府應(yīng)急指揮-網(wǎng)絡(luò)通信部分第四章

1政府應(yīng)急指揮系統(tǒng)的網(wǎng)絡(luò)通信系統(tǒng)南開大學(xué)濱海學(xué)院法政學(xué)系電政專業(yè)張一鳴2015年5月12日12第四章政府應(yīng)急管理計算機網(wǎng)絡(luò)通信

南開大學(xué)濱海學(xué)院法政學(xué)系電政專業(yè)張一鳴2015年5月12日2本章主要內(nèi)容了解應(yīng)急指揮系統(tǒng)對網(wǎng)絡(luò)的要求掌握IP地址標(biāo)準(zhǔn)分類標(biāo)準(zhǔn)與特殊的IP地址形式掌握子網(wǎng)地址規(guī)劃方法掌握CDIR地址規(guī)劃方法虛擬專用網(wǎng)VPN和網(wǎng)絡(luò)地址轉(zhuǎn)換NAT掌握內(nèi)部網(wǎng)絡(luò)IP地址規(guī)劃與地址轉(zhuǎn)換NAT方法34.1應(yīng)急指揮系統(tǒng)對網(wǎng)絡(luò)的要求

在城市應(yīng)急指揮系統(tǒng)裝備的網(wǎng)絡(luò)通信、數(shù)據(jù)處理、控制指揮裝備，屬于整個應(yīng)急指揮系統(tǒng)的支撐平臺。是及時傳遞各種突發(fā)事件信息、調(diào)度各種救災(zāi)力量和指揮應(yīng)急突發(fā)事件處理的基本保障，具有不可替代的關(guān)鍵作用。它包括有：基于程控電話交換機和計算機處理系統(tǒng)的呼叫中心、基于城域網(wǎng)和廣域網(wǎng)的計算機網(wǎng)絡(luò)技術(shù)、基于無線調(diào)度廣播的數(shù)字集群通信系統(tǒng)，以及現(xiàn)場圖形、圖像和聲音的實時采集與回送等數(shù)據(jù)傳輸技術(shù)。45政府應(yīng)急指揮系統(tǒng)系統(tǒng)組成聯(lián)動單位1120分中心122分中心119分中心110分中心聯(lián)動單位N系統(tǒng)維護、數(shù)據(jù)更新、功能完善、需求變化計算機局域網(wǎng)絡(luò)/有線數(shù)據(jù)網(wǎng)絡(luò)/無線數(shù)據(jù)網(wǎng)絡(luò)/Intranet/Internet操作系統(tǒng)、應(yīng)用系統(tǒng)、開發(fā)平臺基于WEB的應(yīng)急信息服務(wù)系統(tǒng)數(shù)據(jù)維護系統(tǒng)應(yīng)急指揮調(diào)度系統(tǒng)有無線通訊系統(tǒng)圖像監(jiān)控系統(tǒng)GPS系統(tǒng)大型顯示系統(tǒng)交換機系統(tǒng)報警網(wǎng)絡(luò)首長決策指揮系統(tǒng)應(yīng)急政務(wù)系統(tǒng)現(xiàn)場圖像傳輸電源及安全系統(tǒng)地圖數(shù)據(jù)+屬性數(shù)據(jù)數(shù)據(jù)庫系統(tǒng)地理信息系統(tǒng)…52012年4月6防火墻防火墻政府應(yīng)急指揮網(wǎng)絡(luò)通信系統(tǒng)的模型PABXCTILINK錄音系統(tǒng)GIS服務(wù)器調(diào)度臺服務(wù)器數(shù)據(jù)庫集群會議系統(tǒng)專家

輔助決策應(yīng)急預(yù)案管理系統(tǒng)

報表系統(tǒng)指揮席位城市應(yīng)急

指揮系統(tǒng)數(shù)據(jù)備份社會綜合

服務(wù)系統(tǒng)防火墻防火墻防火墻110指揮分系統(tǒng)119指揮分系統(tǒng)120指揮分系統(tǒng)人防指揮分系統(tǒng)6城市應(yīng)急指揮系統(tǒng)中通信層的位置72012年4月8城市應(yīng)急指揮系統(tǒng)的層次模型政策與標(biāo)準(zhǔn)安全保障服務(wù)資源及數(shù)據(jù)庫業(yè)務(wù)應(yīng)用系統(tǒng)支撐平臺82012年4月9物理安全保障信息資源安全保障計算機系統(tǒng)安全保障通信網(wǎng)絡(luò)安全保障災(zāi)難備份中心防火防盜防人為破壞……計算機病毒黑客入侵端到端加密……雙機熱備份N+1冗余配置……多路由備份設(shè)備冗余配置通信網(wǎng)絡(luò)備份……應(yīng)急管理通信系統(tǒng)的安全保障94.2IP地址標(biāo)準(zhǔn)分類

網(wǎng)際協(xié)議IP是TCP/IP體系中兩個最主要的協(xié)議之一。與IP協(xié)議配套使用的還有四個協(xié)議：地址解析協(xié)議ARP(AddressResolutionProtocol)逆地址解析協(xié)議RARP(ReverseAddressResolutionProtocol)網(wǎng)際控制報文協(xié)議ICMP(InternetControlMessageProtocol)網(wǎng)際組管理協(xié)議IGMP(InternetGroupManagementProtocol)10網(wǎng)際層的IP協(xié)議及配套協(xié)議各種應(yīng)用層協(xié)議

網(wǎng)絡(luò)接口層(HTTP,FTP,SMTP等)物理硬件運輸層TCP,UDP應(yīng)用層ICMPIPRARPARP與各種網(wǎng)絡(luò)接口網(wǎng)絡(luò)層（網(wǎng)際層）IGMP11互連在一起的網(wǎng)絡(luò)要進行通信，會遇到許多問題，如：不同的尋址方案不同的最大分組長度不同的網(wǎng)絡(luò)接入機制不同的超時控制不同的差錯恢復(fù)方法不同的狀態(tài)報告方法不同的路由選擇技術(shù)不同的用戶接入控制不同的服務(wù)（面向連接服務(wù)和無連接服務(wù)）不同的管理與控制方式4.2.1虛擬互連網(wǎng)絡(luò)12中間設(shè)備又稱為中間系統(tǒng)或中繼(relay)系統(tǒng)。物理層中繼系統(tǒng)：轉(zhuǎn)發(fā)器(repeater)。數(shù)據(jù)鏈路層中繼系統(tǒng)：網(wǎng)橋或橋接器(bridge)。網(wǎng)絡(luò)層中繼系統(tǒng)：路由器(router)。網(wǎng)橋和路由器的混合物：橋路器(brouter)。網(wǎng)絡(luò)層以上的中繼系統(tǒng)：網(wǎng)關(guān)(gateway)。

把網(wǎng)絡(luò)互相連接起來

要使用一些中間設(shè)備13當(dāng)中繼系統(tǒng)是轉(zhuǎn)發(fā)器或網(wǎng)橋時，一般并不稱之為網(wǎng)絡(luò)互連，因為這僅僅是把一個網(wǎng)絡(luò)擴大了，而這仍然是一個網(wǎng)絡(luò)。網(wǎng)關(guān)由于比較復(fù)雜，目前使用得較少。互聯(lián)網(wǎng)都是指用路由器進行互連的網(wǎng)絡(luò)。由于歷史的原因，許多有關(guān)TCP/IP的文獻將網(wǎng)絡(luò)層使用的路由器稱為網(wǎng)關(guān)。網(wǎng)絡(luò)互連使用路由器14互連網(wǎng)絡(luò)與虛擬互連網(wǎng)絡(luò)網(wǎng)絡(luò)網(wǎng)絡(luò)網(wǎng)絡(luò)網(wǎng)絡(luò)網(wǎng)絡(luò)(a)互連網(wǎng)絡(luò)(b)虛擬互連網(wǎng)絡(luò)路由器

虛擬互連網(wǎng)絡(luò)（互聯(lián)網(wǎng)）15虛擬互連網(wǎng)絡(luò)的意義所謂虛擬互連網(wǎng)絡(luò)也就是邏輯互連網(wǎng)絡(luò)，它的意思就是互連起來的各種物理網(wǎng)絡(luò)的異構(gòu)性本來是客觀存在的，但是我們利用IP協(xié)議就可以使這些性能各異的網(wǎng)絡(luò)從用戶看起來好像是一個統(tǒng)一的網(wǎng)絡(luò)。使用IP協(xié)議的虛擬互連網(wǎng)絡(luò)可簡稱為IP網(wǎng)。使用虛擬互連網(wǎng)絡(luò)的好處是：當(dāng)互聯(lián)網(wǎng)上的主機進行通信時，就好像在一個網(wǎng)絡(luò)上通信一樣，而看不見互連的各具體的網(wǎng)絡(luò)異構(gòu)細(xì)節(jié)。165432154321主機H1

主機H2R1R4R5R2R3R1R2R3H1R5H2R4間接交付間接交付間接交付間接交付間接交付直接交付3221132211322113221132211分組在互聯(lián)網(wǎng)中的傳送17從網(wǎng)絡(luò)層看IP數(shù)據(jù)報的傳送如果我們只從網(wǎng)絡(luò)層考慮問題，那么IP數(shù)據(jù)報就可以想象是在網(wǎng)絡(luò)層中傳送。網(wǎng)絡(luò)層網(wǎng)絡(luò)層網(wǎng)絡(luò)層網(wǎng)絡(luò)層網(wǎng)絡(luò)層網(wǎng)絡(luò)層網(wǎng)絡(luò)層IP數(shù)據(jù)報H1R1R2R3R4R5H2184.2.2分類的IP地址

1.IP地址及其表示方法我們把整個因特網(wǎng)看成為一個單一的、抽象的網(wǎng)絡(luò)。IP地址就是給每個連接在因特網(wǎng)上的主機（或路由器）分配一個在全世界范圍是唯一的32位的標(biāo)識符。IP地址現(xiàn)在由因特網(wǎng)名字與號碼指派公司ICANN

(InternetCorporationforAssignedNamesandNumbers)進行分配19IP地址的編址方法分類的IP地址。這是最基本的編址方法，在1981年就通過了相應(yīng)的標(biāo)準(zhǔn)協(xié)議。子網(wǎng)的劃分。這是對最基本的編址方法的改進，其標(biāo)準(zhǔn)[RFC950]在1985年通過。構(gòu)成超網(wǎng)。這是比較新的無分類編址方法。1993年提出后很快就得到推廣應(yīng)用。20分類IP地址每一類地址都由兩個固定長度的字段組成，其中一個字段是網(wǎng)絡(luò)號net-id，它標(biāo)志主機（或路由器）所連接到的網(wǎng)絡(luò)，而另一個字段則是主機號host-id，它標(biāo)志該主機（或路由器）。兩級的IP地址可以記為：IP地址::={<網(wǎng)絡(luò)號>,<主機號>}(4-1)::=代表“定義為”21net-id24位host-id24位net-id16位net-id8位IP地址中的網(wǎng)絡(luò)號字段和主機號字段0A類地址host-id16位B類地址C類地址011host-id8位D類地址1

1

1

0多播地址E類地址保留為今后使用1

1

1

10122點分十進制記法10000000000010110000001100011111機器中存放的IP地址是32位二進制代碼10000000000010110000001100011111每隔8位插入一個空格能夠提高可讀性采用點分十進制記法則進一步提高可讀性1128

11331將每8位的二進制數(shù)轉(zhuǎn)換為十進制數(shù)23常用的三種類別的IP地址IP地址的使用范圍

網(wǎng)絡(luò)最大第一個最后一個每個網(wǎng)絡(luò)類別網(wǎng)絡(luò)數(shù)可用的可用的中最大的網(wǎng)絡(luò)號網(wǎng)絡(luò)號主機數(shù)

A126(27–2)112616,777,214B16,383(214

1)128.1191.25565,534C2,097,151(2211)192.0.1218.255.25525424IP地址的一些重要特點(1)IP地址是一種分等級的地址結(jié)構(gòu)。分兩個等級的好處是：第一，IP地址管理機構(gòu)在分配IP地址時只分配網(wǎng)絡(luò)號，而剩下的主機號則由得到該網(wǎng)絡(luò)號的單位自行分配。這樣就方便了IP地址的管理。第二，路由器僅根據(jù)目的主機所連接的網(wǎng)絡(luò)號來轉(zhuǎn)發(fā)分組（而不考慮目的主機號），這樣就可以使路由表中的項目數(shù)大幅度減少，從而減小了路由表所占的存儲空間。25IP地址的一些重要特點(續(xù)1)(2)實際上IP地址是標(biāo)志一個主機（或路由器）和一條鏈路的接口。當(dāng)一個主機同時連接到兩個網(wǎng)絡(luò)上時，該主機就必須同時具有兩個相應(yīng)的IP地址，其網(wǎng)絡(luò)號net-id必須是不同的。這種主機稱為多歸屬主機(multihomedhost)。由于一個路由器至少應(yīng)當(dāng)連接到兩個網(wǎng)絡(luò)（這樣它才能將IP數(shù)據(jù)報從一個網(wǎng)絡(luò)轉(zhuǎn)發(fā)到另一個網(wǎng)絡(luò)），因此一個路由器至少應(yīng)當(dāng)有兩個不同的IP地址。26(3)用轉(zhuǎn)發(fā)器或網(wǎng)橋連接起來的若干個局域網(wǎng)仍為一個網(wǎng)絡(luò)，因此這些局域網(wǎng)都具有同樣的網(wǎng)絡(luò)號net-id。(4)所有分配到網(wǎng)絡(luò)號net-id的網(wǎng)絡(luò)，范圍很小的局域網(wǎng)，還是可能覆蓋很大地理范圍的廣域網(wǎng)，都是平等的。IP地址的一些重要特點(續(xù)2)27互聯(lián)網(wǎng)中的IP地址B222.1.1.R1222.1.2.R3R2222.1.3.LAN3N3N222.1.6.N1LAN2LAN1互聯(lián)網(wǎng)在同一個局域網(wǎng)上的主機或路由器的IP地址中的網(wǎng)絡(luò)號必須是一樣的。圖中的網(wǎng)絡(luò)號就是IP地址中的net-id28IP1HA1HA5HA4HA3HA6HA2IP6主機H1主機H2路由器R1IP層上的互聯(lián)網(wǎng)IP2IP4IP3IP5路由器R2IP1→IP2IP1→IP2IP1→IP2MAC幀從HA1

到HA3從HA4

到HA5從HA6

到HA2MAC幀MAC幀IP數(shù)據(jù)報IP層抽象的互聯(lián)網(wǎng)屏蔽了下層很復(fù)雜的細(xì)節(jié)在抽象的網(wǎng)絡(luò)層上討論問題，就能夠使用統(tǒng)一的、抽象的IP地址研究主機和主機或主機和路由器之間的通信294.3

標(biāo)準(zhǔn)與特殊的IP地址形式標(biāo)準(zhǔn)的IP地址由32位二進制數(shù)值組成（4個字節(jié)），但為了方便用戶的理解和記憶，它采用了點分十進制標(biāo)記法，即將4個字節(jié)的二進制數(shù)值轉(zhuǎn)換為4個十進制數(shù)值，每個數(shù)值小于等于255，數(shù)值中間用“.”隔開，表示為w.x.y.z的形式。如下圖所示。30IP地址的直觀表示法第一字節(jié)第二字節(jié)第三字節(jié)第四字節(jié)w.x.y.z例如，二進制IP地址：字節(jié)1字節(jié)2字節(jié)3字節(jié)4

11001010010111010111100000101100用點分十進制標(biāo)記法表示成：4它為一個C類IP地址，前3個字節(jié)為網(wǎng)絡(luò)號，后一字節(jié)為主機號31特殊的IP地址形式1.網(wǎng)絡(luò)地址：包含一個有效的網(wǎng)絡(luò)號和一個全“0”的主機號，用來表示一個具體的網(wǎng)絡(luò)。如一個具有IP地址4的主機所處的網(wǎng)絡(luò)為，它的主機號為44。2.廣播地址：IP具有兩種廣播地址形式：直接廣播地址和有限廣播地址。直接廣播地址包含一個有效的網(wǎng)絡(luò)號和一個全“1”的主機號，其作用是向互聯(lián)網(wǎng)上的其他主機廣播信息。如C類地址55就是一個直接廣播地址，互聯(lián)網(wǎng)上的主機可以使用該地址向網(wǎng)絡(luò)上的所有主機廣播信息。32位全為“1”的IP地址（55）為有限廣播地址，用于本網(wǎng)廣播。若采用標(biāo)準(zhǔn)的IP編址，有限廣播在本網(wǎng)之中；若采用子網(wǎng)編址，有限廣播在本子網(wǎng)之中。32特殊的IP地址形式3.回送地址：A類地址是一個保留地址，用于網(wǎng)絡(luò)軟件測試及本機器進程間通信，稱為回送地址。一旦使用回送地址發(fā)送數(shù)據(jù)，協(xié)議軟件不進行任何網(wǎng)絡(luò)傳輸，立即將之返回，含有127網(wǎng)絡(luò)號的數(shù)據(jù)報不可能出現(xiàn)在任何網(wǎng)絡(luò)上。4.本地地址：有些IP地址不分配給互聯(lián)網(wǎng)用戶，如10.XXX.XXX.XXX、192.168.XXX.XXX，可在本地內(nèi)部互聯(lián)網(wǎng)中使用。一旦與互聯(lián)網(wǎng)互聯(lián)，必須將這些IP地址轉(zhuǎn)換為可在互聯(lián)網(wǎng)中使用的IP地址。331.從兩級IP地址到三級IP地址在ARPANET的早期，IP地址的設(shè)計不夠合理。IP地址空間的利用率有時很低，浪費太多。給每一個物理網(wǎng)絡(luò)分配一個網(wǎng)絡(luò)號會使路由表變得太大因而使網(wǎng)絡(luò)性能變壞。兩級的IP地址不夠靈活。4.4子網(wǎng)地址規(guī)劃方法34按照標(biāo)準(zhǔn)分類的IP地址，如果是只有2臺主機的網(wǎng)絡(luò)需要連接到互聯(lián)網(wǎng)上，就需要申請一個C類地址，則此C類地址的有效利用率只有2/255=0.78%。而又256臺主機的網(wǎng)絡(luò)，就需要申請一個B類地址。則此B類地址的有效利用率只有256/65535=0.39%。可見其利用率非常低下。標(biāo)準(zhǔn)分類IP地址的缺陷35從1991年起在IP地址中又增加了一個“子網(wǎng)號字段”，即把一個大的網(wǎng)絡(luò)劃分為幾個較小的網(wǎng)絡(luò)，使兩級的IP地址變成為“網(wǎng)絡(luò)號-子網(wǎng)號-主機號”的三級的IP地址。這種做法叫作劃分子網(wǎng)(subnetting)。劃分子網(wǎng)已成為因特網(wǎng)的正式標(biāo)準(zhǔn)協(xié)議。三級的IP地址36劃分子網(wǎng)純屬一個單位內(nèi)部的事情。單位對外仍然表現(xiàn)為沒有劃分子網(wǎng)的網(wǎng)絡(luò)。從主機號借用若干個位作為子網(wǎng)號

subnet-id，而主機號host-id也就相應(yīng)減少了若干個位。

IP地址::={<網(wǎng)絡(luò)號>,<子網(wǎng)號>,<主機號>}(4-2)劃分子網(wǎng)的基本思路37凡是從其他網(wǎng)絡(luò)發(fā)送給本單位某個主機的IP數(shù)據(jù)報，仍然是根據(jù)IP數(shù)據(jù)報的目的網(wǎng)絡(luò)號

net-id，先找到連接在本單位網(wǎng)絡(luò)上的路由器。然后此路由器在收到IP數(shù)據(jù)報后，再按目的網(wǎng)絡(luò)號net-id和子網(wǎng)號subnet-id找到目的子網(wǎng)。最后就將IP數(shù)據(jù)報直接交付目的主機。劃分子網(wǎng)的基本思路（續(xù)）38………01014568所有到網(wǎng)絡(luò)的分組均到達(dá)此路由器我的網(wǎng)絡(luò)地址是R1R3R2網(wǎng)絡(luò)一個未劃分子網(wǎng)的B類網(wǎng)絡(luò)39劃分為三個子網(wǎng)后對外仍是一個網(wǎng)絡(luò)01014568………子網(wǎng)子網(wǎng)

子網(wǎng)所有到達(dá)網(wǎng)絡(luò)的分組均到達(dá)此路由器網(wǎng)絡(luò)R1R3R240當(dāng)沒有劃分子網(wǎng)時，IP地址是兩級結(jié)構(gòu)。劃分子網(wǎng)后IP地址就變成了三級結(jié)構(gòu)。劃分子網(wǎng)只是把IP地址的主機號host-id這部分進行再劃分，而不改變IP地址原來的網(wǎng)絡(luò)號net-id。劃分子網(wǎng)后變成了三級結(jié)構(gòu)41從一個

IP

數(shù)據(jù)報的首部并無法判斷源主機或目的主機所連接的網(wǎng)絡(luò)是否進行了子網(wǎng)劃分。使用子網(wǎng)掩碼(subnetmask)可以找出IP地址中的子網(wǎng)部分。2.子網(wǎng)掩碼42IP地址的各字段和子網(wǎng)掩碼0兩級IP地址子網(wǎng)號為3的網(wǎng)絡(luò)的網(wǎng)絡(luò)號三級IP地址主機號子網(wǎng)掩碼net-idhost-id子網(wǎng)的網(wǎng)絡(luò)地址1111111111111111

11111111000000000net-idsubnet-idhost-id3.33.1043(IP

地址)AND(子網(wǎng)掩碼)=

網(wǎng)絡(luò)地址網(wǎng)絡(luò)號net-id主機號host-id兩級IP地址網(wǎng)絡(luò)號三級IP地址主機號net-idhost-idsubnet-id子網(wǎng)號子網(wǎng)掩碼子網(wǎng)的網(wǎng)絡(luò)地址1111111111111111

1111111100000000net-idsubnet-id0逐位進行AND運算44111111111111111111111111000000000000000000000000111111111111111111111111000000000000000000000000net-idnet-idhost-id為全0net-id網(wǎng)絡(luò)地址A類地址默認(rèn)子網(wǎng)掩碼網(wǎng)絡(luò)地址B類地址默認(rèn)子網(wǎng)掩碼網(wǎng)絡(luò)地址C類地址默認(rèn)子網(wǎng)掩碼host-id為全0host-id為全0默認(rèn)子網(wǎng)掩碼45子網(wǎng)掩碼是一個重要屬性子網(wǎng)掩碼是一個網(wǎng)絡(luò)或一個子網(wǎng)的重要屬性。路由器在和相鄰路由器交換路由信息時，必須把自己所在網(wǎng)絡(luò)（或子網(wǎng)）的子網(wǎng)掩碼告訴相鄰路由器。路由器的路由表中的每一個項目，除了要給出目的網(wǎng)絡(luò)地址外，還必須同時給出該網(wǎng)絡(luò)的子網(wǎng)掩碼。若一個路由器連接在兩個子網(wǎng)上就擁有兩個網(wǎng)絡(luò)地址和兩個子網(wǎng)掩碼。46141.14.010000001111111111111111

11000000【例4-2】已知IP地址是4，子網(wǎng)掩碼是。試求網(wǎng)絡(luò)地址。(a)點分十進制表示的IP地址(c)子網(wǎng)掩碼是000000004.001001000141.14..24(b)IP地址的第3字節(jié)是二進制(d)IP地址與子網(wǎng)掩碼逐位相與(e)網(wǎng)絡(luò)地址（點分十進制表示）47141.14.010000001111111111111111

11100000【例4-3】在上例中，若子網(wǎng)掩碼改為。試求網(wǎng)絡(luò)地址，討論所得結(jié)果。(a)點分十進制表示的IP地址(c)子網(wǎng)掩碼是000000004.001001000141.14..24(b)IP地址的第3字節(jié)是二進制(d)IP地址與子網(wǎng)掩碼逐位相與(e)網(wǎng)絡(luò)地址（點分十進制表示）不同的子網(wǎng)掩碼得出相同的網(wǎng)絡(luò)地址。但不同的掩碼的效果是不同的。

48劃分子網(wǎng)在一定程度上緩解了因特網(wǎng)在發(fā)展中遇到的困難。然而在

1992

年因特網(wǎng)仍然面臨三個必須盡早解決的問題，這就是：B類地址在1992年已分配了近一半，眼看就要在1994年3月全部分配完畢！因特網(wǎng)主干網(wǎng)上的路由表中的項目數(shù)急劇增長（從幾千個增長到幾萬個）。整個IPv4的地址空間最終將全部耗盡。4.5

無分類編址CIDR

1.網(wǎng)絡(luò)前綴

49

1987年，RFC1009就指明了在一個劃分子網(wǎng)的網(wǎng)絡(luò)中可同時使用幾個不同的子網(wǎng)掩碼。使用變長子網(wǎng)掩碼VLSM(VariableLengthSubnetMask)可進一步提高IP地址資源的利用率。在VLSM的基礎(chǔ)上又進一步研究出無分類編址方法，它的正式名字是無分類域間路由選擇CIDR(ClasslessInter-DomainRouting)。IP編址問題的演進50CIDR消除了傳統(tǒng)的A類、B類和C類地址以及劃分子網(wǎng)的概念，因而可以更加有效地分配IPv4的地址空間。CIDR使用各種長度的“網(wǎng)絡(luò)前綴”(network-prefix)來代替分類地址中的網(wǎng)絡(luò)號和子網(wǎng)號。IP地址從三級編址（使用子網(wǎng)掩碼）又回到了兩級編址。CIDR最主要的特點51

無分類的兩級編址的記法是：IP地址::={<網(wǎng)絡(luò)前綴>,<主機號>}(4-3)CIDR還使用“斜線記法”(slashnotation)，它又稱為CIDR記法，即在IP地址面加上一個斜線“/”，然后寫上網(wǎng)絡(luò)前綴所占的位數(shù)（這個數(shù)值對應(yīng)于三級編址中子網(wǎng)掩碼中1的個數(shù)）。CIDR把網(wǎng)絡(luò)前綴都相同的連續(xù)的IP地址組成“CIDR地址塊”。

無分類的兩級編址52

CIDR地址塊/20表示的地址塊共有212個地址（因為斜線后面的20是網(wǎng)絡(luò)前綴的位數(shù)，所以這個地址的主機號是12位）。這個地址塊的起始地址是。在不需要指出地址塊的起始地址時，也可將這樣的地址塊簡稱為“/20地址塊”。/20地址塊的最小地址：/20地址塊的最大地址：55全0和全1的主機號地址一般不使用。53/20表示的地址（212個地址）1000000000001110

00100000000000001000000000001110

00100000000000011000000000001110

00100000000000101000000000001110

00100000000000111000000000001110

00100000000001001000000000001110

00100000000001011000000000001110

00101111111110111000000000001110

00101111111111001000000000001110

00101111111111011000000000001110

00101111111111101000000000001110

0010111111111111所有地址的20位前綴都是一樣的最小地址最大地址54

一個CIDR地址塊可以表示很多地址，這種地址的聚合常稱為路由聚合，它使得路由表中的一個項目可以表示很多個（例如上千個）原來傳統(tǒng)分類地址的路由。路由聚合也稱為構(gòu)成超網(wǎng)(supernetting)。CIDR雖然不使用子網(wǎng)了，但仍然使用“掩碼”這一名詞（但不叫子網(wǎng)掩碼）。對于

/20

地址塊，它的掩碼是

20

個連續(xù)的1。斜線記法中的數(shù)字就是掩碼中1的個數(shù)。路由聚合(routeaggregation)55

CIDR記法的其他形式/10可簡寫為10/10，也就是把點分十進制中低位連續(xù)的0省略。/10隱含地指出IP地址

的掩碼是。此掩碼可表示為

1111111111000000000000000000000025519200掩碼中有10個連續(xù)的156

CIDR記法的其他形式/10可簡寫為10/10，也就是將點分十進制中低位連續(xù)的0省略。/10相當(dāng)于指出IP地址

的掩碼是，即

11111111110000000000000000000000網(wǎng)絡(luò)前綴的后面加一個星號*的表示方法如0000101000*，在星號*之前是網(wǎng)絡(luò)前綴，而星號*表示IP地址中的主機號，可以是任意值。57

構(gòu)成超網(wǎng)前綴長度不超過18

位的CIDR地址塊都包含了多個C類地址。這些C類地址合起來就構(gòu)成了超網(wǎng)。CIDR地址塊中的地址數(shù)一定是2的整數(shù)次冪。網(wǎng)絡(luò)前綴越短，其地址塊所包含的地址數(shù)就越多。而在三級結(jié)構(gòu)的IP地址中，劃分子網(wǎng)是使網(wǎng)絡(luò)前綴變長。58CIDR地址塊劃分舉例因特網(wǎng)/22/18ISP大學(xué)X一系二系三系四系28/2692/26/2528/25/2528/25/264/2628/2692/26/24/25/264/2628/25/18

單位地址塊二進制表示地址數(shù)

ISP/1811001110.00000000.01*16384

大學(xué)/2211001110.00000000.010001*1024

一系/1811001110.00000000.0100010*512

二系/2411001110.00000000.01000110.*256

三系/2511001110.00000000.01000111.0*128

四系28/2511001110.00000000.01000111.1*12859

CIDR地址塊劃分舉例因特網(wǎng)/22/18ISP大學(xué)X一系二系三系四系28/2692/26/2528/25/2528/25/264/2628/2692/26/24/25/264/2628/25/18這個ISP共有64個C類網(wǎng)絡(luò)。如果不采用CIDR技術(shù)，則在與該ISP的路由器交換路由信息的每一個路由器的路由表中，就需要有64個項目。但采用地址聚合后，只需用路由聚合后的1個項目/18就能找到該ISP。60

2.最長前綴匹配使用CIDR時，路由表中的每個項目由“網(wǎng)絡(luò)前綴”和“下一跳地址”組成。在查找路由表時可能會得到不止一個匹配結(jié)果。應(yīng)當(dāng)從匹配結(jié)果中選擇具有最長網(wǎng)絡(luò)前綴的路由：最長前綴匹配(longest-prefixmatching)。網(wǎng)絡(luò)前綴越長，其地址塊就越小，因而路由就越具體(morespecific)

。最長前綴匹配又稱為最長匹配或最佳匹配。

61最長前綴匹配舉例收到的分組的目的地址D=28路由表中的項目：/22（ISP）

28/25（四系）查找路由表中的第1個項目ANDD=206.0.01000100.0第1個項目/22的掩碼M

有22個連續(xù)的1。M=11111111111111111111110000000000因此只需把D

的第3個字節(jié)轉(zhuǎn)換成二進制。M=11111111111111111111110000000000206.0.01000100.0與/22匹配62最長前綴匹配舉例收到的分組的目的地址D=28路由表中的項目：/22（ISP）

28/25（四系）再查找路由表中的第2個項目ANDD=0000000第2個項目28/25的掩碼M

有25個連續(xù)的1。M=11111111111111111111111110000000因此只需把D

的第4個字節(jié)轉(zhuǎn)換成二進制。M=111111111111111111111111100000000000000與28/25匹配63

最長前綴匹配DAND(11111111111111111111110000000000)=/22匹配DAND(11111111111111111111111110000000)=28/25匹配選擇兩個匹配的地址中更具體的一個，即選擇最長前綴的地址。

64

3.使用二叉線索查找路由表當(dāng)路由表的項目數(shù)很大時，怎樣設(shè)法減小路由表的查找時間就成為一個非常重要的問題。為了進行更加有效的查找，通常是將無分類編址的路由表存放在一種層次的數(shù)據(jù)結(jié)構(gòu)中，然后自上而下地按層次進行查找。這里最常用的就是二叉線索(binarytrie)。IP地址中從左到右的比特值決定了從根結(jié)點逐層向下層延伸的路徑，而二叉線索中的各個路徑就代表路由表中存放的各個地址。為了提高二叉線索的查找速度，廣泛使用了各種壓縮技術(shù)。65

用5個前綴構(gòu)成的二叉線索32位的IP地址唯一前綴010001100000000000000000000000000100010101100000000000000000000000000101011000010000000000000000000000000111011000000000010000000000000000010110101110110000101000000000000000001011100001111111066

4.6

虛擬專用網(wǎng)VPN和

網(wǎng)絡(luò)地址轉(zhuǎn)換NAT

4.6.1虛擬專用網(wǎng)VPN本地地址——僅在機構(gòu)內(nèi)部使用的IP地址，可以由本機構(gòu)自行分配，而不需要向因特網(wǎng)的管理機構(gòu)申請。全球地址——全球唯一的IP地址，必須向因特網(wǎng)的管理機構(gòu)申請。67

RFC1918指明的專用地址(privateaddress)

到55

到55

到55這些地址只能用于一個機構(gòu)的內(nèi)部通信，而不能用于和因特網(wǎng)上的主機通信。專用地址只能用作本地地址而不能用作全球地址。在因特網(wǎng)中的所有路由器對目的地址是專用地址的數(shù)據(jù)報一律不進行轉(zhuǎn)發(fā)。68X用隧道技術(shù)實現(xiàn)虛擬專用網(wǎng)部門A因特網(wǎng)部門BR1R2隧道Y使用隧道技術(shù)本地地址本地地址全球地址網(wǎng)絡(luò)地址=（本地地址）網(wǎng)絡(luò)地址=（本地地址）69X用隧道技術(shù)實現(xiàn)虛擬專用網(wǎng)部門A因特網(wǎng)部門BR1R2隧道Y使用隧道技術(shù)加密的從

X

到

Y

的內(nèi)部數(shù)據(jù)報外部數(shù)據(jù)報的數(shù)據(jù)部分源地址：目的地址：數(shù)據(jù)報首部部門A部門BXYR1R2虛擬專用網(wǎng)VPN70內(nèi)聯(lián)網(wǎng)intranet和外聯(lián)網(wǎng)extranet

（都是基于TCP/IP協(xié)議）

由部門A和B的內(nèi)部網(wǎng)絡(luò)所構(gòu)成的虛擬專用網(wǎng)VPN又稱為內(nèi)聯(lián)網(wǎng)(intranet)，表示部門A和B都是在同一個機構(gòu)的內(nèi)部。一個機構(gòu)和某些外部機構(gòu)共同建立的虛擬專用網(wǎng)VPN又稱為外聯(lián)網(wǎng)(extranet)。

部門A部門BXYR1R2虛擬專用網(wǎng)VPN71

遠(yuǎn)程接入VPN

(remoteaccessVPN)

有的公司可能沒有分布在不同場所的部門，但有很多流動員工在外地工作。公司需要和他們保持聯(lián)系，遠(yuǎn)程接入VPN可滿足這種需求。在外地工作的員工撥號接入因特網(wǎng)，而駐留在員工PC機中的VPN軟件可在員工的PC機和公司的主機之間建立VPN隧道，因而外地員工與公司通信的內(nèi)容是保密的，員工們感到好像就是使用公司內(nèi)部的本地網(wǎng)絡(luò)。72

4.6.2網(wǎng)絡(luò)地址轉(zhuǎn)換NAT

(NetworkAddressTranslation)網(wǎng)絡(luò)地址轉(zhuǎn)換NAT方法于1994年提出。需要在專用網(wǎng)連接到因特網(wǎng)的路由器上安裝NAT軟件。裝有NAT軟件的路由器叫做NAT路由器，它至少有一個有效的外部全球地址IPG。所有使用本地地址的主機在和外界通信時都要在NAT路由器上將其本地地址轉(zhuǎn)換成IPG

才能和因特網(wǎng)連接。

73

網(wǎng)絡(luò)地址轉(zhuǎn)換的過程內(nèi)部主機X用本地地址IPX和因特網(wǎng)上主機Y通信所發(fā)送的數(shù)據(jù)報必須經(jīng)過NAT路由器。NAT路由器將數(shù)據(jù)報的源地址IPX轉(zhuǎn)換成全球地址IPG，但目的地址IPY保持不變，然后發(fā)送到因特網(wǎng)。NAT路由器收到主機Y發(fā)回的數(shù)據(jù)報時，知道數(shù)據(jù)報中的源地址是IPY而目的地址是IPG。根據(jù)NAT轉(zhuǎn)換表，NAT路由器將目的地址IPG轉(zhuǎn)換為IPX，轉(zhuǎn)發(fā)給最終的內(nèi)部主機X。744.7內(nèi)部網(wǎng)絡(luò)IP地址規(guī)劃

4.7.1全局IP地址與專用IP地址全局IP地址與專用IP地址的區(qū)別主要表現(xiàn)在：（1）使用IP地址的網(wǎng)絡(luò)課分為兩種情況：一是將網(wǎng)絡(luò)直接連接到互聯(lián)網(wǎng)；另一種是不直接連到互聯(lián)網(wǎng)，也使用TCP/IP協(xié)議，但是內(nèi)部網(wǎng)絡(luò)。

每臺連接到互聯(lián)網(wǎng)的用戶主機都需要有一個標(biāo)準(zhǔn)的全局IP地址，它是分組時在互聯(lián)網(wǎng)上傳輸時使用的IP地址。專用IP地址只能用于一個機構(gòu)，單位的內(nèi)部網(wǎng)絡(luò)，不能用于互聯(lián)網(wǎng)上。75全局IP地址與專用IP地址的區(qū)別（2）使用全局IP地址是需要申請并繳費的，而專用IP地址是不需要申請的，也不需要繳費。互聯(lián)網(wǎng)管理機構(gòu)在IP地址空間中預(yù)留了一些空間地址給專用網(wǎng)絡(luò)使用。具體參見下表。類網(wǎng)絡(luò)號總數(shù)A101B172.16~172.3116C192.168.0~192.168.25525676全局IP地址與專用IP地址的區(qū)別（3）全局IP地址是必須保證在互聯(lián)網(wǎng)上是唯一的，而專用IP地址在某一個網(wǎng)絡(luò)內(nèi)部是唯一的，但是在互聯(lián)網(wǎng)中并不是唯