计算机网络之虚拟专用网VPN

虚拟专用网VPN

假如一个机构没有接入因特网，但是内部的计算机通信也是采用TCP/IP协议，那么从原则上讲，对于这些仅在机构内部使用的计算机就可以由本机构自行分配IP地址（这种地址称为本地地址）。

但是，如果任意选择一些IP地址作为本机构内部使用的本地地址，那么在某种情况下可能会引起一些麻烦。例如，有时机构内部的某个主机需要和因特网连接，那么这种仅在内部使用的本地地址就可能和因特网中某个IP地址重合。

为解决这一问题，IP地址中保留了一些专用地址，只能用于机构的内部通信，而不能用于因特网上的主机通信。因特网中的所有路由器，对目的地址是专用地址的数据报一律不进行转发。

这些专用地址如下：

10.0.0.0 到10.255.255.255

172.16.0.0 到172.31.255.255

192.168.0.0 到 192.168.255.255

采用这样的专用IP地址的互联网称为专用互联网或本地互联网。

有时一个很大的机构有许多部门分布在相距很远的一些地点，而每一个地点都有自己的专用网。假如这些分布在不同地点的专用网需要经常通信，有两种解决办法，一是租用电信公司的通信线路为本机构专用，但是往往租金太高。二是利用公用的因特网作为本机构各专用网之间的通信载体，这样的专用网又称虚拟专用网VPN（Virtual Private Network）。

假定某机构在两个相隔较远的场所建立了专用网A和B，其网络地址分别为专用地址10.1.0.0和10.2.0.0。现在，这两个场所需要通过公用的互联网构成一个VPN。

显然，每一个场所至少要有一个路由器具有合法的全球IP地址，这两个路由器和因特网的接口地址是全球IP地址，和内部网络的接口地址则是专用网的本地地址。

有的公司可能没有分布在不同场所的部门，但有很多流动员工在外地工作。公司需要和他们保持联系，远程接入 VPN 可满足这种需求。

在外地工作的员工拨号接入因特网，而驻留在员工 PC 机中的 VPN 软件可在员工的 PC 机和公司的主机之间建立 VPN 隧道，因而外地员工与公司通信的内容是保密的，员工们感到好像就是使用公司内部的本地网络。

网络地址转换NAT

网络地址转换NAT (Network Address Translation)方法需要在专用网连接到因特网的路由器上安装 NAT 软件。装有 NAT 软件的路由器叫做NAT路由器，它至少有一个有效的外部全球地址IP。

内部主机 X 用本地地址 IP_x和因特网上主机 Y 通信所发送的数据报必须经过 NAT 路由器。

NAT 路由器将数据报的源地址IP_X 转换成全球地址 IP_G，但目的地址 IP_Y 保持不变，然后发送到因特网。

NAT 路由器收到主机 Y 发回的数据报时，知道数据报中的源地址是 IP_Y 而目的地址是 IP_G。

根据 NAT 转换表，NAT 路由器将目的地址 IP_G转换为 IP_X，转发给最终的内部主机 X。

这样就可以是专用网内较多数量的主机，轮流使用NAT路由器有限数量的全球IP地址。

显然，通过NAT路由器通信必须由专用网内的主机发起，设想因特网上的主机发起通信，当IP数据报到达NAT路由器时，NAT路由器就不知道应当把目的IP地址转换成哪一个本地地址，所以专用网内部的主机不能充当服务器用，因为因特网上的用户无法请求服务。