网络地址转换NAT(教案第2.1节XG).ppt

第2.1节 网络地址转换(NAT),2.1.2 网络地址转换基本原理,2.1.3 网络端口地址转换（NAPT）,2.1.1 NAT概述,2.1.4 NAT技术总结,（教材23.15-19）,第2.1节：重点与难点,重点理解和掌握：1、因特网地址分配现状和解决地址问题思想。2、NAT技术的工作原理3、结合端口的NAT技术和应用,主要了解：1、因特网怎样解决对内网地址的访问2、利用NAPT技术实现服务器访问的负载均衡3、NAT和CIDR解决IPV4地址空间不足的问题,网络接口层,IP(RIP OSFP BGP),HTTP,FTP,SMTP,RTP等,TCP,网际层,运输层,UDP,应用层,ICMP,IGMP,ARP/RARP,物理层,NAT,DNS,SNMP,BOOTP/DHCP,基础协议体系,基础协议体系,支持协议/技术,应用层协议,2.1.1 网络地址转换概述,IP地址危机：当Internet迅速发展，但IPv4地址大多数被美国机构垄断，目前可申请的地址空间越来越不够用，2010年初，全球互联网IP地址刚突破了一个新的关键临界点，即IANA可分配IPv4地址剩余量已不足10%。全球IPv4地址仅剩4亿多个，2011全部耗尽。,任何两台PC通信都需要一个唯一地址。因特网IPV4：近43亿个IP地址 目前，递增速度：2亿-3亿/每年A类：10.0.0.0 10.255.255.255 B类：172.16.0.0 172.31.255.255 C类：,我国面临IP地址“供需缺口”更为严峻。CNNIC截至2009年底，我国IPv4地址总量已达2.32亿个，年增长率高达27%。CNNIC报告中分析认为，3G移动互联网发展，对IP地址巨大需求。未来5年中，移动互联网的IP地址的需求预计达到5亿至9亿个。物联网发展，传感器网络、数字家庭、手机等联网都需要IP地址。,解决办法：IPV6（128BIT）网络地址转换技术（94年提出）（NAT,Network address Translation）可变长子网掩码（VLSM）无类域间路由（CIDR）,解决IPv4因特网地址不足问题，是IPv4因特网必须克服的最大问题之一，但因特网在完善中成长。,NAT目前是解决IPv4地址短缺、被广泛使用的主要方法，IPv6面临的困境，,路由器,NAT设备,PC1,PC2,PC3,Inside Network,Internet,2.1.2 网络地址转换基本原理,企业网（内网）使用私有地址空间，减少因特网地址占用；因特网（外网）使用因特网地址路由定位；在内外网边界上进行NAT转换。,因特网地址空间,私有地址空间,Server,全局地址,因特网全局地址和私有地址,地址块 描 述（或记10/8)A类私有地址块169.254.0.0-169.254.255.255(或记169.254/16)B类私有地址块172.16.0.0-172.31.255.255(或记172.16/12)16个连续B类地址块192.168.0.0-192.168.255.255(或记192.168/16)256个连续C类地址块,为了防止可能的地址冲突（为什么可能存在？），IETF规定了一批只能在专网内部使用的专门地址空间私有地址；因特网路由器只对因特网全局地址进行路由，不对私有地址进行路由。,IETF根据RFC1918定义的私有地址,方 向 IP报字段 原IP地址 新IP地址 出 源IP地址 192.168.0.3 172.28.1.5 入 目的IP地址,网络地址转换举例（PC1内外通信）,NAT通常不是独立设备，而是路由器、防火墙和交换机中的内嵌功能。,如果内部网络主要工作范围私有空间中，那么将不使用因特网全局地址，通常相当部分的内网主机大部分在内部网中工作。,在和外部因特网PC交互信息时，内部的局部（私有）地址必须通过NAT转换为因特网全局地址。在NAT中多个内部地址和外部因特网全局地址转换时，就设备自动形成一张NAT地址转换表，以此进行有效准确对应转换。,一般，内网轮流使用NAT地址池中的全局地址，当NAT地址池中的全局地址被用完时，主机对外部的因特网访问将等待。,通常NAT中全局地址数量M，一般远小于内部主机数。统计计算实际上，一个全局地址对应约4000个内部地址。为什么？如CERNET中地址和因特网地址，也可以限制部分地址访问因特网，从而大大节省因特网地址开销。,当IP数据包中的地址进行转换后，还要进行校验码重新计算和修改。,如图，当PC1、PC2或更多内网计算机同时访问同一服务器时，会出现什么样情况？如果PC1多个进程同时访问同一服务器，又会出现什么样情况？,2.1.3 网络端口地址转换（NAPT）,路由器,NAT设备,PC1,PC2,PC3,Inside Network,Internet,因特网地址空间,Server,全局地址,从表中注意到：两个（或多个源主机）经NAPT转换的全局IP 地址一样，但端口号更改了，（源端口地址临时生成，只有本地意义）；收到应答IP包可根据端口号，实现准确的内部主机地址的定位，提高地址利用。,利用端口地址NAT转换，也称为网络地址与端口转换（NAPT），以此，来扩大地址转换效率，即增加因特网地址利用率，是NAT技术最流行使用的形式。,外到内的访问接受外部主机的请求时，可根据由NAPT表，把全局地址翻译成不同内部地址，建立与多内部主机的连接；此时，是虚拟主机，依据NAT表并转发数据包到多内部主机，实现服务器负载均衡。,当因特网外部主机访问一般内网主机出现什么情况？,由于NAT表无法自动构建转换映射表，外部访问一般无法根据IP地址实现访问；一种方法通过域名访问，即建立内网二级域名DNS（二级域名）和NAT联用机制，由DNS触发建立NAT表的一个记录项。,通过NAT的外部访问服务器,2.1.4 小型NAT设备和无线路由器,通常家庭或独立小型办公室，多台PC需要共享访问因特网时，不需要申请多个独立的DSL Modem，而只需要购置一个小型NAT设备，通常家庭无线路由器具有NAT功能。,2.1.5 NAT总结,优点：节约使用因特网地址解决相同IP地址的负载扩展（均衡）消除重新编址：当网络环境发生变化时，使用NAT可以允许现有的地址方案继续存在,缺点：增加了延迟，降低了地址的可跟踪性（Traceability）:不能经过NAT使用ping和traceroute，不能确定某个数据流内部那个IP地址发出。失去某些应用功能：有些要求特定的源端口和源地址的应用程序在NAT环境下将无法正常工作,作业：1、说明为什么NAT使用能大大节省因特网地址。2、说明NAT是否是网络协议？3、说明华师大校园网的地址分配和上因特网工作原理。4、简述NAPT实现同一IP地址的负载均衡的原理。,打作业原则上是选做题。,第2.2章、网络初始化,2.2.2 自举协议BOOTP,2.2.3 动态主机配置协议DHCP,2.2.1 初始化概述,（参见教材23.1023.14）,第2.2章：重点与难点,主要了解：1、自举协议BOOTP的IP地址2、DHCP协议优化和中继3、BOOTP和DHCP协议报文格式的基本内容。4、DHCP和DNS的问题,重点理解和掌握：1、TCP/IP协议工作的基本参数要求。2、协议初始配置过程3、自举协议BOOTP的工作原理和限制4、DHCP协议工作原理,TCP/IP协议软件是如何开始运作的？哪些参数必须被初始化？协议软件准备使用前必须采取的那些步骤？解释这些参数变量的赋值实现机制。,网络工作初始化概述,前面讲述的互联网各种协议工作，都已假设设备路由器、计算机TCP/IP协议处在正常工作状态，即路由表、各类参数完成初始化。但实际路由器、计算机等开始工作时都要经过初始化参数设置/配置的过程，所以本章介绍：,协议软件工作必须知道一些计算机和所处网络的基本的参数信息才能正常工作，如：硬件类型（以太网或其他）使用协议类型（TCP/IP或其他）IP地址 默认IP路由器地址（进入互联网下一跳地址）地址掩码 DNS服务器地址,TCP/IP协议参数和配置,FBB:什么是协议，什么是算法？网络协议是两个或多个实体（硬件/软件）完成通信/信息交互的规则集合，通常功能、表示、会话一系列约定。算法是解决某个特定问题的实现/计算方法。,协议通用性原则：要求协议软件参数化（即通信软件等在完成参数化配置后是已编译可执行的），所以当协议软件副本在编译工作时，必须要对协议参数进行赋值。这种提供参数值的做法称为协议配置。,协议配置的基本问题和途径,配置面临问题：获取参数的方法有多种，怎样选取或组合，在协议完全配置以前，怎样逐步使用部分的协议软件。,1、人工手动配置：通过系统专用界面对需要的参数进行人工手动录入，仍然是常用方法。,2、存储文件配置：打开专用的配置文件（磁盘文件），对参数项进行配置。以后，系统启动时只一次读取文件，所以，修改参数配置需要重启。,3、自动协议配置：实际上对固定网络计算机配置,一般并不需要变化；但对日益移动的网络，WLAN和便携计算机的入网，每天多次修改不同配置是无法接受的，实际上，对大量移动设备网络管理员分配不同参数也是不可能。所以，寻找自动的协议配置方法。,2.2.2 自举协议BOOTP,自动协议配置方法：首先克服单机分散配置的问题，在服务器端进行集中配置。然后通过请求/应答形式，当计算机启动入网前发出请求，网络服务器返回适当配置响应。,问题协议没有配置前，用什么协议怎样发送数据？,发现协议地址：第问题解决，实际上我们是可以通过RARP形式，以MAC地址广播的方法请求/响应，在未知环境中获取本机参数。,无盘机A,以太网驱动,从网卡上读取硬件地址，向服务器发出RARP请求。,以太网驱动,RARP Server,通过以太网地址向A发送IP地址应答,RARP工作过程,第问题解决，可采用ICMP的掩码请求等形式，以IP广播的方法请求，获取服务器参数。,结论：实际上分层协议体系中，协议通过底层到高层进行配置，即通过底层协议广播/单播的交互方法获取高层参数信息。,问题在知道服务器地址前，怎样和服务器通信呢？,地址屏蔽码请求/应答Address Mask Request/Reply:主机启动时，会广播一个地址屏蔽码请求报文。服务器收到地址屏蔽码请求报文后，回送一个包含本网使用的32位地址屏蔽码的应答报文。,自举过程的协议使用：,自举过程：是自动通过一系列的协议交互自动获取配置参数过程。,第1步：广播“RARP请求”报文以获取主机IP地址；,第2步：等待“RARP响应”报文，若T1时间内响应没有到达，返 回“1”。,第3步：广播“ICMP地址掩码请求”报文以获取服务器IP地址；,第4步：等待“ICMP地址掩码响应”报文，若T2时间内响应没有到达，返 回“3”。,第5步：利用“ICMP网关发现”报文找到默然路由器的IP地址，并将其加入路由表中。,自举协议：,如果自动参数发现可使用以上分散的协议过程，但网络交互过程中，存在分散、延时、报文长度不同等问题。,自举协议（Bootstrap Protocol,BOOTP)就是把分散过程组合成一次协议交互的标准过程，即BOOTP一次广播一个BOOTP协议请求包，BOOTP服务器查找各项信息返回。,自举协议BOOTP因为使用尚未配置参数的协议，所以进行特殊的地址定义：IP广播地址全“1”作为目的地址，全“0”地址用作为源地址。BOOTP服务器可使用MAC地址进行单播或全“1”广播地址回送。自举协议BOOTP使用UDP发送，68/67端口。,自举协议报文格式：,交互标志,反映时间,厂家区域,OP：请求/响应，HTYPE：硬件类型，HLEN：硬件地址长度，HOPS：服务器转发跳数。,客户端IP地址,服务器IP地址,服务器返回IP地址,路由器IP地址,2.2.3 动态主机配置协议DHCP,BOOTP在工作前需要对BOOTP服务器上配置相关主机参数数据库，且是固定设置值，只能满足小区域固定IP配置的移动接入网络要求。但对大区域和不固定IP配置的用户就无法满足，如公共区域（机场、餐厅等）用户接入。,DHCP仍使用IP广播地址全“1”作为目的地址，全“0”地址用作为源地址。DHCP服务器也可使用MAC地址进行单播或全“1”广播地址回送。使用UDP发送，68/67端口也同协议BOOTP。不同是数据库中有该主机的指定信息就取出返回，如没有，服务器从IP地址缓冲池中选择一个IP地址分配给该主机。,1997年，IETF设计了动态主机配置协议DHCP（Dynamic Host Configuration Protocol),在BOOTP基础上扩展改进，提出自动获取IP地址分配（不固定）机制，实现即插即用的联网。,IP租借：由于DHCP是一个IP地址按需分配的不固定机制，就形成地址租借期概念；DHCP产生的地址有一个有效期，而不是永久占有，有效期长短由服务器灵活设置（1秒136年）；租借到期后,服务器将地址收回缓冲池，或计算机提前和服务器协商延长。,DHCP优化：实际上DHCP首先随机（防止冲撞）广播发送发现报文，在确认DHCP服务器后再发送请求报文；而且通常对获取的DHCP服务器地址在系统中永久保成，大大减少网络业务量（广播包）。,DHCP这样形成对移动计算机入网的动态配置信息，而不需要管理员对配制数据库的修改。,DHCP中继：每个网络中实际不需要都配置DHCP服务器，而设置一个DHCP中继（一般路由器都有DHCP中继功能），代理转发DHCP服务器的请求和响应。,DHCP报文格式：,DHCP报文基本和BOOTP相同，只略加修改。,报文类型选项（每个报文都有报文标识编码）,DHCP和DNS问题：,目前DHCP系统和DNS系统是不关联的，对无域名的上网计算机来说关系不大；但对具有域名计算机，其IP地址和DNS域名的映射，在从DHCP自动获取新的IP后，计算机名字将失效。目前，怎样设计DHCP 和DNS系统交互系统，解决以上问题，还在制定中，未被大量使用。,DHCP使用：在使用操作系统的TCP/IP时,其属性配置选择有两种,指定固定IP地址,或设为”自动获取IP地址”,选择后一种方法时,表示了使用DHCP协议.,第2.2节 作业,1、请简述自举配置协议BOOTP要解决什么问题？2、请简述DHCP 协议在BOOTP基础上主要改进了什么？。3、请列出在使用BOOTP协议前，一台计算机在利用网络启动之前，必须在本地具有什么协议。4、比较使用绑定方案地址分配协议和DHCP动态地址分配协议，哪个更适用于广域网？5、如DHCP服务器设置在远地网络上，如果计算机在获取IP地址前只能使用广播地址全“1”，那么怎样才能向另一网络服务器发送DHCP呢？,