数据通信技术基础知识

华为3Com公司深圳办事处产品经理李博2005.12,数据通信技术基础知识,汇报提纲,网络知识基础TCP/IP与子网规划VLAN技术基础路由协议基础IPVPN/MPLSVPN,网络的演进,Host,WAN,简单连接1960s1970s,基于网络的连接1970s1980s,网络互联1980s,通信协议,网络协议是网络设备之间通信规则的正式描述。,5,4,3,2,1,5,4,3,2,1,TCP/IP协议栈,SourceHostA,DestinationHostB,好啊！我刚好也懂TCP/IP。,请问可以用TCP/IP和你通信吗?,TCP/IP协议栈,LAN定义,LAN定义：通常指几公里以内的，可以通过某种介质互联的计算机、打印机、modem或其他设备的集合。特点：距离短、延迟小、数据速率高、传输可靠。标准(standard)：描述了通信协议的规定，设定了最简的性能集。,LAN常用设备,LAN的设计目标：运行在有限的地理区域；允许同时访问高带宽的介质；通过局部管理控制网络的私有权利；提供全时的局部服务；联接物理相临的设备。,HUB,交换机,路由器,ATM交换机,广域网定义及分类,WAN定义：在大范围区域内提供数据通信服务，主要用于互连局域网。WAN分类：共用电话网：PSTN综合业务数字网：ISDN数字数据网：DDNX.25共用分组交换网帧中继：FrameRelay异步传输模式：ATM,WAN交换模式,电路交换：基于电话网的电路交换优点：时延小、透明传输；缺点：带宽固定，网络资源利用率低。分组交换：以分组为单位存储转发优点：多路复用，网络资源利用率高；缺点：实时性差。,WAN常用设备,WAN的设计目标：运行在广阔的地理区域；通过低速串行链路进行访问；网络控制服从公共服务的规则；提供全时的或部分时间的联接性；联接物理上分离的、遥远的、甚至全球的设备。,Modem/CSU/DSU,路由器,广域网交换机,接入服务器,带宽和延迟,带宽定义：描述网络上数据在一定时刻从一个节点传送到任意节点的信息量。以太网带宽：10M、100M、1000M等。广域网各类服务带宽。延迟：节点间数据传送时间。,常见网络拓朴结构,拓扑结构：总线、星型、树型环型、网型,标准化组织,国际标准化组织(ISO)电子电器工程师协会(IEEE)美国国家标准局(ANSI)电子工业协会(EIA/TIA)国际电信联盟(ITU)INTERNET架构委员会(IAB),OSI七层模型,分层有什么好处？,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,1,2,3,4,5,6,7,底层:负责网络数据传输,高层:负责主机之间的数据传输,七层功能,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,1,2,3,4,5,6,7,提供应用程序间通信,处理数据格式、数据加密等,建立、维护和管理会话,建立主机端到端连接,寻址和路由选择,提供介质访问、链路管理等,比特流传输,对等通信,每一层利用下一层提供的服务与对等层通信；每一层使用自己的协议。,HostA,HostB,APDU,PPDU,SPDU,Segment,Packet,Frame,Bit,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,数据封装,数据封装和解封装过程。,Data,Data,H,Data,H,H,主机,服务器,交换机,路由器,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,Data,Data,H,Data,H,H,汇报提纲,网络知识基础TCP/IP与子网规划VLAN技术基础路由协议基础IPVPN/MPLSVPN,TCP/IP协议和OSI参考模型,TCP/IP协议栈具有简单的分层设计，与OSI参考模型有清晰的对应关系。,OSI参考模型,TCP/IP,TCP/IP协议栈,应用层,传输层,网络层,数据链路层,提供应用程序网络接口,建立端到端连接,寻址和路由选择,物理介质访问,二进制数据流传输,物理层,TCP/IP协议数据封装,应用层,文件传输FTP、TFTP邮件服务SMTP、POP3网络管理SNMP、Telnet、Ping、Tracert网络服务HTTP、DNS、WINS,传输层协议概述,传输层,传输层功能：分段上层数据；建立端到端连接；将数据从一端主机传送到另一端主机；保证数据按序、可靠、正确传输。传输层协议：主要有TCP/IP协议栈的TCP协议和UDP协议，IPX/SPX协议栈的SPX协议等。,端到端通信,传输虚电路,Host,WWW.HUAWEI.COM,FTP.HUAWEI.COM,应用数据,WWW,FTP,传输数据包,21,1028,80,1027,Data,Data,TCP/UDP报文格式,端口号,传输层协议用端口号来标识和区分各种上层应用程序。,80,20/21,23,25,53,69,161,流量控制,流量控制的三种方式：缓存技术：突发缓存，空闲发送。源抑制报文：利用ICMP协议向源端发送sourcequench报文。窗口机制：报文中包含窗口字段，用于控制源端一次发送数据的多少。,确认技术,传输虚电路,Host,源,目的,Send1,2,3,Acknowledge4,Send4,5,6,Acknowledge4,Send4,5,6,TCP连接,滑动窗口,需要修改窗口大小,发送数据太快了！,len1024,win4096,len1024,win4096,ack6145,win2048,网络层协议概述,网络接入层,应用层,传输层,网络层,IP,ARP,RARP,ICMP,网络地址,网络层地址由两部分地址组成：网络层地址和主机地址。网络层地址是全局唯一的。,IP地址,IPX地址,网络地址,主机地址,10.,8.2.48,网络地址,主机地址,1aceb0b1.,0000.0c00.6e25,路由协议与可路由协议,可路由协议：IP、IPX路由协议：RIP、OSPF、BGP等,N2,N1,N1.H1,N1.H2,N2.H1,面向连接和无连接的服务,面向连接的服务：适合延迟敏感性应用建立连接数据传输断开连接无连接的服务：适合延迟不敏感的应用无需建立连接资源动态分配,网络层协议操作,网络层,数据链路层,物理层,网络层,数据链路层,物理层,网络层,数据链路层,物理层,网络层,数据链路层,物理层,表示层,会话层,传输层,应用层,A,B,C,D,E,RouterA,RouterB,RouterC,IP报文格式,ARP地址解析协议,需要的MAC地址？,IP:/24MAC:00-E0-FC-00-00-11,IP:/24MAC:00-E0-FC-00-00-12,ARPRequest?,对应的MAC：00-E0-FC-00-00-12,RARP反向地址解析协议,我的IP地址是什么？,无盘工作站,RARPServer,RARPRequest?,你的IP地址是,ICMP协议,B可达吗？,ICMPEchoRequest,我在。,A,B,数据链路层,数据链路层分为2个子层：LLC子层和MAC子层。数据链路层的功能：物理地址定义网络拓扑结构链路参数差错验证物理介质访问流控制(可选),MAC/物理地址,MAC地址有48位，华为产品前3个字节是0 x00E0FC。,00e0.fc01.2345,厂商编号,序列号,24bits,24bits,00e0.fc01.2345,Rom,Ram,LAN与数据链路层,IEEE802标准：当今最为流行的LAN标准IEEE802.1基本局域网问题IEEE802.2定义LLC子层IEEE802.3以太网标准IEEE802.4令牌总线网IEEE802.5令牌环网以太网交换机,WAN与数据链路层,WAN数据链路层标准：HDLCPPPISDNX.25FrameRelayWAN数据链路层设备：Modem、ISDN终端适配器CSU/DSU、广域网交换机,物理层,物理层：定义电压、接口、线缆标准、传输距离等。物理层线缆：同轴电缆(coaxicalcable)：细缆和粗缆双绞线(twistedpair)：UTP、STP光纤(fibre)无线电波(wirelessradio)：无线局域网WLAN,物理层,局域网与物理层线缆标准：10Base-T、100Base-T、100Base-TX/FX、1000Base-T、1000Base-SX/LX；网络设备：中继器、集线器等。广域网与物理层DTE设备：路由器、终端主机等；DCE设备：广域网交换机、Modem、CSU/DSU等；常见接口：RS-232、V.24、V.35等。,IP地址介绍,IP地址唯一标示一台网络设备私有IP地址,IP地址分类,特殊IP地址,无子网编址,无子网编址是指使用自然掩码，不对网段进行细分。比如B类网段，采用作为掩码。,带子网编址,B类网段,，,，,子网规划,,,,48,6,48,4,48,2,48,,48,7,48,5,48,3,48,B类子网规划实例,C类子网规划实例,变长子网掩码(VLSM),2/27,4/27,6/27,28/27,60/30,64/30,68/30,72/30,ISP,通告,无类域间路由(CIDR),CIDR减少了路由表的规模，增了网络的可扩展性。,连续性:IP地址分配要尽量给每个地市城域网分配连续的IP地址空间；在每个地市城域网中，相同的业务和功能尽量分配连续的IP地址空间，有利于路由聚合以及安全控制；灵活性:IP地址的分配需要有足够的灵活性，能够满足各种用户接入如小区用户、专线用户等的需要；扩展性:地址分配是由业务驱动，按照业务量的大小分配各地的地址段；合理性:IP地址的分配必须采用VLSM(变长掩码)技术，保证IP地址的利用效率；采用CIDR技术，这样可以减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小；,IP地址规划原则,尽量给每个地市分配连续的IP地址空间，还要为将来的网络扩展预留一定的地址空间，有利于路由聚合；在每个地市网中，相同的业务和功能尽量分配连续的IP地址空间；只限于省/市内开放的业务，可以使用私有IP地址；在汇聚层提供网络地址转换NAT功能，支持公私网地址混合编址；网络地址/管理地址:设备loopback地址、设备互连地址等尽量采用公网地址；企业等大客户:内部网IP地址私有，由企业自己规划，出企业时作NAT，出口处用公网地址，采用混合IP地址方案，避免企业流量作二次NAT；若地址资源允许，也可以考虑给企业等大客户出口直接分配公网地址。小区用户:分配私网地址，连续，可预留；校园用户:分配私网地址，连续，可预留；,IP地址规划建议,汇报提纲,网络知识基础TCP/IP与子网规划VLAN技术基础路由协议基础IPVPN/MPLSVPN,传统HUB的工作过程,我是土豆地瓜请回话,土豆，土豆我是地瓜,传统HUB的冲突域与广播域,冲突域,广播域,传统Switch的工作过程,我是土豆地瓜请回话,土豆，土豆我是地瓜,哦，1口连的设备叫土豆,4口连的设备叫地瓜，它要找土豆，而1口连的设备叫土豆，OK！,传统Switch的冲突域与广播域,冲突域,广播域,VLAN发展-起源,L2,L2,L2,L2,广播域,广播报文,VLAN发展-起源,L2,L2,L2,L2,广播域,广播报文,使用路由器隔离广播域，减少广播报文对网络的影响,VLAN发展-起源,L2,L2,L2,L2,广播报文,VLAN的引入，为解决广播报文的泛滥提供了新的方法,VLAN2,VLAN3,VLAN4,一个VLAN，一个广播域,VLAN发展-VLAN的优点,限制广播域，抑制广播报文隔离用户，保证网络安全虚拟工作组，超越传统网络的工作组方式,VLAN发展-划分方法,基于MAC地址基于交换机端口基于协议基于IP子网,VLAN发展-VLAN的标准,IEEE802.1Q成为业界的VLAN的标准,VLAN发展-VLAN与二层交换,MAC,端口,VLAN,一个交换机内的VLAN报文转发,VLAN与二层交换-链路类型,干道链路,接入链路,跨越交换机的VLAN报文转发,Trunk端口,Trunk端口,Access端口,Access端口,VLAN与二层交换-标签化的报文,VLAN10,VLAN10,VLAN20,VLAN20,VLAN20标签报文,VLAN10标签报文,无标签报文,VLAN与二层交换-交换规则,主机和交换机之间传送的是untagged报文交换机之间用干道链路(Trunk)连接交换机用Tag来标识报文所属的VLAN干道链路上传输的是TaggedFrame不同VLAN之间在二层不能相互通讯,VLAN发展-VLAN与三层路由,不同VLAN之间是隔离一个VLAN原则上对应一个IP子网(PVLAN，VLAN聚合除外)VLAN之间互通需要三层路由,VLAN与三层路由-三层交换机,+,=,每一个VLAN对应一个IP网段，在二层上，VLAN之间是隔离的。不同的IP网段之间的访问要跨越VLAN，可以使用三层转发引擎提供的VLAN间路由功能。三层转发引擎就相当于传统路由器的路由功能，当VLAN之间相互通信时也要，需要在三层交换引擎上分配一个路由虚接口，三层交换机上的路由虚接口与路由器的接口不同，不特定于某个物理端口。在三层交换机上为VLAN指定路由虚接口的操作就是为VLAN指定一个IP地址、子网掩码和MAC地址，MAC地址是由设备制造过程中分配的，在配置过程中由交换机自动配置。,+,VLAN,AccessLink和TrunkLink,接入链路,干道链路,帧在网络通信中的变化,VLAN2,VLAN1,VLAN1,VLAN2,带有VLAN1标签的以太网帧,带有VLAN2标签的以太网帧,不带VLAN标签的以太网帧,Trunk和VLAN,VLAN1,VLAN2,VLAN1,VLAN3,VLAN2,VLAN1,VLAN5,VLAN5,VLAN2,VLAN5,广播报文发送,TrunkLink,GVRP裁减,VLAN1,VLAN2,VLAN1,VLAN1,VLAN2,VLAN1,A,B,A,B,GVRP实体,GVRP实体,trunk,trunk,由于对端只有VLAN1，GVRP协议配置该Trunk链路只传送VLAN1的报文,对端新增VLAN2，GVRP协议动态注册VLAN2信息，同时自动配置Trunk链路，允许Trunk链路传送VLAN1和VLAN2的报文,VLAN2,新增VLAN2的端口,PVLAN的引入,交换机上存在一个或多个primaryvlan和多个secondaryvlan。一个primaryvlan包含几个secondaryvlan，对于上层交换机只能见到primaryvlan。一个primaryvlan就是一个IP子网，即同一个primaryvlan中包含的所有secondaryvlan处在同一个子网中，节省了vlan资源。,S3026,access,access,access,access,S2016A,S2016B,PVLAN的配置举例,S3526,e0/7,e0/8,e0/9,e0/9,e0/1,e0/2,e0/3,e0/4,VLAN1,VLAN2,VLAN3,VLAN5,S2008A,S2008B,VLAN4,VLAN6,VLAN的划分,VLAN1作为缺省VLAN保留，VLAN2VLAN100用作对园区网络设备的管理VLAN；VLAN101VLAN200VPN用户预留；VLAN201VLAN1000为作为使用了那些VLANID限制在1000以内的交换机设备的园区用户VLANID；VLAN10013500作为VLANID可以不受限制使用到1000以上的园区用户的VLAN号；VLAN3501-3550用于汇接交换机下服务器网段；VLAN35513650用作汇接设备与专线用户互连；VLAN36514096可自定义用作其它业务，如VOD、语音等；,如果大客户要保留自己的VLAN，则可采用QinQ技术。,汇报提纲,网络知识基础TCP/IP与子网规划VLAN技术基础路由协议基础IPVPN/MPLSVPN,课程内容,路由及路由表静态路由及配置动态路由协议概述距离矢量路由协议概述路由环路问题RIP路由协议OSPF简介,什么是路由？,路由是指导IP报文发送的路径信息。,(N,R1,M),R1,目标网络N,其它网络,显示路由表信息,QuidwaydisplayiproutingRoutingTables:Destination/MaskprotoprefMetricNexthopInterface/0Static600Serial0/8RIP1003Serial0/8OSPF1050Ethernet0/1RIP1004Serial0/8Static600Serial0/8Direct00Ethernet0/32Direct00LoopBack0.,路由优先级(Preference),从优先级最高的协议获取的路由最先被优先选择加入路由表中。,RIP,OSPF,R0,R1,,R1,路由表,路由的花费(Metric),路由的花费标示出了到达这条路由所指的目的地址的代价，通常以下因素会影响到路由的花费值。线路延迟、带宽、线路占有率、线路可信度、跳数、最大传输单元静态路由的花费值为0。不同的动态路由协议会选择以上的一种或几种因素来计算花费值。该花费值只在同一种路由协议内有比较意义。不同的路由协议之间的路由花费值没有可比性，也不存在换算关系。,课程内容,路由及路由表静态路由及配置动态路由协议概述距离矢量路由协议概述路由环路问题RIP路由协议OSPF简介,静态路由配置,注意：只有下一跳所属的的接口是点对点(PPP、HDLC)的接口时，才可以填写，否则必须填写。,Quidwayiproute-static|preferencereject|blackhole,静态路由的配置命令和命令模式,例如：,iproute16iprouteiproute16Serial2,静态路由配置示例,/16,E0,QuidwayB,S0,QuidwayA,,S0,在路由器QuidwayA上配置：iproute-static或：iproute-static16或：iproute-static16s0,,缺省路由配置示例,QuidwayA,,S0,,S0,QuidwayB,NetworkN,PublicNetwork,在路由器QuidwayA上配置：iproute-static,Internet上大约99.99%的路由器上都存在一条缺省路由!缺省路由并不一定都是手工配置的静态路由，有时也可以由动态路由协议产生。,路由自环,QuidwayA,,S0,,S0,QuidwayB,NetworkN,PublicNetwork,在路由器QuidwayA上配置：iproute-static8,“路由自环”对网络的危害极大，应尽量避免。,在路由器QuidwayB上配置：iproute-static8,课程内容,路由及路由表静态路由及配置动态路由协议概述距离矢量路由协议概述路由环路问题RIP路由协议OSPF简介,动态路由协议在协议栈中的位置,路由协议的基本原理(一),动态路由协议是做什么的计算路由的计算本地路由器到网络中其它网段的路由如何做到这一点每台路由器将自己已知的路由相关信息发给相邻的路由器，由于大家都这样做，最终每台路由器都会收到网络中所有的路由信息然后运行某种算法，计算出最终的路由来(实际上需要计算的是该条路由的下一跳和花费),路由协议的基本原理(二),动态路由协议是做什么的“天王盖地虎”“宝塔镇河妖”每种路由协议都有自己的语言(相应的路由协议报文)，如果两台路由器都实现了某种路由协议并已经启动该协议，则具备了相互通信的基础“初次见面，请多关照”一台新加入的路由器应该主动把自己介绍给网段内的其它路由器通过发送广播报文或发送给指定的路由器邻居来做到这一点“好久不见，近况如何”为了能够观察到某台路由器突然失败(路由器本身故障或连接线路中断)这种异常情况，规定两台路由器之间的协议报文应该周期性地发送,自治系统(AS),由同一机构管理，使用同一组选路策略的路由器的集合。,IGP&EGP,内部路由协议(IGP),RIP,自治系统AS100,自治系统AS200,外部路由协议(EGP),BGP,OSPF,IS-IS,。,按寻径算法划分,距离矢量算法RIPBGP链路状态算法OSPFIS-IS,路由协议之间的互操作,每种路由协议只能发布和学习自己协议已知的路由自己已知的路由是指：在某个接口上运行了该种路由协议，或者在路由表中的本路由协议发现的路由。如果需要知道其它的路由，需要进行引入(import-route)操作最经常使用的是引入静态路由和直接路由。有时也需要引入其它路由协议的路由。引入路由的含义是指：在本路由器的路由表中查询，如果发现要引入的路由(如static)，则作为自己已知的路由发布出去。,衡量路由协议的一些性能指标,正确性能够正确找到最优的路由，且无自环。快收敛当网络的拓朴结构发生变化之后，能够迅速在自治系统中作相应的路由改变。低开销协议自身的开销(内存、CPU、网络带宽)最小。安全性协议自身不易受攻击，有安全机制。普适性适应各种拓朴结构和规模的网络。,现有路由协议的性能比较,综合性能,有路由环路问题,无路由环路问题,RIP1,RIP2,BGP,OSPF,IS-IS,课程内容,路由及路由表静态路由及配置动态路由协议概述距离矢量路由协议概述路由环路问题RIP路由协议OSPF简介,距离矢量算法,RoutingTable,RoutingTable,RoutingTable,RoutingTable,-,-,-,-,路由信息,其它信息,A,B,C,D,距离矢量协议路由发现,路由交换,R1,R2,R1,R2,距离矢量协议拓朴变化,拓朴变化引起路由表的更新,更新路由表,向路由器A传送更新的路由表,更新路由表,A,B,课程内容,路由及路由表静态路由及配置动态路由协议概述距离矢量路由协议概述路由环路问题RIP路由协议OSPF简介,路由环路,E0,S0,S0,S1,S0,E0,,,,,A,B,C,定义一个最大值,E0,S0,S0,S1,S0,E0,,,,,如果“花费”为16，则认为该路由不可达。,A,B,C,方案一：水平分割,E0,S0,S0,S1,S0,E0,,,,,NotsenttoB,NotsenttoA,NotsenttoC,NotsenttoB,NotsenttoA,A,B,C,方案二：路由中毒和抑制时间,E0,S0,S0,S1,S0,E0,,,,,到达的网络断了,抑制时间后更新,抑制时间后更新,A,B,C,方案三：触发更新,E0,S0,S0,S1,S0,E0,,,,,到达的网络断了,到达的网络断了,到达的网络断了,A,B,C,在多路径情况下的解决方案,,设定抑制时间,发送触发更新信息,A,B,C,E,D,课程内容,路由及路由表静态路由及配置动态路由协议概述距离矢量路由协议概述路由环路问题RIP路由协议OSPF简介,RIP协议概述(一),RIP是RoutingInformationProtocol(路由信息协议)的简称。RIP路由协议是距离矢量路由协议的一个具体实现。RIP协议适用于中小型网络，有RIP-1和RIP-2。RIP-2使用组播()发送，支持验证和VLSM。RIP支持：水平分割、路由中毒和触发更新。,RIP协议概述(二),RIP,RIP路由表的初始化,NET1,NET2,Request,Response,R1,R2,RIP路由表的更新,路由更新,Response,Response,A,B,A,B,课程内容,路由及路由表静态路由及配置动态路由协议概述距离矢量路由协议概述路由环路问题RIP路由协议OSPF简介,OSPF协议概述,可适应大规模网络路由变化收敛速度快无路由自环支持变长子网掩码VLSM支持等值路由支持区域划分提供路由分级管理支持验证支持以组播地址发送协议报文,OSPF协议的一些基本概念,RouterID一个32bit的无符号整数，是一台路由器的唯一标识，在整个自治系统内唯一。协议号OSPF的协议号是89。,OSPF通过链路状态描述网络的拓朴结构,Ethernet,X.25,FrameRelay,PPP,RTA,RTB,RTD,RTC,RTE,RTF,OSPF协议计算路由过程,(一)网络的拓朴结构,(四)每台路由器分别以自己为根节点计算最小生成树,(三)由链路状态数据库得到的带权有向图,C,A,B,D,1,2,3,5,RTC,RTD,3,2,1,5,RTB,RTA,OSPF的五种协议报文,HELLO报文用来发现及维持邻居关系，选举DR、BDR。DD报文用来描述本地LSDB的情况。LSR报文向对端请求本端没有或对端更新的LSA。LSU报文向对端路由器发送所需的LSA。LSAck报文收到LSU之后，进行确认。,OSPF划分区域,Area2,Area1,Area0,骨干区域与虚连接,Area19,Area12,Area0,RTB,RTA,VirtualLink,汇报提纲,网络知识基础TCP/IP与子网规划VLAN技术基础路由协议基础IPVPN/MPLSVPN,VPN简介,利用公共网络来构建的私人专用网络称为VPN(VirtualPrivateNetwork)。能够用于构建VPN的公共网络包括Internet和服务提供商所提供的帧中继、ATM等，构建在这些公共网络上的VPN将象当前企业私有的网络一样提供安全性、可靠性和可管理性等。“虚拟”的概念是相对传统私人专用网络的构建方式而言的，对于广域网连接，传统的组网方式是通过远程拨号和专线连接来实现的，而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。通过上图所示，企业可以以明显更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴。,VPN共分三类：1、AccessVPN适用于传统的远程访问2、IntranetVPN适用于企业内部的Intranet3、ExtranetVPN适用于企业和相关伙伴形成的Extranet,VPN分类按照业务用途,AccessVPN连接远程用户、小型分支机构拨号、xDSL、Cable等方式接入IntranetVPN(site-to-siteVPN)连接企业总部、分支机构等专线、以太网接入ExtranetVPN连接合作伙伴、客户等专线、以太网接入,企业VPNIntranet(企业互连)ExtranetInternet访问远程办公(Home、Hotel)在线交易散户炒股电子商务、其它对安全敏感的业务跨域VPN与其他运营商的合作网络规模扩展的需要,综合VPN业务,企业内连网Intranet,案例：企业A在北京、上海、深圳设有三个分部，希望建立自己的VPN，把各分部连接起来，同时通过北京分部访问Internet企业自己的网络维护能力较弱，希望运营商帮助维护其路由,方案：建立三个site，北京站点的VRF使用缺省路由及NAT访问Internet,企业A是一个大型的日用品供货商企业B是连锁超市，在市区有多个购物中心，它的日用品由企业A负责供货A和B都希望建立自己的Intranet，同时，为了方便超市随时了解供货商的库存情况，希望把A的库存部分网络资源与B共享，形成上、下游商家之间的Extranet,方案：企业A和企业B分别形成一个VPN；企业A的库存网络同时可以被两个VPN访问,企业外连网Extranet,ACCESSVPN,PSTNISDN,窄带接入用户,宽带接入用户,XDSLCableVLAN,采用PPPoX、GRE、L2TP、IPSec、VLAN等方式接入VPN识别VPN后可以将Radius/AAA/DHCP请求导向VPN服务器或运营商服务器,运营商Radius/AAA/DHCP服务器。支持多个VPN。小型VPN托管服务。,IP/MPLS域,VPN内部Radius/AAA/DHCP服务器。大中型VPN使用,VPN网关,无线,GTP,无线,GRE,L2TP,GGSN,A8010,可以以低廉的价格，提供类似专线的安全性和服务质量保证。从用户角度来看，该网络就是一个二层交换网络，用户可在网络不同站点之间建立二层连接,虚拟租用专线VLL,网络隧道技术：1、定义：利用一种网络协议来传输另一种网络协议的技术，也是一种协议。好像把汽车承载在轮船上漂洋过海。2、主要涉及到三种网络协议：封装协议(隧道协议)。隧道协议下面的运载协议。隧道协议所承载的旅客协议。,隧道协议：1、二层隧道协议，主要用于传输二层的网络协议，构建AccessVPN。主要有VLAN，二层隧道协议(L2TP)等2、三层隧道协议，主要用于传输三层的网络协议，构建Internet和IntranetVPN通用路由封装(GRE)、IP层加密协议IPSec等。3、MPLS隧道协议：MPLS二、三层VPN等。,VPN概念和基本技术,隧道包结构,隧道包括3种类型的协议(以L2TPVPN为例):旅客协议:被封装的协议，可以是PPP、SLIP等等。封装协议:用来创建、维护和拆除隧道。如:L2TP。运载协议:用来承载封装协议，如:IP、UDP。,PPP,IP,UDP,L2TP,MAC,IP,VPN分类按照网络层次,一层VPNVPN站点通过物理层互连二层、三层独立二层VPNVPN站点通过链路层互连三层独立三层VPNVPN站点通过IP层互连二层独立,传统二、三层VPN介绍,L2TP(Layer2TunnelProtocol)的消息分两类：1、控制：隧道连接与会话连接的建立与维护。2、数据：承载用户的PPP会话数据包。,L2TP(二层隧道技术),LAC：L2TPAccessConcentrator，网络接入服务器有PPP端系统和L2TP处理能力。,隧道(Tunnel)连接,会话(Session)连接,表示承载在每个隧道连接之上的PPP会话过程。,1、控制消息中有丢失重传和定时检测机制，消息通过UDP某端口承载于IP之上2、数据消息无重传机制，但可通过TCP等得到保证。,定义了LNS和LAC对,LNS：L2TPNetworkServer，L2TP网络服务器，PPP端系统上处理L2TP协议服务器端部分的软件。,L2TP技术特点,1、身份验证机制灵活，高度安全性。有多种身份验证机制：CHAP、PAP等协议，继承了PPP的所有安全性，还可对隧道端点进行验证。可在L2TP之上进行隧道加密、端到端数据加密或应用层数据加密等。2、内部地址分配：LNS置于企业网的防火墙之后，对远端用户的地址进行动态分配和管理，支持DHCP和私有地址应用(RFC1918)方案。远端用户分配的地址是内部的私有地址。3、计费灵活：可在LAC和LNS两处同时计费，即ISP处(用于产生帐单)及企业处(用于付费及审记)。L2TP能够提供数据传输的出入包数，字节数及连接的起始、结束时间等计费数据，可以根据这些数据方便地进行网络计费。4、统一网管：L2TP协议将成为标准的RFC协议，有关L2TP的标准MIB也将很快地得到制定，这样可以统一地采用SNMP网管方案进行网络维护与管理。,L2TPVPNNAS发起方式,LAN,企业总部,LAC,LNS,NAS,VPN网关,远程办公人员,IP网络,用户使用帐号拨入ISP,NAS发起L2TP隧道到企业VPN网关,L2TP隧道,隧道,PSTN/ISDNInternet,1、可以提供丰富的业务类型。2、可以获得更高的安全保密特性。3、运营商可以对全网VPDN业务情况进行监控和分析，便于进一步优化网络；同时在NAS侧可以对VPDN业务情况进行统计和分析，并且可以为企业提供计费代理。4、对于用户更方便。5、可以基于VPDN技术开展虚拟ISP端口批发业务。,PSTN/ISDNInternet,LAN,企业总部,LAC,LNS,NAS,VPN网关,IP网络,L2TP隧道,公司内部AAA服务器,服务号码接入方式,1、16333拨入,2、拨入号码16333,3、LNSIP地址隧道口令等,4、建立隧道,6、VPN用户访问内部资源,5、企业AAA验证PPP用户：VPNUser口令：Password,PSTN/ISDNInternet,LAN,企业总部,LAC,LNS,NAS,VPN网关,IP网络,L2TP隧道,公司内部AAA服务器,专用帐号接入方式,1、163拨入，用户：Huawei密码：Password1,2、用户、密码,3、LNSIP地址隧道口令等,4、建立隧道,6、VPN用户访问内部资源,5、企业AAA验证PPP用户：VPNUser口令：Password2,GRE(三层隧道技术),通用路由封装：GenericRoutingEncapsulation(GRE),DeliveryHeader(transportProtocol)GREHeader(EncapsulationProtocol)PayloadPacket(PassengerProtocol),1、系统接收到一个IP数据报2、首先被GRE封装，称为GRE报文3、再接着被封装在IP协议中4、由IP层负责此报文的向前传输,GRE封装数据包的过程,1、多协议的本地网通过单一协议的骨干网传输2、将不能连续的子网连接起来3、扩大了网络的工作范围，包括那些路由网关有限的协议；如IPX包最多可以转发16次(既经过16个路由器)，而在一个Tunnel连接中看上去只经过一个路由器。,GREVPN,IP网络,VPN网关,VPN网关,总部,VPN网关,GRE隧道,GRE隧道,分支机构,分支机构,原始数据包,IP头,GRE头,IP/IPX头,IPSec(三层隧道技术),网络安全协议：AuthenticaitonHead(AH)、EncapsulatingSecurityPayload(ESP)密钥管理协议：InternetKeyExchange(IKE)和一些用于网络验证及加密的算法,IPSec定义了两个新的数据包头增加到IP包：AH插到IP包头后面，保证数据包的完整和真实，防止黑客截断数据包或向网络中插入伪造的数据包，采用哈希算法来对数据包进行保护，AH不对用户数据加密。ESP将需要保护的用户数据进行加密后再封装到IP包中，ESP可以保证数据的完整性、真实性和私有性。,机理,方式,组成,隧道方式：整个IP数据包用来计算ESP，且被加密，然后一起封装成为新的IP包传送方式：只是传输层数据用来计算ESP，ESP和被加密数据被放在IP包头后,IPSec(三层隧道技术),私有性IPsec在传输数据包之前将其加密，以保证数据的私有性。完整性Ipsec在目的地验证数据包，以保证在传输过程未被替换。真实性IPsec端要验证所有受IPsec保护的数据包。反重复：IPsec防止数据包被捕捉并重新投放网上，即目的地会拒绝老的或重复的数据包；它通过与AH或ESP一起工作的序列号实现,对等层之间:选择安全协议、确定安全算法和密钥交换向上层：提供访问控制、数据源验证、数据加密等网络安全服务。,作用,特点,IKE的概念,IKE定义了通信实体间的身份认证、协商加密算法以及生成共享的会话密钥的方法，IPSec本身并没有提供在通信实体间建立安全相关的方法,IPSecVPN,加密,Trailer,Auth,新IP头,ESP,IP头,Data,IP网络,VPN网关,VPN网关,总部,VPN网关,IPSec隧道,IPSec隧道,分支机构,分支机构,MPLSVPN介绍,MPLS技术介绍,简介标签与标签栈标签分配标签转发MPLSVPN,MPLS,MPLSMulti-ProtocolLabelSwitchingMulti-Protocol：支持多种三层协议，如IP、IPv6、IPX、SNA等LabelSwitching：给报文打上标签，以标签交换取代IP转发,结合了IP和ATM的优点,面向无连接的控制平面,面向无连接的转发平面,IP,面向连接的控制平面,面向连接的转发平面,ATM,面向无连接的控制平面,面向连接的转发平面,MPLS,曲折的发展过程,以短的、固定长度的标记代替IP头作为转发依据，提高转发速度,ASIC、NP大量使用，转发不再是网络瓶颈,增殖业务的出现，使MPLS重新焕发生命力：VPN流量工程QOS,MPLS技术介绍,简介标签与标签栈标签分配标签转发MPLSVPN,MPLS的封装格式,MPLS的封装格式,标签栈,理论上，标记栈可以无限嵌套，从而提供无限的业务支持能力。这是MPLS技术最大的魅力所在。,MPLS技术介绍,简介标签与标签栈标签分配标签转发MPLSVPN,MPLS基本概念,LSR：LabelSwitchRouterLER：LabelEdgeRouterLSP：LabelSwitchPath,MPLS边缘路由器(LER),标记交换路径(LSP),MPLS核心路由器(LSR),Ingress,Egress,LSP的建立,MPLS信令协议，用于在LSR之间分配标签，建立LSP：LDPCR-LDPRSVP-TEMP-BGPPIM,MPLS技术介绍,简介标签与标签栈标签分配标签转发MPLSVPN,传统IP转发,分析IP头查路由表映射到下一跳,分析IP头查路由表映射到下一跳,分析IP头查路由表映射到下一跳,每一跳分析IP头，效率低QoS难于部署，而且效率低所有路由器都要知道整个网络的所有路由,标签转发,分析IP头查找路由表增加MPLS头,标签交换,只在入口节点分析IP头，中间节点使用标签交换，效率高QoS易于部署，效率高LSR只需知道MPLS域内部路由，无需了解外部路由LSP面向连接，流量工程易于实现,分析IP头查路由表映射到下一跳,标签交换倒数第二跳去掉MPLS标签,入口LER,LSR,LSR,出口LER,MPLS技术介绍,简介标签与标签栈标签分配标签转发MPLSVPN,SITE：一个接入VPN的用户网络单元，相互之间不通过骨干网不具有连通性。VRF(VirtualRoutingForwardingInstance)：包含了同一个site相关的路由表、转发表、接口(子接口)、路由实例以及路由策略等。RD(RouteDistinguish)：用来唯一的描述一个VRF，和IPv4一起构成地址。VPN-IPv4地址：12字节数字，包括8字节的RD和4字节的IPv4地址。用于在MP-BGP中表示VPN路由。目的：如果有两个VPN使用了同一个IP地址，VPN-IPv4地