定義依靠ISPInternet-Service課件

DP500007IPVPN概述ISSUE1.0DP500007IPVPN概述ISSUE1.0前言虛擬專用網(wǎng)VPN是依靠ISP（InternetServiceProvider）和NSP（NetworkServiceProvider），在公共網(wǎng)絡(luò)中建立的虛擬專用通信網(wǎng)絡(luò)。本課程主要介紹VPN的概念,原理以及應(yīng)用.Page2前言虛擬專用網(wǎng)VPN是依靠ISP（InternetSer參考資料高端路由操作手冊-VPN分冊(V1.11)Page3參考資料高端路由操作手冊-VPN分冊(V1.11)Page目標(biāo)學(xué)習(xí)完此課程，您將會：了解VPN基本概念掌握VPN的工作原理了解VPN的具體應(yīng)用Page4目標(biāo)學(xué)習(xí)完此課程，您將會：Page4內(nèi)容介紹第1章VPN概述第2章VPN工作原理Page5內(nèi)容介紹第1章VPN概述Page5VPN概念

VPN—VirtualPrivateNetwork虛擬專用網(wǎng)定義：依靠ISP（InternetServiceProvider）和NSP（NetworkServiceProvider），在公共網(wǎng)絡(luò)中建立的虛擬專用通信網(wǎng)絡(luò)。特點：專用性：VPN資源只能被該VPN的用戶使用，不能被網(wǎng)絡(luò)中其他用戶所使用。同時VPN提供足夠的安全保證，確保VPN內(nèi)部信息不受外部侵?jǐn)_虛擬性：VPN用戶內(nèi)部的通信是通過一個公共網(wǎng)絡(luò)進(jìn)行的，而這個公共網(wǎng)絡(luò)同時也被其他非VPN用戶使用．Page6VPN概念VPN—VirtualPrivateNetwVPN優(yōu)勢VPN優(yōu)勢:連接可靠，可保證數(shù)據(jù)傳輸?shù)陌踩?。利用公共網(wǎng)絡(luò)進(jìn)行信息通訊，可降低成本，提高網(wǎng)絡(luò)資源利用率．支持用戶實時、異地接入，可滿足不斷增長的移動業(yè)務(wù)需求。支持QoS功能，可為VPN用戶提供不同等級的服務(wù)質(zhì)量保證。Page7VPN優(yōu)勢VPN優(yōu)勢:Page7遠(yuǎn)程訪問Internet內(nèi)部網(wǎng)合作伙伴分支機(jī)構(gòu)虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)VPN是企業(yè)網(wǎng)在因特網(wǎng)上的延伸VPN典型應(yīng)用Page8遠(yuǎn)程訪問Internet內(nèi)部網(wǎng)合作伙伴分支機(jī)構(gòu)虛擬私有網(wǎng)虛擬VPN分類按照組網(wǎng)模型、業(yè)務(wù)用途、運(yùn)營模式或?qū)崿F(xiàn)層次，VPN可以分為多種類型組網(wǎng)規(guī)模:VPDR:VirtualPrivateDialNetwork虛擬專用撥號網(wǎng)絡(luò)VPRN:VirtualPrivateRoutingNetwork虛擬專用路由網(wǎng)VRPS:VirtualPrivateLANSegment虛擬專用LAN網(wǎng)段VLL:VirtualLeasedLine虛擬租用線

Page9VPN分類按照組網(wǎng)模型、業(yè)務(wù)用途、運(yùn)營模式或?qū)崿F(xiàn)層PageVPN分類業(yè)務(wù)用途:IntranetVPN企業(yè)內(nèi)部虛擬專網(wǎng)ExtranetVPN擴(kuò)展的企業(yè)內(nèi)部虛擬專網(wǎng)AccessVPN遠(yuǎn)程訪問虛擬專網(wǎng)Page10VPN分類Page10VPN分類運(yùn)營模式:CPE-basedVPN:CustomerPremisesEquipmentbasedVPN由用戶控制Network-basedVPN:由ISP控制Page11VPN分類Page11VPN分類實現(xiàn)層次:L3VPN（Layer3VPN）L2VPN（Layer2VPN）VPDNPage12VPN分類Page12VPDN適用范圍：出差員工異地小型辦公機(jī)構(gòu)POPPOP用戶直接發(fā)起連接POPISP發(fā)起連接總部隧道Page13VPDN適用范圍：POPPOP用戶直接發(fā)起連接POPISP發(fā)內(nèi)容介紹第1章VPN概述第2章VPN工作原理Page14內(nèi)容介紹第1章VPN概述Page14VPN隧道VPN的基本原理是利用隧道技術(shù)，把VPN報文封裝在隧道中，利用VPN骨干網(wǎng)建立專用數(shù)據(jù)傳輸通道，實現(xiàn)報文的透明傳輸。隧道技術(shù)使用一種協(xié)議封裝另外一種協(xié)議報文，而封裝協(xié)議本身也可以被其他封裝協(xié)議所封裝或承載。對用戶來說，隧道是其PSTN/ISDN鏈路的邏輯延伸，在使用上與實際物理鏈路相同.Page15VPN隧道VPN的基本原理是利用隧道技術(shù)，把VPN報文封裝在VPN隧道VPN隧道的功能:封裝原始數(shù)據(jù)實現(xiàn)隧道兩端的點到點連通定時檢測VPN隧道的連通性VPN隧道的安全性VPN隧道的QoS特性Page16VPN隧道VPN隧道的功能:Page16VPN協(xié)議—隧道協(xié)議第二層隧道協(xié)議PPTPL2FL2TP第三層隧道協(xié)議GREIPSecMPLSVPNPage17VPN協(xié)議—隧道協(xié)議第二層隧道協(xié)議Page17PPTPPPTP:Point-to-PointTunnelingProtocol點到點隧道協(xié)議PPTP將其他協(xié)議和數(shù)據(jù)封裝于IP網(wǎng)絡(luò)；該方式用在公共的Internet創(chuàng)建VPN，遠(yuǎn)端用戶能夠透過任何支持PPTP的ISP訪問公司的專用網(wǎng)絡(luò)。此協(xié)議由Microsoft開發(fā)，與Windows95和NT集成很好。在數(shù)據(jù)安全性方面，此協(xié)議使用40bit或128bitRC4的加密算法。Page18PPTPPPTP:Point-to-PointTunneL2FL2F:Layer2Forwarding二層轉(zhuǎn)發(fā)L2F能支持對更高級協(xié)議鏈路層的隧道封裝，實現(xiàn)撥號服務(wù)器和撥號協(xié)議連接在物理位置上的分離。Page19L2FL2F:Layer2Forwarding二層L2TPL2TP:LayerTwoTunnelingProtocol二層隧道協(xié)議IETF所制定的在Internet上創(chuàng)建VPN的協(xié)議。這個協(xié)議是在PPTP和L2F的技術(shù)之上所制定的標(biāo)準(zhǔn)InternetTunnel協(xié)議,用于保護(hù)PPP報文;數(shù)據(jù)沒有加密機(jī)制，可通過IPSEC保證數(shù)據(jù)安全。主要用途：企業(yè)駐外機(jī)構(gòu)和出差人員可從遠(yuǎn)程經(jīng)由公共網(wǎng)絡(luò)，通過虛擬隧道實現(xiàn)和企業(yè)總部之間的網(wǎng)絡(luò)連接。Page20L2TPL2TP:LayerTwoTunnelingL2TP報文格式L2TP報文封裝層次結(jié)構(gòu) 此報文格式是LAC與LNS之間的數(shù)據(jù)報文。L2TP報文頭是VPN協(xié)議報文頭，其內(nèi)封裝的是PPP報文，因此L2TP是二層VPN協(xié)議。IP報文頭(公網(wǎng)地址)UDP報文L2TP報文頭PPP報文頭IP報文頭(私網(wǎng)地址)DataPage21L2TP報文格式L2TP報文封裝層次結(jié)構(gòu) IP報文頭(公網(wǎng)L2TP協(xié)議組件

VPN用戶：指通過L2TP協(xié)議連入VPN的用戶，通常是外地出差員工或辦事機(jī)構(gòu)。LAC:L2TPAccessConcentratorL2TP訪問集中器VPN用戶和LNS之間傳遞數(shù)據(jù)的設(shè)備，通常是當(dāng)?shù)豂SP的接入設(shè)備，具有PPP端系統(tǒng)和L2TP協(xié)議處理能力。LAC把從VPN用戶處收到的信息包按照L2TP協(xié)議進(jìn)行封裝并送往LNS，將從LNS收到的信息包進(jìn)行解封裝并送往遠(yuǎn)端系統(tǒng)。LNS:L2TPNetworkServerL2TP網(wǎng)絡(luò)服務(wù)器L2TP協(xié)議的服務(wù)器端部分，通常是企業(yè)內(nèi)部網(wǎng)的邊緣設(shè)備。LNS作為L2TP隧道的另一側(cè)端點，是LAC的對端設(shè)備，是被LAC進(jìn)行隧道傳輸?shù)腜PP會話的邏輯終止端點。Page22L2TP協(xié)議組件VPN用戶：指通過L2TP協(xié)議連入VPN的LAC發(fā)起連接(LAC-initialized) 用戶通過PSTN/ISDN接入NAS(LAC)，NAS判斷如果是VPN用戶，就向指定的LNS發(fā)起L2TP連接用戶發(fā)起連接(Client-initialized) 用戶通過PSTN/ISDN接入NAS，獲得訪問Internet權(quán)限然后直接向遠(yuǎn)端LNS服務(wù)器發(fā)起L2TP連接L2TP隧道發(fā)起方式Page23LAC發(fā)起連接(LAC-initialized)L2TP隧道L2TP隧道發(fā)起方式LAC發(fā)起VPN用戶：向LAC設(shè)備發(fā)起PPP連接。LAC：判斷用戶是否是L2TP用戶，如果是，判斷用戶向哪個LNS發(fā)起隧道請求。LNS：為用戶分配私網(wǎng)地址，準(zhǔn)許用戶接入內(nèi)部網(wǎng)絡(luò)。Page24L2TP隧道發(fā)起方式LAC發(fā)起VPN用戶：向LAC設(shè)備發(fā)起PL2TP隧道發(fā)起方式客戶端直接發(fā)起VPN用戶：首先獲得公網(wǎng)地址，與LNS之間保持連通，向LNS發(fā)起建立隧道請求。LNS：為用戶分配私網(wǎng)地址，準(zhǔn)許用戶接入內(nèi)部網(wǎng)絡(luò)。Page25L2TP隧道發(fā)起方式客戶端直接發(fā)起VPN用戶：首先獲得公網(wǎng)地IPSecIPSec（IPSecurity）是IETF制定的為保證在Internet上傳送數(shù)據(jù)的安全保密性能的框架協(xié)議IPSec包括報文驗證頭協(xié)議AH（協(xié)議號51）和報文安全封裝協(xié)議ESP（協(xié)議號50）兩個協(xié)議IPSec有隧道（tunnel）和傳送（transport）兩種工作方式Page26IPSecIPSec（IPSecurity）是IETF制定隧道模式IPPayloadIPheaderIPPayloadIPheaderIPheaderIPSECheader保護(hù)IP包頭和IP負(fù)載可適用于兩者,隱藏內(nèi)部IP地址,協(xié)議類型和端口號加密在IPSec之前在IPSec*之后IPSec工作模式Page27隧道模式IPPayloadIPheaderIPPay傳輸模式在IPSec之前在IPSec*之后IP有效載荷IP頭內(nèi)部受保護(hù)的數(shù)據(jù)IP有效載荷IP頭IPSec

頭線上傳輸保護(hù)TCP/UDP/ICMP有效負(fù)載IPSec工作模式Page28傳輸模式在IPSec之前在IPSec*之后IP有效載IPSec的組成IPSec提供兩個安全協(xié)議AH(AuthenticationHeader)報文認(rèn)證頭協(xié)議MD5(MessageDigest5)SHA1(SecureHashAlgorithm)ESP(EncapsulationSecurityPayload)封裝安全載荷協(xié)議DES(DataEncryptionStandard)3DES其他的加密算法：Blowfish，blowfish、cast…Page29IPSec的組成IPSec提供兩個安全協(xié)議Page29IPSec的安全特點數(shù)據(jù)機(jī)密性（Confidentiality）數(shù)據(jù)完整性（DataIntegrity）數(shù)據(jù)來源認(rèn)證（DataAuthentication）反重放（Anti-Replay）Page30IPSec的安全特點數(shù)據(jù)機(jī)密性（ConfidentialiGREGRE(GenericRoutingEncapsulation):是對某些網(wǎng)絡(luò)層協(xié)議（如：IP,IPX,AppleTalk等）的數(shù)據(jù)報進(jìn)行封裝，使這些被封裝的數(shù)據(jù)報能夠在異種網(wǎng)絡(luò)協(xié)議（如IP）中傳輸,異種報文傳輸?shù)耐ǖ婪Q為tunnel.IPSec不是一個單獨的協(xié)議，它給出了IP網(wǎng)絡(luò)上數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括AH（AuthenticationHeader）、ESP（EncapsulatingSecurityPayload）、IKE（InternetKeyExchange）等協(xié)議。GRE和IPSec主要用于實現(xiàn)專線VPN業(yè)務(wù)。Page31GREGRE(GenericRoutingEncapsGRE協(xié)議棧IP/IPXGREIP鏈路層協(xié)議乘客協(xié)議封裝協(xié)議運(yùn)輸協(xié)議GRE協(xié)議棧隧道接口的報文格式鏈路層GREIP/IPXIPPayloadPage32GRE協(xié)議棧IP/IPXGREIP鏈路層協(xié)議乘客協(xié)議封裝協(xié)使用GRE構(gòu)建VPNOriginalDataPacketTransferProtocolHeaderGREHeaderInternetTunnel企業(yè)總部分支機(jī)構(gòu)Page33使用GRE構(gòu)建VPNOriginalDataPacketMPLSVPN網(wǎng)絡(luò)結(jié)構(gòu)VPN_AVPN_AVPN_B10.3.0.010.1.0.011.5.0.0CECECEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEVPN_A10.2.0.0CEiBGPsessionsPPPPPEPECE（CustomEdge）：直接與服務(wù)提供商相連的用戶設(shè)備。PE（ProviderEdgeRouter）：指骨干網(wǎng)上的邊緣路由器，與CE相連，主要負(fù)責(zé)VPN業(yè)務(wù)的接入。P（ProviderRouter）：指骨干網(wǎng)上的核心路由器，主要完成路由和快速轉(zhuǎn)發(fā)功能。Page34MPLSVPN網(wǎng)絡(luò)結(jié)構(gòu)VPN_AVPN_AVPN_B10MPLSL3VPNMPLSL3VPN:MultipleProtocolLabelSwitchLayer3VPN在這種網(wǎng)絡(luò)構(gòu)造中，由服務(wù)提供商向用戶提供VPN服務(wù)，用戶感覺不到公共網(wǎng)絡(luò)的存在，就好像擁有獨立的網(wǎng)絡(luò)資源一樣。P路由器，也不需要知道有VPN的存在，僅僅負(fù)責(zé)骨干網(wǎng)內(nèi)部的數(shù)據(jù)傳輸。但其必須能夠支持MPLS協(xié)議，并使能該協(xié)議。所有的VPN的構(gòu)建、連接和管理工作都是在PE上進(jìn)行的?？梢灾苯永矛F(xiàn)有路由協(xié)議而無需任何改動MPLSL3VPN網(wǎng)絡(luò)具有良好的可擴(kuò)展性Page35MPLSL3VPNMPLSL3VPN:MultipMPLSL2VPNTunnel虛通道

Site

SiteSite

SitePEPEMPLSL2VPN就是在MPLS網(wǎng)絡(luò)上透明傳遞用戶的二層數(shù)據(jù)。從用戶的角度來看，這個MPLS網(wǎng)絡(luò)就是一個二層的交換網(wǎng)絡(luò)，通過這個網(wǎng)絡(luò)，可以在不同站點之間建立二層的連接。Page36MPLSL2VPNTunnel虛通道SiteSiteMPLSL2VPNMPLSL2VPN的實現(xiàn)方案:CCCMartiniSVCKompellaPage37MPLSL2VPNMPLSL2VPN的實現(xiàn)方案:PageCCCCCC:CircuitCrossConnect電路交叉連接CCC是通過靜態(tài)配置來實現(xiàn)L2VPN的一種方式,分為本地CCC連接和遠(yuǎn)程CCC連接CCC采用一層標(biāo)記來傳送用戶數(shù)據(jù)，因此它對LSP的使用是獨占性,用戶必須單獨為每一個CCC連接手工配置兩條L2VPNLSP,這兩條L2VPNLSP將只能用于傳遞這個CCC連接的數(shù)據(jù)。

Page38CCCCCC:CircuitCrossConnect電CCC組網(wǎng)MPLS網(wǎng)絡(luò)A公司分支機(jī)構(gòu)2PELSPLSPPEPEA公司分支機(jī)構(gòu)1A公司分支機(jī)構(gòu)3A公司總部Tunnel標(biāo)簽2層頭部數(shù)據(jù)本地連接遠(yuǎn)程連接Page39CCC組網(wǎng)MPLS網(wǎng)絡(luò)A公司PELSPLSPPEPEA公司AMartini使用LDP作為傳遞VC信息的信令。PE之間建立LDP的remotesession，PE為CE之間的每條連接分配一個VC標(biāo)簽。二層VPN信息將攜帶著VC標(biāo)簽，通過LDP建立的LSP轉(zhuǎn)發(fā)到remotesession的對端PE。只提供遠(yuǎn)程連接,一條隧道可以被多條VC共享使用。Page40Martini使用LDP作為傳遞VC信息的信令。Page4Martini組網(wǎng)MPLS網(wǎng)絡(luò)PEMPLS隧道(LSP)MPLS隧道(LSP)PEMPLS隧道(LSP)A公司分支機(jī)構(gòu)1A公司分支機(jī)構(gòu)2A公司總部外層標(biāo)簽VC標(biāo)簽二層頭部數(shù)據(jù)PELDP發(fā)布VC標(biāo)簽Page41Martini組網(wǎng)MPLS網(wǎng)絡(luò)PEMPLS隧道(LSP)MPStaticVCSVC方式的其實與LDP方式L2PVN非常類似，不同之點在于它不必使用LDP作為傳遞二層VC和鏈路信息的信令，手工配置VCLabel信息即可；不用LDP就意味著不需要使用remotepeer，不需要使用LDP相應(yīng)擴(kuò)展TLV。便于ISP的網(wǎng)絡(luò)運(yùn)營，如果隧道不使用LDP建立的LSP，那么LDP就完全不必使用了；其他的和Martini基本一致。Page42StaticVCSVC方式的其實與LDP方式L2PVN非常kompella與MPLSBGPVPN實現(xiàn)機(jī)理類似，特別是CE、PE、ROUTE-TARGET、RD、SITE的定義以及用途區(qū)別是kompella傳送的是二層信息，而MPLSBGPVPN傳送的是三層路由信息，為此kompella進(jìn)行了相應(yīng)的BGPNLRI擴(kuò)展自動拓?fù)浒l(fā)現(xiàn)—以MP-BGP為信令傳播相應(yīng)信息同時支持本地、遠(yuǎn)程虛擬鏈路跨域的解決方式與MPLSL3VPN類似Page43kompella與MPLSBGPVPN實現(xiàn)機(jī)理類似，特別VPN技術(shù)原理幾種VPN技術(shù)小結(jié)Page44VPN技術(shù)原理小結(jié)Page44定義依靠ISP(Internet-Service課件DP500007IPVPN概述ISSUE1.0DP500007IPVPN概述ISSUE1.0前言虛擬專用網(wǎng)VPN是依靠ISP（InternetServiceProvider）和NSP（NetworkServiceProvider），在公共網(wǎng)絡(luò)中建立的虛擬專用通信網(wǎng)絡(luò)。本課程主要介紹VPN的概念,原理以及應(yīng)用.Page47前言虛擬專用網(wǎng)VPN是依靠ISP（InternetSer參考資料高端路由操作手冊-VPN分冊(V1.11)Page48參考資料高端路由操作手冊-VPN分冊(V1.11)Page目標(biāo)學(xué)習(xí)完此課程，您將會：了解VPN基本概念掌握VPN的工作原理了解VPN的具體應(yīng)用Page49目標(biāo)學(xué)習(xí)完此課程，您將會：Page4內(nèi)容介紹第1章VPN概述第2章VPN工作原理Page50內(nèi)容介紹第1章VPN概述Page5VPN概念

VPN—VirtualPrivateNetwork虛擬專用網(wǎng)定義：依靠ISP（InternetServiceProvider）和NSP（NetworkServiceProvider），在公共網(wǎng)絡(luò)中建立的虛擬專用通信網(wǎng)絡(luò)。特點：專用性：VPN資源只能被該VPN的用戶使用，不能被網(wǎng)絡(luò)中其他用戶所使用。同時VPN提供足夠的安全保證，確保VPN內(nèi)部信息不受外部侵?jǐn)_虛擬性：VPN用戶內(nèi)部的通信是通過一個公共網(wǎng)絡(luò)進(jìn)行的，而這個公共網(wǎng)絡(luò)同時也被其他非VPN用戶使用．Page51VPN概念VPN—VirtualPrivateNetwVPN優(yōu)勢VPN優(yōu)勢:連接可靠，可保證數(shù)據(jù)傳輸?shù)陌踩?。利用公共網(wǎng)絡(luò)進(jìn)行信息通訊，可降低成本，提高網(wǎng)絡(luò)資源利用率．支持用戶實時、異地接入，可滿足不斷增長的移動業(yè)務(wù)需求。支持QoS功能，可為VPN用戶提供不同等級的服務(wù)質(zhì)量保證。Page52VPN優(yōu)勢VPN優(yōu)勢:Page7遠(yuǎn)程訪問Internet內(nèi)部網(wǎng)合作伙伴分支機(jī)構(gòu)虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)VPN是企業(yè)網(wǎng)在因特網(wǎng)上的延伸VPN典型應(yīng)用Page53遠(yuǎn)程訪問Internet內(nèi)部網(wǎng)合作伙伴分支機(jī)構(gòu)虛擬私有網(wǎng)虛擬VPN分類按照組網(wǎng)模型、業(yè)務(wù)用途、運(yùn)營模式或?qū)崿F(xiàn)層次，VPN可以分為多種類型組網(wǎng)規(guī)模:VPDR:VirtualPrivateDialNetwork虛擬專用撥號網(wǎng)絡(luò)VPRN:VirtualPrivateRoutingNetwork虛擬專用路由網(wǎng)VRPS:VirtualPrivateLANSegment虛擬專用LAN網(wǎng)段VLL:VirtualLeasedLine虛擬租用線

Page54VPN分類按照組網(wǎng)模型、業(yè)務(wù)用途、運(yùn)營模式或?qū)崿F(xiàn)層PageVPN分類業(yè)務(wù)用途:IntranetVPN企業(yè)內(nèi)部虛擬專網(wǎng)ExtranetVPN擴(kuò)展的企業(yè)內(nèi)部虛擬專網(wǎng)AccessVPN遠(yuǎn)程訪問虛擬專網(wǎng)Page55VPN分類Page10VPN分類運(yùn)營模式:CPE-basedVPN:CustomerPremisesEquipmentbasedVPN由用戶控制Network-basedVPN:由ISP控制Page56VPN分類Page11VPN分類實現(xiàn)層次:L3VPN（Layer3VPN）L2VPN（Layer2VPN）VPDNPage57VPN分類Page12VPDN適用范圍：出差員工異地小型辦公機(jī)構(gòu)POPPOP用戶直接發(fā)起連接POPISP發(fā)起連接總部隧道Page58VPDN適用范圍：POPPOP用戶直接發(fā)起連接POPISP發(fā)內(nèi)容介紹第1章VPN概述第2章VPN工作原理Page59內(nèi)容介紹第1章VPN概述Page14VPN隧道VPN的基本原理是利用隧道技術(shù)，把VPN報文封裝在隧道中，利用VPN骨干網(wǎng)建立專用數(shù)據(jù)傳輸通道，實現(xiàn)報文的透明傳輸。隧道技術(shù)使用一種協(xié)議封裝另外一種協(xié)議報文，而封裝協(xié)議本身也可以被其他封裝協(xié)議所封裝或承載。對用戶來說，隧道是其PSTN/ISDN鏈路的邏輯延伸，在使用上與實際物理鏈路相同.Page60VPN隧道VPN的基本原理是利用隧道技術(shù)，把VPN報文封裝在VPN隧道VPN隧道的功能:封裝原始數(shù)據(jù)實現(xiàn)隧道兩端的點到點連通定時檢測VPN隧道的連通性VPN隧道的安全性VPN隧道的QoS特性Page61VPN隧道VPN隧道的功能:Page16VPN協(xié)議—隧道協(xié)議第二層隧道協(xié)議PPTPL2FL2TP第三層隧道協(xié)議GREIPSecMPLSVPNPage62VPN協(xié)議—隧道協(xié)議第二層隧道協(xié)議Page17PPTPPPTP:Point-to-PointTunnelingProtocol點到點隧道協(xié)議PPTP將其他協(xié)議和數(shù)據(jù)封裝于IP網(wǎng)絡(luò)；該方式用在公共的Internet創(chuàng)建VPN，遠(yuǎn)端用戶能夠透過任何支持PPTP的ISP訪問公司的專用網(wǎng)絡(luò)。此協(xié)議由Microsoft開發(fā)，與Windows95和NT集成很好。在數(shù)據(jù)安全性方面，此協(xié)議使用40bit或128bitRC4的加密算法。Page63PPTPPPTP:Point-to-PointTunneL2FL2F:Layer2Forwarding二層轉(zhuǎn)發(fā)L2F能支持對更高級協(xié)議鏈路層的隧道封裝，實現(xiàn)撥號服務(wù)器和撥號協(xié)議連接在物理位置上的分離。Page64L2FL2F:Layer2Forwarding二層L2TPL2TP:LayerTwoTunnelingProtocol二層隧道協(xié)議IETF所制定的在Internet上創(chuàng)建VPN的協(xié)議。這個協(xié)議是在PPTP和L2F的技術(shù)之上所制定的標(biāo)準(zhǔn)InternetTunnel協(xié)議,用于保護(hù)PPP報文;數(shù)據(jù)沒有加密機(jī)制，可通過IPSEC保證數(shù)據(jù)安全。主要用途：企業(yè)駐外機(jī)構(gòu)和出差人員可從遠(yuǎn)程經(jīng)由公共網(wǎng)絡(luò)，通過虛擬隧道實現(xiàn)和企業(yè)總部之間的網(wǎng)絡(luò)連接。Page65L2TPL2TP:LayerTwoTunnelingL2TP報文格式L2TP報文封裝層次結(jié)構(gòu) 此報文格式是LAC與LNS之間的數(shù)據(jù)報文。L2TP報文頭是VPN協(xié)議報文頭，其內(nèi)封裝的是PPP報文，因此L2TP是二層VPN協(xié)議。IP報文頭(公網(wǎng)地址)UDP報文L2TP報文頭PPP報文頭IP報文頭(私網(wǎng)地址)DataPage66L2TP報文格式L2TP報文封裝層次結(jié)構(gòu) IP報文頭(公網(wǎng)L2TP協(xié)議組件

VPN用戶：指通過L2TP協(xié)議連入VPN的用戶，通常是外地出差員工或辦事機(jī)構(gòu)。LAC:L2TPAccessConcentratorL2TP訪問集中器VPN用戶和LNS之間傳遞數(shù)據(jù)的設(shè)備，通常是當(dāng)?shù)豂SP的接入設(shè)備，具有PPP端系統(tǒng)和L2TP協(xié)議處理能力。LAC把從VPN用戶處收到的信息包按照L2TP協(xié)議進(jìn)行封裝并送往LNS，將從LNS收到的信息包進(jìn)行解封裝并送往遠(yuǎn)端系統(tǒng)。LNS:L2TPNetworkServerL2TP網(wǎng)絡(luò)服務(wù)器L2TP協(xié)議的服務(wù)器端部分，通常是企業(yè)內(nèi)部網(wǎng)的邊緣設(shè)備。LNS作為L2TP隧道的另一側(cè)端點，是LAC的對端設(shè)備，是被LAC進(jìn)行隧道傳輸?shù)腜PP會話的邏輯終止端點。Page67L2TP協(xié)議組件VPN用戶：指通過L2TP協(xié)議連入VPN的LAC發(fā)起連接(LAC-initialized) 用戶通過PSTN/ISDN接入NAS(LAC)，NAS判斷如果是VPN用戶，就向指定的LNS發(fā)起L2TP連接用戶發(fā)起連接(Client-initialized) 用戶通過PSTN/ISDN接入NAS，獲得訪問Internet權(quán)限然后直接向遠(yuǎn)端LNS服務(wù)器發(fā)起L2TP連接L2TP隧道發(fā)起方式Page68LAC發(fā)起連接(LAC-initialized)L2TP隧道L2TP隧道發(fā)起方式LAC發(fā)起VPN用戶：向LAC設(shè)備發(fā)起PPP連接。LAC：判斷用戶是否是L2TP用戶，如果是，判斷用戶向哪個LNS發(fā)起隧道請求。LNS：為用戶分配私網(wǎng)地址，準(zhǔn)許用戶接入內(nèi)部網(wǎng)絡(luò)。Page69L2TP隧道發(fā)起方式LAC發(fā)起VPN用戶：向LAC設(shè)備發(fā)起PL2TP隧道發(fā)起方式客戶端直接發(fā)起VPN用戶：首先獲得公網(wǎng)地址，與LNS之間保持連通，向LNS發(fā)起建立隧道請求。LNS：為用戶分配私網(wǎng)地址，準(zhǔn)許用戶接入內(nèi)部網(wǎng)絡(luò)。Page70L2TP隧道發(fā)起方式客戶端直接發(fā)起VPN用戶：首先獲得公網(wǎng)地IPSecIPSec（IPSecurity）是IETF制定的為保證在Internet上傳送數(shù)據(jù)的安全保密性能的框架協(xié)議IPSec包括報文驗證頭協(xié)議AH（協(xié)議號51）和報文安全封裝協(xié)議ESP（協(xié)議號50）兩個協(xié)議IPSec有隧道（tunnel）和傳送（transport）兩種工作方式Page71IPSecIPSec（IPSecurity）是IETF制定隧道模式IPPayloadIPheaderIPPayloadIPheaderIPheaderIPSECheader保護(hù)IP包頭和IP負(fù)載可適用于兩者,隱藏內(nèi)部IP地址,協(xié)議類型和端口號加密在IPSec之前在IPSec*之后IPSec工作模式Page72隧道模式IPPayloadIPheaderIPPay傳輸模式在IPSec之前在IPSec*之后IP有效載荷IP頭內(nèi)部受保護(hù)的數(shù)據(jù)IP有效載荷IP頭IPSec

頭線上傳輸保護(hù)TCP/UDP/ICMP有效負(fù)載IPSec工作模式Page73傳輸模式在IPSec之前在IPSec*之后IP有效載IPSec的組成IPSec提供兩個安全協(xié)議AH(AuthenticationHeader)報文認(rèn)證頭協(xié)議MD5(MessageDigest5)SHA1(SecureHashAlgorithm)ESP(EncapsulationSecurityPayload)封裝安全載荷協(xié)議DES(DataEncryptionStandard)3DES其他的加密算法：Blowfish，blowfish、cast…Page74IPSec的組成IPSec提供兩個安全協(xié)議Page29IPSec的安全特點數(shù)據(jù)機(jī)密性（Confidentiality）數(shù)據(jù)完整性（DataIntegrity）數(shù)據(jù)來源認(rèn)證（DataAuthentication）反重放（Anti-Replay）Page75IPSec的安全特點數(shù)據(jù)機(jī)密性（ConfidentialiGREGRE(GenericRoutingEncapsulation):是對某些網(wǎng)絡(luò)層協(xié)議（如：IP,IPX,AppleTalk等）的數(shù)據(jù)報進(jìn)行封裝，使這些被封裝的數(shù)據(jù)報能夠在異種網(wǎng)絡(luò)協(xié)議（如IP）中傳輸,異種報文傳輸?shù)耐ǖ婪Q為tunnel.IPSec不是一個單獨的協(xié)議，它給出了IP網(wǎng)絡(luò)上數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括AH（AuthenticationHeader）、ESP（EncapsulatingSecurityPayload）、IKE（InternetKeyExchange）等協(xié)議。GRE和IPSec主要用于實現(xiàn)專線VPN業(yè)務(wù)。Page76GREGRE(GenericRoutingEncapsGRE協(xié)議棧IP/IPXGREIP鏈路層協(xié)議乘客協(xié)議封裝協(xié)議運(yùn)輸協(xié)議GRE協(xié)議棧隧道接口的報文格式鏈路層GREIP/IPXIPPayloadPage77GRE協(xié)議棧IP/IPXGREIP鏈路層協(xié)議乘客協(xié)議封裝協(xié)使用GRE構(gòu)建VPNOriginalDataPacketTransferProtocolHeaderGREHeaderInternetTunnel企業(yè)總部分支機(jī)構(gòu)Page78使用GRE構(gòu)建VPNOriginalDataPacketMPLSVPN網(wǎng)絡(luò)結(jié)構(gòu)VPN_AVPN_AVPN_B10.3.0.010.1.0.011.5.0.0CECECEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEVPN_A10.2.0.0CEiBGPsessionsPPPPPEPECE（CustomEdge）：直接與服務(wù)提供商相連的用戶設(shè)備。PE（ProviderEdgeRouter）：指骨干網(wǎng)上的邊緣路由器，與CE相連，主要負(fù)責(zé)VPN業(yè)務(wù)的接入。P（ProviderRouter）：指骨干網(wǎng)上的核心路由器，主要完成路由和快速轉(zhuǎn)發(fā)功能。Page79MPLSVPN網(wǎng)絡(luò)結(jié)構(gòu)VPN_AVPN_AVPN_B10MPLSL3VPNMPLSL3VPN:MultipleProtocolLabelSwitchLayer3VPN在這種網(wǎng)絡(luò)構(gòu)造中，由服務(wù)提供商向用戶提供VPN服務(wù)，用戶感覺不到公共網(wǎng)絡(luò)的存在，就好像擁有獨立的網(wǎng)絡(luò)資源一樣。P路由器，也不需要知道有VPN的存在，僅僅負(fù)責(zé)骨干網(wǎng)內(nèi)部的數(shù)據(jù)傳輸。但其必須能夠支持MPLS協(xié)議，并使能該協(xié)議。所有的VPN的構(gòu)建、連接和管理工作都是在PE上進(jìn)行的?？梢灾苯永矛F(xiàn)有路由協(xié)議而無需任何改動MPLSL3VPN網(wǎng)絡(luò)具有良好的可擴(kuò)展性Page80MPLSL3VPN