• 由於 IP 地址的緊缺,一個機構能夠申請到的IP地址數往往遠小於本機構所擁有的主機數。
• 考慮到互聯網並不很安全,一個機構內也並不需要把所有的主機接入到外部的互聯網。
• 假定在一個機構內部的計算機通信也是採用 TCP/IP 協議,那麼從原則上講,對於這些僅在機構內部使用的計算機就可以由本機構自行分配其 IP 地址。
• 本地地址——僅在機構內部使用的 IP 地址,可以由本機構自行分配,而不需要向互聯網的管理機構申請。
• 全球地址——全球唯一的 IP 地址,必須向互聯網的管理機構申請。
• 問題:在內部使用的本地地址就有可能和互聯網中某個 IP 地址重合,這樣就會出現地址的二義性問題。
• 解決:RFC 1918 指明瞭一些專用地址(private address)。專用地址只能用作本地地址而不能用作全球地址。在互聯網中的所有路由器,對目的地址是專用地址的數據報一律不進行轉發。
專用IP地址
三個專用 IP 地址塊:
(1) 10.0.0.0 到 10.255.255.255
A類,或記爲10.0.0.0/8,它又稱爲 24 位塊
(2) 172.16.0.0 到 172.31.255.255
B類,或記爲172.16.0.0/12,它又稱爲 20 位塊
(3) 192.168.0.0 到 192.168.255.255
C類,或記爲192.168.0.0/16,它又稱爲 16 位塊
專用網
• 採用這樣的專用 IP 地址的互連網絡稱爲專用互聯網或本地互聯網,或更簡單些,就叫做專用網。
• 因爲這些專用地址僅在本機構內部使用。專用IP地址也叫做可重用地址(reusable address)。
• 利用公用的互聯網作爲本機構各專用網之間的通信載體,這樣的專用網又稱爲虛擬專用網VPN (Virtual Private Network)。
• “專用網”是因爲這種網絡是爲本機構的主機用於機構內部的通信,而不是用於和網絡外非本機構的主機通信。
• “虛擬”表示“好像是”,但實際上並不是,因爲現在並沒有真正使用通信專線,而VPN只是在效果上和真正的專用網一樣。
• 如果專用網不同網點之間的通信必須經過公用的互聯網,但又有保密的要求,那麼所有通過互聯網傳送的數據都必須加密。
• 一個機構要構建自己的 VPN 就必須爲它的每一個場所購買專門的硬件和軟件,並進行配置,使每一個場所的 VPN 系統都知道其他場所的地址。
用隧道技術實現虛擬專用網
• 遠程接入 VPN (remote access VPN)可以滿足外部流動員工訪問公司網絡的需求。
• 在外地工作的員工撥號接入互聯網,而駐留在員工 PC 機中的 VPN 軟件可在員工的 PC 機和公司的主機之間建立 VPN 隧道,因而外地員工與公司通信的內容是保密的,員工們感到好像就是使用公司內部的本地網絡。
網絡地址轉換 NAT
• 問題:在專用網上使用專用地址的主機如何與互聯網上的主機通信(並不需要加密)?
• 解決:
– (1) 再申請一些全球 IP 地址。但這在很多情況下是不容易做到的。
– (2)採用網絡地址轉換 NAT。這是目 前使用得最多的方法。
• 網絡地址轉換 NAT (Network Address Translation) 方法於1994年提出。
• 需要在專用網連接到互聯網的路由器上安裝 NAT 軟件。裝有 NAT 軟件的路由器叫做 NAT路由器,它至少有一個有效的外部全球IP地址。
• 所有使用本地地址的主機在和外界通信時,都要在 NAT 路由器上將其本地地址轉換成全球 IP 地址,才能和互聯網連接。
網絡地址轉換的過程
• 內部主機 A 用本地地址IPA和互聯網上主機 B 通信所發送的數據報必須經過 NAT 路由器。
• NAT 路由器將數據報的源地址 IPA 轉換成全球地址 IPG,並把轉換結果記錄到NAT地址轉換表中,目的地址 IPB 保持不變,然後發送到互聯網。
• NAT 路由器收到主機 B 發回的數據報時,知道數據報中的源地址是 IPB 而目的地址是 IPG。
• 根據 NAT 轉換表,NAT 路由器將目的地址 IPG 轉換爲 IPA ,轉發給最終的內部主機 A。
• 可以看出,在內部主機與外部主機通信時,在NAT路由器上發生了兩次地址轉換:
– 離開專用網時:替換源地址,將內部地址替換爲全球地址;
– 進入專用網時:替換目的地址,將全球地址替換爲內部地址;
• 當 NAT 路由器具有 n 個全球 IP 地址時,專用網內最多可以同時有 n 臺主機接入到互聯網。這樣就可以使專用網內較多數量的主機,輪流使用 NAT 路由器有限數量的全球 IP 地址。
• 通過 NAT 路由器的通信必須由專用網內的主機發起。專用網內部的主機不能充當服務器用,因爲互聯網上的客戶無法請求專用網內的服務器提供服務。
網絡地址與端口號轉換NAPT
• 爲了更加有效地利用 NAT 路由器上的全球IP地址,現在常用的 NAT 轉換表把運輸層的端口號也利用上。這樣,就可以使多個擁有本地地址的主機,共用一個 NAT 路由器上的全球 IP 地址,因而可以同時和互聯網上的不同主機進行通信。
• 使用端口號的 NAT 叫做網絡地址與端口號轉換NAPT (Network Address and Port Translation),而不使用端口號的 NAT 就叫做傳統的 NAT (traditional NAT)。
NAPT地址轉換表
NAPT 地址轉換表舉例:
NAPT把專用網內不同的源 IP 地址,都轉換爲同樣的全球 IP 地址。
但對源主機所採用的 TCP 端口號(不管相同或不同),則轉換爲不同的新的端口號。因此,當 NAPT 路由器收到從互聯網發來的應答時,就可以從 IP 數據報的數據部分找出運輸層的端口號,然後根據不同的目的端口號,從 NAPT 轉換表中找到正確的目的主機。