Internet的原理与构筑
郭 峰 樊昌信
本文首先介绍Internet的基本概念和发展状况,论述Internet的协议体系及协议原理,讨论基于TCP/IP的计算机网络的一般构成方法。之后,介绍国内网络的发展状况,重点论述了教育科研网的现状及校园网的构筑方法。最后给出今后Internet的发展趋势及关键技术。
1 引言
——最近几年来有关信息高速公路、国家信息基础设施及其它信息网络的话题越来越多地在新闻媒介中传播,使人们感到信息社会的到来已迫在眉睫。1994年以来,中国互联网迅速发展,教育科研网(CERNET)、中国公用计算机互联网(ChinaNET)、科技网(CASNET)、金桥网(ChinaGBN)等先后建成并投入运行,成为国内代表性的Internet服务提供者。据预测,到1997年底国内入网的用户将达40万,并且最近几年用户数将指数性递增。可以说这些国内互联网已经构成了我国信息高速公路的雏形。
2 Internet的原理与现状
2.1 Internet的现状
——Internet起源于70年代初建立的美国国防部高级研究计划网络ARPANET。当时ARPANET的干线使用的是分组交换网,网上仅连接了数台大型计算机。几经发展,到1990年,美国国家科学基金委员会(NSF)的计算机网络NFSNET成为Internet的主干网,目前该主干网的数据传输速率为155Mbit/s,美国国内的许多其它网络,以及美洲、欧洲、亚洲等大部分国家的计算机网络都直接或间接地与之相联。这些以NFSNET为主干网的全球计算机网络的互联网络构成了国际Internet,简称为Internet。据1997年1月统计,接入Internet的域名数已达82.8万个,主机数已突破1600万台。由于统计方法的限制,主机数仅包含了那些在名字服务器中注册的计算机。考虑到有大量已入网的计算机并未在各自的名字服务器中注册,故实际入网的主机数可能是上述数字的若干倍。
——Internet提供的基本服务包括:电子函件(E-mail)、文件传送(FTP)、远程登录(Telnet)。除了基本服务之外,还有许多其它的服务项目,例如万维网(WWW)、公告板、目录图书索引、信息检索、商用电子数据服务、多媒体信息传送、移动通信服务等。在这些服务中利用最多的是电子函件、文件传送及万维网服务。
——为了使Internet健康地发展,1991年6月在哥本哈根召开了第1届国际Internet研讨会(INET’91)。1992年1月Internet学会(Internet Society)正式成立。该学会除了对Internet进行管理、促进国际间的相互协调之外,还负责研究有关Internet的新技术,制订、修改Internet中的标准协议等。Internet学会下属机构很多,其中IAB(Internet Architecture Board),是负责Internet网络体系的技术委员会,由它制定Internet技术上的发展方向。IAB有若干个分支机构,例如IANA(Internet Assigned Number Authority)与IETF(Internet Engineering TaskForce)。IANA负责管理包括IP地址在内的网络地址与网络标记名等,由它所属的NIC(Network Information Center)具体实施、执行;IETF负责组织研究Internet中的技术问题,并把研究结果逐步完善成为Internet中的标准。这些标准通常以RFC文档的形式公布,任何人都可免费地从Internet中获得这些RFC文档。
2.2 Internet的协议集
——任何一个计算机网络,为了保证网络内主机之间、结点之间能够正确地交换信息,这些主机或结点必须遵守一定的规则,这些规则通常称做协议,而各种协议的集合叫做协议集。Internet使用的协议集通常称做TCP/IP(Transmission Control Protocol/Internet Protocol)。
——使用TCP/IP协议的网络协议层次结构如图1所示。应用协议包括Telnet、FTP等。Internet的应用程序必须遵循对应的应用协议。传送协议有两种,一种叫做TCP,另一种叫做UDP(User Datagram Protocol)。TCP是连接型通信协议,使用该协议的通信双方在通信前需要建立连接关系;而UDP是一种无连接型的通信协议。网络协议主要有IP、RIP(Routing information Protocol)及ICMP(Internet Control Message Protocol)等,这些协议规定了Internet网上传送的信息包的路由控制与管理协议。
——支撑Internet的物理网可以分为两类,一类是诸如以太网、FDDI(Fiber Distributed Data Interface)等的局域网,另一类是诸如公共电话网、公共分组交换网、ISDN等的广域网。对不同的物理网配以相应的网络接口协议,可使上层的网间协议运行在不同的物理网上。例如,当物理网是以太网时,网络接口协议须使用IP-E(由RFC894规定);而当物理网是X.25分组交换网时,须使用IP-X.25(由RFCI356规定)等。
2.3 Internet的构成
——图2是Internet的部分构成图,该网络由三个子网互连而成。网络A与网络B是局域网(图中为以太网),它们经路由器接入广域网(WAN)。网络C也是局域网(图中为FDDI),它经路由器与网络B相连。如果网络A中的主机欲与网络C中的主机通信,则须经过WAN和网络B,即要经过路由器AW、路由器BW和路由器BC来中转。
——局域网指覆盖范围在几百米至几公里以内的计算机网络,例如以太网、令牌环网、无线局域网、FDDI、ATM局域网、高速以太网等;由PABX(小型程控交换机)构成的较低速计算机网络也属于局域网的范畴,局域网通常为使用单位所有。广域网的覆盖范围一般为一个国家乃至全世界。例如,公用电话网、公用分组交换网、ISDN及今后的B-ISDN等都属于WAN。WAN一般为国家邮电部门或专门的运营公司所有。路由器指局域网之间、局域网与广域网之间的互连设备,可以由一台通用计算机附加网络接口卡及路由处理软件来实现,也可以是一台专门设计的设备。在使用时,一个路由器至少与两个不同网络直接连接。
2.4 IP地址
——就像电话机的电话号码一样,在Internet上的主机也有一个世界唯一的网络地址,该地址被称做主机的IP地址。IP地址由4个字节(32bit)构成,该地址可分为两部分,一部分表示主机所在的网络地址,另一部分则是主机地址。IP地址主要有三类:即A类、B类、C类。一个A类网络中可容纳224-2台主机,一个B类地址可容纳218-2台主机,而一个C类地址可容纳28-2台主机。
——Internet学会下属的NIC负责为用户分配IP地址。由于近年Internet用户急剧增加,IP地址出现不足,使Internet的进一步发展受到限制。为了解决这一问题,目前IETF正致力于下一代IP协议的研究与实验工作。
2.5 主机名与域名
——32bit的IP地址对路由器、主机等机器来讲非常方便,但不易于人的阅读与识别。为此,专门为Internet上的主机设置了便于人使用的主机名字,该名字由英文字母组成。主机名与主机的IP地址有一一对应关系。当与一台主机通信时,可指定其IP地址,也可指定其主机名。这样,就要求Internet上存在这样一种机制,该机制能够解决主机名字与IP地址的对应关系。目前,Internet使用DNS(Domain Name System,RFC1034,RFC1035)来完成这一工作。DNS采用树状结构对名字进行管理。Internet中国部分的名字阶层构成如图3所示,树的叶表示主机名,而树的结点叫做域,它是该结点以下所有主机名的总称,或者说它是其下所有主机的组织机构名。通常,Internet中的一个域代表一个组织机构。例如,中国的域名为cn,CERNET的域名为edu.cn,CASNET的域名为ac.cn,ChinaNET的域名为net.cn,ChinaGBN的域名为co.cn。从图中还可看出,西安电子科技大学的域名为xidian.edu.cn。在DNS中,对应每个域,设置一个名字服务器(Name Server)来管理其下的主机及名字服务器。名字服务器保持其管理的主机的名字及IP地址。应用程序通过查询该服务器即可由名字获得对应IP地址或由IP地址获得名字。
——Internet采用以下格式表示网中的一台主机或一个域:
——<主机名>.<域名>.….<域名>
其中,句点的右侧表示该句点左侧主机(或域)的父域。例如,西安电子科技大学的www服务器在Internet中的全称为:www.xidian.edu.cn。加入Internet的组织除了应设置、管理自己的名字服务器之外,还应向其父域的名字服务器登录其名字与地址。
2.6 路由控制
——一个数据分组从源主机发出经过Internet到达目的主机一般需要通过许多路由器的中转处理。数据分组经由怎样的路径到达目的主机取决于网络采取的路由策略。有两种常用的路由策略:路由表法和路由指示法。路由表法要求在路由器中存放一个路由表,对中转的分组通过查表来决定应送往的下一个路由器。路由指示法则要求产生数据分组的主机提供到达目的主机的路径,某路由器收到数据分组时依该分组携带的路径来确定应送往的下一个路由器。
——Internet中的路由器主要采用路由表法对分组进行路由处理。路由表的分量为(D,N),这里,D指目的网络的IP地址,N指由本路由器到达口须经过的下一个路由器的IP地址。当使用路由表法实现路由选择时,十分重要的问题就是路由表的更新。由于Internet每天都在发生变化(拓朴结构等),如果这些变化在路由表中无法反映,则后果可想而知。这样,需要建立一种机制使路由器之间相互交换信息,从而使路由表随网络动态地变化。RIP(Route Information Protocol,RFC1058)是实现这种机制的一个标准协议。RIP的工作原理如下:
——·路由器每隔一定时间(通常30s),把自己的路由信息通知与自己相邻的所有路由器;
——·依据收到的路由表信息,路由器修改、更新自己的路由表。
——RIP适合较小规模的网络,并且修改路由表时依据的仅仅是到达目的网络的跳数(Hop数,即途经路由器的个数),而与线路的速率、质量无关。这样选择的路径并不是最佳路径。除了RIP之外,用于路由信息控制的协议还有OSPF(0pen Shortest Path First,RFC1247)、BGP(Border Gateway Protocol,RFC1267)等。
3 校园网的构筑
——1994年3月由国家教委组织立项,开始了CERNET项目的实施。1994年10月CERNET已与Internet互联,目前已有百所以上的校园网接入CERNET。CERNET由国家骨干网、地区网、校园网三级网络构成。骨干网租用邮电部门的公网线路,建设初期租用ChinaPAC X.25分组交换网,计划逐步过渡到DDN(数字数据网)。骨干网上共有8个结点,采用网格状拓扑结构。地区网呈星型拓扑结构,各校园网可经公网或专用链路接入邻近的地区网点。CERNET不对校园网的网络结构做任何规定,各院校可视各自的情况设计自己的校园网。根据学校规模的不同,校园网的结构可以是多种多样:简单的可由一个局域网甚至一台微机构成,复杂的可以是连接了上万台计算设备,包括巨型机、大中小型机、工作站、微机和其它相关设备的区域网络。
——校园网,顾名思义,指一个大学的计算机网络,其覆盖范围一般应该是大学的整个校园。根据校地分布不同,校园网的覆盖范围差异很大。有的校园网只须覆盖一栋大楼,而有的校园网可能跨越国家。通常所说的校园网,一般指覆盖范围在几公里以内的一个或几个校园的计算机网络,网内的主机数在几百台到上万台规模不等。对分布在异地的校园网,可通过公网与本地校园网互连。
——一个校园网通常由校园骨干网、部门子网以及相应的互连设备构成。如图4所示,校园骨干网把本校各部门子网连接起来,它可采用FDDI局域网、ATM局域网,以及其他交换式局域网实现。图4(a)所示的骨干网采用FDDI。图4(b)中的骨干网采用了ATM局域网,它由两台ATM交换机相连接构成。ATM交换机之间、ATM交换机与Hub或ATM主机之间可采用光纤、双绞线等传输媒体,依使用的传输媒体、传输方式不同,可支持45Mbit/s、52Mbit/s、100Mbit/s、156Mbit/s、622Mbit/s、2.4Gbit/s等传输速率。此外,对中小规模的校园网(网上主机数在几百台以内)使用交换式以太网作为校园骨干是一个实用、经济的方案。部门子网一般由以太网、令牌环网等局域网或由这些局域网的互连构成。
4 校园网接入Internet
——如上节所述,Internet是一个阶层网络,网上有许多网络管理中心(NOC),校园网处在Internet的最下层。校园网如果要加入Internet,最好从距自己最近的NOC加入。CERNET上有10个NOC,西安电子科技大学校园网应从西安的西北NOC加入CERNET。CERNET从北京租用国际线路加入亚太地区的NOC。
4.1 校园网接入Internet的物理连接方法
——可采用以下线路接入NOC:①租用专线接入,例如,租用电话线、X.25、DDN专线入网;②拨号接入,直接用电话线、X.25拨号入网;③专用网接入,例如使用无线局域网和无线分组交换网入网。经公网入网,从通信费用、线路利用率角度考虑,校园网应尽可能租用专线,对仅有极少用户的校园网也可考虑采用拨号入网方式。如果校园网与NOC处于同一城市,采用2GHz以上频段的无线局域网入网是一种高速、安全、且费用低廉的方案。目前市场上可提供的无线局域网数据传输速率在几百kbit/s至几Mbit/s之间。
4.2 广域网路由器的选择
——路由器完成校园网与NOC间数据分组的中转处理。目前市场上这样的路由器品种很多。除专用路由器之外,也可用一台计算机实现路由器的功能。例如,在一台UNIX工作站上配置所需的网络接口卡和相应路由处理软件,可使该工作站具备路由器的功能。这种路由器的优点是各种参数的设定、管理均在UNIX操作系统上完成,使用、维护方便。缺点是处理速度低,可靠性差。
4.3 互连方式的选择
——一般来讲,校园网可采取三种方式与Internet连接:开放式连接;部分限制连接;经防火墙主机连接。
——①开放式连接:在这种连接方式下,挂在校园网上的主机可以访问Internet也可被Internet访问。校园网内主机的安全防护措施由各主机自己管理。
——②部分限制连接:在这种连接方式下,限制校园网上的一部分主机与Internet的通信,而这些主机在校内范围内的通信不受以上限制。这种方式可防止校园网上某些要求安全保密的主机免受来自外部的侵害。这种连接方式可由路由器的IP过滤功能来实现。
——③经防火墙主机连接:防火墙主机分别与校园网及Internet相连。两个网上的其它主机均可访问该主机,但不能经过该主机相互访问。只有在该主机上登录的校园网与Internet的用户才可通过该主机相互访问,并使用该主机限定的应用。例如,在防火墙主机上运行E-mail、News等服务程序,可使校园网内登录的用户使用这些应用。这种方式的特点是把对Internet及校园网的访问控制限制在一台主机内,该主机把两个网络隔离开来,这样消除了校园网内其它主机遭受外部侵入的可能性。
——通常,校园网采取开放式及部分限制方式入网。
4.5 网络安全防护
——校园网连入Internet后带来的方便是显然的,但同时由于Internet是全球性的网络,世界各地的Internet用户也可访问校园网,这样校园网必须采取适当的安全防护措施。本小节讨论构筑校园网时应考虑的安全防护措施。
——来自网络上的威胁有以下几种:
——·非法侵入,指未经许可的用户非法访问网络,并读取、改写文件。这种非法侵入通常采用的手段是窃取合法用户的口令从而进入网络;
——·盗听、篡改网上数据,指采用硬件设备从网络缆线、配线架上盗听网上的数据,并把经过篡改的数据再送上网络;
——·妨碍系统正常运行,指向网上或某一网上设备发送大量某种信息,使网络处于高负荷运转;或向路由器发送错误信息,使路由器无法正常工作。
——针对以上威胁,可采取下列安全防护措施:
——(1)防止非法侵入
——①在网络层设防
——·对校园网内可直接访问Internet的主机进行限制;
——·对保密性要求高的主机进行访问控制,例如,使用路由器的IP地址过滤功能,对数据分组的转送进行控制;使用路由器的端口号(Port Number)过滤功能对网络上运行的应用软件进行控制。
——·经由防火墙主机入网。
——②在主机系统上设防
——·充分利用UNIX等操作系统的口令管理及系统运行记录等功能,对企图非法侵入的活动进行监视。例如使用Wrapper,Xinetd应用程序监视用户访问,对多次被拒绝的访问要求进行记录、跟踪。
——·不运行不必要的应用服务程序,以减少非法侵入的可能性。
——(2)防止窃听、篡改数据
——·对保密性要求高的数据进行加密处理;·加强机房安全措施,对路由器、配线架等网上设备严格管理;
——·网络布线要规范,减少缆线被直接窃听的可能性。
——(3)路由信息的安全保护
——·加强对路由器的访问控制,应对路由器进行设置使其仅接受来自特定路由器的信息;
——·必要时采取静态路由控制方法。
5 结束语
——本文概述了Internet的原理及一般构筑方法,介绍了国内外的发展状况,给出了校园网的构筑方法及相关的技术。需要指出的是,Internet每天都在发生变化,今后几年内Internet将在下述方面获得改善与发展:
——①网间协议的改进。为了解决IP地址空间不足并改进路由控制,1994年7月,IETF确定了下一代IP协议的基础,开始了IPv6(第6版协议,目前为第4版)的研究与试验工作。1995年12月IETF公布了IPv6草案(RFC1883),该草案把IP地址长度由原来的32位扩充到128位,使网络的伸缩性大大提高。同时,该草案对IP分组的格式也作了修改,使在网络层对认证与加密的支持、以及对移动用户的支持容易实现。目前IETF及相关的网络制造商正在致力于IPv6的实用化研究开发工作。
——②保密及网络安全措施的改进。在应用层次上增加对用户的认证、识别,以及对数据的加密。例如电子函件、WWW的安全与加密、防火墙与域名系统的安全防护。此外增加在网络层对IP分组的认证与加密等等措施。
——③提高Internet的物理网速率。目前IETF及相关的网络制造商正在加紧对更高速网络,例如千兆以太网、ATM网等的实用化研究开发。
——④支持多媒体应用。随着物理网速率的提高及对综合业务的支持,诸如视像会议、远程医疗诊断、视像点播等多媒体应用将逐步普及。
——⑤支持移动用户及主机漫游。1996年10月IETF公布了实现移动主机在Internet上漫游的协议草案(RFC2002),该协议与微蜂窝无线局域网结合,可使移动计算机在Internet上自由地漫游。可以说移动Internet的时代正在向我们走来。
——⑥电子商务的实用与普及。随着网络安全技术的改进以及电子货币、电子购物等标准的成熟,在Internet上的电子商务交易将逐步普及。