MPLSVPN和VLANVPN.ppt

* * MPLS VPN和VLAN VPN 厦门电信客户响应中心 2008年9月 * VPN概念 什么是VPN 虚拟专用网（Virtual Private Network，VPN）指的是在公用网络中建立专用的数据网络 V：节点之间的连接没有传统专网端到端的物理连接，而是利用现有网络通过资源配置及虚电路构成动态的虚拟连接 P：为特定的企业或用户群体所专用 N：业务需要建立在专网用户之间的网络互连上 * VPN业务模式分类 外连VPN（Extranet VPN）：一般可分为两两相连的企业外部网和集中服务式外部网络结构 内连VPN（Intranet VPN）：一般可分为星型结构、部分或全互连结构、混合结构 接入VPN（Access VPN）：一般可分为拨号VPN（VPDN）和专线VPN VPN运营模式分类 CPE-Based VPN（覆盖模式VPN） FR/ATM IPSec/GRE VPN L2TP VPN Provider-Provision VPN（对等模式VPN） * 传统VPN技术 隧道：在IP网络通过特定的封装方式将用户原有的IP分组重新封装并在IP网络中传输，被封装的内容对网络而言是不可见的 IPSec加密： IP分组安全性定义为两种类型的数据传输方式：认证首部（AH）和有效负载安全封装（ESP） 密钥：密钥交换（IKE）协议是IPSec解决方案的一个关键组件，它为IPSec的AH和ESP提供密钥和安全联盟管理 身份认证：数字认证技术（数字签名）提供了在大规模网络中方便地进行相互认证的能力 VPN隧道协议 VPN隧道由隧道协议形成，VPN隧道协议主要有： PPTP （ 点到点隧道协议）：对数据流进行加密，封装在IP包头中通过企业IP网络或公共因特网络发送 L2TP （第二层隧道协议）：对数据流进行加密，通过支持点对点数据报传递的任意网络发送，如IP，X.25，FR或ATM IPSec：对IP数据进行加密，然后封装在IP包头中通过IP网络发送 PPTP和L2TP集成在windows中 Backhaul * MPLS技术 MPLS=IP+ATM，基于MPLS的VPN具有安全性好、扩展性强、控制策略灵活、管理功能强、能够实现IP网中的QoS与TE （流量工程）、具有业务融合能力和服务级别协议以及节省费用等特点 MPLS实现了控制平面与转发平面的分离 MPLS VPN依靠转发表和数据包的标记来创建一个安全的VPN CE：接入ISP网络的用户边缘路由器 PE：同CE相连的提供商边缘路由器 P：运营商核心路由器 * PE转发表 每个PE维护一个或多个“虚节点转发表”。每个和PE相连的虚节点都和其中的一个转发表相关联 PE的节点转发表仅用于那些来自与其直接相连节点的数据包 路由信息转发： PE路由器之间如何交换有关VPN用户和VPN路由的信息，PE路由器如何转发来自用户VPN的分组 * MPLS VPN控制平面 VRF： VPN Routing and Forwarding RT： Route Target RD： Route Distinguisher VRF： PE为每个VPN设置一个VRF，相当于一个虚拟路由器， 从不同VPN的CE接收的路由放在不同的VRF，实现VPN路由之间，以及VPN路由和公网路由的隔离 PE路由器维护两种路由表：全局路由表和VRF路由表, VPN路由的传递和选择 PE之间通过BGP传递VPN路由（ VPN路由对P路由器透明） PE只把属于本VPN的路由发送给对应的CE（ Export RT和Import RT） VPN地址重叠利用（RD） VPN路由传递过程 PE从CE接收路由,放入相应的VRF 发送方PE将VRF中的IPv4路由添加VRF中配置的RT(Export), RD等参数变为VPNv4路由 然后通过MP-iBGP邻居传递给远端PE 远端PE接收到VPNv4路由后,比较本地VRF中的Import RT和接收到的Export RT,如果发现至少一个匹配项,则将VPNv4路由还原成IPv4路由导入到对应的VRF 远端PE将VRF中的路由传递给CE * MPLS VPN原理 实现的功能： 1 共享PE，不需要通过ACL实现VPN之间的数据隔离 2 P路由器不需要参与客户路由 3 VPN地址可以重叠（VPN内部地址规划是独立的） CE2 PE1 CE1 P VPN1 Routes VPN2 Routes PE2 CE3 CE4 VRF1 VRF2 VPN路由传递 CE2 PE1 CE1 P 10.10.10.0/24 PE2 CE3 CE4 VRF1 VRF2 10.10.10.0/24 Export RT:100 RD:100 Export RT:200 RD:200 VPNv4 1