4.8 虚拟专用网络VPN和网络地址转换NAT

思维导图:

4.8 虚拟专用网络VPN和网络地址转换NAT_第1张图片

**4.8 虚拟专用网 VPN 和网络地址转换 NAT**

**4.8.1 虚拟专用网 VPN**

**定义**:
- VPN(Virtual Private Network,虚拟专用网)是一种通信方式,让远程用户通过公共网络(例如互联网)安全地访问内部网络资源,同时保持内部网络的私密性和安全性。

**背景**:
- 由于 IP 地址的紧缺,机构所能申请的 IP 地址数远小于其所拥有的主机数。
- 考虑到互联网的安全性问题,不是所有的主机都需要连接到外部的互联网。
- 使用专用地址或本地地址可以节约全球 IP 地址资源。

**专用地址**:
- RFC 1918 和 RFC 6890 设定了专用地址范围,这些地址只用于内部通信,不能在互联网上使用。
  1. 10.0.0.0/8 (10.0.0.0 到 10.255.255.255)
  2. 172.16.0.0/12 (172.16.0.0 到 172.31.255.255)
  3. 192.168.0.0/16 (192.168.0.0 到 192.168.255.255)

**构建 VPN 的方法**:
1. 租用电信公司的专用通信线路 — 昂贵。
2. 使用公共互联网作为通信载体 — 更经济、需要加密。

**IP隧道技术**:
- 当机构的内部主机需要通过互联网通信时,可以使用 IP 隧道技术。
- 数据报在发送前被加密和封装,然后通过互联网发送到目的地,之后被解密和解封装。

图4-59解释了如何使用IP隧道技术实现VPN。在图中,数据报首先在路由器 R₁ 中被封装和加密,然后通过互联网发送到路由器 R₂,在那里被解封装和解密,最后传送到目的主机。

**总结**:
VPN 通过 IP 隧道技术允许数据安全地通过公共网络(例如互联网)传输,同时维持内部网络的私密性和完整性。这为组织提供了一种经济且高效的远程通信方法。

我的理解:

VPN(虚拟专用网)的概念可以通过以下几个核心点来理解:

1. **虚拟的“专用网络”**:
   - “虚拟”意味着它并非一个实体的、物理存在的网络,而是通过技术手段在已有的网络基础上模拟出来的一种网络连接。
   - “专用”则表明这种网络连接是为特定的用户或组织所设立,不同于公共网络。

2. **安全隧道**:
   - VPN工作时,会在公开的互联网上创建一个加密的“隧道”。数据会被加密后传输在这个隧道中,即使被第三方截获,也很难解密。
   - 这种加密传输确保了数据的隐私和完整性。

3. **专用地址与全球地址**:
   - 组织内部的计算机可以使用专用IP地址进行通信,而不需要使用全球唯一的IP地址。
   - 当需要与外部互联网通信时,VPN技术会将这些专用地址的数据流重定向并进行转换,使其能在公共互联网上正确传输。

4. **通信载体**:
   - 虽然VPN可以提供专用的通信通道,但它通常依赖于公共的互联网作为其通信载体。
   - 这意味着组织不需要为了远程通信而租用昂贵的专用线路。

5. **多种应用场景**:
   - 组织可以使用VPN技术连接其在不同地点的办公室,形成一个统一的内部网络。
   - 个人也可以使用VPN访问受限制的资源或提高上网隐私。

6. **端到端的通信**:
   - 通过VPN,两个远程的终端可以像在同一个局域网内一样进行通信,无论它们实际上是否在物理上相邻。

简而言之,VPN是一种在公共网络上模拟出的安全、专用的网络连接方式。通过加密技术,VPN确保了数据的安全传输,并允许远程用户和设备像在同一个网络内一样进行通信。

更加形象的理解:

让我们用一种常见的情境来进行类比:**寄信**。

1. **普通互联网连接**:想象你正在一个公园的长凳上写一封明信片,然后将其放入公共的邮筒。任何经过的人都可以随便看一眼你的明信片,读到你写的内容。这就像常规的互联网连接,没有额外的安全层,任何人都可以“窥视”你的数据。

2. **使用VPN的互联网连接**:现在想象你把你的明信片放进一个结实的信封,并上锁。只有持有钥匙的接收人才能打开它。你再将这个上锁的信封放入公共的邮筒。尽管它仍然经过公共的邮寄系统,但没有钥匙的人是无法看到里面的内容的。这就是VPN在做的事情——它为你的数据加上了一层“加密的信封”,确保只有你和你的收件人可以“读取”它。

再进一步,如果你在一个小镇上,你的朋友在另一个小镇,而两个小镇之间的所有道路都是公共的。你们每次通信都要走这些公共的道路。现在,想象有一个隐形的、只属于你和你朋友的秘密隧道连接着两个小镇。这个隧道只有你们两人可以使用,而且完全隐形,其他人甚至不知道它的存在。这个隧道就像VPN,它在公共的互联网上创建了一个私有的、加密的通道,只有你和你想通信的服务器知道并可以使用。

通过这种方式,VPN为你提供了一种安全、私密的方式在互联网上进行通信,就像使用一个秘密隧道或上锁的信封一样。

4.8 虚拟专用网络VPN和网络地址转换NAT_第2张图片

---

**VPN (虚拟专用网) 笔记**

1. **定义**:VPN 是一个使用公共网络(如互联网)建立私有网络连接的技术。其工作原理为:在两个通信端点之间建立一个加密的“隧道”。

2. **点对点连接**:R₁和R₂间似乎有一个直通的连接,这就是所谓的隧道。

3. **内联网 (Intranet VPN)**:
   - 由场所A和B的内部网络构成。
   - 场所A和B属于同一个机构。
   - 是使用互联网技术的,基于TCP/IP协议。

4. **外联网 (Extranet VPN)**:
   - 除了机构内部的网络,还有外部机构(如合作伙伴)参与。
   - 使用互联网技术,基于TCP/IP协议。

5. **远程接入 VPN (Remote Access VPN)**:
   - 设计用于流动员工与公司通信。
   - 流动员工通过拨号接入互联网,VPN软件建立加密隧道。
   - 使得流动员工感觉像在使用公司的内部网络。

---

4.8 虚拟专用网络VPN和网络地址转换NAT_第3张图片

4.8.2 网络地址转换 NAT (Network Address Translation)

1. **问题引入**:
   - 专用网内主机有本地IP地址。
   - 想和互联网上的主机通信(不加密),怎么办?

2. **简单解决方法**:申请全球IP地址,但IPv4地址稀缺。

3. **主要方法**:使用NAT。
   - 提出年份:1994年。
   - 安装位置:连接专用网到互联网的路由器。
   - NAT路由器:至少有一个全球IP地址。

4. **NAT工作原理**:
   - 本地地址转为全球IP地址以连接互联网。
   - 例:专用网`192.168.0.0`所有主机的地址:`192.168.x.x`。
     - NAT路由器全球IP地址:`172.38.1.5`。
     - 主机A(`192.168.0.3`)与主机B(`213.18.2.4`)通信时,NAT路由器将源IP从`192.168.0.3`转为`172.38.1.5`。

5. **NAT地址转换**:
   - 主机B收到数据报时,看到的地址为`172.38.1.5`,而不知道真正的`192.168.0.3`地址。
   - NAT路由器使用转换表进行地址转换。

6. **NAT限制**:
   - 只能由专用网内主机发起通信。
   - 互联网主机无法直接请求专用网内服务器。

7. **NAPT (网络地址与端口号转换)**:
   - 更高效地使用NAT路由器上的全球IP地址。
   - 允许多个本地地址的主机共用一个全球IP地址。
   - 利用运输层的端口号进行转换。
   - 传统的NAT与NAPT:
     - 传统的NAT:不使用端口号。
     - NAPT:使用端口号。

8. **NAPT转换例子**:
   - 能够将不同的源IP和端口,转换为相同的全球IP但不同的端口。

---

我的理解:

理解NAT的核心概念和原因:

1. **问题背景**:
   - 在内部专用网络中,主机有自己的本地IP地址。
   - 当这些主机想与互联网上的其他主机通信时,需要一个在全球范围内识别的IP地址。

2. **IPv4地址短缺**:由于IPv4地址数量有限,直接为每个内部主机分配一个全球IP是不实际的。

3. **NAT的引入**:为了解决这个问题,NAT技术被提出。NAT允许多个内部主机共享一个或几个全球IP地址进行外部通信。

4. **如何工作**:
   - 当内部主机与外部世界通信时,NAT路由器会将内部主机的本地IP地址替换为全球IP地址,并保持记录以便在返回的通信中将全球IP地址重新映射回原始的本地IP地址。

5. **NAPT**:更高级的NAT形式,不仅替换IP地址,还替换端口号。这使得来自不同的内部主机的多个连接都可以共享相同的全球IP地址,只是使用不同的端口号。

6. **使用限制**:
   - 由于地址转换,从外部网络直接初始化与内部主机的连接是困难的,因为外部网络不知道内部的真实IP地址。

**简单地说**:NAT就像是一个公寓大楼的门卫。每个公寓单元(内部主机)都有自己的单元号(本地IP地址),但整个大楼只有一个街道地址(全球IP地址)。当公寓里的某人想发信给外部世界时,他们将信放在大楼的信箱里,并告诉门卫他们的单元号。门卫会记住哪个单元发出了哪个信,并将所有信的地址更改为大楼的街道地址。当回信到达时,门卫会根据他记下的信息,确定信应该送到哪个单元。

4.8 虚拟专用网络VPN和网络地址转换NAT_第4张图片

---

**NAPT (Network Address Port Translation)**

1. **基本操作**:
   - NAPT可以更改IP数据报中的源IP地址和传输层的端口号。
   - 如果使用UDP,其操作原理与TCP相同,也会转换UDP的端口号。

2. **端口选择**:
   - 主机在专用网络内选择的端口号只在该主机内有意义。
   - 例如,192.168.0.3和192.168.0.4都可以选择TCP端口号30000。这种选择是随机的,端口号在本地主机内才有意义。

3. **端口和IP地址的转换**:
   - NAPT将专用网络内不同的源IP地址都转换为相同的全球IP地址。
   - 即使源主机使用相同的端口号,NAPT也会将其转换为不同的新端口号。

4. **应答和目的主机的确定**:
   - 当NAPT路由器从互联网接收应答时,它会查看IP数据报的数据部分中的传输层端口号。
   - 根据不同的目的端口号,NAPT路由器会在其转换表中找到正确的目的主机。

5. **与普通路由器的区别**:
   - **普通路由器**:在转发IP数据报时不会改变其源/目的IP地址,且只在网络层工作。
   - **NAPT路由器**:在转发IP数据报时会更改其IP地址,并查看和转换传输层的端口号。因此,其工作范围超出了单纯的网络层。

6. **争议**:
   - 由于NAPT的工作原理跨越了不同的网络层次,它曾受到批评,认为其操作不遵循严格的层次关系。
   - 尽管如此,NAT和NAPT已经成为互联网的重要组成部分。

7. **参考资料**:
   - 建议标准:RFC3022
   - IETF关于NAT工作组的网站:[W-NAT]

---

4.8 虚拟专用网络VPN和网络地址转换NAT_第5张图片 总结:

**虚拟专用网 (VPN)**

**重点**:
1. **定义**:VPN 允许在公共网络(如互联网)上建立私有通信通道。
2. **加密**:使用强加密技术确保数据在传输中的安全性。
3. **隧道协议**:常用的有 PPTP、L2TP、IPsec 和 SSL/TLS。
4. **应用场景**:允许远程工作、安全连接到企业内部网络、绕过地域限制等。

**难点**:
1. **配置和兼容性**:不同的 VPN 协议和解决方案可能在配置上有所不同,可能存在兼容性问题。
2. **性能开销**:由于加密/解密的需要,可能会增加延迟或减少吞吐量。

**易错点**:
1. **不完全的安全性**:虽然 VPN 提供加密,但仍然可能受到中间人攻击、尾随攻击等。
2. **协议选择**:错误地选择或配置 VPN 协议可能导致安全隐患。
3. **隐私误解**:虽然 VPN 提供匿名性,但仍需要信任 VPN 服务提供者不记录你的活动。

---

**网络地址转换 (NAT)**

**重点**:
1. **定义**:NAT 允许私有 IP 地址在公共 IP 地址空间中重用,通常用于 IPv4 地址耗尽的问题。
2. **工作原理**:转换一个 IP 地址到另一个 IP 地址,通常是从私有地址转到公有地址。
3. **类型**:基本 NAT、NAPT(也称为 PAT)。

**难点**:
1. **端到端通信**:NAT 扰乱了原始的 IP 地址,可能会影响某些应用的端到端通信。
2. **配置**:必须正确配置 NAT 设备以确保正确的转换和通信。

**易错点**:
1. **NAT 穿透**:某些协议和应用(如 VoIP、P2P 通信)在 NAT 背后可能会遇到问题,需要特定的解决方案如 STUN、TURN 来帮助 NAT 穿透。
2. **地址池管理**:在高负载的情况下,公共 IP 地址和端口可能会被用完,导致新的连接失败。
3. **误解 NAT 与安全性**:虽然 NAT 提供了某种隔离,但它本身不等同于防火墙或安全解决方案。

---

4.8 虚拟专用网络VPN和网络地址转换NAT_第6张图片

你可能感兴趣的:(程序猿之计算机网络,网络,程序猿之计算机网络,计算机网络)