计算机网络:(十)虚拟专用网 VPN 和网络地址转换 NAT

发布于:2025-07-20 ⋅ 阅读:(18) ⋅ 点赞:(0)

计算机网络:(十)虚拟专用网 VPN 和网络地址转换 NAT

前言

  • 前面我们讲解了计算机网络中网络层的相关知识,包括网络层转发分组的过程、网际控制报文协议(ICMP),以及网络层的重要概念和网际协议(IP),互联网的路由选择协议、IPV6与IP多播

  • 接下来,我们继续讲解计算机网络中网络层的其他知识

我的个人主页,欢迎来阅读我的其他文章
https://blog.csdn.net/2402_83322742?spm=1011.2415.3001.5343
我的计算机网络专栏,欢迎来阅读
https://blog.csdn.net/2402_83322742/category_12909527.html

一、虚拟专用网 VPN

1. 基础概念与作用

VPN 是一种通过公共网络(如互联网)建立安全私有连接的技术

  • 想象一下,你在公共道路上开了一条 加密隧道,只有授权车辆(数据)能进入,且隧道内的内容被加密保护。例如,远程员工通过 VPN 连接公司内网,就像直接坐在办公室的电脑前一样。

核心功能

  • 加密通信:防止数据被窃取或篡改。
  • 身份验证:确保只有合法用户能接入。
  • 隐藏真实地址:让外部网络无法直接访问内部设备。

2. 工作原理

VPN 的核心是 隧道技术加密协议

  • 隧道技术:将原始数据(如私有网络的数据包)封装在新的数据包中传输。

  • 例如,GRE 协议可以封装多种协议(如 IPv6),而 IPsec 协议进一步加密隧道内容。

  • 加密协议
    • IPSec:网络层加密,分为 ESP(加密数据)AH(验证数据完整性),常用于站点到站点 VPN。
    • SSL/TLS:应用层加密,通过浏览器即可访问(如 SSL VPN),无需安装客户端。

3. 常见类型

  • 站点到站点 VPN:连接两个企业局域网(如总部与分支机构),使用 IPsec 协议构建固定隧道。
  • 远程访问 VPN:允许个人设备(如手机、笔记本)通过互联网接入公司内网,常用 L2TP/IPsec 或 SSL VPN。

4. 协议对比

协议 层次 特点与应用场景
IPSec 网络层 安全且灵活,支持站点到站点和远程访问。
SSL VPN 应用层 浏览器直接访问,适合移动办公。
GRE 网络层 封装多协议,但需结合 IPsec 加密。
L2TP 数据链路层 需与 IPsec 结合使用,常见于 Windows 系统。

二、NAT:网络地址转换

1. 基础概念与作用

NAT 是一种解决 IPv4 地址短缺的技术,它将私有 IP 地址(如 192.168.1.1)转换为公有 IP 地址(如 202.100.1.1)。例如,家里的路由器通过 NAT 让多台设备共享一个公网 IP 上网。

核心功能

  • 节省公网 IP:多个私有地址共享一个公网地址。
  • 隐藏内部网络:外部网络无法直接访问私有 IP 设备,提升安全性。

2. 工作原理与类型

当内部设备访问外网时,NAT 路由器会修改数据包的 源 IP 地址,并记录转换关系。返回时再反向转换。根据转换方式,NAT 分为三类:

  • 静态 NAT:一对一固定映射,常用于服务器(如将 192.168.1.100 固定映射到 202.100.1.100)。
  • 动态 NAT:多对多动态分配,从公网地址池中随机选择一个地址转换。
  • PAT(端口地址转换):多对一,通过端口号区分不同设备。

  • 例如,三台设备(192.168.1.1:80, 192.168.1.2:80, 192.168.1.3:80)共享公网 IP 202.100.1.1,分别转换为 202.100.1.1:10000、202.100.1.1:10001、202.100.1.1:10002。

3. 优缺点与问题

  • 优点:节省 IP、增强安全性。
  • 缺点
    • 某些协议(如 FTP、VoIP)因数据中包含 IP 地址,NAT 仅修改包头会导致通信失败,需 ALG(应用层网关) 处理数据内容。
    • 可能引发 P2P 应用(如 BitTorrent)连接困难。

4. 进阶类型

  • 两次 NAT:对数据包的源和目的 IP 都进行转换,常用于地址重叠的 VPN 互访。
  • 双向 NAT:同时转换源和目的地址,支持内网用户主动访问地址重叠的外网资源。
  • NAT hairpin:允许内网设备通过公网 IP 访问内网服务器(如访问家庭路由器的公网 IP 进入管理界面)。

三、VPN 与 NAT 的对比与结合

1. 核心区别

维度 VPN NAT
目标 安全通信 地址转换与复用
技术 加密、隧道、身份验证 地址映射、端口转换
可见性 对用户透明 对设备透明

2. 结合场景

  • VPN 穿越 NAT
    • 问题:NAT 会修改 VPN 数据包的 IP 头,导致加密验证失败。
    • 解决方案:
      • NAT-T(NAT 穿越):用 UDP 封装 VPN 流量,绕过 NAT 对 IP 头的修改。
      • 使用支持 NAT 的 VPN 协议(如 SSL VPN)。
  • NAT 在 VPN 中的应用
    • 两次 NAT 可解决 VPN 两端地址重叠问题(如两个分支机构都使用 192.168.1.0/24 网段)。

以上就是本篇博客的全部内容,下一篇我们继续探讨计算机网络里面的知识。

我的个人主页,欢迎来阅读我的其他文章
https://blog.csdn.net/2402_83322742?spm=1011.2415.3001.5343
我的计算机网络专栏,欢迎来阅读
https://blog.csdn.net/2402_83322742/category_12909527.html

如果您觉得内容对您有帮助,欢迎点赞收藏,您的支持是我创作的最大动力!

在这里插入图片描述

网站公告

今日签到

点亮在社区的每一天
去签到

热门文章

最新发布