计算机网络复习-第四章网络层
-
两个问题
- 能否解决可靠传输
- 能否实现不同局域网下的通信
-
网络层提供的两种服务
-
网络层应该向运输层提供怎样的服务
-
面向连接
-
无连接
-
争论焦点实质
- 计算机通信中,可靠交付应当由谁来负责,是网络还是端系统
-
虚电路服务
- 虚电路表示这只是一条逻辑上的连接,分组都沿着这条逻辑连接按照存储转发方式传送,而不是真正建立了一条物理连接。而电路交换的电话通信是建立了一条真正的连接。
-
数据报服务
- 由于传输网络不提供端到端的可靠传输服务,这就使得网络中的路由器可以做的比较简单,而且价格低廉
- 如果主机中的进程之间的通信需要是可靠的,那么就由网络的主机中的运输层负责可靠交付(包括差错处理、流量控制等)
- 优点
- 网络造价大大降低,运行方式灵活,能够适应多种应用
-
虚电路服务VS数据报服务
-
-
网际协议IP
-
虚拟互联网络
- 背景
- 数据链路层只能在同一网络内通过广播和MAC寻址去进行通信,但是在不同网络中要实现通信需要依靠网络层
- 不同网络通信会遇到许多问题
- 不同寻址方案
- 不同超时控制
- 不同最大分组长度
- 不同网络接入机制
- 不同差错恢复方法
- ……
- 使用一些中间设备进行互连
- 物理层中继系统:转发器
- 数据链路层中继系统:网桥或桥接器(交换机)
- 网络层中继系统:路由器
- 网桥和路由器的混合物:桥接器
- 网络层以上的中继系统:网关
- 虚拟互联网络意义
- 所谓虚拟互联网络也就是逻辑互联网络,它的意思就是互连起来的各种物理网络的异构性本来是客观存在的,但是我们利用IP协议就可以使这些性能各异的网络从用户看起来好像是一个统一的网络
- 使用IP协议的虚拟互连网络可简称为IP网
- 使用虚拟互连网络的好处是:当互联网上的主机进行通信时,就好像在一个网络上通信一样,而看不见互连的各具体的网络异构细节
- 如果在这种覆盖全球的IP网的上层使用TCP协议,那么就是现在的互联网
-
分类的IP地址
-
IP地址及表示方法
- 给每个连接在互联网上的主机或路由器分配一个在全世界范围是唯一的32位的标识符
-
IP地址的编址方法的三个历史阶段
- 分类的IP地址
- 子网的划分
- 构成超网
-
IP地址的编址方式
-
分类的IP地址
- 将IP地址划分为若干个固定类(D类是多播,E类是保留)
-
如何判断ABC:根据网络号的前几位
-
如何识别:点分十进制记法
-
每一类地址都由两个固定长度的字段组成
-
网络号(标志主机所连接到的网络)
-
主机号(主机或路由器)
主机号在它前面的网络号所指明的网络范围内必须是唯一的
-
-
一般不使用的特殊的IP地址
-
IP地址的重要特点
- IP地址是一种分等级的地址结构,分等级好处有
- 第一,IP地址管理机构在分配IP地址时只分配网络号,而剩下的主机号则由得到该网络号的单位自行分配。这样就方便了IP地址的管理
- 第二,路由器仅根据目的主机所连接的网络号来转发分组(而不考虑目的主机号),这样就可以使路由表中的项目数大幅度减少,从而减小了路由表所占的存储空间。
- 实际的IP地址是标志一个主机(或路由器)和一条链路的接口
- 用转发器或网桥连接起来的若干个局域网仍为一个网络,因此这些局域网都具有同样的网络号net-id。
- 所有分配到网络号net-id的网络,无论是范围很小的局域网,还是可能覆盖很大地理范围的广域网,都是平等的。
- IP地址是一种分等级的地址结构,分等级好处有
-
-
-
IP地址与硬件地址
- IP地址和硬件地址是不同的地址
- 从层次角度看
- 硬件地址是数据链路层和物理层使用的地址
- IP地址是网络层和以上各层使用的地址,是一种逻辑地址
- 强调
- 在IP层抽象的互联网上只能看到IP数据报
- 虽然在IP数据报首部有源站IP地址,但路由器只根据目的站的IP地址的网络号进行路由选择
- 在局域网的链路层,只能看见MAC帧
- 尽管互连在一起的网络硬件地址体系各不相同,但IP层抽象的互联网却屏蔽;额下层这些很复杂的细节。只要我们在网络层上讨论这些问题,就能够使用统一的抽象的,IP地址研究主机和主机或路由器之间的通信。
- 从层次角度看
- IP地址和硬件地址是不同的地址
-
地址解析协议ARP
-
背景
-
已知一个机器(主机或路由器)的IP地址,如何找出其相应的硬件地址
-
作用
- 从网络层使用的IP地址,解析出在数据链路层使用的硬件地址
-
ARP高速缓存
- 每个主机都设有一个ARP高速缓存,里面有所在的局域网上的各主机和路由器的IP地址到硬件地址的映射表
- 作用:存放最近获得的IP地址到MAC地址的绑定,以减少ARP广播的数量
- 为了减少网络上的通信量,主机A在发送其他ARP请求分组时,就将自己的IP地址到硬件地址的映射写入ARP请求分组
-
注意
- ARP是解决同一个局域网上的主机或路由器的IP地址和硬件地址的映射问题
- 从IP地址到硬件地址的解析是自动进行的,主机的用户对这种地址解析过程是不知道的
- 只要主机或路由器要和本网络上另一个已知IP地址的主机或路由器进行通信,ARP协议就会自动地将该IP地址解析为链路层所需要地硬件地址
-
使用ARP地四种典型情况
- 发送方是主机,要把IP数据报发送到本网络上的另一个主机。这时用ARP找到目的主机的硬件地址。
- 发送方是主机,要把IP数据报发送到另一个网络上的一个主机。这时用ARP找到本网络上的一个路由器的硬件地址。剩下的工作由这个路由器来完成。
- 发送方是路由器,要把IP数据报转发到本网络上的一个主机。这时用ARP找到目的主机的硬件地址。
- 发送方是路由器,要把IP数据报转发到另个网络上的一个主机。这时用ARP找到本网络上另一个路由器的硬件地址。剩下的工作由这个路由器来完成。
-
为什么不直接使用硬件地址进行通信?
- 由于全世界存在着各式各样的网络,它们使用不同的硬件地址。要使这些异构网络能够互相通信就必须进行非常复杂的硬件地址转换工作,因此几乎是不可能的事。
- IP编址把这个复杂问题解决了。连接到互联网的主机只需各自拥有一个唯一的IP地址,它们之间的通信就像连接在同一个网络上那样简单方便,因为上述的调用ARP的复杂过程都是由计算机软件自动进行的,对用户来说是看不见这种调用过程的。
- 因此,在虚拟的IP网络上用IP地址进行通信给广大的计算机用户带来了很大的方便。
-
-
IP数据报的格式
-
组成
- 首部(最短20字节,最长60字节【首部长度决定】)
- 版本
- 占4位,指IP协议的版本。通信双方使用的IP协议的版本必须一致。
- 首部长度
- 占四位,可表示的最大数值是15个单位(一个单位是4字节),因此IP的首部长度的最大值是60字节
- 区分服务
- 只有在使用区分服务时,这个字段才起作用。一般情况下都不使用这个字段
- 总长度
- 占16位,指首部和数据之和的长度,单位为字节,因此数据报的最大长度为65535字节。总长度必须不超过最大传送单元MTU
- 标识
- 占16位,它时一个计数器,每产生一个数据报计数器就加1,并将此值赋给标识字段,但这个标识不是序号因为IP是无连接服务,数据报不存在按序接收的问题,不能用于判断数据的重复丢失失序。当数据报长度超过网络的MTU而必须分片时,这个标识字段的值就能被复制到所有的数据报片的标识字段中。相同的标识字段的值使分片后的各数据报片最后能正确重装成为原来的数据报。
- 标志
- 占3位,目前只有前两位有意义。
- 占3位,目前只有前两位有意义。
- 片偏移
- 占13位,指出较长的分组在分片后,某片在原分组的相对位置
- 生存时间
- 记为TTL,指示数据报在网络中可通过的路由器数的最大值
- 协议
- 指出数据报携带的数据使用何种协议,以便目的主机的IP层将数据部分上交给那个处理过程
- 首部检验和
- 占16位,只检验数据报的首部,不检验数据部分。这里不采用CRC检验码而采用简单的计算方法【只检验头部】
- 目的地址
- 是目的地址的IP,而不是下一跳路由器的IP地址,IP数据报的首部没有地方可以用来指明下一跳路由器的IP地址,当路由器收到待转发的数据报时莫不是将下一跳路由器的IP地址填入IP数据报,而是送交给下层的网络接口软件。网络接口软件使用ARP负责将下一跳路由器的IP地址转化为硬件地址,并将此硬件地址放在链路层的MAC帧的首部,然后根据这个硬件地址找到下一跳路由器
- 可变部分
- 用来支持排错、测量以及安全等措施,内容很丰富
- 增加首部的可变部分是为了增加IP数据报的功能,但这同时也使得IP数据报的首部长度成为可变的。这就增加了每一个路由器处理数据报的开销
- 版本
- 数据部分
- 首部(最短20字节,最长60字节【首部长度决定】)
-
-
IP层转发分组流程
- 查找路由表
- 根据目的网络地址就能确定下一跳路由器,这样做的结果是
- IP数据报最终一定可以找到目的主机所在目的网络上的路由器,可能要通过多次的间接交付
- 只有到达最后一个路由器时,才试图向目的主机进行直接交付
- 根据目的网络地址就能确定下一跳路由器,这样做的结果是
- 特定主机路由
- 虽然互联网所有的分组转发都是基于目的主机所在的网络,但是在大多数情况下都允许有这样的特例即特定的目的主机指明一个路由
- 采用特定主机路由可使网络管理人员能更方便地控制网络和测试网络,同时也可在需要考虑某种安全问题时采用这种特定主机路由
- 默认路由
- 减少路由表所占用地空间和搜索路由表所用的时间
- 这种转发方式在一个网络只有很少的对外连接时是很有用的
- 路由器分组转发算法
- 查找路由表
-
-
划分子网和构造超网
-
划分子网
- 问题
- IP地址空间利用率有时很低
- 两级IP地址不够灵活
- 给每一个物理网络分配一个网络号会使路由表变得太大因而使网络性能变坏
- 基本思路
- 划分子网纯属一个单位内部的事情。单位对外仍然表现为没有划分子网的网络
- 从主机号借用若干个位作为子网号
- 凡是从其他网络发送给本单位某台主机的IP数据报,仍然是根据IP数据报的目的网络号找到连接在本单位网络上的路由器。但此路由器在收到IP数据报后,再按目的网络号和子网号找到目的子网,把IP数据报交付目的主机
- 优点
- 减少了IP地址的浪费
- 使网络的组织更加灵活
- 更便于维护和管理
- 子网掩码
- 背景
- 从一个数据报的首部并无法判断源主机或目的主机所连接的网络是否进行了子网划分
- 规则
- 背景
- 路由器记录的网络地址
- (IP地址)AND(子网掩码)= 网络地址
- 默认子网掩码
- 划分子网方法
- 固定长度子网
- 所划分的所有子网的子网掩码都是相同的
- 变长子网
- 不同的子网掩码得出相同的网络地址,但不同的掩码的效果是不同的
- 固定长度子网
- 题目
- 问题
-
使用子网时分组的转发
-
背景
- 在不划分子网的两级IP地址下,从IP地址得出网络地址是一个很简单的事。但在划分子网情况下,从IP地址却不能唯一得出网络地址,这是因为网络地址取决于那个网络所采用的子网掩码。但是数据报的首部只有源地址和目的地址,并没有提供子网掩码的信息
-
解决
- 数据报中不携带子网掩码,但是路由器的路由表中有子网掩码。
- 拿数据报的目的网络的IP和路由表中的子网掩码相与,与出来的结果再和路由表的目的网络地址比较。匹配到哪一条,哪一条对了就对了。
-
-
无分类编址CIDR
- 背景
- 网络前缀
- 划分子网在一定程度上缓解了互联网在发展中遇到的困难,然而在1992年互联网仍然面临三个必须尽早解决的问题
- B类地址在1992年已分配了近一半,眼看就要在1994年3月全部分配完毕
- 互联网主干网上的路由表中的项目数急剧增长(从几千个增长到几万个)
- 整个IPv4的地址空间最终将全部耗尽
- 划分子网在一定程度上缓解了互联网在发展中遇到的困难,然而在1992年互联网仍然面临三个必须尽早解决的问题
- 网络前缀
- 特点
- CIDR消除了传统的A类、B类和C类地址以及划分子网的概念,因而可以更加有效地分配IPV4的地址空间
- CIDR使用各种长度的网络前缀来代替分类地址中的网络号和子网号
- IP地址从三级编址又回到了两级编址
- 具体细节
- 路由聚合
- 内涵
- 一个CIDR地址块可以表示很多地址,这种地址的聚合常称为路由聚合,使得路由表中的一个项目可以表示很多个(例如上千个)原来传统分类地址的路由。
- 路由聚合有利于减少路由器之间的路由选择信息的交换,从而提高了整个互联网的性能。
- 路由聚合也称为构成超网
- 优点
- 路由表通过路由聚合使得条目减少,排队时延和处理时延少性能提高
- 子网划分不适合路由聚合,CIDR划分地址块的方式可以
- 内涵
- 最长前缀匹配
- 使用 CIDR时,路由表中的每个项目由“网络前缀”和“下一跳地址”组成。在查找路由表时可能会得到不止一个匹配结果。应当从匹配结果中选择具有最长网络前缀的路由:最长前缀匹配。
- 这是因为网络前缀越长,其地址块就越小,因而路由就越具体。
- 背景
-
-
网际控制报文协议ICMP
- 背景目的
- 为了更有效地转发IP数据报和提高交付成功的机会,在网络层使用了ICMP。它允许主机或路由器报告差错情况和提供有关异常情况的报告。但ICMP不是高层协议,但看起来好像是IP协议因为ICMP报文是装在IP数据报中作为其中的数据部分,而是IP层的协议
- ICMP报文种类
- ICMP差错报告报文(不需回答)
- 内容
- 四种差错报告报文
- 终点不可达
- 当路由器或主机不能交付数据报时就向源点发送终点不可达报文
- 时间超过
- 当路由器收到生存时间为零的数据报时,除丢弃该数据报外,还需要向源点发送时间超过报文。
- 参数问题
- 当路由器或目的主机收到的数据报的首部中有的字段的值不正确时,就丢弃该数据报,并向源点发送参数问题报文
- 改变路由(重定向)
- 路由器把改变路由报文发送给主机,让主机知道下次应当把数据报发送给另外的路由器
- 终点不可达
- 不应发送ICMP差错报告报文的几种情况
- 对ICMP差错报告报文不再发送ICMP差错报告报文
- 对第一个分片的数据报片的所有后续数据报片都不发送ICMP差错报告报文
- 对具有多播地址的数据报都不发送ICMP差错报告报文
- 对具有特殊地址(如127.0.0.0或0.0.0.0)的数据报不发送ICMP差错报告报文
- 内容
- ICMP询问报文
- 分类
- 回送请求和回答报文
- ICMP回送请求报文是由主机或路由器向一个特定的目的主机发出的询问。收到此报文的主机必须给源主机或路由器发送ICMP回送回答报文。这种询问报文用来测试目的站是否可达以及了解其有有关状态
- 时间戳请求和回答报文
- 请某台主机或路由器回答当前的日期和时间。时间戳请求可用于时钟同步和时间测量。
- 回送请求和回答报文
- 分类
- ICMP差错报告报文(不需回答)
- ICMP应用举例
- PING(回送请求和回答报文)
- 测试两个主机之间的连通性
- traceroute
- 用来跟踪一个分组从源点到终点的路径
- PING(回送请求和回答报文)
- 背景目的
-
互联网的路由选择协议
-
几个基本概念
- 理想的路由算法
- 关于最佳路由
- 所谓最佳只能是相对于某一种特定要求下得出的较为合理的选择而已
- 路由选择是个非常复杂的问题。它是网络中所有结点共同协调工作的结果。路由选择的环境往往是不断变化的,而这种变化有时无法事先知道。
- 自治系统AS
- 一个AS对其他AS表现出的是一个单一的和一致的路由选择策略
- 路由选择协议分类
- 内部网关协议IGP
- 即再一个自治系统内部使用的路由选择协议,而这与在互联网中的其他自治系统选择用什么路由选择协议无关。目前这类路由选择协议使用的最多,如RIP和OSPF协议。在自治系统内部的路由选择叫做域内路由选择。
- 外部网关协议EGP
- 若源主机和目的主机在不同的自治系统中,当数据报传到一个自治系统的边界时,就需要使用一种协议将路由选择信息传递到另一个自治系统中。这样的协议就是外部网关协议EGP。目前使用最多的外部网关协议是BGP的版本4。在自治系统之间的路由选择叫域间路由选择。
- 内部网关协议IGP
-
内部网关协议RIP(路由信息协议)
-
工作原理
- 分布式、基于距离向量的路由选择协议。RIP协议要求网络中的每一个路由器都要维护从它自己到其他每一个目的网络的距离记录,适合小型互联网
-
距离
- RIP允许一条路径最多只能包含15个路由器。距离的最大值为16时即相当于不可达。RIP不能在两个网络之间同时使用多条路由。
-
三个特点
- 仅和相邻路由器交换信息
- 交换的信息是当前本路由器所知道的全部信息,即自己的路由表
- 好消息传播的快,坏消息传播的慢
-
优点
- 实现简单,开销较小
-
缺点
- RIP限制了网络的规模,它能使用的最大距离为15
- 路由器之间交换的路由信息是由路由器中的完整路由表,因而随着网络规模的扩大,开销也就增加
- 当网络出现故障时,要经过比较长的时间才能将此信息传送到所有的路由器
-
报文格式
RIP协议使用运输层的用户数据报UDP进行传送
-
-
内部网关协议OSPF(开放最短路径优先)
克服RIP缺点,上限不止16个路由器
-
内涵
- “开放”表明OSPF协议不是受某一家厂商控制,而是公开发表的
- “最短路径优先”是因为使用了Dijkstra提出的最短路径算法SPF
-
特征
- 采用分布式的链路状态协议,而不是RIP那样的距离向量协议
- 向本自治系统中所有路由器发送信息,这里使用的方法是洪泛法。
- 发送的信息就是与本路由器相邻的所有路由器的链路状态
- 只有当链路状态发生变化时,路由器才向所有路由器用洪泛法发送此信息。
- 采用分布式的链路状态协议,而不是RIP那样的距离向量协议
-
链路状态数据库
- 由于各路由器之间频繁地交换链路状态信息,因此所有的路由器最终都能建立一个链路状态数据库,这个数据库实际上就是全网的拓扑结构图。这个拓扑结构图在全网范围内是一致的。因此每一个路由器都知道全网共有多少个路由器,以及哪些路由器是相连的,其代价是多少等等。每个路由器使用链路状态数据库中的数据,构造出自己的路由表。
- RIP协议的每一个路由器虽然知道到所有网络的距离以及下一跳路由器,但却不知道全网的拓扑结构,只要到了下一跳路由器才能知道再下一跳应当怎么走。
-
区域
- 定义
- 为了OSPF能够用于规模很大的网络,OSPF将一个AS再划分为若干个更小的范围,叫做区域
- 好处
- 划分区域的好处就是将利用洪泛法交换链路状态信息的范围局限于每一个区域而不是整个的自治系统,这就减少了整个网络上的通信量。在一个区域内部的路由器只知道本区域的完整网络拓扑,而不知道其他区域的网络拓扑的情况。
- 定义
-
优点
- OSPF不用UDP而是直接用IP数据报传送
- OSPF构成的数据报很短。这样做可减少路由信息的通信量
- OSPF规定每隔一段时间刷新一次数据库中的链路状态,链路状态数据库能较快地进行更新,使各个路由器能及时更新路由表。OSPF更新过程收敛得快是其重要优点。
- 由于一个路由器的链路状态只涉及到与相邻路由器的连通状态,因而与整个互联网的规模并无直接关系。因此当互联网规模很大时,OSPF协议要比距离向量协议RIP好得多。
- OSPF没有“坏消息传播得慢”的问题,据统计,其响应网络变化的时间小于100ms.
-
-
外部网关协议BGP
- 背景
- 互联网规模太大,使得自治系统AS之间路由选择非常困难
- 自治系统AS之间的路由选择必须考虑有关策略,这些策略包括政治、安全或经济方面的考虑
- 特点
- 支持CIDR
- 刚运行时,BGP邻站是交换整个的BGP路由表。但以后只需要在发生变化时更新有变化的部分。这样做对节省网络带宽和减少路由器的处理开销都有好处
- 背景
-
路由器的构成
-
作用
- 连通不同的网络。
- 选择信息传送的线路。选择通畅快捷的近路,能大大提高通信速度,减轻网络系统通信负荷节约网络系统资源,提高网络系统畅通率,从而让网络系统发挥出更大的效益来。
-
结构
- 路由器是一种具有多个输入端口和多个输出端口的专用计算机,其任务是转发分组。也就是说,将路由器某个输入端口收到的分组,按照分组要去的目的地(即目的网络),把该分组从路由器的某个合适的输出端口转发给下一跳路由器。下一跳路由器也按照这种方法处理分组,直到该分组到达终点为止。
-
分组丢弃
- 在路由表中找不到怎么转发
- 若路由器处理分组的速率赶不上分组进入队列的速率,则队列的存储空间最终必定减少到零,这就使后面再进入队列的分组由于没有存储空间而只能被丢弃。
-
-
-
IPv6
-
IPV6的基本首部
-
主要变化
- 更大的地址空间。IPV6将地址从IPV4的32位增加到了128位。
- 扩展的地址层次结构
- 灵活的首部格式
- 改进的选项
- ……
-
组成
- 基本首部(40字节)
- 因为源地址目的地址的IP都已经变成128位了,系统开销会更大。
- 有效载荷
- 有效载荷也称为净负荷。有效载荷允许有零个或多个扩展首部,再后面是数据部分。
- 基本首部(40字节)
-
-
IPV6的地址
- IPV6的目的地址可以是以下三种基本类型地址之一
- 单播
- 多播
- 任播
- IPV6地址表示
- 冒号十六进制记法
- 每个16位的值用十六进制表示,各值之间用冒号分隔。
- 零压缩
- 一连串的零可以为一对冒号所取代(在任一地址中只能使用一次零压缩)
- 点分十进制记法的后缀
- 冒号十六进制记法可结合使用点分十进制记法的后缀,这种结合在ipv4到ipv6的转换阶段特别有用
- CIDR的斜线表示法仍然可用
- 冒号十六进制记法
- IPV6地址分类
- IPV6的目的地址可以是以下三种基本类型地址之一
-
从IPV4向IPV6过渡
- 双协议栈
- 隧道技术
- 双协议栈
-
ICMPv6
- 地址协议ARP和网际组管理协议IGMP协议功能都合并到ICMPV6中
- 分类
- 差错报文
- 信息报文
- 邻站发现报文
- 组成员关系报文
-
-
IP多播
- 目的
- 更好的支持一对多通信(一个源点发送到许多个终点)
- 优点
- 大大节约网络资源
- 大大节约网络资源
- 定义
- 在互联网上进行多播就叫做IP多播
- 互联网范围的多播要靠路由器来实现
- 能够运行多播协议的路由器称为多播路由器。当然它也可以转发普通的单播IP数据报
- 需要的两种协议
- 网际组管理协议IGMP
- 多播路由选择协议
- 目的
-
虚拟专用网VPN和网络地址转换NAT
- 虚拟专用网VPN
- 目的
- 两个私有网络跨越互联网实现通信(eg:两个校区实现通信,但不想把内部数据暴露在公共网络互联网)
- 如果专用网络不同网点之间的通信必须经过公用的互联网,但又有保密的要求,那么所有通过互联网传送的数据都必须加密
- 方法
- 隧道(封装,伪装成对方信任的数据)
- 隧道(封装,伪装成对方信任的数据)
- 翻墙
- 国内上facebook需要翻墙是因为可能在国内接入国外互联网的路由中做了某种限制(端口、ip地址等)
- 而我们去用国外VPM去伪装成日本韩国等别国的ip或其他办法绕过,使得路由器信任,这样就穿越了对方的防火墙。
- 学校VPN
- 学校的一些资源只有本校的人能用,外人不能用。但是本校学生在校外也有需要访问,所以学校可以用VPN让学生在校外穿过防火墙访问资源。
- 目的
- 网络地址转换NAT
- 问题
- 在专用网上使用专用(私有)地址的主机如何与互联网上的主机通信(并不需要加密)
- 解决
- 再申请一些全球IP地址
- 采用网络地址转换NAT,这是目前使用最多的方法
- 工作原理
- 在边界通过NAT路由器转换为全球IP地址
- 内部主机A用本地地址IPA和互联网上主机B通信所发送的数据报必须经过NAT路由器。
- NAT路由器将数据报的源地址IPA转换成全球地址IPG,并把转换结果记录到NAT地址转换表中,目的地址IP,保持不变,然后发送到互联网。
- NAT路由器收到主机B发回的数据报时,知道数据报中的源地址是IPB。而目的地址是IPG。
- 根据NAT转换表,NAT路由器将目的地址IPG转换为IPA,转发给最终的内部主机A。
- 在边界通过NAT路由器转换为全球IP地址
- 优点
- 增大IP地址的应用
- 屏蔽内网的细节,外网不知道内网细节
- 缺点
- 很多安全策略是基于IP地址去做的,但是内网ip地址转换了以后有些安全策略失效了,同时NAT转换不允许套娃即二次转换
- 问题
- 虚拟专用网VPN
-
多协议标记交换MPLS
-
用途
- 使得网络层转发效率更高,减少查路由表的次数。但不能替代IP。
-
工作原理
- 标记是指每个分组被打上一个标记,在IP数据报外部,在判断首部IP与路由表子网掩码相与之前就可以根据标记对分组进行转发,就不需要查表