虛拟專用網VPN（virtual private network）

同一公司的兩個部門分布在不同的地域，如何實現通信？

一種方式是直接鋪設電纜，連通兩地，這種方式成本非常高

一種方式是租用電信公司的通用線路，這種方式簡單，但是租金很高

另一種方式就是公用的因特網作為本機構各專用網之間的通信載體，這樣的專用網稱為虛拟專用網

那麼虛拟專用網之間的各個主機應該怎樣分配IP地址呢？

由于IPv4地址的緊缺，一個機構能夠申請到的IPv4地址數量往往遠小于本機構所擁有的主機數量，因此，虛拟專用網中的各主機所分配的地址應該是本機構可自由分配的專用地址，而不是需要申請的，在因特網上使用的公有地址

因特網上的私有地址有

私有地址隻能用于本機構的内部通信，不能用于因特網上的主機通信，也就是說，私有地址隻能用于本地地址，不能用于全球地址

在因特網中的路由器，對目的地址是私有地址的IP數據報一律不進行轉發，所以兩部門之間，必須各自有一個路由器，具有合法的全球IP地址，這樣他們的專用網，才能利用公有的因特網進行通信

這個通信過程是先加密，然後添加首部，發送過去之後，先去掉首部，然後解密，這樣就可以知道内部通信的目的地址和源地址，這種技術也稱為IP隧道技術

上面這種技術，是同一個機構内不同部門的内部往來所構成的虛拟專用網VPN，稱為内聯網VPN

有時候一個機構的VPN需要某些外部機構加入，這樣的VPN稱為外聯網VPN

在外地工作的員工要訪問公司内部的專用網，隻要在任何地點接入到因特網，運行駐留在員工PC中的VPN軟件，在員工的PC和公司的主機之間建立VPN隧道，即可訪問專用網絡中的資源，這種VPN稱為原創接入VPN

網絡地址轉換NAT

雖然因特網采用了無分類編址方式來減緩IPv4地址空間耗盡的速度，但由于因特網用戶數目的激增，特别是大量小型辦公室網絡和家庭網絡接入需求不斷增加，IPv4地址空間即将面臨耗盡的危險

1994年，提出了一種網絡地址轉換NAT的方法再次緩解了IPv4地址空間即将耗盡的問題

NAT能使大量使用内部專用地址的專用網絡用戶共享少量外部全球地址來訪問因特網上的主機和資源

假設使用私有地址的主機（192.168/16）要與使用全球地址的主機通信，需要在專用網的路由器上安裝NAR軟件（NAT路由器，至少一個有效的全球IP地址），這樣所有私有地址的主機要與因特網通信時，都需要将私有地址轉換為全球IP地址

如果專用網上的兩個主機都發送數據報，路由器的NAT轉換表中，就會有兩條記錄

這種轉換方式存在一個問題：如果NAT路由器具有N個全球IP地址，那麼最多有N個内網主機能夠同時與因特網通信

由于絕大多數的網絡都是使用運輸層協議TCP或UDP來傳輸數據，因此可以利用運輸層的端口号和IP地址一起進行轉換，這樣一個全球IP地址就可以使多個擁有本地地址的主機同時與因特網上的主機進行通信，這種将端口号和IP地址一起進行轉換的技術叫做網絡地址與端口号轉換NAPT（network address and port translation）

外網主機是否可以先訪問内網主機？

由外網首先發起通信，在NART路由器中，找不到對應的記錄，也就不能找到專用網的目的主機

原創 Computer 網絡 虛實 Computer

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!