那VPN具体是如何工作的呢？

• 当开启VPN后，你访问公司内网的办公网站时，不再直接访问公司内网的服务器，而是去访问VPN服务器，并给VPN服务器发一条指令“我要访问办公网站”。
• VPN服务器接到指令后，代替你去访问办公网站，收到公司办公网站的内容后，再通过“秘密隧道”将内容回传给你，这样你就通过VPN成功访问到你需要的内网资源啦。

站点-站点VPN：应用在同一个公司，但不同地点的内部网，也可以应用在不同公司中的外部网。一个数据包发送到站点的VPN集线器之后，数据包上的源地址会被更改为当前VPN集线器的地址，而目的地址会被改为目的VPN集线器的地址，这个数据包会被加密，在中间人看来就只是这两个集线器之间在通信，而且数据已经被加密了【常用加密算法AES、3DES】，这样就隐藏了实际源地址和实际目的地址。

客户端对站点VPN，或者是远程登陆VPN【这种类型适合不需要长时间进行链接的方式，而且一般来说这种类型的VPN可以用浏览器直接通信，也可以另外安装客户端软件进行VPN通信】【这种一般有两种模式。全隧道模式：把所有的网络数据都走公司网。半隧道模式：适合摸鱼】

回顾OSI七层模型，数据从应用层往下流的时候使用IPsec就可以把网络层上面的数据全部加密再发出去。
而是在第六层表示层，会加密应用层数据再往下发送。

但是ISP提供的DNS服务器可能还是知道你想要访问的实际网站地址，你并没有完美隐藏自己的IP地址。

有些人使用VPN是想通过某个国家的IP地址访问特定资源，VPN确实可以做到定位到某个国家的IP地址，但问题是很多网站服务器也是会知道你在使用VPN的，从而制造一些问题让你回答。

还有些人是为了在公用WIFI的前提下保护自己的数据，害怕会遭到ARP攻击。实际上如果你访问的是HTTPS的网页就不用担心这个问题了，黑客虽然知道你在访问什么网站，但是却不知道你实际发送和获取的内容。

b战视频：VPN概念，技术原理和误区

• IPV4:IPV4（英语：InternetProtocolversion4，IPv4），又称互联网通信协议第四版，是网际协议开发过程中的第四个修订版本，也是此协议第一个被广泛部署的版本。IPv4是互联网的核心，也是使用最广泛的网际协议版本，其后继版本为IPv6，直到2011年，IANAIPv4位址完全用尽时，IPv6仍处在部署的初期。
• IPV6:IPv6是英文“Internet Protocol Version 6”（互联网协议第6版）的缩写，是互联网工程任务组（IETF）设计的用于替代IPv4的下一代IP协议，其地址数量号称可以为全世界的每一粒沙子编上一个地址
• 大家的电脑都会有一个IP，IPv4地址可被写作任何表示一个32位整数值的形式，但为了方便人类阅读和分析，它通常被写作点分十进制的形式，即四个字节被分开用十进制写出，中间用点分隔。【，但是最后真正可用的IP地址只有36.47亿个】

例如：198.168.0.168，

• ，例：将原有IP192.168.0.2转换为6.6.6.6，以这个IP去传输数据给8.8.8.8，实现5台设备共用一个IP的效果。

• 同理，8.8.8.8如果作为网关，下面还有附属的其他设备，它同样可以挂载很多台电脑公用8.8.8.8这一个IP

• 存在的问题：这五台电脑的数据都是走着一个IP出入的，数据发送以后接收方并不知道这是哪台电脑发送过来的；接收方下面如果也有很多的其他附属设备，他也不知道这个数据包要发送给谁。同理，8.8.8.8回来的下行数据到了6.6.6.6以后也不知道该送给哪个设备，所以这里我们就引入了一个新的概念：。

我们在IP地址后面增加一串端口号，网关会以不同的端口号和去交互，然后把这些端口映射给局域网内的各个设备。传输数据的时候，除了IP地址的映射，再额外加上端口号的映射，这样就能实现共同1个IP还能实现精准传送数据了，以实现PAT多对一映射了。

在NAT和端口映射的技术加持下，才让数量完全不够用的IPV4苟延残喘的坚持了这么多年。

如果你通过上面那个例子了解了的作用，那公网IP和私有IP就很好解释了。

那5台192.168.0.1-5的IP就是寄宿在6.6.6.6的网关下面的；网关所拥有的可以直接在广域网上交互数据的6.6.6.6就是。
【能够直接访问的具体地址，能够拿到大的层面上去直接用的地址就是公网IP。在小区的内部也就是局域网内说你在15号楼2单元201大家都知道你住在哪个位置，但是隔壁的小区也可以有15号楼2单元201，同理隔壁城市的小区里也可以有，如果填快递的时候这样写15号楼xxx，不写月亮湾的话就不知道送到哪里去了。像这种只能在小区内部使用的IP，不能拿到大的层面去直接用的就是私有IP】

与IPV4相比，IPV6具有以下几个优势：

• IPv6具有更大的地址空间。IPv4中规定IP地址长度为32，最大地址个数为2^32 而IPv6中IP地址的长度为128，即最大地址个数为2^128。 与32位地址空间相比，其地址空间增加了2^128 -2^32个。
• IPv6使用更小的路由表。IPv6的地址分配一开始就遵循聚类（Aggregation）的原则，提高了路由器转发数据包的速度。
• IPv6增加了增强的组播（Multicast）支持以及对流的控制（Flow Control），这使得网络上的多媒体应用有了长足发展的机会，为服务质量（QoS，Quality of Service）控制提供了良好的网络平台。
• IPv6加入了对自动配置（Auto Configuration）的支持。这是对DHCP协议的改进和扩展，使得网络（尤其是局域网）的管理更加方便和快捷。
• IPv6具有更高的安全性。在使用IPv6网络中用户可以对网络层的数据进行加密并对IP报文进行校验，在IPV6中的加密与鉴别选项提供了分组的保密性与完整性。极大的增强了网络的安全性。（网易是更好的保护你的Data哦）打钱！
• 允许扩充。如果新的技术或应用需要时，IPV6允许协议进行扩充。

b战：【硬件科普】IP地址是什么东西？IPV6和IPV4有什么区别？公网IP和私有IP又是什么？

IP地址被用来给Internet上的电脑一个编号。大家日常见到的情况是每台联网的PC上都需要有IP地址，才能正常通信。我们可以把“个人电脑”比作“一台电话”，那么“IP地址”就相当于“电话号码”，而Internet中的路由器，就相当于电信局的“程控式交换机”。

IP地址是指互联网协议地址，是IP协议提供的一种统一的地址格式，它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。

IP地址包含：网络地址+主机地址，即IP地址=网络地址+主机地址

IP地址是四个十进制数组成的，相当于32位二进制。通常用“点分十进制”表示成（a.b.c.d）的形式表示，其中，a,b,c,d都是0~255之间的十进制整数。
例：

• 点分十进IP地址（100.4.5.6），实际上是32位二进制数（01100100.00000100.00000101.00000110）。

D类 以1110开始 用于组播
E类 以11110开始 用于科研保留

子网掩码(subnet mask)又叫、、，它是一种用来指明一个IP地址的哪些位标识的是主机所在的子网，以及哪些位标识的是主机的位掩码。

子网掩码不能单独存在，它必须结合IP地址一起使用。子网掩码只有一个作用，就是将某个IP地址划分成网络地址和主机地址两部分。

，用于屏蔽IP地址的一部分以区别网络标识和主机标识，并说明该IP地址是在局域网上，还是在远程网上。

子网掩码——屏蔽一个IP地址的网络部分的“全1”比特模式：

• 对于A类地址来说，默认的子网掩码是255.0.0.0；
• 对于B类地址来说默认的子网掩码是255.255.0.0；
• 对于C类地址来说默认的子网掩码是255.255.255.0。

通过子网掩码，就可以判断两个IP在不在一个局域网内部。

子网掩码可以看出有多少位是网络号，有多少位是主机号。

网关(Gateway)又称网间连接器、协议转换器。默认网关在网络层上以实现网络互连，是最复杂的网络互连设备，仅用于两个高层协议不同的网络互连。网关的结构也和路由器类似，不同的是互连层。网关既可以用于广域网互连，也可以用于局域网互连

网关实质上是一个网络通向其他网络的IP地址。

比如有网络A和网络B，网络A的IP地址范围为“192.168.1.1~192. 168.1.254”，子网掩码为255.255.255.0；网络B的IP地址范围为“192.168.2.1~192.168.2.254”，子网掩码为255.255.255.0。

在没有路由器的情况下，两个网络之间是不能进行TCP/IP通信的，即使是两个网络连接在同一台交换机（或集线器）上，TCP/IP协议也会根据子网掩码（255.255.255.0）判定两个网络中的主机处在不同的网络里。

而要实现这两个网络之间的通信，则必须通过网关。如果网络A中的主机发现数据包的目的主机不在本地网络中，就把数据包转发给它自己的网关，再由网关转发给网络B的网关，网络B的网关再转发给网络B的某个主机。

所以说，只有设置好，TCP/IP协议才能实现不同网络之间的相互通信。那么这个IP地址是哪台机器的IP地址呢？网关的IP地址是具有路由功能的设备的IP地址，具有路由功能的设备有路由器、启用了路由协议的服务器（实质上相当于一台路由器）、代理服务器（也相当于一台路由器）。

广播地址(Broadcast Address)是专门用于同时向网络中所有工作站进行发送的一个地址。

在使用TCP/IP 协议的网络中，主机标识段host ID 为全1 的IP 地址为广播地址，广播的分组传送给host ID段所涉及的所有计算机。

例如，对于10.1.1.0 （255.255.255.0 ），其广播地址为10.1.1.255 （255 即为2 进制的11111111
），当发出一个目的地址为10.1.1.255 的分组（封包）时，它将被分发给该网段上的所有计算机。

示例
一个主机的IP地址是202.112.14.137，掩码是255.255.255.224，要求计算这个主机所在网络的网络地址和广播地址
根据子网掩码可以分割网络号+主机号

掩码255.255.255.224 转二进制：

11111111 11111111 11111111 11100000

网络号有27位，主机号就有32-27=5位

网络地址就是：把IP地址转成二进制和子网掩码进行与运算【其实这个例题也是直接去取IP地址的前27位】

IP地址：11001010 01110000 00001110 10001001
IP地址&子网掩码：

11001010 01110000 00001110 10001001

11111111 11111111 11111111 11100000

---

11001010 01110000 00001110 10000000

即：202.112.14.128

主机号有5位，那么这个地址中，就只能有2的5次方−2=30个主机

ip地址后面斜杠加具体数字是一种用CIDR（无类别域间路由选择，Classless and Subnet AddressExtensions and Supernetting））的形式表示的一个网段，或者说子网。

我们知道确定一个子网需要知道主机地址和子网掩码，但用CIDR的形式，可以简单得到两个数值。
举例说吧：

• 192.168.0.0/24”就表示，这个网段的IP地址从192.168.0.1开始，到192.168.0.254结束（192.168.0.0和192.168.0.255有特殊含义，不能用作IP地址）；
• 子网掩码是255.255.255.0。

上面的子网掩码怎么来的呢?其实关键就在“24”上。我们知道IP地址是四个十进制数组成的，相当于32位二进制。用CIDR表示形式，后一个数字将这32位进行了间隔(以24为例)：
前24位用"1"表示，后面8位用0表示，得到一个二进制数：11111111 11111111 11111111 00000000将其转化为十进制，就是：了。

例题
由最后的那个，我们可以知道这个IP已经规定了它的网络位是18位，它默认的子网掩码就是：

11111111.11111111.11 | 000000.00000000(其中1代表网络位,0代表主机位)

中的也就是说子网掩码是255.255.255.224 即27个全1：

11111111 11111111 11111111 11100000

十进制31转化为8位二进制：0001 1111
十进制33转化为8位二进制：0010 0001
其中十进制0转化为8位二进制：0000 0000
十进制255转化为8位二进制：1111 1111
子网掩码后全为0和全为1的有特殊含义，都不能分配给主机。

• A选项掩码后为1 1111 0000 0000可分配
• B选项掩码后为0 0001 1111 1111可分配
• C选项掩码后为1111 0000 0000可分配
• D选项掩码后为1111 1111 1111