1.网络层：虚拟专用网VPN和网络地址转换NAT

笔记来源：
湖科大教书匠：虚拟专用网VPN和网络地址转换NAT

声明：该学习笔记来自湖科大教书匠，笔记仅做学习参考

1.1 虚拟专用网VPN

专用网和公用网的特点

专用网络，又称为私有网络，通常仅供特定的组织或个人使用，其访问权限通常由组织内部进行控制。
公用网络，如互联网，为所有人开放，只要有网络接入设备，几乎任何人都可以连接。

虚拟专用网

虚拟专用网指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。–摘自：虚拟专用网

虚拟专用网解决了这些问题：

（1）使用VPN可降低成本
通过公用网来建立VPN，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。.
（2）传输数据安全可靠
虚拟专用网产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性。
（3）连接方便灵活
用户如果想与合作伙伴联网，如果没有虚拟专用网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网之后，只需双方配置安全连接信息即可
（4）完全控制
虚拟专用网使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。–摘自：虚拟专用网

某机构的两个局域网：部门A和部门B
方法一：让两个网络通信可以租用电信公司的通信线路

方法二：在公用网上建立专用网络（VPN）

如何给这个机构的两个局域网中各个主机分配IP地址？
因IPv4地址紧缺，一个机构能申请到的IPv4地址 << 本机构所拥有的主机数
VPN中各主机所分配的地址应该是本机构可自由分配的专用地址，而不是无法自由分配的、需要申请的公有地址（因特网中指定分配的）

IANA官网：可查看IPv4地址中特殊地址的分配方案
下图中这三个为无需分配的专用/私有地址

专用/私有地址只能用于一个机构的内部通信，不能用于和因特网（公用网）上的主机通信，即私有地址只能用作本地地址，不能用作全球地址

专用网IP数据报传送流程

VPN也被称为IP隧道技术
VPN的三种类型：
同一机构不同部门的内部网络所构成的虚拟专用网VPN又称为内联网VPN
一个机构的VPN需要某些外部机构参加进行，这样的VPN称为外联网VPN
外地员工访问公司内网，可使用VPN软件与公司内主机建立VPN隧道，这种VPN称为远程接入VPN

1.2 网络地址转换NAT

NAT能使大量使用内部专用地址的专用网络用户共享少量外部全球地址来访问因特网上的主机和资源。

一个专用地址 <- NAT -> 一个公有地址

IP数据报先发送到NAT路由器，由该路由器将一个公有地址与该内网中主机的私有地址进行映射或者说绑定，IP数据报通过该路由器访问公用网上的其他主机

由内网向外网发送IP数据报时，源地址需要进行NAT映射，目的地址不变

由外网向内网发送IP数据报时，目的地址需要进行NAT映射，源地址不变

若专用网中两台主机均向因特网中的主机发送过IP数据报，则NAT路由器中NAT映射表会有两条记录

该转换方法有一个问题：
如果NAT路由器具有n个全球IP地址，那么至多只有n个内网主机能够同时和因特网上的主机通信，提出一种新的转换技术NAPT

由于绝大多数的网络应用都是使用运输层协议TCP或UDP来传送数据，因此可以利用运输层的端口号和IP地址一起进行转换。
这样，用一个全球IP地址就可以使多个拥有本地地址的主机同时和因特网上的主机进行通信。这种将端口号和IP地址一起进行转换的技术叫作网络地址与端口号转换NAPT

多个专用地址 <- NAPT -> 一个公有地址

外网无法首先向内网发起通信，因为NAT对外网屏蔽内网主机的网络地址，这为内网主机提供了一定的安全保护
如果外网想要首先向内网发起通信，则需要一些特殊的NAT穿越技术解决