定義依靠ISPInternet-Service課件

DP500007IPVPN概述ISSUE1.0DP500007IPVPN概述ISSUE1.0前言虛擬專(zhuān)用網(wǎng)VPN是依靠ISP（InternetServiceProvider）和NSP（NetworkServiceProvider），在公共網(wǎng)絡(luò)中建立的虛擬專(zhuān)用通信網(wǎng)絡(luò)。本課程主要介紹VPN的概念,原理以及應(yīng)用.Page2前言虛擬專(zhuān)用網(wǎng)VPN是依靠ISP（InternetSer參考資料高端路由操作手冊(cè)-VPN分冊(cè)(V1.11)Page3參考資料高端路由操作手冊(cè)-VPN分冊(cè)(V1.11)Page目標(biāo)學(xué)習(xí)完此課程，您將會(huì)：了解VPN基本概念掌握VPN的工作原理了解VPN的具體應(yīng)用Page4目標(biāo)學(xué)習(xí)完此課程，您將會(huì)：Page4內(nèi)容介紹第1章VPN概述第2章VPN工作原理Page5內(nèi)容介紹第1章VPN概述Page5VPN概念

VPN—VirtualPrivateNetwork虛擬專(zhuān)用網(wǎng)定義：依靠ISP（InternetServiceProvider）和NSP（NetworkServiceProvider），在公共網(wǎng)絡(luò)中建立的虛擬專(zhuān)用通信網(wǎng)絡(luò)。特點(diǎn)：專(zhuān)用性：VPN資源只能被該VPN的用戶(hù)使用，不能被網(wǎng)絡(luò)中其他用戶(hù)所使用。同時(shí)VPN提供足夠的安全保證，確保VPN內(nèi)部信息不受外部侵?jǐn)_虛擬性：VPN用戶(hù)內(nèi)部的通信是通過(guò)一個(gè)公共網(wǎng)絡(luò)進(jìn)行的，而這個(gè)公共網(wǎng)絡(luò)同時(shí)也被其他非VPN用戶(hù)使用．Page6VPN概念VPN—VirtualPrivateNetwVPN優(yōu)勢(shì)VPN優(yōu)勢(shì):連接可靠，可保證數(shù)據(jù)傳輸?shù)陌踩?。利用公共網(wǎng)絡(luò)進(jìn)行信息通訊，可降低成本，提高網(wǎng)絡(luò)資源利用率．支持用戶(hù)實(shí)時(shí)、異地接入，可滿(mǎn)足不斷增長(zhǎng)的移動(dòng)業(yè)務(wù)需求。支持QoS功能，可為VPN用戶(hù)提供不同等級(jí)的服務(wù)質(zhì)量保證。Page7VPN優(yōu)勢(shì)VPN優(yōu)勢(shì):Page7遠(yuǎn)程訪問(wèn)Internet內(nèi)部網(wǎng)合作伙伴分支機(jī)構(gòu)虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)VPN是企業(yè)網(wǎng)在因特網(wǎng)上的延伸VPN典型應(yīng)用Page8遠(yuǎn)程訪問(wèn)Internet內(nèi)部網(wǎng)合作伙伴分支機(jī)構(gòu)虛擬私有網(wǎng)虛擬VPN分類(lèi)按照組網(wǎng)模型、業(yè)務(wù)用途、運(yùn)營(yíng)模式或?qū)崿F(xiàn)層次，VPN可以分為多種類(lèi)型組網(wǎng)規(guī)模:VPDR:VirtualPrivateDialNetwork虛擬專(zhuān)用撥號(hào)網(wǎng)絡(luò)VPRN:VirtualPrivateRoutingNetwork虛擬專(zhuān)用路由網(wǎng)VRPS:VirtualPrivateLANSegment虛擬專(zhuān)用LAN網(wǎng)段VLL:VirtualLeasedLine虛擬租用線

Page9VPN分類(lèi)按照組網(wǎng)模型、業(yè)務(wù)用途、運(yùn)營(yíng)模式或?qū)崿F(xiàn)層PageVPN分類(lèi)業(yè)務(wù)用途:IntranetVPN企業(yè)內(nèi)部虛擬專(zhuān)網(wǎng)ExtranetVPN擴(kuò)展的企業(yè)內(nèi)部虛擬專(zhuān)網(wǎng)AccessVPN遠(yuǎn)程訪問(wèn)虛擬專(zhuān)網(wǎng)Page10VPN分類(lèi)Page10VPN分類(lèi)運(yùn)營(yíng)模式:CPE-basedVPN:CustomerPremisesEquipmentbasedVPN由用戶(hù)控制Network-basedVPN:由ISP控制Page11VPN分類(lèi)Page11VPN分類(lèi)實(shí)現(xiàn)層次:L3VPN（Layer3VPN）L2VPN（Layer2VPN）VPDNPage12VPN分類(lèi)Page12VPDN適用范圍：出差員工異地小型辦公機(jī)構(gòu)POPPOP用戶(hù)直接發(fā)起連接POPISP發(fā)起連接總部隧道Page13VPDN適用范圍：POPPOP用戶(hù)直接發(fā)起連接POPISP發(fā)內(nèi)容介紹第1章VPN概述第2章VPN工作原理Page14內(nèi)容介紹第1章VPN概述Page14VPN隧道VPN的基本原理是利用隧道技術(shù)，把VPN報(bào)文封裝在隧道中，利用VPN骨干網(wǎng)建立專(zhuān)用數(shù)據(jù)傳輸通道，實(shí)現(xiàn)報(bào)文的透明傳輸。隧道技術(shù)使用一種協(xié)議封裝另外一種協(xié)議報(bào)文，而封裝協(xié)議本身也可以被其他封裝協(xié)議所封裝或承載。對(duì)用戶(hù)來(lái)說(shuō)，隧道是其PSTN/ISDN鏈路的邏輯延伸，在使用上與實(shí)際物理鏈路相同.Page15VPN隧道VPN的基本原理是利用隧道技術(shù)，把VPN報(bào)文封裝在VPN隧道VPN隧道的功能:封裝原始數(shù)據(jù)實(shí)現(xiàn)隧道兩端的點(diǎn)到點(diǎn)連通定時(shí)檢測(cè)VPN隧道的連通性VPN隧道的安全性VPN隧道的QoS特性Page16VPN隧道VPN隧道的功能:Page16VPN協(xié)議—隧道協(xié)議第二層隧道協(xié)議PPTPL2FL2TP第三層隧道協(xié)議GREIPSecMPLSVPNPage17VPN協(xié)議—隧道協(xié)議第二層隧道協(xié)議Page17PPTPPPTP:Point-to-PointTunnelingProtocol點(diǎn)到點(diǎn)隧道協(xié)議PPTP將其他協(xié)議和數(shù)據(jù)封裝于IP網(wǎng)絡(luò)；該方式用在公共的Internet創(chuàng)建VPN，遠(yuǎn)端用戶(hù)能夠透過(guò)任何支持PPTP的ISP訪問(wèn)公司的專(zhuān)用網(wǎng)絡(luò)。此協(xié)議由Microsoft開(kāi)發(fā)，與Windows95和NT集成很好。在數(shù)據(jù)安全性方面，此協(xié)議使用40bit或128bitRC4的加密算法。Page18PPTPPPTP:Point-to-PointTunneL2FL2F:Layer2Forwarding二層轉(zhuǎn)發(fā)L2F能支持對(duì)更高級(jí)協(xié)議鏈路層的隧道封裝，實(shí)現(xiàn)撥號(hào)服務(wù)器和撥號(hào)協(xié)議連接在物理位置上的分離。Page19L2FL2F:Layer2Forwarding二層L2TPL2TP:LayerTwoTunnelingProtocol二層隧道協(xié)議IETF所制定的在Internet上創(chuàng)建VPN的協(xié)議。這個(gè)協(xié)議是在PPTP和L2F的技術(shù)之上所制定的標(biāo)準(zhǔn)InternetTunnel協(xié)議,用于保護(hù)PPP報(bào)文;數(shù)據(jù)沒(méi)有加密機(jī)制，可通過(guò)IPSEC保證數(shù)據(jù)安全。主要用途：企業(yè)駐外機(jī)構(gòu)和出差人員可從遠(yuǎn)程經(jīng)由公共網(wǎng)絡(luò)，通過(guò)虛擬隧道實(shí)現(xiàn)和企業(yè)總部之間的網(wǎng)絡(luò)連接。Page20L2TPL2TP:LayerTwoTunnelingL2TP報(bào)文格式L2TP報(bào)文封裝層次結(jié)構(gòu) 此報(bào)文格式是LAC與LNS之間的數(shù)據(jù)報(bào)文。L2TP報(bào)文頭是VPN協(xié)議報(bào)文頭，其內(nèi)封裝的是PPP報(bào)文，因此L2TP是二層VPN協(xié)議。IP報(bào)文頭(公網(wǎng)地址)UDP報(bào)文L2TP報(bào)文頭PPP報(bào)文頭IP報(bào)文頭(私網(wǎng)地址)DataPage21L2TP報(bào)文格式L2TP報(bào)文封裝層次結(jié)構(gòu) IP報(bào)文頭(公網(wǎng)L2TP協(xié)議組件

VPN用戶(hù)：指通過(guò)L2TP協(xié)議連入VPN的用戶(hù)，通常是外地出差員工或辦事機(jī)構(gòu)。LAC:L2TPAccessConcentratorL2TP訪問(wèn)集中器VPN用戶(hù)和LNS之間傳遞數(shù)據(jù)的設(shè)備，通常是當(dāng)?shù)豂SP的接入設(shè)備，具有PPP端系統(tǒng)和L2TP協(xié)議處理能力。LAC把從VPN用戶(hù)處收到的信息包按照L2TP協(xié)議進(jìn)行封裝并送往LNS，將從LNS收到的信息包進(jìn)行解封裝并送往遠(yuǎn)端系統(tǒng)。LNS:L2TPNetworkServerL2TP網(wǎng)絡(luò)服務(wù)器L2TP協(xié)議的服務(wù)器端部分，通常是企業(yè)內(nèi)部網(wǎng)的邊緣設(shè)備。LNS作為L(zhǎng)2TP隧道的另一側(cè)端點(diǎn)，是LAC的對(duì)端設(shè)備，是被LAC進(jìn)行隧道傳輸?shù)腜PP會(huì)話(huà)的邏輯終止端點(diǎn)。Page22L2TP協(xié)議組件VPN用戶(hù)：指通過(guò)L2TP協(xié)議連入VPN的LAC發(fā)起連接(LAC-initialized) 用戶(hù)通過(guò)PSTN/ISDN接入NAS(LAC)，NAS判斷如果是VPN用戶(hù)，就向指定的LNS發(fā)起L2TP連接用戶(hù)發(fā)起連接(Client-initialized) 用戶(hù)通過(guò)PSTN/ISDN接入NAS，獲得訪問(wèn)Internet權(quán)限然后直接向遠(yuǎn)端LNS服務(wù)器發(fā)起L2TP連接L2TP隧道發(fā)起方式Page23LAC發(fā)起連接(LAC-initialized)L2TP隧道L2TP隧道發(fā)起方式LAC發(fā)起VPN用戶(hù)：向LAC設(shè)備發(fā)起PPP連接。LAC：判斷用戶(hù)是否是L2TP用戶(hù)，如果是，判斷用戶(hù)向哪個(gè)LNS發(fā)起隧道請(qǐng)求。LNS：為用戶(hù)分配私網(wǎng)地址，準(zhǔn)許用戶(hù)接入內(nèi)部網(wǎng)絡(luò)。Page24L2TP隧道發(fā)起方式LAC發(fā)起VPN用戶(hù)：向LAC設(shè)備發(fā)起PL2TP隧道發(fā)起方式客戶(hù)端直接發(fā)起VPN用戶(hù)：首先獲得公網(wǎng)地址，與LNS之間保持連通，向LNS發(fā)起建立隧道請(qǐng)求。LNS：為用戶(hù)分配私網(wǎng)地址，準(zhǔn)許用戶(hù)接入內(nèi)部網(wǎng)絡(luò)。Page25L2TP隧道發(fā)起方式客戶(hù)端直接發(fā)起VPN用戶(hù)：首先獲得公網(wǎng)地IPSecIPSec（IPSecurity）是IETF制定的為保證在Internet上傳送數(shù)據(jù)的安全保密性能的框架協(xié)議IPSec包括報(bào)文驗(yàn)證頭協(xié)議AH（協(xié)議號(hào)51）和報(bào)文安全封裝協(xié)議ESP（協(xié)議號(hào)50）兩個(gè)協(xié)議IPSec有隧道（tunnel）和傳送（transport）兩種工作方式Page26IPSecIPSec（IPSecurity）是IETF制定隧道模式IPPayloadIPheaderIPPayloadIPheaderIPheaderIPSECheader保護(hù)IP包頭和IP負(fù)載可適用于兩者,隱藏內(nèi)部IP地址,協(xié)議類(lèi)型和端口號(hào)加密在IPSec之前在IPSec*之后IPSec工作模式Page27隧道模式IPPayloadIPheaderIPPay傳輸模式在IPSec之前在IPSec*之后IP有效載荷IP頭內(nèi)部受保護(hù)的數(shù)據(jù)IP有效載荷IP頭IPSec

頭線上傳輸保護(hù)TCP/UDP/ICMP有效負(fù)載IPSec工作模式Page28傳輸模式在IPSec之前在IPSec*之后IP有效載IPSec的組成IPSec提供兩個(gè)安全協(xié)議AH(AuthenticationHeader)報(bào)文認(rèn)證頭協(xié)議MD5(MessageDigest5)SHA1(SecureHashAlgorithm)ESP(EncapsulationSecurityPayload)封裝安全載荷協(xié)議DES(DataEncryptionStandard)3DES其他的加密算法：Blowfish，blowfish、cast…Page29IPSec的組成IPSec提供兩個(gè)安全協(xié)議Page29IPSec的安全特點(diǎn)數(shù)據(jù)機(jī)密性（Confidentiality）數(shù)據(jù)完整性（DataIntegrity）數(shù)據(jù)來(lái)源認(rèn)證（DataAuthentication）反重放（Anti-Replay）Page30IPSec的安全特點(diǎn)數(shù)據(jù)機(jī)密性（ConfidentialiGREGRE(GenericRoutingEncapsulation):是對(duì)某些網(wǎng)絡(luò)層協(xié)議（如：IP,IPX,AppleTalk等）的數(shù)據(jù)報(bào)進(jìn)行封裝，使這些被封裝的數(shù)據(jù)報(bào)能夠在異種網(wǎng)絡(luò)協(xié)議（如IP）中傳輸,異種報(bào)文傳輸?shù)耐ǖ婪Q(chēng)為tunnel.IPSec不是一個(gè)單獨(dú)的協(xié)議，它給出了IP網(wǎng)絡(luò)上數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括AH（AuthenticationHeader）、ESP（EncapsulatingSecurityPayload）、IKE（InternetKeyExchange）等協(xié)議。GRE和IPSec主要用于實(shí)現(xiàn)專(zhuān)線VPN業(yè)務(wù)。Page31GREGRE(GenericRoutingEncapsGRE協(xié)議棧IP/IPXGREIP鏈路層協(xié)議乘客協(xié)議封裝協(xié)議運(yùn)輸協(xié)議GRE協(xié)議棧隧道接口的報(bào)文格式鏈路層GREIP/IPXIPPayloadPage32GRE協(xié)議棧IP/IPXGREIP鏈路層協(xié)議乘客協(xié)議封裝協(xié)使用GRE構(gòu)建VPNOriginalDataPacketTransferProtocolHeaderGREHeaderInternetTunnel企業(yè)總部分支機(jī)構(gòu)Page33使用GRE構(gòu)建VPNOriginalDataPacketMPLSVPN網(wǎng)絡(luò)結(jié)構(gòu)VPN_AVPN_AVPN_B10.3.0.010.1.0.011.5.0.0CECECEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEVPN_A10.2.0.0CEiBGPsessionsPPPPPEPECE（CustomEdge）：直接與服務(wù)提供商相連的用戶(hù)設(shè)備。PE（ProviderEdgeRouter）：指骨干網(wǎng)上的邊緣路由器，與CE相連，主要負(fù)責(zé)VPN業(yè)務(wù)的接入。P（ProviderRouter）：指骨干網(wǎng)上的核心路由器，主要完成路由和快速轉(zhuǎn)發(fā)功能。Page34MPLSVPN網(wǎng)絡(luò)結(jié)構(gòu)VPN_AVPN_AVPN_B10MPLSL3VPNMPLSL3VPN:MultipleProtocolLabelSwitchLayer3VPN在這種網(wǎng)絡(luò)構(gòu)造中，由服務(wù)提供商向用戶(hù)提供VPN服務(wù)，用戶(hù)感覺(jué)不到公共網(wǎng)絡(luò)的存在，就好像擁有獨(dú)立的網(wǎng)絡(luò)資源一樣。P路由器，也不需要知道有VPN的存在，僅僅負(fù)責(zé)骨干網(wǎng)內(nèi)部的數(shù)據(jù)傳輸。但其必須能夠支持MPLS協(xié)議，并使能該協(xié)議。所有的VPN的構(gòu)建、連接和管理工作都是在PE上進(jìn)行的?？梢灾苯永矛F(xiàn)有路由協(xié)議而無(wú)需任何改動(dòng)MPLSL3VPN網(wǎng)絡(luò)具有良好的可擴(kuò)展性Page35MPLSL3VPNMPLSL3VPN:MultipMPLSL2VPNTunnel虛通道

Site

SiteSite

SitePEPEMPLSL2VPN就是在MPLS網(wǎng)絡(luò)上透明傳遞用戶(hù)的二層數(shù)據(jù)。從用戶(hù)的角度來(lái)看，這個(gè)MPLS網(wǎng)絡(luò)就是一個(gè)二層的交換網(wǎng)絡(luò)，通過(guò)這個(gè)網(wǎng)絡(luò)，可以在不同站點(diǎn)之間建立二層的連接。Page36MPLSL2VPNTunnel虛通道SiteSiteMPLSL2VPNMPLSL2VPN的實(shí)現(xiàn)方案:CCCMartiniSVCKompellaPage37MPLSL2VPNMPLSL2VPN的實(shí)現(xiàn)方案:PageCCCCCC:CircuitCrossConnect電路交叉連接CCC是通過(guò)靜態(tài)配置來(lái)實(shí)現(xiàn)L2VPN的一種方式,分為本地CCC連接和遠(yuǎn)程CCC連接CCC采用一層標(biāo)記來(lái)傳送用戶(hù)數(shù)據(jù)，因此它對(duì)LSP的使用是獨(dú)占性,用戶(hù)必須單獨(dú)為每一個(gè)CCC連接手工配置兩條L2VPNLSP,這兩條L2VPNLSP將只能用于傳遞這個(gè)CCC連接的數(shù)據(jù)。

Page38CCCCCC:CircuitCrossConnect電CCC組網(wǎng)MPLS網(wǎng)絡(luò)A公司分支機(jī)構(gòu)2PELSPLSPPEPEA公司分支機(jī)構(gòu)1A公司分支機(jī)構(gòu)3A公司總部Tunnel標(biāo)簽2層頭部數(shù)據(jù)本地連接遠(yuǎn)程連接Page39CCC組網(wǎng)MPLS網(wǎng)絡(luò)A公司PELSPLSPPEPEA公司AMartini使用LDP作為傳遞VC信息的信令。PE之間建立LDP的remotesession，PE為CE之間的每條連接分配一個(gè)VC標(biāo)簽。二層VPN信息將攜帶著VC標(biāo)簽，通過(guò)LDP建立的LSP轉(zhuǎn)發(fā)到remotesession的對(duì)端PE。只提供遠(yuǎn)程連接,一條隧道可以被多條VC共享使用。Page40Martini使用LDP作為傳遞VC信息的信令。Page4Martini組網(wǎng)MPLS網(wǎng)絡(luò)PEMPLS隧道(LSP)MPLS隧道(LSP)PEMPLS隧道(LSP)A公司分支機(jī)構(gòu)1A公司分支機(jī)構(gòu)2A公司總部外層標(biāo)簽VC標(biāo)簽二層頭部數(shù)據(jù)PELDP發(fā)布VC標(biāo)簽Page41Martini組網(wǎng)MPLS網(wǎng)絡(luò)PEMPLS隧道(LSP)MPStaticVCSVC方式的其實(shí)與LDP方式L2PVN非常類(lèi)似，不同之點(diǎn)在于它不必使用LDP作為傳遞二層VC和鏈路信息的信令，手工配置VCLabel信息即可；不用LDP就意味著不需要使用remotepeer，不需要使用LDP相應(yīng)擴(kuò)展TLV。便于ISP的網(wǎng)絡(luò)運(yùn)營(yíng)，如果隧道不使用LDP建立的LSP，那么LDP就完全不必使用了；其他的和Martini基本一致。Page42StaticVCSVC方式的其實(shí)與LDP方式L2PVN非常kompella與MPLSBGPVPN實(shí)現(xiàn)機(jī)理類(lèi)似，特別是CE、PE、ROUTE-TARGET、RD、SITE的定義以及用途區(qū)別是kompella傳送的是二層信息，而MPLSBGPVPN傳送的是三層路由信息，為此kompella進(jìn)行了相應(yīng)的BGPNLRI擴(kuò)展自動(dòng)拓?fù)浒l(fā)現(xiàn)—以MP-BGP為信令傳播相應(yīng)信息同時(shí)支持本地、遠(yuǎn)程虛擬鏈路跨域的解決方式與MPLSL3VPN類(lèi)似Page43kompella與MPLSBGPVPN實(shí)現(xiàn)機(jī)理類(lèi)似，特別VPN技術(shù)原理幾種VPN技術(shù)小結(jié)Page44VPN技術(shù)原理小結(jié)Page44定義依靠ISP(Internet-Service課件DP500007IPVPN概述ISSUE1.0DP500007IPVPN概述ISSUE1.0前言虛擬專(zhuān)用網(wǎng)VPN是依靠ISP（InternetServiceProvider）和NSP（NetworkServiceProvider），在公共網(wǎng)絡(luò)中建立的虛擬專(zhuān)用通信網(wǎng)絡(luò)。本課程主要介紹VPN的概念,原理以及應(yīng)用.Page47前言虛擬專(zhuān)用網(wǎng)VPN是依靠ISP（InternetSer參考資料高端路由操作手冊(cè)-VPN分冊(cè)(V1.11)Page48參考資料高端路由操作手冊(cè)-VPN分冊(cè)(V1.11)Page目標(biāo)學(xué)習(xí)完此課程，您將會(huì)：了解VPN基本概念掌握VPN的工作原理了解VPN的具體應(yīng)用Page49目標(biāo)學(xué)習(xí)完此課程，您將會(huì)：Page4內(nèi)容介紹第1章VPN概述第2章VPN工作原理Page50內(nèi)容介紹第1章VPN概述Page5VPN概念

VPN—VirtualPrivateNetwork虛擬專(zhuān)用網(wǎng)定義：依靠ISP（InternetServiceProvider）和NSP（NetworkServiceProvider），在公共網(wǎng)絡(luò)中建立的虛擬專(zhuān)用通信網(wǎng)絡(luò)。特點(diǎn)：專(zhuān)用性：VPN資源只能被該VPN的用戶(hù)使用，不能被網(wǎng)絡(luò)中其他用戶(hù)所使用。同時(shí)VPN提供足夠的安全保證，確保VPN內(nèi)部信息不受外部侵?jǐn)_虛擬性：VPN用戶(hù)內(nèi)部的通信是通過(guò)一個(gè)公共網(wǎng)絡(luò)進(jìn)行的，而這個(gè)公共網(wǎng)絡(luò)同時(shí)也被其他非VPN用戶(hù)使用．Page51VPN概念VPN—VirtualPrivateNetwVPN優(yōu)勢(shì)VPN優(yōu)勢(shì):連接可靠，可保證數(shù)據(jù)傳輸?shù)陌踩?。利用公共網(wǎng)絡(luò)進(jìn)行信息通訊，可降低成本，提高網(wǎng)絡(luò)資源利用率．支持用戶(hù)實(shí)時(shí)、異地接入，可滿(mǎn)足不斷增長(zhǎng)的移動(dòng)業(yè)務(wù)需求。支持QoS功能，可為VPN用戶(hù)提供不同等級(jí)的服務(wù)質(zhì)量保證。Page52VPN優(yōu)勢(shì)VPN優(yōu)勢(shì):Page7遠(yuǎn)程訪問(wèn)Internet內(nèi)部網(wǎng)合作伙伴分支機(jī)構(gòu)虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)VPN是企業(yè)網(wǎng)在因特網(wǎng)上的延伸VPN典型應(yīng)用Page53遠(yuǎn)程訪問(wèn)Internet內(nèi)部網(wǎng)合作伙伴分支機(jī)構(gòu)虛擬私有網(wǎng)虛擬VPN分類(lèi)按照組網(wǎng)模型、業(yè)務(wù)用途、運(yùn)營(yíng)模式或?qū)崿F(xiàn)層次，VPN可以分為多種類(lèi)型組網(wǎng)規(guī)模:VPDR:VirtualPrivateDialNetwork虛擬專(zhuān)用撥號(hào)網(wǎng)絡(luò)VPRN:VirtualPrivateRoutingNetwork虛擬專(zhuān)用路由網(wǎng)VRPS:VirtualPrivateLANSegment虛擬專(zhuān)用LAN網(wǎng)段VLL:VirtualLeasedLine虛擬租用線

Page54VPN分類(lèi)按照組網(wǎng)模型、業(yè)務(wù)用途、運(yùn)營(yíng)模式或?qū)崿F(xiàn)層PageVPN分類(lèi)業(yè)務(wù)用途:IntranetVPN企業(yè)內(nèi)部虛擬專(zhuān)網(wǎng)ExtranetVPN擴(kuò)展的企業(yè)內(nèi)部虛擬專(zhuān)網(wǎng)AccessVPN遠(yuǎn)程訪問(wèn)虛擬專(zhuān)網(wǎng)Page55VPN分類(lèi)Page10VPN分類(lèi)運(yùn)營(yíng)模式:CPE-basedVPN:CustomerPremisesEquipmentbasedVPN由用戶(hù)控制Network-basedVPN:由ISP控制Page56VPN分類(lèi)Page11VPN分類(lèi)實(shí)現(xiàn)層次:L3VPN（Layer3VPN）L2VPN（Layer2VPN）VPDNPage57VPN分類(lèi)Page12VPDN適用范圍：出差員工異地小型辦公機(jī)構(gòu)POPPOP用戶(hù)直接發(fā)起連接POPISP發(fā)起連接總部隧道Page58VPDN適用范圍：POPPOP用戶(hù)直接發(fā)起連接POPISP發(fā)內(nèi)容介紹第1章VPN概述第2章VPN工作原理Page59內(nèi)容介紹第1章VPN概述Page14VPN隧道VPN的基本原理是利用隧道技術(shù)，把VPN報(bào)文封裝在隧道中，利用VPN骨干網(wǎng)建立專(zhuān)用數(shù)據(jù)傳輸通道，實(shí)現(xiàn)報(bào)文的透明傳輸。隧道技術(shù)使用一種協(xié)議封裝另外一種協(xié)議報(bào)文，而封裝協(xié)議本身也可以被其他封裝協(xié)議所封裝或承載。對(duì)用戶(hù)來(lái)說(shuō)，隧道是其PSTN/ISDN鏈路的邏輯延伸，在使用上與實(shí)際物理鏈路相同.Page60VPN隧道VPN的基本原理是利用隧道技術(shù)，把VPN報(bào)文封裝在VPN隧道VPN隧道的功能:封裝原始數(shù)據(jù)實(shí)現(xiàn)隧道兩端的點(diǎn)到點(diǎn)連通定時(shí)檢測(cè)VPN隧道的連通性VPN隧道的安全性VPN隧道的QoS特性Page61VPN隧道VPN隧道的功能:Page16VPN協(xié)議—隧道協(xié)議第二層隧道協(xié)議PPTPL2FL2TP第三層隧道協(xié)議GREIPSecMPLSVPNPage62VPN協(xié)議—隧道協(xié)議第二層隧道協(xié)議Page17PPTPPPTP:Point-to-PointTunnelingProtocol點(diǎn)到點(diǎn)隧道協(xié)議PPTP將其他協(xié)議和數(shù)據(jù)封裝于IP網(wǎng)絡(luò)；該方式用在公共的Internet創(chuàng)建VPN，遠(yuǎn)端用戶(hù)能夠透過(guò)任何支持PPTP的ISP訪問(wèn)公司的專(zhuān)用網(wǎng)絡(luò)。此協(xié)議由Microsoft開(kāi)發(fā)，與Windows95和NT集成很好。在數(shù)據(jù)安全性方面，此協(xié)議使用40bit或128bitRC4的加密算法。Page63PPTPPPTP:Point-to-PointTunneL2FL2F:Layer2Forwarding二層轉(zhuǎn)發(fā)L2F能支持對(duì)更高級(jí)協(xié)議鏈路層的隧道封裝，實(shí)現(xiàn)撥號(hào)服務(wù)器和撥號(hào)協(xié)議連接在物理位置上的分離。Page64L2FL2F:Layer2Forwarding二層L2TPL2TP:LayerTwoTunnelingProtocol二層隧道協(xié)議IETF所制定的在Internet上創(chuàng)建VPN的協(xié)議。這個(gè)協(xié)議是在PPTP和L2F的技術(shù)之上所制定的標(biāo)準(zhǔn)InternetTunnel協(xié)議,用于保護(hù)PPP報(bào)文;數(shù)據(jù)沒(méi)有加密機(jī)制，可通過(guò)IPSEC保證數(shù)據(jù)安全。主要用途：企業(yè)駐外機(jī)構(gòu)和出差人員可從遠(yuǎn)程經(jīng)由公共網(wǎng)絡(luò)，通過(guò)虛擬隧道實(shí)現(xiàn)和企業(yè)總部之間的網(wǎng)絡(luò)連接。Page65L2TPL2TP:LayerTwoTunnelingL2TP報(bào)文格式L2TP報(bào)文封裝層次結(jié)構(gòu) 此報(bào)文格式是LAC與LNS之間的數(shù)據(jù)報(bào)文。L2TP報(bào)文頭是VPN協(xié)議報(bào)文頭，其內(nèi)封裝的是PPP報(bào)文，因此L2TP是二層VPN協(xié)議。IP報(bào)文頭(公網(wǎng)地址)UDP報(bào)文L2TP報(bào)文頭PPP報(bào)文頭IP報(bào)文頭(私網(wǎng)地址)DataPage66L2TP報(bào)文格式L2TP報(bào)文封裝層次結(jié)構(gòu) IP報(bào)文頭(公網(wǎng)L2TP協(xié)議組件

VPN用戶(hù)：指通過(guò)L2TP協(xié)議連入VPN的用戶(hù)，通常是外地出差員工或辦事機(jī)構(gòu)。LAC:L2TPAccessConcentratorL2TP訪問(wèn)集中器VPN用戶(hù)和LNS之間傳遞數(shù)據(jù)的設(shè)備，通常是當(dāng)?shù)豂SP的接入設(shè)備，具有PPP端系統(tǒng)和L2TP協(xié)議處理能力。LAC把從VPN用戶(hù)處收到的信息包按照L2TP協(xié)議進(jìn)行封裝并送往LNS，將從LNS收到的信息包進(jìn)行解封裝并送往遠(yuǎn)端系統(tǒng)。LNS:L2TPNetworkServerL2TP網(wǎng)絡(luò)服務(wù)器L2TP協(xié)議的服務(wù)器端部分，通常是企業(yè)內(nèi)部網(wǎng)的邊緣設(shè)備。LNS作為L(zhǎng)2TP隧道的另一側(cè)端點(diǎn)，是LAC的對(duì)端設(shè)備，是被LAC進(jìn)行隧道傳輸?shù)腜PP會(huì)話(huà)的邏輯終止端點(diǎn)。Page67L2TP協(xié)議組件VPN用戶(hù)：指通過(guò)L2TP協(xié)議連入VPN的LAC發(fā)起連接(LAC-initialized) 用戶(hù)通過(guò)PSTN/ISDN接入NAS(LAC)，NAS判斷如果是VPN用戶(hù)，就向指定的LNS發(fā)起L2TP連接用戶(hù)發(fā)起連接(Client-initialized) 用戶(hù)通過(guò)PSTN/ISDN接入NAS，獲得訪問(wèn)Internet權(quán)限然后直接向遠(yuǎn)端LNS服務(wù)器發(fā)起L2TP連接L2TP隧道發(fā)起方式Page68LAC發(fā)起連接(LAC-initialized)L2TP隧道L2TP隧道發(fā)起方式LAC發(fā)起VPN用戶(hù)：向LAC設(shè)備發(fā)起PPP連接。LAC：判斷用戶(hù)是否是L2TP用戶(hù)，如果是，判斷用戶(hù)向哪個(gè)LNS發(fā)起隧道請(qǐng)求。LNS：為用戶(hù)分配私網(wǎng)地址，準(zhǔn)許用戶(hù)接入內(nèi)部網(wǎng)絡(luò)。Page69L2TP隧道發(fā)起方式LAC發(fā)起VPN用戶(hù)：向LAC設(shè)備發(fā)起PL2TP隧道發(fā)起方式客戶(hù)端直接發(fā)起VPN用戶(hù)：首先獲得公網(wǎng)地址，與LNS之間保持連通，向LNS發(fā)起建立隧道請(qǐng)求。LNS：為用戶(hù)分配私網(wǎng)地址，準(zhǔn)許用戶(hù)接入內(nèi)部網(wǎng)絡(luò)。Page70L2TP隧道發(fā)起方式客戶(hù)端直接發(fā)起VPN用戶(hù)：首先獲得公網(wǎng)地IPSecIPSec（IPSecurity）是IETF制定的為保證在Internet上傳送數(shù)據(jù)的安全保密性能的框架協(xié)議IPSec包括報(bào)文驗(yàn)證頭協(xié)議AH（協(xié)議號(hào)51）和報(bào)文安全封裝協(xié)議ESP（協(xié)議號(hào)50）兩個(gè)協(xié)議IPSec有隧道（tunnel）和傳送（transport）兩種工作方式Page71IPSecIPSec（IPSecurity）是IETF制定隧道模式IPPayloadIPheaderIPPayloadIPheaderIPheaderIPSECheader保護(hù)IP包頭和IP負(fù)載可適用于兩者,隱藏內(nèi)部IP地址,協(xié)議類(lèi)型和端口號(hào)加密在IPSec之前在IPSec*之后IPSec工作模式Page72隧道模式IPPayloadIPheaderIPPay傳輸模式在IPSec之前在IPSec*之后IP有效載荷IP頭內(nèi)部受保護(hù)的數(shù)據(jù)IP有效載荷IP頭IPSec

頭線上傳輸保護(hù)TCP/UDP/ICMP有效負(fù)載IPSec工作模式Page73傳輸模式在IPSec之前在IPSec*之后IP有效載IPSec的組成IPSec提供兩個(gè)安全協(xié)議AH(AuthenticationHeader)報(bào)文認(rèn)證頭協(xié)議MD5(MessageDigest5)SHA1(SecureHashAlgorithm)ESP(EncapsulationSecurityPayload)封裝安全載荷協(xié)議DES(DataEncryptionStandard)3DES其他的加密算法：Blowfish，blowfish、cast…Page74IPSec的組成IPSec提供兩個(gè)安全協(xié)議Page29IPSec的安全特點(diǎn)數(shù)據(jù)機(jī)密性（Confidentiality）數(shù)據(jù)完整性（DataIntegrity）數(shù)據(jù)來(lái)源認(rèn)證（DataAuthentication）反重放（Anti-Replay）Page75IPSec的安全特點(diǎn)數(shù)據(jù)機(jī)密性（ConfidentialiGREGRE(GenericRoutingEncapsulation):是對(duì)某些網(wǎng)絡(luò)層協(xié)議（如：IP,IPX,AppleTalk等）的數(shù)據(jù)報(bào)進(jìn)行封裝，使這些被封裝的數(shù)據(jù)報(bào)能夠在異種網(wǎng)絡(luò)協(xié)議（如IP）中傳輸,異種報(bào)文傳輸?shù)耐ǖ婪Q(chēng)為tunnel.IPSec不是一個(gè)單獨(dú)的協(xié)議，它給出了IP網(wǎng)絡(luò)上數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括AH（AuthenticationHeader）、ESP（EncapsulatingSecurityPayload）、IKE（InternetKeyExchange）等協(xié)議。GRE和IPSec主要用于實(shí)現(xiàn)專(zhuān)線VPN業(yè)務(wù)。Page76GREGRE(GenericRoutingEncapsGRE協(xié)議棧IP/IPXGREIP鏈路層協(xié)議乘客協(xié)議封裝協(xié)議運(yùn)輸協(xié)議GRE協(xié)議棧隧道接口的報(bào)文格式鏈路層GREIP/IPXIPPayloadPage77GRE協(xié)議棧IP/IPXGREIP鏈路層協(xié)議乘客協(xié)議封裝協(xié)使用GRE構(gòu)建VPNOriginalDataPacketTransferProtocolHeaderGREHeaderInternetTunnel企業(yè)總部分支機(jī)構(gòu)Page78使用GRE構(gòu)建VPNOriginalDataPacketMPLSVPN網(wǎng)絡(luò)結(jié)構(gòu)VPN_AVPN_AVPN_B10.3.0.010.1.0.011.5.0.0CECECEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEVPN_A10.2.0.0CEiBGPsessionsPPPPPEPECE（CustomEdge）：直接與服務(wù)提供商相連的用戶(hù)設(shè)備。PE（ProviderEdgeRouter）：指骨干網(wǎng)上的邊緣路由器，與CE相連，主要負(fù)責(zé)VPN業(yè)務(wù)的接入。P（ProviderRouter）：指骨干網(wǎng)上的核心路由器，主要完成路由和快速轉(zhuǎn)發(fā)功能。Page79MPLSVPN網(wǎng)絡(luò)結(jié)構(gòu)VPN_AVPN_AVPN_B10MPLSL3VPNMPLSL3VPN:MultipleProtocolLabelSwitchLayer3VPN在這種網(wǎng)絡(luò)構(gòu)造中，由服務(wù)提供商向用戶(hù)提供VPN服務(wù)，用戶(hù)感覺(jué)不到公共網(wǎng)絡(luò)的存在，就好像擁有獨(dú)立的網(wǎng)絡(luò)資源一樣。P路由器，也不需要知道有VPN的存在，僅僅負(fù)責(zé)骨干網(wǎng)內(nèi)部的數(shù)據(jù)傳輸。但其必須能夠支持MPLS協(xié)議，并使能該協(xié)議。所有的VPN的構(gòu)建、連接和管理工作都是在PE上進(jìn)行的?？梢灾苯永矛F(xiàn)有路由協(xié)議而無(wú)需任何改動(dòng)MPLSL3VPN網(wǎng)絡(luò)具有良好的可擴(kuò)展性Page80MPLSL3VPN