物联网通信技术 屈军锁 IOT_ch11新.pptVIP

11.* ? 2012 by XUPT 物联网通信技术　第一版 第十一章　虚拟专用网技术 11.* ? 2012 by XUPT 第 11 章 学习重点 学习重点 　　虚拟专用网指的是在公用网络上建立专用网络的技术。“虚拟”的含义是网络任意两个结点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台上，用户数据在逻辑链路中传输。本章重点是虚拟专用网的基本原理、VPN实现技术、QoS技术以及应该采取的安全措施。 11.1 VPN概述 VPN是依靠Internet服务提供商和网络服务提供商在公共网络中建立的虚拟专用通信网络。 VPN的特征 专用（private） 虚拟（virtual） VPN的优点 安全 -可运营 廉价 -灵活 支持移动业务 -多业务 服务质量保证 11.1 VPN概述 VPN分类 1．根据组网模型区分： 虚拟专用拨号网络（Virtual Private Dial Network，VPDN） 虚拟专用路由网络（Virtual Private Routing Network，VPRN） 虚拟专用线业务（Virtual Private Wire Service，VPWS） 虚拟专用局域网业务（Virtual Private LAN Service，VPLS） 2．根据业务用途区分，可分为3种： 企业内部虚拟专网（Intranet VPN）、 扩展的企业内部虚拟专网（Extranet VPN）、 远程访问虚拟专网（Access VPN）。 3．根据实现层次区分，可分为三层虚拟专用网、二层虚拟专用网和VPDN。 4．根据运营模式区分，可分为由用户控制的VPN、由ISP控制的VPN两种。 11.2 VPN的基本概念 VPN的基本原理是利用隧道技术，把VPN报文封装在隧道中，利用VPN骨干网建立专用数据传输通道，实现报文的透明传输。 隧道技术使用一种协议封装另外一种协议报文，而封装协议本身也可以被其他封装协议所封装或承载。对用户来说，隧道是其PSTN/ISDN链路的逻辑延伸，在使用上与实际物理链路相同。 VPN隧道需要完成的功能包括： （1）封装用户数据。 （2）实现隧道两端的连通性。 （3）定时检测VPN隧道的连通性。 （4）VPN隧道的安全性。 （5）VPN隧道的QoS特性。 11.3 VPN的实现技术 根据实现隧道的层次，隧道协议分为第二层隧道协议和第三层隧道协议。 根据所使用的隧道协议类型，隧道可以分为多种类型： GRE隧道 IPSec隧道 L2TP隧道 LSP隧道 隧道管理 隧道协议、技术 11.3 VPN的实现技术 L2TP协议 图 11-2 L2TP数据报文格式 图 11-1 PPP帧、控制通道及数据通道之间的关系 11.3 VPN的实现技术 L2TP协议 图 11-4 会话连接的建立过程 图 11-3 L2TP的控制连接建立过程 11.3 VPN的实现技术 L2TP协议 图 11-6 LAC侧发起控制连接拆除的过程 图 11-5 LAC侧发起会话连接拆除的过程 11.3 VPN的实现技术 L2TP协议 L2TP遂道呼叫建立流程 11.3 VPN的实现技术 L2TP应用 图 11-8 L2TP隧道模式 11.3 VPN的实现技术 L2TP应用 图 11-9 NAS?Initialized 模式建立连接的方式 11.3 VPN的实现技术 GRE技术 图 11-11 报文在GRE中的传输过程 11.3 VPN的实现技术 MPLS技术 图 11-12 标签交换过程 11.3 VPN的实现技术 MPLS技术 图 11-13 标签转发过程之一 11.3 VPN的实现技术 MPLS技术 图 11-14 标签转发过程之二 11.3 VPN的实现技术 MPLS技术 图 11-15 标签转发过程之三 11.3 VPN的实现技术 MPLS技术 图 11-16 LDP会话的建立和维护 11.3 VPN的实现技术 MPLS技术 图 11-17 LDP邻居状态机 11.3 VPN的实现技术 MPLS技术 图 11-18 MPLS标签封装格式 Lable=20 bit；EXP=3 bit实验位； BS=1bit栈底标志；TTL=8 bit生存时间 11.4 VPN中的安全措施 VPN系统全部采用认证机构（Certificate Authority，CA）认证体制，即在企业信息中心VPN控制平台建立统一的认证授权系统，所有企业客户端都有自己的私有证书、用户名及密码，使接入用户与VPN、VPN网关进行双向身份鉴别，同时客户端还支持双因素身