计算机网络笔记---网络层---VPN和NAT

1.因特网中的专用地址

①10.0.0.0到10.255.255.255       (可记为10.0.0.0/8，又称为24位块)

②172.16.0.0到172.31.255.255   (可记为172.16.0.0/12，又称为20位块)

③192.168.0.0到192.168.255.255(可记为192.168.0.0/16，又称为16位块)

       这些地址就是专用地址仅适用于本机构内部进行通信，因特网中得所有路由器，对于目的地址是专用地址的数据报一律不转发。

2.VPN

      运用上述的专用地址就可以建立内部网。但是有的时候有些机构的很多部分分布在相距较远的地点。不同地点有自己的专用网，如果这些专用网要进行通信的话那么就有两种方式。一种是租用电信公司的线路，但是这样费用较高；另外一种就是建立VPN。下图就是建立VPN的例子:

       显然，每个场所至少要有一个路由器具有合法的全球IP地址，如图中R1、R2。这两个路由器和因特网的接口地址必须是合法的全球地址，在专用网内部的接口地址则是专用网的本地地址。如果场所A中的主机需要和场所B中的主机进行通信的话，那么就需要经过R1、R2。

3.NAT

    现在有一个问题就是，在专用网内部的主机有一个专用地址，但是又香和因特网上的主机通信，那么该怎么办？

    网络地址转换NAT(Network Address Translation)，就用来解决这个问题。这种方法首先需要在专用网连接到因特网的路由器上安装NAT软件。

    就是当专用网的主机和外部网进行通信的时候，数据包经过NAT路由器的时，NAT路由器将专用网地址转换为一个全球地址，然后并记录下这个转换对。当收到发往某全球地址的数据包时候，再将此数据包转发到内部网中得某主机（与该地址对应的内部主机）。如下图：

       如果NAT路由器有N个全球地址的话，那么就可以支持专用网内部N台主机同时与因特网进行通信。这样就可以使得专用网内较多的主机轮流使用这N个全球地址。

       注意：因为地址转换的关系，所以通过NAT路由器的通信必须由专用网内的主机发起。理解???因为一开始不知道如何转换。所以专用网内部的主机是不可以作为服务器的。

        为了更加有效地利用NAT路由器上的全球IP地址，现在常用的NAT转换表把运输层的端口号也利用上。如下图：

     不同IP地址的专用网主机转换后的全球地址是一样的，只不过端口号不一样。