《数据通信技术》PPT课件.ppt

数据通信技术,提纲,网络知识基础 TCP/IP与子网规划 VLAN技术基础 路由协议基础 IP VPN/MPLS VPN,网络的演进,Host,WAN,简单连接 1960s 1970s,基于网络的连接 1970s 1980s,网络互联 1980s ,通信协议,网络协议是网络设备之间通信规则的正式描述。,5,4,3,2,1,5,4,3,2,1,TCP/IP协议栈,Source Host A,Destination Host B,好啊！我刚好也懂TCP/IP。,请问可以用TCP/IP和你通信吗?,TCP/IP协议栈,LAN定义,LAN定义：通常指几公里以内的，可以通过某种介质互联的计算机、打印机、modem或其他设备的集合。 特点：距离短、延迟小、数据速率高、传输可靠。 标准(standard)：描述了协议的规定，设定了最简的性能集。,LAN常用设备,LAN的设计目标： 运行在有限的地理区域； 允许同时访问高带宽的介质； 通过局部管理控制网络的私有权利； 提供全时的局部服务； 联接物理相临的设备。,HUB,交换机,路由器,ATM 交换机,广域网定义及分类,WAN定义：在大范围区域内提供数据通信服务，主要用于互连局域网。 WAN分类： 共用电话网：PSTN 综合业务数字网：ISDN 数字数据网：DDN X.25共用分组交换网 帧中继：Frame Relay 异步传输模式：ATM,WAN交换模式,电路交换：基于电话网的电路交换 优点：时延小、透明传输； 缺点：带宽固定，网络资源利用率低。 分组交换：以分组为单位存储转发 优点：多路复用，网络资源利用率高； 缺点：实时性差。,WAN常用设备,WAN的设计目标： 运行在广阔的地理区域； 通过低速串行链路进行访问； 网络控制服从公共服务的规则； 提供全时的或部分时间的联接性； 联接物理上分离的、遥远的、甚至全球的设备。,Modem/CSU/DSU,路由器,广域网交换机,接入服务器,带宽和延迟,带宽定义：描述网络上数据在一定时刻从一个节点传送到任意节点的信息量。 以太网带宽：10M、100M、1000M等。 广域网各类服务带宽。 延迟：节点间数据传送时间。,常见网络拓朴结构,拓扑结构： 总线、星型、树型 环型、网型,标准化组织,国际标准化组织(ISO) 电子电器工程师协会(IEEE) 美国国家标准局(ANSI) 电子工业协会(EIA / TIA) 国际电信联盟(ITU) INTERNET架构委员会(IAB),OSI七层模型,分层有什么好处？,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,1,2,3,4,5,6,7,底层:负责网络数据传输,高层:负责主机之间的数据传输,七层功能,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,1,2,3,4,5,6,7,提供应用程序间通信,处理数据格式、数据加密等,建立、维护和管理会话,建立主机端到端连接,寻址和路由选择,提供介质访问、链路管理等,比特流传输,对等通信,每一层利用下一层提供的服务与对等层通信；每一层使用自己的协议。,Host A,Host B,APDU,PPDU,SPDU,Segment,Packet,Frame,Bit,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,数据封装,数据封装和解封装过程。,Data,Data,H,Data,H,H,主机,服务器,交换机,路由器,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,Data,Data,H,Data,H,H,提纲,网络知识基础 TCP/IP与子网规划 VLAN技术基础 路由协议基础 IP VPN/MPLS VPN,TCP/IP协议和OSI参考模型,TCP/IP协议栈具有简单的分层设计，与OSI参考模型有清晰的对应关系。,OSI参考模型,TCP/IP,TCP/IP协议栈,应用层,传输层,网络层,数据链路层,提供应用程序网络接口,建立端到端连接,寻址和路由选择,物理介质访问,二进制数据流传输,物理层,TCP/IP协议数据封装,应用层,文件传输 FTP、TFTP 邮件服务 SMTP、POP3 网络管理 SNMP、Telnet、Ping、Tracert 网络服务 HTTP、DNS、WINS,传输层协议概述,传输层,传输层功能： 分段上层数据； 建立端到端连接； 将数据从一端主机传送到另一端主机； 保证数据按序、可靠、正确传输。 传输层协议： 主要有TCP/IP协议栈的TCP协议和UDP协议，IPX/SPX协议栈的SPX协议等。,端到端通信,传输虚电路,Host,WWW.HUAWEI.COM,FTP.HUAWEI.COM,应用数据,WWW,FTP,传输数据包,21,1028,80,1027,Data,Data,TCP/UDP报文格式,端口号,传输层协议用端口号来标识和区分各种上层应用程序。,80,20/21,23,25,53,69,161,流量控制,流量控制的三种方式： 缓存技术：突发缓存，空闲发送。 源抑制报文：利用ICMP协议向源端发送source quench报文。 窗口机制：报文中包含窗口字段，用于控制源端一次发送数据的多少。,确认技术,传输虚电路,Host,源,目的,Send 1,2,3,Acknowledge 4,Send 4,5,6,Acknowledge 4,Send 4,5,6,TCP连接,滑动窗口,需要修改窗口大小,发送数据太快了！,len 1024,win4096,len 1024,win4096,ack 6145,win2048,网络层协议概述,网络接入层,应用层,传输层,网络层,IP,ARP,RARP,ICMP,网络地址,网络层地址由两部分地址组成：网络层地址和主机地址。网络层地址是全局唯一的。,IP 地址,IPX 地址,网络地址,主机地址,10.,8.2.48,网络地址,主机地址,1aceb0b1.,0000.0c00.6e25,路由协议与可路由协议,可路由协议：IP、IPX 路由协议： RIP、OSPF、BGP等,N2,N1,N1.H1,N1.H2,N2.H1,面向连接和无连接的服务,面向连接的服务：适合延迟敏感性应用 建立连接 数据传输 断开连接 无连接的服务：适合延迟不敏感的应用 无需建立连接 资源动态分配,网络层协议操作,网络层,数据链路层,物理层,网络层,数据链路层,物理层,网络层,数据链路层,物理层,网络层,数据链路层,物理层,表示层,会话层,传输层,应用层,A,B,C,D,E,Router A,Router B,Router C,IP报文格式,ARP地址解析协议,需要的MAC地址？,IP:/24 MAC:00-E0-FC-00-00-11,IP:/24 MAC:00-E0-FC-00-00-12,ARP Request?, 对应的MAC：00-E0-FC-00-00-12,RARP反向地址解析协议,我的IP地址是什么？,无盘工作站,RARP Server,RARP Request?,你的IP地址是,ICMP协议,B可达吗？,ICMP Echo Request,我在。,A,B,数据链路层,数据链路层分为2个子层：LLC子层和MAC子层。 数据链路层的功能： 物理地址定义 网络拓扑结构 链路参数 差错验证 物理介质访问 流控制(可选),MAC/物理地址,MAC地址有48位，华为产品前3个字节是0x00E0FC。,00e0.fc01.2345,厂商编号,序列号,24 bits,24 bits,00e0.fc01.2345,Rom,Ram,LAN与数据链路层,IEEE802标准：当今最为流行的LAN标准 IEEE802.1 基本局域网问题 IEEE802.2 定义LLC子层 IEEE802.3 以太网标准 IEEE802.4 令牌总线网 IEEE802.5 令牌环网 以太网交换机,WAN与数据链路层,WAN数据链路层标准： HDLC PPP ISDN X.25 Frame Relay WAN数据链路层设备： Modem、ISDN终端适配器 CSU/DSU、广域网交换机,物理层,物理层：定义电压、接口、线缆标准、传输距离等。 物理层线缆： 同轴电缆(coaxical cable)：细缆和粗缆 双绞线(twisted pair)：UTP、STP 光纤(fibre) 无线电波(wireless radio)：无线局域网WLAN,物理层,局域网与物理层 线缆标准：10Base-T、100Base-T、100Base-TX/FX、1000Base-T、1000Base-SX/LX； 网络设备：中继器、集线器等。 广域网与物理层 DTE设备：路由器、终端主机等； DCE设备：广域网交换机、Modem、CSU/DSU等； 常见接口：RS-232、V.24、V.35等。,IP地址介绍,IP地址唯一标示一台网络设备 私有IP地址,IP地址分类,特殊IP地址,无子网编址,无子网编址是指使用自然掩码，不对网段进行细分。比如B类网段，采用作为掩码。,带子网编址,B类网段, ，,，,子网规划,,,,48,6,48,4,48,2,48,,48,7,48,5,48,3,48,B类子网规划实例,C类子网规划实例,变长子网掩码(VLSM),2/27,4/27,6/27,28/27,60/30,64/30,68/30,72/30,ISP,通告 ,无类域间路由(CIDR),CIDR减少了路由表的规模，增了网络的可扩展性。,连续性:IP地址分配要尽量给每个地市城域网分配连续的IP地址空间；在每个地市城域网中，相同的业务和功能尽量分配连续的IP地址空间，有利于路由聚合以及安全控制； 灵活性:IP地址的分配需要有足够的灵活性，能够满足各种用户接入如小区用户、专线用户等的需要； 扩展性:地址分配是由业务驱动，按照业务量的大小分配各地的地址段； 合理性:IP地址的分配必须采用VLSM(变长掩码)技术，保证IP地址的利用效率； 采用CIDR技术，这样可以减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小；,IP地址规划原则,尽量给每个地市分配连续的IP地址空间，还要为将来的网络扩展预留一定的地址空间，有利于路由聚合； 在每个地市网中，相同的业务和功能尽量分配连续的IP地址空间； 只限于省/市内开放的业务，可以使用私有IP地址； 在汇聚层提供网络地址转换NAT功能，支持公私网地址混合编址； 网络地址/管理地址: 设备loopback地址、设备互连地址等尽量采用公网地址； 企业等大客户: 内部网IP地址私有，由企业自己规划，出企业时作NAT，出口处用公网地址，采用混合IP地址方案，避免企业流量作二次NAT；若地址资源允许，也可以考虑给企业等大客户出口直接分配公网地址。 小区用户: 分配私网地址，连续，可预留； 校园用户: 分配私网地址，连续，可预留；,IP地址规划建议,汇报提纲,网络知识基础 TCP/IP与子网规划 VLAN技术基础 路由协议基础 IP VPN/MPLS VPN,传统 HUB 的工作过程,我是土豆 地瓜请回话,土豆，土豆 我是地瓜,传统 HUB 的冲突域与广播域,冲突域,广播域,传统 Switch 的工作过程,我是土豆 地瓜请回话,土豆，土豆 我是地瓜,哦，1口连的设备叫土豆,4口连的设备叫地瓜，它要找土豆，而1口连的设备叫土豆，OK！,传统Switch的冲突域与广播域,冲突域,广播域,VLAN发展-起源,L2,L2,L2,L2,广播域,广播 报文,VLAN发展-起源,L2,L2,L2,L2,广播域,广播 报文,使用路由器隔离广播域，减少广播报文对网络的影响,VLAN发展-起源,L2,L2,L2,L2,广播 报文,VLAN的引入，为解决广播报文的泛滥提供了新的方法,VLAN2,VLAN3,VLAN4,一个VLAN，一个广播域,VLAN发展-VLAN的优点,限制广播域，抑制广播报文 隔离用户，保证网络安全 虚拟工作组，超越传统网络的工作组方式,VLAN发展-划分方法,基于MAC地址 基于交换机端口 基于协议 基于IP子网,VLAN发展-VLAN的标准,IEEE802.1Q成为业界的VLAN的标准,VLAN发展-VLAN与二层交换,MAC,端口,VLAN,一个交换机内的VLAN报文转发,VLAN与二层交换-链路类型,干道链路,接入链路,跨越交换机的VLAN报文转发,Trunk 端口,Trunk 端口,Access端口,Access端口,VLAN与二层交换-标签化的报文,VLAN10,VLAN10,VLAN20,VLAN20,VLAN20标签报文,VLAN10标签报文,无标签报文,VLAN与二层交换-交换规则,主机和交换机之间传送的是untagged报文 交换机之间用干道链路(Trunk)连接 交换机用Tag来标识报文所属的VLAN 干道链路上传输的是Tagged Frame 不同VLAN之间在二层不能相互通讯,VLAN发展-VLAN与三层路由,不同VLAN之间是隔离 一个VLAN原则上对应一个IP子网(PVLAN，VLAN聚合除外) VLAN之间互通需要三层路由,VLAN与三层路由-三层交换机,+,=,每一个VLAN对应一个IP网段，在二层上，VLAN之间是隔离的。 不同的IP网段之间的访问要跨越VLAN，可以使用三层转发引擎提供的VLAN间路由功能。三层转发引擎就相当于传统路由器的路由功能，当VLAN之间相互通信时也要，需要在三层交换引擎上分配一个路由虚接口， 三层交换机上的路由虚接口与路由器的接口不同，不特定于某个物理端口。 在三层交换机上为VLAN指定路由虚接口的操作就是为VLAN指定一个IP地址、子网掩码和MAC地址，MAC地址是由设备制造过程中分配的，在配置过程中由交换机自动配置。,+,VLAN,Access Link和Trunk Link,接入链路,干道链路,帧在网络通信中的变化,VLAN 2,VLAN 1,VLAN 1,VLAN 2,带有VLAN 1标签的以太网帧,带有VLAN 2标签的以太网帧,不带VLAN标签的 以太网帧,Trunk和VLAN,VLAN 1,VLAN 2,VLAN 1,VLAN 3,VLAN 2,VLAN 1,VLAN 5,VLAN 5,VLAN 2,VLAN 5,广播报文发送,Trunk Link,GVRP裁减,VLAN 1,VLAN 2,VLAN 1,VLAN 1,VLAN 2,VLAN 1,A,B,A,B,GVRP实体,GVRP实体,trunk,trunk,由于对端只有VLAN 1，GVRP协议配置 该Trunk链路只传送VLAN 1的报文,对端新增VLAN 2，GVRP协议动态 注册VLAN 2信息，同时自动配置 Trunk链路，允许Trunk 链路传送 VLAN 1和VLAN 2的报文,VLAN 2,新增VLAN 2的端口,PVLAN的引入,交换机上存在一个或多个primary vlan和多个secondary vlan。 一个primary vlan包含几个secondary vlan，对于上层交换机只能见到primary vlan。 一个primary vlan就是一个IP子网，即同一个primary vlan中包含的所有secondary vlan处在同一个子网中，节省了vlan资源。,S3026,access,access,access,access,S2016A,S2016B,PVLAN的配置举例,S3526,e0/7,e0/8,e0/9,e0/9,e0/1,e0/2,e0/3,e0/4,VLAN 1,VLAN 2,VLAN 3,VLAN 5,S2008A,S2008B,VLAN 4,VLAN 6,VLAN的划分,VLAN1作为缺省VLAN保留，VLAN2VLAN100用作对园区网络设备的管理VLAN； VLAN101VLAN200 VPN用户预留； VLAN201VLAN1000为作为使用了那些VLAN ID限制在1000以内的交换机设备的园区用户VLAN ID； VLAN10013500作为VLAN ID可以不受限制使用到1000以上的园区用户的VLAN号； VLAN3501-3550用于汇接交换机下服务器网段； VLAN35513650用作汇接设备与专线用户互连； VLAN36514096 可自定义用作其它业务，如VOD、语音等；,如果大客户要保留自己的VLAN，则可采用QinQ技术。,汇报提纲,网络知识基础 TCP/IP与子网规划 VLAN技术基础 路由协议基础 IP VPN/MPLS VPN,课程内容,路由及路由表 静态路由及配置 动态路由协议概述 距离矢量路由协议概述 路由环路问题 RIP路由协议 OSPF简介,什么是路由？,路由是指导IP报文发送的路径信息。,(N,R1,M),R1,目标网络N,其它网络,显示路由表信息,Quidwaydisplay ip routing Routing Tables: Destination/Mask proto pref Metric Nexthop Interface /0 Static 60 0 Serial0 /8 RIP 100 3 Serial0 /8 OSPF 10 50 Ethernet0 /1 RIP 100 4 Serial0 /8 Static 60 0 Serial0 /8 Direct 0 0 Ethernet0 /32 Direct 0 0 LoopBack0 ,路由优先级(Preference),从优先级最高的协议获取的路由最先被优先选择加入路由表中。,RIP,OSPF, R0, R1,,R1,路由表,路由的花费(Metric),路由的花费标示出了到达这条路由所指的目的地址的代价，通常以下因素会影响到路由的花费值。 线路延迟、带宽、线路占有率、线路可信度、跳数、最大传输单元 静态路由的花费值为0。不同的动态路由协议会选择以上的一种或几种因素来计算花费值。该花费值只在同一种路由协议内有比较意义。不同的路由协议之间的路由花费值没有可比性，也不存在换算关系。,课程内容,路由及路由表 静态路由及配置 动态路由协议概述 距离矢量路由协议概述 路由环路问题 RIP路由协议 OSPF简介,静态路由配置,注意：只有下一跳所属的的接口是点对点(PPP、HDLC)的接口时，才可以填写，否则必须填写。,Quidwayip route-static | | preference reject | blackhole ,静态路由的配置命令和命令模式,例如：,ip route 16 ip route ip route 16 Serial 2,静态路由配置示例,/16,E0,Quidway B,S0,Quidway A,,S0,在路由器 Quidway A上配置： ip route-static 或： ip route-static 16 或： ip route-static 16 s0,,缺省路由配置示例,Quidway A,,S0,,S0,Quidway B,Network N,Public Network,在路由器 Quidway A上配置： ip route-static ,Internet 上 大约99.99%的路由器上都存在一条缺省路由! 缺省路由并不一定都是手工配置的静态路由，有时也可以由动态路由协议产生。,路由自环,Quidway A,,S0,,S0,Quidway B,Network N,Public Network,在路由器 Quidway A上配置： ip route-static 8 ,“路由自环”对网络的危害极大，应尽量避免。,在路由器 Quidway B上配置： ip route-static 8 ,课程内容,路由及路由表 静态路由及配置 动态路由协议概述 距离矢量路由协议概述 路由环路问题 RIP路由协议 OSPF简介,动态路由协议在协议栈中的位置,路由协议的基本原理(一),动态路由协议是做什么的 计算路由的计算本地路由器到网络中其它网段的路由 如何做到这一点 每台路由器将自己已知的路由相关信息发给相邻的路由器，由于大家都这样做，最终每台路由器都会收到网络中所有的路由信息然后运行某种算法，计算出最终的路由来(实际上需要计算的是该条路由的下一跳和花费),路由协议的基本原理(二),动态路由协议是做什么的 “天王盖地虎”“宝塔镇河妖” 每种路由协议都有自己的语言(相应的路由协议报文)，如果两台路由器都实现了某种路由协议并已经启动该协议，则具备了相互通信的基础 “初次见面，请多关照” 一台新加入的路由器应该主动把自己介绍给网段内的其它路由器通过发送广播报文或发送给指定的路由器邻居来做到这一点 “好久不见，近况如何” 为了能够观察到某台路由器突然失败(路由器本身故障或连接线路中断)这种异常情况，规定两台路由器之间的协议报文应该周期性地发送,自治系统(AS),由同一机构管理，使用同一组选路策略的路由器的集合。,IGP&EGP,内部路由协议(IGP),RIP,自治系统AS100,自治系统AS200,外部路由协议(EGP),BGP,OSPF,IS-IS,。,按寻径算法划分,距离矢量算法 RIP BGP 链路状态算法 OSPF IS-IS,路由协议之间的互操作,每种路由协议只能发布和学习自己协议已知的路由 自己已知的路由是指：在某个接口上运行了该种路由协议，或者在路由表中的本路由协议发现的路由。 如果需要知道其它的路由，需要进行引入( import-route )操作 最经常使用的是引入静态路由和直接路由。有时也需要引入其它路由协议的路由。 引入路由的含义是指：在本路由器的路由表中查询，如果发现要引入的路由(如static)，则作为自己已知的路由发布出去。,衡量路由协议的一些性能指标,正确性 能够正确找到最优的路由，且无自环。 快收敛 当网络的拓朴结构发生变化之后，能够迅速在 自治系统中作相应的路由改变。 低开销 协议自身的开销(内存、CPU、网络带宽)最小。 安全性 协议自身不易受攻击，有安全机制。 普适性 适应各种拓朴结构和规模的网络。,现有路由协议的性能比较,综合性能,有路由环路问题,无路由环路问题,RIP1,RIP2,BGP,OSPF,IS-IS,课程内容,路由及路由表 静态路由及配置 动态路由协议概述 距离矢量路由协议概述 路由环路问题 RIP路由协议 OSPF简介,距离矢量算法,Routing Table,Routing Table,Routing Table,Routing Table,- -,- -,- -,- -,路由信息,其它信息,A,B,C,D,距离矢量协议路由发现,路由交换,R1,R2,R1,R2,距离矢量协议拓朴变化,拓朴变化引起路由表的更新,更新路由表,向路由器A传送更新的路由表,更新路由表,A,B,课程内容,路由及路由表 静态路由及配置 动态路由协议概述 距离矢量路由协议概述 路由环路问题 RIP路由协议 OSPF简介,路由环路,E0,S0,S0,S1,S0,E0,,,,,A,B,C,定义一个最大值,E0,S0,S0,S1,S0,E0,,,,,如果“花费”为16，则认为该路由不可达。,A,B,C,方案一：水平分割,E0,S0,S0,S1,S0,E0,,,,,Not sent to B,Not sent to A,Not sent to C,Not sent to B,Not sent to A,A,B,C,方案二：路由中毒和抑制时间,E0,S0,S0,S1,S0,E0,,,,,到达的网络断了,抑制时间后更新,抑制时间后更新,A,B,C,方案三：触发更新,E0,S0,S0,S1,S0,E0,,,,,到达的网络断了,到达的网络断了,到达的网络断了,A,B,C,在多路径情况下的解决方案,,设定抑制时间,发送触发更新信息,A,B,C,E,D,课程内容,路由及路由表 静态路由及配置 动态路由协议概述 距离矢量路由协议概述 路由环路问题 RIP路由协议 OSPF简介,RIP协议概述 (一),RIP是Routing Information Protocol(路由信息协议)的简称。 RIP路由协议是距离矢量路由协议的一个具体实现。 RIP协议适用于中小型网络，有RIP-1和RIP-2。 RIP-2使用组播()发送，支持验证和VLSM。 RIP支持：水平分割、路由中毒和触发更新。,RIP协议概述(二),RIP,RIP路由表的初始化,NET1,NET2,Request,Response,R1,R2,RIP路由表的更新,路由更新,Response,Response,A,B,A,B,课程内容,路由及路由表 静态路由及配置 动态路由协议概述 距离矢量路由协议概述 路由环路问题 RIP路由协议 OSPF简介,OSPF协议概述,可适应大规模网络 路由变化收敛速度快 无路由自环 支持变长子网掩码VLSM 支持等值路由 支持区域划分 提供路由分级管理 支持验证 支持以组播地址发送协议报文,OSPF协议的一些基本概念,Router ID 一个32bit的无符号整数，是一台路由器的唯一标识，在整个自治系统内唯一。 协议号 OSPF的协议号是89。,OSPF通过链路状态描述网络的拓朴结构,Ethernet,X.25,Frame Relay,PPP,RTA,RTB,RTD,RTC,RTE,RTF,OSPF协议计算路由过程,(一)网络的拓朴结构,(四)每台路由器分别以自己为根节点计算最小生成树,(三)由链路状态数据库得 到的带权有向图,C,A,B,D,1,2,3,5,RTC,RTD,3,2,1,5,RTB,RTA,OSPF的五种协议报文,HELLO报文 用来发现及维持邻居关系，选举DR、BDR。 DD报文 用来描述本地LSDB的情况。 LSR报文 向对端请求本端没有或对端更新的LSA。 LSU报文 向对端路由器发送所需的LSA。 LSAck报文 收到LSU之后，进行确认。,OSPF划分区域,Area2,Area1,Area0,骨干区域与虚连接,Area 19,Area 12,Area 0,RTB,RTA,Virtual Link,提纲,网络知识基础 TCP/IP与子网规划 VLAN技术基础 路由协议基础 IP VPN/MPLS VPN,VPN简介,利用公共网络来构建的私人专用网络称为VPN(Virtual Private Network)。能够用于构建 VPN 的公共网络包括 Internet 和服务提供商所提供的帧中继、ATM 等，构建在这些公共网络上的 VPN 将象当前企业私有的网络一样提供安全性、可靠性和可管理性等。 “虚拟”的概念是相对传统私人专用网络的构建方式而言的，对于广域网连接，传统的组网方式是通过远程拨号和专线连接来实现的，而 VPN 是利用服务提供商所提供的公共网络来实现远程的广域连接。通过上图所示，企业可以以明显更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴。,VPN共分三类： 1、Access VPN 适用于传统的远程访问 2、IntranetVPN 适用于企业内部的Intranet 3、ExtranetVPN 适用于企业和相关伙伴形成的 Extranet,VPN分类按照业务用途,Access VPN 连接远程用户、小型分支机构 拨号、xDSL、Cable等方式接入 Intranet VPN(site-to-site VPN) 连接企业总部、分支机构等 专线、以太网接入 Extranet VPN 连接合作伙伴、客户等 专线、以太网接入,企业VPN Intranet(企业互连) Extranet Internet访问 远程办公(Home、Hotel) 在线交易 散户炒股 电子商务、其它对安全敏感的业务 跨域VPN 与其他运营商的合作 网络规模扩展的需要,综合VPN业务,企业内连网Intranet,案例： 企业A在北京、上海、深圳设有三个分部，希望建立自己的VPN，把各分部连接起来，同时通过北京分部访问Internet 企业自己的网络维护能力较弱，希望运营商帮助维护其路由,方案： 建立三个site，北京站点的VRF使用缺省路由及NAT访问Internet,企业A是一个大型的日用品供货商 企业B是连锁超市，在市区有多个购物中心，它的日用品由企业A负责供货 A和B都希望建立自己的Intranet，同时，为了方便超市随时了解供货商的库存情况，希望把A的库存部分网络资源与B共享，形成上、下游商家之间的Extranet,方案： 企业A和企业B分别形成一个VPN；企业A的库存网络同时可以被两个VPN访问,企业外连网Extranet,ACCESS VPN,PSTN ISDN,窄带接入 用户,宽带接入 用户,XDSL Cable VLAN,采用PPPoX、GRE、L2TP、IPSec、VLAN等方式接入VPN 识别VPN后可以将Radius/AAA/DHCP请求导向VPN服务器或运营商服务器,运营商Radius/ AAA/DHCP服务器。支持多个VPN。小型VPN托管服务。,IP/MPLS域,VPN内部Radius/ AAA/DHCP服务器。 大中型VPN使用,VPN网关,无线,GTP,无线,GRE,L2TP,GGSN,A8010,可以以低廉的价格，提供类似专线的安全性和服务质量保证。从用户角度来看，该网络就是一个二层交换网络，用户可在网络不同站点之间建立二层连接,虚拟租用专线VLL,网络隧道技术： 1、定义： 利用一种网络协议来传输另一种网络协议的技术，也是一种协议。好像把汽车承载在轮船上漂洋过海。 2、主要涉及到三种网络协议： 封装协议(隧道协议)。 隧道协议下面的运载协议。 隧道协议所承载的旅客协议。,隧道协议： 1、二层隧道协议，主要用于传输二层的网络协议，构建Access VPN。主要有 VLAN，二层隧道协议(L2TP)等 2、三层隧道协议，主要用于传输三层的网络协议，构建Internet和Intranet VPN通用路由封装(GRE)、 IP层加密协议IPSec等。 3、MPLS隧道协议：MPLS 二、三层VPN等。,VPN概念和基本技术,隧道包结构,隧道包括3种类型的协议(以L2TP VPN为例): 旅客协议:被封装的协议，可以是PPP、SLIP等等。 封装协议:用来创建、维护和拆除隧道。如:L2TP。 运载协议:用来承载封装协议，如:IP、UDP。,PPP,IP,UDP,L2TP,MAC,IP,VPN分类按照网络层次,一层VPN VPN站点通过物理层互连 二层、三层独立 二层VPN VPN站点通过链路层互连 三层独立 三层VPN VPN站点通过IP层互连 二层独立,传统二、三层VPN介绍,L2TP(Layer 2 Tunnel Protocol)的消息分两类： 1、控制：隧道连接与会话连接的建立与维护。 2、数据：承载用户的PPP会话数据包。,L2TP(二层隧道技术),LAC：L2TP Access Concentrator， 网络接入服务器 有PPP端系统和L2TP处理能力。,隧道(Tunnel)连接,会话(Session)连接,表示承载在每个隧道连 接之上的PPP会话过程。,1、控制消息中有丢失重传和定时检测机制，消息通过UDP某端口承载于IP之上 2、数据消息无重传机制，但可通过TCP等得到保证。,定义了LNS和LAC对,LNS： L2TP Network Server， L2TP网络服务器，PPP 端系统上处理L2TP协议服务器 端部分的软件。,L2TP技术特点,1、身份验证机制灵活，高度安全性。 有多种身份验证机制：CHAP、PAP等协议，继承了PPP的所有安全性，还可对隧道端点进行验证。可在L2TP之上进行隧道加密、端到端数据加密或应用层数据加密等。 2、内部地址分配： LNS 置于企业网的防火墙之后，对远端用户的地址进行动态分配和管理，支持 DHCP 和私有地址应用(RFC1918)方案。远端用户分配的地址是内部的私有地址。 3、计费灵活： 可在 LAC 和 LNS 两处同时计费，即 ISP 处(用于产生帐单)及企业处(用于付费及审记)。L2TP 能够提供数据传输的出入包数，字节数及连接的起始、结束时间等计费数据，可以根据这些数据方便地进行网络计费。 4、统一网管： L2TP 协议将成为标准的 RFC 协议，有关 L2TP 的标准 MIB 也将很快地得到制定，这样可以统一地采用 SNMP 网管方案进行网络维护与管理。,L2TP VPN NAS发起方式,LAN,企业总部,LAC,LNS,NAS,VPN 网关,远程办公人员,IP网络,用户使用帐号拨入ISP,NAS发起L2TP隧道到企业VPN网关,L2TP隧道,隧道,PSTN/ISDN Internet,1、可以提供丰富的业务类型。 2、可以获得更高的安全保密特性。 3、运营商可以对全网VPDN业务情况进行监控和分析，便于进一步优化网络；同时在NAS侧可以对VPDN业务情况进行统计和分析，并且可以为企业提供计费代理。 4、对于用户更方便。 5、可以基于VPDN技术开展虚拟ISP端口批发业务。,PSTN/ISDN Internet,LAN,企业总部,LAC,LNS,NAS,VPN 网关,IP网络,L2TP隧道,公司内部 AAA服务器,服务号码接入方式,1、16333拨入,2、拨入 号码16333,3、LNS IP 地址 隧道口令等,4、建立隧道,6、VPN用户访问内部资源,5、企业AAA验证 PPP用户：VPNUser 口令：Password,PSTN/ISDN Internet,LAN,企业总部,LAC,LNS,NAS,VPN 网关,IP网络,L2TP隧道,公司内部 AAA服务器,专用帐号接入方式,1、163拨入，用户：Huawei 密码：Password1,2、用户、 密码,3、LNS IP 地址 隧道口令等,4、建立隧道,6、VPN用户访问内部资源,5、企业AAA验证 PPP用户：VPNUser 口令：Password2,GRE(三层隧道技术),通用路由封装：Generic Routing Encapsulation(GRE),Delivery Header(transpor Protocol) GRE Header(Encapsulation Protocol) Payload Packet(Passenger Protocol),1、系统接收到一个IP数据报 2、首先被 GRE 封装，称为GRE报文 3、再接着被封装在 IP 协议中 4、由IP层负责此报文的向前传输,GRE封装数据包的过程,1、多协议的本地网通过单一协议 的骨干网传输 2、将不能连续的子网连接起来 3、扩大了网络的工作范围，包括那 些路由网关有限的协议；如 IPX包 最多可以转发16次(既经过16个路 由器)，而在一个 Tunnel 连接中看上去只经过一个路由器。,GRE VPN,IP网络,VPN网关,VPN网关,总部,VPN网关,GRE隧道,GRE隧道,分支机构,分支机构,原始数据包,IP头,GRE 头,IP/IPX 头,IPSec(三层隧道技术),网络安全协议： Authenticaiton Head(AH)、 Encapsulating Security Payload(ESP) 密钥管理协议： Internet Key Exchange(IKE)和一些用于网络验证及加密的算法,IPSec 定义了两个新的数据包头增加到 IP 包： AH插到IP包头后面，保证数据包的完整和真实，防止黑客截断数据 包或向网络中插入伪造的数据包，采用哈希算法来对数据包进行保护， AH不对用户数据加密。 ESP将需要保护的用户数据进行加密后再封装到IP包中，ESP可以保 证数据的完整性、真实性和私有性。,机理,方式,组成,隧道方式： 整个IP数据包用来计算ESP，且被加密，然后一起封装成为新的IP包 传送方式： 只是传输层数据用来计算ESP，ESP和被加密数据被放在IP包头后,IPSec(三层隧道技术),私有性 IPsec在传输数据包之前将其加密，以保证数据的私有性。 完整性 Ipsec在目的地验证数据包，以保证在传输过程未被替换。 真实性 IPsec端要验证所有受 IPsec 保护的数据包。 反重复： IPsec防止数据包被捕捉并重新投放网上，即目的地会拒绝老的或重复的数据包；它通过与 AH 或 ESP 一起工作的序列号实现,对等层之间: 选择安全协议、确定安全算法和密钥交换 向上层： 提供访问控制、数据源验证、数据加密等网络安全服务。,作用,特点,IKE的 概念,IKE定义了通信实体间的身份认证、协商加密算法以及生成共享的会话 密钥的方法，IPSec本身并没有提供在通信实体间建立安全相关的方法,IPSec VPN,加 密,Trailer,Auth,新IP头,ESP,IP 头,Data,IP网络,VPN网关,VPN网关,总部,VPN网关,IPSec隧道,IPSec隧道,分支机构,分支机构,MPLS VPN介绍,MPLS技术介绍,简介 标签与标签栈 标签分配 标签转发 MPLS VPN,MPLS,MPLSMulti-Protocol Label Switching Multi-Protocol：支持多种三层协议，如IP、IPv6、IPX、SNA等 Label Switching：给报文打上标签，以标签交换取代IP转发,结合了IP和ATM的优点,面向无连接的控制平面,面向无连接的转发平面,IP,面向连接的控制平面,面向连接的转发平面,ATM,面向无连接的控制平面,面向连接的转发平面,MPLS,曲折的发展过程,以短的、固定长度的标记代替IP头作为转发依据，提高转发速度,ASIC、NP大量使用，转发不再是网络瓶颈,增殖业务的出现，使MPLS重新焕发生命力： VPN 流量工程 QOS,MPLS技术介绍,简介 标签与标签栈 标签分配 标签转发 MPLS VPN,MPLS的封装格式,MPLS的封装格式,标签栈,理论上，