完美世界国际版下载,我欲封天txt下载,大主宰之灵路天蚕土豆

新聞中心

這里有您想知道的互聯(lián)網營銷解決方案

VPN概述+VRF

VPN概述

1.什么是VPN：

VPN是虛擬專用網絡（Virtual Private Network，虛擬專用網絡），可以在公有網絡上構建出虛擬專用網絡，vpn用戶在虛擬專用網絡中傳遞私網流量，可以實現安全、可靠的連接

10年積累的成都做網站、網站設計經驗，可以快速應對客戶對網站的新想法和需求。提供各種問題對應的解決方案。讓選擇我們的客戶得到更好、更有力的網絡服務。我雖然不認識你，你也不認識我。但先網站設計制作后付款的網站建設流程，更有門頭溝免費網站建設讓你可以放心的選擇與我們合作。

其具有廉價、專用和虛擬等多種優(yōu)勢，在現網中應用非常廣泛。

VPN是一類技術的統(tǒng)稱，不同的VPN技術擁有不同的特性和實現方式，常見的VPN技術包括IPSec VPN、GRE VPN、L2TP VPN、MPLS VPN等

VPN和傳統(tǒng)的數據專網相比具有如下優(yōu)勢：

安全：在遠端用戶、駐外機構、合作伙伴、供應商與公司總部之間建立可靠的連接，保證數據傳輸的安全性。這對于實現電子商務或金融網絡與通訊網絡的融合特別重要。
廉價：利用公共網絡進行信息通訊，企業(yè)可以用更低的成本連接遠程辦事機構、出差人員和業(yè)務伙伴。
支持移動業(yè)務：支持駐外VPN用戶在任何時間、任何地點的移動接入，能夠滿足不斷增長的移動業(yè)務需求。
可擴展性：由于VPN為邏輯上的網絡，物理網絡中增加或修改節(jié)點，不影響VPN的部署。

?公共網絡又經常被稱為VPN骨干網（VPN Backbone），公共網絡可以是Internet，也可以是企業(yè)自建專網或運營商租賃專網。

2.VPN分類：

（1）根據建筑單位的不同

A.租用運營商VPN專線搭建企業(yè)VPN網絡：最常見的場景為租用運營商MPLS VPN專線。

B.自建企業(yè)VPN網絡：常見的如IPSec VPN、L2TP VPN、SSL VPN等。

（2）組網方式不同

A.遠程訪問VPN（Remote Access VPN）

適用于出差員工VPN撥號接入的場景，員工可在任何能接入Internet的地方，通過VPN接入企業(yè)內網資源。常見的有L2TP VPN、SSL VPN等。

B.局域網到局域網的VPN（Site-to-site VPN）

適用于公司兩個異地機構的局域網互連。常見的有MPLS VPN、IPSec VPN等。

C.協(xié)議封裝傳遞

GRE VPN：可以在GRE VPV里封裝其它協(xié)議進行點到點的傳遞，常見應該到IPv4和IPv6的協(xié)議交互

（3）網絡層次進行劃分（不同的VPN技術工作在TCP/IP參考模型那個層次當中）

?工作在網絡層和數據鏈路層的VPN又被稱為三層VPN和二層VPN。

3.VPN使用到哪些技術

（1）隧道（Tunnel）技術：

用來進行封裝和解封裝的作用

位于隧道兩端的VPN網關，通過對原始報文的“封裝”和“解封裝”，建立一個點到點的虛擬通信隧道。

（2）身份認證、數據加密以及驗證

（在VPN中如何實現對于數據的安全傳輸）（列舉了一下不同的VPN用戶是否支持身份認證以及數據加密）

VPN	用戶身份認證	數據加密和驗證	備注
GRE	不支持	支持簡單的關鍵字驗證、檢驗和驗證	可以結合IPSec使用，利用IPSec的數據加密和驗證特性。
L2TP	支持基于PPP的CHAP、PAP、EAP認證	不支持	可以結合IPSec使用，利用IPSec的數據加密和驗證特性。
IPSec	支持	支持	支持預共享秘鑰驗證或證書認證；支持IKEv2的EAP認證。
SSL	支持	支持	支持用戶名/密碼或證書認證。
MPLS	不支持	不支持	一般運行在專用的VPN骨干網絡。

IPsec VPN

IPSec概述

IPSec（IP Security） VPN一般部署在企業(yè)出口設備之間，通過加密與驗證等方式，實現了數據來源驗證、數據加密、數據完整性保證和抗重放等功能。

數據來源驗證：接收方驗證發(fā)送方身份是否合法。
數據加密：發(fā)送方對數據進行加密，以密文的形式在Internet上傳送，接收方對接收的加密數據進行解密后處理或直接轉發(fā)。
數據完整性：接收方對接收的數據進行驗證，以判定報文是否被篡改。
抗重放：接收方拒絕舊的或重復的數據包，防止惡意用戶通過重復發(fā)送捕獲到的數據包所進行的攻擊。

IPSec協(xié)議體系

IPSec使用認證頭AH（Authentication Header）和封裝安全載荷ESP（Encapsulating Security Payload）兩種安全協(xié)議來傳輸和封裝數據，提供認證或加密等安全服務。

?AH和ESP協(xié)議提供的安全功能依賴于協(xié)議采用的驗證、加密算法。
?AH僅支持認證功能，不支持加密功能。ESP支持認證和加密功能。
?安全協(xié)議提供認證或加密等安全服務需要有秘鑰的存在。

秘鑰交換的方式有兩種：

帶外共享密鑰：在發(fā)送、接收設備上手工配置靜態(tài)的加密、驗證密鑰。雙方通過帶外共享的方式（例如通過電話或郵件方式）保證密鑰一致性。這種方式的缺點是可擴展性差，在點到多點組網中配置密鑰的工作量成倍增加。另外，為提升網絡安全性需要周期性修改密鑰，這種方式下也很難實施。
通過IKE協(xié)議自動協(xié)商密鑰：IKE建立在Internet安全聯(lián)盟和密鑰管理協(xié)議ISAKMP定義的框架上，采用DH（Diffie-Hellman）算法在不安全的網絡上安全地分發(fā)密鑰。這種方式配置簡單，可擴展性好，特別是在大型動態(tài)的網絡環(huán)境下此優(yōu)點更加突出。同時，通信雙方通過交換密鑰交換材料來計算共享的密鑰，即使第三方截獲了雙方用于計算密鑰的所有交換數據，也無法計算出真正的密鑰。

IPSec基本原理

IPSec隧道建立過程中需要協(xié)商IPSec SA（Security Association，安全聯(lián)盟），IPSec SA一般通過IKE協(xié)商生成。

SA由一個三元組來唯一標識，這個三元組包括安全參數索引SPI（Security Parameter Index）、目的IP地址和使用的安全協(xié)議號（AH或ESP）。其中，SPI是為唯一標識SA而生成的一個32位比特的數值，它在AH和ESP頭中傳輸。在手工配置SA時，需要手工指定SPI的取值。使用IKE協(xié)商產生SA時，SPI將隨機生成。

SA是單向的邏輯連接，因此兩個IPSec對等體之間的雙向通信，最少需要建立兩個SA來分別對兩個方向的數據流進行安全保護。

IKE作為秘鑰協(xié)商協(xié)議，存在兩個版本：IKEv1和IKEv2，本課程采用IKEv1為例進行介紹，IKEv2內容可參考產品文檔對應內容。

IKEv1協(xié)商階段1的目的是建立IKE SA。IKE SA建立后對等體間的所有ISAKMP消息都將通過加密和驗證，這條安全通道可以保證IKEv1第二階段的協(xié)商能夠安全進行。IKE SA是一個雙向的邏輯連接，兩個IPSec對等體間只建立一個IKE SA。
IKEv1協(xié)商階段2的目的就是建立用來安全傳輸數據的IPSec SA，并為數據傳輸衍生出密鑰。該階段使用IKEv1協(xié)商階段1中生成的密鑰對ISAKMP消息的完整性和身份進行驗證，并對ISAKMP消息進行加密，故保證了交換的安全性。

?IKE協(xié)商成功意味著雙向的IPSec隧道已經建立，可以通過ACL方式或者安全框架方式定義IPSec“感興趣流”，符合感興趣流流量特征的數據都將被送入IPSec隧道進行處理。

?感興趣流：需要被IPSec保護的數據流。

GRE VPN

GRE概述

通用路由封裝協(xié)議（General Routing Encapsulation，GRE）是一種三層VPN封裝技術。GRE可以對某些網絡層協(xié)議（如IPX、IPv4、IPv6等）的報文進行封裝，使封裝后的報文能夠在另一種網絡中（如IPv4）傳輸，從而解決了跨越異種網絡的報文傳輸問題

通過在IPv4網絡上建立GRE隧道，可以使源點的IPv6網絡與目的點的IPv6網絡進行通信。
GRE還具備封裝組播報文的能力。由于動態(tài)路由協(xié)議中會使用組播報文，因此更多時候GRE會在需要傳遞組播路由數據的場景中被用到，這也是GRE被稱為通用路由封裝協(xié)議的原因。

GRE基本原理

GRE構成要素分為3個部分：乘客協(xié)議、封裝協(xié)議和運輸協(xié)議。

乘客協(xié)議是指用戶在傳輸數據時所使用的原始網絡協(xié)議。
封裝協(xié)議的作用就是用來“包裝”乘客協(xié)議對應的報文，使原始報文能夠在新的網絡中傳輸。
運輸協(xié)議是指被封裝以后的報文在新網絡中傳輸時所使用的網絡協(xié)議

隧道接口（Tunnel Interface）是為實現報文的封裝而提供的一種點對點類型的虛擬接口，與Loopback接口類似，都是一種邏輯接口。

如圖所示，乘客協(xié)議為IPv6，封裝協(xié)議為GRE，運輸協(xié)議為IPv4。整體轉發(fā)流程如下：

當R1收到IP1發(fā)來的IPv6數據包，查詢設備路由表，發(fā)現出接口是隧道接口，則將此報文發(fā)給隧道接口處理。
隧道接口給原始報文添加GRE頭部，然后根據配置信息，給報文加上IP頭。該IP頭的源地址就是隧道源地址，IP頭的目的地址就是隧道目的地址。
封裝后的報文在IPv4網絡中進行普通的IPv4路由轉發(fā)，最終到達目的地R2。
解封裝過程和封裝過程相反

GRE Over IPSec

GRE的主要缺點是不支持加密和認證，數據的安全傳輸得不到很好的保障。
IPSec的主要缺點是只支持IP協(xié)議，且不支持組播。
可通過部署GRE Over IPSec結合兩種VPN技術的優(yōu)點。

L2TP VPN

概述

?L2TP是虛擬私有撥號網VPDN（Virtual Private Dial-up Network）隧道協(xié)議的一種，它擴展了點到點協(xié)議PPP的應用，是一種在遠程辦公場景中為出差員工或企業(yè)分支遠程訪問企業(yè)內網資源提供接入服務的VPN。

?L2TP組網架構中包括LAC（L2TP Access Concentrator，L2TP訪問集中器）和LNS（L2TP Network Server，L2TP網絡服務器）

L2TP消息

L2TP協(xié)議包含兩種類型的消息，控制消息和數據消息，消息的傳輸在LAC和LNS之間進行。

?控制消息用于L2TP隧道和會話連接的建立、維護和拆除。

?數據消息用于封裝PPP數據幀并在隧道上傳輸。

控制消息

用于L2TP隧道和會話連接的建立、維護和拆除。在控制消息的傳輸過程中，使用消息丟失重傳和定時檢測隧道連通性等機制來保證控制消息傳輸的可靠性，支持對控制消息的流量控制和擁塞控制。
控制消息承載在L2TP控制通道上，控制通道實現了控制消息的可靠傳輸，將控制消息封裝在L2TP報頭內，再經過IP網絡傳輸。

數據消息

用于封裝PPP數據幀并在隧道上傳輸。數據消息是不可靠的傳輸，不重傳丟失的數據報文，不支持對數據消息的流量控制和擁塞控制。
數據消息攜帶PPP幀承載在不可靠的數據通道上，對PPP幀進行L2TP封裝，再經過IP網絡傳輸。

L2TP工作過程

L2TP主要可分為以下三種工作場景，其工作過程并不相同：

NAS-Initiated場景：撥號用戶通過NAS訪問企業(yè)內網
Client-Initiated場景：移動辦公用戶訪問企業(yè)內網
Call-LNS場景：通過LAC自主撥號實現企業(yè)內網互連

1、NAS-Initiated場景

由遠程撥號用戶發(fā)起，遠程系統(tǒng)通過PSTN/ISDN撥入LAC，由LAC通過Internet向LNS發(fā)起建立隧道連接請求。撥號用戶地址由LNS分配；對遠程撥號用戶的驗證與計費既可由LAC側的代理完成，也可在LNS完成。

用戶必須采用PPP的方式接入到Internet，也可以是PPPoE等協(xié)議。
運營商的接入設備（主要是BAS設備）需要開通相應的VPN服務。用戶需要到運營商處申請該業(yè)務。
L2TP隧道兩端分別駐留在LAC側和LNS側，且一個L2TP隧道可以承載多個會話。

2、Client-Initialized場景

直接由LAC客戶（指可在本地支持L2TP協(xié)議的用戶）發(fā)起?？蛻粜枰繪NS的IP地址。LAC客戶可直接向LNS發(fā)起隧道連接請求，無需再經過一個單獨的LAC設備。在LNS設備上收到了LAC客戶的請求之后，根據用戶名、密碼進行驗證，并且給LAC客戶分配私有IP地址。

用戶需要安裝L2TP的拔號軟件。部分操作系統(tǒng)自帶L2TP客戶端軟件。
用戶上網的方式和地點沒有限制，不需ISP介入。
L2TP隧道兩端分別駐留在用戶側和LNS側，一個L2TP隧道承載一個L2TP會話。

該場景建立過程如下：

1.移動辦公用戶與LNS建立L2TP隧道。
2.移動辦公用戶與LNS建立L2TP會話：移動辦公用戶在第3步會與LNS間建立PPP連接，L2TP會話用來記錄和管理它們之間的PPP連接狀態(tài)。因此，在建立PPP連接以前，隧道雙方需要為PPP連接預先協(xié)商出一個L2TP會話。會話中攜帶了移動辦公用戶的LCP協(xié)商信息和用戶認證信息，LNS對收到的信息認證通過后，通知移動辦公用戶會話建立成功。L2TP會話連接由會話ID進行標識。
3.移動辦公用戶與LNS建立PPP連接。移動辦公用戶通過與LNS建立PPP連接獲取LNS分配的企業(yè)內網IP地址。
4.移動辦公用戶發(fā)送業(yè)務報文訪問企業(yè)總部服務器。

?Call-LNS場景：L2TP除了可以為出差員工提供遠程接入服務以外，還可以進行企業(yè)分支與總部的內網互聯(lián)，實現分支用戶與總部用戶的互訪。一般是由分支路由器充當LAC與LNS建立L2TP隧道，這樣就可實現分支與總部網絡之間的數據通過L2TP隧道互通。

L2TP Over IPSec

企業(yè)出差用戶和總部通信，使用L2TP功能建立VPN連接，總部部署為LNS對接入的用戶進行認證。當出差用戶需要向總部傳輸高機密信息時，L2TP無法為報文傳輸提供足夠的保護，這時可以和IPSec功能結合使用，保護傳輸的數據。在出差用戶的PC終端上運行撥號軟件，將數據報文先進行L2TP封裝，再進行IPSec封裝，發(fā)往總部。在總部網關，部署IPSec策略，最終還原數據。這種方式IPSec功能會對所有源地址為LAC、目的地址為LNS的報文進行保護。

MPLS VPN概述

MPLS是一種利用標簽（Label）進行轉發(fā)的技術，最初為了提高IP報文轉發(fā)速率而被提出，現主要應用于VPN和流量工程、QoS等場景。

根據部署的不同，MPLS VPN可分為MPLS L2 VPN或者MPLS L3 VPN。

企業(yè)可以自建MPLS專網也可以通過租用運營商MPLS專網的方式獲得MPLS VPN接入服務。

MPLS VPN網絡一般由運營商搭建，VPN用戶購買VPN服務來實現用戶網絡之間（圖中的分公司和總公司）的路由傳遞、數據互通等。

基本的MPLS VPN網絡架構由CE（Customer Edge）、PE（Provider Edge）和P（Provider）三部分組成：

CE：用戶網絡邊緣設備，有接口直接與運營商網絡相連。CE可以是路由器或交換機，也可以是一臺主機。通常情況下，CE“感知”不到VPN的存在，也不需要支持MPLS。
PE：運營商邊緣路由器，是運營商網絡的邊緣設備，與CE直接相連。在MPLS網絡中，對VPN的所有處理都發(fā)生在PE上，對PE性能要求較高。
P：運營商網絡中的骨干路由器，不與CE直接相連。P設備只需要具備基本MPLS轉發(fā)能力，不維護VPN相關信息。

更多MPLS及MPLS VPN的相關內容，參考HCIP-Datacom-Advance相應課程。

總結

VPN技術擁有安全、廉價、支持移動業(yè)務、靈活等一系列優(yōu)勢，已經成為現網中部署最為廣泛的一類技術。

常見VPN技術：

IPSec VPN：是一系列為IP網絡提供安全性的協(xié)議和服務的集合，為IP網絡提供安全的傳輸。
GRE VPN：提供了將一種協(xié)議的報文封裝在另一種協(xié)議報文中的機制，解決異種網絡的傳輸問題。
L2TP VPN：是一種能夠提供移動用戶遠程接入服務的二層VPN技術。
MPLS VPN：一種通過標簽交換技術，實現站點與站點之間互聯(lián)的VPN技術。

------------------------------------------------------------------------------------------------------------

VRF技術

VRF（Virtual Routing and Rorwarding，虛擬路由轉發(fā)）技術通過在一臺三層轉發(fā)設備上創(chuàng)建多張路由表實現數據或業(yè)務的隔離，常用于MPLS VPN、防火墻等一些需要實現隔離的應用場景。

網絡需求案例

某企業(yè)網絡內有生產和管理兩張網絡，這兩張網絡獨占接入和匯聚層交換機，共享核心交換機。

核心交換機上同時連接了生產網絡和管理網絡的服務器群，兩個網段均為192.168.100.0/24網段。

需求：實現生產和管理網絡內部的數據通信，同時隔離兩張網絡之間的通信。

方法一

在核心交換機部署ACL，禁止生產和管理網絡之間的互訪流量。

缺陷：

配置繁瑣，拓展性差。

無法解決兩張網絡使用重疊網段的問題，需要在部署時規(guī)避重疊網段。

方法二

增加核心交換機，從物理上隔離兩張網絡。

缺陷：增加額外的設備成本投入。

方法三

通過VRF技術實現

?在物理設備上創(chuàng)建多個VPN實例，每個VPN實例擁有獨立的接口、路由表和路由協(xié)議進程等。

VRF的實現過程

?VRF是對物理設備的一個邏輯劃分，每個邏輯單元都被稱為一個VPN實例，實例之間在路由層面是隔離的。VRF實現過程如下：

1.創(chuàng)建實例，并將三層接口（可以是路由器的物理接口或者子接口，也可以是VLANIF接口）綁定到實例；

2.（可選）配置與實例綁定的路由協(xié)議或靜態(tài)路由；

3.基于與實例綁定的接口和路由協(xié)議等建立實例路由表并基于實例路由表轉發(fā)數據，實現實例間隔離。

常見應用場景

防火墻虛擬系統(tǒng)

虛擬系統(tǒng)（Virtual System）是在一臺物理設備上劃分出的多臺相互獨立的邏輯設備。虛擬系統(tǒng)主要具有以下特點：

資源虛擬化：每個虛擬系統(tǒng)都有獨享的資源，包括接口、VLAN、策略和會話等。
路由虛擬化：每個虛擬系統(tǒng)都擁有各自的路由表，相互獨立隔離。

其中路由虛擬化依靠創(chuàng)建VPN實例來實現

BGP/MPLS IP VPN

BGP/MPLS IP VPN是一種基于PE的L3VPN技術。它使用BGP在服務提供商骨干網上發(fā)布VPN路由，使用MPLS在服務提供商骨干網上轉發(fā)VPN報文。

通過創(chuàng)建VPN實例的方式在PE上區(qū)別不同VPN的路由。

總結

?VRF技術實現了同一物理設備上不同網絡之間的邏輯隔離，當在物理設備上部署多個VRF實例時，每一個VRF實例就相當于一個虛擬的網絡設備。VRF實例之間的接口和路由天然隔離，當同一個物理設備連接到多個相同的網段時，也不用擔心IP地址沖突的問題。

?VRF技術廣泛應用在防火墻虛擬系統(tǒng)、BGP/MPLS IP VPN等多個場景中。

本文名稱：VPN概述+VRF
分享URL：http://m.fisionsoft.com.cn/article/dpidecj.html