一, 公网与私网介绍两者间的联系
公网
顾名思义,就是公共网络,也叫做外网,没有限制,只要能上网的用户,都可以访问,比如类似百度,新浪这样的网站,只要你有网络,不管你是宽带,光纤,还是5G,WIFI,都可以访问打开。
比如:有些学校或大型的单位虽然分配公网IP给用户,但学校或单位为了安全起见,会封闭校外对校内的访问请求。这部分用户虽然有公网IP地址,但依然要用内网动态域名来建网站。
内网
相当于是一个局域网,也叫做私网,只有属于局域网内部的成员,才可以访问。比如公司内部服务器上搭建的FTP文件系统,你只能使用公司内部的电脑才可以访问,脱离了内网环境,你就不能访问服务器上的任何文件了。
简要概述,其本质差别,一个是对外(所有用户),一个是对内(局域网内部成员)。
二,公网ip与私有ip的区别
公有地址:
公有地址(Public address):由Inter NIC(因特网信息中心)负责。这些IP 地址分配给注册并向Inter NIc提出申请的组织机构,公有IP 全球唯一,通过它直接访问因特网(直接能上网)。主要有A、B、C、D、E五类地址:
- A类 : 地址范围是
1.0.0.0到127.255.255.255,主要分配给大量主机而局域网网络数量较少的大型网络﹔ - B类 :地址范围是
128.0.0.0到191.255.255.255,一般用于国际性大公司和机构; - C类:地址范围是
192.0.0.0到223.255.255.255,用于一般小公司校园网研究机构等; - D类:地址范围是
224.0.0.0到239.255.255.255,用于特殊用途,又称做广播地址; - E类:地址范围是
240.0.0.0到255.255.255.255,暂时保留。
私有地址:
私有地址(Private address):属于非注册地址,专门为组织机构内部使用,说白了,私有IP 不能直接上网。主要有A、B、C三类.
-
A类地址范围是
10.0.0.0-10.255.255.255 , -
B类地址范围是
172.16.0.0 -172.31.255.255, -
B类地址范围是
192.168.0.0-192.168.255.255。
另外127.0.0.0到127.255.255.255为系统环回地址。而我们平时通过运营商(主要是电信、移动、联通宽带等)上网,通过家用路由器之后,就会变成私有IP,大家可能会疑问,我们可以上网啊,怎么会是私有IP呢?
其实我们不是通过私有iP上网的,是通过公有IP。通俗的讲,运营商有公有IP,但是IPV4下iP资源有限,所以这些IP不能每个人分配单独分配一个IP,所以需要动态给上网的用户。
所以A和B的IP相同是很正常的一件事情,但是对于公网服务器(比如说百度)来说,它并不关心对方的私有IP是什么,它也不知道,它只知道访问它的肯定是公有IP。
三,私有网络如何访问公有网络?
比如:下图用户(私网)访问 百度 (公网)的过程利用端口映射来进行访问
1,端口映射技术
简述:端口映射(Port Mapping)是将外网主机的IP地址的一个端口映射到内网中一台机器,提供相应的服务。是NAT的一种。它的功能是把在公网的地址转翻译成私有地址, 采用路由方式的ADSL宽带路由器拥有一个动态或固定的公网IP,ADSL直接接在HUB或交换机上,所有的电脑共享上网。
简单地说:
端口映射又称端口转发。端口映射过程就如同你家在一个小区里B栋2410室,你朋友来找你,找到小区门口,不知道你住哪层哪号?就问守门的保安,保安很客气的告诉了他你家详细门牌号,这样你朋友很轻松的找到了你家。这个过程就是外网访问内网通过端口映射的形象说法。
利用端口映射功能还可以将一台外网IP地址机器的多个端口映射到内网不同机器上的不同端口。
端口映射功能还可以完成一些特定代理功能,比如代理POP,SMTP,TELNET等协议。理论上可以提供65535(总端口娄)-1024(保留端口数)=64511个端口的映射。
思路: 既然端口映射可以将一台外网P地址机器多个端口映射到内网中不同机器上的不同端口。那当用户访问外网IP的这个端口时,服务器自动将请求映射到对应局域网内部的机器上。
比如,我们在内网中有一台主机,但是外网中的用户是没有办法直接访问该服务器的。于是我们可以在路由器上设置一个端口映射,只要外网用户访问路由器ip的80端口,那么路由器会把自动把流量转到内网主机的80端口上。并且,在路由器上还存在一个Session,当内网服务器返回数据给路由器时,路由器能准确的将消息发送给外网请求用户的主机。在这过程中,路由器充当了一个反向代理的作用,他保护了内网中主机的安全。
我们平时上网的过程就是先经过路由器,然后通过宽带,最终通过运营商的转换最终到web服务器的,返回的数据先到运营商那边,然后再把数据发送到用户的主机上。
实际上路由器有两个端口:LAN口,WAN口。
WAN: 接外部IP地址用,通常指的是出口,转发来自内部LA接口的IP数据包。
LAN: 接内部IP地址用,LAN内部是交换机。我们可以不连接 WAN口,把路由器当做普通交换机来使用。
2,nat技术 (网络地址转换 )
简述:
网络地址转换(英语:Network Address Translation,缩写:NAT,又称:网络掩蔽、IP掩蔽)在计算机网络中是一种在IP数据包通过路由器或防火墙时重写来源IP地址或目的IP地址的技术。这种技术被普遍使用在有多台主机但只通过一个公有IP地址访问互联网的私有网络中。它是一个方便且得到了广泛应用的技术。当然,NAT也让主机之间的通信变得复杂,导致了通信效率的降低。
功能 : 隐藏并保护网络内部的计算机
详细概述:
它实现内网的IP地址与公网的地址之间的相互转换,将大量的内网IP地址转换为一个或少量的公网IP地址,减少对公网IP地址的占用。NAT的最典型应用是:在一个局域网内,只需要一台计算机连接上 Internet,就可以利用NAT 共享Internet连接,使局域网内其他计算机也可以上网。使用NAT协议,局域网内的计算机可以访问Internet 上的计算机,但 Internet上的计算机无法访问局域网内的计管和
NAT技术类型
静态NAT(Static NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPT(Port—Level NAT)。
nat网络地址转换具体配置方式后续再更新
五,VPN技术
也叫虚拟专用网络,两个局域网或者是公网与私网之间进行加密通讯的方法
什么是vpn技术?
虚拟私人网络(英语:Virtual Private Network,缩写:VPN)是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法。它利用隧道协议(Tunneling Protocol)来达到保密、发送端认证、消息准确性等私人消息安全效果,这种技术可以用不安全的网络(例如:互联网)来发送可靠、安全的消息。需要注意的是,加密消息与否是可以控制的,如果是没有加密的虚拟专用网消息依然有被窃取的危险。VPN可通过服务器、硬件、软件等多种方式实现。
实现方式 : 服务器,硬件,软件,集成
用 途 : 加密通讯
连接协议 :PPTP、L2TP、IPSec
基本网络功能 ?
VPN属于远程访问技术,简单地说就是利用公用网络架设专用网络。例如某公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。
在传统的企业网络配置中,要进行远程访问,传统的方法是租用DDN(数字数据网)专线或帧中继,这样的通讯方案必然导致高昂的网络通讯和维护费用。对于移动用户(移动办公人员)与远端个人用户而言,一般会通过拨号线路(Internet)进入企业的局域网,但这样必然带来安全上的隐患。
让外地员工访问到内网资源,利用VPN的解决方法就是在内网中架设一台VPN服务器。外地员工在当地连上互联网后,通过互联网连接VPN服务器,然后通过VPN服务器进入企业内网。为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样,但实际上VPN使用的是互联网上的公用链路,因此VPN称为虚拟专用网络,其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN访问内网资源,这就是VPN在企业中应用得如此广泛的原因。
工作原理
- 通常情况下,VPN网关采取双网卡结构,外网卡使用公网IP接入Internet。
- 网络一(假定为公网internet)的终端A访问网络二(假定为公司内网)的终端B,其发出的访问数据包的目标地址为终端B的内部IP地址。
- 网络一的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查,如果目标地址属于网络二的地址,则将该数据包进行封装,封装的方式根据所采用的VPN技术不同而不同,同时VPN网关会构造一个新VPN数据包,并将封装后的原数据包作为VPN数据包的负载,VPN数据包的目标地址为网络二的VPN网关的外部地址。
- 网络一的VPN网关将VPN数据包发送到Internet,由于VPN数据包的目标地址是网络二的VPN网关的外部地址,所以该数据包将被Internet中的路由正确地发送到网络二的VPN网关。
- 网络二的VPN网关对接收到的数据包进行检查,如果发现该数据包是从网络一的VPN网关发出的,即可判定该数据包为VPN数据包,并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离,再将数据包反向处理还原成原始的数据包。
- 网络二的VPN网关将还原后的原始数据包发送至目标终端B,由于原始数据包的目标地址是终端B的IP,所以该数据包能够被正确地发送到终端B。在终端B看来,它收到的数据包就和从终端A直接发过来的一样。
- 从终端B返回终端A的数据包处理过程和上述过程一样,这样两个网络内的终端就可以相互通讯了。
通过上述说明可以发现,在VPN网关对数据包进行处理时,有两个参数对于VPN通讯十分重要:原始数据包的目标地址(VPN目标地址)和远程VPN网关地址。根据VPN目标地址,VPN网关能够判断对哪些数据包进行VPN处理,对于不需要处理的数据包通常情况下可直接转发到上级路由;远程VPN网关地址则指定了处理后的VPN数据包发送的目标地址,即VPN隧道的另一端VPN网关地址。由于网络通讯是双向的,在进行VPN通讯时,隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。
六,总结概述
私网就是局域网,比如说学校,企业内部等等,公网也就是外网,比如说是百度,两者之间通信的话需要借助NAT技术与端口映射技术,而VPN技术则是一种特殊形式,比如说员工外出出差,此时通过外面的网络(其他的局域网)访问内部网络的一种手段,也就属于远程访问。