3.4.1. Private Network

很多地方都有防火牆(firewall),它們保護網路,將網路隱藏於世界的某個地方。有時,防火牆會用所謂的網路位址轉換(NAT,Network Address Translation)的方法,將 "internal"(內部的)IP 位址轉換為 "external"(外部的)[世界上的每個人都知道的]IP address。

你又開始緊張了嗎?"他又要扯到哪裡去了?"

好啦,放輕鬆,去買瓶汽水[或酒精]飲料,因為身為一個初學者,你還可以先別理 NAT,因為它所做的事情對你而言是透明的。不過我想在你開始對所見的網路數量開始感到困惑以前,先談談防火牆後面的網路。

比如,我家有一個防火牆,我有兩個 DSL 電信公司分配給我的靜態 IPv4 位址,而我家的網路有七部電腦要用。這有可能嗎?兩台電腦不能共用同一個 IP address 阿,不然資料就不知道該送去哪一台電腦了!

答案揭曉:它們不會共用同一個 IP address,它們是在一個擁有兩千四百萬個 IP address 的 private network 裡面,這些 IP addresses 全部都是我的。

好,都是你的,有這麼多位址可以讓大家用來上網,而這裡要講的就是為什麼:

如果我登入到一台遠端的電腦,它會說我從 192.0.2.33 登入,這是我的 ISP 提供給我的 public IP。不過若是我問我自己本地端的電腦,它的 IP address 是什麼時,他會說是 10.0.0.5。是誰轉換 IP 的呢?答對了,就是防火牆!它做了 NAT!

10.x.x.x 是其中一個少數保留的網路,只能用在完全無法連上 Internet 的網路[disconnected network],或是在防火牆後的網路。你可以使用哪個 private network 編號的細節是記在 RFC 1918 [15] 中,不過一般而言,你較常見的是 10.x.x.x 及 192.168.x.x,這裡的 x 是指 0-255。較少見的是 172.y.x.x,這裡的 y 範圍在 16 與 31 之間。

在 NAT 防火牆後的網路可以不必用這些保留的網路,不過它們通常會用。

[真好玩!我的外部 IP 真的不是 192.0.2.33,192.0.2.x 網段保留用來虛構本文要用的 "真實"IP address,就像本文也是虛構的一樣 Wowzers!]

IPv6 也很合理的會有 private network。它們是以 fdxx: 開頭[或者未來可能是 fcXX:],如同 RFC 4193 [16]。NAT 與 IPv6 通常不會混用,然而[除非你在做 IPv6 轉 IPv4 的 gateway,這就不在本文的討論範圍內了],理論上,你會有很多位址可以使用,所以根本不再需要使用 NAT。不過,如果你想要在不會遶送到外面的網路[封閉網路]上配置位址給你自己,就用 NAT 吧。

[15] http://tools.ietf.org/html/rfc1918
[16] http://tools.ietf.org/html/rfc4193
Comments