xEdge作为一款面向个人和中小企业的组建安全VPN,并基于安全VPN的基础能力上派生出内网穿透等高级能力,但整体上可以划归于属于网络基础设施,而从网络基础设施这个层面来看,虽然互联网已经成为我们日常生活的基石,但仍然仅有一些领域专业人员以及爱好者对此有研究。
这个现状导致用户方与产品服务提供方之间产生了较大的鸿沟,并且由于其处于互联网的底层,涉及到操作系统内核,系统配置等各方面的制约,导致用户的需求在落实前存着较多的困难,而和产品服务提供方沟通上也存在无法对齐术语而导致沟通不畅。
为此,我们在本页面维护xEdge产品涉及到额各种术语,以期望能够减少沟通成本,提高用户解决需求的效率,真正感受到xEdge产品所能提供的一种新型网络互联模式的独特体验。
当然,这个术语表不会一蹴而就地完成,我们将在更新文档,录制产品应用视频,处理用户反馈到过程中逐步更新。
公网通常是指被互联网路由设备所连接起来的一张网络,也即互联网,它通常由分布于世界各地各地的运营商所运营,它有自己的网络层级,可以粗略地分为接入网,城域网、骨干网这些类别。
通常我们的设备只具有访问公网的能力,也即作为客户端访问具备公网地址并面向公网提供服务的服务器;比如我们访问百度、抖音、B站、个人博客等网络服务,这些服务的提供方都需要具备公网地址,从而提供服务。
局域网则是我们日常的网络设备所在的网络,通常就是指下挂在家庭出口/公司出口路由器下面的网络,这张网络往往不具备公网地址,而采用私有地址,并通过NAT这样的地址转换技术,通过运营商的公网地址来主动访问公网。
IP地址是互联网上的设备能够进行通信的编址系统,每个参与互联网通信的设备都需要具备IP地址才能与其他设备通信;当前存在IPv4/IPv6两个版本,但目前IPv4仍是主流,因此暂时我们仍可只关注IPv4地址。
私网设备的IPv4地址范围通常是:10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16以及运营商级NAT所用的100.64.0.0/10(xEdge的内网地址也从此地址范围内分配);不属于这个范围内的大部分地址都属于公网IPv4地址,这个地址称之为私网IPv4地址。
尽管IPv4地址比较少,但对于非专业人员来说,记录IP地址还是有些困难,另外也存在通过一个IP地址为多个属于不同机构或个人的网站提供服务的场景,因此域名这个机制被引入出来。
我们可以将域名理解为是把IP地址转换为普通人可理解的命名,比如www.baidu.com相比它的一个IP地址180.101.50.188就明显好记的多。
将域名转换为IP地址的过程称之为域名解析,它需要借助于域名解析服务器,即DNS服务器来完成,目前运营商以及一些公有云厂商也提供了给公众服务的的DNS服务器,比如114.114.114.114与223.5.5.5,很显然,它通常得是以IP地址的方式提供。
虽然IPv4地址只有4个字节,每个字节对应255个数字,它们的组合也达42亿之多,互联网运营商的路由设备并不能存储这么多IP地址的访问路径信息,因此它们记录的往往是一个范围到的路径信息。
这个路径信息我们称之为路由,记录这个信息的表称之为路由表,任何参与网络通信的设备都会有一张或多张路由表。家庭或公司的终端设备往往路由表里的路由信息很少,且通过一个所谓的默认路由将网络数据送给上游路由设备,上游的路由设备再逐级查询路由表并进行上送,最终将数据发送给目标设备。
路由信息采用a.b.c.d/x的方式进行表达,x代表这个路由的范围,越小则代表匹配的范围越大;路由表查询采用一种所谓最长匹配的方式进行,命中越细粒度的路由信息,则该路由信息将指导数据的发送路径。
常见的路由信息如下:
网络数据本身是采用TCP/IP分层这样的机制实现层次划分的,IP地址是第三层即网络层的概念,第四层而是传输层的TCP/UDP,再之上则是应用层,如HTTP等。
在传输层中有个重要的概念就是端口,比如我们以HTTP协议访问百度,则我们的访问数据会发给百度的IP地址的TCP 80端口,换句话说IP地址代表服务器,端口则代表服务器上的某个进程或服务。
xEdge的安全内网是指安装了xEdge客户端的设备之间所组成的一个独立于用户局域网的新局域网,这个新局域网借助于公网,并可能借助于xEdge的中转服务实现中转转发,并为每一个xEdge客户端从100.64.0.0/10这个网段中分配一个私网IP地址,这个私网IP址可以实现用户无论在何处,都可以通过其他设备的私网IP地址与之通信,而这个通信的数据是加密的,且仅能被通信的双方解密。
正是基于上面的原因,我们称之为安全内网。
安装了xEdge客户端的设备我们称之为终端或节点。
内网穿透这个术语存在较多误解,有些厂商将组建上面提到的安全内网的过程称之为内网穿透;在xEdge产品的术语中,内网穿透仅指如下场景:
借助于xEdge所提供的公网边界设备,用户可以配置端口映射规则,从而将安全内网中的设备所提供的某些服务暴露到互联网上,从而使得那些没有或者不便安装xEdge客户端的人,也可以访问到安全内网中的设备所提供的服务。
因此,这个功能天然需要用户做好鉴权操作,因为将端口暴露在公网上,就会被互联网上的任意终端所访问;因此如非必要,我们仍推荐通过安装xEdge客户端来访问,这样不存在任何信息泄露的风险。
子网路由器是指那些发布了终端所在局域网路由(比如192.168.0.0/24),并在xEdge控制台启用了对应的路由的终端。
借助于这个功能,安全内网内的其他终端可以安全地访问到局域网路由网段内的没有安装xEdge客户端的机器。
由于路由本身就存在粗细粒度,这样用户可以通过控制路由粒度来控制其他终端能访问到的其他局域网机器范围。
xEdge客户端默认不发布任何路由,因此默认的终端仅能通过安全内网IP互访。
xEdge客户端默认接收控制台允许发布的路由,Linux桌面客户端除外。
Tailscale客户端默认接收控制台允许发布的路由。
出口节点是一种发布了特殊的两条0.0.0.0/0与::/0,分别对应与所有IPv4地址与所有IPv6地址,因此,其他终端可以借助与这种节点,实现通过改节点来访问互联网,以便解决安全审计,IP地址约束等需求。
因此,他实际上是一种特殊的子网路由,终端被设置为出口节点后,您仍然需要在控制台允许发布。
xEdge客户端和Tailscale客户端默认都不发布自身为出口节点,需要通过客户端设置开启。
xEdge客户端和Tailscale客户端默认都不使用出口节点,需要通过客户端设置开始。