数据通信技术基础知识.ppt

华为3Com公司深圳办事处产品经理李博2005 12 数据通信技术基础知识 汇报提纲 网络知识基础TCP IP与子网规划VLAN技术基础路由协议基础IPVPN MPLSVPN 网络的演进 Host WAN 简单连接1960 s 1970 s 基于网络的连接1970 s 1980 s 网络互联1980 s 通信协议 网络协议是网络设备之间通信规则的正式描述 5 4 3 2 1 5 4 3 2 1 TCP IP协议栈 SourceHostA DestinationHostB 好啊 我刚好也懂TCP IP 请问可以用TCP IP和你通信吗 TCP IP协议栈 LAN定义 LAN定义 通常指几公里以内的 可以通过某种介质互联的计算机 打印机 modem或其他设备的集合 特点 距离短 延迟小 数据速率高 传输可靠 标准 standard 描述了通信协议的规定 设定了最简的性能集 LAN常用设备 LAN的设计目标 运行在有限的地理区域 允许同时访问高带宽的介质 通过局部管理控制网络的私有权利 提供全时的局部服务 联接物理相临的设备 HUB 交换机 路由器 ATM交换机 广域网定义及分类 WAN定义 在大范围区域内提供数据通信服务 主要用于互连局域网 WAN分类 共用电话网 PSTN综合业务数字网 ISDN数字数据网 DDNX 25共用分组交换网帧中继 FrameRelay异步传输模式 ATM WAN交换模式 电路交换 基于电话网的电路交换优点 时延小 透明传输 缺点 带宽固定 网络资源利用率低 分组交换 以分组为单位存储转发优点 多路复用 网络资源利用率高 缺点 实时性差 WAN常用设备 WAN的设计目标 运行在广阔的地理区域 通过低速串行链路进行访问 网络控制服从公共服务的规则 提供全时的或部分时间的联接性 联接物理上分离的 遥远的 甚至全球的设备 Modem CSU DSU 路由器 广域网交换机 接入服务器 带宽和延迟 带宽定义 描述网络上数据在一定时刻从一个节点传送到任意节点的信息量 以太网带宽 10M 100M 1000M等 广域网各类服务带宽 延迟 节点间数据传送时间 常见网络拓朴结构 拓扑结构 总线 星型 树型环型 网型 标准化组织 国际标准化组织 ISO 电子电器工程师协会 IEEE 美国国家标准局 ANSI 电子工业协会 EIA TIA 国际电信联盟 ITU INTERNET架构委员会 IAB OSI七层模型 分层有什么好处 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 1 2 3 4 5 6 7 底层 负责网络数据传输 高层 负责主机之间的数据传输 七层功能 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 1 2 3 4 5 6 7 提供应用程序间通信 处理数据格式 数据加密等 建立 维护和管理会话 建立主机端到端连接 寻址和路由选择 提供介质访问 链路管理等 比特流传输 对等通信 每一层利用下一层提供的服务与对等层通信 每一层使用自己的协议 HostA HostB APDU PPDU SPDU Segment Packet Frame Bit 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 数据封装 数据封装和解封装过程 Data Data H Data H H 主机 服务器 交换机 路由器 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 Data Data H Data H H 汇报提纲 网络知识基础TCP IP与子网规划VLAN技术基础路由协议基础IPVPN MPLSVPN TCP IP协议和OSI参考模型 TCP IP协议栈具有简单的分层设计 与OSI参考模型有清晰的对应关系 OSI参考模型 TCP IP TCP IP协议栈 应用层 传输层 网络层 数据链路层 提供应用程序网络接口 建立端到端连接 寻址和路由选择 物理介质访问 二进制数据流传输 物理层 TCP IP协议数据封装 应用层 文件传输FTP TFTP邮件服务SMTP POP3网络管理SNMP Telnet Ping Tracert网络服务HTTP DNS WINS 传输层协议概述 传输层 传输层功能 分段上层数据 建立端到端连接 将数据从一端主机传送到另一端主机 保证数据按序 可靠 正确传输 传输层协议 主要有TCP IP协议栈的TCP协议和UDP协议 IPX SPX协议栈的SPX协议等 端到端通信 传输虚电路 Host WWW HUAWEI COM FTP HUAWEI COM 应用数据 WWW FTP 传输数据包 21 1028 80 1027 Data Data TCP UDP报文格式 端口号 传输层协议用端口号来标识和区分各种上层应用程序 80 20 21 23 25 53 69 161 流量控制 流量控制的三种方式 缓存技术 突发缓存 空闲发送 源抑制报文 利用ICMP协议向源端发送sourcequench报文 窗口机制 报文中包含窗口字段 用于控制源端一次发送数据的多少 确认技术 传输虚电路 Host 源 目的 Send1 2 3 Acknowledge4 Send4 5 6 Acknowledge4 Send4 5 6 TCP连接 滑动窗口 需要修改窗口大小 发送数据太快了 len1024 win4096 len1024 win4096 ack6145 win2048 网络层协议概述 网络接入层 应用层 传输层 网络层 IP ARP RARP ICMP 网络地址 网络层地址由两部分地址组成 网络层地址和主机地址 网络层地址是全局唯一的 IP地址 IPX地址 网络地址 主机地址 10 8 2 48 网络地址 主机地址 1aceb0b1 0000 0c00 6e25 路由协议与可路由协议 可路由协议 IP IPX路由协议 RIP OSPF BGP等 N2 N1 N1 H1 N1 H2 N2 H1 面向连接和无连接的服务 面向连接的服务 适合延迟敏感性应用建立连接数据传输断开连接无连接的服务 适合延迟不敏感的应用无需建立连接资源动态分配 网络层协议操作 网络层 数据链路层 物理层 网络层 数据链路层 物理层 网络层 数据链路层 物理层 网络层 数据链路层 物理层 表示层 会话层 传输层 应用层 A B C D E RouterA RouterB RouterC IP报文格式 ARP 地址解析协议 需要10 0 0 2的MAC地址 IP 10 0 0 1 24MAC 00 E0 FC 00 00 11 IP 10 0 0 2 24MAC 00 E0 FC 00 00 12 ARPRequest 10 0 0 2对应的MAC 00 E0 FC 00 00 12 RARP 反向地址解析协议 我的IP地址是什么 无盘工作站 RARPServer RARPRequest 你的IP地址是10 0 0 1 ICMP协议 B可达吗 ICMPEchoRequest 我在 A B 数据链路层 数据链路层分为2个子层 LLC子层和MAC子层 数据链路层的功能 物理地址定义网络拓扑结构链路参数差错验证物理介质访问流控制 可选 MAC 物理地址 MAC地址有48位 华为产品前3个字节是0 x00E0FC 00e0 fc01 2345 厂商编号 序列号 24bits 24bits 00e0 fc01 2345 Rom Ram LAN与数据链路层 IEEE802标准 当今最为流行的LAN标准IEEE802 1基本局域网问题IEEE802 2定义LLC子层IEEE802 3以太网标准IEEE802 4令牌总线网IEEE802 5令牌环网以太网交换机 WAN与数据链路层 WAN数据链路层标准 HDLCPPPISDNX 25FrameRelayWAN数据链路层设备 Modem ISDN终端适配器CSU DSU 广域网交换机 物理层 物理层 定义电压 接口 线缆标准 传输距离等 物理层线缆 同轴电缆 coaxicalcable 细缆和粗缆双绞线 twistedpair UTP STP光纤 fibre 无线电波 wirelessradio 无线局域网WLAN 物理层 局域网与物理层线缆标准 10Base T 100Base T 100Base TX FX 1000Base T 1000Base SX LX 网络设备 中继器 集线器等 广域网与物理层DTE设备 路由器 终端主机等 DCE设备 广域网交换机 Modem CSU DSU等 常见接口 RS 232 V 24 V 35等 IP地址介绍 IP地址唯一标示一台网络设备私有IP地址 IP地址分类 特殊IP地址 无子网编址 无子网编址是指使用自然掩码 不对网段进行细分 比如B类网段172 16 0 0 采用255 255 0 0作为掩码 带子网编址 B类网段172 16 0 0 172 16 8 1 255 255 255 0 172 16 4 1 255 255 255 0 子网规划 201 222 5 0 255 255 255 0 201 222 5 8 255 255 255 248 201 222 5 16 255 255 255 248 201 222 5 24 255 255 255 248 201 222 5 32 255 255 255 248 201 222 5 9 255 255 255 248 201 222 5 17 255 255 255 248 201 222 5 25 255 255 255 248 201 222 5 33 255 255 255 248 B类子网规划实例 C类子网规划实例 变长子网掩码 VLSM 192 168 1 32 27 192 168 1 64 27 192 168 1 96 27 192 168 1 128 27 192 168 1 160 30 192 168 1 164 30 192 168 1 168 30 192 168 1 172 30 ISP 通告192 168 1 0 无类域间路由 CIDR CIDR减少了路由表的规模 增了网络的可扩展性 连续性 IP地址分配要尽量给每个地市城域网分配连续的IP地址空间 在每个地市城域网中 相同的业务和功能尽量分配连续的IP地址空间 有利于路由聚合以及安全控制 灵活性 IP地址的分配需要有足够的灵活性 能够满足各种用户接入如小区用户 专线用户等的需要 扩展性 地址分配是由业务驱动 按照业务量的大小分配各地的地址段 合理性 IP地址的分配必须采用VLSM 变长掩码 技术 保证IP地址的利用效率 采用CIDR技术 这样可以减小路由器路由表的大小 加快路由器路由的收敛速度 也可以减小网络中广播的路由信息的大小 IP地址规划原则 尽量给每个地市分配连续的IP地址空间 还要为将来的网络扩展预留一定的地址空间 有利于路由聚合 在每个地市网中 相同的业务和功能尽量分配连续的IP地址空间 只限于省 市内开放的业务 可以使用私有IP地址 在汇聚层提供网络地址转换NAT功能 支持公私网地址混合编址 网络地址 管理地址 设备loopback地址 设备互连地址等尽量采用公网地址 企业等大客户 内部网IP地址私有 由企业自己规划 出企业时作NAT 出口处用公网地址 采用混合IP地址方案 避免企业流量作二次NAT 若地址资源允许 也可以考虑给企业等大客户出口直接分配公网地址 小区用户 分配私网地址 连续 可预留 校园用户 分配私网地址 连续 可预留 IP地址规划建议 汇报提纲 网络知识基础TCP IP与子网规划VLAN技术基础路由协议基础IPVPN MPLSVPN 传统HUB的工作过程 我是土豆地瓜请回话 土豆 土豆我是地瓜 传统HUB的冲突域与广播域 冲突域 广播域 传统Switch的工作过程 我是土豆地瓜请回话 土豆 土豆我是地瓜 哦 1口连的设备叫土豆 4口连的设备叫地瓜 它要找土豆 而1口连的设备叫土豆 OK 传统Switch的冲突域与广播域 冲突域 广播域 VLAN发展 起源 L2 L2 L2 L2 广播域 广播报文 VLAN发展 起源 L2 L2 L2 L2 广播域 广播报文 使用路由器隔离广播域 减少广播报文对网络的影响 VLAN发展 起源 L2 L2 L2 L2 广播报文 VLAN的引入 为解决广播报文的泛滥提供了新的方法 VLAN2 VLAN3 VLAN4 一个VLAN 一个广播域 VLAN发展 VLAN的优点 限制广播域 抑制广播报文隔离用户 保证网络安全虚拟工作组 超越传统网络的工作组方式 VLAN发展 划分方法 基于MAC地址基于交换机端口基于协议基于IP子网 VLAN发展 VLAN的标准 IEEE802 1Q成为业界的VLAN的标准 VLAN发展 VLAN与二层交换 MAC 端口 VLAN 一个交换机内的VLAN报文转发 VLAN与二层交换 链路类型 干道链路 接入链路 跨越交换机的VLAN报文转发 Trunk端口 Trunk端口 Access端口 Access端口 VLAN与二层交换 标签化的报文 VLAN10 VLAN10 VLAN20 VLAN20 VLAN20标签报文 VLAN10标签报文 无标签报文 VLAN与二层交换 交换规则 主机和交换机之间传送的是untagged报文交换机之间用干道链路 Trunk 连接交换机用Tag来标识报文所属的VLAN干道链路上传输的是TaggedFrame不同VLAN之间在二层不能相互通讯 VLAN发展 VLAN与三层路由 不同VLAN之间是隔离一个VLAN原则上对应一个IP子网 PVLAN VLAN聚合除外 VLAN之间互通需要三层路由 VLAN与三层路由 三层交换机 每一个VLAN对应一个IP网段 在二层上 VLAN之间是隔离的 不同的IP网段之间的访问要跨越VLAN 可以使用三层转发引擎提供的VLAN间路由功能 三层转发引擎就相当于传统路由器的路由功能 当VLAN之间相互通信时也要 需要在三层交换引擎上分配一个路由虚接口 三层交换机上的路由虚接口与路由器的接口不同 不特定于某个物理端口 在三层交换机上为VLAN指定路由虚接口的操作就是为VLAN指定一个IP地址 子网掩码和MAC地址 MAC地址是由设备制造过程中分配的 在配置过程中由交换机自动配置 VLAN AccessLink和TrunkLink 接入链路 干道链路 帧在网络通信中的变化 VLAN2 VLAN1 VLAN1 VLAN2 带有VLAN1标签的以太网帧 带有VLAN2标签的以太网帧 不带VLAN标签的以太网帧 Trunk和VLAN VLAN1 VLAN2 VLAN1 VLAN3 VLAN2 VLAN1 VLAN5 VLAN5 VLAN2 VLAN5 广播报文发送 TrunkLink GVRP裁减 VLAN1 VLAN2 VLAN1 VLAN1 VLAN2 VLAN1 A B A B GVRP实体 GVRP实体 trunk trunk 由于对端只有VLAN1 GVRP协议配置该Trunk链路只传送VLAN1的报文 对端新增VLAN2 GVRP协议动态注册VLAN2信息 同时自动配置Trunk链路 允许Trunk链路传送VLAN1和VLAN2的报文 VLAN2 新增VLAN2的端口 PVLAN的引入 交换机上存在一个或多个primaryvlan和多个secondaryvlan 一个primaryvlan包含几个secondaryvlan 对于上层交换机只能见到primaryvlan 一个primaryvlan就是一个IP子网 即同一个primaryvlan中包含的所有secondaryvlan处在同一个子网中 节省了vlan资源 S3026 access access access access S2016A S2016B PVLAN的配置举例 S3526 e0 7 e0 8 e0 9 e0 9 e0 1 e0 2 e0 3 e0 4 VLAN1 VLAN2 VLAN3 VLAN5 S2008A S2008B VLAN4 VLAN6 VLAN的划分 VLAN1作为缺省VLAN保留 VLAN2 VLAN100用作对园区网络设备的管理VLAN VLAN101 VLAN200VPN用户预留 VLAN201 VLAN1000为作为使用了那些VLANID限制在1000以内的交换机设备的园区用户VLANID VLAN1001 3500作为VLANID可以不受限制使用到1000以上的园区用户的VLAN号 VLAN3501 3550用于汇接交换机下服务器网段 VLAN3551 3650用作汇接设备与专线用户互连 VLAN3651 4096可自定义用作其它业务 如VOD 语音等 如果大客户要保留自己的VLAN 则可采用QinQ技术 汇报提纲 网络知识基础TCP IP与子网规划VLAN技术基础路由协议基础IPVPN MPLSVPN 课程内容 路由及路由表静态路由及配置动态路由协议概述距离矢量路由协议概述路由环路问题RIP路由协议OSPF简介 什么是路由 路由是指导IP报文发送的路径信息 N R1 M R1 目标网络N 其它网络 显示路由表信息 Quidway displayiproutingRoutingTables Destination MaskprotoprefMetricNexthopInterface0 0 0 0 0Static600120 0 0 2Serial08 0 0 0 8RIP1003120 0 0 2Serial09 0 0 0 8OSPF105020 0 0 2Ethernet09 1 0 0 1RIP1004120 0 0 2Serial011 0 0 0 8Static600120 0 0 2Serial020 0 0 0 8Direct0020 0 0 1Ethernet020 0 0 1 32Direct00127 0 0 1LoopBack0 路由优先级 Preference 从优先级最高的协议获取的路由最先被优先选择加入路由表中 RIP OSPF 10 0 0 0R0 10 0 0 0R1 10 0 0 0 R1 路由表 路由的花费 Metric 路由的花费标示出了到达这条路由所指的目的地址的代价 通常以下因素会影响到路由的花费值 线路延迟 带宽 线路占有率 线路可信度 跳数 最大传输单元静态路由的花费值为0 不同的动态路由协议会选择以上的一种或几种因素来计算花费值 该花费值只在同一种路由协议内有比较意义 不同的路由协议之间的路由花费值没有可比性 也不存在换算关系 课程内容 路由及路由表静态路由及配置动态路由协议概述距离矢量路由协议概述路由环路问题RIP路由协议OSPF简介 静态路由配置 注意 只有下一跳所属的的接口是点对点 PPP HDLC 的接口时 才可以填写 否则必须填写 Quidway iproute static preference reject blackhole 静态路由的配置命令和命令模式 例如 iproute129 1 0 01610 0 0 2iproute129 1 0 0255 255 0 010 0 0 2iproute129 1 0 016Serial2 静态路由配置示例 129 1 0 0 16 E0 QuidwayB S0 QuidwayA 129 0 0 1 S0 在路由器QuidwayA上配置 iproute static129 1 0 0255 255 0 010 0 0 2或 iproute static129 1 0 01610 0 0 2或 iproute static129 1 0 016s0 129 0 0 2 缺省路由配置示例 QuidwayA 10 0 0 1 S0 10 0 0 2 S0 QuidwayB NetworkN PublicNetwork 在路由器QuidwayA上配置 iproute static0 0 0 00 0 0 010 0 0 2 Internet上大约99 99 的路由器上都存在一条缺省路由 缺省路由并不一定都是手工配置的静态路由 有时也可以由动态路由协议产生 路由自环 QuidwayA 10 0 0 1 S0 10 0 0 2 S0 QuidwayB NetworkN PublicNetwork 在路由器QuidwayA上配置 iproute static20 0 0 0810 0 0 2 路由自环 对网络的危害极大 应尽量避免 在路由器QuidwayB上配置 iproute static20 0 0 0810 0 0 1 课程内容 路由及路由表静态路由及配置动态路由协议概述距离矢量路由协议概述路由环路问题RIP路由协议OSPF简介 动态路由协议在协议栈中的位置 路由协议的基本原理 一 动态路由协议是做什么的计算路由的 计算本地路由器到网络中其它网段的路由 如何做到这一点每台路由器将自己已知的路由相关信息发给相邻的路由器 由于大家都这样做 最终每台路由器都会收到网络中所有的路由信息 然后运行某种算法 计算出最终的路由来 实际上需要计算的是该条路由的下一跳和花费 路由协议的基本原理 二 动态路由协议是做什么的 天王盖地虎 宝塔镇河妖 每种路由协议都有自己的语言 相应的路由协议报文 如果两台路由器都实现了某种路由协议并已经启动该协议 则具备了相互通信的基础 初次见面 请多关照 一台新加入的路由器应该主动把自己介绍给网段内的其它路由器 通过发送广播报文或发送给指定的路由器邻居来做到这一点 好久不见 近况如何 为了能够观察到某台路由器突然失败 路由器本身故障或连接线路中断 这种异常情况 规定两台路由器之间的协议报文应该周期性地发送 自治系统 AS 由同一机构管理 使用同一组选路策略的路由器的集合 IGP EGP 内部路由协议 IGP RIP 自治系统AS100 自治系统AS200 外部路由协议 EGP BGP OSPF IS IS 按寻径算法划分 距离矢量算法RIPBGP链路状态算法OSPFIS IS 路由协议之间的互操作 每种路由协议只能发布和学习自己协议已知的路由自己已知的路由是指 在某个接口上运行了该种路由协议 或者在路由表中的本路由协议发现的路由 如果需要知道其它的路由 需要进行引入 import route 操作最经常使用的是引入静态路由和直接路由 有时也需要引入其它路由协议的路由 引入路由的含义是指 在本路由器的路由表中查询 如果发现要引入的路由 如static 则作为自己已知的路由发布出去 衡量路由协议的一些性能指标 正确性能够正确找到最优的路由 且无自环 快收敛当网络的拓朴结构发生变化之后 能够迅速在自治系统中作相应的路由改变 低开销协议自身的开销 内存 CPU 网络带宽 最小 安全性协议自身不易受攻击 有安全机制 普适性适应各种拓朴结构和规模的网络 现有路由协议的性能比较 综合性能 有路由环路问题 无路由环路问题 RIP1 RIP2 BGP OSPF IS IS 课程内容 路由及路由表静态路由及配置动态路由协议概述距离矢量路由协议概述路由环路问题RIP路由协议OSPF简介 距离矢量算法 RoutingTable RoutingTable RoutingTable RoutingTable 路由信息 其它信息 A B C D 距离矢量协议路由发现 路由交换 R1 R2 R1 R2 距离矢量协议拓朴变化 拓朴变化引起路由表的更新 更新路由表 向路由器A传送更新的路由表 更新路由表 A B 课程内容 路由及路由表静态路由及配置动态路由协议概述距离矢量路由协议概述路由环路问题RIP路由协议OSPF简介 路由环路 E0 S0 S0 S1 S0 E0 11 1 0 0 11 2 0 0 11 3 0 0 11 4 0 0 A B C 定义一个最大值 E0 S0 S0 S1 S0 E0 11 1 0 0 11 2 0 0 11 3 0 0 11 4 0 0 如果 花费 为16 则认为该路由不可达 A B C 方案一 水平分割 E0 S0 S0 S1 S0 E0 11 1 0 0 11 2 0 0 11 3 0 0 11 4 0 0 NotsenttoB NotsenttoA NotsenttoC NotsenttoB NotsenttoA A B C 方案二 路由中毒和抑制时间 E0 S0 S0 S1 S0 E0 11 1 0 0 11 2 0 0 11 3 0 0 11 4 0 0 到达11 4 0 0的网络断了 抑制时间后更新 抑制时间后更新 A B C 方案三 触发更新 E0 S0 S0 S1 S0 E0 11 1 0 0 11 2 0 0 11 3 0 0 11 4 0 0 到达11 4 0 0的网络断了 到达11 4 0 0的网络断了 到达11 4 0 0的网络断了 A B C 在多路径情况下的解决方案 11 4 0 0 设定抑制时间 发送触发更新信息 A B C E D 课程内容 路由及路由表静态路由及配置动态路由协议概述距离矢量路由协议概述路由环路问题RIP路由协议OSPF简介 RIP协议概述 一 RIP是RoutingInformationProtocol 路由信息协议 的简称 RIP路由协议是距离矢量路由协议的一个具体实现 RIP协议适用于中小型网络 有RIP 1和RIP 2 RIP 2使用组播 224 0 0 9 发送 支持验证和VLSM RIP支持 水平分割 路由中毒和触发更新 RIP协议概述 二 RIP RIP路由表的初始化 NET1 NET2 Request Response R1 R2 RIP路由表的更新 路由更新 Response Response A B A B 课程内容 路由及路由表静态路由及配置动态路由协议概述距离矢量路由协议概述路由环路问题RIP路由协议OSPF简介 OSPF协议概述 可适应大规模网络路由变化收敛速度快无路由自环支持变长子网掩码VLSM支持等值路由支持区域划分提供路由分级管理支持验证支持以组播地址发送协议报文 OSPF协议的一些基本概念 RouterID一个32bit的无符号整数 是一台路由器的唯一标识 在整个自治系统内唯一 协议号OSPF的协议号是89 OSPF通过链路状态描述网络的拓朴结构 Ethernet X 25 FrameRelay PPP RTA RTB RTD RTC RTE RTF OSPF协议计算路由过程 一 网络的拓朴结构 四 每台路由器分别以自己为根节点计算最小生成树 三 由链路状态数据库得到的带权有向图 C A B D 1 2 3 5 RTC RTD 3 2 1 5 RTB RTA OSPF的五种协议报文 HELLO报文用来发现及维持邻居关系 选举DR BDR DD报文用来描述本地LSDB的情况 LSR报文向对端请求本端没有或对端更新的LSA LSU报文向对端路由器发送所需的LSA LSAck报文收到LSU之后 进行确认 OSPF划分区域 Area2 Area1 Area0 骨干区域与虚连接 Area19 Area12 Area0 RTB RTA VirtualLink 汇报提纲 网络知识基础TCP IP与子网规划VLAN技术基础路由协议基础IPVPN MPLSVPN VPN简介 利用公共网络来构建的私人专用网络称为VPN VirtualPrivateNetwork 能够用于构建VPN的公共网络包括Internet和服务提供商所提供的帧中继 ATM等 构建在这些公共网络上的VPN将象当前企业私有的网络一样提供安全性 可靠性和可管理性等 虚拟 的概念是相对传统私人专用网络的构建方式而言的 对于广域网连接 传统的组网方式是通过远程拨号和专线连接来实现的 而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接 通过上图所示 企业可以以明显更低的成本连接它们的远地办事机构 出差工作人员以及业务合作伙伴 VPN共分三类 1 AccessVPN适用于传统的远程访问2 IntranetVPN适用于企业内部的Intranet3 ExtranetVPN适用于企业和相关伙伴形成的Extranet VPN分类 按照业务用途 AccessVPN连接远程用户 小型分支机构拨号 xDSL Cable等方式接入IntranetVPN site to siteVPN 连接企业总部 分支机构等专线 以太网接入ExtranetVPN连接合作伙伴 客户等专线 以太网接入 企业VPNIntranet 企业互连 ExtranetInternet访问远程办公 Home Hotel 在线交易散户炒股电子商务 其它对安全敏感的业务跨域VPN与其他运营商的合作网络规模扩展的需要 综合VPN业务 企业内连网 Intranet 案例 企业A在北京 上海 深圳设有三个分部 希望建立自己的VPN 把各分部连接起来 同时通过北京分部访问Internet企业自己的网络维护能力较弱 希望运营商帮助维护其路由 方案 建立三个site 北京站点的VRF使用缺省路由及NAT访问Internet 企业A是一个大型的日用品供货商企业B是连锁超市 在市区有多个购物中心 它的日用品由企业A负责供货A和B都希望建立自己的Intranet 同时 为了方便超市随时了解供货商的库存情况 希望把A的库存部分网络资源与B共享 形成上 下游商家之间的Extranet 方案 企业A和企业B分别形成一个VPN 企业A的库存网络同时可以被两个VPN访问 企业外连网 Extranet ACCESSVPN PSTNISDN 窄带接入用户 宽带接入用户 XDSLCableVLAN 采用PPPoX GRE L2TP IPSec VLAN等方式接入VPN识别VPN后可以将Radius AAA DHCP请求导向VPN服务器或运营商服务器 运营商Radius AAA DHCP服务器 支持多个VPN 小型VPN托管服务 IP MPLS域 VPN内部Radius AAA DHCP服务器 大中型VPN使用 VPN网关 无线 GTP 无线 GRE L2TP GGSN A8010 可以以低廉的价格 提供类似专线的安全性和服务质量保证 从用户角度来看 该网络就是一个二层交换网络 用户可在网络不同站点之间建立二层连接 虚拟租用专线 VLL 网络隧道技术 1 定义 利用一种网络协议来传输另一种网络协议的技术 也是一种协议 好像把汽车承载在轮船上漂洋过海 2 主要涉及到三种网络协议 封装协议 隧道协议 隧道协议下面的运载协议 隧道协议所承载的旅客协议 隧道协议 1 二层隧道协议 主要用于传输二层的网络协议 构建AccessVPN 主要有VLAN 二层隧道协议 L2TP 等2 三层隧道协议 主要用于传输三层的网络协议 构建Internet和IntranetVPN通用路由封装 GRE IP层加密协议IPSec等 3 MPLS隧道协议 MPLS二 三层VPN等 VPN概念和基本技术 隧道包结构 隧道包括3种类型的协议 以L2TPVPN为例 旅客协议 被封装的协议 可以是PPP SLIP等等 封装协议 用来创建 维护和拆除隧道 如 L2TP 运载协议 用来承载封装协议 如 IP UDP PPP IP UDP L2TP MAC IP VPN分类 按照网络层次 一层VPNVPN站点通过物理层互连二层 三层独立二层VPNVPN站点通过链路层互连三层独立三层VPNVPN站点通过IP层互连二层独立 传统二 三层VPN介绍 L2TP Layer2TunnelProtocol 的消息分两类 1 控制 隧道连接与会话连接的建立与维护 2 数据 承载用户的PPP会话数据包 L2TP 二层隧道技术 LAC L2TPAccessConcentrator 网络接入服务器有PPP端系统和L2TP处理能力 隧道 Tunnel 连接 会话 Session 连接 表示承载在每个隧道连接之上的PPP会话过程 1 控制消息中有丢失重传和定时检测机制 消息通过UDP某端口承载于IP之上2 数据消息无重传机制 但可通过TCP等得到保证 定义了LNS和LAC对 LNS L2TPNetworkServer L2TP网络服务器 PPP端系统上处理L2TP协议服务器端部分的软件 L2TP技术特点 1 身份验证机制灵活 高度安全性 有多种身份验证机制 CHAP PAP等协议 继承了PPP的所有安全性 还可对隧道端点进行验证 可在L2TP之上进行隧道加密 端到端数据加密或应用层数据加密等 2 内部地址分配 LNS置于企业网的防火墙之后 对远端用户的地址进行动态分配和管理 支持DHCP和私有地址应用 RFC1918 方案 远端用户分配的地址是内部的私有地址 3 计费灵活 可在LAC和LNS两处同时计费 即ISP处 用于产生帐单 及企业处 用于付费及审记 L2TP能够提供数据传输的出入包数 字节数及连接的起始 结束时间等计费数据 可以根据这些数据方便地进行网络计费 4 统一网管 L2TP协议将成为标准的RFC协议 有关L2TP的标准MIB也将很快地得到制定 这样可以统一地采用SNMP网管方案进行网络维护与管理 L2TPVPN NAS发起方式 LAN 企业总部 LAC LNS NAS VPN网关 远程办公人员 IP网络 用户使用帐号拨入ISP NAS发起L2TP隧道到企业VPN网关 L2TP隧道 隧道 PSTN ISDNInternet 1 可以提供丰富的业务类型 2 可以获得更高的安全保密特性 3 运营商可以对全网VPDN业务情况进行监控和分析 便于进一步优化网络 同时在NAS侧可以对VPDN业务情况进行统计和分析 并且可以为企业提供计费代理 4 对于用户更方便 5 可以基于VPDN技术开展虚拟ISP端口批发业务 PSTN ISDNInternet LAN 企业总部 LAC LNS NAS VPN网关 IP网络 L2TP隧道 公司内部AAA服务器 服务号码接入方式 1 16333拨入 2 拨入号码16333 3 LNSIP地址隧道口令等 4 建立隧道 6 VPN用户访问内部资源 5 企业AAA验证PPP用户 VPNUser口令 Password PSTN ISDNInternet LAN 企业总部 LAC LNS NAS VPN网关 IP网络 L2TP隧道 公司内部AAA服务器 专用帐号接入方式 1 163拨入 用户 Huawei密码 Password1 2 用户 密码 3 LNSIP地址隧道口令等 4 建立隧道 6 VPN用户访问内部资源 5 企业AAA验证PPP用户 VPNUser口令 Password2 GRE 三层隧道技术 通用路由封装 GenericRoutingEncapsulation GRE DeliveryHeader transportProtocol GREHeader EncapsulationProtocol PayloadPacket PassengerProtocol 1 系统接收到一个IP数据报2 首先被GRE封装 称为GRE报文3 再接着被封装在IP协议中4 由IP层负责此报文的向前传输 GRE封装数据包的过程 1 多协议的本地网通过单一协议的骨干网传输2 将不能连续的子网连接起来3 扩大了网络的工作范围 包括那些路由网关有限的协议 如IPX包最多可以转发16次 既经过16个路由器 而在一个Tunnel连接中看上去只经过一个路由器 GREVPN IP网络 VPN网关 VPN网关 总部 VPN网关 GRE隧道 GRE隧道 分支机构 分支机构 原始数据包 IP头 GRE头 IP IPX头 IPSec 三层隧道技术 网络安全协议 AuthenticaitonHead AH EncapsulatingSecurityPayload ESP 密钥管理协议 InternetKeyExchange IKE 和一些用于网络验证及加密的算法 IPSec定义了两个新的数据包头增加到IP包 AH插到IP包头后面 保证数据包的完整和真实 防止黑客截断数据包或向网络中插入伪造的数据包 采用哈希算法来对数据包进行保护 AH不对用户数据加密 ESP将需要保护的用户数据进行加密后再封装到IP包中 ESP可以保证数据的完整性 真实性和私有性 机理 方式 组成 隧道方式 整个IP数据包用来计算ESP 且被加密 然后一起封装成为新的IP包传送方式 只是传输层数据用来计算ESP ESP和被加密数据被放在IP包头后 IPSec 三层隧道技术 私有性IPsec在传输数据包之前将其加密 以保证数据的私有性 完整性Ipsec在目的地验证数据包 以保证在传输过程未被替换 真实性IPsec端要验证所有受IPsec保护的数据包 反重复 IPsec防止数据包被捕捉并重新投放网上 即目的地会拒绝老的或重复的数据包 它通过与AH或ESP一起工作的序列号实现 对等层之间 选择安全协议 确定安全算法和密钥交换向上层 提供访问控制 数据源验证 数据加密等网络安全服务 作用 特点 IKE的概念 IKE定义了通信实体间的身份认证 协商加密算法以及生成共享的会话密钥的方法 IPSec本身并没有提供在通信实体间建立安全相关的方法 IPSecVPN 加密 Trailer Auth 新IP头 ESP IP头 Data IP网络 VPN网关 VPN网关 总部 VPN网关 IPSec隧道 IPSec隧道 分支机构 分支机构 MPLSVPN介绍 MPLS技术介绍 简介标签与标签栈标签分配标签转发MPLSVPN MPLS MPLS Multi ProtocolLabelSwitchingMulti Protocol 支持多种三层协议 如IP IPv6 IPX SNA等LabelSwitching 给报文打上标签 以标签交换取代IP转发 结合了IP和ATM的优点 面向无连接的控制平面 面向无连接的转发平面 IP 面向连接的控制平面 面向连接的转发平面 ATM 面向无连接的控制平面 面向连接的转发平面 MPLS 曲折的发展过程 以短的 固定长度的标记代替IP头作为转发依据 提高转发速度 ASIC NP大量使用 转发不再是网络瓶颈 增殖业务的出现 使MPLS重新焕发生命力 VPN流量工程QOS MPLS技术介绍 简介标签与标签栈标签分配标签转发MPLSVPN MPLS的封装格式 MPLS的封装格式 标签栈 理论上 标记栈可以无限嵌套 从而提供无限的业务支持能力 这是MPLS技术最大的魅力所在 MPLS技术介绍 简介标签与标签栈标签分配标签转发MPLSVPN MPLS基本概念 LSR LabelSwitchRouterLER LabelEdgeRouterLSP LabelSwitchPath MPLS边缘路由器 LER 标记交换路径 LSP MPLS核心路由器 LSR Ingress Egress LSP的建立 MPLS信令协议 用于在LSR之间分配标签 建立LSP LDPCR LDPRSVP TEMP BGPPIM MPLS技术介绍 简介标签与标签栈标签分配标签转发MPLSVPN 传统IP转发 分析IP头查路由表映射到下一跳 分析IP头查路由表映射到下一跳 分析IP头查路由表映射到下一跳 每一跳分析IP头 效率低QoS难于部署 而且效率低所有路由器都要知道整个网络的所有路由 标签转发 分析IP头查找路由表增加MPLS头 标签交换 只在入口节点分析IP头 中间节点使用标签交换 效率高QoS易于部署 效率高LSR只需知道MPLS域内部路由 无需了解外部路由LSP面向连接 流量工程易于实现 分析IP头查路由表映射到下一跳 标签交换倒数第二跳去掉MPLS标签 入口LER LSR LSR 出口LER MPLS技术介绍 简介标签与标签栈标签分配标签转发MPLSVPN SITE 一个接入VPN的用户网络单元 相互之间不通过骨干网不具有连通性 VRF VirtualRoutingForwardingInstance 包含了同一个site相关的路由表 转发表 接口 子接口 路由实例以及路由策略等 RD RouteDistinguish 用来唯一的描述一个VRF 和IPv4一起构成地址 VPN IPv4地址 12字节数字 包括8字节的RD和4字节的IPv4地址 用于在MP BGP中表示VPN路由 目的 如果有两个VPN使用了同一个IP地址 VPN IPv4地址可以允许一个PE安装两条不同的路由到这一个相同的地址 P ProviderRouter 骨干网核心路由器 负责MPLS转发 要求具有基本的MPLS转发能力 相关术语 PE ProviderEdgeRouter MPLS域边缘路由器 存储 处理VPN IPv4路由 是MPLSVPN的主要实现者CE CustomEdgeRouter 用户网边缘路由器 分布用户网络路由RR RouteReflector BGP路由反射器 解决IBGP全连接问题 提高系统可扩展性ASBR自治系统边界路由器 当实现跨自治系统的VPN时 同其它自治系统交换VPN路由MP BGP 多协议扩展BGP 承载携带标签的VPN IPv4路由 在骨干网内或骨干网之间分布路由和VPN成员信息LDP 在PE之间建立LSP 经过P路由器 所有PE和P路由器均需要支持 相关术语 业界MPLSVPN技术动态 三层VPN MPLSBGPVPN二层MPLSL2VPNMartini方式 基于LDP扩展的L2VPNKompella方式 基于BGP扩展的L2VPNMPLS隧道透传 CCC Circuit CrossConnect VPLS 虚拟LAN服务 VPLS MPLS网络 B公司总部 PE MPLS隧道 LSP MPLS隧道 LSP PE MPLS隧道 LSP A公司分支机构1 A公司分支机构2 A公司总部 B公司分支机构1 B公司分支机构2 外层标签 VPN标签 IP头 数据 MP BGP发布VPN路由和标签 PE MPLSBGPVPN MPLSBGPVPN MPLSBGPVPN工作过程 MPLSVPN实现原理 MPLSVPN模型 Route target 一个8字节的数 用于确定两个site之间是否需要 是否能够交换路由importroute targetlist 输入route target列表 包含多个route target 用于与收到的路由匹配 确定这些路由是否要加到本site的VRF中exportroute targetlist 输出route target列表 包含多个route target 在发送的路由中携带 通过import和exportroute target的组合 可以构造出各种组网方式 关于RouteTarget Hub Spoke组网 import 100 1export 200 1 import 200 1export 100 1 import 200 1export 100 1 import 200 1export 100 1 import 100 1 100 2export 100 1 100 2 import 100 1export 100 1 import 100 2export 100 2 Extranet组网 RouteTarget与组网方式 MPLSL2VPN MP