第6章专用网络连接课件

专用网络专用网络内部网络与互联网单层互联网结构Internet网点1网点2内部网络与互联网单层互联网结构Internet网点1网点2内部网络与互联网两层结构：内部网络和外部网络目标：保证内部网络上传输的数据报的机密性，同时又允许外部的通信。内部网络与互联网两层结构：内部网络和外部网络内部网络与互联网Internet网点1网点2外部网络内部网络内部网络与互联网Internet网点1网点2外部网络内部网络专用网络专用网络（privatenetwork）一个物理上完全隔离的专用互联网采用TCP/IP互联网络技术不与Internet连接所有数据传输都是保密的可以按照内部的规则来分配内部IP地址专用网络专用网络（privatenetwork）专用网络Internet网点1网点2专用网络租用线路专用网络Internet网点1网点2专用网络租用线路混合网络混合网络混合网络同时具备Internet连接和专用网络连接访问Internet内部数据传输保密性混合网络同时具备Internet连接和专用网络连接混合网络Internet网点1网点2租用线路混合网络Internet网点1网点2租用线路VPN概述VPN概述降低网络成本构建专用网络和混合网络需要很高的成本租用成本更低的帧中继或ATMPVC，替代同等容量的T1的线路；通过Internet传输数据，放弃租用线路，从而将线路费用降到最低。安全性与网络成本的矛盾降低网络成本构建专用网络和混合网络需要很高的成本虚拟专用网络VPNVPN中任何一对计算机之间的通信对于外来者保密。提供了与专用网络相似的保密性。不需要租用专门的线路。通过Internet在网点间传递通信量。隧道传输和加密技术

虚拟专用网络VPNVPN中任何一对计算机之间的通信对于外来VPN工作原理Internet网点1网点2VPN工作原理Internet网点1网点2VPN工作原理Internet网点1网点2VPN工作原理Internet网点1网点2VPN工作原理Internet网点1网点2VPN工作原理Internet网点1网点2VPN工作原理Internet网点1网点2已加密VPN工作原理Internet网点1网点2已加密VPN工作原理Internet网点1网点2VPN工作原理Internet网点1网点2VPN工作原理Internet网点1网点2解密VPN工作原理Internet网点1网点2解密VPN工作原理Internet网点1网点2VPN工作原理Internet网点1网点2VPN编址与路由VPN编址与路由VPN编址与路由128.10.1.0128.10.2.0195.5.48.0128.210.0.0网点1网点2R1R2R3R4128.10.1.0128.10.2.0192.5.48.0128.210.0.0默认路径目的站下一跳直接交付R2到R3的隧道到R3的隧道ISP的路由器InternetR1的路由表VPN编址与路由128.10.1.0128.10.2.019VPN路由目的主机与源主机在同一个网点：某个路由器或直接交付；目的主机与源主机分别在不同的网点：VPN隧道另一端的路由器；目的主机为机构之外的Internet上的某个主机：某个Internet的路由器，通常是ISP的路由器。VPN路由目的主机与源主机在同一个网点：某个路由器或直接交付VPN专用地址VPN专用地址VPN内部IP地址10.1.0.010.2.0.0网点1网点2R1R2Internet全局IP地址全局IP地址内部IP地址内部IP地址VPN内部IP地址10.1.0.010.2.0.0网点1网应用网关内部主机采用内部IP地址内部主机可以访问Internet网关主机：同时拥有内外部IP地址运行针对特定应用的程序应用网关内部主机采用内部IP地址应用网关示例Internet内部主机应用网关外部主机应用网关示例Internet内部主机应用网关外部主机NATNATNAT网络地址转换NAT（NetworkAddressTranslation）解决在网点主机不需要配置全局IP地址的情况下，网点上的主机和Internet之间提供IP层访问的普适性问题。NAT网络地址转换NAT（NetworkAddressNAT盒工作原理Internet内部主机NAT外部主机ENAT盒工作原理Internet内部主机NAT外部主机ENAT盒工作原理对传入数据报和外发的数据报中的地址进行转换用G替换每个外发数据报中的源地址用正确主机的专用地址替换每个传入数据报的目的地址从外部主机的角度看，所有数据报均来自NAT盒，所有响应也返回到NAT盒从内部主机的角度看，NAT盒看上去是个可到达Internet的路由器NAT盒工作原理对传入数据报和外发的数据报中的地址进行转换NAT盒工作原理Internet内部主机NAT外部主机GIE数据EI数据IE数据EG数据GENAT盒工作原理Internet内部主机NAT外部主机GIENAT转换表NAT转换表NAT转换表

NAT中维护转换表条目包括：Internet上主机的IP地址和网点上主机的内部IP地址。查找转换表替换相应地址NAT转换表NAT中维护转换表NAT转换表初始化手工初始化。在进行任何通信前，有管理员手工配置NAT转换表；外发数据报。当数据报经过NAT盒发送至Internet时，NAT盒从内部主机接收到数据报，并根据内部主机的IP地址和目的主机的IP地址建立一个表项。传入域名查找。当Internet上的主机通过查找内部主机的域名来找到其IP地址时，域名软件在NAT转换表中建立一个表项，然后通过发送地址G作为答复。NAT转换表初始化手工初始化。在进行任何通信前，有管理员手工各种初始化方法的比较手工初始化提供了永久的映射，并允许IP数据报在任何时候以任何方向发送；外发数据报方式能够自动初始化转换表，但是不允许从外部发起的通信；传入域名查找方式允许网点外部发起的通信，但是需要修改域名软件，而且必须要通过域名解析时才有效。各种初始化方法的比较手工初始化提供了永久的映射，并允许IP数外发数据报方式Internet拨号接入主机ISP的NAT外发数据报方式Internet拨号接入ISP的多地址NAT多个内部主机同时访问InternetNAT拥有多个全局IP地址拨号接入主机InternetISP的NAT多地址NAT多个内部主机同时访问Internet拨号接入In端口映射NAT端口映射NAT网络地址端口转换NAPT目前广泛采用的NAT技术网络地址端口转换NAPT（NetworkAddressPortTranslation）通过TCP和UDP协议端口号以及IP地址来提供地址转换的映射单一全局IP地址为多台内部主机同时访问外部主机提供支持。网络地址端口转换NAPT目前广泛采用的NAT技术NAPT转换表示例转换前（10.0.0.5,13023,128.10.19.20,80）转换后（G,14003,128.10.19.20,80）专用地址10.0.0.510.0.0.110.0.2.610.0.0.3专用端口13023386266001274扩展地址128.10.19.20128.10.19.20207.200.75.200128.210.1.5扩展端口80802180NAT端口14003140101401214007协议使用TCPTCPTCPTCPNAPT转换表示例转换前（10.0.0.5,13023,NAPT的特点采用单一的全局IP地址实现了多台内部主机同时的外部访问；保证了访问的普适性；局限性在于必须采用UDP或TCP协议用于端口映射。NAPT的特点采用单一的全局IP地址实现了多台内部主机同时的NAT与ICMP交互NAT与ICMP交互NAT与ICMP交互ICMP协议：网络控制信息、状态信息的传输以及网络测量等功能ICMP与发送数据的源主机密切相关NAT必须维持内部主机的透明性NAT必须对ICMP进行特殊的处理：本地处理或直接转发NAT与ICMP交互ICMP协议：网络控制信息、状态信息的传直接转发示例-pingInternet内部主机NATPing直接转发示例-pingInternet内部主机NATPing直接转发示例-pingInternet内部主机NAT内部主机PING请求直接转发示例-pingInternet内部主机NAT内部主机直接转发示例-pingInternet内部主机NAT内部主机PING请求直接转发示例-pingInternet内部主机NAT内部主机直接转发示例-pingInternet内部主机NAT内部主机PING请求直接转发示例-pingInternet内部主机NAT内部主机直接转发示例-pingInternet内部主机NAT内部主机PING请求直接转发示例-pingInternet内部主机NAT内部主机直接转发示例-pingInternet内部主机NAT外部主机PING响应直接转发示例-pingInternet内部主机NAT外部主机直接转发示例-pingInternet内部主机NAT外部主机PING响应直接转发示例-pingInternet内部主机NAT外部主机直接转发示例-pingInternet内部主机NAT外部主机PING响应直接转发示例-pingInternet内部主机NAT外部主机直接转发示例-pingInternet内部主机NAT外部主机PING响应直接转发示例-pingInternet内部主机NAT外部主机NAT转换ICMP报文示例Internet源主机NAT路由