苏州大学计算机科学与技术学院计算机通信与网络课件第四章 网络层（8）.pptVIP

4.7 虚拟专用网 VPN和网络地址转换 本地地址——仅在机构内部使用的 IP 地址， 可以由本机构自行分配，而不需 要向因特网的管理机构申请。 全球地址——全球惟一的IP地址，必须向因特 网的管理机构申请。 RFC 1918 指明的专用地址 10.0.0.0 到 10.255.255.255 172.16.0.0 到 172.31.255.255 192.168.0.0 到 192.168.255.255 这些地址只能用于一个机构的内部通信，而不能用于和因特网上的主机通信。 专用地址只能用作本地地址而不能用作全球地址。在因特网中的所有路由器对目的地址是专用地址的数据报一律不进行转发。 用隧道技术实现虚拟专用网 用隧道技术实现虚拟专用网 用隧道技术实现虚拟专用网 内联网 Intranet 和外联网Extranet 两者都是基于TCP/IP协议 由部门 A 和 B 的内部网络所构成的虚拟专用网 VPN 又称为内联网(Intranet)，表示部门 A 和 B 都是在同一个机构的内部。 一个机构和某些外部机构共同建立的虚拟专用网 VPN 又称为外联网(Extranet)。 4.7.2 网络地址转换 NAT 网络地址转换 NAT 方法于1994年提出。 需要在专用网连接到因特网的路由器上安装 NAT 软件。装有 NAT 软件的路由器叫做 NAT路由器，它至少有一个有效的外部全球地址 IPG。 所有使用本地地址的主机在和外界通信时都要在 NAT 路由器上将其本地地址转换成 IPG 才能和因特网连接。 网络地址转换的过程 内部主机 X 用本地地址 IPX 和因特网上主机 Y 通信所发送的数据报必须经过 NAT 路由器。 NAT 路由器将数据报的源地址 IPX 转换成全球地址 IPG，但目的地址 IPY 保持不变，然后发送到因特网。 NAT 路由器收到主机 Y 发回的数据报时，知道数据报中的源地址是 IPY 而目的地址是 IPG。 根据 NAT 转换表，NAT 路由器将目的地址 IPG 转换为 IPX，转发给最终的内部主机 X。 Static mapping Dynamic mapping Outgoing Web Client Through NPAT Outgoing Web Client Through NPAT * * 4.7.1 虚拟专用网 VPN 专用地址 ---- private address X 10.1.0.1 部门 A 因特网 部门 B R1 R2 隧道 125.1.2.3 194.4.5.6 Y 10.2.0.3 使用隧道技术 本地地址 本地地址 全球地址 X 10.1.0.1 部门 A 因特网 部门 B R1 R2 隧道 125.1.2.3 194.4.5.6 Y 10.2.0.3 使用隧道技术 加密的从 X 到 Y 的内部数据报 外部数据报的数据部分 源地址：125.1.2.3 目的地址：194.4.5.6 数据报首部 部门 A 部门 B X Y R1 R2 125.1.2.3 194.4.5.6 10.1.0.1 10.2.0.3 虚拟专用网 VPN 部门 A 部门 B X Y R1 R2 125.1.2.3 194.4.5.6 10.1.0.1 10.2.0.3 虚拟专用网 VPN NAT (Network Address Translation) 静态一对一地址映射 动态地址映射(通过地址池) Internet 10.0.0.1 10.0.0.4 10.0.0.3 10.0.0.2 Web server a b c NAT 204.1.1.10 Connection request to port 80 from ‘c‘ to web server source 10.0.0.4, port 1025. 10.0.0.4, port 1025 mapped to 204.1.1.10, port 2000 Connection request from ‘c’ forwarded to web server source 204.1.1.10, port 2000. Request received and accepted. 2005 204.1.1.10 1034 10.0.0.3 2000 204.1.1.10 1025 10.0.0.4 Out Port Out IP Inside Port Inside IP Inter