現(xiàn)代骨干網(wǎng)與高速互聯(lián)網(wǎng)技術(shù)-6

現(xiàn)代骨干網(wǎng)與高速互聯(lián)網(wǎng)技術(shù)

ModernBackboneNetwork&High-SpeedInternetTechnology鄔春學(xué)tyfond@126.com/blog/tyfond.htm上海理工大學(xué)Thursday,January25,20246.0虛擬專用網(wǎng)的演進(jìn)過程Internet也就是運(yùn)行TCP/IP協(xié)議套件的所有網(wǎng)絡(luò)的一個(gè)大集合。在80年代，人們普遍使用的還有另一些網(wǎng)絡(luò)協(xié)議體系—ISO（國(guó)際標(biāo)準(zhǔn)化組織）的OSI、IBM公司的SNA以及DEC公司的DECnet等等。然而，所有這些協(xié)議沒一個(gè)是簡(jiǎn)單的，也不象TCP/IP那樣是開放的。正是由于這個(gè)原因，TCP/IP協(xié)議套件才得到了廣泛的實(shí)施、開發(fā)和支持。6.0虛擬專用網(wǎng)的演進(jìn)過程所有網(wǎng)絡(luò)協(xié)議體系均包括下述基本組件：■協(xié)議堆?！上嗷ラg通信、高效率傳輸數(shù)據(jù)包的各個(gè)層構(gòu)成。■定址系統(tǒng)—提供獨(dú)一無二標(biāo)識(shí)一個(gè)目的地（目標(biāo)主機(jī)）的能力。為了實(shí)現(xiàn)大范圍內(nèi)的通信，有必要將通信實(shí)體唯一地標(biāo)識(shí)出來?！雎酚桑ㄟx擇）—決定一個(gè)特定數(shù)據(jù)包的傳送路徑，令其最終抵達(dá)目的地，這就是所謂的“路由選擇（Routing）”。6.0虛擬專用網(wǎng)的演進(jìn)過程

最初的計(jì)算機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)為客戶提供了很高的安全性，但由于下述兩個(gè)原因，實(shí)現(xiàn)的成本效益不高：網(wǎng)絡(luò)中兩個(gè)站點(diǎn)之間的數(shù)據(jù)流量隨時(shí)間不同而不同；終端用戶總是要求快速響應(yīng)，因此要求站點(diǎn)之間有很大的帶寬，但租用線的專用帶寬只有部分時(shí)間被使用。整個(gè)VPN解決方案包含大量的組件：服務(wù)提供商擁在基礎(chǔ)設(shè)施（設(shè)備和傳輸介質(zhì)），它為客戶提供仿真的租用線路?？蛻敉ㄟ^客戶前端設(shè)備（CustomerPremisesEquipment,CPE）與服務(wù)提供商的網(wǎng)絡(luò)相連。CPE設(shè)備通過傳輸介質(zhì)與服務(wù)提供商的設(shè)備相連服務(wù)提供商通常在服務(wù)提供商網(wǎng)絡(luò)（P-網(wǎng)絡(luò)）的核心安裝了其他設(shè)備（P-設(shè)備）?？蛻艟W(wǎng)絡(luò)中相連的部分被稱為站點(diǎn)（Site）。服務(wù)提供商給客戶提供的仿真租用線路常駐機(jī)構(gòu)常被稱為虛電路（VC），包括永久虛電路和交換虛電路。服務(wù)提供商可以按固定速率或使用的速率收費(fèi)現(xiàn)代虛擬專網(wǎng)VPN分類：要解決的業(yè)務(wù)問題：企業(yè)內(nèi)部通信（企業(yè)內(nèi)部網(wǎng)）、企業(yè)之間的通信（企業(yè)外部網(wǎng)）以及移動(dòng)用戶的接入（虛擬撥號(hào)專網(wǎng)）服務(wù)提供商在哪一個(gè)OSI層與客戶交換拓?fù)湫畔ⅲ焊采w模型和對(duì)等模型。在服務(wù)提供商網(wǎng)絡(luò)中用于實(shí)現(xiàn)VPN服務(wù)的第二層或第三層技術(shù)：X.25、幀中繼、SMDS（交換多兆位數(shù)據(jù)服務(wù)，SwitchedMultimegabitDataServiceSMDS)

、ATM或IP網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)IPVPN在一個(gè)共享的公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施上，企業(yè)可以獲得與專用網(wǎng)絡(luò)一樣的安全性，一樣的可靠連接，一樣的可管理性，以及一樣的地址分配方案。IPVPN既可以構(gòu)建在Internet之上，也可建立在服務(wù)商的IP或ATM基礎(chǔ)設(shè)施上。IPVPN可以跨越多個(gè)網(wǎng)絡(luò)，通過專用的甚至是撥號(hào)連接，將企業(yè)不同地域的分支機(jī)構(gòu)、移動(dòng)的用戶、遠(yuǎn)程工作者以及企業(yè)合作伙伴連接起來，提供與專用網(wǎng)絡(luò)相同的安全性、性能以及可用性。IPVPN支持的應(yīng)用：遠(yuǎn)程接入：支持遠(yuǎn)程用戶采用PSTN、ISDN、DSL、電纜（cablemodem）或無線的方式接入企業(yè)網(wǎng)絡(luò)。內(nèi)部網(wǎng)：在專用基礎(chǔ)設(shè)施上不同遠(yuǎn)程站點(diǎn)之間的連接。外部網(wǎng)：能夠在一個(gè)或多個(gè)其他企業(yè)網(wǎng)絡(luò)之間進(jìn)行有限的網(wǎng)絡(luò)接入，包括連接到全球Internet。VPN的意義現(xiàn)在越來越多的個(gè)人、職員裝備了便攜式計(jì)算機(jī)，這些便攜式計(jì)算機(jī)需要隨時(shí)隨地連接到企業(yè)網(wǎng)絡(luò)，由此而引起的遠(yuǎn)程連接成本和網(wǎng)絡(luò)復(fù)雜性可想而知。企業(yè)之間的合作及企業(yè)與客戶之間的聯(lián)系也日趨緊密，這些合作和聯(lián)系是動(dòng)態(tài)的，總是處在變化和發(fā)展之中。VPN的基本點(diǎn)：化公為私，使每個(gè)企業(yè)可以臨時(shí)從公用網(wǎng)中挖走一部分資源供自己專用。VPN業(yè)務(wù)對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)基礎(chǔ)平臺(tái)的要求：網(wǎng)絡(luò)中的通道應(yīng)該避免全網(wǎng)狀網(wǎng)連接；減少網(wǎng)絡(luò)設(shè)備中的VPN信息，即提供簡(jiǎn)潔，高效的VPN解決方案；在同一個(gè)VPN中的每個(gè)路由器，不需要配置和VPN網(wǎng)絡(luò)中的其他結(jié)點(diǎn)的點(diǎn)到點(diǎn)連接，而只需和運(yùn)營(yíng)商網(wǎng)絡(luò)的接入路由器相連接；可以簡(jiǎn)單地實(shí)現(xiàn)和其他網(wǎng)絡(luò)的互通；在網(wǎng)絡(luò)的核心采用MPLS協(xié)議傳送數(shù)據(jù)信息；不同VPN用戶間采用BGP協(xié)議傳遞VPN路由信息；有良好的可擴(kuò)展性，同時(shí)對(duì)企業(yè)用戶來說易于實(shí)現(xiàn)。VPN業(yè)務(wù)企業(yè)內(nèi)部的Intranet虛擬IP傳送網(wǎng)絡(luò)Internet接入VPNExtranetVPN遠(yuǎn)程VPN多企業(yè)VPN撥號(hào)VPN6.1VPN的相關(guān)知識(shí)1、VPN的定義2、VPN的構(gòu)成3、VPN的實(shí)現(xiàn)要求1、VPN的定義VPN的定義：是指依靠ISP或其他NSP在公用網(wǎng)絡(luò)基礎(chǔ)設(shè)施之上構(gòu)建的專用的數(shù)據(jù)通信網(wǎng)絡(luò)，這里所指的公用網(wǎng)絡(luò)有多種，包括IP網(wǎng)絡(luò)、幀中繼網(wǎng)絡(luò)和ATM網(wǎng)絡(luò)。虛擬：專用網(wǎng)：IETF對(duì)基于IP的VPN定義：使用IP機(jī)制仿真出一個(gè)私有的廣域網(wǎng)。

2、VPN的構(gòu)成3、VPN的實(shí)現(xiàn)要求專用網(wǎng)的特點(diǎn)：封閉的用戶群安全性高服務(wù)質(zhì)量保證VPN的實(shí)現(xiàn)要求支持?jǐn)?shù)據(jù)分組的透明傳輸支持安全功能提供服務(wù)質(zhì)量保證4、VPN的分類（1）按VPN業(yè)務(wù)類型劃分：

（1）IntranetVPN（內(nèi)部公文流轉(zhuǎn)）（2）AccessVPN（遠(yuǎn)程撥號(hào)VPN）（3）ExtranetVPN（各分支機(jī)構(gòu)互聯(lián)）按VPN發(fā)起主體劃分：

（1）客戶發(fā)起，也稱基于客戶的VPN（2）服務(wù)器發(fā)起，也稱客戶透明方式或基于網(wǎng)絡(luò)的VPN4、VPN的分類（2）按隧道協(xié)議層次劃分：

（1）二層隧道協(xié)議：L2F/L2TP、PPTP（2）三層隧道協(xié)議：GRE、IPSec

（3）介于二、三層間的隧道協(xié)議：MPLS

（4）基于SocketV5的VPN此外，根據(jù)VPN實(shí)現(xiàn)方式不同，還可進(jìn)一步分為軟件實(shí)現(xiàn)和硬件實(shí)現(xiàn)等。6.2VPN的隧道技術(shù)1、隧道的相關(guān)知識(shí)2、隧道協(xié)議類型3、第二層隧道：PPTP4、第二層隧道：L2TP5、第三層隧道技術(shù)：IPSec6、幾種隧道技術(shù)的比較1、隧道的相關(guān)知識(shí)隧道的定義：實(shí)質(zhì)上是一種封裝，將一種協(xié)議（協(xié)議X）封裝在另一種協(xié)議（協(xié)議Y）中傳輸，從而實(shí)現(xiàn)協(xié)議X對(duì)公用傳輸網(wǎng)絡(luò)(采用協(xié)議Y)的透明性隧道協(xié)議內(nèi)包括以下三種協(xié)議乘客協(xié)議（PassengerProtocol）封裝協(xié)議（EncapsulatingProtocol）運(yùn)載協(xié)議（CarrierProtocol）隧道協(xié)議例子2、隧道協(xié)議類型分類依據(jù)：被封裝的數(shù)據(jù)在OSI/RM的層次第二層隧道：以PPTP，L2TP為代表第三層隧道：IPSec3、第二層隧道：PPTP（1）PPTP由微軟公司設(shè)計(jì)，用于將PPP分組通過IP網(wǎng)絡(luò)封裝傳輸3、第二層隧道：PPTP（2）PPTP的數(shù)據(jù)封裝：數(shù)據(jù)鏈路層報(bào)頭IP報(bào)頭GRE報(bào)頭PPP報(bào)頭數(shù)據(jù)鏈路層報(bào)尾加密PPP有效載荷PPTP客戶機(jī)或PPTP服務(wù)器在接收到PPTP數(shù)據(jù)包后，將做如下處理：處理并去除數(shù)據(jù)鏈路層報(bào)頭和報(bào)尾；處理并去除IP報(bào)頭；處理并去除GRE和PPP報(bào)頭；如果需要的話，對(duì)PPP有效載荷即傳輸數(shù)據(jù)進(jìn)行解密或解壓縮；對(duì)傳輸數(shù)據(jù)進(jìn)行接收或轉(zhuǎn)發(fā)處理。

4、第二層隧道：L2TP數(shù)據(jù)封裝格式：特點(diǎn)：它綜合了第二層轉(zhuǎn)發(fā)協(xié)議（L2F）和PPTP兩種協(xié)議各自的優(yōu)點(diǎn)協(xié)議的額外開銷較少5、第三層隧道技術(shù)：IPSecIPSec：即IP層安全協(xié)議，是由Internet組織IETF的IPSec工作組制定的IP網(wǎng)絡(luò)層安全標(biāo)準(zhǔn)。它通過對(duì)IP報(bào)文的封裝以實(shí)現(xiàn)TCP/IP網(wǎng)絡(luò)上數(shù)據(jù)的安全傳送。數(shù)據(jù)封裝格式：6、幾種隧道技術(shù)的比較應(yīng)用范圍：PPTP、L2TP：主要用在遠(yuǎn)程客戶機(jī)訪問局域網(wǎng)方案中；IPSec主要用在網(wǎng)關(guān)到網(wǎng)關(guān)或主機(jī)方案中，不支持遠(yuǎn)程撥號(hào)訪問。安全性：PPTP提供認(rèn)證和加密功能，但安全強(qiáng)度低L2TP提供認(rèn)證和對(duì)控制報(bào)文的加密，但不能對(duì)傳輸中的數(shù)據(jù)加密。IPSec提供了完整的安全解決方案。QoS保證：都未提供對(duì)多協(xié)議的支持：IPSec不支持6.3基于IPSec的VPN的體系結(jié)構(gòu)1、IPSec體系結(jié)構(gòu)2、IPSec協(xié)議框架3、AH協(xié)議4、ESP協(xié)議（封裝安全載荷協(xié)議）5、IPSec傳輸模式6、IPSec隧道模式7、安全策略數(shù)據(jù)庫(kù)(SPD)8、安全聯(lián)盟數(shù)據(jù)庫(kù)(SADB)9、數(shù)據(jù)包輸出處理10、數(shù)據(jù)包輸入處理11、包處理組件實(shí)現(xiàn)模型1、IPSec體系結(jié)構(gòu)2、IPSec協(xié)議框架（1）綜合了密碼技術(shù)和協(xié)議安全機(jī)制，IPSec協(xié)議的設(shè)計(jì)目標(biāo)是在IPV4和IPV6環(huán)境中為網(wǎng)絡(luò)層流量提供靈活的安全服務(wù)。IPSec協(xié)議提供的安全服務(wù)包括：訪問控制、無連接完整性、數(shù)據(jù)源鑒別、重傳攻擊保護(hù)、機(jī)密性、有限的流量保密等。IPSec協(xié)議主要內(nèi)容包括：●協(xié)議框架－RFC2401；●安全協(xié)議：AH協(xié)議－RFC2402、ESP協(xié)議－RFC2406；●密鑰管理協(xié)議：IKE－RFC2409、ISAKMP－RFC2408、OAKLEY協(xié)議－RFC2412?！衩艽a算法：HMAC－RFC2104/2404、CAST－RFC2144、ESP加密算法－RFC2405/2451等?！衿渌航忉層駾OI－RFC2407、IPComp－RFC2393、Roadmap－RFC2411。2、IPSec協(xié)議框架（2）IPSec架構(gòu)密鑰管理ESP協(xié)議AH協(xié)議解釋域（DOI）加密算法鑒別算法IPSec協(xié)議文件框架圖2、IPSec協(xié)議框架（3）ike定義了安全參數(shù)如何協(xié)商,以及共享密鑰如何建立,但它沒有定義的是協(xié)商內(nèi)容.這方面的定義是由"解釋域(doi)"文檔來進(jìn)行的3、AH協(xié)議4、ESP協(xié)議5、IPSec傳輸模式6、IPSec隧道模式6.4MPLS/VPN體系結(jié)構(gòu)概述案例研究VPN路由和轉(zhuǎn)發(fā)表MPLSVPN有三種類型的路由器CE路由器:是客戶端路由器，為用戶提供到PE路由器的連接；PE路由器是運(yùn)營(yíng)商邊緣路由器，也就是MPLS網(wǎng)絡(luò)中的標(biāo)簽邊緣路由器（LER），它根據(jù)存放的路由信息將來自CE路由器或標(biāo)簽交換路徑（LSP）的VPN數(shù)據(jù)處理后進(jìn)行轉(zhuǎn)發(fā)，同時(shí)負(fù)責(zé)和其他PE路由器交換路由信息；P路由器是運(yùn)營(yíng)商網(wǎng)絡(luò)主干路由器，也就是MPLS網(wǎng)絡(luò)中的標(biāo)簽交換路由器（LSR），它根據(jù)分組的外層標(biāo)簽對(duì)VPN數(shù)據(jù)進(jìn)行透明轉(zhuǎn)發(fā)，P路由器只維護(hù)到PE路由器的路由信息而不維護(hù)VPN相關(guān)的路由信息。6.4MPLS/VPN體系結(jié)構(gòu)概述案例研究6.4MPLS/VPN體系結(jié)構(gòu)概述地址空間假設(shè)兩個(gè)公司都遵守相同的地址約定：中心站點(diǎn)使用公有IP地址，而遠(yuǎn)程站點(diǎn)使用專用IP地址空間（網(wǎng)絡(luò)）6.4MPLS/VPN體系結(jié)構(gòu)概述公司站點(diǎn)子網(wǎng)FastFoodSanJose/24SantaClara/24Redwood/24SantaCruz/24Monterey/24Lyon/24EuroBankPairs/24Chartres/24Nantes/24SanFrancisco/246.4MPLS/VPN體系結(jié)構(gòu)概述

傳統(tǒng)上，SuperCom可以使用3種方式來解決地址重疊的問題：說服客戶改變其網(wǎng)絡(luò)的地址空間，大多數(shù)客戶將樂意這么做，而不是去尋找其他的服務(wù)提供商；使用IP-over-IP隧道實(shí)現(xiàn)VPN服務(wù)，在這種實(shí)現(xiàn)中，客戶的IP地址對(duì)服務(wù)提供商路由器是隱藏的；實(shí)現(xiàn)一種復(fù)雜的網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）方案，在提供商邊界路由器上將客戶地址轉(zhuǎn)換成一組不同的地址，并在分組從出口PE-路由器發(fā)送到CE路由器之前，將這些地址轉(zhuǎn)換在地址。6.4MPLS/VPN體系結(jié)構(gòu)概述VPN路由和轉(zhuǎn)發(fā)表MPLS/VPN對(duì)地址重疊的解決方案：每個(gè)VPN在路由器中都有自己的路由和轉(zhuǎn)發(fā)表，因此屬于該VPN的所有客戶或站點(diǎn)都只能訪問該表中的路由集。因此，MPLS/VPN的所有P