第12章 VPN和NAT.ppt

xudu@uestc.edu.cn xudu@uestc.edu.cn 网络工程系 电子科大通信学院 第十二章 VPN和NAT 专用网 虚拟专用网（VPN） 网络地址转换（NAT） 12.1 专用网 Private network（私有网） 不需接入Internet，但需要用TCP/IP通信 编址方案： 申请，并使用A、B、C类地址 不申请，直接使用A、B、C类地址 不申请，直接使用私有地址 私有地址（Private address，专用地址） 术语 内联网（Intranet） 使用TCP/IP的专用网 只允许机构内部的用户访问 外联网（Extranet） 使用TCP/IP的专用网 允许机构外的授权用户访问某些资源 12.2 虚拟专用网（VPN） 必威体育官网网址性的实现 专用网 与Internet 隔离 使用任何IP地址 混合网 内部通信使用专用网 需要时访问Internet 虚拟专用网（Virtual Private Network，VPN ） 使用Internet进行机构的内部通信和外部通信 物理上公用，实际上专用 隧道技术（Tunneling） VPN的寻址 12.3 网络地址转换（NAT） Network Address Translation，RFC 3022 内部通信：专用IP地址（local address） 访问Internet：全球IP地址（global address） 单一的Internet连接 运行NAT软件的路由器或代理服务器 地址转换方法 通过NAT路由器的所有出分组 源地址? 全球地址 通过NAT路由器的所有入分组 目的地址? 专用地址 转换表 问题：NAT路由器怎样知道从Internet来的入分组应送往哪个内部主机？ 解决—— 转换表 One local address ?? One global address 映射方法：IP地址池 可同时访问外部网络的主机数目受 限制 More local address ?? One global address 映射方法：NAPT 可同时访问外部网络的主机数目受 限制 只针对封装TCP、UDP 和 ICMP query 的分组 转换表的形成 手工配置 永久的固定映射 允许外部主机发起通信 出分组触发形成 临时的自动映射 不允许外部主机发起通信 域名查找建立 借助DNS 只允许外部主机使用域名发起通信 Basic NAT Basic NAT操作示例 Basic NAT的分组处理 IP header IP地址：出分组的源地址、入分组的目的地址 Checksum TCP/UDP header Checksum ICMP Query packet No change ICMP Error packet Data field：IP header Header field：ICMP header checksum NAPT NAPT的分组处理 IP header IP地址：出分组的源地址、入分组的目的地址 Checksum TCP/UDP header Port：出分组的源端口、入分组的目的端口 Checksum ICMP Query packet header Query ID、ICMP header checksum ICMP Error packet Data field：IP/TCP/UDP/ICMP header Header field：ICMP header checksum NAT的局限性 Privacy and Security Privacy: the actual addresses of the private hosts are not visible to external hosts Security: it is more difficult to track the actual source of trouble if a host in private network is abusing the Internet in some way Translation of outbound TCP/UDP fragments in NAPT setup are doomed to fail …… NAT的应用 远程控制 应用 宿主机 嵌入式终端：遥测、遥控…… PC/Server：文件管理、屏幕操作、CMD命令、注册表…… 控制目的 善意的 恶意的！ 实质 远程控制的方式 控制方式决定于网络连接形式 处于同一个网络：内网或外网 直接控制 处于不同的网络 宿主机处于外网、控制机处于内网 直接连接 宿主机处于内网、控制机处于外网 反弹连