设为首页
收藏本站
开启辅助访问
切换到窄版
登录
立即注册
中问网首页
我的收藏
站长博客
搜索
搜索
本版
帖子
用户
第一问答网
»
论坛
›
中问网
›
问答
›
vpn什么东西???
返回列表
发新帖
vpn什么东西???
[复制链接]
11
|
2
|
2019-12-16 10:22:21
|
显示全部楼层
|
阅读模式
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。 虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的压网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。 目前很多单位都面临着这样的挑战:分公司、经销商、合作伙伴、客户和外地出差人员要求随时经过公用网访问公司的资源,这些资源包括:公司的内部资料、办公OA、ERP系统、CRM系统、项目管理系统等。现在很多公司通过使用IPSec VPN来保证公司总部和分支机构以及移动工作人员之间安全连接。 对于很多IPSec VPN用户来说,IPSec VPN的解决方案的高成本和复杂的结构是很头疼的。存在如下事实:在部署和使用软硬件客户端的时候,需要大量的评价、部署、培训、升级和支持,对于用户来说,这些无论是在经济上和技术上都是个很大的负担,将远程解决方案和昂贵的内部应用相集成,对任何IT专业人员来说都是严峻的挑战。由于受到以上IPSec VPN的限制,大量的企业都认为IPSec VPN是一个成本高、复杂程度高,甚至是一个无法实施的方案。为了保持竞争力,消除企业内部信息孤岛,很多公司需要在与企业相关的不同的组织和个人之间传递信息,所以很多公司需要找一种实施简便,不需改变现有网络结构,运营成本低的解决方案。 ---- 从概念上讲,IP-VPN是运营商(即服务提供者)支持企业用户应用的方案。一个通用的方法可以适用于由一个运营商来支持的、涉及其他运营商网络的情况(如运营商的运营商)。 ---- 图1给出了实现IP-VPN的一个通用方案。其中,CE路由器是用于将一个用户站点接入服务提供者网络的用户边缘路由器。而PE路由器则是与用户CE路由器相连的、服务提供者的边缘路由器。 ---- 站点是指这样一组网络或子网,它们是用户网络的一部分,并且通过一条或多条PE/CE链路接至VPN。VPN是指一组共享相同路由信息的站点,一个站点可以同时位于不同的几个VPN之中。 ---- 图2显示了一个服务提供者网络支持多个VPN的情况。如图2所示,一个站点可以同时属于多个VPN。依据一定的策略,属于多个VPN的站点既可以在两个VPN之间提供一定的转发能力,也可以不提供这种能力。当一个站点同时属于多个VPN时,它必须具有一个在所有VPN中唯一的地址空间。 ---- MPLS为实现IP-VPN提供了一种灵活的、具有可扩展性的技术基础,服务提供者可以根据其内部网络以及用户的特定需求来决定自己的网络如何支持IP-VPN。所以,在MPLS/ATM网络中,有多种支持IP-VPN的方法,本文介绍其中两种方法。 方案一 ---- 本节介绍一种在公共网中使用MPLS提供IP?VPN业务的方法。该方法使用LDP的一般操作方式,即拓扑驱动方式来实现基本的LSP建立过程,同时使用两级LSP隧道(标记堆栈)来支持VPN的内部路由。 ---- 图3 给出了在MPLS/ATM核心网络中提供IP?VPN业务的一种由LER和LSR构成的网络配置。 ---- LER (标记边缘路由器) ---- LER是MPLS的边缘路由器,它位于MPLS/ATM服务提供者网络的边缘。 对于VPN用户的IP业务量,LER将是VPN隧道的出口与入口节点。如果一个LER同时为多个用户所共享,它还应当具有执行虚拟路由的能力。这就是说,它应当为自己服务的各个VPN分别建立一个转发表,这是因为不同VPN的IP地址空间可能是有所重叠的。 ---- LSR(标记交换路由器) ---- MPLS/ATM核心网络是服务提供者的下层网络,它为用户的IP-VPN业务所共享。 ---- 建立IP-VPN区域的操作 ---- 希望提供IP-VPN的网络提供者必须首先对MPLS域进行配置。这里的MPLS域指的就是IP?VPN区域。作为一种普通的LDP操作,基本的LSP 建立过程将使用拓扑驱动方法来进行,这一过程被定义为使用基本标记的、基本的或是单级LSP建立。而对于VPN内部路由,则将使用两级LSP隧道(标记堆栈)。 ---- VPN成员 ---- 每一个LER都有一个任务,即发现在VPN区域中为同一 IP?VPN服务的其他所有LER。由于本方案最终目的是要建立第二级MPLS隧道,所以 LER发现对等实体的过程也就是LDP会话初始化的过程。每一个LER沿着能够到达其他 LER的每一条基本网络LSP,向下游发送一个LDP Hello消息。LDP Hello消息中会包含一个基本的MPLS标记,以方便这些消息能够最终到达目的LER。 ---- LDP Hello消息实际上是一种查询消息,通过这一消息,发送方可以获知在目的LER处是否存在与发送方LSR同属一个VPN的LER(对等实体)。新的Hello消息相邻实体注册完成之后,相关的两个LER之间将开始发起LDP会话。随后,其中一个LER将初始化与对方的TCP连接。当TCP连接建立完成而且必要的初始化消息交互也完成之后,对等LER之间的会话便建立起来了。此后,双方各自为对方到自己的LSP 隧道提供一个标记。如果LSP隧道是嵌套隧道,则该标记将被推入标记栈中,并被置于原有的标记之上。 ---- VPN成员资格和可到达性信息的传播 ---- 通过路由信息的交换,LER可以学习与之直接相连的、用户站点的IP地址前缀。LER需要找到对等LER,还需要找到在一个VPN中哪些LER 是为同一个VPN服务的。LER将与其所属的VPN区域中其他的LER建立直接的LDP会话。换言之,只有支持相同VPN的LER之间才能成功地建立LDP会话。 ---- VPN内的可到达性 ---- 最早在嵌套隧道中传送的数据流是LER之间的路由信息。当一个LER被配置成一个IP?VPN的一员时,配置信息将包含它在VPN内部要使用的路由协议。在这一过程中,还可能会配置必要的安全保密特性,以便该LER能够成为其他LER的相邻路由器。在VPN内部路由方案中,每一次发现阶段结束之后,每一个LER 都将发布通过它可以到达的、VPN用户的地址前缀。 ---- IP分组转发 ---- LER之间的路由信息交互完成之后,各个LER都将建立起一个转发表,该转发表将把VPN用户的特定地址前缀(FEC转发等价类) 与下一跳联系起来。当收到的IP分组的下一跳是一个LER时,转发进程将首先把用于该LER的标记(嵌套隧道标记)推入标记栈,随后把能够到达该LER的基本网络LSP上下一跳的基本标记推入标记分组,接着带有两个标记的分组将被转发到基本网络LSP中的下一个LSR;当该分组到达目的LER时,最外层的标记可能已经发生许多次的改变,而嵌套在内部的标记始终保持不变;当标记栈弹出后,继续使用嵌套标记将分组发送至正确的LER。在LER上,每一个VPN使用的嵌套标记空间必须与该LER所支持的其他所有VPN使用的嵌套标记空间不同。 方案二 ---- 本节将对一种在公共网中使用MPLS和多协议边界网关协议来提供IP-VPN业务的方法进行介绍,其技术细节可以参见RFC 2547。 ---- 图1 给出了在MPLS/ATM核心网络中提供IP?VPN业务的、由LER和LSR构成的网络配置,图4则给出了使用RFC 2547的网络模型。 ---- 提供者边缘(PE)路由器 ---- PE路由器是与用户路由器相连的服务提供者边缘路由器。 ---- 实际上,它就是一个边缘LSR(即MPLS网络与不使用 MPLS的用户或服务提供者之间的接口)。 ---- 用户边缘 (CE)路由器 ---- CE路由器是用于将一个用户站点接至PE路由器的用户边缘路由器。在这一方案中,CE路由器不使用MPLS,它只是一台IP路由器。CE不必支持任何VPN的特定路由协议或信令。 ---- 提供者(P)路由器 ---- P路由器是指网络中的核心LSR。 ---- 站点(Site) ---- 站点是指这样一组网络或子网:它们是用户网络的一部分,通过一条或多条PE/CE链路接至VPN。VPN是指一组共享相同路由信息的站点。一个站点可以同时位于不同的几个VPN之中。 ---- 路径区别标志 ---- 服务提供者将为每一个VPN分配一个唯一的标志符,该标志符称为路径区别标志(RD),它对应于服务提供者网络中的每一个Intranet或Extranet 都是不同的。PE路由器中的转发表里将包含一系列唯一的地址,这些地址称为VPN?IP 地址,它们是由RD与用户的IP地址连接而成的。VPN?IP地址对于服务提供者网络中的每一个端点都是唯一的,对于VPN中的每一个节点(即VPN中的每一个PE路由器),转发表中都将存储有一个条目。 ---- 连接模型 ---- 图4给出了MPLS/BGP VPN的连接模型。 ---- 从图4中可以看出,P路由器位于MPLS网络的核心。 PE路由器将使用MPLS与核心MPLS网络通信,同时使用IP路由技术来与CE路由器通信。 P与PE路由器将使用IP路由协议(内部网关协议)来建立MPLS核心网络中的路径,并且使用LDP实现路由器之间的标记分发。 ---- PE路由器使用多协议BGP?4来实现彼此之间的通信,完成标记交换和每一个VPN策略。除非使用了路径映射标志(route reflector),否则PE 之间是BGP全网状连接。特别地,图4中的PE处于同一自治域中,它们之间使用内部BGP (iBGP)协议。 ---- P路由器不使用BGP协议而且对VPN一无所知,它们使用普通的MPLS协议与进程。 ---- PE路由器可以通过IP路由协议与CE路由器交换IP路径,也可以使用静态路径。在CE与PE路由器之间使用普通的路由进程。CE路由器不必实现MPLS或对VPN有任何特别了解。 ---- PE路由器通过iBGP将用户路径分发到其他的PE路由器。为了实现路径分发,BGP使用VPN-IP地址(由RD和IPv4地址构成)。这样,不同的VPN可以使用重叠的IPv4地址空间而不会发生VPN-IP地址重复的情况。 ---- PE路由器将BGP计算得到的路径映射到它们的路由表中,以便把从CE路由器收到的分组转发到正确的LSP上。 ---- 这一方案使用两级标记:内部标记用于PE路由器对于各个VPN的识别,外部标记则为MPLS网络中的LSR所用——它们将使用这些标记把分组转发给正确的PE。 ---- 建立IP-VPN区域的操作 ---- 希望提供IP-VPN业务的网络提供者必须按照连接需求对网络进行设计与配置,这包括:PE必须为其支持的VPN以及与之相连的CE所属的VPN 进行配置;MPLS网络或者是一个路径映射标志中的PE路由器之间必须进行对等关系的配置;为了与CE进行通信,还必须进行普通的路由协议配置;为了与MPLS核心网络进行通信,还必须进行普通的MPLS配置(如LDP、IGP)。另外,P路由器除了要求能够支持MPLS之外,还要能够支持VPN。 >---- VPN成员资格和可到达性信息的传播 ---- PE路由器使用IP路由协议或者是静态路径的配置来交换路由信息,并且通过这一过程获得与之直接相连的用户网站IP地址前缀。 ---- PE路由器通过与其BGP对等实体交换VPN-IP地址前缀来获得到达目的VPN站点的路径。另外,PE路由器还要通过BGP与其PE路由器对等实体交换标记,以此确定PE路由器间连接所使用的LSP。这些标记用作第二级标记,P 路由器看不到这些标记。 ---- PE路由器将为其支持的每一个VPN分别建立路由表和转发表,与一个PE路由器相连的CE路由器则根据该连接所使用的接口选择合适的路由表。 ---- IP分组转发 ---- PE之间的路由信息交换完成之后,每一个PE都将为每一个VPN建立一个转发表,该转发表将把VPN用户的特定地址前缀与下一跳PE路由器联系起来。 ---- 当收到发自CE路由器的IP分组时,PE路由器将在转发表中查询该分组对应的VPN。 ---- 如果找到匹配的条目,路由器将执行以下操作: ---- 如果下一跳是一个PE路由器,转发进程将首先把从路由表中得到的、该PE路由器所对应的标记(嵌套隧道标记)推入标记栈;PE路由器把基本的标记推入分组,该标记用于把分组转发到到达目的PE路由器的、基本网络LSP上的第一跳;带有两级标记的分组将被转发到基本网络LSP上的下一个LSR。 ---- P路由器(LSR)使用顶层标记及其路由表对分组继续进行转发。当该分组到达目的LER时,最外层的标记可能已发生多次改变,而嵌套在内部的标记保持不变。 ---- 当PE收到分组时,它使用内部标记来识别VPN。此后, PE将检查与该VPN相关的路由表,以便决定对分组进行转发所要使用的接口。 ---- 如果在VPN路由表中找不到匹配的条目,PE路由器将检查Internet路由表(如果网络提供者具备这一能力)。如果找不到路由,相应分组将被丢弃。 ---- VPN?IP转发表中包含VPN?IP地址所对应的标记,这些标记可以把业务流路由至VPN中的每一个站点。这一过程由于使用的是标记而不是IP 地址,所以在企业网中,用户可以使用自己的地址体系,这些地址在通过服务提供者网络进行业务传输时无需网络地址翻译(NAT)。通过为每一个VPN使用不同的逻辑转发表,不同的VPN业务将可以被分开。使用BGP协议,交换机可以根据入口选择一个特定的转发表,该转发表可以只列出一个VPN有效目的地址。 ---- 为了建立企业的Extranet,服务提供者需要对VPN之间的可到达性进行明确指定(可能还需要进行NAT配置)。 ---- 安全 ---- 在服务提供者网络中,PE所使用的每一个分组都将与一个RD相关联,这样,用户无法将其业务流或者是分组偷偷送入另一个用户的VPN。要注意的是,在用户数据分组中没有携带RD,只有当用户位于正确的物理端口上或拥有PE路由器中已经配置的、适当的RD时,用户才能加入一个Intranet或 Extranet。这一建立过程可以保证非法用户无法进入VPN,从而为用户提供与帧中继、租用线或ATM业务相同的安全等级。参考资料:http://www.hban.net/cnhb/edu/netyl/VPN/20060225690.htm
本回答被提问者采纳
回复
使用道具
举报
千问
|
2019-12-16 10:22:21
|
显示全部楼层
回复
使用道具
举报
千问
|
2019-12-16 10:22:21
|
显示全部楼层
恩.大概的意思就是在internet 上建立一个独特的网络,没有认证的人是不能进入的。这样可以很好的管理一个企业内部的系统。
回复
使用道具
举报
返回列表
发新帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
回帖后跳转到最后一页
千问
主题
0
回帖
4882万
积分
论坛元老
论坛元老, 积分 48824836, 距离下一级还需 -38824837 积分
论坛元老, 积分 48824836, 距离下一级还需 -38824837 积分
积分
48824836
加好友
发消息
回复楼主
返回列表
问答
热门排行
1
DNF魔法师 时装搭配
2
r开头m结尾 t开头s结尾 n开头d结尾 g开头s结尾 l开头s结尾 e开头g结尾 g开头w结尾 h开头m结尾
3
跪求 谜踪之国 1-4 txt 全本 有的发
[email protected]
不胜感激
4
2011年7、8月暑假去哪里旅游好 我家在大连
5
网页代码解密问题
6
70版本狂暴者站街多少力量?
7
舞男8? 1212
8
求GBA冒险岛DS金手指,我想要无限血无限蓝和钱,什么方法都可以,我邮箱
[email protected]
9
急求adobe acrobat pro.8.1.2 professional授权码or注册机 序列号1118-1517-2860-1380-6669-1696
10
洛克王国,我有特拉的蛋蛋,谁送我多哥或大耳啊?
11
帮忙鉴定一下翡翠(A货)手镯 总质量:42.40g 密度:3.33g每立方厘米 大概多少钱
12
为啥大灾变里肿么这么多面包
13
公司新建,需要按照1000KVA的变压器,这块需要和电力局怎么沟通申请的??
14
I haven't bought a film______,so I can't go to the cinma
15
卡巴胺是什么,只知道它是一种燃烧剂,和尿素,甘氨酸一样的燃烧剂,请问分子式和结构式是怎样的?
16
流星蝴蝶剑匕首的小跳一下,不断重复,怎么破???
17
我该如何帮老板把公司发展壮大
18
新买的ipad2,用到还剩2%时充电,刚插上去,电池上会有一个雷电的符号,过了一会就没了,然后就自动关机.
19
三国志9如何学习兵法 求指导
20
诺亚传说中关于军团BOSS的一个小问题
21
临沂市技师学院怎么样
22
现在是诺基亚的手机好点呢 还是多普达的手机好点? 要的是 2000元左右的价位!最好是触屏的!
23
比自己大的男人结婚
24
化妆的时候隔离霜是在妆前浮前上还是先上妆前浮再擦隔离呢?
25
有没有什么好看的电影。。
26
广东省的青少年羽毛球锦标赛团体第三能不能做二级运动员证呢? 还有全国羽毛球学校的比赛单打第三双打第一
27
哈尔滨结婚男方给女方过礼钱是多少
28
今年3月办了张中行信用卡额度5千,没个月都存点,但每个月都是欠费状态。现还欠3千7月底买房会影响吗
29
浙江的429分,请推荐一下适合的高校吧,谢谢!
30
求蝙蝠 广播剧第六集下载 谢谢了啊
[email protected]
31
有没有经沂水到蒙阴的过路车?
32
能给我发个正气的全集么??谢谢了、、、
33
左臂上长了一块褐色的点点,不痛不痒,有很多年了,有蔓延的趋势,想知道究竟是什么?
34
上网Windows7下载是正版吗?还是盗版?,我不喜欢盗版
35
现在网上卖的军事模型感觉都很贵啊,价格不要太夸张啊,给个价格公道点的网站吧。
36
知名音乐人、著名青年男高音歌唱家、青年声乐教育家 艺翔
37
在酒吧里 50-80人一起互动做游戏,有哪些,求帮助
38
武汉理工管理学院历年考博真题哪里能买到?
39
某项工程,甲独做需要10天完成,乙独做需要15天完成,则甲 乙合作一天完成全部工程的
40
刷牙的时候牙齿出血是怎么回事?不是一两次,这几天天天的~
41
爱丽丝学园动漫全集谁有?发给我一份好么?邮箱
[email protected]
,谢了
42
海尔热水器插上插销滴滴报警
43
这图的倒数第一行第一个是什么神奇宝贝
44
醉后决定爱上你演林小茹妹妹的那个美女叫什么?
45
变成回忆的歌曲链接是啥?????
46
线轨数控机床间隙大怎么办
47
狼魂十字绣怎么绣
48
内痔脱出不复位上药能好使吗?
49
口袋妖怪红宝石
50
问一下,用悲鸣项链怎么才能看出怪的仇恨在你身上?
51
大约10只猫每天都吃4顿,每顿约一个半馒头+一块鸡肝,用一点热水拌,行吗?
52
贵州省望谟县事业单位招聘考试历年考题哪有啊,谁提供一下。先谢了哈!!
53
QQ企鹅宠物的元宝转账在哪里呢啊??怎么找不到呢?
54
高压电塔一般有多高?
55
请问,为什么海拔越高,温度越低?
56
倩女幽魂ol开两个号机子就卡得不行,电脑内存飙满.什么原因怎么修整?
57
零之轨迹PC中文版什么时候发售?
58
奥拉星金刚库巴怎么打?/////
59
求 有关 滨州医学院 的相关信息(分班、军训、女生宿舍、教学、餐饮、、……)
60
柯南219最先开头的曲子叫什么
61
西安市长安区教育局农村独生子女户中考加分吗?
62
海鲜汤配什么菜好?刚才老婆问我,可我哪里知道?求大家帮帮阿!急~~~
63
办商贷要交哪些手续费 印花税
64
岸上二只鸡,水中三只鸭,一共多少鸭?
65
有没有很悲伤地小说,越多越好,类似第三种爱情的更好,知道的朋友发到我邮箱可以吗346519762
66
起名!! 父亲姓杨,母亲姓邢 孩子出生于2011年7月9日,17:40 男孩,五行缺火和水,主要缺火! 谢谢
67
方程组 x+y=7 xy=12 怎么解 要过程
68
a是自然数,a⁴-3a²+9是质数还是合数。给证明......
69
695759wvw43923875808320
70
4.1鸟德该怎么输出?每次打木桩最多只能打7000多。。该如何提高??
71
3839游戏盒下的混沌军团怎样全屏
72
《撕裂重罪》的人物介绍
73
求苏宁1200工资待遇
74
淘宝消费电子产品,网银且有交易限额
75
赛尔号!超NO问题!超能胶囊问题!
76
组大的无线局域网用啥路由器?
77
手足口病都是什么升高
78
张惠妹南宁演唱会门票在哪儿订?
79
网络营销找轩信,有谁在这家公司做过的,评价一下?
80
绵阳哪所大学是新建的或在建的,主要想在大学旁开店卖衣服
81
摩尔庄园2011年七月的坐骑怎么获得
82
怎么控制自己不去理一些乱七八糟的事 好好学习 我要高三了 但很容易分心 谁帮我想一个主意
83
如何看懂建行信用卡账单,例如:本期全部应还款余额、最低还款额、本期账单余额等?
84
月经过后有黑色血液流出?
85
沈阳高中生 放暑假
86
想买一款男的使用触屏手机,价位2500左右,请求推荐
87
九江同城商务网的地址是多少?
88
有什么投资适合工薪阶层的吗?
89
我下了本小说,但都是繁体字,怎样在电脑上把它快速的变成简化字?
90
花洒十大品牌排名
91
有昌吉学院有洗澡的地儿吗还有2011届的考到学院的是被分到新校区还是老校区
92
车身很多细小的划痕,露白了,怎么办才好,打蜡能去除么?求高手解答。
93
找个会做MIDI伴奏的
94
牙齿掉了
95
金贤重的最新个人粉丝团有没有出来?名字叫什么?
96
我在爸爸的手机里看到一个女的发的暧昧短信,求助。
97
历史上谁获得的金牌最多
98
高考的学校哪些是重本?发到
[email protected]
99
谁帮我代练qq飞车,私聊
100
这个,我咋还没收到你的那个CDKEY生成器呢?