为了解决IP地址匮乏的问题,让更多的计算机能够连上Internet,以下3段IP地址被声明为内部IP地址,这些地址将不再出现在Internet上,任何组织均可在其内部使用这些地址:
(1)10.0.0.0~10.255.255.255
(2)172.16.0.0~172.31.255.255
(3)192.168.0.0~192.168.255.255
基于以上内部IP地址,即可为每个组织(或公司)仅分配一个/少量的真实IP地址用于传输Internet流量,而在该组织内部,给每台主机分配一个唯一的“内部IP地址”用于传输内部流量。不过,这样一来,当某个仅分配了“内部IP地址”的主机需要向Internet发送分组时,则需要进行地址转换,将内部IP地址转换为真实IP地址,这样才能连接到Internet。如图4.6所示,将内部IP地址转换为真实IP地址的功能一般通过部署在NAT服务器上的NAT盒(Network Address Translation Box)模块来实现,其原理如下:
步骤1:当一个外发至Internet的分组进入公司的NAT服务器(须配置双网卡,一块连接Internet,另一块连接公司内部网络)时,服务器上的NAT盒模块首先会将外发分组中的源地址域中记录的内部IP地址10.x.y.z替换为公司的真实IP地址。
步骤2:NAT盒将外发分组对应的内部IP地址和端口号构成的二元组(内部IP地址,端口号)用一个16位的索引值(0~65 535)表示并存储在自己的NAT映射表中,然后再用该索引值替代外发分组中的16位源端口号值。
步骤3:当应答分组通过Internet进入公司的NAT服务器时,服务器上的NAT盒模块首先会从应答分组中提取出TCP目标端口号,然后用其作为索引值从自己的NAT映射表中查到对应的二元组(内部IP地址,端口号)。
步骤4:NAT盒模块再根据该二元组中记录的内部IP地址和端口号将该分组转发给内部网络中的对应主机。
图4.6 NAT盒工作原理
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
