第10章网络逻辑设计讲义.ppt

（3）MPLS VPN的适用场景 MPLS VPN适用于运营商城域网、大型园区网、有异地分支机构的Intranet或Extranet。 （4）L1 VPN（OVPN）适用于对网络传送资源需求量较大并对QoS 和安全有严格要求的用户。 （5）IPSec 和MPLS 不是互斥的可以结合使用 两者可同时使用。可以为需要较高认证和机密性的数据流使用IPSec，而为对带宽、流量工程和QoS 有较高要求的数据流使用MPLS。 组播设计要点 1）园区内部宜采用本地管理组地址作为组播地址。 2）园区网域内组播路由宜使用PIM组播路由协议。这是因为园区网的路由属于域内路由，园区网部署的组播业务不涉及跨域问题。 3）在园区网中，宜采用PIM-SM+IGMP Snooping实现组播业务。汇聚交换机到组播源采用PIM-SM协议，接入交换机通过IGMP Snooping+组播VLAN， 可实现跨VLAN的组播，终端上部署IGMP。 * VPN的分类 按VPN隧道协议工作的层次划分 ·第1层VPN（L1 VPN） ·第2层VPN（L2 VPN） ·第3层VPN（L3 VPN） ·高层 (网络层以上) VPN 按VPN的应用分类 Remote Access VPN（远程接入VPN）：由外地客户端(例如笔记本上的VPN软件)和公司网关组成，在出差员工和公司之间利用公网传输加密数据； Intranet VPN（内联网VPN）：由异地分支机构网关和公司网关组成，在分支机构和公司总部之间利用公网传输加密数据； Extranet VPN（外联网VPN）：由公司的网关和合作伙伴企业的网关构成，在一个公司与另一个公司之间利用公网进行加密传输。 基于不同产品平台的VPN 路由器VPN：路由器VPN是在路由器上运行VPN程序； 交换机VPN：交换机VPN是在交换机上运行VPN程序，主要应用于连接用户较少的VPN网络； 防火墙VPN：防火墙VPN是在防火墙上运行VPN程序，是最常见的VPN实现方式。 按穿越的公网种类进行分类 帧中继（F.R.）VPN ATM VPN IP VPN MPLS VPN VPN 隧道协议 在公网上建立虚拟信道是利用隧道技术实现的，隧道可建立在物理层、链路层、网络层或高层。 第一层隧道 OVPN(Optical VPN，光虚拟专用网)是目前最被看好的L1 VPN。 OVPN 使运营商能将其光网络分成多个虚拟网络分别提供给多个用户，可提供区别于传统带宽型的业务。 第二层隧道基于PPP（点到点协议）协议，有PPTP，L2P，L2TP，其特点是协议简单，易于加密，适合远程拨号用户。先将用户IP包封装在PPP数据包中，再封装在某种广域网的网络层PDU中。 第三层隧道是IP in IP，如IPSec，其可靠性及扩展性优于第二层隧道，但没有前者简单直接，只适合在IP网上建隧道。将用户IP包封装在加了密的IP包中。 高层隧道 高层隧道协议工作于网络层以上各层，目前主要有SSL VPN(参见教材P71)、MPLS VPN（参见教材P72）。 IP组播技术 概述 IP组播技术实现了IP网络中点到多点的高效数据传送。 相对于数据单播传送，组播有效节省网络带宽，降低对网络设备的要求，用户规模可以灵活变化，用户规模的增大不会对网络和服务器造成带宽和性能压力。 在实时数据传送、多媒体会议、数据拷贝、游戏和仿真等诸多方面都有广泛应用。 组播在园区网一般用于特殊场景，例如：网上教学、IP组播视频会议等业务。 地址 组播组用D类IP地址（～55）来标识。 按照使用范围划分，组播地址可以分为三部分： （1）协议保留组播地址 地址范围：～55。 此地址范围被IANA预留，一般供网络协议使用。 该范围内的地址属于局部范畴，此地址的组播报文不能被转发。 （2）用户组播地址 地址范围：～55 此地址范围也称为公用组播地址，在全网范围内有效，可以用于Internet上。 （3）本地管理组地址 地址范围：～55，此地址范围也称为私有组播地址，主要用于测试或供内部网络的内部使用，这个地址的组播不能上公网，类似于单播协议使用的私网地址。 园区内部部署的组播业务只是供本园区内部使用，宜采用本地管理组地址作为组播地址。 组播协议 （1）协议分类 根据协议的作用范围，组播协议可分为： 组播成员关系管理协议 （主机-路由器之间的协议） 组播路由协议 （路由器-路由器之间协议） 组播成员关系管理协议 IGMP（互连网组管理协议），目前有V1、V2、V3三个版本。 组播路