现代交换技(第八章 MPLS多协议标记交换技术2).ppt.pptVIP

MPLS 服务 VPN 、流量工程、QoS 流量工程示例 VPN的基本概念 传统VPN的分类（一） 按业务用途分类： Access VPN（远程访问虚拟专网） Intranet VPN（企业内部虚拟专网） Extranet VPN（扩展的企业内部虚拟专网 按实现的层次分类： 二层隧道 VPN 三层隧道 VPN 传统VPN的分类（二） 按运营模式 CPE-based VPN（由用户控制） Network-based VPN（由ISP控制） 按组网模型 虚拟租用线（VLL） 虚拟专用拨号网络（VPDN） 虚拟专用LAN网段（VPLS）业务 虚拟专用路由网（VPRN）业务 传统VPN的实现模型 设备角色 CE（Custom Edge）：直接与服务提供商相连的用户设备。 PE（Provider Edge Router）：指骨干网上的边缘路由器，与CE相连，主要负责VPN业务的接入。 P（Provider Router）：指骨干网上的核心路由器，主要完成路由和快速转发功能。 Overlay VPN－隧道建立在CE上 特点：在CE与CE之间建立隧道，并直接传递路由信息，路由协议数据总是在客户设备之间交换，服务商对客户网络结构一无所知。典型代表是GRE 优点：不同的客户地址空间可以重叠，保密性、安全性非常好。 缺点：需要客户自己创建并维护VPN。 Overlay VPN－隧道建立在PE上 特点：在PE上为每一个VPN用户建立相应的GRE隧道，路由信息在PE与PE之间传递，公网中的P设备不知道私网的路由信息。 优点：客户把VPN的创建及维护完全交给服务商，保密性、安全性比较好。 缺点：不同的VPN用户不能共享相同的地址空间。 Peer-to-Peer VPN Peer－to－Peer是指CE－to－PE，也就是要在CE与PE之间交换私网路由信息，然后由PE将这些私网路由在P－Network中传播（P-Network上肯定是运行了一种动态路由协议），这样这些私网路由会自动的传播到其他的PE上。 这种VPN由于私网路由会泄露到公网上，所以必须严格的通过路由来控制，即：要确保同一个VPN的CE路由器上只能有本VPN的路由。 所以，通常CE与PE之间运行的路由协议，与P-Network上运行的路由协议是不同的，即使相同，也要有很好的路由过滤和选择的机制。 Peer-to-Peer VPN——共享PE方式 所有VPN用户的CE都连到同一台PE上，PE与不同的CE之间运行不同的路由协议（或者是相同路由协议的不同进程，比如OSPF）。由PE将这些路由发布到公网上，在接收端的PE上将这些路由过滤后再发给相应的CE设备。 缺点：为了防止连接在同一台PE上的不同CE之间互通，必须在PE上配置大量的ACL(接入控制列表)。 Internet 出差员工 隧道 专线 办事处 总部 分支机构 合作伙伴 异地办事处 VPN的基本概念 VPN的基本原理：利用隧道技术，把数据封装在隧道协议中，利用已有的公网如：internet、PSTN、ISDN等建立专用数据传输通道，从而实现点到点的连接。 VPN的关键技术：隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。 VPN具有两个基本特征：专用、虚拟 VPN_A VPN_A VPN_B 10.3.0.0 10.1.0.0 11.5.0.0 P P P P PE PE CE CE CE VPN_A VPN_B VPN_B 10.1.0.0 10.2.0.0 11.6.0.0 CE PE PE CE VPN_A 10.2.0.0 CE P-Network C-Network VPN_A VPN_B 10.3.0.0 10.3.0.0 P PE PE CE CE VPN_A VPN_B 10.1.0.0 10.1.0.0 CE PE CE P-Network GRE tunnel GRE tunnel P VPN_A VPN_B 11.3.0.0 10.3.0.0 P PE PE CE CE VPN_A VPN_B 11.1.0.0 10.1.0.0 CE PE CE P-Network GRE tunnel GRE tunnel P VPN_A VPN_B 10.3.0.0 11.3.0.0 P P PE CE CE VPN_A VPN_B 10.1.0.0 11.1.0.0 CE PE CE P-Network 私网路由在整个公网上传播 rip ospf ospf isis IP VPN 使用IP机制仿真出一个私有的广域网（IETF的定义） IP VPN的优势 ?? （1）降低企业建立和维护专网的费用，提高现有网络资源的利用率 ?? （2）提供安全可靠的数据传送 ?? （3）使用具有QoS保证功能的VPN技