子网互连的实现技术

第17卷第4期电脑开发与应用(总193) ●35.子网互连的实现技术Implementation of Subnet Interconnction Technology李淑琴(太原西峪煤矿太原030021)[摘要]同一单位内数个局域网的互连将提高资源共享的程度和网络功能的发挥。介绍了子网互连需要满足的基本要求和目前常用的几种互连设备,着重阐述了不同应用环境下通过不同互连设备实现的网络互连。[关键词]网络互连，通信，网桥，路由器，网关ABSTRACT Interconnection of several local area networks in a company will increase the degree of resource sharing and full - useof network function. This paper presents the basic requirement for subnet interconnection and several interconnection equipmentsthat are presently adopted ,and gives more description about implementation of network interconnection of different interconnectionequipment under different environments.KEY WORDS network interconnection, communication, net bridge， router， net随着局域网使用的普及,在同一单位内建有数个踪多种网络和路由器的使用情况并显示现实状况信局域网的现象已屡见不鲜。此时,用户从共享网络资源息;的角度出发,希望将它们互连起来,构成一个互联网的④网络互连设备应该能够协调不同网络之间的各环境，以实现局域网间的通信及扩展局域网的范围。计种差异。这些差异包括不同的寻址方式,不同的数据包算机网络实现互连之后,不仅可以使用户能够更广泛、的尺寸,不同的网络访问机制、状态显示、路由技术、用更有效地实现资源共享,而且可以从整体上提高网络户访问机制、纠错能力以及面向连接与面向非连接的的可靠性，充分发挥它的网络功能。操作等。1网络互连的基本概念3子网互连设备将分布在不同地理位置的同构或异构网络连接起实现网络相互连接的设备叫网络互连设备,又被来,以构成更大规模的互联网来说,实现网络资源的共称为中继系统。它连接着两个或多个不同的网络,起着享,这一方案称为网络互连。互联网既有包含几个网络不同网络之间数据传送和终止每个网络内部协议的作的互联网,最典型的就是-一个单位内数个子网的互连,用。依据网络互连设备在不同的层次上实现协议和功也有包含上千个网络的互联网。对网络用户来说,互联能的转换，可将它分为以下四种:网结构是透明的。①转接器(REPEATER)在物理层实现中继功能。2子网互连的基本要求②网桥(BRIDGE)在数 据链路层实现中继功能。现有的各种类型的网络在性能或功能上都存在着③路由器(ROUTER)在网络层实现中继功能。不同程度的差异,因此将它们互连起来必须克服它们④网关(GATEWAY)在网络层以上层次实现之间的差异给彼此通信带来的影响。随着网络技术的中继功能。不断发展,网络互连的方法也日益增多,但其基本要求无论在哪一个层次实现中继功能,其实现的复杂可以归纳为:性取决于网络之间在数据格式和协议规范等方面的差①至少在网络之间提供一种物理链路控制的连异程度。接;②为不同网络的进程间的通信提供合适的路由控4中国煤化工络互连的技术HCNMHG制和数据交换;连接器是在物理层实现中继功能的互连设备,目③为网间通信提供良好的服务机制，包括能够跟前已不常用。在此不作详细介绍。2003万势数据收到,2004-02-01改回* *李淑琴,女.1968 年生,工程师,从事通讯和计算机工作。●36●(总194)子网互连的实现技术2004年.4.1通过网桥实现互连路由器是在网络层上实现互连的设备,因为路由.网桥是在数据链路层上实现同构型网络互连的设器工作在网络层,它不需要知道拓扑结构的信息,所以备,它的基本特征是:可以使用路由器连接不同拓扑结构的网络。路由器是①网桥能够互连两个在数据链路层具有不同协比网桥更具智能化的设备,它的功能涉及到物理层、数议、不同传输介质和传输速率的局域网。据链路层和网络层。路由器分为单协议和多协议两种②网桥在实现互连网络之间通信时,具有接收、存类型。单协议路由器用于具有相同网络层协议的互连。储、地址识别及转发等功能。多协议路由器则可支持多种网络层协议，使用这种多③网桥可以分割两个网络之间的通信量,有利于协议路由器几乎可以使多家厂商提供的异种网络实现改善互连网络的性能与安全性。互连。④便于隔离故障,提高网络的可靠性。路由器的路由选择功能是通过设置在路由器中的每个网桥都保留着网络上与它直接相连的设备的路由表来完成的。路由表有静态和动态之分，两者的区硬件地址,网桥检查信息帧的硬件目标地址,并且根据别在于路由表的内容是否随网络状态而变化。如果被自己的硬件地址表,决定是否将帧向前传送。如需要传互连的网络个数较少,可采用静态路由表管理互联网.送,则产生新的帧。络的通信,局域网间互连一般采用静态路由表管理互图1表示通过网桥连接两个局域网的互联网。联网络的通信。只有在复杂的互联网上才采用动态路SmithPlato由表。LANA路由器在网络层中具有如下功能:网桥①“拆包和打包”功能。即路由器在接收到任何一「 Earth种数据包后,先去掉数据链路层所加上的控制信息,然图1通过网桥连接两个局域网的互联网后根据网络层所加上的控制信息做相应的处理,如为当Smith向Mary传送-帧数据时,网桥根据内该数据包选择-条最佳传输路由。最后加上数据链路部的硬件地址表发现Smith与Mary在相同的LAN层应有的控制信息，恢复为原有的数据包。也正由于路A上,认为不需要转发,而将该帧丢弃;如果Smith要由器的这些拆包和打包操作,从而增加了路由器的时向Earth发送一帧数据时,网桥通过地址识别知道通.延。信双方不在同一局域网上，则网桥将通过与LAN B②路由选择功能。在用路由器形成的互联网中,从的网络接口,向LAN B转发该帧,处于LAN B上的路由器到目标节点间都存在多条传输路由。路由器的节点Earth将能接收到Smith发送的帧。目前常用的选择功能就是要按照某种策略为所收到的数据包选择网桥有透明网桥和源节点路由网桥。前者是最常见的一条最佳传输路由。-种网络类型。它遵循IEEE802.1标准,它的路由选③进行协议转换。路由器具有与多种类型的LAN择功能设置在网桥中，局域网上的各个工作站不需要互连的能力,这种能力来自于路由器具有识别和转换设置路由选择功能。后者遵循IEEE802.5的标准,即各种协议的功能。由发送数据帧的源节点工作站,通过类似于固定路由④分段和重新组装。在用路由器互连的多个网络选择的算法进行路由选择,因此,在每个网络的工作站中，它们各自采用的数据包的大小可能不同。源节点所中都要配置-张路由选择表,为本站所能达到的所有用数据包较大,而目标节点所用数据包较小或相反,路工作站建立一个表目,列出由本站到目标站的确立路由器的分段和重新组装功能使数据包被拆分或组装成由上所有网桥和局域网的地址,则由本站发往目标站合适大小的数据包进行传送。的所有帧,都将沿着这条路由传输,相比而言,源节点⑤网络管理功能。路由器可监视网络中信息流动、路由网桥数据传输较为安全,而且网桥的实现比较简设备工作以及对它们进行管理。单,但它增加了网络工作的复杂性,在一般互联网中工4.3中国煤化工作站的数目远大于网桥的数目,这意味着构建网络需有时是不同拓朴结构HCNMHG要付出更多的空间开销,必然也增大花费。的网络互连时,需要用到网天。以网关实现网络互连4.2通过路由器实现子网互连时，网关实际上是一个协议转换器。它工作在OSI/RM要实现异构型局域网的连接,就应选择路由器。其模型的运输层及其以上层次,主要用于不同体系结构实它是一炱秀果胞计算机,其作用是解决互联网的路网络的互连。在网间互连设备中,网关是最复杂的。以由选择问题。运输层实现协议转换为例,其转换工作包括数据格式.第17卷第4期电脑开发与应用(总195) ●37.的重新调整、长数据的分段、地址格式的转换,以及对首先,A把B的名字等消息加盖时间戳TA并用操作规程的适配等。daa加密送至B。B收到后由明文A知道是A发的消通常,对具有不同网络体系结构,而且物理上又是息,但是B并不知道day,无法了解消息内容,更不能彼此独立的网络,可用网关将其连接起来。此时,被互伪造或篡改。B把A传来的消息传送给AS,并将A的连的两个网络类型既可以是不同的,也可以是相同的。名字加盖时间戳TB用dbb加密送至AS。AS解密B但是,用网关互连的两个网络,在物理上也可以是同一发过来的消息后,将A.B的会话密钥KAB分别用网络。例如:在同一个以太网上某些站运行TCP/IP网Yaksha私钥加密送至A、B。因为只有当A.B拥有的.络软件,而另一些站运行Novell网软件。此时,可将同Yaksha私钥与AS的Yaksha相应时,A.B才能解密一个以太网看作是两个逻辑网,一个是TCP/IP网,另AS发过来的消息,所以此过程完成对A、B的认证。然一个是Novell网。这两个逻辑网的站之间交换信息必后,A解密AS发过来的消息得到时间戳TA后验证须借助网关的作用进行协议转换。TA中的时间是否在当前允许的范围内,并与自己发图2表示-一个以太网上的TCP/IP节点要和令牌送的消息时间相符。验证通过后,A将TB用KAB加网上的NA节点之间进行通信,由于TCP/IP与NA密后发给B,对B进行验证。B解密AS发过来的消息的高层网络协议不同，所以以太网中的TCP/IPClient得到时间戳TB后验证TB中的时间的正确性。验证不能直接访问令牌环网的NAClient。如果两者要通通过后,B将TA用KAB加密后发给A,对A进行验信，就必须使用网关设备,它可以完成不同网络协议之正。间的转换。网关的功能是在TCP/IP节点产生的报文经过优化后的Kerberos认证系统更好地满足了上加上必要的控制信息,并且将它转换成NA节点所开放式系统的认证性能:需要的报文格式。当NA节点要向TCP/IP节点发送①安全性。采用优化后的Kerberos认证机制足够信息时,网关同样要完成NA报文格式到TCP/IP报安全,不致成为攻击的薄弱环节。文格式的转换。②可靠性。Kerberos认证服务是其他服务的基TCP/IP Client础,其可靠性决定整个系统可靠性。③透明性。用户感受不到认证服务的存在。④可扩展性。当和不支持Kerberos认证机制的系NA网关统通信时,不受影响。NA Client| NA Client4结论图2通过网关 通信笔者创造性地在Kerberos的基础上采用了在一个大型的计算机网络中,可利用网关实现多Yaksha算法的思想,克服了Kerberos的某些缺陷,提个物理.上或逻辑上独立的网络的互连。高了安全性。在认证过程中,由用户对自己加盖的时间5结束语戳进行验证,解决了Kerberos 的时间同步的问题,并实现子网互连的各种设备有性能相似之处,又各有效地防止了重放攻击。但是,采用RSA公钥加密算具特点，究竟选用哪种设备,取决于具体的应用环境。法要比单钥加密速度慢--些。参考文献恰当的互连实现技术将使计算机网络功能更有效,性1W Stallings , Network Security Essentials ; Applications and能更可靠,并且能更充分的发挥它的网络功能。Stadards , Prentice Hall ,inc.20002 S M Bellovin, M Merritt. Limitations of the kerberos1杨心强,陈国友,邵军力编著.数据通信与计算机网络.北authentication system. In Proceedings of the Winter 199京:电子工业出版社,2003Usenix Conference,19912 李昭智编著.数据通信与计算机网络.北京:电子工业出版3中国煤化工ating Smart Cards into社,2002YHC N M H G1: Advances in Cryptology- EUROCRYPT'1995 Proceeding, 1995(上接第34页)4G Horng, C S Yang. Key authentication scheme forTA.TB分别是A,B根据自己的时钟加盖的纪元cryptosystems based on discrete logarithms. Computer时间，为了膀好知明文攻击,TA.TB应该是时间的Communications, 1996.(19) :848~ 850函数。