VNC 简介
VNC 的全称是 Virtual Network Computing,是一种图形桌面系统共享协议。VNC
使用 RFB(Remote FrameBuffer)来控制远程计算机。它将键盘和鼠标的时间从
一台计算机传输到另外一台计算机上,并更新相关的屏幕背景。
VNC 是平台独立的,一个 VNC 标准客户端可以连接到任何一个操作系统架构上
的服务器端。除了标准的客户端外,VNC 还提供了 JAVA 客户端和 WEB 客户端。
多个客户端可以同时连接到同一个服务器。VNC 最早由 AT&T 提出并开发,VNC
的代码按照 GNU 协议发行并已经有了多个不同的发行版本,比较著名的有
RealVNC 等。
VNC 的一大特点是基于物理控制台的遥控,即远程客户端操作的是服务器的物
理终端,这点非常类似于 Symantec 出品的 PcAnyWhere。当远程客户端移动鼠
标并使用键盘键入数据的时候,
服务器端本地的物理终端会实时看到键盘鼠标的
操作。这个特性使得 VNC 被广泛的用于各种操作演示场合。
VNC 的四种模式
VNC 分成服务器端、客户端,当客户端和服务器端分别使用公网 IP、内网 IP 的
时候,可能有如下组合方式:
1. 客户机使用公网 IP,服务器也使用公网 IP。
在这种情况下,在服务器端安装 VNC Server,并打开 5900 端口的监听,客户端
使用 VNC Client 直接连接到服务器端,只要在客户端程序中输入服务器的 IP 即
可,不需要经过额外的配置。
2. 客户机使用内网 IP+防火墙 NAT 地址映射,服务器使用公网 IP。
这种场景是非常典型的企业应用场景。服务器位于 IDC 机房内,使用公网 IP,
并安装服务器端软件,监听于 5900 端口。客户端程序使用内网 IP,并通过 NAT
路由器连接到互联网。连接建立时,由 192.168.0.2 的客户端发起连接,并穿过
防火墙,到达服务器。此情景下,也只要在客户端程序中输入服务器的 IP 即可,
不需要经过额外的配置。
3. 客户机使用公网 IP,服务器使用内网 IP+防火墙 NAT 地址映射。
第三种可能的情况是服务器位于防火墙后,使用内网 IP,而客户端使用公网 IP。
此时,服务器端监听的地址是 10.0.0.2:5900,客户端是无法穿透防火墙连接到
服务器上的。所以,必须在防火墙上添加相应的地址映射规则,例如把公网地址
61.135.135.100:5900 端口映射到内网的 10.0.0.2:5900 地址上。然后在客户端
连接地址框中输入相应的公网 IP,即可建立链接。
这种使用模式有一个主要的问题,即必须在服务器前端的防火墙或者路由器上,
设置端口映射规则。但是,受到条件所限,并非所有的防火墙都能设置端口映射;
同时,由于安全策略所限,并非所有的技术操作员都具有调整公司整体防火墙的
安全权限。所以,这种模式能否使用,取决于是否能设置端口映射规则。
如何避开端口映射规则呢?从 VNC 的连接过程中可以看到,是客户端发起请求,
寻找服务器端监听的端口,然后双方建立连接。反之,可以由客户端监听在某端
口,位于防火墙后的服务器端主控发起连接,寻找客户端,并建立连接。
这种反向建立连接的过程,是由 RealVNC 的“Listening VNC Viewer”来实现的。
它启动后,驻留在客户端的 5500 端口,此时需要服务器端使用“Add Client”
功能建立连接。在客户端上,首先运行开始菜单中的“Listening VNC Viewer” 。
运行之后,会在客户端的任务栏上看到一个 VNC 的图标。
能看到这个图标,就表示“Listening VNC Viewer”启动成功。现在运行 cmd,
并执行 netstat -an 命令,可以发现它正在监听 5500 端口。请在防火墙上打开这
个端口。
现在到服务器端,找到任务栏上驻留的 VNC Server,使用鼠标右键点击,然后
选择“Add New Client” 。
输入客户端的 IP,例如 202.106.0.2:5500。注意,默认 Listener 是 5500 端口,
不输入端口号码也可以。
点击 OK 后,连接成功。现在到客户端界面上,就可以看到 VNC 窗口弹出,成
功建立连接。此时就可以在客户端上操作位于内网的 10.0.0.2 这台服务器了。
使用 VNC 反向连接功能,可以在一定程度上穿透防火墙内网保护,实现对防火
墙后的服务器的维护、演示等需求。
4. 客户端和服务器都在防火墙后
这种情况是对第三种情况的一个扩展。在第三种应用场景下,客户端使用公网
IP 地址,监听 5500 端口,这是处于内网的服务器可以连接到的保证。那么加入
客户端也处于防火墙保护下的内网中,应该如何操作?
考虑到在服务器端添加相应的端口映射规则可能非常不便,
所以这里采用在客户
端添加端口映射规则的方法。也就是说,在双方都有防火墙做地址转换的情况下,
通过过如下的方式可以建立连接:
1) 客户端启动 VNC Listener 监听 5500 端口
2) 客户端增加防火墙端口映射,将 5500 端口映射到公网 IP 上
3) 服务器端主控执行添加客户端的操作,输入客户端公网 IP,建立连接
再满足上述三个条件的情况下,即可远程操作位于内网服务器的,实现安装、维
护、演示、培训等用途。