vpn5分析和总结分析和总结.docx

VPN 寻址及路由 要理解VPN 的工作原理，则必须对 VPN 的寻址及路由有个基本认识。VPN 连接在建立的同时创建一个虚拟接口，该虚拟接口必须被分配适当的 IP 地址，同时需要对路由做修改或添加，以确保数据流是在安全的 VPN 连接上而不是在公共网络上传输。下面分别就远程访问 VPN 和路由器-路由器 VPN 这两种不同的连接方式介绍 VPN 的寻址和路由。 一、远程访问 VPN 连接 在远程访问 VPN 连接建立过程中，VPN 服务器为远程访问 VPN 客户机分配一个 IP 地址，并修改远程客户机上的缺省路由，从而使得在缺省情况下数据流可以经由虚拟接口发送。 IP 地址和拨号 VPN 客户机 对于在创建 VPN 连接之前，需要以拨号方式上网的 VPN 客户机，有两个 IP 地址必须被分配： 创建 PPP 连接时，IPCP 与ISP NAS 协商，分配一个公共 IP 地址。 创建 VPN 连接时，IPCP 与 VPN 服务器协商，分配一个Intranet IP 地址。这个由VPN 服务器分配的 IP 地址可以是一个公共 IP 地址，也可以是一个专用IP 地址，具体情况依据不同的企业在其 Intranet 上所实现的是公共地址分配还是专用地址分配而定。 分配给 VPN 客户机的两个 IP 地址都必须是可以被Intranet 中的主机找得到的，反之亦然。为了实现这一点，在 VPN 服务器的路由表中必须包含能找到 Intranet 中每一台主机的路由表条目，而在 Intranet 的路由器的路由表中也必须包含能找到所有VPN 客户机的路由表条目。 如上所述，VPN 隧道数据将产生两个 IP 报头，其内部 IP 报头的源端和目的端地址分别是由 VPN 服务器分配的 VPN 客户机 IP 地址和Intranet 地址；其外部IP 报头中源端和目的端地址分别是由 ISP 分配的 VPN 客户机 IP 地址和VPN 服务器的公共地址。由于 Internet 上的路由器仅处理外部 IP 报头，因此在 IP 网络上传输时，Internet 路由器将数据转发到 VPN服务器的公共 IP 地址上。 下面给出拨号客户机寻址示意图，其中，企业 Intranet 采用专用IP 地址分配，传输数据为 IP 数据报。 图十四、PPTP 数据包中的公共地址和专用地址 缺省路由和基于 Internet 的 VPN 如图十五所示，拨号客户机拨打 ISP 时，利用至 ISP 的连接，客户机即添加了一条缺省路由。这样，经由 ISP NAS 的路由器，客户机可以到达 Internet 上任意目标地址。 图十五、拨打 ISP 时产生一条缺省路由 从上图中我们已经看到，客户机拨打 ISP 时会产生一条缺省路由，而随后当 VPN 客户机创建 VPN 连接时，又将添加另一条直接至隧道服务器地址的缺省路由和宿主机路由，如下图所示。前一条缺省路由将被保存，但新的缺省路由长度更长。添加新的缺省路由意味着在一条 VPN 连接的有效连接期内，发自客户机的数据包只能到达隧道服务器的 IP 地址，而无法达到其他任何 Internet 目的地址。 图十六、VPN 连接创建时产生另一条新缺省路由生成两条缺省路由的意义在于： 当 VPN 连接处于非活动状态时，发自客户机的数据包可到达任意 Internet 目的地址， 但不能抵达 Intranet 目的地址。 当 VPN 连接处于活动状态时，发自客户机的数据包可到达 Intranet 目的地址，但不能抵达任何 Internet 目的地址。 对于绝大多数VPN 客户机而言，上述机制并不会造成困扰， 因为通常VPN客户机在某一时刻或者与Intranet 进行数据通信或者与Internet 进行数据通信， 而不会同时与两者进行通信。 二、路由器-路由器 VPN 连接 1)临时路由器-路由器的VPN 连接和永久路由器-路由器 VPN 连接 路由器-路由器VPN 连接既可以是临时性的，也可以是永久性的。 临时路由器-路由器的 VPN 连接只有当有数据包需要经过 VPN 按需拨号接口 ( demand-dial interface)转发时才被建立起来，在过了一段特定长度空闲时间后即被断开。VPN 客户机（主叫路由器）和VPN 服务器（被叫路由器）均需配置空闲时间长度。VPN 客户机按需拨号接口的缺省空闲时间没有限制，而 VPN 服务器的缺省空闲时间为 20 分钟。 永久路由器-路由器 VPN 连接，只要路由器开始启动，即可建立。在永久由器-路由器的 VPN 连接中，无论是否有数据流发送，连接始终保持，即便连接被中断，也会自动尝试再次恢复连接。 2）使用拨号 ISP 连接的VPN 如果 VPN 服务器和 VPN 客户机双方均通过诸如T1 或帧中继等永久性 W