MPLS VPN seminar 15th May 01 Chinese.ppt

3/01/01 Juniper Networks, Inc. Copyright ? 2001 - Proprietary Confidential 虚拟专网（VPN） Name Date 虚拟专网（VPN）介绍 运营模式：BGP/MPLS VPN (RFC 2547bis) 运营模式：二层MPLS VPN 总结 第一部分VPN介绍 什么是VPN？ 专网是建立在共享基础设施之上的 虚拟：并不是一个单独的物理网络 专有：独立的地址使用及路由 网络：一组能够相互通信的设备的集合 策略是关键 – 全局连通性并不是目的 90年代实施的VPN 运营模式 PVC覆盖在共享基础设施（ATM/帧中继）之上 路由在客户处实施 优点 成熟的技术 相对“安全” 服务保证（带宽，可用性及其它方面） 局限 可扩展性及管理 并不是一个完全集成的IP解决方案 21世纪实施的VPN Internet是共享的基础设施 IP/MPLS（并不是ATM/FR）变得越来越为重要 用户需求 使用一个网络为所有服务提供连接 半公共连通性而不是专有连通性 提供商需求 可支持所有业务的多业务基础设施 突出提供上在VPN解决方案中的位置 MPLS用户的优势 为公共网络及专有网络提供无缝集成 可为服务提供商提供单一连接 对新业务提供快速支持 降低运营开支 提供更高的网络可靠性及可用性（SLA） MPLS提供商的优势 基于标准的，以IP为中心的解决方案 支持流量工程 克服了覆盖模型所具有的局限性 支持多种业务提供模型 为核心网提供灵活性以支持多种业务 将IP及第二层技术以适当的方法进行组合，是扩展更为丰富的VPN模型的自然选择 一个VPN模型不能满足所有用户！ 挑战：支持多种VPN实施模型 解决方案：建立灵活的，支持多业务的核心网 集成公共，半公共及专有业务 支持其它具有不同需求的新业务 支持多种VPN业务模式 VPN分类模型 用户管理的VPN解决方案（CPE-VPN） 二层：L2TP及PPTP 三层：IPsec 提供商实施的VPN解决方案（PP-VPN） 三层：基于MPLS的VPN （RFC 2547bis） 三层：非基于MPLS的VPN（虚拟路由器） 二层：MPLS VPN（draft-kompella-mpls-l2vpn-02.txt） 二层CPE-VPN： L2TP及PPTP 应用 远程用户的拨号接入 二层隧道协议（L2TP） RFC 2661 L2F及点到点隧道协议的组合 点到点隧道协议（PPTP） 与Windows及Windows NT捆绑 都支持Ipsec加密技术 在隧道端点处进行认证及加密 三层CPE-VPN：IPsec 定义了IETF三层安全性体系结构 应用 高安全性要求 可将VPN扩展跨越多个服务提供商 安全性服务包括 接入控制 数据起源认证 重放保护 数据完整性 数据私密性（加密） 密匙管理 三层CPE-VPN：IPSec – 例子 路由必须在CPE处执行 隧道在用户处终结 只有CPE设备需要支持IPSec 不需要对共享/公共资源进行修改 ESP隧道模型 认证确保完整（CPE至CPE） 加密原有的报头/负载通过Internet 支持私有地址空间 三层CPE-VPN： Ipsec优势及局限 优势 并不干扰现有应用 – 运行在第三层之上 被保护的数据包通过现有路由器进行转发 局限 提供商机会很小（除了可以提供可靠的、可扩展的Internet外） 注释 美国正在放宽对加密技术出口的限制 Ipsec是用户“负责”的解决方案 Ipsec是提供公共管道的最为快速的方法 PP-VPN：三层分类 提供商路由器参与用户三层路由体系 CPE路由器将其路由广播给提供商 可通过提供商为其他路由提供缺省路由 提供商路由器 管理特定VPN路由表 将路由分配给VPN中的其它站点 PP-VPN：二层分类 提供商路由器为客户提供二层链路ID（DLCI或VPI/VCI） 每个可达站点具有一个 客户将其自己的路由映射到链路网 提供商路由器将链路ID映射至一条标记交换路径（LSP）以穿过提供商核心网 客户路由对提供商路由器透明 三层PP-VPN：RFC 2547bis 应用：小型至中型企业VPN 运行模式 PE为每个与其直连的VPN站点维护与该站点相关的转发表 客户与提供商间运行传统IP路由 使用MP-IBGP发布VPN路由 使用MPLS在提供商骨干网中对VPN业务进行转发 三层PP-VPN：RFC 2547bis 通过标记分配协议（LDP）或资源预留协议（RSVP）在提供商网络中建立MPLS隧道 BGP用于发布 VPN有关信息（发现） VPN路由及可达信息 每条VPN LSP的标记（封装在PE-PE LSP隧道中） 灵活的、基于策略的控制机制 在BGP更新中输出“路有目的”