Juniper-制胜的VPN策略(1)

JuniperNetworks,Inc.Copyright©2001-Proprietary&Confidential制胜的VPN策略日程安排虚拟专网（VPN）介绍运营模式：BGP/MPLSVPN（RFC2547bis）运营模式：二层MPLSVPN总结JuniperNetworks,Inc.Copyright©2001-Proprietary&Confidential第一部分VPN介绍日程：VPN介绍VPN概况基于CPE的VPN由服务商实施的VPNIETF标准更新日程：VPN介绍VPN概况基于CPE的VPN由提供商实施的VPNIETF标准更新JuniperNetworks,Inc.Copyright©2001-Proprietary&Confidential6什么是VPN？专网是建立在共享基础设施之上的虚拟：并不是一个独立的物理网络专有：独立的地址使用及路由网络：一组能够相互通信的设备的集合约束是关键–无限制的连通性并不是目的共享基础设施移动用户及远程用户远程接入分支办公室公司总部供应商，合作伙伴及客户企业内部互联网企业间互联网JuniperNetworks,Inc.Copyright©2001-Proprietary&Confidential790年代实施的VPN运营模式PVC覆盖在共享基础设施（ATM/帧中继）之上用户路由（或桥接）在用户处实施优点更低的开销（相对于专线来讲）相对“安全”局限可扩展性及管理并不是一个完全集成的IP解决方案提供商帧中继网络CECEDLCI帧中继交换机DLCIDLCI帧中继交换机帧中继交换机JuniperNetworks,Inc.Copyright©2001-Proprietary&Confidential821世纪实施的VPN使用IP基础设施可以与Internet业务共享IP/MPLS（并不是ATM/FR）变得越来越为重要用户需求更低的运营成本一个网络为所有服务提供连接提供商需求可支持所有业务的多业务基础设施创造更多盈利机会Internet远程接入企业内部互联网企业间互联网移动用户及远程用户分支办公室公司总部供应商，合作伙伴及客户JuniperNetworks,Inc.Copyright©2001-Proprietary&Confidential9一个VPN模型不能满足所有用户！挑战：客户具有多种VPN需求解决方案：建立灵活的、支持多业务的核心网集成公共、半公共及专有业务支持多种VPN业务模式站点数用户数业务量希望托管程度职员专业技术010001000100010001000100安全要求JuniperNetworks,Inc.Copyright©2001-Proprietary&Confidential10VPN分类模型用户管理的VPN解决方案（CPE-VPN）L2TP及PPTPIPsec隧道模式提供商实施的VPN解决方案（PP-VPN）基于BGP/MPLS的VPN（RFC2547bis）虚拟路由器二层MPLSVPNPEPECPECPE用户站点3PP-VPN用户站点2CPEPECPEPEPEPECPECPECPE-VPNVPN隧道用户站点1用户站点3用户站点2VPN用户站点1日程：VPN介绍VPN概况基于CPE的VPN由提供商实施的VPNIETF标准更新JuniperNetworks,Inc.Copyright©2001-Proprietary&Confidential12CPE-VPN：L2TP及PPTP应用：远程用户拨号接入二层隧道协议（L2TP）RFC2661L2F及点到点隧道协议的组合点到点隧道协议（PPTP）与Windows及WindowsNT捆绑在建立过程中进行认证IPsec可在PPP上运行以提供更高的安全性拨号接入提供商V.x调制解调器PPP拨号服务提供商或VPNL2TP接入服务器拨号接入服务器L2TP隧道拨号接入服务器PPTP接入服务器PPTP隧道JuniperNetworks,Inc.Copyright©2001-Proprietary&Confidential13CPE-VPN：IPsec隧道模式IPsec定义了IETF三层安全性体系结构应用高安全性要求，跨越一个或多个服务提供商用户负责密匙管理安全性服务包括访问控制数据起源认证重放保护数据完整性数据私密性（加密）密匙管理JuniperNetworks,Inc.Copyright©2001-Proprietary&Confidential14CPE-VPN：IPsec–例子路由必须在CPE处执行隧道在用户处终结只有CPE设备需要支持IPsec不需要对共享/公共资源进行修改封装安全有效载荷（ESP）隧道模型认证确保完整（CPE至CPE）加密原有的报头/有效载荷通过Internet支持私有地址空间公司总部分支办公室CPECPEIPsecESP隧道模型公共InternetJuniperNetworks,Inc.Copyright©2001-Proprietary&Confidential15IPsec特点从服务提供商处获得普通IP服务使用现有路由器对受保护的数据包进行转发自身不参与QoS/SLA提供商机会较小客户管理自己的路由美国正逐步放宽对加密技术的出口限制公司总部分支办公室CPECPEIPsecESP隧道模型公共Internet日程：VPN介绍VPN概况基于CPE的VPN由提供商实施的VPNIETF标准更新JuniperNetworks,Inc.Copyright©2001-Proprietary&Confidential17由提供商实施的VPN：三层与二层比较提供商路由器参与客户三层路由提供商路由器管理与VPN相关的路由表，将路由发布给远端站点CPE路由器将其路由广播给提供商客户将其三层路由映射至链路网络提供商为用户的每个远端站点提供一条二层链路客户路由对提供商透明三层二层JuniperNetworks,Inc.Copyright©2001-Proprietary&Confidential18三层PP-VPN：RFC2547bis应用：外包VPNPE为每个直连的VPN站点维护与该站点相关的转发表客户与提供商间运行传统IP路由使用BGP发布VPN路由使用MPLS在提供商骨干网中对VPN业务进行转发服务提供商网络站点1站点1站点2站点3站点2站点3CECECEVRFVRFVRFVRFVRFPEPEPEPPPEPPPCECECEVRFJuniperNetworks,Inc.Copyright©2001-Proprietary&Confidential19三层PP-VPN：RFC2547bis使用LDP或RSVP建立PE至PE的标记交换路径（LSP）BGP用于发布VPN相关信息（发现）VPN路由及可达信息每条VPNLSP的标记（封装在PE-PELSP隧道中）通过路由过滤进行连接的限制灵活的、基于策略的控制机制JuniperNetworks,Inc.Copyright©2001-Proprietary&Confidential20三层PP-VPN：虚拟路由器PE设备为专网提供网络层（IP）转发与VPN相关的转发表PE参与专网路由穿过公网的专网路由与数据一起被封装在隧道中PE中的VR象专网中的一台普通路由器一样运行可使用MPLS或其它隧道方式实现JuniperNetworks,Inc.Copyright©2001-Proprietary&Confidential21虚拟路由器的问题VPN端点发现多种选择（BGP，组播，LDAP及其它）路由可扩展性必须在公网上运行多个路由进程互通性多种VR实现方式没有任何一个获得“领导地位”网间互联不像2547bis那样普通JuniperNetworks,Inc.Copyright©2001-Proprietary&Confidential22三层PP-VPN优势用户将路由复杂性转移给提供商适于不希望在其组织结构中建立核心路由功能的中小型公司提供商不需所有骨干网路由器中维护与VPN相关的路由信息增值业务（盈利机遇）JuniperNetworks,Inc.Copyright©2001-Proprietary&Confidential233层PP-VPN缺点基于策略的控制增加了提供商管理负担一些客户希望维持控制他们的路由体系JuniperNetworks,Inc.Copyright©2001-Proprietary&Confidential24基于MPLS的二层PP-VPN线路交叉连接(CCC)Draft-Martini二层VPNDraft-Kompella二层VPNJuniperNetworks,Inc.Copyright©2001-Proprietary&Confidential25输入输出LSP1DLCI600LSP2DLCI610输入输出DLCI60010/8DLCI61020/8线路交叉连接（CCC）为基于MPLS的二层VPN提供基础CPE与PE间使用FR/ATM接口服务提供商管理PE间的LSP全网状互联CPE基于子网/PVC映射对VPN业务进行路由入口PE将每条入境PVC映射至一条专用LSP出口PE将进来的LSP映射至出境PVCCECEDLCI600DLCI610LSP1LSP2DLCI608DLCI605PEPECE20.0.0.010.0.0.0源路由表CCC表“好服务提供商”(美国区域)“好服务提供商”(欧洲区域)“好服务提供商”(亚洲区域)CCC表CCC表输入输出DLCI605LSP1大型IP/MPLS网络CCC=线路交叉连接输入输出DLCI608LSP2PEJuniperNetworks,Inc.Copyright©2001-Proprietary&Confidential26线路交叉连接的问题需对CPE及PE系统进行配置复杂的初始配置添加、移动及更改的配置非常冗长每条DLCI/PVC需要一条专用LSP只适用于小数量的个别私有连接JuniperNetworks,Inc.Copyright©2001-Proprietary&Confidential27ATM（或帧中继）ATM（或帧中继）Draft-Martini基于MPLS的二层VPN继承使用CCC及MPLS的经验在传统实现方式的基础上提高数据层面的可扩展性标记堆栈将多条DLCI、PVC，或VLAN合并到一条LSP上去增加一个站点时，需在每条链路的两端进行实施专网路由为CPE至CPEPEPELSPLSP2LSP6LSP5DLCI600DLCI610DLCI506DLCI408(MPLS核心)CPECPEJuniperNetworks,Inc.Copyright©2001-Proprietary&Confidential28Draft-Kompella基于MPLS的二层VPN继承使用CCC及MPLS的经验可扩展的数据及控制层面数据层面：通过标记堆栈将多条DLCI、PVC，或VLAN合并到一条LSP上去实施：进行自动配置专网路由为CPE至CPEPEPELSPDLCI600DLCI610DLCI506DLCI408CPEPECPECPEJuniperNetworks,Inc.Copyright©2001-Proprietary&Confidential29基于MPLS的二层VPN：优势用户外包线路能够维持对路由的控制支持任何三层协议提供商对RFC2547bis的补充在相同的核心网上运行，使用相同的出境LSPL2VPN（帧中继，ATM及VLAN）可被合并至一个IP/MPLS基础设施平台上与CCC相比，标记堆栈减少了LSP的数量JuniperNetworks,Inc.Copyright©2001-Propriet