【正文】 協(xié)議分層模型 載荷層 封裝層 復(fù)用層 PSN頭 MAC/數(shù)據(jù)鏈 路層 物理層 邏輯協(xié)議分層模型 L2TPv3 IPv4/IPv6 MPLS墊層 MPLS 載荷 (電路 /信元 l/包 ) 特定封裝信息 排序 (可選 ) 長(zhǎng)度 (載荷 /特定 PSN) 時(shí)標(biāo)信息 (特定載荷 ) PWE3協(xié)議棧實(shí)例 載荷層 載荷封 裝定義 匯聚層 PSN頭 MAC/數(shù)據(jù)鏈路層 物理層 L2VPN例子 偽線路 (L2隧道 ) 隧道化的 串口 隧道 1 pos3 pos2 R4 R3 pos1 IP 網(wǎng)絡(luò) pos4 R2 e2 R1 e1 隧道 2 LAN1 LAN2 隧道化的 LAN ? 把原來(lái)的業(yè)務(wù)承載在 IP上 ? 新的點(diǎn)到點(diǎn)帶寬業(yè)務(wù) – ATM, FR – 具有 /沒(méi)有嚴(yán)格的 QoS要求 /保證 實(shí)現(xiàn)方法 ? Layer 2 over IP –L2TPv3 (封裝 , 信令 ) –即： FooOverIP, XoIP –Cisco產(chǎn)品： UTI/L2TPv3 ? Layer 2 over MPLS –draftmartini (封裝 , 信令 ) –即： FooOverMPLS, XoMPLS –Cisco 產(chǎn)品 : AToM L2TPv3的標(biāo)準(zhǔn)化 ? L2TPv3 目前還是 IETF的一個(gè) draft – ? 在倫敦 (2022年 8月 )和鹽湖城提交給 IETF 會(huì)議后，被接受和廣泛關(guān)注。但因?yàn)楦綦x的原因，不 要求任何一個(gè)路由反射器維護(hù)運(yùn)營(yíng)商網(wǎng)絡(luò)中的所有 VPN 的路由 ? 對(duì)于跨運(yùn)營(yíng)商的 VPN，如果 ASBR維護(hù)和分發(fā) VPNIPv4 路由，那么 ASBR能夠以相似的方式用于隔離 VPN，那 么也就不要求任何一個(gè) ASBR維護(hù)所有跨運(yùn)營(yíng)商的 VPN。為了正確轉(zhuǎn)發(fā) VPN流 量， P路由器只需要維護(hù)到 PE路由器和 ASBR的路由。 – 典型實(shí)現(xiàn)方法 ? 虛擬路由器 (VR)：每個(gè) VR在物理 SP邊緣路由器上對(duì)應(yīng)一個(gè)獨(dú)立 的 SP網(wǎng)絡(luò)地址 ? RFC2547bis： 在一個(gè)路由器中實(shí)現(xiàn) VPN虛擬路由轉(zhuǎn)發(fā)表 (VRF) ? 二層 MPLS VPN – 運(yùn)營(yíng)商為客戶站點(diǎn)提供數(shù)據(jù)鏈路層互聯(lián)服務(wù) – 業(yè)務(wù)類型 ? 虛擬專用 LAN段 (VPLS) ? 虛擬專用線路段 (VPWS) – 典型實(shí)現(xiàn)方法 虛擬路由器 (VR)方式的 VPN 虛擬路由器 (VR) ? VR是對(duì)物理路由器的仿真 – 提供與物理路由器相同的路由和轉(zhuǎn)發(fā)服務(wù) – 不需要單獨(dú)的 OS(也可有 ) – 對(duì)外表現(xiàn)為有一個(gè)為其連接的 VPN用戶提供服務(wù)的用 戶專用路由器的感覺(jué)，從用戶的角度看：幾乎 =物理 路由器 ? 特點(diǎn) – – – – 每個(gè) VR維護(hù) 獨(dú)立的路由和轉(zhuǎn)發(fā)表 每個(gè) VR能夠運(yùn)行任何路由協(xié)議 (OSPF, RIP, BGP4) 可以使用的隧道機(jī)制 (MPLS, IPSec, GRE, L2TP等 ) VR結(jié)構(gòu)允許以每個(gè) VPN為單位建隧道，也可讓 VPN 共享穿越骨干網(wǎng)的隧道 VR的問(wèn)題 ? VPN端點(diǎn)發(fā)現(xiàn) – 多種可能的選擇 (BGP, 組播， LDAP,...) ? 路由的可擴(kuò)展性 – 必須在公網(wǎng)上同時(shí)運(yùn) 行多個(gè)進(jìn)程 ? 互通性 – 多種 VR實(shí)現(xiàn)方式 – 沒(méi)有一個(gè)處于 “ 領(lǐng)導(dǎo)地位 ” ? 網(wǎng)間互聯(lián) RFC2547方式的三層 VPN BGP/MPLS VPN ? RFC2547bis: – 已經(jīng)成為一種主流的三層 MPLS VPN實(shí)現(xiàn)方式 ? 得到 Cisco, Juniper等公司的支持 ? 因?yàn)楦髯缘娜秉c(diǎn)和優(yōu)勢(shì)，現(xiàn)在出現(xiàn)了一種將 VR與 2547方式結(jié) 合起來(lái)的趨勢(shì) – PE為每個(gè)直連的 VPN站點(diǎn)維護(hù)與該站點(diǎn)相關(guān)的轉(zhuǎn)發(fā)表 – 客戶與提供商間運(yùn)行傳統(tǒng) IP路由 – 使用 BGP發(fā)布 VPN路由 – 使用 MPLS在提供商骨干網(wǎng)中對(duì) VPN業(yè)務(wù)進(jìn)行轉(zhuǎn)發(fā) 客戶邊界路由器 (CE) 客戶邊界 PE CE VPN A VPN A CE P P PE CE VPN B VPN B CE PE ? 客戶邊界（ CE）路由器 – 位于客戶處，提供到服務(wù)提供商網(wǎng)絡(luò)的接入 – CE/PE連接可使用任何接入技術(shù)或路由協(xié)議 – CE設(shè)備類型：主機(jī)、交換機(jī)、路由器 運(yùn)營(yíng)商邊界路由器 (PE) 提供商邊界 PE CE VPN A VPN A CE P P PE CE VPN B VPN B CE PE ? 運(yùn)營(yíng)商邊界（ PE）路由器 – 維護(hù)與站點(diǎn)相關(guān)的轉(zhuǎn)發(fā)表 – 使用 BGP與其它 PE路由器交換 VPN路由信息 – PE路由器與核心之間使用 MPLS(RFC2547)轉(zhuǎn)發(fā) VPN業(yè)務(wù) – PE與 CE路由器之間使用普通的 IP 運(yùn)營(yíng)商路由器 (P) 提供商路由器 PE CE VPN A VPN A CE P P PE CE VPN B VPN B CE PE ? 運(yùn)營(yíng)商（ P）路由器 – P路由器 (LSR)位于 MPLS云的核心 – 使用已建立的 LSP對(duì) VPN數(shù)據(jù)進(jìn)行透明轉(zhuǎn)發(fā) – 不維護(hù)與 VPN有關(guān)的路由信息 Inter接入 公共 Inter 客戶 CE VPN ? VPN用戶希望同時(shí)連接到 Inter上 – 能夠到達(dá) Inter目的地址 – Inter源能夠到達(dá) VPN – 必須使用安全機(jī)制 ? 如果 VPN使用專有地址，連接至 Inter時(shí)需要 NAT – 服務(wù)提供商可執(zhí)行 NAT功能 MPLS VPN的安全性 ? MPLS VPN具有與 ATM/FR相似的安全性 – 在入口 LSR，一個(gè) VPN的所有數(shù)據(jù)對(duì)應(yīng) VPN地址唯 一的標(biāo)簽棧，保證數(shù)據(jù)只被送到目的地，不會(huì)泄露 – 任何其它進(jìn)入 SP網(wǎng)絡(luò)的包要么不使用 MPLS，要么 被指派一個(gè)不同的標(biāo)簽，防止第三方插入數(shù)據(jù) – SP路由器可以使用 MD5等防止虛假標(biāo)簽或 LSR進(jìn)入 標(biāo)簽分發(fā)協(xié)議 BGP MPLS的可擴(kuò)展性 ? 在 SP骨干網(wǎng)中由 (a)PE路由器， (b)BGP路由反射器， (c)P路由器，并且在多運(yùn)營(yíng)商 VPN時(shí)的 (d)ASBR組成。 客戶站點(diǎn)通過(guò)隧道或嵌套隧道相互連接，運(yùn)營(yíng)商 的骨干網(wǎng)并不知道 VPN的存在。 ? SA可以手工建立，也可以使用 IKE協(xié)議自動(dòng)建 基本工作原理 1. 規(guī)定使用的安全策略，保存在 SPD中 應(yīng)用、繞過(guò)、丟棄 可以有不同的安全策略粒度 2. 根據(jù)安全策略手工或動(dòng)態(tài)建立 SA，保存在 SAD中 3. 對(duì)于外出的 IP包，首先在 SPD中查詢安全策略，如果 安全策略要求應(yīng)用 IPSec 如果存在 SA，直接使用 如果沒(méi)有 SA，使用 IKE協(xié)商 如果存在 SA但無(wú)效，觸發(fā) IKE重新協(xié)商 ? 對(duì)于進(jìn)入的 IP包： 查 SAD，驗(yàn)證有效性，還 原 IPSec密鑰管理 ? 密鑰的產(chǎn)生、認(rèn)證、交換、存貯、使用 和銷毀等。 ? 到目前為止最出色的安全協(xié)議！ IPSec的組成 IPSec體系 AH 加密算法 驗(yàn)證算法 解釋域 (DOI) 密鑰管理 AH和 ESP的位置 IP頭 AH頭 TCP, UDP 或 IP IP頭 ESP頭 TCP, UDP 或 IP ESP尾 ESP認(rèn)證 SA ? 安全聯(lián)盟 (SA)是 IPSec密鑰管理的基礎(chǔ) ? AH和 ESP都使用 SA，而且 IKE協(xié)議的主要功能 就是建立和維護(hù) SA。 7次重傳后放棄 洪泛式 DDoS的類型 A A TCP SYN, ICMP, UDP, … ( 用 V的地 址作為源地址 ) TCP SYN, ICMP, UDP, … ( 用