书 名: IP虚拟专用网技术

作　者：何宝宏

出版社： 人民邮电出版社

出版时间： 2008

ISBN: 9787115174840

本书根据国内外最新标準和研究状况，结合目前套用和实施情况，系统地介绍了基于IP的虚拟专用网(IPVPN)技术的特点、典型隧道协定和各种VPN业务的实现方式等内容。通过阅读本书，读者能够全面地了解IPVPN技术的原理与套用。本书重点内容包括IPVPN的起源、概念与类型，L2TP、IPSec和MPLS等典型隧道协定，用于二层VPN(L2VPN)和一层VPN(L1VPN)的端到端伪线仿真(PWE3)协定，接入VPN、L1VPN、L2VPN和L3VPN的需求和典型实现机制，以及IPVPN套用现状和测试评估技术等，几乎覆盖了IPVPN技术和套用的各个方面以及最新进展。

本书侧重原理性说明，力求具有理论性、实用性和系统性，适用于信息通信技术领域的广大工程技术人员以及大学高年级学生或研究生阅读，并可供希望系统了解IPVPN知识的其他人员参考。

1.1　VPN的起源　1

1.1.1　专网　2

1.1.2　ATM/FR虚拟专网　2

1.1.3　IPVPN　3

1.2　VPN的含义　4

1.3IPVPN的含义　5

1.3.1　不透明分组传输　5

1.3.2　数据的安全性　6

1.3.3　服务质量保证　6

1.3.4　隧道技术　7

1.4　IPVPN的优势　7

1.5　IPVPN的安全性　8

1.6　IPVPN与隧道技术　9

1.7　IPVPN的接入方式　10

1.8　IPVPN的实现位置　10

1.9　IPVPN的实施主体　12

1.10　IPVPN业务　13

1.11　IPVPN的典型套用　13

1.11.1　远程接入VPN(AccessVPN)　13

1.11.2　内联网VPN(IntranetVPN)　14

1.11.3　外联网VPN(ExtranetVPN)　16

1.12　IPVPN的类型　17

2.1　概述　19

2.2　通用业务要求　20

2.2.1　客户对VPN业务的要求　20

2.2.2　运营商对VPN业务的要求　22

2.2.3　工程技术要求　22

2.3　VPN业务类型　23

2.4　L3VPN业务　23

2.4.1　叠加模型与对等模型　23

2.4.2　L3VPN　24

2.4.3　基于PE的L3VPN　24

2.4.4　基于CE的L3VPN　26

2.5　L2VPN业务　27

2.5.1　L2VPN的发展　27

2.5.2　L2VPN　27

2.5.3　VPWS　28

2.5.4　VPLS　28

2.5.5　IPLS　29

2.6　L1VPN业务　30

2.7　VPDN业务　31

3.1　概述　32

3.2　二层隧道协定　32

3.2.1　点对点隧道协定(PPTP)　32

3.2.2　第二层转发(L2F)　33

3.2.3　二层隧道协定(L2TP)　33

3.2.4　多协定标记交换(MPLS)　34

3.3　三层隧道协定　34

3.3.1　IP中的IP(IPinIP)　34

3.3.2　通用路由封装(GRE)　35

3.3.3　IP安全(IPSec)　36

3.4　高层隧道协定　37

3.4.1　安全套接层(SSL)　37

3.4.2　SOCKS　38

3.5　隧道协定的比较　39

3.5.1　复用　39

3.5.2　信令协定　39

3.5.3　数据安全　40

3.5.4　多协定传输　41

3.5.5　帧排序　41

3.5.6　隧道维护　41

3.5.7　MTU问题　41

3.5.8　最小隧道开销　42

3.5.9　流量和拥塞控制　42

3.5.10　QoS/流量管理　42

4.1　概述　43

4.2　基本协定　43

4.2.1　协定概述　43

4.2.2　拓扑结构　44

4.2.3　讯息类型　45

4.2.4　报头格式　45

4.2.5　控制讯息　47

4.2.6　属性值对　47

4.2.7　工作流程　49

4.2.8　数据转发　50

4.2.9　保序机制　51

4.2.10　连通性检测　51

4.2.11　会话的拆除　51

4.2.12　控制连线的拆除　51

4.2.13　控制讯息的可靠传递　52

4.3　承载技术　52

4.3.1　TCP/IP　52

4.3.2　IP　53

4.3.3　帧中继　53

4.3.4　ATM　53

4.4　L2TP扩展　54

4.4.1　服务质量　54

4.4.2　ATM接入　54

4.4.3　多播　54

4.4.4　隧道交换　55

4.5　L2TPv3　55

4.6　安全性　56

4.6.1　隧道终点的安全　57

4.6.2　数据包级安全　57

4.6.3　端到端安全　57

4.6.4　L2TP与IPSec　57

4.6.5　代理PPP认证　58

5.1　概述　59

5.2　IPSec框架结构　60

5.2.1　协定族组成　60

5.2.2　基本工作原理　61

5.2.3　实现方式　62

5.2.4　运行模式　63

5.3　安全联盟　63

5.3.1　定义　63

5.3.2　功能　64

5.3.3　SA的组合　65

5.3.4　SA资料库　66

5.3.5　SA的密钥管理　68

5.4　IP流量处理　69

5.4.1　出流量管理　69

5.4.2　入流量管理　69

5.5　认证头协定　70

5.5.1　AH的目标　70

5.5.2　AH头格式　70

5.5.3　AH处理　71

5.6　封装安全载荷协定　74

5.6.1　ESP的目标　74

5.6.2　ESP包格式　74

5.6.3　ESP处理　75

5.7　Internet密钥交换协定　79

5.7.1　IKE讯息格式　80

5.7.2　IKE的密钥交换技术　82

5.7.3　IKE的认证方式　83

5.7.4　IKE的交换模式　84

5.7.5　IPSec解释域　89

5.8　IPSec最新动态　89

6.1　概述　90

6.2　MPLS技术起源　91

6.2.1　IP/ATM融合　91

6.2.2　融合模型　91

6.2.3　发展简史　92

6.2.4　多协定支持　92

6.3　MPLS技术原理　93

6.3.1　重要概念　93

6.3.2　体系结构　94

6.3.3　工作原理　96

6.3.4　LSR结构　96

6.3.5　MPLS与路由协定　97

6.4　MPLS封装技术　98

6.4.1　通用标记栈格式　98

6.4.2　确定网路层协定　99

6.4.3　生存期处理　99

6.4.4　分片和路径MTU发现　100

6.4.5　ATM标记封装　101

6.4.6　FR标记封装　101

6.4.7　PPP标记封装　102

6.4.8　LAN标记封装　103

6.5　标记分发协定　103

6.5.1　LDP基本概念　104

6.5.2　LDP讯息类型　104

6.5.3　LDP讯息格式　105

6.5.4　LDP基本操作　108

6.5.5　LDP工作模式　109

6.6　MPLS流量工程　110

6.6.1　流量工程(TrafficEngineering，TE)　110

6.6.2　MPLSTE　111

6.6.3　MPLSTE概念　112

6.6.4　约束路由　113

6.6.5　MPLSTE实现　114

6.6.6　CR-LDP协定　115

6.6.7　RSVP-TE协定　115

6.6.8　快速重路由　116

6.6.9　CR-LSP备份　118

6.7　MPLS技术套用　118

6.7.1　MPLS服务质量　118

6.7.2　MPLSVPN　119

6.7.3　通用MPLS　120

6.8　MPLS扩展性　121

6.9　MPLS运维管理　122

6.9.1　MPLSOAM概述　122

6.9.2　MPLSOAM报文类型　123

6.9.3　MPLSOAM主要功能　125

7.1　概述　128

7.2　协定分层模型　129

7.2.1　PWE3框架　129

7.2.2　分层模型　130

7.2.3　PW分类　132

7.3　网路参考模型　133

7.3.1　单跳PWE3参考模型　133

7.3.2　多跳PWE3参考模型　134

7.3.3　预处理　135

7.4　PWE3载荷类型　136

7.4.1　分组业务　137

7.4.2　信元业务　137

7.4.3　比特流业务　137

7.4.4　结构化比特流业务　137

7.5　PWE3封装　138

7.5.1　通用封装　138

7.5.2　PWE3overIP　139

7.5.3　PWE3overMPLS　139

7.6　控制平面　140

7.6.1　建立和拆除　140

7.6.2　状态监视　140

7.6.3　状态改变通知　140

7.6.4　保活机制　141

7.6.5　本地业务控制讯息　141

7.7　PWE3与L2VPN的关係　141

7.7.1　控制平面的扩展　141

7.7.2　数据平面的扩展　142

7.8　典型业务实现　142

7.8.1　Ethernet业务仿真　142

7.8.2　ATM业务仿真　146

7.9　异种介质互连　153

7.10　PWE3拥塞控制　154

7.10.1　IP网中的PWE3拥塞控制　154

7.10.2　关于PW拥塞的讨论　155

8.1　概述　157

8.2　VPDN优势　157

8.3　用户管理协定　158

8.3.1　AAA概念　158

8.3.2　RADIUS简介　159

8.3.3　TACACS简介　162

8.3.4　域用户管理　162

8.3.5　双因素认证　163

8.4　基于RADIUS认证　164

8.4.1　强制隧道　164

8.4.2　基于域的隧道　165

8.4.3　认证流程　165

8.5　基于RADIUS计费　169

8.6　VPDN业务　170

8.6.1　发起方式　170

8.6.2　系统组成　170

8.6.3　典型流程实例　171

9.1　概述　172

9.2　通用业务要求　173

9.2.1　流量类型　174

9.2.2　拓扑结构　174

9.2.3　数据与路由隔离　174

9.2.4　安全性　174

9.2.5　地址分配　174

9.2.6　服务质量　175

9.2.7　服务等级规范　176

9.2.8　管理　176

9.2.9　互操作性　177

9.2.10　互联互通　177

9.3　客户的要求　177

9.3.1　VPN成员　177

9.3.2　运营商独立　178

9.3.3　地址分配　178

9.3.4　路由协定　179

9.3.5　服务质量　179

9.3.6　服务等级规范　179

9.3.7　客户管理　180

9.3.8　数据与路由隔离　180

9.3.9　安全　180

9.3.10　演进影响　180

9.3.11　网路接入　181

9.3.12　业务访问　183

9.3.13　混合VPN　184

9.4　运营商网路的要求　184

9.4.1　扩展性　185

9.4.2　地址分配　185

9.4.3　标识符　185

9.4.4　VPN信息学习　186

9.4.5　服务等级规范　186

9.4.6　服务质量　186

9.4.7　路由　186

9.4.8　数据与路由隔离　187

9.4.9　安全　187

9.4.10　跨域VPN　188

9.4.11　VPN批发　189

9.4.12　隧道封装　190

9.4.13　接入网/骨干网　190

9.4.14　保护恢复　190

9.4.15　互操作性　191

9.4.16　演进支持　191

9.5　运营商管理的要求　191

9.5.1　差错管理　192

9.5.2　配置管理　192

9.5.3　计费管理　193

9.5.4　性能管理　193

9.5.5　安全管理　193

9.5.6　管理信息库　193

9.6　安全考虑　194

9.6.1　系统安全　194

9.6.2　接入控制　194

9.6.3　端点认证　194

9.6.4　数据完整性　194

9.6.5　保密性　194

9.6.6　保护控制数据　195

9.6.7　跨运营商VPN　195

10.1　概述　196

10.2　网路模型　197

10.3　基本概念　197

10.4　VPN-IPv4地址族　200

10.4.1　地址重叠　200

10.4.2　地址结构　201

10.4.3　RD编码　201

10.4.4　RD类型　202

10.5　VPN实例　203

10.5.1　VRF与AC　203

10.5.2　IP包关联　204

10.5.3　VRF路由传播　204

10.6　VPN目标属性　205

10.7　VPN路由发布　207

10.7.1　本地CE到入口PE　207

10.7.2　入口PE到出口PE　208

10.7.3　出口PE到远端CE　210

10.7.4　VPN路由反射　210

10.7.5　VRF间路由分发　211

10.7.6　BGPAS号替换　211

10.8　VPN数据转发　212

10.8.1　隧道数据转发　212

10.8.2　VPN隔离　213

10.8.3　LDP隧道实例　214

10.9　VPN访问控制　215

10.9.1　Fullmesh组网　215

10.9.2　Hub&Spoke组网　215

10.9.3　部分网状组网　216

10.10　跨域VPN　217

10.10.1　VRF-to-VRF跨域　217

10.10.2　MP-EBGP跨域　218

10.10.3　Multi-hopMP-EBGP跨域　219

10.11　访问Internet　220

10.11.1　非VRF访问　221

10.11.2　VRF访问　221

10.11.3　VRF存储非VPN路由　221

10.11.4　VRF存储网际网路路由　221

10.12　运营商的运营商　222

10.12.1　组网概念　222

10.12.2　CE要求　222

10.12.3　实现原理　223

10.13　分层VPN　223

10.13.1　平面/分层模型　224

10.13.2　分层VPN原理　224

10.13.3　SPE-UPE接口　225

10.13.4　分层的嵌套　225

10.13.5　多归路UPE　226

10.13.6　UPE后门连线　226

10.14　服务质量　226

10.14.1　考虑因素　226

10.14.2　资源隔离　227

10.15　可扩展性　228

10.15.1　VPN数量　228

10.15.2　PE数量　228

10.15.3　VPN接口　228

10.15.4　VPN路由　228

10.15.5　LSP隧道　229

10.15.6　扩展性规划　229

10.16　安全性　230

10.16.1　控制平面安全　230

10.16.2　数据平面安全　231

10.16.3　访问控制　232

10.16.4　安全措施　232

11.1　概述　234

11.2　通用业务要求　234

11.2.1　业务範围　234

11.2.2　流量类型　234

11.2.3　拓扑结构　234

11.2.4　安全　235

11.2.5　服务质量　235

11.2.6　服务等级协定　236

11.2.7　定址　236

11.2.8　CE到PE的链路要求　236

11.2.9　保护和恢复　236

11.2.10　管理　237

11.2.11　互操作性　237

11.2.12　互通　237

11.3　客户要求　237

11.3.1　独立于运营商　237

11.3.2　支持L3流量　237

11.3.3　QoS和业务参数　238

11.3.4　业务等级规定　238

11.3.5　安全性　238

11.3.6　网路接入　238

11.3.7　用户流量　239

11.3.8　支持L2控制协定　240

11.4　运营商要求　240

11.4.1　扩展性　240

11.4.2　标识符　240

11.4.3　L2VPN相关信息发现　240

11.4.4　支持SLS　241

11.4.5　QoS　241

11.4.6　流量和转发信息的隔离　241

11.4.7　安全性　241

11.4.8　跨越多个AS(SP)的L2VPN　241

11.4.9　L2VPN批发　241

11.4.10　隧道机制要求　242

11.4.11　接入技术的支持　242

11.4.12　网路资源的分割和共享　242

11.4.13　互通性　242

11.4.14　测试　243

11.4.15　运营商管理需求　243

11.5　安全考虑　243

11.5.1　运营商网路安全性问题　243

11.5.2　运营商—用户网路安全问题　244

11.5.3　用户网路的安全问题　244

11.6　工程实施　244

11.6.1　控制平面要求　244

11.6.2　数据平面要求　245

12.1　概述　246

12.2　L2VPN参考模型　246

12.2.1　L2VPN的参考模型　246

12.2.2　VPWS的参考模型　247

12.2.3　VPLS参考模型　247

12.2.4　分散式VPLS-PE和VPWS-PE的参考模型　249

12.3　VPWS业务的实现　249

12.3.1　基于MPLS的VPWS　250

12.3.2　MartiniVPWS　250

12.3.3　KompellaVPWS　251

12.3.4　小结　251

12.4　VPLS业务的实现　252

12.4.1　VPLS-LDP(V.Kompella)方式　252

12.4.2　VPLS-BGP(Kompella)方式　256

12.4.3　两种实现的简单比较　258

12.5　IPLS的实现　259

12.5.1　IPLS概述　259

12.5.2　VPLS和IPLS的对比　261

12.5.3　IPLS的实现方式　262

13.1　服务质量　264

13.1.1　MPLSDiffServ　264

13.1.2　MPLSTE　266

13.1.3　MPLSDS-TE　266

13.2　安全性　269

13.2.1　安全威胁　269

13.2.2　安全模型　270

13.2.3　控制平面安全　271

13.2.4　数据平面安全　272

13.2.5　管理平面安全　273

13.3　可靠性　273

13.3.1　关键技术　274

13.3.2　套用部署　275

13.4　IPv6套用　276

13.4.1　6PE　276

13.4.2　6VPE　278

13.4.3　两种技术对比　280

13.5　流量统计　280

13.5.1　系统结构　281

13.5.2　报文格式　282

13.5.3　输出方式　283

13.5.4　流量提取输出　283

13.6　小结　284

14.1　概述　285

14.2　L1VPN业务类型　285

14.2.1　参考模型　285

14.2.2　业务类型　286

14.3　L1VPN业务需求　287

14.4　L1VPN业务场景　288

14.4.1　内容分发　288

14.4.2　视频会议　288

14.4.3　多业务骨干网　289

14.4.4　运营商的运营商　289

14.5　L1VPN参考模型　290

14.6　L1VPN体系结构　291

14.6.1　运营商网路侧　291

14.6.2　用户网路侧　294

14.7　与其他VPN的关係　295

14.7.1　L1VPN嵌套　295

14.7.2　L2/L3与L1的多点连线　296

14.7.3　L2/L3与L1的C/U平面　297

附录A　IPVPN测试套用　298

附录B　MPLSVPN市场套用　308

附录C　缩略语　311

附录D　参考文献及网址　321

……