版權資訊
書 名: IP虛擬專用網技術
作 者:何寶宏
出版時間: 2008
內容簡介
本書根據國內外最新標準和研究狀況,結合目前套用和實施情況,系統地介紹了基於IP的虛擬專用網(IPVPN)技術的特點、典型隧道協定和各種VPN業務的實現方式等內容。通過閱讀本書,讀者能夠全面地了解IPVPN技術的原理與套用。本書重點內容包括IPVPN的起源、概念與類型,L2TP、IPSec和MPLS等典型隧道協定,用於二層VPN(L2VPN)和一層VPN(L1VPN)的端到端偽線仿真(PWE3)協定,接入VPN、L1VPN、L2VPN和L3VPN的需求和典型實現機制,以及IPVPN套用現狀和測試評估技術等,幾乎覆蓋了IPVPN技術和套用的各個方面以及最新進展。
本書側重原理性說明,力求具有理論性、實用性和系統性,適用於信息通信技術領域的廣大工程技術人員以及大學高年級學生或研究生閱讀,並可供希望系統了解IPVPN知識的其他人員參考。
目錄
第1章 IPVPN基礎 1
1.1 VPN的起源 1
1.1.1 專網 2
1.1.2 ATM/FR虛擬專網 2
1.1.3 IPVPN 3
1.2 VPN的含義 4
1.3IPVPN的含義 5
1.3.1 不透明分組傳輸 5
1.3.2 數據的安全性 6
1.3.3 服務質量保證 6
1.3.4 隧道技術 7
1.4 IPVPN的優勢 7
1.5 IPVPN的安全性 8
1.6 IPVPN與隧道技術 9
1.7 IPVPN的接入方式 10
1.8 IPVPN的實現位置 10
1.9 IPVPN的實施主體 12
1.10 IPVPN業務 13
1.11 IPVPN的典型套用 13
1.11.1 遠程接入VPN(AccessVPN) 13
1.11.2 內聯網VPN(IntranetVPN) 14
1.11.3 外聯網VPN(ExtranetVPN) 16
1.12 IPVPN的類型 17
第2章 IPVPN業務 19
2.1 概述 19
2.2 通用業務要求 20
2.2.1 客戶對VPN業務的要求 20
2.2.2 運營商對VPN業務的要求 22
2.2.3 工程技術要求 22
2.3 VPN業務類型 23
2.4 L3VPN業務 23
2.4.1 疊加模型與對等模型 23
2.4.2 L3VPN 24
2.4.3 基於PE的L3VPN 24
2.4.4 基於CE的L3VPN 26
2.5 L2VPN業務 27
2.5.1 L2VPN的發展 27
2.5.2 L2VPN 27
2.5.3 VPWS 28
2.5.4 VPLS 28
2.5.5 IPLS 29
2.6 L1VPN業務 30
2.7 VPDN業務 31
第3章 隧道協定 32
3.1 概述 32
3.2 二層隧道協定 32
3.2.1 點對點隧道協定(PPTP) 32
3.2.2 第二層轉發(L2F) 33
3.2.3 二層隧道協定(L2TP) 33
3.2.4 多協定標記交換(MPLS) 34
3.3 三層隧道協定 34
3.3.1 IP中的IP(IPinIP) 34
3.3.2 通用路由封裝(GRE) 35
3.3.3 IP安全(IPSec) 36
3.4 高層隧道協定 37
3.4.1 安全套接層(SSL) 37
3.4.2 SOCKS 38
3.5 隧道協定的比較 39
3.5.1 復用 39
3.5.2 信令協定 39
3.5.3 數據安全 40
3.5.4 多協定傳輸 41
3.5.5 幀排序 41
3.5.6 隧道維護 41
3.5.7 MTU問題 41
3.5.8 最小隧道開銷 42
3.5.9 流量和擁塞控制 42
3.5.10 QoS/流量管理 42
第4章 L2TP協定 43
4.1 概述 43
4.2 基本協定 43
4.2.1 協定概述 43
4.2.2 拓撲結構 44
4.2.3 訊息類型 45
4.2.4 報頭格式 45
4.2.5 控制訊息 47
4.2.6 屬性值對 47
4.2.7 工作流程 49
4.2.8 數據轉發 50
4.2.9 保序機制 51
4.2.10 連通性檢測 51
4.2.11 會話的拆除 51
4.2.12 控制連線的拆除 51
4.2.13 控制訊息的可靠傳遞 52
4.3 承載技術 52
4.3.1 TCP/IP 52
4.3.2 IP 53
4.3.3 幀中繼 53
4.3.4 ATM 53
4.4 L2TP擴展 54
4.4.1 服務質量 54
4.4.2 ATM接入 54
4.4.3 多播 54
4.4.4 隧道交換 55
4.5 L2TPv3 55
4.6 安全性 56
4.6.1 隧道終點的安全 57
4.6.2 數據包級安全 57
4.6.3 端到端安全 57
4.6.4 L2TP與IPSec 57
4.6.5 代理PPP認證 58
第5章 IPSec協定 59
5.1 概述 59
5.2 IPSec框架結構 60
5.2.1 協定族組成 60
5.2.2 基本工作原理 61
5.2.3 實現方式 62
5.2.4 運行模式 63
5.3 安全聯盟 63
5.3.1 定義 63
5.3.2 功能 64
5.3.3 SA的組合 65
5.3.4 SA資料庫 66
5.3.5 SA的密鑰管理 68
5.4 IP流量處理 69
5.4.1 出流量管理 69
5.4.2 入流量管理 69
5.5 認證頭協定 70
5.5.1 AH的目標 70
5.5.2 AH頭格式 70
5.5.3 AH處理 71
5.6 封裝安全載荷協定 74
5.6.1 ESP的目標 74
5.6.2 ESP包格式 74
5.6.3 ESP處理 75
5.7 Internet密鑰交換協定 79
5.7.1 IKE訊息格式 80
5.7.2 IKE的密鑰交換技術 82
5.7.3 IKE的認證方式 83
5.7.4 IKE的交換模式 84
5.7.5 IPSec解釋域 89
5.8 IPSec最新動態 89
第6章 MPLS技術 90
6.1 概述 90
6.2 MPLS技術起源 91
6.2.1 IP/ATM融合 91
6.2.2 融合模型 91
6.2.3 發展簡史 92
6.2.4 多協定支持 92
6.3 MPLS技術原理 93
6.3.1 重要概念 93
6.3.2 體系結構 94
6.3.3 工作原理 96
6.3.4 LSR結構 96
6.3.5 MPLS與路由協定 97
6.4 MPLS封裝技術 98
6.4.1 通用標記棧格式 98
6.4.2 確定網路層協定 99
6.4.3 生存期處理 99
6.4.4 分片和路徑MTU發現 100
6.4.5 ATM標記封裝 101
6.4.6 FR標記封裝 101
6.4.7 PPP標記封裝 102
6.4.8 LAN標記封裝 103
6.5 標記分發協定 103
6.5.1 LDP基本概念 104
6.5.2 LDP訊息類型 104
6.5.3 LDP訊息格式 105
6.5.4 LDP基本操作 108
6.5.5 LDP工作模式 109
6.6 MPLS流量工程 110
6.6.1 流量工程(TrafficEngineering,TE) 110
6.6.2 MPLSTE 111
6.6.3 MPLSTE概念 112
6.6.4 約束路由 113
6.6.5 MPLSTE實現 114
6.6.6 CR-LDP協定 115
6.6.7 RSVP-TE協定 115
6.6.8 快速重路由 116
6.6.9 CR-LSP備份 118
6.7 MPLS技術套用 118
6.7.1 MPLS服務質量 118
6.7.2 MPLSVPN 119
6.7.3 通用MPLS 120
6.8 MPLS擴展性 121
6.9 MPLS運維管理 122
6.9.1 MPLSOAM概述 122
6.9.2 MPLSOAM報文類型 123
6.9.3 MPLSOAM主要功能 125
第7章 PWE3技術 128
7.1 概述 128
7.2 協定分層模型 129
7.2.1 PWE3框架 129
7.2.2 分層模型 130
7.2.3 PW分類 132
7.3 網路參考模型 133
7.3.1 單跳PWE3參考模型 133
7.3.2 多跳PWE3參考模型 134
7.3.3 預處理 135
7.4 PWE3載荷類型 136
7.4.1 分組業務 137
7.4.2 信元業務 137
7.4.3 比特流業務 137
7.4.4 結構化比特流業務 137
7.5 PWE3封裝 138
7.5.1 通用封裝 138
7.5.2 PWE3overIP 139
7.5.3 PWE3overMPLS 139
7.6 控制平面 140
7.6.1 建立和拆除 140
7.6.2 狀態監視 140
7.6.3 狀態改變通知 140
7.6.4 保活機制 141
7.6.5 本地業務控制訊息 141
7.7 PWE3與L2VPN的關係 141
7.7.1 控制平面的擴展 141
7.7.2 數據平面的擴展 142
7.8 典型業務實現 142
7.8.1 Ethernet業務仿真 142
7.8.2 ATM業務仿真 146
7.9 異種介質互連 153
7.10 PWE3擁塞控制 154
7.10.1 IP網中的PWE3擁塞控制 154
7.10.2 關於PW擁塞的討論 155
第8章 接入VPN 157
8.1 概述 157
8.2 VPDN優勢 157
8.3 用戶管理協定 158
8.3.1 AAA概念 158
8.3.2 RADIUS簡介 159
8.3.3 TACACS簡介 162
8.3.4 域用戶管理 162
8.3.5 雙因素認證 163
8.4 基於RADIUS認證 164
8.4.1 強制隧道 164
8.4.2 基於域的隧道 165
8.4.3 認證流程 165
8.5 基於RADIUS計費 169
8.6 VPDN業務 170
8.6.1 發起方式 170
8.6.2 系統組成 170
8.6.3 典型流程實例 171
第9章 L3VPN業務要求 172
9.1 概述 172
9.2 通用業務要求 173
9.2.1 流量類型 174
9.2.2 拓撲結構 174
9.2.3 數據與路由隔離 174
9.2.4 安全性 174
9.2.5 地址分配 174
9.2.6 服務質量 175
9.2.7 服務等級規範 176
9.2.8 管理 176
9.2.9 互操作性 177
9.2.10 互聯互通 177
9.3 客戶的要求 177
9.3.1 VPN成員 177
9.3.2 運營商獨立 178
9.3.3 地址分配 178
9.3.4 路由協定 179
9.3.5 服務質量 179
9.3.6 服務等級規範 179
9.3.7 客戶管理 180
9.3.8 數據與路由隔離 180
9.3.9 安全 180
9.3.10 演進影響 180
9.3.11 網路接入 181
9.3.12 業務訪問 183
9.3.13 混合VPN 184
9.4 運營商網路的要求 184
9.4.1 擴展性 185
9.4.2 地址分配 185
9.4.3 標識符 185
9.4.4 VPN信息學習 186
9.4.5 服務等級規範 186
9.4.6 服務質量 186
9.4.7 路由 186
9.4.8 數據與路由隔離 187
9.4.9 安全 187
9.4.10 跨域VPN 188
9.4.11 VPN批發 189
9.4.12 隧道封裝 190
9.4.13 接入網/骨幹網 190
9.4.14 保護恢復 190
9.4.15 互操作性 191
9.4.16 演進支持 191
9.5 運營商管理的要求 191
9.5.1 差錯管理 192
9.5.2 配置管理 192
9.5.3 計費管理 193
9.5.4 性能管理 193
9.5.5 安全管理 193
9.5.6 管理信息庫 193
9.6 安全考慮 194
9.6.1 系統安全 194
9.6.2 接入控制 194
9.6.3 端點認證 194
9.6.4 數據完整性 194
9.6.5 保密性 194
9.6.6 保護控制數據 195
9.6.7 跨運營商VPN 195
第10章 BGP/MPLSIPVPN 196
10.1 概述 196
10.2 網路模型 197
10.3 基本概念 197
10.4 VPN-IPv4地址族 200
10.4.1 地址重疊 200
10.4.2 地址結構 201
10.4.3 RD編碼 201
10.4.4 RD類型 202
10.5 VPN實例 203
10.5.1 VRF與AC 203
10.5.2 IP包關聯 204
10.5.3 VRF路由傳播 204
10.6 VPN目標屬性 205
10.7 VPN路由發布 207
10.7.1 本地CE到入口PE 207
10.7.2 入口PE到出口PE 208
10.7.3 出口PE到遠端CE 210
10.7.4 VPN路由反射 210
10.7.5 VRF間路由分發 211
10.7.6 BGPAS號替換 211
10.8 VPN數據轉發 212
10.8.1 隧道數據轉發 212
10.8.2 VPN隔離 213
10.8.3 LDP隧道實例 214
10.9 VPN訪問控制 215
10.9.1 Fullmesh組網 215
10.9.2 Hub&Spoke組網 215
10.9.3 部分網狀組網 216
10.10 跨域VPN 217
10.10.1 VRF-to-VRF跨域 217
10.10.2 MP-EBGP跨域 218
10.10.3 Multi-hopMP-EBGP跨域 219
10.11 訪問Internet 220
10.11.1 非VRF訪問 221
10.11.2 VRF訪問 221
10.11.3 VRF存儲非VPN路由 221
10.11.4 VRF存儲網際網路路由 221
10.12 運營商的運營商 222
10.12.1 組網概念 222
10.12.2 CE要求 222
10.12.3 實現原理 223
10.13 分層VPN 223
10.13.1 平面/分層模型 224
10.13.2 分層VPN原理 224
10.13.3 SPE-UPE接口 225
10.13.4 分層的嵌套 225
10.13.5 多歸路UPE 226
10.13.6 UPE後門連線 226
10.14 服務質量 226
10.14.1 考慮因素 226
10.14.2 資源隔離 227
10.15 可擴展性 228
10.15.1 VPN數量 228
10.15.2 PE數量 228
10.15.3 VPN接口 228
10.15.4 VPN路由 228
10.15.5 LSP隧道 229
10.15.6 擴展性規劃 229
10.16 安全性 230
10.16.1 控制平面安全 230
10.16.2 數據平面安全 231
10.16.3 訪問控制 232
10.16.4 安全措施 232
第11章 L2VPN業務要求 234
11.1 概述 234
11.2 通用業務要求 234
11.2.1 業務範圍 234
11.2.2 流量類型 234
11.2.3 拓撲結構 234
11.2.4 安全 235
11.2.5 服務質量 235
11.2.6 服務等級協定 236
11.2.7 定址 236
11.2.8 CE到PE的鏈路要求 236
11.2.9 保護和恢復 236
11.2.10 管理 237
11.2.11 互操作性 237
11.2.12 互通 237
11.3 客戶要求 237
11.3.1 獨立於運營商 237
11.3.2 支持L3流量 237
11.3.3 QoS和業務參數 238
11.3.4 業務等級規定 238
11.3.5 安全性 238
11.3.6 網路接入 238
11.3.7 用戶流量 239
11.3.8 支持L2控制協定 240
11.4 運營商要求 240
11.4.1 擴展性 240
11.4.2 標識符 240
11.4.3 L2VPN相關信息發現 240
11.4.4 支持SLS 241
11.4.5 QoS 241
11.4.6 流量和轉發信息的隔離 241
11.4.7 安全性 241
11.4.8 跨越多個AS(SP)的L2VPN 241
11.4.9 L2VPN批發 241
11.4.10 隧道機制要求 242
11.4.11 接入技術的支持 242
11.4.12 網路資源的分割和共享 242
11.4.13 互通性 242
11.4.14 測試 243
11.4.15 運營商管理需求 243
11.5 安全考慮 243
11.5.1 運營商網路安全性問題 243
11.5.2 運營商—用戶網路安全問題 244
11.5.3 用戶網路的安全問題 244
11.6 工程實施 244
11.6.1 控制平面要求 244
11.6.2 數據平面要求 245
第12章 L2VPN的實現 246
12.1 概述 246
12.2 L2VPN參考模型 246
12.2.1 L2VPN的參考模型 246
12.2.2 VPWS的參考模型 247
12.2.3 VPLS參考模型 247
12.2.4 分散式VPLS-PE和VPWS-PE的參考模型 249
12.3 VPWS業務的實現 249
12.3.1 基於MPLS的VPWS 250
12.3.2 MartiniVPWS 250
12.3.3 KompellaVPWS 251
12.3.4 小結 251
12.4 VPLS業務的實現 252
12.4.1 VPLS-LDP(V.Kompella)方式 252
12.4.2 VPLS-BGP(Kompella)方式 256
12.4.3 兩種實現的簡單比較 258
12.5 IPLS的實現 259
12.5.1 IPLS概述 259
12.5.2 VPLS和IPLS的對比 261
12.5.3 IPLS的實現方式 262
第13章 MPLSIPVPN的部署 264
13.1 服務質量 264
13.1.1 MPLSDiffServ 264
13.1.2 MPLSTE 266
13.1.3 MPLSDS-TE 266
13.2 安全性 269
13.2.1 安全威脅 269
13.2.2 安全模型 270
13.2.3 控制平面安全 271
13.2.4 數據平面安全 272
13.2.5 管理平面安全 273
13.3 可靠性 273
13.3.1 關鍵技術 274
13.3.2 套用部署 275
13.4 IPv6套用 276
13.4.1 6PE 276
13.4.2 6VPE 278
13.4.3 兩種技術對比 280
13.5 流量統計 280
13.5.1 系統結構 281
13.5.2 報文格式 282
13.5.3 輸出方式 283
13.5.4 流量提取輸出 283
13.6 小結 284
第14章 L1VPN業務與套用 285
14.1 概述 285
14.2 L1VPN業務類型 285
14.2.1 參考模型 285
14.2.2 業務類型 286
14.3 L1VPN業務需求 287
14.4 L1VPN業務場景 288
14.4.1 內容分發 288
14.4.2 視頻會議 288
14.4.3 多業務骨幹網 289
14.4.4 運營商的運營商 289
14.5 L1VPN參考模型 290
14.6 L1VPN體系結構 291
14.6.1 運營商網路側 291
14.6.2 用戶網路側 294
14.7 與其他VPN的關係 295
14.7.1 L1VPN嵌套 295
14.7.2 L2/L3與L1的多點連線 296
14.7.3 L2/L3與L1的C/U平面 297
附錄A IPVPN測試套用 298
附錄B MPLSVPN市場套用 308
附錄C 縮略語 311
附錄D 參考文獻及網址 321
……