VPN组网要点.ppt

《VPN组网要点.ppt》由会员分享，可在线阅读，更多相关《VPN组网要点.ppt（20页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、VPNVPN技术简介技术简介什么是什么是IP VPNIP VPN？建在IP技术基础之上的虚拟专用网络（VPN），包括一系解决方案和技术，专门用于确保通过公共网络建安全的站点间及远程接入连接（可以借助加密），这些连接是专用WAN的低成本替代方案。VPN是在公共网络中建专用网络，数据通过安全的“加密通道在网络中传播。企业只需要租用本地的数据专线，连接上本地的公众互联网，各地的机构就可以互相传递信息，同时，允许远程工作人员通过电缆、DSL或拨号与企业网络相连。VPNVPN技术简介技术简介IP VPNIP VPN体系架构体系架构建立VPN可采用多种方法(第2层和第3层)和技术，VPN可在客户端或由服务

2、供应商通过网络建立和管理。IPSecIPSecIPSec是用于通过互联网等不受保护的网络在网络实体间建立和管理数据私密性的互联网标准。IPSec服务了提供允许简单有效地加密IP流量的网络层。在IPSec网络中，隧道从本质上说是穿过服务供应商网络的点到点“虚拟电路”。MPLSMPLSMPLS使用基于标签的分组转发方法。同传统的IP转发一样，标签与IP目的地网络相对应，但它们也可代表其他参数，如源地址、QoS或其他协议等。MPLS可在网络的不同模块间实施标签交换。MPLS专门用于支持任何媒介及第2层封装协议。MPLS允许服务供应商为企业提供与帧中继或ATM网络中的设备类似的设备，以及IP网络的便利

3、性。MPLSVPN在路由的通用骨干上运行，VPN看上去则是“秘密”路由到企业的WAN。IP VPNIP VPN中不同业务比较中不同业务比较产品产品适用范围适用范围产品定位产品定位按行业客户群细分按行业客户群细分MPLS VPN本地国内国际高端在固定接入点间建立高速率、高安全性、具有QoS保证的专用网络各级政府机关；大型跨地域企业；金融业、保险业、证券业、制造业、教育业IPSec VPN本地国内中低端在满足客户上网需求的同时，利用安全、加密、认证等技术建立企业的专用网络连锁超市/便利店；小型企业；车船售票点；基层政府；公务机构；餐饮/物流VPDN本地中低端在大量分支点与总部间建立简单、安全、低成

4、本的连接跨地域中小规模企业；中小型连锁性企业SSL VPN本地国内国际中高端配合其他VPN产品，将分支机构互联、员工移动办公及合作伙伴接入相结合，为客户提供简单、安全、低成本、多应用的完整解决方案 接入类群复杂的外资企业、政府部门，如税务局、审计机构、海关、物流行业 Core LSRIPIPL1IPL2IPL3IP传统IP转发传统IP转发标签转发LERLERMPLSMPLS基本工作过程基本工作过程MPLSMPLS的优点的优点MPLS技术采用固定长度的标签查找代替了传统IP路由最长匹配的查找方式，提高了转发的速度。这是当初发展MPLS技术的初衷。MPLS技术可以很好的集成IP和ATM业务，避免了

5、IPOA等技术的附加花费。MPLS真正的优势在于提供了多种增值服务：MPLS VPNMPLS QoSMPLS Traffic Engineering网络发展的方向网络发展的方向MPLS COREPEPPEPPEPECECECEMP-iBGP SessionVPN AVPN AVPN BVPN BCE深圳总部深圳总部(主中心主中心)企业企业MPLS VPN深圳地区深圳地区昆昆山山苏苏州州杭杭州州嘉嘉兴兴非深圳地区非深圳地区MPLS VPNMPLS VPN典型组网方案典型组网方案北京总部北京总部(备中心备中心)对于高带宽点：采用IP MAN/MSTP方式接入。对于低于2M的点，一般采用DDN/SD

6、H方式接入。全网状结构，主备中心可以通过路由方式实现冗余。全网一般运行EBGP或静态路由，根据网络大小或路由复杂度可以由用户选择。实现多个等级的CoS/QoS划分，支持用户不同业务质量。组网方式对比组网方式对比描述：客户需要组建其广域网，连接不同地点的分支机构，且客户不希望租用大量的长途专线来建立节点间的连接。北京北京上海上海MPLS VPN广州广州本地电路本地电路本地电路本地电路本地电路本地电路北京北京上海上海广州广州长途专线长途专线长途专线长途专线任意拓扑任意拓扑描述：利用VPN组网，可组建any to any的网络拓扑，不受传统专线point to point连接的限制，对于全网状连接没

7、有N2的问题好处：便于客户实现灵活的网络拓扑，减少物理电路的租用北京北京上海上海广州广州北京北京上海上海广州广州本地电路本地电路MPLS VPN本地电路本地电路本地电路本地电路天津天津天津天津物理连接物理连接逻辑连接逻辑连接增加节点增加节点描述：由于VPN只要求每个站点通过物理连接接入就近的VPN承载网即可，故增删节点只需要对单站点进行VPN接入电路的开通或关闭，并在VPN网络设备（PE）上进行相关的数据改动专线方式下，节点的增删必须涉及一对或多对电路的开通或关闭好处：客户对自身网络的调整更加方便，特别是扩容（增点）时极为方便北京北京上海上海广州广州天津（新增）天津（新增）新增电路新增电路北京

8、北京上海上海广州广州本地电路本地电路MPLS VPN本地电路本地电路本地电路本地电路逻辑连接逻辑连接天津（新增）天津（新增）灵活带宽灵活带宽描述：传统专线方式下，取决于专线电路的类型，带宽存在局限，如DDN电路只能在2M以下，ATM或SDH提供2M以上电路受限于局端设备的接口类型，带宽的阶梯过大VPN方式下，兼容所有现在能提供的接入手段，特别是对Ethernet的支持，使得大于2M的带宽选择更灵活好处：客户可根据自身网络需要，租用不同的接入电路，对于高带宽（大于2M）的接入实现起来更灵活接入类型接入带宽备注DDN64K2M颗粒度为64KSDH1)64K2M 2)2M16M3)155M或622M

9、1)64K2M：由PE端口限速实现，颗粒度为64K2)2M16M：客户端需支持MLPPP，颗粒度为2M 3)155M、622M：不建议大于622M的POS接入Ethernet1M100M1)1M10M：颗粒度为1M2)10M100M：颗粒度为10M3)100M1000M：颗粒度为50MFR64K2M支持现有FR业务中64K2M范围的所有带宽ATM512K155M支持现有ATM业务中512K155M范围的所有带宽DSL64K1M颗粒度为64K接入灵活接入灵活描述：传统专线方式下，连接两端的接口类型和速率必须一致，通常客户网络各个站点的路由器配置的是同样的接口（根据专线电路类型选定）VPN方式下，

10、客户各站点路由器的接口只取决于该站点的接入电路的类型，各个站点之间不需要保持一致好处：客户可根据自身网络需要，配置各点的接口类型和速率北京北京上海上海广州广州2M SDH2M SDH2M SDHV35V35V35CPOSV35北京北京上海上海广州广州4M LAN2M HDSL2M SDHEthernetV35EthernetV35MPLS VPN国际网络落地国际网络落地描述：对于多数跨国企业来说，其全球广域网通常利用MPLS VPN组建，其中国区的各个分支需要接入到全球的大网中去。如果利用传统的专线（如ATM、SDH）汇集到中国的总部，再由该总部接入全球网络，存在单点故障的可能。好处：有助于客

11、户全球网络的一致性，避免单点故障北京北京上海上海国际国际MPLS VPN广州广州跨国电路跨国电路长途专线长途专线长途专线长途专线北京北京上海上海国际国际MPLS VPN广州广州跨国电路跨国电路本地电路本地电路单点故障单点故障MPLS VPN本地电路本地电路本地电路本地电路运营商骨干网络冗余设计运营商骨干网络冗余设计每个据点(POP)均设有后备器材及高度保护每个据点均连接2个不同的据点，以减低因其中1个据点的故障而引致服务瘫痪当任何电路发生故障，据点与据点间会自动选用其它路由以保持连接中央化的网络管理系统以监察整个网络24x7全天候网络运作及客户服务PEPE据点据点CECECECEPE据点若 P

12、E 出现问题若 PE出现问题PE客户电路、设备客户电路、设备冗余冗余对于网络可用性要求极高的客户，可根据当地网络条件，提供双PE接入，此时，可以采用将客户网络侧的一或两台CE路由器各自通过不同的电路连接到不同的PE路由器，通过在CE和PE间配置EBGP协议，可实现接入电路间的互相备份或负载均衡。CEPE正常线路客户点客户点正常流量后备线路正常线路故障时的流量CE客户的其它接点客户的其它接点CEPE正常线路客户点客户点正常流量后备线路正常线路故障时的流量CE客户的其它接点客户的其它接点单路由器选择单路由器选择双双路由器选择路由器选择MPLS VPNMPLS VPN正常流量正常流量PE客户点客户点

13、CE客户的其他接点客户的其他接点CE单路由器选择单路由器选择PE客户点客户点CE客户的其他接点客户的其他接点CE正常流量正常流量双双路由器选择路由器选择MPLS VPNCEMPLS VPN动态负载均衡设计动态负载均衡设计Active/ActiveActive/Active动态负载均衡动态负载均衡正常运作时，两条本地电路都会分担客户网络的流量如果其中一条本地电路发生故障，另一条本地电路会暂时承担客户点所有的流量CoS/QoSCoS/QoS保障网络质量保障网络质量CE路由器多协议标多协议标签签交换交换技术技术IP虚拟专用网络适合多媒体数据平台使用虚拟专用网络适合多媒体数据平台使用DC关键及不能延迟

14、的数据封包流量多协议标签交换技术的路由器高优先次序的流量数据封包(如话音/影像)IPMPLSIPIPCE路由器RCBC首先传送高优先次序的数据封包!IPIPIPIPIPMPLS其它CE路由器流量IPMPLSIPMPLS其它多协议标签交换技术的路由器流量多协议标签交换技术的路由器IPIPIPMPLSIPIPIPIPIPIPIPIPIPMPLSIPIPIPIPMPLSIPIPIPIPMPLSIPIPIPIPMPLSIPIPIPIPMPLSIPIPIPIPMPLSIP流量优先处理流量优先处理流量优先处理服务级别流量优先化服务级别流量优先化 时延敏感的应用（如话音/视频）在流量拥挤时仍会被优先传送 在

15、传送话音及视频时可确保最少的延误及最少的封包遗失其它数据封包流量IPMPLSVoiceVideoERPCRMAppsOthersDCMMRTBC3BC2BC1网络网络企业企业MPLS VPNMPLS VPN组播传输支持组播传输支持来源目的地组播流例如 视频流IP Multicast OptionIP Multicast Client Option目的地目的地组播（Multicast）传输：在发送者和每一接收者之间实现点对多点网络连接。如果一台发送者同时给多个的接收者传输相同的数据，也只需复制一份的相同数据包。它提高了数据传送效率。减少了骨干网络出现拥塞的可能性。避免中心站点的数据拥塞提供详细流

16、量报表提供详细流量报表查查看各式各看各式各样样的的报报表表:线路实时总流量查看来源和目的IP地址的流量查看对话的流量按QoS的流量报表查看流量应用的分析:例如 HTTP,POP3,SMTP等提供服务质量承诺提供服务质量承诺网络可使用率(Availability)：99.99%以上封包时延(Latency)：根据那一条 据点-至-据点 的路由而不同封包成功率(Packet Success)：99.9%以上时延抖动(Jitter)：5ms或10ms以下（根据不同的QoS来划定）7 72424集中监控，主动发现故障集中监控，主动发现故障 开通开通7 72424服务热线服务热线组建面向项目的服务团队组建面向项目的服务团队实行项目经理负责制实行项目经理负责制 服务热线服务热线网管中心网管中心客户网络维护中心客户网络维护中心技术支持技术支持实行响应及时率评测及考核机制实行响应及时率评测及考核机制 一体化售后服务一体化售后服务