1.前言
以太网经过三十多年发展已经成为局域网的标准,速度已高达10Gbps。以太网技术作为局域网链路层标准,要求各个网络节点设备在网络总线上发送消息。它是一种世界上应用最广泛、最常见的网络技术,广泛应用于世界各地的局域网和企业骨干网。
在企业私有网络设置中,首先通过划分VLAN的方式做了二层隔离,但划分VLAN的目的是隔离广播域,防止广播泛滥现象。实际上构建内部局域网的目的是让内部的各台PC能够利用网络来协同办公,从而提高办公效率。这就要求使用VLAN间路由技术将VLAN与VLAN之间打通,使它们能够在三层间通信,从而实现总部与分支之间的路由,这就需要我们学习路由与路由器相关知识。而在目前企业级网络应用中,无线局域网WLAN的使用也愈来愈广泛,它可以保持和有线网络同等级的接入速度,减少对布线的需求与开支,为用户提供灵活性更高、移动性更强的信息获取方式,是对有线网络的补充和扩展。所以我们还要学习无线局域网WLAN的相关知识。
本文档以局域网交换和路由的原理与相关技术进行展开介绍,意在令读者通过实战案例掌握在企业中如何构建局域网络的方法。
2.局域网技术
2.1TCP/IP参考模型
在计算机网络中,协议就是为了使网络中的不同设备能够进行数据通信,而预先制定的一整套通信各方相互了解和共同遵守的格式和约定,是一系列规则和约定的规范性描述。只有遵守相同的协议,网络设备之间才能够相互通信。协议分为两类:一类是私有协议,它由各个网络设备厂商自己来定义的协议;另一类是开放式协议,它由专门的标准机构来定义的协议。为了解决网络设备之间的兼容性问题,帮助各个厂商生产出可以兼容的网络设备,国际标准化组织(ISO)提出了开放系统互联参考模型(OSIRM)。OSI参考模型由下至上分为7层:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。
OSI的7层协议体系结构清楚地定义了网络结构,但相对比较复杂。随着互联网的发展,TCP/IP的5层体系结构得到了广泛应用,成为事实标准。TCP/IP通信协议是目前最完整、使用最广泛的通信协议。它可以使不同硬件结构、不同操作系统的计算机互相通信。TCP/IP协议既可以用于广域网,也可以用于局域网,它是Internet/Intranet的基础。TCP/IP通信协议由一组独立的协议组成,其主要协议有传输控制协议(TCP)和网际协议(IP)。按照功能分为5层协议,由下至上分别是:物理层、数据链路层、网络层、传输层和应用层。
1. 物理层
它的作用是透明传递比特流。它规定了介质类型、接口类型和信令类型。物理层介质主要为同轴电缆、双绞线、光纤和无线电波等。物理层标准包括:支持局域网的以太网标准802.3、令牌总线标准802.4、令牌环网标准802.5、光缆标准FDDI等,支持广域网的公共物理层接口标准RS-232、串行线路接口标准V.24和V.35、数字接口标准G.703等。
2. 数据链路层
它的作用是负责从上而下将源自于网络层的数据封装成帧,从下而上将源自物理层的比特流划分成帧,并且控制帧在物理信道上的传输。不同网络设备之间通过不同的数据链路层协议传输数据。主要协议有以太网协议(Ethernet)、高级数据链路控制协议(HDLC)、点对点协议(PPP)、帧中继协议(FR)等。数据链路层常见设备为以太网交换机。
3. 网络层
它的作用是负责在网络之间将数据包从源转发到目的地。在发送数据时,网络层把传输层产生的报文段加上网络层的头部信息封装成包的形式进行传送;在接收数据时,网络层根据对端添加的头部信息对包进行相应的处理。主要协议有网际协议(IP)、网际控制报文协议(ICMP)、地址解析协议(ARP)、反向地址解析协议(RARP)。网络层常见设备为路由器。
(1)网络层在整个分层结构中的功能是:
① 提供逻辑地址:网络层定义了一个地址,用于在网络层唯一标识一台网络设备。网络层地址在TCP/IP模型中即为IP地址。
② 路由:将数据报文从某一链路转发到另一个链路。路由决定了分组包从源转发到目的地的路径。
4. 传输层
它的作用是为上层应用屏蔽网络的复杂性,并实现主机应用程序间端到端的连通性。它将应用层发往网络层的数据分段或者将网络层发往应用层的数据段进行合并。建立了端到端的连接以传送数据流。它实现了主机间的数据段传输,在传送过程中可以通过计算校验以及流控制的方式保证数据的正确性,避免发生缓冲区溢出现象。部分传输层协议能够保证数据传送的正确性。在数据传送过程中确保了同一数据既不多次传送,也不丢失,同时保证数据报的接收顺序和发送顺序一致。主要协议有传输控制协议(TCP)和用户数据报协议(UDP)。TCP提供面向连接的、可靠的字节流服务,UDP提供无连接的、面向数据报的服务。
5. 应用层
应用层协议定义了互联网常见的应用(服务器和客户端通信)通信规范,它直接为用户应用进程提供服务,包括为用户提供接口;处理特定的应用;数据加密、解密、压缩、解压缩;定义数据表示的标准等。应用层的协议可以帮助用户使用和管理TCP/IP网络,主要有基于TCP传输层协议工作的文件传输协议(FTP)、基于UDP传输层协议工作的简单文件传输协议(TFTP)、远程登录协议(Telnet)、超文本传输协议(HTTP)、简单网络管理协议(SNMP)、简单邮件传输协议(SMTP)等。其中部分协议如域名系统(DNS),既可以封装在TCP头部中,也可以封装在UDP头部中。
6. 各层的数据封装和解封装
数据的发送过程和物品的邮寄比较类似,在邮寄物品的时候,会将物品封成包裹,填上收发人的信息,数据的转发也是如此。需要给待发送的数据封装上头部报文,在报头中包含了IP 地址、MAC地址等信息。在TCP/IP分层结构中,对等层之间互相交互的数据被称为PDU(协议数据单元)。PDU在不同层有约定俗成的名称。如在传输层中,在上层数据中加入TCP报头后得到的PDU被称为数据段(Segment);数据段被传递给网络层,网络层添加IP报头得到的PDU被称为数据包(Packet);数据包被传递到数据链路层,封装数据链路层报头得到的PDU被称为数据包(Frame);最后,帧被转换为比特,通过网络介质传输。这种协议栈向下传递数据,并添加报头和报尾的过程就称为封装。数据链路层被表示为LLC和MAC两个逻辑子层。在实际应用中,根据协议的不同,有时候只需要封装MAC子层的头部信息即可。而添加的帧检验序列FCS是一种错误检验机制,主要用于校验数据在传输过程中有无发生错误。当数据通过网络传输后,到达接收设备,接收方将删除添加的信息,并根据报头中的信息决定如何将数据沿协议栈上传给合适的应用程序,这个过程称为解封装。数据的封装和解封装都是逐层处理的过程,各层都会处理上层或者下层的数据,并加上或者剥离到本层的封装报头。不同设备的对等层之间依靠封装和解封装来实现现相互间的通信。
2.2 IP地址
1. IP地址概述
在计算机网络中,IP地址用于唯一标识一台网络设备,由32个二进制数字被分为4个八位数组组成,又称为4个字节。IP地址点分十进制形式表示为:192.168.10.100。它通过分层设计可以分为网络地址部分和主机地址部分这两部分。网络地址部分用于唯一地标识一个网段,或者若干网段的聚合。同一网段中的网络设备有同样的网络地址。主机地址部分用于唯一地标识同一网段内的网络设备,在网络设备拥有多个接口的情况下,则拥有标识某个特定的三层接口。
2. 子网掩码作用
子网掩码是一种用来指明IP地址的哪些位标识的是主机所在的子网,以及哪些位标识的是主机的位掩码。它的作用是将某个IP地址划分成网络地址和主机地址两部分。计算机在进行网络通信时,首先断定目标地址和自己的地址是否在同一个网段,先对自己的子网掩码和IP地址进行与运算,得到自己所在的网段,再对自己的子网掩码和目标地址进行与运算,比较网络部分与自己所在的网段是否相同。如果不相同,则不在同一个网段,封装帧时目标MAC地址使用网关的MAC地址,交换机将帧转发给路由器接口;如果相同,则直接使用目标IP地址的MAC地址封装帧,直接把帧发给目标IP地址。
3. IP地址分类
l A类IP地址:网络地址为第一个8位数组,第一个字节以“0”开始。主机地址位数为后面的3个字节24位。A类地址的范围为1.0.0.0~126.255.255.255,每一个A类网络共有224个A类IP地址。
l B类IP地址:网络地址为前两个8位数组,第一个字节以“10”开始。主机地址位数为后面的两个字节16位。B类地址的范围为128.0.0.0~191.255.255.255,每一个B类网络共有216个B类IP地址。
l C类IP地址:网络地址为前三个8位数组,第一个字节以“110”开始。主机地址位数为后面的一个字节8位。C类地址的范围为192.0.0.0~223.255.255.255,每一个C类网络共有28个C类IP地址。
l D类IP地址:第一个8位数组以“1110”开始,通常作为多播地址。
l E类IP地址:第一个字节在240~255之间,保留,用于科学研究。
目前网中经常使用的是A、B、C类IP地址,随着互联网络飞速发展,目前IP地址段已经分配完毕。因此,IETF组织推出了IPv6协议,IP地址由现在的32位扩充到128位,能够用于替代现行短缺的IPv4地址。
IP地址还定义了私网地址和公网地址。私网地址是由InterNIC预留的由各个企业内部网自由支配的IP地址。使用私网地址不能直接访问Internet。因为公网上没有针对私有地址的路由。当访问Internet时,需要利用NAT或代理技术把私网地址转换为非私网地址来对公网进行访问。私网IP地址包括:A类地址10.0.0.0~10.255.255.255,B类地址172.16.0.0~172.31.255.255,C类地址192.168.0.0~192.168.255.255。使用私网地址不仅减少用于购买公有IP地址的投入,而且节省IP地址资源。
2.3 交换机组网
交换以太网大大减少冲突域的范围,显著提升网络的性能,并且加强网络的安全性。目前交换以太网使用的网络设备是交换机和网桥。网桥用于连接物理介质类型相同的局域网。而交换机是具有多个端口的转发设备,在各个终端主机之间进行数据转发。它通过隔离冲突域,使得终端主机可以独占端口的带宽,并实现全双工通信。
1. 交换机主要功能
交换机有三个主要功能:地址学习、转发\过滤和环路避免。这三个主要功能同时被使用,共同在网络中起作用。交换机内有一张MAC(介质访问控制)地址表,表中维护了交换机端口与该端口下设备MAC地址的对应关系,交换机根据MAC地址表进行数据帧的交换转发。而对于收到的数据帧,交换机一般采用三种方式进行处理:直接转发、丢弃和泛洪。直接转发是当收到数据帧的目的MAC地址能够在转发表中查询到,并且对应的出端口与收到报文的端口不是同一个端口时,该数据帧从表项对应的出端口转发出去。丢弃是如果收到数据帧的目的MAC地址能够在转发表中查询到,而对应的出端口与收到报文的端口是同一个端口时,该数据帧被丢弃。泛洪是当收到数据帧的目的MAC地址是单播MAC地址,但在转发表中查询不到,或者收到数据帧的目的MAC地址是组播或者广播MAC地址时,数据帧向除了输入端口外的其他端口复制并且发送。
2. 交换机的交换模式
交换机有快速转发、存储转发和分段过滤三种交换模式。在快速转发模式下,交换机接收到目的地址即开始转发过程,交换机不检测错误,直接转发数据帧,延迟小。在存储转发模式下,交换机接收完整的数据帧后才开始转发过程,交换机检测错误,一旦发现错误数据包将会丢弃,数据交换延迟大,并且延迟的大小取决于数据帧的长度。在分段过滤模式下,交换机接收数据包的前64B后,根据帧头信息查表转发。
3. ARP及Proxy ARP
地址解析协议ARP是用来将IP地址映射为正确的MAC地址。ARP表项可以分为动态和静态两种类型。动态ARP是利用ARP广播报文,动态执行并自动进行IP地址到以太网MAC地址的解析,无需手动添加。静态ARP是建立IP地址和MAC地址之间固定的映射关系,在主机和路由器上不能动态调整此映射关系,需要手动添加。设备上有一个ARP高速缓存,用来存放IP地址到MAC地址的映射表,利用ARP请求和应答报文刷新映射表,以便能正确地把三层数据包封装成二层数据帧,达到快速封装数据帧、正确转发数据的目的。
在进行地址转换时,有时还要用到逆向地址解析协议RARP。它常用于无盘工作站,这些设备知道自己的MAC地址,需要获得IP地址。为了使RARP能够正常工作,在局域网中至少有一台主机需要充当RARP服务器。无盘工作站获得自己的IP地址的过程是:先向网络中广播RARP请求→RARP服务器接收广播请求→发送应答报文→无盘工作站获得IP地址。
Proxy ARP为代理ARP,当ARP请求是从一台主机发出,用以解析处于同一逻辑三层网络却不在同一物理网段上的另一台主机的硬件地址时,连接它们的具有代理ARP功能的设备就可以应答该请求,使得处于不同物理网段的主机可以正常进行通信。
2.4 虚拟局域网VLAN
虚拟局域网VLAN是一种通过将局域网内的设备逻辑而非物理地划分成一个个网段,从而实现虚拟工作组的技术。VLAN将一个物理的LAN在逻辑上划分成多个广播域。VLAN内的主机间可以直接进行通信,而VLAN间不能互通。如果需要不同VLAN间的主机互通,就必须由路由设备进行转发。VLAN技术在以太网帧的基础上增加了VLAN头,用VLAN ID(0—4095)把用户划分为更小的工作组,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性,且无须被放置在同一个物理空间里。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
1. VLAN划分方式
VLAN的划分方式也可以理解为VLAN的类型,包括:
(1)基于端口方式
交换机的每个端口配置端口默认VLAN,如果收到的是Untagged帧,则VLAN ID的取值为PVID。
(2)基于MAC地址方式
配置好MAC地址和VLAN ID的映射关系表,如果收到的是Untagged帧,则依据该表添加VLAN ID。
(3)基于协议方式
配置好以太网帧中的协议域和VLAN ID的映射关系表,如果收到的是Untagged帧,则依据该表添加VLAN ID。
(4)基于子网方式
根据报文中的IP地址信息,确定添加的VLAN ID。
(5)基于策略方式
安全性很高,可以基于MAC地址+IP地址、MAC地址+IP地址+接口。成功划分VLAN后,可以达到禁止用户改变IP地址或者MAC地址的目的。
2. VLAN端口类型
VLAN技术的出现,使得交换网络中存在了带VLAN的以太帧和不带VLAN的以太帧。因此相应地对链路做了区分,分为接入链路和干道链路。
① 接入链路(Access Link):连接用户主机和交换机的链路为接入链路。接入链路上通过的帧为不带Tag的以太网帧。
② 干道链路(Trunk Link):连接交换机和交换机的链路为干道链路。干道链路上通过的帧一般为带Tag的VLAN帧,也允许通过不带Tag的以太网帧。
基于对VLAN标签不同的处理方式,对以太网交换机的端口也做了区分,可以分为3类:
① 接入端口(Access Port):Access端口是交换机用来连接用户主机的端口,它只能连接接入链路。在同一时刻,Access端口只能归属于一个VLAN,只允许一个VLAN帧通过。Access端口接收到的都是Untagged帧,接收帧时,给帧加上Tag标记。当接收到带Tag报文时,如果VLAN ID跟默认VLAN ID相同,则接收该报文。如果跟默认VLAN ID不同,则丢弃该报文。发送帧时,将帧中的Tag标记剥离后再发送。
② 干道端口(Trunk Port):Trunk端口是交换机用来和其他交换机连接的端口。干道端口允许多个VLAN帧(带Tag标记)通过。在接收帧时,如果没有Tag,则标记上该端口的默认VLAN ID;如果有Tag,则判断该干道端口是否允许该VLAN帧进入,如果不允许进入,则丢弃该帧。在发送帧时,如果VLAN ID跟默认VLAN ID相同,则剥离VLAN;如果跟默认VLAN ID不同,则直接发送帧。
③ 混合端口(Hybrid Port):混合端口时交换机上既可以连接用户主机,也可以连接其他交换机的端口。它允许多个VLAN帧通过。在接收帧时,如果没有Tag,则标记上混合端口的默认VLAN ID;如果有Tag,则判断该混合端口是否允许该VLAN帧进入,允许则进行下一步处理,如果不允许进入,则丢弃该帧。在发送帧时,交换机判断VLAN在本端口的属性是Untag还是Tag。如果是Untag,则先剥离帧的VLAN Tag后再发送;如果是Tag,则直接发送帧。
3.路由的实现
1.路由与路由器
路由是指导IP报文从源发送到目标的路径信息,也可以理解为通过相互连接的网络把数据包从源地点移动到目标地点的过程。路由和交换虽然相似,但却是不同的概念。交换发生在OSI参考模型的数据链路层,而路由发生在网络层。两者虽然都是对数据进行转发,但是所利用的信息和处理方式方法都是不同的。
在互联网中进行路由选择或者实现路由的设备称为路由器。路由器用于连接不同网络,在不同网络间转发数据单元,是互联网络的枢纽。路由器系统构成了基于TCP/IP协议的Internet的骨架,路由器技术是网络技术中的核心部分。
1. 路由功能
路由器从端口收到报文后,去除链路层封装,交给网络层处理。网络层先检查报文是否是送给本机的,如果是则去掉网络层封装,送给上层协议处理。如果不是则根据报文的目的地址查找路由表,若找到路由,则将报文交给相应端口的数据链路层,封装端口对应的链路层协议后发送报文;若找不到路由,则将报文丢弃。因此,路由的功能包括路由表的建立、维护和查找。
2. 交换转发功能
数据在路由器内部传送与处理的过程。从路由器一个端口接收,再选择合适端口转发,其间做帧的解封装,并对数据包做相应处理。根据目的网络查找路由表,决定转发端口,做新的数据链路层封装等过程。简单的说就是在网络之间转发分组数据的过程。
3. 隔离广播功能
指定访问规则路由器以阻止广播的通过,并且可以设置访问控制列表ACL对流量进行控制。
4. 连接异种网络功能
异种网络互连支持不同的数据链路层协议。
5. 子网间的速率匹配功能
路由器具有多个端口,不同的端口具有不同的速率,路由器需要利用缓存和流控协议进行速率适配。
2. 路由表信息查看
路由器工作时依赖于路由表进行数据转发,路由表包含到达各个目标的路径信息。在路由器中,可以通过命令display ip routing-table查看路由表。路由表信息见表2-4-1:
表2-4-1路由表信息
信息 |
解释 |
目的地址Destination |
用来标志IP包的目的地址或者目的网络 |
网络掩码Mask |
与目的地址一起来标志目的主机或者路由器所在的网段地址。掩码由若干个连续的1构成,既可以用点分十进制表示,也可以用掩码中连续1的个数来表示 |
协议Protocol |
用来生成、维护路由的协议或者方式方法,如static、RIP、OSPF、IS-IS、BGP等 |
优先级Preference |
本条路由加入IP路由表的优先级。针对同一目的地址,可能存在不同下一跳、出端口的若干条路由,这些不同的路由可能是由不同的路由协议发现的,也可以是手工配置的静态路由。优先级高者将成为当前的最优路由 |
路由开销Cost |
当到达同一目的地址的多条路由具有相同优先级时,路由开销最小的将成为当前的最优路由。Preference用于不同路由协议间路由优先级的比较,Cost用于同一种路由协议内部不同路由优先级的比较。 |
下一跳IP地址NextHop |
说明IP包所经由的下一个设备 |
输出端口Interface |
说明IP包将从该路由器哪个端口转发 |
3. 路由的来源
根据路由信息产生的方式和特点,路由分为以下4种:
1. 直连路由
指与路由器直连网段的路由条目。直连路由不需要特别配置,只需要在路由器端口上设置IP地址,然后由数据链路层发现。链路层发现的路由不需要维护,减少了维护的工作。缺点是链路层只能发现端口所在的直连网段的路由,无法发现跨网段的路由,跨网段的路由需要用其他的方法获得。在路由表中,直连路由的Protocol字段显示为Direct。当给端口配置IP地址后,在路由表中出现相应的路由条目。
2. 静态路由
系统管理员手工设置的路由称为静态路由,一般是在系统安装时就根据网络的配置情况预先设定的,它不会随未来网络拓扑的改变自动改变。优点是不占用网络和系统资源,安全。缺点是当一个网络故障发生后,静态路由不会自动修正,必须由网络管理员手工逐条配置,不能自动对网络状态变化做出相应的调整。在路由表中,静态路由的Protocol字段显示为Static。
3. 动态路由
动态路由是由动态路由协议发现的路由。当网络拓扑十分复杂时,手工配置静态路由工作量大而且容易出现错误,这时候就可以用动态路由协议,让其自动发现和修改路由,无须人工维护。但动态路由协议开销大,配置复杂。网络中存在多种路由协议,如RIP、OSPF、IS-IS、BGP等,各种路由协议都有其特点和应用环境。在路由表中,动态路由的Protocol字段显示为具体的某种动态路由协议。
4. 特殊路由
特殊路由也称为默认路由,是一种特殊的路由。默认路由的网络地址和子网掩码全部为0。管理员可以通过静态方式配置默认路由,也可以在边界路由器上使用动态路由协议生成默认路由,再下发给其他路由。当路由器收到一个目的地址在路由表中查找不到的数据包时,会将数据包转发给默认路由指向的下一跳。如果路由表中不存在默认路由,则该报文将被丢弃,并向源端返回一个ICMP报文,报告该目的地址或网络不可达。
4. VLAN间通信
通过划分VLAN隔离了广播域,增强了安全性。但是划分VLAN后,不同VLAN的计算机之间的通信也相应地被阻止。因此,为了实现VLAN间的通信,必须借助于三层设备。VLAN间通信的实质就是VLAN间的路由问题。实现VLAN间路由可以采用普通路由、单臂路由和三层交换这3种方式。
1. 普通路由
为每个VLAN单独分配一个路由器端口。每个物理端口就是对应VLAN的网关,VLAN间数据通信通过路由器进行三层路由,这样就可以实现VLAN间相互通信。随着每个交换机上VLAN数量的增加,就必然需要大量的路由器端口。出于成本的考虑,不可能采用这种方案解决VLAN间路由选路问题。
2. 单臂路由
为了解决物理端口需求过大的问题,在VLAN技术的发展中,出现的单臂路由技术来实现VLAN间的通信。它只需要一个以太网端口,通过创建子端口可以承担所有VLAN的网关,从而在不同的VLAN间转发数据。但是当VLAN间的数据流量过大的时候,路由器与交换机间的链路将成为网络的瓶颈。
3. 三层交换
在实际网络搭建中,三层交换技术成为解决VLAN间通信的首选方式。三层交换机在功能上实现了VLAN的划分、VLAN内部的二层交换和VLAN间路由的功能。三层交换机通过路由表传输第一个数据流后,会产生一个MAC地址与IP地址的映射表。当同样的数据流再次通过时,将根据此表直接从二层通过而不是通过三层,从而消除了路由器进行路由选择而造成的网络延迟,提高了数据包转发效率。此外,为了保证第一次数据流通过路由表正常转发,路由表中必须有正确的路由表项。因此必须在三层交换机上部署三层端口及路由协议,实现三层路由可达,逻辑端口VLANIF由此而产生。
5. 网络地址转换NAT
网络地址转换NAT是将IP数据包报头中的IP地址转换为另一个IP地址的过程。在实际应用中,主要用于实现私有网络访问外部网络的功能。IP地址定义了私有地址和公有地址。私有地址是由InterNIC预留的由各个企业内部网自由支配的IP地址。使用私有地址不能直接访问Internet。因为公网上没有针对私有地址的路由。当访问Internet时,需要利用NAT或代理技术把私有地址转换为非私有地址来对公网进行访问。使用私有地址不仅减少用于购买公有IP地址的投入,而且节省IP地址资源。同时,NAT还可以有效地将内部网络地址对外隐藏,在NAT出口路由器上实施安全措施的机制将减小网络安全配置的工作难度。
NAT地址转换分为两种方式:NO_PAT方式和PAT方式。在NO_PAT方式下,私网地址和公网地址一一对应,不转换端口,但这并不能解决公网地址短缺的问题。PAT方式允许多个私有地址映射到同一个公有地址上。PAT映射IP地址和端口号的方式,是将来自不同内部地址的数据包映射到同一个外部地址,但它们被转换为该地址的不同端口号,因而可以共享同一个地址。
NAT隐藏了内部网络的结构,具有屏蔽内部主机的作用。但在实际应用中,可能需要提供给外部一个访问内部主机的途径。使用NAT可以灵活地添加内部服务器。外部网络的用户访问内部服务器时,NAT将请求报文内的目的地址转换成内部服务器的私有地址。对内部服务器回应报文时,NAT将回应报文的源地址(私有地址)转换成公有地址。
4. 无线网络技术
4.1 无线网络协议标准
无线局域网络WLAN主要采用IEEE802.11系列技术标准,为保持和有线网络同等级的接入速度,目前比较常用的802.11g能够提供54 MB的速率,802.11n能够提供300 MB的速率,802.11ac理论上能够提供高达1 GB的数据传输速率。
1. 802.11a标准
802. 11a标准应用多载波调制技术,是802. l1b无线联网标准的后续标准。它工作在5GHz频带,物理层速率可达54 Mb/s,传输层可达25 Mbps,可提供10 Mbps的以太网无线帧结构接口。支持语音、数据、图像业务。一个扇区可以接入多个用户,每个用户可以带多个用户终端。工作频率范围是在5. 725 GHz~5.850 GHz。在此频率范围内又划分出5个信道,每个信道的中心频率相隔20 MHz。
2. 802.11b标准
802. 11b运作模式基本分为点对点模式和基本模式。点对点模式是指站点和站点之间的通信方式。它提供11 Mbps传输速率,扩展了直接序列展频技术DSSS,用标准的补码键控CCK调制,1、2、5.5&11 Mbps数据速率,工作在2.4 GHz.支持14个信道,每个信道的中心频率相隔5 MHz,每个信道可供占用的带宽为22 MHz,3个不重叠信道(1、6、11)。
3. 802.11g标准
IEEE 802. 11g有以下两个特点:在2.4 GHz频段使用正交频分复用(OFDM)调制技术,使数据传输速率提高到20 Mbps以上;能够与IEEE 802.11b的WiFi系统互联互通,可共存于同一AP的网络里,从而保障了后向兼容性。这样原有的WLAN系统可以平滑地向高速WLAN过渡,延长了IEEE 802. 11b产品的使用寿命,降低了用户的投资。
4. 802.11n标准
802. 11n是在802. 11g和802.11a之上发展起来的一项技术,最大的特点是速率提升,理论速率最高可达600 Mbps。802.11n可工作在2.4 GHz和5 GHz两个频段,可向后兼容IEEE 802. 11a/b/g。
5. 802.11ac标准
802. llac是802. 11n的继承者。它采用并扩展了源自802. 11n的空中接口概念,包括更宽的RF带宽(提升至160 MHz)、更多的MIMO空间流(增加到8)、多用户的MIMO,以及更高阶的调制。
4.2 无线网络产品
1. 无线控制器AC
无线控制器AC用于集中控制管理无线AP,它是无线网络的核心设备。它对AP的管理包括下发配置、修改相关配置参数、射频智能管理、接入安全控制等。无线控制器可以管理多个AP,通常根据管理AP的数量、包转发率、吞吐量等指标的差异,厂商提供多种型号来给用户进行选择。
2. 无线AP
无线接入点AP是WLAN网络中的重要组成部分。无线终端可以通过AP进行终端间的数据传输,也可以通过AP的WAN端口与有线网络互通。
(1)放装型AP
它是WLAN市场上通用性最强的产品。主要特点是接入带宽高、接入用户数量大,是典型的高密度场景部署产品。适用于建筑结构简单、无特殊阻挡物品、用户相对集中的室内场合,以及对容量需求较大的区域。它可以根据不同环境灵活实施分布。
(2)墙面型AP
它是胖瘦一体化迷你型无线接入点,提供给少量用户在较小区域接入的产品。利用原有的有线网络进行无线扩容,既满足增加无线覆盖的需求,同时确保有线网络的正常使用。
(3)智分型AP
一般应用在小开间、高密度、多隔断的场景中,能够充分满足超高性能和超高并发的需求。智分型AP将信号收发通过天线完成后,由于天线分布在各个房间内,走廊无线信号较弱,传输距离有限,因此即使有多个AP也不会相互干扰。
(4)室外AP
一般采用全密闭防水、防尘、阻燃外壳设计,适合在极端的室外环境中使用。它采用抱杆式安装,设备包括AP主机、馈线、天线、防雷器等。部署在楼顶或者楼宇中部。
3. AP供电产品
IEEE定义的两种PoE 供电标准分别是IEEE802.3at和IEEE802.3af。IEEE802.3af可以为终端提供的最大功率为13 W,适用于网络电话、室内无线AP等设备。IEEE802.3at可以为终端提供的最大功率为26 W,适用于室外无线AP、视频监控系统等设备。
AP的供电方式分为PoE供电、本地供电、PoE模块供电3种。
(1)PoE供电
PoE是通过以太网网络对终端进行集中供电,AP不需要再考虑其室内电源系统布线的问题,在接入网络的同时就可以实现对设备的供电。一般由PoE交换机负责AP的数据传输和供电。PoE交换机是一种内置PoE供电模块的以太网交换机,它的优点在于节省电源布线成本,方便统一管理。PoE供电距离在100 m内。
(2)本地供电
通过AP适配的电源适配器为AP独立供电,这种供电方式不方便取电,需要充分考虑强电系统的布线和供电。
(3)PoE模块供电
通过PoE适配器负责AP的数据传输和供电,这种供电方式不需要取电,其稳定性不如PoE交换机,适用于部署少量AP施工情况。
4. AP天线类型
(1)全向天线
在水平方向图上表现为360°都均匀辐射,也就是无方向性,在垂直方向图上表现为有一定宽度的波束,一般情况下波瓣宽度越小,增益越大。
(2)定向天线
在水平方向图上表现为一定角度范围辐射,也就是有方向性。它同全向天线一样,波瓣宽度越小,增益越大。定向天线在通信系统中一般应用于通信距离远、覆盖范围小、目标密度大、频率利用率高的环境。定向天线的主要辐射范围像一个倒立的不太完整的圆锥。
(3)室内吸顶天线
室内吸顶天线尺寸很小,属于低增益天线。由于其是在天线宽带理论的基础上,借助计算机的辅助设计,以及使用网络分析仪进行调试,因此能够很好地满足在非常宽的工作频带内的驻波比要求。但在室内,由于建筑物材料固有的屏蔽作用,增加了无线信号的穿透损耗,影响了网络的信号接收和通话质量。
(4)室外全向天线
一般应用于郊县大区制的站型,覆盖范围大。
4.3 无线网络AP的组网方式
1. FAT AP
面对小型公司、办公室、家庭等无线覆盖场景,仅需要少量的AP即可实现无线网络覆盖,通常采用无线路由器组网。FAT AP的特点是将WLAN的物理层、用户数据加密、用户认证、QoS、网络管理、漫游以及其他应用层的功能集成在一起,为用户提供极简的无线接入体验。用户只需要在浏览器上按照向导进行配置,即可实现各个场景下的无线部署,但在大规模的网络应用中存在劣势,组网管理较繁杂,不支持用户的无缝漫游,所以在中大规模组网中不采用此方式。
2. FIT AP
中大规模组网中采用FIT AP组网模式,它具有方便集中管理、三层漫游、基于用户下发权限等优势。这种“无线控制器+FIT AP控制架构”的功能要求如下:
① 无线控制器负责无线网络的接入控制、转发和统计、AP的配置控制、漫游管理、网管代理和安全控制;
② FIT AP负责802.11报文的加解密、802.11的物理层功能、接受无线控制器的管理、RF空口统计等。
根据AP与AC之间的组网方式,其组网架构可以分为二层组网和三层组网两种方式。而在三层组网模式中,使用了CAPWAP协议。CAPWAP协议定义了AP和AC之间通信方式,用以实现AC对其关联的AP的集中管理和控制。协议内容包括:AP对AC的自动发现及AC&AP的状态机运行维护,AC对AP业务配置下发与管理,STA数据封装CAPWAP隧道进行转发。
4.4 无线网络相关术语
1. 服务集标识SSID
SSID服务集标识就是无线网络的名称,单个AP可以有多个SSID。SSID技术可以将一个无线局域网分为几个需要不同身份验证的子网络,每一个子网络都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网络。无线AP一般都会把 SSID广播出去,如果不想让自己的无线网络被别人搜索到,可以设置禁止SSID广播,此时无线网络仍然可以使用,只是不会出现在其他人所搜索到的可用网络列表中。要想连接该无线网络,就只能手工设置SSID。多个SSID功能就是通过设置多个SSID,实现一台无线AP布置多个无线接入点,用户可以连入不同的无线局域网,避免相互之间的干扰。实际上所有的用户连入了同一个无线AP,只不过每组SSID之间是相互隔离的。选择多SSID功能,除了可以获得多个无线局域网外,更重要的是可以保证无线网络的安全。尤其是对于小型企业用户来说,每个部门都有自己的数据隐私需求,如果共用同一个无线局域网,很容易出现数据被盗的情况,而选择了多SSID功能,每个部门都能独享专属的无线局域网,让各自的数据信息更加安全,更有保障。
2. AP密度
AP密度是指固定面积的建筑物环境下部署无线AP的数量。每一台无线AP可接入的用户数量是相对固定的,因此,无线AP的部署数量不仅需要考虑无线信号在建筑物的覆盖质量,还要根据无线用户的接入数量来确定AP的部署数量。
在不考虑无线覆盖的情况下,考虑到无线AP的无线用户接入数量上限,对于无线用户数量较多的场合就需要部署更多的AP。因此,在无线网络工程项目部署中,通常要针对AP的覆盖范围、无线用户接入数量进行综合考虑。例如,会展中心无线网络部署属于典型的高密度无线AP部署场景;仓储中心无线网络部署通常属于低密度高覆盖无线AP部署场景。
3. AP功率
在AP选型中,AP功率是个重要的指标,因为它与AP的信号强度有关。AP通过天线发射无线信号,通常,AP的发射功率越大,信号就越强,其覆盖范围就越广。典型的两款产品为室内型AP和室外型AP。室内型AP的功率普遍比室外型AP的功率要小,室外AP的功率基本都在500 mW以上,而室内AP的发射功率一般在100 mW~500 mW之间。
注意:功率越大,辐射也就越强,所以在满足信号覆盖的情况下,不建议一味地选择大功率的AP,而且AP信号的强弱不仅和功率有关,还和频段干扰、摆放位置、天线增益等有关。
4. AP信道
为避免同频干扰,AP部署时可以对多个AP进行信道规划,信道规划的作用是减少信号冲突与干扰,通常会选择水平或者垂直部署。如在同一空间的二维平面上使用三个信道的多个AP来实现任意区城无相同信道干扰的无线部署,当某个AP功率调大时,会出现部分区城有同频干扰,影响用户上网体验,这时可以通过调整无线设备的发射功率来避免这种情况的发生。但是,在三维平面上,要想在实际应用场景中实现任意区域无同频干扰是比较困难的,尤其在高密度AP部署时,还需要对所有布放AP进行功率规划,通过调整AP的发射功率来尽可能降低AP信道冲突。
4.5 WLAN安全技术
WLAN网络常见的安全威胁有:非经授权的用户使用网络服务、非法AP、数据安全和拒接服务攻击。为更好地解决以上问题,我们通常采用认证技术和加密技术来构建一个安全的无线网络。
1. WLAN认证技术
为确保只有授权用户可以通过无线接入点访问网络资源,我们采用认证技术来验证用户身份与资格,用户必须表明自己的身份,并提供可以证实其身份的凭证。通常安全性高的认证系统采用多要素认证,用户必须提供以下至少两种不同的身份凭证。
(1)开放系统认证
不对用户身份做任何验证,整个认证过程中,通信双方仅仅需要交换两个认证帧即可建立AP与客户端的连接,进而获得访问网络资源的权限。它是唯一的802.11要求必备的认证方法,也是最简单的认证方式。对于需要允许设备快速进入网络的场景,可以使用开放系统认证。
(2)共享密钥认证
要求用户设备必须支持有线等效加密,用户设备与AP必须配置匹配的静态WEP密钥。如果双方的静态WEP密钥不匹配,用户设备无法通过认证。
(3)服务集标识隐藏
SSID技术可以将一个无线局域网分为多个需要不同身份验证的子网络,每一个子网络都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,防止未经授权的用户进入本网络。而SSID隐藏则可以将无线网络的逻辑名隐藏起来。AP启用SSID隐藏后,信标帧中的SSID字段被置为空,无线客户端通过被动扫描侦听信标帧的用户设备将无法获得SSID信息。无线终端必须手动设置与AP相同的SSID才能与AP进行关联。若用户设备的SSID与AP的SSID不同,那么AP将拒绝它的接入。
(4)黑白名单认证
一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,不需要用户安装客户端软件。802.11设备均具有唯一的MAC地址,过滤不合法的MAC地址,允许特定的用户设备发送的数据分组通过。
(5)PSK认证
要求用户使用一个简单的ASCII字符串作为密钥,客户端和服务端通过能否成功解密协商的消息,来确定本端配置的预共享密钥是否和对端配置的预共享密钥相同,从而完成服务端和客户端的相互认证。
2. WLAN加密技术
在WLAN用户通过认证并被赋予访问权限后,网络必须保护用户所传送的数据不被泄露,其主要方法是对数据报文进行加密。WLAN采用的加密技术主要有:WEP加密、临时密钥完整性协议TKIP加密、加密和计数器模式密码块链信息认证码协议CCMP加密等。
4.6 DHCP技术
随着网络规模的扩大和网络复杂度的提高,计算机的数量经常超出可供分配的IP地址数量,计算机的位置也经常变化,相应的IP地址必须经常更新,因此需要应用动态主机配置协议DHCP。它的作用是为局域网中每台计算机自动分配TCP/IP协议的信息,包括IP地址、子网掩码、网关及DNS服务器等。使用DHCP协议时,终端主机无需配置,网络维护方便。
DHCP协议采用客户端/服务器体系结构,客户端靠发送广播的方式发现信息来寻找DHCP服务器,即向地址255.255.255.255发送特定的广播信息,服务器收到请求后进行响应。而路由器默认情况下是隔离广播域的,对此类报文不予处理,因此,DHCP的组网方式分为同网段和不同网段两种方式。当DHCP服务器和客户机不在同一个子网时,充当客户主机默认网关的路由器必须将广播包发送到DHCP所在的子网,即DHCP中继。标准的DHCP中继功能比较简单,只是重新封装、续传DHCP报文。
DHCP服务器支持的地址分配方式包括以上3种:
1. 手工分配
由管理员为少数特定DHCP客户端静态绑定固定的IP地址。通过DHCP服务器将所绑定的固定IP地址分配给DHCP客户端。此地址永久被该客户端使用,其他主机无法使用。
2. 自动分配
DHCP服务器为DHCP客户端动态分配租期为无限长的IP地址。只有客户端释放该地址后,该地址才能被分配给其他客户端使用。
3. 动态分配
DHCP服务器为DHCP客户端分配具有一定有效期的IP地址。如果客户端没有及时续约,到达使用期限后,此地址可能会被其他客户端使用。绝大多数客户端得到的都是这种动态分配的地址。
DHCP服务器为DHCP客户端分配IP地址时,采用的基本原则是尽可能地为客户端分配原来使用的IP地址。它采用以下顺序工作DHCP服务器数据库中与DHCP客户端的MAC地址静态绑定的IP地址"DHCP客户端曾经使用过的地址"最先找到可用的IP地址。如果以上均未找到可用的IP地址,则依次查询超过租期、发生冲突的IP地址。如果找到则进行分配,否则报告错误。