【计算机网络】 第四章 网络层

4.1 网络层概述

• 网络层的主要任务是实现网络互连，进而实现数据包在各网络之间的传输
• 网络层需要解决以下主要问题：

  • 网络层应该向运输层提供怎样的服务（可靠传输还是不可靠传输）
    可靠是指解决了数据包在传输过程中的误码、丢包、乱序的问题

  • 网络层寻址问题
    

  • 路由选择问题
    
    如何得到路由表？
    （1）由用户或网络管理人员进行人工配置，这种方法适用于规模较小且网络拓扑不改变二点小型互联网
    （2）实现各种路由选择协议时，由路由器执行路由选择协议中所规定的路由选择算法，而自动得出路由表中的路由记录，这种方法更适用于规模较大且网络拓扑经常改变的大型互联网。
    　　
    　　因特网是目前全世界用户数量最多的互联网，它使用TCP/IP协议栈。
    　　由于TCP/IP协议栈的网络层使用网际协议IP，它是整个协议栈的核心协议，因此在TCP/IP协议栈中网络常称为网际层。
    　　综上所述，我们通过学习TCP/IP协议栈的网际层来学习网络层的理论知识和实践技术
    

4.2 网络层提供的两种服务

4.2.1 面向连接的虚电路服务

虚电路的核心思想是：可靠通信由网络来保证
　　当两台机器人进行通信时，应当首先建立网络层的连接，也就是建立一条虚电路VC，以保证通信双方所需的一切网络资源，然后双方就沿着已建立的虚电路发送分组，需要说明的是，虚电路表示这是一条逻辑上的连接，分组都沿着这条逻辑连接按照存储转发方式传送，而不是真正建立了一条物理连接。
　　分组的首部仅在连接建立阶段使用完整的目的主机地址，之后每个分组的首部只需携带一条虚电路的编号（构成虚电路的每一段链路都有一个虚电路编号）
　　这种通信方式如果在使用可靠传输的网络协议，就可使所发送的分组最终正确到达接收方（无差错按序到达、不丢失、不重复）
通信结束后需要释放之前所建立的虚电路
　　很多广域分组交换网都使用面向连接的虚电路服务。例如，曾经的X.25和逐渐过时的帧中继FR、异步传输模式ATM等。
然而，因特网的先驱者并没有采用这种设计思路

4.2.2 无连接的数据报服务

数据报服务的核心思想是可靠通信当由用户主机来保证。
　　当两台计算机进行通信时，它们的网络层不需要先建立连接，每个分组可走不同的路径。因此，分组的首部必须携带目的主机的完整地址。
　　这种通信方式所传送的分组可能误码、丢失、重复和失序。
　　由于网络本身不提供端到端的可靠传输服务，这就使网络中的路由器可以做的比较简单，而且价格低廉。
　　因特网采用了这种设计思想，也就是将复杂的网络处理功能置于因特网的边缘，而将相对简单的尽最大努力的分组交付功能置于因特网核心

4.3 IPv4地址

4.3.1 IPv4地址概述

• 在TCP/IP体系中，IP地址是一个最基本的概念，我们必须把它弄清楚
• IPv4就是给因特网上的每一台主机（或路由器）的每一个接口分配一个在全世界范围内是唯一的32比特的标识符
• IP地址由因特网名字和数字分配机构ICANN进行分配
  • 我国用户可向亚太网络信息中心APNIC申请IP地址，需要缴费
  • 2011年2月3日，互联网号码分配管理局IANA（由ICANN行使职能）宣布，IPv4地址已经分配完毕
  • 我国在2014年到2015年也逐步停止了向新用户和应用分配IPv4地址，同时全面开展商用部署IPv6
• IPv4地址二点编址方法经历了如下三个历史阶段
  
• 32比特的IPv4地址不方便阅读、记录以及输入等，因此IPv4采用点分十进制表示方法以便用户使用。如下
  
  
  

4.3.2 分类编址的IPv4地址

A类网络

B类地址

C类地址

练习：



小结：

4.3.3 划分子网的IPv4地址

如图，某单位有一个大型的局域网需要连接到因特网，如果申请到一个C类地址，其可分配的IP地址数量只有254个，不够使用，因此该单位申请了一个B类网络地址，其可分配的IP地址数量达到65534个，给每台计算机和路由器的接口分配一个IP地址后，还有大量IP地址剩余，这些剩余的IP地址智能由该大内的同一个网络使用，而其他单位的网络不能使用。

随着该单位计算机网络的发展和建设，该单位又新增了一些计算机，并且需要将原来的网络划分成三个独立的网络。假设子网1仍然使用原先申请到的B类网络地址，那么就需要为子网2和子网3各自申请一个网络地址，但会由以下弊端：（如图）

如果可以从IP地址的主机号部分借用一些位作为子网号来区分不同的子网，就可以利用原有网络中剩余的大量IP地址，而不用申请新的网络地址，如本地我们可以借用16位主机号中的8位作为子网号

计算机如何知道分类地址中有多少位被用作子网号–子网掩码（划分子网的工具）

32比特的子网掩码可以表明分类IP地址的主机号被借用了几个比特作为子网号

举例：

默认的子网掩码是指在未划分子网的情况下使用的子网掩码

4.3.4 无分类编址的IPv4地址

• 划分子网在一定程度上缓解了因特网在发展中遇到的困难，但是数量巨大的C类网因为其地址空间太小，并没有得到充分使用，而因特网的IP地址人在加速消耗，整个IPv4地址空间面临全部耗尽的威胁。
• 为此，因特网工程任务组IETF又提出了采用无分类编址的方法来解决IP地址紧张的问题，同时还专门成立IPv6工作组负责研究新版本IP以彻底解决IP地址耗尽问题。
• 1993年，IETF发布了无分类域路由选择CIDR的RFC文档
  • CIDR消除了传统的A类、B类和C类地址，以及划分子网的概念；
  • CIDR可以更加有效地分配IPv4的地址空间，并且可以在新的IPv6使用之前允许因特网的规模继续增长

CIDR使用“斜线记法”，或称CIDR记法，即在IPv4地址后面加上斜线“/”，在斜线后面协商网络前缀所占的比特数量。如下图

CIDR实际上是将网络前缀都相同的连续的IP地址组成一个“CIDR地址块”。
我们只要知道CIDR地址块中的任何一个地址，就可以知道该地址块的全部细节。

路由聚合（构造超网）
作用：减小路由记录对路由表的占用
如下图

• 网络前缀越长，地址块越小，路由越具体；
• 若路由器查表转发分组时发现有多条路由可选，则选择网络前缀最长的那条，这称为最长前缀匹配，因为这样的路由更具体。
  
  
  总结：
  

4.3.5 IPv4地址的应用规划

定长的子网掩码FLSM：

　　采用定长的子网掩码进行子网划分，只能划分出2的n次方个子网（n是从主机号部分借用的用来作为子网号的比特数量），每个子网分配的IP地址相同，容易造成IP地址的浪费。
　　
　　变长的子网掩码VLSM：

　　在该地址块中给左图所示的网络N1~N5分配子块，分配原则是“每个子块的起点位置不能随意选取，只能选取块大小整数倍的地址作为起点“。建议先给大的子块分配

4.4 IP数据报的发送和转发过程

IP数据报的发送和转发过程包含以下两部分：

• 主机发送IP数据报
• 路由器转发IP数据报

为了将重点放在TCP/IP协议栈的网际层发送和转发IP数据报的过程上，在之后的举例中，我们忽略使用ARP协议来获取目的主机或路由器接口的MAC地址的过程以及以太网交换机自学习和转发帧的过程。
（1）目的地址是网络中的主机

如何判断源主机与目的主机是否在同一个网络中

主机C如何知道路由器R的存在
路由器R的0接口作为整个网络的默认网关

路由器接收到数据后如何转发

IP如何在路由表中查找匹配的条目：

发送成功：

（2）目的地址是网络中的广播
网络为本网络：
路由器不转发可以抑制广播风暴

网络为另一网络：

习题：



总结：

4.5 静态路由配置及其可能产生的路由环路问题

• 静态路由配置是指用户或网络管理员使用路由器的相关命令给路由器人工配置路由表。
  • 这种人工配置方式简单、开销小。但不能及时适应网络状态（流量、拓扑等）的变化。
  • 一般只在小规模网络中使用
• 使用静态路由配置可能出现以下导致产生路由环路的问题
  • 配置错误
  • 聚合了不存在的网络
  • 网络故障

静态路由配置举例：

默认路由：
　　对于具有相同下一跳的不同目的网络的路由条目，我们可以用一条默认路由条目来替代
　　配置了默认路由后，当路由表中与数据包目的地址没有匹配的表项时，数据包很具默认路由条目进行转发

特定主机路由举例：
　　一般用于网络管理人员对网络的管理和测试

（1）静态路由配置错误导致路由环路：

　　解决办法：为了防止IP数据报在路由环路中永久兜圈，在IP数据报首部设有生存时间TTL字段。IP数据报进入路由器后，TTL字段的值减1.若TTL的值不等于0，则被路由器转发，否则被丢弃。

（2）聚合了不存在的网络而导致路由环路问题

　　解决办法：在路由表中，添加针对所聚合的、不存在的网络的黑洞路由，黑洞路由的下一跳为ull0，这是路由器内部的虚拟接口。（进入后，路由器丢弃数据报）

（3）网络故障而导致路由环路

解决办法：在路由表中，添加针对该直连网络的黑洞路由

如果故障消失，R1会自动地得出其接口0的之恋网络的路由条目，并将之前人工配置的针对该直连网络的黑洞路由条目设置为失效状态

总结：

4.6 路由选择协议

4.6.1 路由选择协议概述

因特网采用的路由选择协议的主要特点：

因特网采用分层次的路由选择协议

常见的路由选择协议：

路由器的基本结构

路由表：

• 路由表一般仅包含从目的网络到下一跳的映射
• 路由表需要对网络拓扑变化的计算最优化
• 转发表是从路由表得出的
• 转发表的结构应当使查找过

路由器：

• 路由器除了收到路由报文外，还会周期性的给其他路由器发送自己所知道的路由信息
• 路由器的各端口还应具有输入缓冲区和输出缓冲区
• 输入缓冲区用来暂存新进入路由器但还来不及处理的分组；输出缓冲区用来暂存已经处理完毕但还来不及发送的分组
  
  总结：
  

4.6.2 路由信息协议RIP的基本工作原理

• 路由信息协议RIP（Routing Information Protocol）是内部网关协议IGP中最先得到广泛使用的协议之一，其相关标准文档为RFC 1058.
• RIP要求自治系统AS内的每一个路由器都要维护从它自己到AS内其他每一个网络的距离记录。这是一组距离，称为”距离向量D-V（Distance-Vector）“.
• RIP使用跳数（Hop Count）作为度量（Metric）来衡量到达目的网络的距离。
  • 路由器到直连网络的距离定义为1。
  • 路由器到非直连网络的距离定义为所经过的路由器数加1。
  • 允许一条路径最多只能包含15个路由器。”距离“等于16时相当于不可达。因此，RIP只适用于小型互联网。

• RIP认为好的路由就是”距离短“的路由，也就是==所通过路由器数量最少的路由。尽管，带宽较小

• 当到达同一目的网络由多条”距离相等“的路由时，可以进行等价负载均衡。（就是将通信量均衡地分布到多条等价地路由上）

• RIP包含以下三个要点：
  • 和谁交换信息-------仅和==相邻路由表交换信息
  • 交换什么信息-------自己的路由表
  • 合适交换信息-------周期性交换（例如每30秒）
    
    简述RIP地基本工作过程：
    （1）路由器刚开始工作时，只知道自己到直连网络地距离为1。
    （2）每个路由仅和相邻路由器周期性地交换并更新路由信息。
    
    （3）若干次交换和更新后，每个路由器都知道到达本AS内各网络地最短距离和下一跳地址，称为收敛。
    

RIP路由条目地更新规则：
　　假设路由器C的RIP更新报文发送周期到了，则路由器C将自己路由表中的相关路由信息封装到RIP更新报文中发送给路由器D。我们可以简单地理解为路由器C将自己的路由表发送给了路由表D。

路由器D收到后对其进行改造（将到达各目的网络的下一跳都改为C，距离增加1）

路由器D可以根据改造好的路由表来更新自己先前的路由表了

• RIP存在”坏消息传播得慢“的问题
• ”坏消息传播得慢“又称为路由环路或距离无穷级数问题，这是==距离向量算法的一个固有问题。
  • 限制最大路径距离为15（16表示不可达）
  • 当路由表发生变化时就立即发送更新报文（即”触发更新“），而不仅时周期性发送
  • 让路由器记录收到某待定路由信息的接口，而不让同意路由信息再通过此接口反方向传送（即”水平分割“）
  • 3导致一下问题：
    习题：
    
    
    
    
    总结：
    

4.6.3 开放最短路径优先OSPF的基本工作原理

• 开放最短路径优先OSPF（Open Shortest Path First）,是为客服RIP的缺点在1989年开发出来的。

  • ”开放“表明OSPF协议不是收一家厂商控制，而是公开发表的。
  • ”最短路径优先“是因为使用了Dijkstra提出的最短路径算法SPF。

• OSPF是基于链路状态的，而不像RIP哪有是基于距离向量的。

• OSPF采用SPF算法计算路由，从算法上保证了不会产生路由环路。

• OSPF不限制网络规模，更新效率高，收敛速度快。

• 链路状态是指本路由器和哪些路由器相邻，以及相应链路的”代价“

  • ”代价“用来表示费用、距离、时延、带宽，等等。这些都是由网络管理人员来决定的
    

• OSPF相邻路由器之间通过交互问候（Hello）分组。建立和维护邻居关系。

  • Hello分组分组封装在IP数据报中，发往组播地址224.0.0.5；

  • IP数据报首部中的协议号字段取值应为89，来表明IP数据报的数据载荷为OSPF分组。
    

  • 发送周期为10秒；40秒未收到来自邻居路由器的Hello分组，则认为该邻居路由器不可达
    

• 使用OSPF的每个路由器都会产生链路状态通信LSA（Link State Advertisement）。LSA中包含以下内容：

  • 直连网络的链路状态信息
  • 邻居路由器的链路状态信息
    

• LSA被封装在链路状态更新分组LSU中，采用洪泛法发送。
  
  

• 使用OSPF的每个路由器都有一个==链路状态数据库LSDB，用于存储LSA

• 通过各路由器洪泛发送封装由自己LSA的LSU分组，各路由器的LSDB最终将达到一致。
  

• 使用OSPF的各路由器基于LSDB进行最短路径优先SPF计算，构建出各自到达其他各路由器的最短路径，即构建各自的路由表。
  

• OSPF有以下五种分组类型

  • 类型1，问候（Hello）分组
    用来发现和维护邻居路由器的可达性。
  • 类型2，数据库（Database Description）描述分组
    向邻居路由器给出自己的链路状态数据库中的所有链路状态项目的摘要信息
  • 类型3，链路状态请求（Link State Request）分组
    向邻居路由器请求发送某些某些链路状态项目的详细信息
  • 类型4，链路状态更新（Link State Update）分组
    路由器使用这种分组将其链路状态进行洪泛发送，即用洪泛法对全网更新链路状态
  • 类型5，链路状态确认（Link State Acknowledgment）分组
    这是对链路状态更新分组的确认分组。

• OSPF的基本工作过程
  　　相邻路由器之间周期性发送问候分组，以便建立和维护邻居关系。建立邻居关系后，给邻居路由器发送数据库描述分组。也就是向自己的链路状态数据库中的所有链路状态项目的摘要信息发送给邻居路由器。例如R1收到R2的数据库描述分组后，发现自己缺少其中的某些链路状态项目，于是就给R2发送链路状态请求分组。R2收到后，将R1所缺少的链路状态项目的详细信息封装在链路状态更新分组中发送给R1。R1收到后，将这些所缺少的在链路状态项目的详细信息添加到自己的链路状态数据库中。并给R2发送链路状态确认分组。需要说明的是R2也可以向R1请求自己所缺少的链路状态项目的详细信息。最终R1和R2的链路状态数据库将达到一致。也就是链路状态数据库达到同步。每30分钟或链路状态发生变化时，路由器都会发送链路状态更新分组。收到该分组的其他路由器将洪泛转发该分组，并给该路由器发回链路状态确认分组。这又称为新情况下的链路状态数据库同步。
  

• OSPF在多点接入网络中路由器邻居关系的建立
  正常情况：
  

• 为了减少所发送分组的数量，OSPF采用选举指定路由器DR（designated router）和备用的指定路由器BDR（backup designated router）

  • 所有的非DR/BDR只与DR/BDR建立邻居关系，非DR/BDR之间通过 DR/BDR交换信息
  • DR出现问题则由BDR顶替DR。
    
    为了使OSPF能够用于规模很大的网络，OSPF把一个自治系统再划分为若干各更小的范围，叫做区域（Area）
    
    总结：
    

4.6.4 边界网关协议BGP的基本工作原理

• 因特网采用分层的路由选择协议
  
• 内部网关协议IGP（例如路由信息协议RIP或开放最短路径优先OSPF）
  • 设法使分组在一个自治系统内尽可能有效地从源网络传输到目的网络
  • 无需考虑自治系统外部其他方面的策略
• 外部网关协议EGP（例如边界网关协议BGP）
  • 在不同自治系统内，度量路由的”代价“（距离，带宽，费用等）可能不同，因此，对于自治系统之间的路由选择，使用”代价“作为度量来寻找最佳路由是不行的
    
  • 自治系统之间的路由选择必须考虑相关策略（政治、经济、安全等）
    
  • BGP只能是力求寻找一条能够到达目的网络且比较好的路由（不能兜圈子）而并非要寻找一条最佳路由
• 在配置BGP时，每个自治系统的管理员要选择至少一个路由器作为该自治系统的”BGP发言人“
• 不同自治系统的BGP发言人要交换路由信息，首先必须建立TCP连接，端口号为179
  • 在此TCP连接上交换BGP报文以建立BGP会话
  • 利用BGP会话交换路由信息（例如，增加新的路由，或撤销过时的路由，以及报告出错的情况等）
  • 利用TCP连接交换路由信息的两个BGP发言人，彼此称为对方的邻站（neighbor）或对等站（peer）
• BGP发言人处理运行BGP外，还必须运行自己所在自治系统所使用的内部网关协议IGP，例如OSPF或RIP
• BGP发言人交换网络可达性信息（要到达某个网络所要经过的一系列自治系统）
• 当BGP发言人互相交换了网络可达性的信息后，各BGP发言人就根据所采用的策略从收到的路由信息中找出到达各自治系统的较好的路由。也就是构造出树形结构、不存在贿赂的自治系统连通圈。
  
• BGP适用于多级结构的因特网
  
• BGP-4有以下四种报文
  • OPEN（打开）报文：用来与相邻的另一个BGP发言人建立关系，使通信初始化。
  • UPDATE（更新）报文：用来通告某一路由信息，以及列出要撤销的多条路由。
  • KEEPALIVE（保活）报文：用来周期性地证实邻站的连通性
  • NOTIFICATION（通知）报文：用来发送检测到的差错。
    
    
    总结：
    

4.7 IPv4数据报的首部格式

• 版本：占4字节，表示IP协议的版本号。通信双方使用的IP协议的版本必须一致。目前广泛使用的IP协议版本号为4（即IPv4）.

• 首部长度：占4比特，表示IP数据报首部的长度。该字段的取值以4字节为单位。最小十进制取值为5，表示IP数据报首部只有20字节固定部分；最大十进制取值为15，表示IP数据报首部包含20字节固定部分和最大40字节可变部分

• 可选字段：长度从1个字节到40个字节不等。用来支持排错、测量及安全等措施。可选字段增加了IP数据报的功能，但这同时也使得IP数据报的首部长度成为可变的。这就增加了每一个路由器处理IP数据报的开销。实际上可选字段很少被使用。

• 填充字段：确保首部长度为4字节的整数倍。使用全0进行填充

• 区分服务：占8比特，用来获得更好的服务。该字段在就标准中叫做服务类型，但实际上一直没有被使用过。利用该字段的不同数值可提供不同等级的服务质量

• 总长度：占16比特，表示IP数据报的总长度（首部+数据载荷），最大取值为十进制的65535，以字节为单位。
  
  

• 标识：占16比特，属于同一个数据报的各分片数据报应该具有相同的标识。IP软件维护一个计算器，每产生一个数据报，计数器增加1，并将此值赋给标识字段

• 标志：占3比特，各比特含义如下

  • DF位：1表示不允许分片；0表示允许分片
  • MF位：1表示”后面还有分片“；0表示”这是最后一个分片“
  • 保留位：必须为0

• 片偏移：占13比特，指出分片数据报的数据载荷部分偏移其在原数据报的位置有多少个单位，以8个字节位单位（1字节等于8比特）
  -
  

• 生存时间TTL：占8比特，最初以秒为单位，最大生存周期为255秒；路由器转发IP数据报时，将IP数据报首部中的该字段的值减去IP数据报在本路由器上所耗费的时间，若不为01就转发，否则就丢弃。
  
  作用：防止IP数据报在网络中永久兜圈

• 协议：占8比特，指明IPv4数据报的数据部分时何种协议数据单元
  常用的一些协议和相应的协议字段值如下：
  

• 首部检验和：占16比特，用来检测首部在传输过程中是否出现差错。比CRC检验简单，称为因特网检验和。IP数据报每经过一个路由器，路由器都要重新计算首部检验和，因为某些字段（生存时间、标志、片偏移等）的取值可能发送变化。由于IP层本身并不提供可靠传输的服务，并且首部校验和是一个耗时的操作，因此在IPv6中，路由器不在计算首部校验和，从而更快转发IP数据报。

• 源IP地址和目的IP地址：各占32比特，用来填写发送该IP数据报的源主机的IP地址和接受该IP数据报的目的主机的IP地址

4.8 网际控制报文协议ICMP

• 为了更有效地转发IP数据报和提高交付成功的机会，在网际层使用了网际控制报文协议ICMP（Internet Control Message Protocol）。

• 主机或路由器使用ICMP来发送差错报告报文和询问报文

• ICMP报文被封装在IP数据报中发送

• ICMP差错报告报文共有以下五种：
  

  • 终点不可达：当路由器或主机不能交付数据报时，就向源点发送终点不可达报文。具体可在根据ICMP的代码字段细分为目的网络不可达、目的主机不可达、目的协议不可达、目的端口不可达、目的网络未知、目的主机未知等13种错误。
    
  • 源点抑制：当路由器或主机由于拥塞而丢弃数据报时，就向源点发送源点抑制报文，使源点知道应当把数据的发送速率放慢。
    
  • 时间超过：当路由器收到一个目的IP地址不是自己的IP数据报，会将其生存时间TTL字段的值减1。若结果不为0，则将该IP数据报转发出去；若结果为0，除丢弃IP数据报外，还要向源点放松时间超过报文
  • 另外，当终点在预先规定的时间内不能收到一个数据报的全部数据报片时，就把已收到的数据报片都丢弃，也会想源点发送时间超过报文
    
  • 参数问题：当路由器或目的主机收到IP数据报后，根据其首部中的检验和字段发现首部在传输过程中出现了误码，就丢弃该数据报，并向源点发送参数问题报文
    
  • 改变路由（重定向）：路由器把改变路由报文发送给主机，让主机知道下次应将数据报发送给另外的路由器（可通过更好的路由）
    

• 以下情况不应发送ICMP差错报告报文：

  • 对ICMP差错报告报文不在发送给灌灌灌灌ICMP差错报告报文
  • 对第一个分片的数据报片的所有后续数据报片都不发送ICMP差错报告报文
  • 对具有多播地址的数据报都不发送ICMP差错报告报文
  • 对具有特殊地址（如127.0.0.0或0.0.0.0）的数据报不发送ICMP差错报告报文

• 常见的ICMP询问报文有以下两种

  • 回送请求和回答
    ICMP回送请求报文是由主机或路由器向一个特定的目的主机发出的询问。
    收到此报文的主机必须给源主机或路由器发送ICMP回送回答报文。
    这种询问报文用来测试目的站是否可达及了解其有关状态
  • 时间戳请求和回答
    ICMP时间戳请求报文是请某个主机或路由器回答当前的日期和时间。
    在ICMP时间戳回答报文中一共有32位的字段，其中写入的证书代表从1900年1月1日起到当前时刻一共有多少秒。
    这种询问报文用来进行时钟同步和测量时间。

• ICMP应用举例

  • 分组网间探测PING（Packet InterNet Groper）
    用来测试主机或路由器的连通性
    应用层直接使用网际层的ICMP（没有通过运输层的TCP或UDP）
    使用ICMP回送请求和回答报文
    

  • 跟踪路由
    用来测试IP数据报从源主机到达目的主机要经过那些路由器
    Windows版本：
    （1）tracert命令
    （2）应用层直接使用网际层ICMP
    （3）使用了ICMP回送请求和回答报文以及差错报告报文
    Unix版本：
    （1）traceroute命令
    （2）在运输层使用UDP协议
    （3）仅使用ICMP差错报告报文

总结：

4.9 虚拟专用网VPN与网络地址转换

• 虚拟专用网VPN（Virtual Private Network）
  某机构在北京的部门A的局域网，某机构在上海的部门B的局域网，如何让这两个专用的网络进行通信
  （1）租用电信公司的通信线路；----简单方便，但是租金很高
  （2）使用公用的因特网作为本机构各专用网之间的通信载体，这样的专用网又称为虚拟专用网。
  由于IPv4地址的紧缺，一个机构能够申请到的IPv4地址数量往往远小于本机构所拥有的主机数量。因此，虚拟专用网中的个主机所分配的地址应该是本机构可自由分配的专用地址，而不是需要申请的、在因特网上使用的公有地址。
  
  　　如下图所示，同一机构内不同部门的内部网络所构成的虚拟专用网VPN又称为内联网VPN。
  　　有时一个机构的VPN需要又某些外部机构（通常就是合作伙伴）参加进来。这样的VPN就称为外联网VPN。
  　　在外地工作的员工需要访问公司内部的专用网络是，只要在任何地点接入到因特网，运行驻留在员工PC中的VPN软件，在员工的PC和公司的主机之间建立VPN隧道，即可访问专用网络中的资源。这种VPN称为远程接入VPN。
  
• 网络地址转换NAT
  　　虽然因特网采用了无分类编址方式来减缓IPv4地址空间耗尽的速度，但由于因特网用户数目的激增，特别是大量小型办公室办公室网络和家庭网络接入因特网的需求不断增加，IPv4地址空间即将面临耗尽地危险任然没有被解除。
  　　1994年提出了一种网络地址转换NAT的方法再次缓解了IPv4地址空间即将耗尽的问题
  　　NAT能使大量使用内部专用地址的专用网络用户共享少量外部全球地址来访问因特网上的主机和资源。
  下图中的专用网络使用私有网络号192.168.0.0，该网络中的个主机私有地址如图所示。那么使用私有地址的主机，如何才能与因特网上使用全球IP地址的主机进行通信呢？
  解决办法：需要在专用网络连接到因特网的路由器上安装NAT软件，装有NAT软件的路由器叫做NAT路由器，它至少有一个有效的外部全球IP地址，这样所有使用私有地址的主机在和外界通信时，都要在NAT路由器上将其私有地址转换称全球IP地址。
  
  
  　　但该转换方法存在一个问题：如果NAT路由器具有N个全球IP地址，那么至多只能有N个内网主机能够同时和因特网上的主机通信。
  由于绝大多数的网络应用都是使用运输层协议TCP或UDP来传送数据，因此可以利用运输层的端口号和IP地址一起进行转换。
  　　这样，用一个全球IP地址就可以使多个拥有本地地址的主机同时和因特网上的主机进行通信。这种将端口号和IP地址一起进行转换的技术叫做路由地址与端口号转换NAPT=======（Network Address and Port Translation）
  
  　　内网主机与外网主机的通信，不能由外网首先发起，因为NAPT收到外网的IP数据报后，在NAPT转换表中找不到相应的记录，也就无法把数据报转发给内网中的主机，因此使用私有地址的主机不能直接充当因特网服务器
  　　对于一些P2P网络应用，需要外网主机主动与内网主机进行通信，在通过NAT时会遇到问题，需要网络应用自己使用一些特殊的NAT穿越技术来解决问题
  　　另外，由于NAT对外网屏蔽了内网主机的网络地址，能为内网的主机提供一定的安全保护。
  
  

总结：