谁构筑了网络体系的铜墙铁壁.PPT

思考时间 同学们，上节课我们学习了网络协议的相关知识，想一想，在OSI的七层协议里，负责中转的层次是哪几个呢？ 思考时间 数据报传输的过程大家都了解了，这种方式你觉得有哪些问题？如果让你来设计网络的传输方式，你会怎样进行设计？ 报文分组交换方式对比 MPLS技术 MPLS（Mutiprotocol Label Switching)是ATM IP交换和标记交换技术的进一步发展和完善，MPLS主要目的是面向IP广域骨干网，实现IP包高速转发和网络管理。 第三次作业 必做题 1、请总结传统广域网技术中数据报和虚电路技术的工作原理，并归纳两者优缺点。 2、请说说ATM技术的原理，优势，及其面临的问题。结合MPLS技术，谈谈解决问题的方案。 3、针对某一种类型防火墙，说说它的构造及特点。 挑战题 1、研究路由跳转过程，包括广域网路径跳转中节点情况，包交换存储转发情况等。 2、研究防火墙攻击，通过实验模拟网络攻击或搭建自己的网络防火墙抵御攻击。 3、制作网络信号增强器或防辐射装置，测试其性能。 01 02 03 广域网的传统交换技术 广域网的新技术 网络防火墙技术 LAN1 LAN3 ATM LAN2 PVC PVC PVC PVC ATM 90年中后期IP广域网通常是核心路由器，通过提速后ATM交换网的PVC连接，但ATM承载IP面临效率低的问题（ CIPOA、MPOA、LANE） 。 广域网MPLS交换技术发展背景——效率低 FR网络 LAN ATM SDH LAN2 DDN网络 路由器 路由器 路由器 路由器 B Unix Win 广域网MPLS交换技术发展背景——过程繁 一般经过路由器IP包都要通过拆包/查看、确定路由、安全访问检查、流量处理、封装后再发送过程。 同时，当IP网络规模扩大后，作为IP传输主要支撑ATM网PVC也快速膨胀，面临有限管理问题，端到端的QoS问题，流量管理问题。 在此背景下，广域网核心设备—路由器的发展需要更高速率路由交换能力，怎样借鉴硬件的高速交换实现（固定长度/短头部），更适合的交换协议体系，以及和现有IP有效结合，各厂商提出各种解决方法，比较典型的有Cisco的Tag Switching, Cascade的IP Navigator, Bay的Routing Switch。 MPLS工作组到目前为止已经把在FR、ATM和PPP、及IEEE 802.3局域网上使用的标记实现了标准化，适用以多种L2链路环境，和多种网络层协议环境。 边缘TRS 标记交换网 插入标记 清除标记 路由交换机实际在ATM和路由器上形成两种设备，是相对独立标记处理模块，市场上并没有成为统一的换代产品，但为以后MPLS发展奠定了基础。 标记交换是专门为广域网核心L3交换设计的，通常IP分组在进入骨干IP网的边缘TSR时插入标记，骨干IP网TRS进行标记交换，然后出骨干IP网边缘TSR去除 标记，按正常IP转发或按照局域网L3处理。 边缘TRS Netflow网 01 02 03 广域网的传统交换技术 广域网的新技术 网络防火墙技术 网络防火墙技术 防火墙： 是计算机网络之间的一种特殊的访问控制设备，是设置在被保护网络和外部网络之间的一道屏障。 防火墙具有下列特征： 所有从内到外和从外到内的通信量都必须经过防火墙。 只有被认可的通信量，通过本地安全策略进行定义后，才允许传递。 防火墙对于渗透是免疫的，即本身是不可穿透的。 网络防火墙体系结构 屏蔽路由器 （ Screening Router） 双宿主机网关 （ Dual Homed Gateway ） 被屏蔽主机网关 （Screened Host Gateway） 单宿堡垒机 双宿堡垒机 被屏蔽子网 （Screened Subnet） 屏蔽路由器（Screening Router） 双宿主机网关（Dual Homed Gateway ） 性能分析 双宿主机用两个网络适配器分别连接两个网络，又称堡垒主机。堡垒主机上运行着防火墙软件（通常是代理服务器），可以转发应用程序，提供服务等。双宿主机网关有一个致命弱点，一旦入侵者侵入堡垒主机并使该主机只具有路由器功能，则任何网上用户均可以随便访问有保护的内部网络 。 被屏蔽主机网关（单宿堡垒主机） 性能分析 堡垒主机只有一个网卡，与内部网络连接。通常在路由器上设立过滤规则，并使这个单宿堡垒主机成为从Internet惟一可以访问的主机，确保了内部网络不受未被授权的外部用户的攻击。而Intranet内部的客户机，可以受控制地通过屏蔽主机和路由器访问Internet。  性能分析 在提供直接的因特网访问方面提供了灵活性，如路由器可以配置成允