一個世界性組織,處在不同的地方有各自的私有網路是很常見的架構,如果要讓兩邊同時可以溝通,那要如何做到呢?因為基本的兩個地方屬於不同網域,而且又是private domain,架構如下為了讓兩地可以溝通,我們可以在兩邊各自架設一個VPN server,讓VPN server來負責轉換IP的動作,同時也可以在上面執行一些安全的機制,比方說認證機制或者存取控制等等,架構就會如下圖所示
兩邊的VPN Server的基本精神如同NAT Server一樣,只是把IP轉換成相對應的IP,以下圖做表示
當然,如果只是單純的IP轉換是有很大的風險的,也就是在網路上誰都可以擷取該封包,然後往裡看到IP位置,並且隨意偽造一個封包,進而進入該區域,所以一般VPN的封包會加上IPSec的加密機制
沒有留言:
張貼留言