บทความจริงเกิดจากจดหมายถึงฝ่ายสนับสนุนด้านเทคนิคของ Tucha ตัวอย่างเช่น ลูกค้าเพิ่งติดต่อเราเพื่อขอชี้แจงว่าเกิดอะไรขึ้นระหว่างการเชื่อมต่อภายในอุโมงค์ VPN ระหว่างสำนักงานของผู้ใช้กับสภาพแวดล้อมคลาวด์ รวมถึงระหว่างการเชื่อมต่อนอกอุโมงค์ VPN ดังนั้น ข้อความทั้งหมดด้านล่างนี้จึงเป็นจดหมายจริงที่เราส่งถึงลูกค้ารายหนึ่งของเราเพื่อตอบคำถามของเขา แน่นอนว่าที่อยู่ IP มีการเปลี่ยนแปลงเพื่อไม่ให้ระบุชื่อไคลเอ็นต์ได้ แต่ใช่แล้ว ฝ่ายสนับสนุนด้านเทคนิคของ Tucha มีชื่อเสียงมากในด้านคำตอบโดยละเอียดและอีเมลที่ให้ข้อมูล 🙂
แน่นอน เราเข้าใจดีว่าสำหรับหลาย ๆ คนบทความนี้จะไม่ใช่การเปิดเผย แต่เนื่องจากบทความสำหรับผู้ดูแลระบบมือใหม่ปรากฏบน Habr เป็นครั้งคราวและเนื่องจากบทความนี้ปรากฏจากจดหมายจริงถึงลูกค้าจริง เราจึงยังคงแบ่งปันข้อมูลนี้ที่นี่ มีความเป็นไปได้สูงที่จะเป็นประโยชน์กับใครบางคน
ดังนั้นเราจึงอธิบายรายละเอียดว่าจะเกิดอะไรขึ้นระหว่างเซิร์ฟเวอร์ในระบบคลาวด์และสำนักงาน หากเชื่อมต่อกันด้วยเครือข่ายระหว่างไซต์ โปรดทราบว่าบริการบางอย่างสามารถเข้าถึงได้จากสำนักงานเท่านั้น และบางส่วนสามารถเข้าถึงได้จากทุกที่บนอินเทอร์เน็ต
ให้เราอธิบายทันทีว่าลูกค้าของเราต้องการอะไรบนเซิร์ฟเวอร์ 192.168.A.1 คุณสามารถมาจากที่ใดก็ได้ผ่าน RDP เชื่อมต่อกับ AAA2:13389และเข้าถึงบริการอื่น ๆ จากสำนักงานเท่านั้น (192.168.B.0/24)เชื่อมต่อผ่าน VPN นอกจากนี้ ในตอนแรกลูกค้าได้กำหนดค่ารถไว้แล้ว 192.168.B.2 ในสำนักงานก็สามารถใช้ RDP ได้จากทุกที่โดยเชื่อมต่อด้วย BBB1:11111. เราช่วยจัดระเบียบการเชื่อมต่อ IPSec ระหว่างระบบคลาวด์และสำนักงาน และผู้เชี่ยวชาญด้านไอทีของลูกค้าก็เริ่มถามคำถามเกี่ยวกับสิ่งที่จะเกิดขึ้นในกรณีนี้หรือกรณีนั้น เพื่อตอบคำถามเหล่านี้ จริงๆ แล้วเราได้เขียนถึงเขาทุกอย่างที่คุณสามารถอ่านได้ด้านล่าง
ตอนนี้เรามาดูกระบวนการเหล่านี้โดยละเอียดมากขึ้น
ตำแหน่งที่หนึ่ง
เมื่อบางสิ่งถูกส่งมาจาก 192.168.บ.0/24 в 192.168.A.0/24 หรือจาก 192.168.A.0/24 в 192.168.บ.0/24มันจะเข้าสู่ VPN นั่นคือแพ็กเก็ตนี้ได้รับการเข้ารหัสและส่งระหว่างกันเพิ่มเติม B.B.B.1 и AAA1แต่ 192.168.A.1 เห็นแพ็คเกจชัดๆจาก 192.168.B.1. พวกเขาสามารถสื่อสารกันโดยใช้โปรโตคอลใดก็ได้ การตอบกลับจะถูกส่งในลักษณะเดียวกันผ่าน VPN ซึ่งหมายความว่าแพ็กเก็ตจาก 192.168.A.1 สำหรับ 192.168.B.1 จะถูกส่งเป็นดาตาแกรม ESP จาก AAA1 บน B.B.B.1ซึ่งเราเตอร์จะกางออกด้านนั้น แล้วดึงแพ็กเก็ตนั้นออกมาแล้วส่งไป 192.168.B.1 เป็นแพ็คเกจจาก 192.168.A.1.
ตัวอย่างเฉพาะ:
1) 192.168.B.1 อุทธรณ์ไปยัง 192.168.A.1ต้องการสร้างการเชื่อมต่อ TCP ด้วย 192.168.A.1:3389;
2) 192.168.B.1 ส่งคำขอการเชื่อมต่อจาก 192.168.B.1:55555 (เขาเลือกหมายเลขพอร์ตสำหรับป้อนกลับเอง ซึ่งต่อไปนี้เราจะใช้หมายเลข 55555 เป็นตัวอย่างหมายเลขพอร์ตที่ระบบเลือกเมื่อสร้างการเชื่อมต่อ TCP) 192.168.A.1:3389;
3) ระบบปฏิบัติการที่ทำงานบนคอมพิวเตอร์พร้อมที่อยู่ 192.168.B.1ตัดสินใจส่งต่อแพ็กเก็ตนี้ไปยังที่อยู่เกตเวย์ของเราเตอร์ (192.168.B.254 в нашем случае), потому что других, более специфических маршрутов для 192.168.A.1มันไม่มีจึงส่งแพ็กเก็ตผ่านเส้นทางเริ่มต้น (0.0.0.0/0)
4) ในกรณีนี้จะพยายามค้นหาที่อยู่ MAC สำหรับที่อยู่ IP 192.168.B.254 ในตารางแคชโปรโตคอล ARP หากตรวจไม่พบให้ส่งจากที่อยู่ 192.168.B.1 ออกอากาศผู้ที่มีการร้องขอไปยังเครือข่าย 192.168.บ.0/24. เมื่อ 192.168.B.254 เพื่อเป็นการตอบสนอง เขาส่งที่อยู่ MAC ของเธอ ระบบจะส่งแพ็กเก็ตอีเธอร์เน็ตให้เธอและป้อนข้อมูลนี้ลงในตารางแคช
5) เราเตอร์ได้รับแพ็กเก็ตนี้และตัดสินใจว่าจะส่งต่อไปที่ใด: มีนโยบายเป็นลายลักษณ์อักษรตามที่จะต้องส่งแพ็กเก็ตทั้งหมดระหว่าง 192.168.บ.0/24 и 192.168.A.0/24 ถ่ายโอนผ่านการเชื่อมต่อ VPN ระหว่าง B.B.B.1 и AAA1;
6) เราเตอร์สร้างดาตาแกรม ESP จาก B.B.B.1 บน AAA1;
7) เราเตอร์ตัดสินใจว่าจะส่งแพ็กเก็ตนี้ไปให้ใคร โดยจะส่งไปพูด B.B.B.254 (ISP Gateway) เนื่องจากมีเส้นทางเฉพาะเจาะจงมากกว่า AAA1มากกว่า 0.0.0.0/0 มันไม่มี
8) เหมือนกับที่กล่าวไปแล้วทุกประการ ค้นหาที่อยู่ MAC สำหรับ B.B.B.254 และส่งแพ็กเก็ตไปยังเกตเวย์ ISP
9) ผู้ให้บริการอินเทอร์เน็ตส่งดาตาแกรม ESP จาก B.B.B.1 บน AAA1;
10) เปิดเราเตอร์เสมือน AAA1 รับดาตาแกรมนี้ ถอดรหัส และรับแพ็กเก็ตจาก 192.168.B.1:55555 สำหรับ 192.168.A.1:3389;
11) เราเตอร์เสมือนจะตรวจสอบว่าจะส่งผ่านไปให้ใคร ค้นหาเครือข่ายในตารางเส้นทาง 192.168.A.0/24 และส่งตรงไปที่ 192.168.A.1เพราะมันมีส่วนต่อประสาน 192.168.A.254/24;
12) สำหรับสิ่งนี้ เราเตอร์เสมือนจะค้นหาที่อยู่ MAC สำหรับ 192.168.A.1 และส่งแพ็กเก็ตนี้ให้เขาผ่านเครือข่ายอีเทอร์เน็ตเสมือน
13) 192.168.A.1 รับแพ็กเก็ตนี้บนพอร์ต 3389 ตกลงที่จะสร้างการเชื่อมต่อและสร้างแพ็กเก็ตเพื่อตอบสนอง 192.168.A.1:3389 บน 192.168.B.1:55555;
14) ระบบของเขาส่งแพ็กเก็ตนี้ไปยังที่อยู่เกตเวย์ของเราเตอร์เสมือน (192.168.A.254 в нашем случае), потому что других, более специфических маршрутов для 192.168.B.1ไม่มีจึงต้องส่งแพ็กเก็ตผ่านเส้นทางเริ่มต้น (0.0.0.0/0)
15) เช่นเดียวกับในกรณีก่อนหน้านี้ ระบบที่ทำงานบนเซิร์ฟเวอร์พร้อมที่อยู่ 192.168.A.1ค้นหาที่อยู่ MAC 192.168.A.254เนื่องจากอยู่ในเครือข่ายเดียวกันกับอินเทอร์เฟซ 192.168.A.1/24;
16) เราเตอร์เสมือนได้รับแพ็กเก็ตนี้และตัดสินใจว่าจะส่งต่อไปที่ใด: มีนโยบายเป็นลายลักษณ์อักษรตามที่จะต้องส่งแพ็กเก็ตทั้งหมดระหว่าง 192.168.A.0/24 и 192.168.บ.0/24 ถ่ายโอนผ่านการเชื่อมต่อ VPN ระหว่าง AAA1 и B.B.B.1;
17) เราเตอร์เสมือนสร้างดาตาแกรม ESP จาก AAA1 สำหรับ B.B.B.1;
18) เราเตอร์เสมือนตัดสินใจว่าจะส่งแพ็กเก็ตนี้ไปให้ใคร แล้วส่งไปที่ AAA254 (เกตเวย์ ISP ในกรณีนี้คือพวกเราด้วย) เนื่องจากมีเส้นทางที่เฉพาะเจาะจงมากกว่า B.B.B.1มากกว่า 0.0.0.0/0 มันไม่มี
19) ผู้ให้บริการอินเทอร์เน็ตส่งดาตาแกรม ESP ผ่านเครือข่ายของตนด้วย AAA1 บน B.B.B.1;
20) เปิดเราเตอร์ B.B.B.1 รับดาตาแกรมนี้ ถอดรหัส และรับแพ็กเก็ตจาก 192.168.A.1:3389 สำหรับ 192.168.B.1:55555;
21) เขาเข้าใจว่าควรโอนให้โดยเฉพาะ 192.168.B.1เนื่องจากเขาอยู่ในเครือข่ายเดียวกันกับเขา ดังนั้น เขาจึงมีรายการที่สอดคล้องกันในตารางเส้นทาง ซึ่งบังคับให้เขาส่งแพ็กเก็ตสำหรับทั้งหมด 192.168.บ.0/24 โดยตรง;
22) เราเตอร์ค้นหาที่อยู่ MAC สำหรับ 192.168.B.1 และมอบพัสดุนี้ให้เขา
23) ระบบปฏิบัติการบนคอมพิวเตอร์พร้อมที่อยู่ 192.168.B.1 รับพัสดุจาก 192.168.A.1:3389 สำหรับ 192.168.B.1:55555 และเริ่มขั้นตอนถัดไปเพื่อสร้างการเชื่อมต่อ TCP
ตัวอย่างนี้ค่อนข้างกระชับและเรียบง่าย (และที่นี่คุณสามารถจำรายละเอียดอื่นๆ ได้อีกมากมาย) อธิบายสิ่งที่เกิดขึ้นในระดับ 2-4 ระดับ 1, 5-7 จะไม่ได้รับการพิจารณา
ตำแหน่งที่สอง
ถ้าด้วย 192.168.บ.0/24 มีบางสิ่งถูกส่งไปที่โดยเฉพาะ AAA2มันไม่ได้ไปที่ VPN แต่ไปที่ VPN โดยตรง นั่นคือหากผู้ใช้มาจากที่อยู่ 192.168.B.1 อุทธรณ์ไปยัง AAA2:13389แพ็กเก็ตนี้มาจากที่อยู่ B.B.B.1, ผ่านไป AAA2จากนั้นเราเตอร์จะรับและส่งไปที่ 192.168.A.1. 192.168.A.1 ไม่รู้อะไรเกี่ยวกับ 192.168.B.1เขาเห็นพัสดุจาก B.B.B.1, поскольку тот его понатил. Поэтому ответ на этот запрос идёт по общему маршруту, он точно так же натится с адреса AAA2 และไปที่ B.B.B.1, а тот маршрутизатор этот ответ отдаёт на 192.168.B.1เขาเห็นคำตอบจาก AAA2ซึ่งเขากล่าวถึง
ตัวอย่างเฉพาะ:
1) 192.168.B.1 อุทธรณ์ไปยัง AAA2ต้องการสร้างการเชื่อมต่อ TCP ด้วย AAA2:13389;
2) 192.168.B.1 ส่งคำขอการเชื่อมต่อจาก 192.168.B.1:55555 (ตัวเลขนี้ดังตัวอย่างที่แล้วอาจแตกต่างกัน) บน AAA2:13389;
3) ระบบปฏิบัติการที่ทำงานบนคอมพิวเตอร์พร้อมที่อยู่ 192.168.B.1ตัดสินใจส่งต่อแพ็กเก็ตนี้ไปยังที่อยู่เกตเวย์ของเราเตอร์ (192.168.B.254 в нашем случае), потому что других, более специфических маршрутов для AAA2ไม่มีเลย ซึ่งหมายความว่าจะส่งแพ็กเก็ตผ่านเส้นทางเริ่มต้น (0.0.0.0/0)
4) สำหรับสิ่งนี้ ดังที่เราได้กล่าวไว้ในตัวอย่างก่อนหน้านี้ มันพยายามค้นหาที่อยู่ MAC สำหรับที่อยู่ IP 192.168.B.254 ในตารางแคชโปรโตคอล ARP หากตรวจไม่พบให้ส่งจากที่อยู่ 192.168.B.1 ออกอากาศผู้ที่มีการร้องขอไปยังเครือข่าย 192.168.บ.0/24. เมื่อ 192.168.B.254 เพื่อเป็นการตอบสนอง เขาส่งที่อยู่ MAC ของเธอ ระบบจะส่งแพ็กเก็ตอีเธอร์เน็ตให้เธอและป้อนข้อมูลนี้ลงในตารางแคช
5) เราเตอร์ได้รับแพ็กเก็ตนี้และตัดสินใจว่าจะส่งต่อที่ไหน: มีนโยบายที่เป็นลายลักษณ์อักษรตามที่ต้องส่งต่อ (แทนที่ที่อยู่ผู้ส่ง) แพ็กเก็ตทั้งหมดจาก 192.168.บ.0/24 ไปยังโหนดอินเทอร์เน็ตอื่น
6) เนื่องจากนโยบายนี้บอกเป็นนัยว่าที่อยู่ผู้ส่งจะต้องตรงกับที่อยู่ที่ต่ำบนอินเทอร์เฟซที่จะส่งแพ็กเก็ตนี้ เราเตอร์จะตัดสินใจว่าจะส่งแพ็กเก็ตนี้ไปให้ใครก่อน และเขาจะต้องส่งแพ็กเก็ตนี้ตามตัวอย่างก่อนหน้านี้ ถึง B.B.B.254 (ISP Gateway) เนื่องจากมีเส้นทางเฉพาะเจาะจงมากกว่า AAA2มากกว่า 0.0.0.0/0 มันไม่มี
7) ดังนั้นเราเตอร์จะแทนที่ที่อยู่ผู้ส่งของแพ็กเก็ตต่อจากนี้ไปแพ็กเก็ตจะมาจาก BBB1:44444 (หมายเลขพอร์ตแน่นอนอาจแตกต่างกัน) ถึง AAA2:13389;
8) เราเตอร์จะจดจำสิ่งที่ทำ ซึ่งหมายถึงเมื่อใด AAA2:13389 к BBB1:44444 เมื่อตอบกลับมาเขาจะรู้ว่าควรเปลี่ยนที่อยู่ปลายทางและพอร์ตไป 192.168.B.1:55555.
9) ตอนนี้เราเตอร์ควรส่งต่อไปยังเครือข่าย ISP ผ่านทาง B.B.B.254, следовательно, точно так же, как мы уже упоминали, он находит MAC-адрес для B.B.B.254 และส่งแพ็กเก็ตไปยังเกตเวย์ ISP
10) ผู้ให้บริการอินเทอร์เน็ตส่งแพ็กเก็ตจาก B.B.B.1 บน AAA2;
11) เปิดเราเตอร์เสมือน AAA2 รับแพ็กเก็ตนี้ที่พอร์ต 13389;
12) มีกฎบนเราเตอร์เสมือนที่กำหนดว่าแพ็กเก็ตที่ได้รับจากผู้ส่งใด ๆ บนพอร์ตนี้ควรถูกส่งไปยัง 192.168.A.1:3389;
13) เราเตอร์เสมือนค้นหาเครือข่ายในตารางเส้นทาง 192.168.A.0/24 และส่งโดยตรง 192.168. ก.1 เพราะมันมีส่วนต่อประสาน 192.168.A.254/24;
14) สำหรับสิ่งนี้ เราเตอร์เสมือนจะค้นหาที่อยู่ MAC สำหรับ 192.168.A.1 และส่งแพ็กเก็ตนี้ให้เขาผ่านเครือข่ายอีเทอร์เน็ตเสมือน
15) 192.168.A.1 รับแพ็กเก็ตนี้บนพอร์ต 3389 ตกลงที่จะสร้างการเชื่อมต่อและสร้างแพ็กเก็ตเพื่อตอบสนอง 192.168.A.1:3389 บน BBB1:44444;
16) ระบบของเขาส่งแพ็กเก็ตนี้ไปยังที่อยู่เกตเวย์ของเราเตอร์เสมือน (192.168.A.254 в нашем случае), потому что других, более специфических маршрутов для B.B.B.1ไม่มีจึงต้องส่งแพ็กเก็ตผ่านเส้นทางเริ่มต้น (0.0.0.0/0)
17) เช่นเดียวกับในกรณีก่อนหน้านี้ ระบบที่ทำงานบนเซิร์ฟเวอร์พร้อมที่อยู่ 192.168.A.1ค้นหาที่อยู่ MAC 192.168.A.254เนื่องจากอยู่ในเครือข่ายเดียวกันกับอินเทอร์เฟซ 192.168.A.1/24;
18) เราเตอร์เสมือนได้รับแพ็กเก็ตนี้ ควรสังเกตว่าเขาจำสิ่งที่เขาได้รับได้ AAA2:13389 แพ็คเกจจาก BBB1:44444 และเปลี่ยนที่อยู่และพอร์ตของผู้รับเป็น 192.168.A.1:3389ดังนั้นแพ็คเกจจาก 192.168.A.1:3389 สำหรับ BBB1:44444 มันเปลี่ยนที่อยู่ผู้ส่งเป็น AAA2:13389;
19) เราเตอร์เสมือนตัดสินใจว่าจะส่งแพ็กเก็ตนี้ไปให้ใคร และจะส่งไปให้ AAA254 (เกตเวย์ ISP ในกรณีนี้คือพวกเราด้วย) เนื่องจากมีเส้นทางที่เฉพาะเจาะจงมากกว่า B.B.B.1มากกว่า 0.0.0.0/0 มันไม่มี
20) ผู้ให้บริการอินเทอร์เน็ตส่งแพ็กเก็ตด้วย AAA2 บน B.B.B.1;
21) เปิดเราเตอร์ B.B.B.1 принимает этот пакет и вспоминает, что, когда он передавал пакет от 192.168.B.1:55555 สำหรับ AAA2:13389เขาเปลี่ยนที่อยู่และพอร์ตผู้ส่งเป็น BBB1:44444นี่คือคำตอบที่ต้องส่งไป 192.168.B.1:55555 (อันที่จริงยังมีการตรวจสอบอีกหลายครั้ง แต่เราไม่ได้เจาะลึกเรื่องนั้น)
22) เขาเข้าใจว่าควรส่งโดยตรงไปที่ 192.168.B.1เนื่องจากเขาอยู่ในเครือข่ายเดียวกันกับเขา ดังนั้น เขาจึงมีรายการที่สอดคล้องกันในตารางเส้นทาง ซึ่งบังคับให้เขาส่งแพ็กเก็ตสำหรับทั้งหมด 192.168.บ.0/24 โดยตรง;
23) เราเตอร์ค้นหาที่อยู่ MAC สำหรับ 192.168.B.1 และมอบพัสดุนี้ให้เขา
24) ระบบปฏิบัติการบนคอมพิวเตอร์พร้อมที่อยู่ 192.168.B.1 รับพัสดุจาก AAA2:13389 สำหรับ 192.168.B.1:55555 และเริ่มขั้นตอนถัดไปเพื่อสร้างการเชื่อมต่อ TCP
ควรสังเกตว่าในกรณีนี้คอมพิวเตอร์ที่มีที่อยู่ 192.168.B.1 ไม่รู้อะไรเกี่ยวกับเซิร์ฟเวอร์พร้อมที่อยู่ 192.168.A.1เขาสื่อสารกับเท่านั้น AAA2. Точно так же и сервер с адресом 192.168.A.1 ไม่รู้อะไรเกี่ยวกับคอมพิวเตอร์พร้อมที่อยู่ 192.168.B.1. เขาเชื่อว่าเขาเชื่อมต่อจากที่อยู่ B.B.B.1และเขาไม่รู้อะไรอีกเลย
ควรสังเกตด้วยว่าหากคอมพิวเตอร์เครื่องนี้เข้าถึง AAA2:1540การเชื่อมต่อจะไม่ถูกสร้างขึ้นเนื่องจากการส่งต่อการเชื่อมต่อไปยังพอร์ต 1540 ไม่ได้ถูกกำหนดค่าบนเราเตอร์เสมือน แม้ว่าบนเซิร์ฟเวอร์ใดๆ ในเครือข่ายเสมือน 192.168.A.0/24 (เช่น บนเซิร์ฟเวอร์ที่มีที่อยู่ 192.168.A.1) และมีบริการบางอย่างที่รอการเชื่อมต่อบนพอร์ตนี้ หากผู้ใช้คอมพิวเตอร์มีที่อยู่ 192.168.B.1 จำเป็นต้องสร้างการเชื่อมต่อกับบริการนี้ โดยต้องใช้ VPN เช่น ติดต่อโดยตรง 192.168.A.1:1540.
ควรเน้นย้ำว่าความพยายามใด ๆ ที่จะสร้างการเชื่อมต่อด้วย AAA1 (ยกเว้นการเชื่อมต่อ IPSec จากไฟล์ B.B.B.1 จะไม่ประสบความสำเร็จ ความพยายามใดๆ ที่จะสร้างการเชื่อมต่อด้วย AAA2ยกเว้นการเชื่อมต่อกับพอร์ต 13389 จะไม่สำเร็จเช่นกัน
เรายังทราบด้วยว่าถ้าจะ AAA2 หากบุคคลอื่นสมัคร (เช่น CCCC) ทุกอย่างที่ระบุไว้ในย่อหน้าที่ 10-20 จะถูกนำไปใช้กับเขาด้วย จะเกิดอะไรขึ้นก่อนและหลังนี้ขึ้นอยู่กับสิ่งที่อยู่เบื้องหลัง CCCC นี้ เราไม่มีข้อมูลดังกล่าว ดังนั้นเราขอแนะนำให้คุณปรึกษาผู้ดูแลระบบของโหนดด้วยที่อยู่ CCCC
ตำแหน่งที่สาม
และในทางกลับกันหากด้วย 192.168.A.1 มีบางสิ่งถูกส่งไปยังพอร์ตบางพอร์ตที่ได้รับการกำหนดค่าให้ส่งต่อไปยัง BBB1 (เช่น 11111) และไม่ได้จบลงใน VPN แต่เพียงแค่ไหลจาก AAA1 และเข้าไป B.B.B.1และเขาก็ส่งมันไปที่ไหนสักแห่งแล้วพูดว่า 192.168.B.2:3389. เขาเห็นแพ็คเกจนี้ไม่ใช่จาก 192.168.A.1และจาก AAA1. И, когда 192.168.B.2 ตอบกลับว่าแพ็คเกจมาจาก B.B.B.1 บน AAA1, และต่อมาจะถึงตัวเริ่มต้นการเชื่อมต่อ - 192.168.A.1.
ตัวอย่างเฉพาะ:
1) 192.168.A.1 อุทธรณ์ไปยัง B.B.B.1ต้องการสร้างการเชื่อมต่อ TCP ด้วย BBB1:11111;
2) 192.168.A.1 ส่งคำขอการเชื่อมต่อจาก 192.168.A.1:55555 (ตัวเลขนี้ดังตัวอย่างที่แล้วอาจแตกต่างกัน) บน BBB1:11111;
3) операционная система, которая работает на сервере с адресом 192.168.A.1ตัดสินใจส่งต่อแพ็กเก็ตนี้ไปยังที่อยู่เกตเวย์ของเราเตอร์ (192.168.A.254 в нашем случае), потому что других, более специфических маршрутов для B.B.B.1มันไม่มีจึงส่งแพ็กเก็ตผ่านเส้นทางเริ่มต้น (0.0.0.0/0)
4) สำหรับสิ่งนี้ ดังที่เราได้กล่าวไว้ในตัวอย่างก่อนหน้านี้ ระบบจะพยายามค้นหาที่อยู่ MAC สำหรับที่อยู่ IP 192.168.A.254 ในตารางแคชโปรโตคอล ARP หากตรวจไม่พบให้ส่งจากที่อยู่ 192.168.A.1 ออกอากาศผู้ที่มีการร้องขอไปยังเครือข่าย 192.168.A.0/24. เมื่อ 192.168.A.254 ในการตอบสนองเขาส่งที่อยู่ MAC ของเธอระบบจะส่งแพ็กเก็ตอีเธอร์เน็ตสำหรับมันและป้อนข้อมูลนี้ลงในตารางแคช
5) เราเตอร์เสมือนได้รับแพ็กเก็ตนี้และตัดสินใจว่าจะส่งต่อไปที่ใด: มีนโยบายที่เป็นลายลักษณ์อักษรตามที่ต้องส่งต่อ (แทนที่ที่อยู่ผู้ส่ง) แพ็กเก็ตทั้งหมดจาก 192.168.A.0/24 ไปยังโหนดอินเทอร์เน็ตอื่น
6) เนื่องจากนโยบายนี้ถือว่าที่อยู่ผู้ส่งจะต้องตรงกับที่อยู่ต่ำบนอินเทอร์เฟซที่จะส่งแพ็กเก็ตนี้ เราเตอร์เสมือนจะตัดสินใจว่าจะส่งแพ็กเก็ตนี้ให้ใครก่อน และเขาจะต้องส่งตามตัวอย่างก่อนหน้านี้ มันเปิดอยู่ AAA254 (เกตเวย์ ISP ในกรณีนี้คือพวกเราด้วย) เนื่องจากมีเส้นทางที่เฉพาะเจาะจงมากกว่า B.B.B.1มากกว่า 0.0.0.0/0 มันไม่มี
7) значит, виртуальный маршрутизатор подменяет обратный адрес пакета, отныне это пакет от AAA1:44444 (หมายเลขพอร์ตแน่นอนอาจแตกต่างกัน) ถึง BBB1:11111;
8) เราเตอร์เสมือนจะจดจำสิ่งที่ทำ ดังนั้นเมื่อใด BBB1:11111 สำหรับ AAA1:44444 เมื่อตอบกลับมาเขาจะรู้ว่าควรเปลี่ยนที่อยู่ปลายทางและพอร์ตไป 192.168.A.1:55555.
9) ตอนนี้เราเตอร์เสมือนควรส่งต่อไปยังเครือข่าย ISP ผ่านทาง AAA254ก็เหมือนกับที่เรากล่าวไปแล้ว มันจะค้นหาที่อยู่ MAC ของ AAA254 และส่งแพ็กเก็ตไปยังเกตเวย์ ISP
10) ผู้ให้บริการอินเทอร์เน็ตส่งแพ็กเก็ตจาก AAA1 ถึง BBB1;
11) เปิดเราเตอร์ B.B.B.1 รับแพ็กเก็ตนี้ที่พอร์ต 11111;
12) มีกฎบนเราเตอร์เสมือนที่กำหนดว่าแพ็กเก็ตที่มาจากผู้ส่งบนพอร์ตนี้ควรถูกส่งไปยัง 192.168.B.2:3389;
13) เราเตอร์ค้นหาเครือข่ายในตารางเส้นทาง 192.168.บ.0/24 และส่งตรงไปที่ 192.168.B.2เพราะมันมีส่วนต่อประสาน 192.168.บ.254/24;
14) สำหรับสิ่งนี้ เราเตอร์เสมือนจะค้นหาที่อยู่ MAC สำหรับ 192.168.B.2 และส่งแพ็กเก็ตนี้ให้เขาผ่านเครือข่ายอีเทอร์เน็ตเสมือน
15) 192.168.B.2 รับแพ็กเก็ตนี้บนพอร์ต 3389 ตกลงที่จะสร้างการเชื่อมต่อและสร้างแพ็กเก็ตเพื่อตอบสนอง 192.168.B.2:3389 บน AAA1:44444;
16) ระบบของเขาส่งแพ็กเก็ตนี้ไปยังที่อยู่เกตเวย์ของเราเตอร์ (192.168.B.254 в нашем случае), потому что других, более специфических маршрутов для AAA1ไม่มีจึงต้องส่งแพ็กเก็ตผ่านเส้นทางเริ่มต้น (0.0.0.0/0)
17) เช่นเดียวกับในกรณีก่อนหน้านี้ ระบบที่ทำงานบนคอมพิวเตอร์ที่มีที่อยู่ 192.168.B.2ค้นหาที่อยู่ MAC 192.168.B.254เนื่องจากอยู่ในเครือข่ายเดียวกันกับอินเทอร์เฟซ 192.168.บ.2/24;
18) เราเตอร์ได้รับแพ็กเก็ตนี้ ควรสังเกตว่าเขาจำสิ่งที่เขาได้รับได้ BBB1:11111 แพ็คเกจจาก AAA1 และเปลี่ยนที่อยู่และพอร์ตของผู้รับเป็น 192.168.B.2:3389ดังนั้นแพ็คเกจจาก 192.168.B.2:3389 สำหรับ AAA1:44444 มันเปลี่ยนที่อยู่ผู้ส่งเป็น BBB1:11111;
19) เราเตอร์ตัดสินใจว่าจะส่งแพ็กเก็ตนี้ไปให้ใคร เขาส่งมาบอกว่า B.B.B.254 (เกตเวย์ ISP ที่อยู่ที่แน่นอนซึ่งเราไม่ทราบ) เนื่องจากไม่มีเส้นทางที่เฉพาะเจาะจงอีกต่อไป AAA1มากกว่า 0.0.0.0/0 มันไม่มี
20) ผู้ให้บริการอินเทอร์เน็ตส่งแพ็กเก็ตด้วย B.B.B.1 บน AAA1;
21) เปิดเราเตอร์เสมือน AAA1 принимает этот пакет и вспоминает, что, когда он передавал пакет от 192.168.A.1:55555 สำหรับ BBB1:11111เขาเปลี่ยนที่อยู่และพอร์ตผู้ส่งเป็น AAA1:44444. ซึ่งหมายความว่านี่คือคำตอบที่ต้องส่งไป 192.168.A.1:55555 (อันที่จริง ดังที่เราได้กล่าวไว้ในตัวอย่างก่อนหน้านี้ ยังมีการตรวจสอบอีกหลายรายการ แต่คราวนี้เราไม่ได้เจาะลึกลงไป)
22) เขาเข้าใจว่าควรส่งโดยตรงไปที่ 192.168.A.1เนื่องจากเขาอยู่ในเครือข่ายเดียวกันกับเขา หมายความว่าเขามีรายการที่สอดคล้องกันในตารางเส้นทางที่บังคับให้เขาส่งแพ็กเก็ตไปทั้งหมด 192.168.A.0/24 โดยตรง;
23) เราเตอร์ค้นหาที่อยู่ MAC สำหรับ 192.168.A.1 และมอบพัสดุนี้ให้เขา
24) ระบบปฏิบัติการบนเซิร์ฟเวอร์พร้อมที่อยู่ 192.168.A.1 รับพัสดุจาก BBB1:11111 สำหรับ 192.168.A.1:55555 และเริ่มขั้นตอนถัดไปเพื่อสร้างการเชื่อมต่อ TCP
เหมือนกับในกรณีก่อนหน้า ในกรณีนี้คือเซิร์ฟเวอร์ที่มีที่อยู่ 192.168.A.1 ไม่รู้อะไรเกี่ยวกับคอมพิวเตอร์พร้อมที่อยู่ 192.168.B.1เขาสื่อสารกับเท่านั้น B.B.B.1. คอมพิวเตอร์พร้อมที่อยู่ 192.168.B.1 ไม่รู้อะไรเลยเกี่ยวกับเซิร์ฟเวอร์พร้อมที่อยู่ 192.168.A.1. เขาเชื่อว่าเขาเชื่อมต่อจากที่อยู่ AAA1, а остальное от него спрятано.
เอาท์พุต
นี่คือสิ่งที่เกิดขึ้นสำหรับการเชื่อมต่อภายในอุโมงค์ VPN ระหว่างสำนักงานของลูกค้ากับสภาพแวดล้อมคลาวด์ รวมถึงการเชื่อมต่อภายนอกอุโมงค์ VPN และหากคุณมีคำถามหรือต้องการความช่วยเหลือจากเราในการแก้ปัญหาคลาวด์
ที่มา: will.com