计算机网络(第8版)第四章 网络层(4.8.1~4.8.2)

sone121382025-01-05 22:56

4.8 虚拟专用网 VPN 和网络地址转换 NAT

4.8.1 虚拟专用网 VPN

由于 IP 地址的紧缺,一个机构能够申请到的IP地址数往往远小于本机构所拥有的主机数。

考虑到互联网并不很安全,一个机构内也并不需要把所有的主机接入到外部的互联网。

如果一个机构内部的计算机通信也是采用 TCP/IP 协议,那么这些仅在机构内部使用的计算机就可以由本机构自行分配其 IP 地址。

1、本地地址与全球地址

本地地址:仅在机构内部使用的 IP 地址,可以由本机构自行分配,而不需要向互联网的管理机构申请。

全球地址:全球唯一的 IP 地址,必须向互联网的管理机构申请。

问题:如何区分本地地址和全球地址?

解决:RFC 1918 指明了一些专用地址 (private address)。

注:专用地址只能用作本地地址,而不能用作全球地址。互联网中的所有路由器对目的地址是专用地址的数据报一律不进行转发。

2、RFC 1918 指明的专用 IP 地址

三个专用 IP 地址块:

(1)10.0.0.0/8

A类,从 10.0.0.0 到 10.255.255.255。1 个。

(2)172.16.0.0/12

B类,从 172.16.0.0 到 172.31.255.255。连续 16 个。

(3)192.168.0.0/16

C类,从 192.168.0.0 到 192.168.255.255。连续 256 个。

3、专用网

采用专用 IP 地址的互连网络称为专用互联网或本地互联网,或更简单些,就叫做专用网。

专用 IP 地址也叫做可重用地址 (reusable address)。

4、虚拟专用网 VPN

利用公用互联网作为本机构各专用网之间的通信载体,这样的专用网又称为虚拟专用网 VPN (Virtual Private Network)。

专用网:指这种网络是为本机构的主机用于机构内部的通信,而不是用于和网络外非本机构的主机通信。

虚拟:表示实际上没有使用通信专线,只是在效果上和真正的专用网一样。

5、虚拟专用网 VPN 的构建

如果专用网不同网点之间的通信必须经过公用的互联网,但又有保密的要求,那么所有通过互联网传送的数据都必须加密。

必须为每一个场所购买专门的硬件和软件,并进行配置,使每一个场所的 VPN 系统都知道其他场所的地址。

6、用隧道技术实现虚拟专用网

7、VPN 类型

内联网 (intranet):同一个机构的内部网络所构成的 VPN。

外联网 (extranet):一个机构和某些外部机构共同建立的 。

远程接入 VPN (remote access VPN):允许外部流动员工通过接入 VPN 建立 VPN 隧道访问公司内部网络,好像就是使用公司内部的本地网络访问一样。

4.8.2 网络地址转换 NAT

问题:在专用网上使用专用地址的主机如何与互联网上的主机通信(并不需要加密)?

解决: 再申请一些全球 IP 地址。但这在很多情况下是不容易做到的。 采用网络地址转换 NAT。这是目前使用得最多的方法。

1、网络地址转换 NAT (Network Address Translation)

1994 年提出。

需要在专用网连接到互联网的路由器上安装 NAT 软件。

装有 NAT 软件的路由器叫做 NAT路由器,它至少有一个有效的外部全球 IP 地址。

所有使用本地地址的主机在和外界通信时,都要在 NAT 路由器上将其本地地址转换成全球 IP 地址,才能和互联网连接。

2、网络地址转换的过程

在内部主机与外部主机通信时,在 NAT 路由器上发生了两次地址转换:

(1)离开专用网时:替换源地址,将内部地址替换为全球地址。

(2)进入专用网时:替换目的地址,将全球地址替换为内部地址。

3、网络地址转换 NAT

当 NAT 路由器具有 n 个全球 IP 地址时,专用网内最多可以同时有 n 台主机接入到互联网。

可以使专用网内较多数量的主机轮流使用 NAT 路由器有限数量的全球 IP 地址。

通过 NAT 路由器的通信必须由专用网内的主机发起,因此,专用网内部的主机不能充当服务器用。

4、网络地址与端口号转换 NAPT

NAT 并不能节省 IP 地址。

NAPT 可以使多台拥有本地地址的主机,共用一个 全球 IP 地址,同时和互联网上的不同主机进行通信。

使用运输层端口号的 NAT 叫做网络地址与端口号转换 NAPT (Network Address and Port Translation),而不使用端口号的 NAT 就叫做传统的 NAT (traditional NAT)。

5、NAPT 地址转换表

NAPT 把专用网内不同的源 IP 地址都转换为相同的全球 IP 地址,将 TCP 源端口号转换为新的 TCP 端口号(互不相同)。

收到从互联网发来的应答时,从 IP 数据报的数据部分找出运输层端口号,从 NAPT 转换表中找到正确的目的主机。

相关推荐
杨云龙UP9 小时前
SQL Server2022部署:Windows Server 2016下安装、SSMS配置、备份还原与1433端口放通全流程_20260508
运维·服务器·数据库·sql·sqlserver·2022
枳实-叶9 小时前
【Linux驱动开发】第四天:dmesg日志全解+驱动加载失败极速排查
linux·运维·驱动开发
wdfk_prog10 小时前
正常关闭虚拟机时,不要点“关机”,而要点“关闭客户机”
linux·c语言·网络·ide·vscode
fish_xk11 小时前
Linux开方工具
linux·运维·服务器
m0_7381207212 小时前
应急响应(重点)——记一次某公司流量应急溯源分析(附带下载链接)
服务器·前端·数据库·安全·web安全·网络安全
计算机安禾13 小时前
【计算机网络】第17篇:TCP拥塞控制的迭代——从Reno到CUBIC、BBR的理论转向
tcp/ip·计算机网络·php
中科三方13 小时前
输入域名后无法访问?教你快速区分域名解析问题与服务器问题
运维·服务器
用户23678298016813 小时前
Linux find 命令深度解析:从递归遍历到性能优化的完整实现
linux
ascarl201014 小时前
Linux.do 帖子整理:AI 调用 Chrome DevTools 调试前端页面
linux·前端·人工智能
Slow菜鸟14 小时前
Docker 学习篇(三)| Docker安装指南(Linux版)
linux·学习·docker
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档03要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法04零基础教你claude code 接入 deepseek V405Dirtyfrag漏洞:我花了一下午搞清楚这个Linux内核提权漏洞到底在搞什么06CC-Switch & Claude 基于 Linux 服务器安装使用指南07Linux 核弹级高危漏洞 CVE-2026-31431 完整修复指南08裂开!ChatGPT 居然开始要手机号验证,附详细解决方法09CVE-2026-31431 (Copy Fail) 漏洞复现与验证记录102026 年 AI 辅助编程工具全景对比:Copilot、Cursor、Claude Code 与 Codex 深度解析