摘要：企業(yè)與遠(yuǎn)程分支機(jī)構(gòu)或合作伙伴在進(jìn)行數(shù)據(jù)安全通信時(shí)，往往會(huì)遇到相同網(wǎng)絡(luò)地址之間的通信需求，而需要重新規(guī)劃地址。通過對(duì)IPSec VPN、虛擬隧道接口、地址轉(zhuǎn)換等技術(shù)進(jìn)行分析研究，解決了相同IP地址的局域網(wǎng)之間的安全通信問題。

關(guān)鍵詞：IPSec VPN；局域網(wǎng)互聯(lián)；對(duì)等體；虛擬隧道接口

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2013） 13-3018-03

企業(yè)與遠(yuǎn)程分支機(jī)構(gòu)或合作伙伴在進(jìn)行數(shù)據(jù)安全通信時(shí)主要使用專線或互聯(lián)網(wǎng)，由于專線租用費(fèi)用高，往往選擇互聯(lián)網(wǎng)通信，通過IPSec保證通信數(shù)據(jù)的安全問題。兩個(gè)不同IP地址的異地局域網(wǎng)互聯(lián)可以通過VPN網(wǎng)關(guān)設(shè)備之間建立站點(diǎn)到站點(diǎn)IPSec VPN，實(shí)現(xiàn)局域網(wǎng)之間計(jì)算機(jī)的安全通信；而兩個(gè)異地局域網(wǎng)如果它們的IP地址相同，即使網(wǎng)關(guān)之間已經(jīng)建立了IPSec VPN，如果不進(jìn)行正確的地址轉(zhuǎn)換等技術(shù)處理，它們之間也無法進(jìn)行計(jì)算機(jī)的通信。如果重新規(guī)劃地址，工作量往往比較大。下面就以圖1這種典型網(wǎng)絡(luò)拓?fù)鋸亩鄠€(gè)方面來解決具有相同IP地址的異地局域網(wǎng)之間的安全通信問題。

1 兩端局域網(wǎng)地址都需要進(jìn)行地址轉(zhuǎn)換

對(duì)于計(jì)算機(jī)與計(jì)算機(jī)之間的通信，不可能源IP地址和目的IP地址相同。如果圖1中計(jì)算機(jī)A和B具有相同地址192.168.1.2/24，就需要對(duì)其中的一臺(tái)計(jì)算機(jī)進(jìn)行地址轉(zhuǎn)換，譬如，將A的IP地址轉(zhuǎn)換成201.201.201.2/24，這樣，計(jì)算機(jī)B在訪問A時(shí)，可以通過訪問201.201.201.2/24來實(shí)現(xiàn)。但是，如果只對(duì)A進(jìn)行地址轉(zhuǎn)換，而不對(duì)B進(jìn)行地址轉(zhuǎn)換，那么，只能通過計(jì)算機(jī)B來主動(dòng)訪問計(jì)算機(jī)A，而不能由計(jì)算機(jī)A主動(dòng)訪問計(jì)算機(jī)B。如果對(duì)計(jì)算機(jī)B的地址也實(shí)現(xiàn)地址轉(zhuǎn)換，如轉(zhuǎn)換成202.202.202.2/24，就可以解決雙向主動(dòng)通信的問題。

為了達(dá)到雙向主動(dòng)通信的目的，需要另外規(guī)劃兩個(gè)不同的網(wǎng)段，用以對(duì)兩個(gè)局域網(wǎng)的內(nèi)部地址做一對(duì)一的靜態(tài)地址轉(zhuǎn)換。這里我們規(guī)劃201.201.201.0/24網(wǎng)段地址用于對(duì)計(jì)算機(jī)A所在局域網(wǎng)進(jìn)行地址轉(zhuǎn)換，202.202.202.0/24網(wǎng)段地址用于對(duì)另一局域網(wǎng)進(jìn)行地址轉(zhuǎn)換。

必須讓從對(duì)等體1的內(nèi)網(wǎng)去往202.202.202.1的數(shù)據(jù)包和對(duì)等體2的內(nèi)網(wǎng)去往201.201.201.1的數(shù)據(jù)包從隧道通過，才能達(dá)到保護(hù)數(shù)據(jù)安全的目的。因此，必須在每個(gè)路由器上配置從隧道經(jīng)過的路由。

5 安全互聯(lián)的相關(guān)配置

通過以上分析，可以給出基于IPSec的相同IP地址的異地局域網(wǎng)安全互聯(lián)的相關(guān)配置。如圖2所示。

研究表明，可以利用IPSec、虛擬隧道接口、NAT、隧道路由等技術(shù)實(shí)現(xiàn)具有相同IP地址的異地局域網(wǎng)之間的安全通信問題，而不需要重新改變?cè)芯钟蚓W(wǎng)的地址分配。

參考文獻(xiàn)：

[1] 魏大新，李育龍.Cisco網(wǎng)絡(luò)技術(shù)教程[M].2版.北京：電子工業(yè)出版社，2010：461-465.

[2] Yusuf Bhaiji.網(wǎng)絡(luò)安全技術(shù)與解決方案[M].北京：人民郵電出版社，2010：325-356.

[3] 王群.網(wǎng)絡(luò)配置與應(yīng)用[M].北京：人民郵電出版社，2009：244-269.