1政府應急指揮系統的網絡通信系統南開大學濱海學院法政學系電政專業(yè)張一鳴2015年5月12日12第四章政府應急管理計算機網絡通信

南開大學濱海學院法政學系電政專業(yè)張一鳴2015年5月12日2本章主要內容了解應急指揮系統對網絡的要求掌握IP地址標準分類標準與特殊的IP地址形式掌握子網地址規(guī)劃方法掌握CDIR地址規(guī)劃方法虛擬專用網VPN和網絡地址轉換NAT掌握內部網絡IP地址規(guī)劃與地址轉換NAT方法34.1應急指揮系統對網絡的要求

在城市應急指揮系統裝備的網絡通信、數據處理、控制指揮裝備，屬于整個應急指揮系統的支撐平臺。是及時傳遞各種突發(fā)事件信息、調度各種救災力量和指揮應急突發(fā)事件處理的基本保障，具有不可替代的關鍵作用。它包括有：基于程控電話交換機和計算機處理系統的呼叫中心、基于城域網和廣域網的計算機網絡技術、基于無線調度廣播的數字集群通信系統，以及現場圖形、圖像和聲音的實時采集與回送等數據傳輸技術。45政府應急指揮系統系統組成聯動單位1120分中心122分中心119分中心110分中心聯動單位N系統維護、數據更新、功能完善、需求變化計算機局域網絡/有線數據網絡/無線數據網絡/Intranet/Internet操作系統、應用系統、開發(fā)平臺基于WEB的應急信息服務系統數據維護系統應急指揮調度系統有無線通訊系統圖像監(jiān)控系統GPS系統大型顯示系統交換機系統報警網絡首長決策指揮系統應急政務系統現場圖像傳輸電源及安全系統地圖數據+屬性數據數據庫系統地理信息系統…52012年4月6防火墻防火墻政府應急指揮網絡通信系統的模型PABXCTILINK錄音系統GIS服務器調度臺服務器數據庫集群會議系統專家

輔助決策應急預案管理系統

報表系統指揮席位城市應急

指揮系統數據備份社會綜合

服務系統防火墻防火墻防火墻110指揮分系統119指揮分系統120指揮分系統人防指揮分系統6城市應急指揮系統中通信層的位置72012年4月8城市應急指揮系統的層次模型政策與標準安全保障服務資源及數據庫業(yè)務應用系統支撐平臺82012年4月9物理安全保障信息資源安全保障計算機系統安全保障通信網絡安全保障災難備份中心防火防盜防人為破壞……計算機病毒黑客入侵端到端加密……雙機熱備份N+1冗余配置……多路由備份設備冗余配置通信網絡備份……應急管理通信系統的安全保障94.2IP地址標準分類

網際協議IP是TCP/IP體系中兩個最主要的協議之一。與IP協議配套使用的還有四個協議：地址解析協議ARP(AddressResolutionProtocol)逆地址解析協議RARP(ReverseAddressResolutionProtocol)網際控制報文協議ICMP(InternetControlMessageProtocol)網際組管理協議IGMP(InternetGroupManagementProtocol)10網際層的IP協議及配套協議各種應用層協議

網絡接口層(HTTP,FTP,SMTP等)物理硬件運輸層TCP,UDP應用層ICMPIPRARPARP與各種網絡接口網絡層（網際層）IGMP11互連在一起的網絡要進行通信，會遇到許多問題，如：不同的尋址方案不同的最大分組長度不同的網絡接入機制不同的超時控制不同的差錯恢復方法不同的狀態(tài)報告方法不同的路由選擇技術不同的用戶接入控制不同的服務（面向連接服務和無連接服務）不同的管理與控制方式4.2.1虛擬互連網絡12中間設備又稱為中間系統或中繼(relay)系統。物理層中繼系統：轉發(fā)器(repeater)。數據鏈路層中繼系統：網橋或橋接器(bridge)。網絡層中繼系統：路由器(router)。網橋和路由器的混合物：橋路器(brouter)。網絡層以上的中繼系統：網關(gateway)。

把網絡互相連接起來

要使用一些中間設備13當中繼系統是轉發(fā)器或網橋時，一般并不稱之為網絡互連，因為這僅僅是把一個網絡擴大了，而這仍然是一個網絡。網關由于比較復雜，目前使用得較少?；ヂ摼W都是指用路由器進行互連的網絡。由于歷史的原因，許多有關TCP/IP的文獻將網絡層使用的路由器稱為網關。網絡互連使用路由器14互連網絡與虛擬互連網絡網絡網絡網絡網絡網絡(a)互連網絡(b)虛擬互連網絡路由器

虛擬互連網絡（互聯網）15虛擬互連網絡的意義所謂虛擬互連網絡也就是邏輯互連網絡，它的意思就是互連起來的各種物理網絡的異構性本來是客觀存在的，但是我們利用IP協議就可以使這些性能各異的網絡從用戶看起來好像是一個統一的網絡。使用IP協議的虛擬互連網絡可簡稱為IP網。使用虛擬互連網絡的好處是：當互聯網上的主機進行通信時，就好像在一個網絡上通信一樣，而看不見互連的各具體的網絡異構細節(jié)。165432154321主機H1

主機H2R1R4R5R2R3R1R2R3H1R5H2R4間接交付間接交付間接交付間接交付間接交付直接交付3221132211322113221132211分組在互聯網中的傳送17從網絡層看IP數據報的傳送如果我們只從網絡層考慮問題，那么IP數據報就可以想象是在網絡層中傳送。網絡層網絡層網絡層網絡層網絡層網絡層網絡層IP數據報H1R1R2R3R4R5H2184.2.2分類的IP地址

1.IP地址及其表示方法我們把整個因特網看成為一個單一的、抽象的網絡。IP地址就是給每個連接在因特網上的主機（或路由器）分配一個在全世界范圍是唯一的32位的標識符。IP地址現在由因特網名字與號碼指派公司ICANN

(InternetCorporationforAssignedNamesandNumbers)進行分配19IP地址的編址方法分類的IP地址。這是最基本的編址方法，在1981年就通過了相應的標準協議。子網的劃分。這是對最基本的編址方法的改進，其標準[RFC950]在1985年通過。構成超網。這是比較新的無分類編址方法。1993年提出后很快就得到推廣應用。20分類IP地址每一類地址都由兩個固定長度的字段組成，其中一個字段是網絡號net-id，它標志主機（或路由器）所連接到的網絡，而另一個字段則是主機號host-id，它標志該主機（或路由器）。兩級的IP地址可以記為：IP地址::={<網絡號>,<主機號>}(4-1)::=代表“定義為”21net-id24位host-id24位net-id16位net-id8位IP地址中的網絡號字段和主機號字段0A類地址host-id16位B類地址C類地址011host-id8位D類地址1

1

1

0多播地址E類地址保留為今后使用1

1

1

10122點分十進制記法10000000000010110000001100011111機器中存放的IP地址是32位二進制代碼10000000000010110000001100011111每隔8位插入一個空格能夠提高可讀性采用點分十進制記法則進一步提高可讀性1128

11331將每8位的二進制數轉換為十進制數23常用的三種類別的IP地址IP地址的使用范圍

網絡最大第一個最后一個每個網絡類別網絡數可用的可用的中最大的網絡號網絡號主機數

A126(27–2)112616,777,214B16,383(214

1)128.1191.25565,534C2,097,151(2211)192.0.1218.255.25525424IP地址的一些重要特點(1)IP地址是一種分等級的地址結構。分兩個等級的好處是：第一，IP地址管理機構在分配IP地址時只分配網絡號，而剩下的主機號則由得到該網絡號的單位自行分配。這樣就方便了IP地址的管理。第二，路由器僅根據目的主機所連接的網絡號來轉發(fā)分組（而不考慮目的主機號），這樣就可以使路由表中的項目數大幅度減少，從而減小了路由表所占的存儲空間。25IP地址的一些重要特點(續(xù)1)(2)實際上IP地址是標志一個主機（或路由器）和一條鏈路的接口。當一個主機同時連接到兩個網絡上時，該主機就必須同時具有兩個相應的IP地址，其網絡號net-id必須是不同的。這種主機稱為多歸屬主機(multihomedhost)。由于一個路由器至少應當連接到兩個網絡（這樣它才能將IP數據報從一個網絡轉發(fā)到另一個網絡），因此一個路由器至少應當有兩個不同的IP地址。26(3)用轉發(fā)器或網橋連接起來的若干個局域網仍為一個網絡，因此這些局域網都具有同樣的網絡號net-id。(4)所有分配到網絡號net-id的網絡，范圍很小的局域網，還是可能覆蓋很大地理范圍的廣域網，都是平等的。IP地址的一些重要特點(續(xù)2)27互聯網中的IP地址B222.1.1.R1222.1.2.R3R2222.1.3.LAN3N3N222.1.6.N1LAN2LAN1互聯網在同一個局域網上的主機或路由器的IP地址中的網絡號必須是一樣的。圖中的網絡號就是IP地址中的net-id28IP1HA1HA5HA4HA3HA6HA2IP6主機H1主機H2路由器R1IP層上的互聯網IP2IP4IP3IP5路由器R2IP1→IP2IP1→IP2IP1→IP2MAC幀從HA1

到HA3從HA4

到HA5從HA6

到HA2MAC幀MAC幀IP數據報IP層抽象的互聯網屏蔽了下層很復雜的細節(jié)在抽象的網絡層上討論問題，就能夠使用統一的、抽象的IP地址研究主機和主機或主機和路由器之間的通信294.3

標準與特殊的IP地址形式標準的IP地址由32位二進制數值組成（4個字節(jié)），但為了方便用戶的理解和記憶，它采用了點分十進制標記法，即將4個字節(jié)的二進制數值轉換為4個十進制數值，每個數值小于等于255，數值中間用“.”隔開，表示為w.x.y.z的形式。如下圖所示。30IP地址的直觀表示法第一字節(jié)第二字節(jié)第三字節(jié)第四字節(jié)w.x.y.z例如，二進制IP地址：字節(jié)1字節(jié)2字節(jié)3字節(jié)4

11001010010111010111100000101100用點分十進制標記法表示成：4它為一個C類IP地址，前3個字節(jié)為網絡號，后一字節(jié)為主機號31特殊的IP地址形式1.網絡地址：包含一個有效的網絡號和一個全“0”的主機號，用來表示一個具體的網絡。如一個具有IP地址4的主機所處的網絡為，它的主機號為44。2.廣播地址：IP具有兩種廣播地址形式：直接廣播地址和有限廣播地址。直接廣播地址包含一個有效的網絡號和一個全“1”的主機號，其作用是向互聯網上的其他主機廣播信息。如C類地址55就是一個直接廣播地址，互聯網上的主機可以使用該地址向網絡上的所有主機廣播信息。32位全為“1”的IP地址（55）為有限廣播地址，用于本網廣播。若采用標準的IP編址，有限廣播在本網之中；若采用子網編址，有限廣播在本子網之中。32特殊的IP地址形式3.回送地址：A類地址是一個保留地址，用于網絡軟件測試及本機器進程間通信，稱為回送地址。一旦使用回送地址發(fā)送數據，協議軟件不進行任何網絡傳輸，立即將之返回，含有127網絡號的數據報不可能出現在任何網絡上。4.本地地址：有些IP地址不分配給互聯網用戶，如10.XXX.XXX.XXX、192.168.XXX.XXX，可在本地內部互聯網中使用。一旦與互聯網互聯，必須將這些IP地址轉換為可在互聯網中使用的IP地址。331.從兩級IP地址到三級IP地址在ARPANET的早期，IP地址的設計不夠合理。IP地址空間的利用率有時很低，浪費太多。給每一個物理網絡分配一個網絡號會使路由表變得太大因而使網絡性能變壞。兩級的IP地址不夠靈活。4.4子網地址規(guī)劃方法34按照標準分類的IP地址，如果是只有2臺主機的網絡需要連接到互聯網上，就需要申請一個C類地址，則此C類地址的有效利用率只有2/255=0.78%。而又256臺主機的網絡，就需要申請一個B類地址。則此B類地址的有效利用率只有256/65535=0.39%。可見其利用率非常低下。標準分類IP地址的缺陷35從1991年起在IP地址中又增加了一個“子網號字段”，即把一個大的網絡劃分為幾個較小的網絡，使兩級的IP地址變成為“網絡號-子網號-主機號”的三級的IP地址。這種做法叫作劃分子網(subnetting)。劃分子網已成為因特網的正式標準協議。三級的IP地址36劃分子網純屬一個單位內部的事情。單位對外仍然表現為沒有劃分子網的網絡。從主機號借用若干個位作為子網號

subnet-id，而主機號host-id也就相應減少了若干個位。

IP地址::={<網絡號>,<子網號>,<主機號>}(4-2)劃分子網的基本思路37凡是從其他網絡發(fā)送給本單位某個主機的IP數據報，仍然是根據IP數據報的目的網絡號

net-id，先找到連接在本單位網絡上的路由器。然后此路由器在收到IP數據報后，再按目的網絡號net-id和子網號subnet-id找到目的子網。最后就將IP數據報直接交付目的主機。劃分子網的基本思路（續(xù)）38………01014568所有到網絡的分組均到達此路由器我的網絡地址是R1R3R2網絡一個未劃分子網的B類網絡39劃分為三個子網后對外仍是一個網絡01014568………子網子網

子網所有到達網絡的分組均到達此路由器網絡R1R3R240當沒有劃分子網時，IP地址是兩級結構。劃分子網后IP地址就變成了三級結構。劃分子網只是把IP地址的主機號host-id這部分進行再劃分，而不改變IP地址原來的網絡號net-id。劃分子網后變成了三級結構41從一個

IP

數據報的首部并無法判斷源主機或目的主機所連接的網絡是否進行了子網劃分。使用子網掩碼(subnetmask)可以找出IP地址中的子網部分。2.子網掩碼42IP地址的各字段和子網掩碼0兩級IP地址子網號為3的網絡的網絡號三級IP地址主機號子網掩碼net-idhost-id子網的網絡地址1111111111111111

11111111000000000net-idsubnet-idhost-id3.33.1043(IP

地址)AND(子網掩碼)=

網絡地址網絡號net-id主機號host-id兩級IP地址網絡號三級IP地址主機號net-idhost-idsubnet-id子網號子網掩碼子網的網絡地址1111111111111111

1111111100000000net-idsubnet-id0逐位進行AND運算44111111111111111111111111000000000000000000000000111111111111111111111111000000000000000000000000net-idnet-idhost-id為全0net-id網絡地址A類地址默認子網掩碼網絡地址B類地址默認子網掩碼網絡地址C類地址默認子網掩碼host-id為全0host-id為全0默認子網掩碼45子網掩碼是一個重要屬性子網掩碼是一個網絡或一個子網的重要屬性。路由器在和相鄰路由器交換路由信息時，必須把自己所在網絡（或子網）的子網掩碼告訴相鄰路由器。路由器的路由表中的每一個項目，除了要給出目的網絡地址外，還必須同時給出該網絡的子網掩碼。若一個路由器連接在兩個子網上就擁有兩個網絡地址和兩個子網掩碼。46141.14.010000001111111111111111

11000000【例4-2】已知IP地址是4，子網掩碼是。試求網絡地址。(a)點分十進制表示的IP地址(c)子網掩碼是000000004.001001000141.14..24(b)IP地址的第3字節(jié)是二進制(d)IP地址與子網掩碼逐位相與(e)網絡地址（點分十進制表示）47141.14.010000001111111111111111

11100000【例4-3】在上例中，若子網掩碼改為。試求網絡地址，討論所得結果。(a)點分十進制表示的IP地址(c)子網掩碼是000000004.001001000141.14..24(b)IP地址的第3字節(jié)是二進制(d)IP地址與子網掩碼逐位相與(e)網絡地址（點分十進制表示）不同的子網掩碼得出相同的網絡地址。但不同的掩碼的效果是不同的。

48劃分子網在一定程度上緩解了因特網在發(fā)展中遇到的困難。然而在

1992

年因特網仍然面臨三個必須盡早解決的問題，這就是：B類地址在1992年已分配了近一半，眼看就要在1994年3月全部分配完畢！因特網主干網上的路由表中的項目數急劇增長（從幾千個增長到幾萬個）。整個IPv4的地址空間最終將全部耗盡。4.5

無分類編址CIDR

1.網絡前綴

49

1987年，RFC1009就指明了在一個劃分子網的網絡中可同時使用幾個不同的子網掩碼。使用變長子網掩碼VLSM(VariableLengthSubnetMask)可進一步提高IP地址資源的利用率。在VLSM的基礎上又進一步研究出無分類編址方法，它的正式名字是無分類域間路由選擇CIDR(ClasslessInter-DomainRouting)。IP編址問題的演進50CIDR消除了傳統的A類、B類和C類地址以及劃分子網的概念，因而可以更加有效地分配IPv4的地址空間。CIDR使用各種長度的“網絡前綴”(network-prefix)來代替分類地址中的網絡號和子網號。IP地址從三級編址（使用子網掩碼）又回到了兩級編址。CIDR最主要的特點51

無分類的兩級編址的記法是：IP地址::={<網絡前綴>,<主機號>}(4-3)CIDR還使用“斜線記法”(slashnotation)，它又稱為CIDR記法，即在IP地址面加上一個斜線“/”，然后寫上網絡前綴所占的位數（這個數值對應于三級編址中子網掩碼中1的個數）。CIDR把網絡前綴都相同的連續(xù)的IP地址組成“CIDR地址塊”。

無分類的兩級編址52

CIDR地址塊/20表示的地址塊共有212個地址（因為斜線后面的20是網絡前綴的位數，所以這個地址的主機號是12位）。這個地址塊的起始地址是。在不需要指出地址塊的起始地址時，也可將這樣的地址塊簡稱為“/20地址塊”。/20地址塊的最小地址：/20地址塊的最大地址：55全0和全1的主機號地址一般不使用。53/20表示的地址（212個地址）1000000000001110

00100000000000001000000000001110

00100000000000011000000000001110

00100000000000101000000000001110

00100000000000111000000000001110

00100000000001001000000000001110

00100000000001011000000000001110

00101111111110111000000000001110

00101111111111001000000000001110

00101111111111011000000000001110

00101111111111101000000000001110

0010111111111111所有地址的20位前綴都是一樣的最小地址最大地址54

一個CIDR地址塊可以表示很多地址，這種地址的聚合常稱為路由聚合，它使得路由表中的一個項目可以表示很多個（例如上千個）原來傳統分類地址的路由。路由聚合也稱為構成超網(supernetting)。CIDR雖然不使用子網了，但仍然使用“掩碼”這一名詞（但不叫子網掩碼）。對于

/20

地址塊，它的掩碼是

20

個連續(xù)的1。斜線記法中的數字就是掩碼中1的個數。路由聚合(routeaggregation)55

CIDR記法的其他形式/10可簡寫為10/10，也就是把點分十進制中低位連續(xù)的0省略。/10隱含地指出IP地址

的掩碼是。此掩碼可表示為

1111111111000000000000000000000025519200掩碼中有10個連續(xù)的156

CIDR記法的其他形式/10可簡寫為10/10，也就是將點分十進制中低位連續(xù)的0省略。/10相當于指出IP地址

的掩碼是，即

11111111110000000000000000000000網絡前綴的后面加一個星號*的表示方法如0000101000*，在星號*之前是網絡前綴，而星號*表示IP地址中的主機號，可以是任意值。57

構成超網前綴長度不超過18

位的CIDR地址塊都包含了多個C類地址。這些C類地址合起來就構成了超網。CIDR地址塊中的地址數一定是2的整數次冪。網絡前綴越短，其地址塊所包含的地址數就越多。而在三級結構的IP地址中，劃分子網是使網絡前綴變長。58CIDR地址塊劃分舉例因特網/22/18ISP大學X一系二系三系四系28/2692/26/2528/25/2528/25/264/2628/2692/26/24/25/264/2628/25/18

單位地址塊二進制表示地址數

ISP/1811001110.00000000.01*16384

大學/2211001110.00000000.010001*1024

一系/1811001110.00000000.0100010*512

二系/2411001110.00000000.01000110.*256

三系/2511001110.00000000.01000111.0*128

四系28/2511001110.00000000.01000111.1*12859

CIDR地址塊劃分舉例因特網/22/18ISP大學X一系二系三系四系28/2692/26/2528/25/2528/25/264/2628/2692/26/24/25/264/2628/25/18這個ISP共有64個C類網絡。如果不采用CIDR技術，則在與該ISP的路由器交換路由信息的每一個路由器的路由表中，就需要有64個項目。但采用地址聚合后，只需用路由聚合后的1個項目/18就能找到該ISP。60

2.最長前綴匹配使用CIDR時，路由表中的每個項目由“網絡前綴”和“下一跳地址”組成。在查找路由表時可能會得到不止一個匹配結果。應當從匹配結果中選擇具有最長網絡前綴的路由：最長前綴匹配(longest-prefixmatching)。網絡前綴越長，其地址塊就越小，因而路由就越具體(morespecific)

。最長前綴匹配又稱為最長匹配或最佳匹配。

61最長前綴匹配舉例收到的分組的目的地址D=28路由表中的項目：/22（ISP）

28/25（四系）查找路由表中的第1個項目ANDD=206.0.01000100.0第1個項目/22的掩碼M

有22個連續(xù)的1。M=11111111111111111111110000000000因此只需把D

的第3個字節(jié)轉換成二進制。M=11111111111111111111110000000000206.0.01000100.0與/22匹配62最長前綴匹配舉例收到的分組的目的地址D=28路由表中的項目：/22（ISP）

28/25（四系）再查找路由表中的第2個項目ANDD=0000000第2個項目28/25的掩碼M

有25個連續(xù)的1。M=11111111111111111111111110000000因此只需把D

的第4個字節(jié)轉換成二進制。M=111111111111111111111111100000000000000與28/25匹配63

最長前綴匹配DAND(11111111111111111111110000000000)=/22匹配DAND(11111111111111111111111110000000)=28/25匹配選擇兩個匹配的地址中更具體的一個，即選擇最長前綴的地址。

64

3.使用二叉線索查找路由表當路由表的項目數很大時，怎樣設法減小路由表的查找時間就成為一個非常重要的問題。為了進行更加有效的查找，通常是將無分類編址的路由表存放在一種層次的數據結構中，然后自上而下地按層次進行查找。這里最常用的就是二叉線索(binarytrie)。IP地址中從左到右的比特值決定了從根結點逐層向下層延伸的路徑，而二叉線索中的各個路徑就代表路由表中存放的各個地址。為了提高二叉線索的查找速度，廣泛使用了各種壓縮技術。65

用5個前綴構成的二叉線索32位的IP地址唯一前綴010001100000000000000000000000000100010101100000000000000000000000000101011000010000000000000000000000000111011000000000010000000000000000010110101110110000101000000000000000001011100001111111066

4.6

虛擬專用網VPN和

網絡地址轉換NAT

4.6.1虛擬專用網VPN本地地址——僅在機構內部使用的IP地址，可以由本機構自行分配，而不需要向因特網的管理機構申請。全球地址——全球唯一的IP地址，必須向因特網的管理機構申請。67

RFC1918指明的專用地址(privateaddress)

到55

到55

到55這些地址只能用于一個機構的內部通信，而不能用于和因特網上的主機通信。專用地址只能用作本地地址而不能用作全球地址。在因特網中的所有路由器對目的地址是專用地址的數據報一律不進行轉發(fā)。68X用隧道技術實現虛擬專用網部門A因特網部門BR1R2隧道Y使用隧道技術本地地址本地地址全球地址網絡地址=（本地地址）網絡地址=（本地地址）69X用隧道技術實現虛擬專用網部門A因特網部門BR1R2隧道Y使用隧道技術加密的從

X

到

Y

的內部數據報外部數據報的數據部分源地址：目的地址：數據報首部部門A部門BXYR1R2虛擬專用網VPN70內聯網intranet和外聯網extranet

（都是基于TCP/IP協議）

由部門A和B的內部網絡所構成的虛擬專用網VPN又稱為內聯網(intranet)，表示部門A和B都是在同一個機構的內部。一個機構和某些外部機構共同建立的虛擬專用網VPN又稱為外聯網(extranet)。

部門A部門BXYR1R2虛擬專用網VPN71

遠程接入VPN

(remoteaccessVPN)

有的公司可能沒有分布在不同場所的部門，但有很多流動員工在外地工作。公司需要和他們保持聯系，遠程接入VPN可滿足這種需求。在外地工作的員工撥號接入因特網，而駐留在員工PC機中的VPN軟件可在員工的PC機和公司的主機之間建立VPN隧道，因而外地員工與公司通信的內容是保密的，員工們感到好像就是使用公司內部的本地網絡。72

4.6.2網絡地址轉換NAT

(NetworkAddressTranslation)網絡地址轉換NAT方法于1994年提出。需要在專用網連接到因特網的路由器上安裝NAT軟件。裝有NAT軟件的路由器叫做NAT路由器，它至少有一個有效的外部全球地址IPG。所有使用本地地址的主機在和外界通信時都要在NAT路由器上將其本地地址轉換成IPG

才能和因特網連接。

73

網絡地址轉換的過程內部主機X用本地地址IPX和因特網上主機Y通信所發(fā)送的數據報必須經過NAT路由器。NAT路由器將數據報的源地址IPX轉換成全球地址IPG，但目的地址IPY保持不變，然后發(fā)送到因特網。NAT路由器收到主機Y發(fā)回的數據報時，知道數據報中的源地址是IPY而目的地址是IPG。根據NAT轉換表，NAT路由器將目的地址IPG轉換為IPX，轉發(fā)給最終的內部主機X。744.7內部網絡IP地址規(guī)劃

4.7.1全局IP地址與專用IP地址全局IP地址與專用IP地址的區(qū)別主要表現在：（1）使用IP地址的網絡課分為兩種情況：一是將網絡直接連接到互聯網；另一種是不直接連到互聯網，也使用TCP/IP協議，但是內部網絡。

每臺連接到互聯網的用戶主機都需要有一個標準的全局IP地址，它是分組時在互聯網上傳輸時使用的IP地址。專用IP地址只能用于一個機構，單位的內部網絡，不能用于互聯網上。75全局IP地址與專用IP地址的區(qū)別（2）使用全局IP地址是需要申請并繳費的，而專用IP地址是不需要申請的，也不需要繳費?；ヂ摼W管理機構在IP地址空間中預留了一些空間地址給專用網絡使用。具體參見下表。類網絡號總數A101B172.16~172.3116C192.168.0~192.168.25525676全局IP地址與專用IP地址的區(qū)別（3）全局IP地址是必須保證在互聯網上是唯一的，而專用IP地址在某一個網絡內部是唯一的，但是在互聯網中并不是唯