VPN 第 5场 系列讲座 虚构公用网

吴志扬

宣布于：2002-01-2414:06:00楼主虚构公用网VPN系列讲座（五）谢杨--------------------------------------------------------------------------------VPN寻址及路由要了解VPN的上班原理，则必定对VPN的寻址及路由有个基本意识。VPN衔接在建设的同时创立一个虚构接口，该虚构接口必定被调配适当的IP地址，同时须要对路由做修正或减少，以确保数据流是在安保的VPN衔接上而不是在公共网络上行输。上方区分就远程访问VPN和路由器-路由器VPN这两种不同的衔接模式引见VPN的寻址和路由。一、远程访问VPN衔接在远程访问VPN衔接建设环节中，VPN主机为远程访问VPN客户机调配一个IP地址，并修正远程客户机上的缺省路由，从而使得在缺省状况下数据流可以经由虚构接口发送。1）IP地址和拨号VPN客户机关于在创立VPN衔接之前，须要以拨号模式上网的VPN客户机，有两个IP地址必定被调配：·创立PPP衔接时，IPCP与ISPNAS协商，调配一个公共IP地址。·创立VPN衔接时，IPCP与VPN主机协商，调配一个IntranetIP地址。这个由VPN主机调配的IP地址可以是一个公共IP地址，也可以是一个公用IP地址，详细状况依据不同的企业在其Intranet上所成功的是公共地址调配还是公用地址调配而定。调配给VPN客户机的两个IP地址都必定是可以被Intranet中的主机找获取的，反之亦然。为了成功这一点，在VPN主机的路由表中必定蕴含能找到Intranet中每一台主机的路由表条目，而在Intranet的路由器的路由表中也必定蕴含能找到一切VPN客户机的路由表条目。如上所述，VPN隧道数据将发生两个IP报头，其外部IP报头的源端和目的端地址区分是由VPN主机调配的VPN客户机IP地址和Intranet地址；其外部IP报头中源端和目的端地址区分是由ISP调配的VPN客户机IP地址和VPN主机的公共地址。由于Internet上的路由器仅解决外部IP报头，因此在IP网络上行输时，Internet路由器将数据转发到VPN主机的公共IP地址上。上方给出拨号客户机寻址示用意，其中，企业Intranet驳回公用IP地址调配，传输数据为IP数据报。图十四、PPTP数据包中的公共地址和公用地址2）缺省路由和基于Internet的VPN如图十五所示，拨号客户机拨打ISP时，应用至ISP的衔接，客户机即减少了一条缺省路由。这样，经由ISPNAS的路由器，客户机可以抵达Internet上马意指标地址。图十五、拨打ISP时发生一条缺省路由从上图中咱们曾经看到，客户机拨打ISP时会发生一条缺省路由，而随后当VPN客户机创立VPN衔接时，又将减少另一条间接至隧道主机地址的缺省路由和宿主机路由，如下图所示。前一条缺省路由将被保留，但新的缺省路由长度更长。减少新的缺省路由象征着在一条VPN衔接的有效衔接期内，发自客户机的数据包只能抵达隧道主机的IP地址，而不可到达其余任何Internet目的地址。图十六、VPN衔接创立时发生另一条新缺省路由生成两条缺省路由的意义在于：·当VPN衔接处于非优惠形态时，发自客户机的数据包可抵达恣意Internet目的地址，但不能抵达Intranet目的地址。·当VPN衔接处于优惠形态时，发自客户机的数据包可抵达Intranet目的地址，但不能抵达任何Internet目的地址。关于绝大少数VPN客户机而言，上述机制并不会形成困扰，由于理论VPN客户机在某一时辰或许与Intranet启动数据通讯或许与Internet启动数据通讯，而不会同时与两者启动通讯。二、路由器-路由器VPN衔接1)暂时路由器-路由器的VPN衔接和终身路由器-路由器VPN衔接路由器-路由器VPN衔接既可以是暂时性的，也可以是终身性的。·暂时路由器-路由器的VPN衔接只要当有数据包须要经过VPN按需拨号接口(demand-dialinterface)转发时才被建设起来，在过了一段特定长度闲暇期间后即被断开。VPN客户机（主叫路由器）和VPN主机（被叫路由器）均需性能闲暇期间长度。VPN客户机按需拨号接口的缺省闲暇期间没有限度，而VPN主机的缺省闲暇期间为20分钟。·终身路由器-路由器VPN衔接，只需路由器开局启动，即可建设。在终身由器-路由器的VPN衔接中，无论能否有数据流发送，衔接一直坚持，即使衔接被终止，也会智能尝试再次复原衔接。2）经常使用拨号ISP衔接的VPN假设VPN主机和VPN客户机双方均经过诸如T1或帧中继等终身性WAN链路与Internet间接相连，则该VPN衔接可以是终身性的，且全天候可用。但是，假设没有可用的终身性WAN链路，则可以决定经常使用拨号ISP性能一个随需（on-demand）路由器-路由器VPN衔接。在理论VPN成功中，远程分部办公室路由器接纳到须要转发的数据流时，会智能建设一条随需路由器-路由器VPN衔接。举例来说，某远程分部办公室路由器接纳到须要发往公司总部的数据包时，首先经常使用拨号链路与本地ISP取得衔接；当可用的Internet衔接建设起来之后，该分部路由器--VPN客户机，即可创立一条路由器-路由器VPN衔接，与公司总部路由器--VPN主机相连。3)静态路由和灵活路由在按需拨号接口被建设起来，且曾经确定是暂时衔接还是终身性衔接之后，咱们可以决定以下三种方法之一在路由表中减少路由消息：a．关于暂时衔接，可以经过手工模式减少路由消息。手工性能静态路由消息实用于路由器数目不多的小型运行打算中。b．关于终身衔接，可以经常使用"智能静态降级"（auto-staticupdates）来对静态路由做周期性降级。智能静态路由可实用于有少量路由消息的较大的运行环境中。c．关于终身衔接，则可以将VPN衔接看作一条点对点链路，决定其余适合的路由协定，对路由器-路由器VPN衔接进执行态路由保养。 收藏 约请回答 回复楼主 投诉