路由

1,、路由表

如果一個(gè)主機(jī)有多個(gè)網(wǎng)絡(luò)接口,，當(dāng)向一個(gè)特定的IP地址 發(fā)送分組時(shí)，它怎樣決定使用哪個(gè)接口呢,？答案就在路由表中,。來(lái)看下面的例子：

主機(jī)將所有目的地為網(wǎng)絡(luò)201.66.37.0內(nèi)主機(jī)(201.66.37.1-201.66.37.254)的數(shù)據(jù)通過(guò)接口eth0 (IP地址為201.66.37.74)發(fā)送，所有目的地為網(wǎng)絡(luò)201.66.39.0內(nèi)主機(jī)的數(shù)據(jù)通過(guò)接口eth1(IP地址為201.66.39.21)發(fā)送,。標(biāo)志A表示該路由狀態(tài)為 “active”（即激活狀態(tài)）,。對(duì)于直接連接的網(wǎng)絡(luò)，一些軟件并 不象上例中一樣給出接口的IP地址,，而只列出接口,。

此例只涉及了直接連接的主機(jī)，那么目的主機(jī)在遠(yuǎn)程網(wǎng)絡(luò)中如何呢,？如果你通過(guò) IP地址為201.66.37.254的網(wǎng)關(guān)連接到網(wǎng)絡(luò) 73.0.0.0,，那么你可以在路由表中增加這樣一項(xiàng)：

此項(xiàng)告訴主機(jī)所有目的地為網(wǎng)絡(luò)73.0.0.0內(nèi)主機(jī)的分組 通過(guò)201.66.37.254路由過(guò)去。標(biāo)志S(static) 表示此項(xiàng)通過(guò)靜態(tài)指定把分組導(dǎo)向外部網(wǎng)關(guān),。類似的,，也可以定義通過(guò)網(wǎng)關(guān)到達(dá)特定主機(jī)的路由，也標(biāo)志 為S：

下面是路由表的基礎(chǔ),，除了特殊表 項(xiàng)之外：

第一項(xiàng)是loopback接口,，用于主機(jī)給自己發(fā)送數(shù)據(jù)，通 常用于測(cè)試和運(yùn)行于IP之上但需要本地通信的應(yīng)用,。這是到特定地址127.0.0.1的主機(jī)路由(接口lo0是IP協(xié)議棧內(nèi)部的“假”網(wǎng)卡,，在RouterOS中),。第二項(xiàng)十分有意思，為了防止在主機(jī) 上定義到因特網(wǎng)上每一個(gè)可能到達(dá)網(wǎng)絡(luò)的路由,，可以定義一個(gè)缺省路由,，如果在路由表中沒(méi)有與目的地址 相匹配的項(xiàng)，該分組就被送到缺省網(wǎng)關(guān),。多數(shù)主機(jī)簡(jiǎn)單地通過(guò)一個(gè)網(wǎng)卡連接到網(wǎng)絡(luò),，因此只有通過(guò)一個(gè)路 由器到其它網(wǎng)絡(luò)，這樣在路由表中只有三項(xiàng)：loopback項(xiàng),、本地子網(wǎng)項(xiàng)和缺 省項(xiàng)（指向路由器）,。

2、重疊路由

假設(shè)在路由表中有下列重疊項(xiàng)：

之所以說(shuō)這些路由重疊是因?yàn)檫@四個(gè)路由都含有地址1.2.3.4,，如果向1.2.3.4發(fā)送數(shù)據(jù),，會(huì)選擇哪條路由呢？在這種情況下,，會(huì)選擇第一條路由,，通過(guò)網(wǎng)關(guān)201.66.37.253。原則是選擇具有最長(zhǎng)(最精確)的子網(wǎng)掩碼,。類似的,，發(fā)往1.2.3.5的數(shù)據(jù)選擇第二 條路由。

注意：這條原則只適用于間接路由(通過(guò)網(wǎng)關(guān)),。把兩個(gè)接口定義在同一子網(wǎng)在很多軟件實(shí)現(xiàn)上是非法的,。例如下面的設(shè)置通常 是非法的（不過(guò)有些軟件將嘗試在兩個(gè)接口進(jìn)行負(fù)載平衡）：

對(duì)于重疊路由的策略是十分有用的,，它允許缺省路由作為目的為0.0.0.0,、子網(wǎng)掩碼為0.0.0.0的路由進(jìn)行工作，而不需要作為路由軟件的一個(gè)特殊情況來(lái)實(shí)現(xiàn),。

3,、靜態(tài)路由

回頭看看我們已建立的路由表，已有了六個(gè)表項(xiàng)：

該網(wǎng)絡(luò)圖示如下 

這些表項(xiàng)分別是怎么得到的呢,？第一個(gè)是當(dāng)路由表初始化 時(shí)由路由軟件加入的,，第二、三個(gè)是當(dāng)網(wǎng)卡綁定IP地址時(shí)自動(dòng)創(chuàng)建的,，其余 三個(gè)必須手動(dòng)加入,。

NAT技術(shù)

NAT技術(shù)主要解決IP地址短缺問(wèn)題，最初提出的建議是在子網(wǎng)內(nèi)部使用局部地址,，而在子網(wǎng)外部使用 少量的全局地址,，通過(guò)路由器進(jìn)行內(nèi)部和外部地址的轉(zhuǎn)換。局部地址是在子網(wǎng)內(nèi)部獨(dú)立編址的,，可以與外 部地址重疊,。這種想法的基礎(chǔ)是假定在任何時(shí)候子網(wǎng)中只有少數(shù)計(jì)算機(jī)需要與外部通信,，可以讓這些計(jì)算 機(jī)共享少量的全局IP地址。后來(lái)根據(jù)這種技術(shù)又開發(fā)出其他一些應(yīng)用,，下面 講述兩種最主要的應(yīng)用：

第一種應(yīng)用事動(dòng)態(tài)地址翻譯（Dynamic Address Translation）,。為此首先引入存根域的概念，所謂存根域（Stub Domain）就是內(nèi)部網(wǎng)絡(luò)的抽象,，這樣的網(wǎng)絡(luò)只是處理源和目標(biāo)都在子網(wǎng)內(nèi)部 的通信,。任何時(shí)候存根域內(nèi)只有一部份主機(jī)要與外界通信，甚至還有許多主機(jī)可能從不與外界通信,，所有 整個(gè)存根域只需要共享少量的全局IP地址,。存根域有一個(gè)邊界路由器，由它 來(lái)處理域內(nèi)與外部的通信,。這種NAT地址使用如下特點(diǎn)：

只要緩沖區(qū)中存在 尚未使用的C類地址,，任何從內(nèi)向外的連接請(qǐng)求都可以得到響應(yīng)，并且在邊界路由器的動(dòng)態(tài)NAT表中為之建立一個(gè)映像 表項(xiàng),；

如果內(nèi)部主機(jī)的映 像存在,，就可以利用它建立連接；

從外部訪問(wèn)內(nèi)部主 機(jī)是有條件的,，即動(dòng)態(tài)NAT表必須存在該主機(jī)的映像,。

動(dòng)態(tài)地址翻譯的好處是節(jié)約了全局適用的IP地址，而且不需要改變子網(wǎng)內(nèi)部的任何配置,，只需要在邊界路由器中設(shè)置一個(gè)動(dòng) 態(tài)地址變換表就可以工作了,。

另一種特殊的NAT應(yīng)用是 m:1翻譯，這種技術(shù)也叫做偽裝（Masquerading）,因?yàn)橛靡粋€(gè)路由器的IP地址可以把子網(wǎng)中的所有主機(jī)的IP地址都隱藏起來(lái),。如果子 網(wǎng)中有多個(gè)主機(jī)要同時(shí)通信,，那么還要對(duì)端口號(hào)進(jìn)行翻譯，所以這種技術(shù)更經(jīng)常稱為網(wǎng)絡(luò)地址和端口翻譯 （Network Address Port Translation NAPT）,。在很多NAPT實(shí)現(xiàn)中專門保留一部分端口給偽裝使用,，叫做偽裝端口號(hào)。這種方法有以下特點(diǎn)：

出口分組的源地址 被路由器的外部ＩＰ地址所代替,，出口分組的源端口號(hào)被一個(gè)未使用的偽裝端口號(hào)所代替,；

如果進(jìn)來(lái)的分組的 目標(biāo)地址是本地路由器的ＩＰ地址，而目標(biāo)端口號(hào)是路由器的偽裝端口號(hào),，則ＮＡＴ路由器就檢查該分組 是否為當(dāng)前的一個(gè)偽裝會(huì)話,，并試圖通過(guò)它的偽裝表對(duì)ＩＰ地址和端口進(jìn)行翻譯。

偽裝技術(shù)可以作為一種安全手段使用,，借以限制對(duì)外部?jī)?nèi) 部主機(jī)的訪問(wèn),。另外還可以用這種技術(shù)實(shí)現(xiàn)虛擬主機(jī)和虛擬路由，以便達(dá)到負(fù)載均衡和提高可靠的目的,。