地址解析协议ARP

无论网络层使用什么协议，在实际网络的链路上传送数据帧时，最终使用的是硬件地址。

IP地址(32位)和硬件地址(48位)之间不存在简单的映射关系。ARP协议解决IP地址与物理地址的映射，而RARP协议解决物理地址与IP地址的映射。

每一个主机都设有一个ARP高速缓存(cache)，里面存放有所在的局域网上的各主机和路由器的IP地址到硬件地址的映射表。

当主机A欲向本局域网上的某个主机B发送IP数据报时，就先在其ARP高速缓存中查看有无主机B的IP地址。如有，即得到其对应的硬件地址，再将此硬件地址写入MAC帧，然后通过局域网将该 MAC帧发往此硬件地址。否则该主机运行ARP协议。

ARP 高速缓存

• 高速缓存的作用就在于可以减少网络上的通信量。如果不用高速缓存，因为网络上的任一台主机要进行通信都需用广播方式发送ARP请求分组，这将导致网络上的通信量大大增加。用了高速缓存就可将得到的地址映射存入待用。
• ARP对存放在高速缓存中的“IP地址-硬件地址”映射表设置生存时间(如10min)。凡超过生存时间的表项即删除。被删除的表项无原则重新建立，也要经过前面所述的查找目的主机硬件地址的过程。

ARP是解决同一个局域网上的主机(或路由器)的IP地址和硬件地址的映射问题。只要主机或路由器与本网络上的另一个已知IP地址的主机或路由器进行通信，ARP协议就会自动地将该 IP地址解析为链路层所需要的硬件地址。

如果所要找的目的主机和源主机不在同一个局域网上，那么就要通过ARP找到一个位于本局域网上的某个路由器的硬件地址，然后把分组发送给这个路由器，让这个路由器把分组转发给下一个网络。剩下的工作就由下一个网络来做。

从IP地址到硬件地址的解析是自动进行的，这种地址解析过程对用户对透明的。

使用 ARP 的四种典型情况

• 发送方是主机，要把IP数据报发送到本网络上的另一个主机。这时用 ARP 找到目的主机的硬件地址。
• 发送方是主机，要把 IP 数据报发送到另一个网络上的一个主机。这时用 ARP 找到本网络上的一个路由器的硬件地址。剩下的工作由这个路由器来完成。
• 发送方是路由器，要把 IP 数据报转发到本网络上的一个主机。这时用 ARP 找到目的主机的硬件地址。
• 发送方是路由器，要把 IP 数据报转发到另一个网络上的一个主机。这时用 ARP 找到本网络上另一个路由器的硬件地址。剩下的工作由这个路由器来完成。

为什么不直接使用硬件地址进行通信？

• 由于全世界存在着各式各样的网络，它们使用不同的硬件地址。要使这些异构网络能够互相通信就必须进行非常复杂的硬件地址转换工作，这几乎是不可能的事。
• IP编址解决了这个复杂问题。凡连接到因特网的主机都拥有统一的IP地址，它们之间的通信就像连接在同一个网络上那样简单方便，因为调用ARP来寻找某个路由器或主机的硬件地址都是由计算机软件自动进行的，对用户来说是看不见这种调用过程的。

虚拟专用网VPN

由于IP地址的紧缺，一个机构能够申请到的IP地址数往往远小于本机构所拥有的主机数。

考虑到因特网安全性并不很好，一个机构内也并不需要把所有的主机都接入到外部的因特网。

因而就有一个设想：假定一个机构内部的计算机通信也采用TCP/IP协议，那么从原则上讲，对于这些仅在机构内部使用的计算机就可以由本机构自行分配其IP地址

两种地址

• 本地地址－－仅在本机构内部使用的IP地址，可由本机构自行分配，不必向因特网的管理机构申请。
• 全球地址－－全球唯一的IP地址，必须向因特网的管理机构申请。

存在的问题：在内部使用的本地地址有可能与因特网中某个IP地址重合，从而出现地址的二义性问题 解决的办法：RFC1918指明了一些专用地址。专用地址只能用作本地地址而不能用作全球地址。在因特网中的所有路由器，对目的地址是专用地址的数据报一律不进行转发。三个专用地址块，即ICANN预留的部分A、B和C类专用地址块。

• A类：10.0.0.0～10.255.255.255；
• B类：172.16.0.0～172.31.255.255；
• C类：192.168.0.0～192.168.255.255

采用这种专用IP地址的专用网称为拟专用网VPN。虚拟专用网VPN是建立在基础网络之上的一种功能性网络。它向使用者提供一般专用网所具有的功能，但本身却不是一个独立的物理网络，而是通过隧道技术，架构在公共网络服务商所提供的网络平台(如Internet、ATM和FR等)之上的逻辑网络。

虚拟专用网的两个含义：一是“虚拟”，因为整个VPN网上的任意两个结点之间的连接并没有传统专用网所需的端到端的物理链路，而是将它建立在分布广泛的公用网络的平台上；二是一个“专用网”，每个VPN用户都可以从临时的“专用网”上获得所需的资源。

构建虚拟专用网的注意事项

• 在不同网点的专用网之间进行通信，而需要通过公用的因特网，又有保密要求的，那么所有通过因特网的数据都必须加密。
• 一个机构要构建自己的VPN就必须为它的每一个场所购买专用的硬件和软件，并进行配置，使每一个场所的VPN系统都知道其他场所的地址。

虚拟专用网的特点

• 成本低廉，只需支付日常的上网费用。
• 得到最常用的网络协议的广泛支持。
• 具有身份验证、数据加密等安全可靠功能。
• 易于扩充和管理。

虚拟专用网的不足

• 安全性。由于因特网不是一个可信赖的安全网络，为确保数据传输的安全，应对入网传输的数据进行加密处理。
• 可管理性。VPN的管理要能够应对电信单位需求的快速变化，以避免额外的远行开支。
• 性能。由于ISP是“尽力交付”传输的IP分组，而跨因特网的传输性能又无法得到保证，且时有变化，所以附加的安全措施也会显著地降低性能。

利用隧道技术实现虚拟专用网

隧道的建立有两种方式：一种是自愿隧道，指服务器计算机或路由器可以通过发送VPN请求配置和创建的隧道；另一种是强制隧道，指由VPN服务提供商配置和创建的隧道。

隧道有两种类型：①点-点隧道。隧道由远程用户计算机延伸到企业服务器，由两边的设备负责隧道的建立，以及两点之间数据的加密和解密。②端-端隧道。隧道中止于防火墙等网络边缘设备，它的主要功能是连接两端的局域网。