透视"Juniper FW 具有重叠地址的VPN站点"之一
版权声明:原创作品,谢绝转载!否则将追究法律责任。 |
一般情况下,site to site vpn 两端LAN的IP网段是不相同的,但有一般情况就有特殊情况的存在啊!两端LAN的IP网段重叠了.这样!怎么做VPN呢? 问题是产生方法的源动力!!!!
先做个网络模型吧!A-LAN 和B-LAN进行VPN互连,两个LAN的IP段192.168.1.0/24. B-LAN中有台FTP serverB(192.168.1.2). A-LAN中有一个test用户(192.168.1.8)想去访问serverB,输入192.168.1.2后,当然是访问不到serverB的啊! 现在就需要VPN设备大显神通了啊!(就选性能和功能都不错的Juniper FW这个VPN设备吧!) 让我们通过一个小小的数据包去看看它(Juniper)是如何神奇的使A-LAN的用户能访问到serverB的啊!! 当test用户按了访问serverB的键时,一个很小,但很重要(说它重要是因为通过它可以帮助我们认识工作原理啊)的数据包产生。从此时,此地,就开始了我们的神奇的旅程了! 目的IP(192.168.3.7)(为什么输入192.168.3.7这个IP呢?serverB明明是192.168.1.2啊!其实这样做的目的是要将数据包的IP地址不管是源还目都要弄成中立的IP,等一下,我们还要把源址弄成中立的啊!(所谓中立的IP就是不在A-LAN和B-LAN的网段啊!))源地址(192.168.1.8)的数据包到达Juniper时,Juniper需要对这个数据包进行一番手术才行的啊! 第一步就是把数据包的源IP修改成(192.168.2.2).此时这个数据包的目的,源地址变得与A-LAN和B-LAN这两个网络的IP网段地址都不相同了.这下,这个数据好像被Juniper设备搞得前不着村,后不着店似的。这正是我们要达到的目的啊!使数据包能在两个LAN中进行路由的。为了让数据包找到回家的路,Juniper的设备的数据库中存了一个条目192.168.2.2和 192.168.1.8的映射。当数据包从B-LAN中回到A-LAN时,可以使数据到达test 中。 当数据包的IP地址进行了处理了后,下面就VPN的本分处理了喔!(说明一下,Juniper设备以前以把VPN 的SA协商好了啊!)加密,散列一个都不能少喔!!! 数据包安全的达到B-LAN的Juniper上时,Juniper就先进行常规的数据包处理了喔!把被A-LAN的Juniper搞的面目全非的数据包修复(解密)成大家(路由器,交换机,计算机)都可以看明白的数据包.下面的处理是常规VPN的不同的处理了喔!当然还在IP上进行处理喔(真可怜啊!在两头都是对它手术啊!)在A-LAN中实际的serverB的IP是192.168.1.2啊!要让我们数据包到达serverB,当然就要把数据包的目的IP修改成192.168.1.2才行啊!,同样,为了让数据包能找到回家的路。Juniper要记录一个条目192.168.1.2 和192.168.3.7的映射啊!! 好了喔!数据包现在可以到达serverB了, 现在从serverB的数据包要达到A-LAN的test的计算机啊! 幸好,刚才从test到serverB的数据包边走,边留下了路标。所以回去的数据包就容易了,再不用一路探路了。 上面主要说了,具有重叠IP和不重叠IP的VPN的不同处。 ...... 本文出自 “一部分” 博客,谢绝转载! 本文出自 51CTO.COM技术博客 |
mfkyni12
博客统计信息
热门文章
最新评论
友情链接