5. 虚拟专用网VPN
5.1 本地地址,全球地址,专用地址
由于IP地址的紧缺,一个机构能够申请到的IP地址数往往远小于本机构所拥有的主机数,考虑到互联网并不是很安全,一个机构内也并不需要把所有的主机接入到外部的互联网,假定一个机构内部的计算机通信也是采用TCP/IP协议,那么从原则上讲,对于这些仅在机构内部使用的计算机就可以由本机构自行分配IP地址。
本地地址——仅在机构内部使用的IP地址,可以由本机构自行分配,而不需要向互联网的管理机构申请。
全球地址——全球唯一的IP地址,必须向互联网的管理机构申请。
问题——在内部使用的 本地地址就有可能和互联网中某个IP地址重合,这样就会出现地址二义性问题。
解决——RFC1918指明了一些专用地址(private address)。专用地址只能用作本地地址而不能用作全球地址。在互联网中的所有路由器,对目的地址是专用地址的数据报一律不进行转发
5.2 专用网
采用这样的专用IP地址的互联网络称为专用互联网或本地互联网或专用网。因为这些专用地址仅在本机构内部使用,专用ip地址也可叫做可重用地址。
5.3 虚拟专用网VPN
利用公用的互联网作为本机构各专用网之间的通信载体,这样的专用网又称为虚拟专用网VPN(Virtual Private Network)。
“虚拟”——表示“好像是”,但实际上并不是,因为现在并没有真正使用通信专线,而VPN只是在效果上和真正的专用网一样。
“专用网”——是因为这种网络是为本机构的主机用于机构内部的通信,而不是用于和网络外非本机构的主机通信。
如果专用网不同网点之间的通信必须经过公用的互联网,但又有保密的要求,那么所有通过互联网传送的数据都必须加密。一个机构要构建自己的VPN就必须为它的每一个场所购买专门的硬件和软件,并进行配置,使每一个场所的VPN系统都知道其他场所的地址。
、
远程接入VPN(remote access VPN)可以满足外部流动员工访问公司网络的需求。在外地工作的员工拨号接入互联网,而驻留在员工PC机中的VPN软件可在员工的PC机和公司的主机之间建立VPN隧道,因而外地员工与公司通信的内容是保密的,员工感到好像就是使用公司内部的本地网络。
6.网络地址转换NAT
6.1 传统NAT
问题:在专用网上使用专用地址的主机如何与互联网上的主机通信(并不需要加密)?
解决:(1)再申请一些全球IP地址 ; (2)采用网络地址转换NAT。
网络地址转换NAT(Network Address Translation)方法于1994年提出。需要在专用网连接到到互联网的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器,它至少有一个有效的外部全球IP地址。所有使用本地地址的主机在和外界通信时,都要在NAT路由器上将本地地址转换成全球IP地址(nat地址转换表中查),才能和互联网连接。
从上图可以看到,在内部主机和外部主机通信时,在NAT路由器上发生了两次地址转换:
- 离开专用网时:替换源地址,将内部地址替换为全球地址;
- 进入专用网时:替换目的地址,将全球地址替换为内部地址
当NAT路由器具有n个全球IP地址时,专用网内最多可以同时有n台主机接入互联网。这样就可以使专用网内较多数量的主机,轮流使用NAT路由器有限数量的全球IP地址。通过NAT路由器的通信必须由专用网内的主机发起。专用网内部的主机不能充当服务器用,因为互联网上的客户无法请求专用网内的服务器提供服务。
6.2 传统NAPT
为了更加有效的利用NAT路由器上的全球IP地址,现在常用的NAT转换表把运输层的端口号也利用上。这样,就可以使多个拥有本地地址的主机,共用一个NAT路由器上的全球IP地址,因而可以同时和互联网上的不同主机进行通信。使用端口号的NAT叫做网络地址和端口号转换NAPT(Network Address and Port Translation)。