瞻宇网络 Juniper VPN 培训课程.ppt

3/01/01 Juniper Networks, Inc. Copyright ? 2001 - Proprietary Confidential 虚拟专网（VPN） 虚拟专网（VPN）介绍 运营模式：BGP/MPLS VPN （RFC 2547bis） 运营模式：二层MPLS VPN 总结 第一部分VPN介绍 什么是VPN？ 专网是建立在共享基础设施之上的 虚拟：并不是一个独立的物理网络 专有：独立的地址使用及路由 网络：一组能够相互通信的设备的集合 约束是关键 – 无限制的连通性并不是目的 90年代实施的VPN 运营模式 PVC覆盖在共享基础设施（ATM/帧中继）之上 用户路由（或桥接）在用户处实施 优点 更低的开销（相对于专线来讲） 相对“安全” 局限 可扩展性及管理 并不是一个完全集成的IP解决方案 21世纪实施的VPN 使用IP基础设施 可以与Internet业务共享 IP/MPLS（并不是ATM/FR）变得越来越为重要 用户需求 更低的运营成本 一个网络为所有服务提供连接 提供商需求 可支持所有业务的多业务基础设施 创造更多盈利机会 一个VPN模型不能满足所有用户！ 挑战：客户具有多种VPN需求 解决方案：建立灵活的、支持多业务的核心网 集成公共、半公共及专有业务 支持多种VPN业务模式 VPN分类模型 用户管理的VPN解决方案（CPE-VPN） L2TP及PPTP IPsec隧道模式 提供商实施的VPN解决方案（PP-VPN） 基于BGP/MPLS的VPN （RFC 2547bis） 虚拟路由器 二层MPLS VPN CPE-VPN：L2TP及PPTP 应用：远程用户拨号接入 二层隧道协议（L2TP） RFC 2661 L2F及点到点隧道协议的组合 点到点隧道协议（PPTP） 与Windows及Windows NT捆绑 都支持IPsec加密技术 在隧道端点处进行认证及加密 CPE-VPN：IPsec隧道模式 IPsec定义了IETF三层安全性体系结构 应用 高安全性要求，跨越一个或多个服务提供商 用户负责密匙管理 安全性服务包括 访问控制 数据起源认证 重放保护 数据完整性 数据私密性（加密） 密匙管理 CPE-VPN：IPsec – 例子 路由必须在CPE处执行 隧道在用户处终结 只有CPE设备需要支持IPsec 不需要对共享/公共资源进行修改 封装安全有效载荷（ESP）隧道模型 认证确保完整（CPE至CPE） 加密原有的报头/有效载荷通过Internet 支持私有地址空间 IPsec特点 从服务提供商处获得普通IP服务 使用现有路由器对受保护的数据包进行转发 不参与QoS/SLA 提供商机会较小 客户管理自己的路由 美国正逐步放宽对加密技术的出口限制 由提供商实施的VPN：三层与二层比较 提供商路由器参与客户三层路由 提供商路由器管理与VPN相关的路由表，将路由发布给远端站点 CPE路由器将其路由广播给提供商 客户将其三层路由映射至链路网络 提供商为用户的每个远端站点提供一条二层链路 客户路由对提供商透明 三层PP-VPN：RFC 2547bis 应用：外包VPN PE为每个直连的VPN站点维护与该站点相关的转发表 客户与提供商间运行传统IP路由 使用BGP发布VPN路由 使用MPLS在提供商骨干网中对VPN业务进行转发 三层PP-VPN：RFC 2547bis 使用LDP或RSVP建立PE至PE的标记交换路径（LSP） BGP用于发布 VPN相关信息（发现） VPN路由及可达信息 每条VPN LSP的标记（封装在PE-PE LSP隧道中） 通过路由过滤进行连接的限制 灵活的、基于策略的控制机制 三层PP-VPN：虚拟路由器 PE设备为专网提供网络层（IP）转发 与VPN相关的转发表 PE参与专网路由 穿过公网的专网路由与数据一起被封装在隧道中 PE中的VR象专网中的一台普通路由器一样运行 可使用MPLS或其它隧道方式实现 虚拟路由器的问题 VPN端点发现 多种选择（BGP，组播，LDAP及其它） 路由可扩展性 必须在公网上运行多个路由进程 互通性 多种VR实现方式 没有任何一个获得“领导地位” 网间互联 不像2547bis那样普通 三层PP-VPN优势 用户 将路由复杂性转移给提供商 适于不希望在其组织结构中建立核心路由功能的中小型公司 提供商 不需所有骨干网路由器中维护与VPN相关的路由信息 增值业务（盈利机遇） 3层PP-VPN缺点 基于策略的控制增加了提供商管理负担 一些客户希望维持控制他们的路由体系 基于MPLS的二层PP-VPN 线路交叉连接 (CCC) Draft-Martini 二层VPN Draft-Kompella 二层VPN 线路交叉连接（CCC） 为基于MPLS的二