隨著企業網路的擴增,企業網路的效能變成一個重要的課題。很多網路管理人員對於如何安排以及規劃整個大型網路也許很有經驗,也可以組織出容易維護、容易找到問題的網路環境,但如何提升整體網路效能絕不容忽視。本文將介紹IP相關技巧,並說明如何增加管理效能以及減少路由器更新頻率。
在Cisco設備中,NAT會被應用在Cisco路由器上。一般的做法會把Cisco路由器設備同時連接兩段網路,一段是內部網路,另一段則是外部網際網路。
一旦內部網路中有任何電腦想發送網路封包到外部的網際網路,當封包流過Cisco路由器設備時,Cisco路由器設備就會做NAT位址轉換的動作,然後再傳送封包到外部網際網路。
當然,如果想簡單一點的話,也可以透過適當的設定,讓外部網際網路只使用一個公有IP位址,但是卻提供給整個內部網路全部的電腦使用。這樣的做法也可以隱藏內部網路各電腦的IP位址,而達到一定程度的安全性。
NAT轉換方式
常用的NAT轉換方式有三種,分別是靜態(Static)NAT、動態(Dynamic)NAT以及Overlapping。靜態NAT是指將私有IP位址對應到公有IP位址,並允許內部網路的電腦使用公有IP位址連線到網際網路中,而這裡所使用的對應方式是採用一對一的方式。
動態NAT方式則是將一個私有IP位址與一群公有IP位址做對應。而Overlapping與動態NAT剛好相反,是將多個私有IP位址與單一一個公有IP位址做對應。接著來看看下面這個範例。
假設有一台Cisco路由器同時連接網際網路和內部網路,在以上這個網路示意圖中,右邊是網際網路,也就是Global,左邊則是內部網路,亦即Local,而NAT對應表如表3所示:
表3 NAT對應表
上述是一個簡單的NAT應用範例。因為將外部公有IP位址及內部私有IP位址做一對一的對應,所以這種NAT是屬於靜態NAT方式。
PAT轉換方式
PAT是在Inside Global的位址上加入獨特的埠編號以區分不同筆的位址轉換。而由於埠編號是由16個位元所組成,所以單一Inside Global的位址可以用來與65,536個位址做對應。
簡單來說,對NAT而言,是一個位址與一個位址做對應,但PAT則是一個位址加上一個埠編號才與一個位址做對應,因此所可能的對應組合變得更多了。接著,用下頁圖示來為讀者說明,就會比較容易明白。
在此網路架構圖中,左邊兩台電腦是私有網路內的兩台電腦,右邊的是網際網路,左邊兩台電腦想透過中間的路由器A做PAT位址轉換,並連到外面的網際網路。
假設路由器所獲得的外部IP位址是171.69.68.10,由於只得到一個IP位址,所以路由器A必須使用PAT位址轉換的方式,才能同時讓兩台以上的電腦共同使用這個IP位址連到網際網路。表4是對於這個網路架構的PAT位址轉換表的範例。
表4 PAT位址轉換表範例
當然,PAT位址轉換的技術並不是每個埠編號都會拿來使用,PAT技術一旦找到可用的埠編號就會拿來使用,而PAT技術只會採用以下這些埠的範圍:
0~511
512~1023
1024~65535
多變長度子網路遮罩介紹
多變長度子網路遮罩就是Variable-Length Subnet Mask,可以簡稱為VLSM,是用來讓不同長度,不同層級的子網路能夠在同一個網路中存在並且運作。
也就是說,多變長度子網路遮罩能夠讓網路中的IP位址分配更加彈性化,也可以讓可用的IP位址個數增加。
如何計算多變長度子網路遮罩?
以下舉例說明如何計算多變長度子網路遮罩,可能比較容易了解。假設有一個子網路是:
現在想分割一個子網路是可以容納10台機器所使用,也就是要可以分配10個IP位址。
而由一開始對網路遮罩的介紹,各位讀者應該可以算出172.16.32.0/20總共可以分配出的IP位址個數為:
如果直接把172.16.32.0/20這個子網路拿來給這10個IP位址使用的話,實在是太浪費了!因為只用了10個IP位址,其他4084個IP位址卻都沒有使用到。
若是改用多變長度子網路遮罩,則可以把172.16.32.0/20子網路分割成172.16.32.0/28,如此一來,將可以得到下列這些子網路: