تولد المقالات الحقيقية من رسائل إلى الدعم الفني لـ Tucha. على سبيل المثال، اتصل بنا أحد العملاء مؤخرًا لطلب توضيح ما يحدث أثناء الاتصالات داخل نفق VPN بين مكتب المستخدم والبيئة السحابية، وكذلك أثناء الاتصالات خارج نفق VPN. ولذلك فإن النص بأكمله أدناه هو رسالة فعلية أرسلناها إلى أحد عملائنا ردًا على سؤاله. وبطبيعة الحال، تم تغيير عناوين IP حتى لا يتم إلغاء إخفاء هوية العميل. ولكن، نعم، يشتهر الدعم الفني في Tucha بإجاباته التفصيلية ورسائل البريد الإلكتروني الإعلامية. 🙂
بالطبع، نحن نفهم أن هذه المقالة لن تكون بمثابة الوحي بالنسبة للكثيرين. ولكن، نظرًا لأن المقالات الخاصة بالمسؤولين المبتدئين تظهر على حبر من وقت لآخر، وأيضًا نظرًا لأن هذه المقالة ظهرت من رسالة حقيقية إلى عميل حقيقي، فسوف نستمر في مشاركة هذه المعلومات هنا. هناك احتمال كبير أن يكون مفيدًا لشخص ما.
لذلك، نوضح بالتفصيل ما يحدث بين الخادم في السحابة والمكتب إذا كانا متصلين عبر شبكة موقع إلى موقع. لاحظ أن بعض الخدمات لا يمكن الوصول إليها إلا من المكتب، والبعض الآخر يمكن الوصول إليها من أي مكان على الإنترنت.
دعونا نشرح على الفور ما يريده عميلنا على الخادم 192.168.A.1 يمكنك القدوم من أي مكان عبر RDP، والاتصال بـ AAA2:13389، والحصول على الخدمات الأخرى فقط من المكتب (192.168.ب.0/24)متصل عبر VPN. أيضًا، قام العميل في البداية بتكوين السيارة 192.168.B.2 في المكتب كان من الممكن أيضًا استخدام RDP من أي مكان، والاتصال به BBB1:11111. لقد ساعدنا في تنظيم اتصالات IPSec بين السحابة والمكتب، وبدأ متخصص تكنولوجيا المعلومات لدى العميل في طرح أسئلة حول ما سيحدث في هذه الحالة أو تلك. للإجابة على كل هذه الأسئلة، كتبنا له في الواقع كل ما يمكنك قراءته أدناه.
الآن دعونا نلقي نظرة على هذه العمليات بمزيد من التفصيل.
الموقف الأول
عندما يتم إرسال شيء من 192.168.B.0 / 24 в 192.168.أ.0/24 أو من 192.168.أ.0/24 в 192.168.B.0 / 24، فإنه يدخل إلى VPN. أي أن هذه الحزمة مشفرة بشكل إضافي ويتم نقلها فيما بينها BBB1 и AAA1لكن 192.168.A.1 يرى الحزمة بالضبط من 192.168.B.1. يمكنهم التواصل مع بعضهم البعض باستخدام أي بروتوكول. يتم إرسال الردود المرتجعة بنفس الطريقة من خلال VPN، مما يعني أن الحزمة من 192.168.A.1 إلى 192.168.B.1 سيتم إرسالها كمخطط بيانات ESP من AAA1 في BBB1، الذي سيفتحه جهاز التوجيه على هذا الجانب، أخرج تلك الحزمة منه وأرسلها إليه 192.168.B.1 كحزمة من 192.168.A.1.
مثال محدد:
1) 192.168.B.1 مناشدات ل 192.168.A.1، يريد إنشاء اتصال TCP مع 192.168.أ.1:3389;
2) 192.168.B.1 يرسل طلب اتصال من 192.168.ب.1:55555 (يختار رقم المنفذ للتغذية الراجعة بنفسه؛ فيما يلي سنستخدم الرقم 55555 كمثال لرقم المنفذ الذي يختاره النظام عند تكوين اتصال TCP) على 192.168.أ.1:3389;
3) نظام تشغيل يعمل على جهاز كمبيوتر بالعنوان 192.168.B.1، يقرر إعادة توجيه هذه الحزمة إلى عنوان بوابة جهاز التوجيه (192.168.B.254 في حالتنا)، لأن طرقًا أخرى أكثر تحديدًا لـ 192.168.A.1، لا يحتوي على ذلك، فهو ينقل الحزمة عبر المسار الافتراضي (0.0.0.0/0)؛
4) لهذا يحاول العثور على عنوان MAC لعنوان IP 192.168.B.254 في جدول ذاكرة التخزين المؤقت لبروتوكول ARP. إذا لم يتم الكشف عنها، يرسل من العنوان 192.168.B.1 بث من لديه طلب إلى الشبكة 192.168.B.0 / 24. عندما 192.168.B.254 ردًا على ذلك، يرسل إليه عنوان MAC الخاص به، ويرسل النظام حزمة Ethernet له ويدخل هذه المعلومات في جدول ذاكرة التخزين المؤقت الخاص به؛
5) يتلقى جهاز التوجيه هذه الحزمة ويقرر مكان إعادة توجيهها: لديه سياسة مكتوبة يجب بموجبها إرسال جميع الحزم بين 192.168.B.0 / 24 и 192.168.أ.0/24 نقل عبر اتصال VPN بين BBB1 и AAA1;
6) يقوم جهاز التوجيه بإنشاء مخطط بيانات ESP من BBB1 في AAA1;
7) يقرر جهاز التوجيه إلى من يرسل هذه الحزمة، ويرسلها إليه، على سبيل المثال، BBB254 (بوابة مزود خدمة الإنترنت) نظرًا لوجود طرق أكثر تحديدًا لذلك AAA1، من 0.0.0.0/0، ليس لديه؛
8) تمامًا كما سبق ذكره، فهو يعثر على عنوان MAC الخاص به BBB254 وينقل الحزمة إلى بوابة مزود خدمة الإنترنت؛
9) يقوم موفرو الإنترنت بإرسال مخطط بيانات ESP من BBB1 في AAA1;
10) تشغيل جهاز التوجيه الظاهري AAA1 يتلقى مخطط البيانات هذا ويفك تشفيره ويستقبل حزمة منه 192.168.ب.1:55555 إلى 192.168.أ.1:3389;
11) يتحقق جهاز التوجيه الظاهري من الجهة التي سيمررها إليه، ويجد الشبكة في جدول التوجيه 192.168.أ.0/24 ويرسلها مباشرة إلى 192.168.A.1لأنه يحتوي على واجهة 192.168.أ.254/24;
12) لهذا، يقوم جهاز التوجيه الظاهري بالعثور على عنوان MAC الخاص به 192.168.A.1 وينقل إليه هذه الحزمة عبر شبكة إيثرنت افتراضية؛
13) 192.168.A.1 يتلقى هذه الحزمة على المنفذ 3389، ويوافق على إنشاء اتصال ويقوم بإنشاء حزمة استجابة منها 192.168.أ.1:3389 في 192.168.ب.1:55555;
14) يقوم نظامه بإرسال هذه الحزمة إلى عنوان بوابة جهاز التوجيه الظاهري (192.168.A.254 في حالتنا)، لأن طرقًا أخرى أكثر تحديدًا لـ 192.168.B.1، لا يوجد بها، لذلك يجب أن ترسل الحزمة عبر المسار الافتراضي (0.0.0.0/0)؛
15) كما في الحالات السابقة، نظام يعمل على خادم بالعنوان 192.168.A.1، للعثور على عنوان MAC 192.168.A.254لأنه موجود على نفس الشبكة بواجهته 192.168.أ.1/24;
16) يتلقى جهاز التوجيه الافتراضي هذه الحزمة ويقرر مكان إعادة توجيهها: لديه سياسة مكتوبة يجب بموجبها إرسال جميع الحزم بين 192.168.أ.0/24 и 192.168.B.0 / 24 نقل عبر اتصال VPN بين AAA1 и BBB1;
17) يقوم جهاز التوجيه الظاهري بإنشاء مخطط بيانات ESP من AAA1 إلى BBB1;
18) يقرر جهاز التوجيه الظاهري من يرسل هذه الحزمة ويرسلها إليه AAA254 (بوابة مزود خدمة الإنترنت، في هذه الحالة، نحن أيضًا)، نظرًا لوجود طرق أكثر تحديدًا للوصول إليها BBB1، من 0.0.0.0/0، ليس لديه؛
19) يقوم موفرو الإنترنت بإرسال مخطط بيانات ESP عبر شبكاتهم AAA1 في BBB1;
20) تشغيل جهاز التوجيه BBB1 يتلقى مخطط البيانات هذا ويفك تشفيره ويستقبل حزمة منه 192.168.أ.1:3389 إلى 192.168.ب.1:55555;
21) يفهم أنه يجب نقله على وجه التحديد 192.168.B.1نظرًا لأنه موجود على نفس الشبكة معه، فإن لديه إدخالًا مناظرًا في جدول التوجيه، مما يجبره على إرسال حزم للشبكة بأكملها 192.168.B.0 / 24 مباشرة؛
22) يعثر جهاز التوجيه على عنوان MAC الخاص به 192.168.B.1 وسلمه هذه الحزمة.
23) نظام التشغيل على جهاز الكمبيوتر مع العنوان 192.168.B.1 يتلقى حزمة من 192.168.أ.1:3389 إلى 192.168.ب.1:55555 ويبدأ الخطوات التالية لإنشاء اتصال TCP.
يصف هذا المثال بشكل موجز ومبسط (وهنا يمكنك تذكر مجموعة من التفاصيل الأخرى) ما يحدث في المستويات 2-4. لا يتم أخذ المستويات 1، 5-7 بعين الاعتبار.
الموقف الثاني
إذا كان مع 192.168.B.0 / 24 يتم إرسال شيء على وجه التحديد ل AAA2، فهو لا يذهب إلى VPN، ولكن مباشرة. وهذا هو، إذا كان المستخدم من العنوان 192.168.B.1 مناشدات ل AAA2:13389، تأتي هذه الحزمة من العنوان BBB1، يمر على AAA2، ومن ثم يستقبلها جهاز التوجيه ويرسلها إليه 192.168.A.1. 192.168.A.1 لا يعرف شيئا عنه 192.168.B.1يرى طردًا من BBB1، لأنه حصل عليه. ولذلك فإن الرد على هذا الطلب يتبع المسار العام، فهو يأتي من العنوان بنفس الطريقة AAA2 ويذهب الى BBB1، ويرسل جهاز التوجيه هذه الإجابة إلى 192.168.B.1، يرى الجواب من AAA2، الذي وجه إليه.
مثال محدد:
1) 192.168.B.1 مناشدات ل AAA2، يريد إنشاء اتصال TCP مع AAA2:13389;
2) 192.168.B.1 يرسل طلب اتصال من 192.168.ب.1:55555 (هذا الرقم، كما في المثال السابق، قد يكون مختلفا) على AAA2:13389;
3) نظام تشغيل يعمل على جهاز كمبيوتر بالعنوان 192.168.B.1، يقرر إعادة توجيه هذه الحزمة إلى عنوان بوابة جهاز التوجيه (192.168.B.254 في حالتنا)، لأن طرقًا أخرى أكثر تحديدًا لـ AAA2، لا يحتوي على واحد، مما يعني أنه ينقل الحزمة عبر المسار الافتراضي (0.0.0.0/0)؛
4) لهذا، كما ذكرنا في المثال السابق، فإنه يحاول العثور على عنوان MAC لعنوان IP 192.168.B.254 في جدول ذاكرة التخزين المؤقت لبروتوكول ARP. إذا لم يتم الكشف عنها، يرسل من العنوان 192.168.B.1 بث من لديه طلب إلى الشبكة 192.168.B.0 / 24. عندما 192.168.B.254 ردًا على ذلك، يرسل إليه عنوان MAC الخاص به، ويرسل النظام حزمة Ethernet له ويدخل هذه المعلومات في جدول ذاكرة التخزين المؤقت الخاص به؛
5) يتلقى جهاز التوجيه هذه الحزمة ويقرر مكان إعادة توجيهها: لديه سياسة مكتوبة يجب بموجبها إعادة توجيه (استبدال عنوان الإرجاع) جميع الحزم من 192.168.B.0 / 24 إلى عقد الإنترنت الأخرى؛
6) بما أن هذه السياسة تعني أن عنوان الإرجاع يجب أن يتطابق مع العنوان المنخفض على الواجهة التي سيتم من خلالها إرسال هذه الحزمة، فإن جهاز التوجيه أولاً هو الذي يقرر من بالضبط الذي سيرسل إليه هذه الحزمة، ويجب عليه، كما في المثال السابق، إرسالها ل BBB254 (بوابة مزود خدمة الإنترنت) نظرًا لوجود طرق أكثر تحديدًا لذلك AAA2، من 0.0.0.0/0، ليس لديه؛
7) لذلك، يستبدل جهاز التوجيه عنوان الإرجاع الخاص بالحزمة، ومن الآن فصاعدًا تأتي الحزمة من BBB1:44444 (رقم المنفذ، بطبيعة الحال، قد يكون مختلفا) ل AAA2:13389;
8) يتذكر جهاز التوجيه ما فعله، أي متى AAA2:13389 к BBB1:44444 عند وصول الاستجابة، سيعرف أنه يجب عليه تغيير عنوان الوجهة والمنفذ إلى 192.168.ب.1:55555.
9) الآن يجب على جهاز التوجيه تمريره إلى شبكة مزود خدمة الإنترنت عبر BBB254وبالتالي، تمامًا كما ذكرنا سابقًا، فإنه يجد عنوان MAC الخاص به BBB254 وينقل الحزمة إلى بوابة مزود خدمة الإنترنت؛
10) يقوم مزودو خدمة الإنترنت بإرسال الحزم من BBB1 في AAA2;
11) تشغيل جهاز التوجيه الظاهري AAA2 يتلقى هذه الحزمة على المنفذ 13389؛
12) هناك قاعدة في جهاز التوجيه الافتراضي تنص على ضرورة إرسال الحزم المستلمة من أي مرسل على هذا المنفذ إلى 192.168.أ.1:3389;
13) يعثر جهاز التوجيه الظاهري على الشبكة في جدول التوجيه 192.168.أ.0/24 ويرسلها مباشرة 192.168.أ.1 لأنه يحتوي على واجهة 192.168.أ.254/24;
14) لهذا، يقوم جهاز التوجيه الظاهري بالعثور على عنوان MAC الخاص به 192.168.A.1 وينقل إليه هذه الحزمة عبر شبكة إيثرنت افتراضية؛
15) 192.168.A.1 يتلقى هذه الحزمة على المنفذ 3389، ويوافق على إنشاء اتصال ويقوم بإنشاء حزمة استجابة منها 192.168.أ.1:3389 في BBB1:44444;
16) يقوم نظامه بإرسال هذه الحزمة إلى عنوان بوابة جهاز التوجيه الظاهري (192.168.A.254 في حالتنا)، لأن طرقًا أخرى أكثر تحديدًا لـ BBB1، لا يوجد بها، لذلك يجب أن ترسل الحزمة عبر المسار الافتراضي (0.0.0.0/0)؛
17) تمامًا كما في الحالات السابقة، وهو نظام يعمل على خادم بالعنوان 192.168.A.1، للعثور على عنوان MAC 192.168.A.254لأنه موجود على نفس الشبكة بواجهته 192.168.أ.1/24;
18) يتلقى جهاز التوجيه الظاهري هذه الحزمة. وتجدر الإشارة إلى أنه يتذكر ما حصل عليه AAA2:13389 الحزمة من BBB1:44444 وقام بتغيير عنوان المستلم والمنفذ إلى 192.168.أ.1:3389وبالتالي فإن الحزمة من 192.168.أ.1:3389 إلى BBB1:44444 يقوم بتغيير عنوان المرسل إلى AAA2:13389;
19) يقرر جهاز التوجيه الظاهري من الذي سيرسل هذه الحزمة إليه، ويرسلها إليه AAA254 (بوابة مزود خدمة الإنترنت، في هذه الحالة، نحن أيضًا)، نظرًا لوجود طرق أكثر تحديدًا للوصول إليها BBB1، من 0.0.0.0/0، ليس لديه؛
20) يقوم مزودو خدمة الإنترنت بإرسال حزمة مع AAA2 في BBB1;
21) تشغيل جهاز التوجيه BBB1 يتلقى هذه الحزمة ويتذكر أنه عندما أرسل الحزمة من 192.168.ب.1:55555 إلى AAA2:13389، قام بتغيير عنوانه ومنفذ المرسل إلى BBB1:44444، فهذا هو الرد الذي يجب إرساله إليه 192.168.ب.1:55555 (في الواقع، هناك العديد من عمليات التحقق الأخرى، لكننا لا نتعمق في ذلك)؛
22) يفهم أنه يجب أن ينتقل مباشرة إلى 192.168.B.1نظرًا لأنه موجود على نفس الشبكة معه، فإن لديه إدخالًا مناظرًا في جدول التوجيه، مما يجبره على إرسال حزم للشبكة بأكملها 192.168.B.0 / 24 مباشرة؛
23) يعثر جهاز التوجيه على عنوان MAC الخاص به 192.168.B.1 وسلمه هذه الحزمة.
24) نظام التشغيل على جهاز الكمبيوتر مع العنوان 192.168.B.1 يتلقى حزمة من AAA2:13389 إلى 192.168.ب.1:55555 ويبدأ الخطوات التالية لإنشاء اتصال TCP.
وتجدر الإشارة إلى أنه في هذه الحالة الكمبيوتر مع العنوان 192.168.B.1 لا يعرف شيئا عن الخادم مع العنوان 192.168.A.1، فهو يتواصل فقط مع AAA2. وبالمثل، الخادم مع العنوان 192.168.A.1 لا يعرف شيئا عن الكمبيوتر مع العنوان 192.168.B.1. يعتقد أنه كان متصلاً من العنوان BBB1، ولا يعرف شيئًا آخر، إذا جاز التعبير.
وتجدر الإشارة أيضًا إلى أنه إذا تم الوصول إلى هذا الكمبيوتر AAA2:1540، لن يتم إنشاء الاتصال لأنه لم يتم تكوين إعادة توجيه الاتصال إلى المنفذ 1540 على جهاز التوجيه الظاهري، حتى لو كان على أي خوادم في الشبكة الافتراضية 192.168.أ.0/24 (على سبيل المثال، على الخادم بالعنوان 192.168.A.1) وهناك بعض الخدمات التي تنتظر الاتصالات على هذا المنفذ. إذا كان مستخدم الكمبيوتر مع عنوان 192.168.B.1 لا بد من إنشاء اتصال بهذه الخدمة، ويجب أن تستخدم VPN، أي. الاتصال مباشرة 192.168.أ.1:1540.
وينبغي التأكيد على أن أي محاولة لإقامة اتصال مع AAA1 (باستثناء اتصال IPSec من ملف BBB1 لن تكون ناجحة. أي محاولات لإقامة اتصالات مع AAA2، باستثناء الاتصالات بالمنفذ 13389، لن تكون ناجحة أيضًا.
ونلاحظ أيضًا أنه إذا AAA2 إذا تقدم شخص آخر (على سبيل المثال، CCCC)، فإن كل ما هو مشار إليه في الفقرات 10-20 سوف ينطبق عليه أيضًا. ما يحدث قبل ذلك وبعده يعتمد على ما هو بالضبط وراء CCCC. ليس لدينا مثل هذه المعلومات، لذلك ننصحك باستشارة مسؤولي العقدة بعنوان CCCC
الموقف الثالث
وعلى العكس من ذلك، إذا كان مع 192.168.A.1 يتم إرسال شيء ما إلى بعض المنافذ التي تم تكوينها لإعادة التوجيه إلى BBB1 (على سبيل المثال، 11111)، ولا ينتهي الأمر أيضًا في VPN، ولكنه يتدفق ببساطة من AAA1 ويدخل BBB1، وهو ينقلها بالفعل في مكان ما، على سبيل المثال، 192.168.ب.2:3389. يرى هذه الحزمة ليس من 192.168.A.1لكن من AAA1. وعندما 192.168.B.2 الردود، الحزمة تأتي من BBB1 في AAA1, ويصل لاحقًا إلى بادئ الاتصال - 192.168.A.1.
مثال محدد:
1) 192.168.A.1 مناشدات ل BBB1، يريد إنشاء اتصال TCP مع BBB1:11111;
2) 192.168.A.1 يرسل طلب اتصال من 192.168.أ.1:55555 (هذا الرقم، كما في المثال السابق، قد يكون مختلفا) على BBB1:11111;
3) نظام تشغيل يعمل على خادم بالعنوان 192.168.A.1، يقرر إعادة توجيه هذه الحزمة إلى عنوان بوابة جهاز التوجيه (192.168.A.254 في حالتنا)، لأن طرقًا أخرى أكثر تحديدًا لـ BBB1، لا يحتوي على ذلك، فهو ينقل الحزمة عبر المسار الافتراضي (0.0.0.0/0)؛
4) لهذا، كما ذكرنا في الأمثلة السابقة، فإنه يحاول العثور على عنوان MAC لعنوان IP 192.168.A.254 في جدول ذاكرة التخزين المؤقت لبروتوكول ARP. إذا لم يتم الكشف عنها، يرسل من العنوان 192.168.A.1 بث من لديه طلب إلى الشبكة 192.168.أ.0/24. عندما 192.168.A.254 ردًا على ذلك، يرسل لها عنوان MAC الخاص به، ويرسل النظام حزمة Ethernet لها ويدخل هذه المعلومات في جدول ذاكرة التخزين المؤقت الخاص به؛
5) يتلقى جهاز التوجيه الظاهري هذه الحزمة ويقرر مكان إعادة توجيهها: لديه سياسة مكتوبة يجب بموجبها إعادة توجيه (استبدال عنوان الإرجاع) جميع الحزم من 192.168.أ.0/24 إلى عقد الإنترنت الأخرى؛
6) بما أن هذه السياسة تفترض أن عنوان الإرجاع يجب أن يتطابق مع العنوان المنخفض على الواجهة التي سيتم من خلالها إرسال هذه الحزمة، فإن جهاز التوجيه الظاهري هو الذي يقرر أولاً من بالضبط الذي سيرسل إليه هذه الحزمة، ويجب عليه، كما في المثال السابق، الإرسال عليه AAA254 (بوابة مزود خدمة الإنترنت، في هذه الحالة، نحن أيضًا)، نظرًا لوجود طرق أكثر تحديدًا للوصول إليها BBB1، من 0.0.0.0/0، ليس لديه؛
7) هذا يعني أن جهاز التوجيه الظاهري يحل محل عنوان الإرجاع للحزمة، ومن الآن فصاعدًا هو حزمة من AAA1:44444 (رقم المنفذ، بطبيعة الحال، قد يكون مختلفا) ل BBB1:11111;
8) يتذكر جهاز التوجيه الافتراضي ما فعله ومتى BBB1:11111 إلى AAA1:44444 عند وصول الاستجابة، سيعرف أنه يجب عليه تغيير عنوان الوجهة والمنفذ إلى 192.168.أ.1:55555.
9) الآن يجب على جهاز التوجيه الظاهري تمريره إلى شبكة مزود خدمة الإنترنت عبر AAA254، تمامًا كما ذكرنا سابقًا، فإنه يعثر على عنوان MAC الخاص به AAA254 وينقل الحزمة إلى بوابة مزود خدمة الإنترنت؛
10) يقوم مزودو خدمة الإنترنت بإرسال الحزم من AAA1 إلى BBB1;
11) تشغيل جهاز التوجيه BBB1 يتلقى هذه الحزمة على المنفذ 11111؛
12) هناك قاعدة في جهاز التوجيه الافتراضي تنص على ضرورة نقل الحزم التي تصل من أي مرسل على هذا المنفذ إلى 192.168.ب.2:3389;
13) يعثر جهاز التوجيه على الشبكة في جدول التوجيه 192.168.B.0 / 24 ويرسلها مباشرة إلى 192.168.B.2لأنه يحتوي على واجهة 192.168.B.254 / 24;
14) لهذا، يقوم جهاز التوجيه الظاهري بالعثور على عنوان MAC الخاص به 192.168.B.2 وينقل إليه هذه الحزمة عبر شبكة إيثرنت افتراضية؛
15) 192.168.B.2 يتلقى هذه الحزمة على المنفذ 3389، ويوافق على إنشاء اتصال ويقوم بإنشاء حزمة استجابة منها 192.168.ب.2:3389 في AAA1:44444;
16) يقوم نظامه بإرسال هذه الحزمة إلى عنوان بوابة جهاز التوجيه (192.168.B.254 في حالتنا)، لأن طرقًا أخرى أكثر تحديدًا لـ AAA1، لا يوجد بها، لذلك يجب أن ترسل الحزمة عبر المسار الافتراضي (0.0.0.0/0)؛
17) بنفس الطريقة كما في الحالات السابقة، نظام يعمل على جهاز كمبيوتر مع العنوان 192.168.B.2، للعثور على عنوان MAC 192.168.B.254لأنه موجود على نفس الشبكة بواجهته 192.168.B.2 / 24;
18) يستقبل جهاز التوجيه هذه الحزمة. وتجدر الإشارة إلى أنه يتذكر ما حصل عليه BBB1:11111 الحزمة من AAA1 وقام بتغيير عنوان المستلم والمنفذ إلى 192.168.ب.2:3389وبالتالي فإن الحزمة من 192.168.ب.2:3389 إلى AAA1:44444 يقوم بتغيير عنوان المرسل إلى BBB1:11111;
19) يقرر جهاز التوجيه لمن يرسل هذه الحزمة. ويرسله ليقول BBB254 (بوابة مزود خدمة الإنترنت، التي لا نعرف عنوانها الدقيق)، لأنه لا توجد طرق أكثر تحديدًا للوصول إليها AAA1، من 0.0.0.0/0، ليس لديه؛
20) يقوم مزودو خدمة الإنترنت بإرسال حزمة مع BBB1 في AAA1;
21) تشغيل جهاز التوجيه الظاهري AAA1 يتلقى هذه الحزمة ويتذكر أنه عندما أرسل الحزمة من 192.168.أ.1:55555 إلى BBB1:11111، قام بتغيير عنوانه ومنفذ المرسل إلى AAA1:44444. وهذا يعني أن هذا هو الجواب الذي يجب إرساله إليه 192.168.أ.1:55555 (في الواقع، كما ذكرنا في المثال السابق، هناك أيضًا العديد من عمليات التحقق الأخرى، لكن هذه المرة لن نتعمق فيها)؛
22) يفهم أنه يجب أن ينتقل مباشرة إلى 192.168.A.1نظرًا لوجوده على نفس الشبكة معه، فهذا يعني أن لديه إدخالًا مناظرًا في جدول التوجيه يجبره على إرسال الحزم إلى الشبكة بالكامل 192.168.أ.0/24 مباشرة؛
23) يعثر جهاز التوجيه على عنوان MAC الخاص به 192.168.A.1 وسلمه هذه الحزمة.
24) نظام التشغيل على الخادم مع العنوان 192.168.A.1 يتلقى حزمة من BBB1:11111 من أجل 192.168.أ.1:55555 ويبدأ الخطوات التالية لإنشاء اتصال TCP.
تمامًا كما في الحالة السابقة، في هذه الحالة الخادم بالعنوان 192.168.A.1 لا يعرف شيئا عن الكمبيوتر مع العنوان 192.168.B.1، فهو يتواصل فقط مع BBB1. الكمبيوتر مع العنوان 192.168.B.1 كما أنه لا يعرف شيئًا عن الخادم الذي يحمل العنوان 192.168.A.1. يعتقد أنه كان متصلاً من العنوان AAA1والباقي مخفي عنه.
إنتاج
هذه هي الطريقة التي يحدث بها كل شيء للاتصالات داخل نفق VPN بين مكتب العميل والبيئة السحابية، وكذلك للاتصالات خارج نفق VPN. وإذا كانت لديك أي أسئلة أو كنت بحاجة إلى مساعدتنا في حل المشكلات السحابية،
المصدر: www.habr.com