虚拟专用网

virtual private network
利用公用的因特网作为本机构各专用网之间的通信载体，这样的专用网称为虚拟专用网。
由于IPv4地址的紧缺，一个机构能够申请到的IPv4地址数量往往远小于本机构所拥有的的主机数量。因此，虚拟专用网中的各主机所分配到的地址应是本机构可自由分配的专用地址，而不是需要申请的，在因特网上使用的公用地址。

私有地址只能用于一个机构的内部通信，不能用于和因特网上的主机通信。即就是说，私有地址只能用作本地地址而不能用作全球地址。在因特网中的所有路由器，对目的地址是私有地址的IP数据包一律不进行转发。很显然，部门A和部门B各自至少需要一个路由器具有合法的全球IP地址，这样它们各自的专用网才能利用公用的因特网进行通信。

假设部门A中的主机要给部门B中的主机发送数据，它会将待发送数据封装成内部IP数据报，发送给路由器R1，其首部中源地址字段的值为部门A中该主机的IP地址，目的地址字段的值为部门B中另一台主机的IP地址。R1收到该数据报后，发现其目的网络必须通过因特网才能到达，就将该内部IP数据报进行加密，这样就确保了内部IP数据报的安全，然后重新添加上数据报的首部，封装成为在因特网上发送的外部数据报，其首部中源地址字段的值为路由器R1的全球地址，目的地址字段的值为路由器R2的全球地址。路由器R2收到该外部IP数据报后，去掉其首部，将其数据部分进行解密，恢复出原来的内部IP数据报。这样就可以从其首部提取出源地址和目的地址，根据目的地址，将该内部IP数据报发送给相应的主机。

两个专用网内的主机间发送的数据报，是通过了公用的因特网，但在效果上就好像是在本机构的专用网上传送一样。数据报在因特网上可能会经过多个网络和路由器，但从逻辑上看，R1和R2之间就像有一条直通的点对点链路，因此也被称为IP隧道技术。

网络地址转换NAT

网络地址转换NAT的方法在此缓解了IPV4地址空间即将耗尽的问题。
NAT能使大量使用内部专用地址的专用网络用户共享少量外部全球地址来访问因特网上的主机和资源。

专用网络上的主机192.168.0.2给因特网上的主机218.75.230.30发送IP数据报：

因特网上的主机218.75.230.30给源主机192.168.0.2发回数据报，会在NAT路由器的NAT转换表中进行查找：