《宽带接入技术》课件-（项目2-任务2-8）广域网技术-1 （虚拟专网VPN概述）

项目二以太接入技术2-4VPN基础VPN的产生1、传统IP路由网络的缺陷VPN的产生2、Intenet存在很多安全隐患在Internet传输中，绝大部分数据的内容都是明文传输的，存在很多安全隐患，如窃听、篡改、冒充等3、访问企业网络资源的需求总部、分公司、办事处、出差人员、合作单位有访问总部网络资源需求。VPN的产生4、访问国外网站速度慢2020年主要骨干网络国际出口带宽2025年，将达到48TbpsVPN的定义VPN直接在用户和VPN服务器之间建立点对点的专线加密连接，再通过VPN服务器连接互联网服务。VPN就是ISP和NSP提供的公共网络（Internet或企业公共网络）中建立的虚拟专用通信网络。VPN的核心隧道技术安全技术（身份认证、数据认证、加解密技术、密钥管理技术）VPN的本质：隧道Page6隧道其实就是封装报文Delivery头封装协议头Payload头

承载协议头封装协议头乘客协议头乘客协议：封装前的报文称为净荷，封装前的报文协议称为乘客协议封装协议头：由封装协议完成并填充的承载协议：负责对封装后的报文进行转发的协议Payload净荷VPN分类1、按照组网方式分类（1）SitetoSiteVPN网络1网络2VPN隧道网关1网关2站点到站点的VPN，即两个局域网之间通过VPN隧道建立连接。可以使用IPSec、L2TP、L2TPoverIPSec、GREoverIPSec、IPSecoverGRE实现。WAN口：固定IP1WAN口：固定IP2VPN分类1、按照组网方式分类（2）ClienttoSiteVPN（Remote-AccessVPN）移动办公员工企业内网VPN隧道客户到站点的VPN，即客户端与企业内网之间通过VPN隧道建立连接。可以使用SSL、IPSec（IKEv2）、L2TP、L2TPoverIPSec实现。网关服务器VPN分类2、按照建设单位分类（1）租用运营商专线搭建VPN网络：MPLSVPN企业AVPN1企业BVPN2CE-A1CE-B1CE-B2CE-A2PE1PE2PE3企业AVPN1企业BVPN2ISP骨干网MPLSVPNVPN分类2、按照建设单位分类（2）用户自建企业VPN网络：GRE、L2TP、IPSec、SSLVPN分支机构合作伙伴企业总部出差员工VPN分类3、按照组网模型分类（1）VPDN（VirtualPrivateDialNetwork）:VPDN利用公共网络的拨号功能接入,主要采用点到点的连接方式，通过L2TP（Layer2TunnelingProtocol）、PPTP（Point-toPointTunnelingProtocol）等协议实现。远端拨号用户拨号网络企业内部网络NAS企业网关VPN分类3、按照组网模型分类（2）VPRN（VirtualPrivateRoutingNetwork）:VPRN是总部、分支机构和远端办公室之间通过网络管理虚拟设备互连,VPRN数据包的转发是在网络层实现的。公网的每个VPN节点需要为每个VPN建立专用路由转发表，可以通过Ipsec、GRE和MPLS实现。VPN分类3、按照组网模型分类（3）VPWS（VirtualPrivateWireService）:VPWS是对传统租用线业务的仿真，使用IP网络模拟租用线，又称为VLL（虚拟专线）。分为CCC、SVC、Martini和Kompella等，PWE3也是一种端到端的二层业务承载技术，是Martini的扩展。（4）VPLS（VirtualPrivateLANService）:VPLS是局域网之间通过虚拟专用网段互连，是局域网在IP公共网络上的延伸，又称为虚拟局域专网。VPN分类4、按照实现的层级不同分类GREVPN、IpsecVPN、BGP/MPLSVPNL3VPNL2VPNVLL、VPLS、L2TP、PPTP应用层VPNSSLVPN、VxLAN物理层VPN租用裸光纤、SDH、WDMVPN分类几种VPN技术总结GREL2TPIPSecSSL适合场景Site-to-SiteSite-to-SiteClient-to-SiteSite-to-SiteClient-to-SiteClient-to-Site身份认证不支持支持，基于PPP的chap等验证支持，采用IP或口令或证书进行数据源认证；IKEv2拨号方式采用EAP认证支持，用户名+口令+证书对服务器进行认证加密技术不支持不支