《《高速网络技术》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《高速网络技术》PPT课件.ppt(57页珍藏版)》请在金锄头文库上搜索。
1、第九章第九章虚拟网络技术上虚拟网络技术上高速网络技术高速网络技术High-SpeedNetworksTechnologies郭联志厦门大学出版社第九章第九章虚拟网络技术上虚拟网络技术上第9章 虚拟网络技术9.1 虚拟局域网技术9.2 广域网VPN技术9.3MPLSVPN9.4 广播虚拟网络技术第九章第九章虚拟网络技术上虚拟网络技术上91虚拟局域网(VLAN)交交换换局局域域网网是是虚虚拟拟局局域域网网(VirtueLAN,VLAN)的的基基础础。近近年年来来,随随着着交交换换局局域域网网技技术术的的飞飞速速发发展展,交交换换局局域域网网结结构构逐逐渐渐取取代代了了传传统统局局域域网网的的共共享
2、享介介质质结结构构,为虚拟局域网的实现提供了坚实的基础。为虚拟局域网的实现提供了坚实的基础。802.1网络互联小组标准:网络互联小组标准:1996年年3月。月。802.10VLAN标准不好用。标准不好用。第九章第九章虚拟网络技术上虚拟网络技术上911虚拟网络概念虚拟网络概念虚虚拟拟网网络络是是建建立立在在局局域域网网交交换换机机或或ATM交交换换机机之之上上的的,它它以以软软件件方方式式来来实实现现逻逻辑辑工工作作组组的的划划分分与与管管理理,逻逻辑辑工工作作组组的的节节点点组组成成不不受受物物理理位位置置的的限限制制。同同一一逻逻辑辑工工作作组组的的成成员员不不一一定定要要连连接接在在同同一
3、一个个物物理理网网段段上上,它它们们可可以以连连接接在在同同一一个个局局域域网网交交换换机机上上,也也可可以以连连接接在在不不同同的的局局域域网网交交换换机机上上,只只要要这这些些交交换换机机是是互互联联的的。当当一一个个节节点点从从一一个个逻逻辑辑工工作作组组转转移移到到另另一一个个逻逻辑辑工工作作组组时时,只只需需要要通通过过软软件件设设定定,而而不不需需要要改改变变它它在在网网络络中中的的物物理理位位置置。同同一一个个逻逻辑辑工工作作组组的的节节点点可可以以分分布布在在不不同同的的物物理理网网段段上上,但但它它们之间的通信就像在同一个物理网段上一样。们之间的通信就像在同一个物理网段上一样
4、。第九章第九章虚拟网络技术上虚拟网络技术上虚拟网络虚拟网络VLAN在在同同一一个个VLAN的的计计算算机机,不不论论它它们们实实际际与与哪哪一一个个交交换换机机连连接接,同同一一个个VLAN中中的的广广播播只只有有VLAN的的成成员员才才能能听听到到,而而不不会会传传到到其其他他的的VLAN中中去去,这这样样可可以以控控制制不不必必要要的的广广播播风风暴暴的的产产生生。同同时时,如如果果没没有有路路由由的的话话,不不同同的的VLAN之之间间不不能能相相互互通通信信。增加了网络中不同部门之间的安全性。增加了网络中不同部门之间的安全性。VLAN可可以以将将服服务务器器单单独独划划分分在在一一个个V
5、LAN中中,通通过过第第三三层层交交换换,允允许许其其他他VLAN用用户户访访问问服服务务器器,也也可可以以将将服服务务器器单单独独划划分分属属于多个于多个VLAN,提高了服务器的安全性。,提高了服务器的安全性。第九章第九章虚拟网络技术上虚拟网络技术上912划分VLAN的方法1基于交换机物理端口基于交换机物理端口2基于基于MAC地址地址3基于基于IP地址地址4基于网络协议基于网络协议第九章第九章虚拟网络技术上虚拟网络技术上图图9-1典型的典型的VLAN物理结构图物理结构图第九章第九章虚拟网络技术上虚拟网络技术上1基于交换机物理端口基于交换机物理端口基基于于交交换换机机物物理理端端口口划划分分V
6、LAN,可可以以说说是是基基于于OSI七七层层模模型型的的第第一一层层物物理理层层。许许多多早早期期的的虚虚拟拟局局域域网网都都是是根根据据局局域域网网交交换换机机的的端端口口来来定定义义虚虚拟拟局局域域网网成成员员的的。虚虚拟拟局局域域网网从从逻逻辑辑上上把把局局域域网网交交换换机机的的端端口口划划分分为为不不同同的的虚虚拟拟子子网网,各各虚虚拟拟子子网网相相对对独独立立,其其结结构构如如图图9-2a所所示示。图图中中局局域域网网交交换换机机端端口口1、2、3、4和和8组组成成VLAN1,端端口口5、6和和7组组成成了了VLAN2。虚虚拟拟局局域域网网也也可可以以跨跨越越多多个个交交换换机机
7、。如如图图9-2b所所示示,局局域域网网交交换换机机1的的1、2、3端端口口和和局局域域网网交交换换机机2的的5、6、7端端口口组组成成VLAN1,局局域域网网交交换换机机1的的5、6和和7端端口口和和局域网交换机局域网交换机2的的1、2、3和和8端口组成端口组成VLAN2。第九章第九章虚拟网络技术上虚拟网络技术上1基于交换机物理端口示意图基于交换机物理端口示意图第九章第九章虚拟网络技术上虚拟网络技术上TP-DLINK端口流量限制选择交换机功能下的端口流量限制,您可以进入如下设置界面。端选择交换机功能下的端口流量限制,您可以进入如下设置界面。端口流量限制提供针对每个端口的流量限制设置,入口提供
8、口流量限制提供针对每个端口的流量限制设置,入口提供“不限不限制制”、“flood”、“广播和多播广播和多播”、“广播广播”、“所有帧所有帧”等五等五种不同的限制模式,而出口限制则是针对所有帧的限制。种不同的限制模式,而出口限制则是针对所有帧的限制。第九章第九章虚拟网络技术上虚拟网络技术上入口限制模式入口限制模式请您选择入口限制模式,它一共包含下面五个选项。请您选择入口限制模式,它一共包含下面五个选项。不限制不限制选择该项表示对进入该端口的数据帧不进行限制。选择该项表示对进入该端口的数据帧不进行限制。flood选择该项表示对进入该端口的广播帧、多播帧、以及目的选择该项表示对进入该端口的广播帧、多
9、播帧、以及目的MAC地址不在地址不在MAC地址表的帧进行限制。地址表的帧进行限制。广播和多播广播和多播选择该项表示对进入该端口的广播帧和多播帧进行限制。选择该项表示对进入该端口的广播帧和多播帧进行限制。广播广播选择该项表示对进入该端口的广播帧进行限制。选择该项表示对进入该端口的广播帧进行限制。所有帧所有帧选择该项表示对进入该端口的所有帧进行限制。选择该项表示对进入该端口的所有帧进行限制。第九章第九章虚拟网络技术上虚拟网络技术上其中其中flood、广播以及广播和多播的限制方式就是传统意义上的广、广播以及广播和多播的限制方式就是传统意义上的广播风暴抑制,路由器的交换机部分可以对三种常见的广播帧(广
10、播风暴抑制,路由器的交换机部分可以对三种常见的广播帧(广播包、组播包、未学习到地址的单播包)进行过滤。播包、组播包、未学习到地址的单播包)进行过滤。广播风暴是指网络上的广播帧数量急剧增加而影响正常的网络广播风暴是指网络上的广播帧数量急剧增加而影响正常的网络通讯的反常现象。广播风暴的判断标准为一个端口是否在短时间通讯的反常现象。广播风暴的判断标准为一个端口是否在短时间内连续收到许多个广播帧,广播风暴会严重降低网络性能。端口内连续收到许多个广播帧,广播风暴会严重降低网络性能。端口流量限制允许交换机部分对网络上出现的广播帧进行过滤。当交流量限制允许交换机部分对网络上出现的广播帧进行过滤。当交换机检测
11、到广播帧数目超出一定的范围时,会自动丢弃广播帧,换机检测到广播帧数目超出一定的范围时,会自动丢弃广播帧,以防止广播风暴的发生。以防止广播风暴的发生。当设置为所有帧的限制方式时,交换机部分将对所有的数据帧都进当设置为所有帧的限制方式时,交换机部分将对所有的数据帧都进行限制,对于入口的数据包采用过滤处理,若当前流量超出入口行限制,对于入口的数据包采用过滤处理,若当前流量超出入口限制流量时,超出的部分将被丢弃;对于出口的数据,仅限制流限制流量时,超出的部分将被丢弃;对于出口的数据,仅限制流量(根据端口流量控制的开启情况决定是否丢弃超出限制速率外量(根据端口流量控制的开启情况决定是否丢弃超出限制速率外
12、的帧),这时起到端口下行带宽限制的作用。的帧),这时起到端口下行带宽限制的作用。第九章第九章虚拟网络技术上虚拟网络技术上2基于基于MAC地址地址基基于于OSI七七层层模模型型第第二二层层数数据据链链路路层层中中的的MAC子子层层划划分分VLAN,是是用用节节点点的的MAC地地址址来来定定义义虚虚拟拟局局域域网网,网网络络中中每每一一个个端端设设备备在在出出厂厂时时都都有有一一个个固固定定的的MAC地地址址,为为占占6字字节节的的十十六六进进制制数数,例例如如00-10-4B-0C-AC-29。在在Windows98中中可可用用winipcfg命命令令获获取取网网卡卡的的IP地地址,在址,在Wi
13、ndows2000中则需使用中则需使用ipconfig/all命令。命令。这这种种划划分分VLAN的的方方法法是是根根据据每每个个主主机机的的MAC地地址址来来划划分,即对每个分,即对每个MAC地址的主机都配置它属于哪个组。地址的主机都配置它属于哪个组。第九章第九章虚拟网络技术上虚拟网络技术上2基于基于MAC地址地址由由于于MAC地地址址是是与与硬硬件件相相关关的的地地址址,所所以以用用MAC地地址址定定义义的的虚虚拟拟局局域域网网允允许许节节点点移移动动它它的的物物理理网网段段。由由于于它它的的MAC地地址址不不变变,所所以以该该节节点点将将自自动动保保持持原原来来的的虚虚拟拟局局域域网网成
14、成员员的的地地位位。从从这这个个角角度度来来说说,基基于于MAC地地址址定义的虚拟局域网可以看作是基于用户的虚拟局域网定义的虚拟局域网可以看作是基于用户的虚拟局域网。用用MAC地地址址定定义义虚虚拟拟局局域域网网的的优优点点是是:网网络络工工作作站站上上的的网网卡卡是是全全世世界界惟惟一一和和固固定定不不变变的的,可可以以作作为为安安全全检检查查的的身身份份标标识识。对对于于有有特特殊殊安安全全需需求求的的网网络络可可以以考考虑虑用用MAC地址定义虚拟局域网地址定义虚拟局域网。第九章第九章虚拟网络技术上虚拟网络技术上3基于基于IP地址地址更更加加高高级级的的基基于于第第三三层层的的VLAN划划
15、分分是是基基于于IP地地址址的的划划分分,当当然然它它主主要要应应用用在在TCP/IP网网络络中中,支支持持这这种种划划分分方方法法的的交交换换机机需需要要读读懂懂第第三三层层信信息息,即即读读懂懂数数据据包包中中的的IP地地址址,但但是是交交换换机机不不进进行行路路由由,只只是是判判断断数数据据包包的的目目的的地地址址,送送到到交交换换机机相应的端口相应的端口。在在IP网网络络中中,通通过过IP地地址址及及子子网网掩掩码码可可以以决决定定一一台台计计算算机机所所属属的的逻逻辑辑网网段段,但但在在二二层层交交换换网网络络中中,广广播播数数据据并并未未被被控控制制在在逻逻辑辑网网段段内内,整整个
16、个物物理理网网段段的的计计算算机机都都会会接接收收到到广广播播数数据据包包,只只不不过过接接收收方方会会简简单单地地丢丢弃弃不不属属于于自自己己的的数数据据包包。基基于于IP地地址划分址划分VLAN,可以将广播域控制在一定的逻辑网段内。,可以将广播域控制在一定的逻辑网段内。第九章第九章虚拟网络技术上虚拟网络技术上3基于基于IP地址地址基基于于IP地地址址划划分分VLAN的的优优点点是是:用用户户物物理理位位置置变变化化,端端设设备备及及网网络络设设置置无无需需更更改改。增增加加用用户户简简单单方方便便,用用户户端端设设备备设设置置正正确确的的IP地地址址子子网网掩掩码码就就自自动动加加入入相相
17、应应VLAN。管管理理员员通通过过设设定定子子网网网网段段地地址址及及正正确确的的子子网网掩掩码码,并并将将这这种种策策略略加加载载到到网网络络中中的的各各个个交交换换机机上上,网网络络就就可可以以工工作。作。(例例:工程学院工程学院)第九章第九章虚拟网络技术上虚拟网络技术上4基于网络协议基于网络协议基基于于OSI的的第第三三层层网网络络层层划划分分VLAN,如如运运行行IP协协议议的的用用户户划划分分成成一一个个VLAN,运运行行IPX协协议议的的用用户户分分成成另另一一个个VLAN。支支持持这这种种划划分分策策略略的的交交换换机机必必须须能能读读懂懂数数据据包包的的第第三三层层信信息息,分
18、分清清数数据据包包的的协协议议类类型型。在在某某种种情情况况下下这这种种划划分分策策略略的的交交换换还还是是很很有有用用的的。如如在在一一个个大大型型网网络络中中,由由于于历历史史的的原原因因,有有许许多多网网络络的的协协议议存存在在,例例如如将将IPX协协议议用用户户划划分分在在VLAN中中,可可以以将将IPX产产生生的的SAP(ServiceAdvertisementProtocol)广广播播控控制制在在一一定定的的范范围围。提提高高网网络络通通信信的的性性能能。在在实实际际应应用用中中,这这种种划划分分方方法法一一般般与与基基于于MAC地地址址、基基于于IP地地址址划划分分策策略略等等其
19、其他他方方法法混混合合使使用用,使使得得网网络络管管理理更更为为灵灵活活。它它允允许许按按照照协协议议类类型型来来组组成成虚虚拟拟局局域域网网,用用户户可可以以随随意意移移动动工工作作站站而而无需重新配置网络地址。无需重新配置网络地址。第九章第九章虚拟网络技术上虚拟网络技术上92虚拟专用网络(虚拟专用网络(VPN)虚虚拟拟专专用用网网络络(VirtualPrivateNetwork,VPN)是是近近年年来来热热门门的的技技术术,属属于于广广域域网网的的技技术术范范畴畴。虚虚拟拟专专用用网网络分为两种:络分为两种:一一种种是是指指帧帧中中继继或或ATM等等提提供供的的虚虚拟拟固固定定线线路路(P
20、VC)服务网络,服务网络,另另一一种种是是利利用用Internet构构建建的的虚虚拟拟专专用用网网络络。本本节节只探讨基于只探讨基于Internet的虚拟专用网络。的虚拟专用网络。第九章第九章虚拟网络技术上虚拟网络技术上921VPN工作原理VPN系系统统可可由由分分布布在在不不同同地地方方的的多多个个专专用用网网络络(主主要要是是企企业业内内部部网网)构构成成,这这些些专专用用网网络络之之间间可可以以利利用用公公共共网网络络进进行行安安全全通通信信,在在公公共共网网络络上上传传输输的的信信息息通通过过复复杂的算法加密,保证杂的算法加密,保证VPN用户的数据安全传输。用户的数据安全传输。第九章第
21、九章虚拟网络技术上虚拟网络技术上第九章第九章虚拟网络技术上虚拟网络技术上922VPN协议VPN使用的协议主要有五种:使用的协议主要有五种:即即点点到到点点隧隧道道协协议议(Point-to-PointTunnelingProtocol,PPTP)第二层隧道协议(第二层隧道协议(Layer2TunnelingProtocol,L2TP)IP安全协议(安全协议(IPsecurity,IPSec)、)、SOCKS接口接口SSL(SecureSocketLayer)技术。技术。第九章第九章虚拟网络技术上虚拟网络技术上1PPTP协议协议PPTP(PointToPointTunnelingProtocol
22、)是是微微软软公公司司提提出出来来的的。在在推推出出之之初初目目的的是是为为了了拨拨号号VPN,这这种种协协议议通通过过使使用用户户拨拨号号进进入入本本地地ISP并并利利用用隧隧道道技技术术接接入入企企业业网网络络。PPTP支支持持WindowsNT、95/98,在在Windows平台上运行平台上运行PPTP可以无缝地构建和维护可以无缝地构建和维护VPN。PPTP是是数数据据链链路路层层的的协协议议,是是PPP协协议议的的扩扩展展,其其用用IP包包来来封封装装PPP协协议议,用用简简单单的的包包过过滤滤和和或或网网络络控控制制来来实实现现访访问问控控制制。目目前前,PPTP协协议议已已基基本本
23、被被淘淘汰汰,不不再再使用在使用在VPN产品中。产品中。第九章第九章虚拟网络技术上虚拟网络技术上2L2TP协议协议第第二二层层隧隧道道协协议议L2TP(Layer2TunnelingProtocol)是是由由 微微 软软 的的 PPTP和和 Cisco公公 司司 的的 L2F( Layer 2 Forwording)协协议议组组合合而而成成的的,支支持持多多路路隧隧道道。基基于于Layer2的的VPN封封装装了了IP协协议议和和IPX、NetBEUI、AppleTalk等等非非IP协协议议。还还支支持持流流量量控控制制,它它通通过过减减少少丢丢弃弃包包来来改改善善网网络络性性能能,这这样样可可
24、减减少少数数据据包包重重传传。L2TP不不提提供供任任何何加加密密措措施施,更更多多的的是是和和IPsec协协议议配配合合使使用用,提供隧道验证。提供隧道验证。PPTP和和L2TP同时最多只能连接同时最多只能连接255个用户。个用户。第九章第九章虚拟网络技术上虚拟网络技术上3IPSec协议协议IPSec协协议议是是用用来来增增强强VPN安安全全性性的的标标准准协协议议,工工作作在在OSI模模型型的的第第三三层层。IPSec包包含含了了用用户户身身份份认认证证、查查验验和和数数据据完完整整性性等等内内容容。IPsec可可以以确确保保运运行行在在TCP/IP协协议议上上的的VPN之之间间的的互互操
25、操作作性性。标标准准化化的的IPSec能能实实现现来来自自不不同同厂厂商商的的产产品品相相互互混混合合及及相相互互匹匹配配。不不过过,在在为为远远程程用用户户构构建建VPN时时,IPSec需需要要在在使使用用者者的的每每个个桌桌面面系系统上加载特殊的客户软件,相对来说,比较繁琐统上加载特殊的客户软件,相对来说,比较繁琐。IPsec协协议议需需要要已已知知范范围围的的IP地地址址或或固固定定的的IP地地址址,因因此此在在动动态态分分配配地地址址时时不不太太适适合合于于IPsec。除除了了TCP/IP协协议议外外,IPsec不不支支持持其其他他的协议。的协议。目目前前的的VPN大大都都是是将将L2
26、TP和和IPsec结结合合起起来来,用用L2TP作作为为隧隧道道协协议议,用用IPsec协议保护数据的技术。协议保护数据的技术。第九章第九章虚拟网络技术上虚拟网络技术上4SSL协议协议基基于于SSL(安安全全套套接接字字层层)的的VPN通通常常是是在在防防火火墙墙后后面面放放置置一一个个SSL代代理理服服务务器器,如如果果用用户户希希望望安安全全地地连连接接到到公公司司的的网网络络,那那么么当当用用户户在在浏浏览览器器上上输输入入一一个个URL后后,连连接接将将被被SSL代代理理服服务务器器取取得得,然然后后SSL代代理理服服务务器器将将提提供供一一个个远远程程用用户户与与各各种种不不同同的的
27、应应用用服服务务器器之之间间连连接接。这这种种方方式式优优于于传传统统的的IPsecVPN方方式式的的特特点点是是不不需需要要安安装装任任何何客客户户端端软软件件,客客户户端端只只需需要要一一个个支支持持SSL的的浏浏览览器器就就行行了了。SSLVPN主主要要局局限限是是用用户户只只能能访访问问基基于于Web服服务务器器的的应应用用,而而IPsecVPN却却几几乎乎可可以以为为所所有有的的应用提供访问。应用提供访问。第九章第九章虚拟网络技术上虚拟网络技术上4SSL协议协议SSL是是Netscape公公司司设设计计的的一一种种用用来来在在Internet上上传传输输个个人人信信息息的的通通信信协
28、协议议,InternetExplorer也也支支持持SSL。IETF(www.ietf.org)将将SSL作作了了标标准准化化,即即RFC 2246,并并将将其其称称为为TLS(TransportLayerSecurity)。WAP论论坛坛(www.wapforum.org)在在TLS的的基基础础上上做做了了简简化化,提提出出了了WTLS协协议议(WirelessTransportLayerSecurity),),以适应无线网络的特殊环境。以适应无线网络的特殊环境。当当 在在 浏浏 览览 器器 里里 设设 置置 了了 https的的 代代 理理 , 而而 且且 在在 浏浏 览览 器器 里里 输
29、输 入入 了了https:/之之后后,浏浏览览器器会会与与proxy建建立立TCP链链接接,然后向其发出这么一段消息:然后向其发出这么一段消息:CONNECT:443HTTP/1.1第九章第九章虚拟网络技术上虚拟网络技术上4SSL协议协议Host::443然然后后proxy会会向向webserver端端建建立立TCP连连接接之之后后,这这个个代代理理便便完完全全成成了了一一个个内内容容转转发发装装置置。浏浏览览器器与与webserver会会建建立立一一个个安安全全通通道道,因因此此这这个个安安全全通通道道是是端端到到端端的的,尽尽管管所所有有的的信信息息流流过过了了proxy,但但其其内容内容
30、proxy是无法解密和改动的。是无法解密和改动的。SSL连连接接可可以以看看成成在在TCP/IP连连接接的的基基础础上上建建立立一一个个安安全全通通道道,在在这这一一通通道道中中,所所有有点点对对点点的的信信息息都都将将加加密密,从从而而确确保保信信息息在在Internet上上传传输输时时,不不会会被被第第三三方方窃窃取取。SSL协协议议可可以以分分为为两两个个子子协协议议:SSL记记录录协协议议(Record Protocol)和和SSL握握手手协协议议 (HandshakeProtocol)。其其中中HandshakeProtocol用用来来协协商商密密钥钥,协协议议的的大大部部分分内内容
31、容就就是是通通信信双双方方如如何何利利用用它它来来安安全全地地协协商商出出一一份份密密钥钥。RecordProtocol则则定定义义了了传传输输的的格格式式。它它们们在在网网络络体体系系中中分分别别位位于于如如下下层层次:次:第九章第九章虚拟网络技术上虚拟网络技术上图图9-4SSL协议协议ApplicationLayer应用层HandshakeProtocol会话层SSLRecordLayer传输层TCPLayer第九章第九章虚拟网络技术上虚拟网络技术上SSL提供了两台机器间的安全连接。支付系统经常通过在提供了两台机器间的安全连接。支付系统经常通过在SSL连接上传输信用卡卡号的方式来构建,在线
32、银行和连接上传输信用卡卡号的方式来构建,在线银行和其他金融系统也常常构建在其他金融系统也常常构建在SSL之上。虽然基于之上。虽然基于SSL的的信用卡支付方式促进了电子商务的发展,但如果想要信用卡支付方式促进了电子商务的发展,但如果想要电子商务得以成功地广泛开展的话,必须采用更先进电子商务得以成功地广泛开展的话,必须采用更先进的支付系统。的支付系统。SSL被广泛应用的原因在于它被大部分被广泛应用的原因在于它被大部分Web浏览器和浏览器和Web服务器所内置,比较容易被应用。服务器所内置,比较容易被应用。第九章第九章虚拟网络技术上虚拟网络技术上5SOCKSv5协议协议SOCKS是是相相对对于于OSI
33、模模型型的的会会话话层层的的网网络络连连接接代代理理协协议议,SOCKS能能对对连连接接请请求求进进行行鉴鉴别别和和授授权权。并并建建立立代代理理连连接接和和传传送送数数据据。SOCKS有有v4和和v5两两个个版版本本,SOCKSv5比比SOCKSv4增增加加了了处处理理UDP数据报能力。数据报能力。SOCKSv5的优点在于它是在的优点在于它是在OSI模型的会话层控制数据流,它定义模型的会话层控制数据流,它定义了非常详细的访问控制。了非常详细的访问控制。SOCKSv5和和SSL工作在会话层,能够与工作在会话层,能够与低层协议低层协议IPv4、IPsec、PPTP、L2TP一起使用;用一起使用;
34、用SOCKSv5的的代理服务器可隐藏网络地址结构;能为认证、加密和密钥管代理服务器可隐藏网络地址结构;能为认证、加密和密钥管理提理提供供“插件插件”模块,让用户自由地采用所需要的技术。模块,让用户自由地采用所需要的技术。SOCKSv5可根据规则过滤数据流,包括可根据规则过滤数据流,包括JavaApplet和和Actives控制。当控制。当SOCKSv5同同SSL协议配合使用时,可作为建立高度安全的协议配合使用时,可作为建立高度安全的VPN的的基础。基础。SOCKS已被已被IFTF建议作为建立建议作为建立VPN的标准。的标准。第九章第九章虚拟网络技术上虚拟网络技术上923VPN的业务的业务共有三
35、种连接方式共有三种连接方式1AccessVPN2IntranetVPN3ExtranetVPN第九章第九章虚拟网络技术上虚拟网络技术上1AccessVPNAccessVPN(接接入入VPN),又又叫叫做做拨拨号号VPN,即即VPDN,接接入入方方法法可可以以是是用用调调制制解解调调器器、ISDN或或者者xDSL。是是指指企企业业员员工工或或企企业业的的小小分分支支机机构构通通过过公公网网远远程程拨拨号号的的方方式式构构筑筑的的虚虚拟拟网网,即即客客户户端端到到网网关关。远远端端用用户户不不是是通通过过长长途途线线路路,而而是是通通过过本本地地ISP,采采用用VPN技技术术在在公公众众网网上上建
36、建立立一一个个虚虚拟拟的的通通道道。商商家家需需提提供供B2C(企企业对用户)业对用户)的安全访问服务。的安全访问服务。第九章第九章虚拟网络技术上虚拟网络技术上2IntranetVPN所所谓谓IntranetVPN(内内部部VPN)适适用用于于企企业业的的总总部部与与分分支支机机构构间间通通过过Internet构构筑筑的的世世界界范范围围的的虚虚拟拟网网,即即网网关关到到网网关关。利利用用Internet的的线线路路保保证证网网络络的的互互联联性性。而而利利用用隧隧道道,加加密密等等VPN技技术术,可可以以保保证证信信息息在在整整个个IntranetVPN上上安安全全传传输输。IPsec隧隧道
37、道协协议议可可满满足足所所有有网关到网关的网关到网关的VPN的连接。的连接。第九章第九章虚拟网络技术上虚拟网络技术上3ExtranetVPNExtranetVPN(外外部部VPN)与与IntranetVPN没没有有本本质质的的差差别别,它它是是将将客客户户、供供应应商商、合合作作伙伙伴伴或或兴兴趣趣群群体体连连接接到到企企业业内内部部网网,使使不不同同企企业业网网通通过过公公网网来来构构筑筑的的虚虚拟拟网网。但但由由于于是是不不同同公公司司的的网网络络相相互互通通信信,所所以以要要更更多多地地考考虑虑设设备备的的互互联联、地地址址的的协协调调、安安全全策策略略的的协协商商等等。它它也也属属于于
38、网网关关到到网网关关的的连连接接,选选择择IPsec协协议议是是明明智之举。智之举。IntranetVPN和和ExtranetVPN统统称称为为专专线线VPN或或场场地地到到场地的场地的VPN。第九章第九章虚拟网络技术上虚拟网络技术上924构建构建VPN1按运营方式划分按运营方式划分Core-basedVPN:Core-basedVPN是是运运营营商商在在电电信信公公网网上上为为企企业业建建立立的的专专用用隧隧道道服服务务。其其优优点点是是企企业业不不需需购购买买和和维维护护VPN设设备备,方方便便了了管管理理,但但目目前前存存在在许许多多无无法法越越过过的的障障碍碍:由由于于涉涉及及加加密密
39、算算法法不不统统一一,造造成成不不同同运运营营商商的的VPN不不能能互互通通互互联联,MPLSVPN虽虽然然避避开开了了加加密密算算法法的的约约束束,但但目目前前处处于于应应用用初初级级阶阶段段,网网络络没没覆覆盖盖到到全全国国;另另一一个个致致命命弱弱点点是是VPN管管理理在在运运营营商商处处,公公司司的的核核心心将将被被外外人人管管理理。每每月月还还需需缴缴纳纳一一定定的的维维护护费费。因因此此Core-basedVPN只只适适合合于于数数据据保保密性要求不高,需求不固定的中小企业。密性要求不高,需求不固定的中小企业。第九章第九章虚拟网络技术上虚拟网络技术上CPE-basedVPN:CPE
40、-basedVPN是企业通过自购是企业通过自购VPN设备,在公网上建立的安全专用通道。企业自建设备,在公网上建立的安全专用通道。企业自建VPN在技术上与在技术上与Core-basedVPN完全一致,但是核心数据完全一致,但是核心数据完全掌握在企业手中。同时它实现端到端的加密通信,完全掌握在企业手中。同时它实现端到端的加密通信,并可根据公司的策略随时进行调整,具有灵活性。并可根据公司的策略随时进行调整,具有灵活性。第九章第九章虚拟网络技术上虚拟网络技术上2按应用方式划分按应用方式划分虚虚拟拟专专用用网网络络在在应应用用上上可可分分为为Point-to-LAN(单单机机对对局局域网)与域网)与LA
41、N-to-LAN(局域网对局域网)两种:局域网对局域网)两种:在在Point-to-LAN的的配配置置中中,虚虚拟拟专专用用网网络络的的一一端端为为局局域域网网,通通过过具具有有虚虚拟拟专专用用网网络络功功能能的的路路由由器器,专专用用连连线线上上Internet;虚虚拟拟专专用用网网络络的的另另一一端端为为个个人人计计算算机机,通通过过电话拨号的方式连上电话拨号的方式连上Internet。在在LAN-to-LAN(或或称称为为Router-to-Router)的的配配置置中中,虚虚拟拟专专用用网网络络的的两两端端都都为为局局域域网网,通通过过具具有有虚虚拟拟专专用用网络功能的路由器,以专线连
42、上网络功能的路由器,以专线连上Internet。第九章第九章虚拟网络技术上虚拟网络技术上3实施步骤实施步骤企业构建企业构建VPN在具体实施时,可按照几大步骤进行:在具体实施时,可按照几大步骤进行:(1)明明确确远远程程访访问问要要求求。企企业业首首先先要要明明确确需需要要与与何何种种公公网网连连接接,用用户户是是通通过过局局域域网网、广广域域网网还还是是拨拨号号链链路路进进入入企企业业专专用用网网络络,远远程程用用户户是是否否为为同同一一机机构构的的成成员员等等问问题题。此此外外,企企业业决决策策者者还还应应解解决决VPN特特有有的的几几个个问问题题,即即远远程程访访问问的的资资格格、可可执执
43、行行的的计计算算能能力力、外外联联网网连连接接的的责责任任以以及及VPN资资源源的的监监管管、为为出出差差旅旅行行的的员员工工及远程工作站的员工提供访问步骤等。及远程工作站的员工提供访问步骤等。第九章第九章虚拟网络技术上虚拟网络技术上3实施步骤实施步骤(2)选选择择VPN设设备备。可可选选择择的的VPN产产品品很很多多,有有路路由由器器、主主机机网网关关、拨拨号号接接入入设设备备、隧隧道道加加密密机机、隧隧道道交交换换机机、防防火火墙墙VPN等等。但但产产品品基基本本上上可可分分成成三三大大类类,即即基基于于硬件的硬件的VPN、基于软件的基于软件的VPN和基于防火墙和基于防火墙VPN。(3)选
44、选择择VPN服服务务器器位位置置及及配配置置网网络络设设备备。构构建建VPN系系统统可可以以利利用用企企业业原原有有的的资资源源(局局域域网网),构构造造VPN首首先先要要确确定定VPN服服务务器器的的位位置置,其其次次,要要配配置置网网络络地地址址转换器等其他网络设备。转换器等其他网络设备。第九章第九章虚拟网络技术上虚拟网络技术上3实施步骤实施步骤(4)安安装装和和配配置置VPN。不不同同的的VPN产产品品安安装装的的方方法法不不同同,要要注注意意的的是是基基于于软软件件的的VPN和和基基于于防防火火墙墙的的VPN产产品品在在安安装装前前,首首先先要要从从服服务务器器中中取取消消所所有有不不
45、必必要要的的服服务务、应应用用程程序序和和用用户户账账户户,确确保保安安装装最最新新的的、安安全全的的产产品品,确确保保VPN系系统统的的安安全全。在在对对VPN进进行行配配置置时时,通通常常网网管管员员要要为为一一系系列列因因素素设设定定参参数数,例例如如密密钥钥长长度度、主主要要与与次次要要认认证证服服务务器器及及相相关关的的共共享享秘秘密密资资源源、连连接接和和超超时时设设置置、证书生成、密钥生成和分布机制等。证书生成、密钥生成和分布机制等。(5)监监控控和和管管理理VPN。这这一一步步是是要要建建立立监监控控Internet连连接接的的机机制制,它它可可以以测测定定VPN对对网网络络的
46、的利利用用和和吞吞吐吐量量,而而且且也也是是培培训训服服务务台台员员工工操操作作VPN设设备备及及认认识识认认证证服服务务器器和和防防火火墙墙相相互互间间的的影影响响的的重重要要一步。一步。第九章第九章虚拟网络技术上虚拟网络技术上MPLSVPNMPLSVPN是一种基于是一种基于IP网络的宽带网络的宽带VPN技术。技术。MPLSVPN服务比较适合于一些点数较多的连接,对于传统服务比较适合于一些点数较多的连接,对于传统的低带宽应用,用户只有的低带宽应用,用户只有23个点或者是点到点的连个点或者是点到点的连接,接,DDN和帧中继和帧中继VPN还是有自己的优越性。还是有自己的优越性。MPLSVPN技术
47、已被国内一些大型企事业、行政机关所技术已被国内一些大型企事业、行政机关所采用。采用。第九章第九章虚拟网络技术上虚拟网络技术上931MPLSVPN解决方案1CPEBasedVPN由用户端激起并终结,对运营商完全透明。不能为运营由用户端激起并终结,对运营商完全透明。不能为运营商提供太多的盈利机会。它的缺点是扩展性较差,因商提供太多的盈利机会。它的缺点是扩展性较差,因为它是通过数据包封装方式建立隧道,如果同时加密为它是通过数据包封装方式建立隧道,如果同时加密隧道,速度会更慢。隧道,速度会更慢。CPEBaseVPN要求企业拥有维护要求企业拥有维护设备的技术能力,这类维护工作对中小型企业相当昂设备的技术
48、能力,这类维护工作对中小型企业相当昂贵。不过非常适合于技术力量雄厚、需要高度保密的贵。不过非常适合于技术力量雄厚、需要高度保密的单位。单位。第九章第九章虚拟网络技术上虚拟网络技术上2PPVPN由运营商激发的由运营商激发的VPN解决方案称为解决方案称为ProviderProvisionVPN(PPVPN),一般业界指的是),一般业界指的是MPLSVPN。3MPLSVPN的典型应用的典型应用依然是内部依然是内部VPN(IntranetVPN)、外部)、外部VPN(ExtranetVPN)和接入)和接入VPN(AccessVPN)。)。第九章第九章虚拟网络技术上虚拟网络技术上932MPLSVPN的特
49、点的特点1高安全性高安全性MPLS的标签交换路径(的标签交换路径(LSP)具有与)具有与FR和和ATMVCC相似的安全性。相似的安全性。另外,像网通有限公司的另外,像网通有限公司的MPLSVPN,还集成了,还集成了IPSec加密,同时也加密,同时也实现了对用户透明,用户可以采用防火墙,数据加密等方法,进一实现了对用户透明,用户可以采用防火墙,数据加密等方法,进一步提高安全性。步提高安全性。2强大的扩展性强大的扩展性第一,网络中可以容纳的第一,网络中可以容纳的VPN数目很大;数目很大;第二,同一第二,同一VPN中的用户很容易扩充。中的用户很容易扩充。3业务的融合功能业务的融合功能MPLSVPN可
50、提供数据、语音和视频三网融合的能力。可提供数据、语音和视频三网融合的能力。4灵活的控制策略灵活的控制策略可以制订特殊的控制策略,满足不同用户的特殊要求,实现增值服务。可以制订特殊的控制策略,满足不同用户的特殊要求,实现增值服务。第九章第九章虚拟网络技术上虚拟网络技术上5强大的管理功能强大的管理功能采用集中管理的方式,业务配置与调度统一平台,减轻了用户的负采用集中管理的方式,业务配置与调度统一平台,减轻了用户的负担。担。6服务级别协议(服务级别协议(SLA)目前利用差别服务,流量整形和服务级别来保证一定的流量性能,目前利用差别服务,流量整形和服务级别来保证一定的流量性能,将来可以提供带宽保证以及
51、更高的服务质量保证。将来可以提供带宽保证以及更高的服务质量保证。7帮用户节省费用帮用户节省费用主要包括:主要包括:线路费线路费价格比租用专线节约;价格比租用专线节约;设备费设备费用户只须配备用户只须配备CE设备,不需要专门的设备,不需要专门的VPN网关;网关;融合业务融合业务通过融合语音数据业务来节约费用;通过融合语音数据业务来节约费用;管理费用管理费用用户不必进行专门管理维护;用户不必进行专门管理维护;人员费用人员费用不必雇用大量的专业技术人员。不必雇用大量的专业技术人员。第九章第九章虚拟网络技术上虚拟网络技术上8MPLSVPN主要参数主要参数MPLSVPN与传统的与传统的ATM/帧中继帧中
52、继VPN不同。例如,不同。例如,ATM只提供只提供BurstRate、CommitRate等服务,而基于等服务,而基于MPLSVPN的的SLA(服(服务级别协定)更复杂,务级别协定)更复杂,SLA必须包括时延、丢包率、必须包括时延、丢包率、QoS等内容。等内容。主要的主要的MPLSVPN服务的测试参数包括:服务的测试参数包括:连接性(可用性):业务处于正常状态的时间占总时间的比连接性(可用性):业务处于正常状态的时间占总时间的比例;例;激活期间:一天中进行激活期间:一天中进行SLA监视的时间;监视的时间;延迟(抖动):延迟(抖动):VPN内各种业务的环回时间(抖动),可以内各种业务的环回时间(
53、抖动),可以设置相应的门限值;设置相应的门限值;吞吐量:用户发送到网络中的业务量;吞吐量:用户发送到网络中的业务量;其他性能参数:包括分组丢失率等。其他性能参数:包括分组丢失率等。第九章第九章虚拟网络技术上虚拟网络技术上933L2/L3MPLSVPNMPLSVPN分为二层分为二层MPLSVPN与三层与三层MPLSVPN。二层二层MPLSVPN是指是指IETFDraftKompella或或IETFDraftMartini;而三层而三层MPLSVPN基于基于IETFRFC2547bis标准。标准。RFC4364:BGP/MPLSIPVirtualPrivateNetworks(VPNs)Obsol
54、etes:2547.February2006MPLS(MultiprotocolLabelSwitching)isusedforforwardingpacketsoverthebackbone,andBGP(BorderGatewayProtocol)isusedfordistributingroutesoverthebackbone.第九章第九章虚拟网络技术上虚拟网络技术上1基于第三层的基于第三层的MPLSVPN由于发展的时间较长,三层由于发展的时间较长,三层MPLSVPN协议本身相对完善一些。但协议本身相对完善一些。但是,三层是,三层MPLSVPN由于实现机制的问题,其网络的运营管理和由于
55、实现机制的问题,其网络的运营管理和维护,以及运营商边界路由器需要存储大量的客户路由信息引发维护,以及运营商边界路由器需要存储大量的客户路由信息引发的网络扩展性问题,要求必须对其实施进行很好地规划。的网络扩展性问题,要求必须对其实施进行很好地规划。对于三层对于三层MPLSVPN来说,由于路由协议和信令协议的限制,目前来说,由于路由协议和信令协议的限制,目前只支持纯只支持纯IP的业务。现在很多的组织已经或者正在准备开始使用的业务。现在很多的组织已经或者正在准备开始使用IPv6,将来也会有很多的企业向,将来也会有很多的企业向IPv6迁移。对于运营商来说,如迁移。对于运营商来说,如何为这部分企业用户提
56、供何为这部分企业用户提供VPN的连接业务是现实面临的问题。的连接业务是现实面临的问题。对于三层对于三层MPLSVPN来说,需要对目前来说,需要对目前IPv4的路由技术和对目前的路由技术和对目前M-BGP的功能进行增强,生成一个新的的功能进行增强,生成一个新的VPNIPv6的的AddressFamily。其间,还会涉及到对运营商边界路由器软件或者硬件上的升级。其间,还会涉及到对运营商边界路由器软件或者硬件上的升级。第九章第九章虚拟网络技术上虚拟网络技术上2基于第二层的基于第二层的MPLSVPN二层二层MPLSVPN的解决方案由于采用二层的透传技术,对于客户侧的解决方案由于采用二层的透传技术,对于
57、客户侧的很多三层协议是透明的,这些协议包括:的很多三层协议是透明的,这些协议包括:IPv4、IPv6、IPX、DECnet、OSI、SNA等。等。与三层与三层MPLSVPN的解决方案比较,二层的解决方案比较,二层MPLSVPN可以提供更好可以提供更好的网络扩展性,更适合在大型的的网络扩展性,更适合在大型的VPN网络中使用,特别是在多级网络中使用,特别是在多级运营商或者运营商的多级网络环境中(运营商或者运营商的多级网络环境中(CarrierSupportCarrier)。)。二层二层MPLSVPN的特性,也使其可以很容易地实现目前困扰三层的特性,也使其可以很容易地实现目前困扰三层MPLSVPN的
58、很多技术,比如说网络的组播。可以说,二层的很多技术,比如说网络的组播。可以说,二层MPLSVPN的出现,是的出现,是MPLSVPN技术的一个新亮点,随着其协技术的一个新亮点,随着其协议的成熟和标准的确定,二层议的成熟和标准的确定,二层MPLSVPN将成为将成为MPLSVPN的主的主流技术。流技术。第九章第九章虚拟网络技术上虚拟网络技术上二层二层MPLSVPN技术可以实现帧中继、技术可以实现帧中继、ATM、以太网、以太网、以太网、以太网VLAN、HDLC、PPP、SONET/SDH链路仿真服务以及多种二层链路仿真服务以及多种二层链路技术的互通,运营商和客户之间的责任明确,运营模式清晰,链路技术的
59、互通,运营商和客户之间的责任明确,运营模式清晰,是迈向是迈向IP/MPLS全业务网的关键一步,它可以实现真正意义上的全业务网的关键一步,它可以实现真正意义上的多网合一。多网合一。相对于相对于L3来说,来说,L2对于用户业务类型的要求限制要少一些。对于用户业务类型的要求限制要少一些。不过,就目前来说,二层不过,就目前来说,二层MPLSVPN面临的最大问题就是协议不成面临的最大问题就是协议不成熟,没有标准化。目前设备厂家间解决方案种类繁多,大多数的熟,没有标准化。目前设备厂家间解决方案种类繁多,大多数的设备只实现了协议定义的基本功能,还不具备全业务支持的能力,设备只实现了协议定义的基本功能,还不具
60、备全业务支持的能力,各种解决方案之间也无法实现互通。各种解决方案之间也无法实现互通。第九章第九章虚拟网络技术上虚拟网络技术上二层二层MPLSVPN协议本身的不完善也是制约其应用的一个重要因素,协议本身的不完善也是制约其应用的一个重要因素,目前大多数的二层目前大多数的二层MPLSVPN的配置过程都需要进行大量的手工的配置过程都需要进行大量的手工配置,不适合组建大规模的网络。配置,不适合组建大规模的网络。另外,除了以另外,除了以BGP作为信令协议的解决方案以外,二层作为信令协议的解决方案以外,二层MPLSVPN的跨域问题还没有能够完全地解决。可以说,二层的跨域问题还没有能够完全地解决。可以说,二层
61、MPLSVPN业业务的成熟还需要运营商积累一定的运营经验,其业务本身也有一务的成熟还需要运营商积累一定的运营经验,其业务本身也有一个市场和客户认可的过程。个市场和客户认可的过程。总之,基于总之,基于MPLS的的L2和和L3解决方案各有其优缺点。对于运营商来解决方案各有其优缺点。对于运营商来说,到底采用何种方式在网络中实施说,到底采用何种方式在网络中实施MPLSVPN,需要考虑,需要考虑L2和和L3方案各自的优缺点,结合网络的现状、方案实施的成本,以及方案各自的优缺点,结合网络的现状、方案实施的成本,以及对当前和将来业务的综合分析、预测来作出决定。对当前和将来业务的综合分析、预测来作出决定。MP
62、LSL3VPN与与MPLSL2VPN的比较见表的比较见表9-2。第九章第九章虚拟网络技术上虚拟网络技术上934三种三种VPN技术比较技术比较由由ISP提供的组网比较:提供的组网比较:1组网方式组网方式DDN对于每一个需要与总部或与分部进行数据传送的机构,对于每一个需要与总部或与分部进行数据传送的机构,都需要租用一条都需要租用一条DDN连接双方。各分部之间仍没有直接连接双方。各分部之间仍没有直接的的DDN线路连接,所有分部之间的数据传送都必须经过线路连接,所有分部之间的数据传送都必须经过总部。因此,这种组网方式下,总部将会成为数据传送总部。因此,这种组网方式下,总部将会成为数据传送的瓶颈。在本的
63、瓶颈。在本DDN组网方式下不考虑一次性费用,用组网方式下不考虑一次性费用,用户每月需要支付的月租费包含所有户每月需要支付的月租费包含所有DDN电路的费用总和。电路的费用总和。第九章第九章虚拟网络技术上虚拟网络技术上934三种三种VPN技术比较技术比较FR用户只需在每个要进行互联的点租用本地电路进入运营用户只需在每个要进行互联的点租用本地电路进入运营商的商的FR网,然后在每一对要互联的点之间再租用一对网,然后在每一对要互联的点之间再租用一对PVC电路即可。同样在电路即可。同样在FR组网方式下,不考虑一次性费组网方式下,不考虑一次性费用,用户每月需要支付的月租费包含用,用户每月需要支付的月租费包含
64、PVC电路的费用总电路的费用总和,以及接入帧中继网的端口费。和,以及接入帧中继网的端口费。MPLS用户仅需要在每个要进行互联的点租用本地电路进入用户仅需要在每个要进行互联的点租用本地电路进入ISP/NSP的的MPLSVPN网即可,不需要另外租用网即可,不需要另外租用PVC电电路。至少为用户节省了包括物理电路、路。至少为用户节省了包括物理电路、PVC、设备、维、设备、维护等方面的大量费用。对于用户来说,每月向护等方面的大量费用。对于用户来说,每月向ISP/NSP支支付的费用只有付的费用只有VPN端口费一项。端口费一项。第九章第九章虚拟网络技术上虚拟网络技术上2前期投入前期投入DDN昂贵的专用终端
65、设备。而且一个专用终端设备的物理端口只能接一条昂贵的专用终端设备。而且一个专用终端设备的物理端口只能接一条DDN。每一对要通信的机构之间都要申请一条。每一对要通信的机构之间都要申请一条DDN进行连接。无进行连接。无法提供法提供2M以上带宽。以上带宽。FR昂贵的专用终端设备。昂贵的专用终端设备。从每个要互联的用户端到运营商从每个要互联的用户端到运营商FR网有一条物理电路连接。在每一对网有一条物理电路连接。在每一对要互联的机构之间要租用一对要互联的机构之间要租用一对PVC电路,无法提供电路,无法提供2M以上带宽。以上带宽。MPLS用户端设备采用低端路由器即可。从每个要互联的用户端到用户端设备采用低
66、端路由器即可。从每个要互联的用户端到ISP的的VPN网需有一条物理电路连接。租用网需有一条物理电路连接。租用ISP的相应速率的的相应速率的VPN端口。端口。可提供任意速率带宽。可提供任意速率带宽。第九章第九章虚拟网络技术上虚拟网络技术上3扩容扩容DDN每扩容一个点,都需要:每扩容一个点,都需要:专用终端设备投入。专用终端设备投入。新增点至其他所有要进行连接的点之间增加的多条新增点至其他所有要进行连接的点之间增加的多条DDN物理线路投入。物理线路投入。可能需要对已有每个点的设备进行升级,以满足端口增加的需求。可能需要对已有每个点的设备进行升级,以满足端口增加的需求。进行大量复杂的设置,以实现新增
67、点与原有点的互联。进行大量复杂的设置,以实现新增点与原有点的互联。FR每扩容一个点,都需要:每扩容一个点,都需要:新增点至其他所有要进行连接的点之间增加的多条新增点至其他所有要进行连接的点之间增加的多条PVC电路投入。电路投入。扩容各点的端口,以容纳新增的扩容各点的端口,以容纳新增的PVC。可能需要的因原有端口不足而导致的设备扩容。可能需要的因原有端口不足而导致的设备扩容。进行一系列复杂的设置,以实现新增点与原有点的互联进行一系列复杂的设置,以实现新增点与原有点的互联MPLS直接申请新的端口,由直接申请新的端口,由ISP实现所有点的互联。实现所有点的互联。第九章第九章虚拟网络技术上虚拟网络技术
68、上4日常维护日常维护DDN工程师需要对全公司每一个用户接入点为每一台连上工程师需要对全公司每一个用户接入点为每一台连上DDN网的设备进网的设备进行路由、安全、参数设置等多方面的配置。行路由、安全、参数设置等多方面的配置。需要有人掌控全公司各节点组成的广域网。需要有人掌控全公司各节点组成的广域网。FR工程师需要对全公司每一个用户接入点为每一台连上工程师需要对全公司每一个用户接入点为每一台连上FR网的设备进行网的设备进行路由、安全、参数设置等多方面的配置。路由、安全、参数设置等多方面的配置。需要有人掌控全公司各节点组成的广域网。需要有人掌控全公司各节点组成的广域网。MPLS对于每一个接入点,用户只
69、需保证与对于每一个接入点,用户只需保证与ISP之间的联通即可,能简单操之间的联通即可,能简单操作路由器的技术员就可以完成这些任务。作路由器的技术员就可以完成这些任务。5安全性安全性三种组网方式具有同等安全性。三种组网方式具有同等安全性。第九章第九章虚拟网络技术上虚拟网络技术上D-link808HV设置设置VPN功能功能D-link的企业路由器的企业路由器808HV带有带有VPN功能,如在路由器设功能,如在路由器设置界面已经打开了置界面已经打开了VPN,设置了,设置了user用户。用户。局域网的局域网的IP地址设的就是地址设的就是10.0.0.X,而路由器虚拟网部分的而路由器虚拟网部分的IP范围也设成了范围也设成了10.1.0.1.虚拟网虚拟网IP跟实际局域网跟实际局域网IP不可不可以一致以一致.局域网局域网IP跟虚拟网跟虚拟网IP设成一致虽然可以连通设成一致虽然可以连通VPN,但,但不能实际访问连通后的局域网不能实际访问连通后的局域网.