第6章专用网络连接课件

,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,专用网络,内部网络与互联网,单层互联网结构,Internet,网点,1,网点,2,内部网络与互联网,两层结构：,内部网络,和,外部网络,目标,：保证内部网络上传输的数据报的机密性，同时又允许外部的通信。,内部网络与互联网,Internet,网点,1,网点,2,外部网络,内部网络,专用网络,专用网络（,private network,）,一个物理上完全隔离的专用互联网,采用,TCP/IP,互联网络技术,不与,Internet,连接,所有数据传输都是保密的,可以按照内部的规则来分配,内部,IP,地址,专用网络,Internet,网点,1,网点,2,专用网络,租用线路,混合网络,混合网络,同时具备,Internet,连接和专用网络连接,访问,Internet,内部数据传输保密性,混合网络,Internet,网点,1,网点,2,租用线路,VPN,概述,降低网络成本,构建专用网络和混合网络需要很高的成本,租用成本更低的帧中继或,ATM PVC,，替代同等容量的,T1,的线路；,通过,Internet,传输数据，放弃租用线路，从而将线路费用降到最低。,安全性与网络成本的矛盾,虚拟专用网络,VPN,VPN,中任何一对计算机之间的通信对于外来者保密。,提供了与专用网络相似的保密性。,不需要租用专门的线路。,通过,Internet,在网点间传递通信量。,隧道传输,和,加密技术,VPN,工作原理,Internet,网点,1,网点,2,VPN,工作原理,Internet,网点,1,网点,2,VPN,工作原理,Internet,网点,1,网点,2,VPN,工作原理,Internet,网点,1,网点,2,已加密,VPN,工作原理,Internet,网点,1,网点,2,VPN,工作原理,Internet,网点,1,网点,2,解密,VPN,工作原理,Internet,网点,1,网点,2,VPN,编址与路由,VPN,编址与路由,128.10.1.0,128.10.2.0,195.5.48.0,128.210.0.0,网点,1,网点,2,R1,R2,R3,R4,128.10.1.0,128.10.2.0,192.5.48.0,128.210.0.0,默认路径,目的站,下一跳,直接交付,R2,到,R3,的隧道,到,R3,的隧道,ISP,的路由器,Internet,R1,的路由表,VPN,路由,目的主机与源主机在同一个网点,：某个路由器或直接交付；,目的主机与源主机分别在不同的网点,：,VPN,隧道另一端的路由器；,目的主机为机构之外的,Internet,上的某个主机,：某个,Internet,的路由器，通常是,ISP,的路由器。,VPN,专用地址,VPN,内部,IP,地址,10.1.0.0,10.2.0.0,网点,1,网点,2,R1,R2,Internet,全局,IP,地址,全局,IP,地址,内部,IP,地址,内部,IP,地址,应用网关,内部主机采用内部,IP,地址,内部主机可以访问,Internet,网关主机,：同时拥有内外部,IP,地址,运行,针对特定应用,的程序,应用网关示例,Internet,内部主机,应用网关,外部主机,NAT,NAT,网络地址转换,NAT,（,Network Address Translation,）,解决在网点主机不需要配置全局,IP,地址的情况下，网点上的主机和,Internet,之间提供,IP,层访问的普适性问题。,NAT,盒工作原理,Internet,内部主机,NAT,外部主机,E,NAT,盒工作原理,对传入数据报和外发的数据报中的地址进行转换,用,G,替换每个外发数据报中的源地址,用正确主机的专用地址替换每个传入数据报的目的地址,从外部主机的角度看，所有数据报均来自,NAT,盒，所有响应也返回到,NAT,盒,从内部主机的角度看，,NAT,盒看上去是个可到达,Internet,的路由器,NAT,盒工作原理,Internet,内部主机,NAT,外部主机,G,I,E,数据,E,I,数据,I,E,数据,E,G,数据,G,E,NAT,转换表,NAT,转换表,NAT,中维护转换表,条目包括：,Internet,上主机的,IP,地址,和,网点上主机的内部,IP,地址,。,查找转换表,替换相应地址,NAT,转换表初始化,手工初始化,。在进行任何通信前，有管理员手工配置,NAT,转换表；,外发数据报,。当数据报经过,NAT,盒发送至,Internet,时，,NAT,盒从内部主机接收到数据报，并根据内部主机的,IP,地址和目的主机的,IP,地址建立一个表项。,传入域名查找,。当,Internet,上的主机通过查找内部主机的域名来找到其,IP,地址时，域名软件在,NAT,转换表中建立一个表项，然后通过发送地址,G,作为答复。,各种初始化方法的比较,手工初始化,提供了永久的映射，并允许,IP,数据报在任何时候以任何方向发送；,外发数据报,方式能够自动初始化转换表，但是不允许从外部发起的通信；,传入域名查找,方式允许网点外部发起的通信，但是需要修改域名软件，而且必须要通过域名解析时才有效。,外发数据报方式,Internet,拨号接入,主机,ISP,的,NAT,多地址,NAT,多个内部主机同时访问,Internet,NAT,拥有多个全局,IP,地址,拨号接入,主机,Internet,ISP,的,NAT,端口映射,NAT,网络地址端口转换,NAPT,目前广泛采用的,NAT,技术,网络地址端口转换,NAPT,（,Network Address Port Translation,）,通过,TCP,和,UDP,协议端口号以及,IP,地址来提供地址转换的映射,单一全局,IP,地址为多台内部主机同时访问外部主机提供支持。,NAPT,转换表示例,转换前,（,10.0.0.5, 13023, 128.10.19.20, 80,）,转换后,（,G, 14003, 128.10.19.20, 80,）,专用地址,10.0.0.5,10.0.0.1,10.0.2.6,10.0.0.3,专用端口,13023,386,26600,1274,扩展地址,128.10.19.20,128.10.19.20,207.200.75.200,128.210.1.5,扩展端口,80,80,21,80,NAT,端口,14003,14010,14012,14007,协议使用,TCP,TCP,TCP,TCP,NAPT,的特点,采用单一的全局,IP,地址实现了多台内部主机同时的外部访问；,保证了访问的普适性；,局限性在于必须采用,UDP,或,TCP,协议用于端口映射。,NAT,与,ICMP,交互,NAT,与,ICMP,交互,ICMP,协议：网络控制信息、状态信息的传输以及网络测量等功能,ICMP,与发送数据的,源主机,密切相关,NAT,必须维持内部主机的,透明性,NAT,必须对,ICMP,进行特殊的处理：,本地处理,或,直接转发,直接转发示例,-ping,Internet,内部主机,NAT,Ping,直接转发示例,-ping,Internet,内部主机,NAT,内部主机,PING,请求,直接转发示例,-ping,Internet,内部主机,NAT,内部主机,PING,请求,直接转发示例,-ping,Internet,内部主机,NAT,内部主机,PING,请求,直接转发示例,-ping,Internet,内部主机,NAT,内部主机,PING,请求,直接转发示例,-ping,Internet,内部主机,NAT,外部主机,PING,响应,直接转发示例,-ping,Internet,内部主机,NAT,外部主机,PING,响应,直接转发示例,-ping,Internet,内部主机,NAT,外部主机,PING,响应,直接转发示例,-ping,Internet,内部主机,NAT,外部主机,PING,响应,NAT,转换,ICMP,报文示例,Internet,源主机,NAT,路由器,Internet,源主机,NAT,路由器,NAT,转换,ICMP,报文示例,NAT,转换,ICMP,报文示例,Internet,源主机,NAT,路由器,NAT,转换,ICMP,报文示例,Internet,源主机,NAT,路由器,