企業VPN應用場景
- 場景介紹:如圖為一企業vpn應用場景,總部出口為一臺AD交付設備,分支結構出口為一臺AC(上網行為管理設備),現用一數據包分析分支PC2訪問HTTP服務器,數據包的走向及數據包地址的變換,看懂了這個VPN工作流程就弄明白了。
- 發包過程------PC2發出數據包1-1sip:172.172.10.10,dip:172.172.3.100,sport:50000,dport:80,protocol:tcp,data:數據;默認情況下次數據包會直接發送到AC設備,AC沒有去往172.172.3.100的路由,AC此時將不知道將數據包發往何處。由於總部和分支要走VPN,所以應該在AC中添加去往172.172.3.100的路由,下一跳轉發給VPN即172.172.10.3.此時數據包1-1將被轉發給VPN。
- vpn設備將數據包1-1封裝,變成數據包1-2,sip:172.172.10.3,dip:202.96.137.88,sport:40000,dport:4009,protocol:tcp,data:加密的原始數據包;封裝的數據包1-2中的目標ip和端口,是分支vpn和總部vpn協商的參數,走vpn的流就會按此形式封裝。
- 數據包1-2由vpn設備發送到AC,數據包經過AC,源地址會再次改變,變成數據包1-3,sip:202.96.139.99,dip:202.96.137.88,sport:40000,dport:4009,protocol:tcp,data:加密的原始數據包。此時數據包通過公網傳送至總部AD設備出口處。
- AD上4009端口,為總部vpn映射的端口,此時數據包1-3會被轉換為數據包1-4,sip:202.96.139.99,dip:172.172.2.200,sport:40000,dport:4009,protocol:tcp,data:加密的原始數據包。並將數據包1-4轉發到vpn設備。
- vpn收到數據包1-4後,對其進行解封裝,得到原來的數據包1-1,sip:172.172.10.10,dip:172.172.3.100,sport:50000,dport:80,protocol:tcp,data:數據;vpn根據數據包1-1地址轉發給相應設備即HTTP服務器,至此數據包發送成功。
- 回包過程------- 服務器發出數據包2-1sip:172.172.3.100,dip:172.172.10.10,sport:80,dport:50000,protocol:tcp,data:數據;服務器將數據包發送至防火牆,默認情況下防火牆不會把數據包發送給VPN,所以在防火牆添加去往172.172.10.0網段的路由,下一跳為172.172.2.200,此時數據包2-1轉發到vpn設備。
- vpn收到數據包2-1後將其進行封裝成數據包2-2,sip:172.172.2.200,dip:202.96.139.99,sport:4009,dport:40000,protocol:tcp,data:加密的原始數據包;並將數據包2-2發送到總部出口設備,數據包2-2經過出口設備後,源地址會改變,變為數據包2-3,sip:202.96.137.88,dip:202.96.139.99,sport:4009,dport:40000,protocol:tcp,data:加密的原始數據包;數據包2-3從公網傳送到分支出口設備AC。
- AC根據內部地址轉換表,將數據包2-3轉換成數據包2-4,sip:202.96.137.88,dip:172.172.10.3,sport:4009,dport:40000,protocol:tcp,data: 加密的原始數據包;轉發給vpn設備。
- VPN對數據包2-4進行解封裝,得到數據包2-1,ip:172.172.3.100,dip:172.172.10.10,sport:80,dport:50000,protocol:tcp,data:數據;到此回包成功。
- 總結:VPN成功的關鍵之處,處於內網的VPN設備,應做端口映射;與終端相連的三層設備,默認不會把數據轉發給VPN設備,一定要做引流到VPN設備。
分享到:
閱讀更多 oo笑豬顏開 的文章
