网络地址转换NAT(教案第2.1节XG).ppt

第2 1节网络地址转换 NAT 2 1 2网络地址转换基本原理 2 1 3网络端口地址转换 NAPT 2 1 1NAT概述 2 1 4NAT技术总结 教材23 15 19 第2 1节 重点与难点 重点理解和掌握 1 因特网地址分配现状和解决地址问题思想 2 NAT技术的工作原理3 结合端口的NAT技术和应用 主要了解 1 因特网怎样解决对内网地址的访问2 利用NAPT技术实现服务器访问的负载均衡3 NAT和CIDR解决IPV4地址空间不足的问题 网络接口层 IP RIPOSFPBGP HTTP FTP SMTP RTP等 TCP 网际层 运输层 UDP 应用层 ICMP IGMP ARP RARP 物理层 NAT DNS SNMP BOOTP DHCP 基础协议体系 基础协议体系 支持协议 技术 应用层协议 2 1 1网络地址转换概述 IP地址危机 当Internet迅速发展 但IPv4地址大多数被美国机构垄断 目前可申请的地址空间越来越不够用 2010年初 全球互联网IP地址刚突破了一个新的关键临界点 即IANA可分配IPv4地址剩余量已不足10 全球IPv4地址仅剩4亿多个 2011全部耗尽 任何两台PC通信都需要一个唯一地址 因特网IPV4 近43亿个IP地址 目前 递增速度 2亿 3亿 每年A类 10 0 0 0 10 255 255 255B类 172 16 0 0 172 31 255 255C类 192 168 0 0 192 168 255 255 我国面临IP地址 供需缺口 更为严峻 CNNIC截至2009年底 我国IPv4地址总量已达2 32亿个 年增长率高达27 CNNIC报告中分析认为 3G移动互联网发展 对IP地址巨大需求 未来5年中 移动互联网的IP地址的需求预计达到5亿至9亿个 物联网发展 传感器网络 数字家庭 手机 等联网都需要IP地址 解决办法 IPV6 128BIT 网络地址转换技术 94年提出 NAT NetworkaddressTranslation 可变长子网掩码 VLSM 无类域间路由 CIDR 解决IPv4因特网地址不足问题 是IPv4因特网必须克服的最大问题之一 但因特网在完善中成长 NAT目前是解决IPv4地址短缺 被广泛使用的主要方法 IPv6面临的困境 路由器 NAT设备 PC1 PC2 PC3 InsideNetwork Internet 2 1 2网络地址转换基本原理 企业网 内网 使用私有地址空间 减少因特网地址占用 因特网 外网 使用因特网地址路由定位 在内外网边界上进行NAT转换 因特网地址空间 私有地址空间 Server 213 18 2 4全局地址 172 28 1 5 192 168 0 3 因特网全局地址和私有地址 地址块描述10 0 0 0 10 255 255 255 或记10 8 A类私有地址块169 254 0 0 169 254 255 255 或记169 254 16 B类私有地址块172 16 0 0 172 31 255 255 或记172 16 12 16个连续B类地址块192 168 0 0 192 168 255 255 或记192 168 16 256个连续C类地址块 为了防止可能的地址冲突 为什么可能存在 IETF规定了一批只能在专网内部使用的专门地址空间 私有地址 因特网路由器只对因特网全局地址进行路由 不对私有地址进行路由 IETF根据RFC1918定义的私有地址 方向IP报字段原IP地址新IP地址出源IP地址192 168 0 3172 28 1 5入目的IP地址172 28 1 5192 168 0 3 网络地址转换举例 PC1内外通信 NAT通常不是独立设备 而是路由器 防火墙和交换机中的内嵌功能 如果内部网络主要工作范围私有空间中 那么将不使用因特网全局地址 通常相当部分的内网主机大部分在内部网中工作 在和外部因特网PC交互信息时 内部的局部 私有 地址必须通过NAT转换为因特网全局地址 在NAT中多个内部地址和外部因特网全局地址转换时 就设备自动形成一张NAT地址转换表 以此进行有效准确对应转换 一般 内网轮流使用NAT地址池中的全局地址 当NAT地址池中的全局地址被用完时 主机对外部的因特网访问将等待 通常NAT中全局地址数量M 一般远小于内部主机数 统计计算实际上 一个全局地址对应约4000个内部地址 为什么 如CERNET中地址和因特网地址 也可以限制部分地址访问因特网 从而大大节省因特网地址开销 当IP数据包中的地址进行转换后 还要进行校验码重新计算和修改 如图 当PC1 PC2或更多内网计算机同时访问同一服务器时 会出现什么样情况 如果PC1多个进程同时访问同一服务器 又会出现什么样情况 2 1 3网络端口地址转换 NAPT 路由器 NAT设备 PC1 PC2 PC3 InsideNetwork Internet 因特网地址空间 Server 213 18 2 4全局地址 172 28 1 5 192 168 0 3 192 168 0 4 从表中注意到 两个 或多个源主机 经NAPT转换的全局IP地址172 28 1 5一样 但端口号更改了 源端口地址临时生成 只有本地意义 收到应答IP包可根据端口号 实现准确的内部主机地址的定位 提高地址利用 利用端口地址NAT转换 也称为网络地址与端口转换 NAPT 以此 来扩大地址转换效率 即增加因特网地址利用率 是NAT技术最流行使用的形式 外到内的访问接受外部主机的请求时 可根据由NAPT表 把全局地址翻译成不同内部地址 建立与多内部主机的连接 此时 172 28 1 5是虚拟主机 依据NAT表并转发数据包到多内部主机 实现服务器负载均衡 当因特网外部主机访问一般内网主机出现什么情况 由于NAT表无法自动构建转换映射表 外部访问一般无法根据IP地址实现访问 一种方法通过域名访问 即建立内网二级域名DNS 二级域名 和NAT联用机制 由DNS触发建立NAT表的一个记录项 通过NAT的外部访问服务器 2 1 4小型NAT设备和无线路由器 通常家庭或独立小型办公室 多台PC需要共享访问因特网时 不需要申请多个独立的DSLModem 而只需要购置一个小型NAT设备 通常家庭无线路由器具有NAT功能 2 1 5NAT总结 优点 节约使用因特网地址 解决相同IP地址的负载扩展 均衡 消除重新编址 当网络环境发生变化时 使用NAT可以允许现有的地址方案继续存在 缺点 增加了延迟 降低了地址的可跟踪性 Traceability 不能经过NAT使用ping和traceroute 不能确定某个数据流内部那个IP地址发出 失去某些应用功能 有些要求特定的源端口和源地址的应用程序在NAT环境下将无法正常工作 作业 1 说明为什么NAT使用能大大节省因特网地址 2 说明NAT是否是网络协议 3 说明华师大校园网的地址分配和上因特网工作原理 4 简述NAPT实现同一IP地址的负载均衡的原理 打 作业原则上是选做题 第2 2章 网络初始化 2 2 2自举协议BOOTP 2 2 3动态主机配置协议DHCP 2 2 1初始化概述 参见教材23 10 23 14 第2 2章 重点与难点 主要了解 1 自举协议BOOTP的IP地址2 DHCP协议优化和中继3 BOOTP和DHCP协议报文格式的基本内容 4 DHCP和DNS的问题 重点理解和掌握 1 TCP IP协议工作的基本参数要求 2 协议初始配置过程3 自举协议BOOTP的工作原理和限制4 DHCP协议工作原理 TCP IP协议软件是如何开始运作的 哪些参数必须被初始化 协议软件准备使用前必须采取的那些步骤 解释这些参数变量的赋值实现机制 2 4 1网络工作初始化概述 前面讲述的互联网各种协议工作 都已假设设备 路由器 计算机TCP IP协议处在正常工作状态 即路由表 各类参数完成初始化 但实际路由器 计算机等开始工作时都要经过初始化参数设置 配置的过程 所以本章介绍 协议软件工作必须知道一些计算机和所处网络的基本的参数信息才能正常工作 如 硬件类型 以太网或其他 使用协议类型 TCP IP或其他 IP地址默认IP路由器地址 进入互联网下一跳地址 地址掩码DNS服务器地址 TCP IP协议参数和配置 FBB 什么是协议 什么是算法 网络协议是两个或多个实体 硬件 软件 完成通信 信息交互的规则集合 通常功能 表示 会话一系列约定 算法是解决某个特定问题的实现 计算方法 协议通用性原则 要求协议软件参数化 即通信软件等在完成参数化配置后是已编译可执行的 所以当协议软件副本在编译工作时 必须要对协议参数进行赋值 这种提供参数值的做法称为 协议配置 协议配置的基本问题和途径 配置面临问题 获取参数的方法有多种 怎样选取或组合 在协议完全配置以前 怎样逐步使用部分的协议软件 1 人工手动配置 通过系统专用界面对需要的参数进行人工手动录入 仍然是常用方法 2 存储文件配置 打开专用的配置文件 磁盘文件 对参数项进行配置 以后 系统启动时只一次读取文件 所以 修改参数配置需要重启 3 自动协议配置 实际上对固定网络计算机配置 一般并不需要变化 但对日益移动的网络 WLAN和便携计算机的入网 每天多次修改不同配置是无法接受的 实际上 对大量移动设备网络管理员分配不同参数也是不可能 所以 寻找自动的协议配置方法 2 2 2自举协议BOOTP 自动协议配置方法 首先克服单机分散配置的问题 在服务器端进行集中配置 然后通过请求 应答形式 当计算机启动入网前发出请求 网络服务器返回适当配置响应 问题 协议没有配置前 用什么协议怎样发送数据 发现协议地址 第 问题解决 实际上我们是可以通过RARP形式 以MAC地址广播的方法请求 响应 在未知环境中获取本机参数 无盘机A 以太网驱动 从网卡上读取硬件地址 向服务器发出RARP请求 以太网驱动 RARPServer 通过以太网地址向A发送IP地址应答 RARP工作过程 第 问题解决 可采用ICMP的掩码请求等形式 以IP广播的方法请求 获取服务器参数 结论 实际上分层协议体系中 协议通过底层到高层进行配置 即通过底层协议广播 单播的交互方法获取高层参数信息 问题 在知道服务器地址前 怎样和服务器通信呢 地址屏蔽码请求 应答AddressMaskRequest Reply 主机启动时 会广播一个地址屏蔽码请求报文 服务器收到地址屏蔽码请求报文后 回送一个包含本网使用的32位地址屏蔽码的应答报文 自举过程的协议使用 自举过程 是自动通过一系列的协议交互自动获取配置参数过程 第1步 广播 RARP请求 报文以获取主机IP地址 第2步 等待 RARP响应 报文 若T1时间内响应没有到达 返回 1 第3步 广播 ICMP地址掩码请求 报文以获取服务器IP地址 第4步 等待 ICMP地址掩码响应 报文 若T2时间内响应没有到达 返回 3 第5步 利用 ICMP网关发现 报文找到默然路由器的IP地址 并将其加入路由表中 自举协议 如果自动参数发现可使用以上分散的协议过程 但网络交互过程中 存在分散 延时 报文长度不同等问题 自举协议 BootstrapProtocol BOOTP 就是把分散过程组合成一次协议交互的标准过程 即BOOTP一次广播一个BOOTP协议请求包 BOOTP服务器查找各项信息返回 自举协议BOOTP因为使用尚未配置参数的协议 所以进行特殊的地址定义 IP广播地址全 1 作为目的地址 全 0 地址用作为源地址 BOOTP服务器可使用MAC地址进行单播或全 1 广播地址回送 自举协议BOOTP使用UDP发送 68 67端口 自举协议报文格式 交互标志 反映时间 厂家区域 OP 请求 响应 HTYPE 硬件类型 HLEN 硬件地址长度 HOPS 服务器转发跳数 客户端IP地址 服务器IP地址 服务器返回IP地址 路由器IP地址 2 2 3动态主机配置协议DHCP BOOTP在工作前需要对BOOTP服务器上配置相关主机参数数据库 且是固定设置值 只能满足小区域固定IP配置的移动接入网络要求 但对大区域和不固定IP配置的用户就无法满足 如公共区域 机场 餐厅等 用户接入 DHCP仍使用IP广播地址全 1 作为目的地址 全 0 地址用作为源地址 DHCP服务器也可使用MAC地址进行单播或全 1 广播地址回送 使用UDP发送 68 67端口也同协议BOOTP 不同是数据库中有该主机的指定信息就取出返回 如没有 服务器从IP地址缓冲池中选择一个IP地址分配给该主机 1997年 IETF设计了动态主机配置协议DHCP DynamicHostConfigurationProtocol 在BOOTP基础上扩展改进 提出自动获取IP地址分配 不固定 机制 实现即插即用的联网 IP租借 由于DHCP是一个IP地址按需分配的不固定机制 就形成地址租借期概念 DHCP产生的地址有一个有效期 而不是永久占有 有效期长短由服务器灵活设置 1秒 136年 租借到期后 服务器将地址收回缓冲池 或计算机提前和服务器协商延长 DHCP优化 实际上DHCP首先随机 防止冲撞 广播发送发现报文 在确认DHCP服务器后再发送请求报文 而且通常对获取的DHCP服务器地址在系统