某VPN网关解决方案内部版课件

1、华为综合VPN业务及VPN网关解决方案华为技术有限公司 宽带路由器产品部 综合VPN业务分析 华为综合VPN业务解决方案 华为VPN网关解决方案 厦门广电城域网案例分析 VPN业务拓展思路提纲VPN定义 VPN(Virtual Private Network)是一种业务，可以简单定义为在共享网络中，通过多种技术（如隧道/虚电路等）进行原有专用网络（Private Network）业务的仿真！在共享网络资源并保证安全性、“专有性”的同时提供更强的扩展性和灵活性！SP NetworkHeadquartersBranch OfficeTelecommuterHome Office什么是IP-VPN服

2、务提供商在一个共享的公众网络基础设施上提供给企业的一个可管理的IP业务提供安全和可靠的连接和管理编址方案与专网一样 成本低廉与简单适用的特点决定了其企业VPN需求的巨大空间。 随着市场环境的规范化，企业赚取超额利润的机会正在减少，企业平均盈利水平下降已经成为长期的趋势，整合企业资源、降低运营费用成为多数企业的上上之选，而大幅度降低电话费用又往往是企业增收节支的首选。随着企业网络化办公环境的普及与VPN技术的日益成熟，无论是远程访问虚拟网（Access VPN）、企业内部虚拟网(Intranet VPN)，还是企业扩展虚拟网(Extranet VPN)都呈现几何基数级的增长。VPN优势 IP V

3、PN可解决IP网的无序性IP VPN可解决IP网络的无安全性Internet网络设计的初衷没有考虑有关网络安全的特性，而目前网络的发展趋势要求必须要保证用户的安全、信息的专有。没有此技术，电子商务以及一切由Internet衍生出的业务将不可能真正的全球化推广应用。 Frost & Sullivan （中国）分析测算，2001年1-6月，国内各类ISP的VPN业务收入4.2亿元。目前VPN的用户主要是IBM、MOTOROLA 等跨国公司的国内分支机构，以及部分与IT有关的高科技企业，但VPN已经出现向银行、保险、运输、大型制造与连锁企业迅速扩散的趋势。随着世纪互联、鸿联九五等重量级的虚拟运营商进

4、入VPN服务领域，以及更多获得电信业务运营的ISP浮出水面。VPN市场预测综合VPN业务需求 企业VPNIntranet（企业互连）ExtranetInternet访问远程办公（Home、Hotel） 在线交易散户炒股电子商务、其它对安全敏感的业务 跨域VPN与其他运营商的合作网络规模扩展的需要企业VPN用户企业A-Site1企业A-Site2企业A-Site3VPNInternetIntranet合作伙伴Extranet运营商网络远程办公Access VPN 企业需要完整的VPN解决方案证券商A证券商C证券VPN散户炒股Access VPN在线交易证券商B 运营商网络提供炒股用户的访问控制。

5、 运营商网络需要保证数据传输的安全性。运营商网络隧道隧道隧道其他运营商跨域VPN 运营商内部的跨域VPNAS 65XXXAS 65XXXAS 100AS 200不同运营商之间的VPN互通VPN信息及路由交换运营商网络 综合VPN业务分析 华为综合VPN业务解决方案 华为VPN网关解决方案 厦门广电城域网案例分析 VPN业务拓展思路提纲ATM/FR：传统VPN技术VPLS技术：虚拟LanSwitchMPLS VPN L2 MPLS VPN MPLS BGP VPN CCC（电路交叉连接）L2TP：Access VPN/VPDNGRE、IPSEC：三层IP隧道VLAN华为VPN技术实现城域网企业二

6、层VPN(8750+5100)VPLS技术MPLS/BGP VPNRFC2547RFC2547 draft rosen bitsMPLS L2 VPNMartini方式：draft-martini-l2circuit-trans-mplsKompella方式：draft-kompella-ppvpn-l2vpnCCC - Circuit Cross ConnectMPLS VPN是VPN技术发展的方向。MPLS VPN技术MPLS BGP VPN解决用户网络IP层互连问题、地址隔离问题实现企业三层VPN、跨域VPN优点：在单一的MPLS/IP网络上提供IP、FR、ATM等多种服务，充分发掘网络

7、潜力，获得综合利润两种主流方式MartiniKompella与MPLS/BGP VPN类似，使用两层标记转发；但为用户网络间提供的是链路，实现二层互连L2 MPLS VPN手工配置建立，简单，包括三种方式：L2 switching - 本地CE二层交换MPLS tunneling - 通过MPLS网络建立二层连接，类似L2 VPNLSP stiching - 将两条LSP粘合为一条LSPCCC - Circuit Cross ConnectBASNASL2TP实现远程访问远程办公、在线交易这么多技术都能够实现企业互连，如何选择？在城域网中MPLS VPN和VPLS是否矛盾，如何选择?远程用户如

8、何访问企业VPN？各种VPN技术如何实现互通？VPN技术选择的困惑任何一种VPN技术都不足以独立满足业务的需求！融合各种VPN技术充分满足业务发展的需求解决思路MPLS VPNVPLSVLANL2TPIPSECGRE华为综合VPN业务解决方案VPLS：适用于ATM城域网，提供企业二层VPNVLAN：适用于纯L2/L3城域网，提供有限范围内的企业二层VPN。MPLS BGP VPN：提供广泛的企业三层VPN、ExtranetL2 MPLS VPN：提供跨越纯IP网的企业二层VPNCCC：提供跨越纯IP网的虚拟二层连接L2TP：提供远程访问VPNGRE：提供三层IP隧道IPSEC：提供三层IP加密

9、隧道通过MPLS BGP VPN实现各种VPN之间的互通。MPLS VPN与VPLS/VLAN融合 IP/MPLS COREPPVPLS VPNVPLS VPN/VLAN作为Site接入MPLS VPNPECE企业VLANPECE MPLS域MPLS VPN与L2TP的融合 IP/MPLS COREPPL2TP隧道作为Site接入MPLS VPN实现对VPLS VPN及MPLS VPN的访问NAS/BASPE MPLS域散户访VPNMPLS VPNPPPOE/窄带拨号LACLNSL2TP隧道CEVPLS VPNCEMPLS VPN与GRE/IPSEC的融合 IP/MPLS COREPPGRE/

10、IPSEC隧道作为Site接入MPLS VPN实现对VPLS VPN及MPLS VPN的访问PEPE MPLS域MPLS VPNGRE/IPSEC隧道CEVPLS VPNCE企业 综合VPN业务分析 华为综合VPN业务解决方案 华为VPN网关解决方案 厦门广电城域网案例分析 VPN业务拓展思路提纲运营商提供MPLS VPN业务面临的问题 提供MPLS VPN业务，运营商网络需要采用标准的“CPE-PE-P”网络模型；各运营商现有的IP承载网/城域网技术形态多样（包括Router、ATM或Lanswitch等多种方式），很多原有的设备不支持MPLS能力；运营商欲提供MPLS VPN业务，需要对现

11、有网络进行大规模改造，建设大量的PE设备覆盖用户网络问题一：对现有网络结构的冲击问题二：MPLS VPN业务的成熟度 经过近两年的发展，在网络设备供应商、网络运营商及标准化组织的努力下，从纯技术角度讲，MPLS技术已趋于成熟，但目前运营商提供MPLS VPN业务仍存在很多管理及运营方面的问题；例如：各运营商的IP网络基本上都采用“长途网-本地网；传输网-业务网”的模型，提供的VPN业务必须是能够跨越多个AS域的；跨AS域的MPLS VPN如何运营管理、跨AS域的LSP如何建立运营商提供MPLS VPN业务面临的问题问题三：MPLS VPN业务的用户定位及走势 MPLS VPN的用户到底是谁，是

12、大型商业用户，还是中小型企业？不同用户有不同的业务需求、管理手段及策略；运营商希望通过提供增值业务来获得利益回报、提高市场竞争力，但企业用户如何看待这个问题；现有的ATM网络、FR网络、DDN及传输网已经存在，并且覆盖范围广阔 ，已拥有良好的口碑；运营商提供MPLS VPN业务到底是满足用户需求，还是提高自身市场竞争能力的需要结论：在结合到现有的网络结构、技术的前提下，考虑到MPLS VPN的用户定位及业务走势的不明朗性，大量投资改造现有网络、建设大量的PE设备，是需要我们冷静思考的；但考虑到MPLS VPN业务的需求存在，或是出于竞争的考虑，运营商还必须使其运营网络具备一定的MPLS VPN

13、业务提供能力华为VPN网关解决方案华为VPN网关的核心理念： 在IP承载网或城域网的本地网与长途网交界处，部署少量的VPN网关，将用户网络以物理直连、二层透传或三层隧道等多种方式连接到VPN网关上（由网关完成所有的VPN及Site的业务处理），做到网络业务平面与数据转发平面分离，提供MPLS VPN业务能力，又充分利用现有网络的接入能力、保护并减低投资，提高市场竞争力华为VPN网关解决方案本地网：IP承载网/城域网长途网：IP骨干网 NELanswitchRouterAccess ServerNEBAS NELanswitchRouterAccess ServerNEBAS业务平面VPN网关兼

14、标准PE设备业务平面VPN网关兼标准PE设备IP/MPLS网络 . . . . . . . .IP/MPLS IP/MPLS IP/ATM/LAN IP/ATM/LAN 数据平面，非MPLS网络IPVPN网关的接入方法方法一：物理直连 企业用户网络可通过DDN、以太网、传输等多种方式，直接与VPN网关相连，此为标准MPLS VPN的CPE-PE连接方式；由于一个VPN网关承担的是一个地区的VPN业务，因此采用这种方式对网关设备的物理接口类型及密度要求较高方法二：二层透传及连接 企业用户网络可通过ATM网络的VLan点到点透传、VPLS、PPPOA、1483B等方式接入到VPN网关，也可以通过L

15、answitch网络的Vlan Trunking等方式接入到VPN网关；这种情况下，VPN网关采用逻辑接口终结各二层连接，因此可接入较多的企业用户网络方法三：三层隧道 企业用户网络可通过IP网络的GRE及IPSec隧道等方式接入到VPN网关；这种情况下，VPN网关采用逻辑接口终结各三层隧道，因此可接入较多的企业用户网络 个人用户可通过窄带拨号、PPPOE+L2TP或PPPOEOA+L2TP的方式接入到VPN网关，访问公司内部网络 ；此时，VPN网关兼做LNS，LAC需要由NAS/BAS承担，也可由用户主机直接发起L2TP连接。VPN网关的应用逻辑拓扑VPN网关VPN网关VPN_ASite 2V

16、PN_ASite 1VPN_BSite 2VPN_BSite 1本地接入网VPN_ASite 2VPN_ASite 1VPN_BSite 2VPN_BSite 1 通过各类接入手段，将本地网所有的VPN用户接入到VPN网关，由一台VPN网关完成所有的VPN业务处理 ，并实现各种VPN业务之间的互通。VPN网关与长途网和本地网的连接方法本地网：IP承载网/城域网长途网：IP骨干网 NELanswitchRouterAccess ServerNEBAS业务平面VPN网关兼标准PE设备IP/MPLS网络 IP/MPLS 连接IP网络，承担GRE/IPSec/L2TP等方式的接入数据平面，非MPLS网

17、络连接Lanswitch网络，承担VLAN等方式接入连接ATM网络，承担VLAN透传、VPLS、PPPOA、PPPOEOA、1483B等方式的接入通过DDN、传输等方式直接接入用户网络IPVPN网关完成的功能 与现有接入网络配合，将用户网络以多种形式接入到 VPN网关。 为接入用户提供本地网内的MPLS VPN业务。 为接入用户提供跨本地网（甚至是跨AS域）的MPLS VPN业务。 为MPLS VPN业务用户提供访问Internet的支持，兼做NAT网关。 作为LNS，终结L2TP隧道，为个人用户提供访问企业内部网（各种技术实现的VPN）的支持。 实现各种VPN之间的互通，包括VPLS、VLA

18、N、L2TP、GRE、IPSEC。 跨本地网的MPLS VPN业务IP/MPLS网络 长途网：IP骨干网VPN网关兼标准PE设备VPN网关兼标准PE设备VPN_ASite 1本地网：IP承载网/城域网IP/MPLS GRE或IPSec隧道VPN_ASite 2VPN网关（兼标准PE设备）与IP骨干网构成了标准的MPLS接入平台（MPLS域），可提供跨本地网的MPLS VPN业务；采用VPN网关方案后，MPLS域与路由的AS域重合，不存在跨AS域的问题; 如果VPN用户跨越多个本地网，也可以利用GRE或IPSec隧道，将VPN内部的所有Site接入到一个本地网的VPN网关上; 采用VPN网关方案

19、后，规避了省网在提供MPLS VPN业务时的跨域问题；但在跨越省级以及各网络运营商之间合作时，仍需要面对跨AS域的问题，这与标准的MPLS接入平台方案是一样的。VPN网关的业务演进方法本地网：IP承载网/城域网长途网：IP骨干网 NELanswitchRouterAccess ServerNEBAS业务平面VPN网关兼标准PE设备IP/MPLS网络 IP/MPLS IP/ATM/LAN 数据平面，非MPLS网络IP/MPLS IP 随着用户对MPLS VPN业务需求的增加，可逐步添加VPN网关设备，VPN网关解决方案可平滑演进为标准的MPLS VPN解决方案华为VPN网关解决方案总结 在结合到

20、现有的网络结构、技术的前提下，考虑到MPLS VPN的用户定位及业务走势的不明朗性，采用VPN网关解决方案提供MPLS VPN业务，应该是各运营商的首选，至少应该尝试 ；该方案无须改动现有的网络结构，降低网络运营成本，并可随着VPN业务的发展平滑渐进为标准的MPLS VPN解决方案 华为NE08/16E/80路由器可作为VPN网关： NE08/16E提供完善的MPLS L2 or L3 VPN能力；NE08/16E 支持多种类型的接口，可以提供POS/CPOS、E1/CE1、E3/CE3、DDN、FR、LAN、ATM等多种方式的接入，速率可从N*64K、N *2M到FE、GE；NE08/16E

21、支持多种二层方式的接入，如VLan透传、VPLS、PPPOA、PPPOE、PPPOEOA、1483B等；NE08/16E支持多种IP隧道技术，如GRE、IPSec及L2TP等 NE80路由器可以作为大型IP城域网VPN网关。MPLS/BGP VPN RFC2547基本能力 跨AS能力 Internet访问，L2TP方式访问VPN 规格 NE80：1024VPN*1024路由 NE08/16：512VPN * 512路由 互通性 与cisco、juniper互通MPLS L2 VPN Martini方式 Kompella方式 规格 NE80：4096VPN*100连接 NE08/16：2048V

22、PN*100连接 互通性 Martini方式与cisco、juniper互通 Kompella方式与juniper互通CCC 本地连接（L2 switching） 远程连接（MPLS tunneling） 4096连接 与juniper互通IP tunnel即将提供 IP tunnel for L2 VPN IP tunnel for L3 VPN华为VPN网关规格 综合VPN业务分析 华为综合VPN业务解决方案 华为VPN网关解决方案 厦门广电城域网案例分析 VPN业务拓展思路提纲 IP/MPLS COREPPPEPE IP/MPLS域NE80NE80NE08ANE08BATM平面企业远程办

23、公散户炒股接入层87508750证券公司企业VPNATMATMGEGE其他运营商ASBRASBR在原有网络上增加2台NE08作为城域网VPN网关。厦门广电综合VPN业务组网方案VPN网关VPN网关其他运营商企业Intranet解决方案VPLS企业A-Site11.1.1.0/16企业A-Site21.1.2.0/16企业A-Site31.1.3.0/16通过VPLS技术实现虚拟LanSwitch，企业各Site在同一网段1.1.0.0/24。 IP/MPLS COREPPPEPE IP/MPLS域NE80NE80NE08ANE08BATM平面接入层87508750ATMATMGEGEASBRA

24、SBR510051005100其他运营商企业Intranet解决方案MPLS VPN企业A-Site11.1.0.0/16企业-Site22.2.0.0/16企业A-Site33.3.0.0/16 IP/MPLS COREPPPEPE IP/MPLS域NE80NE80NE08ANE08BATM平面接入层87508750ATMATMGEGEASBRASBR通过VPLS技术和MPLS VPN技术相结合实现三层企业互联，企业各Site在不同网段1.1.0.0/16、2.2.0.0/16、3.3.0.0/16。NE08B通过MPLS VPN实现企业A的多个site之间的互通。MPLS LSP隧道VPL

25、SVPLSVPLS其他运营商企业Extranet VPN企业A-Site11.1.0.0/16企业B-Site33.3.0.0/16 IP/MPLS COREPPPEPE IP/MPLS域NE80NE80NE08ANE08BATM平面接入层87508750ATMATMGEGEASBRASBR通过VPLS技术和MPLS VPN技术相结合实现不同企业之间的访问。在VPN网关上进行路由过滤和访问控制，避免企业之间的非法访问。MPLS LSP隧道VPLSVPLS其他运营商企业-Site1 IP/MPLS COREPPPEPE IP/MPLS域NE80NE80NE08ANE08BATM平面远程办公散户炒

26、股（Home、Hotel）接入层87508750ATMATMGEGEASBRASBRPPPOE终结AAA/Radius认证L2TP LACL2TP 隧道VPLSVPLSVLANPPPOEL2TP LNSL2TP隧道与VPLS/MPLS VPN的映射。远程办公/散户炒股通过5100接入Radius Server证券公司A其他运营商证券公司A证券公司B IP/MPLS COREPPPEPE IP/MPLS域NE80NE80NE08ANE08远程办公散户炒股(L2TP客户端)接入层GEGEASBRASBRL2TP用户认证L2TP隧道与MPLS VPN的映射。Radius Server证券VPN远程办公/散户炒股通过5200接入IP接入层直连/VLAN/PVCMA5200MA5100MA5200直连/VLAN/PVC8750L2TP隧道直连/