第16章 虚拟专用网.pptVIP

第16章 虚拟专用网（VPN）和多协议标签交换（MPLS） 主要内容 16.1 VPN 16.2 基于隧道协议的VPN 16.3 MPLS 学习目标 了解VPN的概念 了解基于隧道协议的VPN技术 了解MPLS技术及其应用 16.1 VPN 16.1.1 VPN的概念 VPDN Intranet VPN Extranet VPN 16.1.2 VPN的功能 16.2 基于隧道协议的VPN 16.2.1 基于数据链路层隧道的VPN 使用L2TP 构建VPDN L2TP 协议栈结构及数据包的封装过程 16.2.2 基于网络层隧道的VPN GRE 协议栈 使用GRE构建VPN IPSec从以下三个方面来保证数据的安全性： （1）认证，用于对主机和端点进行身份鉴别。 （2）完整性检查，用于保证数据在通过网络传输时没 有被修改 （3）加密，加密IP地址和数据以保证私有性。 ESP 协议 16.2.3 基于应用层隧道的VPN 16.3 MPLS 16.3.1 MPLS的工作原理 起源：为了将IP与ATM结合 16.3.2 MPLS应用 16.3.3 MPLS VPN 在大型ISP网络中，MPLS主要有三种应用： （1）流量工程 （2）服务等级（CoS） （3）虚拟专网（VPN） * VPN是基于公共通信网络的专用网络： 根据VPN所起的作用，可以将VPN分为三类： （1）VPDN（Virtual Private Dial Network） （2）Intranet VPN （3）Extranet VPN POP POP 用户直接发起连接 POP ISP发起连接 总部 隧道 适用范围： 出差员工 异地小型办公机构 Internet/ ISP IP ATM/FR 隧道 总部 研究所 办事处 分支机构 Internet/ ISP IP ATM/FR 分支机构 合作伙伴 总部 异地办事处 （1）VPN的安全性： 1.加密数据 2.信息认证和身份认证 3.提供访问控制 （2）VPN的服务质量（QoS） （3）VPN的可扩充性和灵活性 （4）VPN的可管理性 VPDN中远程用户通过拨号网络与企业网建立连接。 VPDN通常采用基于数据链路层隧道的VPN。 数据链路层隧道：先在远程用户和企业网络间采用PPP协议建立点对点的连接，然后把所有数据包加密后都封装在PPP的帧中传输。 PPP协议：主要是设计用来通过拨号或专线方式建立点对点连接发送数据。包括以下三个部分： （1）在串行通信线路上组帧的方法 （2）链路控制协议LCP（Link Control Protocol） （3）网络控制协议NCP（Network Control Protocol） 为实现VPN，基于PPP协议，提出了多种数据链路层隧道协议，又叫第二层隧道协议，常用的有： （1）PPTP（Point-to-Point Tunneling Protocol） 协议 PPTP网络拓扑图 PPTP协议图 （2）L2F（Layer 2 Forwarding）协议 L2F网络拓扑图 L2F的帧格式 （3）L2TP（Layer 2 Tunneling Protocol） L2TP协议图 PSTN/ISDN LAN LAN 分支机构 总部 LAC LNS NAS Router L2TP 消息 数据消息 控制消息 会话 隧道 出差员工 LAC: L2TP Access Concentrator L2TP的接入集中器 LNS: L2TP Network Server L2TP的网络服务器 LAC/LNS Radius : LAC/LNS的远端验证服务器 LAC RADIUS LNS RADIUS 私有IP PPP L2TP UDP 公有IP 链路层 物理层 物理层 私有IP PPP IP包(公有IP) UDP L2TP PPP IP包(私有IP) 链路层 私有IP PPP 物理层 L2TP UDP 公有IP 链路层 物理层 物理层 私有IP 链路层 物理层 Client LAC LNS Server LAC侧封装过程 LNS侧解封装过程 L2TP协议栈结构 基于网络层隧道的VPN用于Intranet VPN和Extranet VPN GRE（Generic Routing Encapsulation，通用路由封装）协议 IP/IPX GRE IP 链路层协议 乘客协议 封装协议 运输协议 GRE协议栈 隧道接口的报文格式 链路层 GRE IP/IPX IP Payload Original Data Packet Transfer Protocol Header GRE Header Internet Tunn