日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
VPN概述+VRF

VPN概述

1.什么是VPN:

VPN是虛擬專用網(wǎng)絡(luò)(Virtual Private Network,虛擬專用網(wǎng)絡(luò)),可以在公有網(wǎng)絡(luò)上構(gòu)建出虛擬專用網(wǎng)絡(luò),vpn用戶在虛擬專用網(wǎng)絡(luò)中傳遞私網(wǎng)流量,可以實(shí)現(xiàn)安全、可靠的連接

10年積累的成都做網(wǎng)站、網(wǎng)站設(shè)計(jì)經(jīng)驗(yàn),可以快速應(yīng)對(duì)客戶對(duì)網(wǎng)站的新想法和需求。提供各種問(wèn)題對(duì)應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識(shí)你,你也不認(rèn)識(shí)我。但先網(wǎng)站設(shè)計(jì)制作后付款的網(wǎng)站建設(shè)流程,更有門(mén)頭溝免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

其具有廉價(jià)、專用和虛擬等多種優(yōu)勢(shì),在現(xiàn)網(wǎng)中應(yīng)用非常廣泛。

VPN是一類(lèi)技術(shù)的統(tǒng)稱,不同的VPN技術(shù)擁有不同的特性和實(shí)現(xiàn)方式,常見(jiàn)的VPN技術(shù)包括IPSec VPN、GRE VPN、L2TP VPN、MPLS VPN等

VPN和傳統(tǒng)的數(shù)據(jù)專網(wǎng)相比具有如下優(yōu)勢(shì):

  • 安全:在遠(yuǎn)端用戶、駐外機(jī)構(gòu)、合作伙伴、供應(yīng)商與公司總部之間建立可靠的連接,保證數(shù)據(jù)傳輸?shù)陌踩?。這對(duì)于實(shí)現(xiàn)電子商務(wù)或金融網(wǎng)絡(luò)與通訊網(wǎng)絡(luò)的融合特別重要。
  • 廉價(jià):利用公共網(wǎng)絡(luò)進(jìn)行信息通訊,企業(yè)可以用更低的成本連接遠(yuǎn)程辦事機(jī)構(gòu)、出差人員和業(yè)務(wù)伙伴。
  • 支持移動(dòng)業(yè)務(wù):支持駐外VPN用戶在任何時(shí)間、任何地點(diǎn)的移動(dòng)接入,能夠滿足不斷增長(zhǎng)的移動(dòng)業(yè)務(wù)需求。
  • 可擴(kuò)展性:由于VPN為邏輯上的網(wǎng)絡(luò),物理網(wǎng)絡(luò)中增加或修改節(jié)點(diǎn),不影響VPN的部署。

?公共網(wǎng)絡(luò)又經(jīng)常被稱為VPN骨干網(wǎng)(VPN Backbone),公共網(wǎng)絡(luò)可以是Internet,也可以是企業(yè)自建專網(wǎng)或運(yùn)營(yíng)商租賃專網(wǎng)。

2.VPN分類(lèi):

(1)根據(jù)建筑單位的不同

A.租用運(yùn)營(yíng)商VPN專線搭建企業(yè)VPN網(wǎng)絡(luò):最常見(jiàn)的場(chǎng)景為租用運(yùn)營(yíng)商MPLS VPN專線。

B.自建企業(yè)VPN網(wǎng)絡(luò):常見(jiàn)的如IPSec VPN、L2TP VPN、SSL VPN等。

(2)組網(wǎng)方式不同

A.遠(yuǎn)程訪問(wèn)VPN(Remote Access VPN)

適用于出差員工VPN撥號(hào)接入的場(chǎng)景,員工可在任何能接入Internet的地方,通過(guò)VPN接入企業(yè)內(nèi)網(wǎng)資源。常見(jiàn)的有L2TP VPN、SSL VPN等。

B.局域網(wǎng)到局域網(wǎng)的VPN(Site-to-site VPN)

適用于公司兩個(gè)異地機(jī)構(gòu)的局域網(wǎng)互連。常見(jiàn)的有MPLS VPN、IPSec VPN等。

C.協(xié)議封裝傳遞

GRE VPN:可以在GRE VPV里封裝其它協(xié)議進(jìn)行點(diǎn)到點(diǎn)的傳遞,常見(jiàn)應(yīng)該到IPv4和IPv6的協(xié)議交互

(3)網(wǎng)絡(luò)層次進(jìn)行劃分(不同的VPN技術(shù)工作在TCP/IP參考模型那個(gè)層次當(dāng)中)

?工作在網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層的VPN又被稱為三層VPN和二層VPN。

3.VPN使用到哪些技術(shù)

(1)隧道(Tunnel)技術(shù):

用來(lái)進(jìn)行封裝和解封裝的作用

位于隧道兩端的VPN網(wǎng)關(guān),通過(guò)對(duì)原始報(bào)文的“封裝”和“解封裝”,建立一個(gè)點(diǎn)到點(diǎn)的虛擬通信隧道。

(2)身份認(rèn)證、數(shù)據(jù)加密以及驗(yàn)證

(在VPN中如何實(shí)現(xiàn)對(duì)于數(shù)據(jù)的安全傳輸)(列舉了一下不同的VPN用戶是否支持身份認(rèn)證以及數(shù)據(jù)加密)

VPN 用戶身份認(rèn)證 數(shù)據(jù)加密和驗(yàn)證 備注
GRE 不支持 支持簡(jiǎn)單的關(guān)鍵字驗(yàn)證、檢驗(yàn)和驗(yàn)證 可以結(jié)合IPSec使用,利用IPSec的數(shù)據(jù)加密和驗(yàn)證特性。
L2TP 支持基于PPP的CHAP、PAP、EAP認(rèn)證 不支持 可以結(jié)合IPSec使用,利用IPSec的數(shù)據(jù)加密和驗(yàn)證特性。
IPSec 支持 支持 支持預(yù)共享秘鑰驗(yàn)證或證書(shū)認(rèn)證;支持IKEv2的EAP認(rèn)證。
SSL 支持 支持 支持用戶名/密碼或證書(shū)認(rèn)證。
MPLS 不支持 不支持 一般運(yùn)行在專用的VPN骨干網(wǎng)絡(luò)。

IPsec VPN

IPSec概述

IPSec(IP Security) VPN一般部署在企業(yè)出口設(shè)備之間,通過(guò)加密與驗(yàn)證等方式,實(shí)現(xiàn)了數(shù)據(jù)來(lái)源驗(yàn)證、數(shù)據(jù)加密、數(shù)據(jù)完整性保證和抗重放等功能。

  • 數(shù)據(jù)來(lái)源驗(yàn)證:接收方驗(yàn)證發(fā)送方身份是否合法。
  • 數(shù)據(jù)加密:發(fā)送方對(duì)數(shù)據(jù)進(jìn)行加密,以密文的形式在Internet上傳送,接收方對(duì)接收的加密數(shù)據(jù)進(jìn)行解密后處理或直接轉(zhuǎn)發(fā)。
  • 數(shù)據(jù)完整性:接收方對(duì)接收的數(shù)據(jù)進(jìn)行驗(yàn)證,以判定報(bào)文是否被篡改。
  • 抗重放:接收方拒絕舊的或重復(fù)的數(shù)據(jù)包,防止惡意用戶通過(guò)重復(fù)發(fā)送捕獲到的數(shù)據(jù)包所進(jìn)行的攻擊。

IPSec協(xié)議體系

IPSec使用認(rèn)證頭AH(Authentication Header)和封裝安全載荷ESP(Encapsulating Security Payload)兩種安全協(xié)議來(lái)傳輸和封裝數(shù)據(jù),提供認(rèn)證或加密等安全服務(wù)。

  • ?AH和ESP協(xié)議提供的安全功能依賴于協(xié)議采用的驗(yàn)證、加密算法。
  • ?AH僅支持認(rèn)證功能,不支持加密功能。ESP支持認(rèn)證和加密功能。
  • ?安全協(xié)議提供認(rèn)證或加密等安全服務(wù)需要有秘鑰的存在。

秘鑰交換的方式有兩種:

  • 帶外共享密鑰:在發(fā)送、接收設(shè)備上手工配置靜態(tài)的加密、驗(yàn)證密鑰。雙方通過(guò)帶外共享的方式(例如通過(guò)電話或郵件方式)保證密鑰一致性。這種方式的缺點(diǎn)是可擴(kuò)展性差,在點(diǎn)到多點(diǎn)組網(wǎng)中配置密鑰的工作量成倍增加。另外,為提升網(wǎng)絡(luò)安全性需要周期性修改密鑰,這種方式下也很難實(shí)施。
  • 通過(guò)IKE協(xié)議自動(dòng)協(xié)商密鑰:IKE建立在Internet安全聯(lián)盟和密鑰管理協(xié)議ISAKMP定義的框架上,采用DH(Diffie-Hellman)算法在不安全的網(wǎng)絡(luò)上安全地分發(fā)密鑰。這種方式配置簡(jiǎn)單,可擴(kuò)展性好,特別是在大型動(dòng)態(tài)的網(wǎng)絡(luò)環(huán)境下此優(yōu)點(diǎn)更加突出。同時(shí),通信雙方通過(guò)交換密鑰交換材料來(lái)計(jì)算共享的密鑰,即使第三方截獲了雙方用于計(jì)算密鑰的所有交換數(shù)據(jù),也無(wú)法計(jì)算出真正的密鑰。

IPSec基本原理

IPSec隧道建立過(guò)程中需要協(xié)商IPSec SA(Security Association,安全聯(lián)盟),IPSec SA一般通過(guò)IKE協(xié)商生成。

SA由一個(gè)三元組來(lái)唯一標(biāo)識(shí),這個(gè)三元組包括安全參數(shù)索引SPI(Security Parameter Index)、目的IP地址和使用的安全協(xié)議號(hào)(AH或ESP)。其中,SPI是為唯一標(biāo)識(shí)SA而生成的一個(gè)32位比特的數(shù)值,它在AH和ESP頭中傳輸。在手工配置SA時(shí),需要手工指定SPI的取值。使用IKE協(xié)商產(chǎn)生SA時(shí),SPI將隨機(jī)生成。

SA是單向的邏輯連接,因此兩個(gè)IPSec對(duì)等體之間的雙向通信,最少需要建立兩個(gè)SA來(lái)分別對(duì)兩個(gè)方向的數(shù)據(jù)流進(jìn)行安全保護(hù)。

IKE作為秘鑰協(xié)商協(xié)議,存在兩個(gè)版本:IKEv1和IKEv2,本課程采用IKEv1為例進(jìn)行介紹,IKEv2內(nèi)容可參考產(chǎn)品文檔對(duì)應(yīng)內(nèi)容。

  • IKEv1協(xié)商階段1的目的是建立IKE SA。IKE SA建立后對(duì)等體間的所有ISAKMP消息都將通過(guò)加密和驗(yàn)證,這條安全通道可以保證IKEv1第二階段的協(xié)商能夠安全進(jìn)行。IKE SA是一個(gè)雙向的邏輯連接,兩個(gè)IPSec對(duì)等體間只建立一個(gè)IKE SA。
  • IKEv1協(xié)商階段2的目的就是建立用來(lái)安全傳輸數(shù)據(jù)的IPSec SA,并為數(shù)據(jù)傳輸衍生出密鑰。該階段使用IKEv1協(xié)商階段1中生成的密鑰對(duì)ISAKMP消息的完整性和身份進(jìn)行驗(yàn)證,并對(duì)ISAKMP消息進(jìn)行加密,故保證了交換的安全性。

?IKE協(xié)商成功意味著雙向的IPSec隧道已經(jīng)建立,可以通過(guò)ACL方式或者安全框架方式定義IPSec“感興趣流”,符合感興趣流流量特征的數(shù)據(jù)都將被送入IPSec隧道進(jìn)行處理。

?感興趣流:需要被IPSec保護(hù)的數(shù)據(jù)流。

GRE VPN

GRE概述

通用路由封裝協(xié)議(General Routing Encapsulation,GRE)是一種三層VPN封裝技術(shù)。GRE可以對(duì)某些網(wǎng)絡(luò)層協(xié)議(如IPX、IPv4、IPv6等)的報(bào)文進(jìn)行封裝,使封裝后的報(bào)文能夠在另一種網(wǎng)絡(luò)中(如IPv4)傳輸,從而解決了跨越異種網(wǎng)絡(luò)的報(bào)文傳輸問(wèn)題

  • 通過(guò)在IPv4網(wǎng)絡(luò)上建立GRE隧道,可以使源點(diǎn)的IPv6網(wǎng)絡(luò)與目的點(diǎn)的IPv6網(wǎng)絡(luò)進(jìn)行通信。
  • GRE還具備封裝組播報(bào)文的能力。由于動(dòng)態(tài)路由協(xié)議中會(huì)使用組播報(bào)文,因此更多時(shí)候GRE會(huì)在需要傳遞組播路由數(shù)據(jù)的場(chǎng)景中被用到,這也是GRE被稱為通用路由封裝協(xié)議的原因。

GRE基本原理

GRE構(gòu)成要素分為3個(gè)部分:乘客協(xié)議、封裝協(xié)議和運(yùn)輸協(xié)議。

  • 乘客協(xié)議是指用戶在傳輸數(shù)據(jù)時(shí)所使用的原始網(wǎng)絡(luò)協(xié)議。
  • 封裝協(xié)議的作用就是用來(lái)“包裝”乘客協(xié)議對(duì)應(yīng)的報(bào)文,使原始報(bào)文能夠在新的網(wǎng)絡(luò)中傳輸。
  • 運(yùn)輸協(xié)議是指被封裝以后的報(bào)文在新網(wǎng)絡(luò)中傳輸時(shí)所使用的網(wǎng)絡(luò)協(xié)議

隧道接口(Tunnel Interface)是為實(shí)現(xiàn)報(bào)文的封裝而提供的一種點(diǎn)對(duì)點(diǎn)類(lèi)型的虛擬接口,與Loopback接口類(lèi)似,都是一種邏輯接口。

如圖所示,乘客協(xié)議為IPv6,封裝協(xié)議為GRE,運(yùn)輸協(xié)議為IPv4。整體轉(zhuǎn)發(fā)流程如下:

  1. 當(dāng)R1收到IP1發(fā)來(lái)的IPv6數(shù)據(jù)包,查詢?cè)O(shè)備路由表,發(fā)現(xiàn)出接口是隧道接口,則將此報(bào)文發(fā)給隧道接口處理。
  2. 隧道接口給原始報(bào)文添加GRE頭部,然后根據(jù)配置信息,給報(bào)文加上IP頭。該IP頭的源地址就是隧道源地址,IP頭的目的地址就是隧道目的地址。
  3. 封裝后的報(bào)文在IPv4網(wǎng)絡(luò)中進(jìn)行普通的IPv4路由轉(zhuǎn)發(fā),最終到達(dá)目的地R2。
  4. 解封裝過(guò)程和封裝過(guò)程相反

GRE Over IPSec

  • GRE的主要缺點(diǎn)是不支持加密和認(rèn)證,數(shù)據(jù)的安全傳輸?shù)貌坏胶芎玫谋U稀?/li>
  • IPSec的主要缺點(diǎn)是只支持IP協(xié)議,且不支持組播。
  • 可通過(guò)部署GRE Over IPSec結(jié)合兩種VPN技術(shù)的優(yōu)點(diǎn)。

L2TP VPN

概述

?L2TP是虛擬私有撥號(hào)網(wǎng)VPDN(Virtual Private Dial-up Network)隧道協(xié)議的一種,它擴(kuò)展了點(diǎn)到點(diǎn)協(xié)議PPP的應(yīng)用,是一種在遠(yuǎn)程辦公場(chǎng)景中為出差員工或企業(yè)分支遠(yuǎn)程訪問(wèn)企業(yè)內(nèi)網(wǎng)資源提供接入服務(wù)的VPN。

?L2TP組網(wǎng)架構(gòu)中包括LAC(L2TP Access Concentrator,L2TP訪問(wèn)集中器)和LNS(L2TP Network Server,L2TP網(wǎng)絡(luò)服務(wù)器)

L2TP消息

L2TP協(xié)議包含兩種類(lèi)型的消息,控制消息和數(shù)據(jù)消息,消息的傳輸在LAC和LNS之間進(jìn)行。

?控制消息用于L2TP隧道和會(huì)話連接的建立、維護(hù)和拆除。

?數(shù)據(jù)消息用于封裝PPP數(shù)據(jù)幀并在隧道上傳輸。

控制消息

  • 用于L2TP隧道和會(huì)話連接的建立、維護(hù)和拆除。在控制消息的傳輸過(guò)程中,使用消息丟失重傳和定時(shí)檢測(cè)隧道連通性等機(jī)制來(lái)保證控制消息傳輸?shù)目煽啃裕С謱?duì)控制消息的流量控制和擁塞控制。
  • 控制消息承載在L2TP控制通道上,控制通道實(shí)現(xiàn)了控制消息的可靠傳輸,將控制消息封裝在L2TP報(bào)頭內(nèi),再經(jīng)過(guò)IP網(wǎng)絡(luò)傳輸。

數(shù)據(jù)消息

  • 用于封裝PPP數(shù)據(jù)幀并在隧道上傳輸。數(shù)據(jù)消息是不可靠的傳輸,不重傳丟失的數(shù)據(jù)報(bào)文,不支持對(duì)數(shù)據(jù)消息的流量控制和擁塞控制。
  • 數(shù)據(jù)消息攜帶PPP幀承載在不可靠的數(shù)據(jù)通道上,對(duì)PPP幀進(jìn)行L2TP封裝,再經(jīng)過(guò)IP網(wǎng)絡(luò)傳輸。

L2TP工作過(guò)程

L2TP主要可分為以下三種工作場(chǎng)景,其工作過(guò)程并不相同:

  • NAS-Initiated場(chǎng)景:撥號(hào)用戶通過(guò)NAS訪問(wèn)企業(yè)內(nèi)網(wǎng)
  • Client-Initiated場(chǎng)景:移動(dòng)辦公用戶訪問(wèn)企業(yè)內(nèi)網(wǎng)
  • Call-LNS場(chǎng)景:通過(guò)LAC自主撥號(hào)實(shí)現(xiàn)企業(yè)內(nèi)網(wǎng)互連

1、NAS-Initiated場(chǎng)景

由遠(yuǎn)程撥號(hào)用戶發(fā)起,遠(yuǎn)程系統(tǒng)通過(guò)PSTN/ISDN撥入LAC,由LAC通過(guò)Internet向LNS發(fā)起建立隧道連接請(qǐng)求。撥號(hào)用戶地址由LNS分配;對(duì)遠(yuǎn)程撥號(hào)用戶的驗(yàn)證與計(jì)費(fèi)既可由LAC側(cè)的代理完成,也可在LNS完成。

  • 用戶必須采用PPP的方式接入到Internet,也可以是PPPoE等協(xié)議。
  • 運(yùn)營(yíng)商的接入設(shè)備(主要是BAS設(shè)備)需要開(kāi)通相應(yīng)的VPN服務(wù)。用戶需要到運(yùn)營(yíng)商處申請(qǐng)?jiān)摌I(yè)務(wù)。
  • L2TP隧道兩端分別駐留在LAC側(cè)和LNS側(cè),且一個(gè)L2TP隧道可以承載多個(gè)會(huì)話。

2、Client-Initialized場(chǎng)景

直接由LAC客戶(指可在本地支持L2TP協(xié)議的用戶)發(fā)起??蛻粜枰繪NS的IP地址。LAC客戶可直接向LNS發(fā)起隧道連接請(qǐng)求,無(wú)需再經(jīng)過(guò)一個(gè)單獨(dú)的LAC設(shè)備。在LNS設(shè)備上收到了LAC客戶的請(qǐng)求之后,根據(jù)用戶名、密碼進(jìn)行驗(yàn)證,并且給LAC客戶分配私有IP地址。

  • 用戶需要安裝L2TP的拔號(hào)軟件。部分操作系統(tǒng)自帶L2TP客戶端軟件。
  • 用戶上網(wǎng)的方式和地點(diǎn)沒(méi)有限制,不需ISP介入。
  • L2TP隧道兩端分別駐留在用戶側(cè)和LNS側(cè),一個(gè)L2TP隧道承載一個(gè)L2TP會(huì)話。

該場(chǎng)景建立過(guò)程如下:

  • 1.移動(dòng)辦公用戶與LNS建立L2TP隧道。
  • 2.移動(dòng)辦公用戶與LNS建立L2TP會(huì)話:移動(dòng)辦公用戶在第3步會(huì)與LNS間建立PPP連接,L2TP會(huì)話用來(lái)記錄和管理它們之間的PPP連接狀態(tài)。因此,在建立PPP連接以前,隧道雙方需要為PPP連接預(yù)先協(xié)商出一個(gè)L2TP會(huì)話。會(huì)話中攜帶了移動(dòng)辦公用戶的LCP協(xié)商信息和用戶認(rèn)證信息,LNS對(duì)收到的信息認(rèn)證通過(guò)后,通知移動(dòng)辦公用戶會(huì)話建立成功。L2TP會(huì)話連接由會(huì)話ID進(jìn)行標(biāo)識(shí)。
  • 3.移動(dòng)辦公用戶與LNS建立PPP連接。移動(dòng)辦公用戶通過(guò)與LNS建立PPP連接獲取LNS分配的企業(yè)內(nèi)網(wǎng)IP地址。
  • 4.移動(dòng)辦公用戶發(fā)送業(yè)務(wù)報(bào)文訪問(wèn)企業(yè)總部服務(wù)器。

?Call-LNS場(chǎng)景:L2TP除了可以為出差員工提供遠(yuǎn)程接入服務(wù)以外,還可以進(jìn)行企業(yè)分支與總部的內(nèi)網(wǎng)互聯(lián),實(shí)現(xiàn)分支用戶與總部用戶的互訪。一般是由分支路由器充當(dāng)LAC與LNS建立L2TP隧道,這樣就可實(shí)現(xiàn)分支與總部網(wǎng)絡(luò)之間的數(shù)據(jù)通過(guò)L2TP隧道互通。

L2TP Over IPSec

企業(yè)出差用戶和總部通信,使用L2TP功能建立VPN連接,總部部署為L(zhǎng)NS對(duì)接入的用戶進(jìn)行認(rèn)證。當(dāng)出差用戶需要向總部傳輸高機(jī)密信息時(shí),L2TP無(wú)法為報(bào)文傳輸提供足夠的保護(hù),這時(shí)可以和IPSec功能結(jié)合使用,保護(hù)傳輸?shù)臄?shù)據(jù)。在出差用戶的PC終端上運(yùn)行撥號(hào)軟件,將數(shù)據(jù)報(bào)文先進(jìn)行L2TP封裝,再進(jìn)行IPSec封裝,發(fā)往總部。在總部網(wǎng)關(guān),部署IPSec策略,最終還原數(shù)據(jù)。這種方式IPSec功能會(huì)對(duì)所有源地址為L(zhǎng)AC、目的地址為L(zhǎng)NS的報(bào)文進(jìn)行保護(hù)。

MPLS VPN概述

MPLS是一種利用標(biāo)簽(Label)進(jìn)行轉(zhuǎn)發(fā)的技術(shù),最初為了提高IP報(bào)文轉(zhuǎn)發(fā)速率而被提出,現(xiàn)主要應(yīng)用于VPN和流量工程、QoS等場(chǎng)景。

根據(jù)部署的不同,MPLS VPN可分為MPLS L2 VPN或者M(jìn)PLS L3 VPN。

企業(yè)可以自建MPLS專網(wǎng)也可以通過(guò)租用運(yùn)營(yíng)商MPLS專網(wǎng)的方式獲得MPLS VPN接入服務(wù)。

MPLS VPN網(wǎng)絡(luò)一般由運(yùn)營(yíng)商搭建,VPN用戶購(gòu)買(mǎi)VPN服務(wù)來(lái)實(shí)現(xiàn)用戶網(wǎng)絡(luò)之間(圖中的分公司和總公司)的路由傳遞、數(shù)據(jù)互通等。

基本的MPLS VPN網(wǎng)絡(luò)架構(gòu)由CE(Customer Edge)、PE(Provider Edge)和P(Provider)三部分組成:

  • CE:用戶網(wǎng)絡(luò)邊緣設(shè)備,有接口直接與運(yùn)營(yíng)商網(wǎng)絡(luò)相連。CE可以是路由器或交換機(jī),也可以是一臺(tái)主機(jī)。通常情況下,CE“感知”不到VPN的存在,也不需要支持MPLS。
  • PE:運(yùn)營(yíng)商邊緣路由器,是運(yùn)營(yíng)商網(wǎng)絡(luò)的邊緣設(shè)備,與CE直接相連。在MPLS網(wǎng)絡(luò)中,對(duì)VPN的所有處理都發(fā)生在PE上,對(duì)PE性能要求較高。
  • P:運(yùn)營(yíng)商網(wǎng)絡(luò)中的骨干路由器,不與CE直接相連。P設(shè)備只需要具備基本MPLS轉(zhuǎn)發(fā)能力,不維護(hù)VPN相關(guān)信息。

更多MPLS及MPLS VPN的相關(guān)內(nèi)容,參考HCIP-Datacom-Advance相應(yīng)課程。

總結(jié)

VPN技術(shù)擁有安全、廉價(jià)、支持移動(dòng)業(yè)務(wù)、靈活等一系列優(yōu)勢(shì),已經(jīng)成為現(xiàn)網(wǎng)中部署最為廣泛的一類(lèi)技術(shù)。

常見(jiàn)VPN技術(shù):

  • IPSec VPN:是一系列為IP網(wǎng)絡(luò)提供安全性的協(xié)議和服務(wù)的集合,為IP網(wǎng)絡(luò)提供安全的傳輸。
  • GRE VPN:提供了將一種協(xié)議的報(bào)文封裝在另一種協(xié)議報(bào)文中的機(jī)制,解決異種網(wǎng)絡(luò)的傳輸問(wèn)題。
  • L2TP VPN:是一種能夠提供移動(dòng)用戶遠(yuǎn)程接入服務(wù)的二層VPN技術(shù)。
  • MPLS VPN:一種通過(guò)標(biāo)簽交換技術(shù),實(shí)現(xiàn)站點(diǎn)與站點(diǎn)之間互聯(lián)的VPN技術(shù)。

------------------------------------------------------------------------------------------------------------

VRF技術(shù)

VRF(Virtual Routing and Rorwarding,虛擬路由轉(zhuǎn)發(fā))技術(shù)通過(guò)在一臺(tái)三層轉(zhuǎn)發(fā)設(shè)備上創(chuàng)建多張路由表實(shí)現(xiàn)數(shù)據(jù)或業(yè)務(wù)的隔離,常用于MPLS VPN、防火墻等一些需要實(shí)現(xiàn)隔離的應(yīng)用場(chǎng)景。

網(wǎng)絡(luò)需求案例

某企業(yè)網(wǎng)絡(luò)內(nèi)有生產(chǎn)和管理兩張網(wǎng)絡(luò),這兩張網(wǎng)絡(luò)獨(dú)占接入和匯聚層交換機(jī),共享核心交換機(jī)。

核心交換機(jī)上同時(shí)連接了生產(chǎn)網(wǎng)絡(luò)和管理網(wǎng)絡(luò)的服務(wù)器群,兩個(gè)網(wǎng)段均為192.168.100.0/24網(wǎng)段。

需求:實(shí)現(xiàn)生產(chǎn)和管理網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)通信,同時(shí)隔離兩張網(wǎng)絡(luò)之間的通信。

方法一

在核心交換機(jī)部署ACL,禁止生產(chǎn)和管理網(wǎng)絡(luò)之間的互訪流量。

缺陷:

配置繁瑣,拓展性差。

無(wú)法解決兩張網(wǎng)絡(luò)使用重疊網(wǎng)段的問(wèn)題,需要在部署時(shí)規(guī)避重疊網(wǎng)段。

方法二

增加核心交換機(jī),從物理上隔離兩張網(wǎng)絡(luò)。

缺陷:增加額外的設(shè)備成本投入。

方法三

通過(guò)VRF技術(shù)實(shí)現(xiàn)

?在物理設(shè)備上創(chuàng)建多個(gè)VPN實(shí)例,每個(gè)VPN實(shí)例擁有獨(dú)立的接口、路由表和路由協(xié)議進(jìn)程等。

VRF的實(shí)現(xiàn)過(guò)程

?VRF是對(duì)物理設(shè)備的一個(gè)邏輯劃分,每個(gè)邏輯單元都被稱為一個(gè)VPN實(shí)例,實(shí)例之間在路由層面是隔離的。VRF實(shí)現(xiàn)過(guò)程如下:

1.創(chuàng)建實(shí)例,并將三層接口(可以是路由器的物理接口或者子接口,也可以是VLANIF接口)綁定到實(shí)例;

2.(可選)配置與實(shí)例綁定的路由協(xié)議或靜態(tài)路由;

3.基于與實(shí)例綁定的接口和路由協(xié)議等建立實(shí)例路由表并基于實(shí)例路由表轉(zhuǎn)發(fā)數(shù)據(jù),實(shí)現(xiàn)實(shí)例間隔離。

常見(jiàn)應(yīng)用場(chǎng)景

防火墻虛擬系統(tǒng)

虛擬系統(tǒng)(Virtual System)是在一臺(tái)物理設(shè)備上劃分出的多臺(tái)相互獨(dú)立的邏輯設(shè)備。虛擬系統(tǒng)主要具有以下特點(diǎn):

  • 資源虛擬化:每個(gè)虛擬系統(tǒng)都有獨(dú)享的資源,包括接口、VLAN、策略和會(huì)話等。
  • 路由虛擬化:每個(gè)虛擬系統(tǒng)都擁有各自的路由表,相互獨(dú)立隔離。

其中路由虛擬化依靠創(chuàng)建VPN實(shí)例來(lái)實(shí)現(xiàn)

BGP/MPLS IP VPN

BGP/MPLS IP VPN是一種基于PE的L3VPN技術(shù)。它使用BGP在服務(wù)提供商骨干網(wǎng)上發(fā)布VPN路由,使用MPLS在服務(wù)提供商骨干網(wǎng)上轉(zhuǎn)發(fā)VPN報(bào)文。

通過(guò)創(chuàng)建VPN實(shí)例的方式在PE上區(qū)別不同VPN的路由。

總結(jié)

?VRF技術(shù)實(shí)現(xiàn)了同一物理設(shè)備上不同網(wǎng)絡(luò)之間的邏輯隔離,當(dāng)在物理設(shè)備上部署多個(gè)VRF實(shí)例時(shí),每一個(gè)VRF實(shí)例就相當(dāng)于一個(gè)虛擬的網(wǎng)絡(luò)設(shè)備。VRF實(shí)例之間的接口和路由天然隔離,當(dāng)同一個(gè)物理設(shè)備連接到多個(gè)相同的網(wǎng)段時(shí),也不用擔(dān)心IP地址沖突的問(wèn)題。

?VRF技術(shù)廣泛應(yīng)用在防火墻虛擬系統(tǒng)、BGP/MPLS IP VPN等多個(gè)場(chǎng)景中。


名稱欄目:VPN概述+VRF
文章來(lái)源:http://www.dlmjj.cn/article/dpidecj.html