【正文】 議：隧道協(xié)議： MPLS 二、三層二、三層 VPN等。等。VPN概念和基本技術(shù)概念和基本技術(shù)運載協(xié)議運載協(xié)議封裝協(xié)議封裝協(xié)議 (隧道協(xié)議隧道協(xié)議 )旅客協(xié)議旅客協(xié)議隧道包結(jié)構(gòu)隧道包結(jié)構(gòu)IP/UDPL2TPPPP(Data)隧道包括 3種類型的協(xié)議 (以 L2TP VPN為例 ):旅客協(xié)議 :被封裝的協(xié)議，可以是 PPP、 SLIP等等。封裝協(xié)議 :用來創(chuàng)建、維護和拆除隧道。如 :L2TP。運載協(xié)議 :用來承載封裝協(xié)議，如 :IP、 UDP。PPPIPPPPPPPOEIPMACUDPL2TPMACIP 運載協(xié)議封裝協(xié)議旅客協(xié)議VPN分類分類 ———— 按照網(wǎng)絡(luò)層次按照網(wǎng)絡(luò)層次一層一層 VPNVPN站點通過物理層互連站點通過物理層互連二層、三層獨立二層、三層獨立二層二層 VPNVPN站點通過鏈路層互連站點通過鏈路層互連三層獨立三層獨立三層三層 VPNVPN站點通過站點通過 IP層互連層互連二層獨立二層獨立傳統(tǒng)二、三層傳統(tǒng)二、三層 VPN介紹介紹L2TP(Layer 2 Tunnel Protocol)的消息分兩類：的消息分兩類：控制：隧道連接與會話連接的建立與維護。、控制：隧道連接與會話連接的建立與維護。數(shù)據(jù)：承載用戶的、數(shù)據(jù)：承載用戶的 PPP會話數(shù)據(jù)包。會話數(shù)據(jù)包。L2TP(二層隧道技術(shù)二層隧道技術(shù) )LAC：： L2TP Access Concentrator，網(wǎng)絡(luò)接入服務(wù)器網(wǎng)絡(luò)接入服務(wù)器有有 PPP端系統(tǒng)和端系統(tǒng)和 L2TP處理能力。處理能力。隧道隧道 (Tunnel)連接連接會話會話 (Session)連接連接表示承載在每個隧道連表示承載在每個隧道連接之上的接之上的 PPP會話過程。會話過程?？刂葡⒅杏衼G失重傳和定時檢測機制，消息通過、控制消息中有丟失重傳和定時檢測機制，消息通過 UDP某端口承載于某端口承載于 IP之上之上數(shù)據(jù)消息無重傳機制，但可通過、數(shù)據(jù)消息無重傳機制，但可通過 TCP等得到保證。等得到保證。定義了定義了 LNS和和 LAC對對LNS：：L2TP Network Server，L2TP網(wǎng)絡(luò)服務(wù)器，網(wǎng)絡(luò)服務(wù)器， PPP端系統(tǒng)上處理端系統(tǒng)上處理 L2TP協(xié)議服務(wù)器協(xié)議服務(wù)器端部分的軟件。端部分的軟件。L2TP技術(shù)特點技術(shù)特點身份驗證機制靈活，高度安全性。、身份驗證機制靈活，高度安全性。 有多種身份驗證機制：有多種身份驗證機制： CHAP、 PAP等協(xié)議，繼承了等協(xié)議，繼承了 PPP的所有安全性，還可對的所有安全性，還可對隧道端點進行驗證。可在隧道端點進行驗證?？稍?L2TP之上進行隧道加密、端到端數(shù)據(jù)加密或應(yīng)用層數(shù)據(jù)之上進行隧道加密、端到端數(shù)據(jù)加密或應(yīng)用層數(shù)據(jù)加密等。加密等。內(nèi)部地址分配：、內(nèi)部地址分配： LNS 置于企業(yè)網(wǎng)的防火墻之后，對遠端用戶的地址進行動態(tài)分配和管理，支持置于企業(yè)網(wǎng)的防火墻之后，對遠端用戶的地址進行動態(tài)分配和管理，支持 DHCP 和私有地址應(yīng)用和私有地址應(yīng)用 (RFC1918)方案。遠端用戶分配的地址是內(nèi)部的私有地方案。遠端用戶分配的地址是內(nèi)部的私有地址。址。計費靈活：、計費靈活： 可在可在 LAC 和和 LNS 兩處同時計費，即兩處同時計費，即 ISP 處處 (用于產(chǎn)生帳單用于產(chǎn)生帳單 )及企業(yè)處及企業(yè)處 (用于付費用于付費及審記及審記 )。 L2TP 能夠提供數(shù)據(jù)傳輸?shù)某鋈氚鼣?shù)，字節(jié)數(shù)及連接的起始、結(jié)束時間能夠提供數(shù)據(jù)傳輸?shù)某鋈氚鼣?shù)，字節(jié)數(shù)及連接的起始、結(jié)束時間等計費數(shù)據(jù)，可以根據(jù)這些數(shù)據(jù)方便地進行網(wǎng)絡(luò)計費。等計費數(shù)據(jù)，可以根據(jù)這些數(shù)據(jù)方便地進行網(wǎng)絡(luò)計費。 統(tǒng)一網(wǎng)管：、統(tǒng)一網(wǎng)管： L2TP 協(xié)議將成為標準的協(xié)議將成為標準的 RFC 協(xié)議，有關(guān)協(xié)議，有關(guān) L2TP 的標準的標準 MIB 也將很快地得到制也將很快地得到制定，這樣可以統(tǒng)一地采用定，這樣可以統(tǒng)一地采用 SNMP 網(wǎng)管方案進行網(wǎng)絡(luò)維護與管理。網(wǎng)管方案進行網(wǎng)絡(luò)維護與管理。L2TP VPN – NAS發(fā)起方式發(fā)起方式LANLAN分支機構(gòu)分支機構(gòu)企業(yè)總部企業(yè)總部LAC LNSNASVPN網(wǎng)關(guān)網(wǎng)關(guān)遠程辦公人員遠程辦公人員 IP網(wǎng)絡(luò)網(wǎng)絡(luò)用戶使用帳用戶使用帳號撥入號撥入 ISPNAS發(fā)起發(fā)起 L2TP隧道到企業(yè)隧道到企業(yè)VPN網(wǎng)關(guān)網(wǎng)關(guān)L2TP隧道隧道隧道隧道PSTN/ISDNInter可以提供豐富的業(yè)務(wù)類型。、可以提供豐富的業(yè)務(wù)類型?？梢垣@得更高的安全保密特性。、可以獲得更高的安全保密特性。運營商可以對全網(wǎng)、運營商可以對全網(wǎng) VPDN業(yè)務(wù)情況進行監(jiān)控和分析，便于進一步業(yè)務(wù)情況進行監(jiān)控和分析，便于進一步優(yōu)化網(wǎng)絡(luò)；同時在優(yōu)化網(wǎng)絡(luò)；同時在 NAS側(cè)可以對側(cè)可以對 VPDN業(yè)務(wù)情況進行統(tǒng)計和分析，并業(yè)務(wù)情況進行統(tǒng)計和分析，并且可以為企業(yè)提供計費代理。且可以為企業(yè)提供計費代理。對于用戶更方便。、對于用戶更方便?？梢曰凇⒖梢曰?VPDN技術(shù)開展虛擬技術(shù)開展虛擬 ISP端口批發(fā)業(yè)務(wù)。端口批發(fā)業(yè)務(wù)。PSTN/ISDNInter LANLAN分支機構(gòu)分支機構(gòu)企業(yè)總部企業(yè)總部LAC LNSNAS VPN網(wǎng)關(guān)網(wǎng)關(guān)IP網(wǎng)絡(luò)網(wǎng)絡(luò)L2TP隧道隧道公司內(nèi)部公司內(nèi)部AAA服務(wù)服務(wù)器器服務(wù)號碼接入方式服務(wù)號碼接入方式Radius Server 16333撥入撥入撥入、撥入號碼號碼 16333 LNS IP 地址地址隧道口令等隧道口令等建立隧道、建立隧道 VPN用戶訪問內(nèi)部資源用戶訪問內(nèi)部資源企業(yè)、企業(yè) AAA驗證驗證 PPP用戶：用戶： VPNUser 口令：口令： PasswordPSTN/ISDNInter LANLAN分支機構(gòu)分支機構(gòu)企業(yè)總部企業(yè)總部LAC LNSNAS VPN網(wǎng)關(guān)網(wǎng)關(guān)IP網(wǎng)絡(luò)網(wǎng)絡(luò)L2TP隧道隧道公司內(nèi)部公司內(nèi)部AAA服務(wù)服務(wù)器器專用帳號接入方式專用帳號接入方式Radius Server 163撥入，用戶：撥入，用戶： Huawei密碼：密碼： Password1用戶、用戶、密碼密碼 LNS IP 地址地址隧道口令等隧道口令等建立隧道、建立隧道 VPN用戶訪問內(nèi)部資源用戶訪問內(nèi)部資源企業(yè)、企業(yè) AAA驗證驗證 PPP用戶：用戶： VPNUser 口令：口令： Password2GRE(三層隧道技術(shù)三層隧道技術(shù) )通用路由封裝：通用路由封裝： Generic Routing Encapsulation(GRE)Delivery Header(transport Protocol) GRE Header(Encapsulation Protocol) Payload Packet(Passenger Protocol) 系統(tǒng)接收到一個、系統(tǒng)接收到一個 IP數(shù)據(jù)報數(shù)據(jù)報首先被、首先被 GRE 封裝，稱為封裝，稱為 GRE報文報文再接著被封裝在、再接著被封裝在 IP 協(xié)議中協(xié)議中由、由 IP層負責此報文的向前傳輸層負責此報文的向前傳輸GRE封裝數(shù)據(jù)包的過程封裝數(shù)據(jù)包的過程多協(xié)議的本地網(wǎng)通過單一協(xié)議、多協(xié)議的本地網(wǎng)通過單一協(xié)議的骨干網(wǎng)傳輸?shù)墓歉删W(wǎng)傳輸將不能連續(xù)的子網(wǎng)連接起來、將不能連續(xù)的子網(wǎng)連接起來擴大了網(wǎng)絡(luò)的工作范圍，包括那、擴大了網(wǎng)絡(luò)的工作范圍，包括那些路由網(wǎng)關(guān)有限的協(xié)議；如些路由網(wǎng)關(guān)有限的協(xié)議；如 IPX包包最多可以轉(zhuǎn)發(fā)最多可以轉(zhuǎn)發(fā) 16次次 (既經(jīng)過既經(jīng)過 16個路個路由器由器 )，而在一個，而在一個 Tunnel 連接中看上連接中看上去只經(jīng)過一個路由器。去只經(jīng)過一個路由器。GRE VPNIP網(wǎng)絡(luò)網(wǎng)絡(luò)VPN網(wǎng)關(guān)網(wǎng)關(guān)VPN網(wǎng)關(guān)網(wǎng)關(guān)總部總部 VPN網(wǎng)關(guān)網(wǎng)關(guān)GRE隧道隧道GRE隧道隧道 分支機構(gòu)分支機構(gòu)分支機構(gòu)分支機構(gòu)原始數(shù)據(jù)包原始數(shù)據(jù)包IP頭頭 GRE 頭頭 IP/IPX 頭頭IPSec(三層隧道技術(shù)三層隧道技術(shù) )網(wǎng)絡(luò)安全協(xié)議：網(wǎng)絡(luò)安全協(xié)議：Authenticaiton Head(AH)、Encapsulating Security Payload(ESP)密鑰管理協(xié)議：密鑰管理協(xié)議：Inter Key Exchange(IKE)和一些用于網(wǎng)絡(luò)驗證及加密的算法和一些用于網(wǎng)絡(luò)驗證及加密的算法 IPSec 定義了兩個新的數(shù)據(jù)包頭增加到定義了兩個新的數(shù)據(jù)包頭增加到 IP 包：包：AH插到插到 IP包頭后面，保證數(shù)據(jù)包的完整和真實，防止黑客截斷數(shù)據(jù)包頭后面，保證數(shù)據(jù)包的完整和真實，防止黑客截斷數(shù)據(jù)包或向網(wǎng)絡(luò)中插入偽造的數(shù)據(jù)包，采用哈希算法來對數(shù)據(jù)包進行保護包或向網(wǎng)絡(luò)中插入偽造的數(shù)據(jù)包，采用哈希算法來對數(shù)據(jù)包進行保護，AH不對用戶數(shù)據(jù)加密。不對用戶數(shù)據(jù)加密。ESP將需要保護的用戶數(shù)據(jù)進行加密后再封裝到將需要保護的用戶數(shù)據(jù)進行加密后再封裝到 IP包中，包中， ESP可以?？梢员ＷC數(shù)據(jù)的完整性、真實性和私有性。證數(shù)據(jù)的完整性、真實性和私有性。機理機理 方式方式 組成組成隧道方式：隧道方式：整個整個 IP數(shù)據(jù)包用來計算數(shù)據(jù)包用來計算 ESP，且被加密，然后一起封裝成為新的，且被加密，然后一起封裝成為新的 IP包包傳送方式：傳送方式：只是傳輸層數(shù)據(jù)用來計算只是傳輸層數(shù)據(jù)用來計算 ESP， ESP和被加密數(shù)據(jù)被放在和被加密數(shù)據(jù)被放在 IP包頭后包頭后IPSec(三層隧道技術(shù)三層隧道技術(shù) )私有性私有性 IPsec在傳輸數(shù)據(jù)包之前將其加密，以保證數(shù)據(jù)的私有性。在傳輸數(shù)據(jù)包之前將其加密，以保證數(shù)據(jù)的私有性。完整性完整性 Ipsec在目的地驗證數(shù)據(jù)包，以保證在傳輸過程未被替換。在目的地驗證數(shù)據(jù)包，以保證在傳輸過程未被替換。真實性真實性 IPsec端要驗證所有受端要驗證所有受 IPsec 保護的數(shù)據(jù)包。保護的數(shù)據(jù)包。反重復(fù)：反重復(fù)： IPsec防止數(shù)據(jù)包被捕捉并重新投放網(wǎng)上，即目的地會拒絕老的防止數(shù)據(jù)包被捕捉并重新投放網(wǎng)上，即目的地會拒絕老的或重復(fù)的數(shù)據(jù)包；它通過與或重復(fù)的數(shù)據(jù)包；它通過與 AH 或或 ESP 一起工作的序列號實現(xiàn)一起工作的序列號實現(xiàn)對等層之間對等層之間 : 選擇安全協(xié)議、確定安全算法和密鑰交換選擇安全協(xié)議、確定安全算法和密鑰交換向上層：向上層： 提供訪問控制、數(shù)據(jù)源驗證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。提供訪問控制、數(shù)據(jù)源驗證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。作用作用特點特點IKE的的概念概念I(lǐng)KE定義了通信實體間的身份認證、協(xié)商加密算法以及生成共享的會話定義了通信實體間的身份認證、協(xié)商加密算法以及生成共享的會話密鑰的方法，密鑰的方法， IPSec本身并沒有提供在通信實體間建立安全相關(guān)的方法本身并沒有提供在通信實體間建立安全相關(guān)的方法IPSec VPN加加 密密Trailer Auth新新 IP頭頭 ESP IP 頭頭 Data IP網(wǎng)絡(luò)網(wǎng)絡(luò)VPN網(wǎng)關(guān)網(wǎng)關(guān)VPN網(wǎng)關(guān)網(wǎng)關(guān)總部總部 VPN網(wǎng)關(guān)網(wǎng)關(guān)IPSec隧道隧道IPSec隧道隧道 分支機構(gòu)分支機構(gòu)分支機構(gòu)分支機構(gòu)MPLS VPN介紹介紹MPLS技術(shù)介紹技術(shù)介紹簡介簡介標簽與標簽棧標簽與標簽棧標簽分配標簽分配標簽轉(zhuǎn)發(fā)標簽轉(zhuǎn)發(fā)MPLS VPNMPLSMPLS——MultiProtocol Label Switching? MultiProtocol：支持多種三層協(xié)議，如：支持多種三層協(xié)議，如 IP、 IPv IPX、 SNA等等? Label Switching：給報文打上標簽，以標簽交換取代：給報文打上標簽，以標簽交換取代 IP轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)結(jié)合了結(jié)合了 IP和和 ATM的優(yōu)點的優(yōu)點面向無連接的面向無連接的控制平面控制平面面向無連接的面向無連接的轉(zhuǎn)發(fā)平面轉(zhuǎn)發(fā)平面IP面向連接的控面向連接的控制平面制平面面向連接的轉(zhuǎn)面向連接的轉(zhuǎn)發(fā)平面發(fā)平面ATM面向無連接的面向無連接的控制平面控制平面面向連接的轉(zhuǎn)面向連接的轉(zhuǎn)發(fā)平面發(fā)平面MPLS曲折的發(fā)展過程曲折的發(fā)展過程以短的、固定長度的標記代替以短的、固定長度的標記代替 IP頭作為轉(zhuǎn)發(fā)依據(jù)頭作為轉(zhuǎn)發(fā)依據(jù)，提高轉(zhuǎn)發(fā)速度，提高轉(zhuǎn)發(fā)速度ASIC、 NP大量使用，轉(zhuǎn)發(fā)不再是網(wǎng)絡(luò)瓶頸大量使用，轉(zhuǎn)發(fā)不再是網(wǎng)絡(luò)瓶頸增殖業(yè)務(wù)的出現(xiàn)，使增殖業(yè)務(wù)的出現(xiàn)，使 MPLS重新煥發(fā)生命力：重新煥發(fā)生命力：? VPN? 流量工程流量工程? QOSMPLS技術(shù)介紹技術(shù)介紹簡介簡介標簽與標簽棧標簽與標簽棧標簽分配標簽分配標簽轉(zhuǎn)發(fā)標簽轉(zhuǎn)發(fā)MPLS VPNMPLS的封裝格式的封裝格式MPLS的封裝格式的封裝格式標簽棧標簽棧理論上，標記?？梢詿o限嵌套，從而提供無限的業(yè)務(wù)支持理論上，標記?？梢詿o限嵌套，從而提供無限的業(yè)務(wù)支持能力。這是能力。這是 MPLS技術(shù)最大的魅力所在。技術(shù)最大的魅力所在。MPLS技術(shù)介紹技術(shù)介紹簡介簡介標簽與標簽棧標簽與標簽棧標簽分配標簽分配標簽轉(zhuǎn)發(fā)標簽轉(zhuǎn)發(fā)MPLS VPNMPLS基本概念基本概念LSR：： Label Switch RouterLER：： Label Edge RouterLSP：： Label Switch PathMPLS邊緣路由器邊緣路由器 (LER)標記交換路徑標記交換路徑 (LSP)MPLS核心路由器核心路由器 (LSR)IngressEgressLSP的建立的建立MPLS信令協(xié)議，用于在信令協(xié)議，用于在 L