第9章IP交换与IP安全论述.ppt

虚拟（Virtual）：VPN 用户内部的通信是通过一个公共网络进行的，而这个公共网络同时也被其他非VPN 用户使用。即，VPN 用户获得的是一个逻辑意义上的专网。这个公共网络称为VPN 骨干网（VPN Backbone）。 VPN 不是一种简单的高层业务。该业务建立用户之间的网络互联，包括建立VPN内部的网络拓扑、进行路由计算、维护成员的加入与退出等，因此，VPN 技术比普通的点对点应用复杂得多。 第*页 9.4.2 VPN 分类 VPN 可以按照组网模型、业务用途、运营模式、实现层次不同的角度分为多种类型。 第*页 9.4.3 VPN 原理1. VPN 隧道 VPN 的基本原理是利用隧道技术，把VPN 报文封装在隧道中，利用VPN 骨干网建立专用数据传输通道，实现报文的透明传输。 隧道技术使用一种协议封装另外一种协议报文，而封装协议本身也可以被其他封装协议所封装或承载。对用户来说，隧道是其PSTN/ISDN 链路的逻辑延伸，在使用上与实际物理链路相同。 第*页 2. 隧道协议 隧道通过隧道协议实现，根据实现隧道的层次，隧道协议分为第二层隧道协议和第三层隧道协议。 第*页 第二层隧道协议 第二层隧道协议将整个数据帧封装在内部隧道中。 点到点隧道协议 PPTP（Point-to-Point Tunneling Protocol）：支持PPP在IP 网络上的隧道封装。PPTP 作为呼叫控制和管理协议，使用一种增强的GRE（Generic Routing Encapsulation）技术为传输的PPP 报文提供流量控制和拥塞控制。 第*页 二层转发协议 L2F（Layer 2 Forwarding）：支持对更高级协议链路层的隧道封装，实现拨号服务器和拨号协议连接在物理位置上的分离。 二层隧道协议 L2TP（Layer 2 Tunneling Protocol）：结合上述两个协议的优点，既可用于拨号VPN 业务，也可用于专线VPN 业务。 第*页 第三层隧道协议 第三层隧道协议的起点与终点均在 ISP 内，PPP 会话终止在NAS（Network AccessServer）处，隧道内只携带第三层报文。现有的第三层隧道协议主要包括： 通用路由封装协议 GRE（Generic Routing Encapsulation）：实现任意一种网络协议在另一种网络协议上的封装。 IPSec（IP Security）：IPSec 不是一个单独的协议，它给出了IP 网络上数据安全的一整套体系结构， 包括AH （ Authentication Header ） 、ESP（Encapsulating Security Payload）、IKE（Internet Key Exchange）等协议。GRE 和IPSec 主要用于实现专线VPN 业务。 第*页 3.隧道技术GRE 隧道 GRE隧道使用GRE协议封装原始数据报文，基于公共IP 网络实现数据的透明传输。GRE 隧道不能配置二层信息，但可以配置IP 地址。利用为隧道指定的实际物理接口完成转发。转发过程可以简单描述如下： 所有去往远端 VPN 的报文先发送到隧道（Tunnel）源端； 在 Tunnel 源端进行GRE 封装，填写Tunnel 建立时确定的隧道源地址和目的地址； 通过公共 IP 网络转发到远端VPN 网络。 第*页 IPSec 隧道 IPSec 是IETF 制定的一个框架协议，用于保证在Internet 上传送数据的安全保密性。 IPSec 提供传输模式和隧道模式两种操作模式， 第*页 隧道模式的封装过程 首先为需要通信的两个私有网络地址定义一个 IP 流，流的建立可以使用IP 层以上某个协议的端口； 定义 IPSec 隧道的源和目的地址信息，这个源和目的地址是公网信息； 配置缺省路由，下一跳指向 IPSec 隧道源地址所在链路的对端地址。 在进行 VPN 通信时，所有去往对端VPN 的报文在出接口进行IPSec 封装，到对端拆封装，然后再进行转发。 第*页 LSP 在MPLS 网络中，边缘路由器对报文打上MPLS 标签，网络内部路由器根据标签对报文进行转发。标签报文所经过的路径称为标签交换路径LSP（Label SwitchedPath）。 第*页 GRE 或IPSec 作为Kompella L2VPN 或RFC2547 下LSP 的替代隧道RFC2547 中使用的隧道类型为LSP。如果核心网只提供纯IP 功能，而网络边缘的PE 路由器具备MPLS 功能，可以通过GRE 或IPSec 替代LSP，在核心网提供三层或二层VPN 解决方案。 第*页 L2TP L2TP 有v2 和v3 两个版本。L2TPv2 支持PPP 方式的二层封装，通过UDP 承载。L2TPv2 应用于VPDN，