IP虚拟专用网技术PDF电子书下载

第1章 VPN综述 1

1.1 什么是VPN 1

1.1.1 理解VPN的含义 1

1.1.2 IP VPN的含义 2

1.2 VPN的发展简史 3

1.3 VPN的优势 4

1.4 VPN的应用 5

1.4.1 远程接入VPN(Access VPN) 5

1.4.2 内联网VPN(Intranet VPN) 6

1.4.3 外联网VPN(Extranet VPN) 8

1.5 VPN的分类方式 9

1.5.1 按接入方式划分 9

1.5.2 按协议实现类型划分 10

1.5.3 按VPN的发起方式划分 10

1.5.4 按VPN的服务类型划分 10

1.5.5 按承载主体划分 11

1.5.6 按VPN业务层次模型划分 11

1.6.1 基于用户设备的VPN 12

1.6 VPN的组成 12

1.5.7 VPN类型小结 12

1.6.2 基于网络的VPN 13

1.7 VPN的基本功能特征 14

1.7.1 不透明包传输 14

1.7.2 数据的安全性 14

1.7.3 QoS保证 15

1.7.4 隧道机制 15

1.8 小结 15

2.1 隧道技术 17

第2章 VPN隧道机制 17

2.2 隧道协议的层次模型 18

2.3 典型隧道协议 19

2.3.1 点对点隧道协议(PPTP) 19

2.3.2 第二层转发(L2F) 20

2.3.3 二层隧道协议(L2TP) 20

2.3.4 多协议标记交换(MPLS) 21

2.3.5 IP中的IP(IP in IP) 22

2.3.6 IP安全(IPSec) 23

2.3.7 通用路由封装(GRE) 23

2.3.8 安全套接层(SSL) 24

2.3.9 SOCKS 26

2.4 对隧道协议的要求 31

2.4.1 复用 31

2.4.2 信令协议 32

2.4.3 数据安全 32

2.4.4 多协议传输 33

2.4.5 帧排序 33

2.4.6 隧道维护 33

2.4.9 流量和拥塞控制 34

2.4.8 最小隧道开销 34

2.4.7 MTU问题 34

2.4.10 QoS/流量管理 35

2.4.11 二层与三层协议 35

2.5 小结 35

第3章 VPN业务模型与实施 37

3.1 IP网络基本模型 37

3.2 VPN业务体系结构 40

3.3 基于网络的IP VPN的部署模型 41

3.3.4 同时支持VPN与因特网接入 42

3.3.3 跨越多个自治域或者是服务提供商的VPN 42

3.3.2 外联网 42

3.3.1 内联网 42

3.3.5 多级VPN(VPN中的VPN) 43

3.3.6 多种接入模型(拨号、DSL、固定无线接入、线缆接入) 43

3.4 业务模型的划分 43

3.4.1 虚拟租用线(VLL) 43

3.4.2 虚拟专用路由网(Virtual Private Routed Network) 44

3.4.3 虚拟专用拨号网(Virtual Private Dial Network) 45

3.4.4 虚拟专用LAN网段(Virtual Private LAN Segments) 45

3.5 业务实施要求 46

3.6 小结 47

第4章 IP QoS技术 48

4.1 引言 48

4.2 QoS概述 49

4.2.1 QoS的定义 49

4.2.2 产生QoS问题的原因 50

4.3 InterServ模型 51

4.3.1 面向接收者 52

4.3.2 合理利用资源 53

4.3.3 RSVP的工作方式 54

4.3.4 问题与应用 55

4.4 DiffServ模型 56

4.4.1 DiffServ的实现 56

4.4.2 DS字段的定义 59

4.4.3 DiffServ的优点与问题 59

4.5 MPLS与QoS 60

4.6 QoS策略控制 61

4.7 流量工程 61

4.9 IP网络性能指标 63

4.8 约束路由 63

4.10 有待研究的问题 65

4.11 小结 66

第5章 VPN安全基础 68

5.1 基本安全威胁 68

5.1.1 接入网段 68

5.1.2 公用IP网段 69

5.1.3 企业内部网络段 70

5.2 安全攻击 70

5.3 安全服务 70

5.3.4 不可否认性 71

5.3.3 完整性 71

5.3.1 保密性 71

5.3.2 认证 71

5.3.5 访问控制 72

5.3.6 可用性 72

5.4 安全机制 72

5.4.1 加密机制 72

5.5 安全协议与算法 74

5.5.1 DES 74

5.4.3 完美向前保密 74

5.4.2 数字签名技术 74

5.5.2 RSA 75

5.5.3 Diffie-Hellman 75

5.5.4 DSA 76

5.5.5 Kerberos 76

5.5.6 X.509 77

5.5.7 LDAP 78

5.6 IPSec中用到的安全算法和协议 78

5.7 小结 78

6.1.1 从SLIP到PPP 80

第6章 L2TP与远程接入VPN 80

6.1 PPP协议 80

6.1.2 PPP的组成 81

6.1.3 PPP链路操作流程 82

6.1.4 多PPP捆绑 84

6.2 L2TP协议 85

6.2.1 拓扑结构 85

6.2.2 消息格式 86

6.2.3 工作过程 88

6.2.4 隧道与会话 88

6.2.7 支持的隧道类型 89

6.2.5 L2TP承载技术 89

6.2.6 QoS和流量控制 89

6.3 基于RADIUS的认证 90

6.3.1 RADIUS概述 90

6.3.2 基于RADIUS的认证 92

6.4 基于RADIUS的计费 97

6.4.1 隧道类型(Tunnel-Type) 97

6.4.6 隧道专用组ID(Tunnel-Private-Group-ID) 98

6.4.5 隧道口令(Tunnel-Password) 98

6.4.3 隧道客户端点(Tunnel-Client-Endpoint) 98

6.4.2 隧道介质类型(Tunnel-Medium-Type) 98

6.4.4 隧道服务器端点(Tunnel-Server-Endpoint) 98

6.4.7 隧道分配ID(Tunnel-Assignment-ID) 99

6.4.8 隧道选择(Tunnel-Preference) 99

6.4.9 隧道客户认证ID(Tunnel-Client-Auth-ID) 100

6.4.10 Tunnel-Server-Auth-ID 100

6.5 隧道拆除的次序 100

6.6.2 ISP与企业客户 101

6.6.3 VPDN的体系结构 101

6.6.1 应用范围 101

6.6 接入VPN 101

6.6.4 系统组成 102

6.6.5 工作原理 102

6.7 基于帧中继的L2TP 103

6.8 L2TP的安全性 104

6.8.1 隧道终点的安全 104

6.9 小结 105

6.8.5 代理PPP认证 105

6.8.4 L2TP与IPSec 105

6.8.3 端到端的安全 105

6.8.2 包级的安全 105

第7章 IPSec 107

7.1 IPSec体系结构 107

7.1.1 IPSec的组成 107

7.1.2 工作原理 108

7.1.3 实现方式 109

7.1.5 安全联盟(SA) 110

7.1.4 工作模式 110

7.1.6 IP流量处理 116

7.1.7 分段处理 118

7.1.8 ICMP处理 118

7.1.9 审计 120

7.2 认证头(AH)协议 120

7.2.1 AH的目标 120

7.2.2 AH协议头格式 120

7.2.3 AH处理 121

7.3.1 ESP的目标 124

7.3.2 ESP协议包格式 124

7.3 封装载荷(ESP)协议 124

7.3.3 ESP处理 125

7.3.4 外出包处理 126

7.3.5 进入包处理 127

7.4 IKE 128

7.4.1 IKE的认证方式 129

7.4.2 ISAKMP 129

7.4.3 IKE消息格式 130

7.4.4 IKE的交换模式 132

7.4.5 IPSec DOI(解释域) 136

7.4.6 IKE自身的安全性 137

7.4.7 IKE的使用 138

7.5 身份认证与IPSec接入控制 140

7.6 IPSec与NAT的关系 141

7.6.1 NAT的含义 142

7.6.2 已知的IPSec与NAT的不兼容性 144

7.6.3 IPSec能够穿越NAT的情形 146

7.6.4 IPSec-NAT兼容性要求 147

7.6.5 IPSec与NAT兼容性方法 148

7.7.1 体系结构 151

7.7 IPSec VPN的实施 151

7.6.6 安全性 151

7.7.2 IPSec VPN业务类型 152

7.8 不同的声音 153

7.8.1 IPSec的RFC 153

7.8.2 IPSec的复杂性 154

7.8.3 真的对应用层透明吗 155

7.8.4 对IKE阶段的讨论 156

7.8.5 下一代IKE协议 159

第8章 MPLS VPN 160

8.1.1 MPLS的起源 161

8.1 MPLS基本原理 161

8.1.2 MPLS中的一些重要概念 162

8.1.3 MPLS的体系结构 163

8.1.4 MPLS工作原理 165

8.1.5 MPLS标记交换路由器的结构 166

8.1.6 标记封装技术 166

8.1.7 标记分发协议 170

8.2 MPLS VPN体系结构 175

8.2.1 叠加模型 176

8.3 虚拟路由器 177

8.2.2 对等模型 177

8.2.3 MPLS VPN的实现方式 177

8.3.1 设计目标 178

8.3.2 基于虚拟路由器的组网 178

8.3.3 虚拟路由器的一般模型 180

8.3.4 基于虚拟路由器实施VPN的逻辑框图 181

8.4 BGP/MPLS VPN 182

8.4.1 BGP/MPLS VPN的基本模型 182

8.4.3 受约束的路由发布 184

8.4.2 RD的定义 184

8.5 两种MPLS VPN机制的比较 187

8.6 MPLS VPN对于网络和设备的要求 188

8.7 困扰MPLS的几个问题 189

8.7.1 转发速度会更快证据不足 190

8.7.2 MPLS网络会更加稳定待确认 190

8.7.3 流量工程与TCP的交互有冲突 191

8.7.4 MPLS VPN的可扩展性有疑问 191

8.7.5 MPLS VPN的安全性不比FR/ATM更好 192

9.1.1 PPVPN模型 193

9.1 PPVPN的相关概念 193

第9章 运营商实施VPN的技术 193

9.1.2 PPVPN组网方式 195

9.2 PPVPN的类型 198

9.2.1 PPVPN的分类 198

9.2.2 基于CE的VPN参考模型 198

9.2.3 基于PE的VPN参考模型 200

9.3.1 业务类型 201

9.3.2 拓扑结构 201

9.3 通用业务要求 201

9.2.4 混合模式的参考模型 201

9.3.3 数据、路由信息的交换与外界隔离 202

9.3.4 安全性 202

9.3.5 地址分配 202

9.3.6 服务质量 203

9.3.7 服务等级规范与协议 204

9.3.8 管理 205

9.3.9 互操作性 205

9.4.4 路由协议的支持 206

9.4.3 地址分配 206

9.4.2 运营商相互独立 206

9.4.1 VPN成员(Intranet/Extranet) 206

9.3.10 互联 206

9.4 用户要求 206

9.4.5 QoS与业务参数 207

9.4.6 业务等级规范与协定 207

9.4.7 VPN的用户管理 208

9.4.8 隔离 208

9.4.9 安全性 208

9.4.10 迁移效果 208

9.4.11 网络接入 209

9.5 运营商网络要求 211

9.5.1 升级能力 211

9.4.12 业务访问 211

9.4.13 混合VPN业务模式 211

9.5.2 地址分配 212

9.5.3 标识符 213

9.5.4 VPN相关信息的学习 213

9.5.5 SLA和SLS的支持 213

9.5.6 QoS与流量工程 213

9.5.8 业务、路由与外部网络隔离 214

9.5.7 路由 214

9.5.9 安全性 215

9.5.10 跨自治域(SP)VPN 216

9.5.11 PPVPN批发 217

9.5.12 隧道封装要求 217

9.5.13 对接入网、骨干网技术的支持 218

9.5.14 保护与恢复 218

9.6.1 差错管理 219

9.6 运营商的管理要求 219

9.5.16 对迁移的支持 219

9.5.15 互操作性 219

9.6.2 配置管理 220

9.6.3 计费 222

9.6.4 性能管理 223

9.6.5 安全管理 223

9.6.6 网络管理技术 224

9.7 客户接口 224

9.7.1 在CE-PE边界建立VPN 224

9.7.3 客户可见路由 225

9.7.2 CE-PE边界的数据交换 225

9.8 网络接口与SP对VPN的支持 229

9.8.1 VPN的功能部件 229

9.8.2 建立与维护 230

9.8.3 VPN隧道 232

9.8.4 通过SP网络的VPN路由 235

9.8.5 同时接入VPN和因特网的情况 238

9.9 互联接口 239

9.9.1 互联支持的假定业务 239

9.9.2 互联方式 240

9.9.3 可用性和可扩展性的讨论 241

9.10 安全性考虑 241

9.10.1 系统安全 242

9.10.2 接入控制 242

9.10.3 端点认证 242

9.10.4 数据完整性 242

9.10.5 保密性 242

9.10.6 用户数据与控制数据 243

9.10.7 Inter-SP VPN 243

9.11 小结 243