|
作者: TecZm [teczm] 版主 | 登录 |
比如:局域网A通过Internet接入局域网B,数据包内的ip应该是这样的吧: 局域网A vpn 路由 Internet 路由 vpn 局域网B s:子网ip 子网ip 公网ip ........... 公网ip 不明白的是: 1)B网vpn网关如何判定从A网的公网ip来的包是到自己网内哪个ip的? 2)A网内某客户端的目标ip应该是B网的公网ip?还是B网内的client的ip? |
地主 发表时间: 05-01-15 07:39 |
回复: lqfrla [lqfrla] 论坛用户 | 登录 |
[此贴被 天枫(lqfrla) 在 01月15日13时31分 编辑过] |
B1层 发表时间: 05-01-15 09:18 |
回复: Baal [combook] 论坛用户 | 登录 |
知道VPN吗?你知道浩方吧, |
B2层 发表时间: 05-01-15 12:22 |
回复: Achieve [achieve] 版主 | 登录 |
顺序应该调以下,应该是这样: 局域网A 路由 vpn 公网(不一定是internet) vpn 路由 局域网B B网vpn网关判断通过公网来自A网ip信息,遵循ipsec协议栈标准,大致说来,剥去ipsec头,剥去路由封装,则A网的原始ip信息可见。 A网内某客户端的目标ip应该是B网的公网ip?还是B网内的client的ip。这句话不知道你在问什么,如果A网某客户端要访问B网内的ip,当然是直接访问B网段的IP就可以了,具体如何路由的,交给网关,按照普通的静态路由设置方法就可以了。 |
B3层 发表时间: 05-01-15 13:09 |
回复: TecZm [teczm] 版主 | 登录 |
明白一点了,谢谢。我再琢磨琢磨。 |
B4层 发表时间: 05-01-16 14:03 |
回复: tuzi [tuzi] 版主 | 登录 |
VPN和普通的封装不一样 比如NAT 内部IP经过NAT后 IP包头给改掉了 而VPN不用改 类似于管子里面包管子这样的情况 有两个IP头 呵呵 |
B5层 发表时间: 05-01-16 21:39 |
回复: TecZm [teczm] 版主 | 登录 |
哪能不能说是网络层的"应用层"? [此贴被 TecZm(teczm) 在 01月17日08时54分 编辑过] |
B6层 发表时间: 05-01-17 08:53 |
回复: jilian [jilian] 论坛用户 | 登录 |
假如局域网是以太网,那IPSEC是把以太网帧封装在里面,还是 去掉以太网帧头,封装IP 还有,除了IPSEC外,还有没有其它的技术可以替代它的 [此贴被 哈哈儿(jilian) 在 01月17日14时08分 编辑过] |
B7层 发表时间: 05-01-17 14:05 |
回复: Achieve [achieve] 版主 | 登录 |
IPSEC工作在网络层 还有ssl vpn,以前还有pptp ,l2tp |
B8层 发表时间: 05-01-17 15:09 |
回复: TecZm [teczm] 版主 | 登录 |
ssl vpn 需要装客户端么? |
B9层 发表时间: 05-01-18 12:42 |
回复: jilian [jilian] 论坛用户 | 登录 |
ssl适用于主机到网络的VPN连接,不适用于网络到网络的连接 它的客户端就是浏览器 也可以说不要客户端 |
B10层 发表时间: 05-01-19 17:19 |
回复: TecZm [teczm] 版主 | 登录 |
可以把其他的协议封装到里面么? 比如:netbios、telnet? 客户端不一定要浏览器吧 |
B11层 发表时间: 05-01-19 17:49 |
回复: tuzi [tuzi] 版主 | 登录 |
打倒楼上的 netbios and telnet 呵呵 不是一样的东西 netbios是个不可路由的协议 改改IOS应该可以实现的吧 CISCO不是有BVI DLSW+ telnet是应用层的东西 下面层的东西它不关心 |
B12层 发表时间: 05-01-23 01:22 |
回复: rain_night [rain_night] 论坛用户 | 登录 |
但是不知道你们遇见以下情况没有,如果VPN对方的IP和我们自己的IP是一个网段的,会出现一些无法预料的事情,比如VPN拨上去后不能访问对方的网络等? |
B13层 发表时间: 05-01-26 11:05 |
回复: TecZm [teczm] 版主 | 登录 |
还有这种事情?那....桌面级的VPN怎么实现的? |
B14层 发表时间: 05-01-26 12:55 |
回复: rain_night [rain_night] 论坛用户 | 登录 |
不是说实现不了,如果出现这种情况,注意检查你的网卡,反正我用D-LINK530TX的出现这问题,换张垃圾点8139反而好了。我也觉得很奇怪。 |
B15层 发表时间: 05-01-26 17:06 |
回复: zhbangwei [zhbangwei] 论坛用户 | 登录 |
第一个问题: 顺序应该调以下,应该是这样: 局域网A 路由 vpn 公网(不一定是internet) vpn 路由 局域网B B网vpn网关判断通过公网来自A网ip信息,遵循ipsec协议栈标准,大致说来,剥去ipsec头,剥去路由封装,则A网的原始ip信息可见。 A网内某客户端的目标ip应该是B网的公网ip?还是B网内的client的ip。这句话不知道你在问什么,如果A网某客户端要访问B网内的ip,当然是直接访问B网段的IP就可以了,具体如何路由的,交给网关,按照普通的静态路由设置方法就可以了。 第二个问题: 假如局域网是以太网,那IPSEC是把以太网帧封装在里面,还是 去掉以太网帧头,封装IP 还有,除了IPSEC外,还有没有其它的技术可以替代它的 第三个问题: ssl适用于主机到网络的VPN连接,不适用于网络到网络的连接 它的客户端就是浏览器 也可以说不要客户端 第四个问题: 不是一样的东西 netbios是个不可路由的协议 改改IOS应该可以实现的吧 CISCO不是有BVI DLSW+ telnet是应用层的东西 下面层的东西它不关心 偶是高手~~~ [此贴被 不叫bibby了(zhbangwei) 在 02月01日10时30分 编辑过] |
B16层 发表时间: 05-02-01 10:28 |
回复: ycleung [ycleung] 论坛用户 | 登录 |
A网与B网是点对点的VPN,那么你的VPN拓扑是通过ISP的路由器路由出去,找寻到对方的路由,而对方的路由指向到目的地VPN网关后,VPN网关通过认证,以目的地VPN网关作为交换,转发到相应的最终的目的地主机上面。或者你的双方VPN是一个私网IP地址,通过路由器的公网IP进行端口转发NAT后,然后通过双方的VPN网关进行认证后,再转发到相应的最终目的主机上面。原理我是这样理解的。希望高人指点。 |
B17层 发表时间: 05-02-06 15:02 |
回复: hdpx [hdpx] 论坛用户 | 登录 |
依楼主所言 我个人认为应该是如此: A首先在IP包中封装对端IP地址也就是要访问的B的地址,经过VPN网关后再IP包外面再加一个IPSEC的头,头中的目标地址是对方VPN网关地址,也就是B的VPN网关地址;此数据包经网络传到B的VPN网关后去掉IPSEC头,还原成A原始的IP包,根据原始包中的目标地址发给B. 另外, 不叫bibby了 所提到的“除了IPSEC外,还有没有其它的技术可以替代它的” 个人以为现在除了IPSEC的VPN外,还可以有MPLS的VPN或者做虚拟PVC实现链路级的VPN 一点拙见,大家批评! |
B18层 发表时间: 05-02-15 00:49 |
回复: TecZm [teczm] 版主 | 登录 |
不错不错 |
B19层 发表时间: 05-02-15 14:58 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号