎng)絡(luò)上。4.本地地址：有些IP地址不分配給互聯(lián)網(wǎng)用戶，如10.XXX.XXX.XXX、192.168.XXX.XXX，可在本地內(nèi)部互聯(lián)網(wǎng)中使用。一旦與互聯(lián)網(wǎng)互聯(lián)，必須將這些IP地址轉(zhuǎn)換為可在互聯(lián)網(wǎng)中使用的IP地址。331.從兩級(jí)IP地址到三級(jí)IP地址在ARPANET的早期，IP地址的設(shè)計(jì)不夠合理。IP地址空間的利用率有時(shí)很低，浪費(fèi)太多。給每一個(gè)物理網(wǎng)絡(luò)分配一個(gè)網(wǎng)絡(luò)號(hào)會(huì)使路由表變得太大因而使網(wǎng)絡(luò)性能變壞。兩級(jí)的IP地址不夠靈活。4.4子網(wǎng)地址規(guī)劃方法34按照標(biāo)準(zhǔn)分類的IP地址，如果是只有2臺(tái)主機(jī)的網(wǎng)絡(luò)需要連接到互聯(lián)網(wǎng)上，就需要申請(qǐng)一個(gè)C類地址，則此C類地址的有效利用率只有2/255=0.78%。而又256臺(tái)主機(jī)的網(wǎng)絡(luò)，就需要申請(qǐng)一個(gè)B類地址。則此B類地址的有效利用率只有256/65535=0.39%。可見(jiàn)其利用率非常低下。標(biāo)準(zhǔn)分類IP地址的缺陷35從1991年起在IP地址中又增加了一個(gè)“子網(wǎng)號(hào)字段”，即把一個(gè)大的網(wǎng)絡(luò)劃分為幾個(gè)較小的網(wǎng)絡(luò)，使兩級(jí)的IP地址變成為“網(wǎng)絡(luò)號(hào)-子網(wǎng)號(hào)-主機(jī)號(hào)”的三級(jí)的IP地址。這種做法叫作劃分子網(wǎng)(subnetting)。劃分子網(wǎng)已成為因特網(wǎng)的正式標(biāo)準(zhǔn)協(xié)議。三級(jí)的IP地址36劃分子網(wǎng)純屬一個(gè)單位內(nèi)部的事情。單位對(duì)外仍然表現(xiàn)為沒(méi)有劃分子網(wǎng)的網(wǎng)絡(luò)。從主機(jī)號(hào)借用若干個(gè)位作為子網(wǎng)號(hào)

subnet-id，而主機(jī)號(hào)host-id也就相應(yīng)減少了若干個(gè)位。

IP地址::={<網(wǎng)絡(luò)號(hào)>,<子網(wǎng)號(hào)>,<主機(jī)號(hào)>}(4-2)劃分子網(wǎng)的基本思路37凡是從其他網(wǎng)絡(luò)發(fā)送給本單位某個(gè)主機(jī)的IP數(shù)據(jù)報(bào)，仍然是根據(jù)IP數(shù)據(jù)報(bào)的目的網(wǎng)絡(luò)號(hào)

net-id，先找到連接在本單位網(wǎng)絡(luò)上的路由器。然后此路由器在收到IP數(shù)據(jù)報(bào)后，再按目的網(wǎng)絡(luò)號(hào)net-id和子網(wǎng)號(hào)subnet-id找到目的子網(wǎng)。最后就將IP數(shù)據(jù)報(bào)直接交付目的主機(jī)。劃分子網(wǎng)的基本思路（續(xù)）38………01014568所有到網(wǎng)絡(luò)的分組均到達(dá)此路由器我的網(wǎng)絡(luò)地址是R1R3R2網(wǎng)絡(luò)一個(gè)未劃分子網(wǎng)的B類網(wǎng)絡(luò)39劃分為三個(gè)子網(wǎng)后對(duì)外仍是一個(gè)網(wǎng)絡(luò)01014568………子網(wǎng)子網(wǎng)

子網(wǎng)所有到達(dá)網(wǎng)絡(luò)的分組均到達(dá)此路由器網(wǎng)絡(luò)R1R3R240當(dāng)沒(méi)有劃分子網(wǎng)時(shí)，IP地址是兩級(jí)結(jié)構(gòu)。劃分子網(wǎng)后IP地址就變成了三級(jí)結(jié)構(gòu)。劃分子網(wǎng)只是把IP地址的主機(jī)號(hào)host-id這部分進(jìn)行再劃分，而不改變IP地址原來(lái)的網(wǎng)絡(luò)號(hào)net-id。劃分子網(wǎng)后變成了三級(jí)結(jié)構(gòu)41從一個(gè)

IP

數(shù)據(jù)報(bào)的首部并無(wú)法判斷源主機(jī)或目的主機(jī)所連接的網(wǎng)絡(luò)是否進(jìn)行了子網(wǎng)劃分。使用子網(wǎng)掩碼(subnetmask)可以找出IP地址中的子網(wǎng)部分。2.子網(wǎng)掩碼42IP地址的各字段和子網(wǎng)掩碼0兩級(jí)IP地址子網(wǎng)號(hào)為3的網(wǎng)絡(luò)的網(wǎng)絡(luò)號(hào)三級(jí)IP地址主機(jī)號(hào)子網(wǎng)掩碼net-idhost-id子網(wǎng)的網(wǎng)絡(luò)地址1111111111111111

11111111000000000net-idsubnet-idhost-id3.33.1043(IP

地址)AND(子網(wǎng)掩碼)=

網(wǎng)絡(luò)地址網(wǎng)絡(luò)號(hào)net-id主機(jī)號(hào)host-id兩級(jí)IP地址網(wǎng)絡(luò)號(hào)三級(jí)IP地址主機(jī)號(hào)net-idhost-idsubnet-id子網(wǎng)號(hào)子網(wǎng)掩碼子網(wǎng)的網(wǎng)絡(luò)地址1111111111111111

1111111100000000net-idsubnet-id0逐位進(jìn)行AND運(yùn)算44111111111111111111111111000000000000000000000000111111111111111111111111000000000000000000000000net-idnet-idhost-id為全0net-id網(wǎng)絡(luò)地址A類地址默認(rèn)子網(wǎng)掩碼網(wǎng)絡(luò)地址B類地址默認(rèn)子網(wǎng)掩碼網(wǎng)絡(luò)地址C類地址默認(rèn)子網(wǎng)掩碼host-id為全0host-id為全0默認(rèn)子網(wǎng)掩碼45子網(wǎng)掩碼是一個(gè)重要屬性子網(wǎng)掩碼是一個(gè)網(wǎng)絡(luò)或一個(gè)子網(wǎng)的重要屬性。路由器在和相鄰路由器交換路由信息時(shí)，必須把自己所在網(wǎng)絡(luò)（或子網(wǎng)）的子網(wǎng)掩碼告訴相鄰路由器。路由器的路由表中的每一個(gè)項(xiàng)目，除了要給出目的網(wǎng)絡(luò)地址外，還必須同時(shí)給出該網(wǎng)絡(luò)的子網(wǎng)掩碼。若一個(gè)路由器連接在兩個(gè)子網(wǎng)上就擁有兩個(gè)網(wǎng)絡(luò)地址和兩個(gè)子網(wǎng)掩碼。46141.14.010000001111111111111111

11000000【例4-2】已知IP地址是4，子網(wǎng)掩碼是。試求網(wǎng)絡(luò)地址。(a)點(diǎn)分十進(jìn)制表示的IP地址(c)子網(wǎng)掩碼是000000004.001001000141.14..24(b)IP地址的第3字節(jié)是二進(jìn)制(d)IP地址與子網(wǎng)掩碼逐位相與(e)網(wǎng)絡(luò)地址（點(diǎn)分十進(jìn)制表示）47141.14.010000001111111111111111

11100000【例4-3】在上例中，若子網(wǎng)掩碼改為。試求網(wǎng)絡(luò)地址，討論所得結(jié)果。(a)點(diǎn)分十進(jìn)制表示的IP地址(c)子網(wǎng)掩碼是000000004.001001000141.14..24(b)IP地址的第3字節(jié)是二進(jìn)制(d)IP地址與子網(wǎng)掩碼逐位相與(e)網(wǎng)絡(luò)地址（點(diǎn)分十進(jìn)制表示）不同的子網(wǎng)掩碼得出相同的網(wǎng)絡(luò)地址。但不同的掩碼的效果是不同的。

48劃分子網(wǎng)在一定程度上緩解了因特網(wǎng)在發(fā)展中遇到的困難。然而在

1992

年因特網(wǎng)仍然面臨三個(gè)必須盡早解決的問(wèn)題，這就是：B類地址在1992年已分配了近一半，眼看就要在1994年3月全部分配完畢！因特網(wǎng)主干網(wǎng)上的路由表中的項(xiàng)目數(shù)急劇增長(zhǎng)（從幾千個(gè)增長(zhǎng)到幾萬(wàn)個(gè)）。整個(gè)IPv4的地址空間最終將全部耗盡。4.5

無(wú)分類編址CIDR

1.網(wǎng)絡(luò)前綴

49

1987年，RFC1009就指明了在一個(gè)劃分子網(wǎng)的網(wǎng)絡(luò)中可同時(shí)使用幾個(gè)不同的子網(wǎng)掩碼。使用變長(zhǎng)子網(wǎng)掩碼VLSM(VariableLengthSubnetMask)可進(jìn)一步提高IP地址資源的利用率。在VLSM的基礎(chǔ)上又進(jìn)一步研究出無(wú)分類編址方法，它的正式名字是無(wú)分類域間路由選擇CIDR(ClasslessInter-DomainRouting)。IP編址問(wèn)題的演進(jìn)50CIDR消除了傳統(tǒng)的A類、B類和C類地址以及劃分子網(wǎng)的概念，因而可以更加有效地分配IPv4的地址空間。CIDR使用各種長(zhǎng)度的“網(wǎng)絡(luò)前綴”(network-prefix)來(lái)代替分類地址中的網(wǎng)絡(luò)號(hào)和子網(wǎng)號(hào)。IP地址從三級(jí)編址（使用子網(wǎng)掩碼）又回到了兩級(jí)編址。CIDR最主要的特點(diǎn)51

無(wú)分類的兩級(jí)編址的記法是：IP地址::={<網(wǎng)絡(luò)前綴>,<主機(jī)號(hào)>}(4-3)CIDR還使用“斜線記法”(slashnotation)，它又稱為CIDR記法，即在IP地址面加上一個(gè)斜線“/”，然后寫(xiě)上網(wǎng)絡(luò)前綴所占的位數(shù)（這個(gè)數(shù)值對(duì)應(yīng)于三級(jí)編址中子網(wǎng)掩碼中1的個(gè)數(shù)）。CIDR把網(wǎng)絡(luò)前綴都相同的連續(xù)的IP地址組成“CIDR地址塊”。

無(wú)分類的兩級(jí)編址52

CIDR地址塊/20表示的地址塊共有212個(gè)地址（因?yàn)樾本€后面的20是網(wǎng)絡(luò)前綴的位數(shù)，所以這個(gè)地址的主機(jī)號(hào)是12位）。這個(gè)地址塊的起始地址是。在不需要指出地址塊的起始地址時(shí)，也可將這樣的地址塊簡(jiǎn)稱為“/20地址塊”。/20地址塊的最小地址：/20地址塊的最大地址：55全0和全1的主機(jī)號(hào)地址一般不使用。53/20表示的地址（212個(gè)地址）1000000000001110

00100000000000001000000000001110

00100000000000011000000000001110

00100000000000101000000000001110

00100000000000111000000000001110

00100000000001001000000000001110

00100000000001011000000000001110

00101111111110111000000000001110

00101111111111001000000000001110

00101111111111011000000000001110

00101111111111101000000000001110

0010111111111111所有地址的20位前綴都是一樣的最小地址最大地址54

一個(gè)CIDR地址塊可以表示很多地址，這種地址的聚合常稱為路由聚合，它使得路由表中的一個(gè)項(xiàng)目可以表示很多個(gè)（例如上千個(gè)）原來(lái)傳統(tǒng)分類地址的路由。路由聚合也稱為構(gòu)成超網(wǎng)(supernetting)。CIDR雖然不使用子網(wǎng)了，但仍然使用“掩碼”這一名詞（但不叫子網(wǎng)掩碼）。對(duì)于

/20

地址塊，它的掩碼是

20

個(gè)連續(xù)的1。斜線記法中的數(shù)字就是掩碼中1的個(gè)數(shù)。路由聚合(routeaggregation)55

CIDR記法的其他形式/10可簡(jiǎn)寫(xiě)為10/10，也就是把點(diǎn)分十進(jìn)制中低位連續(xù)的0省略。/10隱含地指出IP地址

的掩碼是。此掩碼可表示為

1111111111000000000000000000000025519200掩碼中有10個(gè)連續(xù)的156

CIDR記法的其他形式/10可簡(jiǎn)寫(xiě)為10/10，也就是將點(diǎn)分十進(jìn)制中低位連續(xù)的0省略。/10相當(dāng)于指出IP地址

的掩碼是，即

11111111110000000000000000000000網(wǎng)絡(luò)前綴的后面加一個(gè)星號(hào)*的表示方法如0000101000*，在星號(hào)*之前是網(wǎng)絡(luò)前綴，而星號(hào)*表示IP地址中的主機(jī)號(hào)，可以是任意值。57

構(gòu)成超網(wǎng)前綴長(zhǎng)度不超過(guò)18

位的CIDR地址塊都包含了多個(gè)C類地址。這些C類地址合起來(lái)就構(gòu)成了超網(wǎng)。CIDR地址塊中的地址數(shù)一定是2的整數(shù)次冪。網(wǎng)絡(luò)前綴越短，其地址塊所包含的地址數(shù)就越多。而在三級(jí)結(jié)構(gòu)的IP地址中，劃分子網(wǎng)是使網(wǎng)絡(luò)前綴變長(zhǎng)。58CIDR地址塊劃分舉例因特網(wǎng)/22/18ISP大學(xué)X一系二系三系四系28/2692/26/2528/25/2528/25/264/2628/2692/26/24/25/264/2628/25/18

單位地址塊二進(jìn)制表示地址數(shù)

ISP/1811001110.00000000.01*16384

大學(xué)/2211001110.00000000.010001*1024

一系/1811001110.00000000.0100010*512

二系/2411001110.00000000.01000110.*256

三系/2511001110.00000000.01000111.0*128

四系28/2511001110.00000000.01000111.1*12859

CIDR地址塊劃分舉例因特網(wǎng)/22/18ISP大學(xué)X一系二系三系四系28/2692/26/2528/25/2528/25/264/2628/2692/26/24/25/264/2628/25/18這個(gè)ISP共有64個(gè)C類網(wǎng)絡(luò)。如果不采用CIDR技術(shù)，則在與該ISP的路由器交換路由信息的每一個(gè)路由器的路由表中，就需要有64個(gè)項(xiàng)目。但采用地址聚合后，只需用路由聚合后的1個(gè)項(xiàng)目/18就能找到該ISP。60

2.最長(zhǎng)前綴匹配使用CIDR時(shí)，路由表中的每個(gè)項(xiàng)目由“網(wǎng)絡(luò)前綴”和“下一跳地址”組成。在查找路由表時(shí)可能會(huì)得到不止一個(gè)匹配結(jié)果。應(yīng)當(dāng)從匹配結(jié)果中選擇具有最長(zhǎng)網(wǎng)絡(luò)前綴的路由：最長(zhǎng)前綴匹配(longest-prefixmatching)。網(wǎng)絡(luò)前綴越長(zhǎng)，其地址塊就越小，因而路由就越具體(morespecific)

。最長(zhǎng)前綴匹配又稱為最長(zhǎng)匹配或最佳匹配。

61最長(zhǎng)前綴匹配舉例收到的分組的目的地址D=28路由表中的項(xiàng)目：/22（ISP）

28/25（四系）查找路由表中的第1個(gè)項(xiàng)目ANDD=206.0.01000100.0第1個(gè)項(xiàng)目/22的掩碼M

有22個(gè)連續(xù)的1。M=11111111111111111111110000000000因此只需把D

的第3個(gè)字節(jié)轉(zhuǎn)換成二進(jìn)制。M=11111111111111111111110000000000206.0.01000100.0與/22匹配62最長(zhǎng)前綴匹配舉例收到的分組的目的地址D=28路由表中的項(xiàng)目：/22（ISP）

28/25（四系）再查找路由表中的第2個(gè)項(xiàng)目ANDD=0000000第2個(gè)項(xiàng)目28/25的掩碼M

有25個(gè)連續(xù)的1。M=11111111111111111111111110000000因此只需把D

的第4個(gè)字節(jié)轉(zhuǎn)換成二進(jìn)制。M=111111111111111111111111100000000000000與28/25匹配63

最長(zhǎng)前綴匹配DAND(11111111111111111111110000000000)=/22匹配DAND(11111111111111111111111110000000)=28/25匹配選擇兩個(gè)匹配的地址中更具體的一個(gè)，即選擇最長(zhǎng)前綴的地址。

64

3.使用二叉線索查找路由表當(dāng)路由表的項(xiàng)目數(shù)很大時(shí)，怎樣設(shè)法減小路由表的查找時(shí)間就成為一個(gè)非常重要的問(wèn)題。為了進(jìn)行更加有效的查找，通常是將無(wú)分類編址的路由表存放在一種層次的數(shù)據(jù)結(jié)構(gòu)中，然后自上而下地按層次進(jìn)行查找。這里最常用的就是二叉線索(binarytrie)。IP地址中從左到右的比特值決定了從根結(jié)點(diǎn)逐層向下層延伸的路徑，而二叉線索中的各個(gè)路徑就代表路由表中存放的各個(gè)地址。為了提高二叉線索的查找速度，廣泛使用了各種壓縮技術(shù)。65

用5個(gè)前綴構(gòu)成的二叉線索32位的IP地址唯一前綴010001100000000000000000000000000100010101100000000000000000000000000101011000010000000000000000000000000111011000000000010000000000000000010110101110110000101000000000000000001011100001111111066

4.6

虛擬專用網(wǎng)VPN和

網(wǎng)絡(luò)地址轉(zhuǎn)換NAT

4.6.1虛擬專用網(wǎng)VPN本地地址——僅在機(jī)構(gòu)內(nèi)部使用的IP地址，可以由本機(jī)構(gòu)自行分配，而不需要向因特網(wǎng)的管理機(jī)構(gòu)申請(qǐng)。全球地址——全球唯一的IP地址，必須向因特網(wǎng)的管理機(jī)構(gòu)申請(qǐng)。67

RFC1918指明的專用地址(privateaddress)

到55

到55

到55這些地址只能用于一個(gè)機(jī)構(gòu)的內(nèi)部通信，而不能用于和因特網(wǎng)上的主機(jī)通信。專用地址只能用作本地地址而不能用作全球地址。在因特網(wǎng)中的所有路由器對(duì)目的地址是專用地址的數(shù)據(jù)報(bào)一律不進(jìn)行轉(zhuǎn)發(fā)。68X用隧道技術(shù)實(shí)現(xiàn)虛擬專用網(wǎng)部門(mén)A因特網(wǎng)部門(mén)BR1R2隧道Y使用隧道技術(shù)本地地址本地地址全球地址網(wǎng)絡(luò)地址=（本地地址）網(wǎng)絡(luò)地址=（本地地址）69X用隧道技術(shù)實(shí)現(xiàn)虛擬專用網(wǎng)部門(mén)A因特網(wǎng)部門(mén)BR1R2隧道Y使用隧道技術(shù)加密的從

X

到

Y

的內(nèi)部數(shù)據(jù)報(bào)外部數(shù)據(jù)報(bào)的數(shù)據(jù)部分源地址：目的地址：數(shù)據(jù)報(bào)首部部門(mén)A部門(mén)BXYR1R2虛擬專用網(wǎng)VPN70內(nèi)聯(lián)網(wǎng)intranet和外聯(lián)網(wǎng)extranet

（都是基于TCP/IP協(xié)議）

由部門(mén)A和B的內(nèi)部網(wǎng)絡(luò)所構(gòu)成的虛擬專用網(wǎng)VPN又稱為內(nèi)聯(lián)網(wǎng)(intranet)，表示部門(mén)A和B都是在同一個(gè)機(jī)構(gòu)的內(nèi)部。一個(gè)機(jī)構(gòu)和某些外部機(jī)構(gòu)共同建立的虛擬專用網(wǎng)VPN又稱為外聯(lián)網(wǎng)(extranet)。

部門(mén)A部門(mén)BXYR1R2虛擬專用網(wǎng)VPN71

遠(yuǎn)程接入VPN

(remoteaccessVPN)

有的公司可能沒(méi)有分布在不同場(chǎng)所的部門(mén)，但有很多流動(dòng)員工在外地工作。公司需要和他們保持聯(lián)系，遠(yuǎn)程接入VPN可滿足這種需求。在外地工作的員工撥號(hào)接入因特網(wǎng)，而駐留在員工PC機(jī)中的VPN軟件可在員工的PC機(jī)和公司的主機(jī)之間建立VPN隧道，因而外地員工與公司通信的內(nèi)容是保密的，員工們感到好像就是使用公司內(nèi)部的本地網(wǎng)絡(luò)。72

4.6.2網(wǎng)絡(luò)地址轉(zhuǎn)換NAT

(NetworkAddressTranslation)網(wǎng)絡(luò)地址轉(zhuǎn)換NAT方法于1994年提出。需要在專用網(wǎng)連接到因特網(wǎng)的路由器上安裝NAT軟件。裝有NAT軟件的路由器叫做NAT路由器，它至少有一個(gè)有效的外部全球地址IPG。所有使用本地地址的主機(jī)在和外界通信時(shí)都要在NAT路由器上將其本地地址轉(zhuǎn)換成IPG

才能和因特網(wǎng)連接。

73

網(wǎng)絡(luò)地址轉(zhuǎn)換的過(guò)程內(nèi)部主機(jī)X用本地地址IPX和因特網(wǎng)上主機(jī)Y通信所發(fā)送的數(shù)據(jù)報(bào)必須經(jīng)過(guò)NAT路由器。NAT路由器將數(shù)據(jù)報(bào)的源地址IPX轉(zhuǎn)換成全球地址IPG，但目的地址IPY保持不變，然后發(fā)送到因特網(wǎng)。NAT路由器收到主機(jī)Y發(fā)回的數(shù)據(jù)報(bào)時(shí)，知道數(shù)據(jù)報(bào)中的源地址是IPY而目的地址是IPG。根據(jù)NAT轉(zhuǎn)換表，NAT路由器將目的地址IPG轉(zhuǎn)換為IPX，轉(zhuǎn)發(fā)給最終的內(nèi)部主機(jī)X。744.7內(nèi)部網(wǎng)絡(luò)IP地址規(guī)劃

4.7.1全局IP地址與專用IP地址全局IP地址與專用IP地址的區(qū)別主要表現(xiàn)在：（1）使用IP地址的網(wǎng)絡(luò)課分為兩種情況：一是將網(wǎng)絡(luò)直接連接到互聯(lián)網(wǎng)；另一種是不直接連到互聯(lián)網(wǎng)，也使用TCP/IP協(xié)議，但是內(nèi)部網(wǎng)絡(luò)。

每臺(tái)連接到互聯(lián)網(wǎng)的用戶主機(jī)都需要有一個(gè)標(biāo)準(zhǔn)的全局IP地址，它是分組時(shí)在互聯(lián)網(wǎng)上傳輸時(shí)使用的IP地址。專用IP地址只能用于一個(gè)機(jī)構(gòu)，單位的內(nèi)部網(wǎng)絡(luò)，不能用于互聯(lián)網(wǎng)上。75全局IP地址與專用IP地址的區(qū)別（2）使用全局IP地址是需要申請(qǐng)并繳費(fèi)的，而專用IP地址是不需要申請(qǐng)的，也不需要繳費(fèi)?；ヂ?lián)網(wǎng)管理機(jī)構(gòu)在IP地址空間中預(yù)留了一些空間地址給專用網(wǎng)絡(luò)使用。具體參見(jiàn)下表。類網(wǎng)絡(luò)號(hào)總數(shù)A101B172.16~172.3116C192.168.0~192.168.25525676全局IP地址與專用IP地址的區(qū)別（3）全局IP地址是必須保證在互聯(lián)網(wǎng)上是唯一的，而專用IP地址在某一個(gè)網(wǎng)絡(luò)內(nèi)部是唯一的，但是在互聯(lián)網(wǎng)中并不是唯