(40)-第四章 網(wǎng)絡(luò)層-知識(shí)點(diǎn)9-VPN和NAT計(jì)算機(jī)網(wǎng)絡(luò)

重點(diǎn)：虛擬專用網(wǎng)VPN和網(wǎng)絡(luò)

地址轉(zhuǎn)換NAT的應(yīng)用作用；4.6.1虛擬專用網(wǎng)VPNIP地址在使用時(shí)有兩種特殊的分類：本地地址—僅在機(jī)構(gòu)內(nèi)部使用的IP地址，可以由本機(jī)構(gòu)自行分配，而不需要向因特網(wǎng)的管理機(jī)構(gòu)申請(qǐng)。全球地址—全球唯一的IP地址，必須向因特網(wǎng)的管理機(jī)構(gòu)申請(qǐng)。1、本地專用地址(privateaddress)常見的專用地址10.0.0.0到

10.255.255.255172.16.0.0到

172.31.255.255192.168.0.0到

192.168.255.255這些地址只能用于一個(gè)機(jī)構(gòu)的內(nèi)部通信，而不能用于和因特網(wǎng)上的主機(jī)通信。專用地址只能用作本地地址而不能用作全球地址。因特網(wǎng)中的所有路由器對(duì)目的地址是專用地址的數(shù)據(jù)報(bào)不進(jìn)行轉(zhuǎn)發(fā)。2、用隧道技術(shù)實(shí)現(xiàn)虛擬專用網(wǎng)X10.1.0.1部門A因特網(wǎng)部門BR1R2隧道125.1.2.3194.4.5.6Y10.2.0.3使用隧道技術(shù)本地地址本地地址全球地址網(wǎng)絡(luò)地址=10.1.0.0（本地地址）網(wǎng)絡(luò)地址=10.2.0.0（本地地址）2、用隧道技術(shù)實(shí)現(xiàn)虛擬專用網(wǎng)X10.1.0.1部門A因特網(wǎng)部門BR1R2隧道125.1.2.3194.4.5.6Y10.2.0.3使用隧道技術(shù)加密的從

X

到

Y

的內(nèi)部數(shù)據(jù)報(bào)外部數(shù)據(jù)報(bào)的數(shù)據(jù)部分源地址：125.1.2.3目的地址：194.4.5.6數(shù)據(jù)報(bào)首部部門A部門BXYR1R2125.1.2.3194.4.5.610.1.0.110.2.0.3虛擬專用網(wǎng)VPN3、內(nèi)聯(lián)網(wǎng)intranet和外聯(lián)網(wǎng)extranet

（都是基于TCP/IP協(xié)議）由部門A和B的內(nèi)部網(wǎng)絡(luò)所構(gòu)成的虛擬專用網(wǎng)VPN又稱為內(nèi)聯(lián)網(wǎng)(intranet)，表示部門A和B都是在同一個(gè)機(jī)構(gòu)的內(nèi)部。一個(gè)機(jī)構(gòu)和某些外部機(jī)構(gòu)共同建立的虛擬專用網(wǎng)VPN又稱為外聯(lián)網(wǎng)(extranet)。部門A部門BXYR1R2125.1.2.3194.4.5.610.1.0.110.2.0.3虛擬專用網(wǎng)VPN4、VPN的主要用途有的公司可能沒有分布在不同場所的部門，但有很多流動(dòng)員工在外地工作。公司需要和他們保持聯(lián)系，遠(yuǎn)程接入VPN可滿足這種需求。在外地工作的員工撥號(hào)接入因特網(wǎng)，而駐留在員工PC機(jī)中的VPN軟件可在員工的PC機(jī)和公司的主機(jī)之間建立VPN隧道，因而外地員工與公司通信的內(nèi)容是保密的，員工們感到好像就是使用公司內(nèi)部的本地網(wǎng)絡(luò)。4.6.2網(wǎng)絡(luò)地址轉(zhuǎn)換NAT

(NetworkAddressTranslation)網(wǎng)絡(luò)地址轉(zhuǎn)換NAT方法于1994年提出。需要在專用網(wǎng)連接到因特網(wǎng)的路由器上安裝NAT軟件。裝有NAT軟件的路由器叫做NAT路由器，它至少有一個(gè)有效的外部全球地址

IPG。所有使用本地地址的主機(jī)在和外界通信時(shí)都要在NAT路由器上將其本地地址轉(zhuǎn)換成IPG才能和因特網(wǎng)連接。1、NAT的基本方法如果NAT路由器具有N個(gè)全球IP地址，那么至多只能有N個(gè)內(nèi)網(wǎng)主機(jī)能夠同時(shí)和因特網(wǎng)上的主機(jī)進(jìn)行通信。為支持更多主機(jī)同時(shí)訪問外網(wǎng)，可利用報(bào)文中的其它字段來區(qū)別使用同一外部地址的多個(gè)內(nèi)部主機(jī)！如：協(xié)議字段、目的地址，甚至運(yùn)輸層的端口號(hào)！2、網(wǎng)絡(luò)地址與端口號(hào)轉(zhuǎn)換由于端口號(hào)字段有16比特，因此一個(gè)外部IP地址可支持60000多對(duì)內(nèi)部主機(jī)與外部主機(jī)的通信。4.6.3IP多播的基本概念共有90個(gè)主機(jī)接收視頻節(jié)目R1R3R4R2視頻服務(wù)器M………30個(gè)30個(gè)30個(gè)30個(gè)30個(gè)30個(gè)90個(gè)不使用多播時(shí)需要發(fā)送90次單播1、多播好處多播1個(gè)1個(gè)多播多播多播組成員共有

90個(gè)R1R3R4R2視頻服務(wù)器M………1個(gè)1個(gè)1個(gè)1個(gè)1個(gè)發(fā)送1次多播復(fù)制多播可明顯地減少網(wǎng)絡(luò)中資源的消耗2、IP多播的特點(diǎn)(1)多播使用組地址——IP使用D類地址(224～239開頭)支持多播。多播地址只能用于目的地址，而不能用于源地址。(2)永久組地址——由因特網(wǎng)號(hào)碼指派管理局IANA負(fù)責(zé)指派。(3)動(dòng)態(tài)的組成員(4)使用硬件進(jìn)行多播3、IP多播需要兩種協(xié)議為了使路由器知道多播組成員的信息，需要利用網(wǎng)際組管理協(xié)議IGMP(InternetGroupManagementProtocol)。連接在局域網(wǎng)上的多播路由器還必須和因特網(wǎng)上的其他多播路由器協(xié)同工作，以便把多播數(shù)據(jù)報(bào)用最小代價(jià)傳送給所有的組成員。這就需要使用多播路由選擇協(xié)議。4、網(wǎng)際組管理協(xié)議IGMP加入多播組。一臺(tái)主機(jī)要加入某個(gè)多播組時(shí)，向本網(wǎng)絡(luò)中的路由器發(fā)送一個(gè)包含要加入的多播組的地址IGMP成員報(bào)告報(bào)文。監(jiān)視成員變化。多播路由器會(huì)周期性地發(fā)送一個(gè)成員查詢報(bào)文，若長時(shí)間沒有收到某個(gè)多播組的成員報(bào)告則認(rèn)為沒有該組的成員。離開多播組。當(dāng)主機(jī)要退出一個(gè)多播組時(shí)，可主動(dòng)發(fā)送一個(gè)離開組報(bào)文而不必等待路由器的查詢。為了提高工作效率，IGMP報(bào)文本身使用IP多播進(jìn)行傳送！4.6.4下一代的網(wǎng)際協(xié)議IPv6IPv6所引進(jìn)的主要變化如下：更大的地址空間(16B)。簡化了首部格式。靈活的協(xié)議允許對(duì)網(wǎng)絡(luò)資源的預(yù)分配允許協(xié)議繼續(xù)演變和增加新的功能IPv6數(shù)據(jù)報(bào)在基本首部的后面允許有擴(kuò)展首部。1、IPv6的基本首部格式下面是IPv6基本首部中的各字段。（1）版本(version)（2）通信量類(trafficclass)（3）流標(biāo)號(hào)(flowlabel)（4）有效載荷長度(payloadlength)（5）下一個(gè)首部(nextheader)（6）跳數(shù)限制(hoplimit)（7）源地址（8）目的地址1、IPv6的基本首部格式IPv6數(shù)據(jù)報(bào)基本首部的格式（40字節(jié)長）128bit的地址空間；一般來講，一個(gè)IPv6數(shù)據(jù)報(bào)的目的地址可以是以下三種基本類型地址之一；單播(unicast)多播(multicast)任播(anycast)2、IPv6的地址空間3、IPv6地址舉例IPv6地址類似X1:X2:X3:X4:X5:X6:X7:X8的格式;是128位（16B）的，用“:”分成8段，用十六進(jìn)制表示；一個(gè)完整的IPv6地址的表示xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx例如：

2001:0000:1F1F:0000:0000:0100:11A0:ADDF為了簡化其表示法，每段中前面的0可以省略，連續(xù)的0可省略為"::"，但只能出現(xiàn)一次。例如：1080:0:0:0:8:800:200C:417A可簡寫為1080::8:800:200C:417AFF01:0:0:0:0:0:0:101可簡寫為FF01::1010:0:0:0:0:0:0:1可簡寫為::10:0:0:0:0:0:0:0可簡寫為::3、IPv6地址舉例IPv6將128bit地址空間分為兩大部分。第一部分是可變長度的類型前綴，它定義了地址的目的。剩下的是地址的其余部分。IPv6的地址類型前綴如下表所示[RFC2373]。4、地址空間的分配4、地址空間的分配4、地址空間的分配雙協(xié)議棧(dualstack)