【正文】 議：隧道協(xié)議： MPLS 二、三層二、三層 VPN等。等。VPN概念和基本技術(shù)概念和基本技術(shù)運(yùn)載協(xié)議運(yùn)載協(xié)議封裝協(xié)議封裝協(xié)議 (隧道協(xié)議隧道協(xié)議 )旅客協(xié)議旅客協(xié)議隧道包結(jié)構(gòu)隧道包結(jié)構(gòu)IP/UDPL2TPPPP(Data)隧道包括 3種類型的協(xié)議 (以 L2TP VPN為例 ):旅客協(xié)議 :被封裝的協(xié)議，可以是 PPP、 SLIP等等。封裝協(xié)議 :用來創(chuàng)建、維護(hù)和拆除隧道。如 :L2TP。運(yùn)載協(xié)議 :用來承載封裝協(xié)議，如 :IP、 UDP。PPPIPPPPPPPOEIPMACUDPL2TPMACIP 運(yùn)載協(xié)議封裝協(xié)議旅客協(xié)議VPN分類分類 ———— 按照網(wǎng)絡(luò)層次按照網(wǎng)絡(luò)層次一層一層 VPNVPN站點(diǎn)通過物理層互連站點(diǎn)通過物理層互連二層、三層獨(dú)立二層、三層獨(dú)立二層二層 VPNVPN站點(diǎn)通過鏈路層互連站點(diǎn)通過鏈路層互連三層獨(dú)立三層獨(dú)立三層三層 VPNVPN站點(diǎn)通過站點(diǎn)通過 IP層互連層互連二層獨(dú)立二層獨(dú)立傳統(tǒng)二、三層傳統(tǒng)二、三層 VPN介紹介紹L2TP(Layer 2 Tunnel Protocol)的消息分兩類：的消息分兩類：控制：隧道連接與會(huì)話連接的建立與維護(hù)。、控制：隧道連接與會(huì)話連接的建立與維護(hù)。數(shù)據(jù)：承載用戶的、數(shù)據(jù)：承載用戶的 PPP會(huì)話數(shù)據(jù)包。會(huì)話數(shù)據(jù)包。L2TP(二層隧道技術(shù)二層隧道技術(shù) )LAC：： L2TP Access Concentrator，網(wǎng)絡(luò)接入服務(wù)器網(wǎng)絡(luò)接入服務(wù)器有有 PPP端系統(tǒng)和端系統(tǒng)和 L2TP處理能力。處理能力。隧道隧道 (Tunnel)連接連接會(huì)話會(huì)話 (Session)連接連接表示承載在每個(gè)隧道連表示承載在每個(gè)隧道連接之上的接之上的 PPP會(huì)話過程。會(huì)話過程?？刂葡⒅杏衼G失重傳和定時(shí)檢測(cè)機(jī)制，消息通過、控制消息中有丟失重傳和定時(shí)檢測(cè)機(jī)制，消息通過 UDP某端口承載于某端口承載于 IP之上之上數(shù)據(jù)消息無重傳機(jī)制，但可通過、數(shù)據(jù)消息無重傳機(jī)制，但可通過 TCP等得到保證。等得到保證。定義了定義了 LNS和和 LAC對(duì)對(duì)LNS：：L2TP Network Server，L2TP網(wǎng)絡(luò)服務(wù)器，網(wǎng)絡(luò)服務(wù)器， PPP端系統(tǒng)上處理端系統(tǒng)上處理 L2TP協(xié)議服務(wù)器協(xié)議服務(wù)器端部分的軟件。端部分的軟件。L2TP技術(shù)特點(diǎn)技術(shù)特點(diǎn)身份驗(yàn)證機(jī)制靈活，高度安全性。、身份驗(yàn)證機(jī)制靈活，高度安全性。 有多種身份驗(yàn)證機(jī)制：有多種身份驗(yàn)證機(jī)制： CHAP、 PAP等協(xié)議，繼承了等協(xié)議，繼承了 PPP的所有安全性，還可對(duì)的所有安全性，還可對(duì)隧道端點(diǎn)進(jìn)行驗(yàn)證?？稍谒淼蓝它c(diǎn)進(jìn)行驗(yàn)證?？稍?L2TP之上進(jìn)行隧道加密、端到端數(shù)據(jù)加密或應(yīng)用層數(shù)據(jù)之上進(jìn)行隧道加密、端到端數(shù)據(jù)加密或應(yīng)用層數(shù)據(jù)加密等。加密等。內(nèi)部地址分配：、內(nèi)部地址分配： LNS 置于企業(yè)網(wǎng)的防火墻之后，對(duì)遠(yuǎn)端用戶的地址進(jìn)行動(dòng)態(tài)分配和管理，支持置于企業(yè)網(wǎng)的防火墻之后，對(duì)遠(yuǎn)端用戶的地址進(jìn)行動(dòng)態(tài)分配和管理，支持 DHCP 和私有地址應(yīng)用和私有地址應(yīng)用 (RFC1918)方案。遠(yuǎn)端用戶分配的地址是內(nèi)部的私有地方案。遠(yuǎn)端用戶分配的地址是內(nèi)部的私有地址。址。計(jì)費(fèi)靈活：、計(jì)費(fèi)靈活： 可在可在 LAC 和和 LNS 兩處同時(shí)計(jì)費(fèi)，即兩處同時(shí)計(jì)費(fèi)，即 ISP 處處 (用于產(chǎn)生帳單用于產(chǎn)生帳單 )及企業(yè)處及企業(yè)處 (用于付費(fèi)用于付費(fèi)及審記及審記 )。 L2TP 能夠提供數(shù)據(jù)傳輸?shù)某鋈氚鼣?shù)，字節(jié)數(shù)及連接的起始、結(jié)束時(shí)間能夠提供數(shù)據(jù)傳輸?shù)某鋈氚鼣?shù)，字節(jié)數(shù)及連接的起始、結(jié)束時(shí)間等計(jì)費(fèi)數(shù)據(jù)，可以根據(jù)這些數(shù)據(jù)方便地進(jìn)行網(wǎng)絡(luò)計(jì)費(fèi)。等計(jì)費(fèi)數(shù)據(jù)，可以根據(jù)這些數(shù)據(jù)方便地進(jìn)行網(wǎng)絡(luò)計(jì)費(fèi)。 統(tǒng)一網(wǎng)管：、統(tǒng)一網(wǎng)管： L2TP 協(xié)議將成為標(biāo)準(zhǔn)的協(xié)議將成為標(biāo)準(zhǔn)的 RFC 協(xié)議，有關(guān)協(xié)議，有關(guān) L2TP 的標(biāo)準(zhǔn)的標(biāo)準(zhǔn) MIB 也將很快地得到制也將很快地得到制定，這樣可以統(tǒng)一地采用定，這樣可以統(tǒng)一地采用 SNMP 網(wǎng)管方案進(jìn)行網(wǎng)絡(luò)維護(hù)與管理。網(wǎng)管方案進(jìn)行網(wǎng)絡(luò)維護(hù)與管理。L2TP VPN – NAS發(fā)起方式發(fā)起方式LANLAN分支機(jī)構(gòu)分支機(jī)構(gòu)企業(yè)總部企業(yè)總部LAC LNSNASVPN網(wǎng)關(guān)網(wǎng)關(guān)遠(yuǎn)程辦公人員遠(yuǎn)程辦公人員 IP網(wǎng)絡(luò)網(wǎng)絡(luò)用戶使用帳用戶使用帳號(hào)撥入號(hào)撥入 ISPNAS發(fā)起發(fā)起 L2TP隧道到企業(yè)隧道到企業(yè)VPN網(wǎng)關(guān)網(wǎng)關(guān)L2TP隧道隧道隧道隧道PSTN/ISDNInter可以提供豐富的業(yè)務(wù)類型。、可以提供豐富的業(yè)務(wù)類型?？梢垣@得更高的安全保密特性。、可以獲得更高的安全保密特性。運(yùn)營商可以對(duì)全網(wǎng)、運(yùn)營商可以對(duì)全網(wǎng) VPDN業(yè)務(wù)情況進(jìn)行監(jiān)控和分析，便于進(jìn)一步業(yè)務(wù)情況進(jìn)行監(jiān)控和分析，便于進(jìn)一步優(yōu)化網(wǎng)絡(luò)；同時(shí)在優(yōu)化網(wǎng)絡(luò)；同時(shí)在 NAS側(cè)可以對(duì)側(cè)可以對(duì) VPDN業(yè)務(wù)情況進(jìn)行統(tǒng)計(jì)和分析，并業(yè)務(wù)情況進(jìn)行統(tǒng)計(jì)和分析，并且可以為企業(yè)提供計(jì)費(fèi)代理。且可以為企業(yè)提供計(jì)費(fèi)代理。對(duì)于用戶更方便。、對(duì)于用戶更方便?？梢曰凇⒖梢曰?VPDN技術(shù)開展虛擬技術(shù)開展虛擬 ISP端口批發(fā)業(yè)務(wù)。端口批發(fā)業(yè)務(wù)。PSTN/ISDNInter LANLAN分支機(jī)構(gòu)分支機(jī)構(gòu)企業(yè)總部企業(yè)總部LAC LNSNAS VPN網(wǎng)關(guān)網(wǎng)關(guān)IP網(wǎng)絡(luò)網(wǎng)絡(luò)L2TP隧道隧道公司內(nèi)部公司內(nèi)部AAA服務(wù)服務(wù)器器服務(wù)號(hào)碼接入方式服務(wù)號(hào)碼接入方式Radius Server 16333撥入撥入撥入、撥入號(hào)碼號(hào)碼 16333 LNS IP 地址地址隧道口令等隧道口令等建立隧道、建立隧道 VPN用戶訪問內(nèi)部資源用戶訪問內(nèi)部資源企業(yè)、企業(yè) AAA驗(yàn)證驗(yàn)證 PPP用戶：用戶： VPNUser 口令：口令： PasswordPSTN/ISDNInter LANLAN分支機(jī)構(gòu)分支機(jī)構(gòu)企業(yè)總部企業(yè)總部LAC LNSNAS VPN網(wǎng)關(guān)網(wǎng)關(guān)IP網(wǎng)絡(luò)網(wǎng)絡(luò)L2TP隧道隧道公司內(nèi)部公司內(nèi)部AAA服務(wù)服務(wù)器器專用帳號(hào)接入方式專用帳號(hào)接入方式Radius Server 163撥入，用戶：撥入，用戶： Huawei密碼：密碼： Password1用戶、用戶、密碼密碼 LNS IP 地址地址隧道口令等隧道口令等建立隧道、建立隧道 VPN用戶訪問內(nèi)部資源用戶訪問內(nèi)部資源企業(yè)、企業(yè) AAA驗(yàn)證驗(yàn)證 PPP用戶：用戶： VPNUser 口令：口令： Password2GRE(三層隧道技術(shù)三層隧道技術(shù) )通用路由封裝：通用路由封裝： Generic Routing Encapsulation(GRE)Delivery Header(transport Protocol) GRE Header(Encapsulation Protocol) Payload Packet(Passenger Protocol) 系統(tǒng)接收到一個(gè)、系統(tǒng)接收到一個(gè) IP數(shù)據(jù)報(bào)數(shù)據(jù)報(bào)首先被、首先被 GRE 封裝，稱為封裝，稱為 GRE報(bào)文報(bào)文再接著被封裝在、再接著被封裝在 IP 協(xié)議中協(xié)議中由、由 IP層負(fù)責(zé)此報(bào)文的向前傳輸層負(fù)責(zé)此報(bào)文的向前傳輸GRE封裝數(shù)據(jù)包的過程封裝數(shù)據(jù)包的過程多協(xié)議的本地網(wǎng)通過單一協(xié)議、多協(xié)議的本地網(wǎng)通過單一協(xié)議的骨干網(wǎng)傳輸?shù)墓歉删W(wǎng)傳輸將不能連續(xù)的子網(wǎng)連接起來、將不能連續(xù)的子網(wǎng)連接起來擴(kuò)大了網(wǎng)絡(luò)的工作范圍，包括那、擴(kuò)大了網(wǎng)絡(luò)的工作范圍，包括那些路由網(wǎng)關(guān)有限的協(xié)議；如些路由網(wǎng)關(guān)有限的協(xié)議；如 IPX包包最多可以轉(zhuǎn)發(fā)最多可以轉(zhuǎn)發(fā) 16次次 (既經(jīng)過既經(jīng)過 16個(gè)路個(gè)路由器由器 )，而在一個(gè)，而在一個(gè) Tunnel 連接中看上連接中看上去只經(jīng)過一個(gè)路由器。去只經(jīng)過一個(gè)路由器。GRE VPNIP網(wǎng)絡(luò)網(wǎng)絡(luò)VPN網(wǎng)關(guān)網(wǎng)關(guān)VPN網(wǎng)關(guān)網(wǎng)關(guān)總部總部 VPN網(wǎng)關(guān)網(wǎng)關(guān)GRE隧道隧道GRE隧道隧道 分支機(jī)構(gòu)分支機(jī)構(gòu)分支機(jī)構(gòu)分支機(jī)構(gòu)原始數(shù)據(jù)包原始數(shù)據(jù)包IP頭頭 GRE 頭頭 IP/IPX 頭頭IPSec(三層隧道技術(shù)三層隧道技術(shù) )網(wǎng)絡(luò)安全協(xié)議：網(wǎng)絡(luò)安全協(xié)議：Authenticaiton Head(AH)、Encapsulating Security Payload(ESP)密鑰管理協(xié)議：密鑰管理協(xié)議：Inter Key Exchange(IKE)和一些用于網(wǎng)絡(luò)驗(yàn)證及加密的算法和一些用于網(wǎng)絡(luò)驗(yàn)證及加密的算法 IPSec 定義了兩個(gè)新的數(shù)據(jù)包頭增加到定義了兩個(gè)新的數(shù)據(jù)包頭增加到 IP 包：包：AH插到插到 IP包頭后面，保證數(shù)據(jù)包的完整和真實(shí)，防止黑客截?cái)鄶?shù)據(jù)包頭后面，保證數(shù)據(jù)包的完整和真實(shí)，防止黑客截?cái)鄶?shù)據(jù)包或向網(wǎng)絡(luò)中插入偽造的數(shù)據(jù)包，采用哈希算法來對(duì)數(shù)據(jù)包進(jìn)行保護(hù)包或向網(wǎng)絡(luò)中插入偽造的數(shù)據(jù)包，采用哈希算法來對(duì)數(shù)據(jù)包進(jìn)行保護(hù)，AH不對(duì)用戶數(shù)據(jù)加密。不對(duì)用戶數(shù)據(jù)加密。ESP將需要保護(hù)的用戶數(shù)據(jù)進(jìn)行加密后再封裝到將需要保護(hù)的用戶數(shù)據(jù)進(jìn)行加密后再封裝到 IP包中，包中， ESP可以?？梢员ＷC數(shù)據(jù)的完整性、真實(shí)性和私有性。證數(shù)據(jù)的完整性、真實(shí)性和私有性。機(jī)理機(jī)理 方式方式 組成組成隧道方式：隧道方式：整個(gè)整個(gè) IP數(shù)據(jù)包用來計(jì)算數(shù)據(jù)包用來計(jì)算 ESP，且被加密，然后一起封裝成為新的，且被加密，然后一起封裝成為新的 IP包包傳送方式：傳送方式：只是傳輸層數(shù)據(jù)用來計(jì)算只是傳輸層數(shù)據(jù)用來計(jì)算 ESP， ESP和被加密數(shù)據(jù)被放在和被加密數(shù)據(jù)被放在 IP包頭后包頭后IPSec(三層隧道技術(shù)三層隧道技術(shù) )私有性私有性 IPsec在傳輸數(shù)據(jù)包之前將其加密，以保證數(shù)據(jù)的私有性。在傳輸數(shù)據(jù)包之前將其加密，以保證數(shù)據(jù)的私有性。完整性完整性 Ipsec在目的地驗(yàn)證數(shù)據(jù)包，以保證在傳輸過程未被替換。在目的地驗(yàn)證數(shù)據(jù)包，以保證在傳輸過程未被替換。真實(shí)性真實(shí)性 IPsec端要驗(yàn)證所有受端要驗(yàn)證所有受 IPsec 保護(hù)的數(shù)據(jù)包。保護(hù)的數(shù)據(jù)包。反重復(fù)：反重復(fù)： IPsec防止數(shù)據(jù)包被捕捉并重新投放網(wǎng)上，即目的地會(huì)拒絕老的防止數(shù)據(jù)包被捕捉并重新投放網(wǎng)上，即目的地會(huì)拒絕老的或重復(fù)的數(shù)據(jù)包；它通過與或重復(fù)的數(shù)據(jù)包；它通過與 AH 或或 ESP 一起工作的序列號(hào)實(shí)現(xiàn)一起工作的序列號(hào)實(shí)現(xiàn)對(duì)等層之間對(duì)等層之間 : 選擇安全協(xié)議、確定安全算法和密鑰交換選擇安全協(xié)議、確定安全算法和密鑰交換向上層：向上層： 提供訪問控制、數(shù)據(jù)源驗(yàn)證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。提供訪問控制、數(shù)據(jù)源驗(yàn)證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。作用作用特點(diǎn)特點(diǎn)IKE的的概念概念I(lǐng)KE定義了通信實(shí)體間的身份認(rèn)證、協(xié)商加密算法以及生成共享的會(huì)話定義了通信實(shí)體間的身份認(rèn)證、協(xié)商加密算法以及生成共享的會(huì)話密鑰的方法，密鑰的方法， IPSec本身并沒有提供在通信實(shí)體間建立安全相關(guān)的方法本身并沒有提供在通信實(shí)體間建立安全相關(guān)的方法IPSec VPN加加 密密Trailer Auth新新 IP頭頭 ESP IP 頭頭 Data IP網(wǎng)絡(luò)網(wǎng)絡(luò)VPN網(wǎng)關(guān)網(wǎng)關(guān)VPN網(wǎng)關(guān)網(wǎng)關(guān)總部總部 VPN網(wǎng)關(guān)網(wǎng)關(guān)IPSec隧道隧道IPSec隧道隧道 分支機(jī)構(gòu)分支機(jī)構(gòu)分支機(jī)構(gòu)分支機(jī)構(gòu)MPLS VPN介紹介紹MPLS技術(shù)介紹技術(shù)介紹簡介簡介標(biāo)簽與標(biāo)簽棧標(biāo)簽與標(biāo)簽棧標(biāo)簽分配標(biāo)簽分配標(biāo)簽轉(zhuǎn)發(fā)標(biāo)簽轉(zhuǎn)發(fā)MPLS VPNMPLSMPLS——MultiProtocol Label Switching? MultiProtocol：支持多種三層協(xié)議，如：支持多種三層協(xié)議，如 IP、 IPv IPX、 SNA等等? Label Switching：給報(bào)文打上標(biāo)簽，以標(biāo)簽交換取代：給報(bào)文打上標(biāo)簽，以標(biāo)簽交換取代 IP轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)結(jié)合了結(jié)合了 IP和和 ATM的優(yōu)點(diǎn)的優(yōu)點(diǎn)面向無連接的面向無連接的控制平面控制平面面向無連接的面向無連接的轉(zhuǎn)發(fā)平面轉(zhuǎn)發(fā)平面IP面向連接的控面向連接的控制平面制平面面向連接的轉(zhuǎn)面向連接的轉(zhuǎn)發(fā)平面發(fā)平面ATM面向無連接的面向無連接的控制平面控制平面面向連接的轉(zhuǎn)面向連接的轉(zhuǎn)發(fā)平面發(fā)平面MPLS曲折的發(fā)展過程曲折的發(fā)展過程以短的、固定長度的標(biāo)記代替以短的、固定長度的標(biāo)記代替 IP頭作為轉(zhuǎn)發(fā)依據(jù)頭作為轉(zhuǎn)發(fā)依據(jù)，提高轉(zhuǎn)發(fā)速度，提高轉(zhuǎn)發(fā)速度ASIC、 NP大量使用，轉(zhuǎn)發(fā)不再是網(wǎng)絡(luò)瓶頸大量使用，轉(zhuǎn)發(fā)不再是網(wǎng)絡(luò)瓶頸增殖業(yè)務(wù)的出現(xiàn)，使增殖業(yè)務(wù)的出現(xiàn)，使 MPLS重新煥發(fā)生命力：重新煥發(fā)生命力：? VPN? 流量工程流量工程? QOSMPLS技術(shù)介紹技術(shù)介紹簡介簡介標(biāo)簽與標(biāo)簽棧標(biāo)簽與標(biāo)簽棧標(biāo)簽分配標(biāo)簽分配標(biāo)簽轉(zhuǎn)發(fā)標(biāo)簽轉(zhuǎn)發(fā)MPLS VPNMPLS的封裝格式的封裝格式MPLS的封裝格式的封裝格式標(biāo)簽棧標(biāo)簽棧理論上，標(biāo)記棧可以無限嵌套，從而提供無限的業(yè)務(wù)支持理論上，標(biāo)記?？梢詿o限嵌套，從而提供無限的業(yè)務(wù)支持能力。這是能力。這是 MPLS技術(shù)最大的魅力所在。技術(shù)最大的魅力所在。MPLS技術(shù)介紹技術(shù)介紹簡介簡介標(biāo)簽與標(biāo)簽棧標(biāo)簽與標(biāo)簽棧標(biāo)簽分配標(biāo)簽分配標(biāo)簽轉(zhuǎn)發(fā)標(biāo)簽轉(zhuǎn)發(fā)MPLS VPNMPLS基本概念基本概念LSR：： Label Switch RouterLER：： Label Edge RouterLSP：： Label Switch PathMPLS邊緣路由器邊緣路由器 (LER)標(biāo)記交換路徑標(biāo)記交換路徑 (LSP)MPLS核心路由器核心路由器 (LSR)IngressEgressLSP的建立的建立MPLS信令協(xié)議，用于在信令協(xié)議，用于在 L