第5章 广域网.ppt

第5章广域网与Internet应用技术,主要内容,TCP与UDP协议,常见的广域网技术,IP协议路由,VPN与NAT技术,1,2,3,4,Internet的接入方法,5,广域网是由许多交换设备组成的，交换设备之间采用点到点线路连接。而广域网交换设备实际上就是一台计算机，有处理器和输入/输出设备进行数据包的收发处理。广域网WAN一般最多只包含OSI参考模型的底下三层，而且目前大部分广域网都采用存储转发方式进行数据交换，也就是说，广域网是基于报文交换或分组交换技术的（传统的公用电话交换网除外）。本节主要讲述：公用电话交换网（PSTN）数字数据网（DDN）帧中继（FR）xDSLVPN技术,5.1广域网技术,公共电话交换网PSTN(PublicSwitchedTelephoneNetwork)主要完成来自电话机的语音信息交换与传输，这是一种电路交换网络。其基本工作原理可以用“呼叫”的过程解释。通话双方在通话期间独占一条联接通话者之间的通信线路，利用所提供的传输带宽进行通话。通话结束后线路即被撤消，所占用的带宽被释放，可再分配给另外的呼叫。,5.1.1公共电话交换网,5.1广域网技术,公共电话交换网是以电路交换技术为基础的用于传输模拟话音的网络。电话网概括起来主要由三个部分组成：本地回路、干线和交换机。当两台计算机想通过PSTN传输数据时，中间必须经双方Modem实现计算机数字信号与模拟信号的相互转换。,5.1广域网技术,一台计算机采用拨号入网的连接设置,5.1广域网技术,5.1.2数字数据网(DDN)数字数据网是利用数字信道提供数据通信的传输网，它主要提供点到点及点到多点的数字专线或专网。DDN由数字通道、DDN结点、网管系统和用户环路组成。DDN的传输介质主要有光纤、微波、卫星信道等。,5.1广域网技术,DDN通信特点数字数据网与传统的模拟数据网相比具有以下优点：（1）与模拟传输手段相比，DDN更具有传输质量高，通道利用率高，节省大量模数、数模转换设备等明显的优点。（2）传输速率高，网络时延小。（3）全透明性网的透明度高，任何规程都可以支持，在数据、图象、传真、声音等多种业务中，都成为重要的传输手段之一。（4）适合高流量的数据通信。（5）网络运行管理简便。（6）DDN对数据终端速率没有特殊要求，用户所需传输速率和信道带宽可根据要求灵活设置。,5.1广域网技术,5.1.3帧中继(FrameRelayFR)在网络通信误码率越来越低的情况下，X.25复杂的传输和检验过程已经不能适应网络的发展，所以X.25的改进协议-帧中继应运而生了。帧中继技术省去了X.25分组交换网中的差错控制和流量控制功能，这就意味着帧中继网在传送数据时可以使用更简单的通信协议，而把某些工作留给用户端去完成，此时的用户端计算机的性能也已经很强，而且价格便宜。这样使得帧中继网的性能优于X.25网，它可以提供1.5Mbps的数据传输率。由于舍去了差错控制和流量控制功能，所以帧中继技术只涉及OSI模型的下两层。,5.1广域网技术,5.1广域网技术,和X.25网一样，帧中继也采用虚电路技术，也分为交换虚电路（SVC）和永久虚电路（PVC）。为了区分通信双方不同的虚电路，在帧格式中分配了10位表示虚电路号，即可以分配和管理1024个虚电路，其中用户可用的有16号1007号，其余为协议保留。,帧中继的传输速率有一个底限值，同时允许传送数据量超出底限值而工作，这在租用帧中继线路的实际应用中有意义，下面介绍之。允许信息速率CIR(CommittedInformationRate)即帧中继连接网络同意支持的信息传送速率，当实际工作速率小于等于CIR时，能够保证服务质量，基本不丢弃数据帧。对于永久虚电路，CIR在连接时就已确定下来；对于交换式帧中继网络，CIR的数值在呼叫建立阶段协商确定。CIR与传输质量的关系是：当数据速率小于CIR时，传输质量有保证；基本没有丢弃帧的现象。当数据速率大于CIR、但小于设定的最高速率时，在可能的情况下进行传送；当数据速率大于设定的最高速率时，多余部分的帧立即被丢弃。,5.1广域网技术,允许的突发量Bc(committedburstsize)在正常传输时，在给定时间间隔T内，允许传送数据的最大限量。即：Bc=TCIR(5.1)式(5.1)式就是在T时间内，在CIR速率下最多可传送的比特数。实际传输比特数低于此值时，基本没有帧被丢弃。附加突发量Be(excessburstsize)在正常传输时，T时间内在允许突发量Bc的基础上，网络还可额外传送Be比特的数据；当然，这时就不能保证所有数据帧都正确传送，会有部分帧被丢弃；即服务质量会下降。,5.1广域网技术,5.1广域网技术,举例来说，当CIR=1Mbps时，在1秒钟内最多允许1M比特数据正确传送。如果再允许附加200K比特的突发量，1秒钟内传送数据量在1.2M比特也是可以的，但不能保证全部正确传送，会出现一些帧被丢弃。超过1.2M的数据比特肯定被丢弃。这就是帧中继网络租用1Mbps的线路，每秒钟可获得大于1M比特数据的原因。这对于用户来说，支付1M线路的租金，获得高于每秒1M的数据比特，是比较合算的。,1.概述数字用户线路（xDSL）是数字用户线（DSL）的统称；是以铜电话线为传输介质的、点对点的接入技术系列，包括HDSL、SDSL、VADSL、ADSL、RADSL等；目前最常用的是ADSL和HDSL；主要的区别就是体现在信号传输速度和距离的不同以及上行速率和下行速率对称性的不同这两个方面。,5.1.4xDSL技术,5.1广域网技术,xDSL最大的优势在于利用现有的电话网络架构；不需要对现有接入系统进行改造，就可方便地开通宽带业务；被认为是解决“最后一公里”问题的最佳选择之一。xDSL技术近来发展迅速。越来越多的商业用户和个人用户在Internet上传输多媒体信息，成为xDSL技术发展的巨大动力。,5.1广域网技术,非对称用户数据线ADSL,ADSL是目前国际上用来对现有电话网络进行宽带改造的一种通信方式；是接入技术中最常用的一种；ADSL是一种通过现有普通电话线为家庭、办公室提供宽带数据传输服务的技术；它能够在普通电话线上提供高达8Mb/s的下行速率和1Mb/s的上行速率，是非对称的；传输距离达3km-5km。,5.1广域网技术,ADSL数据信号和电话音频信号以频分复用原理调制于各自频段互不干扰。用户上网的同时可使用电话，而且，由于数据传输不通过电话交换机，因此使用ADSL上网不需要缴纳拨号上网的电话费用，节省了通信费用。在现有电话线上安装ADSL，只需在用户端安装一台ADSLModem和一只电话分离器，用户线路不用做任何改动，极其方便。,ADSL的典型连接结构,5.1广域网技术,ADSL技术的特点,具有很高的传输速率；不需要更改和添加线路，直接使用原有的电话线；语音信号和数字信号可以并行，可同时“上网”和“通话”；,5.1广域网技术,5.1广域网技术,5.1.5VPN技术VPN技术分为IPSecVPN和MPLSVPN。IPSecVPN可以通过公共网络设施（如Internet）来构建虚拟私用网络（VPN），从而在保证一定的传输质量的基础上实现数据的安全传输。MPLSVPN是一种基于MPLS（多协议标签交换）技术的IP-VPN，是在网络路由和交换设备上应用MPLS技术，简化骨干网路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IPVPN），可用来构造宽带的Intranet、Extranet，满足多种灵活的业务需求。,5.2IP协议,Internet是世界各地的计算机相互间通信的方法和手段，是信息的载体和传输系统，是连接全世界计算机的纽带，是一个功能强大的工具。Internet从何而来？ARPANet是其前身,5.2IP协议,5.2.1IP概述早期网络中的不同设备根据厂商不同，标准也不同，互通和资源共享成为了难题。用户也有被一个厂商套牢的顾虑。让“生来平等”的计算机能够实现“资源共享”就得在系统的厂商标准之上，建立一种大家都必须共同遵守的标准，这样才能让不同的计算机按照一定的规则互连互通。1983年1月1日，运行较长时期曾被人们习惯了的NCP被停止使用，TCP/IP协议作为Internet上所有主机间的共同协议，从此以后被作为一种必须遵守的规则被肯定和应用。,5.2IP协议,1IP数据报的结构按照IP的规定，在IP层，需要传输的数据首先需要加上IP首部信息，封装成IP数据报。IP数据报是IP使用的数据单元，互联层数据信息和控制信息的传递都需要通过IP数据报进行。IP数据报的格式可分为报头区和数据区两大部分,5.2IP协议,2IP数据报的分片和重组（1）最大传输单元MTU和IP数据报的分片MTU：网络规定的一个帧最多能够携带的数据量。IP数据报的长度只有小于或等于网络的MTU，才能在这个网络传输。与路由器连接的各个网络的MTU可能不同，若数据报来自一个MTU值较大的局域网，要发往一个MTU值较小的局域网，我们就必须把它分成多个较小的部分，使它们小于局域网的MTU值继续传送，这个过程就叫做数据报的分片。,5.2IP协议,（2）分片重组数据报分片像正常的IP数据报一样经过独立的路由选择处理，最终到达目的主机。IP协议规定，目的主机负责对分片进行重组。,5.2IP协议,（3）分片控制在IP数据报的报头中，标识、标志和片偏移3个字段与数据报的分片和重组相关。标识标识是源主机赋予IP数据报的标识符，是分片识别的标记，分片时该字段需不加修改的复制到各分片的报头中。标志该字段由3个标志位组成。用来表示该数据报能否被分片，若已被分片，则该分片是否是最后一个分片。片偏移指出本片数据在初始IP数据报数据区的相对位置，偏移量以8B为单位。,5.2IP协议,5.2.2IP地址1.IP地址的分类所谓IP地址就是给每一个直接与Internet相连的主机分配一个在全世界范围唯一的网络地址。它是32位的无符号二进制数，分为4个字节，以X.X.X.X表示，每个X为8位，对应的十进制取值为0255，例：。IP地址又分为网络地址和主机地址两部分。,5.2IP协议,从地址管理的角度来看，在一个网络上的所有计算机都应由同一个组织来管理。网络很大，就需要大量的地址，网络很小，所需要的地址量就相对较少，有的网络甚至只需要几个网络号。为此对地址进行了分类。A类地址：最高位是0，随后的7位是网络地址，最后24位是主机地址；B类地址：最高两位分别是1和0，随后的14位是网络地址，最后16位是主机地址；C类地址：最高的三位是110，随后的21位是网络地址，最后8位是主机地址。D类地址：最高的四位是1110，随后的所有位用来做组播地址使用。E类地址：最高的五位是11110，这类地址为保留地址，不使用。,IP地址的分类,5.2IP协议,下表所示为各级网络的网络数与每个网络的IP总数：,5.2IP协议,并不是所有的IP地址都能拿来分配，其中一些地址是有特殊含义的。大致有三种情况：主机ID不能“全部是0”或“全部是1”。IP地址的网络ID和主机ID不能设成“全部为0”或“全部为1”。IP地址的头一个字节不能是127。,特殊用途的IP地址,5.2IP协议,地址,类别,网络,主机,,00,4,,6,20,5.2IP协议,5.2IP协议,地址,类别,网络,主机,,00,4,,6,20,A,B,C,C,B,不存在,,,,,,,00,4,,6,5.2IP协议,2子网划分从安全和管理的角度出发，一个网络进行划分会使状况好一些。子网编址技术的核心就是将原有的网络在逻辑上进一步划分为更小的网络，为了表示这些子网，需要为每个子网编号，在IP地址中就需要有子网ID，子网ID是不能从网络ID部分划分的，所以只能从主机ID部分划分。这样原来的主机ID部分就进一步划分成了子网ID和主机ID两部分。,扩展子网后的网络ID,子网掩码的产生就是要在有子网划分的情况下，帮助路由器判断出IP地址中哪部分是网络ID，哪部分是主机ID。子网掩码的编写方法如下：对应于IP地址的网络ID的所有位都设为“1”。“1”必须是连续的。对应于主机ID的所有位都设为“0”。A类、B类和C类的默认子网掩码如下：A类11111111000000000000000000000000B类11111111111111110000000000000000C类11111111111111111111111100000000习惯上用两种方法来表示子网掩码，一种是点分十进制，如；另一种是用子网掩码中“1”的个数来标记，比如可以写为“/16”。,5.2IP协议,5.2IP协议,子网掩码就象一条一半透明的纸条，把感兴趣的网络ID部分显示出来，把不感兴趣的主机ID部分掩盖起来。,5.2IP协议,子网划分主要考虑以下两个问题。当前网络需要划分几个子网。每个子网最多支持多少台主机。,一个典型的C类网络的划分,5.2IP协议,某个公司获得了一个C类网络地址，该公司现有负责市场、生产和科研的三个部门，这三个部门要分属不同的子网，每个子网最多支持20台主机，现在要求规划出子网掩码和每个子网可用的IP地址。,配置IP在子网划分方案确定之后，就可以开始修改每台计算机的配置。配置过程如下：（1）启动WindowsXP，通过“开始”“设置”“控制面板”“网络和拨号连接”“本地连接”，单击右键“属性”“本地连接属性”窗口。（2）选中窗口中“此连接使用下列选定的组件”列表中的“Internet协议（TCP/IP）”，双击，进入“Internet协议（TCP/IP）属性”窗口，进行TCP/IP配置。（3）按已规划好的IP地址分配方案，修改计算机原设定的IP地址配置，将正确的IP地址和子网掩码分别填入“IP地址”和“子网掩码”文本框，如下图所示。单击“确定”，返回“本地连接属性”界面。,5.2IP协议,（4）单击“本地连接属性”窗口中的“确定”按钮，完成IP地址的修改配置。,5.2IP协议,测试（1）使用ipconfig命令查看主机的当前配置信息。“开始”“程序”“命令提示符”，进入DOS命令提示符状态，输入命令“ipconfig/all”，可以查看当前网络的IP地址、子网掩码等配置情况,5.2IP协议,（2）利用ping命令测试网络连通性,用一台计算机去ping与自己处于同一子网的另一台计算机,用一台计算机去ping与自己处于不同一子网的另一台计算机,5.2IP协议,4子网配置图,7,8,6,3,4,2,1,2,0,子网1,子网2,子网3,5.2IP协议,5.2IP协议（ICMP）,ICMP与IP协议同属于网际层，但从体系结构上讲ICMP在IP协议之上，因为ICMP的数据需要用IP协议进行传输，因此，ICMP的数据加上IP报文首部就构成了ICMP的报文。,5.2IP协议（ICMP）,5.2IP协议（ICMP）,Ping命令示例,Ping命令的有关参数,5.2IP协议（ICMP）,5.3路由选择,路由是把信息从源地址通过网络传递到目的地的行为，传输过程中至少会遇到一个中间节点。路由通常与桥接来对比，它们的主要区别在于桥接发生在OSI参考协议的第二层，而路由发生在第三层。这一区别使两者在传递信息的过程中使用的信息不同，工作的方式也不同。,5.3路由选择,一、路由器完成路由工作的设备主要是路由器（Router）。路由器有以下个特征。1）路由器工作在第三层：路由器是第三层网络设备，因此它能理解数据中的IP地址，如果它接收到一个数据包，就检查其中的IP地址，如果目标地址是本地网络的就不理会，如果是其他网络的，就将数据包转发出本地网络。2）路由器能连接不同类型的网络3）路由器具有路径选择能力,5.3路由选择,二、路由选择协议与算法1路由的组成路由包含两个基本的动作，选路与传输信息。后者也称为（数据）交换。交换相对来说比较简单，而选路比较复杂。（1）路径选择路由器的路径选择是根据路由表中的信息进行的。,路由表示例,5.3路由选择,5.3路由选择,（2）交换某主机决定向另一个主机发送数据，通过某些方法获得路由器的地址后，源主机发送指向该路由器的物理（MAC）地址的数据包，其IP协议地址是指向目的主机的。路由器查看了数据包的目的协议地址后，通过与路由表中的项目进行比较，确定如何转发该包，如果路由器不知道如何转发，通常就将真丢弃。如果路由器知道如何转发，就把目的物理地址变成下一跳的物理地址并向其发送。,5.3路由选择,2路由协议路由协议通常使用某种路由选择算法来获取路由信息，也就是说路由表中的内容是通过路由协议获得的。路由协议要具有以下特性：正确性和完整性计算上的简单性很强的适应性稳定性公平性最佳性,路由协议总的来讲分为静态路由协议和动态路由协议。基于以下两个方面的原因，在Internet上采用的是分层次的路由协议。1）由于互联网的规模非常大，连接在内的路由器达到了几百万个，如果让每一个路由器将所有网络都记录下来，则路由表会变得非常庞大，处理起来也会消耗大量时间和资源，而且这些路由器进行信息交换时必然会占用大量的网络带宽。2）很多联入互联网的单位出于保护自身网络安全的考虑，而不愿意让本部门的网络细节和所采用的路由选择协议让外人知道。,5.3路由选择,为此，互联网将整个网络划分为了大量较小的自治系统（AutonomousSystem）,简称AS。所谓自治系统指的是由单一实体进行控制和管理的路由器集合，AS通常又称为域。在AS内部的路由更新被认为是可知、可信和可靠的。在进行路由计算时首先要在自治系统内，而后在自治系统之间，这样当自治系统内部的网络发生改变时，影响的只是自治系统内部的路由器，而不会影响其他的自治系统。,5.3路由选择,5.3路由选择,（1）域内协议（又称内部网关协议或IGP），IGP包括RIP、OSPF和IS-IS等；（2）域间协议（又称外部网关协议或EGP），EGP目前只有一种，即BGP。,3路由算法从算法角度讲动态路由算法可以分为链路状态算法和距离矢量算法两大类。（1）距离矢量算法：距离矢量算法的基本原理就是相邻路由器之间互相交换整个路由表。路由器在此信息基础之上建立自己的路由表。然后，将自己的路由表再传递到它的相邻路由器。就这样一级一级的传递下去，直到全网同步，其过程在以下三个图中表示。,5.3路由选择,5.3路由选择,5.3路由选择,5.3路由选择,5.3路由选择,距离矢量算法的问题是会产生路由环路和无穷计数问题,5.3路由选择,5.3路由选择,针对该算法的问题，专门设计了解决的方法：定义最大路由权值：即允许路由表项开销增加，但是最大只能增加到16，如果一个路由表项的开销为16，就认为改目的网络不可达。水平分割：该方法的原理就是不把从对方学到的路由表项再告诉对方。毒性逆转：该方法的原理是当路由器的同一个接口收到一个由自身曾经发出的路由信息时，就将那条路由标识为不可达。其效果与水平分割一样。路由保持：该方法的原理是让路由器对链路损坏的路由不是简单删除，而是将该路由表示为无限大，同时启动一个计时器，将该路由保持一段时间，以便网络内的其他路由器能够发现，从而防止错误路由的传播。触发更新：该方法的原理是当路由器检测到链路有问题时立即进行问题路由更新，并迅速将该信息传播到整个网络中，从而加速收敛，避免产生环路。,5.3路由选择,距离矢量算法的典型代表是RIP（RoutingInformationProtocol）协议。RIP使用非常广泛，它简单、可靠、便于配置。但是RIP只适用于小型的同构网络，因为它允许的最大站点数为15，任何超过15个站点的目的地均被标记为不可达。而且RIP每隔30s一次的路由信息广播也是造成网络的广播风暴的重要原因之一。,5.3路由选择,（2）链路状态算法链路状态算法不同于距离矢量算法，执行这种算法的路由器并不是简单的和邻居学习路由，而是通过网络收集同区域内所有路由器的链路状态信息，形成链路状态数据库，根据该数据库生成网络拓扑结构，每个路由器在根据拓扑结构计算出路由。,5.3路由选择,5.3路由选择,5.3路由选择,5.3路由选择,3关于路由的metric路由算法使用了许多不同的metric以确定最佳路径。复杂的路由算法可以基于多个metric选择路由，并把它们结合成一个复合的metric。常用的metric包括路径长度可靠性延迟带宽负载通信代价,5.3路由选择,5.4TCP与UDP,IP协议虽然解决了通过互联网将分组送到目的主机的问题。但是当分组到达目的主机时，究竟应该将分组交给哪个应用程序这个问题，仅仅依靠IP协议本身是不能解决的。这时，就需要传输层的帮助了。要实现端到端的通信需要采用传输层的两个协议TCP协议和UDP协议。,一、TCP与UDP协议概述为了分辨端到端的进程间的通信，在传输层使用了协议端口号，简称为端口。传输层的端口号共有16位，即共有65535个不同的端口号。端口号只有本地意义，在不同的计算机中，相同的端口号并没有关联。,5.4TCP与UDP,5.4TCP与UDP,（1）服务器端使用的端口号：首先是知名端口号，数值为01023。这些端口是整个互联网中大家所熟知的端口号，可以从查到。IANA把这些端口分配给了TCP/IP体系中的一些最重要的应用程序。比如FTP(21)、TELNET（23）、SMTP（25）、HTTP（80）、DNS（53）等等。其次是登记端口号，包括102449151。（2）客户端使用的端口号：数值为4915265535的端口号是留给客户端进程使用的。当服务器端进程收到客户端进程的报文时，就知道了客户端的端口号，就可以把数据发送到客户进程了。,5.4TCP与UDP,传输层是为应用层服务的，应用层的协议有一些需要可靠的传输服务，也有一些不需要可靠的传输服务。因此，在传输层也提供了两个不同的协议，一个是提供可靠服务的TCP，另一个是不提供可靠服务的UDP。,二、UDP协议UDP是被设计用来为不需要可靠传输服务的应用层协议服务的，由于不需要提供可靠性，因此UDP很简单。总的来讲UDP具有以下3个特点。无连接：即发送数据前不需要建立连接，减少了开销和时延；不可靠：即不保证可靠传输，只是尽力交付。面向报文：即UDP协议会原样接收上层交付的报文，而不会做任何拆分或合并等处理。,5.4TCP与UDP,5.4TCP与UDP,UDP的首部格式,三、TCP协议TCP协议具有以下5个特点：TCP是面向连接的协议TCP是点对点协议TCP提供可靠传输服务TCP提供全双工通信TCP是面向字节流的协议,5.4TCP与UDP,5.4TCP与UDP,1、TCP协议的首部,2、TCP连接的建立和释放,5.4TCP与UDP,TCP通过三次握手建立连接,5.4TCP与UDP,2、TCP连接的建立和释放,TCP协议通过四次握手释放连接,3、TCP可靠传输技术,5.4TCP与UDP,4、TCP流量控制TCP连接建立后，通信双方就可以进行全双工通信了。一般来说，我们总是希望数据传输能够更快一些。但是如果发送方把数据发送的过快，接受方就可能来不及处理，这就会造成数据的丢失，所谓流量控制，就是控制发送方的发送速率，要让接受方来得及处理。TCP采用滑动窗口机制来实现流量控制的功能。,5.4TCP与UDP,5.4TCP与UDP,5TCP的拥塞控制1999年公布的Internet建议标准RFC2581中定义了进行拥塞控制的4种算法，分别是慢启动、拥塞避免、快重传和快恢复。滑动窗口技术可以实现流量控制，这种控制针对的是发送方和接收方，当拥塞发生在链路中间时，这种方法是无法处理的。因此TCP采用了一种称为慢启动的算法，在这个算法中，除了发送方和接收方的窗口外，还为发送方添加了一个拥塞窗口，拥塞窗口用来描述网络的通行能力。,5.5VPN与NAT技术,互联网管理机构指明了一些专用地址。这些地址只能用于一个机构内部的通信，而不能用于和互联网上的主机通信。在互联网上的所有路由器，对目的地址是专用地址的数据报一律不转发。这些专用地址包括：到55到55到55,一、VPN技术有时一个很大的机构有许多部门分布在一些相距很远的地点，每一个地点都有自己的专用网，采用的是私有地址。假如这些部门之间需要通信，可以采用两种方案。一种是向电信公司申请专线，这种方法的好处是简单方便，但是租金昂贵。另一种是利用公用的互联网作为专用通信的载体，这种专用网又称为虚拟专用网VPN（VirtualPrivateNetwork）。虚拟专用网（VPN）实质上是通过一个公用网络（通常是Internet）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道，是对机构内部网的扩展。,5.5VPN与NAT技术,为了保证通过公用网络传输的机构内部网络信息的安全，虚拟专用网至少应能提供如下功能：加密数据信息认证和身份认证提供访问控制,5.5VPN与NAT技术,1.VPN的分类根据VPN所起的作用，可以将VPN分为三类：（1）VPDN（VirtualPrivateDialNetwork）在远程用户或移动雇员和机构内部网之间的VPN，称为VPDN。（2）IntranetVPN在机构远程分支部门的LAN和机构总部LAN之间的VPN。（3）ExtranetVPN在合作伙伴的LAN和机构的LAN之间的VPN。,5.5VPN与NAT技术,2.VPN的实现VPN区别于一般网络互联的关键于隧道的建立，数据包经过加密后，按隧道协议进行封装、传送以保安全性。在数据链路层实现数据封装的协议叫第二层隧道协议，常用的有PPTP、L2TP等；在网络层实现数据封装的协议叫第三层隧道协议，如IPSec。,5.5VPN与NAT技术,二、NAT技术1.NAT概述NAT英文全称是“NetworkAddressTranslation”，中文意思是“网络地址转换”，它是一个IETF(InternetEngineeringTaskForce,Internet工程任务组)标准，允许一个整体机构以一个公用IP（InternetProtocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。,5.5VPN与NAT技术,5.5VPN与NAT技术,使用私有地址的内部机器在网络出口处，将私有地址和端口号换成公有地址和对应的端口号，实现用公网地址上互联网的目的，数据回流过程只需倒过来考虑就行了，其过程如图。,2.NAT技术类型NAT有三种类型：静态NAT(StaticNAT)动态地址NAT(PooledNAT)网络地址端口转换NAPT（Por