MPLS VPN 网络结构 VPN_A VPN_A VPN_B CE CE CE VPN_A VPN_B VPN_B CE PE PE CE CE VPN_A CE VPN_A VPN_B VPN_B CE PE PE CE CE VPN_A CE VPN_A CE iBGP sessions P P P P PE PE CE（Custom Edge）：直接与服务提供商相连的用户设备。 PE（Provider Edge Router）：指骨干网上的边缘路由器，与CE相连，主要负责VPN业务的接入。 P （Provider Router）：指骨干网上的核心路由器，主要完成路由和快速转发功能。 MPLS VPN 报文转发 In Label FEC Out Label 41 /30 POP 北京 7 PE - 1 上海 /24 7 28 41 VPN - A VRF /24, NH= Label=( 28 ) 7 28 In Label FEC Out Label 28(V) /24 - VPN - A VRF /24, NH= 北京 7 倒数第二跳路由器弹出外层标签，根据下一跳发送至出口PE 出口PE路由器根据内层标签判断报文是去向哪个CE 弹出内层标签，用普通IP报文向目的CE进行转发 /30 MPLS VPN 的特点 在这种网络构造中，由服务提供商向用户提供VPN服务，用户感觉不到公共网络的存在，就好像拥有独立的网络资源一样。 P 路由器，也不需要知道有VPN的存在，仅仅负责骨干网内部的数据传输。但其必须能够支持MPLS协议，并使能该协议。 所有的VPN的构建、连接和管理工作都是在PE上进行的。 网络配置简单 可以直接利用现有路由协议而无需任何改动 MPLS VPN网络具有良好的可扩展性 可实现具有QOS和TE的VPN MPLS VPN的优点 MPLS VPN能够利用公用骨干网络强大的传输能力，降低企业内部网络／Internet的建设成本，极大地提高用户网络运营和管理的灵活性，同时能够满足用户对信息传输安全性、实时性、宽频带和方便性的需要。目前，在基于IP的网络中，MPLS具有很多优点： MPLS VPN的优点 降低了成本 MPLS简化了ATM与IP的集成技术，使L2和L3技术有效地结合起来，降低了成本，保护了用户的前期投资。 提高了资源利用率 由于在网内使用标签交换，用户各个点的局域网可以使用重复的IP地址，提高了IP资源利用率。 提高了网络速度 由于使用标签交换，缩短了每一跳过程中地址搜索的时间，减少了数据在网络传输中的时间，提高了网络速度。 MPLS VPN的优点 提高了灵活性和可扩展性 由于MPLS使用的是Any To Any的连接，提高了网络的灵活性和可扩展性。灵活性方面，可以制订特殊的控制策略，满足不同用户的特殊需求，实现增值业务。扩容性包括：一方面网络中可以容纳的VPN数目更大；另一方面，在同一VPN中的用户很容易扩充。 5）方便用户 MPLS技术将被更广泛地应用在各个运营商的网络当中，这会对企业用户建立全球的VPN带来极大的便利。 安全性高 采用MPLS作为通道机制实现透明报文传输，MPLS的LSP具有与帧中继和ATM VCC（Virtual Channel Connection，虚通道连接）类似的高可靠安全性。 业务综合能力强 网络能够提供数据、语音、视频相融合的能力。 MPLS VPN核心层： 山西省网目前配置了49台PE路由器（其中太原16台，覆盖所有汇聚节点），做为省网MPLS VPN业务的接入设备，PE和PE间建立MPBGP-VPNV4的SESSION，用于VPN VRF路由的转发平台，形成具有高扩展性的VPN业务接入网。 山西MPLS VPN网络现状 MPLS VPN流量： 地市各汇聚节点涉及MPLS VPN的接入设备有交换机（CISCO6509、EXTEEME6808/3808、华为S6506、港湾6808）、BAS（北电SHASTA5000、华为ISN8825、MA5200）、PE路由器（华为NE40）。这些设备均可作为VPN用户CE的物理接入设备，最终都在PE设备上做终结，通过PE上的BGP-VPNV4路由信息进行用户VPN流量的转发。VPN流量的示意图如下： MPLS VPN应用实例 97VPN 各营业厅通过ADSL专线接入MPLS VPN网络，97系统防火墙通过专线接入MPLS VPN网络，实现各营业厅能够访问97系统。 商业银行VPN 中心行通过光纤专线接入公网和MPLS VPN，各支行通过ADSL专线接入MPLS VPN，实现无纸化办公，并能够通过中心行访问互联网。 ADSL 接入网 Mpls隧道 网通mpls网络 营业厅 营业厅 PE路由器 PE路由器 97服务器 97VPN拓扑图 Adsl专线 Adsl专线 ADSL 接入网 Mpls隧道 网通mpls网络 中心行 支行 支行 PE路由器 PE路由器 公网 vpn 商行VPN拓扑图 Adsl专线 Adsl专线.在用户计算机上用 arp –a 看ARP表项 3.看用户是否在计算机和宽带猫之间增加了路由器等设备 4.若猫不活，尽量联系机房激活端口试试，实在不行再为用户倒端口，倒了端口一定要告诉机房端口资料 谢谢！ 知识回顾Knowledge Review * * VPN 什么是VPN VPN（Virtual Private Network，虚拟私有网）是近年来随着Internet 的广泛应用而迅速发展起来的一种新技术，实现在公用网络上构建私人专用网络。 “虚拟”主要指这种网络是一种逻辑上的网络 VPN VPN的特点 VPN 有别于传统网络，它并不实际存在，而是利用现有公共网络，通过资源配置而成的虚拟网络，是一种逻辑上的网络。 VPN 只为特定的企业或用户群体所专用。从VPN 用户角度看来，使用VPN 与传统专网没有区别。VPN 作为私有专网，一方面与底层承载网络之间保持资源独立性，即在一般情况下，VPN 资源不会被承载网络中的其它VPN 或非该VPN 用户的网络成员所使用；另一方面，VPN 提供足够安全性，确保VPN 内部信息不受外部的侵扰。 VPN 不是一种简单的高层业务。该业务建立专网用户之间的网络互联，包括建立VPN 内部的网络拓扑、路由计算、成员的加入与退出等，因此VPN 技术就比各种普通的点对点的应用机制要复杂得多 VPN的分类 按应用类型分类： Access VPN Intranet VPN Extranet VPN 按实现的层次分类： 二层隧道 VPN 三层隧道 VPN 按应用类型分类 (1) Intranet VPN（企业内部虚拟专网） Intranet VPN 通过公用网络进行企业内部各个分布点互联，是传统的专线网或其它企业网的扩展或替代形式。 (2) Access VPN（远程访问虚拟专网） Access VPN 向出差流动员工、远程办公人员和远程小办公室提供了通过公用网络与企业的Intranet 和Extranet 建立私有的网络连接。Access VPN 的结构有两种类型，一种是用户发起（Client-initiated）的VPN 连接，另一种是接入服务器发起（NAS-initiated）的VPN 连接。 (3) Extranet VPN（扩展的企业内部虚拟专网） Extranet VPN 是指利用VPN 将企业网延伸至供应商、合作伙伴与客户处，使不同企业间通过公网来构筑VPN。 Intranet VPN Internet/ ISP IP ATM/FR 隧道 总部 研究所 办事处 分支机构 Extranet VPN Internet/ ISP IP ATM/FR 分支机构 合作伙伴 总部 异地办事处 按组网模型划分 (1) 虚拟租用线（VLL） VLL（Virtual Leased Line）是对传统租用线业务的仿真，通过使用IP 网络对租用线进行模拟，提供非对称、低成本的“DDN”业务。从虚拟租用线两端的用户来看，该虚拟租用线近似于过去的租用线) 虚拟专用拨号网络（VPDN） VPDN（Virtual Private Dialup Network）是指利用公共网络（如ISDN 和PSTN）的拨号功能及接入网来实现虚拟专用网，从而为企业、小型ISP、移动办公人员提供接入服务。 按组网模型划分 (3) 虚拟专用LAN 网段（VPLS）业务 VPLS（Virtual Private Lan Segment）借助IP 公共网络实现LAN 之间通过虚拟专用网段互连，是局域网在IP 公共网络上的延伸。 (4) 虚拟专用路由网（VPRN）业务 VPRN（Virtual Private Routing Network）借助IP 公共网络实现总部、分支机构和远端办公室之间通过网络管理虚拟路由器进行互连，业务实现包括两类：一种是使用传统VPN 协议（如IPSec、GRE 等）实现的VPRN，另外一种是MPLS 方式的VPRN。 目前太原网通已经在实际使用的VPN业务有VPDN和MPLS VPN 按实现的层次分类 二层隧道VPN L2TP: Layer 2 Tunnel Protocol (RFC 2661) PPTP: Point To Point Tunnel Protocol L2F: Layer 2 Forwarding 三层隧道VPN GRE : General Routing Encapsulation IPSEC : IP Security Protocol MPLS VPN: 属于二层半隧道VPN 第二、三层隧道协议之间的异同 第三层隧道与第二层隧道相比，优势在于它的安全性、可扩展性与可靠性。 A：从安全性的角度看，由于第二层隧道一般终止在用户侧设备上，对用户网的安全及防火墙技术提出十分严峻的挑战；而第三层隧道一般终止在ISP 网关上，因此不会对用户网的安全构成威胁。 B：从扩展性的角度看，第二层IP 隧道内封装了整个PPP 帧，这可能产生传输效率问题。其次，PPP 会话贯穿整个隧道并终止在用户侧设备上，导致用户侧网关必须要保存大量PPP 会话状态与信息，这将对系统负荷产生较大的影响，也会影响到系统的扩展性。此外，由于PPP 的LCP 及NCP 协商都对时间非常敏感，这样IP 隧道的效率会造成PPP 对话超时等等一系列问题。相反，第三层隧道终止在ISP 的网关内，PPP 会话终止在NAS 处，用户侧网关无需管理和维护每个PPP 对话的状态，从而减轻了系统负荷。 VPDN业务 VPDN业务采用VPDN技术，为广大客户提供了一个基于ADSL宽带网络和MPLS VPN宽带数据专网，VPDN为用户建立一条连接到企业内部的私密隧道，基于隧道可以实现企业内部数据安全，高速的传输。 用户通过VPDN可以实现总部对分支机构的远程管理，远程监控，业务应用等多方面数据传输需求，节省了用户的通信成本，提高了企业管理运作效率，同时也为客户业务用于的扩展提供了很好的保障。 VPDN业务特点 接入方式简单，可以实现多点到点的星型拓扑，有效节省了自己内部网络设备的投资，降低企业总体通信成本； 使用互联网安全协议，可以搭建经过加密的L2TP隧道和加密IP sec隧道，保证数据传输的私密性，实现专网传输； 采用基于专用账号的“一次拨号，两次认证”体系，保证了单点接入的安全性和可靠性 ； 用户可以定义私网IP域的范围和数量，同Internet隔离实现安全可靠的传输 ； 网络覆盖范围广，网络接入多样，价格低廉； 采用电信局端VPN接入方式，提供给客户电信级的网络环境，保证了网络的可靠性，降低了企业自身网络的维护成本； 网络可以承载多种客户应用，为客户业务的扩展和增值提供了有效的技术实现保障 ； VPDN建立连接的方式 POP POP 用户直接发起连接 ISP发起连接 总部 隧道 适用范围： 出差员工 异地小型办公机构 L2TP协议简介 L2TP协议简介 L2TP协议组件 L2TP隧道发起方式 L2TP应用实例 L2TP协议简介 L2TP-Layer Two Tunneling Protocol，二层隧道协议。 RFC2661。 保护PPP报文。 数据没有加密机制，可通过IPSEC保证数据安全。 主要用途：企业驻外机构和出差人员可从远程经由公共网络，通过虚拟隧道实现和企业总部之间的网络连接。 L2TP协议简介 L2TP报文封装层次结构 此报文格式是LAC与LNS之间的数据报文。 L2TP报文头是VPN协议报文头，其内封装的是PPP报文，因此L2TP是二层VPN协议。 IP报文头 （公网地址） UDP 报文头 L2TP 报文头 PPP 报文头 IP报文头 （私网地址） Data L2TP协议简介 L2TP协议简介 L2TP协议组件 L2TP隧道发起方式 L2TP应用实例 L2TP协议组件 VPDN用户：指通过L2TP协议连入VPN的用户，通常是外地出差员工或办事机构。 L2TP访问集中器(LAC，L2TP Access Concentrator)：VPN用户和LNS之间传递数据的设备，通常是当地ISP的接入设备，具有PPP端系统和L2TP协议处理能力。LAC把从VPN用户处收到的信息包按照L2TP协议进行封装并送往LNS，将从LNS收到的信息包进行解封装并送往远端系统。 L2TP网络服务器(LNS，L2TP Network Server)：L2TP协议的服务器端部分，通常是企业内部网的边缘设备。LNS作为L2TP隧道的另一侧端点，是LAC的对端设备，是被LAC进行隧道传输的PPP会线TP隧道发起方式 由LAC发起(由isp设备发起) 由客户端直接发 LAC发起连接(LAC-initialized) 用户通过PSTN/ISDN/ADSL接入LAC， LAC判断如果是VPN用户，就向指定的LNS发起L2TP连接 用户发起连接(Client-initialized) 用户通过PSTN/ISDN/ADSL接入LAC ，获得访问Internet权限然后直接向远端LNS服务器发起L2TP连接 L2TP隧道发起方式 L2TP隧道发起方式 LAC发起 VPN用户：向LAC设备发起PPP连接。 LAC：判断用户是否是L2TP用户，如果是，判断用户向哪个LNS发起隧道请求。 LNS：为用户分配私网地址，准许用户接入内部网络。 L2TP隧道发起方式 客户端直接发起 VPN用户：首先获得公网地址，与LNS之间保持连通，向LNS发起建立隧道请求。 LNS：为用户分配私网地址，准许用户接入内部网络。 L2TP协议简介 L2TP协议简介 L2TP协议组件 L2TP隧道发起方式 L2TP应用实例 山西体育彩票VPN 山西省体育彩票VPN ADSL 接入网 IP 核心网 CNC RADIUS 体彩内部网 BAS(LAC) L2TP 隧道 体彩网关LNS 体彩RADIUS 宽带小区 BAS(LAC) 山西省体育彩票VPN 用户访问体彩中心过程 体彩中心LNS通过专线接入省网； 体彩中心到山西网通申请一个VPDN帐号，得到一个全局唯一的域名； 体彩用户（宽带拨号）使用VPDN业务帐户（username@）进行拨号； 接入服务器（宽带BAS或窄带NAS）将用户帐户信息送到网通RADIUS上进行一次认证（只认证域名） 认证通过后，RADIUS返回体彩中心LNS的ip地址； BAS/LAC和体彩LNS间协商建立L2TP隧道 BAS/LAC通过L2TP隧道将用户帐户信息送到LNS，LNS使用体彩中心RADIUS对用户进行二次认证（认证帐号） 二次认证通过后， LNS对用户分配体彩票内部地址，用户通过L2TP隧道访问企业内部网。 处理办法 1.猫不活可以让机房激活试试，若不行可为用户倒端口。 2.若猫正常可以在自己计算机上测试用户帐号是否正常，看看错误提示是什么。 MPLS概念 什么是MPLS MPLS（Multiprotocol Label Switching）是多协议标签交换的简称，它用定长的短标签来封装分组。所谓多协议是指MPLS支持多种协议，例如IP、IPv6、IPX等，所谓标签交换就是对报文附上标签，根据标签进行转发，而不必像IP那样需要进行复杂的路由查找。MPLS能从IP路由协议和控制协议中得到支持，同时还支持基于策略的约束路由，路由功能强大、灵活，可以满足各种新应用对网络的要求vpn节点选择。 MPLS技术很重要的一个应用就是构建基于MPLS的VPN网络。 MPLS VPN 什么是MPLS VPN 利用MPLS技术组建的VPN网络就是MPLS VPN MPLS VPN术语 PE ： Provider Edge Router 指骨干网上的边缘路由器，与CE相连，主要负责VPN业务的接入。 CE ： Custom Edge 直接与服务提供商相连的用户设备 MPLS VPN报文结构 Data IP报文头 （私网地址） Vpn标签 公网标签 二层包头 一个完整的MPLS VPN 报文有两层次标签，分别对应 公网和VPN。这两层标签位于二层帧头和三层IP报文 头之间，所以MPLS VPN属于二层半VPN * *

　　原创力文档创建于2008年，本站为文档C2C交易模式，即用户上传的文档直接分享给其他用户（可下载、阅读），本站只是中间服务平台，本站所有文档下载所得的收益归上传人所有。原创力文档是网络服务平台方，若您的权利被侵害，请发链接和相关诉求至 电线) ，上传者