一、网际协议IP
- 互联网采用的设计思路:网络层向上只提供简单灵活的、无连接的、尽最大努力交付的数据报服务”,即IP数据报在网络中传输时是不可靠的服务,可能会出现数据丢失等情况
- TCP/IP体系中网络层常常被称为网际层或IP层
- 与IP协议一起使用的协议还有:地址解析协议ARP、网际控制报文协议ICMP、网际组管理协议IGMP
- IP网的概念
- 虚拟互联网络:许多计算机网络通过一些路由器进行互连。由于互连的计算机网络都使用相同的网际协议IP,因此可以把互连以后的计算机网络看成一个虚拟互连网络,而使用IP协议的虚拟互连网络可简称为IP网,使用IP网的好处是:当IP网上的主机进行通信时,就好像在一个单个网络上通信,它们看不见互连的各网络的具体异构细节( 如具体的编址方案、路由选择协议,等等)。在这种覆盖全球的IP网的上层使用TCP协议,那么就是现在的互联网(Intermnet)。
- 从一般的概念来讲,将网络互相连接起来要使用一些中间设备。根据中间设备所在的层次,可以有以下四种不同的中间设备:
- 物理层使用的中间设备叫做转发器(repeater)。
- 数据链路层使用的中间设备叫做网桥或桥接器(bridge)。
- 网络层使用的中间设备叫做路由器(router)”。
- 在网络层以上使用的中间设备叫做网关(gateway)。
1.1 分类的IP地址
- IP 地址:给互联网上的每一台主机(或路由器)的每一个接口分配一个在全世界范围内是唯一的32位的标识符。
- IP地址结构:
- 网络号(net-id):标志主机(或路由器)所连接到的网络。一个网络号在整个互联网范围内必须是唯一的
- 主机号(host-id),标志该主机(或路由器)。一台主机号在它前面的网络号所指明的网络范围内必须是唯一的
- 常见地址类型
其中:
D类地址(前4位是1110)用于多播(一对多通信)
E类地址(前4位是111)保留为以后用
- IP地址的指派范围
A类地址中:
- 网络号字段全0的IP地址是个保留地址,表示本网络;网络号为127(01111111)保留作为本地软件环回测试本主机的进程之间的通信之用。若主机发送一个目的地址为环回地址(例如127.0.0.1) 的IP数据报,则本主机中的协议软件就处理数据报中的数据,而不会把数据报发送到任何网络。目的地址为环回地址的IP数据报永远不会出现在任何网络上,因为网络号为127的地址根本不是一个网络地址。
- 全0的主机号字段表示该IP地址是“本主机”所连接到的单个网络地址(例如,主机的IP地址为5.6.7.8,则该主机所在的网络地址就是5.0.0.0);全1表示“所有的all”,因此全1的主机号字段表示该网络上的所有主机”
B类地址:128.0.0.0不进行指派;C类地址:192.0.0.0不进行指派
- 当一台主机同时连接到两个网络上时,该主机就必须同时具有两个相应的IP 地址,其网络号必须是不同的。这种主机称为多归属主机。以路由器为例,由于一个路由器至少应当连接到两个网络,因此一个路由器至少应当有两个不同的IP地址
- 用转发器或网桥连接起来的若千个局域网仍为一个网络,因为这些局域网都具有同样的网络号。具有不同网络号的局域网必须使用路由器进行互连。
- 在同一个局域网上的主机或路由器的IP地址中的网络号必须是一样的
1.2 IP地址与硬件地址
- IP地址与硬件地址的区别
- 路由器不仅至少有两个不同的IP地址,也至少有两个不同的硬件地址
- 在IP层抽象的互联网上只能看到IP数据报,不论IP数据报经过多少个路由器转发,其首部中的源地址和目的地址始终分别为源主机和目的主机的IP地址
- 在局域网的链路层,只能看见MAC帧,不同于IP数据报,MAC帧的源地址和目的地址会随着路由转发而发生变化,每转发一次就会发生一次变化
1.3 地址解析协议ARP
-
协议作用:在主机ARP高速缓存中存放一个在本局域网中各主机以及路由器从IP地址到硬件地址的映射表
-
具体流程:
- 当主机A要向本局域网上的某台主机B发送IP数据报时,就先在其ARP高速缓存中查看有无主机B的IP地址。如有,就在ARP高速缓存中查出其对应的硬件地址,再把这个硬件地址写入MAC帧,然后通过局域网把该MAC帧发往此硬件地址;若没有,则主机A会通过自动运行ARP,向本局域网上广播发送ARP请求分组(包括主机A的IP地址、硬件地址,以及请求的主机B的IP地址),主机B收到该请求分组后将硬件地址等信息单播发送回给主机A,这样主机A就将主机B的信息存入到高速缓存中
- 如果主机A和主机B不在同一个局域网下,则需要通过路由转发找到路由器的硬件地址,然后再通过路由器继续路由转发下去直到找到主机B
-
ARP对保存在高速缓存中的每一个映射地址项目都设置生存时间(例如10 ~ 20分钟),凡超过生存时间的项目就从高速缓存中删除掉。
-
问题:既然在网络链路上传送的帧最终是按照硬件地址找到目的主机的,那么为什么还要使用抽象的IP地址,而不直接使用硬件地址进行通信?
回答:由于全世界存在着各式各样的网络,它们使用不同的硬件地址。要使这些异构网络能够互相通信就必须进行非常复杂的硬件地址转换工作,因此由用户或用户主机来完成这项工作几乎是不可能的事。但IP 编址把这个复杂问题解决了。连接到互联网的主机只需各自拥有一个唯一的IP地址,它们之间的通信就像连接在同一个网络上那样简单方便,因为上述的调用ARP的复杂过程都是由计算机软件自动进行的,对用户来说是看不见这种调用过程的。
1.4 IP数据报的格式
- IP数据报格式如下:
- 版本:IP协议的版本,一般为IPv4 或 IPv6
- 首部长度:首部长度字段所表示数的单位是32位字(1个32位字长是4字节)。因为IP首部的固定长度是20字节,因此首部长度字段的最小值是5 (即二进制表示的首部长度是0101)。当首部长度为最大值1111时(即十进制数的15),表明首部长度达到最大值15个32位字长,即60字节。当IP分组的首部长度不是4字节的整数倍时,必须利用最后的填充字段加以填充。因此IP数据报的数据部分永远在4字节的整数倍时开始
- 区分服务:用来获得更好的服务
- 总长度:首部+数据部分长度
- 标识:IP 软件在存储器中维持一一个计数器,每产生一个数据报,计数器就加1,并将此值赋给标识字段。“标识“的值主要作用如下:当数据报由于长度超过网络的MTU而必须分片时,这个标识字段的值就被复制到所有的数据报片的标识字段中。相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报
- 标志:
(1)标志字段中的最低位记为MF (More Fragment)。MF = 1即表示后面“还有分片”的数据报。MF = 0表示这已是若干数据报片中的最后一个
(2)标志字段中间的一位记为DF (Don’t Fragment),意思是“不能分片”。只有当DF = 0时才允许分片- 片偏移:较长的分组在分片后,某片在原分组中的相对位置。也就是说,相对于用户数据字段的起点,该片从何处开始。片偏移以8个字节为偏移单位。这就是说,每个分片的长度一定是8字节的整数倍
- 生存时间:生存时间字段常用的英文缩写是TTL (Time To Live),表明这是数据报在网络中的寿命。由发出数据报的源点设置这个字段。每经过一个路由器时,就把TTL减去数据报在路由器所消耗掉的一段时间。若数据报在路由器消耗的时间小于1秒,就把TTL值减1。当TTL值减为零时,就丢弃这个数据报
- 协议:协议字段指出此数据报携带的数据是使用何种协议,以便使目的主机的IP层知道应将数据部分上交给哪个协议进行处理
- 首部检验和:这个字段只检验数据报的首部,但不包括数据部分。这是因为数据报每经过一个路由器,路由器都要重新计算一下首部检验和(一些字段,如生存时间、标志、片偏移等都可能发生变化)
1.5 IP层转发分组的流程
- 路由表中的内容(主机和路由器中都存在路由表)
- 每一条路由主要包含如下信息:(目的网络地址,下一跳地址)
- 默认路由:
其中:
第一个项目就是到本网络主机的路由,其目的网络就是本网络N1,因而不需要路由器转发,而是直接交付。
第二个项目是到网络N2的路由,对应的下一跳路由器是R2。
第三个项目就是默认路由。只要目的网络是其他网络(不是N1或N2),就一律选择默认路由,把数据报先间接交付给路由器R1
- 转发流程
情况一:主机A和主机B处于同一局域网下时
(1)由于在同一局域网中,设备之间的通信是直接的,不需要经过路由器。因此,主机 A 可以直接向主机 B 发送数据,而无需进行路由查找。
(2)在这种情况下,主机 A 会首先确定主机 B 的 IP 地址,并通过 ARP 协议查找主机 B 的 MAC 地址。一旦获取了主机 B 的 MAC 地址,主机 A 就可以直接向主机 B 发送数据帧,而无需经过路由器
情况二:主机A和主机B处于不同一局域网下时
网络层分析:
(1)主机 A 发送数据:
主机 A 将数据包封装在 IP 数据包中,目标 IP 地址为主机 B 的 IP 地址;
主机 A 根据自身的路由表确定下一跳路由器的 IP 地址。
(2)第一次路由转发:
主机 A 将 IP 数据包发送到默认网关(第一跳路由器)
第一跳路由器接收到数据包后,根据自身的路由表确定下一跳路由器的 IP 地址。
第一跳路由器更新数据包的源 IP 地址为自己的 IP 地址,然后重新封装数据包,并将其转发给下一跳路由器
(3)第二次路由转发:
第二跳路由器接收到数据包后,根据目标 IP 地址确定数据包的下一跳路由器或目的主机的 IP 地址。
第二跳路由器更新数据包的源 IP 地址为自己的 IP 地址,然后重新封装数据包,并将其转发给下一跳路由器或目的主机。
(4)数据包到达目的主机 B:
最终,数据包到达目的主机 B。主机 B 根据目标 IP 地址将数据包从 IP 数据包中提取出来,完成数据传输。
数据链路层分析
(1)主机 A 发送数据:
主机 A 将 IP 数据包封装在数据帧中,同时设置目标 MAC 地址为第一跳路由器的 MAC 地址,源 MAC 地址为主机 A 的 MAC 地址。
(2)第一次路由转发:
第一跳路由器接收到数据帧后,解封装数据包,并根据数据包的目标 IP 地址查找路由表,确定数据包的下一跳路由器的 MAC 地址。
第一跳路由器将数据包重新封装在数据帧中,设置目标 MAC 地址为下一跳路由器的 MAC 地址,源 MAC 地址为自己的 MAC 地址,然后将帧转发给下一跳路由器。
(3)第二次路由转发:
第二跳路由器接收到数据帧后,解封装数据包,并根据数据包的目标 IP 地址查找路由表,确定数据包的下一跳路由器或目的主机的 MAC 地址。
第二跳路由器将数据包重新封装在数据帧中,设置目标 MAC 地址为下一跳路由器或目的主机的 MAC 地址,源 MAC 地址为自己的 MAC 地址,然后将帧转发给下一跳路由器或目的主机。
(4)数据帧到达目的主机 B:
最终,数据帧到达目的主机 B。主机 B 根据目标 MAC 地址将数据帧从帧中提取出来,然后将 IP 数据包从数据帧中提取出来,完成数据传输。
二、划分子网和构造超网
2.1 划分子网
- 划分子网的基本思路:一个拥有许多物理网络的单位,可将所属的物理网络划分为若干个子网。划分子网纯属一个单位内部的事情。本单位以外的网络看不见这个网络是由多少个子网组成,这个单位对外仍然表现为一个网络
- 划分子网的方法:从网络的主机号借用若干位作为子网号(subnet-id),当然主机号也就相应减少了同样的位数。于是两级IP地址在本单位内部就变为三级IP地址:网络号、子网号和主机号
- 子网掩码的作用:提取IP地址中的子网的网络地址
- 子网掩码构成:网络号(包括子网)部分全为1,主机号部分全为0
- 如何提取子网的网络地址:将IP地址和子网掩码进行与(AND)运算
- 子网数量:根据子网号计算出,多少位子网对应子网数为:2的多少次方-2(全为0和1丢弃)
- 使用子网时分组的转发,其路由表必须包含一下内容:目的网络地址、子网掩码和下一条地址
2.2 构造超网
- 无分类域间路由选择CIDR
- 无分类的两级编址,即:IP地址 = 网络前缀 + 主机号
- CIDR采用斜线记法,例如IP地址为128.14.35.7/20,其中"/20"表示该地址前20位为网络前缀,即网络号
- 斜线记法中,斜线后面的数字就是地址掩码中1的个数,变长子网掩码VLSM
- CIDR把网络前缀都相同的IP地址组成一个CIDR地址块
- 由于一个CIDR地址块中有很多地址,所以在路由表中就利用CIDR地址块来查找目的网络。这种地址的聚合常称为路由聚合(route aggregation), 路由聚合也称为构成超网
三、网际控制报文协议ICMP
- 网际控制报文协议ICMP允许主机或路由器报告差错情况和提供有关异常情况的报告
- ICMP报文格式如下:
ICMP报文的前4个字节是统一的格式,共有三个字段:类型、代码和检验和。接着的4个字节的内容与ICMP的类型有关。最后面是数据字段,其长度取决于ICMP的类型
- ICMP报文种类:ICMP差错报告报文、ICMP询问报文
- 常见ICMP报文类型
差错报告报文
- 终点不可达:当路由器或主机不能交付数据报时就向源点发送终点不可达报文
- 时间超过:当路由器收到生存时间为零的数据报时,除丢弃该数据报外,还要向源点发送时间超报文。当终点在预先规定的时间内不能收到一个数据报的全部数据报片时,就把已收到的数据报片都丢弃,并向源点发送时间超过报文
- 参数问题:当路由器或目的主机收到的数据报的首部中有的字段的值不正确时就丢弃该数据报,并向源点发送参数问题报文
- 改变路由(重定向):路由器把改变路由报文发送给主机,让主机知道下次应将数据报发送给另外的路由器(可通过更好的路由)
询问报文
- 回送请求和回答:ICMP回送请求报文是由主机或路由器向一个特定的目的主机发出的询问。收到此报文的主机必须给源主机或路由器发送ICMP回送回答报文。这种询问报文用来测试目的站是否可达以及了解其有关状态。
- 时间戳请求和回答:ICMP时间戳请求报文是请某台主机或路由器回答当前的日期和时间。在ICMP时间戳回答报文中有一个32位的字段,其中写入的整数代表从1900年1月1日起到当前时刻一共有多少秒。时间戳请求与回答可用于时钟同步和时间测量。
四、互联网的路由选择协议
4.1 几个基本概念
- 把整个互联网划分为许多较小的自治系统(autonomous system),一般都记为AS。
- 自治系统AS是在单一技术管理下的一组路由器,而这些路由器使用一种自治系统内部的路由选择协议和共同的度量。一个AS对其他AS表现出的是一个单一的和一致的路由选择策略。
- 在目前的互联网中,一个大的ISP就是一个自治系统。如一个国家、一个运营商等等
- 互联网的路由选择协议
- 内部网关协议IGP:即在一个自治系统内部使用的路由选择协议,而这与在互联网中的其他自治系统选用什么路由选择协议无关。目前这类路由选择协议使用得最多,如RIP和OSPF协议。
- 外部网关协议EGP:若源主机和目的主机处在不同的自治系统中(这两个自治系统可能使用不同的内部网关协议),当数据报传到一个自治系统的边界时,就需要使用外部网关协议将路由选择信息传递到另一个自治系统中,目前使用的最多的是BGP协议
- 自治系统之间的路由选择也叫做域间路由选择;在自治系统内部的路由选择叫做域内路由选择
4.2 内部网关协议RIP
- 工作原理
- 一种基于距离向量的路由选择协议
- RIP协议要求网络中的每一个路由器都要维护从它自己到其他每一个目的网络的距离记录
- RIP 协议将“距离”定义如下:从一路由器到直接连接的网络的距离定义为1。 从一路由器到非直接连接的网络的距离定义为所经过的路由器数加1。
如图:路由器R1到网1或网2的距离都是1 (直接连接),而到网3的距离是2,到网4的距离是3。 - RIP允许一条路径最多只能包含15个路由器,因此适用于小型的网络
- RIP通过距离向量算法来更新每一项的路由距离信息
- RIP协议的报文格式
- RIP协议报文格式如下:
- RIP报文由首部和路由部分组成
- RIP的首部占4个字节,其中的命令字段指出报文的意义。例如,1表示请求路由信息,2表示对请求路由信息的响应或未被请求而发出的路由更新报文。首部后面的“必为0”是为了4字节字的对齐。
- RIP2报文中的路由部分由若干个路由信息组成。每个路由信息需要用20个字节。地址族标识符(又称为地址类别)字段用来标志所使用的地址协议。如采用IP地址就令这个字段的值为2;路由标记填入自治系统号ASN;再后面指出某个网络地址、该网络的子网掩码、下一跳路由器地址以及到此网络的距离。
- 一个RIP报文最多可包括25个路由,因而RIP报文的最大长度是4 + 20 x 25 = 504字节。如超过,必须再用一个RIP报文来传送。
- RIP2若使用鉴别功能,则将原来写入第一个路由信息(20字节)的位置用作鉴别。这时应将地址族标识符置为全1 (即0xFFFF),而路由标记写入鉴别类型,剩下的16字节为鉴别数据。在鉴别数据之后才写入路由信息,但这时最多只能再放入24个路由信息。
- RIP协议报文格式如下:
4.3 内部网关协议OSPF
- OSPF协议,又称为开放最短路径优先OSPF,使用最短路径算法SPF对距离进行计算
- OSPF最主要的特征:使用分布式的链路状态协议;采用洪泛法向本自治系统中所有路由器发送信息;发送的信息即为与本路由器相邻的所有路由器的链路状态;只有当链路发生变化时路由器才向所有路由器用洪泛法发送此信息
- 每个路由器都有一个链路状态数据库,该数据库包含了全网所有路由器的信息(包括路由器数量、相连信息)
- OSPF对路由器的划分方式如下:
- OSPF将一个自治系统再划分为若干个更小的范围,叫做区域(area);每一个区域都有一个32位的区域标识符(用点分十进制表示)。当然,一个区域也不能太大,在一个区域内的路由器最好不超过200个。
- 划分区域的好处就是把利用洪泛法交换链路状态信息的范围局限于每一个区域而不是整个的自治系统,这就减少了整个网络上的通信量。在一个区域内部的路由器只知道本区域的完整网络拓扑,而不知道其他区域的网络拓扑的情况。
- 为了使每一个区域能够和本区域以外的区域进行通信,OSPF使用层次结构的区域划分。在上层的区域叫做主干区域。主干区域的标识符规定为0.0.0.0。主干区域的作用是用来连通其他在下层的区域。从其他区域来的信息都由区域边界路由器。路由器R3,R4和R7都是区域边界路由器
- 在主干区域内的路由器叫做主干路由器,如R3, R4,R5,R6和R7。一个主千路由器可以同时是区域边界路由器,如R3,R4 和R7。在主干区域内还要有一一个路由器专门和本自治系统外的其他自治系统交换路由信息。这样的路由器叫做自治系统边界路由器(如图中的R6)
- OSPF不用UDP而是直接用IP数据报传送(其IP数据报首部的协议字段值为89),格式如下:
- OSPF规定,每两个相邻路由器每隔10秒钟要交换一次问候分组
- OSPF规定的相邻路由器之间链路信息交换的基本操作如下:
4.4 外部网关协议BGP
- 边界网关协议BGP的目的:只能是力求寻找一条能够到达目的网络且比较好的路由(不能兜圈子),而并非要寻找一条最佳路由。
- BGP 采用了路径向量(path vector)路由选择协议
- 在配置BGP时,每一个自治系统的管理员要选择至少一个路由器作为该自治系统的“BGP发言人”。一般说来,两个BGP发言人都是通过一个共享网络连接在一起的,而BGP发言人往往就是BGP边界路由器,但也可以不是BGP边界路由器。
- 一个BGP发言人与其他AS的BGP发言人要交换路由信息,就要先建立TCP连接(端口号为179), 然后在此连接上交换BGP报文以建立BGP会话(session),利用BGP会话交换路由信息,如增加了新的路由,或撤销过时的路由,以及报告出差错的情况等等。使用TCP连接能提供可靠的服务,也简化了路由选择协议。使用TCP连接交换路由信息的两个BGP发言人,彼此成为对方的邻站(neighbor)或对等站(peer)。
- 自治系统的连通图可简化为如下:
- 下图给出了一个BGP发言人交换路径向量的例子。自治系统AS2的BGP发言人通知主干网的BGP发言人:“要到达网络N, N2, N3和N4可经过AS2。”主干网在收到这个通知后,就发出通知:“要到达网络N1, N2, N3和N4可沿路径(AS1, AS2)。”同理,主干网还.可发出通知:“要到达网络Ns,N6和N7可沿路径(AS1,AS3)。”
4.5 路由器的构成
- 路由器构成如下:
- 路由器主要任务:转发分组,从路由器某个输入端口收到的分组,按照分组要去的目的地(即目的网络),把该分组从路由器的某个合适的输出端口转发给下一跳路由器。下一跳路由器也按照这种方法处理分组,直到该分组到达终点为止。路由器的转发分组正是网络层的主要工作
- 路由选择部分;也叫做控制部分,其核心构件是路由选择处理机。路由选择处理机的任务是根据所选定的路由选择协议构造出路由表,同时经常或定期地和相邻路由器交换路由信息而不断地更新和维护路由表
- 分组转发部分:它由三部分组成:交换结构、一组输入端口和一组输出端口
- 交换结构:又称为交换组织,它的作用就是根据转发表对分组进行处理,将某个输入端口进入的分组从一个合适的输出端口转发出去。交换结构本身就是一种网络,但这种网络完全包含在路由器之中,因此交换结构可看成是“在路由器中的网络”。
- 转发表是从路由表得出的。转发表必须包含完成转发功能所必需的信息。在转发表的每一行必须包含从要到达的目的网络到输出端口和某些MAC地址信息(如下一跳的以太网地址)的映射。
五、IPv6
- IPv6地址数量:128位,即16个字节
- IPv6数据报格式:
- IPv6地址类型
- 单播:点对点通信
- 多播:一对多通信
- 任播:终点是一组计算机,但数据报只交付给其中一个
- IPv6使用冒号十六进制记法:ABCD:EF01:2345:6789:ABCD:EF01:2345:6789
- 零压缩:FF01:0:0:0:0:0:0:1101 → FF01::1101
- IPv6地址分类
未指明地址:这是16字节的全0地址,可缩写为两个冒号“::”。这个地址不能用作目的地址,而只能为某台主机当作源地址使用,条件是这台主机还没有配置到一个标准的IP地址。
环回地址:IPv6的环回地址是0:0:0:0:0:0:0:1, 可缩写为: :1。它的作用和IPv4的环回地址一样。
多播地址:功能和IPv4的一样。这类地址占IPv6地址总数的1/256。
本地链路单播地址(Link_Local Unicast Address)有些单位的网络使用TCP/IP协议,但并没有连接到互联网上。连接在这样的网络上的主机都可以使用这种本地地址进行通信,但不能和互联网上的其他主机通信。这类地址占IPv6地址总数的1/1024。
全球单播地址:IPv6的这一-类单播地址是使用得最多的一类
- 从IPv4向IPv6过渡方式
- 双协议栈:双协议主机根据DNS域名系统返回的地址类型采取相应的通信方式
- 隧道技术:把IPv6数据报封装成为IPv4数据报在IPv4网络中进行传播
六、IP多播
- 主机如何接收IP多播:在多播数据报的目的地址写入多播组的标识符,然后设法让加入到这个多播组的主机的IP地址与多播组的标识符关联起来
- 多播组的标识符:即IP地址中的D类地址。D类IP地址的前四位是1110, 因此D类地址范围是224.0.0.0 到239.255.255.255。我们就用每一个D类地址标志一个多播组。
- 多播数据报也是“尽最大努力交付”,不保证一定能够交付多播组内的所有成员。因此,多播数据报和一般的IP数据报的区别就是它使用D类IP地址作为目的地址,并且首部中的协议字段值是2,表明使用网际组管理协议IGMP
- IP多播需要使用到网际组管理协议IGMP+多播路由选择协议
七、虚拟互联网VPN和网络地址转换NAT
- 背景:假定在一个机构内部的计算机通信是采用TCP/IP协议,那么从原则上讲,对于这些仅在机构内部使用的计算机就可以由本机构自行分配其IP地址。这就是说,让这些计算机使用仅在本机构有效的IP地址(这种地址称为本地地址),而不需要向互联网的管理机构申请全球唯一的IP地址(这种地址称为全球地址)。
- 专用地址:这些地址只能用于一个机构的内部通信,而不能用于和互联网上的主机通信,只能用做本地地址而不能用作全球地址
- 专用互联网/本地互联网:采用专用地址的互连网络
- 虚拟专用网:让处于不同专用网中主机实现通信
- 网络地址转换NAT:在专用网连接到互联网的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器,它至少有一个有效的外部全球IP地址。这样,所有使用本地地址的主机在和外界通信时,都要在NAT路由器上将其本地地址转换成全球IP地址,才能和互联网连接。