450 likes | 660 Vues
现代骨干网与高速互联网技术 Modern Backbone Network & High-Speed Internet Technology. 邬 春 学 tyfond@126.com http://www.sciencenet.cn/blog/tyfond.htm 上海理工大学 Thursday, October 23, 2014. 6.0 虚拟专用网的演进过程. Internet 也就是运行 TCP/IP 协议套件的所有网络的一个大集合。
E N D
现代骨干网与高速互联网技术Modern Backbone Network & High-Speed Internet Technology 邬 春 学 tyfond@126.com http://www.sciencenet.cn/blog/tyfond.htm 上海理工大学 Thursday, October 23, 2014
6.0 虚拟专用网的演进过程 Internet 也就是运行TCP/IP 协议套件的所有网络的一个大集合。 在80年代,人们普遍使用的还有另一些网络协议体系—ISO(国际标准化组织)的OSI、IBM 公司的SNA 以及DEC公司的DECnet 等等。然而,所有这些协议没一个是简单的,也不象TCP/IP那样是开放的。正是由于这个原因, TCP/IP协议套件才得到了广泛的实施、开发和支持。
6.0 虚拟专用网的演进过程 所有网络协议体系均包括下述基本组件: ■ 协议堆栈—由相互间通信、高效率传输数据包的各个层构成。 ■ 定址系统—提供独一无二标识一个目的地(目标主机)的能力。为了实现大范围内的通信,有必要将通信实体唯一地标识出来。 ■ 路由(选择)—决定一个特定数据包的传送路径,令其最终抵达目的地,这就是所谓的“路由选择(Routing)”。
6.0 虚拟专用网的演进过程 最初的计算机网络实现为客户提供了很高的安全性,但由于下述两个原因,实现的成本效益不高: 网络中两个站点之间的数据流量随时间不同而不同; 终端用户总是要求快速响应,因此要求站点之间有很大的带宽,但租用线的专用带宽只有部分时间被使用。
整个VPN解决方案包含大量的组件: 服务提供商拥在基础设施(设备和传输介质),它为客户提供仿真的租用线路。 客户通过客户前端设备(Customer Premises Equipment,CPE)与服务提供商的网络相连。 CPE设备通过传输介质与服务提供商的设备相连 服务提供商通常在服务提供商网络(P-网络)的核心安装了其他设备(P-设备)。 客户网络中相连的部分被称为站点(Site)。 服务提供商给客户提供的仿真租用线路常驻机构常被称为虚电路(VC),包括永久虚电路和交换虚电路。 服务提供商可以按固定速率或使用的速率收费
现代虚拟专网 VPN分类: 要解决的业务问题:企业内部通信(企业内部网)、企业之间的通信(企业外部网)以及移动用户的接入(虚拟拨号专网) 服务提供商在哪一个OSI层与客户交换拓扑信息:覆盖模型和对等模型。 在服务提供商网络中用于实现VPN服务的第二层或第三层技术:X.25、帧中继、SMDS(交换多兆位数据服务,Switched Multimegabit Data Service SMDS)、ATM或IP 网络的拓扑结构
IP VPN 在一个共享的公共网络基础设施上,企业可以获得与专用网络一样的安全性,一样的可靠连接,一样的可管理性,以及一样的地址分配方案。 IP VPN既可以构建在Internet之上,也可建立在服务商的IP或ATM基础设施上。 IP VPN可以跨越多个网络,通过专用的甚至是拨号连接,将企业不同地域的分支机构、移动的用户、远程工作者以及企业合作伙伴连接起来,提供与专用网络相同的安全性、性能以及可用性。
IP VPN支持的应用: 远程接入:支持远程用户采用PSTN、ISDN、DSL、电缆(cable modem)或无线的方式接入企业网络。 内部网:在专用基础设施上不同远程站点之间的连接。 外部网:能够在一个或多个其他企业网络之间进行有限的网络接入,包括连接到全球Internet。
VPN的意义 现在越来越多的个人、职员装备了便携式计算机,这些便携式计算机需要随时随地连接到企业网络,由此而引起的远程连接成本和网络复杂性可想而知。 企业之间的合作及企业与客户之间的联系也日趋紧密,这些合作和联系是动态的,总是处在变化和发展之中。 VPN的基本点:化公为私,使每个企业可以临时从公用网中挖走一部分资源供自己专用。
VPN业务对运营商网络基础平台的要求: 网络中的通道应该避免全网状网连接; 减少网络设备中的VPN信息,即提供简洁,高效的VPN解决方案; 在同一个VPN中的每个路由器,不需要配置和VPN网络中的其他结点的点到点连接,而只需和运营商网络的接入路由器相连接; 可以简单地实现和其他网络的互通; 在网络的核心采用MPLS协议传送数据信息; 不同VPN用户间采用BGP协议传递VPN路由信息; 有良好的可扩展性,同时对企业用户来说易于实现。
VPN业务 企业内部的Intranet虚拟IP传送网络 Internet接入VPN Extranet VPN 远程VPN 多企业VPN 拨号VPN
1、VPN的定义 2、VPN的构成 3、VPN的实现要求 6.1 VPN的相关知识
VPN的定义:是指依靠ISP或其他NSP在公用网络基础设施之上构建的专用的数据通信网络,这里所指的公用网络有多种,包括IP网络、帧中继网络和ATM网络。VPN的定义:是指依靠ISP或其他NSP在公用网络基础设施之上构建的专用的数据通信网络,这里所指的公用网络有多种,包括IP网络、帧中继网络和ATM网络。 虚拟: 专用网: IETF对基于IP的VPN定义:使用IP机制仿真出一个私有的广域网。 1、VPN的定义
专用网的特点: 封闭的用户群 安全性高 服务质量保证 VPN的实现要求 支持数据分组的透明传输 支持安全功能 提供服务质量保证 3、VPN的实现要求
4、VPN的分类(1) 按VPN业务类型划分: (1)Intranet VPN(内部公文流转) (2)Access VPN(远程拨号VPN) (3)Extranet VPN(各分支机构互联) 按VPN发起主体划分: (1)客户发起,也称基于客户的VPN (2)服务器发起,也称客户透明方式或基于网络的VPN
4、VPN的分类(2) 按隧道协议层次划分: (1)二层隧道协议:L2F/L2TP、PPTP (2)三层隧道协议:GRE、IPSec (3)介于二、三层间的隧道协议:MPLS(4)基于Socket V5的VPN 此外,根据VPN实现方式不同,还可进一步分为软件实现和硬件实现等。
1、隧道的相关知识 2、隧道协议类型 3、第二层隧道:PPTP 4、第二层隧道:L2TP 5、第三层隧道技术:IPSec 6、几种隧道技术的比较 6.2 VPN的隧道技术
隧道的定义:实质上是一种封装,将一种协议(协议X)封装在另一种协议(协议Y)中传输,从而实现协议X对公用传输网络(采用协议Y)的透明性 隧道协议内包括以下三种协议 乘客协议(Passenger Protocol) 封装协议(Encapsulating Protocol) 运载协议(Carrier Protocol) 隧道协议例子 1、隧道的相关知识
分类依据:被封装的数据在OSI/RM的层次 第二层隧道:以PPTP,L2TP为代表 第三层隧道:IPSec 2、隧道协议类型
3、第二层隧道:PPTP(1) PPTP由微软公司设计,用于将PPP分组通过IP网络封装传输
数据链路层报头 IP报头 GRE报头 PPP报头 加密PPP有效载荷 数据链路层报尾 3、第二层隧道:PPTP(2) PPTP的数据封装: • PPTP客户机或PPTP服务器在接收到PPTP数据包后,将做如下处理: • 处理并去除数据链路层报头和报尾; • 处理并去除IP报头; • 处理并去除GRE和PPP报头; • 如果需要的话,对PPP有效载荷即传输数据进行解密或解压缩; • 对传输数据进行接收或转发处理。
数据封装格式: 特点: 它综合了第二层转发协议(L2F)和PPTP两种协议各自的优点 协议的额外开销较少 4、第二层隧道:L2TP
IPSec:即IP层安全协议,是由Internet组织IETF的IPSec工作组制定的IP网络层安全标准。它通过对IP报文的封装以实现TCP/IP网络上数据的安全传送。IPSec:即IP层安全协议,是由Internet组织IETF的IPSec工作组制定的IP网络层安全标准。它通过对IP报文的封装以实现TCP/IP网络上数据的安全传送。 数据封装格式: 5、第三层隧道技术:IPSec
应用范围: PPTP、L2TP:主要用在远程客户机访问局域网方案中; IPSec主要用在网关到网关或主机方案中,不支持远程拨号访问。 安全性: PPTP提供认证和加密功能,但安全强度低 L2TP提供认证和对控制报文的加密,但不能对传输中的数据加密。 IPSec提供了完整的安全解决方案。 QoS保证:都未提供 对多协议的支持:IPSec不支持 6、几种隧道技术的比较
1、IPSec体系结构 2、IPSec协议框架 3、AH协议 4、ESP协议(封装安全载荷协议) 5、IPSec传输模式 6、IPSec隧道模式 7、安全策略数据库(SPD) 8、安全联盟数据库(SADB) 9、数据包输出处理 10、数据包输入处理 11、包处理组件实现模型 6.3 基于IPSec的VPN的体系结构
2、IPSec协议框架(1) 综合了密码技术和协议安全机制,IPSec协议的设计目标是在IPV4和IPV6环境中为网络层流量提供灵活的安全服务。IPSec协议提供的安全服务包括:访问控制、无连接完整性、数据源鉴别、重传攻击保护、机密性、有限的流量保密等。IPSec协议主要内容包括: ●协议框架-RFC2401; ●安全协议:AH协议-RFC2402、ESP协议-RFC2406;
2、IPSec协议框架(2) ●密钥管理协议:IKE - RFC2409 、ISAKMP-RFC2408、OAKLEY协议-RFC2412。 ●密码算法:HMAC-RFC2104/2404、CAST-RFC2144、ESP加密算法-RFC2405/2451等。 ●其他:解释域DOI-RFC2407、IPComp-RFC2393、Roadmap-RFC2411。
IPSec架构 ESP协议 AH协议 加密算法 鉴别算法 解释域(DOI) 密钥管理 IPSec协议文件框架图 2、IPSec协议框架(3) ike定义了安全参数如何协商,以及共享密钥如何建立,但它没有定义的是协商内容.这方面的定义是由"解释域(doi)"文档来进行的
案例研究 VPN路由和转发表 6.4 MPLS/VPN体系结构概述
CE路由器:是客户端路由器,为用户提供到PE路由器的连接;CE路由器:是客户端路由器,为用户提供到PE路由器的连接; PE路由器是运营商边缘路由器,也就是MPLS网络中的标签边缘路由器 (LER),它根据存放的路由信息将来自CE路由器或标签交换路径(LSP)的VPN数据处理后进行转发,同时负责和其他PE路由器交换路由信息; P路由器是运营商网络主干路由器,也就是MPLS网络中的标签交换路由器(LSR),它根据分组的外层标签对VPN数据进行透明转发,P路由器只维护到PE路由器的路由信息而不维护VPN相关的路由信息。 MPLS VPN有三种类型的路由器 6.4 MPLS/VPN体系结构概述
案例研究 6.4 MPLS/VPN体系结构概述
假设两个公司都遵守相同的地址约定:中心站点使用公有IP地址,而远程站点使用专用IP地址空间(网络10.0.0.0)假设两个公司都遵守相同的地址约定:中心站点使用公有IP地址,而远程站点使用专用IP地址空间(网络10.0.0.0) 地址空间 6.4 MPLS/VPN体系结构概述
说服客户改变其网络的地址空间,大多数客户将乐意这么做,而不是去寻找其他的服务提供商;说服客户改变其网络的地址空间,大多数客户将乐意这么做,而不是去寻找其他的服务提供商; 使用IP-over-IP隧道实现VPN服务,在这种实现中,客户的IP地址对服务提供商路由器是隐藏的; 实现一种复杂的网络地址转换(NAT)方案,在提供商边界路由器上将客户地址转换成一组不同的地址,并在分组从出口PE-路由器发送到CE路由器之前,将这些地址转换在地址。 传统上,SuperCom可以使用3种方式来解决地址重叠的问题: 6.4 MPLS/VPN体系结构概述
MPLS/VPN对地址重叠的解决方案:每个VPN在路由器中都有自己的路由和转发表,因此属于该VPN的所有客户或站点都只能访问该表中的路由集。因此,MPLS/VPN的所有PE-路由器都包含大量单-VPN路由表以及一个全局路由表,后者用于达到提供商网络中的其他路由器以及外部的全局性可到达的目的地。实际上,在单个物理路由器中,创建了大量的虚拟路由器。 VPN路由和转发表 6.4 MPLS/VPN体系结构概述
从路由表派生而来,并基于Cisco快速转发技术的转发表;从路由表派生而来,并基于Cisco快速转发技术的转发表; 一组使用派生的转发表的接口; 控制VPN路由表中路由的导入和导出的规则,引入这些规则是为了支持重叠VPN 一组路由协议/对等体,它们将信息注入到VPN路由表中。这包括静态路由技术。 与路由协议相关的路由器变量,用于填充VPN路由表。 除了虚拟IP路由表外,与虚拟路由器相关的还有其他一些结构: 6.4 MPLS/VPN体系结构概述
3.7 研究课题 • VPN体系结构的深入研究 • VPN在实时网络及企业网络中的应用研究 • VPN在QoS保证中的应用及评价研究 • 基于新技术(Overlay、MPLS等)的VPN研究 • 无线局域网、广域网环境中实现VPN的研究 • VPN在NCS(传感器网络、控制器网络和执行器等)中的应用研究 • VPN新标准、新技术及评价系统研究 • 专用教学、服务等网络的VPN实现 • 在遥测遥控系统(气象、卫星、航天、环境、资源、交通等)中的应用 • VPN和隧道技术在物联网技术中的应用……