網(wǎng)絡(luò)層

網(wǎng)絡(luò)層就是在數(shù)據(jù)鏈路層的基礎(chǔ)上,，進一步管理網(wǎng)絡(luò)中的數(shù)據(jù)通信,，將數(shù)據(jù)從源端經(jīng)過若干中間節(jié)點傳送到目的端,，從而實現(xiàn)向傳輸層提供最基本的端到端的數(shù)據(jù)傳送服務(wù),。它提供的服務(wù)使傳輸層不需要了解網(wǎng)絡(luò)中的數(shù)據(jù)傳輸和交互技術(shù),。具體功能包括尋址和路由的選擇,、連接的建立,、保持和終止等,。

網(wǎng)絡(luò)互連：網(wǎng)絡(luò)互連設(shè)備,，如以太網(wǎng)、分組交換網(wǎng)等,，它們之間不能互相通信,，因為它們用來傳送數(shù)據(jù)的基本單元（幀）的格式不同。這是就需要IP協(xié)議（一套軟件,、程序組成的協(xié)議軟件）把各種不同的“幀”同一轉(zhuǎn)換為“網(wǎng)協(xié)數(shù)據(jù)包”格式,，這樣使得各種計算機都能夠在因特網(wǎng)上實現(xiàn)互通。

數(shù)據(jù)包：數(shù)據(jù)包屬于“無連接型”數(shù)據(jù),，它是把打包好的每個包（分組）都作為一個獨立的報文傳送出去,。這樣，在開始通信前,，就不需要先連接好一條電路,，各個數(shù)據(jù)包不一定都通過同一條路徑傳輸，所以叫做“無連接型”,。這一特點提高了網(wǎng)絡(luò)的堅固性和安全性,。數(shù)據(jù)包由報頭和報文兩個部分組成，報頭中的是目的地址的相關(guān)內(nèi)容,，是每個數(shù)據(jù)包不經(jīng)過同樣的路徑都能夠準確地到達目的地,。

在上一章數(shù)據(jù)鏈路層已經(jīng)講到了，我們目前普遍使用的以太網(wǎng)是依靠MAC地址和廣播技術(shù),，能夠?qū)崿F(xiàn)兩個計算機之間的數(shù)據(jù)傳輸（兩個相鄰端點之間的數(shù)據(jù)幀的傳送功能）,。但是，這里有一點需要強調(diào)的是,，我們上一章所說的廣播是向本網(wǎng)絡(luò)（局域網(wǎng)）內(nèi)的所有計算機發(fā)送,。因此，當兩臺計算機不在同一個子網(wǎng)（局域網(wǎng)）內(nèi),，是無法通過廣播直接傳過去的,。不在同一子網(wǎng)的兩臺計算機想要互相通信,，必須找到一種方法來區(qū)分MAC地址屬于哪一個子網(wǎng)：同一個子網(wǎng)采用廣播的形式，不同網(wǎng)絡(luò)采用“路由”的方式,。路由就是依靠一套新的尋址方式：網(wǎng)絡(luò)地址——IP地址,。

IP協(xié)議

IP協(xié)議（Internet Protocol Address，互聯(lián)網(wǎng)地址協(xié)議）,，是分配給用戶上網(wǎng)使用的網(wǎng)際協(xié)議的設(shè)備的數(shù)值標簽,。常用的IP地址分為IPv4和IPv6兩大類。IPv4是一個32位地址,，平時以十進制的形式表示,，如172.16.254.1；IPv6是128為地址,，平時以十六進制的形式表示,，如ABCD:EF01:2345:6789:ABCD:EF01:2345:6789；這里我們以IPv4為例進行講解,。

TCP/IP網(wǎng)絡(luò)使用32位長度的地址以標識一臺計算機和同它相連的網(wǎng)絡(luò),，格式為：IP地址=網(wǎng)絡(luò)地址+主機地址或IP地址=網(wǎng)絡(luò)地址+子網(wǎng)地址+子網(wǎng)主機地址；其中網(wǎng)絡(luò)地址用于識別主機所在的網(wǎng)絡(luò),，主機地址用于識別網(wǎng)絡(luò)中的主機,。

IPv4地址分為五類：A、B,、C,、D、E,。

A類：1.A類地址的第一個字節(jié)為網(wǎng)絡(luò)地址,，其他三個字節(jié)為主機地址，第一位固定為0.即：0XXXXXXX.XXXXXXXX.XXXXXXXX.XXXXXXXX

2.A類網(wǎng)絡(luò)地址范圍：0.0.0.0~127.0.0.0,，總地址范圍（即網(wǎng)絡(luò)＋主機）：X.0.0.0~X.255.255.255.

3.A類地址中的私有地址（互聯(lián)網(wǎng)上不適用,，而是在局域網(wǎng)中使用的地址）10.0.0.0~10.255.255.255

4.A類中的保留地址：127.X.X.X（127.0.0.0~127.255.255.255），用作循環(huán)測試用的,。

B類：1.B類地址的第1和第2字節(jié)為網(wǎng)絡(luò)地址,，其它兩個字節(jié)為主機地址，第一個字節(jié)的前兩位固定為10,。即10XXXXXX.XXXXXXXX.XXXXXXXX.XXXXXXXX

2.按照上面描述,，B類地址的網(wǎng)絡(luò)地址范圍：128.0.X.X~191.255.X.X.主機地址范圍：X.X.0.0~X.X.255.255.

3.B類中的私有地址：172.16.0.0~172.31.255.255

4.B類中的保留地址：169.254.X.X。如果你的IP地址是自動獲取IP地址,，而你在網(wǎng)上又沒有找到可用的DHCP服務(wù)器,，就會得到其中的一個IP。

C類：1.C類地址的第1,、2,、3個字節(jié)為網(wǎng)絡(luò)地址,，第4個字節(jié)為主機地址。并且第一個字節(jié)前三位固定為110,。即110XXXXX.XXXXXXXX.XXXXXXXX.XXXXXXXX

2.C類地址網(wǎng)絡(luò)地址范圍：192.0.0.0~223.255.255.0.主機地址范圍：192.0.0.X~223.255.255.X

3.C類地址中的私有地址：192.168.X.X（192.168.0.0~192.168.255.255）

D類：1.D類地址不分網(wǎng)絡(luò)地址和主機地址,，它的第一個字節(jié)的前四位固定為1110,即：1110XXXX.XXXXXXXX.XXXXXXXX.XXXXXXXX

2.D類地址范圍：224.0.0.0~239.255.255.255

E類：1.E類地址不分網(wǎng)絡(luò)地址和主機地址，它的第1個字節(jié)的前5為固定為11110,，即：11110XXX.XXXXXXXX.XXXXXXXX.XXXXXXXX

2.E類地址的范圍：240.0.0.0~255.255.255.255

特殊格式的IP地址：特殊格式的IP地址包含在前面所提到的5類分類中,，這里我們只是把其中的一些特殊地址拿出來重點說明,。

1.廣播地址：當主機表示字符字段的每位均為1時,，這個地址編碼標識該數(shù)據(jù)包是一個廣播式的通信，可以被路由發(fā)送到專門網(wǎng)絡(luò)上的每臺主機,。例如,，地址128.2.255.255意味著網(wǎng)絡(luò)地址為128.2的網(wǎng)段的所有主機，都會受到廣播,。除此之外,，還有一種特殊的受限廣播，它不被路由發(fā)送,，但會被送到相同物理網(wǎng)絡(luò)段上的所有主句：255.255.255.255

2.本網(wǎng)絡(luò)地址：IP地址的主機標識符號字段全部設(shè)置為0,，表示該地址作為“本主機”地址。網(wǎng)絡(luò)標識符字段也可全部設(shè)置為0,，表示“本網(wǎng)絡(luò)”,。如，128.2.0.0表示網(wǎng)絡(luò)地址為128.2的網(wǎng)絡(luò),。而使用網(wǎng)絡(luò)標識符字段全為0的IP地址,，在一臺主機不知道網(wǎng)絡(luò)的IP地址時是很有用的。

3.私有IP地址：在某些情況下,，一個機構(gòu)并不需要連接到Internet或另外一個專有網(wǎng)絡(luò)上,，因此無需遵循對IP地址進行申請和登記的規(guī)定，該機構(gòu)可以使用任何的私有地址（如,，日常生活中的路由器和分流器）,。A類私有：10.0.0.0到10.255.255.255；B類：172.16.0.0到172.32.255.255,；C類：192.168.0.0到192.168.255.255,；

4.回環(huán)地址：127網(wǎng)段的所有地址都稱為回環(huán)地址，主要用來測試網(wǎng)絡(luò)協(xié)議是否工作正常,。如使用：ping 127.0.0.1就可以測試本地TCP/IP協(xié)議是否正確安裝,。

子網(wǎng)掩碼

從上面我們知道，IP地址是以網(wǎng)絡(luò)號和主機號來表示網(wǎng)絡(luò)上的主機的,，只有在一個網(wǎng)絡(luò)號下的計算機之間才能“直接”互通,，不同網(wǎng)絡(luò)號的計算機要通過網(wǎng)關(guān)（Gateway）才能互通,。但是這樣的劃分在某些情況下顯得并不靈活，例如,，A類網(wǎng)絡(luò)有126個,，而每個A類網(wǎng)絡(luò)可能有16777214臺主機，它們同處在同一個廣播域中,，而同一個廣播域有這么多節(jié)點是不可能的,，這就造成了大多主機地址沒有分配出去。為此,，IP網(wǎng)絡(luò)還允許劃分成更小的網(wǎng)絡(luò),，稱為子網(wǎng)（Subnet）。這樣劃分也能夠解決目前IP地址不夠用的情況,。

當我們將一個網(wǎng)絡(luò)劃分為多個子網(wǎng)時,，我們需要將原來的主機號的一部分拿出來作為子網(wǎng)地址標識。例如一個C類IP地址：210.73.1.X,，前三個字節(jié)表示網(wǎng)絡(luò)號210.73.1,，最后一個字節(jié)X表示主機號。現(xiàn)在假設(shè)我們需要將該網(wǎng)絡(luò)分為12個子網(wǎng),，就需要將主機號的前幾位拿出來作為子網(wǎng)地址,，即前面說的：IP地址=網(wǎng)絡(luò)地址+子網(wǎng)網(wǎng)絡(luò)地址+子網(wǎng)主機地址。而子網(wǎng)掩碼就是用來將IP地址劃分為網(wǎng)絡(luò)地址和主機地址兩個部分,，用于屏蔽IP地址的一部分以區(qū)別網(wǎng)絡(luò)標識和主機表示,，并說明該IP地址是在局域網(wǎng)上還是在遠程網(wǎng)上。

子網(wǎng)掩碼——屏蔽一個IP地址的網(wǎng)絡(luò)部分的“全1”比特模式,。對于A類地址來說,，默認子網(wǎng)掩碼是255.0.0.0；B類默認子網(wǎng)掩碼是255.255.0.0,；C類默認子網(wǎng)掩碼是：255.255.255.0,；除了默認子網(wǎng)掩碼外，我們還可以根據(jù)自己對于子網(wǎng)的需求來設(shè)置子網(wǎng)掩碼,。例如：我們想將B類IP地址168.195.0.0劃分成27個子網(wǎng)

首先需要將27轉(zhuǎn)換為對應(yīng)的二進制：11011.該子網(wǎng)的網(wǎng)絡(luò)地址是在主機地址的基礎(chǔ)上設(shè)立的,，也就是說，IP地址可以表示為10101000.11000011.11011XXX.XXXXXXXX;這里用數(shù)字明確表示的就網(wǎng)絡(luò)地址+子網(wǎng)地址,，“X”表示的是子網(wǎng)中主機號的標識,。

但是這里我們需要知道，計算機如何知道哪些是網(wǎng)絡(luò)地址,，即子網(wǎng)劃分后,，哪些位表示子網(wǎng)的網(wǎng)絡(luò)地址？解決這個問題就需要用到子網(wǎng)掩碼,。子網(wǎng)掩碼通過將網(wǎng)絡(luò)地址部分全部“置1”,，主機標識位全部“置0”來表示,。這樣，可以通過子網(wǎng)掩碼與IP地址進行“AND”位運算來獲取對應(yīng)的網(wǎng)絡(luò)段,，當運算后的結(jié)果相同時,，這些計算機在同一網(wǎng)絡(luò)中，可以“直接”互通,，而不需經(jīng)過網(wǎng)關(guān),。像前面提到的168.195.0.0網(wǎng)段，劃分27個子網(wǎng),，對應(yīng)的二進制11011有五位,，因此將主機地址的前五位設(shè)置為子網(wǎng)網(wǎng)絡(luò)地址，這時,，對應(yīng)的子網(wǎng)掩碼為255.255.248.0,，即11111111.11111111.11011000.00000000；

路由

路由是指分組從源到目的地時,，決定端到端路徑的網(wǎng)絡(luò)范圍的進程。路由工作在OSI參考模型第三層,，我國絕大多數(shù)路由器運行TCP/IP協(xié)議,。

路由器工作時，某一接口收到一個數(shù)據(jù)包,，會先解析包中的報頭,，判斷目標IP地址的網(wǎng)絡(luò)地址（通過子網(wǎng)掩碼進行計算）在當前路由表中是否存在（即路由器是否知道達到目標網(wǎng)絡(luò)的路徑）。如果發(fā)現(xiàn)包的目標地址與本路由器的某個接口所連接的網(wǎng)絡(luò)地址相同,，那么馬上將數(shù)據(jù)轉(zhuǎn)發(fā)到相應(yīng)接口,；如果發(fā)現(xiàn)包的目標地址不是自己的直連網(wǎng)段，則路由器會查看自己的路由表,，查找包的目的網(wǎng)絡(luò)所對應(yīng)的接口,，并從相應(yīng)的接口轉(zhuǎn)發(fā)出去；如果路由表中記錄的網(wǎng)絡(luò)地址與包的目標地址不匹配,，則根據(jù)路由器配置轉(zhuǎn)發(fā)到默認接口,。（這里有一個問題，需要深入了解：路由表如何形成,？它能夠記錄所有目的網(wǎng)絡(luò)對應(yīng)的接口信息,？）。

路由是使兩個子網(wǎng)之間能夠互聯(lián),，但是,，找到對應(yīng)的子網(wǎng)后（IP地址的網(wǎng)絡(luò)部分確定分組的目標網(wǎng)絡(luò)），需要確定子網(wǎng)中具體那一臺計算機,，可以通過IP地址的主機部分和設(shè)備的MAC地址確定到目標節(jié)點的連接,。.

上圖為兩個不同網(wǎng)段之間的電腦進行通信。

圖中Touter0路由器有兩個接口IP,，地址分別為199.165.145.17和199.165.146.3.它們分別接入到兩個網(wǎng)絡(luò)：199.165.145和199.165.146.兩個不同的子網(wǎng)?，F(xiàn)在當我們想從主機199.165.145.17發(fā)送數(shù)據(jù)到199.165.146.21。它們之間的互通是跨網(wǎng)段的,，也就是需要出網(wǎng)關(guān)（網(wǎng)關(guān)實質(zhì)上是一個網(wǎng)絡(luò)通信其他網(wǎng)絡(luò)的IP地址,，網(wǎng)關(guān)的IP地址是具有路由功能的設(shè)備的IP地址）。上面的199.165.145.17和199.165.146.3就是這個路由器的兩個網(wǎng)關(guān),。

第一行表示：如果IP目標地址是199.165.145.0這個網(wǎng)絡(luò)中的主機,，則兩臺主機在同一個子網(wǎng)中，只需在自己的網(wǎng)絡(luò)中通過網(wǎng)卡（MAC地址）通過交換機直接傳送，不需要前往router（Gateway 0.0.0.0=“本地通信”）,；第二行表示：所有不符合第一行的IP地址,，應(yīng)該送往Gateway199.165.145.17這個主機，這也就是前面說的路由設(shè)備中的IP地址,。

我們這里舉例的兩個主機之間進行通信,，就處于兩個不同子網(wǎng)中，需要通過網(wǎng)關(guān),。199.165.145.15會在數(shù)據(jù)包的頭部寫上自己的IP地址和MAC地址,，以及目的主機的IP地址和MAC地址。這樣,，就在199.165.145這個局域網(wǎng)中通過交換機（通過廣播MAC地址）廣播到199.165.145.14對應(yīng)的主機（路由器）,。

我們從表中可以看到,，路由器有兩個對應(yīng)的網(wǎng)絡(luò)段199.165.145.0和199.165.146.0，它可以直接通過eth0和eth1上的網(wǎng)卡直接傳送IP包,。第三行表示前面兩行之外的IP地址,，則需要通過eth1，送往199.165.145.8（右邊的router接口IP）,。我們的目的地址符合第二行,，所以將IP放入一個新的幀中，在幀的頭部寫上199.165.146.21的MAC地址,，通過199.165.146網(wǎng)中的交換機廣播發(fā)往主機199.165.146.21

假設(shè)你的名字叫小不點(很小)，你住在一個大院子里,，你的鄰居有很多小伙伴,，父母是你的網(wǎng)關(guān)。當你想跟院子里的某個小伙伴玩,，只要你在院子里大喊一聲

他的名字,，他聽到了就會回應(yīng)你，并且跑出來跟你玩,。

但是你家長不允許你走出大門,，你想與外界發(fā)生的一切聯(lián)系，都必須由父母（網(wǎng)關(guān)）用電話幫助你聯(lián)系,。假如你想找你的同學(xué)小明聊天,，小明家住在很遠的另外一個院子里，他家里也有父母（小明的網(wǎng)關(guān)）,。但是你不知道小明家的電話號碼,，不過你的班主任老師有一份你們班全體同學(xué)的名單和電話號碼對照表，你的老師就是你的DNS服務(wù)器。于是你在家里和父母有了下面的對話：

小不點：媽媽(或爸爸),我想找班主任查一下小明的電話號碼行嗎,？家長：好,，你等著。（接著你家長給你的班主任掛了一個電話,，問清楚了小明的電話）問到了,，他家的號碼是211.99.99.99

小不點：太好了！媽(或爸),我想找小明,，你再幫我聯(lián)系一下小明吧,。

家長：沒問題。（接著家長向電話局發(fā)出了請求接通小明家電話的請求,，最后一關(guān)當然是被轉(zhuǎn)接到了小明家家長那里,，然后他家長把電話給轉(zhuǎn)到小明）.

就這樣你和小明取得了聯(lián)系。

如果搞清了什么是網(wǎng)關(guān),，默認網(wǎng)關(guān)也就好理解了,。就好像一個房間可以有多扇門一樣，一臺主機可以有多個網(wǎng)關(guān),。默認網(wǎng)關(guān)的意思是一臺主機如果找不到可用的網(wǎng)關(guān),，就把數(shù)據(jù)包發(fā)給默認指定的網(wǎng)關(guān)，由這個網(wǎng)關(guān)來處理數(shù)據(jù)包,。默認網(wǎng)關(guān),。默認網(wǎng)關(guān)一般填寫192.168.x.1

ARP協(xié)議

IP在OSI模型第三層，MAC地址在第二層,，彼此不直接打交道,。在通過以太網(wǎng)發(fā)送IP數(shù)據(jù)包時，需要先封裝第三層（32位IP地址）,、第二層（48位MAC地址）的報頭,，但是由于發(fā)送時只知道目標IP地址，不知道MAC地址,，又不能跨第二,、三層，所以需要地址解析協(xié)議,，根據(jù)網(wǎng)絡(luò)層IP地址信息解析出目標硬件地址信息（MAC地址）,，以保證通信順利進行。

在上面路由過程中,，不同網(wǎng)絡(luò)的主機之間首先通過IP地址實現(xiàn)網(wǎng)絡(luò)間的互通,，然后通過MAC地址在本地網(wǎng)絡(luò)中找到對應(yīng)MAC地址的主機。目的IP地址和源IP地址第不會改變的,，但是在網(wǎng)絡(luò)中進行傳輸是,，會途徑多個路由,，MAC地址是一直變換的。MAC地址和IP地址一個代表終點,，一個代表沿途經(jīng)過的站點,。所以當數(shù)據(jù)包到達目的局域網(wǎng)后，如何知道對應(yīng)的MAC地址,？這里使用ARP協(xié)議來確定主機的MAC地址,。

地址解析協(xié)議工作在一個網(wǎng)段,，但是當兩個計算機不在同一網(wǎng)段時，就需要代理ARP來完成,。代理ARP一般被路由器這樣的設(shè)備使用,，用來代替處于另一網(wǎng)段的主機回答本網(wǎng)段主機的ARP請求。

例如PC1（192.168.20.66/24）需要向主機PC2（192.168.20.20/24）發(fā)送報文,，因為主機PC1不知道子網(wǎng)的存在且和目標主機PC2在同一主網(wǎng)絡(luò)網(wǎng)段,，所以PC1將發(fā)送ARP協(xié)議請求廣播報文以此請求192.168.20.20的MAC地址。這時,，路由器識別出報文的目標地址屬于另一子網(wǎng),，因此想請求主機回復(fù)自己的硬件地址（0004.dd9e.cca0）。之后PC1將發(fā)往PC2的數(shù)據(jù)包都發(fā)送到MACE地址為0004.dd9e.cca0（路由器接口E0/0）,，由路由器將數(shù)據(jù)包轉(zhuǎn)發(fā)到目標主機PC2,。接下來路由器將為PC2做同樣的代理發(fā)送數(shù)據(jù)包的工作，可以使路由器以一個不真實的PC2的MAC地址欺騙了源主機PC1,。代理ARP的使用一般是使用在沒有配置默認網(wǎng)關(guān)和路由策略的網(wǎng)絡(luò)上的

NAT

這個問題和我們平時生活是非常接近的：我們同過Windows命令行查詢本機IP——ipconfig 命令，會發(fā)現(xiàn)一個IP地址,，然后通過百度“IP”,，會有另一個IP，這兩個IP是不同的,。前面一個IP就是在A,、B、C三類IP中的私有IP,，后面的IP是全球唯一的公網(wǎng)IP,。私網(wǎng)中的IP是不會進入公網(wǎng)的，也就是說，私網(wǎng)只能進行內(nèi)部的信息交流,，而無法連入互聯(lián)網(wǎng),。但是我們平時使用電腦時，確實可以與不同網(wǎng)絡(luò)中的主機進行交流的,，也就是說我們使用的私網(wǎng)主機是能夠訪問互聯(lián)網(wǎng)的,。這就需要NAT技術(shù)來實現(xiàn)私網(wǎng)與公網(wǎng)之間的連接。

NAT（Network Address Translation,，網(wǎng)絡(luò)地址轉(zhuǎn)換）,，是用來解決IP地址資源短缺問題的技術(shù)，通過NAT技術(shù),，我們可以將私網(wǎng)IP與對應(yīng)的公網(wǎng)IP進行映射,，從而通過公網(wǎng)IP實現(xiàn)對互聯(lián)網(wǎng)的訪問。這種方式需要在私網(wǎng)連接到因特網(wǎng)的路由器上安裝NAT軟件,，我們將這種裝有NAT軟件的路由器叫做NAT路由器,。

功能：1.寬帶分享；2.安全防護（隱藏私網(wǎng)中的主機）

實現(xiàn)方式：

1.靜態(tài)轉(zhuǎn)換：將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址,，IP地址對時一對一的,，是一成不變的，某個私有IP只轉(zhuǎn)換為某個公有IP,。借助靜態(tài)轉(zhuǎn)換,，可以實現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備（服務(wù)器）的訪問。

2.動態(tài)轉(zhuǎn)換：將內(nèi)部網(wǎng)絡(luò)的私有IP轉(zhuǎn)換為公有IP時,，IP地址是不確定的,，隨機的，所有被授權(quán)訪問上Internet的私有IP地址可隨機轉(zhuǎn)換為任意指定的合法IP地址,。也就是說,，只要指定哪些內(nèi)部地址可以進行轉(zhuǎn)換，以及哪些合法地址作為外部地址時,，就可以進行動態(tài)轉(zhuǎn)換,。動態(tài)轉(zhuǎn)換可以使用多個合法外部地址集。當ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計算機數(shù)量時,，可采用動態(tài)轉(zhuǎn)換的方式,。

3.端口多路復(fù)用：改變外出數(shù)據(jù)包的源端口并進行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換（PAT）,。采用該方式能夠?qū)⒍鄠€私網(wǎng)IP地址映射到一個公網(wǎng)IP地址（多對一）,，實現(xiàn)對于互聯(lián)網(wǎng)的訪問，從而最大限度地節(jié)約IP地址資源,。同時,，又可隱藏內(nèi)部主機,，有效避免來自Internet的攻擊。這種方法也是目前網(wǎng)絡(luò)中應(yīng)用最多的方法,。

如上圖所示,，假設(shè)現(xiàn)在有個內(nèi)網(wǎng)的主機172.18.250.6想要和外部202.108.22.5通信，172.18.250.6發(fā)送數(shù)據(jù)是會識別出它的目的地址不在同一網(wǎng)段,，因此會發(fā)往下一跳（設(shè)定的網(wǎng)關(guān),，本例中即NAT路由），NAT在接收到后,，先將數(shù)據(jù)源地址替換為219.155.6.240:1723（端口號>1024的隨機端口）,，然后通過這個公網(wǎng)IP，將數(shù)據(jù)發(fā)送給202.108.22.5:80,。該服務(wù)器接受數(shù)據(jù)后交給對應(yīng)的應(yīng)用處理（端口80表示對應(yīng)的應(yīng)用服務(wù)）,，完成后將數(shù)據(jù)返回給219.155.6.240.1723，NAT網(wǎng)關(guān)檢測自己的關(guān)聯(lián)表,，找到對應(yīng)的私網(wǎng)IP地址172.18.250.6,，然后把這個數(shù)據(jù)發(fā)送給客戶端。

注：上面的1723是端口號,，是用來識別應(yīng)用程序的,，在公網(wǎng)傳回的報文端口號（即：1723）要轉(zhuǎn)換成私網(wǎng)主機對外開放的那個端口（即：80）?；ヂ?lián)網(wǎng)服務(wù)被定義在前1024個端口,，而這里的端口是訪問內(nèi)網(wǎng)時，映射出來的端口號,，例如80端口對應(yīng)應(yīng)用服務(wù),，在傳到NAT后80端口被映射為8080或8081.....

傳輸層的端口號使用來標識和區(qū)分各種上層應(yīng)用程序的