网络常识 [复制链接]

octopus

军衔等级：

上尉

发表于 2005-3-31 14:45:00 |显示全部楼层

随着企业网应用的不断发展，企业网的范围也不断扩大，从一个本地网络发展到跨地区跨城市甚至是跨国家的网络。与此同时随着互联网络的迅猛发展，Internet已经遍布世界各地，从物理上讲Internet把世界各地的资源相互连通。正因为Internet是对全世界开放的，如果企业的信息要通过Internet进行传输，在安全性上可能存在着很多问题。但如果采用专用线路构建企业专网，往往需要租用昂贵的跨地区数据专线。如何能够利用现有的Internet来建立企业的安全的专有网络呢？虚拟专用网（VPN）技术就成为一个很好的解决方案。虚拟专用网（VPN）是指在公共网络中建立专用网络，数据通过安全的"加密通道"在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的Internet，各地的机构就可以互相传递信息；同时，企业还可以利用Internet的拨号接入设备，让自己的用户拨号到Internet上，就可以连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等优点，将会成为今后企业网络发展的趋势。

      VPN服务
   虚拟私有网络 VPN (Virtual Private Network) 出现于 Internet 盛行的今天,它使企业网络几乎可以无限延伸到地球的每个角落,从而以安全、低廉的网络互联模式为包罗万象的应用服务提供了发展的舞台。利用 Internet 来开展电子商务活动，最重要的问题是信息安全问题。而 VPN 技术的应用为解决信息安全问题提供了一条有效途径。

DDN 互连

连接各地分支机构，形成 Intranet 内部专用网，共享内部网资源，提供内部邮件，进行数据通信，图像传输，实现虚拟专用网 (VPN)功能，并且，接入和互连能同时实现。



VPN运作方式概述


  在MPLS_VPN中，服务供应商业为每个VPN分配一个独有的标识符，称为路由区分符（RD），在服务供应商网络中每一个Intranet或Extranet的区分符都不同。转发表包含独有的地址、称为VPN-IP地址，由RD和用户的IP地址构成。VPN_IP地址是网络中每一个端点所独有的，条目存储在VPN中每一个节点的转发表中。
BGP是一个路由选择分配协议，它定义谁可以与使用多协议分支（multiprotocol_extensions）和群体属性（Community_attributes）的人对话。在MPLS的VPN中，BGP只向同一个VPN中的成员发布有关VPN的信息，通过业务分离来提供本机安全性。由于所有的业务都使用LSP进行传输，从而确保了额外的安全性。LSP定义了一个特定的通道穿过网络，这个通道是不可更改的。这种基于标记的模式保证了帧中继和ATM连接中的私密性。

当提供VPN时，服务供应商而非客户将特定的VPN与每一个接口连接。在服务供应商网络中，RD与每个数据包连接，这样，VPN就不会被非法者渗透"偷窃"数据流或数据包。用户只要位于正确的物理端口上，有相应的RD就可以加入Intranet或Extranet中。这种设置使Cisco的MPLS_VPN基本上不可能被突破，因而可提供人们在帧中继、租赁线路或ATM业务中所习惯的相同级别的安全性。

VPN_IP转发表包含与VPN_IP地址上对应的标记，这些标记将应用业务路由到VPN中的每一个站点。由于使用标记而不是IP地址，因些，用户可以在企业Internet中保留他们的专用编址方案，而不需要进行网络地址转换（NAT）。每一个VPN应用在逻辑上都拥有区分的转发表，以在VPN之间分离业务。根据呼入的接口，交换机选择一个特定的转发表，由于有BGP，这个表只列出VPN中的有效的目的地。若要建立一个Extranet,服务供应商则需要在VPN之间清晰地配置延及的范围（可能需要NAT配置）

工作流程

(1)用户端的路由器(CE)首先通过静态路由或BGP将用户网络中的路由信息通知提供商路由器(PE)，同时在PE之间采用BGP的Extension传送VPN-IP的信息以及相应的标记(VPN的标记，以下简称为内层标记)，而在PE与P路由器之间则采用传统的IGP协议相互学习路由信息，采用LDP协议进行路由信息与标记(骨干网络中的标记，以下称为外层标记)的梆定。到此时，CE，PE以及P路由器中基本的网络拓扑以及路由信息已经形成。PE路由器拥有了骨干网络的路由信息以及每一个VPN的路由信息。
(2)当属于某一VPN的CE用户数据进入网络时，在CE与PE连接的接口上可以识别出该CE属于那一个VPN，进而到该VPN的路由表中去读取下一跳的地址信息，同时，在前传的数据包中打上VPN标记(内层标记)。这时得到的下一跳地址为与该PE作Peer的PE的地址，为了达到这个目的端的PE，此时在起始端PE中需读取骨干网络的路由信息，从而得到下一个P路由器的地址，同时采用LDP在用户前传数据包中打上骨干网络中的标记(外层标记)。
(3)在骨干网络中，初始PE之后的P均只读取外层标记的信息来决定下一跳，因此骨干网络中只是简单的标记交换。
(3)在达到目的端PE之前的最后一个P路由器时，将外层标记去掉，读取内层标记，找到VPN，并送到相关的接口上，进而将数据传送到VPN的目的地址处。
VPN技术术语

www.passcisco.com 2002-4-30 天涯网路

VPN技术术语

服务商网络(Provider_Network)：简称P网，由服务商管理控制的VPN的骨干网络。

用户网络(Customer_Network)：简称C网，由用户管理控制的网络。

用户边沿路由器(CE路由器)：用户网络中用来接入服务商骨干网的路由器。

站点(SITE)：C网中直接互联的部分子网的集合。一个站点可通过一条或多条PE/CE链路接入VPN骨干网。

服务商边沿路由器(PE路由器)：P网中连接CE路由器的路由器。

服务商核心路由器(P路由器)：P网中的骨干路由器，对VPN的信息透明，即P路由器内部没有VPN的信息。

扩展团体属性(EXTENDED_COMMUNITY)：用来识别路由起始、路由目标的BGP的属性。路由目标(ROUTE_TARGET)简称RT，BGP的扩展团体属性的一种，用于帮助路由器判断是否接受与路由目标属性相关的路由信息。

路由区别符(ROUTE_DISTINGUISHET）：简称RD，这个标识符在服务提供商的网络中是独一无二的。VPN路由信息的维护在P网内部通过MP_BGP（MULGIPROTOCOL_BGP）完成，由于不同的VPN可能使用重复的地址块，传统BGP不能处理这种NLRI属性重合的情况，因此设计了RD。RD基于VPN，但VPN中的成员可以不必使用相同的RD，只须VPN_IP地址在整个P网的VPN范围唯一。推荐按VPN的各个VRF使用同样的RD配置。

VPN_IPV4地址：转发表中包括一个独一无二的地址，叫作VPN_IPV4地址，是由RD和用户的IP地址连接形成。

VPN路由和转发表（VPN_Routing_Forwarding_Table）：简称VRF，在PE路由器上，为每个PE直接相连的VPN生成一份路由与转发表。每个VRF仅存有所隶VPN的路由信息。

MPLSVPN连接模式

一个VPN是一些站点的集合，这些站点共享相同的路由信息，或认为共享相同的路由表。

一个站点可以属于多个VPN。一个VPN应被视为一个有共同利益的团体。当一个站点属于多个VPN时，这个站点可以选择是否被当成不同VPN之间的过渡站点。如果两个或两个以上的VPN有共同的站点，IP地址在这些VPN中必须唯一。

VPN的骨干网由MPLS_LSR构成。PE路由器即为边缘LSR，P路由器即为核心LSR。PE路由器通过MP_BGP将VPN的信息分发到其它的PE路由器，P路由器并不参与VPN信息的维护。与VPN相关的信息主要有VPN_IPV4地址、扩展团体属性、VRF标记等。P路由器一般不启动BGP，也没有任何VPN的信息。
PE路由器在P网内部运行MPLS，与CE路由器运行普通IP。P路由器和PE路由器运行共同的IGP。PE路由器之间为MP_iBGP完全网状逻辑连接，即每个PE路由器都需与其它所有的PE路由器建立MP_iBGP逻辑会话。PE与CE路由器之间可选择运行以下路由协议交换路由信息：EBGP、OSPF、RIPV2、静态路由。CE路由器安装常规路由App，不需支撑MP_BGP或MPLS。

PE路由器维护多个独立的路由表，包括，
全局路由表：由所有的PE路由器和P路由器持有，通过VPN骨干网的IGP，如ISIS或OSPF，来生成。

一个或多个VRF：VRF与端口关联，端口可以是物理端口或逻辑子端口和虚拟通道的端口。
VRF与一个或多个直接连接的站点相关。如果不同的站点共享同样的路由信息，它们可以共享同一个VRF。连接那些站点的端口将关联同样的VRF。
属于同一VPN的所有站点使用的VRF内容相同。PE路由器把从直接相连的CE路由器学来的路由加入相应的VRF中。PE路由器通过骨干网IGP学习的路由被加入全局路由表中。通过使用独立的VRF，IP地址可以在不同的VPN中被重复使用。

全局路由表由IGP维护。PE路由器可能与其它自治域运行标准BGP_4协议。BGP-4IPV4路由进入全局路由表。MP_BGPVPN_IPV4路由进入相应VRF。

MP_BGP的更新中的信息：
VPN_IPV4地址；扩展团体属性RT；其它的标准BGP属性有本地优先权，MED，下一跳地址，AS路径，标准团体属性等；
标记，用于标识某个PE路由器上的出端口或某个VRF，也称为外部标记(另有内部标记用于在MPLS的核心中传递数据包)。内部标记只能由MP_iBGP更新中的下一跳地址属性指定的PE路由器分配。PE路由器通常在MPiBGP的会话中向其它PE路由器宣称的下一跳地址属性为自己的Loopback端口。PE路由器的Loopback使用的IP地址必须在P网内唯一。

PE路由器将其转换为VPN_IPV4；根据配置加入RT属性；将下一跳修改为自己的Loopback端口；基于VRF或端口分配外部标记，通过MP_iBGP广播给所有的对等PE路由器。
对等PE路由器收到MP_iBGP路由更新消息后，进行其所带的RT与本地路由器上各个VRF中定义的输入RT的匹配，从而将路由插入到相匹配的一个或多个VRF中。VRF中可设定多组输入/输出RT对，以匹配多个MP_iBGP更新，接收多个VPN的路由信息。

VPN安全协议概览

www.passcisco.com 2002-4-30 天涯网路

VPN安全协议概览

　　PPTP－Point to Point Tunnel Protocal　　点对点隧道协议

　　　这是一个最流行的Internet协议，它提供PPTP客户机与PPTP服务器之间的加密通信，它允许企业使用专用的"隧道"，通过公共Internet来扩展企业的网络。通过Internet的数据通信，需要对数据流进行封装和加密，PPTP就可以实现这两个功能，从而可以通过Internet实现多功能通信。这就是说，通过PPTP的封装或"隧道"服务，使非IP网络可以获得进行Internet通信的优点。但是PPTP会话不可通过代理器进行，PPTP是微软和其它厂家支撑的标准，它是PPTP协议的扩展，它可以通过Internet建立多协议VPN。

　　　L2TP－Layer2 Tunneling Protocol　　第二层隧道协议

　　　除Microsft外，另有一些厂家也做了许多开发工作，PPTP能支撑Macintosh和Unix，Cisco的L2F（Layer2 Forwarding）就是又一个隧道协议。Microsoft、Cisco和其它一些网络厂商正一起努力使L2F与PPTP融合，产生一个新的L2TP协议。PPTP和L2TP十分相似，因为L2TP有一部分就是采用PPTP协议，两个协议都允许客户通过其间的网络建立隧道，L2TP正在由包括微软在内的几家厂商开发。L2TP还支撑信道认证，但它没有规定信道保护的方法。　

　　IPSEC-Internet Portocol Security　　因特网协议安全性

　　　该协议正在IETF（因特网工程任务组）的引导下开发。开发这个协议的目的是要解决当前协议中存在的一些缺点，这个标准开发完成最快也要在一年以后。微软承诺支撑L2TP和IPSEC。IPSEC是由IETFIP安全性工作组定义的协议集，它用于确保网络层之间的安全通信。该协议草案建议使用IPSEC协议集保护IP网和非IP网上的L2TP业务，以及如何将IPSEC和L2FP一起使用，但它并未试图将端对端的安全性标准化。

　　　SOCKs

　　　SOCKs是一个网络连接的代理协议，它使SOCKs一端的主机完全访问SOCKs；而另一端的主机不要求IP直接可达。SOCKs能将连接请求进行鉴别和授权，并建立代理连接和传送数据。SOCKs通常用作网络防火墙，它使SOCKs后面的主机能通过Internet取得完全的访问权，而避免了通过Internet对内部主机进行未授权访问。目前，有SOCKsV4和SOCKsV5二个版本，SOCKsV5可以处理UDP，而SOCKsV4则不能。

  虚拟专用线网

您可以利用联通的宽带数据网交换平台，将不在同一地理区域的局域网终端组织在

一起，构成一个安全可靠的虚拟专用网络，并具有独立的网络管理，这将使您获得

局域网一般的使用感受。联通VPN业务利用最先进的通信技术，为您提供投资小、

风险低、可靠性高、扩展灵活的服务。

举报本楼

返回列表

手机版|C114 ( 沪ICP备12002291号-1 )|联系大家 |网站地图

GMT+8, 2024-9-21 22:39 , Processed in 0.216197 second(s), 15 queries , Gzip On.

Discuz Licensed

回顶部

XML 地图 | Sitemap 地图

		自动登录	找回密码
密码			注册