[转载]IP地址和子网掩码的基础知识
信息来源:[url]http://www.qqread.com[/url]文章作者:草莓宝宝
基于IP协议的因特网,目前已经发展成为当今世界上规模最大、拥有用户最多、资源最广泛的通信网络。IP协议也因此成为事实上的业界标准,以IP协议为基础的网络已经成为通信网络的主流。
本文将结合笔者的实践经验和思科网络技术学院CCNA课程的教学经验,就IP协议关于
IP地址这部分内容,进行简要的阐述。
一、为什么要使用IP地址?
一个IP地址是用来标识网络中的一个通信实体,比如一台主机,或者是路由器的某一个端口。而在基于IP协议网络中传输的数据包,也都必须使用IP地址来进行标识,如同我们写一封信,要标明收信人的通信地址和发信人的地址,而邮政工作人员则通过该地址来决定邮件的去向。
同样的过程也发生在计算机网络里,每个被传输的数据包也要包括的一个源IP地址和一个目的IP地址,当该数据包在网络中进行传输时,这两个地址要保持不变,以确保网络设备总是能根据确定的IP地址,将数据包从源通信实体送往指定的目的通信实体。
目前,IP地址使用32位二进制地址格式,为方便记忆,通常使用以点号划分的十进制来表示,如:202.112.14.1。
一个IP地址主要由两部分组成:一部分是用于标识该地址所从属的网络号;另一部分用于指明该网络上某个特定主机的主机号。
为了给不同规模的网络提供必要的灵活性,IP地址的设计者将IP地址空间划分为五个不同的地址类别,如下表所示,其中A,B,C三类最为常用:
A类 0-127 0 8位 24位
B类 128-191 10 16位 16位
C类 192-223 110 24位 8位
D类 224-239 1110 组播地址
E类 240-255 1111 保留试验使用
网络号由因特网权力机构分配,目的是为了保证网络地址的全球唯一性。主机地址由各个网络的管理员统一分配。因此,网络地址的唯一性与网络内主机地址的唯一性确保了IP地址的全球唯一性。
二、划分子网
为了提高IP地址的使用效率,可将一个网络划分为子网:采用借位的方式,从主机位最高位开始借位变为新的子网位,所剩余的部分则仍为主机位。这使得IP地址的结构分为三部分:网络位、子网位和主机位。
引入子网概念后,网络位加上子网位才能全局唯一地标识一个网络。把所有的网络位用1来标识,主机位用0来标识,就得到了子网掩码。如下图所示的子网掩码转换为十进制之后为:255.255.255.224
子网编址使得IP地址具有一定的内部层次结构,这种层次结构便于IP地址分配和管理。
它的使用关键在于选择合适的层次结构--如何既能适应各种现实的物理网络规模,又能充分地利用IP地址空间(即:从何处分隔子网号和主机号)。
小窍门--子网的计算
在思科网络技术学院CCNA教学和考试当中,不少同学在进行IP地址规划时总是很头疼子网和掩码的计算。现在给大家一个小窍门,可以顺利的解决这个问题。
首先,我们看一个CCNA考试中常见的题型:一个主机的IP地址是202.112.14.137,掩码是255.255.255.224,要求计算这个主机所在网络的网络地址和广播地址。
常规办法是把这个主机地址和子网掩码都换算成二进制数,两者进行逻辑与运算后即可得到网络地址。其实大家只要仔细想想,可以得到另一个方法:255.255.255.224的掩码所容纳的IP地址有256-224=32个(包括网络地址和广播地址),那么具有这种掩码的网络地址一定是32的倍数。而网络地址是子网IP地址的开始,广播地址是结束,可使用的主机地址在这个范围内,因此略小于137而又是32的倍数的只有128,所以得出网络地址是202.112.14.128。而广播地址就是下一个网络的网络地址减1。而下一个32的倍数是160,因此可以得到广播地址为202.112.14.159。可参照下图来理解本例:
CCNA考试中,还有一种题型,要你根据每个网络的主机数量进行子网地址的规划和计算子网掩码。这也可按上述原则进行计算。比如一个子网有10台主机,那么对于这个子网就需要10+1+1+1=13个IP地址。(注意加的第一个1是指这个网络连接时所需的网关地址,接着的两个1分别是指网络地址和广播地址。)13小于16(16等于2的4次方),所以主机位为4位。而256-16=240,所以该子网掩码为255.255.255.240。
如果一个子网有14台主机,不少同学常犯的错误是:依然分配具有16个地址空间的子网,而忘记了给网关分配地址。这样就错误了,因为14+1+1+1=17 ,大于16,所以我们只能分配具有32个地址(32等于2的5次方)空间的子网。这时子网掩码为:255.255.255.224。
三、 IP 地址的局限性
最初的因特网设计者没有预想到网络会有如此快速地发展,因此现在网络面临的问题都可以追溯到因特网发展的早期决策上,IP地址的分配更能体现这点。
目前使用的IPv4地址使用32位的地址,即在IPv4的地址空间中有232(4,294,967,296,约为43亿)个地址可用。这样的地址空间在因特网早期看来几乎是无限的,于是便将IP地址根据申请而按类别分配给某个组织或公司,而很少考虑是否真的需要这么多个地址空间,没有考虑到IPv4地址空间最终会被用尽。
因此,IPv4地址是按照网络的大小(所使用的IP地址数)来分类的,它的编址方案使用"类"的概念。A、B、C三类IP地址的定义很容易理解,也很容易划分,但是在实际网络规划中,它们并不利于有效地分配有限的地址空间。对于A、B类地址,很少有这么大规模的公司能够使用,而C类地址所容纳的主机数又相对太少。所以有类别的IP地址并不利于有效地分配有限的地址空间,不适用于网络规划。
在这种情况下,人们开始致力于下一代因特网协议--IPv6的研究。由于现在IPv6的协议并不完善和成熟,需要长期的试验验证,因此,IPv4到IPv6的完全过渡将是一个比较长的过程,在过渡期间我们仍然需要在IPv4上实现网络间的互连。而在90年代初期引入了变长子网掩码(VLSM)和无类域间路由(CIDR)等机制,作为目前过渡时期提高IPv4地址空间使用效率的短期解决方案起到了很大的作用。 [转载]ipv6简介
信息来源:计算机世界网
作者:刘刚
IPv6是“Internet Protocol Version 6”的缩写,它是IETF设计的用于替代现行版本IP协议-IPv4-的下一代IP协议。
目前Internet中广泛使用的IPv4协议,也就是人们常说的IP协议,已经有近20年的历史了。随着Internet技术的迅猛发展和规模的不断扩大,IPv4已经暴露出了许多问题,而其中最重要的一个问题就是IP地址资源的短缺。有预测表明,以目前Internet发展的速度来计算,在未来的5到10年间,所有的IPv4地址将分配完毕。尽管目前已经采取了一些措施来保护IPv4地址资源的合理利用,如非传统网络区域路由和网络地址翻译,但是都不能从根本上解决问题。
为了彻底解决IPv4存在的问题,IETF从1995年开始就着手研究开发下一代IP协议,即IPv6。IPv6具有长达128位的地址空间,可以彻底解决IPv4地址不足的问题,除此之外,IPv6还采用了分级地址模式、高效IP包头、服务质量、主机地址自动配置、认证和加密等许多技术。
一、IPv6的地址格式和结构
IPv6采用了长度为128位的IP地址,而IPv4的IP地址仅有32位,因此IPv6的地址资源要比IPv4丰富得多。
IPv6的地址格式与IPv4不同。一个IPv6的IP地址由8个地址节组成,每节包含16个地址位,以4个十六进制数书写,节与节
之间用冒号分隔,其书写格式为x:x:x:x:x:x:x:x,其中每一个x代表四位十六进制数。除了128位的地址空间,IPv6还为点对点通信设计了一种具有分级结构的地址,这种地址被称为可聚合全局单点广播地址(aggregatable global unicast address),开头3个地址位是地址类型前缀,用于区别其它地址类型,其后依次为13位TLA ID、32位 NLA ID、16位SLA ID和64位主机接口ID,分别用于标识分级结构中自顶向底排列的TLA(Top Level Aggregator,顶级聚合体)、NLA(Next Level Aggregator,下级聚合体)、SLA(Site Level Aggregator,位置级聚合体)和主机接口。TLA是与长途服务供应
商和电话公司相互连接的公共网络接入点,它从国际Internet注册机构(如IANA)处获得地址。NLA通常是大型ISP,它从TLA处申请获得地址,并为SLA分配地址。SLA也可称为订阅者(subscriber),它可以是一个机构或一个小型 ISP。SLA负责为属于它的订阅者分配地址。SLA通常为其订阅者分配由连续地址组成的地址块,以便这些机构可以建立自己的地址分级结构以识别不同的子网。分级结构的最底层是网络主机。
二、IPv6中的地址配置
大家知道,当主机IP地址需要经常改动的时候,手工配置和管理静态IP地址是一件非常烦琐和困难的工作。在IPv4中,DHCP协议可以实现主机IP地址的自动设置。其工作过程大致如下:一个DHCP服务器拥有一个IP地址池,主机从DHCP服务器申请IP地址并获得有关的配置信息(如缺省网关、DNS服务器等),由此达到自动设置主机IP地址的目的。IPv6继承了IPv4的这种自动配置服务,并将其称为全状态自动配置(stateful autoconfiguration)。
除了全状态自动配置,IPv6还采用了一种被称为无状态自动配置(stateless autoconfiguration)的自动配置服务。在无状态自动配置过程中,主机首先通过将它的网卡MAC地址附加在链接本地地址前缀1111111010之后,产生一个链接本地单点广播地址(IEEE已经将网卡MAC地址由48位改为了64位。如果主机采用的网卡的MAC地址依然是48位,那么IPv6网卡驱动程序会根据IEEE的一个公式将48位MAC地址转换为64位MAC地址)。接着主机向该地址发出一个被称为邻居探测(neighbor discovrey)的请求,以验证地址的唯一性。如果请求没有得到响应,则表明主机自我设置的链接本地单点广播地址是唯一的。否则,主机将使用一个随机产生的接口ID组成一个新的链接本地单点广播地址。然后,以该地址为源地址,主机向本地链接中所有路由器多点广播一个被称为路由器请求(router solicitation)的数据包,路由器以一个包含一个可聚合全局单点广播地址前缀和其它相关配置信息的路由器公告来响应该请求。主机用它从路由器得到的全局地址前缀加上自己的接口ID,自动配置全局地址,然后就可以与Internet中的其它主机通信了。
使用无状态自动配置,无需手动干预就能够改变网络中所有主机的IP地址。例如,当企业更换了联入Internet的ISP时,将从新ISP处得到一个新的可聚合全局地址前缀。ISP把这个地址前缀从它的路由器上传送到企业路由器上。由于企业路由器将周期性地向本地链接中的所有主机多点广播路由器公告,因此企业网络中所有主机都将通过路由器公告收到新的地址前缀,此后,它们就会自动产生新的IP地址并覆盖旧的IP地址。
三、IPv6中的安全协议
安全问题是Internet应用中的一个重要问题。由于在 IP协议设计之初没有考虑安全性,因而在早期的Internet上时常发生诸如企业或机构网络遭到攻击、机密数据被窃取等事情。为了加强Internet的安全性,从 1995年开始,IETF着手研究制定了一套用于保护IP通信的IP安全(IP Security,IPSec)协议。IPSec是IPv6的一个组成部分,也是IPv4的一个可选扩展协议。
IPSec提供了两种安全机制:认证和加密。认证机制是指 IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭到改动。加密机制通过对数据进行编码来保证数据的机密性,以防数据因在传输过程中被他人窃取而失密。
IPSec的认证包头(Authentication Header,AH)协议定义了认证的应用方法,封装安全负载(Encapsulating Security Payload,ESP)协议定义了加密和可选认证的应用方法。在实际进行IP通信时,可以根据安全需求同时使用这两种协议或选择使用其中的一种。AH和ESP都可以提供认证服务,不过,AH提供的认证服务要强于ESP。
在一个特定的IP通信中使用AH或ESP时,协议将与一组安全信息和服务发生关联,称为安全关联(Security Association,SA)。SA可以包含认证算法、加密算法、用于认证和加密的密钥。IPSec使用一种密钥分配和交换协议,如Internet安全关联和密钥管理协议(ISAKMP),来创建和维护SA。SA是一个单向的逻辑连接,即两个主机之间的认证通信将使用两个SA,分别用于通信的发送方和接收方。
IPSec定义了两种模式的SA:传输模式SA和隧道模式SA。传输模式SA是在IP包头(以及任何可选的扩展包头)之后和任何高层协议(如TCP或UDP)包头之前插入AH或ESP包头,隧道模式SA是将整个原始的IP数据包放入一个新的IP数据包中。在采用隧道模式SA时,每一个IP数据包都有两个IP包头:外部IP包头和内部IP包头。外部IP包头指定将对IP数据包进行IPSec处理的目的地址,内部IP包头指定原始IP数据包最终的目的地址。传输模式SA只能用于两个主机之间的IP通信,而隧道模式SA既可以用于两个主机之间的IP通信,还可以用于两个安全网关之间或一个主机与一个安全网关之间的IP通信。安全网关可以是路由器、防火墙或VPN设备。
做为IPv6的一个组成部分,IPSec是一个网络层协议。它只负责其下层的网络安全,并不负责其上层应用的安全,如Web、电子邮件和文件传输等。因此,验证一个Web会话,依然需要使用SSL协议。
四、IPv6的功能变化
IPv6技术在IP报头中删除了一些不必要的IPv4功能,加强了IPv4原有的一些功能,并且还增加了许多新功能。这些新增的功能是:
1、anycast功能
anycast是指向提供同一服务的所有服务器都能识别的通用地址(anycast地址)发送IP分组,路由控制系统可以将该分组送至最近的服务器。 例如,利用anycast功能用户可以访问到离他最近的DNS服务器和文件服务器等。
2、即插即用功能
这里所说的即插即用功能是指计算机在接入Internet时可自动获取、登录必要的参数的自动配置功能和地址检索等功能。
3、安全功能
上面已经介绍过了。
4、QoS功能
利用IPv6头标中的4比特优先级域和24比特的流标记域为进行业务优先级控制提供了广阔的空间。随着互联网接入设备的日益复杂化和服务类型的多样化,网络基础设施为上层提供各种服务质量已经越来越得到人们的关注。
五、IPv4向IPv6的过渡
尽管IPv6比IPv4具有明显的先进性,但是要想在短时间内将Internet和各个企业网络中的所有系统全部从 IPv4升级到IPv6是不可能的。IPv6与IPv4系统在Internet中长期共存是不可避免的现实。因此,实现由IPv4向IPv6的平稳过渡是导入IPv6的基本前提。确保过渡期间IPv4网络与IPv6网络互通是至关重要的。
目前,从IPv4过渡到IPv6的方法有3种:兼容IPv4的IPv6地址、双IP协议栈和基于IPv4隧道的IPv6。
1、兼容IPv4的IPv6地址是一种特殊的IPv6单点广播地址,一个IPv6节点与一个IPv4节点可以使用这种地址在IPv4网络中通信。这种地址是由96个0位加上32位IPv4地址组成的,例如,假设某节点的IPv4地址是192.56.1.1,那么兼容IPv4的IPv6地址就是0:0:0:0:0:0:C038:101。
2、双IP协议栈是在一个系统(如一个主机或一个路由器)中同时使用IPv4和IPv6两个协议栈。这类系统既拥有 IPv4地址,也拥有IPv6地址,因而可以收发IPv4和IPv6两种IP数据包。
3、与双IP协议栈相比,基于IPv4隧道的IPv6是一种更为复杂的技术,它是将整个IPv6数据包封装在IPv4数据包中,由此实现在当前IPv4网络中的IPv6节点与IPv4节点之间的IP通信。基于IPv4隧道的IPv6实现过程分为三个步骤:封装、解封和隧道管理。封装,是指由隧道起始点创建一个IPv4 数据包头,将IPv6数据包装入一个新的IPv4数据包中。解封,是指由隧道终结点移去IPv4包头,还原原始的IPv6数据包。隧道管理,是指由隧道起始点维护隧道的配置信息,如隧道支持的最大传输单元(MTU)的尺寸等。IPv4隧道有四种方案:路由器对路由器、主机对路由器、主机对主机、路由器对主机。
六、IPv6与移动通信技术之间的关系
目前,在移动通信领域正在掀起IP化热潮。实际上,制订下一代移动通信系统"IMT-2000"标准的3GPP已经决定在下一代移动通信技术的基本协议中采用IPv6。IPv6有望在移动通信领域率先正式使用。手机可以说是移动通信领域中普及最广泛、影响力最大的移动通信设备,因此,能否顺利实现手机电话的IPv6化对IPv6技术今后的发展、完善和普及将产生很大的影响。反过来讲,IPv6技术的成熟和发展也将进一步带动移动设备IPv6化的进程。
2000年底,诺基亚公司推出了世界上第一个支持IPv6的端到端的GPRS网络。该网络的推出是迈向新一代IP移动网络的重要一步。网络运营商可以通过GPRS网络向用户提供新型的服务,使他们充分享受到IPv6带来的益处,如全球覆盖性和端到端的安全性等。支持IPv6的端到端的GPRS网络将使网络运营商从基于IPv4的服务向基于IPv6的服务平滑过渡。在过渡期间,基于IPv6和IPv4的服务可以在网络中共存,而且只需通过软件对现有的网络设备进行升级就可以使GPRS网络支持IPv6。相比于传统的互联网服务如WEB浏览和电子邮件等,移动互联网服务需要为消费者带来更多的互动性和个性。通过在移动互联网网络中实施IPv6,网络运营商可以更加灵活地应对市场的需求。除了为互联网带来更多的地址资源以外,IPv6还为网络带来很多重要的要素,其中之一就是服务质量的提升。由于3GPP已经将IPv6定为所有IP蜂窝式网络所必备的功能,它将成为3G的重要组成部分。
事物的发展总是两方面的,尽管IPv6具备许多适合移动通信设备的功能和优点,但是将IPv6应用于移动通信设备中不是一帆风顺的,安全性是制约IPv6应用于移动通信的一个重要因素,这主要是由于移动通信所依赖的传输介质和移动通信设备应具有的漫游功能。
前不久,有报道称安全专家在目前提出的移动通信IPv6解决方案中找到了安全漏洞。这一漏洞的发现,意味着IETF将不得不开发新的方法来识别使用IPv6地址的漫游设备。 与IPv4不同,IPv6使用新的方法保证漫游在Internet上的无线设备的安全。用户需要不断获得新的所在地IP地址,然后通知他的主地址他已经移动。而在IPv4机制下,漫游设备通过主地址来获得识别,所有与该设备的通信需要先发往主地址,再转发到当前地址。移动IPv6产生一种新的被称为“绑定更新”的消息,用于某设备移动到新地区时为其确定身份。这一机制可以加速基于IPv6的无线通信。当“绑定更新”被识别后,与该设备的通信可以直接接往新地址而无需再通过主地址中转。最初,移动IP工作组打算使用现有的IP安全协议(IP-Sec)来保护“绑定更新”信息。但是IETF的安全专家最近宣布IP-Sec不能胜任这一工作,原因有二:1、IP-Sec需要依靠一套公共密钥系统来运做,但该系统尚未实施。2、IP-Sec的关键管理组件需要终端设备有较高的处理能力。这就意味着,移动IP工作组必须找到一种更加安全的认证加密机制来保证移动IPv6的安全性。
七、总结
目前,Windows 2000、Unix、Solaris操作系统的一些测试版本中已经引入了IPv6,其他一些操作系统的IPv6版本也正在逐步开发。另外,已经有厂商尝试应用IPv6开发新型应用软件。
IPv6是用于建立可靠的、可管理的、安全和高效的IP网络的一个长期解决方案。因此,尽管IPv6的实际应用还需要一段时间,但是了解和研究IPv6的重要特性以及它针对目前IP网络存在的问题而提供的解决方案,对于制定企业网络的长期发展计划,规划网络应用的未来发展方向,都是十分有益的。
页:
[1]