網(wǎng)絡分層與網(wǎng)絡技術研究

江凱

【摘 要】 致力于解決如何運用現(xiàn)代化科技高速發(fā)展的優(yōu)勢，創(chuàng)造出一種成本和維護費用低廉，高效且安全可靠的計算機網(wǎng)絡傳輸技術。通過在計算機網(wǎng)絡分層中植入虛擬專用網(wǎng)絡技術（VPN技術），可以使我們計算機網(wǎng)絡應用的能力大大提高。

【關鍵詞】 計算機調試網(wǎng)絡應用網(wǎng)絡分層VPN技術

計算機網(wǎng)絡應用要實現(xiàn)各層次對應的功能就要實行網(wǎng)絡分層。傳統(tǒng)的網(wǎng)絡分層分為兩種模型：ISO/OSI參考模型和TCP/IP模型。OSI參考模型是國際標準化組織（ISO）提出的網(wǎng)絡體系結構模型，OSI有七層，自下而上依次為：物理層（功能是管理硬件連接）、數(shù)據(jù)鏈接層（功能是編碼、編址、傳輸信息）、網(wǎng)絡層（功能是決定傳輸路由、處理信息傳遞）、傳輸層（功能是確保數(shù)據(jù)正確發(fā)送）、會話層（功能是建立、維持、協(xié)調通信）、表示層（功能是處理文本格式化、顯示代碼轉換）、應用層（功能是在網(wǎng)絡應用程序之間傳遞信息）。TCP/IP模型是ARPA在研究ARPAnet時提出的，自低到高依次為：網(wǎng)絡接口層（對應OSI模型中的物理層和數(shù)據(jù)鏈接層）、網(wǎng)際層、傳輸層、應用層（對應OSI模型中的會話層、表示層和應用層）。TCP/IP由于得到廣泛應用而成為事實上的國際標準。OSI模型的最大貢獻是精確地定義了三個主要概念：服務、協(xié)議和接口，這與現(xiàn)代的面向對象程序設計思想非常吻合。而TCP/IP模型在這三個概念上卻沒有明確區(qū)分，這不符合軟件工程的思想。而OSI模型缺乏市場與商業(yè)動力，結構復雜，實現(xiàn)周期長，運行效率低。

我們在理解計算機網(wǎng)絡時要采取折中的辦法，即綜合OSI和TCP/IP的優(yōu)點，采用只有五層協(xié)議的體系結構，即我們熟知的物理層、數(shù)據(jù)鏈接層、網(wǎng)絡層、傳輸層、應用層。下面我來簡單介紹一下五層協(xié)議體系結構的計算機網(wǎng)絡分層：

第一層是物理層，物理層考慮的是怎樣才能在連接各個計算機的傳輸媒體上傳輸數(shù)據(jù)的比特流，而不是指連接計算機具體的物理設備或具體的傳輸媒體。

第二層是數(shù)據(jù)鏈接層，數(shù)據(jù)鏈接層在物理層提供服務的基礎上向網(wǎng)絡層提供服務，其主要作用是加強物理層傳輸原始比特流的功能，將物理層提供的可能出錯的物理連接改造成為邏輯上無差錯的數(shù)據(jù)鏈路，使之對網(wǎng)絡層表現(xiàn)為一條無差錯的鏈路。

第三層是網(wǎng)絡層，網(wǎng)絡層提供的是主機之間的邏輯通信。網(wǎng)絡層所要完成的任務之一是使異構網(wǎng)絡互聯(lián)。要實現(xiàn)在全世界范圍內把數(shù)以百萬計的網(wǎng)絡互聯(lián)起來，并且能夠互相通信，是一個非常復雜的任務。需要解決許多問題，比如不同的尋址方案、不同的網(wǎng)絡接入機制、不同的差錯處理方法、不同的路由選擇機制等。用戶的需求是多樣的，沒有一種單一的網(wǎng)絡能適應所有用戶的需求。

第四層是傳輸層，傳輸層（Transport Layer）也叫運輸層，傳輸單位是報文段（TCP）或用戶數(shù)據(jù)報（UDP），傳輸層的任務是負責主機中兩個進程之間的邏輯通信（即端到端的通信）。傳輸層的協(xié)議有：TCP、UDP。傳輸層的功能是為端到端連接提供可靠的傳輸服務；為端到端連接提供流量控制、差錯控制、服務質量、數(shù)據(jù)傳輸管理等服務。從通信和信息處理角度看，傳輸層是5層的OSI參考模型中的第4層，它向上面的應用層提供通信服務。它屬于面向通信部分的最高層，同時也是用戶功能中的最低層。

第五層是應用層，每個應用層協(xié)議都是為了解決某一類應用問題，而問題的解決又往往是通過位于不同主機中的多個應用進程之間的通信和協(xié)同工作來完成的。應用層的具體內容就是規(guī)定應用進程在通信時所遵循的協(xié)議。這些應用進程之間相互通信和協(xié)同通常采用一定的模式，常見的有客戶/服務器模式和P2P模式。

在網(wǎng)絡通信過程中，數(shù)據(jù)在不同的層次中傳輸，在發(fā)送過程中，數(shù)據(jù)從高層（應用層）出發(fā)向下逐層到達底層（物理層），在此過程中，各層都要為數(shù)據(jù)增加本層的協(xié)議，最終通過物理層傳輸出去；在接受過程中，數(shù)據(jù)從底層（物理層）向上逐層到達高層（應用層），在此過程中，各層需要為數(shù)據(jù)去掉本層的協(xié)議。

在計算機網(wǎng)絡分層中，我們學習了數(shù)據(jù)傳輸?shù)闹R。那么，學習知識的主要目的是為了找到解決問題的方法。VPN虛擬專用網(wǎng)絡技術的實現(xiàn)為我們建立了一種新型的計算機網(wǎng)絡應用技術。下面我就來具體介紹一下虛擬專用網(wǎng)絡（VPN技術）。

虛擬專用網(wǎng)絡（簡稱VPN）指的是：在公用網(wǎng)絡上建立專用網(wǎng)絡的技術。其之所以稱為虛擬網(wǎng)，主要是因為整個VPN網(wǎng)絡的任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專用所需的端到端的物理鏈路，而是架構在公用網(wǎng)絡服務商所提供的網(wǎng)絡平臺，如Internet、ATM（異步傳輸模式）、Frame Relay（幀中繼）等之上的邏輯網(wǎng)絡，用戶數(shù)據(jù)在邏輯鏈路中傳輸。它涵蓋了跨共享網(wǎng)絡或公共網(wǎng)絡的封裝、加密和身份驗證鏈接的專用網(wǎng)絡的擴展。VPN屬于遠程訪問技術，簡單地說就是利用公網(wǎng)鏈路架設私有網(wǎng)絡。例如公司員工出差到外地，他想訪問企業(yè)內網(wǎng)的服務器資源，這種訪問就屬于遠程訪問。怎么樣才能讓外地員工訪問到內網(wǎng)資源呢？VPN的解決方法是在內網(wǎng)中架設一臺VPN服務器，VPN服務器有兩塊網(wǎng)卡，一塊連接內網(wǎng)，一塊連接公網(wǎng)。外地員工在當?shù)剡B上互聯(lián)網(wǎng)后，通過互聯(lián)網(wǎng)找到VPN服務器，然后利用VPN服務器作為跳板進入企業(yè)內網(wǎng)。為了保證數(shù)據(jù)安全，VPN服務器和客戶機之間的通訊數(shù)據(jù)都進行了加密處理。有了數(shù)據(jù)加密，就可以認為數(shù)據(jù)是在一條專用的數(shù)據(jù)鏈路上進行安全傳輸，就如同專門架設了一個專用網(wǎng)絡一樣。在傳統(tǒng)的企業(yè)網(wǎng)絡配置中，要進行異地局域網(wǎng)之間的互連，傳統(tǒng)的方法是租用DDN（數(shù)字數(shù)據(jù)網(wǎng)）專線或幀中繼。這樣的通訊方案必然導致高昂的網(wǎng)絡通訊/維護費用。對于移動用戶（移動辦公人員）與遠端個人用戶而言，一般通過撥號線路（Internet）進入企業(yè)的局域網(wǎng)，而這樣必然帶來安全上的隱患。下面，介紹一下VPN的功能與優(yōu)點及分類。

1 VPN的功能與優(yōu)點

使用VPN可降低成本—— 通過公用網(wǎng)來建立VPN。就可以節(jié)省大量的通信費用，而不必投入大量的人力和物力去安裝和維護WAN（廣域網(wǎng)）設備和遠程訪問設備。endprint

傳輸數(shù)據(jù)安全可靠—— 虛擬專用網(wǎng)產(chǎn)品均采用加密及身份驗證等安全技術，保證連接用戶的可靠性及傳輸數(shù)據(jù)的安全和保密性。

連接方便靈活—— 用戶如果想與合作伙伴聯(lián)網(wǎng)，如果沒有虛擬專用網(wǎng)，雙方的信息技術部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路，有了虛擬專用網(wǎng)之后，雙方配置安全連接信息即可。

安全控制—— 虛擬專用網(wǎng)使用戶可以利用ISP的設施和服務，同時又完全掌握著自己網(wǎng)絡的控制權。用戶只利用ISP提供的網(wǎng)絡資源，對于其它的安全設置、網(wǎng)絡管理變化可由自己管理。在企業(yè)內部也可以自己建立虛擬專用網(wǎng)。

2 VPN的分類

根據(jù)不同的劃分標準，VPN可以按幾個標準進行分類劃分。

按VPN的協(xié)議分類：VPN的隧道協(xié)議主要有三種：PPTP，L2TP和IPsec，其中PPTP和L2TP協(xié)議工作在OSI參考模型的第二層，又稱為二層隧道協(xié)議；IPsec是第三層隧道協(xié)議，也是最常見的協(xié)議。L2TP和IPsec配合使用是目前性能最好，應用最廣泛的一種。

按VPN的應用分類：Access VPN（遠程接入VPN）：客戶端到網(wǎng)關，使用公網(wǎng)作為骨干網(wǎng)在設備之間傳輸VPN的數(shù)據(jù)流量；Intranet VPN（內聯(lián)網(wǎng)VPN）：網(wǎng)關到網(wǎng)關，通過公司的網(wǎng)絡架構連接來自同公司的資源；Extranet VPN（外聯(lián)網(wǎng)VPN）：與合作伙伴企業(yè)網(wǎng)構成Extranet，將一個公司與另一個公司的資源進行連接；

按所用的設備類型進行分類：網(wǎng)絡設備提供商針對不同客戶的需求，開發(fā)出不同的VPN網(wǎng)絡設備，主要為交換機，路由器，防火墻。

路由器式VPN：路由器式VPN部署較容易，只要在路由器上添加VPN服務即可。

交換式VPN：主要應用于連接用戶較少的VPN網(wǎng)絡。

防火墻式VPN：防火墻式VPN是最常見的一種VPN的實現(xiàn)方式，許多廠商都提供這種配置類型。

按照實現(xiàn)原理劃分：VPN可以分為兩大類。重疊VPN：此VPN需要用戶自己建立端節(jié)點之間的VPN鏈路，主要包括：GRE，L2TP，IPsec等眾多技術；對等VPN：由網(wǎng)絡運營商在主干網(wǎng)上完成VPN通道的建立，主要包括MPLS，VPN技術。

VPN能夠讓移動用戶、遠程用戶、商務合作伙伴和其他人利用本地可用的高速寬帶網(wǎng)連接（如DSL、WiFi網(wǎng)絡、有線電視網(wǎng)）連接到企業(yè)網(wǎng)絡。此外，高速寬帶網(wǎng)連接提供一種成本效率高、維持費用低廉、高效利用高科技、安全可靠的連接遠程辦公室的方法。設計良好的寬帶VPN是模塊化的和可升級的。這種技術能夠讓應用者使用一種很容易設置的互聯(lián)網(wǎng)基礎設施，讓新的用戶迅速和輕松地添加到這個網(wǎng)絡。這種能力意味著企業(yè)不用增加額外的基礎設施就可以提供大量的容量和應用。VPN能提供高水平的安全，使用高級的加密和身份識別協(xié)議，保護數(shù)據(jù)避免受到窺探，阻止數(shù)據(jù)竊賊和其他非授權用戶接觸這種數(shù)據(jù)。

3 結語

我相信，現(xiàn)代科技的發(fā)展必將使計算機應用帶來驚人的改革和發(fā)展。通信技術與計算機網(wǎng)絡應用技術的完美結合將更大程度的推動計算機的高速發(fā)展。謝謝廣大讀者！希望你們批評、指正。

參考文獻：

[1]王道論壇組編.2014年計算機網(wǎng)絡聯(lián)考復習指導[M].北京.電子工業(yè)出版社.2013.7.endprint