1、DP500007 IP VPN概述,ISSUE1.0,Page 2,前 言,虚拟专用网VPN是依靠ISP(Internet Service Provider)和NSP(Network Service Provider),在公共网络中建立的虚拟专用通信网络。本课程主要介绍VPN的概念,原理以及应用.,Page 3,参考资料,高端路由操作手册-VPN分册(V1.11),Page 4,目 标,学习完此课程,您将会: 了解VPN基本概念 掌握VPN的工作原理 了解VPN的具体应用,Page 5,内容介绍,第1章 VPN概述 第2章 VPN工作原理,Page 6,VPN概念,VPNVirtual Pri
2、vate Network虚拟专用网定义:依靠ISP(Internet Service Provider)和NSP(Network Service Provider),在公共网络中建立的虚拟专用通信网络。 特点:专用性:VPN资源只能被该VPN的用户使用,不能被网络中其他用户所使用。同时VPN提供足够的安全保证,确保VPN内部信息不受外部侵扰虚拟性:VPN用户内部的通信是通过一个公共网络进行的,而这个公共网络同时也被其他非VPN用户使用,Page 7,VPN优势,VPN优势:连接可靠,可保证数据传输的安全性。利用公共网络进行信息通讯,可降低成本,提高网络资源利用率支持用户实时、异地接入,可满足不
3、断增长的移动业务需求。支持QoS功能,可为VPN用户提供不同等级的服务质量保证。,Page 8,VPN是企业网在因特网上的延伸,VPN典型应用,Page 9,VPN分类,按照组网模型、业务用途、运营模式或实现层 次,VPN可以分为多种类型 组网规模:VPDR: Virtual Private Dial Network 虚拟专用拨号网络VPRN: Virtual Private Routing Network 虚拟专用路由网VRPS: Virtual Private LAN Segment 虚拟专用LAN网段VLL: Virtual Leased Line 虚拟租用线,Page 10,VPN分类
4、,业务用途:Intranet VPN企业内部虚拟专网Extranet VPN扩展的企业内部虚拟专网Access VPN远程访问虚拟专网,Page 11,VPN分类,运营模式:CPE-based VPN: Customer Premises Equipment basedVPN由用户控制Network-based VPN: 由ISP控制,Page 12,VPN分类,实现层次:L3VPN(Layer 3 VPN)L2VPN(Layer 2 VPN)VPDN,Page 13,VPDN,适用范围: 出差员工 异地小型办公机构,POP,POP,用户直接发起连接,POP,ISP发起连接,总部,隧道,Pag
5、e 14,内容介绍,第1章 VPN概述 第2章 VPN工作原理,Page 15,VPN隧道,VPN的基本原理是利用隧道技术,把VPN报文封装在隧道中,利用VPN骨干网建立专用数据传输通道,实现报文的透明传输。隧道技术使用一种协议封装另外一种协议报文,而封装协议本身也可以被其他封装协议所封装或承载。对用户来说,隧道是其PSTN/ISDN链路的逻辑延伸,在使用上与实际物理链路相同.,Page 16,VPN隧道,VPN隧道的功能:封装原始数据实现隧道两端的点到点连通定时检测VPN隧道的连通性VPN隧道的安全性VPN隧道的QoS特性,Page 17,VPN协议隧道协议,第二层隧道协议 PPTP L2F
6、 L2TP第三层隧道协议 GRE IPSecMPLS VPN,Page 18,PPTP,PPTP: Point-to-Point Tunneling Protocol 点到点隧道协议 PPTP将其他协议和数据封装于IP网络;该方式用在公共的Internet创建VPN,远端用户能够透过任何支持PPTP的ISP访问公司的专用网络。 此协议由Microsoft开发,与Windows95和NT集成很好。在数据安全性方面,此协议使用40bit或128bitRC4的加密算法。,Page 19,L2F,L2F: Layer 2 Forwarding 二层转发 L2F能支持对更高级协议链路层的隧道封装,实现拨
7、号服务器和拨号协议连接在物理位置上的分离。,Page 20,L2TP,L2TP: Layer Two Tunneling Protocol 二层隧道协议 IETF所制定的在Internet上创建VPN的协议。这个协议是在PPTP和L2F的技术之上所制定的标准Internet Tunnel协议,用于保护PPP报文;数据没有加密机制,可通过IPSEC保证数据安全。 主要用途:企业驻外机构和出差人员可从远程经由公共网络,通过虚拟隧道实现和企业总部之间的网络连接。,Page 21,L2TP报文格式,L2TP报文封装层次结构 此报文格式是LAC与LNS之间的数据报文。L2TP报文头是VPN协议报文头,其
8、内封装的是PPP报文,因此L2TP是二层VPN协议。,Page 22,L2TP协议组件,VPN用户:指通过L2TP协议连入VPN的用户,通常是外地出差员工或办事机构。LAC: L2TP Access Concentrator L2TP访问集中器VPN用户和LNS之间传递数据的设备,通常是当地ISP的接入设备,具有PPP端系统和L2TP协议处理能力。LAC把从VPN用户处收到的信息包按照L2TP协议进行封装并送往LNS,将从LNS收到的信息包进行解封装并送往远端系统。LNS: L2TP Network Server L2TP网络服务器L2TP协议的服务器端部分,通常是企业内部网的边缘设备。LNS
9、作为L2TP隧道的另一侧端点,是LAC的对端设备,是被LAC进行隧道传输的PPP会话的逻辑终止端点。,Page 23,LAC发起连接(LAC-initialized)用户通过PSTN/ISDN接入NAS(LAC),NAS判断如果是VPN用户,就向指定的LNS发起L2TP连接 用户发起连接(Client-initialized)用户通过PSTN/ISDN接入NAS,获得访问Internet权限然后直接向远端LNS服务器发起L2TP连接,L2TP隧道发起方式,Page 24,L2TP隧道发起方式,LAC发起,VPN用户:向LAC设备发起PPP连接。 LAC:判断用户是否是L2TP用户,如果是,判断
10、用户向哪个LNS发起隧道请求。 LNS:为用户分配私网地址,准许用户接入内部网络。,Page 25,L2TP隧道发起方式,客户端直接发起,VPN用户:首先获得公网地址,与LNS之间保持连通,向LNS发起建立隧道请求。 LNS:为用户分配私网地址,准许用户接入内部网络。,Page 26,IPSec,IPSec(IP Security)是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议 IPSec包括报文验证头协议AH(协议号51) 和报文安全封装协议ESP(协议号50)两个协议 IPSec有隧道(tunnel)和传送(transport)两种工作方式,Page 27,隧道
11、模式,IP Payload,IP header,IP header,IPSECheader,保护 IP包头和 IP负载 可适用于两者,隐藏内部 IP地址,协议类型和端口号,加密,在 IPSec之前,在 IPSec*之后,IPSec 工作模式,Page 28,传输模式,在 IPSec之前,在 IPSec*之后,保护 TCP/UDP/ICMP 有效负载,IPSec工作模式,Page 29,IPSec 的组成,IPSec 提供两个安全协议 AH (Authentication Header)报文认证头协议 MD5(Message Digest 5) SHA1(Secure Hash Algorith
12、m) ESP (Encapsulation Security Payload)封装安全载荷协议 DES (Data Encryption Standard) 3DES其他的加密算法:Blowfish ,blowfish、 cast ,Page 30,IPSec 的安全特点,数据机密性(Confidentiality) 数据完整性(Data Integrity) 数据来源认证 (Data Authentication) 反重放(Anti-Replay),Page 31,GRE,GRE (Generic Routing Encapsulation): 是对某些网络层协议(如:IP, IPX, Ap
13、pleTalk等)的数据报进行封装,使这些被封装的数据报能够在异种网络协议(如IP)中传输,异种报文传输的通道称为tunnel. IPSec不是一个单独的协议,它给出了IP网络上数据安全的一整套体系结构,包括AH(Authentication Header)、ESP(Encapsulating Security Payload)、IKE(Internet Key Exchange)等协议。 GRE和IPSec主要用于实现专线VPN业务。,Page 32,GRE 协议栈,乘客协议,封装协议,运输协议,GRE协议栈,隧道接口的报文格式,链路层,GRE,IP/IPX,IP,Payload,Page
14、33,使用GRE构建VPN,Original Data Packet,Transfer Protocol Header,GRE Header,Internet,Tunnel,企业总部,分支机构,Page 34,MPLS VPN 网络结构,VPN_A,VPN_A,VPN_B,10.3.0.0,10.1.0.0,11.5.0.0,CE,CE,CE,VPN_A,VPN_B,VPN_B,10.1.0.0,10.2.0.0,11.6.0.0,CE,PE,PE,CE,CE,VPN_A,10.2.0.0,CE,VPN_A,VPN_B,VPN_B,10.1.0.0,10.2.0.0,11.6.0.0,CE,P
15、E,PE,CE,CE,VPN_A,10.2.0.0,CE,VPN_A,10.2.0.0,CE,iBGP,sessions,P,P,P,P,PE,PE,CE(Custom Edge):直接与服务提供商相连的用户设备。 PE(Provider Edge Router):指骨干网上的边缘路由器,与CE相连,主要负责VPN业务的接入。 P (Provider Router):指骨干网上的核心路由器,主要完成路由和快速转发功能。,Page 35,MPLS L3 VPN,MPLS L3VPN: Multiple Protocol Label Switch Layer 3 VPN 在这种网络构造中,由服务提
16、供商向用户提供VPN服务,用户感觉不到公共网络的存在,就好像拥有独立的网络资源一样。 P 路由器,也不需要知道有VPN的存在,仅仅负责骨干网内部的数据传输。但其必须能够支持MPLS协议,并使能该协议。 所有的VPN的构建、连接和管理工作都是在PE上进行的。 可以直接利用现有路由协议而无需任何改动 MPLS L3 VPN网络具有良好的可扩展性,Page 36,MPLS L2VPN,Tunnel,虚通道,Site,Site,Site,Site,MPLS L2VPN就是在MPLS网络上透明传递用户的二层数据。从用户的角度来看,这个MPLS网络就是一个二层的交换网络,通过这个网络,可以在不同站点之间建
17、立二层的连接。,Page 37,MPLS L2VPN,MPLS L2VPN的实现方案: CCC Martini SVC Kompella,Page 38,CCC,CCC: Circuit Cross Connect电路交叉连接 CCC是通过静态配置来实现L2VPN的一种方式, 分为本地CCC连接和远程CCC连接 CCC采用一层标记来传送用户数据,因此它对LSP的使用是独占性,用户必须单独为每一个CCC连接手工配置两条L2VPN LSP,这两条L2VPN LSP将只能用于传递这个CCC连接的数据。,Page 39,CCC组网,MPLS网络,A公司 分支机构2,PE,LSP,LSP,PE,PE,A
18、公司 分支机构1,A公司 分支机构3,A公司 总部,Tunnel标签,2层头部,数据,本地 连接,远程 连接,Page 40,Martini,使用LDP作为传递VC信息的信令。 PE之间建立LDP的remote session,PE为CE之间的每条连接分配一个VC标签。二层VPN信息将携带着VC标签,通过LDP建立的LSP转发到remote session的对端PE。 只提供远程连接,一条隧道可以被多条VC共享使用。,Page 41,Martini组网,MPLS网络,PE,MPLS隧道(LSP),MPLS隧道(LSP),PE,MPLS隧道(LSP),A公司 分支机构1,A公司 分支机构2,A公
19、司 总部,外层标签,VC标签,二层头部,数据,PE,LDP发布VC标签,Page 42,Static VC,SVC方式的其实与LDP方式L2PVN非常类似,不同之点在于它不必使用LDP作为传递二层VC和链路信息的信令,手工配置VC Label信息即可; 不用LDP就意味着不需要使用remote peer,不需要使用LDP相应扩展TLV。便于ISP的网络运营,如果隧道不使用LDP建立的LSP,那么LDP就完全不必使用了; 其他的和Martini基本一致。,Page 43,kompella,与MPLS BGP VPN实现机理类似,特别是CE、PE、ROUTE-TARGET、RD、SITE的定义以及用途 区别是kompella传送的是二层信息,而MPLS BGP VPN传送的是三层路由信息,为此kompella进行了相应的BGP NLRI扩展 自动拓扑发现以MP-BGP为信令传播相应信息 同时支持本地、远程虚拟链路 跨域的解决方式与MPLS L3 VPN类似,Page 44,VPN技术原理 几种VPN技术,小结,更多资源http:/
