现代骨干网与高速互联网技术-6

现代骨干网与高速互联网技术

ModernBackboneNetwork&High-SpeedInternetTechnology邬春学tyfond@126.com/blog/tyfond.htm上海理工大学Thursday,January25,20246.0虚拟专用网的演进过程Internet也就是运行TCP/IP协议套件的所有网络的一个大集合。在80年代，人们普遍使用的还有另一些网络协议体系—ISO（国际标准化组织）的OSI、IBM公司的SNA以及DEC公司的DECnet等等。然而，所有这些协议没一个是简单的，也不象TCP/IP那样是开放的。正是由于这个原因，TCP/IP协议套件才得到了广泛的实施、开发和支持。6.0虚拟专用网的演进过程所有网络协议体系均包括下述基本组件：■协议堆栈—由相互间通信、高效率传输数据包的各个层构成。■定址系统—提供独一无二标识一个目的地（目标主机）的能力。为了实现大范围内的通信，有必要将通信实体唯一地标识出来。■路由（选择）—决定一个特定数据包的传送路径，令其最终抵达目的地，这就是所谓的“路由选择（Routing）”。6.0虚拟专用网的演进过程

最初的计算机网络实现为客户提供了很高的安全性，但由于下述两个原因，实现的成本效益不高：网络中两个站点之间的数据流量随时间不同而不同；终端用户总是要求快速响应，因此要求站点之间有很大的带宽，但租用线的专用带宽只有部分时间被使用。整个VPN解决方案包含大量的组件：服务提供商拥在基础设施（设备和传输介质），它为客户提供仿真的租用线路。客户通过客户前端设备（CustomerPremisesEquipment,CPE）与服务提供商的网络相连。CPE设备通过传输介质与服务提供商的设备相连服务提供商通常在服务提供商网络（P-网络）的核心安装了其他设备（P-设备）。客户网络中相连的部分被称为站点（Site）。服务提供商给客户提供的仿真租用线路常驻机构常被称为虚电路（VC），包括永久虚电路和交换虚电路。服务提供商可以按固定速率或使用的速率收费现代虚拟专网VPN分类：要解决的业务问题：企业内部通信（企业内部网）、企业之间的通信（企业外部网）以及移动用户的接入（虚拟拨号专网）服务提供商在哪一个OSI层与客户交换拓扑信息：覆盖模型和对等模型。在服务提供商网络中用于实现VPN服务的第二层或第三层技术：X.25、帧中继、SMDS（交换多兆位数据服务，SwitchedMultimegabitDataServiceSMDS)

、ATM或IP网络的拓扑结构IPVPN在一个共享的公共网络基础设施上，企业可以获得与专用网络一样的安全性，一样的可靠连接，一样的可管理性，以及一样的地址分配方案。IPVPN既可以构建在Internet之上，也可建立在服务商的IP或ATM基础设施上。IPVPN可以跨越多个网络，通过专用的甚至是拨号连接，将企业不同地域的分支机构、移动的用户、远程工作者以及企业合作伙伴连接起来，提供与专用网络相同的安全性、性能以及可用性。IPVPN支持的应用：远程接入：支持远程用户采用PSTN、ISDN、DSL、电缆（cablemodem）或无线的方式接入企业网络。内部网：在专用基础设施上不同远程站点之间的连接。外部网：能够在一个或多个其他企业网络之间进行有限的网络接入，包括连接到全球Internet。VPN的意义现在越来越多的个人、职员装备了便携式计算机，这些便携式计算机需要随时随地连接到企业网络，由此而引起的远程连接成本和网络复杂性可想而知。企业之间的合作及企业与客户之间的联系也日趋紧密，这些合作和联系是动态的，总是处在变化和发展之中。VPN的基本点：化公为私，使每个企业可以临时从公用网中挖走一部分资源供自己专用。VPN业务对运营商网络基础平台的要求：网络中的通道应该避免全网状网连接；减少网络设备中的VPN信息，即提供简洁，高效的VPN解决方案；在同一个VPN中的每个路由器，不需要配置和VPN网络中的其他结点的点到点连接，而只需和运营商网络的接入路由器相连接；可以简单地实现和其他网络的互通；在网络的核心采用MPLS协议传送数据信息；不同VPN用户间采用BGP协议传递VPN路由信息；有良好的可扩展性，同时对企业用户来说易于实现。VPN业务企业内部的Intranet虚拟IP传送网络Internet接入VPNExtranetVPN远程VPN多企业VPN拨号VPN6.1VPN的相关知识1、VPN的定义2、VPN的构成3、VPN的实现要求1、VPN的定义VPN的定义：是指依靠ISP或其他NSP在公用网络基础设施之上构建的专用的数据通信网络，这里所指的公用网络有多种，包括IP网络、帧中继网络和ATM网络。虚拟：专用网：IETF对基于IP的VPN定义：使用IP机制仿真出一个私有的广域网。

2、VPN的构成3、VPN的实现要求专用网的特点：封闭的用户群安全性高服务质量保证VPN的实现要求支持数据分组的透明传输支持安全功能提供服务质量保证4、VPN的分类（1）按VPN业务类型划分：

（1）IntranetVPN（内部公文流转）（2）AccessVPN（远程拨号VPN）（3）ExtranetVPN（各分支机构互联）按VPN发起主体划分：

（1）客户发起，也称基于客户的VPN（2）服务器发起，也称客户透明方式或基于网络的VPN4、VPN的分类（2）按隧道协议层次划分：

（1）二层隧道协议：L2F/L2TP、PPTP（2）三层隧道协议：GRE、IPSec

（3）介于二、三层间的隧道协议：MPLS

（4）基于SocketV5的VPN此外，根据VPN实现方式不同，还可进一步分为软件实现和硬件实现等。6.2VPN的隧道技术1、隧道的相关知识2、隧道协议类型3、第二层隧道：PPTP4、第二层隧道：L2TP5、第三层隧道技术：IPSec6、几种隧道技术的比较1、隧道的相关知识隧道的定义：实质上是一种封装，将一种协议（协议X）封装在另一种协议（协议Y）中传输，从而实现协议X对公用传输网络(采用协议Y)的透明性隧道协议内包括以下三种协议乘客协议（PassengerProtocol）封装协议（EncapsulatingProtocol）运载协议（CarrierProtocol）隧道协议例子2、隧道协议类型分类依据：被封装的数据在OSI/RM的层次第二层隧道：以PPTP，L2TP为代表第三层隧道：IPSec3、第二层隧道：PPTP（1）PPTP由微软公司设计，用于将PPP分组通过IP网络封装传输3、第二层隧道：PPTP（2）PPTP的数据封装：数据链路层报头IP报头GRE报头PPP报头数据链路层报尾加密PPP有效载荷PPTP客户机或PPTP服务器在接收到PPTP数据包后，将做如下处理：处理并去除数据链路层报头和报尾；处理并去除IP报头；处理并去除GRE和PPP报头；如果需要的话，对PPP有效载荷即传输数据进行解密或解压缩；对传输数据进行接收或转发处理。

4、第二层隧道：L2TP数据封装格式：特点：它综合了第二层转发协议（L2F）和PPTP两种协议各自的优点协议的额外开销较少5、第三层隧道技术：IPSecIPSec：即IP层安全协议，是由Internet组织IETF的IPSec工作组制定的IP网络层安全标准。它通过对IP报文的封装以实现TCP/IP网络上数据的安全传送。数据封装格式：6、几种隧道技术的比较应用范围：PPTP、L2TP：主要用在远程客户机访问局域网方案中；IPSec主要用在网关到网关或主机方案中，不支持远程拨号访问。安全性：PPTP提供认证和加密功能，但安全强度低L2TP提供认证和对控制报文的加密，但不能对传输中的数据加密。IPSec提供了完整的安全解决方案。QoS保证：都未提供对多协议的支持：IPSec不支持6.3基于IPSec的VPN的体系结构1、IPSec体系结构2、IPSec协议框架3、AH协议4、ESP协议（封装安全载荷协议）5、IPSec传输模式6、IPSec隧道模式7、安全策略数据库(SPD)8、安全联盟数据库(SADB)9、数据包输出处理10、数据包输入处理11、包处理组件实现模型1、IPSec体系结构2、IPSec协议框架（1）综合了密码技术和协议安全机制，IPSec协议的设计目标是在IPV4和IPV6环境中为网络层流量提供灵活的安全服务。IPSec协议提供的安全服务包括：访问控制、无连接完整性、数据源鉴别、重传攻击保护、机密性、有限的流量保密等。IPSec协议主要内容包括：●协议框架－RFC2401；●安全协议：AH协议－RFC2402、ESP协议－RFC2406；●密钥管理协议：IKE－RFC2409、ISAKMP－RFC2408、OAKLEY协议－RFC2412。●密码算法：HMAC－RFC2104/2404、CAST－RFC2144、ESP加密算法－RFC2405/2451等。●其他：解释域DOI－RFC2407、IPComp－RFC2393、Roadmap－RFC2411。2、IPSec协议框架（2）IPSec架构密钥管理ESP协议AH协议解释域（DOI）加密算法鉴别算法IPSec协议文件框架图2、IPSec协议框架（3）ike定义了安全参数如何协商,以及共享密钥如何建立,但它没有定义的是协商内容.这方面的定义是由"解释域(doi)"文档来进行的3、AH协议4、ESP协议5、IPSec传输模式6、IPSec隧道模式6.4MPLS/VPN体系结构概述案例研究VPN路由和转发表MPLSVPN有三种类型的路由器CE路由器:是客户端路由器，为用户提供到PE路由器的连接；PE路由器是运营商边缘路由器，也就是MPLS网络中的标签边缘路由器（LER），它根据存放的路由信息将来自CE路由器或标签交换路径（LSP）的VPN数据处理后进行转发，同时负责和其他PE路由器交换路由信息；P路由器是运营商网络主干路由器，也就是MPLS网络中的标签交换路由器（LSR），它根据分组的外层标签对VPN数据进行透明转发，P路由器只维护到PE路由器的路由信息而不维护VPN相关的路由信息。6.4MPLS/VPN体系结构概述案例研究6.4MPLS/VPN体系结构概述地址空间假设两个公司都遵守相同的地址约定：中心站点使用公有IP地址，而远程站点使用专用IP地址空间（网络）6.4MPLS/VPN体系结构概述公司站点子网FastFoodSanJose/24SantaClara/24Redwood/24SantaCruz/24Monterey/24Lyon/24EuroBankPairs/24Chartres/24Nantes/24SanFrancisco/246.4MPLS/VPN体系结构概述

传统上，SuperCom可以使用3种方式来解决地址重叠的问题：说服客户改变其网络的地址空间，大多数客户将乐意这么做，而不是去寻找其他的服务提供商；使用IP-over-IP隧道实现VPN服务，在这种实现中，客户的IP地址对服务提供商路由器是隐藏的；实现一种复杂的网络地址转换（NAT）方案，在提供商边界路由器上将客户地址转换成一组不同的地址，并在分组从出口PE-路由器发送到CE路由器之前，将这些地址转换在地址。6.4MPLS/VPN体系结构概述VPN路由和转发表MPLS/VPN对地址重叠的解决方案：每个VPN在路由器中都有自己的路由和转发表，因此属于该VPN的所有客户或站点都只能访问该表中的路由集。因此，MPLS/VPN的所有P