【计算机网络】网络层实验：VPN和NAT

实验背景

1. 背景知识
   （1）什么是私有IP地址
   IP地址可以分为全局地址和私有IP地址两类。私有IP地址仅能在机构内部通信使用，由机构自行内部分配，不需要向Internet的管理机构申请。私有IP地址不能与Internet上的其他主机通信，因为Internet中的路由器不会转发目的地址是私有地址的数据报。私有地址有三块包括：10.0.0.0 ~ 10.255.255.255（A类），172.16.0.0~172.31.255.255（B类），192.168.0.0 ~192.168.255.255（C类）。
   （2）VPN
   **虚拟专用网络（Virtual Private Network，VPN）是一种常用于连接组织内部网络的通信方法。VPN可以将两个使用私有地址的局域网透过Internet互连，我们可以把它理解成是虚拟出来的内部专线。它利用已加密的IP隧道技术来达到地址转换、保密和身份认证等服务。由不同部门的内网所构成的虚拟专用网又称内联网；一个机构和某些外部机构共同建立的虚拟专用网 VPN 又称外联网；在外地工作的员工可以通过VPN 软件在PC和公司的主机之间建立VPN 隧道，远程访问公司的内部网络。
   （3）NAT
   1994年提出的网络地址转换（Network Address Translation，NAT）**主要用于解决使用私有IP地址的主机访问Internet的问题。内部主机如果想访问Internet，则需要在出口路由器上安装NAT软件，它至少有一个有效的外部全球地址。所有内部主机在和外界通信时都要在NAT路由器上将其私有地址转换成全球地址才能和Internet连接。这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式，将有助于减缓可用IP地址空间的枯竭。
   NAT的实现方式有三种，即静态网络地址转换（Static NAT）、动态网络地址转换（Dynamic NAT）和网络地址与端口转换（Network Address and Port Translation，NAPT）。静态转换是指将内部网络的私有IP地址固定映射到一个全局IP地址，即某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络访问内部服务器。动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时，可以采用动态转换的方式。
   网络地址与端口转换是指改变外出数据包的源端口并进行端口转换。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自Internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。

实验配置

实验过程

在PC0中访问模拟Internet的服务器的IP地址。

Router1的NAT地址转换表。

在Router1的进站和出站HTTP报文中，源ip发生了相应的变化。

同样在任务二的ICMP包发送过程中，在接收应答包时，进站出站的ICMP报文的源、目的IP地址也发生了相应变化。

思考

（1） 在任务一中，Router1如何区分Server0返回给不同主机的HTTP报文？
NAT服务器（Router1）通过不同的端口号来识别不同主机的报文。
（2） 在任务二中，VPN采用隧道技术的原因是什么？
因为Net1和Net2都是私有地址，无法直接通过Internet进行通信，采用隧道技术可以将源地址转换为全局地址，到达目标路由器后也很容易获得真正目标主机的ip地址。
（3） Net1网络和Net2网络的Ip地址是否能编在同一段？
不能，这样容易造成主机ip地址发生冲突。