运维人员课程体系_数据专业(3)

,单击此处编辑母版文本样式,第二级,第三级,第四级,第十章,VPN,技术,（讲师用,PPT,）,中国网通,（,集团,）有限公司,2006,年,11,月,1,日,中国网通运维人员,岗位培训丛书,数据专业,内部资料,注意保密,目标,掌握,VPN,技术的基本概念,了解,VPN,技术的优点,了解,VPN,的解决方案类型,掌握,PPTP VPN,的技术原理,掌握,GRE VPN,的技术原理,掌握,L2TP VPN,的技术原理,掌握,IPsec,VPN,的技术原理,掌握,SSL VPN,的技术原理,了解,IPsec,和,SSL,的优缺点,掌握,MPLS,三层,VPN,的技术原理,掌握,MPLS,二层,VPN,的技术原理,10.1,10.2,IP VPN,技术原理,IPsec,技术原理,3,10.3,SSL,技术原理,MPLS,三层,VPN,10.4,目录,MPLS,二层,VPN,10.5,10.1.1,IP VPN,技术概述,10.1,IP VPN,技术原理,VPN,技术的优点,：,信息的安全性,方便的扩充性,方便的管理,显著的成本效益,VPN,的解决方案,：,内联网,VPN,（,Intranet VPN,）,外联网,VPN,（,Extranet VPN,）,远程接入,VPN,（,Access VPN,）,10.1,IP VPN,技术原理,PPTP,的概念：,PPTP,（,Point-to-Point Tunneling Protocol,）是由,Microsoft,、,Ascend,、,3Com,和,ECI,等公司组成的,PPTP,论坛在,1996,年定义的第,2,层隧道协议。,PPTP,定义了由,PAC,和,PNS,组成的客户机,/,服务器结构，从而把,NAS,的功能分解给这两个逻辑设备，以支持虚拟专用网。,10.1.2 PPTP,原理,PPTP,的逻辑设备,：,PPTP,接入集中器（,PPTP Access Concentrator,，,PAC,）,PPTP,网络服务器（,PPTP Network Server,，,PNS,）,10.1,IP VPN,技术原理,对,PPP,分组封装和传送的过程,：,RRAS,：,Routing and Remote Access Server,10.1,IP VPN,技术原理,PPTP,协议的分组头结构,：,16,32,长度,PPTP,报文类型,Magic Cookie,控制报文类型,保留,0,协议版本,保留,1,组帧能力,承载能力,最大信道数,固件版本,主机名（,64,字节）,制造商（,64,字节）,10.1,IP VPN,技术原理,GRE,的概念：,通用路由选择封装,(Generic Routing Encapsulation,，,GRE),是网络中通过隧道将通信从一个专用网络传输到另一个专用网络常用到的一个协议。尽管,GRE,不提供加密服务，但它提供低开销隧道。,10.1.3 GRE,原理,GRE,分组格式,：,传输头,GRE,头,负载分组,10.1,IP VPN,技术原理,基于,RFC 1701,的,GRE,头格式,：,基于,RFC 2784,的,GRE,头格式,：,基于,RFC 2890,的,GRE,头格式,：,GRE,的特点：,GRE,仅提供隧道,GRE,的隧道抖动问题,10.1,IP VPN,技术原理,L2TP,的概念：,L2TP,是在公共网络上使用,IP,来隧道传送,PPP,的协议。因为隧道建立在第,2,层，它可以在分组中封装任何第,3,层协议，并且对第,3,层及其以上各层都是透明的。,L2TP,不为它隧道传送的通信提供加密机制，而是依赖于其他协议如,IPsec,或应用层加密机制来提供安全性。,10.1.4 L2TP,原理,L2TP,隧道的分类：,强制型,L2TP,隧道,自发型,L2TP,隧道,10.1,IP VPN,技术原理,L2TP,隧道建立的阶段：,建立控制连接,10.1,IP VPN,技术原理,L2TP,隧道建立的阶段（续）：,建立实际传输数据的,L2TP,隧道,(,也可以称为建立一个会话,),入口呼叫的建立,出口呼叫的建立,入口呼叫建立过程,出口呼叫建立过程,10.1,IP VPN,技术原理,L2TP,分组的头格式：,目录,10.1,10.2,IP VPN,技术原理,IPsec,技术原理,3,10.3,SSL,技术原理,MPLS,三层,VPN,10.4,MPLS,二层,VPN,10.5,10.2,IPsec,技术原理,IPsec,的概念：,IPsec（IP,Security）是用于构建虚拟专用网络（VPN）的一系列协议,IPsec,是网络层中的一个安全协议，为提供加密安全服务而开发，该服务可以灵活地支持认证、完整性、访问控制以及数据一致性,在多数情况下，,IPsec,允许在两个专用网络间创建一个加密隧道。它同时允许隧道两端的认证。不过，,IPsec,协议只允许,IP,数据的封装和加密（不像,GRE,可以隧道传输非,IP,流量，但不能对其加密），所以如果为非,IP,流量创建隧道，,IPsec,就得同诸如,GRE,一样的协议联合使用，它们允许隧道传输非,IP,协议,10.2.1,IPsec,技术概述,10.2,IPsec,技术原理,LAN-to-LAN,IPsec,实现,：,10.2.2,IPsec,VPN,的类型,远程访问客户端,IPsec,实现,：,LAN-to-LAN,IPsec,和,site-to-site,IPsec,远程访问,IPsec,10.2,IPsec,技术原理,Internet,密钥交换（,IKE,）协议,10.2.3,IPsec,的组成,ESP,（负载安全封装）协议,认证头（,AH,）协议,协 议,描 述,IKE,提供协商安全参数和创建认证密钥的框架,ESP,提供加密、认证和保护数据的框架,AH,提供认证和保护数据的框架,目录,10.1,10.2,IP VPN,技术原理,IPsec,技术原理,3,10.3,SSL,技术原理,MPLS,三层,VPN,10.4,MPLS,二层,VPN,10.5,10.3 SSL,技术原理,SSL,的概念,10.3.1 SSL,技术概述,SSL,的安全特性,SSL,的主要功能,10.3 SSL,技术原理,会话和连接状态,10.3.2 SSL,VPN,技术原理,记录协议,改变密码协议,警告协议,握手协议,密钥交换算法,10.3 SSL,技术原理,支持,Web,方式的应用,10.3.3 SSL,VPN,的应用,支持非,Web,方式的应用,支持基于客户,/,服务器应用的代理,SSL,常见安全问题：,攻击证书,窃取证书,安全盲点,10.3.4 SSL,的安全漏洞及解决方法,10.3 SSL,技术原理,安全盲点的解决方案：,通过,Proxy,代理服务器的,SSL,OpenSSL,监测,SSL,服务器,SSL,和,IPsec,各有特点。,SSL VPN,与,IPsec,VPN,一样，都使用,RSA,或,D-H,握手协议来建立秘密隧道。,SSL,和,IPsec,都使用了预加密、数据完整性和身份认证技术，例如,3-DES,、,128,位的,RC4,ASE,MD5,和,SHA-1,等。两种协议的区别是，,IPsec,VPN,是在网络层建立安全隧道，适用于建立固定的虚拟专用网，而,SSL,的安全连接是通过应用层的,web,连接建立的，更适合移动用户远程访问公司的虚拟专用网,。,10.3.5,IPsec,与,SSL,的对比,10.3 SSL,技术原理,目录,10.1,10.2,IP VPN,技术原理,IPsec,技术原理,3,10.3,SSL,技术原理,MPLS,三层,VPN,10.4,MPLS,二层,VPN,10.5,10.4,MPLS,三层,VPN,MPLS,三层,VPN,的概念及组成部分,MPLS,三层,VPN,是提供商,VPN,解决方案,PPVPN,（,Provider Provisioned VPN,）中一种基于,PE,的,L3VPN,技术。它使用,BGP,在服务提供商骨干网上发布,VPN,路由，使用,MPLS,在服务提供商骨干网上转发,VPN,报文。,MPLS,三层,VPN,模型由三部分组成：,CE,、,PE,和,P,。,10.4.1 MPLS,三层,VPN,概述,BGP/MPLS,三层,VPN,模型,10.4,MPLS,三层,VPN,MPLS,三层,VPN,的概念及组成部分,MPLS,三层,VPN,是提供商,VPN,解决方案,PPVPN,（,Provider Provisioned VPN,）中一种基于,PE,的,L3VPN,技术。它使用,BGP,在服务提供商骨干网上发布,VPN,路由，使用,MPLS,在服务提供商骨干网上转发,VPN,报文。,MPLS,三层,VPN,模型由三部分组成：,CE,、,PE,和,P,。,10.4.2 MPLS,三层,VPN,中的基本概念,10.4,MPLS,三层,VPN,MPLS,三层,VPN,的路由发布过程,本地,CE,到入口,PE,的路由信息交换,入口,PE,到出口,PE,的路由信息交换,出口,PE,到远端,CE,的路由信息交换,BGP,的,AS,号替换,10.4.3 MPLS,三层,VPN,路由发布,10.4,MPLS,三层,VPN,在,MPLS,三层,VPN,骨干网中，,P,路由器并不知道,VPN,路由信息，,VPN,报文通过隧道在,PE,之间转发。,PE,之间可以使用的隧道类型包括,LSP,、,GRE,和,CR-LSP,。,10.4.4 MPLS,三层,VPN,报文转发,VPN,报文转发示意图,10.4,MPLS,三层,VPN,在,MPLS,三层,VPN,网络中，通过,VPN Target,属性来控制,VPN,路由信息在各,site,之间的发布和接收。,VPN Export Target,和,Import Target,的设置相互独立，并且都可以设置多个值，能够实现灵活的,VPN,访问控制，从而实现多种,VPN,组网方案。,10.4.5 MPLS,三层,VPN,访问控制,VPN,报文转发示意图,10.4,MPLS,三层,VPN,Intranet,组网方案,10.4.5 MPLS,三层,VPN,访问控制（续）,Intranet,组网方案,10.4,MPLS,三层,VPN,Hub&Spoke,组网方案,10.4.5 MPLS,三层,VPN,访问控制（续）,Hub&Spoke,组网方案,10.4,MPLS,三层,VPN,Extranet,组网方案,10.4.5 MPLS,三层,VPN,访问控制（续）,Extranet,组网方案,10.4,MPLS,三层,VPN,10.4.6 MPLS,三层,VPN,隧道,MPLS,三层,VPN,中常用的隧道,LSP,隧道,GRE,隧道,L2TP,隧道,MPLS TE,隧道,资源隔离,VPN,VPN,隧道绑定,资源隔离,VPN,与,VPN,隧道绑定的比较,10.4,MPLS,三层,VPN,10.4.7,跨域,VPN,OptionA,方式（,Inter-Provider Backbones Option A,）：需要跨域的,VPN,在,ASBR,间通过专用的接口管理自己的,VPN,路由，也称为,VRF-to-VRF,OptionB,方式（,Inter-Provider Backbones Option B,）：,ASBR,间通过,MP-EBGP,发布标签,VPN-IPv4,路由，也称为,EBGP Redistribution of labeled VPN-IPv4 routes,OptionC,方式（,Inter-Provider Backbones Option C,）：,PE,间通过,Multi-hop MP-EBGP,发布标签,VPN-IPv4,路由，也称为,Multihop,EBGP redistribution of labeled VPN-IPv4 routes,10.4,MPLS,三层,VPN,10.4.8 OSPF VPN,扩展,PE,上的,OSPF,多实例,Sham link,Multi-VPN-Instance CE,VPN,与,Internet,互联,10.4,MPLS,三层,VPN,10.4.9 OSPF VPN,扩展,VPN FRR,是在,CE,双归属的,VPN,网络环境中，当,PE,设备发生故障时使,VPN,业务快速收敛的技术,目录,10.1,10.2,IP VPN,技术原理,IPsec,技术原理,3,10.3,SSL,技术原理,MPLS,三层,VPN,10.4,MPLS,二层,VPN,10.5,10.5,MPLS,二层,VPN,10.5.1 MPLS,二层,VPN,概述,传统,VPN,MPLS,二层,10.5,MPLS,二层,VPN,10.5.2 MPLS,二层的基本概念,MPLS,二层基本模型,MPLS,二层标签栈处理,10.5,MPLS,二层,VPN,10.5.3 MPLS,二层的实现方式,CCC,方式,MPLS,二层,SVC,方式,MPLS,二层,Martini,方式,MPLS,二层,Kompella,方式,MPLS,二层,10.5,MPLS,二层,VPN,10.5.4 MPLS,二层异种介质互通,如果同一,L2VPN,两端,CE,链路类型不一致，就需要使用,L2VPN,异种介质互通特性,10.5,MPLS,二层,VPN,10.5.5 MPLS,二层的跨域,MPLS,二层的跨域问题与实现方式有关,