使用P2P對等網(wǎng)絡(luò)技術(shù)實現(xiàn)聯(lián)網(wǎng)組網(wǎng).doc

使用P2P對等網(wǎng)絡(luò)技術(shù)實現(xiàn)聯(lián)網(wǎng)組網(wǎng)Rocket X. 2011.09.在傳統(tǒng)的企業(yè)網(wǎng)絡(luò)配置中，要進行異地局域網(wǎng)之間的互連，傳統(tǒng)的方法是租用DDN(數(shù)字數(shù)據(jù)網(wǎng))專線或幀中繼。這樣的通訊方案必然導(dǎo)致高昂的網(wǎng)絡(luò)通訊/維護費用。對于移動用戶(移動辦公人員)與遠端個人用戶而言，如何實現(xiàn)聯(lián)網(wǎng)呢？互聯(lián)網(wǎng)因其普遍的覆蓋，方便的接入、高速率、多應(yīng)用能夠成為城域?qū)Ｓ寐?lián)網(wǎng)或廣域?qū)Ｓ寐?lián)網(wǎng)的很好基礎(chǔ)。但在互聯(lián)網(wǎng)上實現(xiàn)專業(yè)聯(lián)網(wǎng)(或稱虛擬專網(wǎng)VPN)并不是特別容易。雖然VPN的技術(shù)在網(wǎng)絡(luò)上有不少應(yīng)用和推廣，但對個人或者小的機構(gòu)來說，實現(xiàn)VPN也并非輕而易舉。虛擬專用網(wǎng)絡(luò)(Virtual Private Network ，簡稱VPN)指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。其之所以稱為虛擬網(wǎng)，主要是因為整個VPN網(wǎng)絡(luò)的任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺，如Internet之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。它涵蓋了跨共享網(wǎng)絡(luò)或公共網(wǎng)絡(luò)的封裝、加密和身份驗證鏈接的專用網(wǎng)絡(luò)的擴展。VPN主要采用了隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認證技術(shù)?，F(xiàn)在VPN的隧道協(xié)議主要有三種，PPTP，L2TP和IPSec，其中PPTP和L2TP協(xié)議工作在OSI模型的第二層，又稱為二層隧道協(xié)議；IPSec是第三層隧道協(xié)議，也是最常見的協(xié)議。VPN的應(yīng)用普及還是有些實際問題的。主要是便捷性問題：投資、費用、維護和組建的技術(shù)復(fù)雜性導(dǎo)致了VPN不能十分便捷的推廣。具體問題是：一、需要申請公網(wǎng)IP地址。二、要架設(shè)專用VPN服務(wù)器。服務(wù)器不托管還要考慮專線費用。三、加密及身份驗證等安全技術(shù)設(shè)施。四、維護運行的專業(yè)性和成本。對于小企業(yè)和個人來說，這些制約了他們的應(yīng)用。能不能減少這些制約因素呢？互聯(lián)網(wǎng)在本質(zhì)上也是對等的，理論上，任何兩個能夠上網(wǎng)的點，是能夠?qū)崿F(xiàn)直接通信的?；ヂ?lián)網(wǎng)之所以發(fā)展成今天這種客戶端、服務(wù)器模式，是大量非對等應(yīng)用引起的。我們往往只關(guān)心服務(wù)器連接，因為幾乎所有的應(yīng)用、服務(wù)都放在服務(wù)器上。而對客戶端本身，只做為連接服務(wù)器的工具，忽略了它本身重要的信息-IP地址。使得廣大客戶端在網(wǎng)上“隱身”。因為IP地址的匱乏，大量的地址被固定分配到服務(wù)器端(這對于便于訪問是必須的)，客戶端主要通過動態(tài)地址分配，或者因局域網(wǎng)原因進行地址轉(zhuǎn)換、擴展，使得客戶端本身地址的不太確定,極少有固定IP地址的情況。我們甚至不知道自己的終端實際地址（因為不需要知道）。但是，只要我們的上網(wǎng)終端能夠正確收發(fā)信息，它就有一個唯一的IP地址或地址的映射（本地共用地址+映射端口）。很多對等網(wǎng)p2p（Pear to Pear）應(yīng)用，辦法是先“找回”雙方客戶地址，再將所要發(fā)送到客戶端的信息，通過互聯(lián)網(wǎng)發(fā)送到其地址上。如即時通信系統(tǒng)(IM)就是利用這點實現(xiàn)客戶端點對點的信息傳送的。我們來看一下IM是如何實現(xiàn)的。找到另一個終端的地址是實現(xiàn)終端間的通信關(guān)鍵。IM通過終端對登錄（+驗證）服務(wù)器（當然有一個固定IP地址）的登錄來注冊自己的當前IP或映射。這樣在IM服務(wù)器的數(shù)據(jù)庫中，就有了IM號（或用戶名）及對應(yīng)的IP地址。當另一個已登錄（“在線”）用戶Y要發(fā)起對它的通信時，就先到服務(wù)器來“查”地址，然后通過這個地址向它請求聯(lián)絡(luò)，并發(fā)給它Y自己的地址。這樣雙方就可以直接建立聯(lián)系了。而服務(wù)器就不再參與二者的聯(lián)絡(luò)，只起到搭橋的作用（服務(wù)器還可以進行IP地址表的維護，保證客戶端正常連接，比如離線、掉線的處理等。這部分功能如何實現(xiàn)，不再贅述，請自己研究）。大家會發(fā)現(xiàn)，用這種方式，客戶端的連接實現(xiàn)了，可是登錄驗證服務(wù)器不也需要公網(wǎng)地址嗎？在公網(wǎng)上架設(shè)服務(wù)器要解決地址、審批、專線硬件等一系列問題呀？這個最大的問題并沒解決?。〈蠹覒?yīng)該注意到，這個服務(wù)器是很閑的。它只在用戶登錄和偶爾維護處理客戶地址變動中起作用。很閑意味著它的很有余地給更多客戶服務(wù)，而這種地址目錄服務(wù)是很單純的操作，可以共用，即共享服務(wù)器資源。很多小企業(yè)機構(gòu)可以把它的登錄服務(wù)交給一個公共的服務(wù)器，自己不需搞這個服務(wù)器了。也就是說一臺服務(wù)器可以滿足成千上萬個“虛擬專網(wǎng)”服務(wù)。每個專網(wǎng)只需將自己的私有服務(wù)器通過共用互聯(lián)網(wǎng)登錄在下，這就解決了專網(wǎng)內(nèi)的所有客戶端如何連接服務(wù)器的問題。你完