文章目录
4.8.1 虚拟专用网VPN
- 由于IP地址的紧缺,一个机构能够申请到的IP地址数往往远小于本机构所拥有的主机数。
- 考虑到互联网不很安全,一个机构内也并不需要把所有的主机接入到外部的互联网。
- 如果一个机构内部的计算机通信也是采用TCP/IP协议,那么这些仅在机构内部使用的计算机就可以由本机构自行分配其IP地址。
1. 本地地址与全球地址
- 本地地址:仅在机构内部使用的地址,可以由本机构自行分配, 而不需要向互联网的管理机构申请。
- 全球地址:全球唯一的IP地址,必须向互联网的管理机构申请。
- 问题:如何区分本地地址和全球地址?
- 解决:RFC1918指明了一些专用地址。
- 专用地址只能用作本地地址,而不能用作全球地址。
- 互联网中的所有路由器对目的地址是专用地址的数据报一律不进行转发。
2. RFC 1981指明的专用IP地址
3. 专用网
- 采用专用IP地址的互连网络称为专用互联网或本地互联网,或更简单些,就叫做专用网。
- 专用IP地址也叫做可重用地址。
4. 虚拟专用网VPN
- 利用公用互联网作为本机构各专用网之间的通信载体,这样的专用网又称为虚拟专用网VPN。
- 专用网:指这种网络是为本机构的主机用于机构内部的通信,而不是用于和网络外非本机构的主机通信。
- 虚拟:表示实际上没有使用通信专线,只是在效果上和真正的专用网一样。
5. 虚拟专用网VPN的构建
- 如果专用网不同网点之间的通信必须经过公用的互联网,但又有保密的要求,那么所有通过互联网传送的数据都必须加密。
- 必须为每一个场所购买专门的硬件和软件,并进行配置,使每一个场所的VPN系统都知道其他场所的地址。
6. 用隧道技术实现虚拟专用网
7. VPN类型
- 内联网:同一个机构的内部网络所构成的VPN。
- 外联网:一个机构和某些外部机构共同建立的。
- 远程接入VPN:允许外部流动员工通过接入VPN建立VPN隧道访问公司内部网络,好像就是使用公司内部的本地网络访问一样。
4.8.2 网络地址转换NAT
- 问题:在专用网上使用专用地址的主机如何与互联网上的主机通信 (井不需要加密)?
- 解决:
- 再申请一些全球IP地址。但这在很多情况下是不容易做到的。
- 用网络地址转换NAT。这是目前使用得最多的方法。
1. 网络地址转换NAT
- 1994年提出。
- 需要在专用网连接到互联网的路由器上安装NAT软件。
- 装有NAT软件的路由器叫做NAT由器,它至少有一个有效的外部全球IP地址。
- 所有使用本地地址的主机在和外界通信时,都要在NAT路由器上将其本地地址转换成全球IP地址,才能和互联网连接。
2. 网络地址转换过程
在内部主机与外部主机通信时,在NAT路由器上发生了两次地址转换:
- 离开专用网时:替换源地址,将内部地址替换为全球地址。
- 进入专用网时:替换目的地址,将全球地址替换为内部地址。
3. 网络地址转换NAT
- 当NAT路由器具有n个全球IP地址时,专用网内最多可以同时有n台主机接入到互联网。
- 可以使专用网内较多数量的主机轮流使用NAT路由器有限数量的全球IP地址。
- 通过NAT路由器的通信必须由专用网内的主机发起,因此,专用网内部的主机不能充当服务器用。
4. 网络地址与端口号转换NAPT
- NAT并不能节省地址。
- NAPT可以使多台拥有本地地址的主机,共用一个全球IP地址,同时和互联网上的不同主机进行通信。
- 使用运输层端口号的NAT叫做网络地址与端口号转换NAPT,而不使用端口号的NAT叫做传统的NAT。
5. NAPT地址转换表
- NAPT把专用网内不同的源IP地址都转换为相同的全球IP地址,将TCP源端口号转换为新的TCP端口号(互不相同)。
- 收到从互联网发来的应答时,从IP数据报的数据部分找出运输层端口号,从NAPT转换表中找到正确的目的主机。
参考资料:《计算机网络(第8版)》—— 谢希仁。