VPN產(chǎn)品培訓(xùn)講義

1、VPN 產(chǎn)品培訓(xùn)講義產(chǎn)品市場部VPN產(chǎn)品部講義結(jié)構(gòu) 產(chǎn)品現(xiàn)狀及當(dāng)前問題 中國網(wǎng)通基于MPLS的IP-VPN概述 定義、特點、功能、組網(wǎng)方式 FR-VPN概述 定義、網(wǎng)絡(luò)結(jié)構(gòu)、賣點 DDN、FR及中國網(wǎng)通基于MPLS的IP-VPN比較 網(wǎng)絡(luò)結(jié)構(gòu) 設(shè)備投入 月租構(gòu)成 網(wǎng)絡(luò)效率 可擴(kuò)展性 維護(hù)管理 網(wǎng)絡(luò)安全 計費方式 投入對比 MPLS-VPN安全性能概述 臺灣語音專線簡介 結(jié)束中國網(wǎng)通VPN產(chǎn)品線 基于MPLS的IP-VPN（目前的主打產(chǎn)品） 帶寬、技術(shù)優(yōu)勢大帶寬多端點；64K-128K在七點以上 接入劣勢 FR-VPN 特定市場、特定客戶、特定模式 按需建網(wǎng)、控制成本，不和中國電信全面競爭 臺灣

2、語音專線 特定用途 對臺只做“語音專線”什么是VPN網(wǎng)絡(luò)模擬圖什么是VPNVPN服務(wù)是在公共基礎(chǔ)網(wǎng)絡(luò)之上構(gòu)建企業(yè)內(nèi)部專網(wǎng)，實現(xiàn)企業(yè)不同地區(qū)分支機(jī)構(gòu)之間內(nèi)部數(shù)據(jù)、語音、圖像通信聯(lián)絡(luò)可以被當(dāng)做專網(wǎng)那樣使用和管理。擁有同專網(wǎng)一樣的安全性成本大大低于自建專網(wǎng)公共網(wǎng)絡(luò)具有良好的擴(kuò)展性和靈活性MPLS邊緣路由器什么是MPLS 技術(shù)LSPMPLS標(biāo)簽交換路由器加上標(biāo)記并按標(biāo)記交換除去標(biāo)記，按三層轉(zhuǎn)發(fā)標(biāo)記交換并支持三層路由或二層交換標(biāo)記、 LIB什么是MPLS 技術(shù)LSP1b. 根據(jù)此路由信息，LDP建立LSP1a. 各MPLS設(shè)備運行路由算法，得到網(wǎng)絡(luò)路由信息2. 根據(jù)包頭，查找路由表，確定LSP，并將標(biāo)簽

3、插入包頭中。3. 按標(biāo)簽進(jìn)行標(biāo)簽交換式轉(zhuǎn)發(fā)。4. 刪除標(biāo)簽后，按常規(guī)IP包轉(zhuǎn)發(fā)用戶 A用戶 A用戶 A用戶 B用戶 BMPLSNetworkB-B-A-A-支持私有IP地址支持多種QoS服務(wù)級別VPN 連接的管理有運營商完成基于MPLS的IPVPN與 DDN、FR 等具有同等安全性VPN連接配置簡單，對現(xiàn)有骨干網(wǎng)絡(luò)沒有壓力；對現(xiàn)有用戶的要求為0，用戶不需要作任何改動，用戶加入VPN的配置也很簡單；網(wǎng)絡(luò)可擴(kuò)展能力很強(qiáng)；VPN用戶可以延用原有的專用地址，不需要作任何修改，在骨干網(wǎng)絡(luò)采用VPN-ID，可以保持全網(wǎng)的唯一性；提供超值的帶寬服務(wù)；易于提供增值業(yè)務(wù)，如不同的COS。IPVPN 的優(yōu)點 支持

4、SLA 可以為用戶提供服務(wù)質(zhì)量報告 支持Class of Service 用戶可管理的IP-VPN 豐富的Internet服務(wù) Extranet VPDN：利用171接入VPN IPSec：從Internet接入VPN 提供IDC+IP-VPN的集成服務(wù) Intranet話音業(yè)務(wù) Intranet會議電視業(yè)務(wù)高級服務(wù)增值服務(wù)IPVPN 可提供的服務(wù) Intranet基本服務(wù)IPVPN 組網(wǎng)方式（1）IPVPN 組網(wǎng)方式（2）IPVPN 組網(wǎng)方式（3）IPVPN 組網(wǎng)方式（4）IPVPN 組網(wǎng)方式（5）IPVPN 應(yīng)用一：CNC-Intra 網(wǎng)絡(luò)拓?fù)涫疽鈭DIPVPN 應(yīng)用二：典型的的Intern

5、et接入(幀中繼交換機(jī))一種廣域網(wǎng)技術(shù)。也被稱作快速分組交換。它在鏈路層上用簡化的方法傳送和交換數(shù)據(jù)單元，用戶信息以幀為單位進(jìn)行傳輸，并對用戶信息流進(jìn)行統(tǒng)計復(fù)用，鏈路層以上協(xié)議則在用戶終端設(shè)備上執(zhí)行。幀中繼的定義FRSwitchFRSwitchPVCCNCFrame Relay NetworkFrame RelayPortFrame RelayPort接入線路：向本地電信網(wǎng)運營商租用的接入幀中繼網(wǎng)絡(luò)的線路。端口：幀中繼交換機(jī)上的物理端口。它限定了該端口上所有PVC同時發(fā)往網(wǎng)絡(luò)的最高速率和。速率：64K 2M 永久虛電路 PVC:兩個端口之間的邏輯連接，給定一個承諾保證速率CIR。CIR：32K

6、 2MNetwork AccessRouterLANCSU/DSURouterLANCSU/DSU幀中繼網(wǎng)絡(luò)結(jié)構(gòu)Network Access客戶付費的三個參數(shù)：接入電路、端口、PVC 在幀中繼網(wǎng)絡(luò)中建立虛電路（VC)傳送數(shù)據(jù) VC：通過幀中繼網(wǎng)絡(luò)連接兩個端口的邏輯電路 PVC(Permanent Virtual Circuits ) 、SVC幀中繼網(wǎng)端口端口端口端口RouterLANCSU/DSURouterLANCSU/DSURouterLANCSU/DSURouterLANCSU/DSU PVC：永久虛電路接入電路幀中繼網(wǎng)絡(luò)結(jié)構(gòu) PVC的兩個參數(shù)： 約定速率 CIR：Commited In

7、fimation Rate對一個特定的用戶，PVC保證一定服務(wù)等級的專用帶寬稱之為約定的信息速率。 突發(fā)速率 CBR：Commited Birst Rate準(zhǔn)許每條PVC最高可突發(fā)的速率 兩種丟包方式：當(dāng)電路發(fā)生擁塞時會發(fā)生丟包隨機(jī)方式選擇性方式：根據(jù)數(shù)據(jù)包標(biāo)記有選擇得丟包CIR速率內(nèi)的數(shù)據(jù)得到傳送幀中繼的賣點統(tǒng)計復(fù)用和按需分配帶寬信源1信源2信源3信源4統(tǒng)計復(fù)用器12132344信源1信源2信源3信源4統(tǒng)計復(fù)用器12233121當(dāng)所有信源都發(fā)送時，各自占有所約定的帶寬當(dāng)一個信源不發(fā)送時，其他信源可以占用所有可用帶寬,享用突發(fā)帶寬.統(tǒng)計復(fù)用技術(shù)特別適合于突發(fā)性數(shù)據(jù)業(yè)務(wù)： 信源在大部分時間內(nèi)只傳

8、送少量數(shù)據(jù)多條PVC中數(shù)據(jù)流統(tǒng)計復(fù)用至同一條電路， 使得每條PVC可以有高的突發(fā)速率。 同專線組網(wǎng)方式相比，幀中繼組網(wǎng)方式減少了客戶端設(shè)備，不但降低了組網(wǎng)費用，而且提高了網(wǎng)絡(luò)可靠性。專線組網(wǎng)方式幀中繼組網(wǎng)方式位置ADSU / CSUDSU / CSUDSU / CSULAN RouterDSU / CSUDSU / CSUDSU / CSULAN RouterLAN RouterLAN Router位置D位置B位置C位置A56k56k128kFR Network56kDSU / CSULAN RouterDSU / CSUDSU / CSUDSU / CSULAN RouterLAN Rout

9、erLAN Router專線56k專線56k專線56k位置D位置B位置C幀中繼服務(wù)與專線服務(wù)的比較幀中繼組網(wǎng)舉例分公司 A總公司分公司 C分公司 B1Mbps256kbps256kbps256kbps256kbpsCIR128kbpsCIR128kbpsCIR128kbpsCIR128kbps幀中繼網(wǎng)DDN、FR及IP-VPN 組網(wǎng)比較：DDN 組網(wǎng)示意DDN、FR及IP-VPN組網(wǎng)比較：FR 組網(wǎng)示意DDN、FR及IP-VPN組網(wǎng) 比較：VPN 組網(wǎng)示意SITE 1SITE 4SITE 3SITE 2SITE 5設(shè)備投入比較：FRSITE 1SITE 6SITE 4SITE 3SITE 2S

10、ITE 5設(shè)備投入比較：IP VPN設(shè)備投入對比說明 DDN 昂貴的專用終端設(shè)備，而且一個專用終端設(shè)備的物理端口只能接一條DDN 每一對要通信的機(jī)構(gòu)之間都要申請一條DDN進(jìn)行連接 無法提供2M以上帶寬 FR 昂貴的專用終端設(shè)備 從每個要互連的用戶端到運營商FR網(wǎng)有一條物理電路連接 在每一對要互連的機(jī)構(gòu)之間要租用一對PVC電路 無法提供2M以上帶寬 中國網(wǎng)通基于MPLS的IP-VPN 用戶端設(shè)備采用低端路由器即可，從每個要互連的用戶端到中國網(wǎng)通VPN網(wǎng)需有一條物理電路連接 租用中國網(wǎng)通相應(yīng)速率的VPN端口 可提供任意速率帶寬 月租費構(gòu)成比較 DDN 每一對互連點間的DDN物理線路費 FR 每一對

11、互連點間的PVC電路費 FR端口費 中國網(wǎng)通基于MPLS的IP-VPN 中國網(wǎng)通只向用戶收取端口月租費 SITE 1SITE 4SITE 3SITE 2SITE 5PVC1PVC2PVC3PVC4PVC5PVC6PVC7PVC8PVC9PVC10PVC11PVC12PVC13PVC14PVC15PVC16PVC17PVC18PVC19PVC20效率比較網(wǎng)的角度：FRSITE 1SITE 4SITE 3SITE 2SITE 5效率比較網(wǎng)的角度：IP VPN）效率比較點的角度：FRABDCSITE1SITE2總部E 經(jīng)過的網(wǎng)絡(luò)層次 對通信帶寬的要對ABDCSITE1效率點的角度：IP VPNSIT

12、E 2SITE 1SITE 5SITE 4SITE 3SITE 6可擴(kuò)展性比較：FRSITE 3SITE 1SITE 2SITE 4SITE 5SITE 6可擴(kuò)展性比較：IP VPN可擴(kuò)展性對比說明 DDN每擴(kuò)容一個點，都需要 專用終端設(shè)備投入 新增點至其它所有要進(jìn)行連接的點之間增加的多條DDN物理線路投入 可能需要對已有每個點的設(shè)備進(jìn)行升級，以滿足端口增加的需求 進(jìn)行大量復(fù)雜的設(shè)置，以實現(xiàn)新增點與原有點的互連 FR每擴(kuò)容一個點，都需要 新增點至其它所有要進(jìn)行連接的點之間增加的多條PVC電路投入 擴(kuò)容各點的端口，以容納新增的PVC 可能需要的因原有端口不足而導(dǎo)致的設(shè)備擴(kuò)容 進(jìn)行一系列復(fù)雜的設(shè)置

13、，以實現(xiàn)新增點與原有點的互連 中國網(wǎng)通基于MPLS的IP-VPN 直接申請新的端口，由中國網(wǎng)通為您實現(xiàn)所有點的互連 維護(hù)管理比較：FR 對于幀中繼而言，用戶需要維護(hù)的是一個廣域網(wǎng)，高檔次的設(shè)備、多而復(fù)雜的線路，這也就使得維護(hù)管理復(fù)雜、難度大、工作量大。相應(yīng)的對技術(shù)人員的要求也非常高，用戶需要在廣域網(wǎng)的建設(shè)上投注極大的精力。 由于用戶需要維護(hù)的只是簡單的設(shè)備，因此維護(hù)管理簡單，工作量小。相應(yīng)的對技術(shù)人員的要求也低，用戶可以把幾乎全部的精力都放在局域網(wǎng)的建設(shè)上。維護(hù)管理比較：IP VPN維護(hù)管理對比說明 DDN 工程師需要對全公司每一個用戶接入點上每一臺連上DDN網(wǎng)的設(shè)備進(jìn)行路由、安全、參數(shù)設(shè)置等

14、多方面的配置 需要有人掌控全公司各結(jié)點組成的廣域網(wǎng) FR 工程師需要對全公司每一個用戶接入點上每一臺連上FR網(wǎng)的設(shè)備進(jìn)行路由、安全、參數(shù)設(shè)置等多方面的配置 需要有人掌控全公司各結(jié)點組成的廣域網(wǎng) 中國網(wǎng)通基于MPLS的IP-VPN 對于每一個接入點，用戶只需保證與中國網(wǎng)通之間的連通即可 需要進(jìn)行日常維護(hù)的工作量有多大 投入的人力資源比較DDN 數(shù)名資深專業(yè)工程師的大量工作時間 FR 數(shù)名資深專業(yè)工程師的大量工作時間 中國網(wǎng)通基于MPLS的IP-VPN 可簡單操作路由器的技術(shù)員即可 網(wǎng)絡(luò)安全性比較 網(wǎng)絡(luò)安全性如何 三種組網(wǎng)方式具有同等安全性 安全性的本質(zhì)獨立的地址空間和流量的隔離不可見的運營商核心

15、網(wǎng)絡(luò)抵御攻擊獨立的地址空間用戶 A用戶 A用戶 A用戶 B用戶 BMPLSNetworkB-B-A-A-支持私有IP地址交換路由信息使用VPN-IPv4地址流量隔離比較DDNDDN2DDN2DDN1DDN1DDN1DDN2DDN2交換機(jī)交換機(jī)交換機(jī)交換機(jī)用戶A用戶A用戶ADDN3用戶B用戶BDDN3DDN3流量隔離比較FRPVC2PVC2PVC1PVC1PVC1PVC2PVC2交換機(jī)交換機(jī)交換機(jī)交換機(jī)用戶A用戶A用戶APVC3用戶B用戶BPVC3PVC3流量隔離比較IP-VPN用戶 A用戶 A用戶 A用戶 B用戶 BMPLSNetworkA-A-A-B-B-VPN網(wǎng)絡(luò)中，從CE、PE到P，均為

16、獨立的數(shù)據(jù)流。流量的隔離對比說明用戶 A用戶 A用戶 A用戶 B用戶 BMPLSNetworkA-A-A-B-B-LSP1LSP2LSP3LSP4 MPLS，從運營商網(wǎng)絡(luò)到用戶，一條物理線路，不同VPN以不同的路由表區(qū)分；在運營商網(wǎng)絡(luò)內(nèi)，以LSP來隔離流量。 DDN、幀中繼和MPLS分別屬于不同層的技術(shù)，因此隔離流量的手段不同，但要達(dá)到的目的是相同的，就是要讓流量到達(dá)它應(yīng)當(dāng)?shù)竭_(dá)的地方，決不去它不應(yīng)當(dāng)去的地方。這三種技術(shù)以不同的方式達(dá)到了同樣的效果，因此在流量的隔離方面，他們是一樣的。數(shù)據(jù)加密局域網(wǎng)1密碼機(jī)1CE局域網(wǎng)3CE密碼機(jī)3CNC netPEPEPECE密碼機(jī)2局域網(wǎng)2AB計費方式比較

17、DDN中國電信DDN資費表計費方式比較 FR中國電信FR資費表客戶案例分析FR某用戶需要組建一個5點的FR-VPN，總部采用備份結(jié)構(gòu)。主、備服務(wù)器與分部各點均以64K相連，因此，主、備服務(wù)器與分部各點相連均需兩條64K的單向PVC，則此案例按中國電信FR接入方式的計算方法如下表： A、B點端口速率：64 4 2 = 512 K分部端口速率：64 2 2 = 128 K單向PVC速率：64 K總費用：總部端口費用 + 分部端口費用 + PVC費用500 2 + 400 4 + 1700 2 8 = 29800 由于采用中國電信FR，本地接入不收費計費方式比較 IP-VPNMPLS-VPN產(chǎn)品報價

18、某公司總部設(shè)在北京，在沈陽、上海、廣州、鄭州、福州、莆田、泉州、三明等地設(shè)有分公司。該公司欲以MPLS-VPN組建專網(wǎng)，采取雙星結(jié)構(gòu)，總部主服務(wù)器以128K接入，備份服務(wù)器及分部均以64K接入，同時要求沈陽直接連入大網(wǎng)。備份CE上海CE鄭州CE廣州CE福州CE北京CECNC基于MPLS的IP-VPN北京PE上海PE福州PE廣州PE鄭州PE128k64k64k64k64k64k64k128k端口：1個64K端口：6個總端口數(shù)：端口報價：1x3200+6x2600=18800沈陽三明泉州莆田本地電路報價：電路速率費用北京（主）1282000北京（備）641500鄭州641500廣州641500福州

19、641500上海641500沈陽643500合計13000客戶案例分析 IP-VPN某公司總部設(shè)在北京，在沈陽、上海、廣州、鄭州、福州、莆田、泉州、三明等地設(shè)有分公司。該公司欲以MPLS-VPN組建專網(wǎng)，采取雙星結(jié)構(gòu)，總部主服務(wù)器以128K接入，備份服務(wù)器及分部均以64K接入，同時要求沈陽直接連入大網(wǎng)。備份CE上海CE鄭州CE廣州CE福州CE北京CECNC基于MPLS的IP-VPN北京PE上海PE福州PE廣州PE鄭州PE128k64k64k64k64k64k64k沈陽三明泉州莆田DDN接入一次性費用：14 * （158+200） = 5012元用戶需付月租：MPLS-VPN 端口費 + DDN

20、接入費 18800 + 13000 = 31800元客戶案例分析 IP-VPN本例未考慮CNC城域網(wǎng)因素性能相同的網(wǎng)絡(luò)投入對比64K性能相同的網(wǎng)絡(luò)投入對比128K性能相同的網(wǎng)絡(luò)投入對比256K性能相同的網(wǎng)絡(luò)投入對比2M性能相同的網(wǎng)絡(luò)投入對比匯總表這里所說的僅僅是網(wǎng)絡(luò)性能上的相同，對于中國網(wǎng)通基于MPLS的IP-VPN來說，這只是其諸多優(yōu)勢中的一個側(cè)面，它給用戶帶來的益處遠(yuǎn)遠(yuǎn)不止于此，如管理上的便捷、設(shè)備投資上的銳減、使用上的簡易、擴(kuò)容上的方便均為中國網(wǎng)通基于MPLS的IP-VPN在提供高性能網(wǎng)絡(luò)的同時給用戶帶來的隱性而又巨大的效益。 “臺灣語音專線”是一種建立在VPN上的獨立語音通信服務(wù)。我們所說的VOICE VPN有以下特點：1、服務(wù)對象是在大陸或臺灣均有機(jī)構(gòu)或辦事處的公司、企業(yè)2、針對以上企業(yè)或機(jī)構(gòu)開通