《网络实用技术基础》第三章 3.5 VPN

3.5 VPN

一、专用地址

专用地址只能用作本地地址，而不能用作全球地址。

专用地址具体包括：

1.10.0.0.0到10.255.255.255 ，或记为10/8。

2.172.16.0.0到172.31.255.255 ，或记为172.16/12。

3.192.168.0.0到192.168.255.255 ，或记为192.168/16。

这三个地址块分别相当于1个A类网络、16个连续的B类网络和256个连续的C类网络。由专用IP地址构建起来的互联网，称为专用互联网或本地互联网，也称为专用网。

二、虚拟专用网

如果分布在不同区域的两个专用网之间需要经常通信，那么可通过下面这两种方法来解决该问题。

第一种是向电信公司租用一条专用线路，这种方法方便实现，但是租金开销太大。

第二种方法是利用公用的因特网作为公司各专用网之间通信的载体，这样的专用网又称为虚拟专用网（VPN，Virtual Private Network）。

如果要保证在不同网点之间通信的数据是安全的，那么所有通过因特网传输的数据都必须加密。要构建VPN，就必须为它的每一个专用网点配置相关的软件和硬件，使每一个网点的VPN系统知晓其他网点的地址。

如图3-29所示，假设某公司跨地域的两个分部分别建立了专用网A和专用网B。由于分部A与分部B之间的距离较远，所以需要通过因特网进行跨域通信，可运用VPN技术实现端到端的安全访问，其网络地址分别是专用地址192.168.1.0和192.168.2.0。构成公司VPN的两个分部的专用网点A与B中，均至少有一个路由器具有公网IP地址。路由器R1和R2与因特网的接口地址是公网IP地址，而与专用内部网络A与B的接口地址是本地地址。

图3-29隧道技术示例

分部A或分部B各自内部主机之间的通信不经过因特网，也不须经过VPN进行通信。若分部A中的PC1要同分部B的PC2进行通信，则须经过路由器R1、R2和因特网。此时，PC1会向PC2发送一个源地址为192.168.1.1、目的地址为192.168.2.1的IP数据报，须通过路由器R1转发。在R1查看该数据报后，发现其目的地址为分部B的PC2，则R1先将整个数据报加密，然后加上新的数据报首部，经因特网进行传输。此处首部的源地址是R1的公网地址128.63.26.16，目的地址是R2的公网地址66.36.25.11。当R2接收到该数据报后，先进行拆封装，然后根据原来数据报的目的地址192.168.2.1，交付给PC2。通过这种方式，PC1向PC2发送的数据报需要通过公共的因特网进行传输，但其效果与在本部门内部的专用网上传送一样。PC2向PC1发送数据的过程与此类似。

虽然数据报从R1到R2要经过因特网上的多个网络或路由器，但是从逻辑上看，R1与R2之间像是一条点对点的链路，这也是图3-29中的“隧道”的含义。

如图3-30所示，若分部A和分部B同属于一个机构，则由A与B构成的虚拟专用网VPN又称为内联网；否则，这样的VPN就称为外联网。这里，内联网和外联网均通过因特网建立，都是基于TCP/IP协议的。

图3-30虚拟专用网示例

有些公司或部门虽然并无分支机构，但是经常有雇员出差在外。这些雇员需要同公司保持网络联系，例如上传和下载资料、开视频会议等，并且要保证数据在传输中的保密性，远程接入VPN就可以解决这类问题。在外地工作的雇员在接入因特网后，打开PC机中的VPN软件，可以建立雇员的PC机与公司内部网之间的VPN隧道，以实现远程安全访问公司内网。