公有地址,私有地址
然而,当公有地址越来越少时,就提出了一个特例,即一对一连接的端口可以不分配IP地址。现在,在这种场景中按惯例都是不为端口分配IP地址的,这种方式称为无编号。
如果使用路由器来上网,BAS下发的参数就会被配置在路由器上,而且公有地址也是分配给路由器的。这样一来,计算机就没有公有地址了。
这时,计算机会被分配一个私有地址,计算机发送的包需要通过路由器进行地址转换然后再转发到互联网中。
但有些应用程序会因为地址转换无法正常工作,这一点需要大家注意。这是因为有些应用程序需要将自己的IP地址告知通信对象或者告知控制服务器,但在有地址转换的情况下这些操作无法完成。
不用路由器上网也有一点需要注意,因为上网的计算机拥有公有地址,这意味着来自互联网的包可以直接到达计算机,这可能导致计算机被攻击。因此,对于直接上网的客户端计算机,我们应该采取安装防火墙软件等防御手段。
PPPoA,PPPoE
使用PPPoA方式的ADSL接入网,因为FTTH[光纤]不使用信元,所以他不能使用PPPoA,而要使用PPPoE。
ADSL使用PPPoE方式时,是先将PPP消息装入以太网包中,然后再将以太网包拆分并装入信元,而PPPoA方式是直接将PPP消息装入信元.
由于只是开头加不加MAC头部和PPPoE头部的区别,PPP消息本身是没有区别的,因此密码校验、下发TCP/IP配置参数、收发数据包等过程都是和PPPoE基本相同的.
由于PPPoA没有MAC头部,所以PPP消息是无法通过以太网来传输的,这就意味着需要和BAS收发PPP消息的设备,也就是计算机和路由器,必须和ADSL Modem是一体的,否则PPP机制就无法工作了。
第一种是将计算机和ADSL Modem用USB接口连接起来,这样ADSL Modem就和计算机成为一体了。
另一种方式是将ADSL Modem和路由器整合成一台设备。
当用PPPoA的方式上网时,当由于地址转换产生问题时,这种方式就不容易处理了,因为我们无法抛开路由器用计算机直接上网。
DHCP
PPPoE会降低网络效率,PPPoA也有ADSL Modem和路由器无法分离的限制,这两个问题其实都是由PPP引起的。因此,有一些运营商不使用PPP,他们使用DHCP协议从BAS向用户端下发TCP/IP配置信息。
DHCP经常用于通过公司网络向客户端计算机下发TCP/IP配置信息,首先客户端请求配置信息,然后DHCP服务器下发配置信息,非常简单,不需要像PPP、那样需要多个步骤,也不需要验证用户名和密码。
没有用户名和密码,就意味着无法通过用户名来切换运营商网络,但这种方式也有优势,它可以单纯地直接传输以太网包,不需要添加额外的PPP头部,因此不会占用MTU。
采用DHCP的运营商使用的ADSL Modem也和PPPoE、PPPoA方式不同,这种ADSL Modem不使用信元,而是直接将以太网包调制成ADSL信号,因此没有ADSL Modem和路由器无法分离的问题。
POP
现在网络包已经通过接入网,到达了网络运营商的路由器。这里是互联网的入口,网络包会从这里进入互联网内部。
互联网的实体并不是由一个组织运营管理的单一网络,而是由多个运营商网络相互连接组成的。
ADSL、FTTH等接入网是与用户签约的运营商设备相连的,这些设备称为POP。POP是运营商那边的设备。也是互联网的入口。
POP的结构根据接入网类型以及运营商的业务类型不同而不同。
POP中包括各种类型的路由器,路由器的基本工作方式是相同的,但根据其角色分成了不同的类型。
首先是专线,这里用的路由器就是具有通信线路端口的一般路由器。专线不需要用户认证、配置下发等功能,因此用一般的路由器就可以了。
接下来是电话、ISDN等拨号方式的接入网,这里使用的路由器称为RAS。
拨号接入需要对用户拨电话的动作进行应答,而RAS就具备这样的功能。
再往下是PPPoE方式的ADSL和FTTH。PPPoE方式中,ADSL、FTTH接入服务商会使用BAS,运营商的路由器则与BAS相连。
PPPoE中的身份认证和配置下发操作由接入服务商的BAS来负责,运营商的路由器只负责对包进行转发,因此这里也是使用一般的路由器就可以了。
如果ADSL采用PPPoA方式接入,那么工作过程会有所不同,DSLAM通过ATM交换机与ADSL的运营商的BAS相连,然后再连接到运营商的路由器。
由于要连接的线路数量很多,所以路由器需要配备大量的端口,但能传输的网络包数量相对比较少,这是因为接入网的速率比互联网核心网络要低。因此,端口多且价格便宜的路由器适用于这些场景。
NOC
图中左侧的路由器用于连接运营商和核心NOC以及其他POP,所有连接接入网的路由器发出的包都会集中到这里,使用的线路速率也比较高,因此这里需要配备转发性能和数据吞吐量高的路由器。
NOC是运营商的核心设备,从POP传来的网络包都会集中到这里,并从这里被转发到离目的地更近的POP,或者是转发到其他的运营商。这里也要高性能路由器。
面向运营商的高性能路由器中有些产品的数据吞吐量超过1 Tbit/s(T表示1012。),而一般面向个人的路由器的数据吞吐量也就100 Mbit/s左右,两者相差1万多倍。
NOC就是规模扩大后的POP。
运营商工作
公司的机房一般使用双绞线来连接设备,但运营商的网络中需要传输大量的包,已经超过了双绞线能容纳的极限,因此一般还是更多地使用光纤。
大楼室内可以用线路直接连接,对于距离较远的NOC和POP来说,它们之间的连接方式可以分为几种。
对于自己拥有光纤的运营商来说,可以选择最简单的方式,也就是用光纤将NOC和POP直接连接起来。
其他运营商怎么办呢?其实也不难,只要从其他公司租借光纤就可以了,但所谓租借并不是光纤本身。
拥有光纤的公司一般都会提供光纤租用服务。以电话公司为例,电话公司会在其拥有的光纤中传输语音数据,但一条光纤并不是只能传输一条语音数据,光纤是可以复用的,一条语音数据只占其通信能力的一部分。换句话说,电话公司可以将自己的光纤的一部分通信能力租借给客户。
无论其业务本质是电话还是互联网,这一点都是共通的。这种服务就叫作通信线路服务。
如果最终目的地Web服务器和客户端是连接在同一个运营商中的,那么POP路由器的路由表中应该有相应的转发目标。
路由器根据路由表中的信息判断转发目标,这个转发目标可能是NOC,也可能是相邻的POP,无论如何,路由器都会把包转发出去,然后下一个路由器也同样根据自己路由表中的信息继续转发。
经过几次转发之后,网络包就到达了Web服务器所在的POP的路由器,然后从这里被继续转发到Web服务器。
如果服务器的运营商和客户端的运营商不同又会怎样呢?这种情况下,网络包需要先发到服务器所在的运营商,这些信息也可以在路由表中找到,这是因为运营商的路由器和其他运营商的路由器也在交换路由信息。
对于互联网内部的路由器来说,无论最终目的地是否属于同一家运营商,都可以从路由表中查到,因此只要一次接一次按照路由表中的目标地址来转发包,最终一定可以到达Web服务器所在的POP。这样一来,我们就可以把包发到任何地方,包括地球的另一面。
下面我们来看看运营商之间是如何交换路由信息,并对路由器进行自动更新的。
只要让相连的路由器告知路由信息就可以了。只要获得了对方的路由信息,就可以知道对方路由器连接的所有网络,将这些信息写入自己的路由表中,也就可以向那些网络发送包了。
获得对方的路由信息之后,我们也需要将自身的路由信息告知对方。
这里使用的机制称为BGP,边界网管协议。
根据所告知的路由信息的内容,这种路由交换可分为两类。一类是将互联网中的路由全部告知对方
通过运营商D就可以向所有的运营商发送包。
像这样,通过运营商D来发送网络包的方式称为转接。
另一种类型是两个运营商之间仅将与各自网络相关的路由信息告知对方。这样,只有双方之间的网络可以互相收发网络包,这种方式称为非转接,也叫对等。
公司内部和运营商之间在路由交换方式上是有区别的。
公司中使用的方式是寻找与目的地之间的最短路由,并按照最短路由来转发包,因此,周围的所有路由器都是平等对待的。
互联网中可以指定路由交换的对象。
这样一来,运营商就可以只将路由信息提供给那些交了费的运营商,那些没交费的运营商也就无法将网络包发送过来了。
IX
各个运营商之间链接的时候,如果都是一对一链接,运营商多了后会很难。设置一个中心设备,通过连接到中心设备的方式来减少线路数量,这个中心设备就称为IX。
IX所在的大楼都装有自主发电设备,并具有一定的抗震能力。其实这样的要求也不仅限于IX,运营商的NOC也是一样。
IX的核心是具有大量高速以太网端口的二层交换机。二层交换机的基本原理和一般交换机相同,大家可以认为IX的核心就是大型的、高速的交换机。
接下来就是将各个运营商的路由器连接到IX核心交换机上。
当运营商NOC和IX位于同一幢大楼里时,只要从NOC中将光纤延长出来接到IX交换机就可以了。
如果NOC和IX不在同一幢大楼里。
一种是从路由器延伸出一根通信线路并连接到IX交换机上。,另一种是将路由器搬到IX机房里,用通信线路将路由器和NOC连起来,再将路由器连到IX交换机上。
运营商之间可以直接连接,也可以通过IX连接,无论是哪种方式,最终网络包都会到达服务器所在的运营商,然后通过POP进入服务器端的网络。
服务器放的位置
网络包从互联网到达服务器的过程,根据服务器部署地点的不同而不同。
服务器直接部署在公司网络上,网络包通过最近的POP中的路由器、接入网以及服务器端路由器之后,就直接到达了服务器。
以前这样的服务器部署方式很常见,但现在已经不是主流方式了。这里有几个原因:
第一个原因是IP地址不足。这样的方式需要为公司网络中的所有设备,包括服务器和客户端计算机,都分配各自的公有地址
另一个原因是安全问题。这种方式中,从互联网传来的网络包会无节制地进入服务器,这意味着服务器在攻击者看来处于“裸奔”状态。当然,我们可以强化服务器本身的防御来抵挡攻击,这样可以一定程度上降低风险。
因此,现在我们一般部署防火墙。防火墙的作用类似于海关,它只允许发往指定服务器的指定应用程序的网络包通过,从而屏蔽其他不允许通过的包。
即便如此风险也不会降到零,因为如果允许外部访问的应用程序中有安全漏洞,还是有可能遭到攻击的。
也可以把服务器放在网络运营商等管理的数据中心里,或者直接租用运营商提供的服务器。
数据中心是与运营商核心部分NOC直接连接的,或者是与运营商之间的枢纽IX直接连接的。
数据中心通过高速线路直接连接到互联网的核心部分,因此将服务器部署在这里可以获得很高的访问速度,当服务器访问量很大时这是非常有效的。
数据中心一般位于具有抗震结构的大楼内,还具有自主发电设备,并实行24小时门禁管理,可以说比放在公司里具有更高的安全性。
数据中心不但提供安放服务器的场地,还提供各种附加服务,如服务器工作状态监控、防火墙的配置和运营、非法入侵监控等,从这一点来看,其安全性也更高。
