构建安全优化的广域网
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
* ip 基于 hop-by-hop 转发模式,ATM 不是,但它因控制复杂,成本高昂,难以普及(只有金桥和已倒闭的北电能够熟练掌握其技 术) ,而 MPLS 介于两者之间。 IP 转发采用最长匹配,需多次查表,算法效率不高。 ATM 转发采用唯一匹配,一次查表,效率很高。 * MPLS 标签(label)长度为 32 位,具有局部意义的标识,放在链路层封装头和网络层封装头之间,用此标签封装网络层分组, 可以承载在各种链路层协议上。 * MPLS 组成: 【20 比特 label】--【3 比特 EXP】--【1 比特 S】--【8 比特 TTL】 MPLS 标签分为 4 个区域: 1、Label :标签值,长度 20b,是标签转发表的关键索引; 2、EXP:用于 QoS,长度 3b,作用与 Ethernet 802.1p 值相似; 3、S:栈底标识,长度 1b,果有多个 Label 时,在栈底的 Label 的 S 位置为"1",其他为"0",只有一个 Label 时 S 位置为"1"; 4、TTL:存活时间,长度 8b,与 IP 报文的 TTL 值相似,这个值从 IP 报文头的 TTL 域拷贝过来,每进行一次 Label 交换时, 外层 Label 的 TTL 值就减“1” 。 * MPLS 网络组成:非 MPLS 网络-----【MPLS 网络:LER—LSR—LER】-----非 MPLS 网络。 MPLS 网络和非 MPLS 网络兼容性很好。 LER:标签边界路由器;LSR:标签交换路由器。 “ 【---】 ”这条路径称做 LSP:标签交换路径。 * FEC 转发等价类:通俗说,不管什么流都做等价转发处理,在转发过程中以等价的方式处理的一组数据分组,可以通过地址、隧 道、COS 等来标识创建 FEC。 * MPLS 可实现多层嵌套:如, 【数据链路层】 【MPLS 标签 1】 【MPLS 标签 2】 【MPLS 标签…】 【网络层】 * MPLS 标签识别: 以太网帧结构: 【D-MAC】 【S-MAC】 【TYPE】 【DATE】----------------【CRC】 普通 IP 包: 【D-MAC】 【S-MAC】 【0800】-----------【IP Packet】 【CRC】 MPLS 包: 【D-MAC】 【S-MAC】 【8847】 【MPLS 标签】 【IP Packet】 【CRC】 * 能够分配 MPLS 标签的协议:1、LDP 标签分配协议(公有) ,取代之有 TDP 标记分发协议(cisco 私有) ;2、RSVP 资源预留协议; 3、MP-BGP 多协议 BGP。 * 在 LDP 协议中,存在 4 种类型的 LDP 消息: 1、发现消息(Discovery messages) :用于 LDP 邻居的发现和维持。 (使用 UDP646 端口,使用组播地址 224.0.0.2) 2、会话消息(Session messages) :用于 LDP 邻居会话的建立、维持和中止。 (有地址大的一方发起 TCP 链接) 3、通告消息(Advertisement messages) :用于 LDP 实体向 LDP 邻居宣告 Label、地址等信息。 4、通知消息(Notification messages) :用于向 LDP 邻居通知事件或者错误。 * 上游与下游:流量发起的一方为上游,接收的一方为下游,而 label 分配方向与流量方向相反,即由下游分配到上游。 * 标签分配过程:LDP session 建立完成后,路由器根据路由表进行标签分配,形成 MPLS 标签转发表。标签转发表主要包含入标 签(IN) 、出标签(OUT)和出接口,路由器可以根据标签转发表转发 MPLS 报文。标签是设备随机自动生成的,16 以下为系统保留。 * 标签分配过程中,IN 标签在华三定义中是自己分配的标签,分配给上游使用;OUT 标签是别人分配的标签。 (与一些厂商相反) * 标签分配和管理: 1、标签分配模式; a.DOD(downstream-on-demand,下游按需标记分配) :只有当上游向下游请求流量时,下游才向上游分配 lable。 b.DU(downstream unsolicited,下游自主标记分配) :不管上游请不请求,下游都分配 lable。 (现在主流) 2、标签控制模式; a.有序方式(Ordered) :上游设备只有收到它的下游返回的标签映射消息后才向其更上游发送标签映射消息。 b.独立方式(Independent) :不管有没有收到其下游返回的标签映射消息,都向上游发送标签映射消息。 (现在主流) 3、标签保持方式; a.保守模式(Conservative) :只保留来自下一跳邻居的标签,丢弃所有非下一跳邻居发来的标签。优点:节省内存和标 签空间;缺点:当 IP 路由收敛、下一跳改变时 LSP 收敛慢。 (如,最优路径突然 down 掉) b.自由模式(Liberal) :保留来自邻居的所有标签。优点:当 IP 路由收敛、下一跳改变时减少了 LSP 收敛时间。缺点: 需要更多的内存和标签空间。 (现在主流) * MPLS 转发实现: 1、标签 PUSH:非 MPLS 网络 IP 报文进入 MPLS 网络,LER 进行标签压入(PUSH 操作) 。 2、标签 SWAP:报文在 MPLS 网络中间进行转发时,在 LSR 上进行标签交换(SWAP) 。设备只需查询标签转发表即可完成转发。 3、标签 POP:标签从 MPLS 网络进入非 MPLS 网络,LER 进行标签弹出(POP 操作) 。 * 随着硬件技术的进步,采用 ASIC 和 NP 进行转发的高速路由器和三层交换机得到广泛应用,使得 IP 转发性能大为提高,可以满 足网络数据转发性能需求。MPLS 技术(软件)在提高转发性能应用上未能发挥优势。 * MPLS 支持多层标签嵌套和面向连接的特点,使得其在 VPN(MPLS-VPN) 、流量工程 TE(MPLS-TE) 、QoS、CCC 等方面得到广泛应用。 * 传统企业网面临的问题:: 1、直接通过 Internet 或运营商骨干网络连接分支机构的缺点:网络层协议必须统一、必须使用统一的路由策略、必须使 用同一公网地址空间。 2、企业直接通过专线、电路交换或分组交换的广域网技术连接其分支机构的缺点:布署成本高、变更不灵活、移动用户远 程拨号接入费用高。 * VPN 的优势:1、可以快速构建网络,降低布署周期;2、与私有网络一样提供安全性,可靠性和可管理性;3、可利用 Internet, 无处不连通,处处可接入;4、简化用户侧的配置和维护工作;5、提高基础资源利用率;6、于客户可节约使用开销;7、于运营商 可以有效利用基础设施,提供大量、多种业务。 * VPN 是由若干 Site 组成的集合。Site 可以同时属于不同的 VPN,但是必 须遵循如下规则:两个 Site 只有同时属于一个 VPN 定义的 Site 集合,才 具有 IP 连通性。按照 VPN 的定义,一个 VPN 中的所有 Site 都属于一个企 业, 称为 Intranet; 如果 VPN 中的 Site 分属不同的企业, 则称为 Extranet。 * VPN 接入: VPN 用户--PSTN/ISDN--NAS 服务器-【internet】 --VPN Server * 隧道可以通过隧道协议来实现。根据是在 OSI 模型的第二层还是第三 层实现隧道,隧道协议分为第二层隧道协议和第三层隧道协议。 * 一般地,第二层隧道协议和第三层隧道协议都是独立使用的,如果合理 地将这两层协议结合起来使用,将可能为用户提供更好的安全性(如将 L2TP 和 IPSec 协议配合使用)和更佳的性能。 * 传统企业网面临的问题:: 1、直接通过 Internet 或运营商骨干网络连接分支机构的缺点:网络层协 议必须统一、必须使用统一的路由策略、必须使用同一公网地址空间。 2、企业直接通过专线、电路交换或分组交换的广域网技术连接其分支机 构的缺点:布署成本高、变更不灵活、移动用户远程拨号接入费用高。 -1-
* 第二层隧道协议:第二层隧道协议是将整个 PPP 帧封装在内部隧道中。 1、PPTP(Point-to-Point Tunneling Protocol) :点到点隧道协议,由微软、Ascend 和 3COM 等公司支持,在 Windows NT 4.0 以上版本中支持。该协议支持点到点 PPP 协议在 IP 网络上的隧道封装,PPTP 作为一个呼叫控制和管理协议,使用一种增强 的 GRE(Generic Routing Encapsulation,通用路由封装)技术为传输的 PPP 报文提供流控和拥塞控制的封装服务。 2、L2F(Layer 2 Forwarding)协议:二层转发协议,由北方电信等公司支持。L2F 协议支持对更高级协议链路层的隧道 封装,实现了拨号服务器和拨号协议连接在物理位置上的分离。 3、L2TP(Layer 2 Tunneling Protocol) :二层隧道协议,由 IETF 起草,微软等公司参与,结合了上述两个协议的优点, 为众多公司所接受,并且已经成为标准 RFC。L2TP 既可用于实现拨号 VPN 业务,也可用于实现专线 VPN 业务。 * 第三层隧道协议:第三层隧道协议的起点与终点均在 ISP 内,PPP 会话终止在 NAS 处,隧道内只携带第三层报文。 1、GRE(Generic Routing Encapsulation)协议:这是通用路由封装协议,用于实现任意一种网络层协议在另一种网络层 协议上的封装。 2、IPSec(IP Security)协议:IPSec 协议不是一个单独的协议,它给出了 IP 网络上数据安全的一整套体系结构,包括 AH(Authentication Header) 、ESP(Encapsulating Security Payload) 、IKE(Internet Key Exchange)等协议。GRE 和 IPSec 主要用于实现专线 VPN 业务。 * 【协议 B:协议 B 数据包】--RTA--【VPN 网络,协议 A:?-封装包-数据】--RTB--【协议 B:协议 B 数据包】 封装包格式: 【协议 A 头:承载协议】 【封装协议头:封装协议】 【协议 B 头:载荷协议】 【载荷数据】 * VPN 的分类: (1)按运营模式划分: 1.CPE-based VPN(Customer Premises Equipment based VPN) :用户不但要安装价格昂贵的设备及专门认证工具,还要负责繁杂 的 VPN 维护(如通道维护、带宽管理等) 。这种方式组网复杂度高、业务扩展能力弱。 2.Network-based VPN(NBIP-VPN) :将 VPN 的维护等外包给 ISP 实施(也允许用户在一定程度上进行业务管理和控制) ,并且将 其功能特性集中在网络侧设备处实现,这样可以降低用户投资、增加业务灵活性和扩展性,同时也可为运营商带来新的收入。 (2)按业务用途划分: 1.Intranet VPN(企业内部虚拟专网) :Intranet VPN 通过公用网络进行企业内部各个分布点互联,是传统的专线网或其它企业网 的扩展或替代形式。 2.Access VPN(远程访问虚拟专网) :Access VPN 向出差流动员工、远程办公人员和远程小办公室提供了通过公用网络与企业的 Intranet 和 Extranet 建立私有的网络连接。Access VPN 的结构有两种类型,一种是用户发起(Client-initiated)的 VPN 连 接,另一种是接入服务器发起(NAS-initiated)的 VPN 连接。 3.Extranet VPN(扩展的企业内部虚拟专网) :Extranet VPN 是指利用 VPN 将企业网延伸至供应商、合作伙伴与客户处,使不同 企业间通过公网来构筑 VPN。 (3)按组网模型划分: 1.虚拟专用拨号网络(VPDN) :VPDN(Virtual Private Dial Network)是指利用公共网络(如 ISDN 和 PSTN)的拨号功能及接入 网来实现虚拟专用网,从而为企业、小型 ISP、移动办公人员提供接入服务。 2.虚拟租用线(VLL) :VLL(Virtual Leased Line)是对传统租用线业务的仿真,通过使用 IP 网络对租用线进行模拟,提供非对 称、低成本的“DDN”业务。从虚拟租用线两端的用户来看,该虚拟租用线近似于过去的租用线。 3.虚拟专用 LAN 网段(VPLS)业务:VPLS(Virtual Private LAN Segment)借助 IP 公共网络实现 LAN 之间通过虚拟专用网段互 连,是局域网在 IP 公共网络上的延伸。 4.虚拟专用路由网(VPRN)业务:VPRN(Virtual Private Routing Network)借助 IP 公共网络实现总部、分支机构和远端办公室 之间通过网络管理虚拟路由器进行互连,业务实现包括两类:一种是使用传统 VPN 协议(如 IPSec、GRE 等)实现的 VPRN,另 外一种是 MPLS 方式的 VPRN。 (4)按网络层次划分: 1 L2VPN:包括 Martini 方式的 MPLS L2VPN、Kompella 方式的 MPLS L2VPN、SVC 方式的 MPLS L2VPN、VPLS 以及静态 CCC 配置。 2. L3VPN:包括 BGP/MPLS VPN、IPSec VPN、GRE VPN、DVPN 等。 * 主要 VPN 技术: 1、主要的 L2 VPN 技术:L2TP、PPTP、MPLS L2 VPN; 2、主要的 L3 VPN 技术 GRE、IPSec、BGP/MPLS VPN。 * GRE(Generic Routing Encapsulation,通用路由封装)协议是对某些网络层协议的数据报进行封装,使这些被封装的数据报能 够在另一个网络层协议中传输。GRE 是 VPN 的第三层隧道协议,在协议层之间采用了一种被称之为 Tunnel(隧道)的技术。 * GRE 封装包格式: 【链路层头】 【协议 A 头:承载协议】 【GRE 头:封装协议】 【协议 B 头:载荷协议】 【载荷数据】 * IP 用协议号 47 标识 GRE;GRE 使用以太类型 0x0800 标识载荷协议为 IP。 * GRE 隧道处理流程:1 隧道起点路由查找-->2 加封装-->3 承载协议路由转发-->4 中途转发-->5 解封装-->6 隧道终点路由查找。 1、隧道起点路由查找:源主机发出数据包,路由器检查包时,查找路由表,该路由条目转发接口显示为 Tunnel_N。 2、加封装:包格式, 【公共 IP 头:[S-IP][D-IP][ ]】 【GRE 头】 【私网 IP 包】 3、 承载协议路由转发: 封装好后, 进行常规承载协议路由转发,继续查路由表,路由条目显示转发端口为实体接口,如: S1/0。 4、中途转发:按常规承载协议进行在 VPN 网络中路由。 5、解封装:包到达目的路由器后,剥离公共 IP 头和 GRE 头。 6、隧道终点路由查找:解封装后,数据包按照载荷协议进行私网路由到达目标主机。 * GRE VPN 的特点: 1、优点:可以用当前最为普遍的 IP 网络作为承载网络、支持多种协议、支持路由协议和 IP 组播、配置简单,容易布署。 2、缺点:点对点隧道、静态配置隧道参数、布署复杂连Baidu Nhomakorabea关系时代价巨大、缺乏安全性、不能分隔地址空间。 * Tunnel 接口虚假状态与静态路由: 1、中间链路故障时接,Tunnel 口仍然 UP; 2、由于使用静态路由,备份隧道始终空闲,数据包被丢弃。 所以使用“Tunnel 接口 Keepalive 报文” : Tunnel 边沿两路由器互发该报文,若 RTA 收不到 RTB 的该报文时, Tunnel0 接口 down。 * (1)GRE VPN 基本配置: 1、创建虚拟 Tunnel 接口,并进入其接口视图:[Router]interface tunnel interface-number 2、指定 Tunnel 的源端:[Router-Tunnel0]source {ip-address|interface-type interface-number} 3、指定 Tunnel 的目的端:[Router Tunnel0]destination ip-address 4、设置 Tunnel 接口的 IP 地址:[Router Tunnel0]ip address ip-address {mask|mask-length} (2)GRE VPN 高级配置: 1、设置 Tunnel 接口报文的封装模式为 GRE:[Router-Tunnel0]tunnel-protocol gre 2、设置 Tunnel 两端进行端到端校验:[Router-Tunnel0]gre checksum 3、设置 Tunnel 接口的识别关键字:[Router-Tunnel0]gre key key-number 4、配置 Tunnel 的 Keepalive 功能:[Router-Tunnel0]keepalive [seconds[times]] -2-
* 第二层隧道协议:第二层隧道协议是将整个 PPP 帧封装在内部隧道中。 1、PPTP(Point-to-Point Tunneling Protocol) :点到点隧道协议,由微软、Ascend 和 3COM 等公司支持,在 Windows NT 4.0 以上版本中支持。该协议支持点到点 PPP 协议在 IP 网络上的隧道封装,PPTP 作为一个呼叫控制和管理协议,使用一种增强 的 GRE(Generic Routing Encapsulation,通用路由封装)技术为传输的 PPP 报文提供流控和拥塞控制的封装服务。 2、L2F(Layer 2 Forwarding)协议:二层转发协议,由北方电信等公司支持。L2F 协议支持对更高级协议链路层的隧道 封装,实现了拨号服务器和拨号协议连接在物理位置上的分离。 3、L2TP(Layer 2 Tunneling Protocol) :二层隧道协议,由 IETF 起草,微软等公司参与,结合了上述两个协议的优点, 为众多公司所接受,并且已经成为标准 RFC。L2TP 既可用于实现拨号 VPN 业务,也可用于实现专线 VPN 业务。 * 第三层隧道协议:第三层隧道协议的起点与终点均在 ISP 内,PPP 会话终止在 NAS 处,隧道内只携带第三层报文。 1、GRE(Generic Routing Encapsulation)协议:这是通用路由封装协议,用于实现任意一种网络层协议在另一种网络层 协议上的封装。 2、IPSec(IP Security)协议:IPSec 协议不是一个单独的协议,它给出了 IP 网络上数据安全的一整套体系结构,包括 AH(Authentication Header) 、ESP(Encapsulating Security Payload) 、IKE(Internet Key Exchange)等协议。GRE 和 IPSec 主要用于实现专线 VPN 业务。 * 【协议 B:协议 B 数据包】--RTA--【VPN 网络,协议 A:?-封装包-数据】--RTB--【协议 B:协议 B 数据包】 封装包格式: 【协议 A 头:承载协议】 【封装协议头:封装协议】 【协议 B 头:载荷协议】 【载荷数据】 * VPN 的分类: (1)按运营模式划分: 1.CPE-based VPN(Customer Premises Equipment based VPN) :用户不但要安装价格昂贵的设备及专门认证工具,还要负责繁杂 的 VPN 维护(如通道维护、带宽管理等) 。这种方式组网复杂度高、业务扩展能力弱。 2.Network-based VPN(NBIP-VPN) :将 VPN 的维护等外包给 ISP 实施(也允许用户在一定程度上进行业务管理和控制) ,并且将 其功能特性集中在网络侧设备处实现,这样可以降低用户投资、增加业务灵活性和扩展性,同时也可为运营商带来新的收入。 (2)按业务用途划分: 1.Intranet VPN(企业内部虚拟专网) :Intranet VPN 通过公用网络进行企业内部各个分布点互联,是传统的专线网或其它企业网 的扩展或替代形式。 2.Access VPN(远程访问虚拟专网) :Access VPN 向出差流动员工、远程办公人员和远程小办公室提供了通过公用网络与企业的 Intranet 和 Extranet 建立私有的网络连接。Access VPN 的结构有两种类型,一种是用户发起(Client-initiated)的 VPN 连 接,另一种是接入服务器发起(NAS-initiated)的 VPN 连接。 3.Extranet VPN(扩展的企业内部虚拟专网) :Extranet VPN 是指利用 VPN 将企业网延伸至供应商、合作伙伴与客户处,使不同 企业间通过公网来构筑 VPN。 (3)按组网模型划分: 1.虚拟专用拨号网络(VPDN) :VPDN(Virtual Private Dial Network)是指利用公共网络(如 ISDN 和 PSTN)的拨号功能及接入 网来实现虚拟专用网,从而为企业、小型 ISP、移动办公人员提供接入服务。 2.虚拟租用线(VLL) :VLL(Virtual Leased Line)是对传统租用线业务的仿真,通过使用 IP 网络对租用线进行模拟,提供非对 称、低成本的“DDN”业务。从虚拟租用线两端的用户来看,该虚拟租用线近似于过去的租用线。 3.虚拟专用 LAN 网段(VPLS)业务:VPLS(Virtual Private LAN Segment)借助 IP 公共网络实现 LAN 之间通过虚拟专用网段互 连,是局域网在 IP 公共网络上的延伸。 4.虚拟专用路由网(VPRN)业务:VPRN(Virtual Private Routing Network)借助 IP 公共网络实现总部、分支机构和远端办公室 之间通过网络管理虚拟路由器进行互连,业务实现包括两类:一种是使用传统 VPN 协议(如 IPSec、GRE 等)实现的 VPRN,另 外一种是 MPLS 方式的 VPRN。 (4)按网络层次划分: 1 L2VPN:包括 Martini 方式的 MPLS L2VPN、Kompella 方式的 MPLS L2VPN、SVC 方式的 MPLS L2VPN、VPLS 以及静态 CCC 配置。 2. L3VPN:包括 BGP/MPLS VPN、IPSec VPN、GRE VPN、DVPN 等。 * 主要 VPN 技术: 1、主要的 L2 VPN 技术:L2TP、PPTP、MPLS L2 VPN; 2、主要的 L3 VPN 技术 GRE、IPSec、BGP/MPLS VPN。 * GRE(Generic Routing Encapsulation,通用路由封装)协议是对某些网络层协议的数据报进行封装,使这些被封装的数据报能 够在另一个网络层协议中传输。GRE 是 VPN 的第三层隧道协议,在协议层之间采用了一种被称之为 Tunnel(隧道)的技术。 * GRE 封装包格式: 【链路层头】 【协议 A 头:承载协议】 【GRE 头:封装协议】 【协议 B 头:载荷协议】 【载荷数据】 * IP 用协议号 47 标识 GRE;GRE 使用以太类型 0x0800 标识载荷协议为 IP。 * GRE 隧道处理流程:1 隧道起点路由查找-->2 加封装-->3 承载协议路由转发-->4 中途转发-->5 解封装-->6 隧道终点路由查找。 1、隧道起点路由查找:源主机发出数据包,路由器检查包时,查找路由表,该路由条目转发接口显示为 Tunnel_N。 2、加封装:包格式, 【公共 IP 头:[S-IP][D-IP][ ]】 【GRE 头】 【私网 IP 包】 3、 承载协议路由转发: 封装好后, 进行常规承载协议路由转发,继续查路由表,路由条目显示转发端口为实体接口,如: S1/0。 4、中途转发:按常规承载协议进行在 VPN 网络中路由。 5、解封装:包到达目的路由器后,剥离公共 IP 头和 GRE 头。 6、隧道终点路由查找:解封装后,数据包按照载荷协议进行私网路由到达目标主机。 * GRE VPN 的特点: 1、优点:可以用当前最为普遍的 IP 网络作为承载网络、支持多种协议、支持路由协议和 IP 组播、配置简单,容易布署。 2、缺点:点对点隧道、静态配置隧道参数、布署复杂连Baidu Nhomakorabea关系时代价巨大、缺乏安全性、不能分隔地址空间。 * Tunnel 接口虚假状态与静态路由: 1、中间链路故障时接,Tunnel 口仍然 UP; 2、由于使用静态路由,备份隧道始终空闲,数据包被丢弃。 所以使用“Tunnel 接口 Keepalive 报文” : Tunnel 边沿两路由器互发该报文,若 RTA 收不到 RTB 的该报文时, Tunnel0 接口 down。 * (1)GRE VPN 基本配置: 1、创建虚拟 Tunnel 接口,并进入其接口视图:[Router]interface tunnel interface-number 2、指定 Tunnel 的源端:[Router-Tunnel0]source {ip-address|interface-type interface-number} 3、指定 Tunnel 的目的端:[Router Tunnel0]destination ip-address 4、设置 Tunnel 接口的 IP 地址:[Router Tunnel0]ip address ip-address {mask|mask-length} (2)GRE VPN 高级配置: 1、设置 Tunnel 接口报文的封装模式为 GRE:[Router-Tunnel0]tunnel-protocol gre 2、设置 Tunnel 两端进行端到端校验:[Router-Tunnel0]gre checksum 3、设置 Tunnel 接口的识别关键字:[Router-Tunnel0]gre key key-number 4、配置 Tunnel 的 Keepalive 功能:[Router-Tunnel0]keepalive [seconds[times]] -2-