2.7.3 一个供应商/多个网络/多个地址
许多组织发现,一个单播地址不能满足他们的互联网访问需求
特别是临时分配的地址这一点
当这些组织想要运行互联网服务器时(如 Web 网站)通常希望拥有一个不随时间变化的 IP 地址
这些站点通常拥有多个 LAN
其中一些是内部的(防火墙和 NAT 设备将其与互联网分开),还有一些是外部的(向互联网提供服务)
对于这些网络来说,通常有一个站点或网络管理员负责决定:
这个站点需要多少 IP 地址、如何构造子网、哪些子网是内部的,哪些是外部的
图 2-16 展示了一个适合中小企业的网络结构
图 2-16
一个适合中小企业的网络
该站点被分配了 64 个公共(可路由的)IPv4 地址,范围是:128.32.2.64/26
一个 “ DMZ ” 网络拥有互联网可见的服务器
内部路由器使用 NAT 为企业内部的计算机提供互联网访问
图 2-16 中,站点被分配了前缀 128.32.2.64/26,最多可提供 64 个(减 2)可路由的 IPv4 地址
“ DMZ ” 网络(“ 非军事区 ” 网络(“demilitarized zone” network)位于主防火墙之外,见第 7 章)中的服务器是互联网用户可以访问的
其中的计算机通常被用来对外提供如 Web 访问、登录服务器这样的服务
这些服务器会从前缀范围内的一个较小的子网中被分配 IP 地址,许多站点都只有很少的公共服务器
站点前缀范围中的其它地址会被提供给 NAT 路由器,作为 “ NAT 池(NAT pool)” 的基础(见第 7 章)
NAT 路由器可以使用池中的任何地址来重写进入和离开内网的的数据报
图 2-16 中构建的网络有如下优点:
首先,将内网与 DMZ 分开有助于保护内部计算机,使其免受 DMZ 服务器可能受到的损害
此外,这个设置方案对 IP 地址分配进行了划分
一旦设置了边界路由器、DMZ 和内部 NAT 路由器,就可以在内部使用任何地址结构,这样一来就有许多(私有)IP 地址可用了
这个例子只是设置小型企业网络的方式之一
一些其它因素(如成本)会最终影响中小企业部署路由器、网络及 IP 地址的策略