時間:2019/11/06
虛擬專用網
1.存在意義
(1)由於IP地址的緊缺,一個機構能夠申請到的IP地址數往往小於本機構所擁有的主機數.
(2)互聯網並不很安全,一個機構內也並不需要把所有的主機接入到外部的互聯網,在很多情況下,很多主機還要和本機構內的其他主機進行通信.
2.專用地址
爲了解決上述的問題,ip地址中本身就劃分出了一些專用地址.這些地址只能用於一個機構的內部通信,而不能用於和互聯網上的主機通信.也就是說,專用地址只能作爲本地地址而不能作爲全球地址.在互聯網的所有路由器 ,對目的地址是專用地址的數據報一律不進行轉發.下面是三個專用地址塊:
(1)10.0.0.0到10.255.255.255
(2)172.16.0.0到172.31.255.255
(3)192.168.0.0到192.168.255.255
3.用隧道技術實現虛擬專用網
現在讓我們想象這樣一個場景,一個學校有兩個校區,這兩個校區之間的主機想要實現機構內的通信,如果要在兩個校區之間專門拉一條線來傳輸消息是十分昂貴的.但是如果我們可以通過互聯網來傳輸消息就會省去上面的開支,但我們並不能讓兩個校區的每個網絡都擁有一個公網ip,因爲一個機構能夠申請到的公網ip十分有限,所以我們就通過兩個路由器R1和R2來使校區內的所有主機與互聯網連接,這樣只要給兩個邊界路由器分配兩個公網ip即可了,內部的主機使用的ip地址都是不重複的專用地址.
現在假設部門A的一個主機想要發送一個數據報給部門B的一個主機,則部門A的該主機需要先把數據報發送到R1,此時數據報的目的地址和源地址都是專用地址,當R1接收到該數據報時,在該ip數據報的基礎上在加上一個目的地址(R2的公網ip),一個源地址(R1的公網ip),相當於把原來的ip數據報封裝到現在ip數據報的數據部分.這樣的話該ip數據報就可以在互聯網上傳遞了.當R2接收到R1傳來的數據報時,只需要去掉最外層的ip數據報的首部,然後在數據部分中就可以提取到最開始的ip目的地址和源地址(專用ip地址)了.
通過這種隧道技術就可以完美解決ip地址缺乏和互聯網不是很安全的問題了.
上述描述可以參考下圖來理解:
