VPN技术应用介绍1.0

1VPN技术应用介绍南京电信大客户部技术支撑分部2004年2月2前言本文所述VPN均指基于计算机数据（含互联网）网络应用的VPN。电话网（含移动电话网）业务中的VPN业务：Centrex、WAC等不在此列。3提纲什么是VPNVPN组网技术分类什么是二层与三层的概念VPN接入技术我们能提供什么样的VPNMPLSVPN技术网络概述电信VPN的业务资费4什么是VPN？•VPN～VirtualPrivateNetwork（虚拟专用网）--在公共的网络基础架构上提供的一种私有的网络服务--物理上，VPN是利用公共的网络，而不是私有专用的网络，因而它是廉价的--逻辑上，VPN又是一个私有的网络，满足客户的业务需求--公共网络：宽带IP(如ChinaNet)、ATM、FR•传统的专用网--租用电路，采用自己独立的网络策略构筑的具有专用性质的网络--需要购买大量的、甚至长途的中继：如2M数字电路、DDN等5客户：在满足专用网业务要求的基础上，希望降低成本。VPN电信公共网络Internet,IP,FR,ATM为什么需要VPN？-客户传统专用网的特点安全性服务质量(QoS)保障独立策略(例如独立的地址分配策略，独立的路由协议规划)成本高6企业各分支机构间的网络课题专线/FrameRelay连接，价格高更改复杂自行维护VPN（IPsec等）：需要网络技术人员由运营商提供VPN解决方案比专线价格低（设备共享、多样化统计）网络设定变更容易由专家进行管理运营（从最终用户进行托管）企业各分支机构内部通信的课题7•每种业务/每个公司可以独立实施策略--结果：保持各自的独立性和保密性，满足用户要求•多种业务/多个公司可以共享一个网络--结果：节省费用、易于统一管理电信网络发展方向：同一网络承载多种（所有）业务。为什么需要VPN？-电信电信期望：满足用户业务需求，也要降低成本，提高竞争力。8存在哪些VPN（技术上）传统VPN--FR帧中继(二层)--ATM(二层)基于CPE的VPN--L2TP及PPTP(二层)--IPSec(三层)电信基础运营商实施的VPN--基于MPLS的二层VPN--BGP/MPLSVPN或RFC2547bis(三层)9用户自己组网方式一：拨号ＰＳＴＮ远端用户企业网络中心内部网络应用服务器拨号接入Modem池远端用户电话线路电话线路远端用户如果是ISDN，则该线路可能是PRI（HDSL或光纤2M数字电路承载）远端用户可以是普通拨号用户或ISDN用户10网络中心点宽带接入（固定ip地址）分支节点客户端网络PublicView公共internet网络IPsecVPN组网示例Ipsec客户端CPEIpsec客户端Internet宽带接入宽带接入宽带接入宽带接入Ipsec客户端Ipsec客户端分支节点客户端网络分支节点客户端网络CPE：具有VPN功能、防火墙功能、路由等功能宽带接入：FTTX+LAN、XDSL等用户自己组网方式二：基于互联网IPsec加密隧道IPsec加密隧道11客户A10.1.1VPN15客户A10.2.1VPN15客户A10.3.1VPN15客户B10.1.1VPN354客户B10.2.1VPN354(15)10.1.1(354)10.1.1(354)10.2.1(15)10.2.1(15)10.3.1客户端网络PrivateViewPublicView转发表示例INOUT(15)10.2.1(15)10.1.1(15)10.3.1(354)10.2.1(354)10.1.1运营商MPLS核心网络PEPEPEPPOSPF,RIP,BGPMPLSVPN组网示例CECECECECE客户端网络12存在哪些VPN（应用上）针对不同的用户要求，VPN有三种解决方案：远程访问虚拟网（AccessVPN）企业内部虚拟网（IntranetVPN）企业扩展虚拟网（ExtranetVPN）这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。13远程访问虚拟网（AccessVPN）14V信通用户LACRADIUS服务器LNSRADIUS服务器内部服务器PSTN/ISDNCHINANETL2TP隧道公司企业网V信通用户最终接入内部网认证示意图远程访问虚拟网示例（VPDN）拨号接入服务器拨号用户PPP连接加密数据隧道拨号用户AAA服务器用户内部网络AAA服务器VPDN全名为虚拟私有拨号网络（VirtualPrivateDialupNetworks），是指以拨号接入方式实现的VPN业务。通过对网络数据的封包和加密在公网上传输私有数据，达到私有网络的安全级别，从而利用公众交换电话网络（PSTN）的架构来构筑企业之私有网络15企业内部虚拟网（IntranetVPN）16企业扩展虚拟网（ExtranetVPN）17选择VPN的考虑因素?应用重要程度投资计划安全性网络带宽站点数量、用户数量路由复杂性雇员（使用者）网络技能内部维护能力外包网络服务的期望值……18什么是二、三层概念？概念来源于ISO/OSI的7层模型二层交换：基于MAC地址寻址传统的交换位于第二层（数据链路层）。数据链路层的功能是在网络内部传输帧。所谓“网络内部”是指这一层的传输不涉及网间的设备和网间寻址。三层路由：基于IP地址寻址而路由则发生在第三层（网络层）。网络层的功能是保证端到端的数据传输（不论跨越多少网络）。新的网络中，路由的智能和交换的性能被有机的结合起来，三层交换机和多层交换机在园区网络（城域网的汇聚层）中大量使用。19什么是二、三层概念？（续）20用户可选择什么接入方式？光纤高速接入--ATM/POS、光纤以太网接入（FE/GE）集成ADSL接入传统低速接入--DDN、FR、PDH集成拨号接入21•ATM/POS--155M/622M（OC-3、OC-12）--CErouter应该是高端路由器,象7500/7200--POS（PacketOverSDH）•光纤以太网接入（FE/GE）--aggregatedbyLANswitchGSR12012PERouterATMPOSSDHCErotuer光纤高速接入22PERouterCopperDSLAM集成ADSL接入VLANTRUNKCERouter铜缆线路23PERouterDDN/FR/PDHCERouter传统低速接入集成拨号接入PERouterISDN/PSTNPPP拨号服务器24VPN—Ipsec与MPLS比较安全性网络带宽保证可扩展性可管理性网络路由策略设备投入后期维护服务质量（Qos）……25VPDN基于拨号网络（含ISDN）本地MPLSVPN（城域网宽带接入）目前无法提供CPE（IPsec）方式的接入长途MPLSVPN（专线电路接入）目前只通达省会级城市和部分其它地市（Chinanet骨干节点），目前省内网络正在建设我们能提供的VPN业务26VPN_AVPN_AVPN_B10.3.0.010.1.0.011.5.0.0PPPPPEPECECECEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEMP-iBGPsessionsP路由器（LSR）：标记交换路由器--组成MPLS骨干网的核心PE（LER）：标记边缘路由器--部署MPLS/VPN的关键设备CE:客户端路由器--支持静态或动态路由协议（甚至可以是交换机、HUB、主机）BGP/MPLSVPN网络构成27一般采用分级星型结构,全网状拓扑实现复杂，会有N平方问题逻辑拓扑调整相对比较复杂灵活实现星型、全网状以及其他任何形式的网络拓扑网络拓扑调整简单灵活VPNAVPNBVPNCVPNAVPNBVPNCVPNAVPNBVPNCVPNAVPNCVPNBBackboneATM/FRVPNMPLSVPNMPLSVPN的网络拓扑灵活性28MPLSVPN——用户需要做什么？购买路由交换设备（CE设备）租用到本地电信的线路简单配置到PE的路由协议(静态路由、RIP、OSPF、BGP)29南京本地第一个基于MPLSVPN的商业应用南京电信宽带IP城域网以MPLSVPN方式，并采用以太网方式和ADSL接入手段实现的玄武区政府政务网（区政府、街道、部委办局等17个点）。2002年9月底在进行了南京市玄武区政府“数字珠江路”举行了开通仪式。南京电信2003年已经发展了其他多家MPLSVPN集团用户。30玄武区政府VPN解决方案介绍原来网络情况:玄武区政府1999年建设了自己的网络，通过DDN将10个街道接入区网络信息中心实现了信息的共享。网络中心的出INTERNET的带宽也由DDN接入转换为10M宽带接入。并实现区政府信息中心信息发布的快速便捷的特性。并有效的提高了办公效率。需求产生(推荐方案一)2002年由于电子政务的发展需求。玄武区政府需要将管辖内的10个部委接入到自己的网络中，组建自己的区一级的政务网。并实现街道网络带宽的升级工作。考虑到网络建设的安全需要。南京电信建议用户使用2M（专网）进行组网。31原来的DDN专线MODEM不能使用在网上如何办?每条线投资一对MODEM,4000*2*20=16万(20个点)，中心点也要投资高档路由器，政府一下没这笔钱。以后线路提速还要投资很多网络设备。有没有更好的解决办法呢?网络升级(2M电路)投资疑问?32玄武区政府:–客户希望试用中国电信新业务。–希望能减少一次性网络投资。–网络以后可以平滑升级。电信:–VPN希望能有实验用户，准备开通MPLSVPN。–积累工程经验，为全面建设，提供宝贵意见。–引发新的需求。–市场数据业务开展竞争的需要。玄武区政府MPLSVPN实施33华为S3026IBM3000光电转换器市政府宽带IP网（Internet)中科网威防火墙守护神防火墙IBM3000WEB服务器MAIL服务器OA服务器华为S3026小二楼交换机F13楼层交换机F4楼层交换机F5楼层交换机F6楼层交换机F7楼层交换机F8楼层交换机F12楼层交换机F11楼层交换机F9楼层交换机F10楼层交换机华为S3026IBM232网管工作站IBM7000内网OA服务器千兆光纤100M五类双绞线电信线路玄武区电子政务网络系统拓扑图HubPC丹凤街街道PCPC玄武门街道HubPC新街口街道HubPC劳动局Hub建设局Hub.....光电转换器华为R2501路由器华为S5516中心交换机DDNIBMX25071YCOA应用IBM7000数字玄武WEB服务器公共区中心内部局域网地址172.16.0.0/16数字珠江路宽带IP10M接入10.28.52.19/29PCPC一网式服务PC（192.168.0.0/24）政府办公终端用户（172.16.0.0/16）华为S3026华为S3026华为S3026华为S3026华为S3026华为S3026华为S3026华为S3026华为S3026Cisco2926IBM3000科委服务器IBM3000档案服务器IBM3000党建服务器IBM3000计经委服务器电信宽带网（MPLSVPN)光电转换器交换机级联线PCPCPCPCPC2M华为R2621路由器100M光纤Cisco192434VPN业务洽谈中可能遇到哪些问题?用户需要VPN干什么？北方如何连接VPN网络?能否提供QOS保证的电路?能否提供用户端路由器?维护及服务支持情况？能否支持视频业务?本地VPN资费？长途VPN业务资费如何测算?35中国电信VPN业务分类及通达地区同城互联（本地）VPN业务目前南京仅能提供MPLSVPN业务本地VPN业务采用城域网接入方式FTTX+LAN、ADSL等且城域网与骨干网的VPN不能互通长途VPN业务目前长途骨干网上，南京MPLSVPN用户仅能通达省会城市和部分其他城市长途VPN采用专线方式接入就近的P