第七章VPN技术与应用.ppt

计算机网络安全基础 计算机网络安全基础 计算机网络安全基础 安全网管技术 张焕杰 中国科学技术大学网络信息中心 james@ 0/~james/nms Tel: 3601897(O) 第7章 VPN技术及应用 本章主要内容 VPN介绍 Access VPN LAN-LAN VPN MPLS VPN L2VPN 参考资料： 参考资料： 安全体系结构的设计、部署与操作，常晓波等译，清华大学出版社 Cisco Networkers 2003 SEC-2011: Deploying Site-to-Site IPSec VPNs MPLS介绍 早期的通信网络中，有两种常见的通信方式 线路交换 转发操作简单、速率快，固定延迟，不灵活，价格高 一般作为传输基础网络使用 包交换 延迟不固定，转发操作复杂（查路由，修改ttl，校验和等信息）、速率慢，灵活 FR、IP等 MPLS介绍 ATM的出现，融合了以上2种通信方式 包交换的基础上可以提供类似线路交换的服务 转发操作简单（根据VPI/VCI简单处理） 包大小：53字节？？？ 全新的技术，不容易被接受，成本高 随后出现的MPLS又进了一步 MPLS的label概念跟ATM的VPI/VCI很象 MPLS介绍 MPLS优势 控制平面、传输平面的分离 传输平面非常简单，转发数据时只要查表、修改label即可，很容易得到高性能 控制平面分离出来，可以进行非常复杂的控制，完成各种功能 BGP、LDP、RSVP AToM, Any Transport over MPLS MPLS L3 VPN MPLS转发是基于label的，跟数据包的信息无关 如果控制平面能针对每个VPN使用独立的label，就可以在核心层同时传输不同VPN的数据包而且不会混淆，而且核心层传输时对VPN不需要考虑 在网络边缘时要针对不同的VPN进行特殊的处理，把数据包和label对应 术语 CE Customer Edge router(also referred to as CPE) PE Provider edge router P Provider core router VRF Virtual Routing and Forwarding MPLS L3 VPN P、PE路由器间运行 OSPF或IS-IS内部路由协议以及LDP协议，完成骨干网的路由协议交互和MPLS LDP处理 PE路由器间运行BGP 4路由协议，交换VPN用户的路由 CE、PE间可以使用静态路由，也可以采用动态路由 VPN用户的IP地址仅仅在相连的PE上可见，对P不可见 MPLS L3 VPN 用户的维护修改PE配置即可 问题： 一个VPN内不同站点间的路由信息的传递由BGP 4完成，也就是VPN用户的路由信息的维护涉及到PE路由器，即运行商需要参与用户的路由过程。用户路由出现故障时需要查看BGP4的信息来调试。 而BGP对管理员来说太复杂了 没有加密，可以在用户端使用IPsec MPLS VPN的优势 对运营商 采用L3VPN，一个MPLS基础网络可以把多个客户同时用3层接入，这些客户又是隔离的 采用L2VPN，一个MPLS基础网络即可提供IP业务，也可以在上面提供FR等传统业务 对用户 价格？其他优势不是非常明显 课程总结 网络系统建设 2层网络的安全威胁及对策 网络管理系统和snmp协议 网络隔离与防火墙技术 数据安全与存储技术 网络安全事件响应 VPN技术与应用 课程作业(1) 1. 模块化的网络设计分为哪三层？一个具有48个10/100M端口和2个1000M端口的交换机最可能是哪一层的设备？ 2. 100M网络包速率最高是多少pps?如何得出的？ 3. 一台接在2层交换机某个端口的计算机，他能监听到其他计算机间的通信吗？为什么？ 4. 管理员想通过snmp协议查询到路由器上的arp表，应该访问MIB库下哪个表格？ 5. 具有软驱的机器，使用双网卡隔离技术能保证某台内部服务器上的公开信息不会泄密到外部网络吗？ 课程作业(2) 6. 系统中1T数据需要备份，备份窗口是4小时，计划用磁带机备份，每台磁带机的写入速度是20MB/s，请问至少需要几台磁带机？如果通过网络备份，备份时大约需要占用多少网络带宽？ 7. Fibre Channel Ports分哪几种？ 8. 网络安全事件响应分为哪些阶段？ 9. 利用MPLS VPN传输机密信息合适吗？为什么？ 10. 你认为本课程还需要增加哪些部分的内容？ * * * * * * *