【正文】 態(tài)信息。 OSPF 支持三種網(wǎng)絡(luò)的連接 (1) 兩個路由器之間的點對點連接 (2) 具有廣播功能的局域網(wǎng) (3) 無廣播功能的廣域網(wǎng) 外部網(wǎng)關(guān)協(xié)議 EGP ? 外部網(wǎng)關(guān)協(xié)議主要解決兩個自治系統(tǒng)之間路由器交換尋址信息的問題。 ? 邊界網(wǎng)關(guān)協(xié)議 BGP是為 TCP/IP 互聯(lián)網(wǎng)設(shè)計的外部網(wǎng)關(guān)協(xié)議。 ? BGP 是不同自治系統(tǒng)的路由器之間交換路由信息的協(xié)議。 ? BGP 的較新版本是 1995 年發(fā)表的 BGP4（ BGP 的第 4 個版本）。 ? 可以將 BGP4 簡寫為 BGP。 BGP 使用的環(huán)境不同 ? 因特網(wǎng)的規(guī)模太大，使得自治系統(tǒng)之間路由選擇非常困難。 ? 對于自治系統(tǒng)之間的路由選擇，要尋找最佳路由是很不現(xiàn)實的。 ? 自治系統(tǒng)之間的路由選擇必須考慮有關(guān)策略。 ? 因此，邊界網(wǎng)關(guān)協(xié)議 BGP 只能是力求尋找一條能夠到達目的網(wǎng)絡(luò)且 比較好的路由（不能兜圈子），而并非要尋找一條 最佳路由 。 BGP 交換路由信息 ? 一個 BGP 發(fā)言人與其他自治系統(tǒng)中的 BGP 發(fā)言人要交換路由信息，就要先建立 TCP 連接 ，然后在此連接上交換 BGP 報文以建立 BGP 會話 (session)，利用 BGP 會話交換路由信息。 ? 使用 TCP 連接能提供可靠的服務(wù)，也簡化了路由選擇協(xié)議。 ? 使用 TCP 連接交換路由信息的兩個 BGP 發(fā)言人，彼此成為對方的鄰站或?qū)Φ日尽? BGP 發(fā)言人 ? 每一個自治系統(tǒng)的管理員要選擇至少一個路由器作為該自治系統(tǒng)的“ BGP 發(fā)言人” 。 ? 一般說來，兩個 BGP 發(fā)言人都是通過一個共享網(wǎng)絡(luò)連接在一起的。 ? BGP 發(fā)言人往往就是 BGP 邊界路由器，但也可以不是 BGP 邊界路由器。 BGP4 共使用四種報文 (1) 打開 (Open)報文，用來與相鄰的另一個 BGP發(fā)言人建立關(guān)系。 (2) 更新 (Update)報文，用來發(fā)送某一路由的信息，以及列出要撤消的多條路由。 (3) ?；?(Keepalive)報文，用來確認打開報文和周期性地證實鄰站關(guān)系。 (3) 通知 (Notificaton)報文，用來發(fā)送檢測到的差錯。 BGP 報文的格式 4 字節(jié) 類 型 長 度 標 記 BGP 報文的數(shù)據(jù)部分 可變長度 首部長度 19 字節(jié) BGP 協(xié)議的特點 ? BGP是一個路徑向量協(xié)議， BGP所交換的網(wǎng)絡(luò)可達性信息就是要到達某個網(wǎng)絡(luò)所有經(jīng)過的一系列自治系統(tǒng)。 ? BGP 協(xié)議交換路由信息的結(jié)點數(shù)量級是自治系統(tǒng)數(shù)的量級，這要比這些自治系統(tǒng)中的網(wǎng)絡(luò)數(shù)少很多。 ? 每一個自治系統(tǒng)中 BGP 發(fā)言人（或邊界路由器）的數(shù)目是很少的。這樣就使得自治系統(tǒng)之間的路由選擇不致過分復雜。 BGP 協(xié)議的特點 ? BGP 支持 CIDR，因此 BGP 的路由表也就應(yīng)當包括目的網(wǎng)絡(luò)前綴、下一跳路由器，以及到達該目的網(wǎng)絡(luò)所要經(jīng)過的各個自治系統(tǒng)序列。 ? 在 BGP 剛剛運行時， BGP 的鄰站是交換整個的 BGP 路由表。但以后只需要在發(fā)生變化時更新有變化的部分。這樣做對節(jié)省網(wǎng)絡(luò)帶寬和減少路由器的處理開銷方面都有好處。 BGP 發(fā)言人和自治系統(tǒng) AS 的關(guān)系 BGP 發(fā)言人 BGP 發(fā)言人 BGP 發(fā)言人 BGP 發(fā)言人 BGP 發(fā)言人 AS1 AS3 AS2 AS5 AS4 自治系統(tǒng)連通圖 ? BGP 發(fā)言人互相交換網(wǎng)絡(luò)可達性的信息后，各 BGP 發(fā)言人就可找出到達各自治系統(tǒng)的比較好的路由。 AS1 AS6 AS2 AS3 AS5 AS4 AS7 AS8 BGP 發(fā)言人交換路徑向量 主干網(wǎng) （ AS1） 地區(qū) ISP （ AS2） 地區(qū) ISP （ AS3） 本地 ISP（ AS4） N1， N2 本地 ISP（ AS5） N3， N4 本地 ISP（ AS6） N5 本地 ISP（ AS7） N6， N7 自治系統(tǒng) AS2 的 BGP 發(fā)言人通知主干網(wǎng)的 BGP 發(fā)言人：“要到達網(wǎng)絡(luò) N1, N2, N3 和 N4 可經(jīng)過 AS2?！? BGP 發(fā)言人交換路徑向量 主干網(wǎng) （ AS1） 地區(qū) ISP （ AS2） 地區(qū) ISP （ AS3） 本地 ISP（ AS4） N1， N2 本地 ISP（ AS5） N3， N4 本地 ISP（ AS6） N5 本地 ISP（ AS7） N6， N7 主干網(wǎng)還可發(fā)出通知：“要到達網(wǎng)絡(luò) N5, N6 和 N7 可沿路徑（ AS1, AS3）。” 虛擬專用網(wǎng) VPN ? Inter 由許多通過路由器相互連接的網(wǎng)絡(luò)組成，這種網(wǎng)絡(luò)的缺點是缺乏保密性。 ? 要保證各個單位內(nèi)計算機之間的保密性，較容易的辦法是建立一個“專用網(wǎng)絡(luò)”，但成本較高。 ? 虛擬專用網(wǎng)技術(shù)保證了 VPN中任何一對計算機之間的通信對外界是隱藏的。 VPN的編址 ? VPN所提供的編址選擇與專用網(wǎng)絡(luò)所提供的是一樣的，可以根據(jù)需要選擇 ： ?本地地址 ——僅在機構(gòu)內(nèi)部使用的 IP 地址，可以由本機構(gòu)自行分配，而不需要向因特網(wǎng)的管理機構(gòu)申請。 ?全球地址 ——全球惟一的 IP地址，必須向因特網(wǎng)的管理機構(gòu)申請。 [RFC 1918]指明的專用地址(private address) ? 到 ? 到 ? 到 ? 這些地址只能用于一個機構(gòu)的內(nèi)部通信，而不能用于和因特網(wǎng)上的主機通信。 ? 專用地址只能用作本地地址而不能用作全球地址。在因特網(wǎng)中的所有路由器對目的地址是專用地址的數(shù)據(jù)報一律不進行轉(zhuǎn)發(fā)。 VPN的實現(xiàn) ? VPN的實現(xiàn)主要使用了兩種基本技術(shù)：隧道傳輸和加密技術(shù)。 ? VPN定義了兩個網(wǎng)絡(luò)的路由器之間通過Inter的一個隧道，并使用 IP－ in－ IP封裝通過隧道轉(zhuǎn)發(fā)數(shù)據(jù)報。 ? 為了保證保密性， VPN把外發(fā)的數(shù)據(jù)報加密，然后封裝在另一個數(shù)據(jù)報中傳輸。 ? 隧道接收路由器將數(shù)據(jù)報解密，還原出內(nèi)層數(shù)據(jù)報，然后轉(zhuǎn)發(fā)該數(shù)據(jù)報。 X 用隧道技術(shù)實現(xiàn)虛擬專用網(wǎng) 部門 A 因特網(wǎng) 部門 B R1 R2 隧道 Y 使用隧道技術(shù) 本地地址 本地地址 全球地址 X 用隧道技術(shù)實現(xiàn)虛擬專用網(wǎng) 部門 A 因特網(wǎng) 部門 B R1 R2 隧道 Y 使用隧道技術(shù) 加密的從 X 到 Y 的內(nèi)部數(shù)據(jù)報 外部數(shù)據(jù)報的數(shù)據(jù)部分 源地址： 目的地址： 數(shù)據(jù)報首部 部門 A 部門 B X Y R1 R2 虛擬專用網(wǎng) VPN 內(nèi)聯(lián)網(wǎng) Intra 和外聯(lián)網(wǎng) Extra （都是基于 TCP/IP協(xié)議） ? 由部門 A 和 B 的內(nèi)部網(wǎng)絡(luò)所構(gòu)成的虛擬專用網(wǎng) VPN 又稱為 內(nèi)聯(lián)網(wǎng) (Intra)，表示部門 A 和 B 都是在同一個機構(gòu)的內(nèi)部。 ? 一個機構(gòu)和某些外部機構(gòu)共同建立的虛擬專用網(wǎng) VPN 又稱為 外聯(lián)網(wǎng) (Extra)。 部門 A 部門 B X Y R1 R2 虛擬專用網(wǎng) VPN 網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT (Network Address Translation) ? 網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT 方法于 1994年提出。 ? 需要在專用網(wǎng)連接到因特網(wǎng)的路由器上安裝 NAT 軟件。裝有 NAT 軟件的路由器叫做 NAT路由器，它至少有一個有效的外部全球地址 IPG。 ? 所有使用本地地址的主機在和外界通信時都要在 NAT 路由器上將其本地地址轉(zhuǎn)換成 IPG 才能和因特網(wǎng)連接。 網(wǎng)絡(luò)地址轉(zhuǎn)換的實現(xiàn) ? 網(wǎng)絡(luò)地址轉(zhuǎn)換有兩種實現(xiàn)方法： ? NAT路由器有多個全球 IP地址，每個內(nèi)部主機 X 的本地地址 IPX ， 轉(zhuǎn)換為一個不同的全球 IP地址 IPG 與因特網(wǎng)上主機 Y 通信。 ? NAT路由器只有一個全球 IP地址 IPG，使用不同的端口號對應(yīng)不同的內(nèi)部主機X與外部因特網(wǎng)上主機 Y 通信。 網(wǎng)絡(luò)地址轉(zhuǎn)換方式一 ? NAT 路由器收到一個請求，則從 地址池 中取出一個有效地址，將數(shù)據(jù)報的源地址 IPX 轉(zhuǎn)換成全球地址 IPG，但端口號、目的地址 IPY 保持不變，然后發(fā)送到因特網(wǎng)。 ? NAT 路由器收到主機 Y 發(fā)回的數(shù)據(jù)報時，知道數(shù)據(jù)報中的源地址是 IPY 而目的地址是 IPG。 ? 根據(jù) NAT 轉(zhuǎn)換表， NAT 路由器將目的地址 IPG 轉(zhuǎn)換為 IPX，轉(zhuǎn)發(fā)給最終的內(nèi)部主機 X。 網(wǎng)絡(luò)地址轉(zhuǎn)換方式二 ? NAT 路由器收到一個請求，則記錄該數(shù)據(jù)報的源地址 IPX和端口號，將數(shù)據(jù)報重新封裝，使用新的端口號，將地址轉(zhuǎn)換成全球地址 IPG，目的地址 IPY 保持不變，然后發(fā)送到因特網(wǎng)。 ? NAT 路由器收到主機 Y 發(fā)回的數(shù)據(jù)報時，根據(jù) NAT 轉(zhuǎn)換表中的（ IP地址：端口號）對的關(guān)系，將數(shù)據(jù)報轉(zhuǎn)發(fā)給最終的內(nèi)部主機 X。