VPN和NAT技術(shù)

發(fā)布時間：2023-09-14

本地地址——僅在機構(gòu)內(nèi)部使用的 ip 地址，可以由本機構(gòu)自行分配，而不需要向因特網(wǎng)的管理機構(gòu)申請。
全球地址——全球唯一的ip地址，必須向因特網(wǎng)的管理機構(gòu)申請。
10.0.0.0 到 10.255.255.255
172.16.0.0 到 172.31.255.255
192.168.0.0 到 192.168.255.255
這些地址只能用于一個機構(gòu)的內(nèi)部通信，而不能用于和因特網(wǎng)上的主機通信。
專用地址只能用作本地地址而不能用作全球地址。在因特網(wǎng)中的所有路由器對目的地址是專用地址的數(shù)據(jù)報一律不進行轉(zhuǎn)發(fā)。
內(nèi)聯(lián)網(wǎng)intranet和外聯(lián)網(wǎng)extranet
由部門a和b的內(nèi)部網(wǎng)絡(luò)所構(gòu)成的虛擬專用網(wǎng) vpn 又稱為內(nèi)聯(lián)網(wǎng)(intranet)，表示部門a和b都是在同一個機構(gòu)的內(nèi)部。
一個機構(gòu)和某些外部機構(gòu)共同建立的虛擬專用網(wǎng) vpn 又稱為外聯(lián)網(wǎng)(extranet)。
遠程接入vpn(remote access vpn)
有的公司可能沒有分布在不同場所的部門，但有很多流動員工在外地工作。公司需要和他們保持聯(lián)系，遠程接入 vpn 可滿足這種需求。
在外地工作的員工撥號接入因特網(wǎng)，而駐留在員工 pc 機中的 vpn 軟件可在員工的 pc 機和公司的主機之間建立 vpn 隧道，因而外地員工與公司通信的內(nèi)容是保密的，員工們感到好像就是使用公司內(nèi)部的本地網(wǎng)絡(luò)。
網(wǎng)絡(luò)地址轉(zhuǎn)換 nat (network address translation)
網(wǎng)絡(luò)地址轉(zhuǎn)換 nat 方法于1994年提出。
需要在專用網(wǎng)連接到因特網(wǎng)的路由器上安裝 nat 軟件。裝有 nat 軟件的路由器叫做 nat路由器，它至少有一個有效的外部全球地址 ipg。
所有使用本地地址的主機在和外界通信時都要在 nat 路由器上將其本地地址轉(zhuǎn)換成 ipg 才能和因特網(wǎng)連接。
在nat技術(shù)中需要理解如下一些術(shù)語：
1） 內(nèi)部局部地址（inside local）：在內(nèi)部網(wǎng)絡(luò)中分配給主機的私有ip地址。
2） 內(nèi)部全局地址（inside global）：一個合法的ip地址，它對外代表一個或多個內(nèi)部局部ip地址。
3） 外部全局地址（outside global）：由其所有者給外部網(wǎng)絡(luò)上的主機分配的ip地址。
4） 外部局部地址（outside local）：外部主機在內(nèi)部網(wǎng)絡(luò)中表現(xiàn)出來的ip地址。
使用 nat技術(shù)可以有效緩解目前全球ip地址不足的問題， 在很多情況下，nat還能夠滿足安全性的需要，并且使用nat可以方便網(wǎng)絡(luò)的管理，并大大提高了網(wǎng)絡(luò)的適應(yīng)性。當然nat技術(shù)也有缺點：主要表現(xiàn)在 nat會增加延遲，因為要轉(zhuǎn)換每個數(shù)據(jù)包包頭的ip地址,自然要增加延遲；還有 nat會使某些要使用內(nèi)嵌地址的應(yīng)用不能正常工作。
nat的工作原理：當內(nèi)部網(wǎng)絡(luò)中的一臺主機想傳輸數(shù)據(jù)到外部網(wǎng)絡(luò)時，它先將數(shù)據(jù)包傳輸?shù)絥at路由器上，路由器檢查數(shù)據(jù)包的報頭，獲取該數(shù)據(jù)包的源ip信息，并從它的nat映射表中找出與該ip匹配的轉(zhuǎn)換條目，用所選用的內(nèi)部全局地址（全球唯一的ip地址）來替換內(nèi)部局部地址，并轉(zhuǎn)發(fā)數(shù)據(jù)包。當外部網(wǎng)絡(luò)對內(nèi)部主機進行應(yīng)答時，數(shù)據(jù)包被送到nat路由器上，路由器接收到目的地址為內(nèi)部全局地址的數(shù)據(jù)包后，它將用內(nèi)部全局地址通過nat映射表查找出內(nèi)部局部地址，然后將數(shù)據(jù)包的目的地址替換成內(nèi)部局部地址，并將數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)部主機。
網(wǎng)絡(luò)地址轉(zhuǎn)換的過程
內(nèi)部主機 x 用本地地址 ipx 和因特網(wǎng)上主機 y 通信所發(fā)送的數(shù)據(jù)報必須經(jīng)過 nat 路由器。
nat 路由器將數(shù)據(jù)報的源地址 ipx 轉(zhuǎn)換成全球地址 ipg，但目的地址 ipy 保持不變，然后發(fā)送到因特網(wǎng)。
nat 路由器收到主機 y 發(fā)回的數(shù)據(jù)報時，知道數(shù)據(jù)報中的源地址是 ipy 而目的地址是 ipg。
根據(jù) nat 轉(zhuǎn)換表，nat 路由器將目的地址 ipg 轉(zhuǎn)換為 ipx，轉(zhuǎn)發(fā)給最終的內(nèi)部主機 x。