NAT的原理及其注意事项

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

发信人: achilles

IPv6技术详解

当前,基于Internet的各种应用正在如火如荼发展着,而与此热闹场面截然

不同的是,Internet当前使用的IP协议版本IPv4正因为各种自身的缺陷而举步维艰。

在IPv4面临的一系列问题中,IP地址即将耗尽无疑是最为严重的,有预测表明,以目前Internet发展速度计算,所有IPv4地址将在2005~2010年间分配完毕。为了彻底解决

IPv4存在的问题,IETF从1995年开始,着手研究开发下一代IP协议,即IPv6。IPv6具有长达128位的地址空间,可以彻底解决IPv4地址不足的问题,除此之外,IPv6还采用分级

地址模式、高效IP包头、服务质量、主机地址自动配置、认证和加密等许多技术。

Ipv4尴尬的现状

Internet起源于1968年开始研究的ARPANET,当时的研究者们为了给ARPANET建立一

个标准的网络通信协议而开发了IP协议。IP协议开发者当时认为ARPANET的网络个数不会超

过数十个,因此他们将IP协议的地址长度设定为32个二进制数位,其中前8位标识网络,

其余24位标识主机。然而随着ARPANET日膨胀,IP 协议开发者认识到原先设想的网络

个数已经无法满足实际需求,于是他们将32位IP地址分成了三类:A类,用于大型企业;

B类,用于中型企业;C类,用于小型企业。A类、B类、C类地址可以标识的网络个数分别

是128、16384、2097152,每个网络可容纳的主机个数分别是16777216、65536、256。虽

然对IP地址进行分类大大增加了网络个数,但新的问题又出现了。由于一个C类网络仅能

容纳256个主机,而个人计算机的普及使得许多企业网络中的主机个数都超出了2

56,因此,

尽管这些企业的上网主机可能远远没有达到B类地址的最大主机容量65536,但InterNIC

不得不为它们分配B类地址。这种情况的大量存在,一方面造成了IP地址资源的极大浪费

,另一方面导致B类地址面临着即将被分配殆尽的危险。

非传统网络区域路由(Classless InterDomain Routing, CIDR),是节省B类地址

的一个紧急措施。CIDR的原理是为那些拥有数千个网络主机的企业分配一个由一系列连续

的C类地址组成的地址块,而非一个B类地址。例如,假设某个企业网络有15 00个主机,那么可能为该企业分配8个连续的C类地址,如:192. 56.0.0至192.56.7.0,并将子网掩码定为255.255.248.0,即地址的前21位标识网络,剩余的11位标识主机。尽管通过采用CIDR 可以保护B类地址免遭无谓的消耗,但是依然无法从根本上解决IPv4面临的地址耗尽问题。

另一个延缓IPv4地址耗尽的方法是网络地址翻译(Network AddressTranslation, NAT),它是一种将无法在Internet上使用的保留IP地址翻译成可以在Internet上使用的

合法IP地址的机制。NAT使企业不必再为无法得到足够的合法IP地址而发愁了,它们只要

为内部网络主机分配保留IP地址,然后在内部网络与I nternet交接点设置NAT和一个由

少量合法IP地址组成的IP地址池,就可以解决大量内部主机访问Internet的需求了。由于目前要想得到一个A类或B类地址十分困难,因此许多企业纷纷采用了NAT 。然而,NAT也有其无法克服的弊端。首先,NAT会使网络吞吐量降低,由此影响网络的性能。其次,NAT

必须对所有去往和来自Internet的IP数据报进行地址转换,但是大多数NAT无法将转换后

的地址信息传递给IP数据报负载,这个缺陷将导致某些必须将地址信息嵌在IP数据报负载

中的高层应用如FTP和WINS注册等的失败。

IPv6的对策

IPv6采用了长度为128位的IP地址,彻底解决了IPv4地址不足的难题。128位的地址

空间,足以使一个大企业将其所有的设备如计算机、打印机甚至寻呼机等联入Internet

而不必担心IP地址不足。

IPv6的地址格式与IPv4不同。一个IPv6的IP地址由8个地址节组成,每节包含16个

地址位,以4个十六进制数书写,节与节之间用冒号分隔,除了128位的地址空间,IPv6

还为点对点通信设计了一种具有分级结构的地址,这种地址被称为可聚合全局单点广播

地址(aggregatable global unicastaddress),其分级结构划分如图所示。开头3个

地址位是地址类型前缀,用于区别其它地址类型。其后的13位TLA ID、32位NLA ID、16 位SLA ID和64位主机接口ID,分别用于标识分级结构中自顶向底排列的TLA (TopLevel Aggregator,顶级聚合体)、NLA(Next Level Ag gregator,下级聚合体)、SLA(Sit eLevel Aggregator,位置级聚合体)和主机接口。TLA是与长途服务供应商和电话公司相

互连接的公共网络接入点,它从国际Internet注册机构如IANA处获得地址。NLA通常是大型ISP,它从TLA处申请获得地址,并为SLA分配地址。SLA也可称为订户(subscriber),它可以是一个机构或一个小型ISP。SLA负责为属于它的订户分配地址。SLA通常为其订

户分配由连续地址组成的地址块,以便这些机构可以建立自己的地址分级结构以识别不

同的子网。分级结构的最底级是网络主机。

Ipv6中的地址配置

众所周知,手工配置主机IP地址是一件既费时又乏味的事情,而管理分配给主机的

静态IP地址更是一项艰难的任务,尤其当主机IP地址需要经常改动的时候。在IPv4中,

动态主机配置协议(Dynamic Host ConfigurationProtocol,DHCP)实现了主机IP地址及其相关配置的自动设置。一个DHCP服务器拥有一个IP地址池,主机从DHCP服务器租借IP地址并获得有关的配置信息(如缺省网关、DNS服务器等),由此达到自动设置主机

IP地址的目的。IP v6继承了IPv4的这种自动配置服务,并将其称为全状态自动配置(stateful autoconfiguration)。

除了全状态自动配置,IPv6还采用了一种被称为无状态自动配置(stateless autoconfiguration)的自动配置服务。在无状态自动配置过程中,主机首先通过将它

的网卡MAC地址附加在链接本地地址前缀1111111010之后,产生一个链接本地单点广播

地址(IEEE已经将网卡MAC地址由48位改为了64位。如果主机采用的网卡的MAC地址依然是48位,那么IPv6网卡驱动程序会根据IEEE的一个公式将48位MAC地址转换为64位MAC地址)。接着主机向该地址发出一个被称为邻居探测(neighbordiscovrey)的请求,

以验证地址的唯一性。如果请求没有得到响应,则表明主机自我设置的链接本地单点

广播地址是唯一的。否则,主机将使用一个随机产生的接口ID组成一个新的链接本地

单点广播地址。然后,以该地址为源地址,主机向本地链接中所有路由器多点广播一个

被称为路由器请求(router solicitation)的配置信息请求,路由器以一个包含一个

可聚合全局单点广播地址前缀和其它相关配置信息的路由器公告响应该请求。主机用它

从路由器得到的全局地址前缀加上自己的接口ID,自动配置全局地址,然后就可以与Internet中的其它主机通信了。

使用无状态自动配置,无需手动干预就能够改变网络中所有主机的IP地址。例如,

当企业更换了联入Internet的ISP时,将从新ISP处得到一个新的可聚合全局地址前缀。ISP把这个地址前缀从它的路由器上传送到企业路由器上。由于企业路由器将周期性地

向本地链接中的所有主机多点广播路由器公告,因此企业网络中所有主机都将通过路由

器公告收到新的地址前缀,此后,它们就会自动产生新的IP地址并覆盖旧的IP地址。

Ipv6中的安全协议

安全问题始终是与Internet相关的一个重要话题。由于在I P协议设计之初没有考虑

相关文档
最新文档