局域网
英文是 LAN ( Local Area Network),Local,本地的、当地的,比如在上海有人问:你是本地人吗?潜台词:你是不是出生在上海并长大?这是一个区域概念,所以局域网也是一个区域概念,比如家庭网络就是一个小型的局域网,一般包含一个电信免费送的光猫,由于光猫无线信号不好,用户会光猫的LAN口接上一个无线路由器,于是就有了小型的家庭局域网,示意图:
PC — 无线路由器—-(LAN)光猫(WAN)—ISP—InternetGW—Internet
这个示意图虽然简单,却把LAN、WAN、Internet 三者全包含了。无线路由器把电脑、手机等设备连接到局域网LAN上,并分配IP地址,即私有IP,我们可以称之为 LAN_IP,LAN_IP所能溜达之处,称LAN路由域。
光猫是一个边界,国家与国家之间有边界,网络之间也有边界,光猫就是局域网LAN与广域网WAN的边界。局域网LAN_IP可以在局域网LAN里遨游,但是到了边界处,即这里的光猫,就没有那么自由了,LAN_IP是光猫分配的IP,跨越边界就进入WAN了,WAN可是运营商的地盘,WAN 有自己IP,WAN_IP,组成一个WAN路由域。
光猫通过PPPoE拨号,从ISP拿到了WAN_IP,这是WAN路由域的特别通行证,所有局域网的上网流量,必须在光猫处,完成 LAN_IPWAN_IP 地址转换(NAT),统一换成特别通行证才可以在WAN路由域里继续遨游。
持有WAN_IP的IP包顺利到达下一个边界,Internet Gateway,这是通往互联网 Internet 的最后一道关卡,即边界。左边是WAN路由域,右边是互联网路由域,如果运营商财大气粗,WAN_IP全是IANA分配的GlobalIP (全球唯一,可以在世界任何地方访问此IP),则这些携带WAN_IP的IP包直接进入互联网。
如果运营商的WAN_IP也是私有的,则也要做WAN_IP 与 Global_IP 的地址转换,然后用Global_IP 这个全球通用通行证遨游互联网。
互联网是什么?
如果局域网是小溪,很多条小溪就汇聚成大的干流,比如长江、黄河,干流就是广域网,然后再流入大海,大海就是互联网。
互联网就是由无数个局域网,通过WAN线路汇聚到运营商,然后运营商之间互联起来,就形成了互联网。
互联网开放、互联,如果一个公司、机构的局域网没有连接到互联网,那这个局域网就不属于互联网。
公司局域网、广域网、互联网的概念
局域网与互联网与以上的概念相同,无非公司局域网增加了一些交换机、AP、防火墙,和家庭局域网没有任何实质的差别。但是这里更多地谈谈广域网WAN。
一个公司总部在北京,分公司在上海。总部是一个局域网,分公司也是一个局域网,示意图:
公司总部LAN1 — 网关1—Internet
分公司LAN2—网关2—Internet
既然公司总部与分公司都连接在互联网上,那LAN1 内的电脑能直接和LAN2的电脑通信吗?非常艰难,需要在网关1,2 上做静态NAT映射,大家都用global IP 就可以通信了。这种方案不具有扩展性,没有公司会用这种方案。
那在网关1,2 之间拉一根线不就可以了吗?
公司总部LAN1 — Internet 网关1—1根线—Internet 网关2—分公司LAN2
当然可以,但是价格昂贵啊,从北京拉一根光纤1000多公里呢,怎么想价格也不会便宜。但是这也是一个方案,这根线及其接口,即为广域网WAN。
那有没有便宜的,不拉线了,运营商拿来了套餐,有二层MPLS VPN,三层MPLS VPN,价格虽贵,但是咬咬牙还可以接受,网关1到网关2 之间的网络为广域网。
公司总部LAN1 — Internet 网关1—MPLS VPN—Internet 网关2—分公司LAN2
但是还有一些中小企业,还是觉得贵,工程师连夜加班在两个网关之间,依靠现有Internet线路,配置了加密VPN,示意图:
公司总部LAN1 — Internet 网关1—加密VPN(跑在Internet)—Internet网关2—分公司LAN2
两个网关之间的网络也是广域网。
大家只要留心,就会发现我提到三个名词,局域网路由域、广域网路由域、互联网路由域。
同时我还提到三个名词:LAN_IP,WAN_IP,Global_IP,分别为家庭局域网的IP,运营商内部使用IP,互联网公共IP。
Global_IP 可以到达全球任何角落,包括家庭局域网:
Global_IP :局域网路由域+ 广域网路由域+互联网路由域
WAN_IP:局域网路由域+ 广域网路由域
LAN_IP:局域网路由域
既然LAN_IP只在局域网路由域合法,那如果进入广域网路由域是否要换一个合法的身份?
同理,WAN_IP在互联网路由域不合法,则必须做身份转换,这些工作都是NAT的基本职责,这方面内容不再遨述。
公司基于Internet线路的WAN互联
公司有了internet 线路,又不想再掏钱买专线来满足分公司与总部的互联,可以在这两个site之间建立安全VPN,这个没有什么花头,就是一个安全隧道,内容加密,流经公共Internet路由域时第三方无法篡改、偷窥,安全性高。
以路由技术的眼光,就是将LAN_IP的流量,封装在一个Global_IP 专车里,Global_IP在外层,LAN_IP在内层,以Global_IP合法的身份穿越Internet,到达隧道终点(公司的另一个分部),然后去掉外部的Global_IP,继续以LAN_IP的身份在公司局域网路由域里行走。
那Global_IP是谁的呢?谁负责加密就是谁的,负责加密,那这个专车开到哪里?当然是公司的另一个site,专车开到了,需要解密,下车(去掉外层Global_IP),然后步行(LAN_IP)进入公司。
限时特惠:本站每日持续更新5-20节内部创业项目课程,一年会员
只需199元,全站资源免费下载点击查看详情
站长微信:
jjs406
