由於公共IP的短缺,我們在組建區域網時,通常使用保留地址作為內部IP,(比如最常用的C類保留地址:192.168.0.0-192.168.255.255)這些地址是不會被網際網路分配的,因此它們在網際網路上也無法被路由的,所以在正常情況下無法直接通過Internet外網訪問到在區域網內的主機。為了實現這一目的,需要使用VPN隧道技術建立一個虛擬專用網路。
比如,一個企業的總部A網路中搭建的ERP系統伺服器(假設IP為192.168.1.251),總部的計算機可以通過內網地址進行直接訪問,但在外地的分公司B無法通過Internet外網訪問這臺伺服器的內網地址。那麼,分公司B就只能通過虛擬專用網路接入到總部A的區域網內來訪問這臺伺服器。
實現原理
VPN閘道器一般會採用雙網絡卡結構,內網絡卡接入公司總部A的內部區域網絡,外網絡卡使用公共IP接入Internet。
比如說分公司B的終端(192.168.2.2)需要訪問總部A的伺服器(192.168.1.252),其發出的訪問資料包的目標地址為伺服器的IP:192.168.1.252。
分公司B區域網的VPN閘道器在接收到終端(192.168.2.2)發出的訪問資料包①時對其目標地址(192.168.1.252)進行檢查,發現目標地址屬於公司總部A網路的地址,於是將該資料包①根據所採用的VPN技術進行封裝,同時VPN閘道器會構造一個新的VPN資料包②,並將封裝後的原資料包①作為VPN資料包②的負載,VPN資料包的目標地址為公司總部A網路的VPN閘道器的公共IP地址。
分公司B區域網的VPN閘道器將VPN資料包傳送到Internet外網中,由於VPN資料包的目標地址是總部A網路的VPN閘道器的外部地址,所以該資料包將被Internet中的路由正確地傳送到總部A網路的VPN閘道器;
總部A網路的VPN閘道器對接收到的資料包②進行檢查,如果發現該資料包是從分公司B網路的VPN閘道器發出的,即可判定該資料包為VPN資料包,並對該資料包進行解包。解包的過程主要是將VPN資料包的包頭剝離,將負載通VPN技術反向處理還原成原始的資料包①;
總部A網路的VPN閘道器將還原後的原始資料包傳送至目標伺服器(192.168.1.252)。在伺服器(192.168.1.252)看來,它收到的資料包就跟從終端(192.168.2.2)直接發過來的一樣。
從伺服器(192.168.1.252)返回終端(192.168.2.2)的資料包處理過程與上述過程原理是一樣的。這樣就完成了整個通過VPN的訪問。