子網(wǎng)互連的實(shí)現技術(shù)

第17卷第4期電腦開(kāi)發(fā)與應用(總193) ●35.子網(wǎng)互連的實(shí)現技術(shù)Implementation of Subnet Interconnction Technology李淑琴(太原西峪煤礦太原030021)[摘要]同一單位內數個(gè)局域網(wǎng)的互連將提高資源共享的程度和網(wǎng)絡(luò )功能的發(fā)揮。介紹了子網(wǎng)互連需要滿(mǎn)足的基本要求和目前常用的幾種互連設備,著(zhù)重闡述了不同應用環(huán)境下通過(guò)不同互連設備實(shí)現的網(wǎng)絡(luò )互連。[關(guān)鍵詞]網(wǎng)絡(luò )互連，通信，網(wǎng)橋，路由器，網(wǎng)關(guān)ABSTRACT Interconnection of several local area networks in a company will increase the degree of resource sharing and full - useof network function. This paper presents the basic requirement for subnet interconnection and several interconnection equipmentsthat are presently adopted ,and gives more description about implementation of network interconnection of different interconnectionequipment under different environments.KEY WORDS network interconnection, communication, net bridge， router， net隨著(zhù)局域網(wǎng)使用的普及,在同一單位內建有數個(gè)蹤多種網(wǎng)絡(luò )和路由器的使用情況并顯示現實(shí)狀況信局域網(wǎng)的現象已屢見(jiàn)不鮮。此時(shí),用戶(hù)從共享網(wǎng)絡(luò )資源息;的角度出發(fā),希望將它們互連起來(lái),構成一個(gè)互聯(lián)網(wǎng)的④網(wǎng)絡(luò )互連設備應該能夠協(xié)調不同網(wǎng)絡(luò )之間的各環(huán)境，以實(shí)現局域網(wǎng)間的通信及擴展局域網(wǎng)的范圍。計種差異。這些差異包括不同的尋址方式,不同的數據包算機網(wǎng)絡(luò )實(shí)現互連之后,不僅可以使用戶(hù)能夠更廣泛、的尺寸,不同的網(wǎng)絡(luò )訪(fǎng)問(wèn)機制、狀態(tài)顯示、路由技術(shù)、用更有效地實(shí)現資源共享,而且可以從整體上提高網(wǎng)絡(luò )戶(hù)訪(fǎng)問(wèn)機制、糾錯能力以及面向連接與面向非連接的的可靠性，充分發(fā)揮它的網(wǎng)絡(luò )功能。操作等。1網(wǎng)絡(luò )互連的基本概念3子網(wǎng)互連設備將分布在不同地理位置的同構或異構網(wǎng)絡(luò )連接起實(shí)現網(wǎng)絡(luò )相互連接的設備叫網(wǎng)絡(luò )互連設備,又被來(lái),以構成更大規模的互聯(lián)網(wǎng)來(lái)說(shuō),實(shí)現網(wǎng)絡(luò )資源的共稱(chēng)為中繼系統。它連接著(zhù)兩個(gè)或多個(gè)不同的網(wǎng)絡(luò ),起著(zhù)享,這一方案稱(chēng)為網(wǎng)絡(luò )互連?；ヂ?lián)網(wǎng)既有包含幾個(gè)網(wǎng)絡(luò )不同網(wǎng)絡(luò )之間數據傳送和終止每個(gè)網(wǎng)絡(luò )內部協(xié)議的作的互聯(lián)網(wǎng),最典型的就是-一個(gè)單位內數個(gè)子網(wǎng)的互連,用。依據網(wǎng)絡(luò )互連設備在不同的層次上實(shí)現協(xié)議和功也有包含上千個(gè)網(wǎng)絡(luò )的互聯(lián)網(wǎng)。對網(wǎng)絡(luò )用戶(hù)來(lái)說(shuō),互聯(lián)能的轉換，可將它分為以下四種:網(wǎng)結構是透明的。①轉接器(REPEATER)在物理層實(shí)現中繼功能。2子網(wǎng)互連的基本要求②網(wǎng)橋(BRIDGE)在數 據鏈路層實(shí)現中繼功能?，F有的各種類(lèi)型的網(wǎng)絡(luò )在性能或功能上都存在著(zhù)③路由器(ROUTER)在網(wǎng)絡(luò )層實(shí)現中繼功能。不同程度的差異,因此將它們互連起來(lái)必須克服它們④網(wǎng)關(guān)(GATEWAY)在網(wǎng)絡(luò )層以上層次實(shí)現之間的差異給彼此通信帶來(lái)的影響。隨著(zhù)網(wǎng)絡(luò )技術(shù)的中繼功能。不斷發(fā)展,網(wǎng)絡(luò )互連的方法也日益增多,但其基本要求無(wú)論在哪一個(gè)層次實(shí)現中繼功能,其實(shí)現的復雜可以歸納為:性取決于網(wǎng)絡(luò )之間在數據格式和協(xié)議規范等方面的差①至少在網(wǎng)絡(luò )之間提供一種物理鏈路控制的連異程度。接;②為不同網(wǎng)絡(luò )的進(jìn)程間的通信提供合適的路由控4中國煤化工絡(luò )互連的技術(shù)HCNMHG制和數據交換;連接器是在物理層實(shí)現中繼功能的互連設備,目③為網(wǎng)間通信提供良好的服務(wù)機制，包括能夠跟前已不常用。在此不作詳細介紹。2003萬(wàn)勢數據收到,2004-02-01改回* *李淑琴,女.1968 年生,工程師,從事通訊和計算機工作?！?6●(總194)子網(wǎng)互連的實(shí)現技術(shù)2004年.4.1通過(guò)網(wǎng)橋實(shí)現互連路由器是在網(wǎng)絡(luò )層上實(shí)現互連的設備,因為路由.網(wǎng)橋是在數據鏈路層上實(shí)現同構型網(wǎng)絡(luò )互連的設器工作在網(wǎng)絡(luò )層,它不需要知道拓撲結構的信息,所以備,它的基本特征是:可以使用路由器連接不同拓撲結構的網(wǎng)絡(luò )。路由器是①網(wǎng)橋能夠互連兩個(gè)在數據鏈路層具有不同協(xié)比網(wǎng)橋更具智能化的設備,它的功能涉及到物理層、數議、不同傳輸介質(zhì)和傳輸速率的局域網(wǎng)。據鏈路層和網(wǎng)絡(luò )層。路由器分為單協(xié)議和多協(xié)議兩種②網(wǎng)橋在實(shí)現互連網(wǎng)絡(luò )之間通信時(shí),具有接收、存類(lèi)型。單協(xié)議路由器用于具有相同網(wǎng)絡(luò )層協(xié)議的互連。儲、地址識別及轉發(fā)等功能。多協(xié)議路由器則可支持多種網(wǎng)絡(luò )層協(xié)議，使用這種多③網(wǎng)橋可以分割兩個(gè)網(wǎng)絡(luò )之間的通信量,有利于協(xié)議路由器幾乎可以使多家廠(chǎng)商提供的異種網(wǎng)絡(luò )實(shí)現改善互連網(wǎng)絡(luò )的性能與安全性?；ミB。④便于隔離故障,提高網(wǎng)絡(luò )的可靠性。路由器的路由選擇功能是通過(guò)設置在路由器中的每個(gè)網(wǎng)橋都保留著(zhù)網(wǎng)絡(luò )上與它直接相連的設備的路由表來(lái)完成的。路由表有靜態(tài)和動(dòng)態(tài)之分，兩者的區硬件地址,網(wǎng)橋檢查信息幀的硬件目標地址,并且根據別在于路由表的內容是否隨網(wǎng)絡(luò )狀態(tài)而變化。如果被自己的硬件地址表,決定是否將幀向前傳送。如需要傳互連的網(wǎng)絡(luò )個(gè)數較少,可采用靜態(tài)路由表管理互聯(lián)網(wǎng).送,則產(chǎn)生新的幀。絡(luò )的通信,局域網(wǎng)間互連一般采用靜態(tài)路由表管理互圖1表示通過(guò)網(wǎng)橋連接兩個(gè)局域網(wǎng)的互聯(lián)網(wǎng)。聯(lián)網(wǎng)絡(luò )的通信。只有在復雜的互聯(lián)網(wǎng)上才采用動(dòng)態(tài)路SmithPlato由表。LANA路由器在網(wǎng)絡(luò )層中具有如下功能:網(wǎng)橋①“拆包和打包”功能。即路由器在接收到任何一「 Earth種數據包后,先去掉數據鏈路層所加上的控制信息,然圖1通過(guò)網(wǎng)橋連接兩個(gè)局域網(wǎng)的互聯(lián)網(wǎng)后根據網(wǎng)絡(luò )層所加上的控制信息做相應的處理,如為當Smith向Mary傳送-幀數據時(shí),網(wǎng)橋根據內該數據包選擇-條最佳傳輸路由。最后加上數據鏈路部的硬件地址表發(fā)現Smith與Mary在相同的LAN層應有的控制信息，恢復為原有的數據包。也正由于路A上,認為不需要轉發(fā),而將該幀丟棄;如果Smith要由器的這些拆包和打包操作,從而增加了路由器的時(shí)向Earth發(fā)送一幀數據時(shí),網(wǎng)橋通過(guò)地址識別知道通.延。信雙方不在同一局域網(wǎng)上，則網(wǎng)橋將通過(guò)與LAN B②路由選擇功能。在用路由器形成的互聯(lián)網(wǎng)中,從的網(wǎng)絡(luò )接口,向LAN B轉發(fā)該幀,處于LAN B上的路由器到目標節點(diǎn)間都存在多條傳輸路由。路由器的節點(diǎn)Earth將能接收到Smith發(fā)送的幀。目前常用的選擇功能就是要按照某種策略為所收到的數據包選擇網(wǎng)橋有透明網(wǎng)橋和源節點(diǎn)路由網(wǎng)橋。前者是最常見(jiàn)的一條最佳傳輸路由。-種網(wǎng)絡(luò )類(lèi)型。它遵循IEEE802.1標準,它的路由選③進(jìn)行協(xié)議轉換。路由器具有與多種類(lèi)型的LAN擇功能設置在網(wǎng)橋中，局域網(wǎng)上的各個(gè)工作站不需要互連的能力,這種能力來(lái)自于路由器具有識別和轉換設置路由選擇功能。后者遵循IEEE802.5的標準,即各種協(xié)議的功能。由發(fā)送數據幀的源節點(diǎn)工作站,通過(guò)類(lèi)似于固定路由④分段和重新組裝。在用路由器互連的多個(gè)網(wǎng)絡(luò )選擇的算法進(jìn)行路由選擇,因此,在每個(gè)網(wǎng)絡(luò )的工作站中，它們各自采用的數據包的大小可能不同。源節點(diǎn)所中都要配置-張路由選擇表,為本站所能達到的所有用數據包較大,而目標節點(diǎn)所用數據包較小或相反,路工作站建立一個(gè)表目,列出由本站到目標站的確立路由器的分段和重新組裝功能使數據包被拆分或組裝成由上所有網(wǎng)橋和局域網(wǎng)的地址,則由本站發(fā)往目標站合適大小的數據包進(jìn)行傳送。的所有幀,都將沿著(zhù)這條路由傳輸,相比而言,源節點(diǎn)⑤網(wǎng)絡(luò )管理功能。路由器可監視網(wǎng)絡(luò )中信息流動(dòng)、路由網(wǎng)橋數據傳輸較為安全,而且網(wǎng)橋的實(shí)現比較簡(jiǎn)設備工作以及對它們進(jìn)行管理。單,但它增加了網(wǎng)絡(luò )工作的復雜性,在一般互聯(lián)網(wǎng)中工4.3中國煤化工作站的數目遠大于網(wǎng)橋的數目,這意味著(zhù)構建網(wǎng)絡(luò )需有時(shí)是不同拓樸結構HCNMHG要付出更多的空間開(kāi)銷(xiāo),必然也增大花費。的網(wǎng)絡(luò )互連時(shí),需要用到網(wǎng)天。以網(wǎng)關(guān)實(shí)現網(wǎng)絡(luò )互連4.2通過(guò)路由器實(shí)現子網(wǎng)互連時(shí)，網(wǎng)關(guān)實(shí)際上是一個(gè)協(xié)議轉換器。它工作在OSI/RM要實(shí)現異構型局域網(wǎng)的連接,就應選擇路由器。其模型的運輸層及其以上層次,主要用于不同體系結構實(shí)它是一炱秀果胞計算機,其作用是解決互聯(lián)網(wǎng)的路網(wǎng)絡(luò )的互連。在網(wǎng)間互連設備中,網(wǎng)關(guān)是最復雜的。以由選擇問(wèn)題。運輸層實(shí)現協(xié)議轉換為例,其轉換工作包括數據格式.第17卷第4期電腦開(kāi)發(fā)與應用(總195) ●37.的重新調整、長(cháng)數據的分段、地址格式的轉換,以及對首先,A把B的名字等消息加蓋時(shí)間戳TA并用操作規程的適配等。daa加密送至B。B收到后由明文A知道是A發(fā)的消通常,對具有不同網(wǎng)絡(luò )體系結構,而且物理上又是息,但是B并不知道day,無(wú)法了解消息內容,更不能彼此獨立的網(wǎng)絡(luò ),可用網(wǎng)關(guān)將其連接起來(lái)。此時(shí),被互偽造或篡改。B把A傳來(lái)的消息傳送給AS,并將A的連的兩個(gè)網(wǎng)絡(luò )類(lèi)型既可以是不同的,也可以是相同的。名字加蓋時(shí)間戳TB用dbb加密送至AS。AS解密B但是,用網(wǎng)關(guān)互連的兩個(gè)網(wǎng)絡(luò ),在物理上也可以是同一發(fā)過(guò)來(lái)的消息后,將A.B的會(huì )話(huà)密鑰KAB分別用網(wǎng)絡(luò )。例如:在同一個(gè)以太網(wǎng)上某些站運行TCP/IP網(wǎng)Yaksha私鑰加密送至A、B。因為只有當A.B擁有的.絡(luò )軟件,而另一些站運行Novell網(wǎng)軟件。此時(shí),可將同Yaksha私鑰與AS的Yaksha相應時(shí),A.B才能解密一個(gè)以太網(wǎng)看作是兩個(gè)邏輯網(wǎng),一個(gè)是TCP/IP網(wǎng),另AS發(fā)過(guò)來(lái)的消息,所以此過(guò)程完成對A、B的認證。然一個(gè)是Novell網(wǎng)。這兩個(gè)邏輯網(wǎng)的站之間交換信息必后,A解密AS發(fā)過(guò)來(lái)的消息得到時(shí)間戳TA后驗證須借助網(wǎng)關(guān)的作用進(jìn)行協(xié)議轉換。TA中的時(shí)間是否在當前允許的范圍內,并與自己發(fā)圖2表示-一個(gè)以太網(wǎng)上的TCP/IP節點(diǎn)要和令牌送的消息時(shí)間相符。驗證通過(guò)后,A將TB用KAB加網(wǎng)上的NA節點(diǎn)之間進(jìn)行通信,由于TCP/IP與NA密后發(fā)給B,對B進(jìn)行驗證。B解密AS發(fā)過(guò)來(lái)的消息的高層網(wǎng)絡(luò )協(xié)議不同，所以以太網(wǎng)中的TCP/IPClient得到時(shí)間戳TB后驗證TB中的時(shí)間的正確性。驗證不能直接訪(fǎng)問(wèn)令牌環(huán)網(wǎng)的NAClient。如果兩者要通通過(guò)后,B將TA用KAB加密后發(fā)給A,對A進(jìn)行驗信，就必須使用網(wǎng)關(guān)設備,它可以完成不同網(wǎng)絡(luò )協(xié)議之正。間的轉換。網(wǎng)關(guān)的功能是在TCP/IP節點(diǎn)產(chǎn)生的報文經(jīng)過(guò)優(yōu)化后的Kerberos認證系統更好地滿(mǎn)足了上加上必要的控制信息,并且將它轉換成NA節點(diǎn)所開(kāi)放式系統的認證性能:需要的報文格式。當NA節點(diǎn)要向TCP/IP節點(diǎn)發(fā)送①安全性。采用優(yōu)化后的Kerberos認證機制足夠信息時(shí),網(wǎng)關(guān)同樣要完成NA報文格式到TCP/IP報安全,不致成為攻擊的薄弱環(huán)節。文格式的轉換。②可靠性。Kerberos認證服務(wù)是其他服務(wù)的基TCP/IP Client礎,其可靠性決定整個(gè)系統可靠性。③透明性。用戶(hù)感受不到認證服務(wù)的存在。④可擴展性。當和不支持Kerberos認證機制的系NA網(wǎng)關(guān)統通信時(shí),不受影響。NA Client| NA Client4結論圖2通過(guò)網(wǎng)關(guān) 通信筆者創(chuàng )造性地在Kerberos的基礎上采用了在一個(gè)大型的計算機網(wǎng)絡(luò )中,可利用網(wǎng)關(guān)實(shí)現多Yaksha算法的思想,克服了Kerberos的某些缺陷,提個(gè)物理.上或邏輯上獨立的網(wǎng)絡(luò )的互連。高了安全性。在認證過(guò)程中,由用戶(hù)對自己加蓋的時(shí)間5結束語(yǔ)戳進(jìn)行驗證,解決了Kerberos 的時(shí)間同步的問(wèn)題,并實(shí)現子網(wǎng)互連的各種設備有性能相似之處,又各有效地防止了重放攻擊。但是,采用RSA公鑰加密算具特點(diǎn)，究竟選用哪種設備,取決于具體的應用環(huán)境。法要比單鑰加密速度慢--些。參考文獻恰當的互連實(shí)現技術(shù)將使計算機網(wǎng)絡(luò )功能更有效,性1W Stallings , Network Security Essentials ; Applications and能更可靠,并且能更充分的發(fā)揮它的網(wǎng)絡(luò )功能。Stadards , Prentice Hall ,inc.20002 S M Bellovin, M Merritt. Limitations of the kerberos1楊心強,陳國友,邵軍力編著(zhù).數據通信與計算機網(wǎng)絡(luò ).北authentication system. In Proceedings of the Winter 199京:電子工業(yè)出版社,2003Usenix Conference,19912 李昭智編著(zhù).數據通信與計算機網(wǎng)絡(luò ).北京:電子工業(yè)出版3中國煤化工ating Smart Cards into社,2002YHC N M H G1: Advances in Cryptology- EUROCRYPT'1995 Proceeding, 1995(上接第34頁(yè))4G Horng, C S Yang. Key authentication scheme forTA.TB分別是A,B根據自己的時(shí)鐘加蓋的紀元cryptosystems based on discrete logarithms. Computer時(shí)間，為了膀好知明文攻擊,TA.TB應該是時(shí)間的Communications, 1996.(19) :848~ 850函數。