由於IP地址的緊缺,一個機構能夠申請到的IP地址數往往遠小於本機構所擁有的主機數。
考慮到互聯網並不很安全,一個機構內也並不需要把所有的主機接入到外部的互聯網。假定在一個機構內部的計算機通信也是採用TCP/IP協議,那麼從原則上講,對於這些僅在機構內部使用的計算機就可以由本機構自行分配其IP地址。
本地地址——僅在機構內部使用的IP地址,可以由本機構自行分配,而不需要向互聯網的管理機構申請。
全球地址——全球唯一的IP地址,必須向互聯網的管理機構申請。
問題:在內部使用的本地地址就有可能和互聯網中某個IP地址重合,這樣就會出現地址的二義性問題。
解決:RFC 1918指明瞭一些專用地址(private address)。專用地址只能用作本地地址而不能用作全球地址。在互聯網中的所有路由器,對目的地址是專用地址的數據報一律不進行轉發。
三個專用 IP 地址塊(私有地址):
(1) 10.0.0.0 到10.255.255.255,A類,或記爲10.0.0.0/8,它又稱爲24位塊。
(2) 172.16.0.0 到172.31.255.255,B類,或記爲172.16.0.0/12,它又稱爲20位塊。
(3) 192.168.0.0 到192.168.255.255,C類,或記爲192.168.0.0/16,它又稱爲16位塊。
採用這樣的專用IP地址的互連網絡稱爲專用互聯網或本地互聯網,或更簡單些,就叫做專用網。因爲這些專用地址僅在本機構內部使用。專用IP地址也叫做可重用地址(reusable address)。
虛擬專用網
利用公用的互聯網作爲本機構各專用網之間的通信載體,這樣的專用網又稱爲虛擬專用網VPN (Virtual Private Network)。 “專用網”是因爲這種網絡是爲本機構的主機用於機構內部的通信,而不是用於和網絡外非本機構的主機通信。
“虛擬”表示“好像是”,但實際上並不是,因爲現在並沒有真正使用通信專線,而VPN只是在效果上和真正的專用網一樣。
如果專用網不同網點之間的通信必須經過公用的互聯網,但又有保密的要求,那麼所有通過互聯網傳送的數據都必須加密。一個機構要構建自己的VPN就必須爲它的每一個場所購買專門的硬件和軟件,並進行配置,使每一個場所的VPN系統都知道其他場所的地址。
用隧道技術實現虛擬專用網
它們都是基於TCP/IP協議的。由部門A和B的內部網絡所構成的虛擬專用網VPN又稱爲內聯網(intranet),表示部門A和B都是在同一個機構的內部。一個機構和某些外部機構共同建立的虛擬專用網VPN又稱爲外聯網(extranet)。
遠程接入VPN (remote access VPN)可以滿足外部流動員工訪問公司網絡的需求。在外地工作的員工撥號接入互聯網,而駐留在員工PC機中的VPN軟件可在員工的PC機和公司的主機之間建立VPN隧道,因而外地員工與公司通信的內容是保密的,員工們感到好像就是使用公司內部的本地網絡。