html模版虛擬專用網VPN系列講座(五)
首頁信息化虛擬專用網VPN系列講座(五)

虛擬專用網VPN系列講座(五) 時間:2007-09-16 11:34:45作者:中國IT實驗室
本文關鍵詞:無 台中商標註冊流程

VPN尋址及路由 要理解VPN的工作原理,則必須對VPN的尋址及路由有個基本認識。VPN連接在建立的同時創建一個虛擬接口,該虛擬接口必須被分配適當的IP地址,同時需要對路由做修改或添加,以確保數據流是在安全的VPN連接上而不是在公共網絡上傳輸。下面分別就遠程訪問VPN和路由器-路由器VPN這兩種不同的連接方式介紹VPN的尋址和路由。

一、遠程訪問VPN連接

在遠程訪問VPN連接建立過程中,VPN服務器為遠程訪問VPN客戶機分配一個IP地址,並修改遠程客戶機上的缺省路由,從而使得在缺省情況下數據流可以經由虛擬接口發送。

1)IP地址和撥號VPN客戶機 對於在創建VPN連接之前,需要以撥號方式上網的VPN客戶機,有兩個IP地址必須被分配:

·創建PPP連接時,IPCP與ISP NAS協商,分配一個公共IP地址。

·創建VPN連接時,IPCP與VPN服務器協商,分配一個Intranet IP地址。這個由VPN服務器分配的IP地址可以是一個公共IP地址,也可以是一個專用IP地址,具體情況依據不同的企業在其Intranet上所實現的是公共地址分配還是專用地址分配而定。

分配給VPN客戶機的兩個IP地址都必須是可以被Intranet中的主機找得到的,反之亦然。為瞭實現這一點,在VPN服務器的路由表中必須包含能找到Intranet中每一臺主機的路由表條目,而在Intranet的路由器的路由表中也必須包含能找到所有VPN客戶機的路由表條目。

如上所述,VPN隧道數據將產生兩個IP報頭,其內部IP報頭的源端和目的端地址分別是由VPN服務器分配的VPN客戶機IP地址和Intranet地址;其外部IP報頭中源端和目的端地址分別是由ISP分配的VPN客戶機IP地址和VPN服務器的公共地址。由於Internet上的路由器僅處理外部IP報頭,因此在IP網絡上傳輸時,Internet路由器將數據轉發到VPN服務器的公共IP地址上。

下面給出撥號客戶機尋址示意圖,其中,企業Intranet采用專用IP地址分配,傳輸數據為IP數據報。



圖十四、PPTP數據包中的公共地址和專用地址

2)缺省路由和基於Intern台中商標註冊代辦et的VPN

如圖十五所示,撥號客戶機撥打ISP時,利用至ISP的連接,客戶機即添加瞭一條缺省路由。這樣,經由ISP NAS的路由器,客戶機可以到達Internet上任意目標地址。





圖十五、撥打ISP時產生一條缺省路由

從上圖中我們已經看到,客戶機撥打ISP時會產生一條缺省路由,而隨後當VPN客戶機創建VPN連接時,又將添加另一條直接至隧道服務器地址的缺省路由和宿主機路由,如下圖所示。前一條缺省路由將被保存,但新的缺省路由長度更長。添加新的缺省路由意味著在一條VPN連接的有效連接期內,發自客戶機的數據包隻能到達隧道服務器的IP地址,而無法達到其他任何Internet目的地址。

圖十六、VPN連接創建時產生另一條新缺省路由

生成兩條缺省路由的意義在於:

·當VPN連接處於非活動狀態時,發自客戶機的數據包可到達任意Internet目的地址,但不能抵達Intranet目的地址。

·當VPN連接處於活動狀態時,發自客戶機的數據包可到達Intranet目的地址,但不能抵達任何Internet目的地址。 對於絕大多數VPN客戶機而言,上述機制並不會造成困擾,因為通常VPN客戶機在某一時刻或者與Intranet進行數據通信或者與Internet進行數據通信,而不會同時與兩者進行通信。

1)臨時路由器-路由器的VPN連接和永久路由器-路由器VPN連接 路由器-路由器VPN連接既可以是臨時性的,也可以是永久性的。

臨時路由器-路由器的VPN連接隻有當有數據包需要經過VPN按需撥號接口( demand-dial interface)轉發時才被建立起來,在過瞭一段特定長度空閑時間後即被斷開。VPN客戶機(主叫路由器)和VPN服務器(被叫路由器)均需配置空閑時間長度。VPN客戶機按需撥號接口的缺省空閑時間沒有限制,而VPN服務器的缺省空閑時間為20分鐘。

·永久路由器-路由器VPN連接,隻要路由器開始啟動,即可建立。在永久由器-路由器的VPN連接中,無論是否有數據流發送,連接始終保持,即便連接被中斷,也會自動嘗試再次恢復連接。

2)使用撥號ISP連接的VPN 如果VPN服務器和VPN客戶機雙方均通過諸如T1或幀中繼等永久性WAN鏈路與Internet直接相連,則該VPN連接可以是永久性的,且全天候可用。然而,如果沒有可用的永久性WAN鏈路,則可以選擇使用撥號ISP配置一個隨需(on-demand)路由器-路由器VPN連接。

在通常VPN實現中,遠程分部辦公室路由器接收到需要轉發的數據流時,會自動建立一條隨需路由器-路由器VPN連接。舉例來說,某遠程分部辦公室路由器接收到需要發往公司總部的數據包時,首先使用撥號鏈路與本地ISP取得連接;當可用的Internet連接建立起來之後,該分部路由器--VPN客戶機,即可創建一條路由器-路由器VPN連接,與公司總部路由器--VPN服務器相連。

3)靜態路由和動態路由 在按需撥號接口被建立起來,且已經確定是臨時連接還是永久性連接之後,我們可以選用以下三種方法之一在路由表中添加路由信息:

a.對於臨時連接,可以通過手工方式添加路由信息。手工配置靜態路由信息適用於路由器數目不多的小型應用方案中。

b.對於永久連接,可以使用"自動靜態更新"(auto-static updates)來對靜態路由做周期性更新。自動靜態路由可適用於有大量路由信息的較大的應用環境中。

c.對於永久連接,則可以將VPN連接看作一條點對點鏈路,選用其他合適的路由協議,對路由器-路由器VPN連接進行動態路由維護。



上一篇:微軟強制MSN用戶升級 官方解釋旨在保護系統安全下一篇:"薄客台中商標註冊類別"技壓群芳 A.O史密斯上網本夢幻登場

台灣電動床工廠 電動床

台灣電動床工廠 電動床


arrow
arrow
    文章標籤
    台中商標註冊流程 台中商標註冊代辦 台中商標註冊類別
    全站熱搜

    ioo107c8c7 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄