H3CSE完全笔记-构建安全优化的广域网

*ip基于hop-by-hop转发模式，ATM不是，但它因控制复杂，成本高昂，难以普及（只有金桥和已倒闭的北电能够熟练掌握其技术），而MPLS介于两者之间。IP转发采用最长匹配，需多次查表，算法效率不高。ATM转发采用唯一匹配，一次查表，效率很高。*MPLS标签（label）长度为32位，具有局部意义的标识，放在链路层封装头和网络层封装头之间，用此标签封装网络层分组，可以承载在各种链路层协议上。*MPLS组成：【20比特label】--【3比特EXP】--【1比特S】--【8比特TTL】MPLS标签分为4个区域：1、Label：标签值，长度20b，是标签转发表的关键索引；2、EXP：用于QoS，长度3b，作用与Ethernet802.1p值相似；3、S：栈底标识,长度1b,果有多个Label时，在栈底的Label的S位置为1，其他为0，只有一个Label时S位置为1;4、TTL：存活时间，长度8b，与IP报文的TTL值相似，这个值从IP报文头的TTL域拷贝过来，每进行一次Label交换时，外层Label的TTL值就减“1”。*MPLS网络组成：非MPLS网络-----【MPLS网络：LER—LSR—LER】-----非MPLS网络。MPLS网络和非MPLS网络兼容性很好。LER：标签边界路由器；LSR：标签交换路由器。“【---】”这条路径称做LSP：标签交换路径。*FEC转发等价类：通俗说，不管什么流都做等价转发处理，在转发过程中以等价的方式处理的一组数据分组，可以通过地址、隧道、COS等来标识创建FEC。*MPLS可实现多层嵌套：如，【数据链路层】【MPLS标签1】【MPLS标签2】【MPLS标签…】【网络层】*MPLS标签识别：以太网帧结构：【D-MAC】【S-MAC】【TYPE】【DATE】----------------【CRC】普通IP包：【D-MAC】【S-MAC】【0800】-----------【IPPacket】【CRC】MPLS包：【D-MAC】【S-MAC】【8847】【MPLS标签】【IPPacket】【CRC】*能够分配MPLS标签的协议：1、LDP标签分配协议（公有），取代之有TDP标记分发协议（cisco私有）；2、RSVP资源预留协议；3、MP-BGP多协议BGP。*在LDP协议中，存在4种类型的LDP消息：1、发现消息（Discoverymessages）：用于LDP邻居的发现和维持。（使用UDP646端口，使用组播地址224.0.0.2）2、会话消息（Sessionmessages）：用于LDP邻居会话的建立、维持和中止。（有地址大的一方发起TCP链接）3、通告消息（Advertisementmessages）：用于LDP实体向LDP邻居宣告Label、地址等信息。4、通知消息（Notificationmessages）：用于向LDP邻居通知事件或者错误。*上游与下游：流量发起的一方为上游，接收的一方为下游，而label分配方向与流量方向相反，即由下游分配到上游。*标签分配过程：LDPsession建立完成后，路由器根据路由表进行标签分配，形成MPLS标签转发表。标签转发表主要包含入标签（IN）、出标签（OUT）和出接口，路由器可以根据标签转发表转发MPLS报文。标签是设备随机自动生成的，16以下为系统保留。*标签分配过程中，IN标签在华三定义中是自己分配的标签，分配给上游使用；OUT标签是别人分配的标签。（与一些厂商相反）*标签分配和管理：1、标签分配模式；a.DOD（downstream-on-demand，下游按需标记分配）：只有当上游向下游请求流量时，下游才向上游分配lable。b.DU（downstreamunsolicited，下游自主标记分配）：不管上游请不请求，下游都分配lable。（现在主流）2、标签控制模式；a.有序方式（Ordered）：上游设备只有收到它的下游返回的标签映射消息后才向其更上游发送标签映射消息。b.独立方式（Independent）：不管有没有收到其下游返回的标签映射消息，都向上游发送标签映射消息。（现在主流）3、标签保持方式；a.保守模式（Conservative）：只保留来自下一跳邻居的标签，丢弃所有非下一跳邻居发来的标签。优点:节省内存和标签空间；缺点:当IP路由收敛、下一跳改变时LSP收敛慢。（如，最优路径突然down掉）b.自由模式（Liberal）：保留来自邻居的所有标签。优点：当IP路由收敛、下一跳改变时减少了LSP收敛时间。缺点：需要更多的内存和标签空间。（现在主流）*MPLS转发实现：1、标签PUSH：非MPLS网络IP报文进入MPLS网络，LER进行标签压入（PUSH操作）。2、标签SWAP：报文在MPLS网络中间进行转发时,在LSR上进行标签交换（SWAP）。设备只需查询标签转发表即可完成转发。3、标签POP：标签从MPLS网络进入非MPLS网络，LER进行标签弹出（POP操作）。*随着硬件技术的进步，采用ASIC和NP进行转发的高速路由器和三层交换机得到广泛应用，使得IP转发性能大为提高，可以满足网络数据转发性能需求。MPLS技术（软件）在提高转发性能应用上未能发挥优势。*MPLS支持多层标签嵌套和面向连接的特点，使得其在VPN（MPLS-VPN）、流量工程TE（MPLS-TE）、QoS、CCC等方面得到广泛应用。*传统企业网面临的问题::1、直接通过Internet或运营商骨干网络连接分支机构的缺点：网络层协议必须统一、必须使用统一的路由策略、必须使用同一公网地址空间。2、企业直接通过专线、电路交换或分组交换的广域网技术连接其分支机构的缺点：布署成本高、变更不灵活、移动用户远程拨号接入费用高。*VPN的优势：1、可以快速构建网络，降低布署周期；2、与私有网络一样提供安全性，可靠性和可管理性；3、可利用Internet，无处不连通，处处可接入；4、简化用户侧的配置和维护工作；5、提高基础资源利用率；6、于客户可节约使用开销；7、于运营商可以有效利用基础设施，提供大量、多种业务。*VPN是由若干Site组成的集合。Site可以同时属于不同的VPN，但是必须遵循如下规则：两个Site只有同时属于一个VPN定义的Site集合，才具有IP连通性。按照VPN的定义，一个VPN中的所有Site都属于一个企业，称为Intranet；如果VPN中的Site分属不同的企业，则称为Extranet。*VPN接入：VPN用户--PSTN/ISDN--NAS服务器--【internet】--VPNServer*隧道可以通过隧道协议来实现。根据是在OSI模型的第二层还是第三层实现隧道，隧道协议分为第二层隧道协议和第三层隧道协议。*一般地，第二层隧道协议和第三层隧道协议都是独立使用的，如果合理地将这两层协议结合起来使用，将可能为用户提供更好的安全性（如将L2TP和IPSec协议配合使用）和更佳的性能。*传统企业网面临的问题::1、直接通过Internet或运营商骨干网络连接分支机构的缺点：网络层协议必须统一、必须使用统一的路由策略、必须使用同一公网地址空间。2、企业直接通过专线、电路交换或分组交换的广域网技术连接其分支机构的缺点：布署成本高、变更不灵活、移动用户远程拨号接入费用高。*第二层隧道协议：第二层隧道协议是将整个PPP帧封装在内部隧道中。1、PPTP（Point-to-PointTunnelingProtocol）：点到点隧道协议，由微软、Ascend和3COM等公司支持，在WindowsNT4.0以上版本中支持。该协议支持点到点PPP协议在IP网络上的隧道封装，PPTP作为一个呼叫控制和管理协议，使用一种增强的GRE（GenericRoutingEncapsulation，通用路由封装）技术为传输的PPP报文提供流控和拥塞控制的封装服务。2、L2F（Layer2Forwarding）协议：二层转发协议，由北方电信等公司支持。L2F协议支持对更高级协议链路层的隧道封装，实现了拨号服务器和拨号协议连接在物理位置上的分离。3、L2TP（Layer2TunnelingProtocol）：二层隧道协议，由IETF起草，微软等公司参与，结合了上述两个协议的优点，为众多公司所接受，并且已经成为标准RFC。L2TP既可用于实现拨号VPN业务，也可用于实现专线VPN业务。*第三层隧道协议：第三层隧道协议的起点与终点均在ISP内，PPP会话终止在NAS处，隧道内只携带第三层报文。1、GRE（GenericRoutingEncapsulation）协议：这是通用路由封装协议，用于实现任意一种网络层协议在另一种网络层协议上的封装。2、IPSec（IPSecurity）协议：IPSec协议不是一个单独的协议，它给出了IP网络上数据安全的一整套体系结构，包括AH（AuthenticationHeader）、ESP（EncapsulatingSecurityPayload）、IKE（InternetKeyExchange）等协议。GRE和IPSec主要用于实现专线VPN业务。*【协议B：协议B数据包】--RTA--【VPN网络,协议A：？-封装包-数据】--RTB--【协议B：协议B数据包】封装包格式：【协议A头：承载协议】【封装协议头：封装协议】【协议B头：载荷协议】【载荷数据】*VPN的分类：（1）按运营模式划分：1.CPE-basedVPN（CustomerPremisesEquipmentbasedVPN）：用户不但要安装价格昂贵的设备及专门认证工具，还要负责繁杂的VPN维护（如通道维护、带宽管理等）。这种方式组网复杂度高、业务扩展能力弱。2.Network-basedVPN（NBIP-VPN）：将VPN的维护等外包给ISP实施（也允许用户在一定程度上进行业务管理和控制），并且将其功能特性集中在网络侧设备处实现，这样可以降低用户投资、增加业务灵活性和扩展性，同时也可为运营商带来新的收入。（2）按业务用途划分：1.IntranetVPN（企业内部虚拟专网）：IntranetVPN通过公用网络进行企业内部各个分布点互联，是传统的专线网或其它企业网的扩展或替代形式。2.AccessVPN（远程访问虚拟专网）：AccessVPN向出差流动员工、远程办公人员和远程小办公室提供了通过公用网络与企业的Intranet和Extranet建立私有的网络连接。AccessVPN的结构有两种类型，一种是用户发起（Client-initiated）的VPN连接，另一种是接入服务器发起（NAS-initiated）的VPN连接。3.ExtranetVPN（扩展的企业内部虚拟专网）：ExtranetVPN是指利用VPN将企业网延伸至供应商、合作伙伴与客户处，使不同企业间通过公网来构筑VPN。（3）按组网模型划分：1.虚拟专用拨号网络（VPDN）：VPDN（VirtualPrivateDialNetwork）是指利用公共网络（如ISDN和PSTN）的拨号功能及接入网来实现虚拟专用网，从而为企业、小型ISP、移动办公人员提供接入服务。2.虚拟租用线（VLL）：VLL（VirtualLeasedLine）是对传统租用线业务的仿真，通过使用IP网络对租用线进行模拟，提供非对称、低成本的“DDN”业务。从虚拟租用线两端的用户来看，该虚拟租用线近似于过去的租用线。3.虚拟专用LAN网段（VPLS）业务：VPLS（VirtualPrivateLANSegment）借助IP公共网络实现LAN之间通过虚拟专用网段互连，是局域网在IP公共网络上的延伸。4.虚拟专用路由网（VPRN）业务：VPRN（VirtualPrivateRoutingNetwork）借助IP公共网络实现总部、分支机构和远端办公室之间通过网络管理虚拟路由器进行互连，业务实现包括两类：一种是使用传统VPN协议（如IPSec、GRE等）实现的VPRN，另外一种是MPLS方式的VPRN。（4）按网络层次划分：1L2VPN：包括Mart