VPN产品培训讲义

1、VPN 产品培训讲义产品市场部VPN产品部讲义结构 产品现状及当前问题 中国网通基于MPLS的IP-VPN概述 定义、特点、功能、组网方式 FR-VPN概述 定义、网络结构、卖点 DDN、FR及中国网通基于MPLS的IP-VPN比较 网络结构 设备投入 月租构成 网络效率 可扩展性 维护管理 网络安全 计费方式 投入对比 MPLS-VPN安全性能概述 台湾语音专线简介 结束中国网通VPN产品线 基于MPLS的IP-VPN（目前的主打产品） 带宽、技术优势大带宽多端点；64K-128K在七点以上 接入劣势 FR-VPN 特定市场、特定客户、特定模式 按需建网、控制成本，不和中国电信全面竞争 台湾

2、语音专线 特定用途 对台只做“语音专线”什么是VPN网络模拟图什么是VPNVPN服务是在公共基础网络之上构建企业内部专网，实现企业不同地区分支机构之间内部数据、语音、图像通信联络可以被当做专网那样使用和管理。拥有同专网一样的安全性成本大大低于自建专网公共网络具有良好的扩展性和灵活性MPLS边缘路由器什么是MPLS 技术LSPMPLS标签交换路由器加上标记并按标记交换除去标记，按三层转发标记交换并支持三层路由或二层交换标记、 LIB什么是MPLS 技术LSP1b. 根据此路由信息，LDP建立LSP1a. 各MPLS设备运行路由算法，得到网络路由信息2. 根据包头，查找路由表，确定LSP，并将标签

3、插入包头中。3. 按标签进行标签交换式转发。4. 删除标签后，按常规IP包转发用户 A用户 A用户 A用户 B用户 BMPLSNetworkB-B-A-A-支持私有IP地址支持多种QoS服务级别VPN 连接的管理有运营商完成基于MPLS的IPVPN与 DDN、FR 等具有同等安全性VPN连接配置简单，对现有骨干网络没有压力；对现有用户的要求为0，用户不需要作任何改动，用户加入VPN的配置也很简单；网络可扩展能力很强；VPN用户可以延用原有的专用地址，不需要作任何修改，在骨干网络采用VPN-ID，可以保持全网的唯一性；提供超值的带宽服务；易于提供增值业务，如不同的COS。IPVPN 的优点 支持

4、SLA 可以为用户提供服务质量报告 支持Class of Service 用户可管理的IP-VPN 丰富的Internet服务 Extranet VPDN：利用171接入VPN IPSec：从Internet接入VPN 提供IDC+IP-VPN的集成服务 Intranet话音业务 Intranet会议电视业务高级服务增值服务IPVPN 可提供的服务 Intranet基本服务IPVPN 组网方式（1）IPVPN 组网方式（2）IPVPN 组网方式（3）IPVPN 组网方式（4）IPVPN 组网方式（5）IPVPN 应用一：CNC-Intra 网络拓扑示意图IPVPN 应用二：典型的的Intern

5、et接入(帧中继交换机)一种广域网技术。也被称作快速分组交换。它在链路层上用简化的方法传送和交换数据单元，用户信息以帧为单位进行传输，并对用户信息流进行统计复用，链路层以上协议则在用户终端设备上执行。帧中继的定义FRSwitchFRSwitchPVCCNCFrame Relay NetworkFrame RelayPortFrame RelayPort接入线路：向本地电信网运营商租用的接入帧中继网络的线路。端口：帧中继交换机上的物理端口。它限定了该端口上所有PVC同时发往网络的最高速率和。速率：64K 2M 永久虚电路 PVC:两个端口之间的逻辑连接，给定一个承诺保证速率CIR。CIR：32K

6、 2MNetwork AccessRouterLANCSU/DSURouterLANCSU/DSU帧中继网络结构Network Access客户付费的三个参数：接入电路、端口、PVC 在帧中继网络中建立虚电路（VC)传送数据 VC：通过帧中继网络连接两个端口的逻辑电路 PVC(Permanent Virtual Circuits ) 、SVC帧中继网端口端口端口端口RouterLANCSU/DSURouterLANCSU/DSURouterLANCSU/DSURouterLANCSU/DSU PVC：永久虚电路接入电路帧中继网络结构 PVC的两个参数： 约定速率 CIR：Commited In

7、fimation Rate对一个特定的用户，PVC保证一定服务等级的专用带宽称之为约定的信息速率。 突发速率 CBR：Commited Birst Rate准许每条PVC最高可突发的速率 两种丢包方式：当电路发生拥塞时会发生丢包随机方式选择性方式：根据数据包标记有选择得丢包CIR速率内的数据得到传送帧中继的卖点统计复用和按需分配带宽信源1信源2信源3信源4统计复用器12132344信源1信源2信源3信源4统计复用器12233121当所有信源都发送时，各自占有所约定的带宽当一个信源不发送时，其他信源可以占用所有可用带宽,享用突发带宽.统计复用技术特别适合于突发性数据业务： 信源在大部分时间内只传

8、送少量数据多条PVC中数据流统计复用至同一条电路， 使得每条PVC可以有高的突发速率。 同专线组网方式相比，帧中继组网方式减少了客户端设备，不但降低了组网费用，而且提高了网络可靠性。专线组网方式帧中继组网方式位置ADSU / CSUDSU / CSUDSU / CSULAN RouterDSU / CSUDSU / CSUDSU / CSULAN RouterLAN RouterLAN Router位置D位置B位置C位置A56k56k128kFR Network56kDSU / CSULAN RouterDSU / CSUDSU / CSUDSU / CSULAN RouterLAN Rout

9、erLAN Router专线56k专线56k专线56k位置D位置B位置C帧中继服务与专线服务的比较帧中继组网举例分公司 A总公司分公司 C分公司 B1Mbps256kbps256kbps256kbps256kbpsCIR128kbpsCIR128kbpsCIR128kbpsCIR128kbps帧中继网DDN、FR及IP-VPN 组网比较：DDN 组网示意DDN、FR及IP-VPN组网比较：FR 组网示意DDN、FR及IP-VPN组网 比较：VPN 组网示意SITE 1SITE 4SITE 3SITE 2SITE 5设备投入比较：FRSITE 1SITE 6SITE 4SITE 3SITE 2S

10、ITE 5设备投入比较：IP VPN设备投入对比说明 DDN 昂贵的专用终端设备，而且一个专用终端设备的物理端口只能接一条DDN 每一对要通信的机构之间都要申请一条DDN进行连接 无法提供2M以上带宽 FR 昂贵的专用终端设备 从每个要互连的用户端到运营商FR网有一条物理电路连接 在每一对要互连的机构之间要租用一对PVC电路 无法提供2M以上带宽 中国网通基于MPLS的IP-VPN 用户端设备采用低端路由器即可，从每个要互连的用户端到中国网通VPN网需有一条物理电路连接 租用中国网通相应速率的VPN端口 可提供任意速率带宽 月租费构成比较 DDN 每一对互连点间的DDN物理线路费 FR 每一对

11、互连点间的PVC电路费 FR端口费 中国网通基于MPLS的IP-VPN 中国网通只向用户收取端口月租费 SITE 1SITE 4SITE 3SITE 2SITE 5PVC1PVC2PVC3PVC4PVC5PVC6PVC7PVC8PVC9PVC10PVC11PVC12PVC13PVC14PVC15PVC16PVC17PVC18PVC19PVC20效率比较网的角度：FRSITE 1SITE 4SITE 3SITE 2SITE 5效率比较网的角度：IP VPN）效率比较点的角度：FRABDCSITE1SITE2总部E 经过的网络层次 对通信带宽的要对ABDCSITE1效率点的角度：IP VPNSIT

12、E 2SITE 1SITE 5SITE 4SITE 3SITE 6可扩展性比较：FRSITE 3SITE 1SITE 2SITE 4SITE 5SITE 6可扩展性比较：IP VPN可扩展性对比说明 DDN每扩容一个点，都需要 专用终端设备投入 新增点至其它所有要进行连接的点之间增加的多条DDN物理线路投入 可能需要对已有每个点的设备进行升级，以满足端口增加的需求 进行大量复杂的设置，以实现新增点与原有点的互连 FR每扩容一个点，都需要 新增点至其它所有要进行连接的点之间增加的多条PVC电路投入 扩容各点的端口，以容纳新增的PVC 可能需要的因原有端口不足而导致的设备扩容 进行一系列复杂的设置

13、，以实现新增点与原有点的互连 中国网通基于MPLS的IP-VPN 直接申请新的端口，由中国网通为您实现所有点的互连 维护管理比较：FR 对于帧中继而言，用户需要维护的是一个广域网，高档次的设备、多而复杂的线路，这也就使得维护管理复杂、难度大、工作量大。相应的对技术人员的要求也非常高，用户需要在广域网的建设上投注极大的精力。 由于用户需要维护的只是简单的设备，因此维护管理简单，工作量小。相应的对技术人员的要求也低，用户可以把几乎全部的精力都放在局域网的建设上。维护管理比较：IP VPN维护管理对比说明 DDN 工程师需要对全公司每一个用户接入点上每一台连上DDN网的设备进行路由、安全、参数设置等

14、多方面的配置 需要有人掌控全公司各结点组成的广域网 FR 工程师需要对全公司每一个用户接入点上每一台连上FR网的设备进行路由、安全、参数设置等多方面的配置 需要有人掌控全公司各结点组成的广域网 中国网通基于MPLS的IP-VPN 对于每一个接入点，用户只需保证与中国网通之间的连通即可 需要进行日常维护的工作量有多大 投入的人力资源比较DDN 数名资深专业工程师的大量工作时间 FR 数名资深专业工程师的大量工作时间 中国网通基于MPLS的IP-VPN 可简单操作路由器的技术员即可 网络安全性比较 网络安全性如何 三种组网方式具有同等安全性 安全性的本质独立的地址空间和流量的隔离不可见的运营商核心

15、网络抵御攻击独立的地址空间用户 A用户 A用户 A用户 B用户 BMPLSNetworkB-B-A-A-支持私有IP地址交换路由信息使用VPN-IPv4地址流量隔离比较DDNDDN2DDN2DDN1DDN1DDN1DDN2DDN2交换机交换机交换机交换机用户A用户A用户ADDN3用户B用户BDDN3DDN3流量隔离比较FRPVC2PVC2PVC1PVC1PVC1PVC2PVC2交换机交换机交换机交换机用户A用户A用户APVC3用户B用户BPVC3PVC3流量隔离比较IP-VPN用户 A用户 A用户 A用户 B用户 BMPLSNetworkA-A-A-B-B-VPN网络中，从CE、PE到P，均为

16、独立的数据流。流量的隔离对比说明用户 A用户 A用户 A用户 B用户 BMPLSNetworkA-A-A-B-B-LSP1LSP2LSP3LSP4 MPLS，从运营商网络到用户，一条物理线路，不同VPN以不同的路由表区分；在运营商网络内，以LSP来隔离流量。 DDN、帧中继和MPLS分别属于不同层的技术，因此隔离流量的手段不同，但要达到的目的是相同的，就是要让流量到达它应当到达的地方，决不去它不应当去的地方。这三种技术以不同的方式达到了同样的效果，因此在流量的隔离方面，他们是一样的。数据加密局域网1密码机1CE局域网3CE密码机3CNC netPEPEPECE密码机2局域网2AB计费方式比较

17、DDN中国电信DDN资费表计费方式比较 FR中国电信FR资费表客户案例分析FR某用户需要组建一个5点的FR-VPN，总部采用备份结构。主、备服务器与分部各点均以64K相连，因此，主、备服务器与分部各点相连均需两条64K的单向PVC，则此案例按中国电信FR接入方式的计算方法如下表： A、B点端口速率：64 4 2 = 512 K分部端口速率：64 2 2 = 128 K单向PVC速率：64 K总费用：总部端口费用 + 分部端口费用 + PVC费用500 2 + 400 4 + 1700 2 8 = 29800 由于采用中国电信FR，本地接入不收费计费方式比较 IP-VPNMPLS-VPN产品报价

18、某公司总部设在北京，在沈阳、上海、广州、郑州、福州、莆田、泉州、三明等地设有分公司。该公司欲以MPLS-VPN组建专网，采取双星结构，总部主服务器以128K接入，备份服务器及分部均以64K接入，同时要求沈阳直接连入大网。备份CE上海CE郑州CE广州CE福州CE北京CECNC基于MPLS的IP-VPN北京PE上海PE福州PE广州PE郑州PE128k64k64k64k64k64k64k128k端口：1个64K端口：6个总端口数：端口报价：1x3200+6x2600=18800沈阳三明泉州莆田本地电路报价：电路速率费用北京（主）1282000北京（备）641500郑州641500广州641500福州

19、641500上海641500沈阳643500合计13000客户案例分析 IP-VPN某公司总部设在北京，在沈阳、上海、广州、郑州、福州、莆田、泉州、三明等地设有分公司。该公司欲以MPLS-VPN组建专网，采取双星结构，总部主服务器以128K接入，备份服务器及分部均以64K接入，同时要求沈阳直接连入大网。备份CE上海CE郑州CE广州CE福州CE北京CECNC基于MPLS的IP-VPN北京PE上海PE福州PE广州PE郑州PE128k64k64k64k64k64k64k沈阳三明泉州莆田DDN接入一次性费用：14 * （158+200） = 5012元用户需付月租：MPLS-VPN 端口费 + DDN

20、接入费 18800 + 13000 = 31800元客户案例分析 IP-VPN本例未考虑CNC城域网因素性能相同的网络投入对比64K性能相同的网络投入对比128K性能相同的网络投入对比256K性能相同的网络投入对比2M性能相同的网络投入对比汇总表这里所说的仅仅是网络性能上的相同，对于中国网通基于MPLS的IP-VPN来说，这只是其诸多优势中的一个侧面，它给用户带来的益处远远不止于此，如管理上的便捷、设备投资上的锐减、使用上的简易、扩容上的方便均为中国网通基于MPLS的IP-VPN在提供高性能网络的同时给用户带来的隐性而又巨大的效益。 “台湾语音专线”是一种建立在VPN上的独立语音通信服务。我们所说的VOICE VPN有以下特点：1、服务对象是在大陆或台湾均有机构或办事处的公司、企业2、针对以上企业或机构开通