VPN产品培训讲义

VPN产品培训讲义产品市场部VPN产品部第一页，共六十九页。讲义结构产品现状及当前问题中国网通基于MPLS的IP-VPN概述定义、特点、功能、组网方式FR-VPN概述定义、网络结构、卖点DDN、FR及中国网通基于MPLS的IP-VPN比较※网络结构※设备投入※月租构成※网络效率※可扩展性※维护管理※网络安全※计费方式※投入对比MPLS-VPN安全性能概述台湾语音专线简介结束第二页，共六十九页。中国网通VPN产品线

基于MPLS的IP-VPN（目前的主打产品）带宽、技术优势大带宽多端点；64K-128K在七点以上接入劣势

FR-VPN特定市场、特定客户、特定模式按需建网、控制成本，不和中国电信全面竞争

台湾语音专线特定用途对台只做“语音专线”第三页，共六十九页。什么是VPN－网络模拟图第四页，共六十九页。什么是VPNVPN服务是在公共基础网络之上构建企业内部专网，实现企业不同地区分支机构之间内部数据、语音、图像通信联络可以被当做专网那样使用和管理。拥有同专网一样的安全性成本大大低于自建专网公共网络具有良好的扩展性和灵活性第五页，共六十九页。MPLS边缘路由器什么是MPLS技术LSPMPLS标签交换路由器加上标记并按标记交换除去标记，按三层转发标记交换并支持三层路由或二层交换标记、LIB第六页，共六十九页。什么是MPLS技术LSP1b.根据此路由信息，LDP建立LSP1a.各MPLS设备运行路由算法，得到网络路由信息2.根据包头，查找路由表，确定LSP，并将标签插入包头中。3.按标签进行标签交换式转发。4.删除标签后，按常规IP包转发第七页，共六十九页。用户A用户A用户A用户B用户BMPLSNetworkB-----------B-----------A-----------A-----------支持私有IP地址支持多种QoS服务级别VPN连接的管理有运营商完成基于MPLS的IP－VPN第八页，共六十九页。与DDN、FR等具有同等安全性VPN连接配置简单，对现有骨干网络没有压力；对现有用户的要求为0，用户不需要作任何改动，用户加入VPN的配置也很简单；网络可扩展能力很强；VPN用户可以延用原有的专用地址，不需要作任何修改，在骨干网络采用VPN-ID，可以保持全网的唯一性；提供超值的带宽服务；易于提供增值业务，如不同的COS。IP－VPN的优点第九页，共六十九页。

支持SLA可以为用户提供服务质量报告支持ClassofService用户可管理的IP-VPN丰富的Internet服务Extranet

VPDN：利用171接入VPNIPSec：从Internet接入VPN提供IDC+IP-VPN的集成服务Intranet话音业务Intranet会议电视业务高级服务增值服务IP－VPN可提供的服务Intranet基本服务第十页，共六十九页。IP－VPN组网方式（1）第十一页，共六十九页。IP－VPN组网方式（2）第十二页，共六十九页。IP－VPN组网方式（3）第十三页，共六十九页。IP－VPN组网方式（4）第十四页，共六十九页。IP－VPN组网方式（5）第十五页，共六十九页。IP－VPN应用一：

CNC-Intra网络拓扑示意图第十六页，共六十九页。IP－VPN应用二：

典型的的Internet接入第十七页，共六十九页。(帧中继交换机)一种广域网技术。也被称作快速分组交换。它在链路层上用简化的方法传送和交换数据单元，用户信息以帧为单位进行传输，并对用户信息流进行统计复用，链路层以上协议则在用户终端设备上执行。帧中继的定义第十八页，共六十九页。FRSwitchFRSwitchPVCCNCFrameRelayNetworkFrameRelayPortFrameRelayPort接入线路：向本地电信网运营商租用的接入帧中继网络的线路。端口：帧中继交换机上的物理端口。它限定了该端口上所有PVC同时发往网络的最高速率和。速率：64K—2M

永久虚电路PVC:两个端口之间的逻辑连接，给定一个承诺保证速率CIR。CIR：32K—2MNetworkAccessRouterLANCSU/DSURouterLANCSU/DSU帧中继网络结构NetworkAccess客户付费的三个参数：接入电路、端口、PVC第十九页，共六十九页。在帧中继网络中建立虚电路（VC)传送数据VC：通过帧中继网络连接两个端口的逻辑电路PVC(PermanentVirtualCircuits)、SVC帧中继网端口端口端口端口RouterLANCSU/DSURouterLANCSU/DSURouterLANCSU/DSURouterLANCSU/DSUPVC：永久虚电路接入电路帧中继网络结构第二十页，共六十九页。PVC的两个参数：约定速率CIR：CommitedInfimationRate对一个特定的用户，PVC保证一定服务等级的专用带宽称之为约定的信息速率。突发速率CBR：CommitedBirstRate准许每条PVC最高可突发的速率两种丢包方式：当电路发生拥塞时会发生丢包随机方式选择性方式：根据数据包标记有选择得丢包CIR速率内的数据得到传送帧中继的卖点第二十一页，共六十九页。统计复用和按需分配带宽信源1信源2信源3信源4统计复用器12132344信源1信源2信源3信源4统计复用器12233121当所有信源都发送时，各自占有所约定的带宽当一个信源不发送时，其他信源可以占用所有可用带宽,享用突发带宽.统计复用技术特别适合于突发性数据业务：信源在大部分时间内只传送少量数据多条PVC中数据流统计复用至同一条电路，使得每条PVC可以有高的突发速率。第二十二页，共六十九页。

同专线组网方式相比，帧中继组网方式减少了客户端设备，不但降低了组网费用，而且提高了网络可靠性。专线组网方式帧中继组网方式位置ADSU/CSUDSU/CSUDSU/CSULANRouterDSU/CSUDSU/CSUDSU/CSULANRouterLANRouterLANRouter位置D位置B位置C位置A56k56k128kFRNetwork56kDSU/CSULANRouterDSU/CSUDSU/CSUDSU/CSULANRouterLANRouterLANRouter专线56k专线56k专线56k位置D位置B位置C帧中继服务与专线服务的比较第二十三页，共六十九页。帧中继组网举例分公司A总公司分公司C分公司B1Mbps256kbps256kbps256kbps256kbpsCIR128kbpsCIR128kbpsCIR128kbpsCIR128kbps帧中继网第二十四页，共六十九页。DDN、FR及IP-VPN组网比较：DDN组网示意第二十五页，共六十九页。DDN、FR及IP-VPN组网比较：FR组网示意第二十六页，共六十九页。DDN、FR及IP-VPN组网比较：VPN组网示意第二十七页，共六十九页。SITE1SITE4SITE3SITE2SITE5设备投入比较：FR第二十八页，共六十九页。SITE1SITE6SITE4SITE3SITE2SITE5设备投入比较：IPVPN第二十九页，共六十九页。设备投入对比说明DDN

昂贵的专用终端设备，而且一个专用终端设备的物理端口只能接一条DDN

每一对要通信的机构之间都要申请一条DDN进行连接

无法提供2M以上带宽

FR

昂贵的专用终端设备

从每个要互连的用户端到运营商FR网有一条物理电路连接

在每一对要互连的机构之间要租用一对PVC电路

无法提供2M以上带宽

中国网通基于MPLS的IP-VPN

用户端设备采用低端路由器即可，从每个要互连的用户端到中国网通VPN网需有一条物理电路连接

租用中国网通相应速率的VPN端口

可提供任意速率带宽

第三十页，共六十九页。月租费构成比较

DDN

每一对互连点间的DDN物理线路费

FR每一对互连点间的PVC电路费

FR端口费

中国网通基于MPLS的IP-VPN

中国网通只向用户收取端口月租费

第三十一页，共六十九页。SITE1SITE4SITE3SITE2SITE5PVC1PVC2PVC3PVC4PVC5PVC6PVC7PVC8PVC9PVC10PVC11PVC12PVC13PVC14PVC15PVC16PVC17PVC18PVC19PVC20效率比较—网的角度：FR第三十二页，共六十九页。SITE1SITE4SITE3SITE2SITE5效率比较—网的角度：IPVPN）第三十三页，共六十九页。效率比较—点的角度：FRABDCSITE1SITE2总部E经过的网络层次对通信带宽的要对第三十四页，共六十九页。ABDCSITE1效率—点的角度：IPVPN第三十五页，共六十九页。SITE2SITE1SITE5SITE4SITE3SITE6可扩展性比较：FR第三十六页，共六十九页。SITE3SITE1SITE2SITE4SITE5SITE6可扩展性比较：IPVPN第三十七页，共六十九页。可扩展性对比说明

DDN每扩容一个点，都需要

专用终端设备投入

新增点至其它所有要进行连接的点之间增加的多条DDN物理线路投入

可能需要对已有每个点的设备进行升级，以满足端口增加的需求

进行大量复杂的设置，以实现新增点与原有点的互连

FR每扩容一个点，都需要

新增点至其它所有要进行连接的点之间增加的多条PVC电路投入

扩容各点的端口，以容纳新增的PVC

可能需要的因原有端口不足而导致的设备扩容

进行一系列复杂的设置，以实现新增点与原有点的互连

中国网通基于MPLS的IP-VPN

直接申请新的端口，由中国网通为您实现所有点的互连

第三十八页，共六十九页。维护管理比较：FR对于帧中继而言，用户需要维护的是一个广域网，高档次的设备、多而复杂的线路，这也就使得维护管理复杂、难度大、工作量大。相应的对技术人员的要求也非常高，用户需要在广域网的建设上投注极大的精力。第三十九页，共六十九页。由于用户需要维护的只是简单的设备，因此维护管理简单，工作量小。相应的对技术人员的要求也低，用户可以把几乎全部的精力都放在局域网的建设上。维护管理比较：IPVPN第四十页，共六十九页。维护管理对比说明DDN

工程师需要对全公司每一个用户接入点上每一台连上DDN网的设备进行路由、安全、参数设置等多方面的配置

需要有人掌控全公司各结点组成的广域网

FR工程师需要对全公司每一个用户接入点上每一台连上FR网的设备进行路由、安全、参数设置等多方面的配置需要有人掌控全公司各结点组成的广域网

中国网通基于MPLS的IP-VPN

对于每一个接入点，用户只需保证与中国网通之间的连通即可

需要进行日常维护的工作量有多大

第四十一页，共六十九页。投入的人力资源比较DDN

数名资深专业工程师的大量工作时间

FR

数名资深专业工程师的大量工作时间

中国网通基于MPLS的IP-VPN

可简单操作路由器的技术员即可

第四十二页，共六十九页。网络安全性比较

网络安全性如何

三种组网方式具有同等安全性

第四十三页，共六十九页。安全性的本质独立的地址空间和流量的隔离不可见的运营商核心网络抵御攻击第四十四页，共六十九页。独立的地址空间用户A用户A用户A用户B用户BMPLSNetworkB-----------B-----------A-----------A-----------支持私有IP地址交换路由信息使用VPN-IPv4地址第四十五页，共六十九页。流量隔离比较—DDNDDN2DDN2DDN1DDN1DDN1DDN2DDN2交换机交换机交换机交换机用户A用户A用户ADDN3用户B用户BDDN3DDN3第四十六页，共六十九页。流量隔离比较—FRPVC2PVC2PVC1PVC1PVC1PVC2PVC2交换机交换机交换机交换机用户A用户A用户APVC3用户B用户BPVC3PVC3第四十七页，共六十九页。流量隔离比较—IP-VPN用户A用户A用户A用户B用户BMPLSNetworkA-----------A-----------A-----------B-----------B-----------VPN网络中，从CE、PE到P，均为独立的数据流。第四十八页，共六十九页。流量的隔离对比说明用户A用户A用户A用户B用户BMPLSNetworkA-----------A-----------A-----------B-----------B-----------LSP1LSP2LSP3LSP4MPLS，从运营商网络到用户，一条物理线路，不同VPN以不同的路由表区分；在运营商网络内，以LSP来隔离流量。DDN、帧中继和MPLS分别属于不同层的技术，因此隔离流量的手段不同，但要达到的目的是相同的，就是要让流量到达它应当到达的地方，决不去它不应当去的地方。这三种技术以不同的方式达到了同样的效果，因此在流量的隔离方面，他们是一样的。第四十九页，共六十九页。数据加密局域网1密码机1CE局域网3CE密码机3CNCnetPEPEPECE密码机2局域网2AB第五十页，共六十九页。计费方式比较—DDN中国电信DDN资费表第五十一页，共六十九页。计费方式比较—FR中国电信FR资费表第五十二页，共六十九页。客户案例分析－FR某用户需要组建一个5点的FR-VPN，总部采用备份结构。主、备服务器与分部各点均以64K相连，因此，主、备服务器与分部各点相连均需两条64K的单向PVC，则此案例按中国电信FR接入方式的计算方法如下表：A、B点端口速率：64×4×2=512K分部端口速率：64×2×2=128K单向PVC速率：64K总费用：总部端口费用+分部端口费用+PVC费用500×2+400×4+1700×2×8=29800由于采用中国电信FR，本地接入不收费第五十三页，共六十九页。计费方式比较—IP-VPNMPLS-VPN产品报价第五十四页，共六十九页。某公司总部设在北京，在沈阳、上海、广州、郑州、福州、莆田、泉州、三明等地设有分公司。该公司欲以MPLS-VPN组建专网，采取双星结构，总部主服务器以128K接入，备份服务器及分部均以64K接入，同时要求沈阳直接连入大网。备份CE上海CE郑州CE广州CE福州CE北京CECNC基于MPLS的IP-VPN北京PE上海PE福州PE广州PE郑州PE128k64k64k64k64k64k64k128k端口：1个64K端口：6个总端口数：端口报价：1x3200+6x2600=18800沈阳三明泉州莆田本地电路报价：电路速率费用北京（主）1282000北京（备）641500郑州641500广州641500福州641500上海641500沈阳643500合计13000客户案例分析—IP-VPN第五十五页，共六十九页。某公司总部设在北京，在沈阳、上海、广州、郑州、福州、莆田、泉州、三明等地设有分公司。该公司欲以MPLS-VPN组建专网，采取双星结构，总部主服务器以128K接入，备份服务器及分部均以64K接入，同时要求沈阳直接连入大网。备份CE上海CE郑州CE广州CE福州CE北京CECNC基于MPLS的IP-VPN北京PE上海PE福州PE广州PE郑州PE128k64k64k64k64k64k64k沈阳三明泉州莆田DDN接入一次性费用：14*（158+200）=5012元用户需付月租：MPLS-VPN端口费+DDN接入费18800+13000=31800元客户案例分析—IP-VPN本例未考虑CNC城域网因素第五十六页，共六十九页。性能相同的网络投入对比－64K第五十七页，共六十九页。性能相同的网络投入对比－128K第五十八页，共六十九页。性能相同的网络投入对比－256K第五十九页，共六十九页。性能相同的网络投入对比－2M第六十页，共六十九页。性能相同的网络投入对比汇总表这里所说的仅仅是网络性能上的相同，对于中国网通基于MPLS的IP-VPN来说，这只是其诸多优势中的一个侧面，它给用户带来的益处远远不止于此，如管理上的便捷、设备投资上的锐减、使用上的简易、扩容上的方便均为中国网通基于MPLS的IP-VPN在提供高性能网络的同时给用户带来的隐性而又巨大的效益。第六十一页，共六十九页。“台湾语音专线”是一种建立在VPN上的独立语音通信服务。我们所说的VOICEVPN有以下特点：1、服务对象是在大陆或台湾均有机构或办事处的公司、企业2、针对以上企业或机构开通大陆到台湾的VPN服务。3、在VPN上，利用语音网关开通VoIP通话。4、利用CNC的VoIP提供国内、国际IP电话服务。5、利用TTNnet提供台湾地区的电话服务。什么是“台湾语音专线”第六十二页，共六十九页。VPNPSTNCNCnet/TTNnet大陆台湾什么是“台湾语音专线”第六十三页，共六十九页。在大陆用户端和上海CNCnet出口节点之间组成VPN1在台湾用户端和台湾TTNnet出口节点之间组成VPN2VPN1与VPN2通过上海至台湾的直达电路相接LANLANLANLANLANLAN大陆台湾CNCnet