1. MPLS, IPSec VPN
2. 专线+VPN双链路冗余
3. SNAT屏蔽掉内网服务器
4. 软NAT
5. 双路BGP接入
6. 两地三中心的容灾
7. vRouter和VPC的关系
8. Amazon VPC internet网关
===============================================
1. MPLS, IPSec VPN
========================================
MPLS VPN
MPLS VPN是指采用MPLS(多协议标记转换)技术在骨干在宽带IP网络上构建企业IP专网,实现跨地域,安全,高速,可靠的数据,语音,图像多业务通信,并 结合差别服务,流量工程等相关技术,将公众网可靠的性能,良好的扩展性,丰富的功能与专用网的安全,灵活和高效结合在一起。
MPLS VPN的网络采用标签交换,一个标签对应一个用户数据流,非常易于用户间数据的隔离,利用区分服务体系可以轻易地解决困扰传统IP网络的 QoS/CoS问题,MPLS自身提供流量工程的能力,可以最大限度地优化配置网络资源,自动快速修复网络故障,提供高可用性和高可靠性。MPLS提供了 电信、计算机、有线电视网络三网融合的基础,除了ATM,是目前唯一可以提供高质量的数据、语音和视频相融合的多业务传送、包交换的网络平台。因此基于 MPLS技术的MPLS VPN,在灵活 性、扩展性、安全性各个方面是当前技术最先进的VPN。此外,MPLS VPN提供灵活的策略控制,可以满足不同用户的特殊要求,快速实现增值服务 (VAS),在带宽价格比、性能价格比上,相比其他广域VPN也具有较大的优势。
对于企业来说,MPLS VPN只是信息化的基础部分,不是每个企业都会用到的,只有在企业有了一定的规模,有了两个或者两个以上的分支机构,而且这些机构是跨区域性的,也就是总 部和两个分支机构基本上是属于不同的城市,超出了城域网的范畴,加上企业本身要集中管理,统一管理企业的,人,财,物,供应链,市场,等等,所以需要将总 部和分支机构有效互联,搭建一个统一的网络平台,为以后的信息化做好生命线工程。
==============================================
IPSec VPN
指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为 Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
导入IPSEC协议,原因有2个,一个是原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭 入线路,即可分析所有的通讯数据。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能。另外一个原因,是因为Internet迅速发展,接 入越来越方便,很多客户希望能够利用这种上网的带宽,实现异地网络的的互连通。
IPSEC协议通过包封装技术,能够利用Internet可路由的地址,封装内部网络的IP地址,实现异地网络的互通。
==============================================
MPLS VPN和IPSec VPN的比较
参考:http://bbs.51cto.com/thread-873946-1.html
2. 专线和VPN双链路冗余
=============================================
网络专线笼统来说,网络专线就是为某个机构拉一条独立的网线,也就是一个独立的局域网,例如军事,银行等,让用户的数据传输变得可靠可信,专线的优点就是安全性好,QoS 可以得到保证。不过,专线租用价格也相对比较高,而且管理也需要专业人员。
网络专线主要有两种信道
1。物理专用信道。物理专用信道就是在服务商到用户之间铺设有一条专用的线路,线路只给用户独立使用,其他的数据不能进入此线路,而一般的线路就允许多用户共享信道;
2。虚拟专用信道;虚拟专用信道就是在一般的信道上为用户保留一定的带宽,使用户可以独享这部分带宽,就像在公用信道上又开了一个通道,只让相应用户使用,而且用户的数据是加密的,以此来保证可靠性与安全性;
3. SNAT屏蔽掉内网服务器
===================================================
SNAT,是源地址转换,其作用是将ip数据包的源地址转换成另外一个地址。
SNAT,可能有人觉得奇怪,好好的为什么要进行ip地址转换啊,为了弄懂这个问题,我们要看一下局域网用户上公网的原理,假设内网主机A(192.168.2.8)要和外网主机B(61.132.62.131)通信,A向B发出IP数据包,如果没有SNAT对A主机进行源地址转换,A与B主机的通讯会不正常中断,因为当路由器将内网的数据包发到公网IP后,公网IP会给你的私网IP回数据包,这时,公网IP根本就无法知道你的私网IP应该如何走了。所以问它上一级路由器,当然这是肯定的,因为从公网上根本就无法看到私网IP,因此你无法给他通信。为了实现数据包的正确发送及返回,网关必须将A的址转换为一个合法的公网地址,同时为了以后B主机能将数据包发送给A,这个合法的公网地址必须是网关的外网地址,如果是其它公网地址的话,B会把数据包发送到其它网关,而不是A主机所在的网关,A将收不到B发过来的数据包,所以内网主机要上公网就必须要有合法的公网地址,而得到这个地址的方法就是让网关进行SNAT(源地址转换),将内网地址转换成公网址(一般是网关的外部地址),所以大家经常会看到为了让内网用户上公网,我们必须在routeros的firewall中设置snat,俗称IP地址欺骗或伪装(masquerade)
如何区分SNAT和DNAT
从定义来讲它们一个是源地址转换,一个是目标地址转换。都是地址转换的功能,将私有地址转换为公网地址。
要区分这两个功能可以简单的由连接发起者是谁来区分:
内部地址要访问公网上的服务时(如web访问),内部地址会主动发起连接,由路由器或者防火墙上的网关对内部地址做个地址转换,将内部地址的私有IP转换为公网的公有IP,网关的这个地址转换称为SNAT,主要用于内部共享IP访问外部。
当内部需要提供对外服务时(如对外发布web网站),外部地址发起主动连 接,由路由器或者防火墙上的网关接收这个连接,然后将连接转换到内部,此过程是由带有公网IP的网关替代内部服务来接收外部的连接,然后在内部做地址转 换,此转换称为DNAT,主要用于内部服务对外发布。
在配置防火墙或者路由acl策略时要注意这两个NAT一定不能混淆。
4. 软NAT
==========================================================
5. 双路BGP接入
==========================================================
6. 两地三中心的容灾
===================================================
两地三中心即生产数据中心,同城灾备中心和异地灾备中心。