剖析tcp-ip原理.pptVIP

* * * * 统一私网IP地址规划 公用私网地址 —— 55（一个A类地 —— 55（15个B类地址975375） —— 55（1个B类地址65025） 建议城域网内采用上面三个段公用私网地址，有利于NG（NAT关口局）地址转换 公用私网地址数量 统一私网IP地址示意图（一） 家庭用户 RTU 家庭用户 家庭用户 2403 2403 MA 5200 ISP FE FE IP 网络 DHCP Server MD 5500 MA 5100 RTU 家庭用户 DHCP Server NG 企业用户 NMS 公网地址 Internet 适合网络运营商是既是NSP又是ISP情况 NAT路由器的位置导致从公网访问ISP困难 统一私网IP地址示意图（二） 家庭用户 RTU 家庭用户 家庭用户 2403 2403 MA 5200 ISP1 FE FE IP 网络 DHCP Server MD 5500 MA 5100 RTU 家庭用户 ISPn DHCP Server NG NG 企业用户 NMS 公网地址 Internet 统一私网IP地址分类（PPPOE/WEB） 用户IP地址 驻地网中有效的、分配给本地主机的IP地址——IP地址容量最大的部分，要结合各局实际情况进行实际规划。 网络IP地址 骨干网中设备及外设使用的IP地址——网络中的公共资源地址 管理IP地址 设备管理使用的IP地址——保证设备网管的安全性 上网IP地址 各ISP分配地址处于不同段——采用源地址路由或L2TP协议到达多ISP 统一私网IP地址示意图（PPPOE/WEB） 家庭用户 RTU 家庭用户 家庭用户 2403 2403 MA 5200 ISP1 FE FE IP 网络 DHCP Server MD 5500 MA 5100 RTU 家庭用户 ISPn DHCP Server NG NG 企业用户 NMS 公网地址 Internet Radius Radius Radius WEB认证服务器 适合多ISP、公网IP资源较少的情况 路由路径 L2TP 企业网私有IP地址已规划，出口路由器须支持NAT NAT路由器的位置太高，成为瓶颈 采用L2TP协议效率比较低 PPPOE WEB WEB 统一私网IP地址优势 容易进行地址规划，便于管理； 同一网络区域内地址连续，提高了路由器的处理效率； 采用NG能充分利用公网IP地址资源； 城域网内部业务不受NAT功能影响。 统一私网IP地址弱势 NAT路由器的位置太高，成为瓶颈（主要流量来自于企业等大客户）； 企业网/校园网私有IP地址无法与整个城域网共同规划，地址经过两次NAT才能进Internet； NG会屏蔽一些已有业务（公网），需要进行会话层解析，但会导致NG性能下降 采用远程网管方式必须进行会话层解析 NAT的分类 传统NAT包括单向NAT、双向NAT和二次NAT 单向NAT主要解决私有网络访问Internet，只允许出境会话 双向NAT允许入境会话，但仍然不允许地址会话两端的网络地址重叠。双向NAT通过DNS-ALG工作，要求域名规划不冲突。 二次NAT对IP报进行源地址和目的地址两次转换，允许会话地址两端的地址重叠 NAT影响的业务 由于报文中包含IP地址信息，NAT必须支持会话层 解析才能支持以下业务： FTP ICQ/QICQ VOIP SNMP DNS ?? 这些应用的特征包括： 需要直接的端到端的会话 在应用层数据中传递了IP地址/端口号 ALG NAT和ALG的配合 ICQ工作原理简介 ICQ工作原理(续) UDP控制报文 报文重传确认间隔为10秒，告警前可重试6次 2次告警即认为离线 TCP数据联接建立方式 联接可由任何一方发起，只要被动监听者能通过Internet直接访问到 TCP监听端口通过UDP控制报文向服务器注册，并通告给其它用户来发起连接 ICQ穿越NAT的问题 DNS 普通DNS解析在应答报文中传递了IP地址，反向DNS解析在请求报文和应答报文中都包含IP地址 对于传统的单向NAT，DNS不需ALG支持，因为外部地址在私有网络中也是唯一的 对于双向NAT、二次NAT的情况都需要DNS-ALG支持 FTP FTP分为控制连接和数据连接，控制连接是永久的（直到用户关闭FTP），数据连接是临时的，在需要传输文件或ls结果时临时建立。数据连接所使用的端口号由控制连接协商得到。需要FTP-ALG才能解决地址转换问题（除非是数据连接都使用被动方式打开） VRP已经能够提供FTP-ALG，主要是解决线速问题 FTP在Internet中的流量很小，且对QoS无要求。在要求不严格的情况