虛擬專用網(wǎng)VPN是依靠ISPInternet課件

DP500007IPVPN概述ISSUE1.0前言虛擬專用網(wǎng)VPN是依靠ISP（InternetServiceProvider）和NSP（NetworkServiceProvider），在公共網(wǎng)絡(luò)中建立的虛擬專用通信網(wǎng)絡(luò)。本課程主要介紹VPN的概念,原理以及應(yīng)用.參考資料高端路由操作手冊(cè)-VPN分冊(cè)(V1.11)內(nèi)容介紹第1章VPN概述第2章VPN工作原理VPN概念

VPN—VirtualPrivateNetwork虛擬專用網(wǎng)定義：依靠ISP（InternetServiceProvider）和NSP（NetworkServiceProvider），在公共網(wǎng)絡(luò)中建立的虛擬專用通信網(wǎng)絡(luò)。特點(diǎn)：專用性：VPN資源只能被該VPN的用戶使用，不能被網(wǎng)絡(luò)中其他用戶所使用。同時(shí)VPN提供足夠的安全保證，確保VPN內(nèi)部信息不受外部侵?jǐn)_虛擬性：VPN用戶內(nèi)部的通信是通過(guò)一個(gè)公共網(wǎng)絡(luò)進(jìn)行的，而這個(gè)公共網(wǎng)絡(luò)同時(shí)也被其他非VPN用戶使用．VPN優(yōu)勢(shì)VPN優(yōu)勢(shì):連接可靠，可保證數(shù)據(jù)傳輸?shù)陌踩?。利用公共網(wǎng)絡(luò)進(jìn)行信息通訊，可降低成本，提高網(wǎng)絡(luò)資源利用率．支持用戶實(shí)時(shí)、異地接入，可滿足不斷增長(zhǎng)的移動(dòng)業(yè)務(wù)需求。支持QoS功能，可為VPN用戶提供不同等級(jí)的服務(wù)質(zhì)量保證。VPN分類按照組網(wǎng)模型、業(yè)務(wù)用途、運(yùn)營(yíng)模式或?qū)崿F(xiàn)層次，VPN可以分為多種類型組網(wǎng)規(guī)模:VPDR:VirtualPrivateDialNetwork虛擬專用撥號(hào)網(wǎng)絡(luò)VPRN:VirtualPrivateRoutingNetwork虛擬專用路由網(wǎng)VRPS:VirtualPrivateLANSegment虛擬專用LAN網(wǎng)段VLL:VirtualLeasedLine虛擬租用線......VPN分類業(yè)務(wù)用途:IntranetVPN企業(yè)內(nèi)部虛擬專網(wǎng)ExtranetVPN擴(kuò)展的企業(yè)內(nèi)部虛擬專網(wǎng)AccessVPN遠(yuǎn)程訪問(wèn)虛擬專網(wǎng)VPN分類運(yùn)營(yíng)模式:CPE-basedVPN:CustomerPremisesEquipmentbasedVPN由用戶控制Network-basedVPN:由ISP控制VPDN適用范圍：出差員工異地小型辦公機(jī)構(gòu)POPPOP用戶直接發(fā)起連接POPISP發(fā)起連接總部隧道內(nèi)容介紹第1章VPN概述第2章VPN工作原理VPN隧道VPN的基本原理是利用隧道技術(shù)，把VPN報(bào)文封裝在隧道中，利用VPN骨干網(wǎng)建立專用數(shù)據(jù)傳輸通道，實(shí)現(xiàn)報(bào)文的透明傳輸。隧道技術(shù)使用一種協(xié)議封裝另外一種協(xié)議報(bào)文，而封裝協(xié)議本身也可以被其他封裝協(xié)議所封裝或承載。對(duì)用戶來(lái)說(shuō)，隧道是其PSTN/ISDN鏈路的邏輯延伸，在使用上與實(shí)際物理鏈路相同.VPN協(xié)議—隧道協(xié)議第二層隧道協(xié)議PPTPL2FL2TP第三層隧道協(xié)議GREIPSecMPLSVPNPPTPPPTP:Point-to-PointTunnelingProtocol點(diǎn)到點(diǎn)隧道協(xié)議PPTP將其他協(xié)議和數(shù)據(jù)封裝于IP網(wǎng)絡(luò)；該方式用在公共的Internet創(chuàng)建VPN，遠(yuǎn)端用戶能夠透過(guò)任何支持PPTP的ISP訪問(wèn)公司的專用網(wǎng)絡(luò)。此協(xié)議由Microsoft開(kāi)發(fā)，與Windows95和NT集成很好。在數(shù)據(jù)安全性方面，此協(xié)議使用40bit或128bitRC4的加密算法。L2FL2F:Layer2Forwarding二層轉(zhuǎn)發(fā)L2F能支持對(duì)更高級(jí)協(xié)議鏈路層的隧道封裝，實(shí)現(xiàn)撥號(hào)服務(wù)器和撥號(hào)協(xié)議連接在物理位置上的分離。L2TP報(bào)文格式L2TP報(bào)文封裝層次結(jié)構(gòu) 此報(bào)文格式是LAC與LNS之間的數(shù)據(jù)報(bào)文。L2TP報(bào)文頭是VPN協(xié)議報(bào)文頭，其內(nèi)封裝的是PPP報(bào)文，因此L2TP是二層VPN協(xié)議。IP報(bào)文頭(公網(wǎng)地址)UDP報(bào)文L2TP報(bào)文頭PPP報(bào)文頭IP報(bào)文頭(私網(wǎng)地址)DataL2TP協(xié)議組件

VPN用戶：指通過(guò)L2TP協(xié)議連入VPN的用戶，通常是外地出差員工或辦事機(jī)構(gòu)。LAC:L2TPAccessConcentratorL2TP訪問(wèn)集中器VPN用戶和LNS之間傳遞數(shù)據(jù)的設(shè)備，通常是當(dāng)?shù)豂SP的接入設(shè)備，具有PPP端系統(tǒng)和L2TP協(xié)議處理能力。LAC把從VPN用戶處收到的信息包按照L2TP協(xié)議進(jìn)行封裝并送往LNS，將從LNS收到的信息包進(jìn)行解封裝并送往遠(yuǎn)端系統(tǒng)。LNS:L2TPNetworkServerL2TP網(wǎng)絡(luò)服務(wù)器L2TP協(xié)議的服務(wù)器端部分，通常是企業(yè)內(nèi)部網(wǎng)的邊緣設(shè)備。LNS作為L(zhǎng)2TP隧道的另一側(cè)端點(diǎn)，是LAC的對(duì)端設(shè)備，是被LAC進(jìn)行隧道傳輸?shù)腜PP會(huì)話的邏輯終止端點(diǎn)。LAC發(fā)起連接(LAC-initialized) 用戶通過(guò)PSTN/ISDN接入NAS(LAC)，NAS判斷如果是VPN用戶，就向指定的LNS發(fā)起L2TP連接用戶發(fā)起連接(Client-initialized) 用戶通過(guò)PSTN/ISDN接入NAS，獲得訪問(wèn)Internet權(quán)限然后直接向遠(yuǎn)端LNS服務(wù)器發(fā)起L2TP連接L2TP隧道發(fā)起方式L2TP隧道發(fā)起方式客戶端直接發(fā)起VPN用戶：首先獲得公網(wǎng)地址，與LNS之間保持連通，向LNS發(fā)起建立隧道請(qǐng)求。LNS：為用戶分配私網(wǎng)地址，準(zhǔn)許用戶接入內(nèi)部網(wǎng)絡(luò)。IPSecIPSec（IPSecurity）是IETF制定的為保證在Internet上傳送數(shù)據(jù)的安全保密性能的框架協(xié)議IPSec包括報(bào)文驗(yàn)證頭協(xié)議AH（協(xié)議號(hào)51）和報(bào)文安全封裝協(xié)議ESP（協(xié)議號(hào)50）兩個(gè)協(xié)議IPSec有隧道（tunnel）和傳送（transport）兩種工作方式隧道模式IPPayloadIPheaderIPPayloadIPheaderIPheaderIPSECheader保護(hù)IP包頭和IP負(fù)載可適用于兩者,隱藏內(nèi)部IP地址,協(xié)議類型和端口號(hào)加密在IPSec之前在IPSec*之后IPSec工作模式IPSec的組成IPSec提供兩個(gè)安全協(xié)議AH(AuthenticationHeader)報(bào)文認(rèn)證頭協(xié)議MD5(MessageDigest5)SHA1(SecureHashAlgorithm)ESP(EncapsulationSecurityPayload)封裝安全載荷協(xié)議DES(DataEncryptionStandard)3DES其他的加密算法：Blowfish，blowfish、cast…IPSec的安全特點(diǎn)數(shù)據(jù)機(jī)密性（Confidentiality）數(shù)據(jù)完整性（DataIntegrity）數(shù)據(jù)來(lái)源認(rèn)證（DataAuthentication）反重放（Anti-Replay）GREGRE(GenericRoutingEncapsulation):是對(duì)某些網(wǎng)絡(luò)層協(xié)議（如：IP,IPX,AppleTalk等）的數(shù)據(jù)報(bào)進(jìn)行封裝，使這些被封裝的數(shù)據(jù)報(bào)能夠在異種網(wǎng)絡(luò)協(xié)議（如IP）中傳輸,異種報(bào)文傳輸?shù)耐ǖ婪Q為tunnel.IPSec不是一個(gè)單獨(dú)的協(xié)議，它給出了IP網(wǎng)絡(luò)上數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括AH（AuthenticationHeader）、ESP（EncapsulatingSecurityPayload）、IKE（InternetKeyExchange）等協(xié)議。GRE和IPSec主要用于實(shí)現(xiàn)專線VPN業(yè)務(wù)。GRE協(xié)議棧IP/IPXGREIP鏈路層協(xié)議乘客協(xié)議封裝協(xié)議運(yùn)輸協(xié)議GRE協(xié)議棧隧道接口的報(bào)文格式鏈路層GREIP/IPXIPPayload使用GRE構(gòu)建VPNOriginalDataPacketTransferProtocolHeaderGREHeaderInternetTunnel企業(yè)總部分支機(jī)構(gòu)MPLSVPN網(wǎng)絡(luò)結(jié)構(gòu)VPN_AVPN_AVPN_B10.3.0.010.1.0.011.5.0.0CECECEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEVPN_A10.2.0.0CEiBGPsessionsPPPPPEPECE（CustomEdge）：直接與服務(wù)提供商相連的用戶設(shè)備。PE（ProviderEdgeRouter）：指骨干網(wǎng)上的邊緣路由器，與CE相連，主要負(fù)責(zé)VPN業(yè)務(wù)的接入。P（ProviderRouter）：指骨干網(wǎng)上的核心路由器，主要完成路由和快速轉(zhuǎn)發(fā)功能。MPLSL3VPNMPLSL3VPN:MultipleProtocolLabelSwitchLayer3VPN在這種網(wǎng)絡(luò)構(gòu)造中，由服務(wù)提供商向用戶提供VPN服務(wù)，用戶感覺(jué)不到公共網(wǎng)絡(luò)的存在，就好像擁有獨(dú)立的網(wǎng)絡(luò)資源一樣。P路由器，也不需要知道有VPN的存在，僅僅負(fù)責(zé)骨干網(wǎng)內(nèi)部的數(shù)據(jù)傳輸。但其必須能夠支持MPLS協(xié)議，并使能該協(xié)議。所有的VPN的構(gòu)建、連接和管理工作都是在PE上進(jìn)行的?？梢灾苯永矛F(xiàn)有路由協(xié)議而無(wú)需任何改動(dòng)MPLSL3VPN網(wǎng)絡(luò)具有良好的可擴(kuò)展性MPLSL2VPNTunnel虛通道

Site

SiteSite

SitePEPEMPLSL2VPN就是在MPLS網(wǎng)絡(luò)上透明傳遞用戶的二層數(shù)據(jù)。從用戶的角度來(lái)看，這個(gè)MPLS網(wǎng)絡(luò)就是一個(gè)二層的交換網(wǎng)絡(luò)，通過(guò)這個(gè)網(wǎng)絡(luò)，可以在不同站點(diǎn)之間建立二層的連接。MPLSL2VPNMPLSL2VPN的實(shí)現(xiàn)方案:CCCMartiniSVCKompellaCCCCCC:CircuitCrossConnect電路交叉連接CCC是通過(guò)靜態(tài)配置來(lái)實(shí)現(xiàn)L2VPN的一種方式,分為本地CCC連接和遠(yuǎn)程CCC連接CCC采用一層標(biāo)記來(lái)傳送用戶數(shù)據(jù)，因此它對(duì)LSP的使用是獨(dú)占性,用戶必須單獨(dú)為每一個(gè)CCC連接手工配置兩條L2VPNLSP,這兩條L2VPNLSP將只能用于傳遞這個(gè)CCC連接的數(shù)據(jù)。

CCC組網(wǎng)MPLS網(wǎng)絡(luò)A公司分支機(jī)構(gòu)2PELSPLSPPEPEA公司分支機(jī)構(gòu)1A公司分支機(jī)構(gòu)3A公司總部Tunnel標(biāo)簽2層頭部數(shù)據(jù)本地連接遠(yuǎn)程連接Martini使用LDP作為傳遞VC信息的信令。PE之間建立LDP的remotesession，PE為CE之間的每條連接分配一個(gè)VC標(biāo)簽。二層VPN信息將攜帶著VC標(biāo)簽，通過(guò)LDP建立的LSP轉(zhuǎn)發(fā)到remotesession的對(duì)端PE。只提供遠(yuǎn)程連接,一條隧道可以被多條VC共享使用。Martini組網(wǎng)MPLS網(wǎng)絡(luò)PEMPLS隧道(LSP)MPLS隧道(LSP)PEMPLS隧道(LSP)A公司分支機(jī)構(gòu)1A公司分支機(jī)構(gòu)2A公司總部外層標(biāo)簽VC標(biāo)簽二層頭部數(shù)據(jù)PELDP發(fā)布VC標(biāo)簽StaticVCSVC方式的其實(shí)與LDP方式L2PVN非常類似，不同之點(diǎn)在于它不必使用LDP作為傳遞二層VC和鏈路信息的信令，手工配置VCLabel信息即可；不用LDP就意味著不需要使用remotepeer，不需要使用LDP相應(yīng)擴(kuò)展TLV。便于ISP的網(wǎng)絡(luò)運(yùn)營(yíng)，如果隧道