计算机网络:(十)虚拟专用网 VPN 和网络地址转换 NAT
计算机网络:(十)虚拟专用网 VPN 和网络地址转换 NAT
- 前言
- 一、虚拟专用网 VPN
- 1. 基础概念与作用
- 2. 工作原理
- 3. 常见类型
- 4. 协议对比
- 二、NAT:网络地址转换
- 1. 基础概念与作用
- 2. 工作原理与类型
- 3. 优缺点与问题
- 4. 进阶类型
- 三、VPN 与 NAT 的对比与结合
- 1. 核心区别
- 2. 结合场景
前言
-
前面我们讲解了计算机网络中网络层的相关知识,包括网络层转发分组的过程、网际控制报文协议(ICMP),以及网络层的重要概念和网际协议(IP),互联网的路由选择协议、IPV6与IP多播。
-
接下来,我们继续讲解计算机网络中网络层的其他知识。
我的个人主页,欢迎来阅读我的其他文章
https://blog.csdn.net/2402_83322742?spm=1011.2415.3001.5343
我的计算机网络专栏,欢迎来阅读
https://blog.csdn.net/2402_83322742/category_12909527.html
一、虚拟专用网 VPN
1. 基础概念与作用
VPN 是一种通过公共网络(如互联网)建立安全私有连接的技术。
- 想象一下,你在公共道路上开了一条 加密隧道,只有授权车辆(数据)能进入,且隧道内的内容被加密保护。例如,远程员工通过 VPN 连接公司内网,就像直接坐在办公室的电脑前一样。
核心功能:
- 加密通信:防止数据被窃取或篡改。
- 身份验证:确保只有合法用户能接入。
- 隐藏真实地址:让外部网络无法直接访问内部设备。
2. 工作原理
VPN 的核心是 隧道技术 和 加密协议:
- 隧道技术:将原始数据(如私有网络的数据包)封装在新的数据包中传输。
-
例如,GRE 协议可以封装多种协议(如 IPv6),而 IPsec 协议进一步加密隧道内容。
- 加密协议:
- IPSec:网络层加密,分为 ESP(加密数据) 和 AH(验证数据完整性),常用于站点到站点 VPN。
- SSL/TLS:应用层加密,通过浏览器即可访问(如 SSL VPN),无需安装客户端。
3. 常见类型
- 站点到站点 VPN:连接两个企业局域网(如总部与分支机构),使用 IPsec 协议构建固定隧道。
- 远程访问 VPN:允许个人设备(如手机、笔记本)通过互联网接入公司内网,常用 L2TP/IPsec 或 SSL VPN。
4. 协议对比
| 协议 | 层次 | 特点与应用场景 |
|---|---|---|
| IPSec | 网络层 | 安全且灵活,支持站点到站点和远程访问。 |
| SSL VPN | 应用层 | 浏览器直接访问,适合移动办公。 |
| GRE | 网络层 | 封装多协议,但需结合 IPsec 加密。 |
| L2TP | 数据链路层 | 需与 IPsec 结合使用,常见于 Windows 系统。 |
二、NAT:网络地址转换
1. 基础概念与作用
NAT 是一种解决 IPv4 地址短缺的技术,它将私有 IP 地址(如 192.168.1.1)转换为公有 IP 地址(如 202.100.1.1)。例如,家里的路由器通过 NAT 让多台设备共享一个公网 IP 上网。
核心功能:
- 节省公网 IP:多个私有地址共享一个公网地址。
- 隐藏内部网络:外部网络无法直接访问私有 IP 设备,提升安全性。
2. 工作原理与类型
当内部设备访问外网时,NAT 路由器会修改数据包的 源 IP 地址,并记录转换关系。返回时再反向转换。根据转换方式,NAT 分为三类:
- 静态 NAT:一对一固定映射,常用于服务器(如将 192.168.1.100 固定映射到 202.100.1.100)。
- 动态 NAT:多对多动态分配,从公网地址池中随机选择一个地址转换。
- PAT(端口地址转换):多对一,通过端口号区分不同设备。
-
例如,三台设备(192.168.1.1:80, 192.168.1.2:80, 192.168.1.3:80)共享公网 IP 202.100.1.1,分别转换为 202.100.1.1:10000、202.100.1.1:10001、202.100.1.1:10002。
3. 优缺点与问题
- 优点:节省 IP、增强安全性。
- 缺点:
- 某些协议(如 FTP、VoIP)因数据中包含 IP 地址,NAT 仅修改包头会导致通信失败,需 ALG(应用层网关) 处理数据内容。
- 可能引发 P2P 应用(如 BitTorrent)连接困难。
4. 进阶类型
- 两次 NAT:对数据包的源和目的 IP 都进行转换,常用于地址重叠的 VPN 互访。
- 双向 NAT:同时转换源和目的地址,支持内网用户主动访问地址重叠的外网资源。
- NAT hairpin:允许内网设备通过公网 IP 访问内网服务器(如访问家庭路由器的公网 IP 进入管理界面)。
三、VPN 与 NAT 的对比与结合
1. 核心区别
| 维度 | VPN | NAT |
|---|---|---|
| 目标 | 安全通信 | 地址转换与复用 |
| 技术 | 加密、隧道、身份验证 | 地址映射、端口转换 |
| 可见性 | 对用户透明 | 对设备透明 |
2. 结合场景
- VPN 穿越 NAT:
- 问题:NAT 会修改 VPN 数据包的 IP 头,导致加密验证失败。
- 解决方案:
- NAT-T(NAT 穿越):用 UDP 封装 VPN 流量,绕过 NAT 对 IP 头的修改。
- 使用支持 NAT 的 VPN 协议(如 SSL VPN)。
- NAT 在 VPN 中的应用:
- 两次 NAT 可解决 VPN 两端地址重叠问题(如两个分支机构都使用 192.168.1.0/24 网段)。
以上就是本篇博客的全部内容,下一篇我们继续探讨计算机网络里面的知识。
我的个人主页,欢迎来阅读我的其他文章
https://blog.csdn.net/2402_83322742?spm=1011.2415.3001.5343
我的计算机网络专栏,欢迎来阅读
https://blog.csdn.net/2402_83322742/category_12909527.html
| 如果您觉得内容对您有帮助,欢迎点赞收藏,您的支持是我创作的最大动力! |
