NAT技术教案.pptVIP

IP地址现状 众所周知，在电话通信中，电话用户是靠电话号码来识别的。同样，在网络中为了区别不同的计算机，也需要给计算机指定一个号码，这个号码就是“IP地址”。随着互联网的普及，一个明显的事实是：连接到网络中的人员和设备数量每时每刻都在增加。理论上说，IPv4的可用地址只有大约232个，实际上只有大约2亿5千万个地址能够给设备使用。大量的报告显示，在地球上大约有65亿人，超过10%的人连接到了Internet。这些统计数据让我们注意到一个令人担忧的现实情况：按照IPv4的容量，地球上的每个人甚至不能拥有一台计算机，IPv4正在面临着地址枯竭的危机。 针对这个问题，人们在IP地址的分配和保留IP地址方面做了许多工作和努力，来缓解日益恶化的地址缺乏问题。 最常见动态解决的方法是，当合法用户需要接入Internet中时，ISP为他分配一个可用的IP地址，使他可以访问网络，当用户断开连接后，之前分配的IP地址，再由ISP收回，留待其他用户接入时，再把之前的IP地址分配给其他用户。 另一个常见的动态解决方法是，通过DHCP服务器动态地为需要使用网络服务的主机提供自动的TCP/IP配置，在使用完后便把IP地址回收到地址池中，为其他需要的主机提供分配。 其他技术可以针对IP地址和子网掩码来提供解决方案。如可以使用可变长子网掩码（VLSM）技术，更好地利用IP地址中的每一个二进位，划分出包含更少主机位的子网络，高效分配IP地址（较少浪费），比有类IP地址提供了更多的灵活性。无类域间路由（CIDR）伴随着VLSM而使用，将从VLSM产生的无类的IP地址集中起来，汇聚为一个代表较大范围的单一路由表项，减少了路由器中路由表的条目，从而减轻路由器的负担。CIDR可看作子网划分的逆过程。子网划分时，从主机号部分借位，将其合并进网络部分；而在CIDR的超网中，则是将网络号部分的某些位合并进主机号部分。 IPv6的提出，让人们看到的希望，最称为是最终解决方案。IPv6提供了丰富的地址空间（3.4*1038）[4]，实际上是IPv4地址长度的4倍，IPv6的优点还有其安全性、扩展性和高可用性。可惜的是，直到现今，要用户终端上IPv6还没能普及，这迫使人们寻找更实际的、针对IPv4的技术。 NAT技术的使用，是我们至今在互联网上没有使用完合法IPv4地址的真实原因。NAT包括三种类型，分别是静态NAT、动态NAT和端口复用NAT（即PAT）。它主要思想是把本地的私有IP地址映射到公网的合法IP地址，以缓解可用IP地址空间的消耗。虽然，它没有像IPv6那种从根本上解决问题，但在IPv6没有得到普及的今天，成为了事实上广泛使用的解决方法。 NAT的实现方式有三种，即静态转换（Static Nat）、动态转换（Dynamic Nat）和?端口多路复用（OverLoad）。? 静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。? 动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。? 端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换(PAT，Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。 在NAT转换之前的地址叫做本地地址。因此，内部本地地址实际上是指尝试连接到Internet的主机的私有IP地址，而外部本地地址则是目标主机的地址。目标主机通常是服务器或网页的公网IP地址。在NAT转换之后使用的地址叫做全局地址。它们通常是使用公网合法IP地址，但如果不需要连接Internet，则不一定需要公网IP地址了。在转换之后，内部本地地址变成了内部全局地址。表3-1列出了这些术语的清晰含义： 下面通过例子说明NAT详细工作原理。如图3-1所示，主机10.1.1.1需要访问外部网络Internet中的服务器，它发送一个数据包到边界路由器，该数据包的源地址为