3、静态路由 回头看看我们已建立的路由表,已有了六个表项:
目的 掩码 网关 标志 接口 127.0.0.1 255.255.255.255 127.0.0.1 AS lo0 201.66.37.0 255.255.255.0 201.66.37.74 AS eth0 201.66.39.0 255.255.255.0 201.66.39.21 AS eth1 default 201.66.39.254 AS eth1 73.0.0.0 255.0.0.0 201.66.37.254 AS eth0 91.32.74.21 255.255.255.255 201.66.37.254 AS eth0 该网络图示如下:
这些表项分别是怎么得到的呢?{dy}个是当路由表初始化时由路由软件加入的,第二、三个是当网卡绑定IP地址时自动创建的,其余三个必须手动加入。 NAT技术 NAT技术主要解决IP地址短缺问题,最初提出的建议是在子网内部使用局部地址,而在子网外部使用少量的全局地址,通过路由器进行内部和外部地址的转换。局部地址是在子网内部独立编址的,可以与外部地址重叠。这种想法的基础是假定在任何时候子网中只有少数计算机需要与外部通信,可以让这些计算机共享少量的全局IP地址。后来根据这种技术又开发出其他一些应用,下面讲述两种最主要的应用: {dy}种应用事动态地址翻译(Dynamic Address Translation)。为此首先引入存根域的概念,所谓存根域(Stub Domain)就是内部网络的抽象,这样的网络只是处理源和目标都在子网内部的通信。任何时候存根域内只有一部份主机要与外界通信,甚至还有许多主机可能从不与外界通信,所有整个存根域只需要共享少量的全局IP地址。存根域有一个边界路由器,由它来处理域内与外部的通信。这种NAT地址使用如下特点: 只要缓冲区中存在尚未使用的C类地址,任何从内向外的连接请求都可以得到响应,并且在边界路由器的动态NAT表中为之建立一个映像表项; 如果内部主机的映像存在,就可以利用它建立连接; 从外部访问内部主机是有条件的,即动态NAT表必须存在该主机的映像。 动态地址翻译的好处是节约了全局适用的IP地址,而且不需要改变子网内部的任何配置,只需要在边界路由器中设置一个动态地址变换表就可以工作了。 另一种特殊的NAT应用是m:1翻译,这种技术也叫做伪装(Masquerading),因为用一个路由器的IP地址可以把子网中的所有主机的IP地址都隐藏起来。如果子网中有多个主机要同时通信,那么还要对端口号进行翻译,所以这种技术更经常称为网络地址和端口翻译(Network Address Port Translation NAPT)。在很多NAPT实现中专门保留一部分端口给伪装使用,叫做伪装端口号。这种方法有以下特点: 出口分组的源地址被路由器的外部IP地址所代替,出口分组的源端口号被一个未使用的伪装端口号所代替; 如果进来的分组的目标地址是本地路由器的IP地址,而目标端口号是路由器的伪装端口号,则NAT路由器就检查该分组是否为当前的一个伪装会话,并试图通过它的伪装表对IP地址和端口进行翻译。 伪装技术可以作为一种安全手段使用,借以限制对外部内部主机的访问。另外还可以用这种技术实现虚拟主机和虚拟路由,以便达到负载均衡和提高可靠的目的。 |