现代骨干网与高速互联网技术 modern backbone network & high-speed internet technology

现代骨干网与高速互联网技术Modern Backbone Network & High-Speed Internet Technology

邬春学[email protected]

http://www.sciencenet.cn/blog/tyfond.htm

上海理工大学Thursday, April 20, 2023

《现代骨干网与高速互联网技术》邬春学 23/4/20第 6 部分 VPN 和隧道技术

6.0 虚拟专用网的演进过程

Internet 也就是运行 TCP/IP 协议套件的所有网络的一个大集合。

在 80 年代，人们普遍使用的还有另一些网络协议体系— ISO （国际标准化组织）的 OSI 、 IBM 公司的SNA 以及 DEC 公司的 DECnet 等等。然而，所有这些协议没一个是简单的，也不象 TCP/IP 那样是开放的。正是由于这个原因， TCP/IP 协议套件才得到了广泛的实施、开发和支持。



所有网络协议体系均包括下述基本组件：■ 协议堆栈—由相互间通信、高效率传输数据包的各个层构成。■ 定址系统—提供独一无二标识一个目的地（目标主机）的能力。为了实现大范围内的通信，有必要将通信实体唯一地标识出来。■ 路由（选择）—决定一个特定数据包的传送路径，令其最终抵达目的地，这就是所谓的 “ 路由选择（ Routing）”。



最初的计算机网络实现为客户提供了很高的安全性，但由于下述两个原因，实现的成本效益不高：

网络中两个站点之间的数据流量随时间不同而不同；终端用户总是要求快速响应，因此要求站点之间有很大

的带宽，但租用线的专用带宽只有部分时间被使用。


整个 VPN 解决方案包含大量的组件：

1. 服务提供商拥在基础设施（设备和传输介质），它为客户提供仿真的租用线路。

2. 客户通过客户前端设备（ Customer Premises Equipment,CPE ）与服务提供商的网络相连。

3. CPE 设备通过传输介质与服务提供商的设备相连4. 服务提供商通常在服务提供商网络（ P- 网络）的核心安装

了其他设备（ P- 设备）。5. 客户网络中相连的部分被称为站点（ Site ）。6. 服务提供商给客户提供的仿真租用线路常驻机构常被称为虚

电路（ VC ），包括永久虚电路和交换虚电路。7. 服务提供商可以按固定速率或使用的速率收费


现代虚拟专网

VPN分类：要解决的业务问题：企业内部通信（企业内部网）、企业之间的

通信（企业外部网）以及移动用户的接入（虚拟拨号专网）服务提供商在哪一个 OSI层与客户交换拓扑信息：覆盖模型和对

等模型。在服务提供商网络中用于实现 VPN服务的第二层或第三层技术：

X.25、帧中继、 SMDS （交换多兆位数据服务， Switched Multimegabit Data

Service SMDS) 、 ATM 或 IP

网络的拓扑结构


IP VPN

在一个共享的公共网络基础设施上，企业可以获得与专用网络一样的安全性，一样的可靠连接，一样的可管理性，以及一样的地址分配方案。

IP VPN 既可以构建在 Internet 之上，也可建立在服务商的IP 或 ATM 基础设施上。

IP VPN 可以跨越多个网络，通过专用的甚至是拨号连接，将企业不同地域的分支机构、移动的用户、远程工作者以及企业合作伙伴连接起来，提供与专用网络相同的安全性、性能以及可用性。


IP VPN支持的应用：

远程接入：支持远程用户采用 PSTN 、 ISDN 、 DSL 、电缆（ cable modem ）或无线的方式接入企业网络。

内部网：在专用基础设施上不同远程站点之间的连接。

外部网：能够在一个或多个其他企业网络之间进行有限的网络接入，包括连接到全球 Internet 。


VPN 的意义

现在越来越多的个人、职员装备了便携式计算机，这些便携式计算机需要随时随地连接到企业网络，由此而引起的远程连接成本和网络复杂性可想而知。

企业之间的合作及企业与客户之间的联系也日趋紧密，这些合作和联系是动态的，总是处在变化和发展之中。

VPN的基本点：化公为私，使每个企业可以临时从公用网中挖走一部分资源供自己专用。


VPN业务对运营商网络基础平台的要求：

网络中的通道应该避免全网状网连接；减少网络设备中的 VPN 信息，即提供简洁，高效的

VPN 解决方案；在同一个 VPN 中的每个路由器，不需要配置和 VPN 网

络中的其他结点的点到点连接，而只需和运营商网络的接入路由器相连接；

可以简单地实现和其他网络的互通；在网络的核心采用 MPLS 协议传送数据信息；不同 VPN 用户间采用 BGP 协议传递 VPN 路由信息；有良好的可扩展性，同时对企业用户来说易于实现。


VPN业务

企业内部的 Intranet 虚拟 IP 传送网络 Internet 接入 VPN

Extranet VPN

远程 VPN

多企业 VPN

拨号 VPN


6.1 VPN的相关知识

1、 VPN 的定义 2、 VPN 的构成 3、 VPN 的实现要求


1、 VPN 的定义

VPN 的定义：是指依靠 ISP 或其他 NSP 在公用网络基础设施之上构建的专用的数据通信网络，这里所指的公用网络有多种，包括 IP 网络、帧中继网络和 ATM 网络。虚拟：专用网：

IETF 对基于 IP 的 VPN 定义：使用 IP 机制仿真出一个私有的广域网。


2、 VPN 的构成

公共网络

VPN连接

VPN客户机

VPN服务器

隧道


3、 VPN 的实现要求

专用网的特点：封闭的用户群安全性高服务质量保证

VPN的实现要求支持数据分组的透明传输支持安全功能提供服务质量保证


4、 VPN 的分类（ 1 ）

按 VPN业务类型划分：（ 1 ） Intranet VPN（内部公文流转）

（ 2 ） Access VPN（远程拨号 VPN）

（ 3 ） Extranet VPN（各分支机构互联）

按 VPN发起主体划分：（ 1 ）客户发起，也称基于客户的 VPN

（ 2 ）服务器发起，也称客户透明方式或基于网络的VPN


4、 VPN 的分类（ 2 ）

按隧道协议层次划分：（ 1 ）二层隧道协议： L2F/L2TP、 PPTP

（ 2 ）三层隧道协议： GRE、 IPSec

（ 3 ）介于二、三层间的隧道协议： MPLS

（ 4 ）基于 Socket V5的 VPN

此外，根据 VPN实现方式不同，还可进一步分为软件实现和硬件实现等。


6.2 VPN 的隧道技术

1 、隧道的相关知识 2 、隧道协议类型 3 、第二层隧道： PPTP 4 、第二层隧道： L2TP 5 、第三层隧道技术： IPSec 6 、几种隧道技术的比较


1 、隧道的相关知识隧道的定义：实质上是一种封装，将一种协议（协

议 X ）封装在另一种协议（协议 Y ）中传输，从而实现协议 X 对公用传输网络 ( 采用协议 Y) 的透明性

隧道协议内包括以下三种协议乘客协议（ Passenger Protocol ）封装协议（ Encapsulating Protocol ）运载协议（ Carrier Protocol ）

隧道协议例子


2 、隧道协议类型

分类依据：被封装的数据在 OSI/RM的层次第二层隧道：以 PPTP， L2TP为代表第三层隧道： IPSec


3 、第二层隧道： PPTP（ 1）

PAC

局域网

拨号

I P网络隧道

PNS

远程客户 NAS拨号

远程客户

局域网

电话网

PPTP由微软公司设计，用于将 PPP分组通过 IP网络封装传输


3 、第二层隧道： PPTP（ 2）

PPTP 的数据封装：数据链路层报

头IP 报头 GRE 报头 PPP 报头数据链路层报

尾加密 PPP 有效

载荷

PPTP 客户机或 PPTP 服务器在接收到 PPTP 数据包后，将做如下处理：

•处理并去除数据链路层报头和报尾；•处理并去除 IP报头；•处理并去除 GRE和 PPP报头；•如果需要的话，对 PPP有效载荷即传输数据进行解

密或解压缩；•对传输数据进行接收或转发处理。


4 、第二层隧道： L2TP

数据封装格式：

特点：它综合了第二层转发协议（ L2F）和 PPTP两种协议各自的优点

协议的额外开销较少

IP头 UDP头 L2TP头 PPP数据


5 、第三层隧道技术： IPSec

IPSec ：即 IP 层安全协议，是由 Internet 组织 IETF 的IPSec 工作组制定的 IP 网络层安全标准。它通过对 IP 报文的封装以实现 TCP/IP 网络上数据的安全传送。

数据封装格式：

IP新头 IPSec头 / IP加密认证数据包


6 、几种隧道技术的比较

应用范围： PPTP 、 L2TP ：主要用在远程客户机访问局域网方案中；

IPSec 主要用在网关到网关或主机方案中，不支持远程拨号访问。

安全性： PPTP 提供认证和加密功能，但安全强度低 L2TP 提供认证和对控制报文的加密，但不能对传输中的数据加密。

IPSec 提供了完整的安全解决方案。 QoS 保证：都未提供对多协议的支持： IPSec 不支持


6.3 基于 IPSec的 VPN 的体系结构

1、 IPSec 体系结构 2、 IPSec 协议框架 3、 AH 协议 4、 ESP 协议（封装安全载荷协议）

5、 IPSec 传输模式 6、 IPSec 隧道模式 7 、安全策略数据库 (SPD) 8 、安全联盟数据库 (SADB) 9 、数据包输出处理 10 、数据包输入处理 11 、包处理组件实现模型


1、 IPSec 体系结构

(ESP)封装安全载荷

体系

加密算法

解释域

I PSec图安全体系结构

(AH)认证头

认证算法

I KE密钥交换与管理 SA安全关联


2、 IPSec 协议框架（ 1 ）

综合了密码技术和协议安全机制， IPSec 协议的设计目标是在 IPV4 和 IPV6 环境中为网络层流量提供灵活的安全服务。 IPSec 协议提供的安全服务包括：访问控制、无连接完整性、数据源鉴别、重传攻击保护、机密性、有限的流量保密等。 IPSec 协议主要内容包括：●协议框架－ RFC2401 ；

●安全协议： AH 协议－ RFC2402 、 ESP 协议－RFC2406 ；


● 密钥管理协议： IKE － RFC2409 、 ISAKMP －RFC2408、 OAKLEY 协议－ RFC2412。

● 密码算法： HMAC － RFC2104/2404 、 CAST －RFC2144、 ESP 加密算法－ RFC2405/2451 等。

● 其他：解释域 DOI － RFC2407 、 IPComp －RFC2393、 Roadmap－ RFC2411。



IPSec 架构

密钥管理

ESP 协议 AH 协议

解释域（ DOI）

加密算法鉴别算法

IPSec 协议文件框架图


ike 定义了安全参数如何协商 , 以及共享密钥如何建立 , 但它没有定义的是协商内容 . 这方面的定义是由 " 解释域 (doi)" 文档来进行的


3、 AH 协议

I P原头数据AH头

AH图的格式

TCP头( I P )认证的头中可变字段除外 I Pv4

传输模式

(SPI )安全参数索引序列号

(32 )认证数据比特的整数倍

(8)下一负载头标 (8)净载荷长度 (16)保留


4、 ESP 协议

I Pv4传输模式I P原头数据ESP头部 ESP尾部 ESP认证数据

ESP图格式

TCP头加密的认证的

ESP净载荷

~~ (0-255 )填充字节

ESP ( )净载荷变长

SPI (32 )安全参数索引比特(32 )序列号比特

( )认证数据长度可变(8 )下一负载头标比特(8 )填充长度比特


5、 IPSec 传输模式

I PSec AH ESP图传输模式下的、数据封装格式

A主机

数据 B A

( )经认证加密的数据 I P原头信息( A B)源地址目的地址

B主机I P分组数据B A

I Pv4ESP传输模式数据ESP头部 ESP尾部 ESP认证数据TCP头

加密的认证的

数据TCP头 I P原数据包

I Pv4AH传输模式I P原头 AH TCP头数据

( I P )认证的原头的可变字段除外

I P原头

I P原头


6、 IPSec 隧道模式

I PSec AH ESP图隧道模式下的、的数据封装格式

I P原头信息( B A)源地址、目的地址

A主机I P分组 (SPD)

VPN X网关

数据B A

数据 B A

数据B A

数据 B A

(SPD)

VPN X网关

B主机

( )经认证加密的数据

数据 B A Y X

数据B AY X

I P新头信息( Y X)源地址、目的地址

I Pv4AH隧道模式

I P新头 I Pv4ESP隧道模式I P原头数据ESP头部 ESP尾部 ESP认证数据TCP头

加密的认证的

I P原包

VPN隧道

I P新头 I P原头AH TCP头数据( I P )认证的新头的可变字段除外

I P原头 TCP头数据


6.4 MPLS/VPN 体系结构概述

案例研究 VPN路由和转发表


MPLS VPN有三种类型的路由器

CE 路由器 : 是客户端路由器，为用户提供到 PE 路由器的连接；

PE 路由器是运营商边缘路由器，也就是 MPLS 网络中的标签边缘路由器（ LER ），它根据存放的路由信息将来自 CE路由器或标签交换路径（ LSP ）的 VPN 数据处理后进行转发，同时负责和其他 PE 路由器交换路由信息；

P 路由器是运营商网络主干路由器，也就是 MPLS 网络中的标签交换路由器（ LSR ），它根据分组的外层标签对 VPN数据进行透明转发， P 路由器只维护到 PE 路由器的路由信息而不维护 VPN 相关的路由信息。



案例研究6.4 MPLS/VPN 体系结构概述


地址空间

假设两个公司都遵守相同的地址约定：中心站点使用公有 IP地址，而远程站点使用专用 IP地址空间（网络10.0.0.0 ）



公司站点子网FastFood San Jose 195.12.2.0/24

Santa Clara 10.1.1.0/24

Redwood 10.1.2.0/24

Santa Cruz 10.1.3.0/24

Monterey 10.1.4.0/24

Lyon 10.1.5.0/24

EuroBank Pairs 196.7.25.0/24

Chartres 10.2.1.0/24

Nantes 10.2.2.0/24

San Francisco 10.1.1.0/24



传统上， SuperCom 可以使用 3 种方式来解决地址重叠的问题：

说服客户改变其网络的地址空间，大多数客户将乐意这么做，而不是去寻找其他的服务提供商；

使用 IP-over-IP隧道实现 VPN服务，在这种实现中，客户的 IP地址对服务提供商路由器是隐藏的；

实现一种复杂的网络地址转换（ NAT）方案，在提供商边界路由器上将客户地址转换成一组不同的地址，并在分组从出口 PE- 路由器发送到 CE 路由器之前，将这些地址转换在地址。



VPN路由和转发表

MPLS/VPN 对地址重叠的解决方案：每个 VPN 在路由器中都有自己的路由和转发表，因此属于该 VPN

的所有客户或站点都只能访问该表中的路由集。因此，MPLS/VPN 的所有 PE- 路由器都包含大量单 -VPN 路由表以及一个全局路由表，后者用于达到提供商网络中的其他路由器以及外部的全局性可到达的目的地。实际上，在单个物理路由器中，创建了大量的虚拟路由器。



除了虚拟 IP路由表外，与虚拟路由器相关的还有其他一些结构：从路由表派生而来，并基于 Cisco快速转发技术的转发表；

一组使用派生的转发表的接口；控制 VPN路由表中路由的导入和导出的规则，引入这些规则是为了支持重叠 VPN

一组路由协议 / 对等体，它们将信息注入到 VPN路由表中。这包括静态路由技术。

与路由协议相关的路由器变量，用于填充 VPN路由表。



3.7 研究课题(1) VPN 体系结构的深入研究(2) VPN 在实时网络及企业网络中的应用研究(3) VPN 在 QoS保证中的应用及评价研究(4)基于新技术（ Overlay 、 MPLS 等）的 VPN研究(5)无线局域网、广域网环境中实现 VPN 的研究(6) VPN 在 NCS( 传感器网络、控制器网络和执行器等 ) 中的应

用研究(7) VPN新标准、新技术及评价系统研究(8)专用教学、服务等网络的 VPN 实现(9)在遥测遥控系统（气象、卫星、航天、环境、资源、交通

等）中的应用(10) VPN 和隧道技术在物联网技术中的应用……


第三部分结束！

现代骨干网与高速互联网技术 modern backbone network & high-speed internet technology

Documents