VPN技术应用介绍-中国电信.ppt

《VPN技术应用介绍-中国电信.ppt》由会员分享，可在线阅读，更多相关《VPN技术应用介绍-中国电信.ppt（44页珍藏版）》请在三一办公上搜索。

1、1,VPN技术应用介绍,南京电信大客户部技术支撑分部2004年2月,2,前言,本文所述VPN均指基于计算机数据（含互联网）网络应用的VPN。电话网（含移动电话网）业务中的VPN业务：Centrex、WAC等不在此列。,3,提纲,什么是VPNVPN组网技术分类什么是二层与三层的概念VPN接入技术我们能提供什么样的VPNMPLS VPN技术网络概述电信VPN的业务资费,4,什么是VPN？,VPNVirtual Private Network（虚拟专用网）-在公共的网络基础架构上提供的一种私有的网络服务-物理上，VPN是利用公共的网络，而不是私有专用的网络，因而它是廉价的-逻辑上，VPN又是一个私有

2、的网络，满足客户的业务需求-公共网络：宽带IP(如ChinaNet)、ATM、FR传统的专用网-租用电路，采用自己独立的网络策略构筑的具有专用性质的网络-需要购买大量的、甚至长途的中继：如2M数字电路、DDN等,5,客户：在满足专用网业务要求的基础上，希望降低成本。,VPN,电信公共网络,Internet,IP,FR,ATM,为什么需要VPN？-客户,传统专用网的特点安全性服务质量(QoS)保障独立策略(例如独立的地址分配策略，独立的路由协议规划)成本高,6,企业各分支机构间的网络课题专线/Frame Relay 连接，价格高更改复杂自行维护VPN（IP sec等）：需要网络技术人员,由运营商

3、提供VPN解决方案 比专线价格低（设备共享、多样化统计）网络设定变更容易由专家进行管理运营（从最终用户进行托管）,企业各分支机构内部通信的课题,7,每种业务/每个公司可以独立实施策略-结果：保持各自的独立性和保密性，满足用户要求多种业务/多个公司可以共享一个网络-结果：节省费用、易于统一管理电信网络发展方向：同一网络承载多种（所有）业务。,为什么需要VPN？-电信,电信期望：满足用户业务需求，也要降低成本，提高竞争力。,8,存在哪些VPN（技术上）,传统VPN-FR帧中继(二层)-ATM(二层)基于CPE的VPN-L2TP及PPTP(二层)-IPSec(三层)电信基础运营商实施的VPN-基于M

4、PLS的二层VPN-BGP/MPLS VPN或RFC 2547bis(三层),9,用户自己组网方式一：拨号,远端用户,企业网络中心,内部网络,应用服务器,拨号接入Modem池,远端用户,电话线路,电话线路,远端用户如果是ISDN，则该线路可能是PRI（HDSL或光纤2M数字电路承载）,远端用户可以是普通拨号用户或ISDN用户,10,网络中心点,宽带接入（固定ip地址）,分支节点客户端网络,Public View,公共internet网络,IPsec VPN组网示例,Ipsec客户端,CPE,Ipsec客户端,Internet,宽带接入,宽带接入,宽带接入,宽带接入,Ipsec客户端,Ipsec

5、客户端,分支节点客户端网络,分支节点客户端网络,CPE：具有VPN功能、防火墙功能、路由等功能,宽带接入：FTTX+LAN、XDSL等,用户自己组网方式二：基于互联网IPsec加密隧道,IPsec加密隧道,11,客户 A10.1.1VPN 15,客户 A10.2.1VPN 15,客户 A10.3.1VPN 15,客户 B10.1.1VPN 354,客户B10.2.1VPN 354,(15)10.1.1,(354)10.1.1,(354)10.2.1,(15)10.2.1,(15)10.3.1,客户端网络,Private View,Public View,转发表示例INOUT(15)10.2.1

6、(15)10.1.1(15)10.3.1(354)10.2.1(354)10.1.1,运营商MPLS核心网络,PE,PE,PE,P,P,OSPF,RIP,BGP,MPLS VPN组网示例,CE,CE,CE,CE,CE,客户端网络,12,存在哪些VPN（应用上）,针对不同的用户要求，VPN有三种解决方案：远程访问虚拟网（Access VPN）企业内部虚拟网（Intranet VPN）企业扩展虚拟网（Extranet VPN）这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。,13,远程访问虚拟网（Access V

7、PN）,14,远程访问虚拟网示例（VPDN）,拨号接入服务器,拨号用户,PPP连接,加密数据隧道,拨号用户AAA服务器,用户内部网络AAA服务器,VPDN全名为虚拟私有拨号网络（VirtualPrivateDialupNetworks），是指以拨号接入方式实现的VPN业务。,通过对网络数据的封包和加密在公网上传输私有数据，达到私有网络的安全级别，从而利用公众交换电话网络（PSTN）的架构来构筑企业之私有网络,15,企业内部虚拟网（Intranet VPN）,16,企业扩展虚拟网（Extranet VPN）,17,选择VPN的考虑因素?,应用重要程度投资计划安全性网络带宽站点数量、用户数量路由复

8、杂性雇员（使用者）网络技能内部维护能力外包网络服务的期望值,18,什么是二、三层概念？,概念来源于ISO/OSI的7层模型二层交换：基于MAC地址寻址 传统的交换位于第二层（数据链路层）。数据链路层的功能是在网络内部传输帧。所谓“网络内部”是指这一层的传输不涉及网间的设备和网间寻址。三层路由：基于IP地址寻址 而路由则发生在第三层（网络层）。网络层的功能是保证端到端的数据传输（不论跨越多少网络）。新的网络中，路由的智能和交换的性能被有机的结合起来，三层交换机和多层交换机在园区网络（城域网的汇聚层）中大量使用。,19,什么是二、三层概念？（续）,20,用户可选择什么接入方式？,光纤高速接入-AT

9、M/POS、光纤以太网接入（FE/GE）集成ADSL接入传统低速接入-DDN、FR、PDH集成拨号接入,21,ATM/POS-155M/622M（OC-3、OC-12）-CE router 应该是高端路由器,象 7500/7200-POS（Packet Over SDH）光纤以太网接入（FE/GE）-aggregated by LAN switch,GSR12012 PE Router,ATM,POS,SDH,CE rotuer,光纤高速接入,22,PE Router,Copper,DSLAM,集成ADSL接入,VLAN TRUNK,CE Router,铜缆线路,23,PE Router,DD

10、N/FR/PDH,CE Router,传统低速接入 集成拨号接入,PE Router,ISDN/PSTN,PPP,拨号服务器,24,VPNIpsec与MPLS比较,安全性网络带宽保证可扩展性可管理性网络路由策略设备投入后期维护服务质量（Qos）,25,VPDN 基于拨号网络（含ISDN）本地MPLS VPN（城域网宽带接入）目前无法提供CPE（IPsec）方式的接入长途MPLS VPN（专线电路接入）目前只通达省会级城市和部分其它地市（Chinanet骨干节点），目前省内网络正在建设,我们能提供的VPN业务,26,VPN_A,VPN_A,VPN_B,10.3.0.0,10.1.0.0,11.5

11、.0.0,P,P,P,P,PE,PE,CE,CE,CE,MP-iBGP sessions,P路由器（LSR）：标记交换路由器-组成 MPLS 骨干网的核心PE（LER）：标记边缘路由器-部署MPLS/VPN的关键设备CE:客户端路由器-支持静态或动态路由协议（甚至可以是交换机、HUB、主机）,BGP/MPLS VPN网络构成,27,一般采用分级星型结构,全网状拓扑实现复杂，会有N平方问题 逻辑拓扑调整相对比较复杂,灵活实现星型、全网状以及其他任何形式的网络拓扑 网络拓扑调整简单灵活,VPN A,VPN B,VPN C,VPN A,VPN B,VPN C,VPN A,VPN B,VPN C,VP

12、N A,VPN C,VPN B,Backbone,ATM/FR VPN,MPLS VPN,MPLS VPN的网络拓扑灵活性,28,MPLS VPN用户需要做什么？,购买路由交换设备（CE设备）租用到本地电信的线路简单配置到PE的路由协议(静态路由、RIP、OSPF、BGP),29,南京本地第一个基于MPLS VPN的商业应用,南京电信宽带IP城域网以MPLS VPN方式，并采用以太网方式和ADSL接入手段实现的玄武区政府政务网（区政府、街道、部委办局等17个点）。2002年9月底在进行了南京市玄武区政府“数字珠江路”举行了开通仪式。南京电信2003年已经发展了其他多家MPLS VPN集团用户。

13、,30,玄武区政府VPN解决方案介绍,原来网络情况:玄武区政府1999年建设了自己的网络，通过DDN将10个街道接入区网络信息中心实现了信息的共享。网络中心的出INTERNET的带宽也由DDN接入转换为10M宽带接入。并实现区政府信息中心信息发布的快速便捷的特性。并有效的提高了办公效率。,需求产生(推荐方案一)2002年由于电子政务的发展需求。玄武区政府需要将管辖内的10个部委接入到自己的网络中，组建自己的区一级的政务网。并实现街道网络带宽的升级工作。考虑到网络建设的安全需要。南京电信建议用户使用2M（专网）进行组网。,31,原来的DDN专线MODEM不能使用在网上如何办?每条线投资一对MOD

14、EM,4000*2*20=16万(20个点)，中心点也要投资高档路由器，政府一下没这笔钱。以后线路提速还要投资很多网络设备。有没有更好的解决办法呢?,网络升级(2M电路)投资疑问?,32,玄武区政府:客户希望试用中国电信新业务。希望能减少一次性网络投资。网络以后可以平滑升级。电信:VPN希望能有实验用户，准备开通MPLS VPN。积累工程经验，为全面建设，提供宝贵意见。引发新的需求。市场数据业务开展竞争的需要。,玄武区政府MPLS VPN实施,33,34,VPN业务洽谈中可能遇到哪些问题?,用户需要VPN干什么？北方如何连接VPN网络?能否提供QOS保证的电路?能否提供用户端路由器?维护及服务

15、支持情况？能否支持视频业务?本地VPN资费？长途VPN业务资费如何测算?,35,中国电信VPN业务分类及通达地区,同城互联（本地）VPN业务目前南京仅能提供MPLS VPN业务本地VPN业务采用城域网接入方式 FTTX+LAN、ADSL等且城域网与骨干网的VPN不能互通长途VPN业务目前长途骨干网上，南京MPLS VPN用户仅能通达省会城市和部分其他城市长途VPN采用专线方式接入就近的PE（163骨干网机房）,36,南京本地MPLS VPN接入组网示例,光纤,双绞线（电话线）,37,南京本地MPLS VPN业务资费,连接费：不分端口速率，每端口2000元。月使用费用（见表）按端口（VPN点）计

16、算,38,南京本地MPLS VPN业务资费续,收费方式,2M 收取1500元/月,10M 收取3000元/月,2M 收取1500元/月,2M 收取1500元/月,39,长途MPLS VPN接入组网示例,注意：目前长途VPN不支持采用城域网宽带接入方式。,40,国内长途VPN资费,安装调试费：每个端口500元一次性收取.接入电路通信费：根据用户采用DDN/FR/ATM/数字电路等接入方式按相应电路资费标准收取接入电路通信费Vpn网络使用费按端口（VPN点）计算,41,2M 本地数字电路收取2000元/月,128K 本地DDN电路收取2000元/月,国内长途收费方法,全国电信VPN网络,南京本地V

17、PN网络,DDN 128k/或2M接入(按本地收取),按2M长途VPN接入(收取5500元/月),传统电路,128K 长途VPN收取960元/月,西安本地接入网,按相应带宽的长途VPN接入,北方中国电信骨干VPN网络(以北京为例),北京市(网通)传统网络,建设中的电信城域网络,128K 本地DDN电路收取2000元/月,128K 长途VPN收取960元/月,128K 长途VPN收取960元/月,128K 本地DDN电路收取2000元/月,长途VPN组网资费分段收取！国内长途资费=本地电路资费+国内长途VPN资费,42,VPN业务培训总结,中国电信VPN接入的优势:接入手段多样化（高带宽以光纤接

18、入，ADSL接入为主，2M数字电路为辅助，低速带宽可以提供DDN、帧中继接入方式。）网络覆盖率能力强,可迅速提供VPN业务。提供差异化的VPN业务电信产品（带宽可调、在线升级）。已实现与国外各大运行商MPLS网络互联互通工作。现阶段发展VPN不足之处:全国都还没有VPN业务网络管理系统。北方网络建设需要一个阶段。江苏省内组MPLS VPN网正在建设。全网在QOS方面，以及增值业务方面开发能力还不具备。VPN业务发展中注意的问题:网络建设初期满足大用户大量点（建议20个点以上）接入为主。待业务发展成熟,相关的后台业务提供能力跟上后再,满足中小用户的需求。必须考虑对传统业务的发展影响,对老用户以满足客户原有网络线路提速为主,根据竞争情况和实际条件选择最合适的通信方案。,43,有什么问题？,？,44,用户至上 用心服务（Customer First Service Foremost),谢谢各位同仁的支持！,