IP射映原理.docVIP

IP射映原理 由于公网IP地址有限，不少ISP都采用多个内网用户通过代理和网关路由共用一个公网IP上INTERNET的方 法，这样就限制了这些用户在自己计算机上架设个人网站，要实现在这些用户端架设网站，最关键的一点 是，怎样把多用户的内网IP和一个他们唯一共享上网的IP进行映射！ 先来介绍一下NAT，NAT（网络地址 转换）是一种将一个IP地址域映射到另一个IP地址域技术，从而为终端主机提供透明路由。NAT包括静态 网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。NAT 常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。 在防火墙上实现NAT后，可以隐藏受保护 网络的内部拓扑结构，在一定程度上提高网络的安全性。如果反向NAT提供动态网络地址及端口转换功能 ，还可以实现负载均衡等功能。 在TCP/IP协议中，我们需要了解两种IP地址，一个是可以直接访问 Internet的公网IP地址，另一种是我们组建局域网时最常用到的私有IP地址。如的IP地址， 这个地址就是一个私有地址，它在全球网络中不具唯一性，可以在全球任何一个地方的网络中使用，而公 网IP地址在全球网络中是唯一的，主要是起标识不同网络的作用。在互联网中，正是因为有这样的公网IP 地址，我们的通信才可以得以实现。 但是由于目前公网主要采用的是IPv4，IP地址资源日益耗尽，我 们不可能在一个网络中申请到很多个可以在互联网上直接通信的公有IP地址。这时，我们就会使用到NAT 技术，它可以将局域网中的如的私有地址转换为可以在Internet使用的IP地址。从而达到访 问Internet的目的。 目前ADSL普遍采用的是NAT技术中的PAT(Port Address Translation)技术，它将内 部地址映射到路由器WAN端口上的的一个全球唯一的公网 IP 地址上，同时在该地址上加上一个由路由器 选定的TCP或UDP端口号。 我的电脑的IP地址为8，路由器的WAN（广域网）端口自动探测到广 州电信分配给它的一个公网IP地址，如31。当我的电脑开机后，与路由器连接上，路由器会 分配一个端口号给我这条连接，如分配给我的是1444。当我要打开网页时，我的电脑发送一个数据包到路 由器默认网关，当这个数据包到达路由器的时候，路由器会进行折解数据包的过程，提取出 这个数据包的头部源IP地址8:1444，路由器通过查看NAT表，将数据包的头部源IP地址改为 31:1444,并以:80(www访问的端口号为80)为目的地址将数据包发送到目的网络的 服务器上，服务器做出回应时，以:80为源IP地址，31:1444为目的地址将数据包 发送到路由器上，路由器再查NAT表，找到31:1444对应的内部地址8:1444，于 是服务器发回的数据包就发送到了我的电脑上，而不是局域网（LAN）内其他主机上。公网上的服务器只 知道IP地址为31的路由器在与它通信，并不知道是我的电脑在与它通信，这对于保护局域网 内的主机是有好处的。 一个请求和应答的具体过程： 经以上可以看到，整个Router通过DHCP分配IP给 LAN上的主机（或手动设置），然而，这些IP是内网IP，无法直接访问外网的。在WAN设置中，使用PPPoE 进行拨号后，ISP返回一个动态IP地址给Router，而LAN的主机，就是通过这个IP与外界通信的。 这里实 现了NAT（网络地址转换），正是NAT，才能使我们能够共享ADSL上网。 具体实现过程： NAT Box的位 置和操作过程 当一个Packet离开Company Router，通过NAT Box，NAT Box会将该Packet的IP源地址转换为真实的IP地 址：2；通常NAT Box都会被集成到Router上。 当应答分组被送回（如一个HTTP请求Web服务 器回来的应答），它的目标地址是2,那么NAT Box怎样知道该用那一条地址，即将它转发到那 一台主机上呢？ NAT的实际实现方法：现今大多数IP分组携带的要么是TCP净荷，要么就是UDP净荷，两 者的Header都包含了一个16位的源端口和目标端口。现以TCP为例，这16位的端口指示了TCP连接从哪里开 始，到哪里结束。 当一个进程想与另一远程进程进行TCP连接时，它将绑定到本地机器尚未使用的TCP端 口上，即源端口，告诉TCP代码，凡是属于此TCP连接的进来的分组都应发送到该进程。同时，发起进程提 供一个目标端口，指明分组被送到远程机器的那个进程。0～1023都是保留端口，用于一些知名的服务， 我们熟悉的80端口（Web），21端口（FTP）。 这样，每个向外发送的TCP消息都包含了一个源端口和目 标端口。NAT利用源端口解决主机映射问