在intranet中如何采用虚拟ip技术

在intranet中如何采用虚拟ip技术

ID:24933352

大小:53.50 KB

页数:7页

时间:2018-11-17

在intranet中如何采用虚拟ip技术_第1页
在intranet中如何采用虚拟ip技术_第2页
在intranet中如何采用虚拟ip技术_第3页
在intranet中如何采用虚拟ip技术_第4页
在intranet中如何采用虚拟ip技术_第5页
资源描述:

《在intranet中如何采用虚拟ip技术》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、在Intranet中如何采用虚拟IP技术~教育资源库  我们可以设想有两个子网,他们分别通过各自的IP网关与上级网关连接,最后连入Inter。通常情况下,如果建立Intra,可以在其中一个子网的IP网关上安置防火墙,将整个子网建成为内部网。这时,作为防火墙的计算机将是整个内部网中最关键的环节,是黑客入侵时首当其冲的部位,一旦崩溃,整个Intra将断绝同外界的一切联系。  如果注意一下的话,就可以发现防火墙是企业内部网的一个惹人注目的焦点,无论具体是哪一种安全结构,防火墙的使命是相同的,都同样是黑客们的眼中钉。那么,我们不妨换一个角度看问题,分散黑客们的注意力,将网

2、络安全性问题平均地分担在整个企业内部网中,而不是集中地由一台或两台安装了防火墙的计算机来担当。这样做并不意味着安全性的降低和维护困难。  1.设置基本网络结构  具体来讲,在一个子网内,我们可以将它的IP网关的设置为*.*.60.62,其子网掩码为255.255.255.192。对于这个子网来说,*.*.60.0~*.*.60.63的一段IP地址是子网内部有效的(AvailableIP),子网中拥有这些IP地址的计算机的子网掩码也是255.255.255.192,此时的网关对于这些计算机是透明的,它们可以直接通过网关访问Inter。同样地,Inter上的任意一台主

3、机也可以直接访问到子网内部的这些计算机,这样的IP地址称之为合法IP(LegalIP),或真实IP(RealIP)。  但是,另外一种我们认为有问题的做法是,IP网关的及掩码设置不变(这一点是至关重要的),子网内的某台计算机的IP地址设置为有效IP中的某一个,如*.*.60.60,但其掩码可以设置为255.255.254.192,注意子网掩码中第三组数字发生的变化。接下来我们做几个与运算,60254=60,60255=60,61254=60,61255=61。根据TCP/IP协议我们可以知道,*.*.60.60这台计算机可以访问IP网关外*.*.61.0~*.*.

4、61.63的一段IP节点,也可以访问诸如.scape.一类的任何Inter主机。当然,Inter上的任何主机也可以访问到*.*.60.60。这时,子网中的其他计算机的IP地址可以设置为*.*.61.0~*.*.61.63中的某一个,如*.*.61.8,注意IP地址中第三组数字的变化,其子网掩码设置为255.255.254.192。看一下刚才的与运算结果,我们可以知道,拥有这样的TCP/IP配置的计算机是不能访问IP网关以外的节点的,它们发出的IP包在检查源地址的IP网关处,被网关认为是坏包,将予以丢弃。更值得注意的是,Inter上某台主机向*.*.61.8发出的I

5、P包,也许还根本到不了本子网的IP网关,就已经被上级网关转发到真正的*.*.61.8所在的子网了。本子网内拥有这些IP地址的计算机,对于IP网关外面是不可见的,我们称这样的IP地址为非法IP(IllegalIP),或虚拟IP(VirtualIP)。  那么*.*.61.8和*.*.60.60这两台计算机之间可以互相通讯吗?当然可以!这一点由TCP/IP协议就可以清楚地知道。如果IP网关外真正的*.*.61.8计算机也正在网络上(Alive),*.*.60.60向*.*.61.8发出的IP包是被虚拟IP持有者收到,还是被真实IP持有者收到呢?  从TCP/IP协议的

6、规定看,宿主机向目的主机发出IP包前,首先进行目的主机IP地址和宿主机子网掩码的与运算,结果和宿主机在做TCP/IP初始化时,宿主机IP地址和自身子网掩码的与运算结果一致,意味着目的主机和宿主机在同一个物理网段,则宿主机直接向目的主机发送IP包,如果两个运算结果不一致,意味着目的主机和宿主机不在同一个物理网段,此时,宿主机将IP包发送到网关,由IP网关转发。无论是哪一种情况,宿主机都要在本物理网段广播一个ARP请求,如果持有虚拟IP的计算机正在网络上,它会首先向宿主机发回一个ARP应答,于是宿主机向它发送IP包,如果虚拟IP计算机不在网络上,ARP请求没有应答,宿

7、主机只能将IP包发送到网关。所以同样是*.*.61.8的虚拟IP计算机和真实IP计算机同时连接在网络上时,*.*.60.60向它们发送的IP包,只会被虚拟IP计算机收到,因为它们在同一物理网段。  所以,网关内部的网络是相对独立的,不受外界干扰,能被外界访问到的只是IP网关和像*.*.60.60这样的计算机,而像*.*.61.8这样的计算机它们彼此之间可以互相联系,也可以与*.*.60.60这样的计算机联系,但不能和网关外的计算机通讯。  2.规划网络功能  有了这样一个基本的网络结构后,我们就可以具体规划网络功能了。像*.*.60.60这样的既可以被网关外面的真

8、实IP主机

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。