虚拟的专用网和网络地址转换

虚拟专用网

虚拟专用网（Virtual Private Network, VPN）：利用公用的因特网作为本机构各专用网之间的通信载体，这样形成的网络称为虚拟专用网。
比方说，一个公司，不同部门间是使用公用因特网，部门内部是专用网，那专用网内的各个主机不会直接暴露在公用的因特网内，但是不同部门间的主机隔着不同的专用网却可以相互通信，从效果上看，就好像是本机构的专用网里传送信息一样，这就是虚拟专用网。

给专用网内主机的IP地址是由各个专用网所在机构自行分配的IP地址，这类地址仅在该专用网内有效，称为专用地址，不需要向因特网的管理机构申请。

[RFC 1918]规定了以下三个CIDR地址块中的地址作为专用地址:
10.0.0.0~10.255.255.255(CIDR地址块10/8)
172.16.0.0~172.31.255.255(CIDR地址块172.16/12)
192.168.0.0~192.168.255.255(CIDR地址块192.168/16)
很显然，全世界可能有很多不同机构的专用网具有相同的专用IP地址，但这并不会引起麻烦，因为这些专用地址仅在机构内部使用。

因特网中的所有路由器，对目的地址是专用地址的IP数据报一律不进行转发，这需要由因特网服务提供者ISP对专用网拥有的因特网路由器进行设置来实现。

如果专用网A中的主机H1要给专用网B的主机H2发送信息，
那么会经过如下步骤：
1、主机H1给路由器R1发送内部IP数据报，包括数据载荷和首部，该首部中包含源地址-主机H1的地址和目的地址-主机H2的地址。
2、R1收到主机H1发来的内部IP数据报后，将整个内部IP数据报加密，并再添加一个首部，该首部包括源地址-路由器R1的全球唯一的公有IP地址和目的地址-路由器R2的全球唯一的公有IP地址。
3、专用网B的路由器R2接到加密后的外部IP数据报后，去掉其首部，将加密后的IP数据报进行解密，就可以从原来的内部IP数据报提取出源地址和目的地址。
4、根据目的地址，将内部IP数据报发送给主机H2。

IP数据报在因特网中可能要经过多个网络和路由器，但从逻辑上看，路由器R1和R2之间好像是一条直通的点对点链路，因此也被称为IP隧道技术。

同一机构内不同部门的内部网络所构成的VPN，又称为内联网VPN。
有时，一个机构的虚拟专用网VPN需要某些外部机构(通常是合作伙伴)参加进来，这样的VPN就称为外联网VPN。
在外地工作的员工需要访问公司内部的专用网时，只要在任何地点接入因特网，运行驻留在员工PC中的VPN软件，在员工的PC和公司的主机之间建立VPN隧道，就可以访问专用网中的资源，这种虚拟专用网又称为远程接入VPN。

网络地址转换

大量专用网络和家庭网络的需求使得IPv4地址空间迅速耗尽，由此产生了网络地址转换技术（Network Address Translation, NAT）。NAT能使专用网络用户共享少量的外部全球地址就能访问因特网上的主机和资源。
这种方法需要在专用网络连接到因特网的路由器上安装NAT软件。装有NAT软件的路由器称为NAT路由器，它至少要有一个有效的外部全球地址IP。。这样，所有使用内部专用地址的主机在和外部因特网通信时，都要在NAT路由器上将其内部专用地址转换成IPG。

最基本的NAT方法

NAT路由器会至少拥有一个全球IP地址。当专用网络中的主机发送IP数据包给因特网时，会经由NAT路由器转发，转发过程如下：
1、主机A发送IP数据报，源地址为IPA，目的地址为IPB。
2、NAT路由器接受到IP数据报后，会将其源地址修改为某个随机指定的全球IP地址IPG。并在NAT转换表中记录 内网：IPA，外网：IPG 的对应关系。

当IPB要向IPA发回报文时，会经过以下步骤：
1、主机B发送IP数据报，源地址：IPB,目的地址：IPG。
2、NAT路由器接受到该数据报后，会在NAT转换表中查表，知道IPG对应的是内网的IPA，然后就会把IP数据报转发给IPA。

缺点:
如果NAT路由器拥有n(n比较小)个全球IP地址，那么专用网内最多可以同时有n台主机接入因特网。若专用网内的主机数量大于n，则需要轮流使用NAT路由器中数量较少的全球IP地址。

网络地址与端口号转换方法

由于目前绝大多数基于TCP/IP协议栈的网络应用，都使用运输层的传输控制协议TCP或用户数据报协议UDP，为了更加有效地利用NAT路由器中的全球IP地址，现在常将NAT转换和运输层端口号结合使用。

这样就可以使内部专用网中使用专用地址的大量主机，共用NAT路由器上的1个全球IP地址，因而可以同时与因特网中的不同主机进行通信。
将NAT和运输层端口号结合使用，称为网络地址与端口号转换(NetworkAddress and Port Translation,NAPT)

现在很多家用路由器将家中各种智能设备(手机、平板、笔记本电脑、台式电脑、物联网设备等)接入因特网，这种路由器实际上就是一个NAPT路由器，但往往并不运行路由选择协议。

专用网中的主机A给因特网中的主机C使用NAPT路由器进行转发的过程和上面类似：
1、IPA发送封装有运输层PDU的IP数据报经过NAPT路由器，源地址为主机A的IP地址，源端口号为30000，目的端口号为80。
2、NAPT路由器收到该IP数据报后，对其进行修改，将其封装的运输层PDU的源端口号修改为一个新的由NAPT路由器动态分配的运输层端口号。NAPT还要将修改内容记录到自己的NAPT转换表里。

假设专用网中还有一个主机B给主机C发IP数据报，也经过NAPT路由器。那么NAPT路由器也会对主机B的源端口号进行重新分配。主机的端口号仅在本主机才有意义，就算主机B和主机A的端口号相同，NAPT路由器也会对源端口号进行重新分配的。

如果主机C给主机A发送IP数据报，NAPT也会根据该IP数据报的目的端口号到NAPT转换表里查询其对应的专用网内的主机端口号是哪一条。

尽管NAT(和NAPT)的出现在很大程度上缓解了IPv4地址资源紧张的局面，但NAT(和NAPT)对网络应用并不完全透明，会对某些网络应用产生影响。
NAT(和NAPT)的一个重要特点就是通信必须由专用网内部发起，因此拥有内部专用地址的主机不能直接充当因特网中的服务器。