cisco经典文档--vpn

cisco经典文档--vpn

ID:20274933

大小:111.00 KB

页数:9页

时间:2018-10-09

cisco经典文档--vpn_第1页
cisco经典文档--vpn_第2页
cisco经典文档--vpn_第3页
cisco经典文档--vpn_第4页
cisco经典文档--vpn_第5页
资源描述:

《cisco经典文档--vpn》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、当不同的远程网络通过Internet连接时,比如上海和北京的两个分公司通过Internet连接时,网络之间的互访将会出现一些局限性,如下拓朴所示:在上图中,由于上海和北京的两个分公司内部网络分别使用了私有IP网段10.1.1.0和192.168.1.0,而私有IP网段是不能传递到Internet上进行路由的,所以两个分公司无法直接通过私网地址10.1.1.0和192.168.1.0互访,如R2无法直接通过访问私网地址192.168.1.4来访问R4。在正常情况下,上图中两个分公司要互访,可以在连接Internet的边界路由器上配置NA

2、T来将私网地址转换为公网地址,从而实现两个私有网络的互访。但是在某些特殊需求下,两个分公司需要直接通过对方私有地址来访问对方网络,而不希望通过NAT映射后的地址来访问,比如银行的业务系统,某银行在全国都有分行,而所有的分行都需要访问总行的业务主机系统,但这些业务主机地址并不希望被NAT转换成公网地址,因为银行的主机不可能愿意暴露在公网之中,所以分行都需要直接通过私网地址访问总行业务主机;在此类需求的网络环境中,我们就必须要解决跨越Internet的网络与网络之间直接通过私有地址互访的问题。请再看如下拓朴的网络环境:在上图的网络环境中,

3、上海与北京两个分公司网络通过路由器直接互连,虽然两个公司的网络都是私有网段,但是两个网络是直连的,比如上海分公司的数据从本地路由器发出后,数据包直接就丢到了北京分公司的路由器,中间并没有经过任何第三方网络和设备,所以两个分公司直接通过对方私有地址互访没有任何问题。由上图环境可知,只要两个网络直接互连而不经过任何第三方网络,那么互连的网络之间可以通过真实地址互访,而无论其真实地址是公网还是私网。例如上海与北京这样的远距离网络要直连从而实现直接通过私有地址互访,要在公司之间自行铺设网络电缆或光纤是完全不可能的,可以选择的替代方法就是向IS

4、P申请租用线路,这样的租用线路称为专线,专线是ISP直接将两个公司连接起来的线路,完全是公司与公司的路由器直连,用户不会感觉到Internet的存在,所以通过租用ISP专线连接的网络之间可以直接通过对方私有地址进行互访。至于ISP的专线是如何实现的,您不必担忧,通常是使用二层技术实现的,但是专线的租用价格是相当昂贵的,有时是根据距离和带宽收费的,所以在某些时候,在公司之间通过租用ISP专线连接的成本可能无法承受,因此,人们尝试着使用网络技术让跨越Internet的网络模拟出专线连接的效果,这种技术,就是隧道技术(Tunnel),也是当

5、前很常见的VPN(VirtualPrivateNetwork)技术,本文将全力解述VPN技术,需要强烈说明,如果不能实现隧道功能的VPN,不能称为VPN。返回目录隧道技术(Tunnel)由于在某些环境下,通过Internet连接的远程网络之间,双方需要直接使用对方私有IP地址来互访,而私有IP网段是不能传递到Internet上进行路由的,在数据包封装为私有IP发到Internet之后,由于Internet的路由器没有私有IP网段,所以最终数据包将全部被丢弃而不能到达真正目的地。如下图: 上图中,上海分公司要访问北京分公司的R4,如果通

6、过将数据包目的IP封装为192.168.1.4,该数据包到达Internet后是会被丢弃的,因为Internet没有192.168.1.0的路由,所以数据包也就不可能到达北京分公司的路由器;从图中我们不难发现,除非数据包的目的IP为200.1.1.1,才能到达北京分公司的路由器,否则别无它法,所以上海公司发出去的数据包的目标IP只有封装为200.1.1.1才能到达北京分公司的路由器R3,既然如此,我们就思考着想办法将数据包原来的私有IP地址先隐藏起来,在外部封装上公网IP,等数据包通过公网IP被路由到该IP的路由器后,再由该路由器剥除

7、数据包外层的公网IP,从而发现数据包的私有IP后,再通过私有IP将数据包发到真正的目的地。可以肯定,完成数据包封装与解封装的路由器必须既能与Internet直接通信,也能与私有网络通信。在上图中,上海分公司的R2要想直接通过私有IP地址192.168.1.4与北京分公司的R4通信,在数据包的目标IP封装为192.168.1.4发到路由器R1之后,R1就必须将整个数据包当成数据,然后在该数据包的外层再次将北京分公司路由器R3的公网IP地址200.1.1.1写上,然后发到Internet,Internet根据数据包的公网IP地址200.1

8、.1.1将数据包路由到R3,然后R3将数据包的公网IP剥除后,看见私有IP地址192.168.1.4,然后再根据该地址将数据包发到R4,最终实现了上海分公司通过私有IP地址192.168.1.4访问北京分公司网络的功能。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。