虚拟专用网VPN（计算机网络-网络层）

专用网络与专用地址

    世界上有很多机构有**自己独立的网络**，这些网络并不与因特网 互连，为该机构所专有，被称为专用网络。

    从原则上讲，对于这些仅在**机构内部使用的计算机**就可以**由本机构自行分配其 IP 地址**，而无需要向互联网的管 理机构申请**全球唯一的IP地址；**

    如果任意选择一些 IP 地址作为本机构内部使用的本地地址，当内部的某个主机需要和互联网连接，那么这种仅在内部 使用的本地地址就有可能和互联网中某个IP地址重合，这样就会出现**地址的二义性问题。**

RFC 1918指明了一些专用地址，只能用于一个机构的内部通信，而不能用于和互联网上的主机通信

在互联网中的所有路由器，对目的地址是专用地址的数据报一律不进行转发

RFC 1918指明的专用地址

**10.0.0.0到10.255.255.255 （或记为10/8地址块） **

**172.16.0.0到172.31.255.255 （或记为172.16/12地址块） **

192.168.0.0到192.168.255.255 （或记为192.168/16地址块）

互连两个地点的专用网络

    一种最直接的方法就是在两个专用网络间铺设一条**专用的光缆**；另一种简单的方法是**租用电信公司的通信线路为本机构专用**

（两者都成本高了）

虚拟专用网VPN (Virtual Private Network)

专用网 是因为这种网络是为 ** 本机构的主机用于机构 内部的通信，**而不是用于和网络外非本机构的主机通信。

虚拟 表示** 好像是 ** ，但实际上并不是，因为现在并没有使用 ** 专线。**而是通过公用的因特网来连接分散在各地专用网络

VPN只是在效果上 和 真正的专用网一样。即分布在不同地点的专网 计算机直接可以使用本地专用地址互相通信，感觉好像用专线直接 连接一样。

IP 隧道技术

实现 VPN 有多种方法，最常用的就是 IP 隧道技术

通常 VPN 都有保密性要求，不希望内部信息被外人知道

为了实现通过公网传输的专网数据不被窃听，原始 IP 数据报要经过 加密后才能封装到公网的 IP 数据报中

** **

VPN 的要点

虚拟专用网VPN利用 公用的因特网 作为专用网之间的 通信载体 ，可大大节约 建设专用网络的成本

可以用 IP 隧道技术来实现 VPN，将专网的 IP 数据报 封装到 公网的 IP 数据报 中进行传输

为了实现保密性，所有通过互联网传送的数据都必须加密

单台计算机可以还通过 远程接入VPN 连接到 内部专用网络