《工業(yè)網(wǎng)絡(luò)技術(shù)與應(yīng)用（微課版）》 課件 第5、6章 路由技術(shù)、地址轉(zhuǎn)換技術(shù)NAT

工業(yè)控制系統(tǒng)與工業(yè)網(wǎng)絡(luò)第5章路由技術(shù)第5章路由技術(shù)以太網(wǎng)交換機(jī)工作在數(shù)據(jù)鏈路層，用于在網(wǎng)絡(luò)內(nèi)進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。而工廠網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)一般會(huì)比較復(fù)雜，不同的部門，或者總部和分支可能處在不同的網(wǎng)絡(luò)中，此時(shí)就需要使用路由器或三層交換機(jī)來連接不同的網(wǎng)絡(luò)，實(shí)現(xiàn)網(wǎng)絡(luò)之間的數(shù)據(jù)轉(zhuǎn)發(fā)。5.1路由基礎(chǔ)路由（routing）是指分組從源到目的地時(shí)，決定端到端路徑的網(wǎng)絡(luò)范圍的進(jìn)程，通俗的講路由是指路由器從一個(gè)接口上收到數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的目的地址進(jìn)行定向并轉(zhuǎn)發(fā)到另一個(gè)接口的過程。5.1.1路由功能概述路由工作在OSI參考模型第三層（網(wǎng)絡(luò)層）。路由器通過轉(zhuǎn)發(fā)數(shù)據(jù)包來實(shí)現(xiàn)網(wǎng)絡(luò)互連。路由器通常連接兩個(gè)或多個(gè)由IP子網(wǎng)或點(diǎn)到點(diǎn)協(xié)議標(biāo)識(shí)的邏輯端口，至少擁有1個(gè)物理端口。路由器根據(jù)收到數(shù)據(jù)包中的網(wǎng)絡(luò)層地址以及路由器內(nèi)部維護(hù)的路由表決定輸出端口以及下一跳地址，并且重寫鏈路層數(shù)據(jù)包頭實(shí)現(xiàn)轉(zhuǎn)發(fā)數(shù)據(jù)包。1.路由器的主要功能確定發(fā)送數(shù)據(jù)包的最佳路徑；將數(shù)據(jù)包轉(zhuǎn)發(fā)到目的地。5.1.1路由功能概述2.網(wǎng)關(guān)與下一跳地址網(wǎng)關(guān)（Gateway）就是一個(gè)網(wǎng)絡(luò)連接到另一個(gè)網(wǎng)絡(luò)的“關(guān)口”，也就是網(wǎng)絡(luò)關(guān)卡。如圖5-1所示，兩臺(tái)PC處于不同的網(wǎng)絡(luò)中，要實(shí)現(xiàn)通信就要由中間的兩個(gè)三層交換機(jī)配置路由功能來完成數(shù)據(jù)包的轉(zhuǎn)發(fā)。對(duì)于PC1而言，它的網(wǎng)關(guān)地址就是所連接的XM408-1交換機(jī)的入口地址192.168.1.1；對(duì)于PC2而言，它的網(wǎng)關(guān)地址就是所連接的XM408-2交換機(jī)的入口地址192.168.2.1。5.1.1路由功能概述下一跳的地址通常指的是當(dāng)前路由條目要到達(dá)的目標(biāo)地址需要經(jīng)過的本路由器能夠達(dá)到的下一個(gè)路由器的IP。如圖5-1所示，因?yàn)閳D中只有兩個(gè)路由設(shè)備，因此對(duì)于XM408-1而言，它的下一跳必然是去往XM408-2的，下一跳地址就是所連接的對(duì)端接口的IP地址192.168.3.2；反過來對(duì)于XM408-2而言，它的下一跳必然是去往XM408-1的，下一跳地址就是所連接的對(duì)端接口的IP地址192.168.3.1。5.1.2路由表所謂路由表，指的是路由器、三層交換機(jī)或者其他互聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)備上存儲(chǔ)的表，該表中存有到達(dá)特定網(wǎng)絡(luò)終端的路徑，在某些情況下，還有一些與這些路徑相關(guān)的度量。1.路由表的信息構(gòu)成路由器的路由表存儲(chǔ)下列信息：（1）直連路由。這些路由來自于活動(dòng)的路由接口。當(dāng)接口配置了IP地址并激活時(shí)，路由設(shè)備會(huì)自動(dòng)將直連路由添加到路由表中。（2）遠(yuǎn)程路由。這些路由是連接到其他路由器的遠(yuǎn)程網(wǎng)絡(luò)。路由設(shè)備可通過兩種方式獲知遠(yuǎn)程網(wǎng)絡(luò)：一是手動(dòng)方式，使用靜態(tài)路由將遠(yuǎn)程網(wǎng)絡(luò)手動(dòng)輸入到路由表中；二是動(dòng)態(tài)方式，使用動(dòng)態(tài)路由協(xié)議（如RIP、OSPF）自動(dòng)獲取遠(yuǎn)程路由。2.度量度量是用于衡量給定網(wǎng)絡(luò)距離的量化值。指向網(wǎng)絡(luò)的路徑中，度量最低的路徑即為最佳路徑。5.1.3第三層交換技術(shù)第三層交換技術(shù)也稱為IP交換技術(shù)、高速路由技術(shù)等。第三層交換技術(shù)是相對(duì)于傳統(tǒng)交換概念而提出的。眾所周知，傳統(tǒng)的交換技術(shù)是在OSI網(wǎng)絡(luò)標(biāo)準(zhǔn)模型中的第二層——數(shù)據(jù)鏈路層進(jìn)行操作的，而第三層交換技術(shù)是在網(wǎng)絡(luò)模型中的第三層實(shí)現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)。西門子SCALANCEXM408交換機(jī)支持以下路由功能：（1）本地路由：實(shí)現(xiàn)本地不同VLAN間的通信。（2）靜態(tài)路由：需要在路由表中手動(dòng)輸入路徑。（3）動(dòng)態(tài)路由：路由表中的條目會(huì)動(dòng)態(tài)變化并持續(xù)進(jìn)行更新。使用以下動(dòng)態(tài)路由協(xié)議之一創(chuàng)建條目：OSPFv2和RIPv2。（4）路由器冗余：通過標(biāo)準(zhǔn)化VRRP（VirtualRouterRedundancyProtocol，虛擬路由器冗余協(xié)議），可使用冗余路由器來提高重要網(wǎng)關(guān)的可用性。5.2靜態(tài)路由靜態(tài)路由是在路由器中設(shè)置的固定的路由表。除非網(wǎng)絡(luò)管理員干預(yù)，否則靜態(tài)路由不會(huì)發(fā)生變化。路由器不必為路由表項(xiàng)的生成花費(fèi)大量資源。由于靜態(tài)路由不能對(duì)網(wǎng)絡(luò)的改變作出反映，一般用于網(wǎng)絡(luò)規(guī)模不大、拓?fù)浣Y(jié)構(gòu)固定的網(wǎng)絡(luò)中靜態(tài)路由相對(duì)于動(dòng)態(tài)路由有以下優(yōu)勢(shì)：（1）靜態(tài)路由不通過網(wǎng)絡(luò)通告，從而能夠提高安全性。（2）靜態(tài)路由比動(dòng)態(tài)路由協(xié)議使用更少的帶寬，且不需要使用CPU周期計(jì)算和交換路由信息。（3）靜態(tài)路由用來發(fā)送數(shù)據(jù)的路徑已知?？傊o態(tài)路由的優(yōu)點(diǎn)是簡(jiǎn)單、高效、可靠。在所有的路由中，靜態(tài)路由優(yōu)先級(jí)最高。當(dāng)動(dòng)態(tài)路由與靜態(tài)路由發(fā)生沖突時(shí)，以靜態(tài)路由為準(zhǔn)。5.2靜態(tài)路由但靜態(tài)路由也有以下缺點(diǎn)：（1）初始配置和維護(hù)耗費(fèi)時(shí)間。（2）配置容易出錯(cuò)，尤其對(duì)于大型網(wǎng)絡(luò)。（3）需要管理員維護(hù)變化的路由信息。（4）不能隨著網(wǎng)絡(luò)的增長(zhǎng)而擴(kuò)展；維護(hù)會(huì)越來越麻煩。（5）需要完全了解整個(gè)網(wǎng)絡(luò)的情況才能進(jìn)行操作。5.2.2默認(rèn)路由默認(rèn)路由是匹配所有數(shù)據(jù)包的路由，在數(shù)據(jù)包與路由表中的任何其他更有針對(duì)性的路由不匹配時(shí)使用。默認(rèn)路由可以動(dòng)態(tài)獲取，也可以靜態(tài)配置。默認(rèn)靜態(tài)路由僅是0.0.0.0/0作為目標(biāo)IPv4地址的靜態(tài)路由。配置默認(rèn)靜態(tài)路由將創(chuàng)建在路由表最后，選用網(wǎng)關(guān)。出現(xiàn)以下情況時(shí)，便會(huì)用到默認(rèn)靜態(tài)路由：（1）路由表中沒有其他路由與數(shù)據(jù)包的目標(biāo)IP地址匹配。也就是說，路由表中不存在更為精確的匹配。在公司網(wǎng)絡(luò)中，連接到ISP網(wǎng)絡(luò)的邊緣路由器上往往會(huì)配置默認(rèn)靜態(tài)路由。（2）如果一臺(tái)路由設(shè)備僅有另外一臺(tái)路由設(shè)備與之相連，在這種情況下，該路由設(shè)備被稱為末節(jié)路由設(shè)備，通常會(huì)配置默認(rèn)靜態(tài)路由。5.3動(dòng)態(tài)路由動(dòng)態(tài)路由是與靜態(tài)路由相對(duì)的一個(gè)概念，指路由設(shè)備能夠根據(jù)相互之間交換的特定路由信息自動(dòng)地建立自己的路由表，并且能夠根據(jù)鏈路和節(jié)點(diǎn)的變化適時(shí)地進(jìn)行自動(dòng)調(diào)整。當(dāng)網(wǎng)絡(luò)中節(jié)點(diǎn)或節(jié)點(diǎn)間的鏈路發(fā)生故障、或存在其它新的可用路由時(shí)，動(dòng)態(tài)路由可以自行選擇最佳的可用路由并繼續(xù)轉(zhuǎn)發(fā)報(bào)文。5.3.1動(dòng)態(tài)路由概述1.動(dòng)態(tài)路由的特點(diǎn)與靜態(tài)路由相比，動(dòng)態(tài)路由具有如下特點(diǎn)：（1）無需管理員手工維護(hù)，減輕了管理員的工作負(fù)擔(dān)；（2）會(huì)占用一定網(wǎng)絡(luò)帶寬、CPU及內(nèi)存資源；（3）在路由器上運(yùn)行路由協(xié)議，使路由器可以自動(dòng)根據(jù)網(wǎng)絡(luò)拓樸結(jié)構(gòu)的變化調(diào)整路由條目；（4）適合網(wǎng)絡(luò)規(guī)模大、拓?fù)鋸?fù)雜的網(wǎng)絡(luò)。5.3.1動(dòng)態(tài)路由概述2.動(dòng)態(tài)路由協(xié)議概述路由協(xié)議是用于路由器之間交換路由信息的協(xié)議。路由協(xié)議由一組處理進(jìn)程、算法和消息組成，用于交換路由信息，并將其選擇的最佳路徑添加到路由表中。動(dòng)態(tài)路由協(xié)議的用途包括：（1）發(fā)現(xiàn)遠(yuǎn)程網(wǎng)絡(luò)，選擇通往目標(biāo)網(wǎng)絡(luò)的最佳路徑；（2）維護(hù)最新路由信息，當(dāng)前路徑無法使用時(shí)找出新的最佳路徑。5.3.1動(dòng)態(tài)路由概述動(dòng)態(tài)路由協(xié)議按照其應(yīng)用范圍通常分為兩大類，如圖5-2所示。（1）內(nèi)部網(wǎng)關(guān)協(xié)議（InteriorGatewayProtocol，IGP）：在一個(gè)自治系統(tǒng)內(nèi)部使用的路由選擇協(xié)議，常用的有RIP和OSPF協(xié)議。（2）外部網(wǎng)關(guān)協(xié)議（ExternalGatewayProtocol，EGP）：在不同自治系統(tǒng)之間進(jìn)行路由選擇時(shí)使用的協(xié)議，使用最多的是BGP-4協(xié)議。自治系統(tǒng)（AutonomousSystem，AS）是指在單一技術(shù)管理下的許多網(wǎng)絡(luò)、IP地址以及路由器，在每一個(gè)AS內(nèi)部采用單一的、一致的路由選擇策略，使用相同的路由選擇協(xié)議和共同的度量。整個(gè)互聯(lián)網(wǎng)被劃分為許多較小的自治系統(tǒng)AS，方便采用分層次的路由選擇協(xié)議。5.3.2RIP動(dòng)態(tài)路由協(xié)議路由信息協(xié)議（RoutingInformationProtocol，簡(jiǎn)稱RIP）是應(yīng)用較早、使用較普遍的內(nèi)部網(wǎng)關(guān)協(xié)議，作為一種分布式的、基于距離向量的路由選擇協(xié)議，也是互聯(lián)網(wǎng)的標(biāo)準(zhǔn)協(xié)議，它最大的優(yōu)點(diǎn)是配置簡(jiǎn)單。1.RIP協(xié)議的度量RIP協(xié)議定義路由器到直連網(wǎng)絡(luò)的距離為1，到非直連網(wǎng)絡(luò)的距離等于所經(jīng)過的路由器數(shù)加1。RIP協(xié)議中的“距離”也稱為“跳數(shù)”（hopcount），每經(jīng)過一個(gè)路由器跳數(shù)就加1，如圖5-3所示。5.3.2RIP動(dòng)態(tài)路由協(xié)議RIP使用單個(gè)路由選擇標(biāo)準(zhǔn)（跳數(shù)）來度量源網(wǎng)絡(luò)到目標(biāo)網(wǎng)絡(luò)之間的距離。跳數(shù)最小即為最佳路由，跳數(shù)相同則為等代價(jià)路由。如圖5-3所示，路由A-B-E的距離為2，路由A-C-D-E的距離為3，因此A-B-E為最佳路由。由于RIP協(xié)議最多支持的跳數(shù)為15，跳數(shù)16表示不可達(dá)，因此對(duì)伸縮性有一定的限制，不適用于大型網(wǎng)絡(luò)。5.3.2RIP動(dòng)態(tài)路由協(xié)議2.RIP路由更新過程RIP路由更新是通過UDP報(bào)文來和相鄰路由器交換路由選擇信息，每30秒周期性發(fā)送一次，當(dāng)網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時(shí)也發(fā)送消息。路由器之間交換的路由信息是路由器中的完整路由表，因而隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大開銷也會(huì)增加。如圖5-4所示，當(dāng)路由器在完成配置后的協(xié)議初始化階段，各自的路由表中只有直連鏈路的相關(guān)路由信息。5.3.2RIP動(dòng)態(tài)路由協(xié)議經(jīng)過一段時(shí)間，到達(dá)路由更新周期后，三臺(tái)路由器之間開始執(zhí)行第一次完整的路由表更新，結(jié)果如圖5-5所示。5.3.2RIP動(dòng)態(tài)路由協(xié)議再經(jīng)過一個(gè)路由更新周期，各路由器發(fā)起第二次路由更新，同樣的，將各自完整的路由表廣播發(fā)送給鄰居路由器，結(jié)果如圖5-6所示。5.3.3OSPF動(dòng)態(tài)路由協(xié)議OSPF是OpenShortestPathFirst的縮寫，意為開放最短路徑優(yōu)先，它是一個(gè)基于鏈路狀態(tài)的內(nèi)部網(wǎng)關(guān)協(xié)議。在IP網(wǎng)絡(luò)上，OSPF通過收集和傳遞自治系統(tǒng)的鏈路狀態(tài)來動(dòng)態(tài)地發(fā)現(xiàn)并傳播路由信息，使用IP組播的方式發(fā)送和接收?qǐng)?bào)文。OSPF是一種相對(duì)復(fù)雜的路由協(xié)議，適用于大型復(fù)雜的網(wǎng)絡(luò)。1.OSPF協(xié)議術(shù)語(yǔ)（1）路由器ID（RouterID）RouterID用于標(biāo)識(shí)OSPF路由器。連續(xù)的OSPF路由器組成的網(wǎng)絡(luò)叫OSPF域，域內(nèi)RouterID必須唯一，也就是在同一個(gè)域內(nèi)不允許出現(xiàn)兩臺(tái)相同RouterID的路由器。RouterID可以手動(dòng)設(shè)置，也可以自動(dòng)生成。5.3.3OSPF動(dòng)態(tài)路由協(xié)議（2）鄰居表運(yùn)行OSPF協(xié)議的路由器之間會(huì)建立鄰居關(guān)系、形成鄰居表，鄰居表中存放與當(dāng)前路由器是鄰居關(guān)系的設(shè)備信息，路由器通過鄰居表向其他路由器學(xué)習(xí)網(wǎng)絡(luò)拓?fù)?。OSPF使用Hello報(bào)文來動(dòng)態(tài)發(fā)現(xiàn)鄰居并維護(hù)鄰居關(guān)系。（3）鏈路狀態(tài)數(shù)據(jù)庫(kù)（LSDB）當(dāng)路由器建立了鄰居表以后，運(yùn)行OSPF路由協(xié)議的路由器會(huì)互相通告自己所知道的網(wǎng)絡(luò)拓?fù)鋸亩SDB，在同一個(gè)區(qū)域內(nèi)的所有路由器應(yīng)該形成相同的LSDB。（4）LSA和LSU運(yùn)行OSPF路由協(xié)議的路由器在發(fā)現(xiàn)鏈路狀態(tài)發(fā)生變化時(shí)，會(huì)觸發(fā)地發(fā)出鏈路狀態(tài)通告（LSA）。該通告記錄了鏈路狀態(tài)變化信息的數(shù)據(jù)，它必須封裝在鏈路狀態(tài)更新包（LSU）中在網(wǎng)絡(luò)上傳遞。一個(gè)LSU可以包含多個(gè)LSA。5.3.3OSPF動(dòng)態(tài)路由協(xié)議（5）DR和BDR當(dāng)幾臺(tái)路由器工作在同一網(wǎng)段上時(shí)，為了減少網(wǎng)絡(luò)中路由信息的交換數(shù)量，OSPF定義了指定路由器（DesignatedRouter，DR）和備份指定路由器BDR（BackupDesignatedRouter，BDR）。DR和BDR負(fù)責(zé)收集網(wǎng)絡(luò)中的鏈路狀態(tài)通告，并且將它們集中發(fā)送給其他的路由器。（6）區(qū)域OSPF路由協(xié)議會(huì)把大規(guī)模的網(wǎng)絡(luò)劃分成為小的區(qū)域，這樣可以有效地減少路由選擇協(xié)議對(duì)路由器的CPU和內(nèi)存的占用。5.3.3OSPF動(dòng)態(tài)路由協(xié)議2.OSPF協(xié)議工作過程（1）建立鄰接關(guān)系在發(fā)送任何LSA通告前，OSPF路由器都必須首先發(fā)現(xiàn)它們的鄰居路由表并建立鄰接關(guān)系。鄰居建立關(guān)聯(lián)關(guān)系的最終目的是為了形成鄰居之間的鄰接關(guān)系，以相互傳送路由選擇信息。兩個(gè)路由器相互發(fā)送Hello數(shù)據(jù)包，路由器根據(jù)收到的Hello數(shù)據(jù)包了解附近有哪些OSPF路由器，同時(shí)會(huì)檢查Hello數(shù)據(jù)包的內(nèi)容。在點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)中，當(dāng)兩個(gè)路由都收到來自對(duì)方的Hello數(shù)據(jù)包之后，就可直接建立連接（鄰接）。如果可以訪問網(wǎng)絡(luò)中的多個(gè)鄰居路由器，則需根據(jù)Hello數(shù)據(jù)包的信息來選舉DR和BDR。最高優(yōu)先級(jí)的路由器被選舉成DR；如果優(yōu)先級(jí)相同則最高RouterID的路由器被選舉成DR。選舉完成后，路由器只需與指定路由器DR建立連接（鄰接）。5.3.3OSPF動(dòng)態(tài)路由協(xié)議（2）數(shù)據(jù)庫(kù)同步鄰居路由器首先決定由哪個(gè)路由器啟動(dòng)信息交換。在點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)中，RouterID較大的路由器將成為主路由器，開始和對(duì)端從路由器相互交換鏈路狀態(tài)信息；在多路訪問網(wǎng)絡(luò)中，DR與BDR相互交換鏈路狀態(tài)信息，并同時(shí)與本網(wǎng)絡(luò)內(nèi)的其他路由器交換鏈路狀態(tài)信息。鏈路狀態(tài)信息包含OSPF網(wǎng)絡(luò)拓?fù)鋬?nèi)的詳細(xì)鏈路信息，信息交換完成后，路由器之間將建立完全鄰接關(guān)系，同時(shí)每個(gè)路由器都會(huì)擁有自己獨(dú)立的、完整的鏈路狀態(tài)數(shù)據(jù)庫(kù)（LSDB）。在同一個(gè)區(qū)域內(nèi)的所有路由器應(yīng)該形成相同的LSDB。5.3.3OSPF動(dòng)態(tài)路由協(xié)議（3）路由選擇當(dāng)一臺(tái)路由器擁有完整獨(dú)立的鏈路狀態(tài)數(shù)據(jù)庫(kù)后，OSPF路由器依據(jù)鏈路狀態(tài)數(shù)據(jù)庫(kù)的內(nèi)容，獨(dú)立地使用SPF最短路徑優(yōu)先算法計(jì)算出到每一個(gè)目的網(wǎng)絡(luò)的最優(yōu)路徑，即cost值最小的路徑，并將其添加到路由表中。（4）路由維護(hù)當(dāng)鏈路發(fā)生故障時(shí)，直連路由器將使用組播地址224.0.0.6向DR發(fā)送LSU鏈路狀態(tài)更新信息；DR收到后將使用組播地址224.0.0.5立即通知OSPF域內(nèi)的其它路由器；其他路由器收到來自DR的LSU后將立即更新自己的路由表。5.3.3OSPF動(dòng)態(tài)路由協(xié)議3.多區(qū)域OSPFOSPF可以將自治系統(tǒng)AS分成多個(gè)不同的區(qū)域，其中區(qū)域0時(shí)主干區(qū)域，所有其他區(qū)域都必須連接到該區(qū)域，如圖5-7所示。5.3.3OSPF動(dòng)態(tài)路由協(xié)議實(shí)施多區(qū)域OSPF的主要優(yōu)點(diǎn)是：（1）路由表減小。一個(gè)區(qū)域內(nèi)部的路由表?xiàng)l目減少，同時(shí)可以匯總區(qū)域之間的網(wǎng)絡(luò)地址。（2）鏈路狀態(tài)更新開銷減少。LSA更新信息只需在區(qū)域內(nèi)部傳遞。（3）SPF重計(jì)算次數(shù)減少。只有本區(qū)域內(nèi)發(fā)生拓?fù)渥兓瘯r(shí)才會(huì)啟動(dòng)SPF重計(jì)算最佳路由。5.3.3OSPF動(dòng)態(tài)路由協(xié)議4.OSPF協(xié)議特點(diǎn)OSPF協(xié)議具有如下特點(diǎn)：（1）OSPF支持各種規(guī)模的網(wǎng)絡(luò)，最多可支持百臺(tái)路由器。（2）快速收斂。如果網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)發(fā)生變化，OSPF立即發(fā)送更新報(bào)文，使這一變化在自治系統(tǒng)中同步。（3）無自環(huán)。由于OSPF通過收集到的鏈路狀態(tài)用SPF最短路徑樹算法計(jì)算路由，故從算法本身保證了不會(huì)生成自環(huán)路由。（4）路由分級(jí)。OSPF使用4類不同的路由，按優(yōu)先順序來說分別是：區(qū)域內(nèi)路由、區(qū)域間路由、第一類外部路由、第二類外部路由。5.4VRRP虛擬路由冗余在工業(yè)生產(chǎn)中，冗余是非常重要的事情。能夠避免一旦一個(gè)設(shè)備出現(xiàn)故障后影響整個(gè)生產(chǎn)的進(jìn)行。同樣網(wǎng)絡(luò)通信中也需要冗余，比如二層通信的冗余，使用的是環(huán)網(wǎng)冗余技術(shù)：MRP或HRP協(xié)議；那么三層通信的冗余呢？在三層路由的環(huán)境中，如何讓設(shè)備的網(wǎng)關(guān)也可以冗余呢？一旦一個(gè)提供網(wǎng)關(guān)的設(shè)備出現(xiàn)問題，可以自動(dòng)切換到另一臺(tái)設(shè)備進(jìn)行路由轉(zhuǎn)發(fā)。我們可以通過VRRP技術(shù)來實(shí)現(xiàn)這樣的應(yīng)用。5.4.1VRRP概述VRRP虛擬路由冗余協(xié)議（VirtualRouterRedundancyProtocol，簡(jiǎn)稱VRRP）是由IETF提出的解決局域網(wǎng)中配置靜態(tài)網(wǎng)關(guān)出現(xiàn)單點(diǎn)失效現(xiàn)象的路由協(xié)議一個(gè)局域網(wǎng)絡(luò)內(nèi)的所有主機(jī)都設(shè)置缺省路由，當(dāng)網(wǎng)內(nèi)主機(jī)發(fā)出的目的地址不在本網(wǎng)段時(shí)，報(bào)文將被通過缺省路由發(fā)往外部路由器，從而實(shí)現(xiàn)了主機(jī)與外部網(wǎng)絡(luò)的通信。當(dāng)缺省路由器down掉（即端口關(guān)閉）之后，內(nèi)部主機(jī)將無法與外部通信，如果路由器設(shè)置了VRRP時(shí)，那么這時(shí)虛擬路由將啟用備份路由器，從而實(shí)現(xiàn)全網(wǎng)通信。5.4.2VRRP中路由器的角色1.VRRP路由器和虛擬路由器VRRP路由器是指運(yùn)行VRRP的路由器，是物理實(shí)體。虛擬路由器是指VRRP協(xié)議創(chuàng)建的，是邏輯概念。網(wǎng)段中的多個(gè)VRRP路由器以邏輯組的形式組合在一起協(xié)同工作，共同構(gòu)成一臺(tái)虛擬路由器（VirtualRouter，VR）。該組使用虛擬ID進(jìn)行定義，組中路由器的虛擬ID必須相同，且該虛擬ID不能再用于其它組。虛擬路由器對(duì)外表現(xiàn)為一個(gè)具有唯一固定的IP地址和MAC地址的邏輯路由器。5.4.2VRRP中路由器的角色2.主路由器和備份路由器處于同一個(gè)VRRP組中的路由器具有兩種互斥的角色：主路由器和備份路由器。一個(gè)VRRP組中有且只有一臺(tái)處于主控角色的路由器，可以有一個(gè)或者多個(gè)處于備份角色的路由器。VRRP協(xié)議從路由器組中選出一臺(tái)作為主路由器，負(fù)責(zé)ARP解析和轉(zhuǎn)發(fā)IP數(shù)據(jù)包，組中的其他路由器作為備份的角色并處于待命狀態(tài)，當(dāng)由于某種原因主路由器發(fā)生故障時(shí)，其中的一臺(tái)備份路由器能在瞬間的時(shí)延后升級(jí)為主控路由器，由于此切換非常迅速而且不用改變IP地址和MAC地址，故對(duì)終端使用者系統(tǒng)是透明的。5.4.3VRRP工作原理VRRP工作流程如圖5-8所示。物理路由器R1和R2為內(nèi)部主機(jī)訪問外網(wǎng)提供了2條路徑，從而避免出現(xiàn)單點(diǎn)故障。當(dāng)在路由器R1和R2上配置啟動(dòng)了VRRP協(xié)議后，將會(huì)形成一個(gè)邏輯的VRRP組，共同構(gòu)成一臺(tái)虛擬路由器，其IP地址可設(shè)置為10.1.1.1，同時(shí)系統(tǒng)會(huì)自動(dòng)生成一個(gè)虛擬MAC地址。5.4.3VRRP工作原理組中的兩臺(tái)物理路由器通過比較優(yōu)先級(jí)和IP地址來確定主路由器，具有更高優(yōu)先級(jí)的路由器將成為主路由器，優(yōu)先級(jí)相同的情況下，具有更大IP地址的路由器將成為主路由器，其它VRRP路由器成為備用路由器。本例中在未設(shè)置優(yōu)先級(jí)的情況下，R2具有更大IP地址因此成為主路由器（Master），R1則成為備用路由器（Backup）。主路由器R2以指定的時(shí)間間隔將Hello數(shù)據(jù)包廣播發(fā)送給備用路由器。主路由器通過Hello數(shù)據(jù)包指示自己仍處于運(yùn)行狀態(tài)。內(nèi)部主機(jī)的網(wǎng)關(guān)地址應(yīng)設(shè)置為虛擬路由器的IP地址：10.1.1.1，而實(shí)際上負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包的是主路由器R2。5.4.3VRRP工作原理如圖5-9所示，如果主路由器R1出現(xiàn)故障，則備用路由器R1將自動(dòng)切換為主路由器，擔(dān)當(dāng)起Master角色。此時(shí)雖然負(fù)責(zé)轉(zhuǎn)發(fā)的路由器發(fā)生了變化，但虛擬路由器的MAC地址和IP地址是保持不變的。這就意味著不需要更新任何路由表或ARP表，也不需要修改內(nèi)部主機(jī)的網(wǎng)關(guān)地址，從而可以將設(shè)備故障的影響減至最低。工業(yè)控制系統(tǒng)與工業(yè)網(wǎng)絡(luò)第6章網(wǎng)絡(luò)地址轉(zhuǎn)換NAT技術(shù)第6章網(wǎng)絡(luò)地址轉(zhuǎn)換NAT技術(shù)NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換）是一種廣域網(wǎng)（WAN）的技術(shù)，用于將私有地址轉(zhuǎn)換為共有IP地址，被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。NAT不僅能夠有效地隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)，避免外部網(wǎng)絡(luò)攻擊，還能夠在IP地址分配不理想、不足的時(shí)候，有效、合理化地分配IP地址，從而能夠進(jìn)行互聯(lián)網(wǎng)訪問。6.1NAT原理為了發(fā)送和接收流量以及遠(yuǎn)程管理，使用TCP/IP協(xié)議的網(wǎng)絡(luò)要求每個(gè)設(shè)備都要有獨(dú)一無二的IP地址。隨著個(gè)人計(jì)算機(jī)的激增和萬維網(wǎng)的出現(xiàn)，接入Internet的設(shè)備越來越多，很快43億個(gè)IPv4地址就不夠用了。IETF實(shí)施了兩個(gè)標(biāo)準(zhǔn)作為短期的解決方案，包括RFC1918標(biāo)準(zhǔn)定義的專用私有IPv4地址和網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）。RFC1918標(biāo)準(zhǔn)定義了專用的私有IP地址范圍，并允許任何人使用它們；當(dāng)數(shù)據(jù)離開公司網(wǎng)絡(luò)時(shí)，可使用NAT將這些地址轉(zhuǎn)換到公共地址，這樣可以節(jié)省并更有效地使用IPv4地址，從而讓各種規(guī)模的網(wǎng)絡(luò)訪問Internet。6.1NAT原理6.1.1專用私有地址RFC1918標(biāo)準(zhǔn)定義了專用私有IP地址的范圍，包括一個(gè)A類地址、16個(gè)B類地址和256個(gè)C類地址，共有1千7百多萬個(gè)地址，如表6-1所示。6.1NAT原理任何公司或企業(yè)可以在內(nèi)部網(wǎng)絡(luò)中使用這些私有地址，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)設(shè)備的本地通信。由于這些地址不屬于任何一個(gè)公司或企業(yè)，任何公司或企業(yè)都可以使用相同的私有地址，私有地址是不能通過Internet路由的。假設(shè)公司A和公司B都在使用網(wǎng)絡(luò)10.0.0.0/8。在公司A中，一個(gè)內(nèi)部用戶A想訪問公司B的一臺(tái)服務(wù)器C，此時(shí)就會(huì)出現(xiàn)問題：兩個(gè)網(wǎng)絡(luò)都在使用網(wǎng)絡(luò)10.0.0.0/8，并都使用了相同的地址10.0.0.2，這兩個(gè)網(wǎng)絡(luò)不能彼此通信，如圖6-1所示。6.1NAT原理有兩種方法可以解決這個(gè)問題：（1）將兩個(gè)網(wǎng)絡(luò)中的一個(gè)（或兩個(gè)）重新分配地址；（2）使用地址轉(zhuǎn)換。用第一種方法顯然工作量和影響范圍都比較大，不到萬不得已不能這么做，而且有的現(xiàn)場(chǎng)環(huán)境根本不允許這么做，見后續(xù)標(biāo)準(zhǔn)機(jī)器的案例。第二種方法的地址轉(zhuǎn)換可以解決這個(gè)問題。比如，連接公司A的路由器將本地IP地址轉(zhuǎn)換為170.16.0.0/16網(wǎng)絡(luò)中的一個(gè)地址。公司B的路由器將它的內(nèi)部本地地址轉(zhuǎn)換為170.17.0.0/16網(wǎng)絡(luò)中的地址。所以，從兩個(gè)公司的角度來看，網(wǎng)絡(luò)看上去是170.16.0.0/16和170.17.0.0/16。6.1NAT原理網(wǎng)絡(luò)地址轉(zhuǎn)換（即NAT）是IETF（InternetEngineeringTaskForce，Internet工程任務(wù)組）提出的RFC1631標(biāo)準(zhǔn)，可以將數(shù)據(jù)包中的地址信息從一個(gè)地址轉(zhuǎn)換為另一個(gè)地址。有了NAT，可以在局域網(wǎng)內(nèi)部為每個(gè)設(shè)備配置唯一的專用私有IP地址，當(dāng)局域網(wǎng)內(nèi)部的設(shè)備要與外部網(wǎng)絡(luò)進(jìn)行通訊時(shí)，通過安裝在網(wǎng)絡(luò)邊界的NAT設(shè)備，將局域網(wǎng)內(nèi)部的多個(gè)私有IP地址轉(zhuǎn)換為一個(gè)或多個(gè)合法的共有IP地址，使整個(gè)內(nèi)部網(wǎng)絡(luò)數(shù)百甚至數(shù)千臺(tái)設(shè)備通過一個(gè)或多個(gè)公用IP地址訪問外部網(wǎng)絡(luò)。而這個(gè)轉(zhuǎn)換由NAT設(shè)備自動(dòng)完成，局域網(wǎng)內(nèi)部的用戶不會(huì)意識(shí)到NAT的存在，同時(shí)局域網(wǎng)內(nèi)部的節(jié)點(diǎn)對(duì)于外部網(wǎng)絡(luò)來說也是不可見的。NAT一般用來將專用的私有IP地址轉(zhuǎn)換為公有IP地址，反之亦可。6.1NAT原理需要使用NAT的情況（1）申請(qǐng)的公有IP地址數(shù)量不足以分配給所有的設(shè)備；（2）正在更換服務(wù)提供商，新服務(wù)提供商不再支持舊的公有地址空間；（3）需要連接兩個(gè)使用相同地址空間網(wǎng)絡(luò)；（4）正在使用給別人分配的公有IP地址；（5）想要實(shí)現(xiàn)負(fù)載平衡，用一個(gè)虛擬IP地址來代表多個(gè)設(shè)備；（6）想要對(duì)進(jìn)出網(wǎng)絡(luò)的流量進(jìn)行更好的控制，隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，保護(hù)內(nèi)部網(wǎng)絡(luò)。6.1NAT原理NAT有以下優(yōu)點(diǎn)：（1）只需使用少量的公有IP地址，就可以讓整個(gè)企業(yè)所有需要上網(wǎng)的設(shè)備連上互聯(lián)網(wǎng)，而企業(yè)內(nèi)部網(wǎng)絡(luò)可以使用專用的私有IP地址，即1個(gè)A類地址、16個(gè)B類地址和256個(gè)C類地址，而且不同網(wǎng)絡(luò)可以同時(shí)使用這些私有地址；（2）只需改變NAT設(shè)備上的地址轉(zhuǎn)換規(guī)則，無須改變內(nèi)部網(wǎng)絡(luò)各個(gè)設(shè)備的地址，即可改變與外部網(wǎng)絡(luò)的連接，使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接更加靈活；（3）NAT自動(dòng)將數(shù)據(jù)包中的內(nèi)部網(wǎng)絡(luò)的地址轉(zhuǎn)換成NAT設(shè)備對(duì)外的地址，可以對(duì)外部隱藏網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，提高了網(wǎng)絡(luò)安全性。6.1NAT原理NAT的缺點(diǎn)通過NAT，外部網(wǎng)絡(luò)上的設(shè)備看起來是直接與啟用NAT的設(shè)備進(jìn)行通信，而不是與內(nèi)部網(wǎng)絡(luò)的實(shí)際設(shè)備通信，這一事實(shí)會(huì)造成以下幾個(gè)問題：（1）地址轉(zhuǎn)換會(huì)更改數(shù)據(jù)包的地址信息，并重新計(jì)算校驗(yàn)和，這樣增加了延遲，影響網(wǎng)絡(luò)性能，對(duì)實(shí)時(shí)協(xié)議的影響比較大；（2）網(wǎng)絡(luò)上需要轉(zhuǎn)換的設(shè)備越多，NAT設(shè)備的負(fù)擔(dān)越大，可能會(huì)產(chǎn)生擴(kuò)展性問題；（3）一些復(fù)雜的網(wǎng)絡(luò)環(huán)境，可能經(jīng)過多次NAT轉(zhuǎn)換，數(shù)據(jù)包地址改變多次，導(dǎo)致追溯數(shù)據(jù)包更加困難，故障排除也更具挑戰(zhàn)性；6.1NAT原理（4）NAT可以提供更堅(jiān)固的安全，但同時(shí)也隱藏了被轉(zhuǎn)換設(shè)備的身份，導(dǎo)致跟蹤攻擊源更困難。（5）一些互聯(lián)網(wǎng)協(xié)議和應(yīng)用程序需要從源到目的地的端到端尋址，不能與NAT配合使用，如數(shù)字簽名。（6）使用NAT會(huì)干擾IPsec等隧道協(xié)議執(zhí)行完整性檢查，使隧道協(xié)議更加復(fù)雜。以上是NAT的缺點(diǎn)，在使用時(shí)必須很小心。6.2利用西門子三層交換機(jī)實(shí)現(xiàn)NATNAT功能通常被集成到路由器、防火墻或者單獨(dú)的NAT設(shè)備中，還可以通過軟件來實(shí)現(xiàn)。西門子SCALANCEXM408三層交換機(jī)就集成了NAT的功能。在NAT中，IP子網(wǎng)分為“Inside”內(nèi)部和“Outside”外部。這樣劃分是從配置了NAT功能的接口角度來看的，通過NAT接口連接所有網(wǎng)絡(luò)均被視為該接口的“Outside”外部，同一設(shè)備的其它IP接口連接的所有網(wǎng)絡(luò)均被視為NAT接口的“Inside”內(nèi)部。當(dāng)數(shù)據(jù)包經(jīng)過NAT接口，在“Inside”與“Outside”之間交換時(shí)，所傳送數(shù)據(jù)包的源或目標(biāo)IP地址會(huì)發(fā)生改變。當(dāng)數(shù)據(jù)包從“Inside”到“Outside”，數(shù)據(jù)包中源IP地址會(huì)發(fā)生改變；當(dāng)數(shù)據(jù)包從“Outside”到“Inside”，數(shù)據(jù)包中目的IP地址會(huì)發(fā)生改變。被轉(zhuǎn)換的內(nèi)部IP地址總是會(huì)被標(biāo)識(shí)為“Local”本地或“Global”全局。因此，在NAT配置中有三種地址：內(nèi)部本地地址、內(nèi)部全局地址和外部地址

內(nèi)部本地地址：也稱為內(nèi)部私有地址，分配給內(nèi)部網(wǎng)絡(luò)中某個(gè)設(shè)備的實(shí)際IP地址，外部網(wǎng)絡(luò)無法訪問該地址。 內(nèi)部全局地址：可供外部網(wǎng)絡(luò)訪問內(nèi)部設(shè)備的IP地址 外部地址：分配給外部網(wǎng)絡(luò)中某個(gè)設(shè)備的實(shí)際IP地址。6.2利用西門子三層交換機(jī)實(shí)現(xiàn)NAT6.2利用西門子三層交換機(jī)實(shí)現(xiàn)NAT如圖6-2所示，兩個(gè)IP子網(wǎng)通過工業(yè)以太網(wǎng)交換機(jī)連接，實(shí)現(xiàn)PC1和PC2通信。VLAN20接口10.10.0.1/24上配置NAT功能。其中VLAN20所在網(wǎng)絡(luò)為外部網(wǎng)絡(luò)，VLAN10所在網(wǎng)絡(luò)為內(nèi)部網(wǎng)絡(luò)。PC1的內(nèi)部本地地址為192.168.1.100，PC1的內(nèi)部全局地址為10.10.0.2，PC2的地址10.10.1.100是外部地址。6.2利用西門子三層交換機(jī)實(shí)現(xiàn)NAT西門子SCALANCEXM408三層交換機(jī)主要有三種NAT工作模式：靜態(tài)地址轉(zhuǎn)換（Static）、動(dòng)態(tài)地址轉(zhuǎn)換（Pool）和網(wǎng)絡(luò)端口地址轉(zhuǎn)換（NAPT）。6.2.1靜態(tài)地