TCP/IP（3.6）—虚拟专用网VPN和网络地址转化NAT

VPN

Virtual Private Network

由于IP地址的紧缺，一个机构能够申请的IP地址数远远小于本地主机数。另外考虑到安全，一个机构也不需要把所有的主机接入到互联网中。

从原则上说，仅在内部使用的主机可以由机构自行分配IP地址，这种地址就叫做本地地址。

在互联网中，对目的地址是本地地址的数据一律不进行转发。

这样采用专用IP地址的互联网叫做专用互联网或者本地互联网。有时候一个机构在不同地方有自己的专用网。假使不同地方的专用网进行通信，方法有两个：

• 租用电信公司的通信线路为本机构专用，简单方便，但是租金太高
• 利用互联网作为专用网的通信载体，这种专用网叫做虚拟专用网VPN

之所以称为专用网是因为这种网络是本机构主机的内部通信，而不用于和网络外非本机构的主机通信。如果专用网不同网点之间的主机必须进行通信，又要进过因特网，但又有保密的要求，那么所有的通过因特网的数据必须进行加密

一个机构进行VPN，必须为它的每一个场所购买专用的硬件和软件进行配置，是每一个场所的VPN系统都知道其他场所的地址

举例说明两个场所是如何使用IP隧道技术实现VPN

A和B两个专用网的网络地址为10.1.0.0和10.2.0.0

每个场所至少有一个路由器具有合法的全球地址，路由器与内部网的接口是专用网的本地地址

数据报从R1传送到R2可能要经过因特网中很多网络和路由器，但是从逻辑上看，在R1heR2之间好像是一条直通的点对点链路，a图中的隧道就是这个意思。

• 上图中A和B的内部网络构成的虚拟专用网VPN称为内联网，表示A和B属于同一个机构。
• 有时候一个机构VPN需要某些外部机构（通常是合作伙伴），这样的VPN称为外联网
• 还有一种类型VPN，就是远程接入VPN。比如有些公司有流动员在外地工作。公司需要与他们保持联系。驻留外地的员工可以使用vPN软件与公司的主机建立VPN隧道。

NAT

Network Address Translation

需要在专用网连到互联网的路由器上安装NAT软件，装上NAT软件的路由器称为NAT路由器，它至少含有一个有效地外部全球IP地址

地址转化：

这种做法可以看出如果NAT路由器具有n个全球IP地址，专用网内的最多同时有n个主机接入互联网。这样要轮流使用NAT中的全球地址

使用端口号的NAT叫做网络地址与端口转换NAPT