VPN
Virtual Private Network,虚拟专用网
定义:利用公用的因特网作为本机构各专用网之间的通信载体,这样的专用网称为虚拟专用网
专用(私有)地址:
- 10.0.0.0 ~ 10.255.255.255(10/8地址块)
- 172.16.0.0 ~ 172.31.255.255 (172.16/12地址块)
- 192.168.0.0 ~ 192.168.255.255(192.168/16地址块)
虚拟专用网的各主机所分配的地址应该是本机构可自由分配的专用地址,而不是需要申请的、在因特网上使用的公有地址
私有地址只能用于一个机构的内部通信,而不能用于和因特网上的主机通信,私有地址只能用作本地地址而不能用作全球地址
对于因特网上的路由器,目的地址是私有地址的IP数据报一律不进行转发
VPN要保证数据的安全性,会将原始的内部数据进行加密,然后再将其封装成为在因特网上发送的外部数据报
VPN的类型
- 同一机构内不同部门的内部网络所构成的虚拟专用网VPN又称为内联网VPN
- 有时同一机构的VPN需要有某些外部机构参加进来,这样的VPN称为外联网VPN
- 在外地工作的员工需要访问公司内部的专用网络时,只要在任何地址接入因特网,运行驻留在员工PC中的VPN软件,在员工的PC和公司的主机之间建立VPN隧道,即可访问专用网络中的资源,这种VPN称为远程接入VPN
NAT
Network Address Translation,网络地址转换
NAT能使大量使用内部专用地址的专用网络用户共享少量外部全球地址来访问因特网上的主机和资源
当一个专用网中的主机向一个全球IP地址的主机发送数据报,数据报发送到NAT路由器,源地址一开始记录的是该主机的私有地址,目的地址字段的值为另一台主机的全球IP地址。
NAT从自己的全球IP地址池中为该主机分配一个临时的全球IP地址,此时源地址字段的值为临时全球IP地址,然后NAT将私有地址与全球地址的关系记录在转换表中,然后就可以转发改数据报了
如果是一个全球IP地址的主机向专用网的私有地址的主机发送数据报,在NAT的转换表中查找目的地址中的全球IP地址对应在专用网上的私有地址,然后将目的地址改写成该私有地址再进行数据报的转发
该转换方式存在一个问题:如果NAT路由器具有N个全球IP地址,那么至多只能有N个内网主机能够同时和因特网上主机通信
解决办法:由于绝大多数网络应用都是使用运输层协议TCP或UDP来传送数据,因此可以利用运输层的端口号和IP地址一起进行转换
这样,用一个全球IP地址就可以使用多个拥有本地地址的主机和因特网上的主机进行通信,这种将端口号和IP地址一起进行 转换的技术叫做网络地址与端口号转换NAPT(Network Address and Port Translation)
注意:不能由外网主机首先跟内网主机进行通信,因为此时NAT转换表中还没有映射关系
由于NAT对外网屏蔽了内网主机的网络地址,能为内网的主机提供一定的安全保护