24 数据网VPN知识.docx
- 文档编号:23398724
- 上传时间:2023-05-16
- 格式:DOCX
- 页数:74
- 大小:494.05KB
24 数据网VPN知识.docx
《24 数据网VPN知识.docx》由会员分享,可在线阅读,更多相关《24 数据网VPN知识.docx(74页珍藏版)》请在冰豆网上搜索。
24数据网VPN知识
数据网
—VPN知识
中国电信维护岗位认证教材编写小组编制
目录
第1章VPN基本概念3
1.13
1.23
1.33
第2章隧道技术4
2.14
2.24
第3章MPLS及MPLSLDP协议5
3.15
3.25
第4章二层MPLSVPN协议6
4.16
4.26
第5章设计MPLSVPN网络7
5.17
5.27
第6章MPLSVPN技术原理与业务部署8
6.18
6.28
第1章VPN基本概念
1.1VPN概述
1.1.1VPN的产生
随着社会的发展,IT技术越来越多地影响现代企业的业务流程,如企业资源规划、基于IP的语音、基于网络的会议和教学活动等IT技术,为企业的自动化办公和信息的获取提供了构架。
随着网络经济的发展,越来越多的企业的分布范围日益扩大,合作伙伴日益增多,公司员工的移动性也不断增加。
这使得企业迫切需要借助电信运营商网络连接企业总部和分支机构,组成自己的企业网,同时移动办公人员能在企业以外的地方很方便地访问企业内部网络。
最初,电信运营商是以租赁专线(LeasedLine)的方式为企业提供二层链路,这种方式的主要缺点是:
建设时间长、价格昂贵、难于管理
此后,随着ATM(AsynchronousTransferMode)和帧中继(FrameRelay)技术的兴起,电信运营商转而使用虚电路方式为客户提供点到点的二层连接,客户再在其上建立自己的三层网络以承载IP等数据流。
虚电路方式与租赁专线相比,运营商提供服务的时间短、价格低,能在不同专网之间共享运营商的网络结构。
这种传统专网的不足在于:
•依赖于专用的介质(如ATM或FR):
为提供基于ATM的VPN服务,运营商需要建立覆盖全部服务范围的ATM网络;
•为提供基于FR的VPN服务,又需要建立覆盖全部服务范围的FR网络。
在网络建设上造成浪费;
•速率较慢,达不到当前Internet中已实现的速率;
•部署复杂,尤其是向已有的私有网络加入新的站点时,需要同时修改所有接入此站点的边缘节点的配置。
传统专网的应用,促使了企业的效益日益增长,但传统专网难以满足企业对网络的灵活性、安全性、经济性、扩展性等方面的要求。
这导致了新的替代方案的产生,在现有IP网络上模拟传统专网。
这种新的解决方案就是虚拟专用网VPN(VirtualPrivateNetwork)。
VPN是依靠Internet服务提供商ISP(InternetServiceProvider)和网络服务提供商NSP(NetworkServiceProvider),在公共网络中建立的虚拟专用通信网络。
1.1.2VPN的特征
VPN具有以下两个基本特征:
•专用(Private):
对于VPN用户,使用VPN与使用传统专网没有区别。
一方面,VPN与底层承载网络之间保持资源独立,即,一般情况下,VPN资源不被网络中其它VPN或非该VPN用户所使用;另一方面,VPN提供足够的安全保证,确保VPN内部信息不受外部侵扰。
•虚拟(Virtual):
VPN用户内部的通信是通过一个公共网络进行的,而这个公共网络同时也被其他非VPN用户使用。
即,VPN用户获得的是一个逻辑意义上的专网。
这个公共网络称为VPN骨干网(VPNBackbone)。
采用VPN的专用和虚拟的特征,可以把现有的IP网络分解成逻辑上隔离的网络。
这种逻辑隔离的网络的应用可以是千变万化的:
可以用在解决企业内部互连、政府的相同或不同办事部门的互连;也可以用来提供新的业务,如为IP电话业务专门开辟一个VPN,以此解决IP网络地址不足、QoS保证、以及开展新业务等问题。
在解决企业互连和提供各种新业务方面,VPN,尤其是MPLS(MultiprotocolLabelSwitching)VPN,越来越被运营商看好,成为运营商在IP网络提供增值业务的重要手段。
1.1.3VPN的优势
和传统的数据专网相比,从客户角度看,VPN具有如下优势:
•安全:
在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接,保证数据传输的安全性。
这对于实现电子商务或金融网络与通讯网络的融合特别重要。
•廉价:
利用公共网络进行信息通讯,企业可以以更低的成本连接远程办事机构、出差人员和业务伙伴。
•支持移动业务:
支持驻外VPN用户在任何时间、任何地点的移动接入,能够满足不断增长的移动业务需求。
•服务质量保证:
构建具有服务质量保证的VPN(如MPLSVPN),可为VPN用户提供不同等级的服务质量保证。
从运营商角度看,VPN具有如下优势:
•可运营:
提高网络资源利用率,有助于增加ISP的收益。
•灵活:
通过软件配置就可以增加、删除VPN用户,无需改动硬件设施。
在应用上具有很大灵活性。
•多业务:
SP在提供VPN互连的基础上,可以承揽网络外包、业务外包、客户化专业服务的多业务经营。
VPN以其独具特色的优势赢得了越来越多的企业的青睐,使企业可以较少地关注网络的运行与维护,从而更多地致力于企业的商业目标的实现。
另外,运营商可以只管理、运行一个网络,并在一个网络上同时提供多种服务,如Best-effortIP服务、VPN、流量工程、差分服务(Diffserv),从而减少运营商的建设、维护和运行费用。
VPN在保证网络的安全性、可靠性、可管理性的同时提供更强的扩展性和灵活性。
在全球任何一个角落,只要能够接入到Internet,即可开展VPN。
1.2VPN分类
随着网络技术的发展,VPN技术得到了广泛的应用,同时也得到了很大的发展,涌现了许多VPN新技术。
按照不同的角度,VPN可以分为多种类型。
具体分类角度包括:
•按组网模型
•按业务用途
•按实现层次
•按运营模式
1.2.1按组网模型
根据组网模型的不同,VPN可以分为:
•VPDN(VirtualPrivateDialNetwork)
•VPRN(VirtualPrivateRoutingNetwork)
•VPWS(VirtualLeasedLineService)
•VPLS(VirtualPrivateLANService)
1、VPDN
VPDN利用公共网络的拨号功能及接入网,为企业、小型ISP和移动办公人员提供接入服务。
VPDN也可以使用私有IP地址等VPN所特有的一些特性,接入范围可遍及PSTN(PublicSwitchedTelephoneNetwork)、ISDN(IntegratedServicesDigitalNetwork)的覆盖区域,网络建设投资少、周期短,网络运行费用低。
主要采用点到点的连接方式。
通过L2TP(Layer2TunnelingProtocol)、PPTP(Point-toPointTunnelingProtocol)等协议实现。
下图是VPDN的例子。
远程用户(如企业驻外机构或出差人员)可以通过ISDN或PSTN网络接入Internet,并在网络接入服务器和企业网关之间虚拟隧道,从而接入到企业内部。
VPDN具有比其他类型的VPN更加灵活的身份验证机制和网络计费方式,以及高度的安全性,并支持动态地址分配。
此外,VPDN采用二层隧道,能支持多种三层传输协议。
2、VPRN
VPRN是总部、分支机构和远端办公室之间通过网络管理虚拟路由器互连。
VPRN与其他类型的VPN相比,其主要区别在于VPRN数据包的转发是在网络层实现的。
公网的每个VPN节点需要为每个VPN建立专用路由转发表,包含网络层可达性信息。
数据流在公网的VPN节点之间的转发以及VPN节点和用户站点之间的转发都是基于这些专用路由转发表。
VPRN的实现方式包括两种:
一是使用传统VPN协议,如IPSec(InternetProtocolSECurityextensions)、GRE(GenericRoutingEncapsulation)等,另一种是使用MPLS。
3、VPWS
VPWS(VirtualPrivateWireService)是对传统租用线业务的仿真,使用IP网络模拟租用线,提供非对称、低成本的“DDN(DigitalDataNetwork)”业务。
从虚拟租用线两端的用户来看,该虚拟租用线近似于传统的租用线。
VPWS也兼容传统专网(如ATM、FR),运营商可以从ATM、FR等传统专网向VPWS平滑升级。
VPWS作为一种虚拟租用线路的实现方法,主要是在接入层和汇聚层使用。
VPWS又分为CCC(CircuitCross-Connect)、SVC(StaticVirtualCircuit)、Martini和Kompella等方式。
PWE3也是一种端到端的二层业务承载技术,是对Martini方式VPWS的一种扩展。
VPWS模型适合星型连接的VPN,对于需要全连接的VPN,推荐采用VPRN。
4、VPLS
虚拟专用局域网业务VPLS是局域网之间通过虚拟专用网段互连,是局域网在IP公共网络上的延伸。
VPLS也称为透明局域网服务TLS(TransparentLANService)。
不同于普通L2VPN的点到点业务,利用VPLS技术,服务提供商可以通过MPLS骨干网向用户提供基于以太网的多点业务。
以太网技术由于其灵活的VLAN逻辑接口定义,高带宽/成本比等优势,越来越广泛地被使用。
VPRN和VPWS也能提供局域网服务,但传统以太网技术的局限性依然存在:
无法限制未知MAC的广播泛滥,生成树协议STP(SpanningTreeProtocol)扩展受限,VLAN地址空间有限。
突破传统以太网技术的限制,VPLS骨干网不需要运行STP,而是使用全连接和水平分割来消除骨干网的环路。
对于单播或多播不可知帧,可采取丢弃、本地处理和广播的处理方式。
因此,VPLS将实现VLAN的范围扩展至全国各地,甚至世界各地。
尤其是Q-in-Q(802.1q-in-802.1q)方式的VPLS,不受VLAN地址空间的限制,更加扩大了VPLS的地域范围。
1.2.2按业务用途
根据业务用途不同,VPN可分为三种:
•企业内部虚拟专网IntranetVPN
•扩展的企业内部虚拟专网ExtranetVPN
•远程访问虚拟专网AccessVPN
1、IntranetVPN
IntranetVPN通过公用网络进行企业内部的互联,是传统专网或其它企业网的扩展或替代形式。
使用IntranetVPN,企事业机构的总部、分支机构、办事处或移动办公人员可以通过公有网络组成企业内部网络。
VPN也用来构建银行、政府等机构的Intranet。
典型的Intranet例子就是连锁超市、仓储物流公司、加油站等具有连锁性质的机构。
2、ExtranetVPN
Extranet利用VPN将企业网延伸至供应商、合作伙伴与客户处,在具有共同利益的不同企业间通过公网构筑VPN,使部分资源能够在不同VPN用户间共享。
在传统的专线构建方式下,Extranet通过专线互联实现,需要维护网络管理与访问控制,甚至还需要在用户侧安装兼容的网络设备。
虽然可以通过拨号方式构建Extranet,但此时需要为不同的Extranet用户进行设置,同样降低不了复杂度。
因合作伙伴与客户的分布广泛,拨号方式的Extranet需要昂贵的建设与维护费用。
因此,企业常常放弃构建Extranet,使得企业间的商业交易程序复杂化,商业效率被迫降低。
ExtranetVPN以其易于构建和管理为以上问题提供了有效的解决方案,其实现技术与IntranetVPN相同。
目前,企业间通常使用VPN来构建Extranet。
为了保证QoS,企业外部通讯一般不直接使用Internet。
并且,企业间的通讯数据通常是敏感的,而Extranet的安全性比Internet强。
ExtranetVPN的访问权限可以由各个Extranet用户自己通过防火墙等手段来设置与管理。
3、AccessVPN
AccessVPN使出差流动员工、家庭办公人员和远程小办公室可以通过廉价的拨号介质接入企业内部服务器,与企业的Intranet和Extranet建立私有网络连接。
AccessVPN也叫做VPDN。
AccessVPN有两种类型:
一种是用户发起(Client-initiated)的VPN连接,另一种是接入服务器发起(NAS-initiated)的VPN连接。
1.2.3按实现层次:
根据实现层次的不同,VPN可分为L3VPN(Layer3VPN)、L2VPN(Layer2VPN)和VPDN。
1、L3VPN
也就是VPRN。
包括多种类型,例如IPSecVPN、GREVPN、基于RFC2547的BGP/MPLSVPN、以IPSec或GRE作为隧道的BGP/MPLSVPN。
其中MPLS/BGPVPN主要应用在主干转发层,IPSecVPN、GREVPN在接入层被普遍采用。
2、L2VPN
随着网络技术的发展,运营商网络越来越复杂,迫切希望出现新的技术,将传统的交换网(如ATM、FR)与IP或MPLS网络融合。
L2VPN因此而诞生。
L2VPN包括前述的VPWS和VPLS。
VPWS适合较大的企业通过WAN互连,而VPLS适合小企业通过城域网互连。
VPLS中存在广播风暴问题,同时,PE设备要进行私网设备的MAC(MediumAccessControl)地址学习,协议、存储开销大。
由于二层VPN只使用SP网络的二层链路,从而为支持三层多协议创造条件,L3VPN也能支持多协议,但不如L2VPN灵活,有一定限制。
3、VPDN
严格来说,VPDN也属于二层VPN,但其网络构成和协议设计与其他L2VPN有很大不同。
在对IP报文进行封装时,VPDN方式需要封装多次,第一次封装使用隧道协议L2TP,第二次封装使用UDP(UserDatagramProtocol)。
L2VPN与L3VPN的对比如下表。
项目
L2VPN
L3PN
安全性
高
低
对三层协议的支持情况
相对灵活
有限制
用户网络对骨干网的影响
小
大
对传统WAN的兼容性
大
小
路由管理
用户管理自己的路由
用户路由交由SP管理
组网应用
主要用在接入层和汇聚层
主要用在核心层
1.2.4按运营模式
根据运营模式的不同,VPN可分为由用户控制的CPE-basedVPN(CustomerPremisesEquipmentbasedVPN)、由ISP控制的Network-basedVPN两种。
1、CPE-basedVPN
在CPE-basedVPN模式下,由用户控制VPN的构建、管理和维护。
用户设备需要安装相关的VPN隧道协议,如IPSec、GRE、L2TP和PPTP,并负责VPN的维护。
CPE-basedVPN中,依靠用户侧的网络设备发起VPN连接,不需要运营商提供特殊的支持就可以实现VPN。
CPE-basedVPN方式复杂度高、业务扩展能力弱,主要应用于接入层。
传统的利用公有IP网络构建的VPN(传统IPVPN)属于CPE-basedVPN。
其实质是在各个私有路由器之间建立VPN安全隧道来传输用户的私有数据。
Internet是典型的公有IP网络。
使用Internet构建的VPN是最为经济的方式,但服务质量难以保证。
企业在规划IPVPN建设时应根据自身的需求对各种公用IP网络进行权衡。
2、Network-basedVPN
在Network-basedVPN模式下,VPN的构建、管理和维护由ISP控制,允许用户在一定程度上进行业务管理和控制。
功能特性集中在网络侧设备处实现,用户网络设备只需要支持网络互联,无需特殊的VPN功能。
Network-basedVPN方式可以降低用户投资、增加业务灵活性和扩展性,也为运营商带来新的收益。
基于MPLS的VPN属于Network-basedVPN。
MPLSVPN由于在灵活性、扩展性和QoS方面的优势,逐渐成为最主要的IP-VPN技术,在电信运营网和企业网中都获得了广泛的应用。
MPLSVPN主要运用于骨干核心网及汇聚层,是对大客户互连及3G、NGN等业务系统进行隔离的重要技术。
MPLSVPN对于城域网同样重要:
城域网内部署MPLSVPN技术,成为提升IP城域网的价值、为运营商提供更高收益的重要技术。
MPLSVPN中,客户站点可以使用T1,帧中继,ATM虚电路,DSL等链路接入MPLSVPN骨干网。
并不需要在客户设备上进行特殊配置。
CPE-basedVPN与Network-basedVPN的对比如下表:
项目
CPE-basedVPN
Network-basedVPN
业务扩展能力
业务扩展能力弱
业务扩展能力强
用户投资
多
少
用户设备支持隧道情况
需要支持
无需支持
性能要求
功能特性集中于CE设备,对CE设备要求高
功能特性集中于PE设备,对PE设备要求高
1.3VPN基本原理
1.3.1VPN体系结构
VPN不是一种简单的高层业务。
VPN技术比普通的点到点应用复杂得多。
VPN的实现需要建立用户之间的网络互联,包括建立VPN内部的网络拓扑、进行路由计算、维护成员的加入与退出等。
因此,VPN体系结构较复杂,可以概括为以下三个组成部分:
1、VPN隧道:
包括隧道的建立和管理。
2、VPN管理:
包括VPN配置管理、VPN成员管理、VPN属性管理(管理服务提供商边缘设备PE上多个VPN的属性,区分不同的VPN地址空间)、VPN自动配置(指在二层VPN中,收到对端链路信息后,建立VPN内部链路之间一一对应的关系)。
3、VPN信令协议:
完成VPN中各用户网络边缘设备间VPN资源信息的交换和共享(对于L2VPN,需要交换数据链路信息;对于L3VPN,需要交换路由信息;对于VPDN,需要交换单条数据链路直连信息),以及在某些应用中完成VPN的成员发现。
1.3.2VPN实现模式
结合VPN体系结构的三个主要组成部分,可以将VPN的实现分成两种模式:
1、隧道+VPN管理
这类VPN的构成简单:
VPN两端建立隧道,VPN管理负责隧道的建立和删除、部署VPN网管和计费、QoS等策略。
传统IPVPN采用这种实现方式,如IPSecVPN和GREVPN。
2、隧道+VPN管理+VPN信令协议
这类VPN需要进行:
VPN两端建立隧道,VPN管理:
包括VPN配置管理、VPN成员管理、VPN属性管理和VPN自动配置。
VPN信令协议:
完成VPN中各用户网络边缘设备间VPN资源信息的交换和共享。
采用这种实现方式的VPN包括Martini方式的VPWS、PWE3、Martini方式的VPLS以及VPDN。
这类VPN要求在二层、三层中为每个VPN进行实例化,构建本VPN私有转发信息实例。
VPN不仅管理隧道,还包括VPN成员发现、VPN成员管理、VPN自动配置等。
采用这种实现方式的VPN包括基于RFC2547的L3VPN,和基于Kompella的L2VPN(包括Kompella方式的VPLS和Kompella方式的VPWS)。
1.4VPN的实现
1.4.1VPN典型网络结构
典型的VPN组网分为三级结构:
接入层、汇聚层和骨干层。
接入层的设备为用户提供接入功能,功能要求较低,但要求接入接口较多。
对于大城市中的城域网,接入层要求的功能比较高。
接入层的设备一般要求在接入节点处进行CE双(多)归属,物理双归属和逻辑双归属。
物理双归属是指有两条物理链路连接,逻辑双归属是指通过环路来进行双归属。
逻辑双归属在L2VPN和VPLS中用得较多。
汇聚层根据需要组成网状网,或者环状网。
骨干层要求全连接,多极备份。
骨干层各设备一般使用高速接口互连。
1.4.2VPN的实现要点
部署VPN时,需要考虑以下几个方面:
•可运营
•可管理
•VPN的安全性
•VPNQoS
1、可运营
VPN技术的一个重要本质是使用共享网络提供企业内部之间的服务。
根据VPN目前的使用前景可以看出,VPN技术必须具有可运营性。
大多VPN用户(企业)不希望在网络维护上花很多时间和精力,需要由专门的运营商提供这样的服务。
因此,在设计VPN网络的时候,首先需要考虑可运营性。
2、可管理
VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网络,甚至是客户和合作伙伴。
企业可以将一些次要的网络管理任务交给服务提供商,企业自己也要完成许多网络管理任务。
所以,一个完善的VPN管理系统是必不可少的。
VPN管理主要包括安全管理、设备管理、配置管理、ACL管理、QoS管理。
VPN管理的目的:
•减小网络风险:
将企业内部网络延伸到公用网络基础设施上,VPN面临着新的安全与监控的挑战。
网络管理需要在允许企业分支、客户和合作伙伴对VPN访问的同时,确保内部数据资源的完整性。
•扩展性:
VPN管理需要对日益增多的客户和合作伙伴做出迅捷的反应,包括网络硬、软件的升级、网络质量保证、安全策略维护等。
•经济性:
保证扩展性的同时不应过多地增加操作和维护成本。
•可靠性:
VPN构建于公用网之上,不同于传统的专线广域网,其受控性大大降低。
因此VPN可靠而稳定地运行是VPN管理必须考虑的问题。
3、VPN的安全性
VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。
对于传统的IPVPN,企业自身必需确保VPN数据不被攻击者窥视和篡改,并且要防止非法用户对企业内部资源或私有信息的访问。
尤其是ExtranetVPN,对安全性提出了更高的要求。
以下方案可以提高VPN的安全性:
•隧道与加密:
隧道能实现多协议封装,增加VPN应用的灵活性,可以在无连接的IP网上提供点到点的逻辑通道。
在安全性要求更高的场合应用加密隧道则进一步保护了数据的私有性,使数据在网上传送而不被非法窥视与篡改。
•数据验证:
在不安全的网络上,特别是构建VPN的公用网上,数据包有可能被非法截获,篡改后重新发送,接收方将会接收到错误的数据。
数据验证使接收方可以识别这种篡改,保证了数据的完整性。
•用户验证:
VPN可使合法用户访问他们所需的企业资源,同时还要禁止未授权用户的非法访问。
通过AAA,路由器可以提供用户验证、访问级别以及必要的访问记录等功能。
这一点对于AccessVPN和ExtranetVPN具有重要意义。
•防火墙与攻击检测:
防火墙用于过滤数据包,防止非法访问,而攻击检测则更进一步分析数据包的内容,确定其合法性,并可实时应用安全策略,断开包含非法访问内容的会话链接,并产生非法访问记录。
基于MPLS的VPN技术在网络侧依靠转发表和数据包的标记来创建VPN,如果一个封闭的MPLS网络不与Internet相连,那么它具有内在的安全性。
因此,MPLSVPN可以在一定程度上保证VPN的安全。
如果MPLSVPN的客户需要访问Internet,可以建立一个通道,在该通道上放置一个防火墙,这样就对整个VPN提供安全的连接。
管理起来也很容易,因为对于整个VPN来说,只需要维护一种安全策略。
MPLSVPN可以创建一个同FR网络具备的安全性很相似的专用网。
因此用户设备一般不需要使用IPSec等安全技术,也不必为VPN配置隧道。
因此,使用MPLSVPN,时延被降到最低,因为数据包不再经过封装或者加密。
也因为不需要隧道,创建一个全网状的VPN网也将变得更加容易。
4、VPNQoS
构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。
广域
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 24 数据网VPN知识 数据 VPN 知识