第16章 虚拟专用网.ppt

1、第16章 虚拟专用网（VPN）和多协议标签交换（MPLS）,主要内容,16.1 VPN 16.2 基于隧道协议的VPN 16.3 MPLS,学习目标,了解VPN的概念 了解基于隧道协议的VPN技术 了解MPLS技术及其应用,16.1 VPN,16.1.1 VPN的概念,VPN是基于公共通信网络的专用网络：,根据VPN所起的作用，可以将VPN分为三类： （1）VPDN（Virtual Private Dial Network） （2）Intranet VPN （3）Extranet VPN,VPDN,POP,POP,用户直接发起连接,POP,ISP发起连接,总部,隧道,适用范围： 出差员工 异地

2、小型办公机构,Intranet VPN,Internet/ ISP IP ATM/FR,Extranet VPN,Internet/ ISP IP ATM/FR,16.1.2 VPN的功能,（1）VPN的安全性： 1.加密数据 2.信息认证和身份认证 3.提供访问控制 （2）VPN的服务质量（QoS） （3）VPN的可扩充性和灵活性 （4）VPN的可管理性,16.2 基于隧道协议的VPN,16.2.1 基于数据链路层隧道的VPN,VPDN中远程用户通过拨号网络与企业网建立连接。 VPDN通常采用基于数据链路层隧道的VPN。 数据链路层隧道：先在远程用户和企业网络间采用PPP协议建立点对点的连接

3、，然后把所有数据包加密后都封装在PPP的帧中传输。,PPP协议：主要是设计用来通过拨号或专线方式建立点对点连接发送数据。包括以下三个部分： （1）在串行通信线路上组帧的方法 （2）链路控制协议LCP（Link Control Protocol） （3）网络控制协议NCP（Network Control Protocol）,为实现VPN，基于PPP协议，提出了多种数据链路层隧道协议，又叫第二层隧道协议，常用的有： （1）PPTP（Point-to-Point Tunneling Protocol） 协议,PPTP网络拓扑图,PPTP协议图,（2）L2F（Layer 2 Forwarding）协议

4、,L2F网络拓扑图,L2F的帧格式,（3）L2TP（Layer 2 Tunneling Protocol）,L2TP协议图,使用L2TP 构建VPDN,PSTN/ISDN,LAN,总部,LAC,LNS,NAS,Router,出差员工,LAC: L2TP Access Concentrator L2TP的接入集中器 LNS: L2TP Network Server L2TP的网络服务器 LAC/LNS Radius : LAC/LNS的远端验证服务器,LAC RADIUS,LNS RADIUS,L2TP 协议栈结构及数据包的封装过程,私有IP,PPP,L2TP,UDP,公有IP,链路层,物理层,

5、物理层,私有IP,PPP,IP包(公有IP),UDP,L2TP,PPP,IP包(私有IP),链路层,私有IP,PPP,物理层,L2TP,UDP,公有IP,链路层,物理层,物理层,私有IP,链路层,物理层,Client,LAC,LNS,Server,LAC侧封装过程,LNS侧解封装过程,L2TP协议栈结构,16.2.2 基于网络层隧道的VPN,基于网络层隧道的VPN用于Intranet VPN和Extranet VPN,GRE（Generic Routing Encapsulation，通用路由封装）协议,GRE 协议栈,乘客协议,封装协议,运输协议,GRE协议栈,隧道接口的报文格式,链路层,G

6、RE,IP/IPX,IP,Payload,使用GRE构建VPN,Original Data Packet,Transfer Protocol Header,GRE Header,Internet,Tunnel,企业总部,分支机构,IPSec（Internet Protocol Security）协议 IPSec由IP认证头AH（Authentication Header）、 IP封装安全载荷 ESP（Encapsulated Security Payload）和 密钥管理协议组成 IPSec协议可以设置成在两种模式下运行：一种是隧道模式，另一种是传输模式,IPSec从以下三个方面来保证数据的安

7、全性： （1）认证，用于对主机和端点进行身份鉴别。 （2）完整性检查，用于保证数据在通过网络传输时没 有被修改 （3）加密，加密IP地址和数据以保证私有性。,ESP 协议,16.2.3 基于应用层隧道的VPN,SOCKs v5 安全套接字层（Secure Socket Layer,SSL）,16.3 MPLS,16.3.1 MPLS的工作原理,MPLS 网络中负责路由和分组转发的节点是LSR。 LSR通过运行LDP实现转发等价类（FEC）与IP分组头的映射 位于MPLS网络边缘的LSR被叫做LER，其中入口LER 叫做Ingress，出口LER 叫做Egress,MPLS由标签交换路由器（LS

8、R）、标签边缘路由器（LER）和标签分发协议（LDP）组成。,MPLS的分组传输过程,起源：为了将IP与ATM结合,面向无连接的控制平面,面向无连接的转发平面,IP,面向连接的控制平面,面向连接的转发平面,ATM,面向无连接的控制平面,面向连接的转发平面,MPLS,MPLS的标签交换,MPLS网络的路由表和标记信息表,MPLS的分组转发过程,16.3.2 MPLS应用,在大型ISP网络中，MPLS主要有三种应用： （1）流量工程 （2）服务等级（CoS） （3）虚拟专网（VPN）,16.3.3 MPLS VPN,通过MPLS（Multiprotocol Label Switching，多协议标签交换）技术可以非常容易地实现