新计算机组网技术 刘永华 电子教案 第8章.pptVIP

第8章 网络互联 本章主要内容 8.1 虚拟专用网VPN 8.1.1 VPN原理 8.1.2 VPN的Windows解决方案 8.2 网络地址转换NAT 8.2.1 NAT工作原理 8.2.2 NAT技术实施 8.3 局域网宽带接入Internet 8.3.1 NAT技术的软件实现 8.3.2 Internet连接共享接入 8.3.3 通过代理服务器接入 习题与思考题八 8.1 虚拟专用网VPN 8.1.1 VPN原理 由于IP地址的紧缺，一个机构能够申请到的IP地址数往往小于本机构所拥有的主机数。实际上，出于安全等原因，一个机构内的很多主机并不需要接入到外部的Internet，它们主要是利用内部的其他主机进行通信（例如，在大型商场或宾馆中有很多用于营业和管理的计算机。显然这些计算机并不需要和Internet相连）。假定一个机构内部的计算机通信也是采用TCP/IP协议，从原则上讲，对于这些仅在机构内部使用的计算机就可以由本机构自行分配其IP地址。这就是说，让这些计算机使用仅在本机构有效的IP地址（这种地址称为本地地址），而不需要向Internet的管理机构申请全球唯一的IP地址（这种地址称为全球地址）。这样就可以节约宝贵的全球IP地址资源。 但是，任意选择一些IP地址作为本地地址，在某种情况下可能会引起一些麻烦。例如，一个不连接到Internet的主机A分配到本地地址。这个地址不需要在Internet地址管理机构注册，但在本机构内必须是唯一的。然而正巧Internet上有一个主机，其IP地址就是，而且这个主机要和本机构的某个具有全球地址的主机通信，这样就会出现二义性问题。 为了解决这一问题，RFC1918指明了一些专用地址（Private Address）。这些地址只能用于一个机构的内部通信，而不能用于和Internet上的主机通信。换言之，专用地址只能用作本地地址而不能用作全球地址。在Internet的所有路由器对目的地址是专用地址的数据报一律不进行转发。 RFCl918指明的专用地址是： （1）到55（或记为l0/8，是一个24位块）。 （2）到55（或记为172.16/12，是一个20位块）。 （3）到55（或记为192.168/16，是一个16位块）。 上面的三个地址块分别相当于一个A类网络、16个连续的B类网络和256个连续的C类网络。A类地址本来早已用完了，地址本来是分配给ARPANET的。出于ARPANET已经关闭停止运行，因此这个地址就用作了专用地址。 采用这样的专用IP地址的互联网络称为专用互联网或本地互联网，或更简单些，就叫做专用网。显然，全世界可能有很多的专用互联网络具有相同的专用IP地址，但这并不会引起麻烦，因为这些专用地址仅在本机构内部使用。专用IP地址也叫做可重用地址（Reusable Address）。 有时一个很大的机构有许多部门分布在相距很远的一些地点，而任何一个地点都有自己的专用网。假定这些分布在不向地点的专用网需要经常进行通信。这时，可以有两种方法。第一种方法是租用电信公司的线路为本机构专用。这种方法的好处是简单方便，但线路的租金太高。第二种方法是利用Internet（即公用互联网）来实现本机构的专用网，这样的专用网又称为虚拟专用网VPN（Virtual Private Network）。虚拟即“好像是”但实际上不是，因为现在是Internet（而并没有用专线）来连接分散在各地的本地网络。VPN只是在效果上和真正的专用网一样。 图8-1说明如何使用隧道技术实现虚拟专用网。 8.1.2 VPN的Windows解决方案 微软公司的Windows Server 2003提供了对VPN通信技术的支持，本节将讲述VPN在该网络操作系统中的实现方案。 Windows Server 2003支持的VPN通信协议有以下两种： （1）PPTP（Point-to-Point Tunneling Protocol），只有IP网络才可以建立起PPTP的VPN。两个局域网之间如通过PPTP连接，则两端直接连接到Internet的VPN服务器必须支持TCP/IP协议，而网络内的其他计算机并不需要支持TCP/IP，它们可以支持TCP/IP、IPX或NETBEUI通信协议。 （2）L2TP（Layer Two Tunneling Protocol），与PPTP类似。 VPN一般用在以下两种情况： （1）总公司的网络已经连接到Internet，用户通过远程拨号连接ISP进入Internet后，就可以通过Internet连接总公司的VPN服务器，可以建立PPTP或L2TP的VPN，如图8-2所示。 （2）两个局域网都连结到Internet，都具有VPN服务器，并且通过Int