CCNP安全-IOS_VPN学习指南中文教程-苏州思朋信息.pdfVIP

苏州思朋信息 0512 简述 当不同的远程网络通过Internet连接时，比如上海和北京的两个分公司通过Internet连接时，网络之间的互访将会出现一些 局限性，如下拓朴所示： 在上图中，由于上海和北京的两个分公司内部网络分别使用了私有 网段 和 ，而私有 网段是不能传 IP IP 递到 上进行路由的，所以两个分公司无法直接通过私网地址 和 互访，如 无法直接通过访问私 Internet R2 网地址来访问R4。在正常情况下，上图中两个分公司要互访，可以在连接Internet的边界路由器上配置NAT来将 私网地址转换为公网地址，从而实现两个私有网络的互访。 但是在某些特殊需求下，两个分公司需要直接通过对方私有地址来访问对方网络，而不希望通过NAT映射后的地址来访问， 比如银行的业务系统，某银行在全国都有分行，而所有的分行都需要访问总行的业务主机系统，但这些业务主机地址并不希望 被NAT转换成公网地址，因为银行的主机不可能愿意暴露在公网之中，所以分行都需要直接通过私网地址访问总行业务主机； 在此类需求的网络环境中，我们就必须要解决跨越Internet的网络与网络之间直接通过私有地址互访的问题。 请再看如下拓朴的网络环境： 在上图的网络环境中，上海与北京两个分公司网络通过路由器直接互连，虽然两个公司的网络都是私有网段，但是两个网 络是直连的，比如上海分公司的数据从本地路由器发出后，数据包直接就丢到了北京分公司的路由器，中间并没有经过任何第 三方网络和设备，所以两个分公司直接通过对方私有地址互访没有任何问题。 由上图环境可知，只要两个网络直接互连而不经过任何第三方网络，那么互连的网络之间可以通过真实地址互访，而无论 其真实地址是公网还是私网。例如上海与北京这样的远距离网络要直连从而实现直接通过私有地址互访，要在公司之间自行铺 设网络电缆或光纤是完全不可能的，可以选择的替代方法就是向ISP 申请租用线路，这样的租用线路称为专线，专线是ISP直 接将两个公司连接起来的线路，完全是公司与公司的路由器直连，用户不会感觉到Internet的存在，所以通过租用ISP专线连 接的网络之间可以直接通过对方私有地址进行互访。至于ISP的专线是如何实现的，您不必担忧，通常是使用二层技术实现的， 但是专线的租用价格是相当昂贵的，有时是根据距离和带宽收费的，所以在某些时候，在公司之间通过租用 专线连接的成 ISP 本可能无法承受，因此，人们尝试着使用网络技术让跨越Internet的网络模拟出专线连接的效果，这种技术，就是隧道技术 （Tunnel），也是当前很常见的VPN （VirtualPrivateNetwork）技术，本文将全力解述VPN技术，需要强烈说明，如果不能实现 隧道功能的VPN，不能称为VPN。 返回目录 隧道技术（Tunnel） 思朋信息——苏州唯一以 IT培训加系统集成双模式的机构. 思朋CCIE冲刺群 326471372 苏州思朋信息 0512 由于在某些环境下，通过Internet连接的远程网络之间，双方需要直接使用对方私有IP地址来互访，而私有IP网段是不能 传递到Internet上进行路由的，在数据包封装为私有IP发到Internet之后，由于Internet的路由器没有私有IP网段，所以最终 数据包将全部被丢弃而不能到达真正目的地。如下图： 上图中，上海分公司要访问北京分公司的 ，如果通过将数据包目的 封装为 ，该数据包到达 后是 R4 IP Internet 会被丢弃的，因为Internet没有的路由，所以数据包也就