计算机广域网第9章.ppt

第九章第九章 数字数据网（数字数据网（DDN）桂林电子科技大学信息科技学院桂林电子科技大学信息科技学院本章内容提要本章内容提要v9.1 DDN概述概述v9.2 DDN特点特点v9.3 DDN网络基本组成网络基本组成v9.4 DDN网络结构网络结构v9.5 DDN网络管理和控制网络管理和控制v9.6 DDN业务业务v9.7 虚拟专用网（虚拟专用网（VPN）v9.8 入网方式入网方式v9.9 DDN网络的同步网络的同步v9.10 DDN网络的应用网络的应用v9.11 各级网络之间的接口各级网络之间的接口v9.12 网络互连网络互连v9.13 DDN网络的发展方向网络的发展方向2桂林电子科技大学信息科技学院9.1 DDN概述概述vDDN既可用于计算机之间的通信，也可用于传送数字化传真、数既可用于计算机之间的通信，也可用于传送数字化传真、数字语音、数字图像信号或其他数字化信号。字语音、数字图像信号或其他数字化信号。网络经营者向广大用网络经营者向广大用户提供了灵活方户提供了灵活方便便的数字电路出租业的数字电路出租业务务，供各行业构成自己的专，供各行业构成自己的专用网。用网。vDDN使用光纤作为中继干线使用光纤作为中继干线，它将数万、数十万条以光缆为主体，它将数万、数十万条以光缆为主体的数字电路的数字电路,通通过数字电路管理设备，构成一个传输速率高、质量过数字电路管理设备，构成一个传输速率高、质量好、网络时延小，全透明、高流量的数据传输基础网络。好、网络时延小，全透明、高流量的数据传输基础网络。vDDN的基本组成单位是节点的基本组成单位是节点，节点间通过光纤连接，节点间通过光纤连接,构成网状的拓构成网状的拓扑结构，用户的终端设备通过数据终端单元（扑结构，用户的终端设备通过数据终端单元（DTU）与就近的节）与就近的节点机相连。点机相连。v CHINADDN是邮电部门经营管理的中国公用数字数据网。是邮电部门经营管理的中国公用数字数据网。3桂林电子科技大学信息科技学院数字数据网具有以下的特点：数字数据网具有以下的特点：1.DDN是同步数据传输网，不具备交换功能。但可根据与用户所订是同步数据传输网，不具备交换功能。但可根据与用户所订协议，定时接通所需路由（这便是半永久性连接概念）。协议，定时接通所需路由（这便是半永久性连接概念）。2.DDN采用交叉连接装置，可根据用户需要，在约定的时间内接通采用交叉连接装置，可根据用户需要，在约定的时间内接通所需带宽的线路，信道容量的分配具有极大的灵活性，使用户所需带宽的线路，信道容量的分配具有极大的灵活性，使用户可以开通种类繁多的信息业务，传输任何合适的信息。可以开通种类繁多的信息业务，传输任何合适的信息。3.DDN利用数字信道传输数据信号，数字信道与传统的模拟信道相利用数字信道传输数据信号，数字信道与传统的模拟信道相比，具有传输质量高，速度快，带宽利用率高等一系列优点。比，具有传输质量高，速度快，带宽利用率高等一系列优点。4.传输速率高，网络时延小。传输速率高，网络时延小。5.DDN为全透明网。采用交叉连接技术和时分复用技术为全透明网。采用交叉连接技术和时分复用技术 6.电路可靠性高。采用路由迂回和备用方式，保证电路高可靠性及电路可靠性高。采用路由迂回和备用方式，保证电路高可靠性及可用率。可用率。9.2 DDN特点特点4桂林电子科技大学信息科技学院v7.方便组建虚拟网（方便组建虚拟网（VPN）建立自己的网管中心，自己管理自己建立自己的网管中心，自己管理自己的网络。的网络。v8.传输质量高，传输质量高，DDN的主干传输为光纤传输，高速安全，误码低。的主干传输为光纤传输，高速安全，误码低。v9.采用点对点或点对多点的专用数据线路，特别适用于业务量大、采用点对点或点对多点的专用数据线路，特别适用于业务量大、实时性强的用户。实时性强的用户。v10.标准的标准的ISDN（综合业务数字网）综合业务数字网）2B+D传输模式，在一对双绞传输模式，在一对双绞线上同时传输二路线上同时传输二路64Kb/s电路。电路。v11.网络运行管理简便。网络运行管理简便。v12.信道容量的分配和接续在计算机控制下进行，具有极大的灵活信道容量的分配和接续在计算机控制下进行，具有极大的灵活性，使用户可以开通种类繁多的信息业务，传输任何合适的信息。性，使用户可以开通种类繁多的信息业务，传输任何合适的信息。v13.可根据需要选择不同的业务功能。可根据需要选择不同的业务功能。v14.灵活的连接方式。它不仅可以和用户终端设备进行连接，也可灵活的连接方式。它不仅可以和用户终端设备进行连接，也可以和用户网络连接，为用户提供灵活的组网环境。以和用户网络连接，为用户提供灵活的组网环境。5桂林电子科技大学信息科技学院9.3 DDN网络基本组成网络基本组成v DDN由由数字通道数字通道、DDN节点节点、网管控制网管控制和和用户环路用户环路组成。组成。v在在“中国中国DDN技术体制技术体制”中将中将DDN节点分成节点分成2兆节点、接入兆节点、接入节点和用户节点节点和用户节点3种类型。种类型。6桂林电子科技大学信息科技学院v1.2兆节点兆节点 2兆节点是兆节点是DDN网络的骨干节点，其主要功能是：执行网络网络的骨干节点，其主要功能是：执行网络业务的转换、提供业务的转换、提供2048Kbps（E1）数字通道的接口和交叉连接、）数字通道的接口和交叉连接、对速率为对速率为64 Kbps整数倍的电路进行复用和交叉连接以及帧中继整数倍的电路进行复用和交叉连接以及帧中继业务的转接。业务的转接。7桂林电子科技大学信息科技学院v 2接入节点接入节点 接入节点主要为接入节点主要为DDN各类业务提供接入功能，这类各类业务提供接入功能，这类DDN业务主业务主要有：要有：（1）n x 64 Kbps、2Mbps数字通道的接口；数字通道的接口；（2）n x 64Kbps（N=131）电路的复用；）电路的复用；（3）小于）小于64kbps子速率电路的复用和交叉连接；子速率电路的复用和交叉连接；（4）帧中继业务用户接入和本地帧中继功能；）帧中继业务用户接入和本地帧中继功能；（5）压缩语音）压缩语音G3传真用户入网。传真用户入网。8桂林电子科技大学信息科技学院v3用户节点用户节点 用户节点主要为用户节点主要为DDN用户入网提供接口并进行必要的协议转用户入网提供接口并进行必要的协议转换。小容量时分复用设备，换。小容量时分复用设备，LAN通过帧中继互联的网桥路由器通过帧中继互联的网桥路由器等都属于用户节点。等都属于用户节点。在实际组建各级网络时，可以根据网络规模、业务量等具体在实际组建各级网络时，可以根据网络规模、业务量等具体情况，酌情变动上述节点类型的划分。例如，为了满足具体情况情况，酌情变动上述节点类型的划分。例如，为了满足具体情况下的需要，可以把下的需要，可以把2兆节点和接入节点归并为一类节点，或者把接兆节点和接入节点归并为一类节点，或者把接入节点和用户节点归并为一类节点。入节点和用户节点归并为一类节点。9桂林电子科技大学信息科技学院9.4 DDN网络结构网络结构v 9.4.1DDN三级网络结构三级网络结构 DDN网络实行分级管理机制，其网络结构按网络的组建、运网络实行分级管理机制，其网络结构按网络的组建、运营、管理和维护的责任地理区域，可分为一级干线网、二级干线营、管理和维护的责任地理区域，可分为一级干线网、二级干线网和本地网三级。网和本地网三级。DDN网络层次网络层次:按照网络的基本功能，按照网络的基本功能，DDN网又可分为核心网又可分为核心层、接入层、用户接口层。层、接入层、用户接口层。可由可由2兆节点组成核心层，主要完成转接功能；由接入节点组兆节点组成核心层，主要完成转接功能；由接入节点组成接入层，主要完成各类业务接入；由用户节点组成用户层，完成接入层，主要完成各类业务接入；由用户节点组成用户层，完成用户入网接口。成用户入网接口。10桂林电子科技大学信息科技学院1.一级干线网一级干线网v 一级干线网由设置在各省、自治区和直辖市的节点组成，它提一级干线网由设置在各省、自治区和直辖市的节点组成，它提供省间的长途供省间的长途DDN业务。一级干线节点设置在省会城市，根据网业务。一级干线节点设置在省会城市，根据网络组织和业务量的要求，一级干线网节点可与省内多个城市或地络组织和业务量的要求，一级干线网节点可与省内多个城市或地区的节点互联。区的节点互联。v 在一级干线网上，根据国际电路的组织和业务要求考虑设置国际在一级干线网上，根据国际电路的组织和业务要求考虑设置国际出入口节点，负责对其他国家和地区之间的出入口业务，国际电出入口节点，负责对其他国家和地区之间的出入口业务，国际电路应优先使用路应优先使用2048Kbps（E1）数字电路。）数字电路。v 在一级干线网上，选择有适当位置的节点作为枢纽节点，枢纽节在一级干线网上，选择有适当位置的节点作为枢纽节点，枢纽节点具有点具有E1数字通道的汇接功能和数字通道的汇接功能和E1公共备用数字通道功能。枢纽公共备用数字通道功能。枢纽节点的数量和设置地点由邮电部电信主管部门根据电路组织、网节点的数量和设置地点由邮电部电信主管部门根据电路组织、网络规模、安全和业务等因素确定。络规模、安全和业务等因素确定。11桂林电子科技大学信息科技学院网络各节点互联时，应遵照下列要求：网络各节点互联时，应遵照下列要求：v（1）枢纽节点之间采用全网状连接。）枢纽节点之间采用全网状连接。v（2）非枢纽节点应至少保证两个方向与其他节点相连接，并至少）非枢纽节点应至少保证两个方向与其他节点相连接，并至少与一个枢纽节点连接。与一个枢纽节点连接。v（3）出入口节点之间、出入口节点到所有枢纽节点之间互联。）出入口节点之间、出入口节点到所有枢纽节点之间互联。v（4）根据业务需要和电路情况，可在任意两个节点之间连接。）根据业务需要和电路情况，可在任意两个节点之间连接。12桂林电子科技大学信息科技学院2.二级干线网二级干线网v二级干线网由设置在省内节点组成，它提供本省内长途和出、入二级干线网由设置在省内节点组成，它提供本省内长途和出、入省的省的DDN业务。根据数字通路、业务。根据数字通路、DDN网络规模和业务需要，二级网络规模和业务需要，二级干线网上也可以设置枢纽节点。当二级干线网设置核心层网络时，干线网上也可以设置枢纽节点。当二级干线网设置核心层网络时，应设置枢纽节点。应设置枢纽节点。v 相邻二级干线网节点之间可以酌情设置直达数字线路。经准许，相邻二级干线网节点之间可以酌情设置直达数字线路。经准许，二级干线网节点也可以设置地区性国际直达数字电路。二级干线网节点也可以设置地区性国际直达数字电路。13桂林电子科技大学信息科技学院3.本地网本地网v本地网是指城市内的网络，在省内发达城市可以组建本地网。本本地网是指城市内的网络，在省内发达城市可以组建本地网。本地网为用户提供本地和长途地网为用户提供本地和长途DDN业务。根据网路规模、业务量要业务。根据网路规模、业务量要求，本地网可以由多层次的网络组成。本地网中的小容量节点可求，本地网可以由多层次的网络组成。本地网中的小容量节点可以直接设置在用户的室内。以直接设置在用户的室内。v省内没有组建本地网的地、县级城市，根据本地省内网情况和具省内没有组建本地网的地、县级城市，根据本地省内网情况和具体的业务需要，设置中小容量的接入节点和用户节点，可直接连体的业务需要，设置中小容量的接入节点和用户节点，可直接连接到一级干线网节点上，或者经二级干线网的节点连接到一级干接到一级干线网节点上，或者经二级干线网的节点连接到一级干线网节点上。线网节点上。14桂林电子科技大学信息科技学院v 9.4.2 DDN网络层次网络层次 按照网络的基本功能，按照网络的基本功能，DDN网又可分为核心层、接入层和用户接网又可分为核心层、接入层和用户接口层，如图口层，如图9.1所示。所示。15桂林电子科技大学信息科技学院9.5 DDN网络管理和控制网络管理和控制 1.全国和各省网管控制中心全国和各省网管控制中心vDDN网络上设置了两级网管控制中心（网络上设置了两级网管控制中心（NMC）：国家级和省级。）：国家级和省级。全国网管控制中心负责一级干线网的管理和控制，省网管控制中全国网管控制中心负责一级干线网的管理和控制，省网管控制中心负责本省、直辖市或自治区网络的管理和控制。心负责本省、直辖市或自治区网络的管理和控制。v 另外也可以在节点数量多、网络结构复杂的本地网上，设置本地另外也可以在节点数量多、网络结构复杂的本地网上，设置本地网管控制中心，负责本地网的管理和控制。网管控制中心，负责本地网的管理和控制。（1）网管控制终端）网管控制终端NMT （2）节点管理维护终端）节点管理维护终端 （3）上级网管实现统一网管）上级网管实现统一网管 （4）网管控制功能）网管控制功能16桂林电子科技大学信息科技学院2.网管控制信息通信通路网管控制信息通信通路（1）节点和网管控制中心之间的通信）节点和网管控制中心之间的通信v 网管控制中心和所辖节点之间交换网管控制信息时，既可以使网管控制中心和所辖节点之间交换网管控制信息时，既可以使用用DDN网络中专门划出的适当容量的通路，也可以使用经其他网网络中专门划出的适当容量的通路，也可以使用经其他网络（如公共交换网或电话网）提供的通路。络（如公共交换网或电话网）提供的通路。（2）网管控制中心之间的通信）网管控制中心之间的通信v 全国网管控制中心和各省网管控制中心之间，以及网管控制中全国网管控制中心和各省网管控制中心之间，以及网管控制中心和所辖网管控制终端之间要求能相互通信，交换网管控制信息。心和所辖网管控制终端之间要求能相互通信，交换网管控制信息。v 实现这种通信的通路应能采用实现这种通信的通路应能采用DDN网上配置的专用电路，也可网上配置的专用电路，也可以采用经公共交换网或电话网的连接电路。以采用经公共交换网或电话网的连接电路。17桂林电子科技大学信息科技学院9.6 DDN业务业务vDDN可向客户提供多种速率的数字数据专线服务，可以提供可向客户提供多种速率的数字数据专线服务，可以提供2.4、4.8、9.6、19.2、N x 84（N=131）及）及2048Kbps速率的全透明的专用电路，速率的全透明的专用电路，在某些限定情况下，还可提供其他速率，如在某些限定情况下，还可提供其他速率，如8、16、32、48、56Kbps等。等。v这种业务在数据通信领域的应用最为普遍，可以替代在模拟专线网或电这种业务在数据通信领域的应用最为普遍，可以替代在模拟专线网或电话网上开放的数据业务，广泛应用于银行、证券、气象、文化教育等需话网上开放的数据业务，广泛应用于银行、证券、气象、文化教育等需要作专线业务的行业，适用于要作专线业务的行业，适用于LAN/WAN的互联、不同类型网络的互联的互联、不同类型网络的互联以及会议电视等图像业务的传输，同时为分组交换网用户提供接入分组以及会议电视等图像业务的传输，同时为分组交换网用户提供接入分组交换网的数据传输通路。此外还可以提供语音、数据轮询、帧中继、虚交换网的数据传输通路。此外还可以提供语音、数据轮询、帧中继、虚拟专用网（拟专用网（VPN）、）、G3传真、智能用户电板和会议电视等。传真、智能用户电板和会议电视等。v1.租用专线业务租用专线业务v2.帧中继业务帧中继业务 v3.话音话音/G3 传真业务传真业务 v4.专线上网专线上网 18桂林电子科技大学信息科技学院v1.租用专线业务租用专线业务（1）点对点通信）点对点通信 （2）点对多点通信）点对多点通信（3）广播多点通信）广播多点通信 （4）双向多点通信）双向多点通信19桂林电子科技大学信息科技学院v2.帧中继业务帧中继业务vDDN上的帧中继业务是通过在上的帧中继业务是通过在DDN节点上设置帧中继模块来实现节点上设置帧中继模块来实现的，帧中继模块（的，帧中继模块（FRM）之间，以及）之间，以及FRM和帧装和帧装/拆（拆（FAD）模）模块之间通过基本专用电路互联。块之间通过基本专用电路互联。v帧中继业务用户分为两类：一类是具有帧中继业务用户分为两类：一类是具有ITU-T建议建议Q.922接口的用接口的用户，称为帧中继用户。另一类是不具有户，称为帧中继用户。另一类是不具有Q.922接口的用户，称为接口的用户，称为非帧中继用户。非帧中继用户。20桂林电子科技大学信息科技学院v帧中继业务利用帧中继业务利用DDN低误码率的优点，支持客户高速数据传输，低误码率的优点，支持客户高速数据传输，增加网络吞吐量，提高了传输线路的利用率。该业务具有传输速增加网络吞吐量，提高了传输线路的利用率。该业务具有传输速率高、时延小的特点，可满足局域网的突发性业务量要求，为局率高、时延小的特点，可满足局域网的突发性业务量要求，为局域网的互联提供理想的手段。域网的互联提供理想的手段。v 用户以一条专线接入用户以一条专线接入DDN，同时与多个点建立帧中继电路，这，同时与多个点建立帧中继电路，这种特性特别适合于局域网间的互联。多个网络互联时，实现传输种特性特别适合于局域网间的互联。多个网络互联时，实现传输带宽按需分配，可大大减少网络传输时延，避免通信瓶颈，加大带宽按需分配，可大大减少网络传输时延，避免通信瓶颈，加大网络通过能力。适用于具有突发业务特性的应用，例如，各大、网络通过能力。适用于具有突发业务特性的应用，例如，各大、中、小型机的互连和局域网的互连等。帧中继业务的通信速率为中、小型机的互连和局域网的互连等。帧中继业务的通信速率为9.6Kbps48Kbps。21桂林电子科技大学信息科技学院v3.话音话音/G3 传真业务传真业务vDDN通过在用户入网处设置的语音服务模块（通过在用户入网处设置的语音服务模块（VSM）来提供这种）来提供这种业务。在业务。在VSM之间，之间，DDN网络提供端到端的全数字连接，即中间网络提供端到端的全数字连接，即中间不再引入语音编码和信令处理方面的数不再引入语音编码和信令处理方面的数/模转换部件。模转换部件。VSM可以可以设置在设置在DDN内的节点上，也可以由用户自行设置。内的节点上，也可以由用户自行设置。v DDN可以提供模拟专线业务，在一条线路上同时支持电话和传可以提供模拟专线业务，在一条线路上同时支持电话和传真，支持标准的语音压缩，质量优良。此外，真，支持标准的语音压缩，质量优良。此外，DDN也适用于用户也适用于用户交换机的连接。交换机的连接。22桂林电子科技大学信息科技学院v4.专线上网专线上网v可利用可利用DDN专线接入专线接入CHINANET（中国公共主干网），接入速率（中国公共主干网），接入速率9.6Kbps2Mbps。专线入网线路稳定，并可获得真实的。专线入网线路稳定，并可获得真实的Internet IP地址，便于企业在互联网上建立网站、树立企业现象、服务广地址，便于企业在互联网上建立网站、树立企业现象、服务广大客户。最常见的是用路由器通过大客户。最常见的是用路由器通过DDN专线接入数据局路由器。专线接入数据局路由器。这种专线接入方式，数据局一般会分配这种专线接入方式，数据局一般会分配16个固定个固定Internet IP给用给用户使用。入网后，网上的所有终端和工作者均可享用所有国际计户使用。入网后，网上的所有终端和工作者均可享用所有国际计算机互联网的服务。如图算机互联网的服务。如图9.4所示。所示。23桂林电子科技大学信息科技学院24桂林电子科技大学信息科技学院v另外，公用另外，公用DDN在北京、上海和广州分别设置国际出、入口局，在北京、上海和广州分别设置国际出、入口局，用于疏通国际数据业务，为国际数据业务提供数据传输通道。用于疏通国际数据业务，为国际数据业务提供数据传输通道。vDDN还具有定时开放能力，即在约定的时间或时间段，接通或拆还具有定时开放能力，即在约定的时间或时间段，接通或拆除客户租用的数据电路。除客户租用的数据电路。v数字数据网可为多种电信增值业务（如各种专用网、无线寻呼系数字数据网可为多种电信增值业务（如各种专用网、无线寻呼系统、可视图文系统等）用户提供中继或用户数据通道。统、可视图文系统等）用户提供中继或用户数据通道。25桂林电子科技大学信息科技学院9.7虚拟专用网（虚拟专用网（VPN）v 传统的企业专网的解决方案大多通过向电信公司租用各种类型的传统的企业专网的解决方案大多通过向电信公司租用各种类型的长途线路来连接各分支机构的局域网，或采用数字长途线路来连接各分支机构的局域网，或采用数字+专线的方式进专线的方式进行点对点的数据传输，网络费用高，大多数企业难以承受，且可行点对点的数据传输，网络费用高，大多数企业难以承受，且可扩展性极差。扩展性极差。v虚拟专用网技术是近年来兴起的一种新兴技术，它既可以使企业虚拟专用网技术是近年来兴起的一种新兴技术，它既可以使企业摆脱繁重的网络升级维护工作，又可以使公用网路得到有效的利摆脱繁重的网络升级维护工作，又可以使公用网路得到有效的利用。用。26桂林电子科技大学信息科技学院vVPN技术，也就是虚拟专用网技术，是指在公共网络中建立私有技术，也就是虚拟专用网技术，是指在公共网络中建立私有专用网络，数据通过安全的专用网络，数据通过安全的“加密管道加密管道”在公共网络中传播。在公共网络中传播。企企业只需要租用本地的数据专线，连接上本地的公共信息网，各地业只需要租用本地的数据专线，连接上本地的公共信息网，各地的机构就可以互相传递信息。同时，企业还可以利用公共信息网的机构就可以互相传递信息。同时，企业还可以利用公共信息网的拨号接入设备，让自己的用户拨号到公共信息网上，就可以安的拨号接入设备，让自己的用户拨号到公共信息网上，就可以安全的连接进入企业网中。全的连接进入企业网中。vVPN具有节省成本、提供远程访问、扩展性强、便于管理和实现具有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等优点，是目前和今后企业网络发展的趋势。全面控制等优点，是目前和今后企业网络发展的趋势。27桂林电子科技大学信息科技学院9.7.1 VPN概念概念vVPN是是Virtual Private Network 的简写形式，意思是虚拟专用网，的简写形式，意思是虚拟专用网，所谓所谓“虚拟虚拟”是指客户并没有真正拥有一个物理网，而是基于是指客户并没有真正拥有一个物理网，而是基于DDN智能化的特点，利用智能化的特点，利用DDN的部分网络资源所形成的一种网络，的部分网络资源所形成的一种网络，这种专用网络可根据客户需要而设置。这种专用网络可根据客户需要而设置。vVPN可以支持数据、语音及图像业务，也可支持可以支持数据、语音及图像业务，也可支持DDN所具有的其所具有的其他业务。该业务主要适用于部门、行业或集团客户。他业务。该业务主要适用于部门、行业或集团客户。v虚拟专用网指的是在公用网络上建立专用网络的技术。之所以称虚拟专用网指的是在公用网络上建立专用网络的技术。之所以称为虚拟专用网主要是因为整个为虚拟专用网主要是因为整个VPN网络的任意两个节点之间的连网络的任意两个节点之间的连接并没有传统专网所需的端到端物理链路，而是通过隧道技术，接并没有传统专网所需的端到端物理链路，而是通过隧道技术，架构在公用网络服务商所提供的网络平台（如架构在公用网络服务商所提供的网络平台（如Internet，ATM，Frame Relay等）之上的逻辑网络，用户数据在专用隧道中进行等）之上的逻辑网络，用户数据在专用隧道中进行传输。传输。28桂林电子科技大学信息科技学院 隧道技术是隧道技术是VPN的核心。隧道是基于网络协议在两点或两端的核心。隧道是基于网络协议在两点或两端建立的通信。一条隧道一般由以下构件组成：建立的通信。一条隧道一般由以下构件组成：v隧道发起者隧道发起者v公共路由网络公共路由网络v一个或多个隧道终端一个或多个隧道终端 隧道发起者的任务是在公用网络中开出一条隧道。隧道终端隧道发起者的任务是在公用网络中开出一条隧道。隧道终端的任务是使隧道到此终止。隧道发起者和隧道终端可以由多种网的任务是使隧道到此终止。隧道发起者和隧道终端可以由多种网络设备和软件实现，如图络设备和软件实现，如图9.5所示。所示。29桂林电子科技大学信息科技学院v隧道包括两种：点到点隧道和端到端隧道。隧道包括两种：点到点隧道和端到端隧道。在点到点隧道中在点到点隧道中，隧，隧道由远程用户的道由远程用户的PC延伸到企业服务器，两边的设备负责隧道的建延伸到企业服务器，两边的设备负责隧道的建立以及两点之间数据的加密和解密。立以及两点之间数据的加密和解密。在端到端隧道中在端到端隧道中，隧道终止，隧道终止于防火墙等网络边缘设备，它的主要功能是连接两端局域网。于防火墙等网络边缘设备，它的主要功能是连接两端局域网。vVPN中还必须有一些安全服务器、传统的防火墙服务和地址转换中还必须有一些安全服务器、传统的防火墙服务和地址转换功能，功能，VPN使用标准的使用标准的Internet技术提供数据加密、身份认证和技术提供数据加密、身份认证和授权确认等功能，隧道部件通过和安全服务器通信来完成这些功授权确认等功能，隧道部件通过和安全服务器通信来完成这些功能，这些服务器同时还能提供预留带宽，乃至网络服务级别和策能，这些服务器同时还能提供预留带宽，乃至网络服务级别和策略等信息。略等信息。vVPN功能可以通过对现有网络设备进行软件升级或更换其中模块功能可以通过对现有网络设备进行软件升级或更换其中模块来实现。来实现。30桂林电子科技大学信息科技学院9.7.2 VPN特点特点1.成本低成本低vVPN在设备的使用量及广域网络的频宽使用上，均比专线式的架在设备的使用量及广域网络的频宽使用上，均比专线式的架构节省，故能使企业网络的总成本降低。构节省，故能使企业网络的总成本降低。31桂林电子科技大学信息科技学院2.服务质量保证（服务质量保证（QoS）vVPN网应当为企业数据提供不同等级的服务质量保证。不同的用网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。户和业务对服务质量保证的要求差别较大。例如：对于移动办公例如：对于移动办公用户，保证虚拟专用网服务的一个主要因素是提供广泛的连接和用户，保证虚拟专用网服务的一个主要因素是提供广泛的连接和覆盖性；而对于拥有众多分支机构的专线覆盖性；而对于拥有众多分支机构的专线VPN网络，或者对于交网络，或者对于交互式的内部企业网应用，对于互式的内部企业网应用，对于VPN的要求是网路能提供良好的稳的要求是网路能提供良好的稳定性；其他一些应用（如视频等）则对网络提出了更明确的要求，定性；其他一些应用（如视频等）则对网络提出了更明确的要求，如网络时延及误码率等。如网络时延及误码率等。v广域网流量的不确定性使其带宽的利用率很低，在流量高峰时容广域网流量的不确定性使其带宽的利用率很低，在流量高峰时容易引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到易引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。及时发送；而在流量低谷时又造成大量的网络带宽空闲。QoS通通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。的发生。32桂林电子科技大学信息科技学院3.安全保障安全保障v虽然实现虽然实现VPN的技术和方式很多，但所有的的技术和方式很多，但所有的VPN均应保证通过公均应保证通过公用网络平台传输数据的专用性和安全性。用网络平台传输数据的专用性和安全性。v在非面向连接的公用在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接，网络上建立一个逻辑的、点对点的连接，称为建立一个隧道，可以利用加密技术对经过隧道传输的数据进称为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。了数据的私有性和安全性。33桂林电子科技大学信息科技学院4.可扩充性和灵活性可扩充性和灵活性v VPN必须能够支持通过必须能够支持通过Internet和和Extranet的任何类型的数据的任何类型的数据流流，方便增加新的节点，支持多种类型的传输媒介，可以满足同，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。需求。v可扩展性可扩展性要求对单位调整和市场需求变化能够做出快速反应，扩要求对单位调整和市场需求变化能够做出快速反应，扩展多个远程展多个远程LAN和多个移动用户可以在一天时间内完成，如果选和多个移动用户可以在一天时间内完成，如果选择租用点对点专用线路或帧中继电路可能要花费几个星期的时间，择租用点对点专用线路或帧中继电路可能要花费几个星期的时间，而且一旦需要和国外远程用户建立点对点专用线路或帧中继电路而且一旦需要和国外远程用户建立点对点专用线路或帧中继电路连接，可能会遇到更大的麻烦。连接，可能会遇到更大的麻烦。34桂林电子科技大学信息科技学院5.支持更及时的建立业务联系支持更及时的建立业务联系v通过通过VPN企业可以及时的和新业务伙伴建立联系，而无需经过两企业可以及时的和新业务伙伴建立联系，而无需经过两个企业信息部门在租用点对点专用线路或帧中继电路时所需要的个企业信息部门在租用点对点专用线路或帧中继电路时所需要的协商、配合，只要两个企业均连在协商、配合，只要两个企业均连在Internet上，这种业务联系可以上，这种业务联系可以即刻实现。即刻实现。35桂林电子科技大学信息科技学院6.可管理性可管理性v在虚拟专用网管理方面，虚拟专用网要求企业将其网络管理功能在虚拟专用网管理方面，虚拟专用网要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。将一些从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。成许多网络管理任务。v虚拟专用网管理的目标为：减少网络风险、具有高扩展性、经济虚拟专用网管理的目标为：减少网络风险、具有高扩展性、经济性、高可靠性等优点。性、高可靠性等优点。v虚拟专用网管理主要包括安全管理、设备管理、配置管理、访问虚拟专用网管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、服务质量管理等内容。控制列表管理、服务质量管理等内容。36桂林电子科技大学信息科技学院9.7.3 VPN中的协议中的协议v虚拟专用网区别于一般网络互联的关键是：首先建立隧道，待数虚拟专用网区别于一般网络互联的关键是：首先建立隧道，待数据包经过加密后，按隧道协议进行封装、传送以保安全性。据包经过加密后，按隧道协议进行封装、传送以保安全性。v一般，在数据链路层实现数据封装的协议叫第二层隧道协议，常一般，在数据链路层实现数据封装的协议叫第二层隧道协议，常用的有两种：第一，点到点隧道协议（用的有两种：第一，点到点隧道协议（PPTP，Point-to-Point Tunneling Protocol）；第二，第二层隧道协议（）；第二，第二层隧道协议（L2TP，Layer 2 Tunneling Protocol）。在网络层实现数据封装的协议叫第三）。在网络层实现数据封装的协议叫第三层隧道协议，如层隧道协议，如IPSEC(IP Security)。37桂林电子科技大学信息科技学院9.7.4 VPN实现技术的原理实现技术的原理1.IPSec隧道与加密技术隧道与加密技术vIPSec是基于是基于IP网络（包括网络（包括Intranet、Extranet和和Internet）的，）的，由由IETF正式定制的开放性正式定制的开放性IP安全标准，是虚拟专用网的基础。安全标准，是虚拟专用网的基础。IPSec适应向适应向IPv6迁移，它提供所有在网络层上的数据保护，提迁移，它提供所有在网络层上的数据保护，提供透明的安全通信。供透明的安全通信。vIPSec提供提供3种不同的形式来保护通过共有或私有种不同的形式来保护通过共有或私有IP网络来传送的网络来传送的私有数据：认证、数据完整、机密性。私有数据：认证、数据完整、机密性。vIPSec安全体系结构包括了安全体系结构包括了3个最基本的保护形式：认证协议头、个最基本的保护形式：认证协议头、安全加载封装和互联网密钥管理协议。安全加载封装和互联网密钥管理协议。38桂林电子科技大学信息科技学院2.动态密钥交换技术动态密钥交换技术v密钥管理包括密钥确定和密钥分发，网络通信最多需要四个密钥：密钥管理包括密钥确定和密钥分发，网络通信最多需要四个密钥：AH和和ESP各有两个发送和接收密钥。密钥管理包括手工和自动两各有两个发送和接收密钥。密钥管理包括手工和自动两种，手工管理系统在有限的安全需求下可以工作的很好；自动管种，手工管理系统在有限的安全需求下可以工作的很好；自动管理系统使用了动态密钥交换技术，能满足其他所有的应用要求。理系统使用了动态密钥交换技术，能满足其他所有的应用要求。v使用手工管理系统使用手工管理系统，密钥由管理站点确定然后分发给所有的远程，密钥由管理站点确定然后分发给所有的远程用户。真实的密钥可以用随机数字生成器或简单的任意拼凑计算用户。真实的密钥可以用随机数字生成器或简单的任意拼凑计算出来，每一个密钥可以根据集团的安全政策进行修改。出来，每一个密钥可以根据集团的安全政策进行修改。v使用自动管理系统使用自动管理系统，可以动态地确定和分发密钥。自动管理系统，可以动态地确定和分发密钥。自动管理系统具有一个中央控制点，集中的密钥管理者可以令自己更加安全，具有一个中央控制点，集中的密钥管理者可以令自己更加安全，最大限度地发挥最大限度地发挥IPSec的效用。的效用。39桂林电子科技大学信息科技学院 3.VPN复用技术复用技术 VPN复用技术是通过网络地址进行标识路由的复用技术是通过网络地址进行标识路由的，在一个大型，在一个大型虚拟专用网络体系结构里划分出多个独立的虚拟专用网络，实现虚拟专用网络体系结构里划分出多个独立的虚拟专用网络，实现在同一个虚拟专用网络体系中建立多个对立的虚拟专用网通信隧在同一个虚拟专用网络体系中建立多个对立的虚拟专用网通信隧道。其特点如下：道。其特点如下：v支持在一个大型的虚拟专用网络体系结构里划分出多个独立的支持在一个大型的虚拟专用网络体系结构里划分出多个独立的VPN，并，并且在某个虚拟专用网络中还可支持静态的且在某个虚拟专用网络中还可支持静态的VPN和动态的和动态的VPN。v根据网络地址连接表的内容，可以在静态根据网络地址连接表的内容，可以在静态VPN之间自动建立原先没有设之间自动建立原先没有设定的虚拟专用通道。定的虚拟专用通道。v对于连接到同一对于连接到同一VPN网管的两个或多个虚拟专用网络，可以在本来相互网管的两个或多个虚拟专用网络，可以在本来相互隔离的虚拟专用网络之间建立起静态的隔离的虚拟专用网络之间建立起静态的VPN路由，使这种原本不可接的路由，使这种原本不可接的虚拟专用网络实现虚拟专用网络实现VPN通信。通信。40桂林电子科技大学信息科技学院9.7.5 VPN类型类型 VPN分为分为3种类型：远程访问虚拟网（种类型：远程访问虚拟网（Access VPN）、企业内）、企业内部虚拟网（部虚拟网（Intranet VPN）和企业扩展虚拟网（）和企业扩展虚拟网（Extranet VPN）。）。v1.远程访问虚拟网远程访问虚拟网 对于出差流动员工、远程办公人员和远程小办公室，对于出差流动员工、远程办公人员和远程小办公室，Access VPN通通过公用网络与企业的过公用网络与企业的Intrant和和Extranet建立私有的网络连接。建立私有的网络连接。Access VPN的结构有两种类型，一种是用