C114门户论坛百科APPEN| 举报 切换到宽版

亚星游戏官网

 找回密码
 注册

只需一步,快速开始

短信验证,便捷登录

搜索
查看: 3274|回复: 0

网络常识 [复制链接]

军衔等级:

亚星游戏官网-yaxin222  上尉

注册:2005-3-231
发表于 2005-3-31 14:45:00 |显示全部楼层
随着企业网应用的不断发展,企业网的范围也不断扩大,从一个本地网络发展到跨地区跨城市甚至是跨国家的网络。与此同时随着互联网络的迅猛发展,Internet已经遍布世界各地,从物理上讲Internet把世界各地的资源相互连通。正因为Internet是对全世界开放的,如果企业的信息要通过Internet进行传输,在安全性上可能存在着很多问题。但如果采用专用线路构建企业专网,往往需要租用昂贵的跨地区数据专线。如何能够利用现有的Internet来建立企业的安全的专有网络呢?虚拟专用网(VPN)技术就成为一个很好的解决方案。虚拟专用网(VPN)是指在公共网络中建立专用网络,数据通过安全的"加密通道"在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的Internet,各地的机构就可以互相传递信息;同时,企业还可以利用Internet的拨号接入设备,让自己的用户拨号到Internet上,就可以连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等优点,将会成为今后企业网络发展的趋势。




         VPN服务  
     虚拟私有网络 VPN (Virtual Private Network) 出现于 Internet 盛行的今天,它使企业网络几乎可以无限延伸到地球的每个角落,从而以安全、低廉的网络互联模式为包罗万象的应用服务提供了发展的舞台。利用 Internet 来开展电子商务活动,最重要的问题是信息安全问题。而 VPN 技术的应用为解决信息安全问题提供了一条有效途径。  


DDN 互连

连接各地分支机构,形成 Intranet 内部专用网,共享内部网资源,提供内部邮件,进行数据通信,图像传输,实现虚拟专用网 (VPN)功能,并且,接入和互连能同时实现。







  
   


VPN运作方式概述

  
  在MPLS_VPN中,服务供应商业为每个VPN分配一个独有的标识符,称为路由区分符(RD),在服务供应商网络中每一个Intranet或Extranet的区分符都不同。转发表包含独有的地址、称为VPN-IP地址,由RD和用户的IP地址构成。VPN_IP地址是网络中每一个端点所独有的,条目存储在VPN中每一个节点的转发表中。
BGP是一个路由选择分配协议,它定义谁可以与使用多协议分支(multiprotocol_extensions)和群体属性(Community_attributes)的人对话。在MPLS的VPN中,BGP只向同一个VPN中的成员发布有关VPN的信息,通过业务分离来提供本机安全性。由于所有的业务都使用LSP进行传输,从而确保了额外的安全性。LSP定义了一个特定的通道穿过网络,这个通道是不可更改的。这种基于标记的模式保证了帧中继和ATM连接中的私密性。

当提供VPN时,服务供应商而非客户将特定的VPN与每一个接口连接。在服务供应商网络中,RD与每个数据包连接,这样,VPN就不会被非法者渗透"偷窃"数据流或数据包。用户只要位于正确的物理端口上,有相应的RD就可以加入Intranet或Extranet中。这种设置使Cisco的MPLS_VPN基本上不可能被突破,因而可提供人们在帧中继、租赁线路或ATM业务中所习惯的相同级别的安全性。

VPN_IP转发表包含与VPN_IP地址上对应的标记,这些标记将应用业务路由到VPN中的每一个站点。由于使用标记而不是IP地址,因些,用户可以在企业Internet中保留他们的专用编址方案,而不需要进行网络地址转换(NAT)。每一个VPN应用在逻辑上都拥有区分的转发表,以在VPN之间分离业务。根据呼入的接口,交换机选择一个特定的转发表,由于有BGP,这个表只列出VPN中的有效的目的地。若要建立一个Extranet,服务供应商则需要在VPN之间清晰地配置延及的范围(可能需要NAT配置)

工作流程

(1)用户端的路由器(CE)首先通过静态路由或BGP将用户网络中的路由信息通知提供商路由器(PE),同时在PE之间采用BGP的Extension传送VPN-IP的信息以及相应的标记(VPN的标记,以下简称为内层标记),而在PE与P路由器之间则采用传统的IGP协议相互学习路由信息,采用LDP协议进行路由信息与标记(骨干网络中的标记,以下称为外层标记)的梆定。到此时,CE,PE以及P路由器中基本的网络拓扑以及路由信息已经形成。PE路由器拥有了骨干网络的路由信息以及每一个VPN的路由信息。
(2)当属于某一VPN的CE用户数据进入网络时,在CE与PE连接的接口上可以识别出该CE属于那一个VPN,进而到该VPN的路由表中去读取下一跳的地址信息,同时,在前传的数据包中打上VPN标记(内层标记)。这时得到的下一跳地址为与该PE作Peer的PE的地址,为了达到这个目的端的PE,此时在起始端PE中需读取骨干网络的路由信息,从而得到下一个P路由器的地址,同时采用LDP在用户前传数据包中打上骨干网络中的标记(外层标记)。
(3)在骨干网络中,初始PE之后的P均只读取外层标记的信息来决定下一跳,因此骨干网络中只是简单的标记交换。
(3)在达到目的端PE之前的最后一个P路由器时,将外层标记去掉,读取内层标记,找到VPN,并送到相关的接口上,进而将数据传送到VPN的目的地址处。
VPN技术术语

www.passcisco.com 2002-4-30 天涯网路

VPN技术术语

服务商网络(Provider_Network):简称P网,由服务商管理控制的VPN的骨干网络。

用户网络(Customer_Network):简称C网,由用户管理控制的网络。

用户边沿路由器(CE路由器):用户网络中用来接入服务商骨干网的路由器。

站点(SITE):C网中直接互联的部分子网的集合。一个站点可通过一条或多条PE/CE链路接入VPN骨干网。

服务商边沿路由器(PE路由器):P网中连接CE路由器的路由器。

服务商核心路由器(P路由器):P网中的骨干路由器,对VPN的信息透明,即P路由器内部没有VPN的信息。

扩展团体属性(EXTENDED_COMMUNITY):用来识别路由起始、路由目标的BGP的属性。路由目标(ROUTE_TARGET)简称RT,BGP的扩展团体属性的一种,用于帮助路由器判断是否接受与路由目标属性相关的路由信息。

路由区别符(ROUTE_DISTINGUISHET):简称RD,这个标识符在服务提供商的网络中是独一无二的。VPN路由信息的维护在P网内部通过MP_BGP(MULGIPROTOCOL_BGP)完成,由于不同的VPN可能使用重复的地址块,传统BGP不能处理这种NLRI属性重合的情况,因此设计了RD。RD基于VPN,但VPN中的成员可以不必使用相同的RD,只须VPN_IP地址在整个P网的VPN范围唯一。推荐按VPN的各个VRF使用同样的RD配置。

VPN_IPV4地址:转发表中包括一个独一无二的地址,叫作VPN_IPV4地址,是由RD和用户的IP地址连接形成。

VPN路由和转发表(VPN_Routing_Forwarding_Table):简称VRF,在PE路由器上,为每个PE直接相连的VPN生成一份路由与转发表。每个VRF仅存有所隶VPN的路由信息。

MPLSVPN连接模式

一个VPN是一些站点的集合,这些站点共享相同的路由信息,或认为共享相同的路由表。

一个站点可以属于多个VPN。一个VPN应被视为一个有共同利益的团体。当一个站点属于多个VPN时,这个站点可以选择是否被当成不同VPN之间的过渡站点。如果两个或两个以上的VPN有共同的站点,IP地址在这些VPN中必须唯一。

VPN的骨干网由MPLS_LSR构成。PE路由器即为边缘LSR,P路由器即为核心LSR。PE路由器通过MP_BGP将VPN的信息分发到其它的PE路由器,P路由器并不参与VPN信息的维护。与VPN相关的信息主要有VPN_IPV4地址、扩展团体属性、VRF标记等。P路由器一般不启动BGP,也没有任何VPN的信息。
PE路由器在P网内部运行MPLS,与CE路由器运行普通IP。P路由器和PE路由器运行共同的IGP。PE路由器之间为MP_iBGP完全网状逻辑连接,即每个PE路由器都需与其它所有的PE路由器建立MP_iBGP逻辑会话。PE与CE路由器之间可选择运行以下路由协议交换路由信息:EBGP、OSPF、RIPV2、静态路由。CE路由器安装常规路由App,不需支撑MP_BGP或MPLS。

PE路由器维护多个独立的路由表,包括,
全局路由表:由所有的PE路由器和P路由器持有,通过VPN骨干网的IGP,如ISIS或OSPF,来生成。

一个或多个VRF:VRF与端口关联,端口可以是物理端口或逻辑子端口和虚拟通道的端口。
VRF与一个或多个直接连接的站点相关。如果不同的站点共享同样的路由信息,它们可以共享同一个VRF。连接那些站点的端口将关联同样的VRF。
属于同一VPN的所有站点使用的VRF内容相同。PE路由器把从直接相连的CE路由器学来的路由加入相应的VRF中。PE路由器通过骨干网IGP学习的路由被加入全局路由表中。通过使用独立的VRF,IP地址可以在不同的VPN中被重复使用。

全局路由表由IGP维护。PE路由器可能与其它自治域运行标准BGP_4协议。BGP-4IPV4路由进入全局路由表。MP_BGPVPN_IPV4路由进入相应VRF。

MP_BGP的更新中的信息:
VPN_IPV4地址;扩展团体属性RT;其它的标准BGP属性有本地优先权,MED,下一跳地址,AS路径,标准团体属性等;
标记,用于标识某个PE路由器上的出端口或某个VRF,也称为外部标记(另有内部标记用于在MPLS的核心中传递数据包)。内部标记只能由MP_iBGP更新中的下一跳地址属性指定的PE路由器分配。PE路由器通常在MPiBGP的会话中向其它PE路由器宣称的下一跳地址属性为自己的Loopback端口。PE路由器的Loopback使用的IP地址必须在P网内唯一。

PE路由器将其转换为VPN_IPV4;根据配置加入RT属性;将下一跳修改为自己的Loopback端口;基于VRF或端口分配外部标记,通过MP_iBGP广播给所有的对等PE路由器。
对等PE路由器收到MP_iBGP路由更新消息后,进行其所带的RT与本地路由器上各个VRF中定义的输入RT的匹配,从而将路由插入到相匹配的一个或多个VRF中。VRF中可设定多组输入/输出RT对,以匹配多个MP_iBGP更新,接收多个VPN的路由信息。

VPN安全协议概览

www.passcisco.com 2002-4-30 天涯网路

VPN安全协议概览


  PPTP-Point to Point Tunnel Protocal  点对点隧道协议

   这是一个最流行的Internet协议,它提供PPTP客户机与PPTP服务器之间的加密通信,它允许企业使用专用的"隧道",通过公共Internet来扩展企业的网络。通过Internet的数据通信,需要对数据流进行封装和加密,PPTP就可以实现这两个功能,从而可以通过Internet实现多功能通信。这就是说,通过PPTP的封装或"隧道"服务,使非IP网络可以获得进行Internet通信的优点。但是PPTP会话不可通过代理器进行,PPTP是微软和其它厂家支撑的标准,它是PPTP协议的扩展,它可以通过Internet建立多协议VPN。

   L2TP-Layer2 Tunneling Protocol  第二层隧道协议

   除Microsft外,另有一些厂家也做了许多开发工作,PPTP能支撑Macintosh和Unix,Cisco的L2F(Layer2 Forwarding)就是又一个隧道协议。Microsoft、Cisco和其它一些网络厂商正一起努力使L2F与PPTP融合,产生一个新的L2TP协议。PPTP和L2TP十分相似,因为L2TP有一部分就是采用PPTP协议,两个协议都允许客户通过其间的网络建立隧道,L2TP正在由包括微软在内的几家厂商开发。L2TP还支撑信道认证,但它没有规定信道保护的方法。 

  IPSEC-Internet Portocol Security  因特网协议安全性

   该协议正在IETF(因特网工程任务组)的引导下开发。开发这个协议的目的是要解决当前协议中存在的一些缺点,这个标准开发完成最快也要在一年以后。微软承诺支撑L2TP和IPSEC。IPSEC是由IETFIP安全性工作组定义的协议集,它用于确保网络层之间的安全通信。该协议草案建议使用IPSEC协议集保护IP网和非IP网上的L2TP业务,以及如何将IPSEC和L2FP一起使用,但它并未试图将端对端的安全性标准化。

   SOCKs

   SOCKs是一个网络连接的代理协议,它使SOCKs一端的主机完全访问SOCKs;而另一端的主机不要求IP直接可达。SOCKs能将连接请求进行鉴别和授权,并建立代理连接和传送数据。SOCKs通常用作网络防火墙,它使SOCKs后面的主机能通过Internet取得完全的访问权,而避免了通过Internet对内部主机进行未授权访问。目前,有SOCKsV4和SOCKsV5二个版本,SOCKsV5可以处理UDP,而SOCKsV4则不能。





  虚拟专用线网

您可以利用联通的宽带数据网交换平台,将不在同一地理区域的局域网终端组织在

一起,构成一个安全可靠的虚拟专用网络,并具有独立的网络管理,这将使您获得

局域网一般的使用感受。 联通VPN业务利用最先进的通信技术,为您提供投资小、

风险低、可靠性高、扩展灵活的服务。

举报本楼

您需要登录后才可以回帖 登录 | 注册 |

手机版|C114 ( 沪ICP备12002291号-1 )|联系大家 |网站地图  

GMT+8, 2024-11-25 01:48 , Processed in 0.380980 second(s), 15 queries , Gzip On.

Copyright © 1999-2023 C114 All Rights Reserved

Discuz Licensed

回顶部
XML 地图 | Sitemap 地图