資源描述:
《ccnp安全-ios vpn學(xué)習(xí)指南中文教程》由會(huì)員上傳分享�,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)���。
1、CCNP安全/CCSP技術(shù)交流QQ群:38793366簡(jiǎn)述當(dāng)不同的遠(yuǎn)程網(wǎng)絡(luò)通過(guò)Internet連接時(shí)�����,比如上海和北京的兩個(gè)分公司通過(guò)Internet連接時(shí),網(wǎng)絡(luò)之間的互訪將會(huì)出現(xiàn)一些局限性��,如下拓樸所示:在上圖中���,由于上海和北京的兩個(gè)分公司內(nèi)部網(wǎng)絡(luò)分別使用了私有IP網(wǎng)段10.1.1.0和192.168.1.0���,而私有IP網(wǎng)段是不能傳遞到Internet上進(jìn)行路由的,所以兩個(gè)分公司無(wú)法直接通過(guò)私網(wǎng)地址10.1.1.0和192.168.1.0互訪����,如R2無(wú)法直接通過(guò)訪問(wèn)私網(wǎng)地址192.168.1.4來(lái)訪問(wèn)R4。在正常情況下�,上圖中兩個(gè)分公司要互訪,可以在連接Interne
2�、t的邊界路由器上配置NAT來(lái)將私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址,從而實(shí)現(xiàn)兩個(gè)私有網(wǎng)絡(luò)的互訪��。但是在某些特殊需求下�,兩個(gè)分公司需要直接通過(guò)對(duì)方私有地址來(lái)訪問(wèn)對(duì)方網(wǎng)絡(luò),而不希望通過(guò)NAT映射后的地址來(lái)訪問(wèn)�,比如銀行的業(yè)務(wù)系統(tǒng),某銀行在全國(guó)都有分行�,而所有的分行都需要訪問(wèn)總行的業(yè)務(wù)主機(jī)系統(tǒng),但這些業(yè)務(wù)主機(jī)地址并不希望被NAT轉(zhuǎn)換成公網(wǎng)地址���,因?yàn)殂y行的主機(jī)不可能愿意暴露在公網(wǎng)之中�,所以分行都需要直接通過(guò)私網(wǎng)地址訪問(wèn)總行業(yè)務(wù)主機(jī);在此類需求的網(wǎng)絡(luò)環(huán)境中�����,我們就必須要解決跨越Internet的網(wǎng)絡(luò)與網(wǎng)絡(luò)之間直接通過(guò)私有地址互訪的問(wèn)題�����。?????請(qǐng)?jiān)倏慈缦峦貥愕木W(wǎng)絡(luò)環(huán)境:CCNP安全/CCS
3�、P技術(shù)交流QQ群:38793366?在上圖的網(wǎng)絡(luò)環(huán)境中,上海與北京兩個(gè)分公司網(wǎng)絡(luò)通過(guò)路由器直接互連��,雖然兩個(gè)公司的網(wǎng)絡(luò)都是私有網(wǎng)段�����,但是兩個(gè)網(wǎng)絡(luò)是直連的�����,比如上海分公司的數(shù)據(jù)從本地路由器發(fā)出后���,數(shù)據(jù)包直接就丟到了北京分公司的路由器�,中間并沒(méi)有經(jīng)過(guò)任何第三方網(wǎng)絡(luò)和設(shè)備�,所以兩個(gè)分公司直接通過(guò)對(duì)方私有地址互訪沒(méi)有任何問(wèn)題。由上圖環(huán)境可知���,只要兩個(gè)網(wǎng)絡(luò)直接互連而不經(jīng)過(guò)任何第三方網(wǎng)絡(luò)�,那么互連的網(wǎng)絡(luò)之間可以通過(guò)真實(shí)地址互訪��,而無(wú)論其真實(shí)地址是公網(wǎng)還是私網(wǎng)��。例如上海與北京這樣的遠(yuǎn)距離網(wǎng)絡(luò)要直連從而實(shí)現(xiàn)直接通過(guò)私有地址互訪�,要在公司之間自行鋪設(shè)網(wǎng)絡(luò)電纜或光纖是完全不可能的,可以選
4����、擇的替代方法就是向ISP申請(qǐng)租用線路,這樣的租用線路稱為專線�����,專線是ISP直接將兩個(gè)公司連接起來(lái)的線路�����,完全是公司與公司的路由器直連�����,用戶不會(huì)感覺(jué)到Internet的存在,所以通過(guò)租用ISP專線連接的網(wǎng)絡(luò)之間可以直接通過(guò)對(duì)方私有地址進(jìn)行互訪�����。至于ISP的專線是如何實(shí)現(xiàn)的�,您不必?fù)?dān)憂,通常是使用二層技術(shù)實(shí)現(xiàn)的����,但是專線的租用價(jià)格是相當(dāng)昂貴的,有時(shí)是根據(jù)距離和帶寬收費(fèi)的����,所以在某些時(shí)候,在公司之間通過(guò)租用ISP專線連接的成本可能無(wú)法承受���,因此��,人們嘗試著使用網(wǎng)絡(luò)技術(shù)讓跨越Internet的網(wǎng)絡(luò)模擬出專線連接的效果�,這種技術(shù)��,就是隧道技術(shù)(Tunnel)���,也是當(dāng)前很常見(jiàn)的V
5�����、PN(VirtualPrivateNetwork)技術(shù)�����,本文將全力解述VPN技術(shù)���,需要強(qiáng)烈說(shuō)明,如果不能實(shí)現(xiàn)隧道功能的VPN��,不能稱為VPN�。??????????????????????????????????????????????????????????返回目錄隧道技術(shù)(Tunnel)?由于在某些環(huán)境下,通過(guò)Internet連接的遠(yuǎn)程網(wǎng)絡(luò)之間��,雙方需要直接使用對(duì)方私有IP地址來(lái)互訪���,而私有IP網(wǎng)段是不能傳遞到Internet上進(jìn)行路由的�����,在數(shù)據(jù)包封裝為私有IP發(fā)到Internet之后����,由于Internet的路由器沒(méi)有私有IP網(wǎng)段,所以最終數(shù)據(jù)包將全部被丟棄而不能到
6����、達(dá)真正目的地。如下圖: ??上圖中�����,上海分公司要訪問(wèn)北京分公司的R4��,如果通過(guò)將數(shù)據(jù)包目的IP封裝為192.168.1.4�����,該數(shù)據(jù)包到達(dá)Internet后是會(huì)被丟棄的�����,因?yàn)镮nternet沒(méi)有192.168.1.0的路由�,所以數(shù)據(jù)包也就不可能到達(dá)北京分公司的路由器;從圖中我們不難發(fā)現(xiàn)����,除非數(shù)據(jù)包的目的IP為200.1.1.1��,才能到達(dá)北京分公司的路由器�����,否則別無(wú)它法,所以上海公司發(fā)出去的數(shù)據(jù)包的目標(biāo)IP只有封裝為200.1.1.1才能到達(dá)北京分公司的路由器R3�,既然如此,我們就思考著想辦法將數(shù)據(jù)包原來(lái)的私有IP地址先隱藏起來(lái)��,在外部封裝上公網(wǎng)IP��,等數(shù)據(jù)包通過(guò)公網(wǎng)IP
7���、被路由到該IP的路由器后��,再由該路由器剝除數(shù)據(jù)包外層的公網(wǎng)IP��,從而發(fā)現(xiàn)數(shù)據(jù)包的私有IP后�,再通過(guò)私有IP將數(shù)據(jù)包發(fā)到真正的目的地����。可以肯定,完成數(shù)據(jù)包封裝與解封裝的路由器必須既能與Internet直接通信����,也能與私有網(wǎng)絡(luò)通信。在上圖中�����,上海分公司的R2要想直接通過(guò)私有IP地址192.168.1.4與北京分公司的R4通信�����,在數(shù)據(jù)包的目標(biāo)IP封裝為192.168.1.4發(fā)到路由器R1之后�,R1就必須將整個(gè)數(shù)據(jù)包當(dāng)成數(shù)據(jù),然后在該數(shù)據(jù)包的外層再次將北京分公司路由器R3的公網(wǎng)IP地址200.1.1.1寫(xiě)上���,然后發(fā)到Internet���,Internet根據(jù)數(shù)據(jù)
