定义依靠ISPInternet-Service课件

DP500007IPVPN概述ISSUE1.0DP500007IPVPN概述ISSUE1.0前言虚拟专用网VPN是依靠ISP（InternetServiceProvider）和NSP（NetworkServiceProvider），在公共网络中建立的虚拟专用通信网络。本课程主要介绍VPN的概念,原理以及应用.Page2前言虚拟专用网VPN是依靠ISP（InternetSer参考资料高端路由操作手册-VPN分册(V1.11)Page3参考资料高端路由操作手册-VPN分册(V1.11)Page目标学习完此课程，您将会：了解VPN基本概念掌握VPN的工作原理了解VPN的具体应用Page4目标学习完此课程，您将会：Page4内容介绍第1章VPN概述第2章VPN工作原理Page5内容介绍第1章VPN概述Page5VPN概念

VPN—VirtualPrivateNetwork虚拟专用网定义：依靠ISP（InternetServiceProvider）和NSP（NetworkServiceProvider），在公共网络中建立的虚拟专用通信网络。特点：专用性：VPN资源只能被该VPN的用户使用，不能被网络中其他用户所使用。同时VPN提供足够的安全保证，确保VPN内部信息不受外部侵扰虚拟性：VPN用户内部的通信是通过一个公共网络进行的，而这个公共网络同时也被其他非VPN用户使用．Page6VPN概念VPN—VirtualPrivateNetwVPN优势VPN优势:连接可靠，可保证数据传输的安全性。利用公共网络进行信息通讯，可降低成本，提高网络资源利用率．支持用户实时、异地接入，可满足不断增长的移动业务需求。支持QoS功能，可为VPN用户提供不同等级的服务质量保证。Page7VPN优势VPN优势:Page7远程访问Internet内部网合作伙伴分支机构虚拟私有网虚拟私有网虚拟私有网VPN是企业网在因特网上的延伸VPN典型应用Page8远程访问Internet内部网合作伙伴分支机构虚拟私有网虚拟VPN分类按照组网模型、业务用途、运营模式或实现层次，VPN可以分为多种类型组网规模:VPDR:VirtualPrivateDialNetwork虚拟专用拨号网络VPRN:VirtualPrivateRoutingNetwork虚拟专用路由网VRPS:VirtualPrivateLANSegment虚拟专用LAN网段VLL:VirtualLeasedLine虚拟租用线

Page9VPN分类按照组网模型、业务用途、运营模式或实现层PageVPN分类业务用途:IntranetVPN企业内部虚拟专网ExtranetVPN扩展的企业内部虚拟专网AccessVPN远程访问虚拟专网Page10VPN分类Page10VPN分类运营模式:CPE-basedVPN:CustomerPremisesEquipmentbasedVPN由用户控制Network-basedVPN:由ISP控制Page11VPN分类Page11VPN分类实现层次:L3VPN（Layer3VPN）L2VPN（Layer2VPN）VPDNPage12VPN分类Page12VPDN适用范围：出差员工异地小型办公机构POPPOP用户直接发起连接POPISP发起连接总部隧道Page13VPDN适用范围：POPPOP用户直接发起连接POPISP发内容介绍第1章VPN概述第2章VPN工作原理Page14内容介绍第1章VPN概述Page14VPN隧道VPN的基本原理是利用隧道技术，把VPN报文封装在隧道中，利用VPN骨干网建立专用数据传输通道，实现报文的透明传输。隧道技术使用一种协议封装另外一种协议报文，而封装协议本身也可以被其他封装协议所封装或承载。对用户来说，隧道是其PSTN/ISDN链路的逻辑延伸，在使用上与实际物理链路相同.Page15VPN隧道VPN的基本原理是利用隧道技术，把VPN报文封装在VPN隧道VPN隧道的功能:封装原始数据实现隧道两端的点到点连通定时检测VPN隧道的连通性VPN隧道的安全性VPN隧道的QoS特性Page16VPN隧道VPN隧道的功能:Page16VPN协议—隧道协议第二层隧道协议PPTPL2FL2TP第三层隧道协议GREIPSecMPLSVPNPage17VPN协议—隧道协议第二层隧道协议Page17PPTPPPTP:Point-to-PointTunnelingProtocol点到点隧道协议PPTP将其他协议和数据封装于IP网络；该方式用在公共的Internet创建VPN，远端用户能够透过任何支持PPTP的ISP访问公司的专用网络。此协议由Microsoft开发，与Windows95和NT集成很好。在数据安全性方面，此协议使用40bit或128bitRC4的加密算法。Page18PPTPPPTP:Point-to-PointTunneL2FL2F:Layer2Forwarding二层转发L2F能支持对更高级协议链路层的隧道封装，实现拨号服务器和拨号协议连接在物理位置上的分离。Page19L2FL2F:Layer2Forwarding二层L2TPL2TP:LayerTwoTunnelingProtocol二层隧道协议IETF所制定的在Internet上创建VPN的协议。这个协议是在PPTP和L2F的技术之上所制定的标准InternetTunnel协议,用于保护PPP报文;数据没有加密机制，可通过IPSEC保证数据安全。主要用途：企业驻外机构和出差人员可从远程经由公共网络，通过虚拟隧道实现和企业总部之间的网络连接。Page20L2TPL2TP:LayerTwoTunnelingL2TP报文格式L2TP报文封装层次结构 此报文格式是LAC与LNS之间的数据报文。L2TP报文头是VPN协议报文头，其内封装的是PPP报文，因此L2TP是二层VPN协议。IP报文头(公网地址)UDP报文L2TP报文头PPP报文头IP报文头(私网地址)DataPage21L2TP报文格式L2TP报文封装层次结构 IP报文头(公网L2TP协议组件

VPN用户：指通过L2TP协议连入VPN的用户，通常是外地出差员工或办事机构。LAC:L2TPAccessConcentratorL2TP访问集中器VPN用户和LNS之间传递数据的设备，通常是当地ISP的接入设备，具有PPP端系统和L2TP协议处理能力。LAC把从VPN用户处收到的信息包按照L2TP协议进行封装并送往LNS，将从LNS收到的信息包进行解封装并送往远端系统。LNS:L2TPNetworkServerL2TP网络服务器L2TP协议的服务器端部分，通常是企业内部网的边缘设备。LNS作为L2TP隧道的另一侧端点，是LAC的对端设备，是被LAC进行隧道传输的PPP会话的逻辑终止端点。Page22L2TP协议组件VPN用户：指通过L2TP协议连入VPN的LAC发起连接(LAC-initialized) 用户通过PSTN/ISDN接入NAS(LAC)，NAS判断如果是VPN用户，就向指定的LNS发起L2TP连接用户发起连接(Client-initialized) 用户通过PSTN/ISDN接入NAS，获得访问Internet权限然后直接向远端LNS服务器发起L2TP连接L2TP隧道发起方式Page23LAC发起连接(LAC-initialized)L2TP隧道L2TP隧道发起方式LAC发起VPN用户：向LAC设备发起PPP连接。LAC：判断用户是否是L2TP用户，如果是，判断用户向哪个LNS发起隧道请求。LNS：为用户分配私网地址，准许用户接入内部网络。Page24L2TP隧道发起方式LAC发起VPN用户：向LAC设备发起PL2TP隧道发起方式客户端直接发起VPN用户：首先获得公网地址，与LNS之间保持连通，向LNS发起建立隧道请求。LNS：为用户分配私网地址，准许用户接入内部网络。Page25L2TP隧道发起方式客户端直接发起VPN用户：首先获得公网地IPSecIPSec（IPSecurity）是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议IPSec包括报文验证头协议AH（协议号51）和报文安全封装协议ESP（协议号50）两个协议IPSec有隧道（tunnel）和传送（transport）两种工作方式Page26IPSecIPSec（IPSecurity）是IETF制定隧道模式IPPayloadIPheaderIPPayloadIPheaderIPheaderIPSECheader保护IP包头和IP负载可适用于两者,隐藏内部IP地址,协议类型和端口号加密在IPSec之前在IPSec*之后IPSec工作模式Page27隧道模式IPPayloadIPheaderIPPay传输模式在IPSec之前在IPSec*之后IP有效载荷IP头内部受保护的数据IP有效载荷IP头IPSec

头线上传输保护TCP/UDP/ICMP有效负载IPSec工作模式Page28传输模式在IPSec之前在IPSec*之后IP有效载IPSec的组成IPSec提供两个安全协议AH(AuthenticationHeader)报文认证头协议MD5(MessageDigest5)SHA1(SecureHashAlgorithm)ESP(EncapsulationSecurityPayload)封装安全载荷协议DES(DataEncryptionStandard)3DES其他的加密算法：Blowfish，blowfish、cast…Page29IPSec的组成IPSec提供两个安全协议Page29IPSec的安全特点数据机密性（Confidentiality）数据完整性（DataIntegrity）数据来源认证（DataAuthentication）反重放（Anti-Replay）Page30IPSec的安全特点数据机密性（ConfidentialiGREGRE(GenericRoutingEncapsulation):是对某些网络层协议（如：IP,IPX,AppleTalk等）的数据报进行封装，使这些被封装的数据报能够在异种网络协议（如IP）中传输,异种报文传输的通道称为tunnel.IPSec不是一个单独的协议，它给出了IP网络上数据安全的一整套体系结构，包括AH（AuthenticationHeader）、ESP（EncapsulatingSecurityPayload）、IKE（InternetKeyExchange）等协议。GRE和IPSec主要用于实现专线VPN业务。Page31GREGRE(GenericRoutingEncapsGRE协议栈IP/IPXGREIP链路层协议乘客协议封装协议运输协议GRE协议栈隧道接口的报文格式链路层GREIP/IPXIPPayloadPage32GRE协议栈IP/IPXGREIP链路层协议乘客协议封装协使用GRE构建VPNOriginalDataPacketTransferProtocolHeaderGREHeaderInternetTunnel企业总部分支机构Page33使用GRE构建VPNOriginalDataPacketMPLSVPN网络结构VPN_AVPN_AVPN_B10.3.0.010.1.0.011.5.0.0CECECEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEVPN_A10.2.0.0CEiBGPsessionsPPPPPEPECE（CustomEdge）：直接与服务提供商相连的用户设备。PE（ProviderEdgeRouter）：指骨干网上的边缘路由器，与CE相连，主要负责VPN业务的接入。P（ProviderRouter）：指骨干网上的核心路由器，主要完成路由和快速转发功能。Page34MPLSVPN网络结构VPN_AVPN_AVPN_B10MPLSL3VPNMPLSL3VPN:MultipleProtocolLabelSwitchLayer3VPN在这种网络构造中，由服务提供商向用户提供VPN服务，用户感觉不到公共网络的存在，就好像拥有独立的网络资源一样。P路由器，也不需要知道有VPN的存在，仅仅负责骨干网内部的数据传输。但其必须能够支持MPLS协议，并使能该协议。所有的VPN的构建、连接和管理工作都是在PE上进行的。可以直接利用现有路由协议而无需任何改动MPLSL3VPN网络具有良好的可扩展性Page35MPLSL3VPNMPLSL3VPN:MultipMPLSL2VPNTunnel虚通道

Site

SiteSite

SitePEPEMPLSL2VPN就是在MPLS网络上透明传递用户的二层数据。从用户的角度来看，这个MPLS网络就是一个二层的交换网络，通过这个网络，可以在不同站点之间建立二层的连接。Page36MPLSL2VPNTunnel虚通道SiteSiteMPLSL2VPNMPLSL2VPN的实现方案:CCCMartiniSVCKompellaPage37MPLSL2VPNMPLSL2VPN的实现方案:PageCCCCCC:CircuitCrossConnect电路交叉连接CCC是通过静态配置来实现L2VPN的一种方式,分为本地CCC连接和远程CCC连接CCC采用一层标记来传送用户数据，因此它对LSP的使用是独占性,用户必须单独为每一个CCC连接手工配置两条L2VPNLSP,这两条L2VPNLSP将只能用于传递这个CCC连接的数据。

Page38CCCCCC:CircuitCrossConnect电CCC组网MPLS网络A公司分支机构2PELSPLSPPEPEA公司分支机构1A公司分支机构3A公司总部Tunnel标签2层头部数据本地连接远程连接Page39CCC组网MPLS网络A公司PELSPLSPPEPEA公司AMartini使用LDP作为传递VC信息的信令。PE之间建立LDP的remotesession，PE为CE之间的每条连接分配一个VC标签。二层VPN信息将携带着VC标签，通过LDP建立的LSP转发到remotesessio