1、1,政府應(yīng)急指揮系統(tǒng)的 網(wǎng)絡(luò)通信系統(tǒng),南開大學(xué)濱海學(xué)院法政學(xué)系電政專業(yè) 張一鳴 2015年5月12日,1,2,第四章 政府應(yīng)急管理 計(jì)算機(jī)網(wǎng)絡(luò)通信,南開大學(xué)濱海學(xué)院法政學(xué)系電政專業(yè) 張一鳴 2015年5月12日,2,本章主要內(nèi)容,應(yīng)急指揮系統(tǒng)對(duì)網(wǎng)絡(luò)的要求 IP地址標(biāo)準(zhǔn)分類 標(biāo)準(zhǔn)與特殊的IP地址形式 子網(wǎng)地址規(guī)劃方法 CDIR地址規(guī)劃方法 專用網(wǎng) VPN 和網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT 內(nèi)部網(wǎng)絡(luò)IP地址規(guī)劃與地址轉(zhuǎn)換NAT方法,3,4.1 應(yīng)急指揮系統(tǒng)對(duì)網(wǎng)絡(luò)的要求,在城市應(yīng)急指揮系統(tǒng)裝備的網(wǎng)絡(luò)通信、數(shù)據(jù)處理、控制指揮裝備，屬于整個(gè)應(yīng)急指揮系統(tǒng)的支撐平臺(tái)。是及時(shí)傳遞各種突發(fā)事件信息、調(diào)度各種救災(zāi)力量和指揮

2、應(yīng)急突發(fā)事件處理的基本保障，具有不可替代的關(guān)鍵作用。它包括有：基于程控電話交換機(jī)和計(jì)算機(jī)處理系統(tǒng)的呼叫中心、基于城域網(wǎng)和廣域網(wǎng)的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、基于無線調(diào)度廣播的數(shù)字集群通信系統(tǒng)，以及現(xiàn)場(chǎng)圖形、圖像和聲音的實(shí)時(shí)采集與回送等數(shù)據(jù)傳輸技術(shù)。,4,5,政府應(yīng)急指揮系統(tǒng)系統(tǒng)組成,5,2012年4月,6,防火墻,防火墻,政府應(yīng)急指揮網(wǎng)絡(luò)通信系統(tǒng)的模型,PABX,CTI LINK,錄音系統(tǒng),GIS服務(wù)器,調(diào)度臺(tái)服務(wù)器,數(shù)據(jù)庫集群,會(huì)議系統(tǒng),專家 輔助決策,應(yīng)急預(yù)案,管理系統(tǒng) 報(bào)表系統(tǒng),指揮席位,城市應(yīng)急 指揮系統(tǒng),數(shù)據(jù)備份,社會(huì)綜合 服務(wù)系統(tǒng),防火墻,防火墻,防火墻,110指揮 分系統(tǒng),119指揮 分系統(tǒng)

3、,120指揮 分系統(tǒng),人防指揮 分系統(tǒng),6,城市應(yīng)急指揮系統(tǒng)中通信層的位置,7,2012年4月,8,城市應(yīng)急指揮系統(tǒng)的層次模型,政策與標(biāo)準(zhǔn),安全保障,服務(wù)資源及數(shù)據(jù)庫,業(yè)務(wù)應(yīng)用系統(tǒng),支撐平臺(tái),8,2012年4月,9,物理安全保障 信息資源安全保障 計(jì)算機(jī)系統(tǒng)安全保障 通信網(wǎng)絡(luò)安全保障 災(zāi)難備份中心,防火 防盜 防人為破壞 ,計(jì)算機(jī)病毒 黑客入侵 端到端加密 ,雙機(jī)熱備份 N+1冗余配置 ,多路由備份 設(shè)備冗余配置 通信網(wǎng)絡(luò)備份 ,應(yīng)急管理通信系統(tǒng)的安全保障,9,4.2 IP地址標(biāo)準(zhǔn)分類,網(wǎng)際協(xié)議 IP 是 TCP/IP 體系中兩個(gè)最主要的協(xié)議之一。與 IP 協(xié)議配套使用的還有四個(gè)協(xié)議： 地址解

4、析協(xié)議 ARP (Address Resolution Protocol) 逆地址解析協(xié)議 RARP (Reverse Address Resolution Protocol) 網(wǎng)際控制報(bào)文協(xié)議 ICMP (Internet Control Message Protocol) 網(wǎng)際組管理協(xié)議 IGMP (Internet Group Management Protocol),10,網(wǎng)際層的 IP 協(xié)議及配套協(xié)議,各種應(yīng)用層協(xié)議,網(wǎng)絡(luò)接口層,(HTTP, FTP, SMTP 等),物理硬件,運(yùn)輸層,TCP, UDP,應(yīng)用層,ICMP,IP,RARP,ARP,與各種網(wǎng)絡(luò)接口,網(wǎng)絡(luò)層 （網(wǎng)際層）,I

5、GMP,11,互連在一起的網(wǎng)絡(luò)要進(jìn)行通信，會(huì)遇到許多問題，如： 不同的尋址方案 不同的最大分組長(zhǎng)度 不同的網(wǎng)絡(luò)接入機(jī)制 不同的超時(shí)控制 不同的差錯(cuò)恢復(fù)方法 不同的狀態(tài)報(bào)告方法 不同的路由選擇技術(shù) 不同的用戶接入控制 不同的服務(wù)（面向連接服務(wù)和無連接服務(wù)） 不同的管理與控制方式,4.2.1 虛擬互連網(wǎng)絡(luò),12,中間設(shè)備又稱為中間系統(tǒng)或中繼(relay)系統(tǒng)。包括： 物理層中繼系統(tǒng)：轉(zhuǎn)發(fā)器(repeater)。 數(shù)據(jù)鏈路層中繼系統(tǒng)：網(wǎng)橋或橋接器(bridge)。 網(wǎng)絡(luò)層中繼系統(tǒng)：路由器(router)。 網(wǎng)橋和路由器的混合物：橋路器(brouter)。 網(wǎng)絡(luò)層以上的中繼系統(tǒng)：網(wǎng)關(guān)(gateway)

6、。,把網(wǎng)絡(luò)互相連接起來 要使用一些中間設(shè)備,13,當(dāng)中繼系統(tǒng)是轉(zhuǎn)發(fā)器或網(wǎng)橋時(shí)，一般并不稱之為網(wǎng)絡(luò)互連，因?yàn)檫@僅僅是把一個(gè)網(wǎng)絡(luò)擴(kuò)大了，而這仍然是一個(gè)網(wǎng)絡(luò)。 網(wǎng)關(guān)由于比較復(fù)雜，目前使用得較少。 互聯(lián)網(wǎng)都是指用路由器進(jìn)行互連的網(wǎng)絡(luò)。 由于歷史的原因，許多有關(guān) TCP/IP 的文獻(xiàn)將網(wǎng)絡(luò)層使用的路由器稱為網(wǎng)關(guān)。,網(wǎng)絡(luò)互連使用路由器,14,互連網(wǎng)絡(luò)與虛擬互連網(wǎng)絡(luò),網(wǎng)絡(luò),網(wǎng)絡(luò),網(wǎng)絡(luò),網(wǎng)絡(luò),網(wǎng)絡(luò),(a) 互連網(wǎng)絡(luò),(b) 虛擬互連網(wǎng)絡(luò),路由器,虛擬互連網(wǎng)絡(luò) （互聯(lián)網(wǎng)）,15,虛擬互連網(wǎng)絡(luò)的意義,所謂虛擬互連網(wǎng)絡(luò)也就是邏輯互連網(wǎng)絡(luò)，它的意思就是互連起來的各種物理網(wǎng)絡(luò)的異構(gòu)性本來是客觀存在的，但是我們利用 IP

7、 協(xié)議就可以使這些性能各異的網(wǎng)絡(luò)從用戶看起來好像是一個(gè)統(tǒng)一的網(wǎng)絡(luò)。 使用 IP 協(xié)議的虛擬互連網(wǎng)絡(luò)可簡(jiǎn)稱為 IP 網(wǎng)。 使用虛擬互連網(wǎng)絡(luò)的好處是：當(dāng)互聯(lián)網(wǎng)上的主機(jī)進(jìn)行通信時(shí)，就好像在一個(gè)網(wǎng)絡(luò)上通信一樣，而看不見互連的各具體的網(wǎng)絡(luò)異構(gòu)細(xì)節(jié)。,16,5 4 3 2 1,主機(jī) H1,主機(jī) H2,R1,R4,R5,R2,R3,R1,R2,R3,H1,R5,H2,R4,間接交付,間接交付,間接交付,間接交付,間接交付,直接交付,分組在互聯(lián)網(wǎng)中的傳送,從網(wǎng)絡(luò)層看 IP 數(shù)據(jù)報(bào)的傳送,如果我們只從網(wǎng)絡(luò)層考慮問題，那么 IP 數(shù)據(jù)報(bào)就可以想象是在網(wǎng)絡(luò)層中傳送。,網(wǎng)絡(luò)層,網(wǎng)絡(luò)層,網(wǎng)絡(luò)層,網(wǎng)絡(luò)層,網(wǎng)絡(luò)層,網(wǎng)絡(luò)層,

8、網(wǎng)絡(luò)層,IP 數(shù)據(jù)報(bào),H1,R1,R2,R3,R4,R5,H2,18,4.2.2 分類的 IP 地址 1. IP 地址及其表示方法,我們把整個(gè)因特網(wǎng)看成為一個(gè)單一的、抽象的網(wǎng)絡(luò)。IP 地址就是給每個(gè)連接在因特網(wǎng)上的主機(jī)（或路由器）分配一個(gè)在全世界范圍是唯一的 32 位的標(biāo)識(shí)符。 IP 地址現(xiàn)在由因特網(wǎng)名字與號(hào)碼指派公司ICANN (Internet Corporation for Assigned Names and Numbers)進(jìn)行分配,19,IP 地址的編址方法,分類的 IP 地址。這是最基本的編址方法，在 1981 年就通過了相應(yīng)的標(biāo)準(zhǔn)協(xié)議。 子網(wǎng)的劃分。這是對(duì)最基本的編址方法的改進(jìn)

9、，其標(biāo)準(zhǔn)RFC 950在 1985 年通過。 構(gòu)成超網(wǎng)。這是比較新的無分類編址方法。1993 年提出后很快就得到推廣應(yīng)用。,20,分類 IP 地址,每一類地址都由兩個(gè)固定長(zhǎng)度的字段組成，其中一個(gè)字段是網(wǎng)絡(luò)號(hào) net-id，它標(biāo)志主機(jī)（或路由器）所連接到的網(wǎng)絡(luò)，而另一個(gè)字段則是主機(jī)號(hào) host-id，它標(biāo)志該主機(jī)（或路由器）。 兩級(jí)的 IP 地址可以記為： IP 地址 := , (4-1),:= 代表“定義為”,21,net-id 24 位,host-id 24 位,net-id 16 位,net-id 8 位,IP 地址中的網(wǎng)絡(luò)號(hào)字段和主機(jī)號(hào)字段,0,A 類地址,host-id 16 位,B

10、類地址,C 類地址,0,1,1,D 類地址,1 1 1 0,多 播 地 址,E 類地址,保 留 為 今 后 使 用,1 1 1 1,0,1,點(diǎn)分十進(jìn)制記法,采用點(diǎn)分十進(jìn)制記法 則進(jìn)一步提高可讀性,1,128 11 3 31,將每 8 位的二進(jìn)制數(shù) 轉(zhuǎn)換為十進(jìn)制數(shù),23,常用的三種類別的 IP 地址,IP 地址的使用范圍,網(wǎng)絡(luò) 最大 第一個(gè) 最后一個(gè) 每個(gè)網(wǎng)絡(luò) 類別 網(wǎng)絡(luò)數(shù) 可用的 可用的 中最大的 網(wǎng)絡(luò)號(hào) 網(wǎng)絡(luò)號(hào) 主機(jī)數(shù) A 126 (27 2) 1 126 16,777,214 B 16,383(214 1) 128.1 191.255 65,534 C 2,097,15

11、1 (221 1) 192.0.1 218.255.255 254,24,IP 地址的一些重要特點(diǎn),(1) IP 地址是一種分等級(jí)的地址結(jié)構(gòu)。分兩個(gè)等級(jí)的好處是： 第一，IP 地址管理機(jī)構(gòu)在分配 IP 地址時(shí)只分配網(wǎng)絡(luò)號(hào)，而剩下的主機(jī)號(hào)則由得到該網(wǎng)絡(luò)號(hào)的單位自行分配。這樣就方便了 IP 地址的管理。 第二，路由器僅根據(jù)目的主機(jī)所連接的網(wǎng)絡(luò)號(hào)來轉(zhuǎn)發(fā)分組（而不考慮目的主機(jī)號(hào)），這樣就可以使路由表中的項(xiàng)目數(shù)大幅度減少，從而減小了路由表所占的存儲(chǔ)空間。,25,IP 地址的一些重要特點(diǎn)(續(xù)1),(2)實(shí)際上 IP 地址是標(biāo)志一個(gè)主機(jī)（或路由器）和一條鏈路的接口。 當(dāng)一個(gè)主機(jī)同時(shí)連接到兩個(gè)網(wǎng)絡(luò)上時(shí)，該主機(jī)

12、就必須同時(shí)具有兩個(gè)相應(yīng)的 IP 地址，其網(wǎng)絡(luò)號(hào) net-id 必須是不同的。這種主機(jī)稱為多歸屬主機(jī)(multihomed host)。 由于一個(gè)路由器至少應(yīng)當(dāng)連接到兩個(gè)網(wǎng)絡(luò)（這樣它才能將 IP 數(shù)據(jù)報(bào)從一個(gè)網(wǎng)絡(luò)轉(zhuǎn)發(fā)到另一個(gè)網(wǎng)絡(luò)），因此一個(gè)路由器至少應(yīng)當(dāng)有兩個(gè)不同的IP地址。,26,(3) 用轉(zhuǎn)發(fā)器或網(wǎng)橋連接起來的若干個(gè)局域網(wǎng)仍為一個(gè)網(wǎng)絡(luò)，因此這些局域網(wǎng)都具有同樣的網(wǎng)絡(luò)號(hào) net-id。 (4) 所有分配到網(wǎng)絡(luò)號(hào) net-id 的網(wǎng)絡(luò)，范圍很小的局域網(wǎng)，還是可能覆蓋很大地理范圍的廣域網(wǎng)，都是平等的。,IP 地址的一些重要特點(diǎn)(續(xù)2),27,互聯(lián)網(wǎng)中的 IP 地址,B,222.1.1.,222.1

13、.1.1,,,,R1,,,,,,222.1.2.,,,,,,,,,,R3,R2,222.1.3.,LAN3,N3,N2,222.1.4.,222.1.5.,222.1.6.,N1,LAN2,LAN1,互聯(lián)網(wǎng),在同一個(gè)局域網(wǎng)上的主機(jī)或路由器的 IP 地址中的網(wǎng)絡(luò)號(hào)必須是一樣的。 圖中的網(wǎng)絡(luò)號(hào)就是

14、 IP 地址中的 net-id,IP1,HA1,HA5,HA4,HA3,HA6,HA2,IP6,主機(jī) H1,主機(jī) H2,路由器 R1,IP 層上的互聯(lián)網(wǎng),IP2,IP4,IP3,IP5,路由器 R2,IP 數(shù)據(jù)報(bào),IP層抽象的互聯(lián)網(wǎng)屏蔽了下層很復(fù)雜的細(xì)節(jié) 在抽象的網(wǎng)絡(luò)層上討論問題，就能夠使用 統(tǒng)一的、抽象的 IP 地址 研究主機(jī)和主機(jī)或主機(jī)和路由器之間的通信,4.3 標(biāo)準(zhǔn)與特殊的IP地址形式,標(biāo)準(zhǔn)的IP地址由32位二進(jìn)制數(shù)值組成（4個(gè)字節(jié)），但為了方便用戶的理解和記憶，它采用了點(diǎn)分十進(jìn)制標(biāo)記法，即將4個(gè)字節(jié)的二進(jìn)制數(shù)值轉(zhuǎn)換為4個(gè)十進(jìn)制數(shù)值，每個(gè)數(shù)值小于等于255，數(shù)值中間用“.”隔開，表示為w

15、.x.y.z的形式。如下圖所示。,30,IP地址的直觀表示法,第一字節(jié),第二字節(jié),第三字節(jié),第四字節(jié),w.x.y.z,例如，二進(jìn)制IP地址： 字節(jié)1 字節(jié)2 字節(jié)3 字節(jié)4 11001010 01011101 01111000 00101100 用點(diǎn)分十進(jìn)制標(biāo)記法表示成：4 它為一個(gè)C類IP地址，前3個(gè)字節(jié)為網(wǎng)絡(luò)號(hào)，后一字節(jié)為主機(jī)號(hào),31,特殊的IP地址形式,1.網(wǎng)絡(luò)地址：包含一個(gè)有效的網(wǎng)絡(luò)號(hào)和一個(gè)全“0”的主機(jī)號(hào)，用來表示一個(gè)具體的網(wǎng)絡(luò)。如一個(gè)具有IP地址4的主機(jī)所處的網(wǎng)絡(luò)為，它的主機(jī)號(hào)為44。 2.廣播地址：IP具有兩

16、種廣播地址形式：直接廣播地址和有限廣播地址。 直接廣播地址包含一個(gè)有效的網(wǎng)絡(luò)號(hào)和一個(gè)全“1”的主機(jī)號(hào)，其作用是向互聯(lián)網(wǎng)上的其他主機(jī)廣播信息。如C類地址55就是一個(gè)直接廣播地址，互聯(lián)網(wǎng)上的主機(jī)可以使用該地址向網(wǎng)絡(luò)上的所有主機(jī)廣播信息。 32位全為“1”的IP地址（55）為有限廣播地址，用于本網(wǎng)廣播。若采用標(biāo)準(zhǔn)的IP編址，有限廣播在本網(wǎng)之中；若采用子網(wǎng)編址，有限廣播在本子網(wǎng)之中。,32,特殊的IP地址形式,3.回送地址：A類地址是一個(gè)保留地址，用于網(wǎng)絡(luò)軟件測(cè)試及本機(jī)器進(jìn)程間通信，稱為回送地址。一旦使用回送地

17、址發(fā)送數(shù)據(jù)，協(xié)議軟件不進(jìn)行任何網(wǎng)絡(luò)傳輸，立即將之返回，含有127網(wǎng)絡(luò)號(hào)的數(shù)據(jù)報(bào)不可能出現(xiàn)在任何網(wǎng)絡(luò)上。 4.本地地址：有些IP地址不分配給互聯(lián)網(wǎng)用戶，如10.XXX.XXX.XXX、192.168.XXX.XXX，可在本地內(nèi)部互聯(lián)網(wǎng)中使用。一旦與互聯(lián)網(wǎng)互聯(lián)，必須將這些IP地址轉(zhuǎn)換為可在互聯(lián)網(wǎng)中使用的IP地址。,33,1. 從兩級(jí) IP 地址到三級(jí) IP 地址 在ARPANET的早期，IP地址的設(shè)計(jì)不夠合理。 IP 地址空間的利用率有時(shí)很低，浪費(fèi)太多。 給每一個(gè)物理網(wǎng)絡(luò)分配一個(gè)網(wǎng)絡(luò)號(hào)會(huì)使路由表變得太大因而使網(wǎng)絡(luò)性能變壞。 兩級(jí)的 IP 地址不夠靈活。,4.4 子網(wǎng)地址規(guī)劃方法,34,按照標(biāo)準(zhǔn)分類

18、的IP地址，如果是只有2臺(tái)主機(jī)的網(wǎng)絡(luò)需要連接到互聯(lián)網(wǎng)上，就需要申請(qǐng)一個(gè)C類地址，則此C類地址的有效利用率只有2/255=0.78%。而又256臺(tái)主機(jī)的網(wǎng)絡(luò)，就需要申請(qǐng)一個(gè)B類地址。則此B類地址的有效利用率只有256/65535=0.39%?？梢娖淅寐史浅５拖?。,標(biāo)準(zhǔn)分類IP地址的缺陷,35,從 1991年起在 IP 地址中又增加了一個(gè)“子網(wǎng)號(hào)字段”，即把一個(gè)大的網(wǎng)絡(luò)劃分為幾個(gè)較小的網(wǎng)絡(luò)，使兩級(jí)的 IP 地址變成為“網(wǎng)絡(luò)號(hào)-子網(wǎng)號(hào)-主機(jī)號(hào)”的三級(jí)的IP地址。 這種做法叫作劃分子網(wǎng)(subnetting) 。劃分子網(wǎng)已成為因特網(wǎng)的正式標(biāo)準(zhǔn)協(xié)議。,三級(jí)的 IP 地址,36,劃分子網(wǎng)純屬一個(gè)單位內(nèi)部

19、的事情。單位對(duì)外仍然表現(xiàn)為沒有劃分子網(wǎng)的網(wǎng)絡(luò)。 從主機(jī)號(hào)借用若干個(gè)位作為子網(wǎng)號(hào) subnet-id，而主機(jī)號(hào) host-id 也就相應(yīng)減少了若干個(gè)位。 IP地址 := , , (4-2),劃分子網(wǎng)的基本思路,37,凡是從其他網(wǎng)絡(luò)發(fā)送給本單位某個(gè)主機(jī)的 IP 數(shù)據(jù)報(bào)，仍然是根據(jù) IP 數(shù)據(jù)報(bào)的目的網(wǎng)絡(luò)號(hào) net-id，先找到連接在本單位網(wǎng)絡(luò)上的路由器。 然后此路由器在收到 IP 數(shù)據(jù)報(bào)后，再按目的網(wǎng)絡(luò)號(hào) net-id 和子網(wǎng)號(hào) subnet-id 找到目的子網(wǎng)。 最后就將 IP 數(shù)據(jù)報(bào)直接交付目的主機(jī)。,劃分子網(wǎng)的基本思路（續(xù)）,38,0,1,145.13

20、.3.101,4,5,6,8,,,所有到網(wǎng)絡(luò) 的分組均到達(dá)此路由器,我的網(wǎng)絡(luò)地址 是 ,R1,R3,R2,一個(gè)未劃分子網(wǎng)的 B 類網(wǎng)絡(luò),劃分為三個(gè)子網(wǎng)后對(duì)外仍是一個(gè)網(wǎng)絡(luò),0,1,01,4,5,6,8,,,子網(wǎng) 145.13.21

21、.0,子網(wǎng) ,子網(wǎng) ,所有到達(dá)網(wǎng)絡(luò) 的分組均到達(dá) 此路由器,網(wǎng)絡(luò) ,R1,R3,R2,當(dāng)沒有劃分子網(wǎng)時(shí)，IP 地址是兩級(jí)結(jié)構(gòu)。 劃分子網(wǎng)后 IP 地址就變成了三級(jí)結(jié)構(gòu)。 劃分子網(wǎng)只是把 IP 地址的主機(jī)號(hào) host-id 這部分進(jìn)行再劃分，而不改變 IP 地址原來的網(wǎng)絡(luò)號(hào) net-id。,劃分子網(wǎng)后變成了三級(jí)結(jié)構(gòu),41,從一個(gè) IP 數(shù)據(jù)報(bào)的首部并無法判斷源主機(jī)或目的主機(jī)所連接的網(wǎng)絡(luò)是否進(jìn)行了子網(wǎng)劃分。 使用子網(wǎng)掩碼(subnet mask)可以找出 IP 地址中的子網(wǎng)部分。,2. 子網(wǎng)掩碼,42,IP 地址的各

22、字段和子網(wǎng)掩碼,145 . 13 .,3 . 10,兩級(jí) IP 地址,子網(wǎng)號(hào)為 3 的網(wǎng)絡(luò)的網(wǎng)絡(luò)號(hào),三級(jí) IP 地址,主機(jī)號(hào),子網(wǎng)掩碼,net-id,host-id,子網(wǎng)的 網(wǎng)絡(luò)地址,0,net-id,subnet-id,host-id,145 . 13 .,145 . 13 . 3,3 . 10,43,(IP 地址) AND (子網(wǎng)掩碼) = 網(wǎng)絡(luò)地址,網(wǎng)絡(luò)號(hào) net-id,主機(jī)號(hào) host-id,兩級(jí) IP 地址,網(wǎng)絡(luò)號(hào),三級(jí) IP 地址,主機(jī)號(hào),子網(wǎng)號(hào),子網(wǎng)掩碼,子網(wǎng)的 網(wǎng)絡(luò)地址,net-id,subnet-id,0,逐位進(jìn)行 AND 運(yùn)算,44,1 1 1 1 1 1 1 1 1 1

23、1 1 1 1 1 1 1 1 1 1 1 1 1 1,0 0 0 0 0 0 0 0,0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0,1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1,1 1 1 1 1 1 1 1,0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0,net-id,net-id,host-id 為全 0,net-id,網(wǎng)絡(luò)地址,A 類 地 址,默認(rèn)子網(wǎng)掩碼 ,網(wǎng)絡(luò)地址,B 類 地 址,默認(rèn)子網(wǎng)掩碼 ,網(wǎng)絡(luò)地址,C 類 地 址,默認(rèn)子網(wǎng)掩碼 255.255.255.

24、0,host-id 為全 0,host-id 為全 0,默認(rèn)子網(wǎng)掩碼,子網(wǎng)掩碼是一個(gè)重要屬性,子網(wǎng)掩碼是一個(gè)網(wǎng)絡(luò)或一個(gè)子網(wǎng)的重要屬性。 路由器在和相鄰路由器交換路由信息時(shí)，必須把自己所在網(wǎng)絡(luò)（或子網(wǎng)）的子網(wǎng)掩碼告訴相鄰路由器。 路由器的路由表中的每一個(gè)項(xiàng)目，除了要給出目的網(wǎng)絡(luò)地址外，還必須同時(shí)給出該網(wǎng)絡(luò)的子網(wǎng)掩碼。 若一個(gè)路由器連接在兩個(gè)子網(wǎng)上就擁有兩個(gè)網(wǎng)絡(luò)地址和兩個(gè)子網(wǎng)掩碼。,46,141 . 14 . 0 1 0 0 0 0 0 0,1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0 0,【例4-2】已知 IP 地址是 4，子網(wǎng)

25、掩碼是 。試求網(wǎng)絡(luò)地址。,(a) 點(diǎn)分十進(jìn)制表示的 IP 地址,(c) 子網(wǎng)掩碼是 ,0 0 0 0 0 0 0 0,141 . 14 .,72 . 24,141 . 14 .,64 . 0,. 0,0 1 0 0 1 0 0 0,141 . 14 .,. 24,(b) IP 地址的第 3 字節(jié)是二進(jìn)制,(d) IP 地址與子網(wǎng)掩碼逐位相與,(e) 網(wǎng)絡(luò)地址（點(diǎn)分十進(jìn)制表示）,141 . 14 . 0 1 0 0 0 0 0 0,1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0,【例4-3】在上例

26、中，若子網(wǎng)掩碼改為。試求網(wǎng)絡(luò)地址，討論所得結(jié)果。,(a) 點(diǎn)分十進(jìn)制表示的 IP 地址,(c) 子網(wǎng)掩碼是 ,0 0 0 0 0 0 0 0,141 . 14 .,72 . 24,141 . 14 .,64 . 0,. 0,0 1 0 0 1 0 0 0,141 . 14 .,. 24,(b) IP 地址的第 3 字節(jié)是二進(jìn)制,(d) IP 地址與子網(wǎng)掩碼逐位相與,(e) 網(wǎng)絡(luò)地址（點(diǎn)分十進(jìn)制表示）,不同的子網(wǎng)掩碼得出相同的網(wǎng)絡(luò)地址。 但不同的掩碼的效果是不同的。,4.5 虛擬專用網(wǎng) VPN 和 網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT 4.5.1 虛擬專用網(wǎng)

27、VPN,本地地址僅在機(jī)構(gòu)內(nèi)部使用的 IP 地址，可以由本機(jī)構(gòu)自行分配，而不需要向因特網(wǎng)的管理機(jī)構(gòu)申請(qǐng)。 全球地址全球唯一的IP地址，必須向因特網(wǎng)的管理機(jī)構(gòu)申請(qǐng)。,49,RFC 1918 指明的專用地址(private address), 到 55 到 55 到 55 這些地址只能用于一個(gè)機(jī)構(gòu)的內(nèi)部通信，而不能用于和因特網(wǎng)上的主機(jī)通信。 專用地址只能用作本地地址而不能用作全球地址。在因特網(wǎng)中的所有路由器對(duì)目的地址是專用地址的數(shù)據(jù)報(bào)一律不進(jìn)行轉(zhuǎn)發(fā)。,50,用隧道技

28、術(shù)實(shí)現(xiàn)虛擬專用網(wǎng),部門 A,因特網(wǎng),部門 B,R1,R2,隧道,使用隧道技術(shù),本地地址,本地地址,全球地址,網(wǎng)絡(luò)地址 = （本地地址）,網(wǎng)絡(luò)地址 = （本地地址）,51,用隧道技術(shù)實(shí)現(xiàn)虛擬專用網(wǎng),部門 A,因特網(wǎng),部門 B,R1,R2,隧道,使用隧道技術(shù),加密的從 X 到 Y 的內(nèi)部數(shù)據(jù)報(bào),外部數(shù)據(jù)報(bào)的數(shù)據(jù)部分,源地址： 目的地址：,數(shù)據(jù)報(bào)首部,內(nèi)聯(lián)網(wǎng) intranet 和外聯(lián)網(wǎng) extranet （都是基于 TCP/IP 協(xié)議）,由部門 A 和 B 的內(nèi)部網(wǎng)絡(luò)所構(gòu)成的虛擬專用網(wǎng) VPN 又稱為內(nèi)聯(lián)網(wǎng)(intranet)，

29、表示部門 A 和 B 都是在同一個(gè)機(jī)構(gòu)的內(nèi)部。 一個(gè)機(jī)構(gòu)和某些外部機(jī)構(gòu)共同建立的虛擬專用網(wǎng) VPN 又稱為外聯(lián)網(wǎng)(extranet)。,53,遠(yuǎn)程接入VPN (remote access VPN),有的公司可能沒有分布在不同場(chǎng)所的部門，但有很多流動(dòng)員工在外地工作。公司需要和他們保持聯(lián)系，遠(yuǎn)程接入 VPN 可滿足這種需求。 在外地工作的員工撥號(hào)接入因特網(wǎng)，而駐留在員工 PC 機(jī)中的 VPN 軟件可在員工的 PC 機(jī)和公司的主機(jī)之間建立 VPN 隧道，因而外地員工與公司通信的內(nèi)容是保密的，員工們感到好像就是使用公司內(nèi)部的本地網(wǎng)絡(luò)。,54,4.5.2 網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT (Network Addr

30、ess Translation),網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT 方法于1994年提出。 需要在專用網(wǎng)連接到因特網(wǎng)的路由器上安裝 NAT 軟件。裝有 NAT 軟件的路由器叫做 NAT路由器，它至少有一個(gè)有效的外部全球地址 IPG。 所有使用本地地址的主機(jī)在和外界通信時(shí)都要在 NAT 路由器上將其本地地址轉(zhuǎn)換成 IPG 才能和因特網(wǎng)連接。,55,網(wǎng)絡(luò)地址轉(zhuǎn)換的過程,內(nèi)部主機(jī) X 用本地地址 IPX 和因特網(wǎng)上主機(jī) Y 通信所發(fā)送的數(shù)據(jù)報(bào)必須經(jīng)過 NAT 路由器。 NAT 路由器將數(shù)據(jù)報(bào)的源地址 IPX 轉(zhuǎn)換成全球地址 IPG，但目的地址 IPY 保持不變，然后發(fā)送到因特網(wǎng)。 NAT 路由器收到主機(jī) Y 發(fā)

31、回的數(shù)據(jù)報(bào)時(shí)，知道數(shù)據(jù)報(bào)中的源地址是 IPY 而目的地址是 IPG。 根據(jù) NAT 轉(zhuǎn)換表，NAT 路由器將目的地址 IPG 轉(zhuǎn)換為 IPX，轉(zhuǎn)發(fā)給最終的內(nèi)部主機(jī) X。,56,4.6 內(nèi)部網(wǎng)絡(luò)IP地址規(guī)劃 4.6.1 全局IP地址與專用IP地址,全局IP地址與專用IP地址的區(qū)別主要表現(xiàn)在： （1）使用IP地址的網(wǎng)絡(luò)課分為兩種情況：一是將網(wǎng)絡(luò)直接連接到互聯(lián)網(wǎng)；另一種是不直接連到互聯(lián)網(wǎng)，也使用TCP/IP 協(xié)議，但是內(nèi)部網(wǎng)絡(luò)。 每臺(tái)連接到互聯(lián)網(wǎng)的用戶主機(jī)都需要有一個(gè)標(biāo)準(zhǔn)的全局IP地址，它是分組時(shí)在互聯(lián)網(wǎng)上傳輸時(shí)使用的IP地址。專用IP地址只能用于一個(gè)機(jī)構(gòu)，單位的內(nèi)部網(wǎng)絡(luò)，不能用于互聯(lián)網(wǎng)上。,57,

32、全局IP地址與專用IP地址的區(qū)別,（2）使用全局IP地址是需要申請(qǐng)并繳費(fèi)的，而專用IP地址是不需要申請(qǐng)的，也不需要繳費(fèi)。互聯(lián)網(wǎng)管理機(jī)構(gòu)在IP地址空間中預(yù)留了一些空間地址給專用網(wǎng)絡(luò)使用。具體參見下表。,58,全局IP地址與專用IP地址的區(qū)別,（3）全局IP地址是必須保證在互聯(lián)網(wǎng)上是唯一的，而專用IP地址在某一個(gè)網(wǎng)絡(luò)內(nèi)部是唯一的，但是在互聯(lián)網(wǎng)中并不是唯一的。 IPv4為專用的內(nèi)部網(wǎng)絡(luò)預(yù)留的IP地址有3組。第一組是A類的一個(gè)地址塊，其空間為 55;第二組是B類的16個(gè)地址塊，其空間為172.16 172.31；第三組是C類的256個(gè)地址塊，其空間為192.168.0 192.168.255。,59,單位內(nèi)部專用IP地址的規(guī)劃,已知某公司的內(nèi)部網(wǎng)絡(luò)專用IP地址規(guī)劃需求： 1、該公司分為總部、各銷售與配送分中心、零售商店等3層結(jié)構(gòu)。 2、公司總部主干網(wǎng)上有15個(gè)LAN，總共有180臺(tái)計(jì)算機(jī)與其他聯(lián)網(wǎng)設(shè)備。 3、公司在18個(gè)地區(qū)設(shè)有銷售與配送分中心。每個(gè)分中心通過2條數(shù)據(jù)