网络地址规划论文(共8篇)
网络地址规划论文 篇1
1 IP地址规划
网络地址规划需要如图1所示进行。
私有IP地址与内部网络地址规划方法如表1所示。
在使用私有IP地址设计的内网中, 如果内网的主机要访问Internet或外部网络的主机时, 也需要使用网络地址转换NAT技术。
在内部网络主机之间的访问就使用私有IP地址, 而公网IP是只有在离开内部网络对外部网络进行访问的时候才使用。当LAN用户想访问互联网的某个站点时, 那么它的访问请求到达连接Internet的路由器时, 执行NAT协议的路由器就可以从它公用的IP地址池中为用户临时分配一个全局IP地址。将内部用户的私有IP地址转换成公用地址, 完成用户访问Internet的请求后, 路由器收回全局IP地址。
2 IP地址划分原则
2.1 可扩展性
IP地址的可扩展特性是所有设计要求中最重要的原则。因为高校在办学的过程中, 都会逐渐扩大规模或扩充用地, 在增加学生的同时, 设备也要相应的增加, 这就需要网络地址的扩充配合。这里所说的可扩展不是仅仅单纯地预留一些暂时不用的IP地址, 实际上更需要对现有地址池进行扩容, 以防出现地址短缺的局面。现实中, 很多高校会设立不同的校区, 在规划设计之初还需要让各校区直接的地理位置显现在IP的划分中, 这些IP之间最好有潜在的联系, 这样预留的IP地址与现存的IP地址之间可以进行无缝对接, 有利于日后对网络的扩展。例如目前某校教学楼某层的计算机教室使用的IP地址空间是172.16.1.0——172.16.10.0, 保留的IP地址空间为172.16.11.0——172.16.15.0。这样以后增加设备时就可以把现有的IP地址空间与预留的IP地址空间组成一个172.16.0.0/20的路由, 如此的地址划分就具备了扩展性, 如图2所示。
设计时需要尽量避免出现VLAN过于分散的情况, 例如预留的IP地址为172.16.150.0——172.16.160.0, 和上述现有的IP地址无法产生直接联系, 无法进行无缝对接。
2.2 可汇总性
可汇总性原则是在设计校园网IP地址时, 设计的IP地址可以汇聚成某几条路由。这样设计的IP地址既减少了路由器路由表的路由条数, 也使网络有了更好的层次性, 便于后期的维护操作。例如, 一个学校的理科楼目前分成3个区域, A区分配IP地址块是192.168.0.0/20, B区分配的IP地址块是192.168.16.0/20, C区分配的IP地址块是192.168.32.0/20, 根据前面分析的可扩展性原则, 以后建的理科楼D区可以分配192.168.48.0/20, E区可以分配192.168.64/20, 以此类推, 可以为后续的理科楼分配可扩展的IP地址, 这样现在理科楼的IP地址和待建理科楼的IP地址可以汇总为192.168.0.0/17。如图3所示。
2.3 易管理性
当一个校园网络的设计非常合理、结构清晰、分层明确时, 管理网络便不是一件令人挠头的工作, 这也得益于以上提到的可汇总和可扩展。IP地址规划明确, 网络记录清晰, 机房和汇聚都整洁有序, 有了坚实的基础, 才能让日后的工作更轻松。尤其是可以在设定VLAN时可以按照教室或者楼层做特定的设计, 例如:三楼的307机房, 可以把VLAN设计成37, 4楼的405机房可以把VLAN设计成45, 这样可以简单地从IP地址看出这台机器的地理位置, 也可以从一个机房的IP联想到其他机房的IP地址划分。这也就要求IP地址必须同网络位置或地理位置具有一定的联系。比如学校教师公寓3区2号宿舍楼5层, 为其分配的IP地址段为10.32.5.0/24, 这个地址段的第2位为32, 数字3表示是教师公寓3区, 数字2代表是2号宿舍楼。第3位为5, 表示是5楼。如果使用192.168.100.0——192.168.255.255这样的IP地址, 在考虑可扩展及可汇总原则之后, 很难作出上边那样详细的对应关系, 也就是说, 给出一个IP地址块, 很难判断出其相应的位置在哪, 较难实现易管理。因为网络布线本身不易出现问题, 网络管理员可以轻松地管理一个如上所述的校园网络。
2.4 易维护性
为了应对IP地址的不足, IETF研究出了采用可变长子网掩码 (VLSM) 的办法来解决这个问题。VLSM很好地解决了IP地址短缺的问题, 并且VLSM可以进一步提高IP地址的利用率。但是VLSM在一定程度上也增加了网络维护的难度。从前面的描述中可以看出, 如果项目中使用了192.168.0.0——192.168.255.255和172.16.0.0——172.31.255.255这样的IP专有地址段, 由于它们提供的IP地址数量有限, 所以在项目中就不得不采用可变长子网掩码技术进行子网划分及汇总。但是如果采用10.0.0.0/8这个地址段, 该地址块覆盖从10.0.0.0到10.255.255.255的地址空间, 由用户分配的子网号与主机号的总长度为24位, 可以满足各种私有网络的需要。并且A类私有地址特征比较明显, 从20世纪80年代之后, 10.0.0.1的地址已经不用了。因此, 只要出现10.0.0.0到10.255.255.255.0的地址, 人们很快就会识别出它是一个私有地址, 这样也就便于规划和管理。VLSM在网络服务器提供商 (ISP) 那里广泛应用, 而在校园进行IP地址设计时, 就应该尽量少使用VLSM进行IP地址的设计, 以增加网络的易维护性。
以上所说的易维护、易管理、可扩展、可汇总等特性都是互相有着密切联系的, 在建设一个网络的时候, 就要主动地考虑内网地址的IP分配问题, 并且要规划整体的IP地址分段与所在地理位置的特征存在关联, 设计好IP地址的预留问题。预留的IP地址与现存的IP地址之间可以进行无缝对接和汇聚, 在保证网络畅通的情况下, 设计要尽量清晰明了, 以便后期的维修维护。这正体现了上面说到的可扩展、可汇总、易维护性、易管理性。
3 NAT技术
NAT——Network Address Translation是一种用于Internet各种类型网络接入技术, 可以将原本私有的地址合法化。网络地址转换技术能够满足更多的IP地址要求, 还抵挡来自网络外部的所有攻击, 起到合理的保护隐藏作用。
NAT是可以完成地址数据报头的IP转换的一项技术, 网络地址转换的现实用途能够极好地完成私网对公网的访问功能。在IPV4极度短缺的时代, NAT这种虚拟转换IP的方式可以极大地缓解地址枯竭的状况。
摘要:文章针对高校校园网IP地址密集且易冲突的特性指出, 在设计IP地址方案之初, 应考虑以下问题:为方便管理网络计划划分多个子网;在连入因特网后是否使用真实的网络地址;每个子网信息点的计划划分多少, 将来要拓展多少;子网IP地址的分配是采用静态分配或者选择动态IP。还可以用另一个IP地址来代替TCP报头里的IP地址, 此法可以由NAT技术解决。
关键词:NAT技术,IP地址,网络地址
参考文献
[1]刘喆.基于三层交换和虚拟局域网技术的校园网的设计[J].黑龙江科技信息, 2012 (8) :110.
[2]赵刚, 王朝斌, 郭春丽.2011.浅谈校园网IP地址设计原则[J].西昌学院学报, 2011 (1) :40-44.
网络地址规划论文 篇2
IP 地址的合理规划是网络设计的重要环节,大型计算机网络必须对 IP 地址 进行统一规划并得到有效实施。
IP 地址规划的好坏,影响到网络路由协议算法 的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直 接影响到网络应用的进一步发展。
4.3.1 IP 地址规划总体要求 IP 地址空间的分配,要与网络拓扑层次结构相适应,既要有效地利用地址空 间,又要体现出网络的可扩展性、灵活性和层次性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器 CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还有考虑到 网络地址的可管理性。
XX 网的 IP 地址规划将遵循以下总体要求来分配:
1.唯一性:一个 IP 网络中不能有两个主机采用相同的 IP 地址; 2.可管理性:地址分配应简单且易于管理,以降低网络扩展的复杂性,简 化路由表; 3.连续性:连续地址在层次结构网络中易于进行路径叠合,缩减路由表,提高路由计算的效率; IP 地址的分配必须采用 VLSM 技术,保证 IP 地址的 利用率;采用 CIDR 技术,可减小路由器路由表的大小,加快路由器路由 的收敛速度,也可以减小网络中广播的路由信息的大小。
IP 地址分配尽量分配连续的 IP 地址空间;相同的业务和功能尽量分配连 续的 IP地址空间,有利于路由聚合以及安全控制; 4.可扩展性:地址分配在每一层次上都要留有一定余量,以便在网络扩展 时能保证地址叠合所需的连续性; IP 地址分配处理要考虑到连续外,又 要能做到具有可扩充性,并为将来的网络扩展预留一定的地址空间;充 分利用无类别域间路由(CIDR)技术和变长子网掩码(VLSM)技术,合理高效地利用 IP 地址,同时,对所有各种主机、服务器和网络设备,必须分配足够的地址,划分独立的网段,以便能够实现严格的安全策略
控制。
5.灵活性:地址分配应具有灵活性,以满足多种路由策略的优化,充分利 用地址空间; 6.层次性:
IP 地址的划分采用层次化的方法,和层次化的网络设计相应,在地址划分上我们也采用层次化的分配思想,从 XXx 厅开始规划,再规 划各地州、县,使地址具有层次性,能够逐层向上汇聚。
7.实意性 在公有地址有保证的前提下,尽量使用公有地址,主要包括设备 loopback 地址、设备间互连地址; 8.节约性 根据服务器、主机的数量及业务发展估计,IP 地址规划尽可能使用较小 的子网,既节约了 IP 地址,同时可减少子网内网络风暴,提高网络性能。
4.3.2 IP 地址分类:
1.Loopback 地址 为了方便管理,为每一台路由器创建一个 Loopback 接口,并在该接口上单 独指定一个 IP 地址作为管理地址。
Loopback 地址务必使用 32 位掩码的地址,越 是核心的设备,Loopback 地址越小。
2.互联地址 指两台或多台网络设备相互连接的接口所需要的地址。相对核心的设备,使 用较小的一个地址 , 互联地址通常要聚合后发布,在规划时要充分考虑使用连续 的可聚合地址。
3.业务地址 指连接在以太网上的各种服务器、主机所使用的地址以及网关的地址。
业务地址的网关地址统一使用相同的末位数字,如:
.254 都是表示网关 4.3.3 IP 地址规划方案 4.221 专网平台 IP 地址规划 XXX 专网 IP 地址规划应该遵从有关规划和指导意见。根据国家外网工程 办的规定,专网使用国家已申请的 IP 地址范围为:
59.223.0.0 —— 59.223.255.255 专网范围内所有公有 IP 均从这个 B 类地址段提取。为保护已建 网络并考虑外网的实施成本,在外网地址规划中,将使用综合地址规划方案,采 用正式地址和保留地址相结合的办法。
正式地址包括:
骨干层和接入层的互联地址和网络设备地址; 外网服务器的地址。
保留地址包括:
专网内部地址根据内部主机和网络数据,可使用 10.0.0.0-10.255.255.255 或 172.16.0.0-172.31.255.255 这样的私有 IP 地址。在地址规划时,可作大量的地址 预留,各级网络尽量使用整段 IP ,以便进行路由汇聚,减少网络路由数量。
考虑各单位内部局域网和服务器的业务模型,建议 IP 地址的管理和分配采 用动态及静态结合的方式。普通用户的 IP 地址由 DHCP 服务器动态分配;服务 器地址、设备管理地址、接口互联地址等需要固定 IP 地址。
建议:原有服务器尽量采用原有 IP 地址。新增服务器采用与原有服务器接近的 IP 地址,这样有利于地址规划。当然也可以对原有应用服务器重新进行规 划。具体规划方法同内网地址规划,规划时需要注意保留预留地址段,保证服务 器地址的可扩展性。
4.222 IP 地址管理办法 IP 地址的管理采取分级管理、分工负责的原则。厅 先负责全网 IP 地址的统 一规划和管理;各地州负责本地市、所辖县、基层单位的 IP 地址分配管理,并 接受厅的指导、监督。
1.IP 地址分配管理的具体责职 XX 信息中心和各地州信息中心在 IP 地址的分配和管理的具体责职如下:
负责 XX 信息中心或各地州信息中心网络骨干 IP 地址、下属单位的 IP 地址 段、系统预留地址及其他预留地址的规划、分配及管理工作; 负责落实网 IP 地址管理政策和管理办法; 根据 IP 地址的分配原则,指导下级完成本地 IP 地址的规划和分配; 负责本地 IP 地址的档案管理工作,并按要求上报上级部门备案。
2.地址层次划分 目前,整个 xxx 网的地址层次划分如下图:
由厅、各地州、县、基层单位逐层分配地址,上一层的地址空间涵盖了下 层的地址空间,以及两者间广域网线路的地址空间,各个层次上考虑的地址范 围如下表: 包含地址范围内谷 需要细化地址空间 局域网地址 广域网地址 厅 数据中心、厅局单 位局域网 数据中心到各地州 各地州地址 各地州局域网 各地州到县 各个县地址 县公安局局域网 县到基层单位 基层单位 基层单位局域网
对于未来可能接入的单位,将根据其对 IP 地址的具体需求,从网络预留地
浅谈IP地址规划 篇3
IP地址是网络中用来标识主机、路由器和网关等设备的, 在网络中为了区别不同的计算机网络设备, 就需要给计算机网络设备指定一个号码, 这个号码就是“IP地址”。IP地址就相当于计算机网络设备的身份证。合理科学的规划IP地址, 是未来网络管理和维护的重要基础。
1 规划思路
IP地址规划, 应该与网络拓扑结构相适应, 既要有效地利用地址空间, 又要体现出网络的可扩展性和灵活性, 减少路由器中路由表的长度, 减少对路由器CPU、内存的消耗, 提高路由算法的效率, 加快路由变化的收敛速度, 同时还要考虑到网络地址的可管理性。思路如下:
1) 从全局角度考虑IP地址规划方案, 根据网络结构和数据业务, 全网统一进行规划;
2) IP地址分为网络管理地址及业务地址, 网络管理地址包括设备管理地址和链路互连地址。业务地址按业务分区划分, 地址空间互不重叠, 便于管理和今后划分网络VPN;
3) 地址的分配必须采用可变长子网掩码 (VLSM) 技术, 保证IP地址的利用效率;
4) IP地址规划应简单易于管理, 降低网络扩展的复杂性, 简化路由表项;
5) IP地址规划应具有灵活性, 以满足多种路由策略的优化, 充分利用地址空间, 连续地址在层次结构网络中易于进行路径叠合, 大大缩减路由表, 提高路由算法的效率, 优化网络性能;
6) 为利于今后网络节点的扩展和业务规模的扩展, 在IP地址规划时需预留充足的IP地址空间, 虽然在网络初期的一段可能很长的时间里, 未合理考虑余量的IP地址规划也能满足需要, 但是当一个局部区域出现高增长, 或者整体的网络规模不断增大, 这时不合理的规划很可能必须重新部署局部甚至整体的IP地址, 因此IP地址的规划要制定恰当的预留策略, 以便将来的发展;
7) 根据单位组织、业务规模为原则对整个网络地址进行有条理的规划。一般这个规划的过程是由大局、整体着眼, 然后逐级由大到小分割、划分的。先规划出一级单位, 再规划出二级单位、三级单位的地址。这样在各个单位的边界、业务的边界的路由设备上便于进行有效的路由汇总, 使整个网络的结构清晰, 路由信息明确, 也能减小路由器中的路由表。而每个区域的地址与其他的区域地址相对独立, 也便于独立的灵活管理。
2 网络IP地址规划原则
网络IP地址需求包括两方面:一是网络设备互连IP地址;二是网络设备管理IP地址。
1) 设备互连:设备之间的中继连接, 每条链路需要2个点对点的IP地址。根据实际需要, 以节约IP地址空间为原则, 可采用30位掩码来划分子网, 每条链路为一个网段, 则每个C类地址可分配64条链路;
2) 网络管理:每台设备需要1个IP地址, 这些设备包括所有的PE和CE路由器。三层交换机启用设备Loopback地址作为网管地址, 二层交换机使用链路接口地址作为网管地址。
为了便于区分互连地址和网络管理地址, 需要单独划出网段分配网管地址。
3 业务IP地址规划原则
为了保证地址的连续性, 根据不同特点可以有两种选择, 如图1所示。
一是“先业务、后单位 (站点) ”, 即先按业务分配地址, 再按单位分配地址, 这种方式有以下特点:1) 任意一种业务全公司范围内都是连续的, 同单位内同一业务的IP地址连续, 不同业务的IP地址不连续;2) 对于新增业务, 容易增加地址给业务使用, 只要调峰调频发电公司统一分配给地区就可为新业务增加地址。
二是“先地区 (站点) 、后业务”, 即先按地址分配地址, 再按业务分配地址, 这种方式有以下特点:1) 所有业务地址在地区内连续, 不同地区同一业务的IP地址不连续;2) 对于地区需要一定的富裕度, 以保证足够的地址用于新增业务。
两种规划原则各有特点, 在IP地址规划的时候可以根据实际需求来选择进行。
4 IP地址的分配
1) 设备管理地址:按每单位分配一段管理地址, 设备管理地址按地址从小到大使用, 设备管理地址掩码统一为255.255.255.255, 即/32;
2) 互连链路地址:用于上连链路及站内互连链路 (网络下层设备与上层设备之间, 站内路由器之间, 路由器和交换机之间) , 互连链路地址按照“从下至上”的原则使用;
3) 业务地址:各业务分区 (VPN) 用户网关地址一般安排在网络3层交换机 (核心或汇聚层) 设备上 (可以是一个虚拟的接口, 如VRRP接口或VLAN接口) , VPN用户网关IP地址使用分配给本站的地址空间内可用的数值最小的地址。
5 结论
网络地址规划论文 篇4
IPv4地址即将耗尽是发展下一代互联网-IPv6网络的最大原动力。相比于IPv4 32位的地址结构, IPv6技术标准引入了128位长的地址结构, 能够彻底、有效的解决当前IPv4网络地址匮乏问题, 从而使得国家从长远考虑, 下定决心大力推动IPv6商用化, 逐步替代现有的IPv4网络, 同时解决IPv4阶段地址规划所存在的弊病和困难。由于IPv6网络商用化刚刚起步, 还没有大规模应用, 当前阶段做好IPv6地址规划是解决将来相当一段长时期内IP地址应用及网络安全问题的重要契机[1]。
IPv6地址规划是IPv6基础设施大规模实施的基本前提, 也是解决下一代互联网安全问题的第一把钥匙。地址空间规划不合理可能导致路由条目急剧膨胀, 或者导致IP地址滥用而引发严重的网络安全事件。地址规划的策略和方法完全能够影响将来整个互联网的整体结构, 影响互联网应用、基础网络运营、网络设备制造等整个产业链, 以及影响互联网安全问题的解决程度, 从而影响人们使用互联网的习惯。
IPv6地址的合理规划和分配对我国互联网的可用性、可信性和安全性, 对我国互联网的健康发展, 甚至对国家安全将产生极其深远的影响。
2 规划原则及相关因素
IPv6地址有128位, 其中可供分配为网络前缀的空间有64bit, 如图1。根据RFC3513, IPv6地址分为全球可路由前缀和子网ID两部分, 协议并没有明确的规定全球可路由前缀和子网ID各自占的bit数, 由所申请的IPv6地址块大小来决定前缀和子网ID的位数。
IPv6地址规划需要考虑多个纬度, 不同的纬度提出的要求可能互相矛盾, 因此规划必须综合各个纬度的要求, 寻找相应的平衡点, 达到总体效果最好, IPv6地址规划主要有以下原则:
(1) 总体性原则:地址规划应综合考虑多方面因素, 不能单一追求某一工作方便而忽略其他要求, 必须在整体上达到一个较好的分配效果。
(2) 时效性原则:地址规划必须考虑目前、近期和远期的效果, 必须着眼未来需求, 应至少考虑3到5年的发展情况。
(3) 可实施原则:地址规划应考虑实施难度问题, 规划方案应尽量简洁、明了, 确保能够得到有效落实。
(4) 准确性原则:地址规划应当覆盖所有地址, 未来执行地址分配时, 根据地址使用的特点应能够立刻定位到所在的地址子块或地址池。
(5) 广泛性原则:地址规划涉及业务发展策略、网络设计要求, 应全面了解业务和网络信息, 在广泛收集客观数据的基础上制定方案。
(6) 扩展性原则:由于业务发展以及未来控制策略具有一定的不确定性, 在制定规划方案时应适当考虑可能的调整要求, 减少未来调整带来的影响和冲击。
在IPv6地址规划中, 需要考虑如下的众多相关因素:
(1) IP地址资源应全网统一分配;
(2) 地址划分应有层次性, 便于网络互联, 简化路由表;
(3) 从方便管理和统一策略部署的角度, 需要对地址属性加以区分, 比如明确网络自用和用户使用的分类, 或者根据业务保障等级对用户使用的地址进行高、中、低各种等级的分类;
(4) 需要长远考虑各类业务及用户增长对地址的需求, 分别进行规划和分配;
(5) 需要考虑信息安全方面的需求, 结合相关平台和系统, 能够更快速、准确完成地址溯源;
(6) 需要结合各运营商自身的网络架构, 考虑单边缘、多边缘、城域网第二平面等对地址规划的影响。
3 业界相关组织分配建议
3.1 IETF分配建议
对IPv6地址进行规划最重要的是对全球可路由前缀的规划。最近IETF的网络工作组提出前缀划分可以从以下几个方面进行考虑 (RFC3713) :
(1) 根据地理范围进行划分:为在地理上属于同一范围的所有子网分配共同的网络前缀;
(2) 根据组织范围进行划分:为属于同一组织的所有团体分配共同的网络前缀;
(3) 根据服务类型进行划分:为预定好的服务 (如:VoIP, QoS等) 分配特定的网络前缀。
理论上, 基于地理位置的前缀划分方法具有方向性, 最容易找到最短路径, 且相对其他两种方案更具有稳定性。根据组织范围进行前缀划分的方案实际上是把前缀划分的权力交给了各级运营商, 最大好处是使运营商可以自由选择对自己最有利的分配方法, 便于管理。根据服务类型进行划分的方案最大的缺点在于无法充分体现路由信息。此外, 如何划分服务类型也是一个难点。
三种地址规划方案各有优劣, 在提出地址划分方案时可以考虑综合使用各种方法, 达到各方利益的相对平衡, 才能利于网络的长期健康发展[2]。
3.2 BBF分配建议
目前BBF论坛对IPv6地址规划也提出相关建议:即每个家庭网关分配/60或/56前缀, 每种终端分配不同的/64前缀 (SLAAC或DHCPv6) , 如图2。
3.3 国际运营商分配案例
日本NTT的IPv6地址分配方案:由于NTT申请到的IPv6地址块比较大, 他们分配给终端为/64前缀, 给家庭网关分配/48前缀, 可以容纳65536个/64子网, 采用DHCP-PD方式分配地址。
法国FREE公司的IPv6地址分配方案:FREE公司申请到的一个/26前缀的IPv6地址块, 将头两位作为标志位 (bits 27&28) , 共4类。00标志位作为网络及管理地址, 01及10作为预留地址, 11分配给用户使用, 如图3。家庭网关采用/60前缀, 可以容纳16个子网。
4 IPv6地址规划方案
4.1 业界普遍采用的地址分配方式
业界主要采用如下三种方式进行地址分配:
(1) 水平模式——根据区域、物理网络类型划分水平模式主要遵循以下几个原则进行地址规划:
(1) 自治原则:按不同AS划分独立的地址块;
(2) 层次原则:同一自治区域内可以根据地域、设备分布及区域内用户数量来进行子网规划。
(3) 结合网络层次和路由协议的规划, 通过聚合网络减少网络中路由的数目和地址维护的数量。
该模式适合融合业务提供商, 三网融合的家庭网关作为家庭单一接入点。
(2) 垂直模式——根据终端类型、业务网络划分
不同类型业务分别分配相应前缀, 例如IPTV终端采用某前缀, 移动网采用另一前缀。
该模式适合业务提供商和接入提供商分离的场合, 不同业务需要接入到不同网络
(3) 混合模式——兼顾以上两种模式
4.2 国内运营商IPv6地址规划方案建议
国内运营商IPv6地址分配建议采用混合模式, 可按照属性、网络、地域划分不同地址块:
运营商自身网络地址、业务平台地址和用户地址因管理要求的不同按属性进行分离;报文尽量在同一骨干网络转发;短期内宽带用户以互联网为主, 三网融合的家庭用户为辅, 逐步考虑向融合网络发展。
为便于管理分配并易于聚合, 通常只分配几种固定长度前缀:如/64、/60、/56、/48等, 避免分配其他长度前缀。
IPv6地址规划方案需要达到以下几个目的:
(1) 满足未来相当长一段时间 (至少5年) 内网络、业务发展对地址的需求;
(2) 提高路由效率, 彻底解决地址零散、路由无法汇聚等问题;
(3) 方便网络维护, 实现全网层面统一维护、管理IPv6地址, 实时、快速掌握IPv6地址使用情况;
(4) 通过合理、高效的地址规划可以更好地支撑业务、网络及用户的发展。
整个IPv6地址块可根据运营商的实际情况分为几大部分, 例如用户地址、平台地址、运营商自身网络地址、预留地址等, 再针对以上各部分地址分别进行规划。
基于地址规划所需要考虑的因素, 在地址规划中可引入各类标志位:
(1) 为了区分用户地址及运营商自用地址, 引入属性标识, 用来标识网络设备、平台设备、预留及用户地址等;
(2) 为了区分不同网络的路由策略控制, 引入网络标识, 用来标识不同的物理网络;
(3) 为了区分不同地域的用户, 引入地域标识, 用以标识各地域用户。
综上所述, IPv6地址规划方案建议根据相关国际标准, 参考国外运营商IPv6分配案例, 解决IPv4阶段地址规划所存在的问题, 兼顾IPv6新特性, 适用于各运营商及大型商业网络地址规划。
5 小结
IPv6技术的引入能够彻底、有效的解决当前IPv4网络地址匮乏问题, 由于IPv6网络还没有大规模应用, 当前阶段做好IPv6地址规划是解决将来相当一段长时期内IP地址应用及网络安全问题的重要契机。IPv6地址的合理规划和分配对我国互联网的可用性、可信性和安全性, 对我国互联网的健康发展, 甚至对国家安全将产生极其深远的影响。
摘要:IPv4地址资源面临枯竭, 如何引入IPv6并对IPv6地址进行规划是电信运营商非常关注的问题。文章首先介绍下一代互联网IPv6地址规划原则, 并对业界的几种IPv6地址规划方案进行了对比分析, 同时结合电信运营商的网络及用户特点, 提出了一种可能的IPv6地址规划及分配方案。
关键词:下一代互联网,地址规划,IPv6标识,标志位
参考文献
[1]杨锋, 赵慧玲, 陈运清等.ISP向IPv6演进阶段解决IPv4地址短缺的技术分析.电信技术, 2010, 9:22-23
网络地址转换技术的研究 篇5
关键词:NAT,网络地址转换
0 引言
随着Interet的飞速发展, 互联网上丰富的资源吸引着越来越多的用户接入Internet, 但目前IPV4规范下的IP地址已经严重短缺, 不能保证每个用户分配到独立的IP地址。对于整个Internet而言, 根本的解决方案是迁移到IPV6, 这个过程已经开始, 但短期内无法完成。在IPV4到IPV6的过渡时期, NAT技术作为临时解决方案被广泛应用。
1 NAT技术概述
NAT (Network Address Translation) 是一种将IP地址从一个编址域映射到另一个编址域的方法。RFC1631、RFC3022和R F C 3 4 8 9及其他相关的R F C对其进行了详细描述, RFC2993中讨论了NAT中存在的问题。
NAT的工作方式是在内部网络中使用内部IP地址, 通过NAT将内部地址翻译成合法的IP地址, 在Internet中使用。翻译过程的实质就是将IP包内地址字段用合法的IP地址来替换, 并重新计算校验值。工作流程如图1所示, Client A发起一个源地址为10.0.0.1目标地址为222.92.22.22的会话, 经过NAT时, NAT为Client A分配一个内部全局地址198.168.68.18, 并以此地址替换源地址。Server的反馈信息目标地址为198.168.68.18, 经NAT转换后改为10.0.0.1送至Client A。
2 NAT地址术语介绍
NAT技术中主要有如下四个地址术语:
(1) 内部本地地址 (Inside Local Address) :指内网中的私有地址, 由内网自行分配和管理, 不是Internet上的合法地址。
(2) 内部全局地址 (Inside Global Address) :用于替换内部本地地址的IP地址, 是Internet上的合法地址。
(3) 外部本地地址 (Outside Local Address) :位于外网的主机相对于内网所用的IP地址。该地址是从内网可路由的地址空间中分配的, 是Internet上的合法地址。
(4) 外部全局地址 (Outside Global Address) :外网主机的IP地址。该地址是从全局可路由的地址空间中分配的。
3 NAT技术分类介绍
NAT主要有三种类型:静态NAT、动态NAT和NAPT。目前绝大多数NAT都属于NAPT类型。下面对这三种类型的N A T进行详细介绍。
3.1 静态NAT
这种工作方式的NAT设备中需要设置静态映射信息, 将一个内部本地地址永久性映射为一个内部全局地址。这样, 内网主机可以永久性使用为其分配的内部全局地址, 同时, 外部网络中也可依据内部全局地址访问到该主机。这种映射通常在内网需要主机需要对外提供服务时使用, 如WEB和E-M A I L服务等。
3.2 动态NAT
动态NAT设备中需要维护一个IP地址池, 存放若干内部全局地址。每当内网中有主机提出访问外部资源的请求时, NAT从地址池中挑选出未分配的IP地址映射给内网主机。这种映射方式下, 内网主机可以访问外部网络, 外部主机也能够对内网进行访问, 但必须是在内网IP地址与内部全局地址之间存在映射关系时才能成功。并且这种映射关系是动态的。
3.3 NAPT (网络地址端口转换)
NAPT是目前使用最广泛的NAT技术, NAPT设备拥有一个内部全局IP地址, 当内网主机要访问外网时, 报文发送至NAT, NAT不仅对报文的源IP地址进行转换, 还要对报文协议端口进行转换, 重新为其分配统一的端口号。如图2所示Client A发起一个10.0.0.1:5000到222.92.22.22:6000的会话经过NAT后, 源地址被替换为内部全局地址198.168.68.12, 端口号被重新分配为3000。Server的反馈信息目标地址为198.168.68.12:3000, 经NAT转换后为10.0.0.1:5000送至Client A。NAPT又可以分为Cone NAT和Symmetric NAT。
3.3.1 Cone NAT
Cone NAT环境下, 当NAT为一个内部本地地址和端口建立好一个映射后, 对于随后从同一地址和端口发起的请求将重复使用该条映射。如图3所示, Client A以相同的内部本地地址和端口号 (10.0.0.1:5000) 发起两个会话Client A——Server1和Client A——Server2。因为会话发起者相同, 为了使Client A的身份保持一致, Cone NAT为这两个会话分配相同的端口号 (6200) 。依据受限程度的大小, Cone NAT可分为Full Cone, Restricted Cone和Port Restricted Cone。
(1) Full Cone:为来自相同内部本地地址和端口的请求分配同一个内部全局地址和端口号, 外网任何主机发送至该内部全局地址和端口的IP报文都可以被转发到相对应的内网主机上。
(2) Restricted Cone:为来自相同内部本地地址和端口的请求分配同一个内部全局地址和端口号, 当外网某主机访问内部全局地址的该端口时, NAT先搜索映射信息记录, 如果内网曾有主机以此端口向外网该主机发送过数据, NAT将该数据包发送至内网中相应主机, 否则丢弃。该过程实质是通过映射记录对外网主机的访问权限作验证, 看该地址是否可访问内网。
(3) Port Restricted Cone:与Restricted Cone类似, 只是验证过程多了对端口号的验证。内网主机向外网发送数据时, NAT记录下目的地址和目的端口, 只有有记录的外网地址和端口才能向内网发送数据。
3.3.2 Symmetric NAT (对称NAT)
NAT为来自内部本地地址和端口到某外部地址和端口的请求建立映射信息, 对于随后的请求只有当源地址源端口目标地址、目标端口均一致时才重复使用该条映射信息。
如图4所示, 虽然会话1和会话2是由内网中同一个IP地址和端口 (10.0.0.1:5000) 建立的, 但目标地址不同, 所以NAT为其分配不同的端口号。对称NAT中由会话双方的IP地址和端口号共同确定一条NAT上的映射信息。
4 NAT技术存在的问题
NAT技术的广泛使用, 很大程度上缓解了IP地址短缺等问题。但NAT技术是一把双刃剑, 在解决问题的同时也带来了一些新的问题。
(1) 现有的互联网是基于IP运行的, 原则上每一个IP地址惟一标识一台主机, 对任意一台主机的访问都可以通过IP地址进行。NAT的应用使得网络上可能有很多台位于不同内网的主机使用同一个IP地址。同时, 要想根据IP地址访问到内网的主机也是很困难的。
(2) 如果通信双方使用的通信协议不是基于TCP或UDP的, NAT的使用会使得通信无法正常工作。
(3) 有很多协议如FTP、H.323等都是在IP包净荷中携带IP地址, NAT对此无法替换, 使得这些协议无法正常工作。解决的方案是针对每一种协议设计补丁程序。这种方法的工作量较大, 维护也很困难。
5 总结
虽然NAT技术使得互联网上原本简单的工作变得复杂, 但它确实在一定程度上缓解了IP地址短缺的问题, 使Internet在IPv4向IPv6的过渡时期不会因为地址短缺而受很大影响。可以说NAT技术的出现和发展促进了Internet的发展。
参考文献
[1]白伟华, 李吉桂.NAT技术及其穿越方案研究.计算机科学.2005.
[2]何宝宏.浅析NAT的类型.电信网技术.2004.
网络地址规划论文 篇6
关键词:Ipv6园区网,网络地址块规划,地址聚类
1、引言
当前Internet的基础-IPv4面临的两个最大的问题是地址资源耗尽和骨干路由器路由表规模爆炸, 尤其是地址资源的缺陷, IPv4具有空间为232 (~4.295e+9) , 根据文献[1]的数据表明, 截止2007年1月, 全球人口数就达66.71亿, 即便每个ipv4地址均为可路由地址, 平均每个人也只有0.6439个地址, 为了有效解决这个问题, 研究者们将ipv4扩展到128位ipv6, 使得平均每人可获得5.101e+28个ipv6地址。
IPv6把地址扩展到128位, 不仅带来了巨大的地址空间;也具有更加结构化的地址层次, 地址和网络的物理拓扑可有更紧密的联系, 从而能够很好的支持路由聚合。
在IPv4时代, 对地址的管理主要关注地址的利用, 要尽可能节约地址资源。而IPv6考虑的最多的是如何通过新的地址特性来支持更多的新功能, 譬如地址自动配置、路由聚合等[2], 以及如何通过对地址的合理规划, 以便于尽最大可能提高网络安全包过滤, 包分类等上层应用数据流管理系统的运行效率。
尽管IPv6提供了128的巨大的地址空间, 但不能认为地址资源是近似无限的。一个典型的IPv6主机单播地址由3部分组成:全局路由前缀、子网ID和接口ID (64位) 。根据IEEE EUI-64规范要求, 为了接入用户能自动配置IPv6地址, 接入子网必须分配成64位的前缀。
而园区网申请的是/48的地址块, 这样实际在园区网IPv6地址规划中最关键的是子网ID (16位) 的合理规划。
文献3]提出了一种在IPv4/IPv6中建立映射关系的转化方法, 可根据现有的ipv4地址转换成对应ipv6地址, 是一种带压缩的转化方法, 它尽管可以在园区网双栈建设时用一个公式将原有的ipv4地址计算出对应的ipv6地址, 但得出的ipv6地址失去了层次性及可聚合性。
文献4等也提出了一种站点级的IPV6地址规划方案, 该方案能比较有效提高路由器等的运行效率, 但其对大中型园区网的扩展能力受限。
IPv4的地址分配不合理, 导致其终将推出历史的舞台, 而在IPv6建设之初, 若没做好合理有效规划, 其生命周期也将提前结束。充分考虑网络路由的可聚集性和网络的可扩展性, 尽量提高地址的利用率, 对于IPv6网络的地址管理和规划是一个很关键的问题。
2、园区网IPv6地址体系结构
园区网络申请的地址块为RFC2373[5]定义的单播地址块, 根据RFC3177[6]的建议, 园区网申请分配的是48位路由前缀的地址块 (如图1所示) 。
园区网申请的地址块, 除了前缀的48位, 可用的地址空间为80位[7], 根据IEEE EUI-64规范的要求, 子网必须分配成/64地址前缀, 这样可用于划分网段的地址空间仅为16位 (如图2所示) , 如何在这有限的地址空间中合理有效建立园区网络自己的地址空间体系结构, 提高网络可的管理性, 为后期进行网络应用业务数据流的服务等级划分提供支持基础是本文的主要研究内容。
3、园区网IPv6地址规划方案
3.1、地址规划遵循的原则
在对Ipv6地址进行规划分配的问题上, 应当充分遵循以下四个原则。
a.统一性原则:地址分配需要统一规划、统一协调、统一管理。尤其是在IPv6网络建设之初, 我们就要从全局的角度考虑问题, 应充分考虑未来网络结构和业务内容可能发生的变化, 对网络的建设和业务的发展具备一定的前瞻性考虑。
b.层次性原则:有层次的规划可以极大的降低管理的复杂程度, 提高网管效率。清晰的地址分配结构是网络运行发展的基本要求和保障, 而良好的层次性能够为网络提供更好的可维护性和可扩展性。
c.连续性原则:连续地址规划能够实现地址的最优使用。当然这里的连续是有层次的科学的连续, 连续并不等同于单一的从节省地址资源出发考虑问题。
d.唯一性原则:地址的唯一性是地址规划的最基本要求, 但在地址规划当中仍然值得注意。
3.2、IPv6地址规划方案
3.2.1 网络ID的域规划
根据前面的分析可知, IP网段的合理规划关键在于16位网络ID的科学分配, 我们将16位的网络ID划分为4个域, 每个域均为4位, 如图3所示。由于IPv6地址以十六进制书写, 以每4位为一个域正好能以一个十六进制的数来给以表示, 非常直观。
3.2.2 用户属性域规划
用户属性域将网络用户的性质进行划分, 例如高校园区网可根据教工, 学生等等进行分类, 不同的用户类别具有对应的不同权限属性, 如为了避免学生长时间上网影响休息, 学生公寓区的网络可能具有时间限制, 而对于办公用户则可能具有比学生公寓用户具有更高的优先级别, 以下给出的是福建工程学院校园网IPv6地址分配规划中对于用户属性域的定义列表。
以上列表中, 值得注意的是, 我们将0000的比特串定义为服务器网段, 根据RFC2373, IPv6地址表示法中的每一组数值前面的0可以省略, 这样我们将子网ID的16个比特均为0的比特串定义为服务器网段ID以便将服务器IP地址最简化, 方便记忆与书写, 如福建工程学院的www的IPv6地址为:2001:250:6804::6;厦门大学www的IPv6地址为:2001:da8:e800::12, 都已经实现了最简化, 简单易记。
3.2.3 学院/组团域规划
学院/组团域是根据前面用户属性域的不同具有不同定义, 当用户属性领域为教学办公用户时, 该域为学院代码的定义, 最大可定义16个学院代码, 对于一些综合性大学, 16个学院代码并不够, 这时可将用户属性域代码中增加教学办公区子网代码来扩展, 每增加一个教学办公区子网代码, 可将可定义的学院代码扩展16个。
若用户属性为学生公寓区, 那么学院/组团域为公寓组团代码, 跟学院代码一样, 同样最多可定义15个组团代码, 同理, 可通过扩展用户属性域的代码来扩展可定义的组团代码。
3.2.4 楼栋序号域规划
楼栋序号域是针对不同的组团或学院内的楼栋序号, 最大可定义16个代码, 跟组团域学院域一样, 但单个组团或学院内的楼栋大于16时, 可通过向"学院与组团域"借位来进行扩展, 一次借位可将最大可定义的代码数扩展到32。
3.2.5 用户VLAN域规划
用户VLAN域是指在各个楼栋内的VLAN的序号, 同样, 最大可定义16个代码, 一般同一栋楼内的VLAN数不大于16个, 跟前面三个域的规划一样, 当大于16个VLAN时, 可通过向前面一个域进行借位的方式来进行扩展。
3.3 IPv6地址规划时两点考虑
3.3.1 向前借位机制的考虑
在网络ID号的四个域的规划中, 除了用户属性域, 其他三个域当所16个代码不够的时候, 均可采用向前借位的方式来进行扩展, 我们知道, 这几个域的规划均具有一定的顺序性, 采用具有顺序性的代码分配可增强可读性与方便记忆, 可向前借位的方式可能破坏其顺序性, 为了使得向前借位的方式不破坏其顺序性, 可将借位扩展按逆序的方式来进行分配。
3.3.2 对外服务子网规划考虑
跟普通的用户子网不一样, 对外服务子网除了具有一般的统一性、层次性、连续性与唯一性外, 很重要的一点就是最简化原则, 毕竟对外服务的IP地址尽管可以通过域名解析的方式来简化其输入, 但还是应考虑到其可能直接输入IPv6地址的情况, 比如当DNS服务出现异常时, 或者嵌入式系统不具有DNS解析功能的情况。
要实现对外服务子网地址的最简化书写, 很重要的一点就是要尽可能地分配可省略的0, 即IPv6地址的每组数值前尽可能分配更多的0, 或者整组数值都为0。其中有个比较特别的子网, 就是网络ID的16位均为0的子网, 可以实现IPv6地址的最简化, 这个子网可用作园区网络中最重要的最常用的一个对外服务子网, 比如WWW及Mail等的子网。
当然服务子网一般并非仅有一个, 可能有若干个, 其他子网的分配, "用户属性域"为0, 用户VLAN域可作为子网分配使用, 当服务子网超过16个时, 可通过"楼栋序号域"来扩展至256个。
服务器IP地址一般为手动静态设定, 子网的接口ID并非由IEEE EUI-64规范生成, 手动设置接口Id应也应尽可能实现最简化原则。
4、可聚类性分析
IPv4地址的分配早期缺乏规划, 地址分配仅按A、B、C三类地址进行分类的局限性, 使得实际物理拓扑不能依据网络前缀进行聚集, 也正是因为这种的不匹配性, 使得骨干网络的路由器上的路由表项膨胀得很厉害, 根据Geoff Husto的BGP路由表报告中显示, 截止2008年12月, 有289, 392条路由前缀记录在核心BGP路由表中, 其中竟有226, 857条路由记录是超过20位的前缀, 占了整个路由表的78.4%, 而更惊人的是, 有51.89%的记录是24位前缀的路由记录[7], 这对路由器以及路由信息更新带来了很大的压力。如图4是自1994年以来的全球核心路由器BGP路由表项增长趋势图。
而IPv6地址则在设计之初就已经考虑到通过设计层次化地址结构和层次化的地址分配来做到路由聚集[9], 如图5所示是Cernet目前在福建地区的IPv6地址分配情况, 从图看看出网络前缀的分配体现了很强的层次性, 特定相同前缀长度的节点都处于相同的自治域内。
从图5可看出IPv6地址块在上层ISP的分配上具有很好的层次性, 可在园区网内如何具有良好的层次性与和可聚类性, 也决定了园区IPv6网络的运行能否具有较长的生命周期, 若园区网内的地址的分配无法具有较好的可聚类性, 不仅增加运维难度也会降低网络设备的计算效率, 增加运维成本。
如图6是本文所述的园区网地址规划方案的部分分配结构, 从图可看出本文所述的地址块规划策略具有很好的层次性与可聚类性, 有效的可聚类可确保网络设备的高效处理。例如, 我们可以用一条ACL指令来确保学生用户只有在特定的之间段内才能使用互联网, 或者对其进行P2P流量限速等。
5、结束语
本文提出了一种可聚类的地址规划方案, 该方案已在福建工程学院校园网中投入使用, 在这个规划超过2万个信息点的中型园区网络的IPv6建设中, 该方案帮助我们较短的时间内完成了全网地址分配工作, 缩短建设周期。方案具有较好的可聚类性, 提高了运维效率。
IPv6给我们提供了巨大的地址空间, 但如何对这个如此巨大的地址空间进行合理有效的规划是个比较困难的课题, 本方案是一种有效管理IPv6地址的参考性建议, 我们需要在实践中不断总结经验和提高技术。
参考文献
[1].Andrew Schaumberg, Syed[Shawon]M.Rahman, Transitioning Networks from IPv4to IPv6.
[2].王殿清, 赵晓宇, 马严等IPv6地址的管理及规划策略网络新技术与应用研讨会论文集2003
[3].陈晓筹, 商少平, 园区网双栈环境下IPV6地址的规划厦门大学学报[自然科学版]2007
[4].刘岚, 一种站点级IPv6地址分配方案.现代电子技术2005
[5].RFC2373IP Version6Addressing Architecture
[6].RFC3177-IAB/IESG Recommendations on IPv6Address
[7].RFC2073An IPv6Provider-Based Unicast Address Format
[8].http://bgp.potaroo.net/as6447/
网络地址规划论文 篇7
1 网络地址转换技术的定义
NAT是Network Address Translation的简写, 中文意思是“网络地址转换”, 它是一个IETF (国际互联网工程任务组, 一个公开性质的大型民间国际团体) 标准, 可以将一个内部网络转换为一个公有IP地址出现在网络上。这样外界就无法直接访问内部网络设备, 从而保护内部网络的安全。同时, 它也变相的扩展了网络地址, 合理安排网络中的公有地址和私有IP地址的使用。
2 NAT技术的基本原理
NAT技术特别有效的解决IP地址紧缺的问题, 而且可以做到内部网络和外部网络的隔离, 从而保障了网络的安全。当以内部网络的私有地址向外部网络 (Internet) 发送数据包的时候, NAT通过修改IP包头将内部私有IP地址转换成合法的公有IP地址, 一次也就不需要大幅度修改内部网络的私有地址的分配, 这样就满足内网设备和外网通信的需求。由于内部IP地址被NAT替换成了公网IP地址, 设备对于外网用户来说就显得“不透明”, 可以保证设备安全性。另外内部私有地址和外部公有地址是相互对应的, 使得我们可以只使用少量的公网IP地址实现私有地址网络内所有计算机与外部网络的通信需求。NAT功能大多会被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT设备维护一个用来把非法的IP地址映射到合法的IP地址上去的状态表。
3 NAT技术的类型
NAT技术常见的三种类型:静态转换NAT (Static NAT) 、动态转换NAT (Pooled NAT) 、网络地址端口转换NAPT (PAT) 。
3.1 静态转换NAT
将每个拥有内部地址的计算机都映射成外部网络中的一个合法的IP地址, 其中的IP地址是一对一的一成不变的, 由管理员指定私有IP地址和公有IP地址的对应关系, 实现了外部网络对内部网络中特定设备的访问, 这样就可以将中小型的内部网络隐藏在一个合法的IP地址后面。
3.2 动态地址NAT
在外部网络中定义了一些合法地址, 它们是采用动态分配的方法将地址映射到内部网络, IP地址是随机的, 不是一一对应的。所有被允许授权访问外网的私有IP地址可随机转换为任何指定的公有IP地址。当然必须指定的内部地址和外部地址, 才能进行转换。动态地址NAT只是转换IP地址, 为每个内部的IP地址分配一个临时的外部IP地址。
3.3 网络地址端口NAT
可以将一个中小型的网络隐藏在一个合法的IP地址后面, 普遍应用于接入设备中。不同与动态地址NAT是它将内部地址映射到外部网络中一个加上了由NAT设备选定的TCP端口号的单独的IP地址上。这样可以达到一个公有地址对应多个私有地址的一对多的转换。内部网络的计算机可共享一个合法的外部IP地址是实现对外部网络的访问, 不同内部主机产生的流量用不同的随机端口进行标示。同时, 又可隐藏网络内部网络, 避免来自外界攻击。
4 应用NAT技术的安全策略
4.1 应用NAT技术的安全问题
应用了NAT技术, 可以将内网数据包中的地址更改成统一的对外地址信息, 外网是直接与NAT通信, 不是与专用网络的主机通信。这个对外地址背后可能连接着成百上千甚至上万拥有专用地址的主机, 这是存在缺陷的。在网络协议和应用中是需要端对端的网络, 需要数据包不加修改的从源地址发送到目的地址。在IP安全架构不能跨NAT设备使用, 因为原始IP源地址的原始包头采用了数字签名。若改变源地址的话, 数字签名就会失效。另外当需要对两个或多个专用网络进行重组合并和收购时, 因为NAT系统不能多层嵌套, 从而造成路由困扰。
4.2 应用NAT技术的安全策略
在许多网络中, NAT机制都是在防火墙上实现的。它的目的是实现防火墙提供对网络访问与地址转换的双重控制功能, 那么NAT技术在系统中我们应采用以下几个策略:
4.2.1 网络地址转换模块
网络地址转换模块是NAT技术核心部分, 只有它与网络层有关, 可对其直接进行修改。本部分可细分为包交换、数据包头替换、规则处理、连接记录与真实地址分配及传输层过滤等几大子模块组成。
4.2.2 集中访问控制模块
本模块可细分为请求认证和连接中继两个子模块。请求认证子模块主要负责和认证交换各种身份鉴别信息, 并根据合法的用户权限进行后续的连接。连接中继子模块主要是为用户建立起一条无中继的连接通道, 可以向内部服务器传送鉴别过的用户身份信息, 完成相关服务协议中所需的鉴别流程。
4.2.3 临时访问端口表
对于流入的数据包, 防火墙只让那些访问控制表许可的或者临时端口使用表 (包含内部主机使用的临时端口、协议类型和内部主机地址等信息的由网关根据接收的数据包动态生成的) 登记的数据包通过。
4.2.4 认证与访问控制系统
它包括用户鉴别和访问控制两大模块, 可以对用户的身份鉴别以及安全策略的控制。用户鉴别模块采用一次性口令认证技术实现远程和当地用户的身份鉴别, 保护和限制用户的访问。根据系统环境的不同需求采用Telnet和WEB两种实现方式。访问控制模块是基于自主型访问控制策略 (DAC) , 采用访问控制列表 (ACL) 的方式, 按照用户 (组) 、地址 (组) 、服务类型、服务时间等访问控制因素决定用户的访问授权。
4.2.5 网络安全监控系统
它负责对接受进入系统的信息进行分析和归类。对可能出现的入侵及时告警, 监控系统还会及时断开非法访问和非法用户的访问连接, 并追踪检查。
4.2.6 基于WEB的防火墙管理系统
主要负责地址转换系统各模块的系统配置和监控。采用基于WEB的管理模式, 因管理系统涉及到用户账户等敏感数据信息, 我们采用JAVA APPLET技术代替CGI技术, 在信息传递过程中采用加密等安全技术保证用户信息的安全性。
摘要:随着网络技术的迅猛发展, 为解决网络地址日益短缺, 局域网内计算机不能拥有合法的IP地址, 内部网络完全暴露在网络中等问题, 出现了一种网络地址转换 (NAT) 技术, 本文介绍了网络地址转换 (NAT) 技术的定义原理及安全策略。
使用NAT技术实现网络地址转换 篇8
1 NAT技术的基本概念
NAT网络地址转换是在IP地址日益缺乏的情况下产生的, 它的主要目的是为了能够使IP地址重用。NAT是一个IETF标准, 它可以将局域网中的内部地址节点翻译成合法的IP地址在Internet上使用, 或者把一个IP地址转换成某个局域网内部节点的地址, 从而可以使用计算机网络超越现有地址资源的局限, 最大限度地使用计算机网络中共有公网IP地址和局域网私有IP地址。通过使用NAT地址转换技术访问不同计算机网络的网段信息, 专用网络上的各种网络设备就可以共享单个全局路由的IPv4地址, 提高了IPv4协议地址的使用率, 从而增加了现有的网络IP资源。另外, NAT网络地址转换技术在防火墙技术里得到广泛的应用, 防火墙把重要的IP地址隐藏起来, 使得该IP地址很难被外部网络发现, 外部网络无法实现对内部网络设备的直接访问, 从而提高了计算机网络的安全性。
2 NAT技术的基本原理
NAT的功能就是在内部网络的私有地址需要与外部通信时, 把内部私有地址转换成合法的全局IP地址。NAT可以在两个方向上隐藏地址, 为了支持这种方案, NAT在两个方向上都要翻译原地址和目的地址。具有NAT功能的设备维护一个NAT映射表, 用它来实现全局到本地和本地到全局的地址转换。
NAT的基本工作原理是当私有网主机和公共网主机通信的IP包经过NAT网关时, 将IP包中的源IP或目的IP在私有IP和NAT的公共IP之间进行转换。NAT技术能够解决当前IPv4协议下公共IP地址紧张的现状。同时, NAT技术也能把内部网络与外部网络隔离开了, 从而提高了计算机网络的安全保障。
NAT的基本工作过程为:网络设备在局域网中使用内部地址, 运用NAT地址转换技术把局域网内部地址翻译成互联网可以使用的合法IP地址, NAT把IP数据包中的32位地址用公网的32位IP地址来替换。NAT功能现在已经被大多数网络设备所集成或者是在网络中设有专用的NAT设备。NAT设备负责对一个状态表进行维护, 把非法的内网IP地址与合法的公网IP地址进行映射。NAT设备将IP数据包中的地址翻译成正确的IP地址发往下一级, 这样就达到了内外网络之间通信的目的。
3 实现NAT技术的常用类型
NAT技术常用类型有三种类型:静态NAT (Static NAT) 、动态地址NAT (Pooled NAT) 、端口多路复用地址转换 (Port address Translation, PAT) 。
静态NAT地址转换是地址转换的最基本的形式, 他的设置十分简单而且也最容易实现。局域网中的每一个主机的地址与互联网中的某个合法IP地址的映射关系是永久不变的。局域网内的私有IP地址均被转换为Internet可以使用的合法公有IP地址, 转换后的IP地址是永久不变一一对应的。外部网络的网络设备通过静态NAT地址转换可以实现与内部网络中的网络设备的相互访问。
动态地址NAT转换将局域网中的私有IP地址转换为互联网使用的公用IP地址时, 转换后的IP地址是随机不确定的, 所有局域网中可以登录互联网的私有IP地址都可随机转换成为Internet上可以使用的合法公用IP地址。每一个局域网中的IP地址都会临时分配一个合法的公网IP地址, 这类地址转换多应用于频繁的远程连接的拨号网络。每当用户拨通连接之后, 用户就会分配到一个合法的公用IP地址, 用户断开时, 合法的公用IP地址就会释放掉, 留给其他用户使用。当互联网服务提供商提供的合法IP地址数量与局域网内部的网络设备的数量相差不大时。就非常适合使用动态地址转换方式。
端口多路复用地址转换是把局域网内的地址映射到外部网络中一个IP地址的不同端口上, 即端口地址转换采用端口多路复用方式。端口多路复用地址转换实现了局域网内的大量网络设备共享外部网络中一个单独的合法IP地址, 同时由NAT设备选定一个TCP端口号加在该IP地址上。端口多路复用地址转换使局域网中的网络设备均可使用一个合法外部IP地址实现对外部网络的访问, 所有在Internet中使用端口多路复用地址转换时, 所有不同的网络信息流均源于同一个合法的公网IP地址, 只是端口不同, 从而大量的节省了现有公网IP地址资源。同时, 端口多路复用地址转换技术可以把局域网内部的所有网络设备隐藏起来, 从而更加有效的抵御来自外部网络的攻击。因此, 目前计算机网络中采用最广泛的就是端口多路复用方式。
4 NAT的实现方式
当内部网络中的一台主机想传输数据到外部网络时, 应先将数据包传输到NAT路由器上, 路由器检查数据包的报头, 获取该数据包的源IP地址信息, 并从它的NAT映射表中找到与该IP匹配的转换条目, 用所选用的内部全局地址 (全球唯一的IP地址) 来替换内部网络地址, 并转发数据包。
当外部网络对内部主机进行应答时, 数据包被送到NAT路由器上。路由器接收到目的地址为内部全局地址的数据包后, 将用内部全局地址通过NAT映射表找出内部网络地址, 然后将数据包的目的地址替换成内部网络地址, 并将数据包发到内部主机。
5 具体实现方法
网络地址转换方法需要在专用网连接到因特网的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器, 它至少有一个有效的外部IP地址。这样, 所有使用本地地址的主机在和外界通信时, 都要在NAT路由器上将本地地址转换成有效的外部IP地址才能和因特网连接。
NAT技术可以让局域网中的所有网络设备通过一台与外部网络相通的服务器连接出去, 服务器只需要拥有一个合法的公网IP。使用网络地址转换NAT技术时, 网络中的各种网络设备的配置无需任何更动, 只需要把网络设备的网关配置到服务器上即可, 网络中所有网络设备和网络程序就都可以使用了。内部网络中使用私有IP地址的网络设备, 通过直接向NAT设备发送数据包, NAT设备对IP数据包的头部进行修改, 将内部网络的源地址转换为NAT设备所拥有的合法的公有IP地址, 从而使内部网络设备连接到外部网络上。
6 结束语
NAT是因公网IP地址紧缺而生的, 所以要根本解决NAT的问题, 就是用不会产生地址稀缺问题的IPv6协议替代现在的IPv4。当然, 在特定的环境下, 即使IPv6替代了IPv4, NAT技术仍将会存在下去。因为, NAT技术的作用已经不仅仅局限于节约IP地址, 它的应用已经扩展到网络迁移、网络重组、服务器镜像、分布式虚拟服务器、接入等领域, 现已成为一个强大的工具。
摘要:随着现代计算机网络的迅猛发展, 网络地址转换 (NAT, Network Address Translation) 在网络建设中正发挥着不可替代的作用。随着用户主机的增多, 授权的合法IP地址已经越来越不够用。NAT技术的应用, 能够有助于减缓可用IP地址空间严重不足的问题。该文主要针对NAT技术, 分析了NAT技术的原理及类型, 同时介绍了NAT技术常用类型的实现方法。
关键词:网络,网络地址,NAT技术,地址转换
参考文献
[1]谢希仁.计算机网络[M].5版.北京:电子工业出版社, 2008.
[2]王兆青.计算机网络[M].北京:中央广播电视大学出版社, 2008.
[3]桂海源.软交换与NGN[M].北京:人民邮电出版社, 2009.
[4]王文斌, 王黎玲.计算机网络安全[M].北京:清华大学出版社, 2010.
[5]刘敏, 曾明, 陈建明, 等.NAT技术的分类及识别策略[J].计算机工程与应用, 2002 (, 10) .
[6]何宝宏.浅谈NAT的类型[J].电信网技术, 2004, (8)