网络层9——虚拟专用网VPN和网络地址转换NAT

最新推荐文章于 2025-03-21 17:39:25 发布
最新推荐文章于 2025-03-21 17:39:25 发布
阅读量1.3k 收藏 12
点赞数 9
分类专栏: 408计算机网络 文章标签: 网络 服务器 运维 计算机网络 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51216031/article/details/143799689
版权

目录

 一、为什么有虚拟专用网?

二、如何理解“虚拟专用网”?

三、IP隧道技术实现虚拟专用网

四、网络地址变换

 一、为什么有虚拟专用网?

第一,IPv4只有32位,最多有40亿个全球唯一的IP地址
数量不够,无法保证每一个用户都拥有一个全球唯一的IP地址
而没有IP地址,就意味着无法接入互联网
第二,很多情况下,一台主机主要和本机构内的其他主机进行通信
基于此,主机并没有必须连接互联网的必要

因此,仅在一个内部进行通信的主机,
可以在机构内部进行分配IP地址,该IP地址仅在该机构内有效
于是,一个机构内的主机就不需要申请全球唯一的IP地址
就可以让本机构内的所有主机进行互相通信

可是,有时机构内部的某些主机需要和连接互联网
此时内部分配的IP地址可能会和全球唯一的IP地址重复
引起歧义
如何解决这个问题?
使用专用地址

什么是专用地址?
专用地址只用于本地地址,而不能作为全球地址
对所有的路由器来说,接收到目的地址为网络为专用地址的任何数据一律丢弃
以下是三个专用地址块:
(只要目的地址属于这三个地址块范围内,就是专用地址)

于是,采用上述专用IP地址的互连网就叫做专用互联网 / 本地互联网
世界上可能会存在很多重复的专用IP地址
但是由于专用的IP地址只在本地使用,因此没有问题
因此,专用IP地址也叫做可重用地址

有时一个机构可能很大,分布在很远的不同地方(例如一个非洲,一个南极)
此时,如何通信?
第一,租用专用通道
多个分散的机构可以通过租用电信公司的专用通道,但是贵
第二,通过互联网进行通信
使用互联网作为一个专用网之间的两个不同场所的通信载体
于是,这样的专用网就叫做虚拟专用网VPN
如果数据通过互联网有保密需求,则可以进行加密

二、如何理解“虚拟专用网”?

虚拟专用网并不是一个整体的实际客体
因为多个机构在物理上是分散的
但是,因为对于机构的每一个主机来说,
他们可以对本机构内的所有主机进行畅通无阻的通信
而且无论主机在现实世界的位置
于是,一个机构内的所有主机就好像是在同一个网络内一样
因此,称之为“虚拟专用网”
但是实际上并不存在这样的网络,故名“虚拟”

在计算机网络中,存在很多“虚拟”的概念
例如“虚拟局域网”、“虚拟存储器”、“虚拟专用网”等等
要深刻理解这种逻辑上抽象的技术概念
这对整个计算机的体系认识是都好处的
学习这些知识不能只有知识点的堆砌和拼凑
不能零散,没有组织,不成体系
这样的认识,将很难在思维层次上帮助你构建起一个对计算机世界的整体观

三、IP隧道技术实现虚拟专用网

每一个场所必须保证至少有一个路由器具有全球唯一合法的IP地址
这个接口作为路由器与互联网连接的接口
如图所示:

于是,虚拟专用网的通信分为三种:
一、内部通信,不需要经过互联网
二、跨场所,需经过互联网(重点!!!)
三、外地员工的个人主机连接公司主机

对第二种情况:
第一、专用网内部主机将数据发送给连接的路由器
第二、路由器接到内部数据后发现需经过互联网,加密,加上首部,封装为互联网需要的IP数据报
第三、修改源地址为本路由器的IP地址目的地址为目的专用网连接的路由器的IP地址
第四、目的路由接收到数据后,解包,恢复内部数据报,根据目的地址发送给本路由器连接的网络中的对应主机

对第三种情况:
这种技术叫做远程VPN
感兴趣可自行了解

四、网络地址变换

为什么要进行网络地址转换?
因为考虑到这样一种情况:
一个在专用网内的主机
已经获取了专用玩的IP地址,但是还向和外部的互联网上的主机通信
此时,就需要进行网络地址转换

进行网络地址转换
需在专用网和互联网之间的路由器上安装NAT软件
安装NAT的软件叫做NAT路由器
NAT路由器至少有一个全球IP地址,但也可以有多个

从专用网内部的主机A发送到互联网上的主机B的发送过程:(内网A->外网B)
此时源地址为专用网的主机地址,目的地址为互联网的主机地址
1、路由器C根据NAT路由表,修改数据报的源地址为本路由器的全球唯一IP地址
2、目的主机B收到后,发送回应报文IP数据报
3、回应IP数据报的源地址为B的IP地址,目的地址为路由器C的IP地址
4、路由器C收到回应报文,根据NAT路由表修改目的地址,将路由器IP地址修改为主机A的专用网地址
5、地址转换后,从IP数据报变为数据报,发送给主机A

当NAT路由器有n个全球唯一IP地址时,最多有n台主机接入互联网
一个NAT项目对应一个专用网主机和接口IP地址(这样才可以转换)
同时,通过NAT路由器的通信只能由专用网内部的主机发起
如果外部互联网主机发起的通信,即使能够到达NAT路由器,
但是接下来不知道该发给哪个专用网主机
因此,专用网的主机不能用做服务器
因为服务器需要对请求进行回应

思考:为什么不能由互联网的主机发起通信?
外部主机发送到专用网的请求需要通过NAT路由器的端口映射或者端口转发机制进行处理。
NAT表中的条目只有在内网主机先发起通信时才会建立并允许响应,因为外部主机无法直接访问私有IP。

思考:既然不能由互联网的主机发起通信,可是为什么互联网到内网的回应报文却可以通信呢?
NAT路由器之所以能够将回应报文正确转换并转发,是因为在大多数情况下,NAT操作是“状态感知的”。
也就是说,NAT路由器知道哪些内网主机发起了哪些外部请求,因此它能基于已有的连接和转换记录来正确处理回应报文。
这些记录是基于连接的状态而创建的,因此外部的回应数据包可以通过NAT路由器的地址转换规则,正确地转发给发起请求的内网主机。

计算机网络 第四章网络层(6)网络地址转换 NAT多协议标记交换 MPLS MPLS 协议的基本原理
VAN
07-02 2523
4.8.2 网络地址转换 NAT 问题:在专用网上使用专用地址的主机如何与互联网上的主机通信(并不需要加密)? 解决: 再申请一些全球 IP 地址。但这在很多情况下是不容易做到的。 采用网络地址转换 NAT。这是目前使用得最多的方法。 网络地址转换 NAT 网络地址转换 NAT (Network Address Translation) 方法于1994年提出。 需要在专用网连接到互联网的路由器上安装 NAT 软件。装有 NAT 软件的路由器叫做 NAT路由器,它至少有一个有效的外部全球IP地址。 所有
计算机网络复习——第四章网络层
m0_54674275的博客
11-18 6306
9月开始学习的一个月,I hope everthing be fine.相关知识见,感觉比较容易入手1.
虚拟专用网
10-03
介绍关于虚拟专用网络的详细原理到实践应用,发展历史到目前现状。
VPN虚拟专用网
Thewei666的博客
07-20 3984
DH算法:Diffie-Hellman,密钥交换算法用户A与用户B通信,有两个公知数pg,每个用户拥有一个私有数x或y。当通过两个公知数pg以及一个私有数通过公式可以计算出一个X或Y。双方交换自己的X或Y,通过p,g,X或Y即可计算出双方需要传递的信息。
NATVPN的联系
最新发布
备忘录
03-21 544
理解VPNNAT的区别以及它们如何工作是非常重要的。虽然从某种角度来看,你可以说VPN在某些方面类似于“两个NAT”加上加密解密的过程,但实际上,这种类比并不完全准确,因为两者的核心功能技术实现有显著的不同。
虚拟专用网
小旺的博客
05-26 5249
虚拟专用网虚拟专用网(Virtual Private Network,VPN)通常是指在公共网络上,利用隧道等技术,建立一个临时的、安全的网络。从字面意义上看,VPN由“虚拟”(Virtual)、“专用或私有”( Private)以及“网络”(Network)三个词组成。“虚拟”(Virtual),是相对传统的物理专用网络而言,VPN是利用公共网络资源设备建立一个逻辑上的专用通道;“专用的或私有的”(Private),表示VPN是被特定企业或用户个人所有的,而且只有经过授权的用户才可以安全地使用。 虚
虚拟专用网网络地址转换
月生言己的博客
04-07 250
虚拟专用网(Virtual Private Network, VPN):利用公用的因特网作为本机构各专用网之间的通信载体,这样形成的网络称为虚拟专用网。比方说,一个公司,不同部门间是使用公用因特网,部门内部是专用网,那专用网内的各个主机不会直接暴露在公用的因特网内,但是不同部门间的主机隔着不同的专用网却可以相互通信,从效果上看,就好像是本机构的专用网里传送信息一样,这就是专用网
计算机网络——虚拟专用网网络地址转换NAT
m0_56561130的博客
11-11 1890
文章目录1.虚拟专用网VPN2.网络地址转换NAT3.总结 1.虚拟专用网VPN     利用公用的因特网作为本机构各专用网之间的通信载体,这样的专用网又称为虚拟专用网。由于IPv4地址的紧缺,一个机构能够申请到的IPv4地址数量往往小于本机构所拥有的主机数量。因此虚拟专用网中的各个主机所分配到的地址应该是本机构可自由分配的专用地址,而不是需要申请的、在因特网上使用的公有地址。     例如同一机构的两个部门分别位于上海北京,这两个部门的专用网络之间的通信要虚拟专用网来解决。给每个主机分配一个专用地址
计算机网络(四)—— 网络层(7、8、9):IPv4数据报的首部格式、网际控制报文协议ICMP、虚拟专用网VPN网络地址转换NAT
大彤小忆的博客
06-01 2823
计算机网络系列内容的学习目录→\rightarrow→谢希仁计算机网络学习系列内容汇总。 7. IPv4数据报的首部格式7.1 课后练习8. 网际控制报文协议ICMP8.1 课后练习9. 虚拟专用网VPN网络地址转换NAT9.1 虚拟专用网VPN(Virtual Private Network)9.2 网络地址转换NAT9.3 课后练习 7. IPv4数据报的首部格式 7.1 课后练习   1. 以下关于IPv4数据报结构的描述中,错误的是( B )     A. IPv4数据报的首部长度是可变的.
计算机网络笔记24 网络地址转换NAT
Lora青蛙的博客
06-21 1068
网络层网络地址转换 NAT的详细笔记。
VPN --- (虚拟专用网) 详解
热门推荐
w17791476027的博客
04-15 1万+
1.什么是数据认证,有什么作用,有哪些实现的手段? 2.什么是身份认证,有什么作用,有哪些实现的手段? 3.什么VPN技术? 4.VPN技术有哪些分类? 5.IPSEC技术能够提供哪些安全服务? 6.IPSEC的技术架构是什么? 7.AH与ESP封装的异同? 8.IKE的作用是什么? 9.详细说明IKE的工作原理? 10.IKE第一阶段有哪些模式? 有什么区别,使用场景是什么? 11.ipsec在NAT环境下会遇到什么问题? 12.详细分析NAT环境下IPSEC的兼容问题 13.IPSEC是否支持动态协议?
虚拟专用网(一)
qq_24338883的博客
10-18 3949
1.VPN的用途   代理服务器Proxy Server,其功能就是代理网络用户去取得网络信息。形象的说:它是网络信息的中转站。   与代理服务器不同。VPN是解决通过外网访问内网资源的一种远程连接方式,如下面的情况:   (1)公司出差员工,可以通过vpn登陆公司内网进行办公;(远程接入VPN)   (2)各个分公司可以通过vpn与总公司联系;(内联网VPN) 2.什么是VPN
网络层虚拟专用网VPN网络地址转换NAT
swadian2008的博客
10-21 1711
我们都知道,全球的 IP 地址是稀缺的,一个机构能够申请到的 IP 地址数往往远小于本机构所拥有的主机数。此外,互联网并不很安全,一个机构也并不需要把所有的主机都接入到外部的互联网。所以,计算机仅在机构内部使用时就可以由本机构自行分配其 IP 地址。这些仅在本机构有效的 IP 地址就称为本地地址,而向互联网的管理机构申请的 IP 地址全球就称为全球地址。
网络层虚拟专用网VPN网络地址转换NAT
一个搬运知识的笨小孩
06-18 5060
简要了解虚拟专用网网络地址转换
虚拟专用网络与网络地址转换NAT
qq_43812167的博客
03-06 450
虚拟专用网络与网络地址转换NAT 私有地址只能用于一个机构的内部通信,而不能用于因特网上的主机通信,私有地址只能用于本地地址,而不能用于全球地址,在因特网上的所有路由器,对目的地址是私有地址的IP数据报一律不进行转发。 部门AB至少需要一个路由器具有合法的全球IP地址,这样它们各自的专用网才能利用公用的因特网进行通信 部门A中的某台主机给部门B中的某台主机发送数据,它会将待发送的数据封装成内部IP数据报发送给路由器R1,R1收到该数据报后,发现目的网络必须通过因特网才能到达,就将该内部IP数据
VPN虚拟专用网
顺其自然~专栏
05-16 427
在手工配置SA时,需要手工指定SPI的取值。GRE可以对某些网络层协议(如IPX、IPv4、IPv6等)的报文进行封装,使封装后的报文能够在另一种网络中(如IPv4)传输,从而解决了跨越异种网络的报文传输问题。隧道协议通过在隧道的一端给数据加上隧道协议头,即进行封装,使这些被封装的数据能都在某网络中传输,并且在隧道的另一端去掉该数据携带的隧道协议头,即进行解封装。隧道接口(Tunnel Interface)是为实现报文的封装而提供的一种点对点类型的虚拟接口,与Loopback接口类似,都是一种逻辑接口。
虚拟专用网VPN网络地址转换NAT技术
weixin_43354152的博客
04-19 1713
虚拟专用网VPN以及网络地址转换NAT技术的实现原理与应用。
神州数码3002防火墙配置命令
02-24
### 关于神州数码3002防火墙配置命令 针对神州数码3002防火墙的配置,具体操作涉及多个方面,包括但不限于基础设置、安全策略设定以及特定服务如L2TP或SNAT等功能的启用。以下是基于已有资料整理的部分典型配置示例。 #### 基础网络参数配置 对于任何一款防火墙而言,首要任务通常是定义其自身的网络接口属性,这一步骤确保了设备能够正确接入内外部网络环境并实现数据包的有效转发。在神州数码3002上执行此类任务可通过如下指令完成: ```shell interface GigabitEthernet 0/1 # 进入指定物理端口模式 ip address 192.168.1.1 255.255.255.0 # 设置该端口下的IPv4地址及其子网掩码 exit # 返回上级视图 ``` 上述过程适用于内部局域网侧接口;而对于外部广域网连接,则需额外考虑默认路由指向等问题[^1]。 #### 安全特性——源地址转换(SNAT) 为了使内网主机可以顺利访问公网资源而不暴露真实身份,在此场景下可利用SNAT技术。通过修改发出的数据报文中源IP字段的方式达到目的。具体的实施方法如下所示: ```shell nat outbound acl number 3000 inside interface GigabitEthernet 0/1 outside interface GigabitEthernet 0/2 access-list 3000 permit ip any ``` 这里假设`GigabitEthernet 0/1`代表LAN区而`GigabitEthernet 0/2`对应WAN方向。同时创建了一个允许所有流量经过变换处理后再送出至外界的规定[^2]。 #### 加密通信保障——L2TP over IPSec隧道建立 当涉及到远程办公人员的安全接入需求时,构建一条稳定可靠的虚拟专用线路显得尤为重要。下面给出了一套完整的方案用来部署L2TP/IPSec组合型VPN通道: ```shell crypto isakmp policy 10 # 开启IKE协商进程 encryption aes # 指定加密算法为AES authentication pre-share # 使用预共享秘钥验证方式 group 2 # Diffie-Hellman密钥交换群组编号设为2 crypto isakmp key secret_key address 0.0.0.0 # 设定PSK值(此处仅为示意) ! crypto ipsec transform-set myset esp-aes esp-sha-hmac # 创建新的ESP变换集 mode transport # 工作模式选择传输层封装形式 ! crypto map mymap 10 ipsec-isakmp set peer remote_ip # 对方网关实体标识符 set transform-set myset # 应用先前定制好的安全关联模板 match address l2tp_acl # 绑定ACL规则限定适用范围 ! access-list l2tp_acl extended permit gre host local_ip host remote_ip ``` 以上脚本片段展示了如何借助神州数码3002平台搭建起一套支持L2TP-over-IPSec架构的服务实例。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

二十5画生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值