虚拟专用网VPN(virtual private network)
同一公司的两个部门分布在不同的地域,如何实现通信?
一种方式是直接铺设电缆,连通两地,这种方式成本非常高
一种方式是租用电信公司的通用线路,这种方式简单,但是租金很高
另一种方式就是公用的因特网作为本机构各专用网之间的通信载体,这样的专用网称为虚拟专用网
那么虚拟专用网之间的各个主机应该怎样分配IP地址呢?
由于IPv4地址的紧缺,一个机构能够申请到的IPv4地址数量往往远小于本机构所拥有的主机数量,因此,虚拟专用网中的各主机所分配的地址应该是本机构可自由分配的专用地址,而不是需要申请的,在因特网上使用的公有地址
因特网上的私有地址有
私有地址只能用于本机构的内部通信,不能用于因特网上的主机通信,也就是说,私有地址只能用于本地地址,不能用于全球地址
在因特网中的路由器,对目的地址是私有地址的IP数据报一律不进行转发,所以两部门之间,必须各自有一个路由器,具有合法的全球IP地址,这样他们的专用网,才能利用公有的因特网进行通信
这个通信过程是先加密,然后添加首部,发送过去之后,先去掉首部,然后解密,这样就可以知道内部通信的目的地址和源地址,这种技术也称为IP隧道技术
上面这种技术,是同一个机构内不同部门的内部往来所构成的虚拟专用网VPN,称为内联网VPN
有时候一个机构的VPN需要某些外部机构加入,这样的VPN称为外联网VPN
在外地工作的员工要访问公司内部的专用网,只要在任何地点接入到因特网,运行驻留在员工PC中的VPN软件,在员工的PC和公司的主机之间建立VPN隧道,即可访问专用网络中的资源,这种VPN称为原创接入VPN
网络地址转换NAT
虽然因特网采用了无分类编址方式来减缓IPv4地址空间耗尽的速度,但由于因特网用户数目的激增,特别是大量小型办公室网络和家庭网络接入需求不断增加,IPv4地址空间即将面临耗尽的危险
1994年,提出了一种网络地址转换NAT的方法再次缓解了IPv4地址空间即将耗尽的问题
NAT能使大量使用内部专用地址的专用网络用户共享少量外部全球地址来访问因特网上的主机和资源
假设使用私有地址的主机(192.168/16)要与使用全球地址的主机通信,需要在专用网的路由器上安装NAR软件(NAT路由器,至少一个有效的全球IP地址),这样所有私有地址的主机要与因特网通信时,都需要将私有地址转换为全球IP地址
如果专用网上的两个主机都发送数据报,路由器的NAT转换表中,就会有两条记录
这种转换方式存在一个问题:如果NAT路由器具有N个全球IP地址,那么最多有N个内网主机能够同时与因特网通信
由于绝大多数的网络都是使用运输层协议TCP或UDP来传输数据,因此可以利用运输层的端口号和IP地址一起进行转换,这样一个全球IP地址就可以使多个拥有本地地址的主机同时与因特网上的主机进行通信,这种将端口号和IP地址一起进行转换的技术叫做网络地址与端口号转换NAPT(network address and port translation)
外网主机是否可以先访问内网主机?
由外网首先发起通信,在NART路由器中,找不到对应的记录,也就不能找到专用网的目的主机
原创 Computer 网络 虚实 Computer
,