1.網(wǎng)絡(luò)層：虛擬專(zhuān)用網(wǎng)VPN和網(wǎng)絡(luò)地址轉(zhuǎn)換NAT

筆記來(lái)源：
湖科大教書(shū)匠：虛擬專(zhuān)用網(wǎng)VPN和網(wǎng)絡(luò)地址轉(zhuǎn)換NAT

聲明：該學(xué)習(xí)筆記來(lái)自湖科大教書(shū)匠，筆記僅做學(xué)習(xí)參考

1.1 虛擬專(zhuān)用網(wǎng)VPN

專(zhuān)用網(wǎng)和公用網(wǎng)的特點(diǎn)

專(zhuān)用網(wǎng)絡(luò)，又稱(chēng)為私有網(wǎng)絡(luò)，通常僅供特定的組織或個(gè)人使用，其訪(fǎng)問(wèn)權(quán)限通常由組織內(nèi)部進(jìn)行控制。
公用網(wǎng)絡(luò)，如互聯(lián)網(wǎng)，為所有人開(kāi)放，只要有網(wǎng)絡(luò)接入設(shè)備，幾乎任何人都可以連接。

虛擬專(zhuān)用網(wǎng)

虛擬專(zhuān)用網(wǎng)指的是在公用網(wǎng)絡(luò)上建立專(zhuān)用網(wǎng)絡(luò)的技術(shù)。其之所以稱(chēng)為虛擬網(wǎng)，主要是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專(zhuān)網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái)，如Internet、ATM(異步傳輸模式〉、Frame Relay （幀中繼）等之上的邏輯網(wǎng)絡(luò)，用戶(hù)數(shù)據(jù)在邏輯鏈路中傳輸。–摘自：虛擬專(zhuān)用網(wǎng)

虛擬專(zhuān)用網(wǎng)解決了這些問(wèn)題：

（1）使用VPN可降低成本
通過(guò)公用網(wǎng)來(lái)建立VPN，就可以節(jié)省大量的通信費(fèi)用，而不必投入大量的人力和物力去安裝和維護(hù)WAN(廣域網(wǎng))設(shè)備和遠(yuǎn)程訪(fǎng)問(wèn)設(shè)備。.
（2）傳輸數(shù)據(jù)安全可靠
虛擬專(zhuān)用網(wǎng)產(chǎn)品均采用加密及身份驗(yàn)證等安全技術(shù)，保證連接用戶(hù)的可靠性及傳輸數(shù)據(jù)的安全和保密性。
（3）連接方便靈活
用戶(hù)如果想與合作伙伴聯(lián)網(wǎng)，如果沒(méi)有虛擬專(zhuān)用網(wǎng)，雙方的信息技術(shù)部門(mén)就必須協(xié)商如何在雙方之間建立租用線(xiàn)路或幀中繼線(xiàn)路，有了虛擬專(zhuān)用網(wǎng)之后，只需雙方配置安全連接信息即可
（4）完全控制
虛擬專(zhuān)用網(wǎng)使用戶(hù)可以利用ISP的設(shè)施和服務(wù)，同時(shí)又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。用戶(hù)只利用ISP提供的網(wǎng)絡(luò)資源，對(duì)于其它的安全設(shè)置、網(wǎng)絡(luò)管理變化可由自己管理。在企業(yè)內(nèi)部也可以自己建立虛擬專(zhuān)用網(wǎng)。–摘自：虛擬專(zhuān)用網(wǎng)

某機(jī)構(gòu)的兩個(gè)局域網(wǎng)：部門(mén)A和部門(mén)B
方法一：讓兩個(gè)網(wǎng)絡(luò)通信可以租用電信公司的通信線(xiàn)路

方法二：在公用網(wǎng)上建立專(zhuān)用網(wǎng)絡(luò)（VPN）

如何給這個(gè)機(jī)構(gòu)的兩個(gè)局域網(wǎng)中各個(gè)主機(jī)分配IP地址？
因IPv4地址緊缺，一個(gè)機(jī)構(gòu)能申請(qǐng)到的IPv4地址 << 本機(jī)構(gòu)所擁有的主機(jī)數(shù)
VPN中各主機(jī)所分配的地址應(yīng)該是本機(jī)構(gòu)可自由分配的專(zhuān)用地址，而不是無(wú)法自由分配的、需要申請(qǐng)的公有地址（因特網(wǎng)中指定分配的）

IANA官網(wǎng)：可查看IPv4地址中特殊地址的分配方案
下圖中這三個(gè)為無(wú)需分配的專(zhuān)用/私有地址

專(zhuān)用/私有地址只能用于一個(gè)機(jī)構(gòu)的內(nèi)部通信，不能用于和因特網(wǎng)（公用網(wǎng)）上的主機(jī)通信，即私有地址只能用作本地地址，不能用作全球地址

專(zhuān)用網(wǎng)IP數(shù)據(jù)報(bào)傳送流程

VPN也被稱(chēng)為IP隧道技術(shù)
VPN的三種類(lèi)型：
同一機(jī)構(gòu)不同部門(mén)的內(nèi)部網(wǎng)絡(luò)所構(gòu)成的虛擬專(zhuān)用網(wǎng)VPN又稱(chēng)為內(nèi)聯(lián)網(wǎng)VPN
一個(gè)機(jī)構(gòu)的VPN需要某些外部機(jī)構(gòu)參加進(jìn)行，這樣的VPN稱(chēng)為外聯(lián)網(wǎng)VPN
外地員工訪(fǎng)問(wèn)公司內(nèi)網(wǎng)，可使用VPN軟件與公司內(nèi)主機(jī)建立VPN隧道，這種VPN稱(chēng)為遠(yuǎn)程接入VPN

1.2 網(wǎng)絡(luò)地址轉(zhuǎn)換NAT

NAT能使大量使用內(nèi)部專(zhuān)用地址的專(zhuān)用網(wǎng)絡(luò)用戶(hù)共享少量外部全球地址來(lái)訪(fǎng)問(wèn)因特網(wǎng)上的主機(jī)和資源。

一個(gè)專(zhuān)用地址 <- NAT -> 一個(gè)公有地址

IP數(shù)據(jù)報(bào)先發(fā)送到NAT路由器，由該路由器將一個(gè)公有地址與該內(nèi)網(wǎng)中主機(jī)的私有地址進(jìn)行映射或者說(shuō)綁定，IP數(shù)據(jù)報(bào)通過(guò)該路由器訪(fǎng)問(wèn)公用網(wǎng)上的其他主機(jī)

由內(nèi)網(wǎng)向外網(wǎng)發(fā)送IP數(shù)據(jù)報(bào)時(shí)，源地址需要進(jìn)行NAT映射，目的地址不變

由外網(wǎng)向內(nèi)網(wǎng)發(fā)送IP數(shù)據(jù)報(bào)時(shí)，目的地址需要進(jìn)行NAT映射，源地址不變

若專(zhuān)用網(wǎng)中兩臺(tái)主機(jī)均向因特網(wǎng)中的主機(jī)發(fā)送過(guò)IP數(shù)據(jù)報(bào)，則NAT路由器中NAT映射表會(huì)有兩條記錄

該轉(zhuǎn)換方法有一個(gè)問(wèn)題：
如果NAT路由器具有n個(gè)全球IP地址，那么至多只有n個(gè)內(nèi)網(wǎng)主機(jī)能夠同時(shí)和因特網(wǎng)上的主機(jī)通信，提出一種新的轉(zhuǎn)換技術(shù)NAPT

由于絕大多數(shù)的網(wǎng)絡(luò)應(yīng)用都是使用運(yùn)輸層協(xié)議TCP或UDP來(lái)傳送數(shù)據(jù)，因此可以利用運(yùn)輸層的端口號(hào)和IP地址一起進(jìn)行轉(zhuǎn)換。
這樣，用一個(gè)全球IP地址就可以使多個(gè)擁有本地地址的主機(jī)同時(shí)和因特網(wǎng)上的主機(jī)進(jìn)行通信。這種將端口號(hào)和IP地址一起進(jìn)行轉(zhuǎn)換的技術(shù)叫作網(wǎng)絡(luò)地址與端口號(hào)轉(zhuǎn)換NAPT

多個(gè)專(zhuān)用地址 <- NAPT -> 一個(gè)公有地址

外網(wǎng)無(wú)法首先向內(nèi)網(wǎng)發(fā)起通信，因?yàn)镹AT對(duì)外網(wǎng)屏蔽內(nèi)網(wǎng)主機(jī)的網(wǎng)絡(luò)地址，這為內(nèi)網(wǎng)主機(jī)提供了一定的安全保護(hù)
如果外網(wǎng)想要首先向內(nèi)網(wǎng)發(fā)起通信，則需要一些特殊的NAT穿越技術(shù)解決

文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-497054.html

到了這里，關(guān)于網(wǎng)絡(luò)層：虛擬專(zhuān)用網(wǎng)VPN和網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！