第17卷第4期電腦開發(fā)與應(yīng)用(總193) ●35.子網(wǎng)互連的實(shí)現(xiàn)技術(shù)Implementation of Subnet Interconnction Technology李淑琴(太原西峪煤礦太原030021)[摘要]同一單位內(nèi)數(shù)個(gè)局域網(wǎng)的互連將提高資源共享的程度和網(wǎng)絡(luò)功能的發(fā)揮。介紹了子網(wǎng)互連需要滿足的基本要求和目前常用的幾種互連設(shè)備,著重闡述了不同應(yīng)用環(huán)境下通過不同互連設(shè)備實(shí)現(xiàn)的網(wǎng)絡(luò)互連。[關(guān)鍵詞]網(wǎng)絡(luò)互連，通信，網(wǎng)橋，路由器，網(wǎng)關(guān)ABSTRACT Interconnection of several local area networks in a company will increase the degree of resource sharing and full - useof network function. This paper presents the basic requirement for subnet interconnection and several interconnection equipmentsthat are presently adopted ,and gives more description about implementation of network interconnection of different interconnectionequipment under different environments.KEY WORDS network interconnection, communication, net bridge， router， net隨著局域網(wǎng)使用的普及,在同一單位內(nèi)建有數(shù)個(gè)蹤多種網(wǎng)絡(luò)和路由器的使用情況并顯示現(xiàn)實(shí)狀況信局域網(wǎng)的現(xiàn)象已屢見不鮮。此時(shí),用戶從共享網(wǎng)絡(luò)資源息;的角度出發(fā),希望將它們互連起來,構(gòu)成一個(gè)互聯(lián)網(wǎng)的④網(wǎng)絡(luò)互連設(shè)備應(yīng)該能夠協(xié)調(diào)不同網(wǎng)絡(luò)之間的各環(huán)境，以實(shí)現(xiàn)局域網(wǎng)間的通信及擴(kuò)展局域網(wǎng)的范圍。計(jì)種差異。這些差異包括不同的尋址方式,不同的數(shù)據(jù)包算機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)互連之后,不僅可以使用戶能夠更廣泛、的尺寸,不同的網(wǎng)絡(luò)訪問機(jī)制、狀態(tài)顯示、路由技術(shù)、用更有效地實(shí)現(xiàn)資源共享,而且可以從整體上提高網(wǎng)絡(luò)戶訪問機(jī)制、糾錯(cuò)能力以及面向連接與面向非連接的的可靠性，充分發(fā)揮它的網(wǎng)絡(luò)功能。操作等。1網(wǎng)絡(luò)互連的基本概念3子網(wǎng)互連設(shè)備將分布在不同地理位置的同構(gòu)或異構(gòu)網(wǎng)絡(luò)連接起實(shí)現(xiàn)網(wǎng)絡(luò)相互連接的設(shè)備叫網(wǎng)絡(luò)互連設(shè)備,又被來,以構(gòu)成更大規(guī)模的互聯(lián)網(wǎng)來說,實(shí)現(xiàn)網(wǎng)絡(luò)資源的共稱為中繼系統(tǒng)。它連接著兩個(gè)或多個(gè)不同的網(wǎng)絡(luò),起著享,這一方案稱為網(wǎng)絡(luò)互連?；ヂ?lián)網(wǎng)既有包含幾個(gè)網(wǎng)絡(luò)不同網(wǎng)絡(luò)之間數(shù)據(jù)傳送和終止每個(gè)網(wǎng)絡(luò)內(nèi)部協(xié)議的作的互聯(lián)網(wǎng),最典型的就是-一個(gè)單位內(nèi)數(shù)個(gè)子網(wǎng)的互連,用。依據(jù)網(wǎng)絡(luò)互連設(shè)備在不同的層次上實(shí)現(xiàn)協(xié)議和功也有包含上千個(gè)網(wǎng)絡(luò)的互聯(lián)網(wǎng)。對網(wǎng)絡(luò)用戶來說,互聯(lián)能的轉(zhuǎn)換，可將它分為以下四種:網(wǎng)結(jié)構(gòu)是透明的。①轉(zhuǎn)接器(REPEATER)在物理層實(shí)現(xiàn)中繼功能。2子網(wǎng)互連的基本要求②網(wǎng)橋(BRIDGE)在數(shù) 據(jù)鏈路層實(shí)現(xiàn)中繼功能?，F(xiàn)有的各種類型的網(wǎng)絡(luò)在性能或功能上都存在著③路由器(ROUTER)在網(wǎng)絡(luò)層實(shí)現(xiàn)中繼功能。不同程度的差異,因此將它們互連起來必須克服它們④網(wǎng)關(guān)(GATEWAY)在網(wǎng)絡(luò)層以上層次實(shí)現(xiàn)之間的差異給彼此通信帶來的影響。隨著網(wǎng)絡(luò)技術(shù)的中繼功能。不斷發(fā)展,網(wǎng)絡(luò)互連的方法也日益增多,但其基本要求無論在哪一個(gè)層次實(shí)現(xiàn)中繼功能,其實(shí)現(xiàn)的復(fù)雜可以歸納為:性取決于網(wǎng)絡(luò)之間在數(shù)據(jù)格式和協(xié)議規(guī)范等方面的差①至少在網(wǎng)絡(luò)之間提供一種物理鏈路控制的連異程度。接;②為不同網(wǎng)絡(luò)的進(jìn)程間的通信提供合適的路由控4中國煤化工絡(luò)互連的技術(shù)HCNMHG制和數(shù)據(jù)交換;連接器是在物理層實(shí)現(xiàn)中繼功能的互連設(shè)備,目③為網(wǎng)間通信提供良好的服務(wù)機(jī)制，包括能夠跟前已不常用。在此不作詳細(xì)介紹。2003萬勢數(shù)據(jù)收到,2004-02-01改回* *李淑琴,女.1968 年生,工程師,從事通訊和計(jì)算機(jī)工作。●36●(總194)子網(wǎng)互連的實(shí)現(xiàn)技術(shù)2004年.4.1通過網(wǎng)橋?qū)崿F(xiàn)互連路由器是在網(wǎng)絡(luò)層上實(shí)現(xiàn)互連的設(shè)備,因?yàn)槁酚?網(wǎng)橋是在數(shù)據(jù)鏈路層上實(shí)現(xiàn)同構(gòu)型網(wǎng)絡(luò)互連的設(shè)器工作在網(wǎng)絡(luò)層,它不需要知道拓?fù)浣Y(jié)構(gòu)的信息,所以備,它的基本特征是:可以使用路由器連接不同拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)。路由器是①網(wǎng)橋能夠互連兩個(gè)在數(shù)據(jù)鏈路層具有不同協(xié)比網(wǎng)橋更具智能化的設(shè)備,它的功能涉及到物理層、數(shù)議、不同傳輸介質(zhì)和傳輸速率的局域網(wǎng)。據(jù)鏈路層和網(wǎng)絡(luò)層。路由器分為單協(xié)議和多協(xié)議兩種②網(wǎng)橋在實(shí)現(xiàn)互連網(wǎng)絡(luò)之間通信時(shí),具有接收、存類型。單協(xié)議路由器用于具有相同網(wǎng)絡(luò)層協(xié)議的互連。儲、地址識別及轉(zhuǎn)發(fā)等功能。多協(xié)議路由器則可支持多種網(wǎng)絡(luò)層協(xié)議，使用這種多③網(wǎng)橋可以分割兩個(gè)網(wǎng)絡(luò)之間的通信量,有利于協(xié)議路由器幾乎可以使多家廠商提供的異種網(wǎng)絡(luò)實(shí)現(xiàn)改善互連網(wǎng)絡(luò)的性能與安全性?；ミB。④便于隔離故障,提高網(wǎng)絡(luò)的可靠性。路由器的路由選擇功能是通過設(shè)置在路由器中的每個(gè)網(wǎng)橋都保留著網(wǎng)絡(luò)上與它直接相連的設(shè)備的路由表來完成的。路由表有靜態(tài)和動態(tài)之分，兩者的區(qū)硬件地址,網(wǎng)橋檢查信息幀的硬件目標(biāo)地址,并且根據(jù)別在于路由表的內(nèi)容是否隨網(wǎng)絡(luò)狀態(tài)而變化。如果被自己的硬件地址表,決定是否將幀向前傳送。如需要傳互連的網(wǎng)絡(luò)個(gè)數(shù)較少,可采用靜態(tài)路由表管理互聯(lián)網(wǎng).送,則產(chǎn)生新的幀。絡(luò)的通信,局域網(wǎng)間互連一般采用靜態(tài)路由表管理互圖1表示通過網(wǎng)橋連接兩個(gè)局域網(wǎng)的互聯(lián)網(wǎng)。聯(lián)網(wǎng)絡(luò)的通信。只有在復(fù)雜的互聯(lián)網(wǎng)上才采用動態(tài)路SmithPlato由表。LANA路由器在網(wǎng)絡(luò)層中具有如下功能:網(wǎng)橋①“拆包和打包”功能。即路由器在接收到任何一「 Earth種數(shù)據(jù)包后,先去掉數(shù)據(jù)鏈路層所加上的控制信息,然圖1通過網(wǎng)橋連接兩個(gè)局域網(wǎng)的互聯(lián)網(wǎng)后根據(jù)網(wǎng)絡(luò)層所加上的控制信息做相應(yīng)的處理,如為當(dāng)Smith向Mary傳送-幀數(shù)據(jù)時(shí),網(wǎng)橋根據(jù)內(nèi)該數(shù)據(jù)包選擇-條最佳傳輸路由。最后加上數(shù)據(jù)鏈路部的硬件地址表發(fā)現(xiàn)Smith與Mary在相同的LAN層應(yīng)有的控制信息，恢復(fù)為原有的數(shù)據(jù)包。也正由于路A上,認(rèn)為不需要轉(zhuǎn)發(fā),而將該幀丟棄;如果Smith要由器的這些拆包和打包操作,從而增加了路由器的時(shí)向Earth發(fā)送一幀數(shù)據(jù)時(shí),網(wǎng)橋通過地址識別知道通.延。信雙方不在同一局域網(wǎng)上，則網(wǎng)橋?qū)⑼ㄟ^與LAN B②路由選擇功能。在用路由器形成的互聯(lián)網(wǎng)中,從的網(wǎng)絡(luò)接口,向LAN B轉(zhuǎn)發(fā)該幀,處于LAN B上的路由器到目標(biāo)節(jié)點(diǎn)間都存在多條傳輸路由。路由器的節(jié)點(diǎn)Earth將能接收到Smith發(fā)送的幀。目前常用的選擇功能就是要按照某種策略為所收到的數(shù)據(jù)包選擇網(wǎng)橋有透明網(wǎng)橋和源節(jié)點(diǎn)路由網(wǎng)橋。前者是最常見的一條最佳傳輸路由。-種網(wǎng)絡(luò)類型。它遵循IEEE802.1標(biāo)準(zhǔn),它的路由選③進(jìn)行協(xié)議轉(zhuǎn)換。路由器具有與多種類型的LAN擇功能設(shè)置在網(wǎng)橋中，局域網(wǎng)上的各個(gè)工作站不需要互連的能力,這種能力來自于路由器具有識別和轉(zhuǎn)換設(shè)置路由選擇功能。后者遵循IEEE802.5的標(biāo)準(zhǔn),即各種協(xié)議的功能。由發(fā)送數(shù)據(jù)幀的源節(jié)點(diǎn)工作站,通過類似于固定路由④分段和重新組裝。在用路由器互連的多個(gè)網(wǎng)絡(luò)選擇的算法進(jìn)行路由選擇,因此,在每個(gè)網(wǎng)絡(luò)的工作站中，它們各自采用的數(shù)據(jù)包的大小可能不同。源節(jié)點(diǎn)所中都要配置-張路由選擇表,為本站所能達(dá)到的所有用數(shù)據(jù)包較大,而目標(biāo)節(jié)點(diǎn)所用數(shù)據(jù)包較小或相反,路工作站建立一個(gè)表目,列出由本站到目標(biāo)站的確立路由器的分段和重新組裝功能使數(shù)據(jù)包被拆分或組裝成由上所有網(wǎng)橋和局域網(wǎng)的地址,則由本站發(fā)往目標(biāo)站合適大小的數(shù)據(jù)包進(jìn)行傳送。的所有幀,都將沿著這條路由傳輸,相比而言,源節(jié)點(diǎn)⑤網(wǎng)絡(luò)管理功能。路由器可監(jiān)視網(wǎng)絡(luò)中信息流動、路由網(wǎng)橋數(shù)據(jù)傳輸較為安全,而且網(wǎng)橋的實(shí)現(xiàn)比較簡設(shè)備工作以及對它們進(jìn)行管理。單,但它增加了網(wǎng)絡(luò)工作的復(fù)雜性,在一般互聯(lián)網(wǎng)中工4.3中國煤化工作站的數(shù)目遠(yuǎn)大于網(wǎng)橋的數(shù)目,這意味著構(gòu)建網(wǎng)絡(luò)需有時(shí)是不同拓樸結(jié)構(gòu)HCNMHG要付出更多的空間開銷,必然也增大花費(fèi)。的網(wǎng)絡(luò)互連時(shí),需要用到網(wǎng)天。以網(wǎng)關(guān)實(shí)現(xiàn)網(wǎng)絡(luò)互連4.2通過路由器實(shí)現(xiàn)子網(wǎng)互連時(shí)，網(wǎng)關(guān)實(shí)際上是一個(gè)協(xié)議轉(zhuǎn)換器。它工作在OSI/RM要實(shí)現(xiàn)異構(gòu)型局域網(wǎng)的連接,就應(yīng)選擇路由器。其模型的運(yùn)輸層及其以上層次,主要用于不同體系結(jié)構(gòu)實(shí)它是一炱秀果胞計(jì)算機(jī),其作用是解決互聯(lián)網(wǎng)的路網(wǎng)絡(luò)的互連。在網(wǎng)間互連設(shè)備中,網(wǎng)關(guān)是最復(fù)雜的。以由選擇問題。運(yùn)輸層實(shí)現(xiàn)協(xié)議轉(zhuǎn)換為例,其轉(zhuǎn)換工作包括數(shù)據(jù)格式.第17卷第4期電腦開發(fā)與應(yīng)用(總195) ●37.的重新調(diào)整、長數(shù)據(jù)的分段、地址格式的轉(zhuǎn)換,以及對首先,A把B的名字等消息加蓋時(shí)間戳TA并用操作規(guī)程的適配等。daa加密送至B。B收到后由明文A知道是A發(fā)的消通常,對具有不同網(wǎng)絡(luò)體系結(jié)構(gòu),而且物理上又是息,但是B并不知道day,無法了解消息內(nèi)容,更不能彼此獨(dú)立的網(wǎng)絡(luò),可用網(wǎng)關(guān)將其連接起來。此時(shí),被互偽造或篡改。B把A傳來的消息傳送給AS,并將A的連的兩個(gè)網(wǎng)絡(luò)類型既可以是不同的,也可以是相同的。名字加蓋時(shí)間戳TB用dbb加密送至AS。AS解密B但是,用網(wǎng)關(guān)互連的兩個(gè)網(wǎng)絡(luò),在物理上也可以是同一發(fā)過來的消息后,將A.B的會話密鑰KAB分別用網(wǎng)絡(luò)。例如:在同一個(gè)以太網(wǎng)上某些站運(yùn)行TCP/IP網(wǎng)Yaksha私鑰加密送至A、B。因?yàn)橹挥挟?dāng)A.B擁有的.絡(luò)軟件,而另一些站運(yùn)行Novell網(wǎng)軟件。此時(shí),可將同Yaksha私鑰與AS的Yaksha相應(yīng)時(shí),A.B才能解密一個(gè)以太網(wǎng)看作是兩個(gè)邏輯網(wǎng),一個(gè)是TCP/IP網(wǎng),另AS發(fā)過來的消息,所以此過程完成對A、B的認(rèn)證。然一個(gè)是Novell網(wǎng)。這兩個(gè)邏輯網(wǎng)的站之間交換信息必后,A解密AS發(fā)過來的消息得到時(shí)間戳TA后驗(yàn)證須借助網(wǎng)關(guān)的作用進(jìn)行協(xié)議轉(zhuǎn)換。TA中的時(shí)間是否在當(dāng)前允許的范圍內(nèi),并與自己發(fā)圖2表示-一個(gè)以太網(wǎng)上的TCP/IP節(jié)點(diǎn)要和令牌送的消息時(shí)間相符。驗(yàn)證通過后,A將TB用KAB加網(wǎng)上的NA節(jié)點(diǎn)之間進(jìn)行通信,由于TCP/IP與NA密后發(fā)給B,對B進(jìn)行驗(yàn)證。B解密AS發(fā)過來的消息的高層網(wǎng)絡(luò)協(xié)議不同，所以以太網(wǎng)中的TCP/IPClient得到時(shí)間戳TB后驗(yàn)證TB中的時(shí)間的正確性。驗(yàn)證不能直接訪問令牌環(huán)網(wǎng)的NAClient。如果兩者要通通過后,B將TA用KAB加密后發(fā)給A,對A進(jìn)行驗(yàn)信，就必須使用網(wǎng)關(guān)設(shè)備,它可以完成不同網(wǎng)絡(luò)協(xié)議之正。間的轉(zhuǎn)換。網(wǎng)關(guān)的功能是在TCP/IP節(jié)點(diǎn)產(chǎn)生的報(bào)文經(jīng)過優(yōu)化后的Kerberos認(rèn)證系統(tǒng)更好地滿足了上加上必要的控制信息,并且將它轉(zhuǎn)換成NA節(jié)點(diǎn)所開放式系統(tǒng)的認(rèn)證性能:需要的報(bào)文格式。當(dāng)NA節(jié)點(diǎn)要向TCP/IP節(jié)點(diǎn)發(fā)送①安全性。采用優(yōu)化后的Kerberos認(rèn)證機(jī)制足夠信息時(shí),網(wǎng)關(guān)同樣要完成NA報(bào)文格式到TCP/IP報(bào)安全,不致成為攻擊的薄弱環(huán)節(jié)。文格式的轉(zhuǎn)換。②可靠性。Kerberos認(rèn)證服務(wù)是其他服務(wù)的基TCP/IP Client礎(chǔ),其可靠性決定整個(gè)系統(tǒng)可靠性。③透明性。用戶感受不到認(rèn)證服務(wù)的存在。④可擴(kuò)展性。當(dāng)和不支持Kerberos認(rèn)證機(jī)制的系NA網(wǎng)關(guān)統(tǒng)通信時(shí),不受影響。NA Client| NA Client4結(jié)論圖2通過網(wǎng)關(guān) 通信筆者創(chuàng)造性地在Kerberos的基礎(chǔ)上采用了在一個(gè)大型的計(jì)算機(jī)網(wǎng)絡(luò)中,可利用網(wǎng)關(guān)實(shí)現(xiàn)多Yaksha算法的思想,克服了Kerberos的某些缺陷,提個(gè)物理.上或邏輯上獨(dú)立的網(wǎng)絡(luò)的互連。高了安全性。在認(rèn)證過程中,由用戶對自己加蓋的時(shí)間5結(jié)束語戳進(jìn)行驗(yàn)證,解決了Kerberos 的時(shí)間同步的問題,并實(shí)現(xiàn)子網(wǎng)互連的各種設(shè)備有性能相似之處,又各有效地防止了重放攻擊。但是,采用RSA公鑰加密算具特點(diǎn)，究竟選用哪種設(shè)備,取決于具體的應(yīng)用環(huán)境。法要比單鑰加密速度慢--些。參考文獻(xiàn)恰當(dāng)?shù)幕ミB實(shí)現(xiàn)技術(shù)將使計(jì)算機(jī)網(wǎng)絡(luò)功能更有效,性1W Stallings , Network Security Essentials ; Applications and能更可靠,并且能更充分的發(fā)揮它的網(wǎng)絡(luò)功能。Stadards , Prentice Hall ,inc.20002 S M Bellovin, M Merritt. Limitations of the kerberos1楊心強(qiáng),陳國友,邵軍力編著.數(shù)據(jù)通信與計(jì)算機(jī)網(wǎng)絡(luò).北authentication system. In Proceedings of the Winter 199京:電子工業(yè)出版社,2003Usenix Conference,19912 李昭智編著.數(shù)據(jù)通信與計(jì)算機(jī)網(wǎng)絡(luò).北京:電子工業(yè)出版3中國煤化工ating Smart Cards into社,2002YHC N M H G1: Advances in Cryptology- EUROCRYPT'1995 Proceeding, 1995(上接第34頁)4G Horng, C S Yang. Key authentication scheme forTA.TB分別是A,B根據(jù)自己的時(shí)鐘加蓋的紀(jì)元cryptosystems based on discrete logarithms. Computer時(shí)間，為了膀好知明文攻擊,TA.TB應(yīng)該是時(shí)間的Communications, 1996.(19) :848~ 850函數(shù)。