收藏
下载资源

华为技术培训资料-DP500007_IP_VPN_概述

上传人:QQ15****706 文档编号:98922138 上传时间:2019-09-16 格式:PPT 页数:45 大小:1.77MB
返回 下载 相关 举报
华为技术培训资料-DP500007_IP_VPN_概述_第1页
第1页 / 共45页
华为技术培训资料-DP500007_IP_VPN_概述_第2页
第2页 / 共45页
华为技术培训资料-DP500007_IP_VPN_概述_第3页
第3页 / 共45页
华为技术培训资料-DP500007_IP_VPN_概述_第4页
第4页 / 共45页
华为技术培训资料-DP500007_IP_VPN_概述_第5页
第5页 / 共45页
点击查看更多>>
资源描述

《华为技术培训资料-DP500007_IP_VPN_概述》由会员分享,可在线阅读,更多相关《华为技术培训资料-DP500007_IP_VPN_概述(45页珍藏版)》请在金锄头文库上搜索。

1、DP500007 IP VPN概述,ISSUE1.0,Page 2,前 言,虚拟专用网VPN是依靠ISP(Internet Service Provider)和NSP(Network Service Provider),在公共网络中建立的虚拟专用通信网络。本课程主要介绍VPN的概念,原理以及应用.,Page 3,参考资料,高端路由操作手册-VPN分册(V1.11),Page 4,目 标,学习完此课程,您将会: 了解VPN基本概念 掌握VPN的工作原理 了解VPN的具体应用,Page 5,内容介绍,第1章 VPN概述 第2章 VPN工作原理,Page 6,VPN概念,VPNVirtual Pri

2、vate Network虚拟专用网 定义:依靠ISP(Internet Service Provider)和NSP (Network Service Provider),在公共网络中 建立的虚拟专用通信网络。 特点: 专用性:VPN资源只能被该VPN的用户使用,不能被网络 中其他用户所使用。同时VPN提供足够的安全保证, 确保VPN内部信息不受外部侵扰 虚拟性:VPN用户内部的通信是通过一个公共网络进行 的,而这个公共网络同时也被其他非VPN用户使用,Page 7,VPN优势,VPN优势: 连接可靠,可保证数据传输的安全性。 利用公共网络进行信息通讯,可降低成本,提高网络资源利用率 支持用户实

3、时、异地接入,可满足不断增长的移动业务需求。 支持QoS功能,可为VPN用户提供不同等级的服务质量保证。,Page 8,VPN是企业网在因特网上的延伸,VPN典型应用,Page 9,VPN分类,按照组网模型、业务用途、运营模式或实现层 次,VPN可以分为多种类型 组网规模: VPDR: Virtual Private Dial Network 虚拟专用拨号网络 VPRN: Virtual Private Routing Network 虚拟专用路由网 VRPS: Virtual Private LAN Segment 虚拟专用LAN网段 VLL: Virtual Leased Line 虚拟租

4、用线 ,Page 10,VPN分类,业务用途: Intranet VPN企业内部虚拟专网 Extranet VPN扩展的企业内部虚拟专网 Access VPN远程访问虚拟专网,Page 11,VPN分类,运营模式: CPE-based VPN: Customer Premises Equipment based VPN由用户控制 Network-based VPN: 由ISP控制,Page 12,VPN分类,实现层次: L3VPN(Layer 3 VPN) L2VPN(Layer 2 VPN) VPDN,Page 13,VPDN,适用范围: 出差员工 异地小型办公机构,POP,POP,用户直接

5、发起连接,POP,ISP发起连接,总部,隧道,Page 14,内容介绍,第1章 VPN概述 第2章 VPN工作原理,Page 15,VPN隧道,VPN的基本原理是利用隧道技术,把VPN报文封装在隧道中,利用VPN骨干网建立专用数据传输通道,实现报文的透明传输。 隧道技术使用一种协议封装另外一种协议报文,而封装协议本身也可以被其他封装协议所封装或承载。对用户来说,隧道是其PSTN/ISDN链路的逻辑延伸,在使用上与实际物理链路相同.,Page 16,VPN隧道,VPN隧道的功能: 封装原始数据 实现隧道两端的点到点连通 定时检测VPN隧道的连通性 VPN隧道的安全性 VPN隧道的QoS特性,Pa

6、ge 17,VPN协议隧道协议,第二层隧道协议 PPTP L2F L2TP 第三层隧道协议 GRE IPSec MPLS VPN,Page 18,PPTP,PPTP: Point-to-Point Tunneling Protocol 点到点隧道协议 PPTP将其他协议和数据封装于IP网络;该方式用在公共的Internet创建VPN,远端用户能够透过任何支持PPTP的ISP访问公司的专用网络。 此协议由Microsoft开发,与Windows95和NT集成很好。在数据安全性方面,此协议使用40bit或128bitRC4的加密算法。,Page 19,L2F,L2F: Layer 2 Forwar

7、ding 二层转发 L2F能支持对更高级协议链路层的隧道封装,实现拨号服务器和拨号协议连接在物理位置上的分离。,Page 20,L2TP,L2TP: Layer Two Tunneling Protocol 二层隧道协议 IETF所制定的在Internet上创建VPN的协议。这个协议是在PPTP和L2F的技术之上所制定的标准Internet Tunnel协议,用于保护PPP报文;数据没有加密机制,可通过IPSEC保证数据安全。 主要用途:企业驻外机构和出差人员可从远程经由公共网络,通过虚拟隧道实现和企业总部之间的网络连接。,Page 21,L2TP报文格式,L2TP报文封装层次结构 此报文格式

8、是LAC与LNS之间的数据报文。 L2TP报文头是VPN协议报文头,其内封装的是PPP报文,因此L2TP是二层VPN协议。,Page 22,L2TP协议组件,VPN用户:指通过L2TP协议连入VPN的用户,通常是外地出差员工或办事机构。 LAC: L2TP Access Concentrator L2TP访问集中器 VPN用户和LNS之间传递数据的设备,通常是当地ISP的接入设备,具有PPP端系统和L2TP协议处理能力。LAC把从VPN用户处收到的信息包按照L2TP协议进行封装并送往LNS,将从LNS收到的信息包进行解封装并送往远端系统。 LNS: L2TP Network Server L2

9、TP网络服务器 L2TP协议的服务器端部分,通常是企业内部网的边缘设备。LNS作为L2TP隧道的另一侧端点,是LAC的对端设备,是被LAC进行隧道传输的PPP会话的逻辑终止端点。,Page 23,LAC发起连接(LAC-initialized) 用户通过PSTN/ISDN接入NAS(LAC),NAS判断如果是VPN用户,就向指定的LNS发起L2TP连接 用户发起连接(Client-initialized) 用户通过PSTN/ISDN接入NAS,获得访问Internet权限然后直接向远端LNS服务器发起L2TP连接,L2TP隧道发起方式,Page 24,L2TP隧道发起方式,LAC发起,VPN用

10、户:向LAC设备发起PPP连接。 LAC:判断用户是否是L2TP用户,如果是,判断用户向 哪个LNS发起隧道请求。 LNS:为用户分配私网地址,准许用户接入内部网络。,Page 25,L2TP隧道发起方式,客户端直接发起,VPN用户:首先获得公网地址,与LNS之间保持连通,向 LNS发起建立隧道请求。 LNS:为用户分配私网地址,准许用户接入内部网络。,Page 26,IPSec,IPSec(IP Security)是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议 IPSec包括报文验证头协议AH(协议号51) 和报文安全封装协议ESP(协议号50)两个协议 IPSe

11、c有隧道(tunnel)和传送(transport)两种工作方式,Page 27,隧道模式,IP Payload,IP header,IP header,IPSEC header,保护 IP包头和 IP负载 可适用于两者,隐藏内部 IP地址,协议类型和端口号,加密,在 IPSec之前,在 IPSec*之后,IPSec 工作模式,Page 28,传输模式,在 IPSec之前,在 IPSec*之后,保护 TCP/UDP/ICMP 有效负载,IPSec工作模式,Page 29,IPSec 的组成,IPSec 提供两个安全协议 AH (Authentication Header)报文认证头协议 MD5

12、(Message Digest 5) SHA1(Secure Hash Algorithm) ESP (Encapsulation Security Payload)封装安全载荷协议 DES (Data Encryption Standard) 3DES 其他的加密算法:Blowfish ,blowfish、 cast ,Page 30,IPSec 的安全特点,数据机密性(Confidentiality) 数据完整性(Data Integrity) 数据来源认证 (Data Authentication) 反重放(Anti-Replay),Page 31,GRE,GRE (Generic Ro

13、uting Encapsulation): 是对某些网络层协议(如:IP, IPX, AppleTalk等)的数据报进行封装,使这些被封装的数据报能够在异种网络协议(如IP)中传输,异种报文传输的通道称为tunnel. IPSec不是一个单独的协议,它给出了IP网络上数据安全的一整套体系结构,包括AH(Authentication Header)、ESP(Encapsulating Security Payload)、IKE(Internet Key Exchange)等协议。 GRE和IPSec主要用于实现专线VPN业务。,Page 32,GRE 协议栈,乘客协议,封装协议,运输协议,GRE

14、协议栈,隧道接口的报文格式,链路层,GRE,IP/IPX,IP,Payload,Page 33,使用GRE构建VPN,Original Data Packet,Transfer Protocol Header,GRE Header,Internet,Tunnel,企业总部,分支机构,Page 34,MPLS VPN 网络结构,VPN_A,VPN_A,VPN_B,10.3.0.0,10.1.0.0,11.5.0.0,CE,CE,CE,VPN_A,VPN_B,VPN_B,10.1.0.0,10.2.0.0,11.6.0.0,CE,PE,PE,CE,CE,VPN_A,10.2.0.0,CE,VPN_

15、A,VPN_B,VPN_B,10.1.0.0,10.2.0.0,11.6.0.0,CE,PE,PE,CE,CE,VPN_A,10.2.0.0,CE,VPN_A,10.2.0.0,CE,iBGP,sessions,P,P,P,P,PE,PE,CE(Custom Edge):直接与服务提供商相连的用户设备。 PE(Provider Edge Router):指骨干网上的边缘路由器,与CE相连,主要负责VPN业务的接入。 P (Provider Router):指骨干网上的核心路由器,主要完成路由和快速转发功能。,Page 35,MPLS L3 VPN,MPLS L3VPN: Multiple Protocol Label Switch Layer 3 VPN 在这种网络构造中,由服务提供商向用户提供VPN服务,用户感觉不到公共网络的存在,就好像拥有独立的网络资源一样。 P 路由器,也不需要知道有VPN的存在,仅仅负责骨干网内部的数据传输。但其必须能够支持MPLS协议,并使能该协议。 所有的VPN的构建、

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 其它办公文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号