07IPVPN操作NE40课案Word格式.docx
- 文档编号:15346049
- 上传时间:2022-10-29
- 格式:DOCX
- 页数:14
- 大小:203.25KB
07IPVPN操作NE40课案Word格式.docx
《07IPVPN操作NE40课案Word格式.docx》由会员分享,可在线阅读,更多相关《07IPVPN操作NE40课案Word格式.docx(14页珍藏版)》请在冰豆网上搜索。
另一方面,VPN提供足够安全性,确保VPN内部信息不受外部的侵扰。
●VPN不是一种简单的高层业务。
该业务建立专网用户之间的网络互联,包括建立VPN内部的网络拓扑、路由计算、成员的加入与退出等,因此VPN技术就比各种普通的点对点的应用机制要复杂得多。
2.VPN的优势
●在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的安全连接,保证数据传输的安全性。
这一优势对于实现电子商务或金融网络与通讯网络的融合将有特别重要的意义。
●利用公共网络进行信息通讯,一方面使企业以明显更低的成本连接远地办事机构、出差人员和业务伙伴,另一方面极大的提高了网络的资源利用率,有助于增加ISP(InternetServiceProvider)的收益。
●只需要通过软件配置就可以增加、删除VPN用户,无需改动硬件设施。
这使得VPN的应用具有很大灵活性。
●支持驻外VPN用户在任何时间、任何地点的移动接入,这将满足不断增长的移动业务需求。
●构建具有服务质量保证的VPN(如MPLSVPN),可为VPN用户提供不同等级的服务质量保证,通过收取不同的业务使用费用可获得更多的利润。
有关MPLSVPN的原理及相关介绍请参见MPLS配置。
1.2VPN的基本技术
1.VPN基本组网应用
以某企业为例,通过VPN建立的企业内部网如图1-1所示:
图1-1VPN组网示意图
从上图可以看出,企业内部资源享用者通过PSTN/ISDN网或局域网就可以连入本地ISP的POP(PointofPresence)服务器,从而访问公司内部资源。
而利用传统的WAN组建技术,相互之间要有专线相连才可以达到同样的目的。
虚拟网组成后,远端用户和外地客户甚至不必拥有本地ISP的上网权限就可以访问企业内部资源,这对于流动性很大的出差员工和分布广泛的客户来说是很有意义的。
企业开设VPN业务所需的设备很少,只需在资源共享处放置一台支持VPN的服务器(如一台WindowsNT服务器或支持VPN的路由器)就可以了。
资源享用者通过PSTN/ISDN网或局域网连入本地POP服务器后,直接呼叫企业的远程服务器(VPN服务器),呼叫接续过程由ISP的接入服务器(AccessServer)与VPN服务器共同完成。
2.VPN的原理
图1-1VPN接入示意图
如上图所示,VPN用户通过PSTN/ISDN网拨入ISP的NAS(NetworkAccessServer)服务器,NAS服务器通过用户名或接入号码识别出该用户为VPN用户后,就和用户的目的VPN服务器建立一条连接,称为隧道(Tunnel),然后将用户数据包封装成IP报文后通过该隧道传送给VPN服务器,VPN服务器收到数据包并拆封后就可以读到真正有意义的报文了。
反向的处理也一样。
隧道两侧可以对报文进行加密处理,使Internet上的其它用户无法读取,因而是安全可靠的。
对用户来说,隧道是其PSTN/ISDN链路的逻辑延伸,操作起来和实际物理链路相同。
隧道可以通过隧道协议来实现。
根据是在OSI模型的第二层还是第三层实现隧道,隧道协议分为第二层隧道协议和第三层隧道协议。
(2)第二层隧道协议
第二层隧道协议是将整个PPP帧封装在内部隧道中。
现有的第二层隧道协议有:
●PPTP(Point-to-PointTunnelingProtocol):
点到点隧道协议,由微软、Ascend和3COM等公司支持,在WindowsNT4.0以上版本中支持。
该协议支持点到点PPP协议在IP网络上的隧道封装,PPTP作为一个呼叫控制和管理协议,使用一种增强的通用路由封装GRE(GenericRoutingEncapsulation)技术为传输的PPP报文提供流控和拥塞控制的封装服务。
●L2F(Layer2Forwarding)协议:
二层转发协议,由Cisco和北方电信等公司支持。
L2F协议支持对更高级协议链路层的隧道封装,实现了拨号服务器和拨号协议连接在物理位置上的分离。
●L2TP(Layer2TunnelingProtocol):
二层隧道协议,由IETF起草,微软等公司参与,结合了上述两个协议的优点,为众多公司所接受,并且已经成为标准RFC。
L2TP既可用于实现拨号VPN业务,也可用于实现专线VPN业务。
(3)第三层隧道协议
第三层隧道协议的起点与终点均在ISP内,PPP会话终止在NAS处,隧道内只携带第三层报文。
现有的第三层隧道协议主要有:
●GRE(GenericRoutingEncapsulation)协议:
这是通用路由封装协议,用于实现任意一种网络层协议在另一种网络层协议上的封装。
●IPSec(IPSecurity)协议:
IPSec协议不是一个单独的协议,它给出了IP网络上数据安全的一整套体系结构,包括AH(AuthenticationHeader)、ESP(EncapsulatingSecurityPayload)、IKE(InternetKeyExchange)等协议。
GRE和IPSec主要用于实现专线VPN业务。
(4)第二、三层隧道协议之间的异同
第三层隧道与第二层隧道相比,优势在于它的安全性、可扩展性与可靠性。
从安全性的角度看,由于第二层隧道一般终止在用户侧设备上,对用户网的安全及防火墙技术提出十分严峻的挑战;
而第三层隧道一般终止在ISP网关上,因此一般情况下不会对用户网的安全技术提出较高要求。
从扩展性的角度看,第二层隧道内封装了整个PPP帧,这可能产生传输效率问题。
其次,PPP会话贯穿整个隧道并终止在用户侧设备上,导致用户侧网关必须要保存大量PPP会话状态与信息,这将对系统负荷产生较大的影响,也会影响到系统的扩展性。
此外,由于PPP的LCP及NCP协商都对时间非常敏感,这样隧道的效率降低会造成PPP对话超时等等一系列问题。
相反,第三层隧道终止在ISP的网关内,PPP会话终止在NAS处,用户侧网关无需管理和维护每个PPP对话的状态,从而减轻了系统负荷。
一般地,第二层隧道协议和第三层隧道协议都是独立使用的,如果合理地将这两层协议结合起来使用,将可能为用户提供更好的安全性(如将L2TP和IPSec协议配合使用)和更佳的性能。
1.3VPN的分类
IPVPN是指利用IP设施(包括公用的Internet或专用的IP骨干网)实现WAN设备专线业务(如远程拨号、DDN等)的仿真。
IPVPN可有以下几种分类方法:
1.按运营模式划分
(1)CPE-basedVPN(CustomerPremisesEquipmentbasedVPN)
用户不但要安装价格昂贵的设备及专门认证工具,还要负责繁杂的VPN维护(如通道维护、带宽管理等)。
这种方式组网复杂度高、业务扩展能力弱。
(2)Network-basedVPN(NBIP-VPN)
将VPN的维护等外包给ISP实施(也允许用户在一定程度上进行业务管理和控制),并且将其功能特性集中在网络侧设备处实现,这样可以降低用户投资、增加业务灵活性和扩展性,同时也可为运营商带来新的收入。
2.按业务用途划分
(1)IntranetVPN(企业内部虚拟专网)
IntranetVPN通过公用网络进行企业内部各个分布点互联,是传统的专线网或其它企业网的扩展或替代形式。
(2)AccessVPN(远程访问虚拟专网)
AccessVPN向出差流动员工、远程办公人员和远程小办公室提供了通过公用网络与企业的Intranet和Extranet建立私有的网络连接。
AccessVPN的结构有两种类型,一种是用户发起(Client-initiated)的VPN连接,另一种是接入服务器发起(NAS-initiated)的VPN连接。
(3)ExtranetVPN(扩展的企业内部虚拟专网)
ExtranetVPN是指利用VPN将企业网延伸至供应商、合作伙伴与客户处,使不同企业间通过公网来构筑VPN。
3.按组网模型划分
(1)虚拟租用线(VLL)
VLL(VirtualLeasedLine)是对传统租用线业务的仿真,通过使用IP网络对租用线进行模拟,提供非对称、低成本的“DDN”业务。
从虚拟租用线两端的用户来看,该虚拟租用线近似于过去的租用线。
(2)虚拟专用拨号网络(VPDN)
VPDN(VirtualPrivateDialNetwork)是指利用公共网络(如ISDN和PSTN)的拨号功能及接入网来实现虚拟专用网,从而为企业、小型ISP、移动办公人员提供接入服务。
(3)虚拟专用LAN业务(VPLS)
VPLS(VirtualPrivateLANServices)借助IP公共网络实现LAN之间通过虚拟专用网段互连,是局域网在IP公共网络上的延伸。
(4)虚拟专用路由网(VPRN)
VPRN(VirtualPrivateRoutingNetwork)借助IP公共网络实现总部、分支机构和远端办公室之间通过网络管理虚拟路由器进行互连,业务实现包括两类:
一种是使用传统VPN协议(如IPSec、GRE等)实现的VPRN,另外一种是MPLS方式的VPRN。
第2章GRE配置
2.1GRE协议简介
1.协议简介
通用路由封装GRE(GenericRoutingEncapsulation)协议是对某些网络层协议(如IP和IPX)的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议(如IP)中传输。
GRE是VPN(VirtualPrivateNetwork)的第三层隧道协议,在协议层之间采用了一种被称之为Tunnel(隧道)的技术。
Tunnel是一个虚拟的点对点的连接,可以看成仅支持点对点连接的虚拟接口,这个接口提供了一条通路使封装的数据报能够在这个通路上传输,并且在一个Tunnel的两端分别对数据报进行封装及解封装。
一个报文要想在Tunnel中传输,必须要经过加封装与解封装两个过程,下面以图2-1的网络为例说明这两个过程:
图2-1IPX网络通过GRE隧道互连
(2)加封装过程
在RouterA上,连接网络Novellgroup1的接口收到IPX数据报后首先交由IPX协议处理,IPX协议检查IPX报头中的目的地址域来确定如何路由此包。
若报文的目的地址被发现要路由经过网号为1f的网络(Tunnel的虚拟网号),则将此报文发给网号为1f的tunnel端口。
Tunnel口收到此包后进行GRE封装,封装完成后交给IP模块处理,封装IP报文头,封装的IP头的目的地址为RouterB的网段地址,然后根据此包的目的地址及路由表交由相应的网络接口处理。
(3)解封装的过程
解封装过程和加封装的过程相反。
从Tunnel接口收到的IP报文,通过检查目的地址,当发现目的地就是此路由
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 07 IPVPN 操作 NE40 课案