由于IP地址的紧缺,一个机构能够申请到的IP地址数往往远小于本机构所拥有的主机数。
考虑到互联网并不很安全,一个机构内也并不需要把所有的主机接入到外部的互联网。假定在一个机构内部的计算机通信也是采用TCP/IP协议,那么从原则上讲,对于这些仅在机构内部使用的计算机就可以由本机构自行分配其IP地址。
本地地址——仅在机构内部使用的IP地址,可以由本机构自行分配,而不需要向互联网的管理机构申请。
全球地址——全球唯一的IP地址,必须向互联网的管理机构申请。
问题:在内部使用的本地地址就有可能和互联网中某个IP地址重合,这样就会出现地址的二义性问题。
解决:RFC 1918指明了一些专用地址(private address)。专用地址只能用作本地地址而不能用作全球地址。在互联网中的所有路由器,对目的地址是专用地址的数据报一律不进行转发。
三个专用 IP 地址块(私有地址):
(1) 10.0.0.0 到10.255.255.255,A类,或记为10.0.0.0/8,它又称为24位块。
(2) 172.16.0.0 到172.31.255.255,B类,或记为172.16.0.0/12,它又称为20位块。
(3) 192.168.0.0 到192.168.255.255,C类,或记为192.168.0.0/16,它又称为16位块。
采用这样的专用IP地址的互连网络称为专用互联网或本地互联网,或更简单些,就叫做专用网。因为这些专用地址仅在本机构内部使用。专用IP地址也叫做可重用地址(reusable address)。
虚拟专用网VPN
利用公用的互联网作为本机构各专用网之间的通信载体,这样的专用网又称为虚拟专用网VPN (Virtual Private Network)。 “专用网”是因为这种网络是为本机构的主机用于机构内部的通信,而不是用于和网络外非本机构的主机通信。
“虚拟”表示“好像是”,但实际上并不是,因为现在并没有真正使用通信专线,而VPN只是在效果上和真正的专用网一样。
如果专用网不同网点之间的通信必须经过公用的互联网,但又有保密的要求,那么所有通过互联网传送的数据都必须加密。一个机构要构建自己的VPN就必须为它的每一个场所购买专门的硬件和软件,并进行配置,使每一个场所的VPN系统都知道其他场所的地址。
用隧道技术实现虚拟专用网
它们都是基于TCP/IP协议的。由部门A和B的内部网络所构成的虚拟专用网VPN又称为内联网(intranet),表示部门A和B都是在同一个机构的内部。一个机构和某些外部机构共同建立的虚拟专用网VPN又称为外联网(extranet)。
远程接入VPN (remote access VPN)可以满足外部流动员工访问公司网络的需求。在外地工作的员工拨号接入互联网,而驻留在员工PC机中的VPN软件可在员工的PC机和公司的主机之间建立VPN隧道,因而外地员工与公司通信的内容是保密的,员工们感到好像就是使用公司内部的本地网络。