运维人员课程体系数据专业00002.ppt

第十章 VPN技术 （讲师用PPT）,中国网通（集团）有限公司 2006年11月1日,中国网通运维人员岗位培训丛书数据专业,内部资料 注意保密,目标,掌握VPN技术的基本概念 了解VPN技术的优点 了解VPN的解决方案类型 掌握PPTP VPN的技术原理 掌握GRE VPN的技术原理 掌握L2TP VPN的技术原理 掌握IPsec VPN的技术原理 掌握SSL VPN的技术原理 了解IPsec和SSL的优缺点 掌握MPLS三层VPN的技术原理 掌握MPLS二层VPN的技术原理,10.1,10.2,IP VPN技术原理,IPsec技术原理,3,10.3,SSL技术原理,MPLS 三层VPN,10.4,目录,MPLS二层VPN,10.5,10.1.1 IP VPN技术概述,10.1 IP VPN技术原理,VPN技术的优点： 信息的安全性 方便的扩充性 方便的管理 显著的成本效益,VPN的解决方案： 内联网VPN （Intranet VPN） 外联网VPN （Extranet VPN） 远程接入VPN （Access VPN）,10.1 IP VPN技术原理,PPTP的概念： PPTP（Point-to-Point Tunneling Protocol）是由Microsoft、Ascend、3Com和ECI等公司组成的PPTP论坛在1996年定义的第2层隧道协议。PPTP定义了由PAC和PNS组成的客户机/服务器结构，从而把NAS的功能分解给这两个逻辑设备，以支持虚拟专用网。,10.1.2 PPTP原理,PPTP的逻辑设备 ： PPTP接入集中器（PPTP Access Concentrator，PAC） PPTP网络服务器（PPTP Network Server，PNS）,10.1 IP VPN技术原理,对PPP分组封装和传送的过程 ：,RRAS：Routing and Remote Access Server,10.1 IP VPN技术原理,PPTP协议的分组头结构 ：,10.1 IP VPN技术原理,GRE的概念： 通用路由选择封装(Generic Routing Encapsulation，GRE)是网络中通过隧道将通信从一个专用网络传输到另一个专用网络常用到的一个协议。尽管GRE不提供加密服务，但它提供低开销隧道。,10.1.3 GRE原理,GRE分组格式 ：,10.1IP VPN技术原理,基于RFC 1701的GRE头格式 ：,基于RFC 2784的GRE头格式 ：,基于RFC 2890的GRE头格式 ：,GRE的特点： GRE仅提供隧道 GRE的隧道抖动问题,10.1 IP VPN技术原理,L2TP的概念： L2TP是在公共网络上使用IP来隧道传送PPP的协议。因为隧道建立在第2层，它可以在分组中封装任何第3层协议，并且对第3层及其以上各层都是透明的。L2TP不为它隧道传送的通信提供加密机制，而是依赖于其他协议如IPsec或应用层加密机制来提供安全性。,10.1.4 L2TP原理,L2TP隧道的分类： 强制型L2TP隧道 自发型L2TP隧道,10.1 IP VPN技术原理,L2TP隧道建立的阶段： 建立控制连接,10.1 IP VPN技术原理,L2TP隧道建立的阶段（续）： 建立实际传输数据的L2TP隧道(也可以称为建立一个会话) 入口呼叫的建立 出口呼叫的建立,入口呼叫建立过程,出口呼叫建立过程,10.1 IP VPN技术原理,L2TP分组的头格式：,目录,10.1,10.2,IP VPN技术原理,IPsec技术原理,3,10.3,SSL技术原理,MPLS 三层VPN,10.4,MPLS二层VPN,10.5,10.2 IPsec技术原理,IPsec的概念： IPsec（IP Security）是用于构建虚拟专用网络（VPN）的一系列协议 IPsec是网络层中的一个安全协议，为提供加密安全服务而开发，该服务可以灵活地支持认证、完整性、访问控制以及数据一致性 在多数情况下，IPsec允许在两个专用网络间创建一个加密隧道。它同时允许隧道两端的认证。不过，IPsec协议只允许IP数据的封装和加密（不像GRE可以隧道传输非IP流量，但不能对其加密），所以如果为非IP流量创建隧道，IPsec就得同诸如GRE一样的协议联合使用，它们允许隧道传输非IP协议,10.2.1 IPsec技术概述,10.2 IPsec技术原理,LAN-to-LAN IPsec实现 ：,10.2.2 IPsec VPN的类型,远程访问客户端IPsec实现 ：,LAN-to-LAN IPsec和site-to-site IPsec,远程访问IPsec,10.2 IPsec技术原理,Internet密钥交换（IKE）协议,10.2.3 IPsec的组成,ESP（负载安全封装）协议,认证头（AH）协议,目录,10.1,10.2,IP VPN技术原理,IPsec技术原理,3,10.3,SSL技术原理,MPLS 三层VPN,10.4,MPLS二层VPN,10.5,10.3 SSL技术原理,SSL的概念,10.3.1 SSL技术概述,SSL的安全特性,SSL的主要功能,10.3 SSL技术原理,会话和连接状态,10.3.2 SSL VPN技术原理,记录协议,改变密码协议,警告协议,握手协议,密钥交换算法,10.3 SSL技术原理,支持Web方式的应用,10.3.3 SSL VPN的应用,支持非Web方式的应用,支持基于客户/服务器应用的代理,SSL常见安全问题： 攻击证书 窃取证书 安全盲点,10.3.4 SSL的安全漏洞及解决方法,10.3 SSL技术原理,安全盲点的解决方案： 通过Proxy代理服务器的SSL OpenSSL 监测SSL服务器,SSL和IPsec各有特点。SSL VPN与IPsec VPN一样，都使用RSA或D-H握手协议来建立秘密隧道。SSL和IPsec都使用了预加密、数据完整性和身份认证技术，例如3-DES、128位的RC4,ASE,MD5和SHA-1等。两种协议的区别是，IPsec VPN是在网络层建立安全隧道，适用于建立固定的虚拟专用网，而SSL的安全连接是通过应用层的web连接建立的，更适合移动用户远程访问公司的虚拟专用网 。,10.3.5 IPsec与SSL的对比,10.3 SSL技术原理,目录,10.1,10.2,IP VPN技术原理,IPsec技术原理,3,10.3,SSL技术原理,MPLS 三层VPN,10.4,MPLS二层VPN,10.5,10.4 MPLS三层VPN,MPLS三层VPN的概念及组成部分 MPLS三层VPN是提供商VPN解决方案PPVPN（Provider Provisioned VPN）中一种基于PE的L3VPN技术。它使用BGP在服务提供商骨干网上发布VPN路由，使用MPLS在服务提供商骨干网上转发VPN报文。 MPLS三层VPN模型由三部分组成：CE、PE和P。,10.4.1 MPLS三层VPN概述,BGP/MPLS三层VPN模型,10.4 MPLS三层VPN,MPLS三层VPN的概念及组成部分 MPLS三层VPN是提供商VPN解决方案PPVPN（Provider Provisioned VPN）中一种基于PE的L3VPN技术。它使用BGP在服务提供商骨干网上发布VPN路由，使用MPLS在服务提供商骨干网上转发VPN报文。 MPLS三层VPN模型由三部分组成：CE、PE和P。,10.4.2 MPLS三层VPN中的基本概念,10.4 MPLS三层VPN,MPLS三层VPN的路由发布过程 本地CE到入口PE的路由信息交换 入口PE到出口PE的路由信息交换 出口PE到远端CE的路由信息交换 BGP的AS号替换,10.4.3 MPLS三层VPN路由发布,10.4 MPLS三层VPN,在MPLS三层VPN骨干网中，P路由器并不知道VPN路由信息，VPN报文通过隧道在PE之间转发。PE之间可以使用的隧道类型包括LSP、GRE和CR-LSP。,10.4.4 MPLS三层VPN报文转发,VPN报文转发示意图,10.4 MPLS三层VPN,在MPLS三层VPN网络中，通过VPN Target属性来控制VPN路由信息在各site之间的发布和接收。VPN Export Target和Import Target的设置相互独立，并且都可以设置多个值，能够实现灵活的VPN访问控制，从而实现多种VPN组网方案。,10.4.5 MPLS三层VPN访问控制,VPN报文转发示意图,10.4 MPLS三层VPN,Intranet组网方案,10.4.5 MPLS三层VPN访问控制（续）,Intranet组网方案,10.4 MPLS三层VPN,Hub&Spoke组网方案,10.4.5 MPLS三层VPN访问控制（续）,Hub&Spoke组网方案,10.4 MPLS三层VPN,Extranet组网方案,10.4.5 MPLS三层VPN访问控制（续）,Extranet组网方案,10.4 MPLS三层VPN,10.4.6 MPLS三层VPN隧道,MPLS三层VPN中常用的隧道 LSP隧道 GRE隧道 L2TP隧道 MPLS TE隧道,资源隔离VPN,VPN隧道绑定,资源隔离VPN与VPN隧道绑定的比较,10.4 MPLS三层VPN,10.4.7 跨域VPN,OptionA方式（Inter-Provider Backbones Option A）：需要跨域的VPN在ASBR间通过专用的接口管理自己的VPN路由，也称为VRF-to-VRF,OptionB方式（Inter-Provider Backbones Option B）：ASBR间通过MP-EBGP发布标签VPN-IPv4路由，也称为EBGP Redistribution of labeled VPN-IPv4 routes,OptionC方式（Inter-Provider Backbones Option C）：PE间通过Multi-hop MP-EBGP发布标签VPN-IPv4路由，也称为Multihop EBGP redistribution of labeled VPN-IPv4 routes,10.4 MPLS三层VPN,10.4.8 OSPF VPN扩展,PE上的OSPF多实例,Sham link,Multi-VPN-Instance CE,VPN与Internet互联,10.4 MPLS三层VPN,10.4.9 OSPF VPN扩展,VPN FRR是在CE双归属的VPN网络环境中，当PE设备发生故障时使VPN业务快速收敛的技术,目录,10.1,10.2,IP VPN技术原理,IPsec技术原理,3,10.3,SSL技术原理,MPLS 三层VPN,10.4,MPLS二层VPN,10.5,10.5 MPLS二层VPN,10.5.1 MPLS二层VPN概述,传统VPN,MPLS二层,10.5 MPLS二层VPN,10.5.2 MPLS二层的基本概念,MPLS二层基本模型,MPLS二层标签栈处理,10.5 MPLS二层VPN,10.5.3 MPLS二层的实现方式,CCC方式MPLS二层,SVC方式MPLS二层,Martini方式MPLS二层,Kompella方式MPLS二层,10.5 MPLS二层VPN,10.5.4 MPLS二层异种介质互通,如果同一L2VPN两端CE链路类型不一致，就需要使用L2VPN异种介质互通特性,10.5 MPLS二层VPN,10.5.5 MPLS二层的跨域,MPLS二层的跨域问题与实现方式有关,