网段(network segment)一般指一个计算机网络中使用同一物理层设备(传输介质,中继器,集线器等)能够直接通讯的那一部分。
简介
几乎所有的网络产品都被分成了多个物理段,这是由于网络实现中技术的限制引起的。一个网络,也可能被分成多个段来提高性能。当然,如果你物理地分段,那么你的工作站将不能访问局部段以外的资源,这时将引进路由器和桥。
路由器
路由器可以用来物理地将多个段合成一个逻辑段。路由器在网络协议层工作,它在基于一个独一无二的地址上,重传那些从一个网段到另一个网段的数据包。路由器使用算法,建立一个局部网段的网络地址列表,来提供对需要它们干预的数据包的路由能力。如果网络中有多个路由器,而且有一个坏了,那么其它的路由器将负责找到另外的路径来确保数据到达目的地。
当然,路由器一般很贵。尽管建立在RISC的CPU上的路由器是最快的,但是许多路由器是建立在 Intel的CPU上的。由于网络实现提供的时间限制,路由器需要一定量的处理能力。例如,如果一个“确认”达到了超时限制,则将一个数据包路由到另一台机器上并不好。在这个数据包到达这台机器的同时,它已经要求从源机器重发此数据。对于专用路由器,一种经济的选择是使用 Windows NT的路由能力来路由 IPX/SPX和TCP/P数据包。另一种选择就是,如果路由器不能标识一种特定的数据类型,那么删除这种数据包。但是删除数据包将会引起很多问题。
桥
并不是所有的网络协议,如 NetBEUI,都能被路由,因此需要另一种合成网段的方法,这就引出了桥的概念。桥在MAC层上工作,不管是否有网络地址(是,就是透明路由;不是,则为源路由),它都重传数据。一些桥可以将这两种功能组合在一个盒子里,这就是通常所说的“透明源路由的桥”。桥在基于 Lan Manager的网络中大量使用,且在这种网络升级到 Windows NT Server时,仍可以使用它。
交换集线器
交换集线器通常通过提供每个连接上的网络客户以各自的网段,来提高网络的性能。大多数情况下,在一个服务器和几个客户之间使用交换集线器进行双工操作。如果网络上有个10Mb的适配器,客户可以进行双工操作。例如,这些客户可以以10Mb/s的逆流速度或10Mb的顺流速度进行通信,那么总的带宽就为20Mb/s。交换集线器也可以将两个不同传输速度的网段连接起来。服务器可能有一个100Mb/s的
网络适配器,而客户只有10Mb/s的适配器,将服务器连到交换集线器的100Mb/s的端口,而将客户(或其它集线器)连到10Mb/端口,这样就将不相同的网段连成了一个物理网段。这提高了访问服务的速度,且增加了网络到客户的吞吐量。
中继器
网络工程师们面临的第一个问题就是一个信号能够漫游多远的距离。用来创建网络的技术在保证信号不丢失的情况下,能够负载一个信号所走的距离是有限的。
当你需要在一个庞大的建筑中连接系统时,由于信号不得不漫游好几百英尺的距离而造成了信号微弱的问题。对于这一问题,设计者们想出了利用一个简单设备——中继器来解决问题的方法,中继器可以被放置在导线上,以监听网络流量。
在本质上,中继器是一个运行在物理层上的简单设备。当接收到网络数据流时,中继器将在另外的网络上重复这些数据流。也就是说,每个网络的所有数据流量都在另外的网络上被重复了。前面曾经提到过,(以太网上的)网卡要先监听网络,并确认网络安静(没有流量)之后才能传输数据。这样的话,两个网络上所有的数据流都漂移在那里,等待着监听的结果才能被传输出去,从而使数据共享更加困难,重传的现象也越来越常见。
网段间的通信
网络中的网段主要有物理隔离的网段和利用
VLAN技术隔离的网段,在局域网内部大部分都是利用VLAN技术隔离的网段。
VLAN间的通信主要有两种实现方式,一种是利用三层交换机,另一种是利用路由器。在中型网络中,通常利用三层交换机来实现VLAN间的通信,第三层交换技术结合了第二层交换技术和路由技术,比普通路由器的处理速度快。在小型网络中,一般不需要配置大型服务器,VLAN之间没有大的数据流,因此往往利用出口路由器实现VLAN间的互相通信。
在三层交换机中,可以为每个VLAN创建一个SV接口,在该接口上配置一个IP地址,该地址就成为所连接网段的默认网关。
网段与端口
在IP中,图1所示的情形是不合法的。在这个路由器中,已经把端口1和端口2配置在同一G类网络上。尽管这个配置有利于网络可扩展性,但多数路由器不能处理这种情况。原因是它与路由表有关。看一下图1中路由器配置的例子。
在这种情况下,出站的分组要到达下一个驿站192.32.17.147。
要传送的掩码等于:255.255.255.0。
路由器将该驿站和该掩码进行二进制的与操作。
二进制与的结果:192.32.17.0。
路由器查找一个内部表,看它的哪一个端口与这个网络ID相配。为了这样做,路由器将把每个端口配置的掩码进行与运算。为了节省时间该计算在内部表中预先执行。
端口1:192.32.17.5and255.255.255.0=192.32.17.0;
端口2:192.32.17.6and255.255.255.0=192.32.17.0。
这样,路由器就不能区别这些输出端口,在理论上,路由器能在每个分组的基础上等分相匹配端口间的负载。实际上,这会导致分组无序地到达接受主机,从而导致运行冲突。
创建虚拟网段
分离的网络访问可以极大的降低对管理服务的威胁。接着前面的例子介绍,外部面向 Internet的公用服务虚机同样不应该与可信的内部虚机在同一网段,Xen提供了这种能力。给出了一个虚机的网络服务作为公网网段的全局路由的IP地址作为接口,并且创建一个虚拟网段给内部虚机使用。可以给内外网都装上防火墙或者 NAT VM。
Xen同样有让虚机完全与公网隔离的能力。例如,可以将共享文件的虚拟机放在第二个虚拟网段,这个网段没有防火墙或者NAT支持。任何内部虚机请求访问Internet和内部共享文件需要两个虚拟网络接口。一个在隔离的文件共享网络上,另一个在内部防火墙网段上。相似的,内部访问的虚拟机,像数据挖掘的虚拟机或工薪计算的虚拟机必须被分配在隔离的虚拟机网段。Xen提供了这种强网络隔离的支持。
IP地址
为了识别网络中的计算机,保证Internet上计算机通信的准确性,必须使每台计算机有个独一无二的标识地址,就像我们每个人都有一个唯一的身份证号码一样,该标识地址就是IP地址。
IP地址由互联网网络号分配机构(简称IANA)负责分配,不能随便使用在Internet中,IP地址是一个32位的二进制地址,为了便于记忆,将它们分为4组,每组8位、由小数点分开,每组用一个对应的0~255之间的十进制数来表示,这种格式的地址称为点分十进制地址,如202.102.192.68。
IP地址分为5类:A类、B类、C类、D类、E类。首字节范围在1-127的为A类,在128-191的为B类,在192-223的为C类,在224-239的为D类,在240-255的为E类。
其中:A类、B类、C类地址是主机地址,D类地址为组播地址,E类地址保留给将来使用。
在上述地址中,还有一部分地址给局域网内部使用,被称为私有地址或称内网地址。
A类保留地址:10.0.0.0-10.255.255.255;
B类保留地址:172.16.0.0~172.31.255.255;
C类保留地址;192.168.0.0~192.168.255.255。
因特网所采用的是
TCP/IP协议。IP协议是TCP/IP协议簇的核心。目前IP协议的版本号是4(简称为IPv4),发展至今已经使用了30多年。IPv4的地址位数为32位,也就是最多有232个(由于各种原因实际远小于此)电脑可以连接到Internet上。由于互联网的蓬勃发展,IP地址的需求量愈来愈大,IP地址资源即将枯竭。
为了减少IP地址的浪费,人们使用了子网掩码、网络地址转换(NAT)等技术。为了扩大地址空间,拟通过新的IP协议IPv6重新定义地址空间。IPv6是
下一代互联网协议,采用128位地址长度,几乎可以不受限制地提供地址,目前IPv6正在逐步取代IPv4。