沈鑫剡编著《计算机网络工程》第7章配套课件.pptVIP

计算机网络工程 第七章 第 7 章 虚拟专用网设计方法和实现过程 本章主要内容 虚拟专用网概述； 点对点IP隧道； 基于第2层隧道的远程接入。 7.1 虚拟专用网概述 本讲主要内容 专用网特点 引入虚拟专用网原因 虚拟专用网需要解决的问题 虚拟专用网应用环境 虚拟专用网技术分类 一、专用网特点 使用本地地址； 专用点对点链路互连； 数据在内部网络内传输； 分组交换结点完全属于内部网络； 网络资源由单一单位管理。 二、引入虚拟专用网原因 一是由于Internet是全球最普及、最方便接入的网络，处于全球任何地区的子网均可很方便地接入Internet，并通过Internet实现相互通信； 二是由于Internet采用分组交换方式，通信费用比SDH的点对点专用链路便宜很多，适合传输突发性、间歇性数据的应用环境。 二、引入虚拟专用网原因 需要一种既通过公共的分组交换网络，如Internet，实现子网间互连，又使其具有专用点对点链路的带宽和传输安全保证的组网技术，这就是虚拟专用网络（VPN）技术 。 三、虚拟专用需要解决的问题 子网间传输路径的带宽； 本地IP地址； 信息传输过程中的必威体育官网网址性和完整性； 源端鉴别。 四、虚拟专用网应用环境 内部网络子网间互连 远程接入 五、虚拟专用网技术分类 基于IP Sec的VPN结构为保证VPN各子网间传输路径的带宽和数据传输的安全性，在IP网络的基础上构建性能等同于点对点专用链路的隧道，并用隧道实现VPN各子网间的互连 。 五、虚拟专用网技术分类 IP隧道是基于IP网络的虚拟点对点链路，用于传输用本地地址封装的IP分组； 由于IP隧道和其他端到端传输路径共享分组交换结点和物理链路，因此，传输安全性不能保证； IP网络是尽力而为网络，不能保证子网间传输质量（带宽、传输时延、时延抖动等不能确定）； IP网络的广泛性使得子网间互连不仅便宜，而且方便。 五、虚拟专用网技术分类 远程终端拨号接入内部网络过程必须建立远程终端和内部网络中接入控制设备之间的点对点语音信道。 五、虚拟专用网技术分类 第2层隧道具有点对点物理链路的传输特性，可以在第2层隧道上运行点对点协议，并通过PPP完成对远程终端的身份鉴别、本地IP地址分配等接入控制功能。 五、虚拟专用网技术分类 正常的拨号接入需要建立远程接入用户和路由器之间的点对点语音信道，如果两者相距甚远，通信费用很贵； 终端接入Internet，路由器也接入Internet，终端和路由器之间建立基于IP网络的第2层隧道，该隧道等同于语音信道这样的点对点链路； 由于远程接入用户接入内部网络时，需要由路由器通过PPP完成远程接入用户身份认证、内部网络本地地址分配等接入控制功能，第2层隧道提供PPP要求的点对点传输服务。 五、虚拟专用网技术分类 自愿隧道是终端先接入Internet，然后建立基于IP网络的终端和内部网络路由器之间的第2层隧道，最后，通过第2层隧道提供的等同于语音信道的传输服务，路由器通过PPP完成终端接入内部网络所要求的接入控制过程； 当终端建立和LAC之间的语音信道，并确定远程接入用户要求接入内部网络，由LAC建立和路由器之间的第2层隧道，并在远程接入用户和路由器之间完成PPP帧的中继过程，对于LAC和路由器之间的第2层隧道，远程接入用户是透明的。 五、虚拟专用网技术分类 内部网络通过SSL VPN网关连接Internet，SSL VPN网关是一个支持HTTPS访问方式的Web服务器，远程终端和SSL VPN网关之间通过SSL/TLS实现双向身份鉴别和安全传输，SSL VPN网关可以为每一个远程用户设置内部网络资源的访问权限 。 五、虚拟专用网技术分类 远程用户通过SSL VPN网关的全球IP地址访问SSL VPN网关，SSL VPN网关通过内部网络的本地IP地址和资源服务器实现信息交换，由SSL VPN网关实现HTTP和相应资源服务器访问协议之间的转换，由SSL/TLS实现远程终端和SSL VPN网关之间传输的信息的必威体育官网网址性和完整性。 五、虚拟专用网技术分类 多协议标签交换（MPLS）通过建立标签交换路径（LSP）实现Internet两个端点之间的通信过程 。 五、虚拟专用网技术分类 基于MPLS的第2层VPN结构中，PE一方面作为MPLS网络的边缘路由器，参与PE之间LSP的建立，另一方面，PE对于内部网络又是一个桥设备，实现连接LAN路由器的VC 和PE之间LSP的交接 。 五、虚拟专用网技术分类 基于MPLS的第3层VPN结构中，LSP就是PE之间的单