华为VPN网关解决方案内部版.ppt
- 文档编号:17468605
- 上传时间:2023-07-26
- 格式:PPT
- 页数:52
- 大小:3.98MB
华为VPN网关解决方案内部版.ppt
《华为VPN网关解决方案内部版.ppt》由会员分享,可在线阅读,更多相关《华为VPN网关解决方案内部版.ppt(52页珍藏版)》请在冰点文库上搜索。
华为综合VPN业务及VPN网关解决方案,华为技术有限公司宽带路由器产品部,综合VPN业务分析华为综合VPN业务解决方案华为VPN网关解决方案厦门广电城域网案例分析VPN业务拓展思路,提纲,VPN定义,VPN(VirtualPrivateNetwork)是一种业务,可以简单定义为在共享网络中,通过多种技术(如隧道/虚电路等)进行原有专用网络(PrivateNetwork)业务的仿真!
在共享网络资源并保证安全性、“专有性”的同时提供更强的扩展性和灵活性!
什么是IP-VPN,服务提供商在一个共享的公众网络基础设施上提供给企业的一个可管理的IP业务提供安全和可靠的连接和管理编址方案与专网一样,成本低廉与简单适用的特点决定了其企业VPN需求的巨大空间。
随着市场环境的规范化,企业赚取超额利润的机会正在减少,企业平均盈利水平下降已经成为长期的趋势,整合企业资源、降低运营费用成为多数企业的上上之选,而大幅度降低电话费用又往往是企业增收节支的首选。
随着企业网络化办公环境的普及与VPN技术的日益成熟,无论是远程访问虚拟网(AccessVPN)、企业内部虚拟网(IntranetVPN),还是企业扩展虚拟网(ExtranetVPN)都呈现几何基数级的增长。
VPN优势,IPVPN可解决IP网的无序性,IPVPN可解决IP网络的无安全性,Internet网络设计的初衷没有考虑有关网络安全的特性,而目前网络的发展趋势要求必须要保证用户的安全、信息的专有。
没有此技术,电子商务以及一切由Internet衍生出的业务将不可能真正的全球化推广应用。
Frost&Sullivan(中国)分析测算,2001年1-6月,国内各类ISP的VPN业务收入4.2亿元。
目前VPN的用户主要是IBM、MOTOROLA等跨国公司的国内分支机构,以及部分与IT有关的高科技企业,但VPN已经出现向银行、保险、运输、大型制造与连锁企业迅速扩散的趋势。
随着世纪互联、鸿联九五等重量级的虚拟运营商进入VPN服务领域,以及更多获得电信业务运营的ISP浮出水面。
VPN市场预测,综合VPN业务需求,企业VPNIntranet(企业互连)ExtranetInternet访问远程办公(Home、Hotel)在线交易散户炒股电子商务、其它对安全敏感的业务跨域VPN与其他运营商的合作网络规模扩展的需要,企业VPN用户,企业A-Site1,企业A-Site2,企业A-Site3,VPN,Internet,Intranet,合作伙伴,Extranet,运营商网络,远程办公,AccessVPN,企业需要完整的VPN解决方案,证券商A,证券商C,证券VPN,散户炒股,AccessVPN,在线交易,证券商B,运营商网络提供炒股用户的访问控制。
运营商网络需要保证数据传输的安全性。
运营商网络,隧道,隧道,隧道,其他运营商,跨域VPN,运营商内部的跨域VPN,AS65XXX,AS65XXX,AS100,AS200,不同运营商之间的VPN互通VPN信息及路由交换,运营商网络,综合VPN业务分析华为综合VPN业务解决方案华为VPN网关解决方案厦门广电城域网案例分析VPN业务拓展思路,提纲,ATM/FR:
传统VPN技术VPLS技术:
虚拟LanSwitchMPLSVPNL2MPLSVPNMPLSBGPVPNCCC(电路交叉连接)L2TP:
AccessVPN/VPDNGRE、IPSEC:
三层IP隧道VLAN,华为VPN技术,实现城域网企业二层VPN(8750+5100),VPLS技术,MPLS/BGPVPNRFC2547RFC2547draftrosenbitsMPLSL2VPNMartini方式:
draft-martini-l2circuit-trans-mplsKompella方式:
draft-kompella-ppvpn-l2vpnCCC-CircuitCrossConnectMPLSVPN是VPN技术发展的方向。
MPLSVPN技术,MPLSBGPVPN,解决用户网络IP层互连问题、地址隔离问题实现企业三层VPN、跨域VPN,优点:
在单一的MPLS/IP网络上提供IP、FR、ATM等多种服务,充分发掘网络潜力,获得综合利润两种主流方式MartiniKompella,与MPLS/BGPVPN类似,使用两层标记转发;但为用户网络间提供的是链路,实现二层互连,L2MPLSVPN,手工配置建立,简单,包括三种方式:
L2switching-本地CE二层交换MPLStunneling-通过MPLS网络建立二层连接,类似L2VPNLSPstiching-将两条LSP粘合为一条LSP,CCC-CircuitCrossConnect,BAS,NAS,L2TP实现远程访问,远程办公、在线交易,这么多技术都能够实现企业互连,如何选择?
在城域网中MPLSVPN和VPLS是否矛盾,如何选择?
远程用户如何访问企业VPN?
各种VPN技术如何实现互通?
VPN技术选择的困惑,任何一种VPN技术都不足以独立满足业务的需求!
融合各种VPN技术充分满足业务发展的需求,解决思路,MPLSVPN,VPLS,VLAN,L2TP,IPSEC,GRE,华为综合VPN业务解决方案,VPLS:
适用于ATM城域网,提供企业二层VPNVLAN:
适用于纯L2/L3城域网,提供有限范围内的企业二层VPN。
MPLSBGPVPN:
提供广泛的企业三层VPN、ExtranetL2MPLSVPN:
提供跨越纯IP网的企业二层VPNCCC:
提供跨越纯IP网的虚拟二层连接L2TP:
提供远程访问VPNGRE:
提供三层IP隧道IPSEC:
提供三层IP加密隧道通过MPLSBGPVPN实现各种VPN之间的互通。
MPLSVPN与VPLS/VLAN融合,IP/MPLSCORE,P,P,VPLSVPN,VPLSVPN/VLAN作为Site接入MPLSVPN,PE,CE,企业VLAN,PE,CE,MPLS域,MPLSVPN与L2TP的融合,IP/MPLSCORE,P,P,L2TP隧道作为Site接入MPLSVPN实现对VPLSVPN及MPLSVPN的访问,NAS/BAS,PE,MPLS域,散户访VPN,MPLSVPN,PPPOE/窄带拨号,LAC,LNS,L2TP隧道,CE,VPLSVPN,CE,MPLSVPN与GRE/IPSEC的融合,IP/MPLSCORE,P,P,GRE/IPSEC隧道作为Site接入MPLSVPN实现对VPLSVPN及MPLSVPN的访问,PE,PE,MPLS域,MPLSVPN,GRE/IPSEC隧道,CE,VPLSVPN,CE,企业,综合VPN业务分析华为综合VPN业务解决方案华为VPN网关解决方案厦门广电城域网案例分析VPN业务拓展思路,提纲,运营商提供MPLSVPN业务面临的问题,提供MPLSVPN业务,运营商网络需要采用标准的“CPE-PE-P”网络模型;各运营商现有的IP承载网/城域网技术形态多样(包括Router、ATM或Lanswitch等多种方式),很多原有的设备不支持MPLS能力;运营商欲提供MPLSVPN业务,需要对现有网络进行大规模改造,建设大量的PE设备覆盖用户网络,问题一:
对现有网络结构的冲击,问题二:
MPLSVPN业务的成熟度,经过近两年的发展,在网络设备供应商、网络运营商及标准化组织的努力下,从纯技术角度讲,MPLS技术已趋于成熟,但目前运营商提供MPLSVPN业务仍存在很多管理及运营方面的问题;例如:
各运营商的IP网络基本上都采用“长途网-本地网;传输网-业务网”的模型,提供的VPN业务必须是能够跨越多个AS域的;跨AS域的MPLSVPN如何运营管理、跨AS域的LSP如何建立,运营商提供MPLSVPN业务面临的问题,问题三:
MPLSVPN业务的用户定位及走势,MPLSVPN的用户到底是谁,是大型商业用户,还是中小型企业?
不同用户有不同的业务需求、管理手段及策略;运营商希望通过提供增值业务来获得利益回报、提高市场竞争力,但企业用户如何看待这个问题;现有的ATM网络、FR网络、DDN及传输网已经存在,并且覆盖范围广阔,已拥有良好的口碑;运营商提供MPLSVPN业务到底是满足用户需求,还是提高自身市场竞争能力的需要,结论:
在结合到现有的网络结构、技术的前提下,考虑到MPLSVPN的用户定位及业务走势的不明朗性,大量投资改造现有网络、建设大量的PE设备,是需要我们冷静思考的;但考虑到MPLSVPN业务的需求存在,或是出于竞争的考虑,运营商还必须使其运营网络具备一定的MPLSVPN业务提供能力,华为VPN网关解决方案,华为VPN网关的核心理念:
在IP承载网或城域网的本地网与长途网交界处,部署少量的VPN网关,将用户网络以物理直连、二层透传或三层隧道等多种方式连接到VPN网关上(由网关完成所有的VPN及Site的业务处理),做到网络业务平面与数据转发平面分离,提供MPLSVPN业务能力,又充分利用现有网络的接入能力、保护并减低投资,提高市场竞争力,华为VPN网关解决方案,本地网:
IP承载网/城域网,长途网:
IP骨干网,NE,Lanswitch,Router,AccessServer,NE,BAS,NE,Lanswitch,Router,AccessServer,NE,BAS,业务平面VPN网关兼标准PE设备,业务平面VPN网关兼标准PE设备,IP/MPLS网络,.,IP/MPLS,IP/MPLS,IP/ATM/LAN,IP/ATM/LAN,数据平面,非MPLS网络,IP,VPN网关的接入方法,方法一:
物理直连企业用户网络可通过DDN、以太网、传输等多种方式,直接与VPN网关相连,此为标准MPLSVPN的CPE-PE连接方式;由于一个VPN网关承担的是一个地区的VPN业务,因此采用这种方式对网关设备的物理接口类型及密度要求较高方法二:
二层透传及连接企业用户网络可通过ATM网络的VLan点到点透传、VPLS、PPPOA、1483B等方式接入到VPN网关,也可以通过Lanswitch网络的VlanTrunking等方式接入到VPN网关;这种情况下,VPN网关采用逻辑接口终结各二层连接,因此可接入较多的企业用户网络方法三:
三层隧道企业用户网络可通过IP网络的GRE及IPSec隧道等方式接入到VPN网关;这种情况下,VPN网关采用逻辑接口终结各三层隧道,因此可接入较多的企业用户网络个人用户可通过窄带拨号、PPPOE+L2TP或PPPOEOA+L2TP的方式接入到VPN网关,访问公司内部网络;此时,VPN网关兼做LNS,LAC需要由NAS/BAS承担,也可由用户主机直接发起L2TP连接。
VPN网关的应用逻辑拓扑,VPN网关,VPN网关,VPN_ASite2,VPN_ASite1,VPN_BSite2,VPN_BSite1,本地接入网,VPN_ASite2,VPN_ASite1,VPN_BSite2,VPN_BSite1,通过各类接入手段,将本地网所有的VPN用户接入到VPN网关,由一台VPN网关完成所有的VPN业务处理,并实现各种VPN业务之间的互通。
VPN网关与长途网和本地网的连接方法,本地网:
IP承载网/城域网,长途网:
IP骨干网,NE,Lanswitch,Router,AccessServer,NE,BAS,业务平面VPN网关兼标准PE设备,IP/MPLS网络,IP/MPLS,连接IP网络,承担GRE/IPSec/L2TP等方式的接入,数据平面,非MPLS网络,连接Lanswitch网络,承担VLAN等方式接入,连接ATM网络,承担VLAN透传、VPLS、PPPOA、PPPOEOA、1483B等方式的接入,通过DDN、传输等方式直接接入用户网络,IP,VPN网关完成的功能,与现有接入网络配合,将用户网络以多种形式接入到VPN网关。
为接入用户提供本地网内的MPLSVPN业务。
为接入用户提供跨本地网(甚至是跨AS域)的MPLSVPN业务。
为MPLSVPN业务用户提供访问Internet的支持,兼做NAT网关。
作为LNS,终结L2TP隧道,为个人用户提供访问企业内部网(各种技术实现的VPN)的支持。
实现各种VPN之间的互通,包括VPLS、VLAN、L2TP、GRE、IPSEC。
跨本地网的MPLSVPN业务,IP/MPLS网络,长途网:
IP骨干网,VPN网关兼标准PE设备,VPN网关兼标准PE设备,VPN_ASite1,本地网:
IP承载网/城域网,IP/MPLS,GRE或IPSec隧道,VPN_ASite2,VPN网关(兼标准PE设备)与IP骨干网构成了标准的MPLS接入平台(MPLS域),可提供跨本地网的MPLSVPN业务;采用VPN网关方案后,MPLS域与路由的AS域重合,不存在跨AS域的问题;如果VPN用户跨越多个本地网,也可以利用GRE或IPSec隧道,将VPN内部的所有Site接入到一个本地网的VPN网关上;采用VPN网关方案后,规避了省网在提供MPLSVPN业务时的跨域问题;但在跨越省级以及各网络运营商之间合作时,仍需要面对跨AS域的问题,这与标准的MPLS接入平台方案是一样的。
VPN网关的业务演进方法,本地网:
IP承载网/城域网,长途网:
IP骨干网,NE,Lanswitch,Router,AccessServer,NE,BAS,业务平面VPN网关兼标准PE设备,IP/MPLS网络,IP/MPLS,IP/ATM/LAN,数据平面,非MPLS网络,IP/MPLS,IP,随着用户对MPLSVPN业务需求的增加,可逐步添加VPN网关设备,VPN网关解决方案可平滑演进为标准的MPLSVPN解决方案,华为VPN网关解决方案,总结,在结合到现有的网络结构、技术的前提下,考虑到MPLSVPN的用户定位及业务走势的不明朗性,采用VPN网关解决方案提供MPLSVPN业务,应该是各运营商的首选,至少应该尝试;该方案无须改动现有的网络结构,降低网络运营成本,并可随着VPN业务的发展平滑渐进为标准的MPLSVPN解决方案华为NE08/16E/80路由器可作为VPN网关:
NE08/16E提供完善的MPLSL2orL3VPN能力;NE08/16E支持多种类型的接口,可以提供POS/CPOS、E1/CE1、E3/CE3、DDN、FR、LAN、ATM等多种方式的接入,速率可从N*64K、N*2M到FE、GE;NE08/16E支持多种二层方式的接入,如VLan透传、VPLS、PPPOA、PPPOE、PPPOEOA、1483B等;NE08/16E支持多种IP隧道技术,如GRE、IPSec及L2TP等NE80路由器可以作为大型IP城域网VPN网关。
MPLS/BGPVPNRFC2547基本能力跨AS能力Internet访问,L2TP方式访问VPN规格NE80:
1024VPN*1024路由NE08/16:
512VPN*512路由互通性与cisco、juniper互通,MPLSL2VPNMartini方式Kompella方式规格NE80:
4096VPN*100连接NE08/16:
2048VPN*100连接互通性Martini方式与cisco、juniper互通Kompella方式与juniper互通,CCC本地连接(L2switching)远程连接(MPLStunneling)4096连接与juniper互通,IPtunnel即将提供IPtunnelforL2VPNIPtunnelforL3VPN,华为VPN网关规格,综合VPN业务分析华为综合VPN业务解决方案华为VPN网关解决方案厦门广电城域网案例分析VPN业务拓展思路,提纲,IP/MPLSCORE,P,P,PE,PE,IP/MPLS域,NE80,NE80,NE08A,NE08B,ATM平面,企业远程办公,散户炒股,接入层,8750,8750,证券公司,企业VPN,ATM,ATM,GE,GE,其他运营商,ASBR,ASBR,在原有网络上增加2台NE08作为城域网VPN网关。
厦门广电综合VPN业务组网方案,VPN网关,VPN网关,其他运营商,企业Intranet解决方案VPLS,企业A-Site11.1.1.0/16,企业A-Site21.1.2.0/16,企业A-Site31.1.3.0/16,通过VPLS技术实现虚拟LanSwitch,企业各Site在同一网段1.1.0.0/24。
IP/MPLSCORE,P,P,PE,PE,IP/MPLS域,NE80,NE80,NE08A,NE08B,ATM平面,接入层,8750,8750,ATM,ATM,GE,GE,ASBR,ASBR,5100,5100,5100,其他运营商,企业Intranet解决方案MPLSVPN,企业A-Site11.1.0.0/16,企业-Site22.2.0.0/16,企业A-Site33.3.0.0/16,IP/MPLSCORE,P,P,PE,PE,IP/MPLS域,NE80,NE80,NE08A,NE08B,ATM平面,接入层,8750,8750,ATM,ATM,GE,GE,ASBR,ASBR,通过VPLS技术和MPLSVPN技术相结合实现三层企业互联,企业各Site在不同网段1.1.0.0/16、2.2.0.0/16、3.3.0.0/16。
NE08B通过MPLSVPN实现企业A的多个site之间的互通。
MPLSLSP隧道,VPLS,VPLS,VPLS,其他运营商,企业ExtranetVPN,企业A-Site11.1.0.0/16,企业B-Site33.3.0.0/16,IP/MPLSCORE,P,P,PE,PE,IP/MPLS域,NE80,NE80,NE08A,NE08B,ATM平面,接入层,8750,8750,ATM,ATM,GE,GE,ASBR,ASBR,通过VPLS技术和MPLSVPN技术相结合实现不同企业之间的访问。
在VPN网关上进行路由过滤和访问控制,避免企业之间的非法访问。
MPLSLSP隧道,VPLS,VPLS,其他运营商,企业-Site1,IP/MPLSCORE,P,P,PE,PE,IP/MPLS域,NE80,NE80,NE08A,NE08B,ATM平面,远程办公散户炒股(Home、Hotel),接入层,8750,8750,ATM,ATM,GE,GE,ASBR,ASBR,PPPOE终结AAA/Radius认证L2TPLAC,L2TP隧道,VPLS,VPLS,VLANPPPOE,L2TPLNSL2TP隧道与VPLS/MPLSVPN的映射。
远程办公/散户炒股通过5100接入,RadiusServer,证券公司A,其他运营商,证券公司A,证券公司B,IP/MPLSCORE,P,P,PE,PE,IP/MPLS域,NE80,NE80,NE08A,NE08,远程办公散户炒股(L2TP客户端),接入层,GE,GE,ASBR,ASBR,L2TP用户认证L2TP隧道与MPLSVPN的映射。
RadiusServer,证券VPN,远程办公/散户炒股通过5200接入,IP接入层,直连/VLAN/PVC,MA5200,MA5100,MA5200,直连/VLAN/PVC,8750,L2TP隧道,直连/PVC,ATM接入层,PPPOE终结AAA/Radius认证,企业VPNInternet访问,其他运营商,企业-Site1,企业A-Site2,IP/MPLSCORE,P,P,PE,PE,IP/MPLS域,NE80,NE80,NE08A,NE08B,ATM平面,远程办公(Home、Hotel),接入层,8750,8750,ATM,ATM,GE,GE,ASBR,ASBR,L2TP隧道,VPLS,VPLS,VLANPPPOE,企业VPN用户和远程办公用户都通过VPN网关实现对Internet的访问。
RadiusServer,NE08提供NAT功能实现私有地址到公网地址的转换。
综合VPN业务分析华为综合VPN业务解决方案华为VPN网关解决方案厦门广电城域网案例分析VPN业务拓展思路,提纲,L3L2城域网通常采用VLAN实现企业互连,这种方式业务管理混乱,扩展性差。
我司可以通过VPN改造的方式切入,提供VPN网关,实现MPLSVPN业务及电信级的业务管理手段。
可以根据容量选取NE80/16E/08作为VPN网关。
一般来说,在电信可以尝试推NE80,其它情况主推NE16E/08。
成功案例:
上海电信县级城域网VPN改造工程,我司NE80实现规模应用。
L3L2城域网,路由器+L3+L2城域网,VPN网关引导思路同L3+L2城域网。
如铁通城域网通常在骨干层采用高端路由器、汇聚层采用了一些中端路由器36XX/26XX,这种情况无法将VPN用户直接通过二层透传到VPN网关。
可以采用策略路由GRE方式,通过三层隧道接入VPN网关。
GSRL3+L2模式的城域网可以直接通过GSR提供MPLSVPN业务,但同样可以引导“综合VPN业务”,争取NE16E/08的进入。
我司在网上有大量“一机双平面”的综合城域网。
这些网络通常可以通过8750和5100提供的VPLS技术实现企业互连。
我司应引导“综合VPN业务”,强调企业VPN服务的完整性、在线交易及运营商合作的需要,争取实现VPN网关的进入。
成功案例:
厦门广电城域网增加2台NE08作为VPN网关,提供综合VPN业务。
综合城域网,谢谢,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 华为 VPN 网关 解决方案 内部
![提示](https://static.bingdoc.com/images/bang_tan.gif)