网关、代理和隧道

网络中经常需要用到网关、代理和隧道，但很多人对它们的用途却是傻傻分不清楚，为了便于理解，本文特将它们整理到一起进行比较。

这里虚构两个IP地址:

• 内网终端的IP地址：192.168.1.10
• 外网目标服务器的IP地址：100.100.100.100

1、网关

如果内网终端192.168.1.10与外网目标服务器100.100.100.100进行直接通信，那么所传输的数据包二层目的MAC地址就是网关的MAC地址，三层目的IP地址则是外部服务器的IP地址。若感觉MAC地址较难定位，我们还可以在内网终端的网关地址配置中找到网关的IP地址。一般情况下，可将网关理解成离内网终端最近的三层交换机或路由器设备，如图1所示。

图1-网关示意图

2、代理

如果管理员设置不允许内网终端192.168.1.10直接访问外网目标服务器100.100.100.100，那么内网终端要想与目标服务器进行通信，就需要通过代理进行中转。也就是说，代理是网络访问的中间人。内网终端使用代理后，发出数据报的三层目的IP地址就是代理的IP地址，该数据包同时会在应用层进一步告诉代理，自己的真实访问需求，即访问目标服务器100.100.100.100。代理收到该数据包后，就会重新转发给目标服务器，如图2所示。

图2-代理示意图

3、隧道

如果内网终端192.168.1.10需要与外网目标服务器100.100.100.100传输敏感数据，那么数据在网络中直接传输就比较危险，这时往往会建一条网络隧道，通过将数据包封闭在隧道中进行传输，从而实现互通。从内网终端的角度来说，无论中间有多少线路或设备，它和目标服务器在逻辑上就是点对点互联的。因此，我们可以将隧道理解成逻辑上的点对点互联技术，如图 3所示。

图3-隧道示意图