对网路知识太缺少了,避免链接遗失,先转过来马住。
IP映射原理
因为网段IP地址有限,不少ISP都采用多个外网用户通过代理和网段路由共用一个网段IP上的技巧,这样就限制了那些用户在自己计算机上架设个人网站,要实现在那些用户端架设网站,最关键的一点是,如何把多用户的外网IP和一个她们惟一共享上网的IP进行映射!
先来介绍一下NAT,NAT(网路地址转换)是一种将一个IP地址域映射到另一个IP地址域技术,进而为终端主机提供透明路由。NAT包括静态网路地址转换、动态网路地址转换、网络地址及端口转换、动态网路地址及端口转换、端口映射等。NAT常用于私有地址域与公用地址域的转换以解决IP地址短缺问题。
在防火墙上实现NAT后,可以隐藏受保护网路的内部拓扑结构,在一定程度上提升网路的安全性。假如反向NAT提供动态网路地址及端口转换功能,还可以实现负载均衡等功能。
在TCP/IP合同中,我们须要了解两种IP地址,一个是可以直接访问的网段IP地址,另一种是我们成立局域网时最常用到的私有IP地址。如192.168.1.2的IP地址,这个地址就是一个私有地址,它在全球网路中不具惟一性,可以在全球任何一个地方的网路中使用,而网段IP地址在全球网路中是惟一的,主要是起标示不同网路的作用。在互联网中,正是由于有这样的网段IP地址,我们的通讯才可以得以实现。并且因为目前网段主要采用的是IPv4,IP地址资源日渐用尽,我们不可能在一个网路中申请到好多个可以在互联网上直接通讯的公有IP地址。这时,我们都会使用到NAT技术,它可以将局域网中的如192.168.1.2的私有地址转换为可以在使用的IP地址。因而达到访问的目的。目前ADSL普遍采用的是NAT技术中的PAT(Port)技术,它将内部地址映射到路由器WAN端口上的的一个全球惟一的网段IP地址上将物理地址转换为ip地址的协议是,同时在该地址上加上一个由路由器选取的TCP或UDP端标语。
我的笔记本的IP地址为192.168.1.88,路由器的WAN(广域网)端口手动侦测到上海联通分配给它的一个网段IP地址,如121.33.117.131。当我的笔记本开机后,与路由器联接上,路由器会分配一个端标语给我这条联接,如分配给我的是1444。当我要打开网页时,我的笔记本发送一个数据包到路由器默认网段192.168.1.1,当这个数据包抵达路由器的时侯,路由器会进行折解数据包的过程,提取出这个数据包的腹部源IP地址192.168.1.88:1444,路由器通过查看NAT表,将数据包的腹部源IP地址改为121.33.117.131:1444,并以56.23.5.2:80(www访问的端标语为80)为目的地址将数据包发送到目的网路的服务器上,服务器作出回应时,以56.23.5.2:80为源IP地址,121.33.117.131:1444为目的地址将数据包发送到路由器上,路由器再查NAT表,找到121.33.117.131:1444对应的内部地址192.168.1.88:1444,于是服务器发回的数据包就发送到了我的笔记本上,而不是局域网(LAN)内其他主机上。网段上的服务器只晓得IP地址为121.33.117.131的路由器在与它通讯,并不晓得是我的笔记本在与它通讯,这对于保护局域网内的主机是有用处的。
一个恳求和应答的具体过程:
经以上可以看见,整个通过DHCP分配IP给LAN上的主机(或自动设置),但是,这种IP是外网IP,难以直接访问内网的。在WAN设置中,使用PPPoE进行拔号后,ISP返回一个动态IP地址给,而LAN的主机,就是通过这个IP与外界通讯的。
这儿实现了NAT(网路地址转换),正是NAT,能够使我们能否共享ADSL上网。
具体实现过程:
NATBox的位置和操作过程
当一个离开,通过NATBox,NATBox会将该的IP源地址转换为真实的IP地址:198.60.42.12;一般NATBox就会被集成到上。
当应答分组被送回(如一个HTTP恳求Web服务器回去的应答),它的目标地址是198.60.42.12,这么NATBox如何晓得该用那一条地址,即将它转发到那一台主机上呢?
NAT的实际实现方式:现在大多数IP分组携带的要么是TCP净荷,要么就是UDP净荷将物理地址转换为ip地址的协议是,二者的都包含了一个16位的源端口和目标端口。现以TCP为例,这16位的端口指示了TCP联接从那里开始,到那里结束。
当一个进程想与另一远程进程进行TCP联接时,它将绑定到本地机器仍未使用的TCP端口上,即源端口,告诉TCP代码,但凡属于此TCP联接的进来的分组都应发送到该进程。同时,发起进程提供一个目标端口,指明分组被送到远程机器的那种进程。0~1023都是保留端口,用于一些著名的服务,我们熟悉的80端口(Web),21端口(FTP)。
这样,每位向外发送的TCP消息都包含了一个源端口和目标端口。NAT借助源端口解决主机映射问题。
发送分组:任何时侯当一个向外发送的分组步入NATBox时,源地址被真实IP地址代替,而TCP的源端口被索引值替代,该索引值指向NATBox的地址转换表中的65536表项之一。之后NATBox估算更新分组的IP头和TCP头的校准和。
接收分组:当一分组从ISP抵达NAT盒时,NAT合从TCP头中提取成目标端口(即发送分组的源端口),用它作索引值从NATBox映射表中找出对应的表项,取出表项的内部IP地址和原先的TCP端口,并将它们插入到分组中,之后重新估算更新分组中的IP头和TCP头的校准和,并将该分组转发到外网上,之后就可以使用外网IP地址进行正常路由了。
总结:这类的功能简单,外置包含了DHCP服务器和NAT转换功能,但不具备路由配置功能。
其实内部地址可以随机选购,而且一般使用的是下边的地址:10.0.0.010.255.255.255,172.16.0.0172.16.255.255,192.168.0.0~192.168.255.255。NAT将那些未能在互联网上使用的保留IP地址翻译成可以在互联网上使用的合法IP地址。而全局地址,是指合法的IP地址,它是由NIC(网路信息中心)或则ISP(网路服务提供商)分配的地址,对外代表一个或多个内部局部地址,是全球统一的可寻址的地址。