2016.7.9 计算机网络复习要点第四章之虚拟专用网VPN和网络地址转换NAT

1.虚拟专用网VPN

（1）一个机构内，对于那些仅在本机构内部使用的计算机就可以由本季候自行分配其IP地址，让这些计算机使用仅在本机构有效的IP地址（本地地址），不需要申请全球唯一的IP地址（全球地址）；

（2）专用地址：这些地址只能用于一个机构的内部通信，而不能用于和因特网上的主机通信，换言之，专用地址只能用作本地地址而不能用作全球地址；

（3）在因特网中的路由器，对目的地址是专用地址的数据报一律不转发；

（4）三个专用地址：

**10.0.0.0到10.255.255.255（或10.0.0.0/8）

**172.16.0.0到172.31.255.255（或172.16.0.0/12）

**192.168.0.0到192.168.255.255（或192.168.0.0/16）

（5）采用这样的专用IP地址的互联网络称为专用互联或本地互联网，就叫做专用网；专用IP地址也叫做可重用地址；

（6）虚拟专用网（VPN）：机构内部利用公用的因特网作为本机构各专用网之间的通信载体；

**这种网络是为了本机构的主机用于机构内部的通信，而不是用于和网络外非本机构的主机通信；

**所有通过因特网传送的数据都必须加密；

**“虚拟”表示“好像是”，但实际并不是，因为现在并没有使用专线而是通过公用的因特网来连接分散在各场所的本地网络；

**在使用IP隧道技术实现虚拟专用网时，每一个场所至少要有一个路由器具有合法的全球IP地址，路由器和因特网的接口必须是合法的全球IP地址；路由器在专用网络的接口地址则是专用网的本地地址；

2.网络地址转换NAT：

（1）专用网内部的一些主机本来已经分配到本地IP地址（仅在专用网络使用的专用地址），但是现在又想和因特网上的主机通信；最简单的方法就是再申请一些全球IP地址；

（2）网络地址转换NAT：在专用网连接到因特网的路由器上安装NAT软件，装有NAT的路由器叫做NAT路由器，它至少有一个有效的外部全球IP地址；

（3）所有使用本地地址的主机在和外界通信时，都要在NAT路由器上将其本地地址转换成全球IP地址，才能和因特网连接；

（4）NAT路由器把收到的专用网内部的主机发来的数据报中的源地址，转换为NAT路由器的全球IP地址，然后转发出去；目的主机发送应答是，其目的IP地址也是NAT路由器的IP地址；

（5）通过NAT路由器的通信必须由专用网内的主机发起，这就表明，这种专用网内部的主机不能充当服务器用，因为因特网上的客户无法请求专用网内的服务器提供服务；

（6）为了更加有效的利用NAT路由器上的全球IP地址，现在常用的NAT转换表把运输层的端口号也利用上，这样，就可以使多个拥有本地地址的主机，共用一个NAT路由器上的全球IP地址，因而可以同时和因特网上的不同主机进行通信；

（8）使用端口的NAT也叫做网络地址与端口号转换NAPT：

**字段：源IP地址：TCP端口号；目的IP地址：TCP目的端口号；

**NAT路由器在转发IP数据报时，一定要更换其IP地址（转换源地址或目的地址）；

**NAPT路由器还要查看和转换运输层的端口号，这相当于一些运输层的范畴；