[理学]虚拟专用网 01.ppt

虚拟专用网 Internet技术 Agenda 3.1 VPN概述 3.2 VPN的实现 3.3 VPN的QoS支持 3.4 IPsec协议 VPN 定义 公共网络中的一组互相连通的站点，站点之间的连接关系就像专用线路的一样，各个VPN之间逻辑上是相互隔离的。 emulation of a private Wide Area Network (WAN) facility using IP facilities (RFC2764) 用途 代替目前的帧中继和租用线路 使用现有的IP网络建立虚拟的专用网络 用户 VPN的使用者 SP (service provider) 提供VPN服务的营运商 VPN的主要特性 虚拟性 每个VPN用户所看到的不是SP提供的整个网络基础设施 一个站点可以在多个VPN中 一个VPN可以跨越多个SP网络 专有性（私有性） 使得用户使用的VPN网络是独立的 具有自己的IP地址空间 与底层基础设施和其他VPN是隔离的 3.1 VPN概述 隧道 建立在网络层或者传输层之上的虚拟线路 跨越多个物理网段 只相当于IP网的一跳 隧道传输的方法 隧道起点对传输的分组再次进行封装 隧道终点将隧道封装去除后正常转发 例：IP/IP 外层封装中，协议号=4 隧道的特点 使得原来的分组与网络隔离 分组看不到网络的结构 网络看不到封装的分组 整个隧道构成网络的一跳 TTL减1 增加了网络的开销 减少了有效载荷和MTU QoS问题 不利于分类算法 采用VPN的优点 ——从用户角度 减少网络建设成本 SP分担责任 能够保障安全 可靠性好 可扩展性 VPN的特点 ——从技术角度 提高网络资源的利用率 可以将富余的网络资源用于提供VPN业务 与SP网络相互独立 由边缘设备建立VPN，只利用骨干网的传输能力 在边缘设备上对一个VPN的任何动作不影响其他VPN 不限制在VPN中或在SP网中使用的协议 VPN间能够复用地址空间 满足不同的QoS要求 适应不同的业务提供模式 3.1.1 VPN的构成模式 VPN的基本要求 安全性 SP的安全性 用户VPN的安全性 连接可用性 任意时刻都能连通 服务质量QoS 保证VPN占有足够的传输资源 网络监管 用户能够对网络进行管理 构成模式 叠加模式 SP为用户提供分离的VPN网络 对等模式 SP将用户的VPN复用在一起 叠加模式 特点 SP提供连接链路和路由服务 每个VPN采用一套路由器 结点分离 VPN间隔离性好 要为每一个VPN用户设计并运营一个虚拟骨干网 在SP网络中设置大量的路由器并维护每一个路由器 改进 采用“虚拟路由器”方式 减少物理设备的数量 管理开销仍然很大 对等模式 CE路由器 用户边缘路由器 PE路由器 SP的边缘路由器 P路由器 SP的不与CE连接的路由器 CE与SP的PE直接对等连接 某一VPN的路由器信息只存放在与该VPN连接的PE中 P路由器中不维护与VPN有关的路由信息 CE之间不相互连接 采用路由信息的约束分发 用BGP在CE与SP网络之间传递路由信息 采用多个转发表（FIB） 转发时需要区分不同的VPN RIB与FIB 路由表(RIB) 在控制平面 转发表(FIB) 在数据平面 RIB通过路由协议建立 包含全部路由信息 根据到达的接口选择 FIB根据RIB建立 活跃的路由信息子集 还可包含其他信息 如DSCP、封装方式（如MPLS） 3.1.2 VPN的分类 对等模式VPN 基于网络的VPN NB-VPN或PE-VPN 基于用户边缘设备的VPN CE-VPN 基于第三层隧道(L3VPN) SP提供路由服务 需要了解客户网络中使用的IP地址空间 基于第二层隧道(L2VPN) SP提供灵活的连接链路 L1VPN Work in progress L1 VPN Made of OXCs, TDM switches, or PXCs Provide layer 1 connection between a pair of CEs data plane connectivity does not guarantee control plane connectivity can be supported by GMPLS protocols enabled networks PE give access from outside of the network P device operate only within the core of the network CE C devices access to the layer 1 network through CE devices 基于网络的VPN 用隧道连接PE设备 用户站