4.9 虚拟专用网VPN与网络地址转换NAT

4.9 虚拟专用网络VPN与网络地址转换NAT

1. VPN

• 利用公用的因特网作为本机构各专用网之间的通信载体，这样的专用网又称为虚拟专用网。
• VPN要保证传输数据的安全性，会将原始的内部数据报进行加密，然后再将其封装成为在因特网上发送到的外部数据报。

1. VPN类型
   1. 同一机构内不同部门的内部网络所构成的虚拟专用网VPN又称为内联网VPN
   2. 有时一个机构的VPN需要有某些外部机构（通常就是合作伙伴）参加进来。这样的VPN就称为外联网VPN
   3. 在外地工作的员工需要访问公司内部的专用网络时，只要在任何地点接入到因特网，运行驻留在员工PC中的VPN软件，在员工的PC和公司的主机之间建立VPN隧道，即可访问专用网络中的资源。这种VPN称为远程接入VPN。

2. NAT

• NAT能使大量使用内部专用地址的专用网络用户共享少量外部全球地址来访问因特网上的主机和资源。
• 传统NAT是将每个本地IP转换为一个公有IP，意味着路由器中NAT映射表记录N个全球IP，则对应的子网最多只能有N台主机，这不符预期。

1. 由于绝大多数的网络应用都是使用运输层协议TCP或UDP来传送数据，因此可以利用运输层的端口号和IP地址一起进行转换。
   1. 这样用一个全球P地址就可以使多个拥有本地地址的主机同时和因特网上的主机进行通信。这种将端口号和P地址一起进行转换的技术叫作网络地址与端口号转换NAPT (Network Address and Port Translation)。
2. 收到来自外网的IP数据报后，在NAPT转换表中找不到相应的记录！
3. 对于一些P2P网络应用，需要外网主机主动与内网主机进行通信，在通过NAT时会遇到问题，需要网络应用自己使用一些特殊的NAT穿越技术来解决问题。
4. 由于NAT对外网屏蔽了内网主机的网络地址，能为内网的主机提供一定的安全保护。