計算機網絡工程課件第8章

第8章網絡互聯技術本章主要內容8.1虛擬專用網VPN 8.1.1VPN原理

8.1.2VPN的Windows解決方案8.2網絡地址轉換NAT 8.2.1NAT工作原理

8.2.2NAT技術實施8.3局域網寬帶接入Internet 8.3.1NAT技術的軟件實現

8.3.2Internet連接共享接入

8.3.3通過代理服務器接入習題與思考題八8.1虛擬專用網VPN8.1.1VPN原理由于IP地址的緊缺，一個機構能夠申請到的IP地址數往往小于本機構所擁有的主機數。實際上，出于安全等原因，一個機構內的很多主機并不需要接入到外部的Internet，它們主要是利用內部的其他主機進行通信（例如，在大型商場或賓館中有很多用于營業(yè)和管理的計算機。顯然這些計算機并不需要和Internet相連）。假定一個機構內部的計算機通信也是采用TCP/IP協(xié)議，從原則上講，對于這些僅在機構內部使用的計算機就可以由本機構自行分配其IP地址。這就是說，讓這些計算機使用僅在本機構有效的IP地址（這種地址稱為本地地址），而不需要向Internet的管理機構申請全球唯一的IP地址（這種地址稱為全球地址）。這樣就可以節(jié)約寶貴的全球IP地址資源。但是，任意選擇一些IP地址作為本地地址，在某種情況下可能會引起一些麻煩。例如，一個不連接到Internet的主機A分配到本地地址。這個地址不需要在Internet地址管理機構注冊，但在本機構內必須是唯一的。然而正巧Internet上有一個主機，其IP地址就是，而且這個主機要和本機構的某個具有全球地址的主機通信，這樣就會出現二義性問題。為了解決這一問題，RFC1918指明了一些專用地址（PrivateAddress）。這些地址只能用于一個機構的內部通信，而不能用于和Internet上的主機通信。換言之，專用地址只能用作本地地址而不能用作全球地址。在Internet的所有路由器對目的地址是專用地址的數據報一律不進行轉發(fā)。RFCl918指明的專用地址是：（1）到55（或記為l0/8，是一個24位塊）。（2）到55（或記為172.16/12，是一個20位塊）。（3）到55（或記為192.168/16，是一個16位塊）。 上面的三個地址塊分別相當于一個A類網絡、16個連續(xù)的B類網絡和256個連續(xù)的C類網絡。A類地址本來早已用完了，地址本來是分配給ARPANET的。出于ARPANET已經關閉停止運行，因此這個地址就用作了專用地址。采用這樣的專用IP地址的互聯網絡稱為專用互聯網或本地互聯網，或更簡單些，就叫做專用網。顯然，全世界可能有很多的專用互聯網絡具有相同的專用IP地址，但這并不會引起麻煩，因為這些專用地址僅在本機構內部使用。專用IP地址也叫做可重用地址（ReusableAddress）。有時一個很大的機構有許多部門分布在相距很遠的一些地點，而任何一個地點都有自己的專用網。假定這些分布在不向地點的專用網需要經常進行通信。這時，可以有兩種方法。第一種方法是租用電信公司的線路為本機構專用。這種方法的好處是簡單方便，但線路的租金太高。第二種方法是利用Internet（即公用互聯網）來實現本機構的專用網，這樣的專用網又稱為虛擬專用網VPN（VirtualPrivateNetwork）。虛擬即“好像是”但實際上不是，因為現在是Internet（而并沒有用專線）來連接分散在各地的本地網絡。VPN只是在效果上和真正的專用網一樣。圖8-1說明如何使用隧道技術實現虛擬專用網。X部門AInternet部門BR1R2隧道Y（a）使用隧道技術加密的從X到Y的內部數據報外部數據報的數據部分源地址：目的地址：數據報首部部門A部門BXYR1R2（b）構成虛擬專用網VPN8.1.2VPN的Windows解決方案微軟公司的WindowsServer2003提供了對VPN通信技術的支持，本節(jié)將講述VPN在該網絡操作系統(tǒng)中的實現方案。WindowsServer2003支持的VPN通信協(xié)議有以下兩種：（1）PPTP（Point-to-PointTunnelingProtocol），只有IP網絡才可以建立起PPTP的VPN。兩個局域網之間如通過PPTP連接，則兩端直接連接到Internet的VPN服務器必須支持TCP/IP協(xié)議，而網絡內的其他計算機并不需要支持TCP/IP，它們可以支持TCP/IP、IPX或NETBEUI通信協(xié)議。（2）L2TP（LayerTwoTunnelingProtocol），與PPTP類似。VPN一般用在以下兩種情況：（1）總公司的網絡已經連接到Internet，用戶通過遠程撥號連接ISP進入Internet后，就可以通過Internet連接總公司的VPN服務器，可以建立PPTP或L2TP的VPN，如圖8-2所示。（2）兩個局域網都連結到Internet，都具有VPN服務器，并且通過Internet建立PPTP或L2TP的VPN。圖8-2用VPN連接建立路由連接本案例中主要介紹第一種情況。下面就來看WindowsServer2003中的VPN實現步驟。1．架設VPN服務器（1）選擇“開始”→“管理工具”→“路由和遠程訪問”，在如圖8-3所示的窗口中，右擊服務器名字，選擇“配置并啟用路由和遠程訪問”命令，打開如圖8-4所示的對話框。（2）在圖8-4中選擇“遠程訪問（撥號或VPN）”，單擊“下一步”按鈕，打開如圖8-5所示的對話框。（3）在圖8-5中選擇VPN，單擊“下一步”按鈕，打開如圖8-6所示的對話框。（4）要允許VPN客戶端連接到服務器，至少要有一個網絡接口連接到Internet。在圖8-6中選擇連接到Internet的網絡接口。單擊“下一步”按鈕，打開如圖8-7所示的對話框。（5）在圖8-7中，若選擇“自動”，則可由VPN服務器向DHCP服務器租用IP地址，然后分配給客戶端；若選擇“來自一個指定的地址范圍”，單擊“下一步”按鈕后，設置的地址范圍將被指派給客戶端使用。這里選擇“自動”。單擊“下一步”按鈕，打開如圖8-8所示的對話框。（6）在圖8-8中按圖示選擇并單擊“下一步”按鈕，顯示如圖8-9所示的對話框。（7）在圖8-9中單擊“完成”按鈕，顯示如圖8-10所示的對話框，單擊“確定”按鈕。此對話框告訴讀者設置完成VPN服務器后，還要再指定DHCP服務器的IP地址。系統(tǒng)會自動建立128個PPTP端口和128個L2TP端口，如圖8-11所示，每個端口可供一個VPN客戶端用來建立VPN。如果要增加或減少VPN的數量，可以右擊“端口”，選擇“屬性”命令，打開如圖8-12所示的對話框，雙擊“WAN微型端口（PPTP）”或“WAN微型端口（L2TP）”，單擊“配置”按鈕，打開如圖8-13所示的對話框，可以修改VPN端口的數量。2．在VPN客戶端建立Internet連接假設客戶端要利用ADSL撥號連接Internet，客戶端除了要將ATU-R（ADSL調制解調器）連接好之外，還必須建立一個通過ADSL的Internet連接。下面以Windows2000Professional為例進行說明。（1）右擊“網上鄰居”，選擇“屬性”→“新建連接向導”命令，如圖8-14所示。打開如圖8-15所示的對話框。（2）在圖8-15的新建連接向導中選擇“連接到Internet”，單擊“下一步”按鈕，打開如圖9-16所示的對話框。（3）在圖8-16中選擇“用要求用戶名和密碼的寬帶連接來連接”，單擊“下一步”按鈕，打開如圖8-17所示的對話框。（4）在圖8-17中輸入ISP的名稱，單擊“下一步”按鈕，打開如圖8-18所示的對話框。其中可選擇此項連接是可為任何人使用還是只為用戶自己使用。單擊“下一步”按鈕，打開如圖8-19所示的對話框。（5）在圖8-19中，輸入一個ISP賬戶名和密碼，單擊“下一步”按鈕，出現“完成新建連接向導”對話框時單擊“完成”按鈕即可。3．在VPN客戶端建立VPN撥號連接客戶端通過ADSL連接上Internet后，還需要建立一個VPN連接才能與VPN服務器建立VPN。下面仍以Windows2000Professional為例。（1）右擊“網上鄰居”，選擇“屬性”→“新建連接向導”命令，打開如圖8-20所示的對話框。（2）在圖8-20中，選擇“連接到我的工作場所的網絡”，單擊“下一步”按鈕，打開如圖8-21所示的對話框。（3）在圖8-21中選擇“虛擬專用網絡連接”，單擊“下一步”按鈕，打開如圖8-22所示的對話框。（4）在圖8-22中輸入將要建立的連接的名稱，例如可輸入單位名稱或連接的服務器的名稱。單擊“下一步”按鈕，打開如圖8-23所示的對話框。（5）在圖8-23中選擇可以使用該連接的對象，單擊“下一步”按鈕，打開如圖8-24所示的對話框。（6）在圖8-24中，輸入正要連接的VPN服務器的主機名或IP地址。單擊“下一步”按鈕，出現如圖8-25所示的完成對話框，單擊“完成”按鈕即可。用戶完成架設VPN服務器、建立客戶端的Internet連接、建立客戶端的VPN連接后，就可以在客戶端與VPN服務器之間建立VPN連接。8.2網絡地址轉換NAT8.2.1NAT工作原理下面討論另一種情況，就是在專用網內部的一些主機本來已經分配到了本地IP地址，但現在又想和Internet上的主機通信（并不需要加密），應當采取什么措施呢？最簡單的辦法就是設法再申請一些全球IP地址。但這在很多情況下是不容易做到的，因為全球IP地址已所剩不多了。目前使用得最多的方法是采用網絡地址轉換。網絡地址轉換NAT（NetworkAddressTranslation）方法是在1994年提出的。這種方法需要在專用網連接到Internet的路由器上安裝NAT軟件。裝有NAT軟件的路由器叫做NAT路由器，它至少有一個有效的內部全球地址IPG。這樣，所有使用本地地址的主機和外界通信時都要在NAT路由器上將其本地地址轉換成IPG才能和Internet連接。NAT技術中最常用的有兩種實現模式：靜態(tài)NAT和動態(tài)NAT。靜態(tài)NAT是建立內部本地地址和內部全球地址的一對一的永久映射。當外部網絡需要通過固定的全局可路由地址訪問內部主機時，靜態(tài)NAT就顯得十分重要。動態(tài)NAT是建立內部本地地址和內部全球地址池的臨時對應關系，如果經過一段時間，內部本地地址沒有向外的請求或者數據流，該對應關系將被刪除。如圖8-26所示，內部主機X用本地地址IPX（）和Internet上主機Y（）通信的詳細過程如下：（1）內部主機X（）發(fā)起對IPY（）的連接。（2）所發(fā)送的數據報經過NAT路由器。當NAT路由器收到以IPX（）為源地址的第一個數據包時，引起路由器檢查NAT映射表。該地址配置有靜態(tài)映射，就執(zhí)行第（3）步；如果沒有靜態(tài)映射，就進行動態(tài)映射，路由器從內部全局地址池中選擇一個有效的地址，并在NAT映射表中創(chuàng)建NAT轉換記錄。這種記錄叫基本記錄。（3）路由器用對應的NAT轉換記錄中的全局地址替換數據包源地址，轉換成全球地址IPG（），但目的地址IPY（）保持不變，然后發(fā)送到Internet。（4）目的地址IPY（）收到數據包后，向IPG（）發(fā)回響應包。（5）NAT路由器收到主機Y發(fā)回的數據包時，知道數據包中的源地址是IPY（），目的地址是IPG（）。根據NAT轉換表，NAT路由器將目的地址IPG（）轉換為IPX（），轉發(fā)給最終的內部主機X。（6）主機X收到應答包，并繼續(xù)保持會話。第（1）步到第（5）步將一直重復，直到會話結束。圖8-26NAT轉換過程部門AR1XIPXIPGY源地址：目的地址：源地址：目的地址：源地址：目的地址：源地址：目的地址：IPY內部本地地址內部全球地址如果NAT路由器具有多個全球IP地址，就可以同時將多個本地地址轉換為全球IP地址，因而使多個擁有本地地址的主機能夠和Internet上的主機進行通信。還有一種NAT轉換表將傳輸層的端口號也利用上，這樣就可以用一個全球IP地址使多個擁有本地地址的主機同時和Internet上的不同主機進行通信，這種方法叫做網絡地址端口轉換NAPT（NetworkAddressPortTranslation），它將內部地址映射到外部網絡的一個IP地址的不同端口上。NAPT普遍應用于接入設備中，它可以將中小型的網絡隱藏在一個合法的IP地址后面。NAPT與動態(tài)地址NAT不僅將內部連接映射到外部網絡中的一個單獨的IP地址上，同時在該地址上加上一個由NAT設備選定的TCP端口號。在Internet中使用NAPT時，所有不同的TCP和UDP信息流看起來好像來源于同一個IP地址。這個優(yōu)點在小型辦公室內非常實用，通過從ISP處申請一個IP地址，可能將多個連接通過NAPT接入Internet。圖8-27內部源地址NAPT映射過程0Web服務/24內部本地地址：端口內部全球地址:端口外部全球地址:端口:1024:10240：80:1136:11360：808.2.2NAT技術實施下面用一個例子來說明NAT的基本配置方法。通過基本配置命令可以對NAT功能有一個清晰的認識。假設某公司有FTP服務器可以為外部用戶提供服務，但是該服務器處在公司的內網中，第一，通過公網訪問不到該服務器，第二，該公司也不想讓外界獲悉本地網絡結構，所以采用一個公網地址和一個私有地址映射的辦法來實現外網與內網用戶都能對該服務器進行訪問，如圖8-28所示。圖8-28實現外網用戶對內外FTP服務器的訪問Internet在特權模式下，配置步驟如下：（1）configureterminal 進入全局配置模式（2）interfacefastethernet1/0 進入連接內網的快速以太網接口（3）ipnatinside 將該接口定義為內部接口（4）interfaceserial1/2 進入連接外網的同步串口（5）ipnatoutside 將該接口定義為外部接口（6）ipnatinsidesourcestatic 將服務器的原本的私有地址和一個公網地址映射起來，該服務器被外界用戶訪問時，外界用戶將訪問這個公網地址，而不知道該服務器的真正的內網地址8.3局域網寬帶接入Internet局域網不但可以通過邊緣路由器接入Internet，對于一些小型網絡來說，還可以通過寬帶上網。ADSL（AsymmetricDigitalSubscriberLine）是一種讓家庭和小型企業(yè)的局域網利用電話線進行寬帶高速上網的技術。單機用戶通過ADSL上網的硬件連接如圖8-29所示。對于局域網來說，與外網的硬件連接與圖8-29是相似的，只不過把個人計算機換為一臺內網的服務器，對該服務器進行相應配置，使之成為內網接入Internet的橋梁。圖8-29單機用戶通過ADSL上網的硬件連接8.3.1NAT技術的軟件實現1．配置NAT實現局域網上網（1）硬件連接。共享ADSL上網時，首先需要配置一臺NAT計算機。NAT計算機上需要安裝兩塊網卡，其中一塊網卡連接ADSLModem，在此稱為“外網卡”，另一塊連接局域網的交換機或集線器，在此稱為“內網卡”。網絡整體連接方式如圖8-30所示。圖8-30網絡拓撲結構圖（2）IP地址的配置。NAT計算機的IP地址配置：在如圖8-31所示的網絡中，NAT計算機的外網卡需要配置公共IP地址。若通過ADSL撥號上網，則可配置為自動獲得IP地址；若通過有固定IP地址的ADSL專線上網，則配置為ISP提供的IP地址。NAT計算機的內網卡通常配置為即可，其默認網關和DNS地址不用配置。局域網計算機的IP地址配置：局域網計算機的IP地址配置為192.168.0.X（2～254），默認網關和DNS地址配置為。當然，局域網計算機的IP地址也可以配置為自動獲得。圖8-31IP地址的配置2．配置NAT計算機完成IP地址的設置后，接下來需要在WindowsServer2003中配置NAT。（1）單擊“開始”→“程序”→“管理工具”→“路由和遠程訪問”命令。（2）在如圖8-32所示的“路由和遠程訪問”窗口中，右擊計算機名，選擇“配置并啟用路由和遠程訪問”命令，打開“路由和遠程訪問服務器安裝向導”對話框。（3）單擊“下一步”接鈕后，選擇“網絡地址轉換（NAT）”，如圖8-33所示，再次單擊“下一步”接鈕。（4）選擇連接Internet的網絡接口（網卡），如圖8-34所示，單擊“下一步”按鈕。（5）若系統(tǒng)檢測不到網絡中提供DHCP和DNS服務的計算機，會出現如圖8-35所示的對話框，此時可以按圖中的選擇讓NAT計算機同時提供DHCP和DNS服務，單擊“下一步”按鈕。（6）此時顯示NAT計算機為客戶計算機提供的IP地址范圍，單擊“下一步”按鈕。（7）單擊“完成”按鈕，完成NAT計算機的配置。完成NAT配置后的界面如圖8-36所示。（8）雙擊圖8-36中的“遠程連接”項，彈出如圖8-37所示的“遠程連接屬性”對話框，在此可查看或修改接口類型，同理，雙擊“本地連接”項，同樣彈出“本地連接屬性”對話框，如圖8-38所示，可查看或修改接口類型。8.3.2Internet連接共享接入Internet連接共享通常適合于小型局域網共享上網。幾乎所有的Windows版本都自帶了這種功能，下面介紹通過Internet連接共享使一個局域網上網的配置過程。1．硬件連接首先配置一臺主機作為Internet連接共享服務器，該服務器需要安裝兩塊網卡，分別為內、外網卡，外網卡接ADSLModem，內網卡連接局域網的交換機或集線器。網絡拓撲結構如圖8-39所示。圖8-39網絡拓撲結構圖2．IP地址的配置（1）主機的IP地址配置：在如圖8-39所示的網絡中，主機的外網卡必須配置公共IP地址。若通過ADSL撥號上網，則可配置為自動獲得IP地址；若通過有固定IP的ADSL專線上網，則配置為ISP提供的IP地址。主機的外網卡配置為即可，其默認網關地址和DNS地址不用配置。（2）局域網計算機的IP地址配置：局域網計算機的IP地址配置為192.168.0.X（2～254），默認網關和DNS地址配置為。當然，局域網計算機的IP地址也可以配置為自動獲得。3．Internet連接共享一切預備配置完成后，只需在主機上啟用Internet連接共享即可，具體步驟如下：（1）在桌面上右擊“網上鄰居”，選擇“屬性”選項，打開“網絡連接”窗口。（2）在“網絡連接”窗口中右擊ADSL撥號圖標，選擇“屬性”選項，如圖8-40所示。（3）在彈出的對話框中選擇“高級”選項卡，在該選項卡中選擇“允許其他網絡用戶通過此計算機的Internet連接來連接”，同時在“家庭網絡連接”處選擇連接內網的網卡，單擊“確定”接鈕。如果允許局域網計算機直接撥號，則選擇“在我的網絡上的計算機嘗試訪問Internet時建立一個撥號連接”，如圖8-41所示。（4）此時，系統(tǒng)提示啟用Internet連接共享后，連接局域網的網卡的IP地址將被配置為，單擊“是”按鈕，如圖8-42所示。至此，完成了Internet共享的設置過程。應注意，當啟用Internet共享時，網絡中不能同時設置NAT，也不能有提供DHCP和DNS服務的計算機存在，否則將與Internet連接共享產生沖突。8.3.3通過代理服務器接入通過代理服務器使局域網上網是指在主機上安裝代理服務器軟件來實現共享ADSL上網。這樣的代理服務器軟件很多，如Wingate、Sygate、Winroute、CCProxy等。代理服務器CCProxy于2000年6月問世，是國內最流行的下載量最大的國產代理服務器軟件，主要用于局域網內共享寬帶上網、ADSL共享上網、專線代理共享、ISDN代理共享、衛(wèi)星代理共享、藍牙