IP地址空间危机及若干解决方案.doc

中英文日报 IP地址空间危机及若干解决方案摘 要：针对目前互连网上许多用户不能合理使用和分配IP地址，造成大量IP地址浪费，IP地址空间危机问题也随之愈来愈突出。本文着重探讨了划分子网、NAT技术、无类域间选路和代理ARP这几种不同技术及其相关问题，阐述了如何利用这些方案对地址进行合理的分配和管理，从而有效地节约IP地址资源。最后还提出解决IP地址空间危机最彻底的解决方案就是直接升级到IPv6。关键字：IP地址，划分子网，NAT，IPv6Several solutions to the IP address space crisisYuan Tao(Science College, information and computing science 0701,)Abstract: Many Internet users can now interconnect the rational use and allocation of IP addresses, resulting in a waste of a large number of IP addresses, IP address space crisis also will become increasingly prominent. This article focuses on the subnetting, NAT technology, CIDR and proxy ARP that several different technologies and their related issues, explaining how to use these programs to address a reasonable allocation and management to effectively conserve IP address resource. Finally, it is advised that the propose solutions to the most radical solution is to upgrade to IPv6.Key word: IP address, subnet addressing,NAT, IPv61、IP地址概述1.1、IP地址及其作用近几年来，随着计算机网络的迅猛发展，基于TCPIP协议的Internet已发展成为当今世界上规模最大、并拥有最多用户、最多资源的一个超大型计算机网络。TCPIP协议因此成为了事实上的工业标准，IP网络也成为计算机网络的主流。TCPIP协议是为解决异种网络之问的通讯问题，针对Internet开发的体系结构和协议标准。其中TCP为传输控制协议，IP为互联网络协议。IP地址就是网络协议地址，是分配给网络节点的一个逻辑地址。无论是在私有网络还是在公共网络上，IP地址都是任何使用TCPIP协议进行通讯的基础。互联网络上每个节点，包括宿主机、网络部件(网关、路由器等)都要求有唯一的IP地址。IP地址独立于任何特定的网络硬件和网络配置，独立于任何特定类型的网络，不管网络类型如何，它都有相同的格式。因此，利用它可以将数据包从一种类型的网络发送到另一类型的网络。1.2、IP地址组成与类型目前正在使用的IP协议版本是1981年9月被制定出来的IPv4。IPv4在每一个报文中都分别使用32位二进制数来标识源地址和目的地址，连到基于IP网络的每一个主机对每一个连接必须拥有独一无二的32位地址。为了便于读写，通常将32位二进制数按字节分为四段，每一段分别用十进制来表示，便形成了如2021961680格式的IP地址。每个IP地址由网络地址和主机地址组成，除标识主机外，还起着标识网络的作用。连接同一网络的所有主机必须赋予相同网络地址，同一网络的主机又必须具有不同的主机地址。这样，就形成了图1所示的两级层次结构。网络地址主机地址图1 IP地址的两级层次结构IPv4中定义了五类地址，这些类型的地址称为A类、B类、C类、D类和E类。 A类IP地址一个A类IP地址由8位的网络地址和24位主机地址组成，网络地址的最高位必须是“0”，如图2所示。0网络地址主机地址图2A类地址通常提供给大型网络。全世界总共只有126个可能的A类网络，每个A类网络最多可以连接16777241台主机。注意，从技术上讲，也是一个A类地址，但是它已保留做闭环测试之用，因而不能分配给网络。B类IP地址一一个B类IP地址由16位的网络地址和16位主机地址组成，其中网络地址的最高两位必须是“l0”。如图3所示。全世界大约有16000多个B类网络，每个B类网络最多可以连接65534台主机。B类地址适合中等规模的网络。10网络地址主机地址图3C类IP地址一个c类IP地址由24位的网络地址8位主机地址组成，其中网络地址的最高三位必须是“l10”。如图4所示。110网络地址主机地址图4D类IP地址D类IP地址不标识网络，一般用于其他一些特殊用途。如：用于在IP网络中的组播，一个组播地址是一个唯一的网络地址，它指导报文到达预定义的IP地址组。D类地址常用于在一个私有网络中传输组播报文至IP地址定义的端系统中，囚此没有必要把地址中的8位位组或地址位分开表示网络和主机。相反，整个地址空间用于识别一个IP地址组。D类地址使用全部的32位来表示主机部分，第1字节的最高4位必须是“1110”。如图5所示。1110网络地址主机地址图5E类IP地址E类IP地址的第1个字节的前4位恒为“1111”，E类IP地址尚未使用，暂时保留将来使用。另外，还有一些特殊的IP地址：(1)本机环回IP：首字节为127的口(如：127oo1)只用于协议测试及本机进程间通讯，不在网络上使用。(2)四个字节全为零的IP地址：0000，只对应于当前主机。(3)四个字节全为1的IP地址：55是当前子网的广播地址。2、IP地址面临的危机由于IPv4(IP第四版)的地址空间可能具有多于40亿的地址，有人认为至少几年仍可应付连续的增但是这只适用于IP地址顺序化分布的情况，而实际上IPv4运行的是分级地址格式，即每台主机首先依据它所连接的网络进行标识，IP可支持简单的选路协议，主机只需要了解彼此的IP地址，就可以将数据从一台主机上转移至另一台主机这种分级地址把地址分配的工作交给了每个网络的管理者，从而不再需要中央授权机构为Intemet上的每台主机指派地址到网络外的数据依据网络地址进行选路，在数据到达目的主机所连接的路由器之前无需了解主机地址这种安排一方面是IP协议的长处所在，另一方面也导致了地址危机的产生。到目前为止，A类和B类地址已经用完，只有C类地址还稍有余量。3、解决IP地址危机的方案3.1、划分子网(subnet addressing)3.1.1子网简述划分子网(subnet)又叫子网编址，是一种成熟的网络地址复用技术划分子网的真正动因并不是IP地址长度不够，以B类地址为例，它可以标识16382个不同的物理网络，每个网络可以容纳65536台主机对其中网络地址部分来说，目前的寻径模式决定了不能对其修改；再看主机地址，一个网络包容六万多台主机，如此大规模的单一物理网络几乎是不可能出现的可见在一个B类网络中，其主机地址是很浪费的由此想到，将IP主机地址部分进一步划分为子网号和主机号两部分（见图6），既可节约网络地址，又可充分利用主机号部分的巨大编址能力。于是便产生划分子网技术。网络地址子网地址主机地址图63.1.2掩码掩码采用一种机制，可以让网络上的设备将一个IP地址区分为网络部分和主机部分。实现方式是用一系列的“1”对应表示IP地址的网络部分，主机部分用“0”对应，形成一个32位的二进制数，即网络掩码，有时也称为网络屏蔽码。子网掩码是一个32位的二进制值，用于屏蔽IP地址的一部分以区别网络地址和主机地址。子网掩码的表示形式和IP地址的表示类似，也是用圆点“”分开的4段32位二进制。为了便于记忆，通常采用十进制来表示。A类、B类、C类IP地址的标准子网掩码见表1：表1 A类B类 C类IP地址的标准子网掩码表地址类型二进制子网掩码表示十进制子网掩码表示A类地址11111111 00000000 00000000 00000000255000B类地址111l1111 11111111 00000000 0000000025525500C类地址111l1111 111l1111 111l1111 000000002552552550用子网掩码判断IP地址的网络地址与主机地址的方法是用IP地址与相应的子网掩码进行“AND”运算，这样就可以区分出网络地址和主机地址。为了很好地描述这个问题，下面以一个示例来进行说明。3.1.3示例给定一个C类地址，要求划分6个子网，每个子网30台主机，求符合要求的子网掩码及子网划分。解决方案：(1) 根据所需的子网数确定需向主机部分借的位数。因2的3次方为8，减去全0和全l两个子网留作其他用途以外，还剩下6个可用的子网，可以满足需要，所以向主机借3位作为网络地址。剩下的5位作主机地址。(2) 根据c类标准掩码为111l1111.111l1111.111l1111.00000000，网络向主机借3位后可得111l1111. 111l1111.lll1l11111100000，从而容易得知子网掩码为：24。(3) 决定可用的子网列出附加位引起的所有二进制组合：即从000变化到ll1。000 0 (00000000) l92168.5.0001 32 (00100000) 1921685.32010 64 (01000000) 1921685640ll 96 (01100000) 192168596100 128 (10000000) 1921685128101 160 (10100000) l921685160l10 192 (11000000) l921685192111 224 (11100000) 1921685224(4) 为每个网段指定IP地址段见表2：表2序号网络地址子网号IP地址范围可用地址数A192.168.5.O000保留Bl921685I320012 一 l330Cl9216856010l4 一 l530Dl921685960116 2730El92168512810028 5930Fl92168516010160 一 l9l30G192168519211092 230H192168522111保留30由于每一个子网都需要保留两个IP地址分别作为子网地址和广播地址，因此，对于一个C类网段，划分的子网越多，总的可以使用的IP地址数量就越少。需要注意的是，子网的划分仅是对内部网络而言的，对于外部主机来说，是无法区分各个子网的。只有当外部信息进入到网络内部后，网络内的路由器才会根据子网地址在网络内部的子网间进行路由选择。3.2、NAT技术3.2.1NAT的基本原理NAT技术能帮助解决令人头痛的IP地址紧缺的问题，而且能使得内外网络隔离，提供一定的网络安全保障。解决问题的方法是：在内部网络中使用内部私有地址，当要访问外部网络时，通过NAT把内部私有地址转换成公有地址在Inlemet上使用，其具体的做法是把lP包内的地址域用公有IP地址来替换。NAT功能通常被集成到路由器、防火墙、ISDN路由器或者是单独的NAT设备中。NAT设备维护一个状态表，用来把私有地址映射到公有地址上去。每个包在NAT设备中部被转换成公有地址，发往下一级。3.2.2NAT的类型NAT有三种类型： 静态地址NAT(static NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPT (Network Address Pon TransIali0n)。其中静态NAT是设置起来最为简单和最容易实现的一种，内部网络地址中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。NAPT则是把内部网络地址映射到外部网络的一个地址的不同端口上。根据不同的需要，三种NAT方案各有利弊。静态地址转换是在NAT地址查找表中，通过手工配置，将内部局部地址静态映射到指定的内部全局地址中，使用的前提是，知道内部的一个局部地址和哪一个内部的全局地址相对应。一般情况下，内部局部地址使用私有IP地址，内部局部地址和内部全局地址的映射关系是一对一的。所以仅使用静态地址转换，并没有起到节省IP地址作用，只是一定程度地保护了内网的安全性。静态地址转换技术中的地址转换表是手工配置的，除非人工删除，地址转换表不会消失的，所以外网和内网都可以主动发起会话请求，适用于对内网服务器的配置。动态地址转换是把内部局部地址映射到一个内部全局地址池，路庙器使用地址池中的可用地址，动态地建立转换关系。动态地址转换适用于单位申请到的合法的IP地址比较少的情况下，用动态地址转换技术即可以增强管理的力度，又可以简化配置和管理的过程。这个过程可以实现“多对多”，即内部的一个私有地址段，动态映射到外部的一个合法的地址段。动态地址转换适用于需要转换的内部局部地址比较多，而公有IP地址比较少的情况下。网络地址转换NAPT (Network Address Port Translation)是人们比较熟悉的一个地址转换方式。NAPT主要普通应用于接入设备中，它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与NAT不同，它将内部连接映射到外部网络中一个单独的IP地址上，同时在该地址上加上一个同NAT设备选定的TCP端口号。在Intemet中使用NAPT时，所有不同的TCP和UDP信息流看起来好像来源于同一个IP地址。这个优点在小型办公网络中非常实用，通过从ISP申请一个 地址，将多个连接通过NAPT接入Intemet。3.3 TCP负载分配技术TCP负载分配技术是将服务器群的IP地址映射到单个全局地址，这也是一种对静态地址转换的扩展，这种技术可以用来均衡外部发起的到内部服务器群的TCP连接负载。TCP负载分配技术适用于对服务器的访问比较频繁，而一台服务器不堪重任的情况，这时可以配置多台服务器来提供相同的服务，在配置过程中单个全局地址称为虚拟主机地址，因为这个全局地址实际不对应任何一台主机.3.4、应用NAT技术的问题(一)难以处理报文内容中含有有用的地址信息，在地址转换的过程中，转换了数据包的地址，但是如果数据包数据含有有用的地址转换信息，这种情况地址转换就难以处理。例如：许多Intemet协议和应用依赖于真正的端到端网络，在这种网络上，数据包要求能够完全不加修改地从源地址发送到目的地址。比如， 安全架构不能被NAT设备使用，因为包含原始IP源地址的原始包头采用了数据签名。如果改变源地址的话，数据签名将不再有效。(二)地址转换不能处理 报头加密的情况。如果对 报头进行了加密处理，地址转换也不能知道真实的IP报头内容，也就不能进行地址转换了。(三)地址转换由于隐藏了内部主机地址，有时候会使网络的调试变得复杂。无法实现端到端的IP跟踪。4、无类域间选路CIDR(classless interdomain routing)无类域间选路技术有时也被称为超网，它把划分子网的概念向相反的方向作了扩展：通过借用前三个字节的几位可以把多个连续的c类地址集聚在一起换句话说，就像所有到达某个B类地址的数据都将发给某个路由器一样，所有到达某一块c类地址的数据都将被选路至某个路由器上称做无类选路的原因在于它使得路由器可以忽略网络类别(C类)地址，并可以在决定如何转发数据报时向前再多看几位另外一个与子网划分不同的特点在于，对于外部网络来说，子网掩码是不可见的；而超网路径的使用主要是为了减少路由器上的路由表项数由于B类网络相对缺乏和c类网络相对富余，这种把c类地址捆在一起的方法对于中等规模的机构来说很有用此外，CIDR还缩短了路由表，这大大增加了选路的效率但是，虽然CIDR增强了网络地址分配的效率，可它却不能增加IPv4下总的主机数量，因此这只是一种短期解决办法而不是对于IPY4问题的长期解决方案。5、代理ARP(address resolution protoco1)代理ARP(pmxy ARP)，也是是一种IP网络地址复用技术代理ARP原理如图3所示图中主网络和隐藏网络共同享用一个IP网络地址.代理ARP要求主网络采用ARP协议进行IP地址一物理地址映射当主网络