各层VPN:
数据链路层:PPTP L2F L2TP
网络层:Ipsec Gre
应用层:SSL DPN
VPN技术:虚拟专用网(帧中继、X.25等)
定义:
是一种逻辑的隔离技术,就好像在两个站点之融合
间跨越公共网络建立了专用的隧道,站点通过隧道实现通信 产生原因:
能提高带宽利用率,价格相对于专线比较便宜,因此成为构成早期VPN网络的主要技术
VPN网络的特点:
不同的私有网络之间相互不可见
企业用户接入运营商的网络结构
企业用户的网络设备:
RTA,RTB,RTF与RTG被称为CE(Customer Edge)设备
运营商的网络设备:
RTC与RTE,设备直接与客户设备相连,被称为PE(Provider Edge)设备
RTD,是运营商网络中的骨干设备,被称为P(Provider)设备
CE(Customer Edge):
用户网络边缘设备,有接口直接与服务提供商SP(Service Provider)网络相连。CE可以是SVN或交换机,也可以是一台主机。通常情况下,CE“感知”不到VPN的存在,也不需要支持MPLS
PE(Provider Edge):
服务提供商边缘设备,是服务提供商网络的边缘设备,与CE直接相连。在MPLS网络中,rbd505对VPN的所有处理都发生在PE上
P(Provider):
服务提供商网络中的骨干设备,不与CE直接相连。P设备只需要具备基本MPLS转发能力,不维护VPN信息 用户设备所在的区域,称为一个站点(Site),站点是指相互之间具备IP连通性的一组IP系统,并且这组IP系统的IP连通性不需通过运营商网络实现
VPN模型 :
1。Overlay VPN
Overlay VPN的特点:
客户路由协议总是在客户设备之间交换沈阳大学国际商学院
,而运营商对客户网络结构一无所知 典型的协议:
二层——帧中继
三层——GRE与IPSec
应用层——SSL VPN民族冲突
Overlay VPN可以在CE设备上建立隧道,也可以在PE设备上建立隧道:
在CE与CE之间建立隧道,并直接传递路由信息,路由协议数据总是在客户设备之间交换,运营商对客户网络结构一无所知:
优点:不同的客户地址空间可以重叠,保密性、安全性非常好
缺点:本质是一种“静态”VPN,无法反应网络的实时变化。并且当有新增站点时,需
要手工在所有站点上建立与新增站点的连接,配置与维护复杂,不易管理
在PE上为每一个VPN用户建立相应的隧道,路由信息在PE与PE之间传递,公网中的P设备不知道私网的路由信息:
优点:客户把VPN的创建及维护完全交给运营商,保密性、安全性比较好
缺点:不同的VPN用户不能共享相同的地址空间
2。Peer-to-Peer VPN
Peer-to-Peer VPN特点:
在CE设备与PE设备之间交换私网信息,由PE设备将私网信息在运营商网络中传播,实现了VPN部署及路由发布的动态性
解决了Overlay VPN的“静态”性质不太适合大规模应用和部署的问题
如图所示,所有VPN用户的CE设备都连到同一台cult 3dPE上,PE与不同的CE之间运行不同的路由协议(或者是相同路由协议的不同进程)。由始发PE将路由发布到公网上,在接收端的PE上 将路由过滤后再发给相应的CE设备
Peer-to-Peer是在CE与PE之间交换私网路由信息,然后由PE将私网路由在运营商网络中传播,由于孟连一中CE与PE之间运行了路由协议,所以私网路由会自动地传播到PE上;由于Peer-to-Peer VPN将私网路由泄露到公网上,所以必须通过严格的路由过滤和选择机制来控制私网路由的传播