现代骨干网和高速互联网技术_6.ppt

6.1 VPN的相关知识 1、VPN的定义 2、VPN的构成 3、VPN的实现要求 1、VPN的定义 VPN的定义：是指依靠ISP或其他NSP在公用网络基础设施之上构建的专用的数据通信网络，这里所指的公用网络有多种，包括IP网络、帧中继网络和ATM网络。 虚拟： 专用网： IETF对基于IP的VPN定义：使用IP机制仿真出一个私有的广域网。 2、VPN的构成 3、VPN的实现要求 专用网的特点： 封闭的用户群 安全性高 服务质量保证 VPN的实现要求 支持数据分组的透明传输 支持安全功能 提供服务质量保证 4、VPN的分类（1） 按VPN业务类型划分： （1）Intranet VPN（内部公文流转） （2）Access VPN（远程拨号VPN） （3）Extranet VPN（各分支机构互联） 按VPN发起主体划分： （1）客户发起，也称基于客户的VPN （2）服务器发起，也称客户透明方式或基于网络的VPN 4、VPN的分类（2） 按隧道协议层次划分： （1）二层隧道协议：L2F/L2TP、PPTP （2）三层隧道协议：GRE、IPSec （3）介于二、三层间的隧道协议：MPLS （4）基于Socket V5的VPN 此外，根据VPN实现方式不同，还可进一步分为软件实现和硬件实现等。 6.2 VPN的隧道技术 1、隧道的相关知识 2、隧道协议类型 3、第二层隧道：PPTP 4、第二层隧道：L2TP 5、第三层隧道技术：IPSec 6、几种隧道技术的比较 1、隧道的相关知识 隧道的定义：实质上是一种封装，将一种协议（协议X）封装在另一种协议（协议Y）中传输，从而实现协议X对公用传输网络(采用协议Y)的透明性 隧道协议内包括以下三种协议 乘客协议（Passenger Protocol） 封装协议（Encapsulating Protocol） 运载协议（Carrier Protocol） 隧道协议例子 2、隧道协议类型 分类依据：被封装的数据在OSI/RM的层次 第二层隧道：以PPTP，L2TP为代表 第三层隧道：IPSec 3、第二层隧道：PPTP（1） 3、第二层隧道：PPTP（2） 4、第二层隧道：L2TP 数据封装格式： 特点： 它综合了第二层转发协议（L2F）和PPTP两种协议各自的优点 协议的额外开销较少 5、第三层隧道技术：IPSec IPSec：即IP层安全协议，是由Internet组织IETF的IPSec工作组制定的IP网络层安全标准。它通过对IP报文的封装以实现TCP/IP网络上数据的安全传送。 数据封装格式： 6、几种隧道技术的比较 应用范围： PPTP、L2TP：主要用在远程客户机访问局域网方案中； IPSec主要用在网关到网关或主机方案中，不支持远程拨号访问。 安全性： PPTP提供认证和加密功能，但安全强度低 L2TP提供认证和对控制报文的加密，但不能对传输中的数据加密。 IPSec提供了完整的安全解决方案。 QoS保证：都未提供 对多协议的支持：IPSec不支持 6.3 基于IPSec的VPN的体系结构 1、IPSec体系结构 2、IPSec协议框架 3、AH协议 4、ESP协议（封装安全载荷协议） 5、IPSec传输模式 6、IPSec隧道模式 7、安全策略数据库(SPD) 8、安全联盟数据库(SADB) 9、数据包输出处理 10、数据包输入处理 11、包处理组件实现模型 1、IPSec体系结构 2、IPSec协议框架（1） 综合了密码技术和协议安全机制，IPSec协议的设计目标是在IPV4和IPV6环境中为网络层流量提供灵活的安全服务。IPSec协议提供的安全服务包括：访问控制、无连接完整性、数据源鉴别、重传攻击保护、机密性、有限的流量保密等。IPSec协议主要内容包括： ●协议框架－RFC2401； ●安全协议：AH协议－RFC2402、ESP协议－RFC2406； 2、IPSec协议框架（2） ●密钥管理协议：IKE － RFC2409 、ISAKMP－RFC2408、OAKLEY协议－RFC2412。 ●密码算法：HMAC－RFC2104/2404、CAST－RFC2144、ESP加密算法－RFC2405/2451等。 ●其他：解释域DOI－RFC2407、IPComp－RFC2393、Roadmap－RFC2411。 2、IPSec协议框架（3） 3、AH协议 4、ESP协议 5、IPSec传输模式 6、IPSec隧道模式 “备”则“倍” 有准备、有规划的人生更精彩！ * * * * * 6.4 MPLS/VPN体系结构概述 案例研究 VPN路由和转发表 MPLS VPN有三种类型的路由器 CE路由器: