个人宽带联络我

 

当时方位:上海manbetx体育网>>上海电信manbetx体育>>VPN介绍

 

个人宽带联络我

VPN介绍

 

 

VPN的英文全称是“Virtual Private Network”,翻译过来便是“虚拟专用网络”。望文生义,虚拟专用网络咱们能够把它

了解成是虚拟出来的企业内部专线。它能够经过特别的加密的通讯协议在衔接在Internet上的坐落不同当地的两个或多个企业内部网

之间树立一条专有的通讯线路,就比如是架设了一条专线相同,可是它并不需求真实的去铺设光缆之类的物理线路。这就比如去电信局

请求专线,可是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技能原是路由用具有的重要技能之一,现在在交流机,防火

墙设备或WINDOWS2000等软件里也都支撑VPN功用,一句话,VPN的中心便是在运用公共网络树立虚拟私有网。


  虚拟专用网(VPN)被界说为经过一个共用网络(通常是因特网)树立一个暂时的、安全的衔接,是一条穿过紊乱的共用

网络的安全、安稳的地道。虚拟专用网是对企业内部网的扩展。虚拟专用网能够协助长途用户、公司分支机构、商业伙伴及供

应商同公司的内部网树立可信的安全衔接,并确保数据的安全传输。虚拟专用网可用于不断增加的移动用户的全球因特网接入

,以完结安全衔接;可用于完结企业网站之间安全通讯的虚拟专用线路,用于经济有用地衔接到商业伙伴和用户的安全外联网

虚拟专用网。下面咱们结合本站有关思科及微软关于VPN方面的文章为咱们介绍这方面的资讯,更多更丰厚的相关方面内容我

们将在今后日子里进行弥补。


针对不同的用户要求,VPN有三种解决计划:长途拜访虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚

拟网(Extranet VPN),这三种类型的VPN别离与传统的长途拜访网络、企业内部的Intranet以及企业网和相关协作伙伴的企业网所

构成的Extranet(外部扩展)相对应。

虚拟专用网(VPN)被界说为经过一个共用网络(通常是因特网)树立一个暂时的、安全的衔接,是一条穿过紊乱的共用网络的安全、安稳的

地道。虚拟专用网是对企业内部网的扩展。


虚拟专用网能够协助长途用户、公司分支机构、商业伙伴及供给商同公司的内部网树立可信的安全衔接,并确保数据的安全传输。经过

将数据流转移到低本钱的压网络上,一个企业的虚拟专用网解决计划将大幅度地削减用户花费在城域网和长途网络衔接上的费用。一起

,这将简化网络的规划和办理,加快衔接新的用户和网站。别的,虚拟专用网还能够维护现有的网络出资。跟着用户的商业服务不断发

展,企业的虚拟专用网解决计划能够运用户将精力会集到自己的生意上,而不是网络上。虚拟专用网可用于不断增加的移动用户的全球

因特网接入,以完结安全衔接;可用于完结企业网站之间安全通讯的虚拟专用线路,用于经济有用地衔接到商业伙伴和用户的安全外联

网虚拟专用网。


现在许多单位都面临着这样的应战:分公司、经销商、协作伙伴、客户和外地出差人员要求随时经过共用网拜访公司的资源,这些资源包

括:公司的内部资料、工作OA、ERP系统、CRM系统、项目办理系统等。现在许多公司经过运用IPSec VPN来确保公司总部和分支机构以及

移动工作人员之间安全衔接。


关于许多IPSec VPN用户来说,IPSec VPN的解决计划的高本钱和杂乱的结构是很头疼的。存在如下现实:在布置和运用软硬件客户端的

时分,需求许多的点评、布置、训练、晋级和支撑,关于用户来说,这些无论是在经济上和技能上都是个很大的担负,将长途解决计划

和贵重的内部运用相集成,对任何IT专业人员来说都是严峻的应战。因为遭到以上IPSec VPN的约束,许多的企业都以为IPSec VPN是一

个本钱高、杂乱程度高,乃至是一个无法施行的计划。为了坚持竞争力,消除企业内部信息孤岛,许多公司需求在与企业相关的不同的

安排和个人之间传递信息,所以许多公司需求找一种施行简洁,不需改动现有网络结构,运营本钱低的解决计划。

从概念上讲,IP-VPN是运营商(即服务供给者)支撑企业用户运用的计划。一个通用的办法能够适用于由一个运营商来支撑的、触及其他

运营商网络的状况(如运营商的运营商)。


图1给出了完结IP-VPN的一个通用计划。其间,CE路由器是用于将一个用户站点接入服务供给者网络的用户边际路由器。而PE路由器则是

与用户CE路由器相连的、服务供给者的边际路由器。


站点是指这样一组网络或子网,它们是用户网络的一部分,而且经过一条或多条PE/CE链路接至VPN。VPN是指一组同享相同路由信息的站

点,一个站点能够一起坐落不同的几个VPN之中。


图2显现了一个服务供给者网络支撑多个VPN的状况。如图2所示,一个站点能够一起归于多个VPN。依据必定的战略,归于多个VPN的站点

既能够在两个VPN之间供给必定的转发才干,也能够不供给这种才干。当一个站点一起归于多个VPN时,它有必要具有一个在一切VPN中仅有

的地址空间。


MPLS为完结IP-VPN供给了一种灵敏的、具有可扩展性的技能根底,服务供给者能够依据其内部网络以及用户的特定需求来决议自己

的网络怎么支撑IP-VPN。所以,在MPLS/ATM网络中,有多种支撑IP-VPN的办法,本文介绍其间两种办法。


计划一


本节介绍一种在公共网中运用MPLS供给IP?VPN事务的办法。该办法运用LDP的一般操作办法,即拓扑驱动办法来完结根本的LSP建

立进程,一起运用两级LSP地道(符号仓库)来支撑VPN的内部路由。


图3 给出了在MPLS/ATM中心网络中供给IP?VPN事务的一种由LER和LSR构成的网络装备。


LER (符号边际路由器)


LER是MPLS的边际路由器,它坐落MPLS/ATM服务供给者网络的边际。 关于VPN用户的IP事务量,LER将是VPN地道的出口与进口节点

。假如一个LER一起为多个用户所同享,它还应当具有履行虚拟路由的才干。这便是说,它应当为自己服务的各个VPN别离树立一个转发

表,这是因为不同VPN的IP地址空间或许是有所堆叠的。


LSR(符号交流路由器)


MPLS/ATM中心网络是服务供给者的基层网络,它为用户的IP-VPN事务所同享。


树立IP-VPN区域的操作


期望供给IP-VPN的网络供给者有必要首要对MPLS域进行装备。这儿的MPLS域指的便是IP?VPN区域。作为一种一般的LDP操作,根本的

LSP 树立进程将运用拓扑驱动办法来进行,这一进程被界说为运用根本符号的、根本的或是单级LSP树立。而关于VPN内部路由,则将使

用两级LSP地道(符号仓库)。


---- VPN成员


---- 每一个LER都有一个使命,即发现在VPN区域中为同一 IP?VPN服务的其他一切LER。因为本计划终究意图是要树立第二级MPLS地道

,所以 LER发现对等实体的进程也便是LDP会话初始化的进程。每一个LER沿着能够抵达其他 LER的每一条根本网络LSP,向下流发送一个

LDP Hello音讯。LDP Hello音讯中会包括一个根本的MPLS符号,以便利这些音讯能够终究抵达意图LER。

---- LDP Hello音讯实际上是一种查询音讯,经过这一音讯,发送方能够获悉在意图LER处是否存在与发送方LSR同属一个VPN的LER(对

等实体)。新的Hello音讯相邻实体注册完结之后,相关的两个LER之间将开端建议LDP会话。随后,其间一个LER将初始化与对方的TCP连

接。当TCP衔接树立完结而且必要的初始化音讯交互也完结之后,对等LER之间的会话便树立起来了。尔后,两边各自为对方到自己的LSP

地道供给一个符号。假如LSP地道是嵌套地道,则该符号将被推入符号栈中,并被置于原有的符号之上。


---- VPN成员资历和可抵达性信息的传达


---- 经过路由信息的交流,LER能够学习与之直接相连的、用户站点的IP地址前缀。LER需求找到对等LER,还需求找到在一个VPN中哪些

LER 是为同一个VPN服务的。LER将与其所属的VPN区域中其他的LER树立直接的LDP会话。换言之,只要支撑相同VPN的LER之间才干成功地

树立LDP会话。


---- VPN内的可抵达性


---- 最早在嵌套地道中传送的数据流是LER之间的路由信息。当一个LER被装备成一个IP?VPN的一员时,装备信息将包括它在VPN内部要

运用的路由协议。在这一进程中,还或许会装备必要的安全保密特性,以便该LER能够成为其他LER的相邻路由器。在VPN内部路由计划中

,每一次发现阶段完毕之后,每一个LER 都将发布经过它能够抵达的、VPN用户的地址前缀。


IP分组转发


LER之间的路由信息交互完结之后,各个LER都将树立起一个转宣布,该转宣布将把VPN用户的特定地址前缀(FEC转发等价类) 与下

一跳联络起来。当收到的IP分组的下一跳是一个LER时,转发进程将首要把用于该LER的符号(嵌套地道符号)推入符号栈,随后把能够

抵达该LER的根本网络LSP上下一跳的根本符号推入符号分组,接着带有两个符号的分组将被转发到根本网络LSP中的下一个LSR;当该分

组抵达意图LER时,最外层的符号或许现已发作许屡次的改动,而嵌套在内部的符号始终坚持不变;当符号栈弹出后,持续运用嵌套符号

将分组发送至正确的LER。在LER上,每一个VPN运用的嵌套符号空间有必要与该LER所支撑的其他一切VPN运用的嵌套符号空间不同。

计划二


本节将对一种在公共网中运用MPLS和多协议鸿沟网关协议来供给IP-VPN事务的办法进行介绍,其技能细节能够拜见RFC 2547。

图1 给出了在MPLS/ATM中心网络中供给IP?VPN事务的、由LER和LSR构成的网络装备,图4则给出了运用RFC 2547的网络模型。


供给者边际(PE)路由器


PE路由器是与用户路由器相连的服务供给者边际路由器。


实际上,它便是一个边际LSR(即MPLS网络与不运用 MPLS的用户或服务供给者之间的接口)。


用户边际 (CE)路由器


CE路由器是用于将一个用户站点接至PE路由器的用户边际路由器。在这一计划中,CE路由器不运用MPLS,它仅仅一台IP路由器。

CE不用支撑任何VPN的特定路由协议或信令。


供给者(P)路由器


P路由器是指网络中的中心LSR。


站点(Site)


站点是指这样一组网络或子网:它们是用户网络的一部分,经过一条或多条PE/CE链路接至VPN。VPN是指一组同享相同路由信息的

站点。一个站点能够一起坐落不同的几个VPN之中。


途径差异标志


服务供给者将为每一个VPN分配一个仅有的标志符,该标志符称为途径差异标志(RD),它对应于服务供给者网络中的每一个

Intranet或Extranet 都是不同的。PE路由器中的转宣布里将包括一系列仅有的地址,这些地址称为VPN?IP 地址,它们是由RD与用户的

IP地址衔接而成的。VPN?IP地址关于服务供给者网络中的每一个端点都是仅有的,关于VPN中的每一个节点(即VPN中的每一个PE路由器

),转宣布中都将存储有一个条目。


衔接模型


图4给出了MPLS/BGP VPN的衔接模型。


从图4中能够看出,P路由器坐落MPLS网络的中心。 PE路由器将运用MPLS与中心MPLS网络通讯,一起运用IP路由技能来与CE路由器

通讯。 P与PE路由器将运用IP路由协议(内部网关协议)来树立MPLS中心网络中的途径,而且运用LDP完结路由器之间的符号分发。

PE路由器运用多协议BGP?4来完结彼此之间的通讯,完结符号交流和每一个VPN战略。除非运用了途径映射标志(routereflector),否

则PE 之间是BGP全网状衔接。特别地,图4中的PE处于同一自治域中,它们之间运用内部BGP (iBGP)协议。


P路由器不运用BGP协议而且对VPN一窍不通,它们运用一般的MPLS协议与进程。


PE路由器能够经过IP路由协议与CE路由器交流IP途径,也能够运用静态途径。在CE与PE路由器之间运用一般的路由进程。CE路由器

不用完结MPLS或对VPN有任何特别了解。


PE路由器经过iBGP将用户途径分发到其他的PE路由器。为了完结途径分发,BGP运用VPN-IP地址(由RD和IPv4地址构成)。这样,

不同的VPN能够运用堆叠的IPv4地址空间而不会发作VPN-IP地址重复的状况。


PE路由器将BGP核算得到的途径映射到它们的路由表中,以便把从CE路由器收到的分组转发到正确的LSP上。


这一计划运用两级符号:内部符号用于PE路由器关于各个VPN的辨认,外部符号则为MPLS网络中的LSR所用——它们将运用这些符号

把分组转发给正确的PE。


树立IP-VPN区域的操作


期望供给IP-VPN事务的网络供给者有必要依照衔接需求对网络进行规划与装备,这包括:PE有必要为其支撑的VPN以及与之相连的CE所

属的VPN 进行装备;MPLS网络或者是一个途径映射标志中的PE路由器之间有必要进行对等关系的装备;为了与CE进行通讯,还有必要进行普

通的路由协议装备;为了与MPLS中心网络进行通讯,还有必要进行一般的MPLS装备(如LDP、IGP)。别的,P路由器除了要求能够支撑

MPLS之外,还要能够支撑VPN。


VPN成员资历和可抵达性信息的传达


PE路由器运用IP路由协议或者是静态途径的装备来交流路由信息,而且经过这一进程取得与之直接相连的用户网站IP地址前缀。

PE路由器经过与其BGP对等实体交流VPN-IP地址前缀来取得抵达意图VPN站点的途径。别的,PE路由器还要经过BGP与其PE路由器对

等实体交流符号,以此确认PE路由器间衔接所运用的LSP。这些符号用作第二级符号,P 路由器看不到这些符号。


PE路由器将为其支撑的每一个VPN别离树立路由表和转宣布,与一个PE路由器相连的CE路由器则依据该衔接所运用的接口挑选适宜

的路由表。


IP分组转发


PE之间的路由信息交流完结之后,每一个PE都将为每一个VPN树立一个转宣布,该转宣布将把VPN用户的特定地址前缀与下一跳PE路

由器联络起来。


当收到发自CE路由器的IP分组时,PE路由器将在转宣布中查询该分组对应的VPN。


假如找到匹配的条目,路由器将履行以下操作:


假如下一跳是一个PE路由器,转发进程将首要把从路由表中得到的、该PE路由器所对应的符号(嵌套地道符号)推入符号栈;PE路

由器把根本的符号推入分组,该符号用于把分组转发到抵达意图PE路由器的、根本网络LSP上的第一跳;带有两级符号的分组将被转发到

根本网络LSP上的下一个LSR。


P路由器(LSR)运用顶层符号及其路由表对分组持续进行转发。当该分组抵达意图LER时,最外层的符号或许已发作屡次改动,而

嵌套在内部的符号坚持不变。


当PE收到分组时,它运用内部符号来辨认VPN。尔后, PE将查看与该VPN相关的路由表,以便决议对分组进行转发所要运用的接口。


假如在VPN路由表中找不到匹配的条目,PE路由器将查看Internet路由表(假如网络供给者具有这一才干)。假如找不到路由,相

应分组将被丢掉。


VPN?IP转宣布中包括VPN?IP地址所对应的符号,这些符号能够把事务流路由至VPN中的每一个站点。这一进程因为运用的是符号

而不是IP 地址,所以在企业网中,用户能够运用自己的地址系统,这些地址在经过服务供给者网络进行事务传输时无需网络地址翻译(

NAT)。经过为每一个VPN运用不同的逻辑转宣布,不同的VPN事务将能够被分隔。运用BGP协议,交流机能够依据进口挑选一个特定的转

宣布,该转宣布能够只列出一个VPN有用意图地址。


为了树立企业的Extranet,服务供给者需求对VPN之间的可抵达性进行清晰指定(或许还需求进行NAT装备)。

安全


在服务供给者网络中,PE所运用的每一个分组都将与一个RD相关联,这样,用户无法将其事务流或者是分组悄悄送入另一个用户的

VPN。要注意的是,在用户数据分组中没有带着RD,只要当用户坐落正确的物理端口上或具有PE路由器中现已装备的、恰当的RD时,用户

才干参加一个Intranet或 Extranet。这一树立进程能够确保不合法用户无法进入VPN,从而为用户供给与帧中继、租借线或ATM事务相同的

安全等级。

联络我

联络办法 | 项目协作 | 咱们的优势| 关于咱们 | 电信企业 | 友情链接

上海manbetx体育网-上海manbetx体育上网事务专业请求受理渠道
电话:021-51099015 传真:021-23010509
咨询QQ:917521900  咨询信箱:021kd@52gpkkp.com
24小时咨询热线:13391088028(企业事务)
Copyright © 2003-2014 上海manbetx体育网 版权一切