一、引言

　　

　　　　假如把Internet比喻成一個城市的街道網,IP地址就是各家各戶的門牌號。門牌號不能和別人共用,沒有門牌號,別人就不知道你住在哪里。IP地址對于連接Internet的計算機來說同樣重要和不可缺少。假如某個居民小區的人口忽然膨脹,新建了許多住宅,分配給他們什么樣的門牌號呢?不能不著邊際地亂起名,又要保持原來的序列,明明901、902樓已經有了,只好把旁邊的新建居民樓起名為甲901樓、乙901樓等。同樣,面臨迅速膨脹的用戶群,Internet在局部也會碰到IP地址不夠用的問題。

　　

　我們發現,在城市居民區中有時會有幾座樓被圍墻圍在一起,有一個公用的大門,寫著某某單位大院。大院里的門牌號與居民區的其他人不同,可以自己定義。住戶收到的信件先被郵遞員送到傳達室,再由看門人送到住戶手里。那么在Internet上是不是也可以建立"單位大院"呢?Intranet(企業內部網)其實就是這樣的一個"單位大院"。Intranet對于企業的重要性,在很多文章里都提到,這里就不再多說了。另外一個很明顯的是,Intranet可以解決IP地址緊張的問題。不過,很多專家在提及Intranet時,顯然把Intranet中的計算機賦予了和Inter net一樣的IP地址。也就是說,"單位大院"里的門牌號和居民區其他住戶的門牌號同樣設置, 郵遞員可以把信直接送到住戶手里,不必經過傳達室。于是出于安全因素,大家紛紛給Inter net上的"單位大院"修院墻——防火墻(Firewall)。那么為什么不自己編制門牌號呢?Intranet中完全可以使用自己定義的IP地址。即使不修院墻(Firewall),郵遞員(Hacker)也不可能把信直接送到住戶手里,因為他根本不清楚"單位大院"里的門牌號!

　　

　　　　二、IP地址不夠用的解決辦法

　　

　　　　從Intranet發展的戰略角度講,筆者認為應該大量使用虛擬IP技術,原因有兩條:第一,可以大幅度增加企業內部網的安全性,入侵者從理論上是不可能侵入Intranet的;第二,可以從根本上解決IP地址緊張的問題,解決的途徑方便、快捷。目前的IP地址治理使得一方面IP浪費嚴重,另一方面IP不夠用,盡管IPv6已經確定將來的IP地址是128位長,但是就像電話號碼升位一樣,只不過給我們提供了更多的"浪費"余地,而且IP地址的升位勢必導致所有的IP網關、域名解析等網絡服務系統,以及最終用戶的Internet應用軟件必須作及時的調整,這是一個很大的工作量。而虛擬IP技術并不需要在硬件上和軟件上進行升級,它采用的完全是現有的設備和技術。

　　

　　　　三、在Intranet中如何采用虛擬IP技術

　　

　　　　下面就關于如何在Intranet中應用虛擬IP技術做一個比較具體的說明。

　　

　　　　我們可以設想有兩個子網,他們分別通過各自的IP網關與上級網關連接,最后連入Inter net,如圖1。通常情況下,假如建立Intranet,可以在其中一個子網的IP網關上安置防火墻,將整個子網建成為內部網。這時,作為防火墻的計算機將是整個內部網中最要害的環節,是黑客入侵時首當其沖的部位,一旦崩潰,整個Intranet將斷絕同外界的一切聯系。當然,關于網絡安全性以及防火墻的建構問題是一個比較復雜的問題,研究人員已經在這個方面付出了很多努力,而且防火墻技術也在不斷發展中。但是,正所謂"道高一尺,魔高一丈",現在任何一個防火墻產品也不敢斷言是百分之百安全可靠的,也正是在防火墻與黑客之間互有勝敗地較量中,網絡安全才得以不斷地完善。也就是說,安全性的每一次升級,總是或多或少地付出一定的代價, 某些防火墻勢必要被黑客摧毀!

　　

　　　　假如注重一下的話,就可以發現防火墻是企業內部網的一個惹人注目的焦點,無論具體是哪一種安全結構,防火墻的使命是相同的,都同樣是黑客們的"眼中釘"。那么,我們不妨換一個角度看問題,分散黑客們的注重力,將網絡安全性問題平均地分擔在整個企業內部網中,而不是集中地由一臺或兩臺安裝了防火墻的計算機來擔當。這樣做并不意味著安全性的降低和維護困難。

　　

　　　　1.設置基本網絡結構

　　

　　　　具體來講,如圖1所示,在一個子網內,我們可以將它的IP網關的網址設置為*.*.60.62,其子網掩碼為255.255.255.192。對于這個子網來說,*.*.60.0～*.*.60.63的一段IP地址是子網內部有效的(Available IP),子網中擁有這些IP地址的計算機的子網掩碼也是255.255.255.192,此時的網關對于這些計算機是透明的,它們可以直接通過網關訪問Internet。同樣地,Internet上的任意一臺主機也可以直接訪問到子網內部的這些計算機,這樣的IP地址稱之為合法IP(Legal IP),或真實IP(Real IP)。但是,另外一種我們認為有問題的做法是,IP網關的網址及掩碼設置不變(這一點是至關重要的),子網內的某臺計算機的IP地址設置為有效IP中的某一個,如*.*.60.60,但其掩碼可以設置為255.255.254.192,注重子網掩碼中第三組數字發生的變化。接下來我們做幾個"與"運算,60&254=60,60&255=60,61&254=60,61&255=61。
　　根據TCP/IP協議我們可以知道,*.*.60.60這臺計算機可以訪問IP網關外*.*.61.0～*.*.61.63 的一段IP節點,也可以訪問諸如www.netscape.com一類的任何Internet主機。當然,Interne t上的任何主機也可以訪問到*.*.60.60。這時,子網中的其他計算機的IP地址可以設置為*. *.61.0～*.*.61.63中的某一個,如*.*.61.8,注重IP地址中第三組數字的變化,其子網掩碼設置為255.255.254.192。看一下剛才的與運算結果,我們可以知道,擁有這樣的TCP/IP配置的計算機是不能訪問IP網關以外的節點的,它們發出的IP包在檢查源地址的IP網關處,被網關認為是壞包,將予以丟棄。更值得注重的是,Internet上某臺主機向*.*.61.8發出的IP包,也許還根本到不了本子網的IP網關,就已經被上級網關轉發到真正的*.*.61.8所在的子網了。本子網內擁有這些IP地址的計算機,對于IP網關外面是不可見的,我稱這樣的IP地址為非法IP( Illegal IP),或虛擬IP(Virtual IP)。

　　

　　　　那么*.*.61.8和*.*.60.60這兩臺計算機之間可以互相通訊嗎?當然可以!這一點由TCP/ IP協議就可以清楚地知道。假如IP網關外真正的*.*.61.8計算機也正在網絡上(Alive),*.* .60.60向*.*.61.8發出的IP包是被虛擬IP持有者收到,還是被真實IP持有者收到呢?從TCP/IP協議的規定看,宿主機向目的主機發出IP包前,首先進行目的主機IP地址和宿主機子網掩碼的與運算,結果和宿主機在做TCP/IP初始化時,宿主機IP地址和自身子網掩碼的與運算結果一致,意味著目的主機和宿主機在同一個物理網段,則宿主機直接向目的主機發送IP包,假如兩個運算結果不一致,意味著目的主機和宿主機不在同一個物理網段,此時,宿主機將IP包發送到網關,由IP網關轉發。無論是哪一種情況,宿主機都要在本物理網段廣播一個ARP請求,假如持有虛擬IP的計算機正在網絡上,它會首先向宿主機發回一個ARP應答,于是宿主機向它發送IP包,假如虛擬IP計算機不在網絡上,ARP請求沒有應答,宿主機只能將IP包發送到網關。所以同樣是*.*.61.8的虛擬IP計算機和真實IP計算機同時連接在網絡上時,*.*. 60.60向它們發送的IP包,只會被虛擬IP計算機收到,因為它們在同一物理網段。所以,網關內部的網絡是相對獨立的,不受外界干擾,能被外界訪問到的只是IP網關和像*.*.60.60這樣的計算機,而像* .*.61.8這樣的計算機它們彼此之間可以互相聯系,也可以與*.*.60.60這樣的計算機聯系,但不能和網關外的計算機通訊。

　　

　　　　2.規劃網絡功能

　　

　　　　有了這樣一個基本的網絡結構后,我們就可以具體規劃網絡功能了。像*.*.60.60這樣的既可以被網關外面的真實IP主機訪問到,又可以被網關內部的虛擬IP主機訪問到的計算機,首先想到可以讓它作為PRoxy Server,代理虛擬IP計算機連接Internet,就像"單位大院"的傳達室。虛擬IP計算機可以通過Proxy Server,很輕易地訪問Internet上的任意節點,只要在Pro xy Server上設置足夠寬容的限制許可就行了。其次,我們還可以將*.*.60.60設置為郵件服務器,或者是可以共享的FTP服務器,可以提供對外宣傳的WWW服務以及公開的數據庫等等。針對這類主機的特點,稱之為邊界服務器(Boundary Server)。對于一個規模比較大的網絡系統來說,可以有多個邊界服務器,分別承擔不同的任務,或者是將一比較繁重的任務由幾個邊界服務器來承擔。正因為邊界服務器對于Internet上的任意主機是開放的,所以,在邊界服務器上提供的服務也應該是公開的。對于安全級別比較高的信息就應該考慮僅在企業內部發送。像*.*.61.8這樣的對外是不可見的主機,稱之為內部服務器(IntraServer),在內部服務器上提供的WWW信息或其他的共享數據,僅能在內部網絡持有虛擬IP的計算機之間進行傳遞,Inte rnet上的黑客是不可能竊取到的。內部服務器的數量也可以依網絡規模而定。而這樣的一個網絡最終可以連接多少臺主機,也僅僅由所設置的子網掩碼而定,既可以設置成一個C類子網,甚至也可以設置成B類子網。規模大的網絡中也可以分級設置IP網關,要害的一點就是要仔細設置內部網中最高一級IP網關的子網掩碼,不要和真實IP持有者沖突,內部網中其他各級網關也要認真設置,平均分配網絡負荷。其實,設置虛擬IP的工作對于一個熟練的網絡治理員來說,并不比設置
　　一個擁有合法IP的子網需要更多的時間。

　　

　　　　至此,一個相當完善的企業內部網就已經建立起來了。這樣建立的Intranet具有幾個很明顯的特點。首先就是應用虛擬IP技術的Intranet并不需要很多的合法IP,整個網絡中只有少數的邊界服務器需要合法IP身份,其他的占絕大多數的計算機只需要虛擬IP。虛擬IP雖然在性質上與合法IP沒有區別,但是由于在內部網中最高一級IP網關的非凡設置,使得虛擬IP主機不能直接訪問到IP網關外面的主機,也就是說,虛擬IP主機