收藏
下载资源

《计算机组网技术》-刘永华-电子教案 第8章

上传人:E**** 文档编号:89462869 上传时间:2019-05-25 格式:PPT 页数:51 大小:2.41MB
返回 下载 相关 举报
《计算机组网技术》-刘永华-电子教案 第8章_第1页
第1页 / 共51页
《计算机组网技术》-刘永华-电子教案 第8章_第2页
第2页 / 共51页
《计算机组网技术》-刘永华-电子教案 第8章_第3页
第3页 / 共51页
《计算机组网技术》-刘永华-电子教案 第8章_第4页
第4页 / 共51页
《计算机组网技术》-刘永华-电子教案 第8章_第5页
第5页 / 共51页
点击查看更多>>
资源描述

《《计算机组网技术》-刘永华-电子教案 第8章》由会员分享,可在线阅读,更多相关《《计算机组网技术》-刘永华-电子教案 第8章(51页珍藏版)》请在金锄头文库上搜索。

1、第8章 网络互联,本章主要内容,8.1 虚拟专用网VPN 8.1.1 VPN原理 8.1.2 VPN的Windows解决方案 8.2 网络地址转换NAT 8.2.1 NAT工作原理 8.2.2 NAT技术实施 8.3 局域网宽带接入Internet 8.3.1 NAT技术的软件实现 8.3.2 Internet连接共享接入 8.3.3 通过代理服务器接入 习题与思考题八,8.1 虚拟专用网VPN,8.1.1 VPN原理 由于IP地址的紧缺,一个机构能够申请到的IP地址数往往小于本机构所拥有的主机数。实际上,出于安全等原因,一个机构内的很多主机并不需要接入到外部的Internet,它们主要是利用

2、内部的其他主机进行通信(例如,在大型商场或宾馆中有很多用于营业和管理的计算机。显然这些计算机并不需要和Internet相连)。假定一个机构内部的计算机通信也是采用TCP/IP协议,从原则上讲,对于这些仅在机构内部使用的计算机就可以由本机构自行分配其IP地址。这就是说,让这些计算机使用仅在本机构有效的IP地址(这种地址称为本地地址),而不需要向Internet的管理机构申请全球唯一的IP地址(这种地址称为全球地址)。这样就可以节约宝贵的全球IP地址资源。,但是,任意选择一些IP地址作为本地地址,在某种情况下可能会引起一些麻烦。例如,一个不连接到Internet的主机A分配到本地地址150.1.2

3、.3。这个地址不需要在Internet地址管理机构注册,但在本机构内必须是唯一的。然而正巧Internet上有一个主机,其IP地址就是150.1.2.3,而且这个主机要和本机构的某个具有全球地址的主机通信,这样就会出现二义性问题。 为了解决这一问题,RFC1918指明了一些专用地址(Private Address)。这些地址只能用于一个机构的内部通信,而不能用于和Internet上的主机通信。换言之,专用地址只能用作本地地址而不能用作全球地址。在Internet的所有路由器对目的地址是专用地址的数据报一律不进行转发。,RFCl918指明的专用地址是:,(1)10.0.0.0到10.255.25

4、5.255(或记为l0/8,是一个24位块)。 (2)172.16.0.0到172.31.255.255(或记为172.16/12,是一个20位块)。 (3)192.168.0.0到192.168.255.255(或记为192.168/16,是一个16位块)。 上面的三个地址块分别相当于一个A类网络、16个连续的B类网络和256个连续的C类网络。A类地址本来早已用完了,地址10.0.0.0本来是分配给ARPANET的。出于ARPANET已经关闭停止运行,因此这个地址就用作了专用地址。,采用这样的专用IP地址的互联网络称为专用互联网或本地互联网,或更简单些,就叫做专用网。显然,全世界可能有很多的

5、专用互联网络具有相同的专用IP地址,但这并不会引起麻烦,因为这些专用地址仅在本机构内部使用。专用IP地址也叫做可重用地址(Reusable Address)。,有时一个很大的机构有许多部门分布在相距很远的一些地点,而任何一个地点都有自己的专用网。假定这些分布在不向地点的专用网需要经常进行通信。这时,可以有两种方法。第一种方法是租用电信公司的线路为本机构专用。这种方法的好处是简单方便,但线路的租金太高。第二种方法是利用Internet(即公用互联网)来实现本机构的专用网,这样的专用网又称为虚拟专用网VPN(Virtual Private Network)。虚拟即“好像是”但实际上不是,因为现在是

6、Internet(而并没有用专线)来连接分散在各地的本地网络。VPN只是在效果上和真正的专用网一样。,图8-1说明如何使用隧道技术实现虚拟专用网。,8.1.2 VPN的Windows解决方案,微软公司的Windows Server 2003提供了对VPN通信技术的支持,本节将讲述VPN在该网络操作系统中的实现方案。 Windows Server 2003支持的VPN通信协议有以下两种: (1)PPTP(Point-to-Point Tunneling Protocol),只有IP网络才可以建立起PPTP的VPN。两个局域网之间如通过PPTP连接,则两端直接连接到Internet的VPN服务器必

7、须支持TCP/IP协议,而网络内的其他计算机并不需要支持TCP/IP,它们可以支持TCP/IP、IPX或NETBEUI通信协议。 (2)L2TP(Layer Two Tunneling Protocol),与PPTP类似。,VPN一般用在以下两种情况:,(1)总公司的网络已经连接到Internet,用户通过远程拨号连接ISP进入Internet后,就可以通过Internet连接总公司的VPN服务器,可以建立PPTP或L2TP的VPN,如图8-2所示。 (2)两个局域网都连结到Internet,都具有VPN服务器,并且通过Internet建立PPTP或L2TP的VPN。,图8-2 用VPN连接建

8、立路由连接,本案例中主要介绍第一种情况。下面就来看Windows Server 2003中的VPN实现步骤。,1架设VPN服务器 (1)选择“开始”“管理工具”“路由和远程访问”,在如图8-3所示的窗口中,右击服务器名字,选择“配置并启用路由和远程访问”命令,打开如图8-4所示的对话框。 (2)在图8-4中选择“远程访问(拨号或VPN)”,单击“下一步”按钮,打开如图8-5所示的对话框。 (3)在图8-5中选择VPN,单击“下一步”按钮,打开如图8-6所示的对话框。,(4)要允许VPN客户端连接到服务器,至少要有一个网络接口连接到Internet。在图8-6中选择连接到Internet的网络接

9、口。单击“下一步”按钮,打开如图8-7所示的对话框。 (5)在图8-7中,若选择“自动”,则可由VPN服务器向DHCP服务器租用IP地址,然后分配给客户端;若选择“来自一个指定的地址范围”,单击“下一步”按钮后,设置的地址范围将被指派给客户端使用。这里选择“自动”。单击“下一步”按钮,打开如图8-8所示的对话框。 (6)在图8-8中按图示选择并单击“下一步”按钮,显示如图8-9所示的对话框。,(7)在图8-9中单击“完成”按钮,显示如图8-10所示的对话框,单击“确定”按钮。此对话框告诉读者设置完成VPN服务器后,还要再指定DHCP服务器的IP地址。 系统会自动建立128个PPTP端口和128

10、个L2TP端口,如图8-11所示,每个端口可供一个VPN客户端用来建立VPN。如果要增加或减少VPN的数量,可以右击“端口”,选择“属性”命令,打开如图8-12所示的对话框,双击“WAN微型端口(PPTP)”或“WAN微型端口(L2TP)”,单击“配置”按钮,打开如图8-13所示的对话框,可以修改VPN端口的数量。,2在VPN客户端建立Internet连接,假设客户端要利用ADSL拨号连接Internet,客户端除了要将ATU-R(ADSL调制解调器)连接好之外,还必须建立一个通过ADSL的Internet连接。下面以Windows 2000 Professional为例进行说明。 (1)右击

11、“网上邻居”,选择“属性”“新建连接向导”命令,如图8-14所示。打开如图8-15所示的对话框。 (2)在图8-15的新建连接向导中选择“连接到Internet”,单击“下一步”按钮,打开如图8-16所示的对话框。 (3)在图8-16中选择“用要求用户名和密码的宽带连接来连接”,单击“下一步”按钮,打开如图8-17所示的对话框。,(4)在图8-17中输入ISP的名称,单击“下一步”按钮,打开如图8-18所示的对话框。其中可选择此项连接是可为任何人使用还是只为用户自己使用。单击“下一步”按钮,打开如图8-19所示的对话框。 (5)在图8-19中,输入一个ISP账户名和密码,单击“下一步”按钮,出

12、现“完成新建连接向导” 对话框时单击“完成”按钮即可。,3在VPN客户端建立VPN拨号连接,客户端通过ADSL连接上Internet后,还需要建立一个VPN连接才能与VPN服务器建立VPN。下面仍以Windows 2000 Professional为例。 (1)右击“网上邻居”,选择“属性”“新建连接向导”命令,打开如图8-20所示的对话框。 (2)在图8-20中,选择“连接到我的工作场所的网络”,单击“下一步”按钮,打开如图8-21所示的对话框。 (3)在图8-21中选择“虚拟专用网络连接”,单击“下一步”按钮,打开如图8-22所示的对话框。,(4)在图8-22中输入将要建立的连接的名称,例

13、如可输入单位名称或连接的服务器的名称。单击“下一步”按钮,打开如图8-23所示的对话框。 (5)在图8-23中选择可以使用该连接的对象,单击“下一步”按钮,打开如图8-24所示的对话框。 (6)在图8-24中,输入正要连接的VPN服务器的主机名或IP地址。单击“下一步”按钮,出现如图8-25所示的完成对话框,单击“完成”按钮即可。 用户完成架设VPN服务器、建立客户端的Internet连接、建立客户端的VPN连接后,就可以在客户端与VPN服务器之间建立VPN连接。,8.2 网络地址转换NAT,8.2.1 NAT工作原理 下面讨论另一种情况,就是在专用网内部的一些主机本来已经分配到了本地IP地址

14、,但现在又想和Internet上的主机通信(并不需要加密),应当采取什么措施呢? 最简单的办法就是设法再申请一些全球IP地址。但这在很多情况下是不容易做到的,因为全球IP地址已所剩不多了。目前使用得最多的方法是采用网络地址转换。,网络地址转换NAT(Network Address Translation)方法是在1994年提出的。这种方法需要在专用网连接到Internet的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器,它至少有一个有效的内部全球地址IPG。这样,所有使用本地地址的主机和外界通信时都要在NAT路由器上将其本地地址转换成IPG才能和Internet连接。 NAT技

15、术中最常用的有两种实现模式:静态NAT和动态NAT。,静态NAT是建立内部本地地址和内部全球地址的一对一的永久映射。当外部网络需要通过固定的全局可路由地址访问内部主机时,静态NAT就显得十分重要。 动态NAT是建立内部本地地址和内部全球地址池的临时对应关系,如果经过一段时间,内部本地地址没有向外的请求或者数据流,该对应关系将被删除。,如图8-26所示,内部主机X用本地地址IPX(10.1.0.1)和Internet上主机Y(194.4.5.6)通信的详细过程如下: (1)内部主机X(10.1.0.1)发起对IPY(194.4.5.6)的连接。 (2)所发送的数据报经过NAT路由器。当NAT路由

16、器收到以IPX(10.1.0.1)为源地址的第一个数据包时,引起路由器检查NAT映射表。该地址配置有静态映射,就执行第(3)步;如果没有静态映射,就进行动态映射,路由器从内部全局地址池中选择一个有效的地址,并在NAT映射表中创建NAT转换记录。这种记录叫基本记录。,(3)路由器用10.1.0.1对应的NAT转换记录中的全局地址替换数据包源地址,转换成全球地址IPG(125.1.2.3),但目的地址IPY(194.4.5.6)保持不变,然后发送到Internet。 (4)目的地址IPY(194.4.5.6)收到数据包后,向IPG(125.1.2.3)发回响应包。 (5)NAT路由器收到主机Y发回的数据包时,知道数据包中的源地址是IPY(194.4.5.6),目的地址是IPG(125.1.2.3)。根据NAT转换表,NAT路由器将目的地址IPG(125.1.2.3)转换为IPX(10.1.0.1),转发给最终的内部主机X。 (6)主机X收到应答包,并继续保持会话。第(1)步到第(5)步将一直重复,直到会话结束。,图8-26 NAT转换过程,如果NA

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号