路由器在网络地址转换中的应用网络知识

路由器在网络地址转换中的应用网络知识篇1

随着互联网以爆炸性的速度迅速膨胀，IP地址短缺及路由规模越来越大的问题日益凸显出来。为了解决这些问题，人们想出了多种解决方案。其中网络地址转换(Network Address Translation，NAT)就是一种在当前网络环境下比较有效的解决方法之一。

NAT的三种应用

所谓网络地址转换是指在一个企业网络内部，根据需要随意自定义IP地址(不需要经过申请)，即内部IP地址。在本组织内部，各计算机间通过内部IP地址进行通信。当组织内部的计算机要与外部网络进行通信时，具有NAT功能的设备(如路由器)负责将其内部IP地址转换为外部IP地址，即以该组织申请的合法IP地址进行通信。简而言之，NAT就是通过某种方式将IP地址进行转换。在网络中NAT有以下几种应用：

1. 连接Internet，但不想让网络内的所有计算机都拥有一个真正的Internet IP地址。这时借助NAT可以将申请的合法IP地址统一管理，当内部的计算机需要和互联网通信时，动态或静态地将内部IP地址转换为合法的IP地址。

2. 如果不想让外部网络了解内部的网络结构，可以通过NAT将内部网络与外部隔离开，外部用户根本不知道内部IP地址。

3. 申请的合法IP地址很少，而内部网络用户很多。此时，可以通过NAT实现多个用户同时共用一个合法IP地址与外部网络进行通信。

通过路由器实现NAT，要求路由器至少要有一个Inside(内部)端口和一个Outside(外部)端口。内部端口连接的网络内用户使用私有IP地址，即内部端口连接内部网络，且内部端口可以与任意一个中心交换机交换端口相联(一般为RJ45口)。外部端口连接的是外部网络，如Internet。外部端口也可以与电信提供的光纤(需转换到RJ45接口)线路相联。

一般来讲，NAT设置在内部网与外部公用网连接处的路由器上。当IP数据包离开内部网时，NAT负责将内部IP地址转换成合法IP地址。当IP数据包进入内部网时，NAT将合法IP目的地址转换成内部IP地址。

这里要特别注意，启用NAT功能的路由器，一定不能将内部网络路由信息广播到外部。

NAT转换配置实例

NAT设置分为静态地址转换(Static NAT)、动态地址转换(Dynamic NAT)、复用(overloading)动态地址转换。下面分别讲述这几种方式的配置方法:

1.静态地址转换配置这里将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。如果内部网络有E-mail或FTP等可以为外部用户提供服务的服务器，这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。

实例中主机(10.1.1.2)连接到路由器以太网口(网关：10.1.1.1/24)上，路由器配置NAT，并将源IP地址10.1.1.2转换为195.1.1.100。如图1所示:

以下是通过路由器的“Show Running”命令显示的正在运行的实时配置信息：

BITWAY：

hostname Router

interface FastEthernet0/0

ip address 10.1.1.1 255.255.255.0

ip nat inside //配置NAT内部接口

interface Serial1/0

ip address 195.1.1.1 255.255.255.0

clock rate 64000

ip nat outside //配置NAT外部接口

ip nat enable

ip nat inside source static 10.1.1.2 195.1.1.100 //建立静态地址转换

ip route 0.0.0.0 0.0.0.0 Serial 1/0

end

2.动态地址转换配置将本地地址与内部合法地址进行一对一转换，但是是从内部合法地址池中动态地选择一个未使用的地址对内部本地地址进行转换，

实例中多台主机(10.1.1.x)通过交换设备连接到路由器以太网口(网关：10.1.1.1/24)上，路由器配置动态NAT，指定转换地址池Test范围：195.1.1.3～195.1.1.10，并将源IP地址10.1.1.x转换为地址池规定的地址。如图2所示：

具体配置：

BITWAY：

hostname BITWAY

interface FastEthernet0/0

ip address 10.1.1.1 255.255.255.0

ip nat inside //配置NAT内部接口

interface Serial1/0

ip address 195.1.1.1 255.255.255.0

ip nat outside //配置NAT外部接口

aclearcase/“ target=”_blank“ >ccess-list 1 permit 10.1.1.0 0.0.0.255

//定义访问控制列表

ip nat enable //启用NAT转换

ip nat pool test 195.1.1.3 195.1.1.10 netmask 255.255.255.0 //建立地址池

ip nat inside source list 1 pool test

//建立动态地址转换

end

3.NAT转换接口复用配置该配置步骤同动态地址转换配置。只是在“ip nat inside source list” 命令中使用“interface”参数，这将允许多个内部地址使用相同的全局地址即指定接口地址。如图3所示:

具体配置：

BITWAY

hostname BITWAY

interface FastEthernet0/0

ip address 10.1.1.1 255.255.255.0

ip nat inside //配置NAT内部接口

interface Serial1/0

ip address 195.1.1.1 255.255.255.0

ip nat outside //配置NAT外部接口

access-list 1 permit any //配置访问列表

ip nat enable //启用NAT转换

ip nat inside source list 1 interface s 1/0

overload //建立NAT接口复用转换

ip route 0.0.0.0 0.0.0.0 Serial 1/0

end

上述配置步骤中，访问列表定义使用的是标准Access-List规则，在实际应用中也可以使用扩展访问列表。(本文作者系宿州师范专科学校教师)

路由器在网络地址转换中的应用网络知识篇2

NAT英文全称是Network Address Translation, 网络地址转换, 它是一个IETF标准, 允许一个机构以一个地址出现在Internet上。NAT将每个局域网节点的地址转换成一个IP地址, 反之亦然。它也可以应用到防火墙技术里, 把个别IP地址隐藏起来不被外界发现, 使外界无法直接访问内部网络设备, 同时, 它还帮助网络可以超越地址的限制, 合理地安排网络中的公有Internet地址和私有IP地址的使用。

2、NAT技术的基本原理和类型

1、NAT技术基本原理

NAT技术能帮助解决IP地址紧缺的问题, 而且能使得内外网络隔离, 提供一定的网络安全保障。它解决问题的办法是:在内部网络中使用内部地址, 通过NAT把内部地址翻译成合法的IP地址在Internet上使用, 其具体的做法是把IP包内的地址域用合法的IP地址来替换。NAT功能通常被集成到路由器、防火墙、IS-DN路由器或者单独的NAT设备中。NAT设备维护一个状态表, 用来把非法的IP地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址, 发往下一级, 这意味着给处理器带来了一定的负担。但对于一般的网络来说, 这种负担是微不足道的。

2、NAT技术的类型

NAT有三种类型:静态NAT (Static NAT) 、动态地址NAT (Pooled NAT) 、网络地址端口转换NAPT (Port-Level NAT) 。其中静态NAT设置起来最为简单和最容易实现的一种, 内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址, 采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要, 三种NAT方案各有利弊。

动态地址NAT只是转换IP地址, 它为每一个内部的IP地址分配一个临时的外部IP地址, 主要应用于拨号, 对于频繁的远程联接也可以采用动态NAT。当远程用户联接上之后, 动态地址NAT就会分配给他一个IP地址, 用户断开时, 这个IP地址就会被释放而留待以后使用。

网络地址端口转换NAPT (Network Address Por Translation) 是人们比较熟悉的一种转换方式。NAPT普遍应用于接入设备中, 它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不同, 它将内部连接映射到外部网络中的一个单独的IP地址上, 同时在该地址上加上一个由NAT设备选定的TCP端口号。

在Internet中使用NAPT时, 所有不同的TCP和UDP信息流看起来好像来源于同一个IP地址。这个优点在小型办公室内非常实用, 通过从ISP处申请的一个IP地址, 将多个连接通过NAPT接入Internet。实际上, 许多SOHO远程访问设备支持基于PPP的动态IP地址。这样, ISP甚至不需要支持NAPT, 就可以做到多个内部IP地址共用一个外部IP地址上Internet, 虽然这样会导致信道的一定拥塞, 但考虑到节省的ISP上网费用和易管理的特点, 用NAPT还是很值得的。

3、在Internet中使用NAT技术

NAT技术可以让你区域网路中的所有机器经由一台通往Internet的server线出去, 而且只需要注册该server的一个IP就够了。在以往没有NAT技术以前, 我们必须在server上安装sockd, 并且所有的clients都必须要支援sockd, 才能够经过server的sockd连线出去。这种方式最大的问题是, 通常只有telnet/ftp/www-browser支援sockd, 其它的程式都不能使用;而且使用sockd的速度稍慢。因此我们使用网络地址转换NAT技术, 这样client不需要做任何的更动, 只需要把gateway设到该server上就可以了, 而且所有的程式 (例如kali/kahn等等) 都可以使用。最简单的NAT设备有两条网络连接:一条连接到Internet, 一条连接到专用网络。专用网络中使用私有IP地址 (有时也被称做Network 10地址, 地址使用留做专用的从100.0.0开始的地址) 的主机, 通过直接向NAT设备发送数据包连接到Internet上。与普通路由器不同NAT设备实际上对包头进行修改, 将专用网络的源地址变为NAT设备自己的Internet地址, 而普通路由器仅在将数据包转发到目的地前读取源地址和目的地址。

4、应用NAT技术的安全策略

1、应用NAT技术的安全问题

在使用NAT时, Internet上的主机表面上看起来直接与NAT设备通信, 而非与专用网络中实际的主机通信。输入的数据包被发送到NAT设备的IP地址上, 并且NAT设备将目的包头地址由自己的Internet地址变为真正的目的主机的专用网络地址。而结果是, 理论上一个全球唯一IP地址后面可以连接几百台、几千台乃至几百万台拥有专用地址的主机。但是, 这实际上存在着缺陷。例如, 许多Internet协议和应用依赖于真正的端到端网络, 在这种网络上, 数据包完全不加修改地从源地址发送到目的地址。比如, IP安全架构不能跨NAT设备使用, 因为包含原始IP源地址的原始包头采用了数字签名。如果改变源地址的话, 数字签名将不再有效。NAT还向我们提出了管理上的挑战。尽管NAT对于一个缺少足够的全球唯一Internet地址的组织、分支机构或者部门来说是一种不错的解决方案, 但是当重组、合并或收购需要对两个或更多的专用网络进行整合时, 它就变成了一种严重的问题。甚至在组织结构稳定的情况下, NAT系统不能多层嵌套, 从而造成路由噩梦。

2、应用NAT技术的安全策略

当我们改变网络的IP地址时, 都要仔细考虑这样做会给网络中已有的安全机制带来什么样的影响。如, 防火墙根据IP报头中包含的TCP端口号、信宿地址、信源地址以及其它一些信息来决定是否让该数据包通过。可以依NAT设备所处位置来改变防火墙过滤规则, 这是因为NAT改变了信源或信宿地址。如果一个NAT设备, 如一台内部路由器, 被置于受防火墙保护的一侧, 将不得不改变负责控制NAT设备身后网络流量的所有安全规则。在许多网络中, NAT机制都是在防火墙上实现的。它的目的是使防火墙能够提供对网络访问与地址转换的双重控制功能。除非可以严格地限定哪一种网络连接可以被进行NAT转换, 否则不要将NAT设备置于防火墙之外。任何一个淘气的黑客, 只要他能够使NAT误以为他的连接请求是被允许的, 都可以以一个授权用户的身份对你的网络进行访问。如果企业正在迈向网络技术的前沿, 并正在使用IP安全协议 (IPSec) 来构造一个虚拟专用网 (VPN) 时, 错误地放置NAT设备会毁了计划。原则上, NAT设备应该被置于VPN受保护的一侧, 因为NAT需要改动IP报头中的地址域, 而在IPSec报头中该域是无法被改变的, 这使可以准确地获知原始报文是发自哪一台工作站的。如果IP地址被改变了, 那么IPSec的安全机制也就失效了, 因为既然信源地址都可以被改动, 那么报文内容就更不用说了。那么NAT技术在系统中我们应采用以下几个策略:

(1) 网络地址转换模块

NAT技术模块是本系统核心部分, 而且只有本模块与网络层有关, 因此, 这一部分应和Unix系统本身的网络层处理部分紧密结合在一起, 或对其直接进行修改。本模块进一步可细分为包交换子模块、数据包头替换子模块、规则处理子模块、连接记录子模块与真实地址分配子模块及传输层过滤子模块。

(2) 集中访问控制模块

集中访问控制模块可进一步细分为请求认证子模块和连接中继子模块。请求认证子模块主要负责和认证与访问控制系统通过一种可信的安全机制交换各种身份鉴别信息, 识别出合法的用户, 并根据用户预先被赋予的权限决定后续的连接形式。连接中继子模块的主要功能是为用户建立起一条最终的无中继的连接通道, 并在需要的情况下向内部服务器传送鉴别过的用户身份信息, 以完成相关服务协议中所需的鉴别流程。

(3) 临时访问端口表

为了区分数据包的服务对象和防止攻击者对内部主机发起的连接进行非授权的利用, 网关把内部主机使用的临时端口、协议类型和内部主机地址登记在临时端口使用表中。由于网关不知道内部主机可能要使用的临时端口, 故临时端口使用表是由网关根据接收的数据包动态生成的。对于入向的数据包, 防火墙只让那些访问控制表许可的或者临时端口使用表登记的数据包通过。

(4) 认证与访问控制系统

认证与访问控制系统包括用户鉴别模块和访问控制模块, 实现用户的身份鉴别和安全策略的控制。其中用户鉴别模块采用一次性口令 (One-Time Password) 认证技术中Challenge/Response机制实现远程和当地用户的身份鉴别, 保护合法用户的有效访问和限制非法用户的访问。它采用Telnet和WEB两种实现方式, 满足不同系统环境下用户的应用需求。访问控制模块是基于自主型访问控制策略 (DAC) , 采用ACL的方式, 按照用户 (组) 、地址 (组) 、服务类型、服务时间等访问控制因素决定对用户是否授权访问。

(5) 网络安全监控系统

监控与入侵检测系统作为系统端的监控进程, 负责接受进入系统的所有信息, 并对信息包进行分析和归类, 对可能出现的入侵及时发出报警信息;同时如发现有合法用户的非法访问和非法用户的访问, 监控系统将及时断开访问连接, 并进行追踪检查。

(6) 基于WEB的防火墙管理系统

管理系统主要负责网络地址转换模块、集中访问控制模块、认证与访问控制系统、监控系统等模块的系统配置和监控。它采用基于WEB的管理模式, 由于管理系统所涉及到的信息大部分是关于用户帐号等敏感数据信息, 故应充分保证信息的安全性, 我们采用JA-VA APPLET技术代替CGI技术, 在信息传递过程中采用加密等安全技术保证用户信息的安全性。

5、结论:

尽管NAT技术可以给我们带来各种好处, 例如无需为网络重分IP地址、减少ISP帐号花费以及提供更完善的负载平衡功能等, NAT技术对一些管理和安全机制的潜在威胁仍在, 看你如何正确应用好网络地址转换NAT技术.

摘要：随着Internet技术的不断以指数级速度的增长, 珍贵的网络地址分配对于专用网络被视作是一种对宝贵资源的浪费。因此出现了网络地址转换 (NAT) 标准, 就是将某些IP地址留出来供专用网络重复使用。本文将详细告诉讲述如何正确应用网络地址转换NAT技术。

浅谈路由器在网络中的应用篇3

关键词：路由器；网络；NAT；CIDR；第三层交换

中图分类号：TP393文献标识码：A文章编号：1007-9599 (2011) 08-0000-02

The Application of the Router in the Network

Jiang Liwei

(State Forestry Administration, Inventory and Planning Design Institute,Beijing100714,China)

Abstract:The router is connected to the Internet in the local area network,wide area network equipment,it will be the case according to the channel automatically selected and set route,to the best path,according to the order before sending the signal equipment.The current router has been widely used in various industries,various grades of products have become the backbone to achieve a variety of internal connections,the backbone of network interconnection and interoperability with the Internet backbone business of the main force.This paper introduces the concept of the router and the main technology,and through case studies of the routers in the network and application works.

Keywords:Router;Network;NAT;CIDR;The third layer switching

一、路由器概述

路由器是一种典型的网络层设备，它用于连接多个逻辑上分开的网络。所谓逻辑网络代表一个单独的网络或者一个子网。当数据从一个子网传输到另一个子网时，可通过路由器来实现。因此，路由器具有判断网络地址和选择路径的功能，它能在多网络互联环境中，建立灵活有效的连接，可用不同的数据分组和介质访问方法去连接各种子网。路由器只接受本地路由器或其他路由器的信息，属于网络层的一种互联设备。它不关心各子网使用的硬件设备，但要求与网络层协议相一致的软件。

路由器的主要工作就是为经过路由器的每个数据帧寻找一条最佳传输路径，并将该数据帧有效的传送到目的站点。由此可见，选择最佳路径的策略即路内算法是路由器的关键所在。为了完成这个工作，在路由器中保存着各种传输路径的相关数据，即路由表，供路由选择时使用。路由表中保存着各子网的标志信息、网上路由器的个数和下一个路由器的名字等内容。路由表可以是由系统管理员固定设置好的，也可以由系统动态修改，可以由路由器自动调整，也可以由主机控制。

二、路由器技术分析

因特网发展过程中有许多问题需要解决。问题之一就是随着网络互连规模的扩大和信息流量的增加，路由器逐渐成为网络通信的瓶颈。从二十世纪八十年代以来，路由器以其高度的灵活性和安全性在局域网分割和广域互连中得到广泛应用，然而路由器是无连接的设备，它对每个数据包独立的进行路由选择，哪怕是同一对主机之间的通信，都要对各个数据包单独处理，这样的开销使得路由器的吞吐率相对于交换机大为降低。因特网面临的另外一个问题是IP地址短缺问题。解决这个问题有所谓长期的或短期的两种解决方案。长期的解决方案就是使用具有更大空间的IPv6协议，短期的解决方案有网络地址翻译（Network Address Translators，NAT）和无类别的域间路由技术（Classless Inter Domain Routing，GIDR）等，这些技术都是在现有IPv4路由器中实现的。

（一）NAT技术

NAT技术主要解决IP地址短缺问题，最初提出的建议是在子网内部使用局部地址，而在子网外部使用少量的全局地址，通过路由器进行内部和外部地址的转换。局部地址是在子网内部独立编址的，可以与外部地址重叠。这种想法的基础是假定在任何时候子网中只是少数计算机需要与外部通信，可以让这些计算机共享少量的全局IP地址。后来根据这种技术由开发出其他一些应用。

1.第一种应用是动态地址翻译。为此首先引入存根域的概念，所谓存根域就是内部网络的抽象，这样的网络只处理源和目标都在子网内部的通信。任何时候存根域内只有一部分主机要与外界通信，甚至还有许多主机可能从不与外界通信，所以整个存根域只需共享少量的全局IP地址。存根域有一个边界路由器，由它来处理域内主机与外部网络的通信。

2.第二中特殊的NAT应用是m：1翻译，这种技术也叫做伪装，因为用一个路由器的IP地址可以把子网中所有主机的IP地址都隐蔽起来。如果子网中有多个主机同时都要通信，那么还要对端口号进行翻译，所以这种技术更经常被称为网络地址和端口翻译（Network Address Port Translation，NAPT）。在很多NAPT实现中专门保留一部分端口号给伪装使用，叫做伪装端口号。

（二）CIDR技术

CIDR技术解决路由收缩问题。所谓路由缩放问题，有两层含义：其一是对于大多数中等规模的组织没有适合的地址空间，这样的组织一般拥有几千台主机，C类网络太小，只有254个地址，B类网络太大，有65000多个地址，A类网络就更不用说了，况且A类和B类地址快要分配完了：其二是路由表增长太快，如果所有的C类网络号都在路由表中占一行，这样的路由表太大了，其查找速度将无法达到满意的程度。CIDR技术就是解决这个问题的，它可以把若干个C类网络分配给一个用户，并且在路由表中只占一行，只是一种将大块的地址空间合并为少量路由信息的策略。

（三）第三层交换技术

所谓第三层交换，是指利用第二层交换的高带宽和低延迟优势尽快地传送网络层分组的技术。交换与路由不同，前者用硬件实现，速度快，而后者由软件实现，速度慢。三层交换机的工作原理可以概括为：一次路由，多次交换。

三、路由器在网络中的应用

（一）路由器互联的网络基本工作原理

我们通过下图中主机A向主机B发送数据的传输过程，来说明用路由器互联的网络的基本工作原理：

当主机A要向主机B发送数据时，主机A的应用层数据传送给传输层；传输层在Data前面加上TCP的报头TCP-H后，将报头TCP-H+数据传送给网络层；网络层在它的前面再加上IP报头IP-H后，将（TP-H+TCP-H+Data）传送给LLC子层。依照以上的规律，通过局域网1发送帧的内存为（MAC1-H+LLC-H+TCP-H+Data）。

当路由器1接受到该帧时，由于路由器1端口1的LLC、MAC子层与物理层采用802.3标准的以太网协议，与局域网1保持一致，因此它可以通过MAC、LLC子层的顺序，将（IP-H+TCP-H+Data）整体作为高层数据传送到路由器1的网络层。网络层根据IP报头IP-H中的源IP地址与目的IP地址，通过路由表查找输出路径。

如果路由表标明了该分组应该通过路由器1的端口2发送到X.25网，那么路由器1通过端口2的X.25分组交换网的网络层、数据链路层，逐级在（IP-H+TCP-H+Data）之前加上X.25-3分组头与X.25-2帧头、帧尾，再由物理层，通过X.25分组交换网，传输到远程的路由器2.

当路由器2的端口1接收到该分组之后，它按照X.25分组交换网的数据链路层、网络层的顺序，逐级除去X.25分组头与X.25帧头、帧尾，将（IP-H+TCP-H+Data）交给路由器2的路由处理软件。路由器2的路由处理软件发现分组的目地主机就在端口2连接的局域网2上，那么它就会将（IP-H+TCP-H+Data）作为网络层的高层数据，通过端口2对应的LLC、MAC子层的顺序，按照802.2、802.5 Token Ring协议标准逐级加上帧头，再由Token Ring的物理层传输到主机B。

主机B在接受到该帧之后，按照MAC、LLC子层顺序，逐级除去802.5帧头，将（IP-H+TCP-H+Data）分组交主机B的网络层。主机B的网络层根据目的IP地址判断是它应该接收的分组后，除去IP协议头IP-H，将正确的（TCP-H+Data）送交主机的传输层。

从以上讨论可以看出，通过路由器连接两个网络，它们的物理层、数据链路层与网络层协议可以是不同的，只是因为路由器在不同的端口根据连接的网络类型的不同，已经考虑了端口的各层的协议一致性问题。但是，网络层以上的高层要采用相同的协议。

（二）案例分析

下面给出某网络的拓扑结构和设备及接口信息表图。图中交换机均为Cisco Catalyst 2960，路由器均为Cisco 2621。

网络拓扑结构图

问题1：为路由器Router2规划IP地址，并说明选择所规划IP地址及子网掩码的理由，为FA0/0和S1/1接口配置IP地址并启用接口。

问题分析：VLSM，即变长子网掩码。是一种产生不同大小子网的网络分配机制，指一个网络可以配置不同的掩码。提出变长子网掩码的想法就是在每个子网保留足够主机数的同时，把一个子网进一步分成多个小子网以便更有效的节省IP地址。如果没有VLSM，在一个网络中只能用同样的子网掩码，这样每个子网中具有相同的主机数，缺乏灵活性。VLSM技术对高效分配IP地址以及减少路由表都有非常重要的作用，但需要注意的是，使用VLSM时，所采用的路由协议必须能够支持它，这些路由协议包括RIP2、OSPF、EIGRP和BGP。换言之，无类路由选择网络中可以使用VLSM，而有类路由选择网络中不能使用VLSM。

解决问题：根据链路对端的IP地址及子网掩码，可计算出Router2 Fa0/0端口的IP地址为202.114.66.6/30，S1/1端口的IP地址为202.114.66.10/30.

Router2（config） # interface fa0/0

Router（config-if） #ip address 202.114.66.6 255.255.255.252

Router（config-if） #no shutdown

Router（config-if） #interface seriall/1

Router（config-if） #ip addr 202.114.66.10 255.25.255.252

Router（config-if） #clock rate 64000

Router（config-if） #no shutdown

问题2：因为IP地址紧张，路由器Router1 Fa0/1接口所连接的局域网分配内部IP地址192.168.1.X/24，要求在Router1中要配置网络地址转换，即NAT，外部地址为Fa0/0接口的地址为202.114.66.5/30。

问题分析：要解决这个难题，需要了解路由器接口的一些基本配置方法及命令，如下

Router（config）# interface type slot/prot*进入接口配置模式

Router（config-if）# ip address ip_address subnet_mask *设置接口的IP地址和子网掩码

Router（config-if）# no shutdown*开启一个接口

解决问题：Router1（config）# interface fa0/1

Router1（config-if）#ip address 192.168.1.254255.255.255.0

Router1（config-if）#ip nat inside

Router1（config-if）#interface fa0/0

Router1（config-if）#ip address 202.114.66.5 255.255.255.252

Router1（config-if）#ip nat outside

Router1（config）#ip nat inside source list 1 interface fastethernet0/0 overload

Router1（config）#access-list 1 permit 192.168.1.00.0.0.255

四、结语

路由器在网络中发挥着越来越重要的作用，但在实际应用中，仍存在诸多问题需要解决。随着网络技术及设备不断发展，相信在不久的将来，在路由器的使用上会更加合理、方便和安全。

参考文献：

[1]刘跃军.一种接入路由器的设计与实现[J].安阳师范学院学报,2004,5

[2]李映,王汝传,徐小龙.卫星网络中IP路由技术的研究[J].重庆邮电学院学报（自然科学版）,2004,2

路由器在网络地址转换中的应用网络知识篇4

教学内容： IP地址。

教学目的：掌握IP地址的基本概念、分类、子网掩码。教学重难点：子网掩码。教学课时：3课时教学过程：

一、定义。

IP地址被用来给Internet上的电脑一个编号。大家日常见到的情况是每台联网的PC上都需要有IP地址，才能正常通信。我们可以把“个人电脑”比作“一台电话”，那么“IP地址”就相当于“电话号码”，而Internet中的路由器，就相当于电信局的“程控式交换机”。

IP地址是一个32位的二进制数，通常被分割为4个“8位二进制数”（也就是4个字节）。IP地址通常用“点分十进制”表示成（a.b.c.d）的形式，其中，a,b,c,d都是0~255之间的十进制整数。例：点分十进IP地址（100.4.5.6），实际上是32位二进制数（01100100.00000100.00000101.00000110）。

IP地址（英语：Internet Protocol Address）是一种在Internet上的给主机编址的方式，也称为网际协议地址。常见的IP地址，分为IPv4与IPv6两大类。

二、结构。

将IP地址分成了网络号和主机号两部分，设计者就必须决定每部分包含多少位。网络号的位数直接决定了可以分配的网络数（计算方法2^网络号位数-2）；主机号的位数则决定了网络中最大的主机数（计算方法2^主机号位数-2）。然而，由于整个互联网所包含的网络规模可能比较大，也可能比较小，设计者最后聪明的选择了一种灵活的方案：将IP地址空间划分成不同的类别，每一类具有不同的网络号位数和主机号位数。

三、分类 IP地址分类：

A：首位为0；1.0.0.0~126.0.0.0；主机号24位 B：前两位为10；128.1.0.0~191.255.0.0；主机号16位 C：前三位为110；192.0.1.0~223.255.255.0；主机号8位 D：前四位为1110；224.0.0.0~239.255.255.255（组播）E：前四位为1111；240.0.0.0~255.255.255.254（保留、实验）主机号为0的网络地址，表示网络本身。例如202.120.95.0表示一个C类网络。

主机号全为1的地址保留做为定向广播。例如202.120.95.255表示一个广播地址。

127.0.0.0保留用于环回用来测试TCP/IP以及本机进程间的通信。故网络号为127的分组永远不会出现在网络上，而且主机或者路由器永远不能为127的地址传播选路或者可达性信息。他不是一个网络地址。

在IP地址3种主要类型里，各保留了3个区域作为私有地址，其地址范围如下： A类地址：10.0.0.0～10.255.255.255 B类地址：172.16.0.0～172.31.255.255 C类地址：192.168.0.0～192.168.255.255 还有一个全1的网络地址，即255.255.255.255是一个受限的网络地址，用于广播

四、子网与子网掩码

子网划分是通过借用IP地址的若干位主机位来充当子网地址从而将原网络划分为若干子网而实现的。

划分子网时，随着子网地址借用主机位数的增多，子网的数目随之增加，而每个子网中的可用主机数逐渐减少。以C类网络为例，原有8位主机位，2的8次方即256个主机地址，默认子网掩码255.255.255.0。借用1位主机位，产生2个子网，每个子网有126个主机地址；借用2位主机位，产生4个子网，每个子网有62个主机地址„„每个网中，第一个IP地址（即主机部分全部为0的IP）和最后一个IP（即主机部分全部为1的IP）不能分配给主机使用，所以每个子网的可用IP地址数为总IP地址数量减2；根据子网ID借用的主机位数，我们可以计算出划分的子网数、掩码、每个子网主机数，列表如下： ① 划分子网数 ② 子网位数 ③子网掩码（二进制）④ 子网掩码（十进制）⑤ 每个子网主机数

① 1～2 ② 1 ③ 11111111.11111111.11111111.10000000 ④ 255.255.255.128 ⑤ 126 ① 3～4 ② 2 ③ 11111111.11111111.11111111.11000000 ④ 255.255.255.192 ⑤ 62 ① 5～8 ② 3 ③ 11111111.11111111.11111111.11100000 ④ 255.255.255.224 ⑤ 30 ① 9～16 ② 4 ③ 11111111.11111111.11111111.11110000 ④ 255.255.255.240 ⑤ 14 ① 17～32 ② 5 ③ 11111111.11111111.11111111.11111000 ④ 255.255.255.248 ⑤ 6 ① 33～64 ② 6 ③ 11111111.11111111.11111111.11111100 ④ 255.255.255.252 ⑤ 2 如上表所示的C类网络中，若子网占用7位主机位时，主机位只剩一位，无论设为0还是1，都意味着主机位是全0或全1。由于主机位全0表示本网络，全1留作广播地址，这时子网实际没有可用主机地址，所以主机位至少应保留2位。相关子网的划分练习。

五、总结。

路由器在网络地址转换中的应用网络知识篇5

一、IP地址

为了保证Internet网上主机通信时能够相互识别, 不引发冲突, 必须给每一台计算机分配一个独一无二的标识符, 而IP地址就正是授权机构给每一个接入Internet的主机分配的一个计算机标识符。根据TCP/IP协议的规定, IP地址由32位二进制数组成, 而且在Internet范围内是唯一的, 但这些二进制数字不方便书写和记忆。人们为了便于书写和记忆, 又将32位二进制的IP地址分成四组, 每组8位二进制数, 每组中间用点号隔开, 然后再将每组二进制数转换成等值的十进制数, 如222.23.28.4就是一个合法的IP地址。

Internet的TCP/IP协议采用了一种全局通用的地址格式, 为全网的主机都分配一个IP地址 (由网络地址和主机地址两部分) , 以此屏蔽物理网络地址的差异。IP地址的这种结构有利于在Internet上方便地寻址, 即:先按IP地址中的网络号找到通信的对方所在的网络, 再按主机号找到主机, 网络地址用于路由选择, 而主机地址用于在网络或子网内部寻找一个主机。TCP/IP的这一特点使Internet成为一个单一的虚拟网络, 一个网络节点向另外一个网络节点发送数据时, 不用去考虑数据包如何传送、也不用考虑数据包是如何接收的, 只要知道目的节点的IP地址就可以了, 其他的交给TCP/IP协议去完成。

一般国际互联网信息中心在分配IP地址时是按照网络来分配的, 组织机构在申请地址时, 实际上是分配到一个网络地址。在分配网络地址时, 网络标识是固定的, 而计算机主机地址是可以在一定范围内变化的, 由申请单位自行组织, IP地址也不反映任何有关主机位置的地理信息。

二、MAC地址

MAC地址是 (Media Access Control) 介质访问控制的简称, 又称物理地址、硬件地址。它是每块以太网卡的标志符, 是一个48位的二进制数, 每块网卡的MAC地址都是唯一的。以太网卡厂家必须向IEEE的相应组织申请MAC地址, 为其生产的网卡编号。每块网卡在出厂时其MAC地址固化在网卡EPROM中。任何两个网卡, 不管它们是哪一个厂家的产品, 其MAC地址都不应相同。这个地址与网络无关, 无论接入到网络的任何位置, 它的MAC地址不变, MAC地址一般不能改变, 用户不能自己设定。

MAC地址共48位, 前24位是由生产厂家向IEEE (电气与电子工程师协会) 申请的厂商地址, 后24位就由生产厂家自行拟定 (早期2字节的MAC却不用申请) 。通常表示为12个16进制数, 每2个16进制数之间用冒号隔开, 如:00:15∶E4∶2D∶1 A∶D6就是一个MAC地址, 其中前6位16进制数00:15∶E4代表网络硬件制造商的编号, 它由IEEE分配, 而后3位16进制数2D∶1 A∶D代表该制造商所制造的某个网络产品 (如网卡、路由器等) 编号。每个网络制造商必须确保所制造的每个以太网设备MAC地址的前三个字节相同而后三个字节不同, 这样就可保证世界上每个以太网设备都具有唯一的MAC地址。

三、MAC地址和IP地址应用

1、IP和MAC地址的获取

获取获得IP和MAC地址的方法很多, 最常用的方法是, 在Windows 2000/XP中, 依次单击“开始”→“程序”→“附件”→“命令提示符”。在命令提示符窗口输入“ipconfig/all”, 按回车来获得。

2、IP子网掩码

IP地址的两级地址存在空间的利用率低, 不够灵活的问题, 而且给每一个物理网络分配一个网络号会使路由表变得太大而使网络性能变坏等问题。为了解决上述问题, 人们在主机地址中又增加了若干位子网号段。不但可较好地解决上述问题, 而且使用起来也灵活, 这种做法叫作子网路由选择或子网寻址或划分子网。划分子网的方法是从网络的主机号借用若干个比特作为子网号, 而主机号也就相应减少若干个比特。IP子网地址表示方法, 为了快速找到主机所处的网络地址, 子网掩码中的“1”对应于地址中的网络号和子网号, 而子网掩码中的“0”对应于地址中的主机号。使用子网掩码的好处在于:不管网络有没有划分子网和网络字段的长度, 只要将IP地址和子网掩码进行逐比特的与运算, 就能得出网络地址, 这样在路由器处理到来的分组时就可以采用同样的算法。

子网掩码是一个32位地址, 用于屏蔽IP地址的一部分以区别网络标识和主机标识, 并说明该IP地址是在局域网上, 还是在远程网上, 也就是多个IP地址是否在同一个子网中。

用于子网掩码的位数决定于可能的子网数目和每个子网的主机数目, 在定义子网掩码前, 必须弄清楚本来使用的子网数和主机数目。定义子网掩码的步骤为:

(1) 确定哪些组地址归我们使用, 网络地址IP地址的类别。

(2) 根据我们现在所需的子网数以及将来可能扩充到的子网数, 确定扩展主机地址中的前几位来定义子网。

(3) 把该IP地址对应初始网络号和扩展的网络号的各个位都置为“1”, 把剩余的主机位全部置“0”。

(4) 把这个数转化为地址的点分计数十进制形式为, 即为该网络的子网掩码。

有了子网掩码后, 网络间主机在通信时。两台计算机各自的IP地址与子网掩码进行与运算后, 如果得出的结果是相同的, 则说明这两台计算机是处于同一个子网络上的, 交换信息可以直接 (不通过路由器) 进行, 否则需要通过路由器。

3、IP地址和MAC地址的修改

MAC地址相当于你的网络标识, 在局域网里, 管理人员常常将网络端口与客户机的MAC地址绑定, 方便管理。如果网卡坏了, 换一张网卡必须向管理人员申请更改绑定的MAC地址, 比较麻烦。如果这时我们又急于上网, 可直接在操作系统里更改一下MAC, 就可以不重新申请, 减少了很多麻烦。

一般MAC地址在网卡中是固定的, 修改自己的MAC地址有两种方法, 一种是硬件修改, 另外一种是软件修改。

(1) 硬件修改就是直接对网卡进行操作, 修改保存在网卡的EPROM里面的MAC地址, 通过网卡生产厂家提供的修改程序可以更改存储器里的地址。EPROM是电可擦写的, 可以反复改变其中数据的存储器。

(2) 软件修改就相对来说要简单得多了, 在Windows中, 可通过修改网卡的相关信息来修改MAC地址, 但这种方法并没有真正修改网卡的MAC地址, 仅对从注册表中读取MAC的应用程序有效.这里以常见的几种操作系统为例说明修改的方法。

在Windows 2000/XP下:

第一步:在“我的电脑”图标上单击右键, 在快截菜单中选择“设备管理器”, 打开设备管理器的窗口。

第二步:在设备列表中找到“网络适配器”, 在它的下面找到安装的网卡, 双击该网卡打开网络适配器的属性窗口。

第三步:在该窗口中选择高级选项卡, 在属性列表里找到“网络卡位址/Network Address”, 在右边选择“值”选项, 并在后面的文本框中输入要更改的新的MAC地址, 如图1所示, 将原来的物理地址改成“0015F8B73EBC”。

第四步:关闭网络重起计算机网络适配器的属性窗口, 并重新启动计算机, 即完成对该计算机的物理地址的修改。

另一种方法稍微麻烦, 就是通过修改注册表来实现, 由于网卡的MAC保存在注册表中, 实际使用也是从注册表中提取的, 所以只要修改注册表就可以改变MAC。这种方法并没有真正修改网卡的MAC地址, 所以仅对从注册表中读取MAC的应用程序有效。一般打开注册表后新建一个名为Net-Work Address的串值, 设键值为你要的MAC地址来实现MAC地址的修改。完成上述操作后重启系统就好了。

Linux下的修改必须关闭网卡设备, 否则会报告系统忙, 无法更改。

4、端口绑定

目前, IP地址盗用或地址欺骗就是一个常见网络安全危害极大的因素, 盗用外部网络的IP地址比较困难, 因为路由器等网络互连设备一般都会设置通过各个端口的IP地址范围, 不属于该IP地址范围的报文将无法通过这些互连设备, 但如果盗用的是内部合法用户的IP地址, 网络互连设备就无能为力了, 对于内部的IP地址被盗用, 绑定MAC地址与IP地址就是一个常用的、简单的、有效的措施。

可以通过简单的交换机端口绑定, 让一些IP地址只有指定的MAC地址才可以与之匹配使用, 这样能防止其他计算机盗用网络地址。通过交换机端口绑定 (端口的MAC表使用静态表项) , 可以在每个交换机端口只连接一台主机的情况下防止修改MAC地址的盗用, 如果是三层设备还可以提供:交换机端口/IP/MAC三者的绑定, 就可防止修改MAC的IP盗用。一般绑定MAC地址都是在交换机和路由器上配置的, 是网管人员完成, 对于一般用户来说只要了解了绑定的作用就行了, 比如你在校园网中把自己的笔记本电脑换到另外一个办公楼无法上网了, 这个就是因为MAC地址与IP地址 (端口) 绑定引起的。实现绑定的方法很多, 如在DOS方式下, 可用命令ARP实现.如:ARP-s 222.23.16.72 00-15-5F-AC-32-E1, 即可把MAC地址00-15-5F-AC-32-E1和IP地址222.23.16.72地址捆绑在一起。

5、域名系统

IP地址是在网络上分配给每台计算机或网络设备在Internet上全世界唯一的32位数字标识。但是它不容易记忆, 为了方便用户记忆网站的IP地址, 授权机构就又给计算机取了一个名字, 这个名字就叫做域名, 域名是Internet上用来寻找网站所用的名字, 是Internet上的重要标识。每一台主机都对应一个IP地址, 每一个IP地址由一连串的数字组成, 人们为了方便记忆就用域名来代替这些数字来寻找主机, 如myjsj.com。每一个域名与IP地址是一一对应的, 计算机的域名地址和用数字表示的IP地址实质上是一样的, 每一个网址和E-maill都要用到域名。域名一般用可以英文字母和阿拉伯数字以及横杠“-”组成, 最长可达67个字符 (包括后缀) , 并且字母的大小写没有区别, 每个层次最长不能超过22个字母。域名是一个用户级地址, 通信时必须翻译成IP地址 (DNS解析服) 。

用户在上网时, 把域名输入浏览器以后, 浏览器就会自动把这个域名送到域名服务器 (DNS服务器) 。DNS服务器中主要存放着计算机的域名和IP地址相关联的数据库表。DNS服务器收到传来的域名后, 首先在域名和IP地址相对应的数据表中查找对应记录, 如果有, 它就把与域名对应的IP地址返回给具体的通信软件, 通信软件通过IP地址找到相应的站点, 把该站点的内容传到用户的计算机上, 用户通过浏览器就能看到该网站的信息;如果没有找到与该域名对应的IP地址, 浏览器会告诉用户不能打开该网页, 即找不到用户所要访问的IP地址, 因此也就无法访问该网站的信息。

摘要：计算机网络和Internet网络中, 存在着的MAC (物理地址) 和IP地址, 网络双方的通信必须按照地址来进行, 本文详细对介绍网络中的MAC和IP地址的知识并对它们的一些典型的应用进行了阐述。

关键词：网络地址,IP地址,物理地址,域名,绑定

参考文献

[1]冯博琴, 吕军.计算机网络[M].北京:高等教育出版社.2004.8.

[2]谢希仁.计算机网络 (第五版) [M].北京:电子工业出版社.2007.5.

[3]谭浩强.计算机网络教程 (第二版) [M].北京:电子工业出版社2001.8.

[4]特南鲍姆 (Tanenbaum A.S.) 、潘爱民.计算机网络 (第4版) (中文版) [M].北京:清华大学出版社.2005.10.

[5]崔北亮、陈家迁.非常网管:网络管理从入门到精通 (修订版) [M].北京:人民邮电出版社.2010.12.

路由器在网络地址转换中的应用网络知识篇6

第一种方法,我们可以尝试去多使用一些全球IPv4网络地址,但是如果这样的话,别的地方的IPv4网络地址就不够使用了,因为IPv4网络地址已经剩不多了。第二种方法就是我们可以使用网络地址转换。

Network Address Translation就是网络地址转换,简称NAT。在1994年,当时的研究人员提出了一个符合IETF的标准,就是某一个机构可以以某个特定地址的形式出现在网络上。本地网络中的每个节点的地址都被NAT转换为一个相应的IP地址,或者相应的IP地址被NAT转换为节点地址。NAT也可以与防火墙技术相结合,隐藏外界想访问的专用网络内的设备资源的IP地址。另外,NAT还可以将网络中的地址和私有IP进行合理布置,超越某些特定的限制。

这就需要用到NAT路由器,NAT路由器就是装有NAT软件并且是专用网连接到因特网的路由器,这个路由器必须要具有与外界沟通的有效地址。配置好后,内部的主机就可以通过NAT路由器将内部地址转化为外部公用地址与外界进行信息的传递了。

NAT路由器的工作原理如图1所示。在图中,我们将192.168.0段设为专用网段,其内部主机IP地址可以随意设置为192.168.0.x。我们将NAT路由器设置一个外部网络地址172.38.1.5。因为NAT路由器至少要有一个全球IP地址,才能和因特网相连。当然,NAT路由器可以有多个全球IP地址。

局域网内部主机A通过NAT路由器向位于因特网上的主机B发送IP数据报:主机A的IP地址是192.168.0.3,主机B的IP地址是213.18.2.4。主机A的源地址192.168.0.3通过NAT路由器后,转换为新的源IP地址172.38.1.5,即NAT路由器的全球IP地址,然后转发出去。因此,主机B收到这个IP数据报时,以为A的IP地址是172.38.1.5。当B给A发送应答时,IP数据报的目的IP地址是NAT路由器的IP地址172.38.1.5。B并不知道A的专用地址192.168.0.3。实际上,即使知道了,也不能使用,因为因特网上的路由器上的路由器都不转发目的地址是专用网本地IP地址的IP数据报。当NAT路由器收到因特网上的主机B发来的IP数据报时,还要进行一次IP地址的转换。通过NAT地址转换表,就可把IP数据报上的旧的目的IP地址172.38.1.5,转换为新的目的IP地址192.168.0.3,即主机A真正的本地IP地址。

如果想使某个内部网络内的N个主机同时访问外部网络,那么就得给NAT路由器配置N个外部IP地址。这样,NAT路由器就可以被内部网络的主机轮流使用来与外部网络通信了。

由图1知道,是由主机A发起的通过NAT路由器的通信。如果由主机B发起通信的话,当IP数据报在NAT路由器内部运行后在发出来时,它就不知道哪个内部网络IP地址是它的目的地址了。由此可见,网络上客户的请求在专用内部网络内无法完成,所以不能把专用的内部网络内的主机作为SERVER使用。

为了使公用的全球IP地址得到充分利用,运输层的端口号也被NAT利用起来了。这样,多个具有内部网络地址的主机,可以通过一个具有外部IP地址的NAT路由器与不同网络的其他主机进行信息通信。

路由器在网络地址转换中的应用网络知识篇7

Windows操作系统中的Tracert (跟踪路由) 命令通常用于测试网络的连通性, 并通过命令中返回的IP数据包的生存时间 (TTL) 字段来判断网络状况。通过Tracert诊断程序, 可以确定IP数据包到达目标所经过的路由, 也能够确定数据包在网络上的停止位置。如果需要通过网络来测试远端的应用服务器, 一旦网络出现问题, Tracert可以很快地缩小网络故障的范围。

VPN (virtual private network) 是利用internet构建用户的内部网络的技术, 它以较低的成本解决了异地的局域网之间的互联问题, 使得远程计算机之间相互访问像在本地局域网一样。VPN通过隧道技术、加密技术在公共网络中建立起虚拟的专用通道 (tunnel) , 从而保障了数据在公共网络中传输的安全性。

因此, VPN技术在许多大中型企业中被广泛应用。为了测试远程网络之间的网络连接故障, 网络管理员经常会使用到Tracert诊断程序。

1 某企业网络系统概述

国内某大型企业总部设在浙江, 并在江西建立了分公司。为保证应用服务器内数据的统一、减少网络建设的成本投入、保证数据传输的安全性, 在总部和分公司之间通过internet建立VPN实现远程的局域网互联。企业的应用服务器都放置在总部内网中, 江西分公司员工必须通过VPN连接到总部内网的OA服务器实现在线办公。

总部与分公司的路由器通过internet构建隧道tunnel0, 实现异地局域网内客户机与服务器间的正常通信。通过两台路由器上的加解密模块, 实现数据在公共传输网络中的加密传输, 保障数据的安全性。

2 网络故障描述

南昌分公司用户需通过VPN连接总部的OA服务器实现在线办公。应用系统使用过程中发现存在如下问题:

(1) 用户计算机早上连接OA服务器速度较快, 企业内部电子邮件发送、接收正常;

(2) 用户计算机下午上班后连接OA服务器进行在线办公时, 经常出现连接中断, 企业内部电子邮件需要多次发送才能成功。

3 使用ping、tracert命令测试

为寻找故障规律, 管理员分别在上午、下午时间段, 通过计算机的ping、tracert命令进行网络连接测试。

(1) ping命令测试上午通过ping命令测试结果如图1所示。

下午通过ping命令测试结果如图2所示。

(2) tracert命令测试

上午通过tracert命令测试结果如图3所示。

下午通过tracert命令测试结果如图4所示。

4 测试结果分析

通过ping命令测试结果, 可得出以下分析结果:

(1) 南昌分公司用户的计算机连接浙江总部的OA服务器时, 上午、下午这两个时间段的网络延迟时间的差异较大;

(2) 上午连接OA服务器的延迟时间较短, 基本稳定在85ms左右, 因此网络应用服务工作正常;

(3) 下午连接服务器的延迟时间较大, 因此网络应用服务实际响应的时间可能超出应用软件所规定的响应时间, 因而导致服务器连接出现中断, 企业内部邮件发送超时导致邮件需要重发多次才能发送成功的情况。

通过tracert命令测试结果, 可得出以下分析结果:

(1) 南昌分公司用户的计算机连接浙江总部的OA服务器时, 无论在上午还是下午, 路由跟踪过程中都出现过一次较大的延迟时间上的变化;

(2) 测试中出现延迟时间跳变时的设备地址都相同;

(3) 不同之处就在于上午测试的延迟时间跳变较小, 下午测试的延迟时间跳变较大。

(4) 跳变之前的延迟时间都相近, 跳变之后的延迟时间都相近。

为了检验上述分析是否存在规律性, 管理员在第二天的上午、下午两个时间段再次使用ping、tracert命令进行了网络测试, 得到类似的测试结果。

5 测试结论

针对规律性的网络连接延迟时间变化的情况, 管理员对每次在相同位置产生跳变的设备地址进行查询。查询结果为跳变前的设备地址属于电信公司, 跳变后设备的地址属于网通公司。结合网络故障出现的时间段, 可以推测出故障原因是南昌分公司租用电信公司宽带作为internet出口, 浙江总部租用网通公司宽带作为internet出口。上午电信、网通宽带的上网用户较少, 电信与网通网络互联的带宽占用较少, 数据转发较快, 因此测试出的网络延迟时间较短。下午和晚上, 电信、网通宽带的上网用户增多, 电信与网通网络互联的带宽占用过大, 数据转发时间变长, 因此测试出的网络延迟时间较长, 影响了应用服务的正常运行。

本案中网络本身不存在问题, 应用业务不正常的原因是使用了不同运营商的宽带接入方式, 网络互联的带宽受到用户数限制所导致的。解决的办法是浙江总部 (或南昌分公司) 换成与对端相同运营商提供的宽带接入方式即可。

参考文献

[1]安淑芝, 黄彦.计算机网络 (第三版) [M].北京:中国铁道出版社, 2008, 12

[2]宫纪明.局域网技术与组网工程[M].北京:中国水利水电出版社, 2010, 11

路由器在网络地址转换中的应用网络知识篇8

1 NAT444技术简介

NAT444作为缓解IPV4地址枯竭的一种有效方案, 其主要思想是用户拨号上网获取私网IP地址, 由运营商部署运营级地址转换设备CGN (运营级网络地址转换设备) , 同时与用户侧的NAT (网络地址转换) 组成两级地址转换, 形成三块地址空间, 即用户侧私有地址、用户拨号获取的运营商分配的私有地址、公网地址。NAT444方案可以提高IPv4地址的复用率, 缓解地址枯竭问题, 而且便于部署, 只需在汇聚层或者核心层增加CGN设备即可, 无需进行较大规模的设备替换。从用户感知度、技术成熟度和部署难易度等方面考虑, NAT444是目前比较好的方案。

2 NAT444下WLAN业务存在的问题

目前的WLAN业务的认证流程图如图1所示, 其主要步骤如下。

1) BAS (宽带接入服务器) 重定向用户的http请求到portal;

2) portal通过与BAS的接口发送用户名、密码到BAS;

3) BAS发送认证包到RADIUS (远程认证拨号用户服务) ;

4) RADIUS返回认证结果给BAS;

5) BAS返回结果给portal, portal展示认证结果给用户;

6) BAS允许或禁止用户访问互联网。

在NAT444环境下, 上述流程无法正常运行, 主要问题在步骤3上。在目前的WLANportal环境下, 用户获取的是公网地址, WLANportal上保存BRAS (宽带接入服务器) 设备和公网地址池的映射关系 (BRAS地址, 地址池起始IP, 地址池结束IP) , 因此WLANportal根据来访的用户公网IP就能直接定位用户是从哪台BRAS设备接入的, 将用户在portal网页上输入的用户名和密码通过和BRAS的接口发送给BRAS设备。

在NAT444环境下, 用户获取的是私网IP, 用户访问portal页面的时候, WLAN portal获取到的是该私网IP经过NAT以后的公网地址。此时WLAN portal将无法知晓用户究竟是从哪台BRAS接入的, 后续portal和BRAS交互的流程也就无法运行。

3 NAT444场景下WLAN业务部署方案

为了解决该问题, 我们提出在认证全流程定义一个属性携带用户私网IP的解决方案, 该属性定义为wlanuserip, 改进后全流程如图2所示。

此时详细认证流程如下:

(1) 用户在AP (接入点) 下获取私网IP后, 发起任意http请求;

(2) 设备重定向, 同时携带wlanuserip参数 (即用户无线网卡获取的私网IP) , BRAS设备截获未认证用户的http请求, 返回重定向地址;

(3) 用户访问portal, 携带wlanuserip参数值。用户使用重定向地址访问portal时, 必须携带wlanuserip, 否则或导致认证不成功;

(4) portal获取wlanuserip, 并推送统一认证页面给用户;

(5) 用户输入的用户名、密码以及其他参数发送到portal, 发起认证;

(6) portal获取到用户的认证信息后, 使用wlanuserip作为用户认证的IP, 组织好认证报文向设备发起认证请求;

(7) 设备向AAA (认证、授权和计费) 发起认证请求;

(8) AAA回应认证结果给设备;