科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道虚拟IP技术在Intranet中的应用

虚拟IP技术在Intranet中的应用

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

如果把Internet比喻成一个城市的街道网,IP地址就是各家各户的门牌号。其实,设置虚拟IP的工作对于一个熟练的网络管理员来说,并不比设置  一个拥有合法IP的子网需要更多的时间。

作者:中国IT实验室 2007年9月6日

关键字: TCP/IP TCP/IP协议 TCP/IP设置 网络协议 IPv6 IPSEC IP网络

  • 评论
  • 分享微博
  • 分享邮件

该文探讨随着Internet用户群的迅速增长,Internet在局部遇到地址不够用的问题。文章提出了大量使用虚拟IP的技术,并介绍了实际应用的方法。

一、引言

如果把Internet比喻成一个城市的街道网,IP地址就是各家各户的门牌号。门牌号不能和别人共用,没有门牌号,别人就不知道你住在哪里。IP地址对于连接Internet的计算机来说同样重要和不可缺少。如果某个居民小区的人口突然膨胀,新建了许多住宅,分配给他们什么样的门牌号呢?不能不着边际地乱起名,又要保持原来的序列,明明901、902楼已经有了,只好把旁边的新建居民楼起名为甲901楼、乙901楼等。同样,面临迅速膨胀的用户群,Internet在局部也会遇到IP地址不够用的问题。

我们发现,在城市居民区中有时会有几座楼被围墙围在一起,有一个公用的大门,写着某某单位大院。大院里的门牌号与居民区的其他人不同,可以自己定义。住户收到的信件先被邮递员送到传达室,再由看门人送到住户手里。那么在Internet上是不是也可以建立"单位大院"呢?Intranet(企业内部网)其实就是这样的一个"单位大院"。Intranet对于企业的重要性,在很多文章里都提到,这里就不再多说了。另外一个很明显的是,Intranet可以解决IP地址紧张的问题。不过,很多专家在提及Intranet时,显然把Intranet中的计算机赋予了和Inter net一样的IP地址。也就是说,"单位大院"里的门牌号和居民区其他住户的门牌号同样设置, 邮递员可以把信直接送到住户手里,不必经过传达室。于是出于安全因素,大家纷纷给Inter net上的"单位大院"修院墙——防火墙(Firewall)。那么为什么不自己编制门牌号呢?Intranet中完全可以使用自己定义的IP地址。即使不修院墙(Firewall),邮递员(Hacker)也不可能把信直接送到住户手里,因为他根本不清楚"单位大院"里的门牌号!

二、IP地址不够用的解决办法

从Intranet发展的战略角度讲,笔者认为应该大量使用虚拟IP技术,原因有两条:第一,可以大幅度增加企业内部网的安全性,入侵者从理论上是不可能侵入Intranet的;第二,可以从根本上解决IP地址紧张的问题,解决的途径方便、快捷。目前的IP地址管理使得一方面IP浪费严重,另一方面IP不够用,尽管IPv6已经确定将来的IP地址是128位长,但是就像电话号码升位一样,只不过给我们提供了更多的"浪费"余地,而且IP地址的升位势必导致所有的IP网关、域名解析等网络服务系统,以及最终用户的Internet应用软件必须作及时的调整,这是一个很大的工作量。而虚拟IP技术并不需要在硬件上和软件上进行升级,它采用的完全是现有的设备和技术。

三、在Intranet中如何采用虚拟IP技术

下面就关于如何在Intranet中应用虚拟IP技术做一个比较详细的说明。

我们可以设想有两个子网,他们分别通过各自的IP网关与上级网关连接,最后连入Inter net,如图1。通常情况下,如果建立Intranet,可以在其中一个子网的IP网关上安置防火墙,将整个子网建成为内部网。这时,作为防火墙的计算机将是整个内部网中最关键的环节,是黑客入侵时首当其冲的部位,一旦崩溃,整个Intranet将断绝同外界的一切联系。当然,关于网络安全性以及防火墙的建构问题是一个比较复杂的问题,研究人员已经在这个方面付出了很多努力,而且防火墙技术也在不断发展中。但是,正所谓"道高一尺,魔高一丈",现在任何一个防火墙产品也不敢断言是百分之百安全可靠的,也正是在防火墙与黑客之间互有胜负地较量中,网络安全才得以不断地完善。也就是说,安全性的每一次升级,总是或多或少地付出一定的代价, 某些防火墙势必要被黑客摧毁!

如果注意一下的话,就可以发现防火墙是企业内部网的一个惹人注目的焦点,无论具体是哪一种安全结构,防火墙的使命是相同的,都同样是黑客们的"眼中钉"。那么,我们不妨换一个角度看问题,分散黑客们的注意力,将网络安全性问题平均地分担在整个企业内部网中,而不是集中地由一台或两台安装了防火墙的计算机来担当。这样做并不意味着安全性的降低和维护困难。

1.设置基本网络结构

具体来讲,如图1所示,在一个子网内,我们可以将它的IP网关的网址设置为*.*.60.62,其子网掩码为255.255.255.192。对于这个子网来说,*.*.60.0~*.*.60.63的一段IP地址是子网内部有效的(Available IP),子网中拥有这些IP地址的计算机的子网掩码也是255.255.255.192,此时的网关对于这些计算机是透明的,它们可以直接通过网关访问Internet。同样地,Internet上的任意一台主机也可以直接访问到子网内部的这些计算机,这样的IP地址称之为合法IP(Legal IP),或真实IP(Real IP)。但是,另外一种我们认为有问题的做法是,IP网关的网址及掩码设置不变(这一点是至关重要的),子网内的某台计算机的IP地址设置为有效IP中的某一个,如*.*.60.60,但其掩码可以设置为255.255.254.192,注意子网掩码中第三组数字发生的变化。接下来我们做几个"与"运算,60&254=60,60&255=60,61&254=60,61&255=61。

根据TCP/IP协议我们可以知道,*.*.60.60这台计算机可以访问IP网关外*.*.61.0~*.*.61.63 的一段IP节点,也可以访问诸如www.netscape.com一类的任何Internet主机。当然,Interne t上的任何主机也可以访问到*.*.60.60。这时,子网中的其他计算机的IP地址可以设置为*. *.61.0~*.*.61.63中的某一个,如*.*.61.8,注意IP地址中第三组数字的变化,其子网掩码设置为255.255.254.192。看一下刚才的与运算结果,我们可以知道,拥有这样的TCP/IP配置的计算机是不能访问IP网关以外的节点的,它们发出的IP包在检查源地址的IP网关处,被网关认为是坏包,将予以丢弃。更值得注意的是,Internet上某台主机向*.*.61.8发出的IP包,也许还根本到不了本子网的IP网关,就已经被上级网关转发到真正的*.*.61.8所在的子网了。本子网内拥有这些IP地址的计算机,对于IP网关外面是不可见的,我称这样的IP地址为非法IP( Illegal IP),或虚拟IP(Virtual IP)。

那么*.*.61.8和*.*.60.60这两台计算机之间可以互相通讯吗?当然可以!这一点由TCP/ IP协议就可以清楚地知道。如果IP网关外真正的*.*.61.8计算机也正在网络上(Alive),*.* .60.60向*.*.61.8发出的IP包是被虚拟IP持有者收到,还是被真实IP持有者收到呢?从TCP/IP协议的规定看,宿主机向目的主机发出IP包前,首先进行目的主机IP地址和宿主机子网掩码的与运算,结果和宿主机在做TCP/IP初始化时,宿主机IP地址和自身子网掩码的与运算结果一致,意味着目的主机和宿主机在同一个物理网段,则宿主机直接向目的主机发送IP包,如果两个运算结果不一致,意味着目的主机和宿主机不在同一个物理网段,此时,宿主机将IP包发送到网关,由IP网关转发。无论是哪一种情况,宿主机都要在本物理网段广播一个ARP请求,如果持有虚拟IP的计算机正在网络上,它会首先向宿主机发回一个ARP应答,于是宿主机向它发送IP包,如果虚拟IP计算机不在网络上,ARP请求没有应答,宿主机只能将IP包发送到网关。所以同样是*.*.61.8的虚拟IP计算机和真实IP计算机同时连接在网络上时,*.*. 60.60向它们发送的IP包,只会被虚拟IP计算机收到,因为它们在同一物理网段。所以,网关内部的网络是相对独立的,不受外界干扰,能被外界访问到的只是IP网关和像*.*.60.60这样的计算机,而像* .*.61.8这样的计算机它们彼此之间可以互相联系,也可以与*.*.60.60这样的计算机联系,但不能和网关外的计算机通讯。

2.规划网络功能

有了这样一个基本的网络结构后,我们就可以具体规划网络功能了。像*.*.60.60这样的既可以被网关外面的真实IP主机访问到,又可以被网关内部的虚拟IP主机访问到的计算机,首先想到可以让它作为Proxy Server,代理虚拟IP计算机连接Internet,就像"单位大院"的传达室。虚拟IP计算机可以通过Proxy Server,很容易地访问Internet上的任意节点,只要在Pro xy Server上设置足够宽容的限制许可就行了。其次,我们还可以将*.*.60.60设置为邮件服务器,或者是可以共享的FTP服务器,可以提供对外宣传的WWW服务以及公开的数据库等等。针对这类主机的特点,称之为边界服务器(Boundary Server)。对于一个规模比较大的网络系统来说,可以有多个边界服务器,分别承担不同的任务,或者是将一比较繁重的任务由几个边界服务器来承担。正因为边界服务器对于Internet上的任意主机是开放的,所以,在边界服务器上提供的服务也应该是公开的。对于安全级别比较高的信息就应该考虑仅在企业内部发送。像*.*.61.8这样的对外是不可见的主机,称之为内部服务器(IntraServer),在内部服务器上提供的WWW信息或其他的共享数据,仅能在内部网络持有虚拟IP的计算机之间进行传递,Inte rnet上的黑客是不可能窃取到的。内部服务器的数量也可以依网络规模而定。而这样的一个网络最终可以连接多少台主机,也仅仅由所设置的子网掩码而定,既可以设置成一个C类子网,甚至也可以设置成B类子网。规模大的网络中也可以分级设置IP网关,关键的一点就是要仔细设置内部网中最高一级IP网关的子网掩码,不要和真实IP持有者冲突,内部网中其他各级网关也要认真设置,平均分配网络负荷。其实,设置虚拟IP的工作对于一个熟练的网络管理员来说,并不比设置

一个拥有合法IP的子网需要更多的时间。

至此,一个相当完善的企业内部网就已经建立起来了。这样建立的Intranet具有几个很明显的特点。首先就是应用虚拟IP技术的Intranet并不需要很多的合法IP,整个网络中只有少数的边界服务器需要合法IP身份,其他的占绝大多数的计算机只需要虚拟IP。虚拟IP虽然在性质上与合法IP没有区别,但是由于在内部网中最高一级IP网关的特殊设置,使得虚拟IP主机不能直接访问到IP网关外面的主机,也就是说,虚拟IP主机

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章