【正文】 如果使用多跳 EBGP方式，那么 ASBR根本就不需要維護(hù) 和分發(fā) VPNIPv4路由 結(jié)論： SP網(wǎng)絡(luò)中沒(méi)有一個(gè)組件需要維護(hù)所有 VPN的所 有路由，網(wǎng)絡(luò)支持不斷增長(zhǎng)的 VPN數(shù)目的整個(gè)能力不 BGP方式的特點(diǎn) ? 優(yōu)點(diǎn) – 得到處于路由器領(lǐng)導(dǎo)地位的 Cisco和 Juniper的支持 – 實(shí)現(xiàn)比較容易 ? 缺點(diǎn) – BGP負(fù)擔(dān)重，限制了其它路由協(xié)議的使用 – 客戶(hù)無(wú)法介入管理 – 配置 /管理 /排錯(cuò)非常復(fù)雜 ? 目前缺乏有效的手段 ，成為該方式的最大問(wèn)題 BGP/VR三層 VPN的特點(diǎn) ? 優(yōu)勢(shì) – 用戶(hù) ? ? 適于不希望在其組織結(jié)構(gòu)中建立核心路由功能的中小型公司 – 提供商 ? ? ? 缺點(diǎn) – 基于策略的控制增加了提供商管理負(fù)擔(dān) – 一些客戶(hù)希望維持控制他們的路由體系 VPN 三層 MPLS VPN比較 VPN 類(lèi)型 Multicast RFC BGP VR BGP/IPsec VR 2547bis VPN 功能 成員發(fā)現(xiàn) BGP Multicast BGP BGP 路由協(xié)議實(shí)例 每個(gè) VPN 每個(gè) VPN 骨干網(wǎng)聚合 骨干網(wǎng)聚合 MPLS/IPsec/ 隧道 MPLS MPLS IPsec 二層 MPLS VPN ? 把分別位于不同地點(diǎn)的 GE通過(guò) IP/MPLS云連接起 來(lái) ? 類(lèi)似的例子 – – – – Frame Relay over ATM網(wǎng) T1, E1 和 T3電路 over ATM 網(wǎng)絡(luò) Voice over ATM /AAL2, FR, IP (VoIP)和 MPLS網(wǎng)絡(luò) PPP over IP, ATM和 FR網(wǎng)絡(luò) 北京 上海 二層傳輸 GE 網(wǎng)絡(luò)融合前 紐約 北京 IP PoP IP PoP 全球 IP FR PoP 骨干網(wǎng) FR FR PoP FR 全球 FR 骨干網(wǎng) 巴黎 IP PoP ? 融合前 : 多個(gè)并行的網(wǎng)絡(luò) FR PoP – 重復(fù)的國(guó)際鏈路 網(wǎng)絡(luò)融合后 紐約 IP + FR PoP 全球 IP IP + FR PoP IP + FR PoP 骨干網(wǎng) 巴黎 ?網(wǎng)絡(luò)融合后：統(tǒng)一的網(wǎng)絡(luò) – 只有唯一的一個(gè)骨干網(wǎng)絡(luò)鏈路： IP網(wǎng)絡(luò) – 在 IP+FR的 POP點(diǎn)，在同一個(gè)平臺(tái)上同時(shí)提供 FR和 IP 業(yè)務(wù) – 使用 L2TPv3隧道穿越 IP骨干網(wǎng)提供 FR 業(yè)務(wù) 二層 VPN的優(yōu)勢(shì) ? 提供商 ? 用戶(hù) – 擴(kuò)展的新業(yè)務(wù)機(jī)會(huì) – 網(wǎng)絡(luò)融合：把多個(gè)網(wǎng)絡(luò) ? VPWS/VLL, VPLS 基礎(chǔ)設(shè)備和運(yùn)維成本融 – 對(duì) RFC 2547bis的補(bǔ)充 合到一個(gè)網(wǎng)絡(luò) ? 在相同的核心網(wǎng)上運(yùn)行， – 外包線路 使用相同的出境 LSP – 能夠維持對(duì)路由的控制 – 將現(xiàn)有幀中繼及 ATM VPN可被合并至一個(gè) – 統(tǒng)一的 Inter和專(zhuān)網(wǎng)接 IP/MPLS基礎(chǔ)設(shè)施平臺(tái) 口 – 比 TDM/傳統(tǒng) L2方式的 – 支持任何三層協(xié)議 效率更高 偽線路 (PW) ? IETF PWE3工作組 –端到端的偽線路仿真 –關(guān)注的重點(diǎn)是點(diǎn)到點(diǎn)的二 層傳輸 ? 偽線路 (PW)的含義 –在 包交換網(wǎng)絡(luò) 上 仿真某種業(yè)務(wù) 的基本屬性 –包交換網(wǎng)絡(luò)可以是 IP或 MPLS網(wǎng)絡(luò)，被仿真的業(yè)務(wù) 通常是二層業(yè)務(wù) –選擇哪種 PW是運(yùn)營(yíng)商的事情，不在 PWE3 WG的工 作范疇內(nèi) L2VPN ? 在一個(gè)融合后的網(wǎng)絡(luò)上承載被仿真的數(shù)據(jù)鏈路 的 一組 偽線路 (PW) ? 可以提供的仿真業(yè)務(wù) – Ether, PPP, HDLC, AAL5幀 , ATM信元 , FR, SONET / SDH ? 為了能夠在 IP網(wǎng)絡(luò)上運(yùn)行，一個(gè)非常重要的組 成部分是能夠互操作的隧道協(xié)議 – 隧道協(xié)議用于承載每條鏈路到參與方的邊緣路由器 PWE3的網(wǎng)絡(luò)結(jié)構(gòu) PWE3 端點(diǎn)業(yè)務(wù) PSN隧道 端點(diǎn)業(yè)務(wù) PW1 PW2 CE PE PE CE 仿真的業(yè)務(wù) 客戶(hù)邊緣 (CE)設(shè)備：仿真業(yè)務(wù)的起點(diǎn)和終點(diǎn) 運(yùn)營(yíng)商邊緣 (PE)設(shè)備：為 CE提供 PWE3業(yè)務(wù)，提供 CE和 PW之間的適配服務(wù) 偽線路 (PW)：承載在包交換網(wǎng)絡(luò)之上的，位于兩個(gè) PE之間的連接 PW端點(diǎn)業(yè)務(wù)： PE和 CE之間的接口，可以是物理接口 (如 T1或 Eth)，也可以是虛 接口 (如 VC或 VLAN) 套多個(gè) PW，以透明地穿越核心網(wǎng)絡(luò)設(shè)備。 BGP/MPLS VPN是一種對(duì)等模型，不存在一般重疊模 型所固有的 n平方問(wèn)題 ? P路由器并不維護(hù)任何 VPN路由。 ? IPSec要求支持兩種類(lèi)型的密鑰管理 – 手工 :系統(tǒng)管理員使用每個(gè)系統(tǒng)自己的密鑰 和其他通信系統(tǒng)的密鑰咯啊手工配置系統(tǒng) .適 用于小型的、相對(duì)靜止的環(huán)境 – 自動(dòng)：系統(tǒng)根據(jù)需要自動(dòng)建立安全通信需要 的密鑰，適用與大型的、不斷變化的環(huán)境 IKE ? 在 IPSec通信雙方之間，建立起共享安全 參數(shù)及驗(yàn)證的密鑰 (SA) ? IKE是一種常規(guī)用途的安全交換協(xié)議 – SSL, SNMPv3, OSPFv2等 ? IKE定義的認(rèn)證方式 – 預(yù)先共享密鑰 (目前最流行的 ) – 數(shù)字簽名 (DSS和 RSA) – 公鑰加密 (RSA和修改的 RSA) IPSec應(yīng)用 :端到端 主機(jī) 1 主機(jī) 2 IP網(wǎng) IPSec隧道 連接 IPSec應(yīng)用 :網(wǎng)絡(luò)到網(wǎng) 絡(luò) 主機(jī) 主機(jī) 2 安全網(wǎng)關(guān) 2 IP網(wǎng) 安全網(wǎng)關(guān) 1 安全網(wǎng)關(guān) 2 主機(jī) 1 安全網(wǎng)關(guān) 1 主機(jī) 2 IPSec應(yīng)用 :AHESP組合方式 IP網(wǎng) IPSec隧道 連接 IPSec應(yīng)用 :遠(yuǎn)程訪問(wèn) 安全網(wǎng)關(guān) IP網(wǎng) 企業(yè)網(wǎng) 每一段的安全要求都不一樣 IPSec隧道 筆記本電腦 連接 IETF的新動(dòng)態(tài) ? IPSec工作組負(fù)責(zé)修改完善 IPSec ? ESP被認(rèn)為穩(wěn) 定并且容易理解 ? IKE被認(rèn)為是苦澀難懂，并存在嚴(yán)重的互 操作性 ? 嚴(yán)重的互操作性 – 阻礙了 VPN市場(chǎng)的發(fā)展 – 影響了在其他協(xié)議中 IPSec的采用 IKEv2 ? 繼承了相同的 IKEv1的格式和思想 ? 去掉了幾乎用不上的模式和選項(xiàng) (簡(jiǎn)化 ) ? 更快地建立時(shí)間： 4條消息 ? 對(duì) DoS的更好防范 – 增加了一個(gè)輕型 的往返 ? 使用相同的端口號(hào)和格式 ，向上兼容 ? 更加方面的功能 – 更快地建立第一個(gè) SA JFK ? 簡(jiǎn)化了很多 IKEv1的特征，簡(jiǎn)單的多 ? 只使用了一個(gè)階段，而不是兩個(gè) – 同時(shí)降低了用戶(hù)和實(shí)現(xiàn)的復(fù)雜性 – IKEv1的階段 2用其他簡(jiǎn)單的方式管理 – 在兩個(gè)對(duì)端之間建立多個(gè) SA時(shí)要慢一些 ? 抗 DoS攻擊，不需要額外的往返 ? 各種 Perfect forward Secrecy 第 4部分 新業(yè)務(wù) 基于 MPLS的虛擬專(zhuān)用網(wǎng) (VPN)技術(shù) ?三層 ?二層 PPVPN IETF PPVPN ? PPVPN(Provider Provision VPN)指由運(yùn)營(yíng) 商參與管理和實(shí)施，并提供 VPN業(yè)務(wù)的 VPN網(wǎng)絡(luò) – 從運(yùn)營(yíng)商和用戶(hù)的角度研究 VPN – 外包方式的 VPN – 運(yùn)營(yíng)商可以以多種方式參與到一個(gè) VPN的實(shí) 施中 存在多種類(lèi)型的 PPVPN模型 R3 CE2 R5 CE1 PE1 PE2 CE3 R6 R4 運(yùn)營(yíng)商 客戶(hù)站點(diǎn) 2 客戶(hù)站點(diǎn) 1 ?接入連接 CE:用戶(hù)邊緣設(shè)備 ?接入網(wǎng) PE:運(yùn)營(yíng)商邊緣設(shè)備 ?隧道 P:設(shè)備 ?嵌套 PPVPN的類(lèi)型 ? 根據(jù)提供業(yè)務(wù)的層面 – 二層 VPN – 三層 VPN ? 根據(jù) VPN業(yè)務(wù)隧道的終點(diǎn) – CEbased VPN(用戶(hù)邊緣 VPN) – PEbased VPN(運(yùn)營(yíng)商邊緣 VPN) 不同類(lèi)型 PPVPN的特點(diǎn) ? 在基于 CE的 VPN網(wǎng)絡(luò)中 – CE設(shè)備之間的二層連接性對(duì)客戶(hù)是可見(jiàn)的，或者 說(shuō)客戶(hù)網(wǎng)絡(luò)的三層連接性會(huì)受到 CE設(shè)備的限制。 ? IPv4可以選支持 IPSec， IPv6必須支持 IPSec。 – 對(duì)保障型業(yè)務(wù)需要網(wǎng)絡(luò)全部使用綜合業(yè)務(wù)。 – 不適合于短生存期的流 ? 現(xiàn)在 – 修改缺點(diǎn)，