第8章Internet地址扩展技术PPT课件

1、1 要求：要求：1. 了解透明路由器、代理了解透明路由器、代理arp解决网络地址复用的思想解决网络地址复用的思想2. 掌握子网编址技术掌握子网编址技术3. 掌握子网选路算法的步骤掌握子网选路算法的步骤4. 掌握超网编址技术和掌握超网编址技术和cidr5. 掌握网络地址转换掌握网络地址转换nat的原理与应用的原理与应用要解决的问题：要解决的问题： 1. ip地址不足，特别是地址不足，特别是b类地址不足类地址不足 2. 网络数目增长过快造成路由表急剧膨胀网络数目增长过快造成路由表急剧膨胀 主要解决方案：主要解决方案： 1. 子网编址子网编址 2. 超网编址和超网编址和cidr 3. nat2 如何

2、减少网络数目如何减少网络数目? 多个物理网络共享一个网络地址多个物理网络共享一个网络地址1. 透明路由器（透明网关，透明路由器（透明网关，tg）问题：问题：一个一个a类网可以容纳类网可以容纳224-2（约（约1600万）台主机，万）台主机， 如何充分利用如何充分利用a类地址？类地址？解答：解答：把局域网引入把局域网引入a类网类网a类网类网（wan）tglantg：有一个：有一个wan地址地址报文投递：报文投递：先投递给先投递给tg，再由，再由tg投递给投递给lan外面看，是一台一般的主机外面看，是一台一般的主机内部看，是连接内部看，是连接wan与与lan的网关的网关“透明透明”是是tg的外部视

3、图的外部视图“网关网关”是是tg的内部视图的内部视图3透明网关的实现技术透明网关的实现技术a类网类网10.0.0.0tglan局域网：无局域网：无ip前缀前缀ip地址：四个字节的含义重新解释地址：四个字节的含义重新解释格格 式：广域网网络前缀式：广域网网络前缀 + p + u + ip: psn(packet switch node)上的接口号上的接口号i: psn编号编号 u：局域网上的主机编号：局域网上的主机编号psnpsnpsnpsn4123123412345问题：主机问题：主机5的的地址是多少？地址是多少？10.4.5.342. 代理代理arp (promiscuous arp, ar

4、p hack) 把一个把一个ip网络前缀映射到两个物理网络上。通过网络前缀映射到两个物理网络上。通过arp代理技术把一个隐藏网络连接到一个主网络上。代理技术把一个隐藏网络连接到一个主网络上。一个网络地址由两个物理网络共享一个网络地址由两个物理网络共享r给出它的物理地址，回答每个网络对其它网络上的主给出它的物理地址，回答每个网络对其它网络上的主机的机的arp请求，数据报到达时正确地路由它们请求，数据报到达时正确地路由它们r：运行代理：运行代理arp的路由器的路由器h1h2h3主网络主网络h4h5隐藏网络隐藏网络通信通信h1发发arp请求，请求请求，请求h4的物理地址的物理地址r代替代替h4把自己

5、的物理地址告诉把自己的物理地址告诉h1h1给给h4的数据报先给的数据报先给rr把数据报转给把数据报转给h453. 子网编址子网编址 （subnet addressing, subnet routing, subnetting）ip地址不足的原因：地址不足的原因： 主机号浪费严重，而网络号又严重缺乏主机号浪费严重，而网络号又严重缺乏解决思路：解决思路： 从从ip地址的主机部分地址的主机部分“借借”位，并把它们用在网络位，并把它们用在网络部分部分ip地址主机号进一步划分为：地址主机号进一步划分为： 子网号子网号 + 主机号主机号ip地址地址网络号网络号主机号主机号 主机号主机号子网号子网号6到到1

6、28.10.0.0的所有通信量的所有通信量h2h1网络网络128.10.1.0128.10.1.1128.10.1.2h4h3网络网络128.10.2.0128.10.2.1128.10.2.2可以让一个网络号跨越多个物理网络可以让一个网络号跨越多个物理网络虽然虽然128.10.0.0这个网络号中可以包含多个物理网络，但是互联这个网络号中可以包含多个物理网络，但是互联网的其余部分都只能看到网的其余部分都只能看到128.10.0.0这个这个“大网大网”internet其余部分其余部分rip报，目的地址是报，目的地址是128.10.2.1ip报，目的地址是报，目的地址是128.10.1.171.

7、子网编址模式和子网掩码子网编址模式和子网掩码 引入子网划分后，引入子网划分后，ip地址格式有了新的含义地址格式有了新的含义: 网络号网络号 + 主机号主机号 - 互联网部分互联网部分 + 本地部分本地部分ip地址地址互联网部分互联网部分物理网络物理网络主机部分主机部分外部网络号外部网络号内部网络号内部网络号网络号网络号主机号主机号1281011互联网部分互联网部分外部网络号外部网络号物理网络物理网络内部网络号内部网络号主机部分主机部分网络号网络号主机号主机号互联网部分互联网部分本地部分本地部分8问题：如何指示网络部分？问题：如何指示网络部分？解决：解决：使用使用子网掩码子网掩码。每一个使用子网

8、的网点都选择一个。每一个使用子网的网点都选择一个32位位的位模式。若位模式中的某位为的位模式。若位模式中的某位为1，则对应，则对应ip地址中的某位地址中的某位为网络地址中的一位，否则为主机号中的一位。为网络地址中的一位，否则为主机号中的一位。子网掩码：子网掩码：32位，位，1：网络；：网络； 0：主机：主机1281011互联网部分互联网部分外部网络号外部网络号物理网络物理网络内部网络号内部网络号主机部分主机部分网络号网络号主机号主机号1111 1111 1111 1111 1111 11110000 000020219648681111 1111 1111 1111 1111 1111 110

9、0 0000网络号网络号202.196.48.64主机号主机号4掩码掩码255.255.255.1929route_ip_datagram(datagram, routing_table)从数据报中提取出目的从数据报中提取出目的ip地址地址d；if(d的前缀匹配某直接相连的网络地址的前缀匹配某直接相连的网络地址) then 通过该网络把该数据报发送到目的站通过该网络把该数据报发送到目的站else for(路由表中的每一项路由表中的每一项) do n=d逐比特与子网掩码相逐比特与子网掩码相“与与” if(n等于表项中的网络地址字段等于表项中的网络地址字段) then 将本数据报发往表项中下一跳地

10、址所指定的路由器将本数据报发往表项中下一跳地址所指定的路由器 endforloopif(没有找到匹配的表项没有找到匹配的表项) then 宣布选路出错宣布选路出错 2. 子网选路子网选路 路由表：（网络地址，子网掩码，下一跳）路由表：（网络地址，子网掩码，下一跳） 统一的选路算法统一的选路算法10 说明说明 全全“0”掩码，对应默认路由掩码，对应默认路由 全全“1”掩码，对应特定主机路由掩码，对应特定主机路由netstat -r 显示的路由表：显示的路由表：active routes:network destination netmask gateway interface metric 0.

11、0.0.0 0.0.0.0 25.20.244.1 25.20.244.2 10 25.20.244.0 255.255.255.128 25.20.244.2 25.20.244.2 10 25.20.244.2 255.255.255.255 127.0.0.1 127.0.0.1 10 25.255.255.255 255.255.255.255 25.20.244.2 25.20.244.2 10 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 224.0.0.0 240.0.0.0 25.20.244.2 25.20.244.2 10255.255

12、.255.255 255.255.255.255 25.20.244.2 25.20.244.2 1default gateway: 25.20.244.10.0.0.0 0.0.0.0 25.20.244.1 25.20.244.2 10 25.20.244.2 255.255.255.255 127.0.0.1 127.0.0.1 10 11 3. 子网划分举例子网划分举例 例例1：等长子网划分：等长子网划分 假设已分配假设已分配c类网类网198.28.61.0，且已确定需要，且已确定需要4个子个子网，每个子网最多网，每个子网最多25台机器台机器表表1 c类子网划分表（类子网划分表（rfc

13、 950）子网位数子网位数掩码掩码子网数子网数主机数主机数2255.255.255.1922623255.255.255.2246304255.255.255.24014145255.255.255.2483066255.255.255.252622rfc950规定：规定：不允许使用全不允许使用全0或全或全1的子网的子网 （rfc1812 取消了该限制）取消了该限制）关键：确定子网位数关键：确定子网位数12 划分方法：划分方法：使用使用3位子网号，掩码位子网号，掩码255.255.255.224第第4字节：字节：001 00000010 00000011 00000100 00000101 0

14、0000110 00000对应对应子网号：子网号：198.28.61.32198.28.61.64198.28.61.96198.28.61.128198.28.61.160198.28.61.192级差：级差：32分出分出6个子网，任选其中的个子网，任选其中的4个使用，如选：个使用，如选：子网子网1：网络号网络号198.28.61.32，可分配可分配ip范围范围 198.28.61.33198.28.61.62子网子网2：网络号网络号198.28.61.64，可分配可分配ip范围范围 198.28.61.65198.28.61.94子网子网3：网络号网络号198.28.61.96，可分配可分

15、配ip范围范围 198.28.61.97198.28.61.126子网子网4：网络号网络号198.28.61.128，可分可分ip范围范围 198.28.61.129198.28.61.15813例例2. 变长子网划分变长子网划分 （vlsm: variable length subnet mask） 假设已给假设已给c类网址类网址202.18.6.0，设计符合下列要求的子网划分，设计符合下列要求的子网划分方案：方案： 4个网络，每个最多个网络，每个最多26台主机台主机 3个网络，每个最多个网络，每个最多10台主机台主机 4个点到点串行链路个点到点串行链路 划分方法：划分方法：采用不等长子网掩

16、码。先按最多主机数选择符合采用不等长子网掩码。先按最多主机数选择符合要求的子网位，然后对子网再继续划分。要求的子网位，然后对子网再继续划分。网络网络202.18.6.0/24一级子网一级子网202.18.6.32/27202.18.6.64/27202.18.6.96/27202.18.6.128/27202.18.6.160/27202.18.6.192/27二级子网二级子网202.18.6.32/28202.18.6.48/28202.18.6.64/28202.18.6.80/28三级子网三级子网202.18.6.32/30202.18.6.36/30202.18.6.40/30202.

17、18.6.44/3014表表1 c类子网划分表（类子网划分表（rfc 950）子网位数子网位数掩码掩码子网数子网数主机数主机数2255.255.255.1922623255.255.255.2246304255.255.255.24014145255.255.255.2483066255.255.255.252622 rfc950规定不能使用全规定不能使用全0或全或全1的子网号的子网号 rfc1812取消了该限制取消了该限制表表2 c类子网划分表（类子网划分表（rfc 1812）子网位数子网位数掩码掩码子网数子网数主机数主机数1255.255.255.12821262255.255.255.1

18、922+2623255.255.255.2246+2304255.255.255.24014+2145255.255.255.24830+266255.255.255.25262+2215 匿名的点到点网络匿名的点到点网络 无编号网络无编号网络r1r21 2128.10.0.0128.211.0.0128.10.2.250128.211.0.100利用串行链路利用串行链路为了到达这个网络上的主机为了到达这个网络上的主机路由到这个地址路由到这个地址使用这个接口使用这个接口128.10.0.0直接交付直接交付1默认默认128.211.0.1002 副作用：副作用：不能直接对这些网络接口进行不能直接

19、对这些网络接口进行测试和管理测试和管理无无ip地址地址无无ip地址地址161 1、解决思路：、解决思路：集合多个小的，变成一个大的集合多个小的，变成一个大的 （与子网编址正好相反）（与子网编址正好相反） 方法：方法：分配一块连续的分配一块连续的c c类地址来代替类地址来代替b b类地址类地址 块的大小是块的大小是2 2的幂次的幂次一、问题的起因一、问题的起因 问题：问题：若某单位有若某单位有800台主机，分配一个台主机，分配一个c类地址不类地址不够，分配一个够，分配一个b类地址浪费过大或得不到类地址浪费过大或得不到b类地址，怎类地址，怎么办？么办？ 解决：解决：分配分配4个个c类地址类地址 问

20、题：如何看待这问题：如何看待这4个个c类地址？类地址？ 若作为若作为4个普通的个普通的c类网，则路由表的表项增大类网，则路由表的表项增大二、超网编址方法和二、超网编址方法和cidrcidr 问题：问题：在路由表中如何表示这些网络，以避免路由表的膨胀？在路由表中如何表示这些网络，以避免路由表的膨胀？172. 无类型域间选路无类型域间选路cidr（classless inter-domain routing） 解决：把一块相邻的解决：把一块相邻的c类地址压缩成一个表项类地址压缩成一个表项 （网络地址，合计）（网络地址，合计） 块中最小的网络地址块中最小的网络地址 网络号数网络号数比如：信息工程学院

21、比如：信息工程学院16个个c类网号类网号 202.196.48.0到到202.196.63.0 表示为（表示为（202.196.48.0，16）3、cidr表示方式表示方式 无无 类类 型：型：抛弃了抛弃了a、b、c类地址的概念类地址的概念 表示方式：表示方式：cidr规定规定(rfc15171520)：把所有：把所有ip地址统一地址统一看待，不分类别，用两个值来说明一个地址块：看待，不分类别，用两个值来说明一个地址块： 最低地址最低地址和和32比特的掩码比特的掩码 例：信息工程学院例：信息工程学院202.196.48.0 11001010 11000100 00110000 00000000

22、202.196.63.255 11001010 11000100 00111111 11111111 则表示为：（则表示为：（202.196.48.0，255.255.240.0） 简写为：简写为： （ip前缀表示法）前缀表示法）不变部分，相当于网络号不变部分，相当于网络号18 引入引入cidr时的路由表示例时的路由表示例 例：河南省教育网主干的路由表片断例：河南省教育网主干的路由表片断202.196.48.0 255.255.240.0 210.43.146.1000.0.0.0 0.0.0.0 202.112.53.217210.43.146.4 255.255.255.252 210.4

23、3.146.5210.43.146.6 255.255.255.255 210.43.146.5210.43.146.8 255.255.255.252 210.43.146.5191. 路由聚类技术路由聚类技术 把不同的路由根据前缀聚集成一个路由，这是把不同的路由根据前缀聚集成一个路由，这是cidr的一项重要技术的一项重要技术 为支持聚类，还为支持聚类，还按地理位置分配按地理位置分配一定范围的地址，如：一定范围的地址，如： 欧洲：欧洲： 194195194195（首字节）（首字节） 北美：北美： 198199198199 中南美：中南美： 200201200201 太平洋地区：太平洋地区：2

24、022032022032. 分类地址时路由表的查找分类地址时路由表的查找 hash方法，把路由表组织成方法，把路由表组织成hash表表 考虑到子网路由和特定主机路由，同一哈希值的表考虑到子网路由和特定主机路由，同一哈希值的表项按项按降序降序组织组织3. cidr时查找路由表的问题时查找路由表的问题 若仍然采用若仍然采用hash方法，则可能要尝试各种可能的前缀，方法，则可能要尝试各种可能的前缀，效率低下效率低下20 根据唯一前缀原则把路由表组织成根据唯一前缀原则把路由表组织成一棵二叉树一棵二叉树 问题：使用二叉树仅为每个路由存储唯一前缀，而问题：使用二叉树仅为每个路由存储唯一前缀，而没有覆盖路由

25、的整个网络部分没有覆盖路由的整个网络部分 为保证正确选路，外部节点必须完全匹配为保证正确选路，外部节点必须完全匹配 (需在外部节点增加网络地址和地址掩码需在外部节点增加网络地址和地址掩码) 问题：若包含了子网路由和特定主机路由，则内节问题：若包含了子网路由和特定主机路由，则内节点也有可能标识了路由点也有可能标识了路由 此时的策略如何此时的策略如何? 最长匹配选路策略最长匹配选路策略: 相关内节点也包含地址相关内节点也包含地址/掩码对，掩码对，并按最长匹配选路并按最长匹配选路21唯一前缀唯一前缀000100010101110101011032比特地址（目标项）比特地址（目标项）00110101

26、00000000 00000000 0000000001000110 00000000 00000000 0000000001010110 00000000 00000000 0000000001100001 00000000 00000000 0000000010101010 11110000 00000000 0000000010110000 00000010 00000000 0000000010111011 00001010 00000000 000000001011170.0.0.0，255.0.0.0 例：假如目标地址是：例：假如目标地址是：10111011 10100000 00

27、000000 00000001 若仅查二叉树，则出现错误！若仅查二叉树，则出现错误！0000111001011122下一跳下一跳10.0.0.210.0.0.410.1.0.510.0.0.610.0.0.310.0.0.6前缀前缀128.10.0.0/16128.10.2.0/24128.10.3.0/24128.10.4.0/24128.10.4.3/32128.10.5.0/24128.10.5.7/3210.0.0.3问题：问题：上述路由表的表项前上述路由表的表项前21位都相同，若把这位都相同，若把这21位也体位也体现在树上，则信息冗余！现在树上，则信息冗余！000111012815个

28、00173128.10.0.0/16128.10.4.0/24128.10.4.3/32 最长匹配选路策略最长匹配选路策略: 相关内节点也相关内节点也包含地址包含地址/掩码对，并按最长匹配选路掩码对，并按最长匹配选路23 改进改进 方法一方法一: patricia树，允许每个节点指定一个值，树，允许每个节点指定一个值，测试连续跳过的比特数测试连续跳过的比特数 方法二方法二: 层压缩二叉树，去掉二叉树中沿任意路径层压缩二叉树，去掉二叉树中沿任意路径都可跳过的一层或多层都可跳过的一层或多层24 作作 用用1、解决、解决ip地址不足，地址不足， 多台内部机器共享一个外部多台内部机器共享一个外部ip地

29、址地址2、出于安全考虑，隐藏内部、出于安全考虑，隐藏内部ip地址地址25一、不予分配的一、不予分配的ip地址地址（保留地址，（保留地址，rfc1918）前缀前缀最低地址最低地址最高地址最高地址10/810.0.0.010.255.255.255172.16/12172.16.0.0172.31.255.255192.168/16192.168.0.0192.168.255.255169.254/16169.254.0.0169.254.255.255说明：说明： 1. 使用保留地址可加强网络安全使用保留地址可加强网络安全 2. 使用保留地址的设备要接入使用保留地址的设备要接入internet，

30、必须使，必须使用某种地址转换技术用某种地址转换技术 1个个a类网号类网号 16个个b类网号类网号256个个c类网号类网号 1个个b类网号类网号261、nat工作原理工作原理 修改分组源地址（出去的分组）或目的地修改分组源地址（出去的分组）或目的地址（进入的分组）址（进入的分组） 如何创建如何创建nat转换表转换表（1）手工初始化）手工初始化: 管理员手工配置管理员手工配置（2）外发的数据报）外发的数据报: 发送数据报时建立发送数据报时建立（3）传入名字查找）传入名字查找: 外部主机解析域名时建立外部主机解析域名时建立27cisco2621(config)# interface fastethe

31、rnet0/0cisco2621(config-if)# ip nat insidecisco2621(config-if)# exitcisco2621(config)# interface fastethernet0/1cisco2621(config-if)# ip nat outsidecisco2621(config-if)# exitcisco2621(config)# ip nat inside source static 192.168.0.2 130.214.99.200cisco2621(config)# ip nat inside source static 192.16

32、8.0.3 130.214.99.201 .cisco 2621fastethernet 0/1fastethernet 0/0130.214.99.254/24192.168.0.1内部网内部网192.168.0.2一对一转换，每个内部一对一转换，每个内部ip地址对应唯一一个固定的外部地址对应唯一一个固定的外部ip地址地址 问题问题: 没有节省没有节省ip地址地址 2、静态、静态nat283、动态、动态nat 多对多转换：多对多转换：将一组内部将一组内部ip地址映射到一组外部地址映射到一组外部ip地址（通常较少）。地址（通常较少）。 映射关系动态建立。映射关系动态建立。cisco 2621f

33、astethernet 0/1fastethernet 0/0130.214.99.254/24192.168.0.1内部网内部网 问题：每台机器仍是一个外部问题：每台机器仍是一个外部ip地址地址。当同时要求外联的机器超过外部当同时要求外联的机器超过外部ip地址个数时，则不能满足需求地址个数时，则不能满足需求(前前6行同静态配置）行同静态配置）cisco2621(config)# ip nat pool dynpool 130.214.99.200 130.214.99.250 netmask 255.255.255.0cisco2621(config)# ip nat inside sour

34、ce list 1 pool dynpool overloadcisco2621(config)# access-list 1 permit 192.168.0.0 0.0.0.255外部地址池，命名外部地址池，命名dynpool内部地址表内部地址表内外映射。内外映射。 overload表示外部地表示外部地址数少于内部地址数址数少于内部地址数294 、pat（端口地址转换）（端口地址转换） （也称（也称napt：network address port translation） 解决多个机器共享一个外部解决多个机器共享一个外部ip地址的问题地址的问题 想法：想法：利用连接信息中源端口可能不同利

35、用连接信息中源端口可能不同问题：问题：碰巧源端口也相同，怎么办？碰巧源端口也相同，怎么办？ 解决办法：解决办法：在转换源地址的同时，也转换源端口在转换源地址的同时，也转换源端口内部内部192.168.0.2源端口源端口1070 130.214.99.200 端口端口 1070 内部内部192.168.0.3源端口源端口2050 130.214.99.200 端口端口 2050 说明：说明：理论上，一个外部理论上，一个外部ip地址可同时对应内部地址可同时对应内部6万万多个连接多个连接192.168.0.2源端口源端口1070 130.214.99.200 端口端口 3056 192.168.0.

36、3源端口源端口1070 130.214.99.200 端口端口 3057 30例例: 内部发出内部发出: (192.168.0.5:23023, 128.10.19.20:80) (192.168.0.1:386, 128.10.19.20:80) 转换之后转换之后: (130.214.99.254:14003, 128.10.19.20:80) (130.214.99.254:14010, 128.10.19.20:80)内部地址内部地址内部端口内部端口目标地址目标地址目标端口目标端口nat端口端口使用协议使用协议192.168.0.521023128.10.19.208014003tcp1

37、92.168.0.1386128.10.19.208014010tcp192.168.0.626600207.200.75.22114012tcpcisco 2621fastethernet 0/1fastethernet 0/0130.214.99.254/24192.168.0.1内部网内部网(前前6行同静态配置）行同静态配置）cisco2621(config)# ip nat inside source list 1 int fastetnernet 0/1 overloadcisco2621(config)# access-list 1 permit 192.168.0.0 0.0.0.25531 连接表格式：连接表格式：源源ip、目的、目的ip、转换地址、源端口、目的、转换地址、源端口、目