政企支撑技术培训材料课件.ppt

电信网络基础知识,01,02,03,课程介绍,04,05,DDN,帧中继,ATM,VPN,课程介绍,通过交流大家可以实现以下目标：第一.了解DDN、FR、ATM、VPN专线与专网的技术特点、电信网络结构与现状；第二.通过学习，可以深入掌握客户组网及技术应用，提高维护与服务水平同时, 创造支撑价值.,培训提纲,02 DDN,DDN培训内容,1 DDN基础知识2 DDN网络与设备简介2 DDN路由器配置,1、DDN基础知识,1.1 什么是DDN 数字数据网(Digital Data Network)是利用数字信道传输数据信号的数据传输网.,DDN优点: (1)DDN是同步数据传输网，不具备交换功能。但可根据与用户所订协议，定时接通所需路由（这便是半永久性连接概念）. (2)传输速率高，网络时延小。目前DDN可达到的最高传输速率为155Mbit/s，平均时延450us。 (3)DDN为全透明网。DDN是任何规程都可以支持，不受约束的全透明网，可支持网络层以及其上的任何协议，从而可满足数据、图像、声音等多种业务的需要。 (4)DDN接入方式与带宽灵活,支持光纤、模拟线等方式下的 2400b/s、4800b/s、9600b/s、19.2kb/s和64*nkb/s(n=1-31)速率。,DDN网络架构,DDN网络组成： DDN节点、网管控制、数字通道和用户接入电路。,DDN一般组网方式,点对多点通信,点对点通信,DDN组网络示意-一点对多点,DDN培训内容,1 DDN基础知识2 DDN网络与设备简介2 DDN路由器配置,DDN网络与设备简介-1,节点系列 N.E.T节点设备分为IDNX 和Promina 系列 ,IDNX型由IDNX/90、 IDNX/20系列组成，Promina 系列由Promina 800, Promina 400,Promina 100系列组成。节点设备可以在单一的多重服务平台为话音、视频、数据和图像等应用提供智能化的带宽管理功能。,该系统由节点机和节点间的中继链路组成，节点机可插入各种模块，每个模块上可包含若干个端口。节点机用节点号(NODE NUMBER)Nx和节点名(NODE NAME)表示，例如：成都太平90机节点是N1，节点名是zhongxin，李家巷节点是N7，节点名是beijiao。节点号在一个网中是唯一的，不能重复，它可以从N1-N250，节点名最多可以用8个字母表示。链路(LINK)指的是两个节点间的中继。它用链路两端的节点号表示，例如：太平至李家巷的LINK是N1N7。模板用插卡(CARD)号NxCx表示，例如：太平节点上的第16号插卡可表示为N1C16。端口(PORT)用端口号NxCxPx表示。所有编号均从0开始。,N.E.T网络知识,DDN网络与设备简介-2,分三个域(DOMAIN),每域最多250个节点。成都和甘孜是DOMAIN3。乐山、内江、眉山、资阳、自贡、宜宾、泸州、雅安、西昌、攀枝花是DOMAIN1。南充、绵阳、德阳、广元、巴中、达州、广安、遂宁是DOMAIN2在网络中唯一标识一个节点DxNx,如成都太平90机是D3N1。有到其他DOMAIN中继的节点为GATEWAY NODE（网关节点）,四川省DDN网结构,四川省DDN核心层结构图,N196,N197,N61,N32,N14,N114,N41,N132,N71,N171,N199,N170,N200,N70,N1,N16,N1,N16,N51,N71,D2,内 江,乐 山,D1,绵 阳,南 充,峨影,太平,新华,高新,D3,时钟系统完成节点间的时钟同步。DDN节点采用主从同步方式，每个节点从上一级节点提取时钟。例如：李家巷节点的时钟通过中继线路从太平节点提取，而太平节点的时钟则从国家网上提取，这样全网的时钟保持一致。Promina 800可以有8个参考时钟，Promina 400可以有2个参考。这些参考时钟按等级高低排列，当高一级时钟失败时，节点将自动与下一级时钟源同步。当上一级时钟恢复时，节点也将自动恢复到与上一级时钟同步，如果时钟同步不好，就将发生误码和滑帧。 全网所有节点均通过中继卡一级一级地从D3N1上提取时钟，D3N1是全网唯一的一个主时钟源，从传输上提取时钟，这样实现了全网的时钟同步。,时钟系统,环路测试-1,本地环(LOCAL LOOP),远端环(REMOTE LOOP),本地节点,远端节点,环路测试-2,本地节点,远端节点,HSD-2 LOOP IN,与REMOTE LOOP相近,只是方向相反,环路测试-3,INTU/NTU LOCAL LOOP,环路测试-4,INTU/NTU REMOTE LOOP,环路测试-5,DDN培训内容,1 DDN基础知识2 DDN网络与设备简介3 DDN路由器配置,3、DDN路由器配置,DDN在路由器上可以封装PPP或HDLC协议。,配置举例:#int e0/0 #no shut #ip add 192.168.0.1 255.255.255.252 #en ppp (或HDLC) (允许在专线上发送ppp包,如果不写,对于两端都 是Cisco路由器是没问题的,会默认为Cisco 自己 的打包方式),培训提纲,03 帧中继(FR),帧中继特点及原理帧中继路由器数据配置,帧中继FR学习内容,帧中继概述,帧中继：FR (Frame Relay)定义 是一种在X.25分组交换技术基础上发展起来的一种快速交换技术。帧中继是基于虚电路的，是面向连接的交换技术。帧中继的特点：以帧的格式传送数据信息，且帧长度可变采用虚电路技术采用时分复用是面向连接的交换技术，但采用逻辑连接，非物理连接能提供动态的带宽使用能力,帧中继关键术语,DLCI：数据连接标识符，代表了DTE设备和交换机之间的虚拟 连接电路用于标识不同的PVC链路，仅具有本地意义。 取值范围：01023 DLCI0 通道内信令 DLCI=115 保留 DLCI=161007 用户通道 DLCI=10081022 保留 DLCI=1023 通道内第二层管理信令VC：虚链路 PVC：永久虚链路 SVC：交换虚链路LMI：本地管理接口，是用户端设备与帧中继交换机之间的信 令标准，负责管理设备之间的连接，维护设备之间的连 接状态。 三种类型：cisoc(思科默认)、Ansi、Q933a。,帧中继带宽控制参数,CIR 承诺信息速率：在正常情况下提交网络传递的信息传输速率。该速率是在时间Tc的最小增量上求得的平均值。Bc（承诺突发量）：在时间间隔Tc内，用户可能发向网络的最大承诺数据量Be（超过的突发量）：在时间间隔Tc内，用户能超出Bc的最大允许的数据总量。Tc（称诺速率突发间隔）：允许用户只送出称诺的数据总量Bc和超过的数据总量Be的时间间隔，常取Tc=1。 在我们根据用户需求创建PVC时，首先要创建帧中继流量参数Frrate Profile，建立的原则是： BC=CIR*1000，BE=接入速率-BC且BE=2*BC。,帧中继不使用差错恢复和流量控制机制。 当帧中继交换机收到一个帧的首部时，只要一查出帧的目的地址就立即进行转发。因此在帧中继网络中，一个帧的处理时间比 X.25 网约减少一个数量级。这样，帧中继网络的吞吐量要比 X.25 网络的提高一个数量级以上。当检测到有误码时，节点要立即中止这次传输。当中止传输的指示到达下个节点后，下个节点也立即中止该帧的传输，并丢弃该帧。如果需要重传出错的帧，则由源站使用高层协议（而不是帧中继协议）请求重传该帧。因此，仅当帧中继网络本身的误码率非常低时，帧中继技术才是可行的。,帧中继差错处理,帧中继帧格式,16-1007,帧中继的虚电路-1,帧中继的逻辑连接的复用和交换都在第二层处理，而不是像 X.25 在第三层处理。帧中继网络向上提供面向连接的虚电路服务。虚电路一般分为交换虚电路 SVC 和永久虚电路 PVC 两种。帧中继网络通常为相隔较远的一些局域网提供链路层的永久虚电路服务，它的好处是在通信时可省去建立连接的过程。 如果有 N 个路由器需要用帧中继网络进行连接，那么就一共需要有 N(N 1)/2 条永久虚电路。,帧中继的虚电路-2,帧中继控制信令,帧中继的呼叫控制信令是在与用户数据分开的另一个逻辑连接上传送的（即共路信令或带外信令）。这点和 X.25 很不相同。X.25 使用带内信令，即呼叫控制分组与用户数据分组都在同一条虚电路上传送。,帧中继工作原理-1,用户在局域网上传送的 MAC 帧传到与帧中继网络相连接的路由器。,路由器剥去 MAC 帧的首部，将IP数据报交给路由器的网络层。网络层再将IP数据包传给帧中继接口卡。,帧中继工作原理-2,接口卡把IP数据报封装到帧中继帧的信息字段。加上帧中继帧的首部（包括帧中继的标志字段和地址字段，帧中继帧的标志字段和 PPP 帧的一样），进行CRC检验后，加上帧中继帧的尾部（包含帧检验序列字段和标志字段），就构成了帧中继帧。,帧中继工作原理-3,帧中继工作原理-4,帧中继接口卡将封装好的帧通过向电信公司租来的专线发送给帧中继网络中的帧中继交换机。帧中继交换机收到帧中继帧就按地址字段中的虚电路号转发帧（若检查出有差错则丢弃）。,当帧中继帧被转发到虚电路的终点路由器时，终点路由器就剥去帧中继帧的首部和尾部，加上局域网的首部和尾部，交付给连接在此局域网上的目的主机。,帧中继工作原理-5,目的主机若发现有差错，则报告上层，由上层调用TCP协议处理。即使TCP协议对有错误的数据进行了重传，帧中继网也仍然当作是新的帧中继帧来传送，而并不知道这是重传的数据。,帧中继工作原理-6,帧中继特点及原理帧中继路由器数据配置,FR学习内容,帧中继用户端的配置及原理,router(conf)#interface serial1router(conf)#encapsulate fram-relay ietfrouter(conf)# fram-relay lmi-type xxxrouter(conf)#interface serial1.1router(conf)#fram-relay interface-dlci xxxrouter(conf)#ip add x.x.x.x x.x.x.xrouter(conf)#exit,路由器关于帧中继的维护命令,查看PVC相关信息Router#show frame-relay pvc PVC Statistics for interface Serial0 (Frame Relay DTE) DLCI = 16, DLCI USAGE = LOCAL, PVC STATUS = INACTIVE, INTERFACE = Serial0.1 input pkts 0 output pkts 1 in bytes 0 out bytes 291 dropped pkts 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 1 out bcast bytes 291 pvc create time 2w4d, last time pvc status changed 1w2d,#Show frame-relay pvc,此命令主要可以看到PVC的状态，所对应的端口及转发的数据包的个数。在命令的输出中，PVC的状态可有三种：ACTIVE，表示从本端路由器到远端路由器端到端的虚电路连接是正常的INACTIVE，表示本端路由器到交换机的连接没有问题，但是远端路由器到它的交换机连接有问题DELETED表示本端路由器到本端交换机连接就有问题,路由器关于帧中继的维护命令,Debug frame-relay lmi Router#debug frame-relay lmi Frame Relay LMI debugging is on Displaying all Frame Relay LMI data Router# Serial0(out): StEnq, myseq 175, yourseen 64, DTE up datagramstart = 0 x1B38814, datagramsize = 13 Frame Relay encap = 0 xFCF10309 00 75 01 01 00 03 02 AF 40 Serial0(in): Status, myseq 175 RT IE 1, length 1, type 0 KA IE 3, length 2, yourseq 65, myseq 175 PVC IE 0 x7 , length 0 x6 , dlci 16, status 0 x2 , bw 0 PVC IE 0 x7 , length 0 x6 , dlci 17, status 0 x2 , bw 0,路由器关于帧中继的维护命令,Debug frame-relay lmi 此命令最主要的用途是可以看到router和交换机互发的LMI的消息，myseq是我们的路由器发出的LMI消息的数目，而yourseq是路由器收到了多少交换机发的LMI的消息。如果每隔10秒，这两个数值都在增长，说明路由器和交换机在二层的通信是正常的。并且还可以看到配置到这条电路上的DLCI值和它们的状态， status 0 x2表示状态是ACTIVE的。 由于使用debug命令会大量占用CPU的资源，所以使用此命令应慎重，并且用完后要用no debug all关掉此功能。,路由器关于帧中继的维护命令,培训提纲,04 异步传输模式（ATM）,ATM基本特点,ATM：异步传输模式 ATM是建立在电路交换和分组交换基础上的一种面向连接的快速分组交换技术。ATM网络以单一的网络结构、综合的处理方式，可提供话音、数据、图形和视频信息的传输；ATM是面向连接的技术；ATM是基于虚电路技术；异步时分复用技术。允许收发双方的时钟可以不同，因此可以更有效地利用带宽；ATM是有Qos保证的技术。,ATM固定信元结构,ATM 采用定长分组作为传输和交换的单位。这种定长分组叫做信元(cell)，一个信元长度为53字节。其中5Bytes信元头，48Bytes净荷。,GFC,NNI类型信元,UNI类型信元,GFC: Generic Flow Control: 通用流量控制.VPI/VCI: Virtual Path/Channel Identifier 虚路径/虚通道.PTI: Payload Type Identifier 净荷类型标识.CLP: Cell Loss Priority 信元丢失优先级.HEC: Header Error Check 信元头差错检查.,当用户的 ATM 信元需要传送时，就可插入到 SDH 的一个帧中。SDH 传送的同步比特流被划分为一个个固定时间长度的帧（请注意，这是时分复用的时间帧，而不是数据链路层的帧）。 每一个用户发送的 ATM 信元在每一时分复用帧中的相对位置并不是固定不变的。 如果用户有很多信元要发送，就可以接连不断地发送出去。只要 SDH 的帧有空位置就可以将这些信元插入进来。ATM 名词中的“异步”是指ATM信元能“异步插入”到同步的 SDH 比特流中。,“异步”的含义,选择固定长度的短信元作为信息传输的单位，有利于宽带高速交换。能支持不同速率的各种业务。 所有信息在最低层是以面向连接的方式传送，保持了电路交换在保证实时性和服务质量方面的优点。ATM 使用光纤信道传输。由于光纤信道的误码率极低，且容量很大，因此在ATM 网内不必在数据链路层进行差错控制和流量控制(放在高层处理)，因而明显地提高了信元在网络中的传送速率。,ATM 的主要优点如下：,ATM 的一个明显缺点就是信元首部的开销太大，即 5 字节的信元首部在整个 53 字节的信元中所占的比例相当大。ATM 的技术复杂且价格较高。ATM 能够直接支持的应用不多。10 千兆以太网的问世，进一步削弱了 ATM 在因特网高速主干网领域的竞争能力。,ATM 的缺点,ATM 网络元素,ATM 端点（又称为 ATM 端系统）通过点到点链路与 ATM 交换机相连。ATM 交换机是一个快速分组交换机（交换容量高达数百 Gb/s），其主要构件是：交换结构(switching fabric)若干个高速输入端口和输出端口必要的缓存,ATM 的协议参考模型,ATM 的协议参考模型 ATM 的协议参考模型共有三层，大体上与 OSI的最低两层相当（但无法严格对应）。,ATM Model,ATM Adaptation,ATM,Physical,OSI Model,物理层,ATM层,ATM适配层,ATM层功能,主要完成交换和复用功能，与传送 ATM 信元的物理媒体或物理层无关。 信元的复用与分用信元的 VPI/VCI 转换（就是将一个入信元的 VPI/VCI 转换成新的数值）信元首部的产生与提取流量控制,ATM适配层功能-1,在ATM 层上传送的业务可能有很多种，为了能够适合各种特定业务的需要，设置了AAL层（ATM适配层）。ATM对各种业务承载能力集中体现在ATM适配层。AAL 层的主要作用是将高层的用户信息分段装配成信元，吸收信元延时抖动和信元丢失，并进行流量控制和差错控制。 网络只提供到ATM层为止的功能。AAL层的功能由用户本身提供，或由网络与外部的接口提供。所以，我们可以认为AAL层是用户或外部接口与ATM网络沟通的桥梁。ATM适配层分为以下几种类 ：AAL1，AAL2，AAL3/4，AAL5。,ATM适配层功能-2,ATM 适配层(AAL1),主要承载固定比特率(CBR)业务，支持比特率恒定的、对时间敏感的业务，如话音和视频业务，超时和重发机制引入的延迟是不能接受的。ATM 适配层2(AAL2)，主要承载可变比特率(VBR)业务，也用于低速率，可以节省带宽，提高带宽效率。我们通常开的FR就是由AAL2适配的。面向连接的数据服务:AAL3/4。该业务为面向连接的业务,适用于文件传递和数据网业务,其连接是在数据被传送以前建立的。它是可变比特率的,但是没是介面传递延迟。在我们的应用中很少碰到。AAL5原名为简单而有效的适配层（SEAL），用于比特率可变的、容许时延的、面向连接并要求少量排序和检错功能的数据业务。AAL5主要承载了以太网业务或者是IP业务，在因特网中，与ATM网接口的一般方法是使用AAL5的有效载荷字段来传输IP分组。,ATM连接电路种类-1,交换虚电路SVC一条SVC是网络通过信令动态建立、保持和拆除的连接。永久虚电路PVC一条PVC是网络管理员通过网管系统逐段建立的连接。智能永久虚电路S-PVC一条S-PVC的两端是通过网管建立的PVC,在网络内部的路由则是通过信令自动选择建立的SVC。,ATM连接电路种类-2,SPVC,PVC,signals for set up,SVC,目的,源,PVC,PVC,PVC,SVC,SPVC,SVC,SVC,SVC,PVC,PVC,PVC,SVC,SVC,SVC,SVC,ATM服务等级-1,固定比特率 (CBR)可变比特率 (VBR)实时(VBR-RT)非实时 (VBR-NRT)不确定比特率 (UBR)获得比特率 (ABR),TX,RX,CBR Traffic,VBR Traffic,UBR/ABR Traffic,ATM服务等级-CBR,CBR业务（等级最高）的特点是面向连接、有固定比特率、通信端点之间存在定时关系。在整个连接过程中可以持续的峰值信元速率(PCR)进行传输，通信终端可以在任意时刻、时段内以等于(或小于)PCR的信元速率进行传输。网络已为之按PCR预留了带宽,应用于需要恒定带宽，延时要求高的应用如语音业务、要求严格定时的视频业务和电路仿真业务等，就象我们的DDN网络必须保持全网同步一样，CBR业务对定时的要求也非常苛刻。主要应用：电路仿真（CES）电路，FR中无突发的业务。典型的应用就是当初DDN整合ATM工程中，用CES电路可以取代达科设备，提供用户接入和局间中继连接。,ATM服务等级-VBR,VBR类型的连接，允许随时可变的带宽，但必须指定峰值带宽PCR（Peak Cell Rate）、最大突发数据长度MBS(Maximum Burst Size)和必须维持的最低速率SCR（Sustained Cell Rate）。RT-VBR业务的特点是面向连接，比特率可变，通信端点之间存在定时关系。RT-VBR业务主要应用于对时间敏感性要求严格的业务(需要严格的延和时延变化)，如图象业务等。目前我们接触到的绝大多数是NRT-VBR。NRT-VBR业务的特点是面向连接，比特率可变，通信端点之间不存在定时关系。通信端点占用的带宽随不同时间内终端信息发送速率变化而变化，ATM网络对通信终端给予SCR的保证, 同时要求通信终端不得以大于峰值信元速率(PCR)的速率发送信息。NRT-VBR业务主要应用于有突发特性的对时延和时延变化求不严格的业务，如数据传输、E-MAIL、FAX等业务。,ATM服务等级-ABR、UBR,ABR（Available Bit Rate）可用比特率，主要用于以太网，是尽量获取系统未分配的带宽。UBR（Unspecified Bit Rate）不定比特率，主要用于对服务质量和传输速率要求不高的业务。适用于对时延和抖动要求不太严格的数据通信业务。网络不保证传输信元的带宽，而只是尽最大努力来尝试传送（即尽力而为）。ATM网承载的ADSL电路都是采用的UBR，当UPC使用默认的0选项时，业务等级即为最低的UBR。,VCI与VPI(VPI包含VCI),ATM 连接用信元首部中的两级标号来识别。虚通道标识 VPI (Virtual Path Identifier) 虚通路标识 VCI (Virtual Channel Identifier),一个虚通路 VC 是在两个或两个以上的端点之间的一个运送 ATM 信元的通信通路。一个虚通道 VP 包含有许多相同端点的虚通路 VC，而这许多 VC 都使用同一个 VPI。,VCI 与 VPI（ VPI 包含 VCI）,在一个给定的接口，复用在一条链路上的许多不同的 VP，用它们的 VPI 来识别。复用在一个 VP 中的不同的 VC，用它们的 VCI 来识别。,VCI 与 VPI（ VPI 包含 VCI）,一个给定的 VCI 值没有端到端的意义。VP 在经过集中器或交换机时，其 VPI 也会改变。,VCI 与 VPI（ VPI 包含 VCI）,VPI的取值范围是: 对于UNI接口 VPI: 0-255; NNI接口:VPI: 0-4095; VCI取值范围: 0-65535,培训提纲,05 虚拟专用网络（ VPN ）,VPN培训提纲,1 VPN概述与基础知识2 MPLS VPN技术简介2 VPDN技术简介,出差员工,公司分部,合作商,公司总部,VPN(Virtual Private Network) 是利用公共网络来构建的企业专用网络.依靠网络提供商在公用网络基础设施之上构建的专用的数据通信网络，这里所指的公用网络有多种，包括IP网络、帧中继网络和ATM网络。,VPN概念,VPN-虚拟性,VPN用户内部的通信是通过一个公共网络进行的VPN用户通信使用的是私网IP,私网IP,公网IP,公网IP,私网IP,私网IP,VPN特点：专用性：VPN资源只能被该VPN的用户使用，不能被网络中其他用户所使用,并且 可以提供QOS功能，对VPN用户提供不同等级的服务质量保证.安全性：VPN数据受到安全保护，不会受到窃听和攻击破坏.虚拟性：VPN用户内部的通信是通过一个公共网络进行的,公共网络不是专用.提供服务质量保证VPN作用：专线的作用：保证数据传输的安全VPN的作用：通过建立隧道在公共网络上仿真一条点到点的专线，从而达到数据的安全传输VPN与专线对比：成本低，用户只需铺设本地专线而无需使用长途专线，还可通过internet访问内部网络，更加方便。,VPN特点与作用,按VPN业务类型划分： （1）Intranet VPN（内部公文流转） （2）Access VPN（远程拨号VPN） （3）Extranet VPN（各分支机构互联）按VPN发起主体划分： （1）客户发起，也称基于客户的VPN （2）服务器发起，也称客户透明方式或基于网络的VPN按隧道协议层次划分： （1）二层隧道协议：L2F/L2TP、PPTP （2）三层隧道协议：GRE、IPSec （3）介于二、三层间的隧道协议：MPLS （4）基于Socket V5的VPN根据VPN实现方式不同，还可进一步分为软件实现和硬件实现等。,VPN分类,VPN关键技术,路由封装GRE,L2TP、PPTP,IPSec,对数据进行加密,通过对隧道及身份认证等方式实现,1、隧道相关知识,隧道的定义：实质上是一种封装，将一种协议（协议X）封装在另一种协议（协议Y）中传输，从而实现协议X对公用传输网络(采用协议Y)的透明性 隧道协议内包括以下三种协议乘客协议（Passenger Protocol）封装协议（Encapsulating Protocol）运载协议（Carrier Protocol）2、隧道协议例子,VPN隧道技术,隧道协议类型,分类依据：被封装的数据在OSI/RM的层次第二层隧道：以PPTP，L2TP为代表第三层隧道：IPSec,第二层隧道：PPTP,PPTP由微软公司设计，用于将PPP分组通过IP网络封装传输,PPTP的数据封装：,二层隧道技术：L2TP,此报文格式是LAC与LNS之间的数据报文。 L2TP报文头是VPN协议报文头，其内封装的是PPP报文，因此L2TP是二层VPN协议。,全称:Layer 2 Tunnel Protocol第二层隧道协议由来：RFC2661,是PPTP,L2P最终的产物连接建立：使用 PPP 的身份验证、连接机制协议端口号为UDP 1701封装使用L2TP报头包装 PPP 帧 IPSEC在最外层进行加密封装认证加密数据没有加密机制，通常与IPSEC配合使用增强加密机制,数据封装格式：,简介:,三层隧道技术：IPSec,IPSec： 即IP层安全协议，是由Internet组织IETF的IPSec工作组制定的IP网络层安全标准。它通过对IP报文的封装以实现TCP/IP网络上数据的安全传送。数据封装格式：,几种隧道技术的比较,应用范围：PPTP、L2TP：主要用在远程客户机访问局域网方案中IPSec主要用在网关到网关或主机方案中安全性：PPTP提供认证和加密功能，但安全强度低L2TP提供认证和对控制报文的加密，但不能对传输中的数据加密。IPSec提供了完整的安全解决方案。QoS保证：实行QoS应该在主机网络中，即VPN所建立的隧道这一段，这样才能建立一条性能符合用户要求的隧道。对多协议的支持：IPSec不支持,VPN培训提纲,1 VPN概述与分类基础知识2 MPLS VPN技术简介2 VPDN技术简介,MPLS VPN概述, MPLS VPN即在MPLS/IP公共网络上，利用MPLS技术创建隧道，实现三层VPN业务的技术。,MPLS VPN优点,（1）降低了成本 MPLS简化了ATM与IP的集成技术，降低了成本，保护了用户的前期投资。 （2）提高了资源利用率 由于在网内使用标签交换，用户各个点的局域网可以使用重复的IP地址，提高了IP资源 利用率。 （3）提高了网络速度 由于使用标签交换，缩短了每一跳过程中地址搜索的时间，减少了数据在网络传输中的 时间，提高了网络速度。 （4）提高了灵活性和可扩展性 由于MPLS使用的是Any To Any的连接，提高了网络的灵活性和可扩展性。灵活性方面， 可以制订特殊的控制策略，满足不同用户的特殊需求，实现增值业务。扩容性包括：一 方面网络中可以容纳的VPN数目更大；另一方面，在同一VPN中的用户很容易扩充。 （5）方便用户 MPLS技术将被更广泛地应用在各个运营商的网络当中，这会对企业用户建立全球的VPN带 来极大的便利。 （6）安全性高 采用MPLS作为通道机制实现透明报文传输，MPLS的LSP具有与帧中继和ATM VCC（Virtual Channel Connection，虚通道连接）类似的高可靠安全性。 （7）业务综合能力强 网络能够提供数据、语音、视频相融合的能力。 （8）MPLS的QoS保证 （9）适用于较大的企事业单位组网采用,基于IP的网络中，MPLS具有很多优点：,MPLS VPN基本术语说明,PE(Provider Edge)运营商网络(或公共网络平台)中与可户网络相连的边缘网络设备;CE(Customer Edge)客户网络(或专用业务系统网络)中与PE相连接的边缘设备;P(Provider)这里特指运营商网络中除PE之外的其他运营商网络设备;,MPLS CORE,MPLS EDGE,PE,P,P,P,PE,PE,CE,CE,CE,CE,CE,CE,MPLS VPN基本术语说明,VRF (VPN_Routing_Forwarding_Table ):在PE路由器上，为每个PE直接相连的VPN生成一份路由与转发表。每个VRF仅存有所隶VPN的路由信息; RD：路由标识符（Route Distinguisher）用来解决用户地址复用问题;RT：路由目标（route-target）用来识别不同VPN的路由信息;VPNv4地址(Provider) 为了避免VPN用户地址重叠，在PE设备中对用户地址扩展成12字节地址，即RDIPv4地址；MP-BGP 对BGP协议进行扩展，使其支持VPNv4地址和MPLS协议，可以用来分发VPN路由和标签；,MPLS VPN VRF,VRF的提出: VRF：VPN路由转发实例（VPNRouting&Forwarding） 作用：隔离、识别不同的VPN 每个VRF存储的路由信息具有： 与此VRF有关的直连从CE站点接收到的路由 从其他PE路由器接收到的具有可接受的BGP属性的路由 只有来自与VRF相关的站点的数据包才会被查询 提供不同VPN间的隔离,VRF存在于PE,MPLS VPN QOS,基于VRF的QoS限制从VRF进入VPN的流量，限制从VPN进入VRF的流量限制从VRF进入到远端site（由RD标识）的流量，限制从远端site（由RD标识）进入VRF的流量SLA策略与VPN划分策略相结合按照业务划分的VPN(如VOIP VPN)按照企业划分的VPN,MPLS VPN接入方案-1,PE,PE,PE,CE,CE,VLAN接入,POS/ATM/GE/FE/E3/E1,直接链路接入,VLAN Trunk(GE/FE),通常方式,PE,PE,PE,CE,三层隧道接入,L2TP/PPPoX/PVC,二层隧道接入,GRE/IPSec,AAA服务器,适合于远程方式接入VPN或特殊个人用户接入VPN,MPLS VPN接入方案-2,特殊方式,LAN,企业总部,LAC,LNS,分支点,中国电信MVPN网络,L2TP隧道,PSTN/ISDNInternet,分支点,移动终端,中国电信3G网络,PDSN,ADSL,光纤,光纤,无线3G,VPDN,混合方式,MPLS VPN接入方案-3,交流时间,谢 谢！,