网络层——虚拟专用网络
禁止码迷,布布扣,豌豆代理,码农教程,爱码网等第三方爬虫网站爬取!
私有地址
在了解 IPv4 协议之后,我们来考虑一些实际应用的问题。首先我们知道由于 IP 地址长度的限制,导致了 IP 地址随着应用的推广而日益紧缺,因此一个机构为其所有的主机都申请 IP 地址是件爱莫能助的事情。接着若机构中每个主机都具有自己的 IP 地址,也就说明了外界的主机都可以通过 IP 地址访问机构内的主机,只要能够进行通信就会产生安全隐患,因此考虑到互联网并不很安全,一个机构会倾向于保持自己的神秘感,不希望把所有的主机接入到外部的互联网。
因此如果在一个机构内部的计算机通信也是采用 TCP/IP 协议,那么从原则上讲,对于这些仅在机构内部使用的计算机就可以由本机构自行分配其 IP 地址。如果让某一个机构在其机构内部使用专属的 IP 地址,确实可以减少对全球 IP 地址的占用,但是若碰巧某 2 个机构中的某 2 台主机使用了相同的 IP 地址,即使这些地址都是机构自行分配的,也仍然会出现二义性问题。(路由器:有 2 个相同的 IP 地址,你说我该往哪发合适(O_O)?)
基于上述的所有考虑,最终提出了一种合适的解决方案——私有地址。所谓私有地址就是只能用作本地地址,而不能用作全球地址的 IP 地址,仅供机构内部自行使用。对于互联网中的所有路由器而言,若收到了目的地址是私有地址的数据报,将一律不进行转发直接丢包。因为这些专用地址仅在本机构内部使用。专用IP地址也叫做可重用地址 (reusable address),私有地址范围如下:
地址类型 | 地址范围 |
---|---|
A 类 | 127.0.0.0 ~ 127.255.255.255 |
B 类 | 172.16.0.0 ~ 172.31.255.255 |
C 类 | 192.168.0.0 ~ 192.168.255.255 |
专用网络
采用私有 IP 地址的互连网络称为专用互联网或本地互联网,或专用网,在互联网的地址架构中,专用网络遵守 RFC 1918 和 RFC 4193 规范。私有 IP 无法直接连接互联网,需要公网 IP 转发,与公网IP相比,私有IP是免费的,也节省了 IP 地址资源,适合在局域网使用。专用网络是两个机构间的专线连接,这种连接是两个企业的内部网之间的物理连接。专线是两点之间永久的专用电话线连接,和一般的拨号连接不同,专线是一直连通的。
这种连接的最大优点就是安全,除了这两个合法连入专用网络的企业,其他任何人和企业都不能进入该网络,所以专用网络保证了信息流的安全性和完整性。但是这种做法的缺陷和非常明显,专用网络的通信需要租用电信公司的通信线路为本机构使用,因为专线非常昂贵,索引租用专用的线路成本太高,当需要通信的专用网络数量增多时开销是巨大的。
虚拟专用网络
为了解决专用网络成本昂贵的问题,后来就提出了虚拟专用网络技术,虚拟专用网络技术的功能是在公用网络上建立专用网络,在各个专用网络之间进行加密通讯。虚拟专用网络技术属于远程访问技术,可以允许外网主机访问内网,例如因为疫情没有开学的大学生,他想访问学校的图书馆资源,虚拟专用网络技术就支持这类远程访问。虚拟专用网络技术在企业网络中有广泛应用,可通过服务器、硬件、软件等多种方式实现。因为是使用公用网络进行数据通信,这就给机构机密数据带来了安全隐患,因此所有通过互联网传输的数据都需要进行加密。所谓“虚拟”表示该技术可以在效果上实现专用网络,但是在实际中并不需要使用通信专线。
机构内部网络所构成的虚拟专用网虚拟专用网络又称为内联网,表示各部门都是在同一个机构的内部,一个机构和某些外部机构共同建立的虚拟专用网络称为外联网。虚拟专用网络技术可以让大学生无论是在家上网课还是在学校学习,只要能上互联网就能利用 访问内网资源,这就是虚拟专用网络在机构中中应用得如此广泛的原因。满足外部流动员工访问公司网络的需求的虚拟专用网络,也被称为远程接入虚拟专用网络。
隧道技术
让外网主机访问到内网资源,利用虚拟专用网络的解决方法就是在内网中架设一台虚拟专用网络服务器。外地员工在当地连上互联网后,通过互联网连接虚拟专用网络服务器,虚拟专用网络网关通过对数据包的加密和数据包目标地址的转换,通过虚拟专用网络服务器进入企业内网。为了保证数据安全,虚拟专用网络服务器和客户机之间的通讯数据都进行了加密处理,数据加密后就可以认为数据是在一条专用的数据链路上进行安全传输,其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。
所谓隧道技术就是在 2 个路由器之间,当其中一个路由器收到内部数据报时,发现其目的网络必须通过互联网才能到达,就将整个内部数据报进行加密,然后加上数据报首部封装为一个新数据报。这个新数据报将继续在互联网中传输,它的目的地址是虚拟专用网络服务器,当虚拟专用网络设备接收到数据报时就去掉数据报的首部,核对数字签名无误后,对数据报解密。
理解隧道技术的关键在于理解数据报需要封装 2 个目的 IP 地址,第一个 IP 地址负责将数据报送到虚拟专用网络服务器上,然后服务器解密数据报得到数据报中的第二个 IP 地址。接下来数据报把第一个 IP 地址去掉,也就是把首部去掉得到内嵌的数据报,然后把该数据报送到对应的主机去。主机也可以使用数据报中的源地址,把数据报发回给源主机。
参考资料
《计算机网络(第七版)》 谢希仁 著,电子工业出版社
专用网络_百度百科
虚拟专用网络_百度百科