计算机网络工程课件第8章

第8章网络互联技术本章主要内容8.1虚拟专用网VPN 8.1.1VPN原理

8.1.2VPN的Windows解决方案8.2网络地址转换NAT 8.2.1NAT工作原理

8.2.2NAT技术实施8.3局域网宽带接入Internet 8.3.1NAT技术的软件实现

8.3.2Internet连接共享接入

8.3.3通过代理服务器接入习题与思考题八8.1虚拟专用网VPN8.1.1VPN原理由于IP地址的紧缺，一个机构能够申请到的IP地址数往往小于本机构所拥有的主机数。实际上，出于安全等原因，一个机构内的很多主机并不需要接入到外部的Internet，它们主要是利用内部的其他主机进行通信（例如，在大型商场或宾馆中有很多用于营业和管理的计算机。显然这些计算机并不需要和Internet相连）。假定一个机构内部的计算机通信也是采用TCP/IP协议，从原则上讲，对于这些仅在机构内部使用的计算机就可以由本机构自行分配其IP地址。这就是说，让这些计算机使用仅在本机构有效的IP地址（这种地址称为本地地址），而不需要向Internet的管理机构申请全球唯一的IP地址（这种地址称为全球地址）。这样就可以节约宝贵的全球IP地址资源。但是，任意选择一些IP地址作为本地地址，在某种情况下可能会引起一些麻烦。例如，一个不连接到Internet的主机A分配到本地地址。这个地址不需要在Internet地址管理机构注册，但在本机构内必须是唯一的。然而正巧Internet上有一个主机，其IP地址就是，而且这个主机要和本机构的某个具有全球地址的主机通信，这样就会出现二义性问题。为了解决这一问题，RFC1918指明了一些专用地址（PrivateAddress）。这些地址只能用于一个机构的内部通信，而不能用于和Internet上的主机通信。换言之，专用地址只能用作本地地址而不能用作全球地址。在Internet的所有路由器对目的地址是专用地址的数据报一律不进行转发。RFCl918指明的专用地址是：（1）到55（或记为l0/8，是一个24位块）。（2）到55（或记为172.16/12，是一个20位块）。（3）到55（或记为192.168/16，是一个16位块）。 上面的三个地址块分别相当于一个A类网络、16个连续的B类网络和256个连续的C类网络。A类地址本来早已用完了，地址本来是分配给ARPANET的。出于ARPANET已经关闭停止运行，因此这个地址就用作了专用地址。采用这样的专用IP地址的互联网络称为专用互联网或本地互联网，或更简单些，就叫做专用网。显然，全世界可能有很多的专用互联网络具有相同的专用IP地址，但这并不会引起麻烦，因为这些专用地址仅在本机构内部使用。专用IP地址也叫做可重用地址（ReusableAddress）。有时一个很大的机构有许多部门分布在相距很远的一些地点，而任何一个地点都有自己的专用网。假定这些分布在不向地点的专用网需要经常进行通信。这时，可以有两种方法。第一种方法是租用电信公司的线路为本机构专用。这种方法的好处是简单方便，但线路的租金太高。第二种方法是利用Internet（即公用互联网）来实现本机构的专用网，这样的专用网又称为虚拟专用网VPN（VirtualPrivateNetwork）。虚拟即“好像是”但实际上不是，因为现在是Internet（而并没有用专线）来连接分散在各地的本地网络。VPN只是在效果上和真正的专用网一样。图8-1说明如何使用隧道技术实现虚拟专用网。X部门AInternet部门BR1R2隧道Y（a）使用隧道技术加密的从X到Y的内部数据报外部数据报的数据部分源地址：目的地址：数据报首部部门A部门BXYR1R2（b）构成虚拟专用网VPN8.1.2VPN的Windows解决方案微软公司的WindowsServer2003提供了对VPN通信技术的支持，本节将讲述VPN在该网络操作系统中的实现方案。WindowsServer2003支持的VPN通信协议有以下两种：（1）PPTP（Point-to-PointTunnelingProtocol），只有IP网络才可以建立起PPTP的VPN。两个局域网之间如通过PPTP连接，则两端直接连接到Internet的VPN服务器必须支持TCP/IP协议，而网络内的其他计算机并不需要支持TCP/IP，它们可以支持TCP/IP、IPX或NETBEUI通信协议。（2）L2TP（LayerTwoTunnelingProtocol），与PPTP类似。VPN一般用在以下两种情况：（1）总公司的网络已经连接到Internet，用户通过远程拨号连接ISP进入Internet后，就可以通过Internet连接总公司的VPN服务器，可以建立PPTP或L2TP的VPN，如图8-2所示。（2）两个局域网都连结到Internet，都具有VPN服务器，并且通过Internet建立PPTP或L2TP的VPN。图8-2用VPN连接建立路由连接本案例中主要介绍第一种情况。下面就来看WindowsServer2003中的VPN实现步骤。1．架设VPN服务器（1）选择“开始”→“管理工具”→“路由和远程访问”，在如图8-3所示的窗口中，右击服务器名字，选择“配置并启用路由和远程访问”命令，打开如图8-4所示的对话框。（2）在图8-4中选择“远程访问（拨号或VPN）”，单击“下一步”按钮，打开如图8-5所示的对话框。（3）在图8-5中选择VPN，单击“下一步”按钮，打开如图8-6所示的对话框。（4）要允许VPN客户端连接到服务器，至少要有一个网络接口连接到Internet。在图8-6中选择连接到Internet的网络接口。单击“下一步”按钮，打开如图8-7所示的对话框。（5）在图8-7中，若选择“自动”，则可由VPN服务器向DHCP服务器租用IP地址，然后分配给客户端；若选择“来自一个指定的地址范围”，单击“下一步”按钮后，设置的地址范围将被指派给客户端使用。这里选择“自动”。单击“下一步”按钮，打开如图8-8所示的对话框。（6）在图8-8中按图示选择并单击“下一步”按钮，显示如图8-9所示的对话框。（7）在图8-9中单击“完成”按钮，显示如图8-10所示的对话框，单击“确定”按钮。此对话框告诉读者设置完成VPN服务器后，还要再指定DHCP服务器的IP地址。系统会自动建立128个PPTP端口和128个L2TP端口，如图8-11所示，每个端口可供一个VPN客户端用来建立VPN。如果要增加或减少VPN的数量，可以右击“端口”，选择“属性”命令，打开如图8-12所示的对话框，双击“WAN微型端口（PPTP）”或“WAN微型端口（L2TP）”，单击“配置”按钮，打开如图8-13所示的对话框，可以修改VPN端口的数量。2．在VPN客户端建立Internet连接假设客户端要利用ADSL拨号连接Internet，客户端除了要将ATU-R（ADSL调制解调器）连接好之外，还必须建立一个通过ADSL的Internet连接。下面以Windows2000Professional为例进行说明。（1）右击“网上邻居”，选择“属性”→“新建连接向导”命令，如图8-14所示。打开如图8-15所示的对话框。（2）在图8-15的新建连接向导中选择“连接到Internet”，单击“下一步”按钮，打开如图9-16所示的对话框。（3）在图8-16中选择“用要求用户名和密码的宽带连接来连接”，单击“下一步”按钮，打开如图8-17所示的对话框。（4）在图8-17中输入ISP的名称，单击“下一步”按钮，打开如图8-18所示的对话框。其中可选择此项连接是可为任何人使用还是只为用户自己使用。单击“下一步”按钮，打开如图8-19所示的对话框。（5）在图8-19中，输入一个ISP账户名和密码，单击“下一步”按钮，出现“完成新建连接向导”对话框时单击“完成”按钮即可。3．在VPN客户端建立VPN拨号连接客户端通过ADSL连接上Internet后，还需要建立一个VPN连接才能与VPN服务器建立VPN。下面仍以Windows2000Professional为例。（1）右击“网上邻居”，选择“属性”→“新建连接向导”命令，打开如图8-20所示的对话框。（2）在图8-20中，选择“连接到我的工作场所的网络”，单击“下一步”按钮，打开如图8-21所示的对话框。（3）在图8-21中选择“虚拟专用网络连接”，单击“下一步”按钮，打开如图8-22所示的对话框。（4）在图8-22中输入将要建立的连接的名称，例如可输入单位名称或连接的服务器的名称。单击“下一步”按钮，打开如图8-23所示的对话框。（5）在图8-23中选择可以使用该连接的对象，单击“下一步”按钮，打开如图8-24所示的对话框。（6）在图8-24中，输入正要连接的VPN服务器的主机名或IP地址。单击“下一步”按钮，出现如图8-25所示的完成对话框，单击“完成”按钮即可。用户完成架设VPN服务器、建立客户端的Internet连接、建立客户端的VPN连接后，就可以在客户端与VPN服务器之间建立VPN连接。8.2网络地址转换NAT8.2.1NAT工作原理下面讨论另一种情况，就是在专用网内部的一些主机本来已经分配到了本地IP地址，但现在又想和Internet上的主机通信（并不需要加密），应当采取什么措施呢？最简单的办法就是设法再申请一些全球IP地址。但这在很多情况下是不容易做到的，因为全球IP地址已所剩不多了。目前使用得最多的方法是采用网络地址转换。网络地址转换NAT（NetworkAddressTranslation）方法是在1994年提出的。这种方法需要在专用网连接到Internet的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器，它至少有一个有效的内部全球地址IPG。这样，所有使用本地地址的主机和外界通信时都要在NAT路由器上将其本地地址转换成IPG才能和Internet连接。NAT技术中最常用的有两种实现模式：静态NAT和动态NAT。静态NAT是建立内部本地地址和内部全球地址的一对一的永久映射。当外部网络需要通过固定的全局可路由地址访问内部主机时，静态NAT就显得十分重要。动态NAT是建立内部本地地址和内部全球地址池的临时对应关系，如果经过一段时间，内部本地地址没有向外的请求或者数据流，该对应关系将被删除。如图8-26所示，内部主机X用本地地址IPX（）和Internet上主机Y（）通信的详细过程如下：（1）内部主机X（）发起对IPY（）的连接。（2）所发送的数据报经过NAT路由器。当NAT路由器收到以IPX（）为源地址的第一个数据包时，引起路由器检查NAT映射表。该地址配置有静态映射，就执行第（3）步；如果没有静态映射，就进行动态映射，路由器从内部全局地址池中选择一个有效的地址，并在NAT映射表中创建NAT转换记录。这种记录叫基本记录。（3）路由器用对应的NAT转换记录中的全局地址替换数据包源地址，转换成全球地址IPG（），但目的地址IPY（）保持不变，然后发送到Internet。（4）目的地址IPY（）收到数据包后，向IPG（）发回响应包。（5）NAT路由器收到主机Y发回的数据包时，知道数据包中的源地址是IPY（），目的地址是IPG（）。根据NAT转换表，NAT路由器将目的地址IPG（）转换为IPX（），转发给最终的内部主机X。（6）主机X收到应答包，并继续保持会话。第（1）步到第（5）步将一直重复，直到会话结束。图8-26NAT转换过程部门AR1XIPXIPGY源地址：目的地址：源地址：目的地址：源地址：目的地址：源地址：目的地址：IPY内部本地地址内部全球地址如果NAT路由器具有多个全球IP地址，就可以同时将多个本地地址转换为全球IP地址，因而使多个拥有本地地址的主机能够和Internet上的主机进行通信。还有一种NAT转换表将传输层的端口号也利用上，这样就可以用一个全球IP地址使多个拥有本地地址的主机同时和Internet上的不同主机进行通信，这种方法叫做网络地址端口转换NAPT（NetworkAddressPortTranslation），它将内部地址映射到外部网络的一个IP地址的不同端口上。NAPT普遍应用于接入设备中，它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不仅将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。在Internet中使用NAPT时，所有不同的TCP和UDP信息流看起来好像来源于同一个IP地址。这个优点在小型办公室内非常实用，通过从ISP处申请一个IP地址，可能将多个连接通过NAPT接入Internet。图8-27内部源地址NAPT映射过程0Web服务/24内部本地地址：端口内部全球地址:端口外部全球地址:端口:1024:10240：80:1136:11360：808.2.2NAT技术实施下面用一个例子来说明NAT的基本配置方法。通过基本配置命令可以对NAT功能有一个清晰的认识。假设某公司有FTP服务器可以为外部用户提供服务，但是该服务器处在公司的内网中，第一，通过公网访问不到该服务器，第二，该公司也不想让外界获悉本地网络结构，所以采用一个公网地址和一个私有地址映射的办法来实现外网与内网用户都能对该服务器进行访问，如图8-28所示。图8-28实现外网用户对内外FTP服务器的访问Internet在特权模式下，配置步骤如下：（1）configureterminal 进入全局配置模式（2）interfacefastethernet1/0 进入连接内网的快速以太网接口（3）ipnatinside 将该接口定义为内部接口（4）interfaceserial1/2 进入连接外网的同步串口（5）ipnatoutside 将该接口定义为外部接口（6）ipnatinsidesourcestatic 将服务器的原本的私有地址和一个公网地址映射起来，该服务器被外界用户访问时，外界用户将访问这个公网地址，而不知道该服务器的真正的内网地址8.3局域网宽带接入Internet局域网不但可以通过边缘路由器接入Internet，对于一些小型网络来说，还可以通过宽带上网。ADSL（AsymmetricDigitalSubscriberLine）是一种让家庭和小型企业的局域网利用电话线进行宽带高速上网的技术。单机用户通过ADSL上网的硬件连接如图8-29所示。对于局域网来说，与外网的硬件连接与图8-29是相似的，只不过把个人计算机换为一台内网的服务器，对该服务器进行相应配置，使之成为内网接入Internet的桥梁。图8-29单机用户通过ADSL上网的硬件连接8.3.1NAT技术的软件实现1．配置NAT实现局域网上网（1）硬件连接。共享ADSL上网时，首先需要配置一台NAT计算机。NAT计算机上需要安装两块网卡，其中一块网卡连接ADSLModem，在此称为“外网卡”，另一块连接局域网的交换机或集线器，在此称为“内网卡”。网络整体连接方式如图8-30所示。图8-30网络拓扑结构图（2）IP地址的配置。NAT计算机的IP地址配置：在如图8-31所示的网络中，NAT计算机的外网卡需要配置公共IP地址。若通过ADSL拨号上网，则可配置为自动获得IP地址；若通过有固定IP地址的ADSL专线上网，则配置为ISP提供的IP地址。NAT计算机的内网卡通常配置为即可，其默认网关和DNS地址不用配置。局域网计算机的IP地址配置：局域网计算机的IP地址配置为192.168.0.X（2～254），默认网关和DNS地址配置为。当然，局域网计算机的IP地址也可以配置为自动获得。图8-31IP地址的配置2．配置NAT计算机完成IP地址的设置后，接下来需要在WindowsServer2003中配置NAT。（1）单击“开始”→“程序”→“管理工具”→“路由和远程访问”命令。（2）在如图8-32所示的“路由和远程访问”窗口中，右击计算机名，选择“配置并启用路由和远程访问”命令，打开“路由和远程访问服务器安装向导”对话框。（3）单击“下一步”接钮后，选择“网络地址转换（NAT）”，如图8-33所示，再次单击“下一步”接钮。（4）选择连接Internet的网络接口（网卡），如图8-34所示，单击“下一步”按钮。（5）若系统检测不到网络中提供DHCP和DNS服务的计算机，会出现如图8-35所示的对话框，此时可以按图中的选择让NAT计算机同时提供DHCP和DNS服务，单击“下一步”按钮。（6）此时显示NAT计算机为客户计算机提供的IP地址范围，单击“下一步”按钮。（7）单击“完成”按钮，完成NAT计算机的配置。完成NAT配置后的界面如图8-36所示。（8）双击图8-36中的“远程连接”项，弹出如图8-37所示的“远程连接属性”对话框，在此可查看或修改接口类型，同理，双击“本地连接”项，同样弹出“本地连接属性”对话框，如图8-38所示，可查看或修改接口类型。8.3.2Internet连接共享接入Internet连接共享通常适合于小型局域网共享上网。几乎所有的Windows版本都自带了这种功能，下面介绍通过Internet连接共享使一个局域网上网的配置过程。1．硬件连接首先配置一台主机作为Internet连接共享服务器，该服务器需要安装两块网卡，分别为内、外网卡，外网卡接ADSLModem，内网卡连接局域网的交换机或集线器。网络拓扑结构如图8-39所示。图8-39网络拓扑结构图2．IP地址的配置（1）主机的IP地址配置：在如图8-39所示的网络中，主机的外网卡必须配置公共IP地址。若通过ADSL拨号上网，则可配置为自动获得IP地址；若通过有固定IP的ADSL专线上网，则配置为ISP提供的IP地址。主机的外网卡配置为即可，其默认网关地址和DNS地址不用配置。（2）局域网计算机的IP地址配置：局域网计算机的IP地址配置为192.168.0.X（2～254），默认网关和DNS地址配置为。当然，局域网计算机的IP地址也可以配置为自动获得。3．Internet连接共享一切预备配置完成后，只需在主机上启用Internet连接共享即可，具体步骤如下：（1）在桌面上右击“网上邻居”，选择“属性”选项，打开“网络连接”窗口。（2）在“网络连接”窗口中右击ADSL拨号图标，选择“属性”选项，如图8-40所示。（3）在弹出的对话框中选择“高级”选项卡，在该选项卡中选择“允许其他网络用户通过此计算机的Internet连接来连接”，同时在“家庭网络连接”处选择连接内网的网卡，单击“确定”接钮。如果允许局域网计算机直接拨号，则选择“在我的网络上的计算机尝试访问Internet时建立一个拨号连接”，如图8-41所示。（4）此时，系统提示启用Internet连接共享后，连接局域网的网卡的IP地址将被配置为，单击“是”按钮，如图8-42所示。至此，完成了Internet共享的设置过程。应注意，当启用Internet共享时，网络中不能同时设置NAT，也不能有提供DHCP和DNS服务的计算机存在，否则将与Internet连接共享产生冲突。8.3.3通过代理服务器接入通过代理服务器使局域网上网是指在主机上安装代理服务器软件来实现共享ADSL上网。这样的代理服务器软件很多，如Wingate、Sygate、Winroute、CCProxy等。代理服务器CCProxy于2000年6月问世，是国内最流行的下载量最大的国产代理服务器软件，主要用于局域网内共享宽带上网、ADSL共享上网、专线代理共享、ISDN代理共享、卫星代理共享、蓝牙