1、安全网管技术1第7章 VPN技术及应用l本章主要内容VPN介绍Access VPNLAN-LAN VPNMPLS VPNL2VPN2参考资料:l参考资料:l安全体系结构的设计、部署与操作,常晓波等译,清华大学出版社lCisco Networkers 2003SEC-2011: Deploying Site-to-Site IPSec VPNs3MPLS介绍l早期的通信网络中,有两种常见的通信方式线路交换l转发操作简单、速率快,固定延迟,不灵活,价格高l一般作为传输基础网络使用包交换l延迟不固定,转发操作复杂(查路由,修改ttl,校验和等信息)、速率慢,灵活lFR、IP等4MPLS介绍lATM的
2、出现,融合了以上2种通信方式l包交换的基础上可以提供类似线路交换的服务l转发操作简单(根据VPI/VCI简单处理)l包大小:53字节?l全新的技术,不容易被接受,成本高l随后出现的MPLS又进了一步MPLS的label概念跟ATM的VPI/VCI很象5678910MPLS介绍1112131415161718MPLS优势l控制平面、传输平面的分离l传输平面非常简单,转发数据时只要查表、修改label即可,很容易得到高性能l控制平面分离出来,可以进行非常复杂的控制,完成各种功能lBGP、LDP、RSVPlAToM, Any Transport over MPLS19MPLS L3 VPNlMPLS
3、转发是基于label的,跟数据包的信息无关l如果控制平面能针对每个VPN使用独立的label,就可以在核心层同时传输不同VPN的数据包而且不会混淆,而且核心层传输时对VPN不需要考虑l在网络边缘时要针对不同的VPN进行特殊的处理,把数据包和label对应2021术语lCE Customer Edge router(also referred to as CPE) lPE Provider edge routerlP Provider core routerlVRF Virtual Routing and Forwarding 22232425262728MPLS L3 VPNlP、PE路由器间
4、运行 OSPF或IS-IS内部路由协议以及LDP协议,完成骨干网的路由协议交互和MPLS LDP处理lPE路由器间运行BGP 4路由协议,交换VPN用户的路由lCE、PE间可以使用静态路由,也可以采用动态路由lVPN用户的IP地址仅仅在相连的PE上可见,对P不可见29MPLS L3 VPNl用户的维护修改PE配置即可l问题:一个VPN内不同站点间的路由信息的传递由BGP 4完成,也就是VPN用户的路由信息的维护涉及到PE路由器,即运行商需要参与用户的路由过程。用户路由出现故障时需要查看BGP4的信息来调试。而BGP对管理员来说太复杂了没有加密,可以在用户端使用IPsec303132333435
5、363738MPLS VPN的优势l对运营商采用L3VPN,一个MPLS基础网络可以把多个客户同时用3层接入,这些客户又是隔离的采用L2VPN,一个MPLS基础网络即可提供IP业务,也可以在上面提供FR等传统业务l对用户价格?其他优势不是非常明显39课程总结l网络系统建设l2层网络的安全威胁及对策l网络管理系统和snmp协议l网络隔离与防火墙技术l数据安全与存储技术l网络安全事件响应lVPN技术与应用40课程作业(1)1. 模块化的网络设计分为哪三层?一个具有48个10/100M端口和2个1000M端口的交换机最可能是哪一层的设备?2. 100M网络包速率最高是多少pps?如何得出的?3. 一
6、台接在2层交换机某个端口的计算机,他能监听到其他计算机间的通信吗?为什么?4. 管理员想通过snmp协议查询到路由器上的arp表,应该访问MIB库下哪个表格?5. 具有软驱的机器,使用双网卡隔离技术能保证某台内部服务器上的公开信息不会泄密到外部网络吗?41课程作业(2)6. 系统中1T数据需要备份,备份窗口是4小时,计划用磁带机备份,每台磁带机的写入速度是20MB/s,请问至少需要几台磁带机?如果通过网络备份,备份时大约需要占用多少网络带宽?7. Fibre Channel Ports分哪几种?8. 网络安全事件响应分为哪些阶段?9. 利用MPLS VPN传输机密信息合适吗?为什么?10. 你认为本课程还需要增加哪些部分的内容?42
