ماذا يحدث عند الاتصال داخل وخارج نفق VPN

من الرسائل إلى الدعم الفني Tucha ، ولدت هذه المواد. لذلك ، اتصل بنا عميل مؤخرًا لطلب توضيح ما يحدث عند الاتصال داخل نفق VPN بين مكتب المستخدم والبيئة في السحابة ، وكذلك عند الاتصال خارج نفق VPN. لذلك ، النص بأكمله أدناه هو خطاب حقيقي أرسلناه إلى أحد العملاء ردًا على سؤاله. بالطبع ، قمنا بتغيير عناوين IP حتى لا نزيل هوية العميل. ولكن ، نعم ، يشتهر الدعم التقني لـ Tucha بإجاباته الشاملة ورسائله المفيدة. :-)

بالطبع ، نحن نفهم أنه بالنسبة للكثيرين ، لن يكون هذا المقال بمثابة الوحي. ولكن نظرًا لأن المقالات الخاصة ببدء الإداريين تظهر من وقت لآخر على Habr وأيضًا لأن هذه المقالة ظهرت من خطاب حقيقي إلى عميل حقيقي ، فسنستمر في مشاركة هذه المعلومات هنا. هناك احتمال كبير أنه سيكون من المفيد لشخص ما.
لذلك ، نوضح بالتفصيل ما يحدث بين الخادم في السحابة والمكتب إذا كان متصلاً بشبكة موقع إلى أخرى. لاحظ أنه في هذه الحالة ، يتوفر جزء من الخدمات فقط من المكتب ، وجزء - من أي مكان من الإنترنت.

سنشرح على الفور أن عميلنا يتمنى أن يتمكن من الوصول إلى الخادم 192.168.A.1 من أي مكان عبر RDP ، والاتصال بـ AAA2: 13389 ، وإلى خدمات أخرى فقط من المكتب (192.168.B.0 / 24) المتصل عبر VPN. أيضًا ، تم تكوين العميل في البداية بحيث يمكن الوصول إلى الجهاز 192.168.B.2 في المكتب أيضًا عبر RDP من أي مكان ، والاتصال بـ BBB1: 11111 . لقد ساعدنا في تنظيم اتصالات IPSec بين السحابة والمكتب ، وبدأ متخصص تكنولوجيا المعلومات التابع للعميل في طرح أسئلة حول ما يمكن أن يحدث في هذه الحالة أو تلك. للإجابة على كل هذه الأسئلة ، كتبنا له في الواقع كل ما يمكنك قراءته أدناه.

الآن النظر في هذه العمليات بمزيد من التفصيل.

المركز الاول

عندما يتم إرسال شيء ما من 192.168.B.0 / 24 إلى 192.168.A.0 / 24 أو من 192.168.A.0 / 24 إلى 192.168.B.0 / 24 ، فإنه يصل إلى VPN. أي أن هذه الحزمة مشفرة بالإضافة إلى إرسالها بين BBB1 و AAA1 ، ولكن 192.168.A.1 ترى الحزمة من 192.168.B.1 بالضبط. يمكنهم التواصل مع بعضهم البعض عبر أي بروتوكولات. يتم أيضًا إرسال استجابات الإرجاع عبر VPN بنفس الطريقة ، مما يعني أن الحزمة من 192.168.A.1 لـ 192.168.B.1 سيتم إرسالها على هيئة مخطط بيانات ESP من AAA1 إلى BBB1 ، والذي سينشره جهاز التوجيه على الجانب الآخر ، ويأخذ تلك الحزمة منه ويرسلها إلى 192.168.B.1 كحزمة من 192.168.A.1 .

مثال ملموس:

1) 192.168.B.1 يصل إلى 192.168.A.1 ، يريد تأسيس اتصال TCP مع 192.168.A.1: 3389 ؛

2) 192.168.B.1 يرسل طلبًا لإنشاء اتصال من 192.168.B.1: 55555 (يقوم بتحديد المنفذ للتعليق ، وسنستخدم فيما يلي الرقم 55555 كمثال لرقم المنفذ الذي يحدده النظام عند إنشاء TCP- اتصالات) إلى 192.168.A.1: 3389 ؛

3) يقرر نظام التشغيل الذي يعمل على الكمبيوتر بعنوان 192.168.B.1 نقل هذه الحزمة إلى عنوان بوابة جهاز التوجيه ( 192.168.B.254 في حالتنا) ، نظرًا لوجود طرق أخرى أكثر تحديدًا لـ 192.168.A.1 ، لذلك ، فإنه لا يمر الحزمة على طول المسار الافتراضي (0.0.0.0/0) ؛

4) لذلك ، تحاول العثور على عنوان MAC لعنوان IP 192.168.B.254 في جدول ذاكرة التخزين المؤقت لبروتوكول ARP. إذا لم يتم العثور عليه ، فإنه يرسل من العنوان 192.168.B.1 طلبًا للبث إلى الشبكة 192.168.B.0 / 24 . عندما يرسل 192.168.B.254 عنوان MAC الخاص به مرة أخرى ، يرسل النظام حزمة Ethernet له ويخزن هذه المعلومات في جدول ذاكرة التخزين المؤقت الخاص به ؛

5) يتلقى الموجه هذه الحزمة ويقرر مكان إرسالها: لديه سياسة تتمثل في أنه ينبغي له إرسال جميع الحزم بين 192.168.B.0 / 24 و 192.168.A.0 / 24 عبر اتصال VPN بين BBB1 و AAA1 ؛

6) ينشئ الموجه مخطط بيانات ESP من BBB1 إلى AAA1 ؛

7) يقرر الموجه من يرسل هذه الحزمة ، ويرسلها إلى ، على سبيل المثال ، BBB254 (بوابة مزود الإنترنت) ، لأنه لا يحتوي على طرق أكثر تحديداً إلى AAA1 من 0.0.0.0/0 ؛

8) بنفس الطريقة المذكورة سابقًا ، فإنه يجد عنوان MAC لـ BBB254 ويرسل الحزمة إلى بوابة مزود الإنترنت ؛

9) يقوم مزودو خدمات الإنترنت بإرسال مخطط بيانات ESP عبر شبكاتهم من BBB1 إلى AAA1 ؛

10) يتلقى الموجه الظاهري على AAA1 مخطط البيانات هذا ، ويقوم بفك تشفيره ويتلقى حزمة من 192.168.B.1: 55555 لـ 192.168.A.1: 3389 ؛

11) يتحقق جهاز التوجيه الظاهري من يجب إرساله ، ويعثر على الشبكة 192.168.A.0 / 24 في جدول التوجيه ويرسلها مباشرةً إلى 192.168.A.1 ، نظرًا لأنه يحتوي على واجهة 192.168.A.254 / 24 ؛

12) لهذا ، يجد الموجه الظاهري عنوان MAC لـ 192.168.A.1 ويمرر هذه الحزمة إليه عبر شبكة Ethernet الافتراضية ؛

13) 192.168.A.1 تتلقى هذه الحزمة على المنفذ 3389 ، وتوافق على إنشاء اتصال وتشكيل حزمة استجابة من 192.168.A.1: 3389 إلى 192.168.B.1: 55555 ؛

14) يرسل نظامه هذه الحزمة إلى عنوان بوابة جهاز التوجيه الظاهري ( 192.168.A.254 في حالتنا) ، لأنه لا يحتوي على طرق أخرى أكثر تحديداً لـ 192.168.B.1 ، لذلك ، يجب أن يرسل الحزمة على طول المسار الافتراضي (0.0.0.0/0) ؛

15) بالطريقة نفسها كما في الحالات السابقة ، فإن النظام الذي يعمل على الخادم بالعنوان 192.168.A.1 يجد عنوان MAC 192.168.A.254 ، لأنه موجود على نفس الشبكة بواجهته 192.168.A.1 / 24

16) يتلقى الموجه الظاهري هذه الحزمة ويقرر مكان إرسالها: لديه سياسة تتمثل في أنه ينبغي له إرسال جميع الحزم بين 192.168.A.0 / 24 و 192.168.B.0 / 24 عبر اتصال VPN بين AAA1 و BBB1 .

17) ينشئ الموجه الظاهري مخطط بيانات ESP من AAA1 إلى BBB1 ؛

18) يقرر الموجه الظاهري الجهة التي ينبغي إرسال هذه الحزمة إليها ، ويرسلها إلى AAA254 (بوابة مزود الإنترنت ، وفي هذه الحالة ، نحن أيضًا) ، لأنه لا يحتوي على طرق محددة أكثر إلى BBB1 من 0.0.0.0/0 ؛

19) يرسل مقدمو الإنترنت عبر شبكاتهم مخطط بيانات ESP من AAA1 إلى BBB1 ؛

20) يستقبل جهاز التوجيه على BBB1 مخطط البيانات هذا ، ويقوم بفك تشفيره ، ويتلقى حزمة من 192.168.A.1: 3389 لـ 192.168.B.1: 55555 ؛

21) إنه يدرك أنه ينبغي إرسالها إلى 192.168.B.1 ، لأنه على نفس الشبكة معه ، وبالتالي ، لديه إدخال المقابلة في جدول التوجيه الذي يجبره على إرسال حزم لكامل 192.168.B.0 / 24 مباشرة ؛

22) يعثر جهاز التوجيه على عنوان MAC الخاص بـ 192.168.B.1 ويرسله إلى هذه الحزمة ؛

23) يتلقى نظام التشغيل على الكمبيوتر بعنوان 192.168.B.1 حزمة من 192.168.A.1: 3389 لـ 192.168.B.1: 55555 ويبدأ الخطوات التالية لتأسيس اتصال TCP.

هذا المثال موجز ومبسط للغاية (وهنا يمكنك تذكر مجموعة من التفاصيل) الموضحة ما يحدث في المستويات من 2 إلى 4. لا تعتبر المستويات 1 ، 5-7.

المركز الثاني

إذا تم إرسال شيء على وجه التحديد إلى AAA2 من 192.168.B.0 / 24 ، فإنه لا ينتقل إلى VPN ، ولكن مباشرة. أي أنه إذا قام مستخدم من العنوان 192.168.B.1 بالوصول إلى AAA2: 13389 ، فإن هذه الحزمة تكون متوترة من العنوان BBB1 ، وتمريرها إلى AAA2 ، وهناك يستقبلها جهاز التوجيه ويرسلها إلى 192.168.A.1 . 192.168.A.1 لا يعرف أي شيء عن 192.168.B.1 ، فهو يرى حزمة من BBB1 ، لأنه يفهمها. لذلك ، فإن إجابة هذا الطلب تتماشى مع المسار العام ، وينطبق نفس الشيء بالضبط من العنوان AAA2 ويذهب إلى BBB1 ، ويعطي هذا الموجه هذه الإجابة إلى 192.168.B.1 ، ويرى الجواب من AAA2 ، الذي وجه إليه.

مثال ملموس:

1) 192.168.B.1 يعالج AAA2 ، يريد تأسيس اتصال TCP مع AAA2: 13389 ؛

2) 192.168.B.1 يرسل طلبًا لإنشاء اتصال من 192.168.B.1: 55555 (هذا الرقم ، كما في المثال السابق ، قد يكون مختلفًا) إلى AAA2: 13389 ؛

3) يقرر نظام التشغيل الذي يعمل على الكمبيوتر بعنوان 192.168.B.1 نقل هذه الحزمة إلى عنوان بوابة جهاز التوجيه ( 192.168.B.254 في حالتنا) ، لأنه لا يحتوي على طرق أخرى أكثر تحديدًا لـ AAA2 ، مما يعني أنه يرسل الحزمة على طول المسار الافتراضي (0.0.0.0/0) ؛

4) لذلك ، كما ذكرنا في المثال السابق ، تحاول العثور على عنوان MAC لعنوان IP 192.168.B.254 في جدول ذاكرة التخزين المؤقت لبروتوكول ARP. إذا لم يتم العثور عليه ، فإنه يرسل من العنوان 192.168.B.1 طلبًا للبث إلى الشبكة 192.168.B.0 / 24 . عندما يرسل 192.168.B.254 عنوان MAC الخاص به مرة أخرى ، يرسل النظام حزمة Ethernet له ويخزن هذه المعلومات في جدول ذاكرة التخزين المؤقت الخاص به ؛

5) يستقبل جهاز التوجيه هذه الحزمة ويقرر مكان إرسالها: لديه سياسة يجب عليه إعادة توجيه (استبدال عنوان المرسل) جميع الحزم من 192.168.B.0 / 24 إلى عقد الإنترنت الأخرى ؛

6) نظرًا لأن هذه السياسة تعني أن عنوان المرسل يجب أن يتزامن مع أدنى عنوان على الواجهة التي سيتم من خلالها إرسال هذه الحزمة ، يقرر الموجه أولاً من يجب أن يتم إرسال هذه الحزمة بالضبط ، وعليه ، كما في المثال السابق ، إرسالها إلى BBB254 (بوابة مزود خدمة الإنترنت) ، لأنه لا يحتوي على طرق محددة أكثر إلى AAA2 من 0.0.0.0/0 ؛

7) لذلك ، يستبدل جهاز التوجيه عنوان المرسل للحزمة ، من الآن فصاعداً الحزمة من BBB1: 44444 (رقم المنفذ ، بالطبع ، قد يكون مختلفًا) إلى AAA2: 13389 ؛

8) يتذكر الموجه ما قام به ، مما يعني أنه عند تلقي استجابة من AAA2: 13389 إلى BBB1: 44444 ، سيعرف أنه يجب عليه تغيير عنوان ومنفذ المستلم إلى 192.168.B.1: 55555 .

9) يجب على الموجه الآن نقله إلى شبكة مزود الإنترنت عبر BBB254 ، وبالتالي ، بالطريقة نفسها التي ذكرناها سابقًا ، فإنه يجد عنوان MAC الخاص بـ BBB254 ويرسل الحزمة إلى بوابة مزود الإنترنت ؛

10) يقوم مزودو خدمة الإنترنت بنقل حزمة من BBB1 إلى AAA2 على شبكاتهم ؛

11) يتلقى الموجه الظاهري على AAA2 هذه الحزمة على المنفذ 13389 ؛

12) توجد قاعدة على جهاز التوجيه الظاهري تنص على ضرورة إرسال الحزم التي تأتي من أي مرسل إلى هذا المنفذ إلى 192.168.A.1: 3389 ؛

13) يجد الموجه الظاهري الشبكة 192.168.A.0 / 24 في جدول التوجيه ويرسلها مباشرةً إلى 192.168.A. 1 ، لأنه يحتوي على واجهة 192.168.A.254 / 24 ؛

14) لهذا ، يجد الموجه الظاهري عنوان MAC لـ 192.168.A.1 ويمرر هذه الحزمة إليه عبر شبكة Ethernet الافتراضية ؛

15) 192.168.A.1 تتلقى هذه الحزمة على المنفذ 3389 ، وتوافق على إنشاء اتصال وتشكيل حزمة استجابة من 192.168.A.1: 3389 على BBB1: 44444 ؛

16) يرسل نظامه هذه الحزمة إلى عنوان بوابة جهاز التوجيه الظاهري ( 192.168.A.254 في حالتنا) ، لأنه لا يحتوي على طرق أخرى أكثر تحديدًا لـ BBB1 ، لذلك ، يجب أن يرسل الحزمة على طول المسار الافتراضي (0.0. 0.0 / 0) ؛

17) بالطريقة نفسها كما في الحالات السابقة ، يعثر النظام الذي يعمل على الخادم بالعنوان 192.168.A.1 على عنوان MAC 192.168.A.254 ، لأنه موجود على نفس الشبكة بواجهته 192.168.A.1 / 24 ؛

18) يقبل الموجه الظاهري هذه الحزمة. تجدر الإشارة إلى أنه يتذكر أنه تلقى حزمة من BBB1: 44444 على AAA2: 13389 وغير عنوان المستلم والمنفذ إلى 192.168.A.1: 3389 ، لذلك ، قام بتغيير الحزمة من 192.168.A.1: 3389 إلى BBB1: 44444 عنوان المرسل على AAA2: 13389 ؛

19) يقرر الموجه الظاهري الجهة التي ينبغي إرسال هذه الحزمة إليها ، ويرسلها إلى AAA254 (بوابة مزود الإنترنت ، وفي هذه الحالة ، نحن أيضًا) ، لأنه لا يحتوي على طرق محددة أكثر إلى BBB1 من 0.0.0.0/0 ؛

20) يقوم مزودو خدمة الإنترنت بنقل الحزمة من AAA2 إلى BBB1 على شبكاتهم ؛

21) يتلقى الموجه على BBB1 هذه الحزمة ويستذكر أنه عندما أرسل الحزمة من 192.168.B.1: 55555 إلى AAA2: 13389 ، فقد قام بتغيير عنوانه ومنفذ المرسل إلى BBB1: 44444 ، مما يعني أن هذه هي الإجابة التي يجب إرسالها على 192.168.B.1: 55555 (في الواقع ، هناك العديد من الشيكات الأخرى ، لكننا لا ندخلها) ؛

22) إنه يدرك أنه يجب إرسالها مباشرةً إلى 192.168.B.1 ، لأنه على نفس الشبكة معه ، لذلك ، لديه إدخال مقابلة في جدول التوجيه يجبره على إرسال حزم لكامل 192.168.B.0 / 24 مباشرة.

23) يجد الموجّه عنوان MAC لـ 192.168.B.1 ويرسله إلى هذه الحزمة ؛

24) يتلقى نظام التشغيل على الكمبيوتر بعنوان 192.168.B.1 حزمة من AAA2: 13389 لـ 192.168.B.1: 55555 ويبدأ الخطوات التالية لتأسيس اتصال TCP.

تجدر الإشارة إلى أنه في هذه الحالة ، لا يعرف الكمبيوتر الذي يحمل العنوان 192.168.B.1 أي شيء عن الخادم بالعنوان 192.168.A.1 ، إنه يتصل فقط بـ AAA2 . وبالمثل ، فإن الخادم الذي يحمل العنوان 192.168.A.1 لا يعرف أي شيء عن الكمبيوتر الذي يحتوي على العنوان 192.168.B.1 . إنه يعتقد أنهم مرتبطون به من العنوان BBB1 ، ولا يعرف أكثر من ذلك ، إذا جاز التعبير.

تجدر الإشارة أيضًا إلى أنه إذا وصل هذا الكمبيوتر إلى AAA2: 1540 ، فلن يتم تأسيس الاتصال ، لأن توجيه الاتصال إلى المنفذ 1540 لم يتم تكوينه على جهاز التوجيه الظاهري ، حتى لو كان على أي خوادم في الشبكة الافتراضية 192.168.A.0 / 24 (على سبيل المثال ، على خادم مع العنوان 192.168.A.1 ) وهناك بعض الخدمات التي تنتظر اتصال على هذا المنفذ. إذا كان مستخدم الكمبيوتر الذي يحمل العنوان 192.168.B.1 ضروريًا للغاية لإنشاء اتصال مع هذه الخدمة ، فيجب عليه استخدام VPN ، أي الاتصال مباشرة على 192.168.A.1: 1540 .

يجب التأكيد على أن أية محاولات لتأسيس اتصال بـ AAA1 (باستثناء اتصال IPSec من BBB1 لن تنجح. وأي محاولات لإنشاء اتصال مع AAA2 ، باستثناء الاتصالات إلى المنفذ 13389 ، ستفشل أيضًا.
لاحظ أيضًا أنه إذا قام شخص آخر بالاتصال بـ AAA2 (على سبيل المثال ، UDP) ، فسيطبق عليه أيضًا كل ما هو مشار إليه في الفقرات 10-20. إن ما يحدث قبل ذلك وبعده يعتمد على ما وراء هذا بالضبط ، فنحن لا نملك مثل هذه المعلومات ، وبالتالي ، فإننا ننصحك باستشارة مسؤولي الموقع بعنوان العنوان.

المركز الثالث

والعكس بالعكس ، إذا تم إرسال شيء ما من 192.168.A.1 إلى بعض المنافذ التي تمت تهيئتها لإعادة توجيهها من الداخل إلى BBB1 (على سبيل المثال ، 11111) ، فهو أيضًا لا يدخل إلى VPN ، ولكن فقط يتعطل من AAA1 وينتهي في BBB1 وهذا الشخص ينقله بالفعل في مكان ما ، على سبيل المثال ، 192.168.B.2: 3389 . لا يرى هذه الحزمة من 192.168.A.1 ، ولكن من AAA1 . وعندما يجيب 192.168.B.2 ، تنتقل الحزمة من BBB1 إلى AAA1 ، ثم تحصل بعد ذلك على بادئ الاتصال - 192.168.A.1 .

مثال ملموس:

1) 192.168.A.1 عناوين BBB1 ، يريد تأسيس اتصال TCP مع BBB1: 11111 ؛

2) 192.168.A.1 يرسل طلبًا لإنشاء اتصال من 192.168.A.1: 55555 (هذا الرقم ، كما في المثال السابق ، قد يكون مختلفًا) على BBB1: 11111 ؛

3) نظام التشغيل الذي يتم تشغيله على الخادم بعنوان 192.168.A.1 يقرر نقل هذه الحزمة إلى عنوان بوابة جهاز التوجيه ( 192.168.A.254 في حالتنا) ، لأنه لا يحتوي على طرق أخرى أكثر تحديدًا لـ BBB1 ، لذلك ، يرسل الحزمة على طول المسار الافتراضي (0.0.0.0/0) ؛

4) لذلك ، كما ذكرنا في الأمثلة السابقة ، تحاول العثور على عنوان MAC لعنوان IP 192.168.A.254 في جدول ذاكرة التخزين المؤقت لبروتوكول ARP. إذا لم يتم العثور عليه ، فإنه يرسل من العنوان 192.168.A.1 بث من لديه طلب إلى الشبكة 192.168.A.0 / 24 . عندما يرسل 192.168.A.254 عنوان MAC الخاص به مرة أخرى ، يقوم النظام بإرسال حزمة Ethernet له وإدخال هذه المعلومات في جدول ذاكرة التخزين المؤقت الخاص به ؛

5) يستقبل جهاز التوجيه الظاهري هذه الحزمة ويقرر مكان نقلها: لديه سياسة يجب عليه إعادة توجيه (استبدال عنوان المرسل) جميع الحزم من 192.168.A.0 / 24 إلى عقد الإنترنت الأخرى ؛

6) نظرًا لأن هذه السياسة تفترض أن عنوان المرسل يجب أن يتزامن مع أدنى عنوان على الواجهة التي سيتم من خلالها إرسال هذه الحزمة ، يقرر الموجه الظاهري أولاً من يجب إرسال هذه الحزمة بالضبط ، كما ينبغي عليه إرسالها ، كما في المثال السابق ، على AAA254 (بوابة مزود الإنترنت ، في هذه الحالة ، نحن أيضًا) ، لأنه لا يحتوي على طرق محددة أكثر إلى BBB1 من 0.0.0.0/0 ؛

7) فهذا يعني أن الموجه الظاهري يستبدل عنوان المرسل للحزمة ، ومن ثم فهو حزمة من AAA1: 44444 (رقم المنفذ ، بالطبع ، قد يكون مختلفًا) إلى BBB1: 11111 ؛

8) يتذكر الموجه الظاهري ما فعله ، لذلك ، عند ورود رد من BBB1: 11111 لـ AAA1: 44444 ، سيعرف أنه يجب عليه تغيير عنوان ومنفذ المستلم إلى 192.168.A.1: 55555 .

9) يجب على الموجه الظاهري الآن نقله إلى شبكة مزود الإنترنت من خلال AAA254 ، مما يعني أنه ، كما ذكرنا سابقًا ، يجد عنوان MAC الخاص بـ AAA254 ويرسل الحزمة إلى بوابة مزود الإنترنت ؛

10) يقوم مزودو خدمة الإنترنت بنقل رزمة من AAA1 إلى BBB1 على شبكاتهم ؛

11) يستقبل جهاز التوجيه على BBB1 هذه الحزمة على المنفذ 11111 ؛

12) توجد قاعدة على جهاز التوجيه الظاهري ، والتي تنص على أن الحزم التي يتم تلقيها من أي مرسل إلى هذا المنفذ يجب أن ترسل إلى 192.168.B.2: 3389 ؛

13) يجد الموجه الشبكة 192.168.B.0 / 24 في جدول التوجيه ويرسلها مباشرةً إلى 192.168.B.2 ، نظرًا لأنه يحتوي على واجهة 192.168.B.254 / 24 ؛

14) لهذا ، يجد الموجه الظاهري عنوان MAC لـ 192.168.B.2 ويمرر هذه الحزمة إليه عبر شبكة Ethernet الافتراضية ؛

15) 192.168.B.2 يتلقى هذه الحزمة على المنفذ 3389 ، يوافق على تأسيس اتصال وتشكيل حزمة استجابة من 192.168.B.2: 3389 إلى AAA1: 44444 ؛

16) يرسل نظامه هذه الحزمة إلى عنوان بوابة جهاز التوجيه ( 192.168.B.254 في حالتنا) ، لأنه لا يحتوي على طرق أخرى أكثر تحديدًا لـ AAA1 ، وبالتالي ، يجب أن يمر الحزمة على طول المسار الافتراضي (0.0.0.0 / 0) ؛

17) بالطريقة نفسها كما في الحالات السابقة ، يعثر النظام الذي يعمل على الكمبيوتر بعنوان 192.168.B.2 على عنوان MAC 192.168.B.254 ، لأنه موجود على نفس الشبكة بواجهته 192.168.B.2 / 24 ؛

18) يقبل الموجه هذه الحزمة. تجدر الإشارة إلى أنه يتذكر أنه تلقى حزمة من AAA1 على BBB1: 11111 وغير عنوان المستلم والمنفذ إلى 192.168.B.2: 3389 ، لذلك ، قام بتغيير عنوان المرسل إلى حزمة من 192.168.B.2: 3389 لـ AAA1: 44444 على BBB1: 11111 ؛

19) يقرر جهاز التوجيه إلى من يجب عليه إعادة توجيه هذه الحزمة. يرسلها إلى ، على سبيل المثال ، BBB254 (بوابة مزود الإنترنت ، الذي لا نعرف عنوانه بالضبط) ، لأنه لا يحتوي على طرق أكثر تحديداً إلى AAA1 من 0.0.0.0/0 ؛

20) يقوم مزودو خدمة الإنترنت بنقل الحزمة من BBB1 إلى AAA1 على شبكاتهم ؛

21) يتلقى الموجه الظاهري على AAA1 هذه الحزمة ويستذكر أنه عندما أرسل الحزمة من 192.168.A.1: 55555 إلى BBB1: 11111 ، فقد قام بتغيير عنوانه ومنفذ المرسل إلى AAA1: 44444 . لذلك ، هذا هو الجواب الذي يجب إرساله إلى 192.168.A.1: 55555 (في الواقع ، كما ذكرنا في المثال السابق ، هناك أيضًا عدد قليل من عمليات الفحص هناك ، لكن هذه المرة لا نذهب إليها أيضًا) ؛

22) إنه يفهم أنه يجب إرسالها مباشرة إلى 192.168.A.1 ، لأنه على نفس الشبكة معه ، مما يعني أنه لديه إدخال مقابلة في جدول التوجيه يجبره على إرسال حزم كاملة 192.168.A.0 / 24 مباشرة ؛

23) يعثر جهاز التوجيه على عنوان MAC الخاص بـ 192.168.A.1 ويرسله إلى هذه الحزمة ؛

24) نظام التشغيل على الخادم بالعنوان 192.168.A.1 يتلقى حزمة من BBB1: 1111 1 لـ 192.168.A.1: 55555 ويبدأ الخطوات التالية لتأسيس اتصال TCP.

بنفس الطريقة كما في الحالة السابقة ، في هذه الحالة ، يكون الخادم بعنوان 192.168.A.1لا يعرف شيئًا عن الكمبيوتر باستخدام العنوان 192.168.B.1 ، فهو يتصل فقط مع BBB1 . الكمبيوتر الذي يحمل العنوان 192.168.B.1 أيضًا لا يعرف أي شيء عن الخادم بالعنوان 192.168.A.1 . إنه يعتقد أنهم مرتبطون به من العنوان AAA1 ، والباقي مخفي عنه.

استنتاج

هكذا يحدث عند الاتصال داخل نفق VPN بين مكتب العميل والبيئة في السحابة ، وكذلك عند الاتصال خارج نفق VPN. وإذا كنت لا تزال لديك أسئلة أو تحتاج إلى مساعدتنا في حل مشاكل السحابة ، فيرجى الاتصال على مدار الساعة.