第17卷第4期電腦開發(fā)與應用(總193) ●35.子網(wǎng)互連的實現(xiàn)技術(shù)Implementation of Subnet Interconnction Technology李淑琴(太原西峪煤礦太原030021)[摘要]同一單位內(nèi)數(shù)個局域網(wǎng)的互連將提高資源共享的程度和網(wǎng)絡功能的發(fā)揮。介紹了子網(wǎng)互連需要滿足的基本要求和目前常用的幾種互連設備,著重闡述了不同應用環(huán)境下通過不同互連設備實現(xiàn)的網(wǎng)絡互連。[關鍵詞]網(wǎng)絡互連，通信，網(wǎng)橋，路由器，網(wǎng)關ABSTRACT Interconnection of several local area networks in a company will increase the degree of resource sharing and full - useof network function. This paper presents the basic requirement for subnet interconnection and several interconnection equipmentsthat are presently adopted ,and gives more description about implementation of network interconnection of different interconnectionequipment under different environments.KEY WORDS network interconnection, communication, net bridge， router， net隨著局域網(wǎng)使用的普及,在同一單位內(nèi)建有數(shù)個蹤多種網(wǎng)絡和路由器的使用情況并顯示現(xiàn)實狀況信局域網(wǎng)的現(xiàn)象已屢見不鮮。此時,用戶從共享網(wǎng)絡資源息;的角度出發(fā),希望將它們互連起來,構(gòu)成一個互聯(lián)網(wǎng)的④網(wǎng)絡互連設備應該能夠協(xié)調(diào)不同網(wǎng)絡之間的各環(huán)境，以實現(xiàn)局域網(wǎng)間的通信及擴展局域網(wǎng)的范圍。計種差異。這些差異包括不同的尋址方式,不同的數(shù)據(jù)包算機網(wǎng)絡實現(xiàn)互連之后,不僅可以使用戶能夠更廣泛、的尺寸,不同的網(wǎng)絡訪問機制、狀態(tài)顯示、路由技術(shù)、用更有效地實現(xiàn)資源共享,而且可以從整體上提高網(wǎng)絡戶訪問機制、糾錯能力以及面向連接與面向非連接的的可靠性，充分發(fā)揮它的網(wǎng)絡功能。操作等。1網(wǎng)絡互連的基本概念3子網(wǎng)互連設備將分布在不同地理位置的同構(gòu)或異構(gòu)網(wǎng)絡連接起實現(xiàn)網(wǎng)絡相互連接的設備叫網(wǎng)絡互連設備,又被來,以構(gòu)成更大規(guī)模的互聯(lián)網(wǎng)來說,實現(xiàn)網(wǎng)絡資源的共稱為中繼系統(tǒng)。它連接著兩個或多個不同的網(wǎng)絡,起著享,這一方案稱為網(wǎng)絡互連?；ヂ?lián)網(wǎng)既有包含幾個網(wǎng)絡不同網(wǎng)絡之間數(shù)據(jù)傳送和終止每個網(wǎng)絡內(nèi)部協(xié)議的作的互聯(lián)網(wǎng),最典型的就是-一個單位內(nèi)數(shù)個子網(wǎng)的互連,用。依據(jù)網(wǎng)絡互連設備在不同的層次上實現(xiàn)協(xié)議和功也有包含上千個網(wǎng)絡的互聯(lián)網(wǎng)。對網(wǎng)絡用戶來說,互聯(lián)能的轉(zhuǎn)換，可將它分為以下四種:網(wǎng)結(jié)構(gòu)是透明的。①轉(zhuǎn)接器(REPEATER)在物理層實現(xiàn)中繼功能。2子網(wǎng)互連的基本要求②網(wǎng)橋(BRIDGE)在數(shù) 據(jù)鏈路層實現(xiàn)中繼功能。現(xiàn)有的各種類型的網(wǎng)絡在性能或功能上都存在著③路由器(ROUTER)在網(wǎng)絡層實現(xiàn)中繼功能。不同程度的差異,因此將它們互連起來必須克服它們④網(wǎng)關(GATEWAY)在網(wǎng)絡層以上層次實現(xiàn)之間的差異給彼此通信帶來的影響。隨著網(wǎng)絡技術(shù)的中繼功能。不斷發(fā)展,網(wǎng)絡互連的方法也日益增多,但其基本要求無論在哪一個層次實現(xiàn)中繼功能,其實現(xiàn)的復雜可以歸納為:性取決于網(wǎng)絡之間在數(shù)據(jù)格式和協(xié)議規(guī)范等方面的差①至少在網(wǎng)絡之間提供一種物理鏈路控制的連異程度。接;②為不同網(wǎng)絡的進程間的通信提供合適的路由控4中國煤化工絡互連的技術(shù)HCNMHG制和數(shù)據(jù)交換;連接器是在物理層實現(xiàn)中繼功能的互連設備,目③為網(wǎng)間通信提供良好的服務機制，包括能夠跟前已不常用。在此不作詳細介紹。2003萬勢數(shù)據(jù)收到,2004-02-01改回* *李淑琴,女.1968 年生,工程師,從事通訊和計算機工作?！?6●(總194)子網(wǎng)互連的實現(xiàn)技術(shù)2004年.4.1通過網(wǎng)橋?qū)崿F(xiàn)互連路由器是在網(wǎng)絡層上實現(xiàn)互連的設備,因為路由.網(wǎng)橋是在數(shù)據(jù)鏈路層上實現(xiàn)同構(gòu)型網(wǎng)絡互連的設器工作在網(wǎng)絡層,它不需要知道拓撲結(jié)構(gòu)的信息,所以備,它的基本特征是:可以使用路由器連接不同拓撲結(jié)構(gòu)的網(wǎng)絡。路由器是①網(wǎng)橋能夠互連兩個在數(shù)據(jù)鏈路層具有不同協(xié)比網(wǎng)橋更具智能化的設備,它的功能涉及到物理層、數(shù)議、不同傳輸介質(zhì)和傳輸速率的局域網(wǎng)。據(jù)鏈路層和網(wǎng)絡層。路由器分為單協(xié)議和多協(xié)議兩種②網(wǎng)橋在實現(xiàn)互連網(wǎng)絡之間通信時,具有接收、存類型。單協(xié)議路由器用于具有相同網(wǎng)絡層協(xié)議的互連。儲、地址識別及轉(zhuǎn)發(fā)等功能。多協(xié)議路由器則可支持多種網(wǎng)絡層協(xié)議，使用這種多③網(wǎng)橋可以分割兩個網(wǎng)絡之間的通信量,有利于協(xié)議路由器幾乎可以使多家廠商提供的異種網(wǎng)絡實現(xiàn)改善互連網(wǎng)絡的性能與安全性。互連。④便于隔離故障,提高網(wǎng)絡的可靠性。路由器的路由選擇功能是通過設置在路由器中的每個網(wǎng)橋都保留著網(wǎng)絡上與它直接相連的設備的路由表來完成的。路由表有靜態(tài)和動態(tài)之分，兩者的區(qū)硬件地址,網(wǎng)橋檢查信息幀的硬件目標地址,并且根據(jù)別在于路由表的內(nèi)容是否隨網(wǎng)絡狀態(tài)而變化。如果被自己的硬件地址表,決定是否將幀向前傳送。如需要傳互連的網(wǎng)絡個數(shù)較少,可采用靜態(tài)路由表管理互聯(lián)網(wǎng).送,則產(chǎn)生新的幀。絡的通信,局域網(wǎng)間互連一般采用靜態(tài)路由表管理互圖1表示通過網(wǎng)橋連接兩個局域網(wǎng)的互聯(lián)網(wǎng)。聯(lián)網(wǎng)絡的通信。只有在復雜的互聯(lián)網(wǎng)上才采用動態(tài)路SmithPlato由表。LANA路由器在網(wǎng)絡層中具有如下功能:網(wǎng)橋①“拆包和打包”功能。即路由器在接收到任何一「 Earth種數(shù)據(jù)包后,先去掉數(shù)據(jù)鏈路層所加上的控制信息,然圖1通過網(wǎng)橋連接兩個局域網(wǎng)的互聯(lián)網(wǎng)后根據(jù)網(wǎng)絡層所加上的控制信息做相應的處理,如為當Smith向Mary傳送-幀數(shù)據(jù)時,網(wǎng)橋根據(jù)內(nèi)該數(shù)據(jù)包選擇-條最佳傳輸路由。最后加上數(shù)據(jù)鏈路部的硬件地址表發(fā)現(xiàn)Smith與Mary在相同的LAN層應有的控制信息，恢復為原有的數(shù)據(jù)包。也正由于路A上,認為不需要轉(zhuǎn)發(fā),而將該幀丟棄;如果Smith要由器的這些拆包和打包操作,從而增加了路由器的時向Earth發(fā)送一幀數(shù)據(jù)時,網(wǎng)橋通過地址識別知道通.延。信雙方不在同一局域網(wǎng)上，則網(wǎng)橋?qū)⑼ㄟ^與LAN B②路由選擇功能。在用路由器形成的互聯(lián)網(wǎng)中,從的網(wǎng)絡接口,向LAN B轉(zhuǎn)發(fā)該幀,處于LAN B上的路由器到目標節(jié)點間都存在多條傳輸路由。路由器的節(jié)點Earth將能接收到Smith發(fā)送的幀。目前常用的選擇功能就是要按照某種策略為所收到的數(shù)據(jù)包選擇網(wǎng)橋有透明網(wǎng)橋和源節(jié)點路由網(wǎng)橋。前者是最常見的一條最佳傳輸路由。-種網(wǎng)絡類型。它遵循IEEE802.1標準,它的路由選③進行協(xié)議轉(zhuǎn)換。路由器具有與多種類型的LAN擇功能設置在網(wǎng)橋中，局域網(wǎng)上的各個工作站不需要互連的能力,這種能力來自于路由器具有識別和轉(zhuǎn)換設置路由選擇功能。后者遵循IEEE802.5的標準,即各種協(xié)議的功能。由發(fā)送數(shù)據(jù)幀的源節(jié)點工作站,通過類似于固定路由④分段和重新組裝。在用路由器互連的多個網(wǎng)絡選擇的算法進行路由選擇,因此,在每個網(wǎng)絡的工作站中，它們各自采用的數(shù)據(jù)包的大小可能不同。源節(jié)點所中都要配置-張路由選擇表,為本站所能達到的所有用數(shù)據(jù)包較大,而目標節(jié)點所用數(shù)據(jù)包較小或相反,路工作站建立一個表目,列出由本站到目標站的確立路由器的分段和重新組裝功能使數(shù)據(jù)包被拆分或組裝成由上所有網(wǎng)橋和局域網(wǎng)的地址,則由本站發(fā)往目標站合適大小的數(shù)據(jù)包進行傳送。的所有幀,都將沿著這條路由傳輸,相比而言,源節(jié)點⑤網(wǎng)絡管理功能。路由器可監(jiān)視網(wǎng)絡中信息流動、路由網(wǎng)橋數(shù)據(jù)傳輸較為安全,而且網(wǎng)橋的實現(xiàn)比較簡設備工作以及對它們進行管理。單,但它增加了網(wǎng)絡工作的復雜性,在一般互聯(lián)網(wǎng)中工4.3中國煤化工作站的數(shù)目遠大于網(wǎng)橋的數(shù)目,這意味著構(gòu)建網(wǎng)絡需有時是不同拓樸結(jié)構(gòu)HCNMHG要付出更多的空間開銷,必然也增大花費。的網(wǎng)絡互連時,需要用到網(wǎng)天。以網(wǎng)關實現(xiàn)網(wǎng)絡互連4.2通過路由器實現(xiàn)子網(wǎng)互連時，網(wǎng)關實際上是一個協(xié)議轉(zhuǎn)換器。它工作在OSI/RM要實現(xiàn)異構(gòu)型局域網(wǎng)的連接,就應選擇路由器。其模型的運輸層及其以上層次,主要用于不同體系結(jié)構(gòu)實它是一炱秀果胞計算機,其作用是解決互聯(lián)網(wǎng)的路網(wǎng)絡的互連。在網(wǎng)間互連設備中,網(wǎng)關是最復雜的。以由選擇問題。運輸層實現(xiàn)協(xié)議轉(zhuǎn)換為例,其轉(zhuǎn)換工作包括數(shù)據(jù)格式.第17卷第4期電腦開發(fā)與應用(總195) ●37.的重新調(diào)整、長數(shù)據(jù)的分段、地址格式的轉(zhuǎn)換,以及對首先,A把B的名字等消息加蓋時間戳TA并用操作規(guī)程的適配等。daa加密送至B。B收到后由明文A知道是A發(fā)的消通常,對具有不同網(wǎng)絡體系結(jié)構(gòu),而且物理上又是息,但是B并不知道day,無法了解消息內(nèi)容,更不能彼此獨立的網(wǎng)絡,可用網(wǎng)關將其連接起來。此時,被互偽造或篡改。B把A傳來的消息傳送給AS,并將A的連的兩個網(wǎng)絡類型既可以是不同的,也可以是相同的。名字加蓋時間戳TB用dbb加密送至AS。AS解密B但是,用網(wǎng)關互連的兩個網(wǎng)絡,在物理上也可以是同一發(fā)過來的消息后,將A.B的會話密鑰KAB分別用網(wǎng)絡。例如:在同一個以太網(wǎng)上某些站運行TCP/IP網(wǎng)Yaksha私鑰加密送至A、B。因為只有當A.B擁有的.絡軟件,而另一些站運行Novell網(wǎng)軟件。此時,可將同Yaksha私鑰與AS的Yaksha相應時,A.B才能解密一個以太網(wǎng)看作是兩個邏輯網(wǎng),一個是TCP/IP網(wǎng),另AS發(fā)過來的消息,所以此過程完成對A、B的認證。然一個是Novell網(wǎng)。這兩個邏輯網(wǎng)的站之間交換信息必后,A解密AS發(fā)過來的消息得到時間戳TA后驗證須借助網(wǎng)關的作用進行協(xié)議轉(zhuǎn)換。TA中的時間是否在當前允許的范圍內(nèi),并與自己發(fā)圖2表示-一個以太網(wǎng)上的TCP/IP節(jié)點要和令牌送的消息時間相符。驗證通過后,A將TB用KAB加網(wǎng)上的NA節(jié)點之間進行通信,由于TCP/IP與NA密后發(fā)給B,對B進行驗證。B解密AS發(fā)過來的消息的高層網(wǎng)絡協(xié)議不同，所以以太網(wǎng)中的TCP/IPClient得到時間戳TB后驗證TB中的時間的正確性。驗證不能直接訪問令牌環(huán)網(wǎng)的NAClient。如果兩者要通通過后,B將TA用KAB加密后發(fā)給A,對A進行驗信，就必須使用網(wǎng)關設備,它可以完成不同網(wǎng)絡協(xié)議之正。間的轉(zhuǎn)換。網(wǎng)關的功能是在TCP/IP節(jié)點產(chǎn)生的報文經(jīng)過優(yōu)化后的Kerberos認證系統(tǒng)更好地滿足了上加上必要的控制信息,并且將它轉(zhuǎn)換成NA節(jié)點所開放式系統(tǒng)的認證性能:需要的報文格式。當NA節(jié)點要向TCP/IP節(jié)點發(fā)送①安全性。采用優(yōu)化后的Kerberos認證機制足夠信息時,網(wǎng)關同樣要完成NA報文格式到TCP/IP報安全,不致成為攻擊的薄弱環(huán)節(jié)。文格式的轉(zhuǎn)換。②可靠性。Kerberos認證服務是其他服務的基TCP/IP Client礎,其可靠性決定整個系統(tǒng)可靠性。③透明性。用戶感受不到認證服務的存在。④可擴展性。當和不支持Kerberos認證機制的系NA網(wǎng)關統(tǒng)通信時,不受影響。NA Client| NA Client4結(jié)論圖2通過網(wǎng)關 通信筆者創(chuàng)造性地在Kerberos的基礎上采用了在一個大型的計算機網(wǎng)絡中,可利用網(wǎng)關實現(xiàn)多Yaksha算法的思想,克服了Kerberos的某些缺陷,提個物理.上或邏輯上獨立的網(wǎng)絡的互連。高了安全性。在認證過程中,由用戶對自己加蓋的時間5結(jié)束語戳進行驗證,解決了Kerberos 的時間同步的問題,并實現(xiàn)子網(wǎng)互連的各種設備有性能相似之處,又各有效地防止了重放攻擊。但是,采用RSA公鑰加密算具特點，究竟選用哪種設備,取決于具體的應用環(huán)境。法要比單鑰加密速度慢--些。參考文獻恰當?shù)幕ミB實現(xiàn)技術(shù)將使計算機網(wǎng)絡功能更有效,性1W Stallings , Network Security Essentials ; Applications and能更可靠,并且能更充分的發(fā)揮它的網(wǎng)絡功能。Stadards , Prentice Hall ,inc.20002 S M Bellovin, M Merritt. Limitations of the kerberos1楊心強,陳國友,邵軍力編著.數(shù)據(jù)通信與計算機網(wǎng)絡.北authentication system. In Proceedings of the Winter 199京:電子工業(yè)出版社,2003Usenix Conference,19912 李昭智編著.數(shù)據(jù)通信與計算機網(wǎng)絡.北京:電子工業(yè)出版3中國煤化工ating Smart Cards into社,2002YHC N M H G1: Advances in Cryptology- EUROCRYPT'1995 Proceeding, 1995(上接第34頁)4G Horng, C S Yang. Key authentication scheme forTA.TB分別是A,B根據(jù)自己的時鐘加蓋的紀元cryptosystems based on discrete logarithms. Computer時間，為了膀好知明文攻擊,TA.TB應該是時間的Communications, 1996.(19) :848~ 850函數(shù)。