虚拟专用网VPN跟网络地址转换NAT
虚拟专用网VPN和网络地址转换NAT
1、虚拟专用网VPN
先来介绍几个基本概念:
本地地址:仅在本机构内部有效的IP地址;
全球地址:向互联网管理机构申请的全球唯一的IP地址;
专用地址:只能用于一个机构的内部通信,而不能用于和因特网上的主机通信的IP地址。在因特网中的所有路由器,对目的地址是专用地址的数据报一律不进行转发。
2010年1月,RFC5735全面地给出了所有特殊用途的IPv4地址:
(1)10.0.0.0到10.255.255.255 (或记为10.0.0.0/8,它又称为24位块);
(2)172.16.0.0到172.31.255.255(或记为172.16.0.0/12,它又称为20位块);
(3)192.168.0.0到192.168.255.255(或记为192.168.0.0/16,它又称为16位块)。
采用这样的专用IP地址的互连网络称为专用互联网或本地互联网或专用网,专用IP地址也叫做可重用地址。
虚拟专用网VPN(VirtualPrivateNetwork):利用公用的因特网作为本机构各专用网之间的通信载体的专用网。经过因特网传送的数据都要经过加密。也就是说,在两个专用网之间通信时,每个专用网所用于转发数据报的路由都必须至少有一个合法的全球IP地址~
2、网络地址转换NAT
网络地址转换NAT(NetworkAddressTranslation):当专用网内部的主机与因特网上的主机通信时所采用的方法。需要在专用网连接到因特网的路由器上安装NAT软件,装有NAT软件的路由器叫做NAT路由器,它至少有一个有效的外部全球IP地址。
转换过程:
(1)NAT路由器收到从专用网内部的主机A发往因特网上主机B的IP数据报(包括源地址与目的地址);
(2)NAT路由器把IP数据报的源IP地址转换为新的源IP地址(即为可被因特网识别的全球IP地址);
(3)目的主机收到此数据报时,认为源主机的IP为新的源IP地址,就将应答发往新的源IP地址;
(4)NAT路由器根据保存的NAT地址转换表,将新的源IP地址转换为旧的源IP地址,随机发往专用网内的源主机。
由此可见,通过NAT路由器的通信必须由专用网内的主机发起,所以专用网内部的主机不能作为服务器用~若NAT路由器具有n个全球IP地址,则专用网内最多可以同时有n个主机接入到因特网(实际上,为了更有效地利用NAT路由器上的全球IP地址,常用的NAT转换表把运输层的端口号也利用上)。