两个不同区域的网络互相访问,一般可以通过一种叫做“三层”的网络设备来进行通信:
一、网关方式:
本机A(192.168.1.1)访问目标 T10(10.10.10.10)时,由于根据本地网络的设置,操作系统通过计算得知目标T10并不在本机所处的本地网络环境中,就会把访问数据包打包,保留 源地址(192.168.1.1)和目标地址(10.10.10.10),将数据包丢到本机设置的距离本机最近的并且数据包可以直达的网关设备中,由网关设备根据源地址和目标地址来将数据包进行转发。
在发送过程中均保留源地址和目标地址的完整信息,直到数据包到达目标地址中。目标地址机器接收到数据包后,目标机器根据源地址在其本机中的路由表中查找返回路径,将回应数据包按其设定的路径返回。
如果目标机器的路由表中设置的返回路径与源地址的路径不一致时,一般来说数据包就没法得到正确的返回,在此不述。
在此方式中,如果访问策略允许,双方都可以直接发起对对方的访问。
二、源地址转换方式:
本机A(192.168.1.1)访问目标T10(10.10.10.10)时,数据包到达网关设备G后,网关设备会将源地址转换为网关设备中可以与目标T10进行通信的端口IP(sNat10.10.10.1)。
在此方式中,目标T10并不知道A的存在,与T10进行通信的是网关设备中的sNat这个IP地址。
管理人员只需要保证A与G是可以正常通信的,然后由 T10所在的区域来保证T10是可以与sNat进行通信的。
几乎所有的家用路由器等都是采用这种方式来上网。
家用的网络连接上网后一般仅能分配到一个动态分配的IP地址,为了能实现家里所有的设备(多台电脑/手机等)可以同时上网,就必须要采用这种方式来上网。
在IPV4的互联网世界中,IPV4地址是有限的,主干道中的一个IPV4地址就可以让其所在的子网络的多台设备进行上网,且会有一个非常大的好处,就是外面的互联网络是无法主动攻击到家里的设备的。
自从网关设备实现了sNat(源地址转换)方式之后,可以说所谓的IPV4地址是有限的这一概念其实是一个伪命题。在此不述。
为了解决所谓的IPV4地址“不够用”,人们就设计了IPV6,IPV6地址可以表达的数量非常非常非常非常的多,多到可以给地球上的每一粒沙子分配一个IPV6地址。个人观点:可以有,但其实至少在当今的世界是是还没有必要的(截止2024年的今天)。
由于IPV6地址非常。。。的多,网关设备就可以弱化“源地址转换”的这一种网络互相访问的方式,让每一台设备在与其它设备互通的时候,都是通过实际双方都可以互相访问的地址来进行访问。看起来好像是没什么问题,但其实是比较危险的,因为在这种方式下,你的手机在连接家里的IPV6地址的WIFI时,其实你的手机已经完全暴露在全世界所有人的网络之下,此时,虽然外人一般无法得知你的手机的IPV6地址,但主干道上是可以“不安全”的,在不安全的主干道上通信的时候,有人可以“监听”到你手机与其它人的通信,然后就能得知你的手机的IPV6地址,然后就可以主动对你的手机进行攻击!如果你的手机的系统或APP有漏洞时就会非常的危险!
而在IPV4中的“源地址转换”方式中,你手机的IP地址是被你的网关(WIFI)设备给转换成网关的地址了,默认情况下所有的网关设备在运行时是不能接受被外部网络主动访问和攻击的,这会非常有效的保护你家里的电脑和手机等设备。
当然,这并不表示你们的通信就是“安全”的,因为在主干道上的监听者虽然不能对你发起主动攻击,但可以解密你们之间的通信,同时可以伪造数据包对你的手机等设备进行“攻击”,这是另一层面的东西,在此不述。
三、目标地址转换方式:
一般的“防火墙”等设备,第一道门槛就是使用此方式对目标地址和资源进行精细控制。
A访问到的T10实际上是一个安全设备,在T10上设定一个端口转换,让其转换到T10所在的子网中的服务器设备中。
在此方式中,服务器仅做为资源提供者,隐藏在T10所在的其中一个外部无法访问到的子网中,服务器对于网络的防护功能一般都比较弱,所以都需要在它的前面加一个“防火墙”,让防火墙打开一个受到策略控制的端口转换到服务器中的资源中,安全防护功能都实现在“防火墙”中,以此来实现安全的资源提供,同时还可以实现更多的功能,包括资源的均衡等。
在一个复杂的网络中,三种方式都是可以同时存在的,可以达到资源有效利用和安全防护等功能。
能实现网络转换的方式不仅限于这几种方式,方式非常多,由于不熟悉,在此不述。
本人仅对以上几种方式比较熟悉,所以仅列举以上三种。
扫一扫
8417
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
