Embed Size (px)
DESCRIPTION
安全网管技术. 张焕杰 中国科学技术大学网络信息中心 [email protected] http://202.38.64.40/~james/nms Tel: 3601897(O). 第7章 VPN 技术及应用. 本章主要内容 VPN 介绍 Access VPN LAN-LAN VPN MPLS VPN L2VPN. 参考资料:. 参考资料: 安全体系结构的设计、部署与操作,常晓波等译,清华大学出版社 Cisco Networkers 2003 SEC-2011: Deploying Site-to-Site IPSec VPNs. MPLS 介绍. - PowerPoint PPT Presentation
Citation preview
2
第第 77 章 章 VPNVPN 技术及应用技术及应用
本章主要内容– VPN 介绍– Access VPN– LAN-LAN VPN– MPLS VPN– L2VPN
3
参考资料:参考资料:
参考资料:安全体系结构的设计、部署与操作,常晓
波等译,清华大学出版社Cisco Networkers 2003
– SEC-2011: Deploying Site-to-Site IPSec VPNs
4
MPLSMPLS 介绍介绍早期的通信网络中,有两种常见的通信方
式– 线路交换
转发操作简单、速率快,固定延迟,不灵活,价格高
一般作为传输基础网络使用– 包交换
延迟不固定,转发操作复杂(查路由,修改 ttl ,校验和等信息)、速率慢,灵活
FR 、 IP 等
5
MPLSMPLS 介绍介绍ATM 的出现,融合了以上 2 种通信方式包交换的基础上可以提供类似线路交换的
服务转发操作简单(根据 VPI/VCI 简单处
理)包大小: 53 字节???全新的技术,不容易被接受,成本高随后出现的 MPLS 又进了一步
– MPLS 的 label 概念跟 ATM 的 VPI/VCI 很象
6
7
8
9
10
11
MPLSMPLS 介绍介绍
12
13
14
15
16
17
18
19
MPLSMPLS 优势优势
控制平面、传输平面的分离传输平面非常简单,转发数据时只要查表、
修改 label 即可,很容易得到高性能控制平面分离出来,可以进行非常复杂的
控制,完成各种功能BGP 、 LDP 、 RSVPAToM, Any Transport over MPLS
20
MPLS L3 VPNMPLS L3 VPN
MPLS 转发是基于 label 的,跟数据包的信息无关
如果控制平面能针对每个 VPN 使用独立的 label ,就可以在核心层同时传输不同VPN 的数据包而且不会混淆,而且核心层传输时对 VPN 不需要考虑
在网络边缘时要针对不同的 VPN 进行特殊的处理,把数据包和 label 对应
21
22
术语术语
CE Customer Edge router(also referred to as CPE)
PE Provider edge routerP Provider core routerVRF Virtual Routing and Forwarding
23
24
25
26
27
28
29
MPLS L3 VPNMPLS L3 VPN
P 、 PE 路由器间运行 OSPF 或 IS-IS 内部路由协议以及 LDP 协议,完成骨干网的路由协议交互和 MPLS LDP 处理
PE 路由器间运行 BGP 4 路由协议,交换VPN 用户的路由
CE 、 PE 间可以使用静态路由,也可以采用动态路由
VPN 用户的 IP 地址仅仅在相连的 PE 上可见,对 P 不可见
30
MPLS L3 VPNMPLS L3 VPN
用户的维护修改 PE 配置即可问题:
– 一个 VPN 内不同站点间的路由信息的传递由BGP 4 完成,也就是 VPN 用户的路由信息的维护涉及到 PE 路由器,即运行商需要参与用户的路由过程。用户路由出现故障时需要查看 BGP4 的信息来调试。
– 而 BGP 对管理员来说太复杂了– 没有加密,可以在用户端使用 IPsec
31
32
33
34
35
36
37
38
39
MPLS VPNMPLS VPN 的优势的优势
对运营商– 采用 L3VPN ,一个 MPLS 基础网络可以把
多个客户同时用 3 层接入,这些客户又是隔离的
– 采用 L2VPN ,一个 MPLS 基础网络即可提供 IP 业务,也可以在上面提供 FR 等传统业务
对用户– 价格?其他优势不是非常明显
40
课程总结课程总结
网络系统建设2 层网络的安全威胁及对策网络管理系统和 snmp 协议网络隔离与防火墙技术数据安全与存储技术网络安全事件响应VPN 技术与应用
41
课程作业课程作业 (1)(1)
1. 模块化的网络设计分为哪三层?一个具有 48 个10/100M 端口和 2 个 1000M 端口的交换机最可能是哪一层的设备?
2. 100M 网络包速率最高是多少 pps? 如何得出的?3. 一台接在 2 层交换机某个端口的计算机,他能监听到其他计算机间的通信吗?为什么?
4. 管理员想通过 snmp 协议查询到路由器上的 arp表,应该访问 MIB库下哪个表格?
5. 具有软驱的机器,使用双网卡隔离技术能保证某台内部服务器上的公开信息不会泄密到外部网络吗?
42
课程作业课程作业 (2)(2)
6. 系统中 1T 数据需要备份,备份窗口是 4 小时,计划用磁带机备份,每台磁带机的写入速度是20MB/s ,请问至少需要几台磁带机?如果通过网络备份,备份时大约需要占用多少网络带宽?
7. Fibre Channel Ports 分哪几种?8. 网络安全事件响应分为哪些阶段?9. 利用 MPLS VPN 传输机密信息合适吗?为什么?10. 你认为本课程还需要增加哪些部分的内容?
