网络地址管理

网络地址管理（精选11篇）

网络地址管理 篇1

摘要：计算机IP地址管理和维护是网络管理中很重要的一项工作, 手工设置会使得网络管理员工作繁重且容易造成IP冲突, 使得网络的灵活性、扩展性变差。基于DHCP的IP地址管理则是一种高效的IP分配方式。本文主要介绍了DHCP服务的原理, 以及在Windows Server 2003中的具体配置和一些管理方法。

关键词：DHCP,IP地址,Windows Server 2003

1 引言。

在小型网络中, 因为计算机数量不多, 网络管理员一般采用手工分配IP地址的方法为每台计算机分配静态IP地址, 而到了中、大型网络, 计算机的数量往往会有几十台, 甚至上百上千台, 这种方法就不太适用了。如果采用静态IP地址分配方法, 还会给网络管理和使用者带来很多不便, 每到一个地方想上网必须先配置计算机网络参数 (IP地址、子网掩码、网关、DNS) , 这样容易发生IP地址冲突等问题, 造成机器不能正常使用。因此, 我们需要寻求一种高效可靠的IP地址管理方式, 于是就出现了DHCP。DHCP是Dynamic Host Configuration Protocol的缩写, 也叫动态主机配置协议。DHCP是TCP/IP通信协议中, 用来暂时指定网络中某台计算机IP地址的通信协议。DHCP技术的设计目的就是动态、灵活地使用IP地址, 降低TCP/IP网络管理的复杂性, 它是一个Client/Server协议。

2 DHCP的工作原理

要在一个网络中使用DHCP来分配和管理IP地址, 必须在网络中部署一台拥有静态IP地址的DHCP服务器, 而网络中其他计算机则是DHCP客户端。DHCP服务器负责客户端IP地址的集中管理和分配, IP地址数据库存放在服务器上, 客户端向DHCP服务器申请和租用IP地址, DHCP服务器可以动态地为客户端自动分配IP地址, 也可为特定客户端分配永久IP地址。运行Windows Sever系列和Linux, Unix等操作系统的计算机都可以作为DHCP服务器。客户端启用DHCP功能后会搜索网络中的DHCP服务器, 并申请从DHCP服务器中获得IP地址。所有的安装有TCP/IP协议的计算机 (包括Windows系列和Linux, Unix等) 都带有DHCP客户端软件协议, 都可以作为DHCP的客户端。

DHCP的工作过程主要分为以下六个阶段:

发现阶段, 即DHCP客户端寻找DHCP服务器的阶段。DHCP客户端首先以广播方式发送DHCP DISCOVER发现信息来寻找DHCP服务器 (因为DHCP服务器的IP地址对于客户端来说是未知的) , 即客户端向地址255.255.255.255发送特定的广播信息。请求信息主要包含客户端的网卡MAC地址还有客户端的计算机名称。网络上每一台安装了TCP/IP协议的主机都会接收到这种广播信息, 但只有DHCP服务器才会做出响应。

提供阶段, 即DHCP服务器提供IP地址的阶段。在网络中接收到DHCP DISCOVER发现信息的DHCP服务器都会做出响应, 它从尚未出租的IP地址中挑选一个分配给DHCP客户端, 向DHCP客户端发送一个包含出租的IP地址和其他设置的DHCP OFFER提供信息。

选择阶段, 即DHCP客户端选择某台DHCP服务器提供的IP地址的阶段。如果网络中有多台DHCP服务器向DHCP客户端发来的DHCP OF-FER提供信息, 则DHCP客户端只接受第一个收到的DHCP OFFER提供信息。在客户端收到DHCP OFFER提供信息后, 会以广播方式回答一个DHCP REQUEST请求信息, 所有的DHCP服务器都会收到这个信息, 该信息中包含它所选定的DHCP服务器和服务器提供的IP地址。之所以要以广播方式回答, 是为了通知所有的DHCP服务器, 他将选择某台DHCP服务器所提供的IP地址, 其他没有被选择的DHCP服务器则会收回发出的IP地址。

确认阶段, 即DHCP服务器确认所提供的IP地址的阶段。当DHCP服务器收到DHCP客户端回答的DHCP REQUEST请求信息之后, 它便向DHCP客户端发送一个包含它所提供的IP地址和其他设置的DHCP ACK确认信息, 告诉DHCP客户端可以使用它所提供的IP地址。至此DHCP客户端可以使用DHCP服务器所提供的IP地址与网卡绑定。

重新登录阶段。以后DHCP客户端每次重新登录网络时, 就不需要再发送DHCP DISCOVER发现信息了, 而是直接发送包含前一次所分配的IP地址的DHCP REQUEST请求信息。当DHCP服务器收到这一信息后, 它会尝试让DHCP客户端继续使用原来的IP地址, 并回答一个DHCP ACK确认信息。如果此IP地址已无法再分配给原来的DHCP客户端使用时 (比如此IP地址已分配给其它DHCP客户端使用) , 则DHCP服务器给DHCP客户端回答一个DHCP NACK否认信息。当原来的DHCP客户端收到此DHCP NACK否认信息后, 它就必须重新发送DHCP DISCOVER发现信息来请求新的IP地址。

更新租约阶段。DHCP服务器所提供的IP地址一般都是有期限的, 我们把这个期限称为租期, 租期的长短通过DHCP服务器来设置。设置这个期限是为了让那些过了租期又不活动的IP能空出来, 由DHCP服务器重新分配给DHCP客户端, 这样就会有效减少IP地址的浪费现象。期满后DHCP服务器便会收回出租的IP地址。如果DHCP客户端要延长其IP租约, 则必须更新其IP租约。DHCP客户端启动时和IP租约期限过一半时, DHCP客户端都会自动向DHCP服务器发送更新其IP租约的信息。

如果DHCP客户端一直开启, 客户端会在租约过去50%的时候向原DHCP服务器提出DHCP REQUEST请求信息, 信息中包含一个客户端正使用的IP地址, 并请求服务机延长对此地址的租用。如果原服务器同意会发出DHCP ACK确认信息。这样, 续租成功, 客户端获得新的租约。如果这个请求信息没有得到回复, 因为租约尚未结束, DHCP客户端会继续使用原来的IP, 并且每隔大约2分钟向原DHCP服务器再次发送DHCP REQUEST请求信息申请续租。如果到了租约期限的87.5%, DHCP客户端依然没有收到原DHCP服务器的DHCP ACK确认信息, 则客户端转为重新绑定状态。在重新绑定状态下, DHCP客户端会以广播的方式向网络中的所有服务器发送DHCP REQUEST请求信息, 如果有DHCP服务器响应, 并发回DHCP ACK确认信息则DHCP客户端从新的DHCP服务器获得新的IP地址还有新的租约。如果直到租约结束也没有收到任何DHCP服务器的DHCP ACK确认信息, 则DHCP客户端会停用租来的IP地址, 然后返回初始化状态。

3 DHCP的优缺点

使用DHCP为管理基于TCP/IP的网络主要提供了以下好处:

提供安全而可靠的配置。DHCP避免了由于需要手动在每个计算机上键入值而引起的配置错误。DHCP还有助于防止由于在网络上配置新的计算机时重用以前指派的IP地址而引起的地址冲突。

可以减少配置管理。使用DHCP服务器可以大大降低用于配置和重新配置网上计算机的时间。可以配置服务器以便在指派地址租约时提供其他配置值的全部范围。这些值是使用DHCP选项指派的。

DHCP租约续订过程还有助于确保客户端计算机配置需要经常更新的情况 (如使用移动或便携式计算机频繁更改位置的用户) , 通过客户端计算机直接与DHCP服务器通讯可以高效、自动地进行这些更改。

IP地址采用租用方式, 需要时向DHCP服务器申请IP, 用完后释放, 使IP地址可以再利用。

DHCP服务器数据库是一个动态数据库, 向客户端提供租约或释放租约时会自动更新, 降低了管理IP地址的难度, 所有DHCP客户的设置和变更都由客户端和服务器自动完成, 不需人工干涉。

同时DHCP也存在不少缺点:

DHCP不能发现网络上非DHCP客户端已经在使用的IP地址。

DHCP服务器对于用户的接入没有限制, 任何一台电脑只要连接到网络上, 就能够通过DHCP服务器获得正确的网络配置, 从而访问网络。这样使得非法的用户很容易进入内部网络, 带来安全隐患。

当网络上存在多个DHCP服务器时, 尤其是存在私设的冒充DHCP服务器时, 一个DHCP服务器不能查出已被其它服务器租出去的IP地址, 这样将会给网络造成混乱。

DHCP服务器不能跨路由器与客户端通信, 除非路由器允许BOOTP转发。

4 DHCP服务器的安装配置和管理

下面主要介绍如何在Windows Server 2003中进行DHCP服务器的安装配置和一些管理技巧。

4.1 安装

我们采用一台安装有Windows Server 2003操作系统的计算机作为DHCP服务器, 并在该计算机安装TCP/IP协议, 并为其设置静态IP地址、子网掩码、默认网关等内容。在Windows Server 2003系统中默认没有安装DHCP服务, 必须进行添加安装:

在“控制面板”中双击“添加或删除程序”图标, 在打开的窗口左侧单击“添加/删除Windows组件”按钮, 打开“Windows组件向导”对话框。

在“组件”列表中找到并勾选“网络服务”复选框, 然后单击“详细信息”按钮, 打开“网络服务”对话框。接着在“网络服务的子组件”列表中勾选“动态主机配置协议 (DHCP) ”复选框, 依次单击“确定→下一步”按钮开始配置和安装DHCP服务。最后单击“完成”按钮完成安装。

4.2. 配置

依次单击“开始→管理工具→DHCP”, 打开“DHCP”控制台窗口。在左窗格中右击DHCP服务器名称, 执行“新建作用域”命令。

按照新建作用域向导在DHCP服务中添加一个作用域。输入该作用域的名称, 如:办公区;在IP地址范围一栏中, 填入此作用域所管理地址范围, 即动态分配的地址范围, 以及子网掩码, 比如要动态分配的地址段是192.168.1.1-192.168.1.254, 掩码是255.255.255.0, 添入后点下一步;在添加排除一栏添入要排除的地址范围 (比如预留给需要固定地址的服务器使用) , 比如我们将192.168.1.1-192.168.1.20保留给以后扩容网使用, 然后再点添加→下一步;在租约期限一栏中填入客户端从此作用域中得地址的最长的使用期限, 如果超过此期限后, 客户必须重新申请。比如我们假设作用域租约期限是十天。然后再点下一步;为此作用域配置网关, DNS, WINS等作为公共选项, 当客户端自动获得一个IP地址的时候, 他也就被定了这些选项。比如我们在路由器 (默认网关) 一栏指定IP地址的网关是192.168.1.254.;在DNS服务器一栏中指定服务器IP地址是202.96.96.68;这样一旦客户申请到地址后, 同时就被分配网关是192.168.1.254, DNS服务器是202.96.96.68等。再点击下一步;激活此作用域。其中此DHCP服务器地址是192.168.1.1;地址池地址是参加此作用域动态地址分配的范围;地址租约是已经分配出去的地址和相应的租约情况;保留是指可以根据客户端的名称和MAC地址事先预留IP地址给特殊用户。作用域选项指的是网关, DNS, WINS等选项。

可按照地址实际情况再添加多个作用域。

4.3. 管理

通过批处理命令自动添加多个保留地址。保留地址可以实现给指定的计算机分配相对固定的IP地址, 在必要时方便网络的管理和维护。但在DHCP控制台中逐个添加却十分麻烦且容易出错, 我们可以通过命令行批量添加。

在系统命令提示符下输入如下命令, 即可添加一个保留地址:

dhcp server 192.168.1.1 scope 192.168.1.0 add reservedip 192.168.1.101 00055da2e201 pc01.

其中:dhcp表示要进行dhcp配置。Server192.168.1.1表示dhcp所在的主机。scope192.168.1.0指定区域和区域所在的网络号。Add reservedip 192.168.1.101 00055da2e201 pc01.表示添加一个保留地址, 计算机mac地址为00055da2e201, 保留给他的ip地址为192.168.1.101, 保留名字为pc01.。

要实现批量添加:先把对应的命令保存在一个文本文件中, 如myip.txt。几台计算机就要有几行这样的命令。然后通过命令netsh exec myip.txt来执行这个文件中的命令。

实现周期性的自动备份DHCP服务器的全部配置数据。

首先可将备份命令保存在d:dhcpbak.bat文件中:

netsh dhcp server export d:dhcpbak.txt all

然后在d:mydo.bat中调用该命令, 对运行情况作记录备查, 具体内容如下:

最后利用AT命令设置定时执行任务, 如要每天1:30执行一次备份任务, 在系统命令提示符下输入如下命令,

AT 1:30/every:M, T, W, Th, F, S, Su d:mydo.bat。

有了备份数据, 在DHCP服务器出故障时我们就可以快速的实现恢复操作, 恢复命令为:netsh dhcp server import d:dhcpbak.txt all

需要注意的是:在利用备份数据进行恢复时, 应确保当前DHCP服务器中不存在相同的作用域子网, 否则将提示出错信息, 如:“导入子网192.168.1.0”办公区“时出错。本地服务器上已存在此子网。”

结束语。DHCP技术目前已使用得较为普遍, 它起到了提高网络性能、加强网络安全、简化网络管理的作用, 也在很大程度上缓解了当前IP地址不足的问题。由于DHCP还存在许多不足, 所以DHCP技术也还有很多地方需要不断的完善。

参考文献

[1]IETF.Dynamic Host Configuration Protocol (EB) RFC2131, 1997.

[2]W.Richard Stevens.TCP/IP详解 (卷1) 协议[M].北京:机械工业出版社, 2004.

[3]刘淑梅, 李文俊, 杨伏龙.Windows2003组网技术与应用详解[M].北京:人民邮电出版社, 2006.

网络地址管理 篇2

局域网的一大特点就是拥有一定数量的终端用户。作为省属重点中学，笔者所在学校局域网的终端用户有600多个，为了区分各类不同用户，我们采用的是终端固定IP设置的方法。和其他许多学校的网管一样，我们也一直被终端用户私改IP地址造成的网络冲突问题困扰着。咨询相关网络公司，他们也提供了不少解决方案，但大多价格不菲。没有办法，只好绞尽脑汁自己想办法了。笔者采用了基于防火墙的IP地址与MAC地址绑定+基于交换机的MAC地址与端口绑定的二级管理方法，双管齐下，较好地解决了这个问题。现将实现方法阐述如下：

一、基于防火墙的IP地址与MAC地址绑定

1.做好整个局域网终端用户计算机的命名，指定IP地址根据用户的类别统一命名计算机，并给定IP地址。这样一看机器名，就知道是哪个部门哪台机器，便于管理。比如高一年级语文组1号机器，我们就将其命名为“gaoyiyuwen01”。

同时，统一规划分配IP地址给每台终端机器，并建立IP地址分配登记表(见附表)。

江苏省泗阳中学局域网ip地址综合管理登记表

2.统计每个终端机器网卡的MAC地址，建立IP地址与MAC地址对应表

我们知道，在MS-DOS方式下键入命令“Winipcfg”就可以获得本机IP地址和MAC地址(Windows98系统下)。我们可以将此方法公布一下，然后要求相关用户将本机MAC地址抄录上报到网管中心，再进行登记汇总，

也可在设定机器名和IP地址时一并统计好。

网络管理员也可以利用Nbtstat命令来远程获得指定机器的MAC地址。在MS-DOS方式下键入命令“Nbtstat-a远程计算机名”，即可获得指定机器的IP地址和MAC地址。

3.将IP地址与MAC地址绑定

这要根据局域网接入互联网的方式不同而采用不同的办法。如果是采用代理服务器接入互联网，那就使用命令：

ARP -s IP地址MAC地址

例：ARP -s 192.168.1.4 00-EO-4C-6C-08-75

这样，就将静态IP地址192.168.1.4与网卡地址为00-EO-4C-6C-08-75的计算机绑定在一起了，即使别人盗用您的IP地址192.168.1.4，也无法通过代理服务器上网。

如果是通过路由器直接接入互联网，最好通过硬件防火墙来实现IP与MAC地址的绑定。一般的硬件防火墙都具有这个功能，具体操作也非常简单。

到这里似乎可以大功告成了，但事情并不像我们想象的那么简单。花了相当多的精力构筑起来的防线不到一个月就又冲突依旧了。原来，有的终端用户通过修改注册表、下载专用小工具等方法，没费多少力气就更改了本机的MAC地址，甚至于将本机的MAC地址和IP地址改得和主服务器一模一样，搞得局域网内又鸡犬不宁了。

二、基于交换机的MAC地址与端口绑定

为了进一步解决这个问题，笔者又想到了基于交换机的MAC地址与端口绑定。这样一来，终端用户如果擅自改动本机网卡的MAC地址，该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现，自然也就不会对局域网造成干扰了。

以思科3548交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：

(config)#mac_address_table permanent MAC地址以太网端口号

这样逐一将每个端口与相应的计算机MAC地址绑定，保存并退出。其他品牌的交换机只要是可以网管的，大多可以仿此操作。

网络地址管理 篇3

关键词:ARP协议;ARP地址;欺骗

ARP,全称Address Resolution Protocol,它是“地址解析协议的缩写。MAC地址是固化在网卡上串行EEPROM中的物理地址,是由48比特长(6字节),16进制的数字组成,0~23位是由厂家自己分配,24~47位叫做组织唯一标志符,是识别LAN(局域网)节点的标识。

一、ARP地址欺骗攻击者的定位

利用ARP协议的漏洞,攻击者对整个局域网的安全造成威胁,那么,怎样才能快速检测并定位出局域网中的哪些机器在进行ARP地址欺骗攻击呢?面对着局域网中成百台电脑,一个一个地检测显然不是好办法。其实,我们只要利用ARP病毒的基本原理:发送伪造的ARP欺骗广播,中毒电脑自身伪装成网关的特性,就可以快速锁定中毒电脑。可以设想用程序来实现以下功能:在网络正常的时候,牢牢记住正确网关的IP地址和MAC地址,并且实时监控来自全网的ARP数据包,当发现有某个ARP数据包广播,其IP地址是正确网关的IP地址,但是其MAC地址竟然是其他电脑的MAC地址的时候,这时,无疑是发生了ARP欺骗。对此可疑MAC地址报警,再根据网络正常时候的IP—MAC地址对照表查询该电脑,定位出其IP地址,这样就定位出攻击者了。

下面再介绍几种不同的检测ARP地址欺骗攻击的方法。

1.命令行法。

在CMD命令提示窗口中利用系统自带的ARP命令即可完成。当局域网中发生ARP欺骗的时候,攻击者会向全网不停地发送ARP欺骗广播,这时局域网中的其他电脑就会动态更新自身的ARP缓存表,将网关的MAC地址记录成攻击者本身的MAC地址,此时,我们只要在其受影响的电脑中使用“ARP -a”命令查询一下当前网关的MAC地址,就可知道攻击者的MAC地址。我们输入ARP -a,命令后的返回信息如下:

Internet Address 00-50-56-e6-49-56 Physical Address Type 192.168.0. dynamic.

由于当前电脑的ARP表是错误的记录,因此,该MAC地址不是真正网关的MAC地址,而是攻击者的MAC地址。这时,再根据网络正常时,全网的IP-MAC地址对照表,查找攻击者的IP地址就可以了。由此可见,在网络正常的时候,保存一个全网电脑的IP-MAC地址对照表是多么的重要。可以使用nbtscan工具扫描全网段的IP地址和MAC地址,保存下来,以备后用。

2.工具软件法。

现在网上有很多ARP病毒定位工具,其中做得较好的是Anti ARP Sniffer(现在已更名为ARP防火墙)。利用此类软件,我们可以轻松地找到ARP攻击者的MAC地址。然后,我们再根据欺骗机的MAC地址,对比查找全网的IP-MAC地址对照表,即可快速定位出攻击者。

3.Sniffer抓包嗅探法 。

当局域网中有ARP地址欺骗时,往往伴随着大量的ARP欺骗广播数据包,这时,流量检测机制应该能够很好地检测出网络的异常举动,利用Ethereal之类的抓包工具找出大量发送ARP广播包的机器,这基本上就可以当作攻击者进行处理。

以上3种方法有时需要结合使用,互相印证,这样可以快速、准确地将ARP地址欺骗攻击者找出来。找到攻击者后,即可利用杀毒软件或手动将攻击程序删除。

二、ARP地址欺骗攻击的防御及其解决办法

1.使用静态的IP-MAC地址解析。

针对ARP地址欺骗攻击的网络特性,我们可以使用静态的IP-MAC地址解析,主机的IP-MAC地址映射表由手工维护,输人后不再动态更新。即便网络中有ARP攻击者在发送欺骗的ARP数据包,其他电脑也不会修改自身的ARP缓存表,数据包始终发送给正确的接收者。这种防御方法中常用的是“双向绑定法”。双向绑定法,顾名思义,就是要在两端绑定IP-MAC地址,其中一端是在路由器(或交换机)中,把所有PC的IP-MAC输入到一个静态表中,这叫路由器IP-MAC绑定。另一端是局域网中的每个客户机,在客户端设置网关的静态ARP信息,这叫PC机IP-MAC绑定。除此之外,很多交换机和路由器厂商也推出了各自的防御ARP病毒的软硬产品,如:华为的FIX AR 18-6X 系列全千兆以太网路由器就可以实现局域网中的ARP病毒免疫,该路由器提供MAC和IP地址绑定功能,可以根据用户的配置,在特定的IP地址和MAC地址之间形成关联关系。对于声称从这个IP地址发送的报文,如果其MAC地址不是指定关系对中的地址,路由器将予以丢弃,这是避免IP地址假冒攻击的一种方式。

2.使用ARP服务器。

通过ARP服务器查找自己的ARP转换表来响应其他机器的ARP广播,但必须确保这台ARP服务器不被黑客攻击。

3.使用其他交换方式。

现在,基于IP地址变换进行路由的第三层交换机逐渐被采用,第三层交换技术用的是IP路由交换协议。以往的MAC地址和ARP协议已经不起作用,因而ARP欺骗攻击在这种交换环境下不起作用。该方法的缺点是这种交换机价格普遍比较昂贵。

出现ARP地址欺骗攻击的解决办法如下:

第一步:记住网关的正确IP地址和MAC地址,为以后的IP-MAC绑定做准备,也方便以后查找病毒主机。网关MAC的获取,一是可以向单位的网管人员询问;二是在机器正常上网时进行查询,记下网關IP地址和MAC地址,方法如下:打开“命令提示符”窗口,在提示符后键入:ipconfig/al(l用此命令先查询网关的IP地址),然后再键入:arp-a(用来显示ARP高速缓存中所有项目),如果并未列出网关IP地址与MAC地址的对应项,那就先ping一下网关IP地址,再显示ARP高速缓存内容就能看到网关的IP-MAC对应项了。第二步:发现网关MAC地址有冲突后,可先用arp-d命令先清除ARP高速缓存的内容,然后再用arp-a命令查看网关IP-MAC项目是否正确。如果病毒不断攻击网关,那就要静态绑定网关的IP-MAC。例如:网关IP地址为10.1.4.254,MAC地址为00-08-20-8b-68-0a,先用arp-d命令清除ARP高速缓存的内容,再在命令提示符后键入:arp-s10.1.4.254 00-08-20-8b-68-0a,这样网关IP地址和MAC地址就被静态绑定了。如果用户安装了瑞星防火墙,也可以通过防火墙提供的“设置-详细设置-ARP静态规则”中进行静态绑定,或是在文章最开始的防火墙提示中选择正确的MAC地址后点击“添加到ARP静态表中”。第三步:如果病毒不断攻击网关致使网关的IP-MAC的静态绑定都无法操作,那就应该先找到病毒主机,使其断网杀毒,才能保证网段内其他机器正常上网操作。

三、结束语

由于ARP协议制定时间比较早,当时对这些协议的缺陷考虑不周,使得ARP攻击的破坏性比较大,但其也有局限性,比如ARP攻击只局限在本地网络环境中。最根本的解决措施就是使用IPv6协议,因为在IPv6协议定义了邻机发现协议(NDP),把ARP纳人NDP并运行于因特网控制报文协议(ICMP)上,使ARP更具有一般性,包括更多的内容。

参考文献:

[1]专家解读APR病毒,http : //security. ccidnet. com/.

[2]马军,王岩.ARP协议攻击及其解决方案, 2006.

校园网络IP地址分配策略和管理 篇4

我们以某学院为例, 该学院多媒体校园网络建于1999年, 目前网络范围基本覆盖整个学院。整个网络采用三层网络结构1000Mbps快速以太网技术, 核心网络设备通过一台思科路由器接入到互联网, 在网络核心使用一台阿尔卡特7700交换机, 所有的二层交换机为可管理的基于IOS的交换机。对于宿舍区, 用一台方正防火墙进行管理。

目前, 学院办公、教学电脑采用真实IP地址上网。在宿舍区, 由于IP地址数量不足, 该部分采用防火墙进行网络地址转换。

1 使用VLAN技术分配办公、教学电脑

VLAN (Virtual Local Area Network) 即虚拟局域网, 遵循IEEE 802.1Q协议标准, 是一种将网络设备在逻辑上划分为多个网段的虚拟工作组技术。这种技术应用于办公、教学电脑, 即学院各部门、多媒体课室、实验机房的上网电脑, 将同一个部门分布在不同物理位置的电脑在逻辑上划分为同一网段, 既可以享有同一网段的便利, 又可以将不同部门的信息在二层上隔离。

如表1所示, 我们将不同部门的电脑划分为各自的V L A N。

配置的关键命令如下: (以创建VLAN101为例)

vlan 101 name network;/创建VLAN101, 同时设置一个描述/

vlan 101 route ip 200.200.100.1 mask255.255.255.0 forward e2;

/为VLAN101配置一个IP router port200.200.100.1, 子网掩码为255.255.255.0, 路由转发状态为forwarding, 路由端口为Ethernet-II格式, 使VLAN101可以路由本V L A N内数据到其它子网/

2 使用ACL技术实现网络层权限控制

ACL (Access Control List) 是Cisco IOS所提供的一种访问控制技术, 初期仅在路由器上支持, 近些年来已经扩展到三层交换机。ACL使用包过滤技术, 在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等, 根据预先定义好的规则对包进行过滤, 从而达到访问控制的目的。下文所有的配置实例均基于Cisco IOS的ACL进行编写。

2.1 关闭常见易受攻击的端口

T C P/I P协议中的端口范围是从0到65535, 因为IP地址与网络服务的关系是一对多的关系。实际上是通过“IP地址+端口号”来区分不同的服务的。由于近年来互联网上病毒泛滥, 很多病毒借助某些端口进行传播和攻击, 譬如冲击波病毒和震荡波病毒。因此对于常见易遭受攻击端口进行封堵, 就显得尤为重要。如下控制列表access-list 120就是专门针对常见漏洞端口设计的, 将其应用在边界路由上, 便能够抵御来自互联网的大部分常见攻击。

访问控制列表access-list120及其作用:

access-list 120 deny tcp any any eq 5800access-list 120 deny tcp any any eq 5900用于防止受感染的系统被远程控制;

access-list 120 deny tcp any any eq 6667access-list 120 deny tcp any any eq 6588用于控制IP Protocol为255和0的流量;access-list 120 deny tcp any any eq 69access-list 120 deny tcp any any eq 135用于控制冲击波病毒的扫描和感染;

access-list 120 deny tcp any any eq 5554access-list 120 deny tcp any any eq 445用于控制震荡波病毒的扫描和感染;

access-list 120 permit ip any any

2.2 对网络设备的安全控制

交换路由设备默认是启用H t t p服务和Telnet服务的, 为了安全起见, 我们需要进行如下的安全控制。

2.2.1 关闭网络设备的Http服务

关闭交换路由设备的HTTP服务, 采用如下指令:no ip http server

HTTP服务是Cisco交换路由设备提供的Web管理服务, 但其存在一些安全漏洞, 所以最好将其关闭。

2.2.2 只允许网管电脑对交换路由设备的访问

网络控制部门的电脑在network网段内, 现在只允许源地址为200.200.100.2的包通过, 其它的包全部过滤掉。

access-list 1 permit host 200.200.100.2

line vty 0 4 (部分设备是15)

access-class 1 in

这里line vty 0 4代表我们使用Telnet登录交换路由设备时使用的几个虚拟接口。Telnet都是访问的设备上的line vty, 在line vty下面使用access-class与ACL组进行关联, in关键字表示控制进入的连接。这条规则应用之后, 只有从主机200.200.100.2发起的Telnet请求才会被接受。

我们来分析一下这个需求, 浏览internet现在基本上都是使用http或https进行访问, 标准端口是TCP/80端口和TCP/443, MSN使用T C P/1 8 6 3端口, Q Q登录会使用到TCP/UDP8000这两个端口, 还有可能使用到udp/4000进行通讯。而且这些软件都能支持代理服务器, 目前的代理服务器主要布署在TCP 8080、TCP 3128 (HTTP代理) 和TCP1080 (socks) 这三个端口上。这个需求如表2所示。

关键代码如下:

参考文献

[1]赵刚.Rajesh Kumar Sharma.NIIT.Cisco网络安全宝典[M].北京:电子工业出版社, 2002.

[2]诸晔.用ACL实现系统的安全访问控制[J].计算机应用与软件, 2005, 3.

无线网络IP地址冲突的分析 篇5

第一是增加IP地址冲突的可能性。市场上的大多数无线接入点是通过默认配置来分配客户端无线网络IP 地址，其范围是192.168.0.x。这是一个问题，因为在一个网段中包含多个无线接入点是相当普遍的情况。如果这些接入点每个都分配了相同的DHCP 作用域，那么无线网络IP冲突将在所难免。请记住，这些地址分配可能不仅局限于无线客户端。许多无线接入点也会分配IP地址给有线网络客户端，所以你可能在你的有线网络上遇到有线网络客户端与无线客户端冲突。

大多数无线接入点使用默认DHCP配置的另一个问题是，192.168.0.x的地址范围可能不会与你已经使用的地址范围相互协调。例如，假设在任何无线接入点安装前，你的网络使用 190.160.25.x的地址范围(我只是编了一组数字)。如果是这样的话，有两个原因可说明为什么一个无线接入点分配用户192.168.0.x的地址会造成问题。

为了避免无线网络IP冲突的问题，首先，已经分配了192.168.0.x地址的客户端将无法与使用 190.160.25.x地址的网络主机进行通信。原因是使用192.168.0.x地址范围的客户端会认为，使用190.160.25.x地址的主机在不同的网段，即使并非如此。因此，他们会寻找路由器并尝试使用路由表来计算出如何到达这个网段。

假设这两个地址范围都存在于同一个网段，相互之间的通信根本行不通。

允许无线接入点分配192.168.0.x地址的另一个问题是，这些地址是不可路由的。如果你的网络由多个网段组成，你将无法使用这个地址范围。

现在我已经讨论了有关无线接入点默认分配IP地址的问题，下面我想谈谈如何避开这些问题，

首先，我要指出一些无线接入点比其它的更灵活。并非我将提及的所有技术都能够与所有的接入点工作。

防止无线网络IP冲突和其他通信问题的最好方法是事先决定好每个DHCP服务器和每个接入点将会管理的地址范围。这样，你可以允许每个DHCP服务器和接入点按需分配IP地址，而不必担心重叠。

例如，在我自己的网络中，我使用147.101.x.x的地址范围。同样，我随机选择的这个地址范围。由于我有一个DHCP服务器和一个无线接入点，所以我配置DHCP服务器从147.101.101.1到147.101.101.100之间分配地址。然后我配置无线接入点从 147.101.101.101到147.101.101.200之间分配地址。这样，所有可能会被分配的IP地址都会落在一个共同的范围内，但是没有地址重叠，导致无线网络IP冲突的风险。

当你配置一个接入点分配网络中唯一特定的IP地址范围时，你需要考虑到下面几个问题。其中一个你需要考虑的问题是，你可能会使用网络中的一些静态IP地址。你必须为任何使用中的静态IP地址定义异常，以防止该地址被分配。

在我自己的网络中，例如，我有一个DNS服务器，它使用地址147.101.101.34。该地址属于我的DHCP服务器配置分配的地址范围。因此，我定义了一个异常，使DHCP服务器绝不会向客户端分配147.101.101.34。

另一个你需要考虑的问题是，如果你配置一个接入点分配网络中特有的地址，你还必须配置接入点去分配一个DNS地址给客户端。如果你不这样做，客户端或者不认识你的DNS服务器地址，或者他们会试图使用ISP的DNS服务器，这当然不会包含与你的专用网络中主机有关的DNS记录。

解析校园网中IP地址的分配管理 篇6

关键词：校园网；IP地址；动态分配；DHCP；子网划分

一、DHCP服务的配置

为了创建一个DHCP服务器，常用的DHCP服务器一般安装在一台Windows2000Server的计算机上。安装前先为这台计算机指定静态的IP地址、子网掩码及网关地址，然后按下面的这些步骤操作即可：（1）在“控制面板”上，双击“添加/删除程序”，单击“添加/删除Windows组件”。（2）在“Windows组件”向导中，依次选择“Windows组件”页、“网络服务”，然后单击“详细资料”。（3）在“网络服务”对话框中，在“网络服务的子部件”中，选择“动态主机配置协议（DHCP）”复选框，然后单击［确定］按钮。（4）单击［下一步］按钮，等待一段时间后就会完成安装。最后是添加各网段作用域，捆绑网关及DNS，一个作用域是一个合法的IP地址范围，用于向特定子网上的客户计算机出租或分配IP地址。

从“管理工具”菜单中打开DHCP，用鼠标右键单击DHCP服务器的名称，再单击“新建作用域”。然后按照提示依次在“名称”中填写作用域的名称如“219网段”，“说明”中填写相关说明如“服务器段”，在IP地址范围对话框中设置本子网中的IP地址范围：如起始IP：219.222.191.3，结束IP：219.222.191.253，子网掩码（将租给客户机的子网掩码）为255.255.255.0。接着再添加一个或多个排除地址范围（已经使用的静态IP地址或暂不分配的IP地址范围），设定租约的时间（默认为8天）。最后添加客户使用的路由器IP地址（即客户机的网关地址）为219.222.191.254，添加“域名称”为“bangong”，“DNS服务器”为“219.222.191.1/202.96.128.143”。

以上是DHCP服务器的基本配置，DHCP服务的作用域的填写就牵涉到了IP地址的子网划分。

二、IP地址子网划分

现今普遍运用的32位的IPv4地址，采用点分十进制的方式表示，基本结构由4部分数字组成，每一部分数字对应于一个8位二进制数字，四个二进制部分之间用小数点分开。为了适应各种不同规模的网络需求，IP协议将IP地址分为五类，即A、B、C、D和E类，其中，D类地址为多播地址。主要留给因特网体系结构研究委员会IAB使用，E类地址作为保留地址。我们通常所接触的是A、B、C三类IP地址。A类、B类、C类IP地址的网络号分别为8位、16位和24位，其主机号对应为24位、16位和8位。如主机号对应24位时其最大主机数分别为224-2。A类IP地址最前面一位为“0”，即A类第一段取值介于1～126之间（127作为本机测试之用）。B类IP地址最前面两位为“10”，即B类第一段取值介于128～191之间，C类IP地址最前面三位是“110”，即C类第一段取值介于192～233之间。

前缀长度指示地址的网络部分的比特位数。例如在172.28.5.0/24中，/24就是前缀长度，它告诉我们前24位是网络地址。常用的IP地址主要有A、B、C三类，相应的前缀分别为/8、/16、/24。为了定义地址的网络部分和主机部分，设备另行使用称为子网掩码的一个32位形式。表示子网掩码使用的点分十进制格式与IPv4地址相同。在代表网络部分的每个位的位置上置入二进制1，在代表主机部分的每个位的位置上置入二进制0即可创建子网掩码，故A、B、C类地址相应的子网掩码为255.0.0.0、255.255.0.0和255.255.255.0。在实际使用过程中，我们通常需要对网络进行子网的划分。

三、交换机及客户端配置支持

假设校园网通过一台二层交换机连接到一台三层交换机，三层交换机连接上DHCP服务器，现做适当配置，实现校园网内部主机的动态IP地址获取。

本文对IP地址的动态分配所牵涉的各方面知识做了简单介绍，并对实现校园网实施IP地址动态分配做了逐步简单的实验说明。实际中还应多查资料、多实践，这样才能更好地发现问题、解决问题。

网络地址转换技术的研究 篇7

关键词：NAT,网络地址转换

0 引言

随着Interet的飞速发展, 互联网上丰富的资源吸引着越来越多的用户接入Internet, 但目前IPV4规范下的IP地址已经严重短缺, 不能保证每个用户分配到独立的IP地址。对于整个Internet而言, 根本的解决方案是迁移到IPV6, 这个过程已经开始, 但短期内无法完成。在IPV4到IPV6的过渡时期, NAT技术作为临时解决方案被广泛应用。

1 NAT技术概述

NAT (Network Address Translation) 是一种将IP地址从一个编址域映射到另一个编址域的方法。RFC1631、RFC3022和R F C 3 4 8 9及其他相关的R F C对其进行了详细描述, RFC2993中讨论了NAT中存在的问题。

NAT的工作方式是在内部网络中使用内部IP地址, 通过NAT将内部地址翻译成合法的IP地址, 在Internet中使用。翻译过程的实质就是将IP包内地址字段用合法的IP地址来替换, 并重新计算校验值。工作流程如图1所示, Client A发起一个源地址为10.0.0.1目标地址为222.92.22.22的会话, 经过NAT时, NAT为Client A分配一个内部全局地址198.168.68.18, 并以此地址替换源地址。Server的反馈信息目标地址为198.168.68.18, 经NAT转换后改为10.0.0.1送至Client A。

2 NAT地址术语介绍

NAT技术中主要有如下四个地址术语:

(1) 内部本地地址 (Inside Local Address) :指内网中的私有地址, 由内网自行分配和管理, 不是Internet上的合法地址。

(2) 内部全局地址 (Inside Global Address) :用于替换内部本地地址的IP地址, 是Internet上的合法地址。

(3) 外部本地地址 (Outside Local Address) :位于外网的主机相对于内网所用的IP地址。该地址是从内网可路由的地址空间中分配的, 是Internet上的合法地址。

(4) 外部全局地址 (Outside Global Address) :外网主机的IP地址。该地址是从全局可路由的地址空间中分配的。

3 NAT技术分类介绍

NAT主要有三种类型:静态NAT、动态NAT和NAPT。目前绝大多数NAT都属于NAPT类型。下面对这三种类型的N A T进行详细介绍。

3.1 静态NAT

这种工作方式的NAT设备中需要设置静态映射信息, 将一个内部本地地址永久性映射为一个内部全局地址。这样, 内网主机可以永久性使用为其分配的内部全局地址, 同时, 外部网络中也可依据内部全局地址访问到该主机。这种映射通常在内网需要主机需要对外提供服务时使用, 如WEB和E-M A I L服务等。

3.2 动态NAT

动态NAT设备中需要维护一个IP地址池, 存放若干内部全局地址。每当内网中有主机提出访问外部资源的请求时, NAT从地址池中挑选出未分配的IP地址映射给内网主机。这种映射方式下, 内网主机可以访问外部网络, 外部主机也能够对内网进行访问, 但必须是在内网IP地址与内部全局地址之间存在映射关系时才能成功。并且这种映射关系是动态的。

3.3 NAPT (网络地址端口转换)

NAPT是目前使用最广泛的NAT技术, NAPT设备拥有一个内部全局IP地址, 当内网主机要访问外网时, 报文发送至NAT, NAT不仅对报文的源IP地址进行转换, 还要对报文协议端口进行转换, 重新为其分配统一的端口号。如图2所示Client A发起一个10.0.0.1:5000到222.92.22.22:6000的会话经过NAT后, 源地址被替换为内部全局地址198.168.68.12, 端口号被重新分配为3000。Server的反馈信息目标地址为198.168.68.12:3000, 经NAT转换后为10.0.0.1:5000送至Client A。NAPT又可以分为Cone NAT和Symmetric NAT。

3.3.1 Cone NAT

Cone NAT环境下, 当NAT为一个内部本地地址和端口建立好一个映射后, 对于随后从同一地址和端口发起的请求将重复使用该条映射。如图3所示, Client A以相同的内部本地地址和端口号 (10.0.0.1:5000) 发起两个会话Client A——Server1和Client A——Server2。因为会话发起者相同, 为了使Client A的身份保持一致, Cone NAT为这两个会话分配相同的端口号 (6200) 。依据受限程度的大小, Cone NAT可分为Full Cone, Restricted Cone和Port Restricted Cone。

(1) Full Cone:为来自相同内部本地地址和端口的请求分配同一个内部全局地址和端口号, 外网任何主机发送至该内部全局地址和端口的IP报文都可以被转发到相对应的内网主机上。

(2) Restricted Cone:为来自相同内部本地地址和端口的请求分配同一个内部全局地址和端口号, 当外网某主机访问内部全局地址的该端口时, NAT先搜索映射信息记录, 如果内网曾有主机以此端口向外网该主机发送过数据, NAT将该数据包发送至内网中相应主机, 否则丢弃。该过程实质是通过映射记录对外网主机的访问权限作验证, 看该地址是否可访问内网。

(3) Port Restricted Cone:与Restricted Cone类似, 只是验证过程多了对端口号的验证。内网主机向外网发送数据时, NAT记录下目的地址和目的端口, 只有有记录的外网地址和端口才能向内网发送数据。

3.3.2 Symmetric NAT (对称NAT)

NAT为来自内部本地地址和端口到某外部地址和端口的请求建立映射信息, 对于随后的请求只有当源地址源端口目标地址、目标端口均一致时才重复使用该条映射信息。

如图4所示, 虽然会话1和会话2是由内网中同一个IP地址和端口 (10.0.0.1:5000) 建立的, 但目标地址不同, 所以NAT为其分配不同的端口号。对称NAT中由会话双方的IP地址和端口号共同确定一条NAT上的映射信息。

4 NAT技术存在的问题

NAT技术的广泛使用, 很大程度上缓解了IP地址短缺等问题。但NAT技术是一把双刃剑, 在解决问题的同时也带来了一些新的问题。

(1) 现有的互联网是基于IP运行的, 原则上每一个IP地址惟一标识一台主机, 对任意一台主机的访问都可以通过IP地址进行。NAT的应用使得网络上可能有很多台位于不同内网的主机使用同一个IP地址。同时, 要想根据IP地址访问到内网的主机也是很困难的。

(2) 如果通信双方使用的通信协议不是基于TCP或UDP的, NAT的使用会使得通信无法正常工作。

(3) 有很多协议如FTP、H.323等都是在IP包净荷中携带IP地址, NAT对此无法替换, 使得这些协议无法正常工作。解决的方案是针对每一种协议设计补丁程序。这种方法的工作量较大, 维护也很困难。

5 总结

虽然NAT技术使得互联网上原本简单的工作变得复杂, 但它确实在一定程度上缓解了IP地址短缺的问题, 使Internet在IPv4向IPv6的过渡时期不会因为地址短缺而受很大影响。可以说NAT技术的出现和发展促进了Internet的发展。

参考文献

[1]白伟华, 李吉桂.NAT技术及其穿越方案研究.计算机科学.2005.

[2]何宝宏.浅析NAT的类型.电信网技术.2004.

网络地址转换技术及其应用 篇8

关键词：网络地址转换,防火墙,IP地址,路由器

1 网络地址转换概述

网络地址转换(Network Address Translation)技术是在IP地址日益短缺的情况下提出的,也是当前多数防火墙都能够实现的安全功能,防火墙使用NAT技术隐藏了内部网络的拓扑结构,某种程度上提高了网络安全性。

NAT是将IP数据报报头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要用于实现私有IP地址的网络访问外部网络的功能。用户不需要为其网络中每一台机器取得公有的IP地址,就可以访问因特网。这种通过使用少量的公有IP地址代表多数的私有IP地址的方式将有助于减缓可用IP地址空间枯竭的速度。NAT的工作过程如图1所示。

具有NAT功能的服务器位于私有网络和公有网络的连接处。当内部网络主机(192.168.0.1)向新浪服务器(www.sina.com.cn)发送一个数据报时,数据报将通过NAT服务器。NAT进程查看报头内容,发现该数据报是发往外网的,它将数据报的源地址字段的私有地192.168.0.1转换成一个可在Internet上的公有地址218.23.237.245,并将该数据报发送到新浪服务器,同时在网络地址转换表中记录这一映射。新浪服务器给内部主机发送应答报文(其初始目的地址为218.23.237.245),到达NAT服务器后,NAT进程再次查看报头内容,然后查找当前网络地址转换映射表的记录,用原来的内部主机的私有地址192.168.0.1替换目的地址。

在内部网络通过安全的内网接口访问外部网络时,NAT服务器将外出的源地址和源端口映射为一个公网的地址和端口,让公网的地址和端口通过非安全的外网接口与外部网络连接,对外就隐藏了真实的内部网络地址。在外部网络通过非安全外部接口访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。NAT技术可以有效的隐藏内部局域网中的主机,外界无法知道内部网络地址结构,因此是一种有效的网络安全保护技术。

NAT技术一般都是在防火墙上实现的,防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。

2 网络地址转换类型

2.1 静态网络地址转换

静态网络地址转换就是在网络地址转换时,内部网络地址和外部网络地址之间是一一对应关系。例如地址192.168.0.1直接对应转换218.23.237.245,就像内部主机自己完全拥有一个独立的公网IP地址。主机可以直接与外网通信,但又不直接和外网相连,因此得到防火墙的保护。

2.2 动态网络地址转换

动态网络地址转换就是在网络地址转换时,是采用合法的公网IP地址池动态实现转换。管理员事先定义好一组可用的公网IP地址池(218.23.237.241-218.23.237.245),当内网用户需要访问外网时,从地址池中申请一个没有被使用的公网IP来访问外网。一般内网的IP地址多于公网IP地址,当用户完成外网访问后,系统将会收回这个IP地址,以便给其他需要访问外网的用户使用。如果合法的外网地址全部被占用,此时内网用户的申请会因为没有合法的IP地址可分配而失败。

2.3 基于端口的地址转换

基于端口的地址转换(Network Address Port Translation)在进行地址转换时,不仅仅转换了IP地址,还转换了协议的端口。NAPT转换原理如图2所示。

局域网中主机PC1和PC2同时访问Internet,都使用一个公网IP地址(218.23.237.245)。在用户访问外网时,不同的用户使用相同的公网地址,通过端口的地址来区别不同的用户连接。这样可以使一个合法的公网IP映射若干个内网主机连接Internet。但是端口使用是有范围的,端口使用范围为1024~65535,一个合法的IP地址可以实现6万多个NAT连接,通常可满足几千个用户需求。

3 地址转换技术防火墙应用

具有NAT功能的路由器至少要有一个内部端口,一个外部端口。内部端口主要连接分配了私网IP地址的内部网络中的主机。外部端口连接的是通过申请由ISP分配的在外网上通信的公网IP地址。如果内部网络有WWW服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的IP地址必须采用地址转换,以便外部用户可以使用这些服务。

现以模拟环境来说明地址转换技术的配置。使用路由器(RTA)模拟一个内部局域网,局域网中配置WWW服务器和FTP服务器供外部用户访问。用路由器(RTB)模拟外部网。具体实验环境如图3所示。

配置要求:

内网FTP服务器和WWW服务器能够访问外网主机PCA,禁止其他主机访问外网。外网主机PCA能够访问内网的FTP服务器和WWW服务器。因为PCA为公网主机,内部服务器为私网主机,PCA主机ping不通内部服务器。在PCA主机上地址栏运行http://218.23.237.229和ftp://218.23.237.229就可以访问内网的服务器。配置步骤如下:

路由器A

路由器B

完成以上配置后,内网的用户192.168.0.2和192.168.0.3能够访问外网,而外网用户可以访问内网的FTP服务器和WWW服务器。

4 结论

网络地址转换技术是在IP地址日益短缺的情况下提出来的,当不能保证局域网内部每台主机都拥有合法的公网IP地址时,为了达到所有的局域网内部主机都可以连接Internet网络的目的,可以使用网络地址转换技术实现。网络地址转换技术还可以有效的隐藏内部局域网中的主机,从而实现一种有效的网络安全保护。本文主要以华为AR 28-11路由器介绍网络地址转换技术在网络中的应用,并通过AR 28-11路由器在局域网内部实现提供给外部FTP、WWW等服务。

参考文献

[1]杭州华三通信技术有限公司编.华为3Com网络学院教材,杭州,2007.

[2]李涛著.网络安全概论[M].北京:电子工业出版社,2004.

[3]杨富国,吕志军.网络设备安全与防火墙[M].北京:清华大学出版社,2005.

[4]陆魁军.计算机网络工程实践教程:基于华为路由器和交换机[M].北京:清华大学出版社,2005.

[5]张保通著.网络互连技术[M].北京:中国水利水电出版社,2004.

[6]谭方勇.交换与路由技术实用教程[M].北京:中国电力出版社,2008.

网络地址管理 篇9

NAT(Network Address Translation,网络地址转换)是《计算机网络》课程的核心内容,理论与实践结合紧密。该部分教学内容的实验环境要求高,需要有独立的计算机及相关的路由器设备。然而,现在许多学校的网络实验室设备不足或相对落后,从而导致相关的实验项目无法开展[1]。Packet Tracer5.3模拟器(PT 5.3)是思科官方推出的一款Cisco路由器、交换机模拟软件,在实验教学中引入PT 5.3,可以弥补实验条件的不足,有利于学生对子网划分、路由表构建、分组转发、网络地址转换NAT、网络地址端口转换NAPT(Network Address&port Translation)等相关知识的理解,并掌握NAT路由器和NAPT路由器的配置方法[2,3]。

2. 网络地址转换

2.1 网络地址转换

NAT是一个IETF标准,允许某机构的一个专用网(私有网络)内所有使用私有地址(本地地址)的主机以一个通过Internet注册的公网IP地址出现在Internet上。这种方法需要在专用网连接到因特网的路由器上安装NAT软件。装有NAT软件的路由器叫NAT路由器,它至少有一个有效的外部全球IP地址。

图1给出了NAT路由器的工作原理,专用网192.168.1.0/24内的所有主机的IP地址都是本地地址192.168.1.x。NAT路由器只有一个全球IP地址211.58.58.1[4]。

当NAT路由器收到从专用网内部的主机A发往因特网上的主机B的IP数据报Data1(源地址是192.168.1.3,目的地址是202.168.188.2),NAT路由器把数据报Data1的源IP地址从192.168.1.3换为NAT路由器的全球IP地址211.58.58.1后转发出去。当主机B收到数据报Data1时,以为A的IP地址是211.58.58.1。当主机B给A发送应答数据报Data2时,数据报Data2的目的IP地址是NAT路由器的IP地址211.58.58.1。当NAT路由器收到主机B发给A的应答数据报Data2时,通过查看NAT地址转换表将数据报Data2的目的地址211.58.58.1换成主机A的私有地址192.168.1.3,然后转发给内网的主机A。

2.2 NAT的类型

NAT有三种类型:静态NAT(Static NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPT。

(1)静态NAT

在静态NAT中,内部网络中的每个主机的私有IP地址都被永久地一对一地映射成外部网络中的某个合法的IP地址,如果内部网络有E-mail服务器、FTP服务器或http服务器等可以为外部用户提供服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以访问这些服务。

(2)动态NAT

动态NAT首先要定义在外部网络中可路由的合法地址池,然后采用动态分配的方法为每一个内部的IP地址分配一个一一对应的临时的外部IP地址。拨号连接上网通常采用动态NAT。当ISP提供的合法IP地址略少于网络内部的计算机数量时,也采用动态地址转换。远程用户连接之后,动态NAT就会分配给他一个临时IP地址,用户断开时,这个IP地址就会被释放而留待以后使用。

(3)NAPT

NAPT是指改变外出数据报的源IP地址和源端口,把内部地址映射到一个外部网络可路由的IP地址的不同端口上,即端口多路复用、NAT过载(overload)。采用端口多路复用方式,内部网络的所有主机共享一个合法外部IP地址实现对Internet的访问,可以最大限度地节约IP地址资源,又可隐藏网络内部的所有主机,有效避免来自Internet的攻击。

2.3 规划和绘制实验拓扑图

模拟实验用到的设备有2台2811路由器(分别命名为NAT Router和ISP Router),2台2950-24T交换机Switch0和Switch1,2台服务器Server0和DNS Server,3台PC机。分别给两个路由器添加串口模块WIC-2T,两路由器的一对串口之间用Serial DTE线连接,实验拓扑图中的其他接口之间用Fast Ethernet连线将各设备依次连接起来。绘制好的拓扑图如图2所示,参数配置如表1所示。

3. 利用PT模拟器模拟NAT实验

在图2所示的模拟实验环境中,进行NAT验证。路由器上连接到用户内部网络的接口是NAT内部(inside)接口,连接到外部网络(如Internet)的接口是NAT外部(outside)接口。

3.1 静态地址转换的实现

假设内部局域网使用的IP地址段为192.168.1.0~192.168.1.255,局域网端口(即默认网关)的IP地址为192.168.1.1,子网掩码为255.255.255.0。内部局域网分配到的合法IP地址范围为221.58.58.1~221.58.58.7,路由器在广域网中的IP地址为221.58.58.1,子网掩码为255.255.255.248,可用于转换的IP地址范围为221.58.58.2~221.58.58.6。要求将内部网址192.168.1.2~192.168.1.4分别转换为合法IP地址221.58.58.2~221.58.58.4。

需要先在两个路由器上启用路由协议EIGRP并宣告直连的网络。然后执行以下步骤:

说明:

(1)内部地址:通常不是RIR或服务提供商分配的IP地址,通常是RFC1918私有地址,即A类的10.0.0.0~10.255.255.255,B类的172.16.0.0~172.31.255.255和C类的192.168.0.0~192.168.255.255。

(2)内部全球地址:当内部主机流量流出NAT路由器时NAT路由器分配给内部主机的有效的公有IP地址。

(3)外部本地地址:分配给外部网络上的主机的本地IP地址,大多数情况下,此地址与外部设备的外部全球地址相同。

(4)外部全球地址:分配给Internet上的主机的全球可路由的IP地址。

第六步,验证Server0提供的http服务和ftp服务。

在Server0的Config标签页的Servers列表中分别选择http和ftp即可查看到Server0提供的http服务和ftp服务是否on。

(1)验证http服务。在PC2的Web Browser的URL地址栏中输入221.58.58.4,如图3所示。

设置DNS Server服务器。将221.58.58.4的域名设为www.napt.com,如图4所示。在设置PC2的DNS Server为202.168.188.2,在PC2的Web Browser的URL栏输入域名www.napt.com就可访问专网内用192.168.1.4专用地址提供的http服务。

(2)验证ftp服务。在PC2的Desktop标签选择Command Prompt,在Command Prompt提示符下输入ftp221.58.58.4,再在屏幕的提示下输入Username为cisco,Password为cisco,即可看到ftp连接成功。

3.2 动态地址转换的实现

静态NAT需要在路由器上为内网的每台计算机一一手工配置地址转换。当内网的计算机比较多时,管理工作量较大,此时可采用动态NAT。按3.2中静态地址转换实验的条件,将内部网址192.168.1.2~192.168.1.254动态转换为合法IP地址221.58.58.2~221.58.58.6。保留3.2中静态地址转换实现的EIGRP配置,删除PC0和PC1的静态NAT。保留NAT路由器的NAT内部接口和外部接口设置。保留Server0的静态NAT条目,目的是让外网的主机能够访问内网的Server0提供的服务。

3.3 端口复用动态地址转换NAPT

3.3.1 专网分配到多个全球IP地址时的NAT过载

继续上面3.2中的实验操作,在路由器NAT Router1上执行如下命令。

以上输出表明进行NAT过载转换的每个条目的协议类型和使用的端口号。无论是ping,还是Web访问,使用的内部全局地址都是221.58.58.2,但端口号不同。在Cisco路由器上,NAT过载先复用地址池中的第一个地址,直到达到能力极限,然后再移至第二个地址,依次类推。

3.3.2 专网只分配到一个全球IP地址时的NAT过载

现假设内部局域网只分配到一个全球IP地址221.58.58.1,可将路由器在广域网中的IP地址设为221.58.58.1,子网掩码为255.255.255.248。模拟实验条件其它同3.2中的网络实验条件。要求将内部网址192.168.1.0~192.168.1.255全部映射到一个合法IP地址221.58.58.1。

保留3.2中静态地址转换实现的EIGRP配置,和NAT转换的内部(inside)端口和外部(outside)设置,删除Server0的静态NAT。

在PC2的Web Browser的URL地址栏中输入221.58.58.1进行验证。在DNS Server服务器上,将221.58.58.1的域名设为www.napt.com。设置PC2的DNS Server为202.168.188.2。在PC2的Web Browser上输入域名www.napt.com也可访问专网内用192.168.1.4专用地址提供的http服务。同样,在PC2的Desktop标签选择Command Prompt,在Command Prompt提示符下输入ftp 221.58.58.4验证ftp服务。

4. 结论

使用Packet Tracer V5.3模拟软件既能节省资金投入,又能满足正常的教学需要。本文利用PT模拟器完成了NAT和NAPT路由器的配置实验,有助于学生对相关知识的理解和提升一定的工程实践经验。

摘要：使用Packet Tracer V5.3模拟软件既能节省资金投入,又能满足正常的教学需要。在分析了NAT工作原理的基础上利用Packet Tracer模拟器模拟了NAT实验,丰富了实验教学手段,提高了教学效果。

关键词：网络地址转换,网络地址与端口转换,Packet Tracer

参考文献

[1]黄艳琼,梁俊.计算机网络课程实验教学改革探索[J].计算机教育,2009(2).

[2]杨云.计算机网络技术专业教学改革的探索与实践[J].计算机教育,2009(8).

[3]王波,孙燚,周志伟.计算机网络实验综合模拟平台的研发[J].计算机教育,2009(3).

[4]谢希仁.计算机网络(第5版)[M].北京:电子工业出版社,2008.

[5]宋焱宏.利用Packet Tracer软件实现交换机工作原理的模拟[J].电脑知识与技术,2009(4).

[6]徐佩锋,赵中营.利用Packet Tracer软件实现交换机工作原理的模拟[J].计算机教育,2008(18).

[7]刘艳芳,张力军,曹庆华,等.在计算机网络实验教学中的体会和思考[J].计算机教育,2009(3).

使用NAT技术实现网络地址转换 篇10

1 NAT技术的基本概念

NAT网络地址转换是在IP地址日益缺乏的情况下产生的, 它的主要目的是为了能够使IP地址重用。NAT是一个IETF标准, 它可以将局域网中的内部地址节点翻译成合法的IP地址在Internet上使用, 或者把一个IP地址转换成某个局域网内部节点的地址, 从而可以使用计算机网络超越现有地址资源的局限, 最大限度地使用计算机网络中共有公网IP地址和局域网私有IP地址。通过使用NAT地址转换技术访问不同计算机网络的网段信息, 专用网络上的各种网络设备就可以共享单个全局路由的IPv4地址, 提高了IPv4协议地址的使用率, 从而增加了现有的网络IP资源。另外, NAT网络地址转换技术在防火墙技术里得到广泛的应用, 防火墙把重要的IP地址隐藏起来, 使得该IP地址很难被外部网络发现, 外部网络无法实现对内部网络设备的直接访问, 从而提高了计算机网络的安全性。

2 NAT技术的基本原理

NAT的功能就是在内部网络的私有地址需要与外部通信时, 把内部私有地址转换成合法的全局IP地址。NAT可以在两个方向上隐藏地址, 为了支持这种方案, NAT在两个方向上都要翻译原地址和目的地址。具有NAT功能的设备维护一个NAT映射表, 用它来实现全局到本地和本地到全局的地址转换。

NAT的基本工作原理是当私有网主机和公共网主机通信的IP包经过NAT网关时, 将IP包中的源IP或目的IP在私有IP和NAT的公共IP之间进行转换。NAT技术能够解决当前IPv4协议下公共IP地址紧张的现状。同时, NAT技术也能把内部网络与外部网络隔离开了, 从而提高了计算机网络的安全保障。

NAT的基本工作过程为:网络设备在局域网中使用内部地址, 运用NAT地址转换技术把局域网内部地址翻译成互联网可以使用的合法IP地址, NAT把IP数据包中的32位地址用公网的32位IP地址来替换。NAT功能现在已经被大多数网络设备所集成或者是在网络中设有专用的NAT设备。NAT设备负责对一个状态表进行维护, 把非法的内网IP地址与合法的公网IP地址进行映射。NAT设备将IP数据包中的地址翻译成正确的IP地址发往下一级, 这样就达到了内外网络之间通信的目的。

3 实现NAT技术的常用类型

NAT技术常用类型有三种类型:静态NAT (Static NAT) 、动态地址NAT (Pooled NAT) 、端口多路复用地址转换 (Port address Translation, PAT) 。

静态NAT地址转换是地址转换的最基本的形式, 他的设置十分简单而且也最容易实现。局域网中的每一个主机的地址与互联网中的某个合法IP地址的映射关系是永久不变的。局域网内的私有IP地址均被转换为Internet可以使用的合法公有IP地址, 转换后的IP地址是永久不变一一对应的。外部网络的网络设备通过静态NAT地址转换可以实现与内部网络中的网络设备的相互访问。

动态地址NAT转换将局域网中的私有IP地址转换为互联网使用的公用IP地址时, 转换后的IP地址是随机不确定的, 所有局域网中可以登录互联网的私有IP地址都可随机转换成为Internet上可以使用的合法公用IP地址。每一个局域网中的IP地址都会临时分配一个合法的公网IP地址, 这类地址转换多应用于频繁的远程连接的拨号网络。每当用户拨通连接之后, 用户就会分配到一个合法的公用IP地址, 用户断开时, 合法的公用IP地址就会释放掉, 留给其他用户使用。当互联网服务提供商提供的合法IP地址数量与局域网内部的网络设备的数量相差不大时。就非常适合使用动态地址转换方式。

端口多路复用地址转换是把局域网内的地址映射到外部网络中一个IP地址的不同端口上, 即端口地址转换采用端口多路复用方式。端口多路复用地址转换实现了局域网内的大量网络设备共享外部网络中一个单独的合法IP地址, 同时由NAT设备选定一个TCP端口号加在该IP地址上。端口多路复用地址转换使局域网中的网络设备均可使用一个合法外部IP地址实现对外部网络的访问, 所有在Internet中使用端口多路复用地址转换时, 所有不同的网络信息流均源于同一个合法的公网IP地址, 只是端口不同, 从而大量的节省了现有公网IP地址资源。同时, 端口多路复用地址转换技术可以把局域网内部的所有网络设备隐藏起来, 从而更加有效的抵御来自外部网络的攻击。因此, 目前计算机网络中采用最广泛的就是端口多路复用方式。

4 NAT的实现方式

当内部网络中的一台主机想传输数据到外部网络时, 应先将数据包传输到NAT路由器上, 路由器检查数据包的报头, 获取该数据包的源IP地址信息, 并从它的NAT映射表中找到与该IP匹配的转换条目, 用所选用的内部全局地址 (全球唯一的IP地址) 来替换内部网络地址, 并转发数据包。

当外部网络对内部主机进行应答时, 数据包被送到NAT路由器上。路由器接收到目的地址为内部全局地址的数据包后, 将用内部全局地址通过NAT映射表找出内部网络地址, 然后将数据包的目的地址替换成内部网络地址, 并将数据包发到内部主机。

5 具体实现方法

网络地址转换方法需要在专用网连接到因特网的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器, 它至少有一个有效的外部IP地址。这样, 所有使用本地地址的主机在和外界通信时, 都要在NAT路由器上将本地地址转换成有效的外部IP地址才能和因特网连接。

NAT技术可以让局域网中的所有网络设备通过一台与外部网络相通的服务器连接出去, 服务器只需要拥有一个合法的公网IP。使用网络地址转换NAT技术时, 网络中的各种网络设备的配置无需任何更动, 只需要把网络设备的网关配置到服务器上即可, 网络中所有网络设备和网络程序就都可以使用了。内部网络中使用私有IP地址的网络设备, 通过直接向NAT设备发送数据包, NAT设备对IP数据包的头部进行修改, 将内部网络的源地址转换为NAT设备所拥有的合法的公有IP地址, 从而使内部网络设备连接到外部网络上。

6 结束语

NAT是因公网IP地址紧缺而生的, 所以要根本解决NAT的问题, 就是用不会产生地址稀缺问题的IPv6协议替代现在的IPv4。当然, 在特定的环境下, 即使IPv6替代了IPv4, NAT技术仍将会存在下去。因为, NAT技术的作用已经不仅仅局限于节约IP地址, 它的应用已经扩展到网络迁移、网络重组、服务器镜像、分布式虚拟服务器、接入等领域, 现已成为一个强大的工具。

摘要：随着现代计算机网络的迅猛发展, 网络地址转换 (NAT, Network Address Translation) 在网络建设中正发挥着不可替代的作用。随着用户主机的增多, 授权的合法IP地址已经越来越不够用。NAT技术的应用, 能够有助于减缓可用IP地址空间严重不足的问题。该文主要针对NAT技术, 分析了NAT技术的原理及类型, 同时介绍了NAT技术常用类型的实现方法。

关键词：网络,网络地址,NAT技术,地址转换

参考文献

[1]谢希仁.计算机网络[M].5版.北京:电子工业出版社, 2008.

[2]王兆青.计算机网络[M].北京:中央广播电视大学出版社, 2008.

[3]桂海源.软交换与NGN[M].北京:人民邮电出版社, 2009.

[4]王文斌, 王黎玲.计算机网络安全[M].北京:清华大学出版社, 2010.

[5]刘敏, 曾明, 陈建明, 等.NAT技术的分类及识别策略[J].计算机工程与应用, 2002 (, 10) .

[6]何宝宏.浅谈NAT的类型[J].电信网技术, 2004, (8)

网络地址管理 篇11

在GPRS网络中, IP地址分配方式、路由策略、接入点 (APN) 策略等分组数据协议 (PDP) 激活过程中的基本方式和传输中的路由选择对承载的GPRS业务的部署、使用方式产生影响。

1 移动终端IP地址分配方式

移动终端获得IP地址是移动终端进行IP通信的基础。在GPRS通信流程中, 终端用户获得IP地址的方式对业务的运用模式、性能等有影响。

1.1 固定IP地址分配方式

固定IP地址分配方式指每个终端用户始终使用固定的IP地址。终端用户的身份通常使用终端设备标识 (IMEI) 和终端用户标识 (IMSI) , IMSI有更完善的鉴权系统和设备支持, 通常将终端用户的IMSI值作为用户的唯一标识。这种方式可通过在归属位置寄存器 (HLR) 中对用户进行IP地址分配。终端IP地址分配流程 (PDP激活过程) 见图1。

1.2 随机动态IP地址分配方式

随机动态IP地址分配方式指终端用户每次做PDP激活时, 请求不同IP地址。动态主机配置协议 (DHCP) 最终实现IP地址随机分配。随机动态IP地址分配通信流程见图2。

1.3 动态IP地址固定分配方式

动态IP地址固定分配方式指使用动态申请方式获取IP地址, 增加了用户名认证。RADIUS设备是实现按用户名/密码认证实现IP地址分配的设备。当终端用户使用同样的用户名/密码仍可每次获得相同的IP地址。动态IP地址固定分配通信流程见图3。

1.4 增强型动态IP固定分配方式

在上述动态IP固定分配方式基础上, 可引入身份认证功能。在使用用户名/密码认证请求IP地址时, 增加用户的MSISDN号认证, 用以保证用户名/密码不会被冒用。

1.5 IP分配方式比较

上述4种IP地址分配方式中, 使用HLR实现固定IP方式对HLR和业务支持节点 (SGSN) 有一定要求, 其灵活性差, 铁路GPRS网络很少使用。随机动态IP地址分配方式简单、灵活性好, 便于分散布置, 使用本地网关业务支持节点 (GGSN) 完成PDP激活的APN策略, 必须使用随机动态IP地址分配方式。由于寻址困难, 随机动态IP地址分配很难实现由网络侧发起的通信流程。动态IP地址固定分配方式由于固定了IP地址与用户的对应关系, 易于实现网络侧发起的通信流程。增强型动态IP固定分配方式增加了IP地址分配时的安全性, 但降低了配置的灵活性。

2 APN的使用策略

在IP地址分配方式流程中可以看到, PDP激活过程中有一个步骤是SGSN通过APN识别对应的GGSN。使用不同的APN策略, 决定了终端用户完成激活以后的通信路由。

2.1 使用归属GGSN

在使用归属GGSN的策略时, 终端用户使用特定的APN, 用以标示归属的GGSN。用户移动到SGSN下的任何地点时, 均要在归属局的GGSN上完成PDP激活。数据配置是在域名服务器 (DNS) 中将该APN的解析地址指向对应的GGSN。使用归属GGSN的APN策略通信流程见图4。

2.2 优先使用本地GGSN

使用本地 (或最近) GGSN的APN策略指终端使用的APN全部一样, 接入无线网后SGSN将该终端的PDP激活请求指向本地 (或最近) GGSN。终端用户移动到一地时, 是在当地的网络设备中完成PDP激活, 不与终端设备的归属地网络发生通信。这种策略下, 相同的APN对应不同的GGSN地址, 不能由统一的DNS进行地址解析。需要由SGSN自行实现解析, 将APN解析到指定的GGSN地址, 通常使用本地 (或最近) 的GGSN。

2.3 使用唯一GGSN

使用唯一GGSN的APN策略是指无论用户在什么位置, 均会回到一个唯一的GGSN中完成PDP激活。终端用户的APN配置完全一样, 网络中也只有一个GGSN进行对应的APN配置。在DNS中只需对这个APN做一条解析数据即可。使用唯一GGSN的APN策略通信流程见图5。

2.4 不同APN策略的比较

不同的APN策略对终端的通信路由影响很大。APN策略的选择受终端IP地址分配方式和业务需求影响。对使用归属GGSN属性的APN策略, 终端用户无论移动到什么位置, 都要使用原归属地的GGSN。这就形成了从当前位置的SGSN到原GGSN的长途传输需求, 如果此时终端用户还要与当前位置的其他用户进行通信, 则必须通过远端的GGSN路由, 效率上不是最优选择。在铁路实际运用中, 这种通信需求大量存在。使用归属GGSN的通信路由见图6。

图6中原归属网络1的终端用户MS1, 在移动到网络2时, PDP激活的GGSN仍然为原归属的GGSN1, 此时终端MS1和本地其他的移动终端MS2的通信节点必须经过MS1—SGSN2—长途数据网—GGSN1—长途数据网—GGSN2—SGSN2—MS2。MS1与本地地面服务器SERVER2的通信节点必须经过MS1—SGSN2—长途数据网—GGSN1—长途数据网—SERVER2。这种本地通信经过长途电路绕行的方式必然带来通信效率下降。使用全网唯一GGSN方式与使用归属GGSN的问题相同。由于终端用户在本地的GGSN上激活, 使用本地GGSN的APN策略可很大程度上提高转发效率。但使用本地激活方式得到的IP地址不同, 与随机动态IP地址分配存在的问题相同, 终端用户的路由寻址困难。

3 终端用户的路由方式比较

铁路专用通信与公众移动通信网不同, 其显著的特点是大量的通信需求由网络侧发起。由于铁路各专业的特点, 很多情况下终端通信不是对IP地址访问, 而是对终端用户域名访问。对铁路GPRS来说, 从网络侧发起通信是必须解决的问题。

3.1 DNS域名解析方式

当终端用户的IP地址分配方式采用固定或动态固定方式时, 由于使用同样的IP地址, 可在DNS中制作该终端用户域名与对应IP地址的解析数据。其他业务系统发起对终端用户通信时, 由DNS设备提供地址解析。

3.2 终端地址注册方式

当终端用户完成PDP激活过程, 获取IP地址后, 先向对应的业务系统进行注册登记, 将自身当前的IP地址告知业务系统的服务器。终端必须先向网络侧发起通信, 网络不能先向终端发起通信。与DNS域名解析方式相比, 终端注册方式省略了DNS网元, 同时可使用随机动态IP地址分配方式。

3.3 动态域名注册方式

动态域名注册方式结合了随机动态IP地址分配方式和DNS终端域名解析方式的灵活性。终端用户完成PDP激活, 得到随机动态分配的IP地址后, 由DHCP设备向DNS设备发送一条动态域名添加数据, 将设备域名和终端当前的IP关联起来。无论终端用户在任何地方使用任何IP地址, 业务系统都可以使用域名对该终端发起通信。动态域名注册方式使用灵活, 但增加了由DNS注册失败带来的风险, 目前不宜在与安全相关的业务上采用。

4 不同业务的策略优化

铁路数据通信网的特点是轻载高冗余, 长途传输原则上不会产生流量拥塞, 对时延和丢包影响较小。为此, 业务采用的地址和路由策略不将这一点作为最重要因素考虑。

(1) 与行车指挥相关的铁路业务。由于机车全国运行, 同时又归当地的运输管理部门指挥, 而运输管理部门的业务系统是以机车号为目标。对此类业务需求, 使用动态IP地址固定分配方式、归属GGSN的APN策略、DNS域名解析的方式进行系统配置, 忽略长途传输带来的影响, 保证通信系统配置的安全可靠。

(2) 与行车相关的监控系统。机车为全国运行, 但监控中心可能是全国统一设置, 也可能是铁路局设置。当监控中心是全国统一设置时, 适合采用动态IP地址固定分配方式、唯一GGSN的APN策略、终端地址注册方式。当监控中心是铁路局设置时, 适合采用动态IP地址固定分配方式、带不同GGSM属性的APN策略、终端地址注册方式。

(3) 与行车无关的业务系统。由于此类业务多为固定终端, 只与本局的业务系统发生通信, 适合随机动态IP地址分配方式、本地GGSN的APN策略、终端地址注册方式。