VPN和NAT技術(shù)

發(fā)布時(shí)間：2023-09-14

本地地址——僅在機(jī)構(gòu)內(nèi)部使用的 ip 地址，可以由本機(jī)構(gòu)自行分配，而不需要向因特網(wǎng)的管理機(jī)構(gòu)申請。
全球地址——全球唯一的ip地址，必須向因特網(wǎng)的管理機(jī)構(gòu)申請。
10.0.0.0 到 10.255.255.255
172.16.0.0 到 172.31.255.255
192.168.0.0 到 192.168.255.255
這些地址只能用于一個(gè)機(jī)構(gòu)的內(nèi)部通信，而不能用于和因特網(wǎng)上的主機(jī)通信。
專用地址只能用作本地地址而不能用作全球地址。在因特網(wǎng)中的所有路由器對目的地址是專用地址的數(shù)據(jù)報(bào)一律不進(jìn)行轉(zhuǎn)發(fā)。
內(nèi)聯(lián)網(wǎng)intranet和外聯(lián)網(wǎng)extranet
由部門a和b的內(nèi)部網(wǎng)絡(luò)所構(gòu)成的虛擬專用網(wǎng) vpn 又稱為內(nèi)聯(lián)網(wǎng)(intranet)，表示部門a和b都是在同一個(gè)機(jī)構(gòu)的內(nèi)部。
一個(gè)機(jī)構(gòu)和某些外部機(jī)構(gòu)共同建立的虛擬專用網(wǎng) vpn 又稱為外聯(lián)網(wǎng)(extranet)。
遠(yuǎn)程接入vpn(remote access vpn)
有的公司可能沒有分布在不同場所的部門，但有很多流動員工在外地工作。公司需要和他們保持聯(lián)系，遠(yuǎn)程接入 vpn 可滿足這種需求。
在外地工作的員工撥號接入因特網(wǎng)，而駐留在員工 pc 機(jī)中的 vpn 軟件可在員工的 pc 機(jī)和公司的主機(jī)之間建立 vpn 隧道，因而外地員工與公司通信的內(nèi)容是保密的，員工們感到好像就是使用公司內(nèi)部的本地網(wǎng)絡(luò)。
網(wǎng)絡(luò)地址轉(zhuǎn)換 nat (network address translation)
網(wǎng)絡(luò)地址轉(zhuǎn)換 nat 方法于1994年提出。
需要在專用網(wǎng)連接到因特網(wǎng)的路由器上安裝 nat 軟件。裝有 nat 軟件的路由器叫做 nat路由器，它至少有一個(gè)有效的外部全球地址 ipg。
所有使用本地地址的主機(jī)在和外界通信時(shí)都要在 nat 路由器上將其本地地址轉(zhuǎn)換成 ipg 才能和因特網(wǎng)連接。
在nat技術(shù)中需要理解如下一些術(shù)語：
1） 內(nèi)部局部地址（inside local）：在內(nèi)部網(wǎng)絡(luò)中分配給主機(jī)的私有ip地址。
2） 內(nèi)部全局地址（inside global）：一個(gè)合法的ip地址，它對外代表一個(gè)或多個(gè)內(nèi)部局部ip地址。
3） 外部全局地址（outside global）：由其所有者給外部網(wǎng)絡(luò)上的主機(jī)分配的ip地址。
4） 外部局部地址（outside local）：外部主機(jī)在內(nèi)部網(wǎng)絡(luò)中表現(xiàn)出來的ip地址。
使用 nat技術(shù)可以有效緩解目前全球ip地址不足的問題， 在很多情況下，nat還能夠滿足安全性的需要，并且使用nat可以方便網(wǎng)絡(luò)的管理，并大大提高了網(wǎng)絡(luò)的適應(yīng)性。當(dāng)然nat技術(shù)也有缺點(diǎn)：主要表現(xiàn)在 nat會增加延遲，因?yàn)橐D(zhuǎn)換每個(gè)數(shù)據(jù)包包頭的ip地址,自然要增加延遲；還有 nat會使某些要使用內(nèi)嵌地址的應(yīng)用不能正常工作。
nat的工作原理：當(dāng)內(nèi)部網(wǎng)絡(luò)中的一臺主機(jī)想傳輸數(shù)據(jù)到外部網(wǎng)絡(luò)時(shí)，它先將數(shù)據(jù)包傳輸?shù)絥at路由器上，路由器檢查數(shù)據(jù)包的報(bào)頭，獲取該數(shù)據(jù)包的源ip信息，并從它的nat映射表中找出與該ip匹配的轉(zhuǎn)換條目，用所選用的內(nèi)部全局地址（全球唯一的ip地址）來替換內(nèi)部局部地址，并轉(zhuǎn)發(fā)數(shù)據(jù)包。當(dāng)外部網(wǎng)絡(luò)對內(nèi)部主機(jī)進(jìn)行應(yīng)答時(shí)，數(shù)據(jù)包被送到nat路由器上，路由器接收到目的地址為內(nèi)部全局地址的數(shù)據(jù)包后，它將用內(nèi)部全局地址通過nat映射表查找出內(nèi)部局部地址，然后將數(shù)據(jù)包的目的地址替換成內(nèi)部局部地址，并將數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)部主機(jī)。
網(wǎng)絡(luò)地址轉(zhuǎn)換的過程
內(nèi)部主機(jī) x 用本地地址 ipx 和因特網(wǎng)上主機(jī) y 通信所發(fā)送的數(shù)據(jù)報(bào)必須經(jīng)過 nat 路由器。
nat 路由器將數(shù)據(jù)報(bào)的源地址 ipx 轉(zhuǎn)換成全球地址 ipg，但目的地址 ipy 保持不變，然后發(fā)送到因特網(wǎng)。
nat 路由器收到主機(jī) y 發(fā)回的數(shù)據(jù)報(bào)時(shí)，知道數(shù)據(jù)報(bào)中的源地址是 ipy 而目的地址是 ipg。
根據(jù) nat 轉(zhuǎn)換表，nat 路由器將目的地址 ipg 轉(zhuǎn)換為 ipx，轉(zhuǎn)發(fā)給最終的內(nèi)部主機(jī) x。