|
一般情况下,site to site *** 两端LAN的IP网段是不相同的,但有一般情况就有特殊情况的存在啊!两端LAN的IP网段重叠了.这样!怎么做***呢? 问题是产生方法的源动力!!!! 先做个网络模型吧!A-LAN 和B-LAN进行***互连,两个LAN的IP段192.168.1.0/24. B-LAN中有台FTP serverB(192.168.1.2).
A-LAN中有一个test用户(192.168.1.8)想去访问serverB,输入192.168.1.2后,当然是访问不到serverB的啊!
现在就需要***设备大显神通了啊!(就选性能和功能都不错的Juniper FW这个***设备吧!)
让我们通过一个小小的数据包去看看它(Juniper)是如何神奇的使A-LAN的用户能访问到serverB的啊!!
当test用户按了访问serverB的键时,一个很小,但很重要(说它重要是因为通过它可以帮助我们认识工作原理啊)的数据包产生。从此时,此地,就开始了我们的神奇的旅程了! 目的IP(192.168.3.7)(为什么输入192.168.3.7这个IP呢?serverB明明是192.168.1.2啊!其实这样做的目的是要将数据包的IP地址不管是源还目都要弄成中立的IP,等一下,我们还要把源址弄成中立的啊!(所谓中立的IP就是不在A-LAN和B-LAN的网段啊!))源地址(192.168.1.8)的数据包到达Juniper时,Juniper需要对这个数据包进行一番手术才行的啊! 第一步就是把数据包的源IP修改成(192.168.2.2).此时这个数据包的目的,源地址变得与A-LAN和B-LAN这两个网络的IP网段地址都不相同了.这下,这个数据好像被Juniper设备搞得前不着村,后不着店似的。这正是我们要达到的目的啊!使数据包能在两个LAN中进行路由的。为了让数据包找到回家的路,Juniper的设备的数据库中存了一个条目192.168.2.2和 192.168.1.8的映射。当数据包从B-LAN中回到A-LAN时,可以使数据到达test 中。
当数据包的IP地址进行了处理了后,下面就***的本分处理了喔!(说明一下,Juniper设备以前以把*** 的SA协商好了啊!)加密,散列一个都不能少喔!!! |
|
|