私網地址

IP地址分為5類，其中A，B，C三類中各保留了3個區域作為私網地址，也就是局域網用的，私網地址不能在公網上出現，只能用在內部網路中，所有的路由器都不能發送目標地址為私網地址的數據報。 ^[1] 

私網地址是：

有了私網地址，世界上所有局域網都可以用這些私有網絡地址來標識局域網絡內部的主機，從而避免了IPv4地址用盡的情況，因為私網地址既可以由這個企業的局域網使用，又可以由那個公司的局域網使用，即私網地址可以不斷地重複使用。 ^[1] 

使用私網保留地址的網絡只能在內部進行通信，而不能與其他網絡互連。因為本網絡中的保留地址同樣也可能被其他網絡使用，如果進行網絡互連，那麼尋找路由時就會因為地址的不唯一而出現問題。 ^[1] 

進一步的説，當局域網通過路由設備與廣域網連接時，路由設備會自動將該地址段的信號隔離在局域網內部，因此不必擔心所使用的私網IP地址與其他局域網中使用的同一地址段的私網IP地址發生衝突。所以完全可以放心大膽的根據自己需要，選用適當的私網地址段，設置自己內部局域網IP地址。小型企業或家庭網絡可以選擇192.168.0.0，大中型企業網絡可以選擇172.16.0.0或10.0.0.0地址段。 ^[1] 

這些使用私網保留地址的網絡可以通過將本網絡內的保留地址翻譯轉換成公網地址的方式實現與外部網絡的互連，這也是保證網絡安全的重要方法之一。 ^[1] 

公網地址是指所有私網地址以外的地址。 ^[2] 

公網地址是指在因特網上直接可達的地址，如果你有一個公網地址，那就意味着你不但能訪問別人，還能被人訪問。公網地址是架設各種服務器必不可少的條件。

內、外網是相對於防火牆而言的，在防火牆內部叫做內網，反之就是外網。 ^[3] 

在一定程度上外網等同於公網，內網等同於私網。兩者的區別如圖《公網地址和私網地址》所示。

Basic NAT是一種1:1映射的NAT，其基本原理如下：私網是一個單出口網絡(stubnet-work)，與公網的接口處做地址轉換。NAT的公網一側分配有一個地址段的“合法" IP，私網一側則分配保留IP。地址映射關係可以靜態配置，也可以動態綁定。私網訪問公網的數據報文經過NAT時，源IP地址被改寫成所映射的公網IP地址；公網到私網的數據報文經NAT時，目的IP地址被改寫成映射的私網IP地址。 ^[4] 

採用靜態配置的方式，必須保證公網IP數目與私網IP數目一樣多，否則沒有被配置的私網IP地址將不能訪問公網。動態綁定方式則要靈活得多，公網IP的數量可以少於私網IP的數量，當有較多用户同時訪問公網時，公網IP可能不足，會導致部分訪問的請求失敗。管理員可以根據私網中對公網訪問的最大併發數來配置公網IP地址數。 ^[4] 

此外，其他的一些管理措施也能增加對公網IP地址的使用率，比如：限制用户對公網IP的綁定時間，以及解除長期未使用的IP綁定。 ^[4] 

在多數的企業網和小辦公室的網絡中，通常都只有一個WAN接口和一個“合法”IP地址，私網內的眾多節點對公網的訪問都由出口處的路由器完成地址轉換。NAPT是一種 “一對多" 的地址映射方法，公網IP只有一個，與之映射的私網IP若干，因此只得把傳輸層的TCP/UDP端口或者ICMP的Identifier也加入進來，以私網地址(本地傳輸層端口號)--公網地址(分配的傳輸層端口號)。 ^[4] 

NAPT的限制相對較多，通常只有TCP/UDP會話才允許穿過路由器，而且會話的發起者必須是私網裏的主機。ICMP報文，除了REDIRECT報文外，穿過NAPT路由器都需要用ICMP報文中的Identifier域做映射。ICMP Identifier 由Query方生成， Response方則使用這個Identifier，以此作為區別不同ICMP報文。 ^[4] 

(1)地址綁定

在一個BasicNAT的會話中，私網中的主機發出的第一個到公網的IP報文將會觸發NAT路由器為這個私網IP地址綁定一個公網IP。從此之後，所有源地址為該私網IP的報文都使用這個綁定。如果NAT路由器採用動態綁定的策略，可以對這個會話計時，當會話有很長時間的空閒後，可以把綁定解除，釋放被分配的公網地址。如果用户採取靜態綁定的策略，則需要由管理員來配置公網地址與私網地址的映射關係。 ^[4] 

NAPT只有一個公網地址，綁定的關係是私網地址(源端口)和公網地址(分配的端口)。與Basic NAT不同的是，NAPT對一個NAT會話的標識是私網地址(源端口) ，因此每個主機如果有若干TCP/UDP會話，就會有對應的多個NAPT會話。 ^[4] 

(2)地址查找和轉換

NAT會話建立後，路由器維護的一個地址轉換表中將為每一個會話建立一條表項，可以用一個狀態屬性來標識表項，路由器據此可以採用不同的綁定策略。NAT路由器收到報文後，首先做地址轉換表的查找，如果找到會話已存在則把報文的地址(IP或者IP和端口)做相應的轉換，其中可能會涉及報文中其他域的改變，比如重新計算checksum值。 ^[4] 

(3)地址解綁定

當NAT的會話不再使用時，路由器觸發解綁定的過程，地址轉換表中的表項被刪除。地址解綁定的原因有幾種：管理員強制解除地址綁定或者NAT會話狀態空閒的時間過長。 ^[4] 

Internet網絡都使用公網IP地址。通常公網地址由國家相關部門統一分配，因此局域網中與外部 Internet網絡互連的網絡必須使用公網IP地址。並且使用的公網IP地址通常由電信部門分配，不能由自己隨意取用。即使是局域網內網可以使用私網地址，但由於私網地址非常多，所以如何在局域網中使用私有地址也會遇到一些問題。 ^[5] 

局域網內部IP地址的劃分，看起來簡單，其實是一件非常複雜的工作。可以説網絡的IP地址規劃是構建和設計網絡的一個重要步驟。規劃得當，可以使工作事半功倍，而如果規劃不得當，則可能使後續的工作出現重大故障，延誤工程期限，因此初學者要掌握IP地址分配的基本方法。 ^[5] 

局域網的IP地址規劃儘管複雜，但是仍然有規律可循。在分配IP地址時，要分析哪些節點需要分配IP地址。大家都知道，局域網內每個用户的個人計算機需要分配IP地址，局域網的各種服務器需要分配IP地址。 ^[5] 

除此之外，因為用户數據要通過網絡設備接口轉發數據，所以各個設備的互連接口也要分配IP地址。下面就局域網中這些情況的IP地址分配進行説明。 ^[5] 

儘管三個私有IP地址網段可以根據需要任意分配給局域網內部使用，但是這種分配並不是隨意的。通常的方法是要結合局域網用户的總數量，合理劃分VLAN，結合VLAN劃分的情況按子網網段分配給網內用户。 ^[5] 

那麼怎麼規劃局域網的VLAN呢? 雖然規劃局域網的VLAN有多種方法，但是最常用的還是按照交換機的端口劃分VLAN。同一個VLAN一般按50 ~ 200個用户分配的話，可以考慮將2 ~ 4個接入層交換機劃分到一個VLAN。當然也可以一個接入層交換機就劃分成一個VLAN，以方便接入層交換機擴展，例如接入層交換機下面再接一個交換機，或者接入層交換機的端口下面連接集線器。 ^[5] 

完成了VLAN劃分之後，就可以給VLAN分配子網網段地址了。注意是給VLAN分配子網網段地址，後面敍述中常稱為VLAN子網。通常是一個VLAN分配一個子網網段。當局域網用户計算機數量比較多，使用的接入層計算機也比較多，這時在局域網中可能需要劃分很多個VLAN，可能多達20~50個，此時應儘量給相同匯聚層交換機下規劃的VLAN子網分配連續的IP地址。 ^[5] 

因為連續劃分，可以方便路由器在進行數據轉發時對子網路由進行路由匯聚，減少路由表中路由條目。不連續劃分時可能會因使用RIPv1協議導致不連續子網問題。不過當使用RIPv2協議及其他路由協議，那就不存在不連續子網問題。 ^[5] 

局域網用户IP劃分往往是結合局域網的VLAN規劃進行的。在進行VLAN劃分時，往往就要考慮各個VLAN子網的IP 地址及網段分配。當這個工作完成後，用户計算機接入到不同的接入層交換機所在的VLAN中時，計算機的IP地址配置必須要與所在的VLAN子網網段匹配。其網關IP要設置在匯聚層交換機上所在VLAN接口的IP地址。 ^[5]