（通信与信息系统专业论文）基于软管模型虚拟专用网的资源管理.pdf

南京邮l 乜人学硼l 研究生学位论义摘要 摘要 v p n 是一种在公共物理网络上构建专用网络的技术。在研究v p n 的可用模型时，既 要保证优良的服务质量、灵活的构建机制，也要做到通过链路复用来节约成本。软管模型 是n gd u f f i e l d 于9 9 年首次提出的一种v p n 带宽预留模型，它是一种能够实现上述目标 的有效模型。 目前针对v p n 软管模型中带宽预留设计的研究较多，所谓带宽预留其实是一种对带宽 资源的静态管理，是先确定了v p n 业务的业务速率最大值而在业务路径方面寻求最小总 带宽的一种算法。而基于软管v p n 的动态调整带宽方案，则是基于在线测量的业务预测 技术在一定的调整间隔内对v p n 业务所占有的带宽资源进行调整。 本文首先介绍了什么是v p n 以及v p n 的现状和关键技术，其次阐述了软管模型的定 义和实现方案，描述了软管模型的静态预留带宽方案和动态调整带宽方案。然后，本文简 要阐述了实现软管模型中静态带宽预留设计的机制，并用c p l e x 对于多路径的预留方案 进行计算，得到一个最小总带宽。之后本文论述了业务测量和预测的现状，并通过对模拟 的语音业务和数据业务进行采样，采样方式包括周期采样和泊松采样，采样后分别用本地 最大预测算法和高斯算法进行预测。最后，根据预测结果实现对网络链路上的带宽分配调 整，得到在动态调整方式下的平均总带宽，获得更大的带宽节省。 关键词虚拟专用网软管模型带宽预测算法 塑塞墼兰叁兰堡! ：竺塑生兰些堡苎 苎! ! ! ! 苎壁 a b s t r a c t av i r t u a lp r i v a t en e t w o r k ( v p n ) i sak i n do ft e c h n o l o g yt h a tp r o v i d e s p r i v a t ec o n n e c t i o n s o v e re x i s t i n gp u b l i cp h y s i c a ln e t w o r k p r o v i s i o n i n gq u a l i t yo fs e r v i c ea n df l e x i b i l i t y , b u ta l s o s a v i n gc o s tt h r o u g hl i n km u l t i p l e x i n ga l es o m eo ft h em a i ng o a l sw h e ni d e n t i f y i n gs u i t a b l e m o d e l sf o rv p n s + t h eh o s em o d e li si n t r o d u c e di n 9 9b yn gd u f f i e l dw h i c hc a na c h i e v e t h e s eg o a l s t h e r eh a v eb e e nm a n yw o r k st h a tf o c u so np r o v i s i o n i n gv p n ，w h i c hi sas t a t i cm a n a g e m e n t o fb a n d w i d t hr e s e r v a t i o n i tm a k es u r et h ea g g r e g a t eo u t g o i n gt r a f f i ca n da g g r e g a t ei n c o m i n g t r a f f i ca tf i r s t ，t h e nt os e e kt ot h em i n i m a lt r a f f i cb a n d w i d t hr e s e r v a t i o ns c h e m e b u tt or e s i z et h e v p nh o s ed y n a m i c a l l yi sb a s e do nt h em e a s u r e m e n t sa n dp r e d i c t i o no ft r a f f i c ，t h e na d a p tt h e a m o u n to f r e s o u r c e sr e s e r v e df o rv p n t h i st h e s i sf i r s t l yi n t r o d u c e st h ei d e ao fh o s em o d e l ，a n da n a l y s e st h er e a s o n so f c h o o s i n gi t a sb a n d w i d t hr e s e r v a t i o nm o d e li nv p n s t h e n ，e x p a t i a t e sh o wt o c o m p l e t et h ed e s i g no f b a n d w i d t hr e s e r v a t i o ni nh o s em o d e lv p n sw i 血m u l t i p a t hr o u t i n ga n du s ec p l e xt o g e ta m i n i m a lt o t a lb a n d w i d t h ，t h e nt h et h e s i se x p a t i a t et h es a m p l e si n c l u d i n gp e r i o d i cs a m p l i n ga n d p o i s s o ns a m p l i n g ，t h e nu s et h ep r e d i c t i o no ft r a f f i cw h i c hc o n t a i n sl o c a lm a x i m u mp r e d i c t o ra n d l o c a lg a u s s i a np r e d i c t or i ta l s oe x p a t i a t e st h er o u t i n go fd y n a m i c a l l yr e s i z e dv p ni nn e t w o r k a n dh o wt or e s i z et h es h a r eo fb a n d w i d t hr e s e r v a t i o no nl i n k s i nt h ee n d ，b a s e do nt h er e s u l to f s i m u l a t i o na n dm u t i n go nn e t w o r k ，i tc a ng e tan e wa n dl e s s e rm i n i m a lt o t a lb a n d w i d t h k e y w o r d s v p nh o s em o d e lb a n d w i d t hp r e d i c t i o n i l 南京邮电大学 硕士学位论文摘要 学科、专业：工学通信与信息系统 研究方向：网络与应用技术 作 者：二塑级研究生 王晓峰指导教师廑室屋 题目：基于软管模型虚拟专用网的资源管理 英文题目：t h er e s o u r c em a n a g e m e n to fv i r t u a lp r i v a t en e t w o r k b a s e do nh o s em o d e l 主题词： 虚拟专用网软管模型带宽预测算法 k e y w o r d s ： v p nh o s em o d e lb a n d w i d t h p r e d i c t i o n 南京邮电大学学位论文独创性声明 8 5 0 7 5 4 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得南京邮电大学或其它教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示了谢意。 研究生签名：至必日期：2 翌：芏矿 南京邮电大学学位论文使用授权声明 南京邮电大学、中国科学技术信息研究所、国家图书馆有权保留 本人所送交学位论文的复印件和电子文档，可以采用影印、缩印或其 他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一 致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布 ( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权 南京邮电大学研究生部办理。 碱生豁型雌导师始葱垃吼2 盟! f 南京邮 u 人学坝一t ：g f 究生学位论文 前苦 第一章、前言 v p n ( 虚拟专用网) 是一种比较流行的在现有的物理网络上再构建一个专用网络的技 术。i n t e r n e t 由于其遍及性和易接入性而成为一个非常便于构建v p n 的物理网络。本文的 研究课题是：在保证服务质量、保证灵活性的前提下，如何尽可能的减少软管所需要的带 宽资源的优化设计。本文在研究中引入了【l 】中提出的软管模型。 本文的工作主要包括两个大的方面。 一、用c + + 和a m p lc p l e x 实现了v p n 软管模型中多路径下带宽预留的设计。设计过 程主要是在多路径下为软管模型设计出带宽预留方案，并针对实例实现了此方案。 二、利用m a t l a b 数学工具对调整带宽方案进行了计算。所模拟的网络环境是i p 语音 实时业务和数据非实时业务分离的带宽分配。在业务测量技术中，采样方式包括周 期采样和泊松采样两种，预测算法包括取前一个调整间隔内的最大值为预期值的本 地最大算法，以及综合速率平均值和标准差得到预测值的高斯算法。 本文的行文结构如下： 首先，在第二章中介绍了v p n 的起源、框架和优点。介绍了v p n 的实现机制，各种分类 方式。阐述了v p n 的几种关键技术，即隧道技术，数字认证技术，q o s 技术等。 其次，在第三章中引入了v p n 的软管模型，首先阐述了软管模型相对于管道模型的优 势以及在带宽资源方面有很大节省。其次阐述了基于软管v p n 的两种实现方案，一种指 配的v p n 方式( p r o v i s i o n e dv p n ) ；另外一种是动态调整带宽v p n 方式( d y n a m i c a l i yr e s i z e d v p n ) ，是根据前一调整间隔内的采样集合得到下一阶段的预测值，对软管的带宽分配进行 调整的一种方案。 第四章中讨论了v p n 软管模型中带宽预留设计的可行方案，并按照本文给出了撼于 整数规划和基于线性规划的算法，它们在设计带宽预留的过程中用于建立数学模型。然后 在a m p lc p l e x 计算平台上对数学模型进行求解，得出最优的带宽预留方案。 第五章中讨论了动念调整带宽的可行性设计，包括业务测量技术和预测算法。阐述了 南京邮j u 人学硕l 研究生学位论文前l - 各种采样方式之间的优缺点和不同的预测公式。简要介绍了当前网络业务测量的现状。随 后分别对语音业务和数掘业务进行了采样和仿真计算，还对各种设计方案的优劣之处用实 验数据进行了比较。最后阐述了动态调整带宽方案下网络中的路由实现，以及获得总的带 宽。 第六章，对实验过程中的一些发现做了总结，并给出进一步的研究方向。 南京邮l 乜人学倾卜研究生学位论文 v p n 综述 第二章、v p n 综述 2 1v p n 的产生及其前景 随着企业的收购和合并越演越烈，再加上企业自身的发展壮大与国际化，每家企业的 分支机构不仅越来越多，而且他们的网络基础设施互不兼容也更加突出。以前各分支机构 互访采用的常规方法是租用专线，这样的连接方式一则要支付昂贵的通信费用，再则缺乏 灵活性，对于企业地理位置的改变不能很好的适应。随着企业业务和自身应用需求的发展 企业之间的合作与客户之间的联系也日益紧密，并且这些合作和联系都是动态的，总是处 于变化和发展之中的，这种关系也需要靠网络来维持和加强。这样不但带来了网络的复杂 性，还带来了网络的管理和安全性问题。如果仅仅通过公用的因特网( i n t e r n e t ) 是很难 保证其网络安全性的，因为因特网是一个全球性和开放性的、基于t c p i p 、不可管理的国 际互联网络，基于因特网的商务活动就面临信息威胁和安全隐患。如果采用传统的租用专 线，虽然在安全性能方面有足够的保证，但是仍不能从根本上解决企业的实际困难。 在这样的背景下面，一种基于公用网络的动态的、安全的连接方案就成为时代所需， v p n 技术就是这样一种网络连接技术。v p n 的成功引入可以从根本上满足企业用户的低通信 费用和高灵活性的双重要求，更重要的是它可以提供与专用线路相媲美的通信安全保障。 由于v p n 的种种优势，相信在未来的电信市场将会有强有力的竞争优势。 2 2v p n 的组成和优点 首先明确专用网的概念，专用网是一种能够把局域网( l a n ，l o c a la r e an e t w o r k ) 连 接起来的广域网( w a n ，w i d ea r e an e t w o r k ) 技术，一般采用租用线路、帧中继( f r ) 或 a t m 技术。高性能、高速度、高安全性和支持f r 、a t m 和i p 等多种协议是专用网的明显优 势，但专用网的费用也非常昂贵，而且一旦建成，要在专用网上增加新的站点和合作伙伴 以及获得广泛的国际连接都将需要巨大的工程量和资金投入。 南京棚l u 大学_ l i 】圳究生学位论立v p n 综述 第二章、v p n 综述 2 1v p n 的产生及其前景 随着企业的收购和合并越演越烈，再加上企业自身的发展壮大与国际化，每家企业的 分支机构不仅越来越多，而且他们的网络基础设施互不兼容也更加突出。以前各分支机构 互访采用的常规方法是租用专线，这样的连接方式一则要支付昂贵的通信费用，再则缺乏 灵活性，对于企业地理位置的改变不能很好的适应。随着企业业务和白身应用需求的发展 企业之自j 的合作与客户之间的联系也日益紧密，并且这些合作和联系都是动态的，总是处 于变化和发展之中的，这种关系也需要靠网络来维持和加强。这样不但带来了网络的复杂 性，还带来了网络的管理和安全性问题。如果仅仅通过公用的因特网( i n t e r n e t ) 是很难 保证其网络安全性的，因为因特网是一个全球性和丌放性的、基于t c p i p 、不可管理的国 际互联网络，基于因特网的商务活动就面临信息威胁和安全隐患。如果采用传统的租用专 线，虽然在安全性能方面有足够的保证，但是仍不能从根本上解决企业的实际困难。 在这样的背景下面，一种幕于公用网络的动态的、安全的连接方案就成为时代所需， v p n 技术就是这样哥十网络连接技术。v p n 的成功引入可以从根本l ? 满足企业用广的低通信 费用和高灵活性的双重要求，更重要的是它可以提供与专用线路相媲美的通信安全保障。 由于v p n 的种种优势，相信在未来的电信市场将会有强有力的竞争优势。 2 2v p n 的组成和优点 首先明确专用j i j 9 的概念，专用网是一种能够把局域网( l a n ，l o c a la r e an e t w o r k ) 连 接起来的广域网( w a n ，w i d ea r e an e t w o r k ) 技术一般采用租用线路、帧中继( f r ) 或 a t m 技术。高性能、高速度、高安全性和支持f r 、a t m 和i p 等多种协议是专用网的明显优 势，但专用网的费用也非常昂贵，而且一旦建成，要在专用网上增加新的站点和合作伙伴 以及获得广泛的国际连接都将需要巨大的工程量和资金投入。 以及获得广泛的国际连接都将需要巨大的工程量和资金投入。 南京邮l 也人学倾i 研究生学位论文v p n 综述 图2 1 虚拟专用网v p n 而虚拟专用网v p n ( 如图2 1 所示) 是指在公共数据网络上建立的虚拟专用网络，由接 入网和与企业内联网相连的公共数据网组成。并采用加密和认证技术保证数据的安全性。 i e t f 草案是这样描述基于i p 的v p n 的：在i p 设施( 包括公共的i n t e r n e t 或专有的i p 骨 干网) 上对专有广域网设备的仿真【1 4 1 ，即通过隧道技术在公共数据网络上仿真一条点到 点的专线的技术。它综合了传统数据网络的性能优点( 安全和q o s ) 和共享数据网络的结构 优点( 简单和低成本) ，能够提供远程访问、外联网和内联网的连接等服务。企业和公共机 构通过v p n 进行通信，可以在保证数据安全的前提下节约网络的建设和维护成本，为企业 的进一步发展提供了可靠的技术保障。 v p n 网络与专用网络的区别主要在于： 1 采用的传输媒体不一样 整个v p n 网络的任意节点之问的连接没有传统网络建设所需要的点对点的物理连接， 而是构建在公用网络v p n 服务提供商i s p 所提供的网络平台之上的逻辑网络。用户的数据 是通过i s p 在公网上建立的逻辑隧道( t u n n e l ) 上传输的。 2 数据传输和加密方式不一样 v p n 在公用网上要模拟点对点链路，需要重新压缩或封装数据，并加上一个提供路由信 息的报头，该报头能够使通过共享和公用网络截取的数据包解密。封装和加密专用数据之 处的连接是v p n 连接。 3 网络连接的呼叫方式不一样 v p n 网络客户机使用特定的、基于t c p i p 的协议的“隧道协议”，来对虚拟专用网络 服务器的虚拟端口进行依次虚拟呼叫。 4 v p n 网络可以为企业数据提供不同等级的服务质量( q o s ) 保证 5 成本比较低廉和具有可管理性 4 南京邮电大学硕m 册究生学位论文v p n 综述 2 2 1v p n 的优点 虚拟专用网v p n 可以帮助远程用户、公司分支机构、商业伙伴以及供应商等与公司内 部网建立可靠的安全连接，并保证数据的安全传输，给用户带来了诸多好处： 节约成本：这是v p n 网络技术的最为重要的一个优势。不需要专线连接，将数据传输 转移到低成本的公共i p 网上，可以把对远程链路进行安装、配置和管理的任务减少到最小， 并大大降低了企业专用网的设计和建设成本以及通信费用。 安全通信：v p n 主要采用四项技术来保证数据通信的安全，分别是隧道( t u n n e l ) 、加 解密( e n c r y p t i o n d e c r y p t i o n ) 、密钥管理技术( k e ym a n a g e m e n t ) 和身份认证技术 ( a u t h e n t i c a t i o n ) 为v p n 中所有流动的数据( 包括网络应用数据和对等通信协议的数据) 提供一个安全通道，而且可以根据实际需要来选择通道的安全等级。 容易扩展：对于企业而言，企业只需要与新的n s p 签约，建立帐户：或者与原有的n s p 重签合约，扩大服务范围，v p n 用户的增加和删除只是逻辑上的操作，无需专门的物理设备 和连接，便于和企业分支机构和合作伙伴间建立网络连接。 便于管理且完全控制主动权：企业外包v p n 同时又完全掌握着自己网络的控制权。比方 说，企业可以把拨号访问交给i s p 去做，由自己负责用户的认证、网络地址、安全性和网 络变化管理等重要工作。 安全的i p 地址和独立地址分配：因为v p n 是加密的，v p n 数据包在因特网中传输的时 候，因特网上的用户只能看见公用的i p 地址，看不见数据包内包含的专有网地址。因为远 程专用网络上指定的地址是受到保护的。同一台主机可以位于不同的v p n 网络中，它在不 同的v p n 中独立地被分配地址。 q o s 保证：企业可以根据v p n 中应用( 比如i p 电话) 对资源的需求来分配带宽、处理 时延抖动，从而保证对时延敏感的业务或重要的通信享有较高的优先级以及实现多种传输 速率下的捐j 塞控制。 支持多种协议：如i p s e c 、i p i p 、g r e 、m p l s 、i p v 6 、s n h p v 3 等。 支持新兴应用：v p n 支持许多高带宽的多媒体和协作交互式应用，如i p 语音、i p 传真 等。 2 2 2v p n 发展的障碍 由于v p n 技术所具有的诸多优点。使得该业务在全球得到了迅速发展，引起了业界的 普遍关注，成为技术发展的热点。但v p n 的发展也面临一些问题，主要包括： 5 南京邮1 u 人学碗f ：研究生学位论文v p n 综述 目前的v p n 技术还难以保证服务质量：由于q o s 标准的缺乏，即实际采用的具有o o s 能力的基础设施很少，特别是当通信涉及到多个i s p 的基础设施时，很难保证高质量的 i n t e r n e t 连通性和数据安全性。 各厂商的v p n 技术之间还未达到完全的兼容性和互操作性。如对i p s e c 的实现等。 一些v p n 技术，如m p l sv p n 、v p n 的管理流程和平台还有待进一步的发展和完善。 2 3v p n 的实现机制 根据实现v p n 所采用的隧道技术，可以把v p n 的实现分为以下两种类型 1 建立在虚连接( f r a t mp v c ) 基础上的v p n 幽2 2 9 贞中继v p n 这类v p n 是对早期租用专线的企业网络的简单模拟，主要是九十年代采用的。运营模 式：p v c 覆盖在共享基础设施( a t w 帧中继) 之上，雨用户路由( 或桥接) 在用户处实施。 s p 通常只保证虚连接的带宽，而网络的管理和维护由用户负责。由于a t m f r 技术具有面 向连接、唯一性和点到点的特性，因而安全性很高，且具有q o s 保障。与租用专线相比， 这类v p n 易于组建，而且可以利用底层技术的复用，使成本大大降低。但它仍存在租用专 线网络的一些缺点：1 ) 要保证网络的全连通，通常要求p v c 的全连接拓扑；2 ) 增加或删 除一个节点都需要比较复杂的配置。另外还要求用户的所有节点都具有a t m f r 接入能力， 因而网络的扩展性不好。 南京i l t l h l j 大学项i ：t d d z 生学位论文v p n 综述 2 基于隧道技术的v p n 幽2 3 隧道技术的v p n 隧道技术是2 l 世纪实施的v p n ，它是一种通过使用互联网的基础设施在网络之间传递 数据的方式，类似于点对点连接技术。使用隧道传送的数据( 或负载) 可以是不同协议的 数据帧或包。隧道协议将这些协议的数据帧或包重新封装在新的包头中发送。新的包头提 供了路由信息，从而使封装的负载数据能够通过互联网传递。隧道技术包括数据封装、传 输和解包在内的全过程。 采用隧道技术来实现v p n ，可以充分利用全球互联的公共网络基础设旋( 如i n t e r n e t ) ， 成本更为低廉。相对于建立在虚连接( f r a t mp v c ) 基础上的v p n 来说，它的接入方式多 样，接入范围广泛，因而具有较好的可扩展性。比如。一个节点加入v p n 只需将其c p e ( c u s t o m e rp r e m is e se q u i p m e n t ) 接入到最近的s p 接入设备即可，操作变得更为简单。 而且s p 可以提供灵活多样的服务，企业可以把v p n 的配置和管理外包给s p ，从而减轻企 业负担。 2 4v p n 的分类 2 4 1 按服务类型分类 根据用户使用的情况和应用环境的不同特点，v p n 技术大致可分为三种典型的应用方式， 即：企业内联网v p n 、企业外联网v p n 和接入v p n 业务。 ( 1 ) 内部v p n ( i n t r a n e tv p n ) i n t r a n e tv p n 应用即企业的总部与分支机构通过v p n 虚拟网进行网络连接。 ( 2 ) 外部v p n ( e x t r a n e tv p n ) e x t r a n e tv p n 应用主要是将i n t r a n e t 在范围上向外扩展，通过一个使用专用连 7 南京邮i u 人学坝i + 研，t 生学位论义v p n 综述 接的共享基础设施，将若干个企业的i n t r a n e tv p n 结合起来构成一个大的虚拟企 业内部网络，从而为企业与它的业务伙伴提供灵活、安全的连接。例如企业问发生 的收购、兼并或企业的战略联盟，使不同企业通过c n c n e t 构建虚拟专用网。 ( 3 ) 接入v p n ( a c c e s sv p n ) 接入v p n 又称为拨号v p n ( 即v p d n ) ，主要用于企业员工或企业的小分支机构通过 远程拨号的方式构建的虚拟网。a c c e s sv p n 能够使用户随时随地的以所需的方式访 问企业资源，接入方法包括模拟拨号m o d e m 、i s d n 、x d s l 、无线上网和有线电视电缆 的拨号技术。 2 4 2 按照v p n 的应用平台分类 软件平台v p n 【6 】 对数据连接速率要求较低、对性能和安全性要求不强时候，可以利用一些软件公司 提供的完全基于软件的v p n 产品来实现简单的v p n 功能，如c h e c k p o i n ts o f t w a r e 公司的产品，甚至可以不需要另外购置软件，仅依靠微软的w i n d o w s 操作系统。 专用硬件平台v p n 使用专用硬件平台的v p n 设备可以满足企业和个人用户对高数据安全及通信性能的 需求，尤其是加密及数据乱码等对c p u 处理能力要求很高的功能。这类v p n 平台虽 然性能比较高，但是成本太高，对于中、小型企业很难承受；并且由于全部是由硬 件来构成的平台，在管理的灵活性和可管理方面就显得很不尽如人意。 辅助硬件平台v p n 这类v p n 的平台介于软件平台和硬件平台之间，辅助硬件平台的v p n 主要是以现有 网络设备为基础，再添加适当的v p n 软件以实现v p n 的功能。它既具备了硬件平台 的高性能、高安全性，同时具有了软件平台的灵活性，并且可以利用绝大数现有硬 件设备，节省了总体投资。是目前绝大多数企业选用的v p n 方案。 2 4 3 按v p n 的隧道协议分类 ( 1 ) 采用第二层( 链路层) 隧道协议的v p n ，包括p p t p 、l 2 t p 、l 2 f 等，主要用于构建 远程访问v p n 。第二层隧道技术的主要优点在于协议简单，易于加密，特别适宜于 为远程拨号用户接入i pv p n 提供p p p 连接，但是由于会话贯穿整个隧道，并中止在 ) ) ) “ 他 堕塞塑! ! 盔兰塑二! ! ! 塞生兰些笙兰! 型鳖堕 用户网络或r a s 服务器上，所以需要维护大量的p p p 会话连接状态，而i p 隧道造成 p p p 会话超时等问题，加重了系统的负荷，影响传输效率和系统的扩展。 ( 2 ) 第三层( 网络层) 协议，包括m p l s 、i p s e e 等。第三层隧道的可靠性和可扩展性方 面均优于第二层隧道，特别适宜于l a nt ol a n 互联，但是这种方式对于移动用户 没有第二层隧道简单和直接，所以究竟采用第二层隧道技术还是第三层隧道技术取 决于v p n 网关设计的目的。 ( 3 ) 传输层隧道协议，如s s l t l s ，s o c k s v 5 。 2 5v p n 的关键技术 2 5 1 隧道技术 隧道技术简单的说就是：原始报文在a 地进行封装。到达b 地后把封装去掉还原成原 始报文，这样就形成了一条由a 到b 的通信隧道。隧道技术是构建v p n 的基本要素，是一 种通过使用公共网络基础设施在网络之间传递数据的方式。它把某种协议的数据包封装到 其他协议的数据报文中，从而内部数据报文在转发网络中透明。数据包经过的逻辑路径称 为隧道。 在v p n 中，隧道主要有三种作用： 1 )把一个协议封装在另一个协议中，从而在同一个公共i p 网络上可以传输多种 协议； 2 )通过公共互联网来传输私有地址的报文； 3 )保证数据的完整性和机密性。由于m p l s 的数据包转发决策独立于数据包的内 容。因此从这个意义上来说m p l s 也可以看作是一种隧道协议。下面简单讨论 这些协议。 ( 1 ) 点到点隧道协议p p t p ( p o i n tt op o i n tt u n n e l i n gp r o t o c 0 1 ) 1 9 9 6 年，m i c r o s o f t 和a s c e n d 等在p p p 协议的基础上开发了点到点隧道协议p p t p 【7 1 ， 是隧道协议中最常见的协议。p p t p 将p p p 帧封装成为i p 数据报，以便在基于i p 的网 络上传送。p p t p 支持多种网络协议，提供了在i p 网上建立多协议的安全v p n 的通信 方式。它的一个特别好的优点就是它的应用特别简单。p p t p 并不要求交易应用证书服 务器，也不要求任何类型的特定的认证服务器，这使人们可以在远程应用中使用相当 简单的基于同样的w i n d o w s 认证的解决方案。 ! ! 呈业! 查兰坐望壁! ! 兰兰笪丝苎 ! ! 堡堕 ( 2 ) 第二层转发l 2 f ( l a y e r2f o r w a r d i n g ) 协议 l 2 f 【8 】由c i s c o 公司提出，是一种可以在多种介质( 如a t m 、帧中继、i p ) 上建立 多协议的安全v p n 的通信方式。l 2 f 支持拨号接入服务器，将拨号数据流封装在p p p 帧内，通过广域网链路传送到l 2 f 服务器( 路由器) 。l 2 f 服务器把数据包解包后重新 注入网络。与p p t p 和l 2 t p 不同的是，l 2 t p 没有确定的客户方，并且只在强制隧道中 有用。l 2 f 需要有路由器和服务器的硬件配合实施，所咀利用l 2 f 实现v p n 必须有能 够支持该标准的硬件设备，尽管能达到一定的安全性，但灵活性很差。 ( 3 ) 第二层隧道协议l 2 t p ( l a y e r2t u n n e l i n gp r o t o c 0 1 ) 根据i e t f 提供的设计标准协议的建议，微软和c i s c o 设计了第二层隧道协议l 2 t p ( l a y e r2t u n n e l i n gp r o t o c 0 1 ) 。l 2 t p 结合了p p t p 和l 2 f 的优点【9 】，很快成为 i e t f 第二层隧道协议的工业标准。l 2 t p 主要由接入集中器l a c ( l 2 t pa c c e s s c o n c e n t r a t o r ) 和网络服务器l n s ( l 2 t pn e t w o r ks e r v e r ) 构成。l 2 t p 还具有灵活 的身份验证机制。可以选择多种身份验证机制( c h a p 、p a p 等) ，以及对隧道端点进行 验证。p p t p 只能在两个端点之间建立单一的隧道，而l 2 t p 支持在两端点间使用多隧 道，并且用户可以针对不同的服务质量创建不同的隧道。此外l 2 t p 还可以提供包头 压缩。 ( 4 ) 通用路由封装g r e ( g e n e r i cr o u t i n ge n c a p s u l a t i o n ) 协议【3 0 i g r e 主要用于源路由和终路由之间所形成的隧道。例如，将通过隧道的报文用一个瓶 的报文头( g r e 报文头) 进行封装然后带着隧道终点地址放入隧道中。当报文到达隧 道终点时，g r e 报文头被剥掉，继续原始报文的目标地址进行寻址。g r e 隧道通常是 点到点的，即隧道只有一个源地址和一个终地址。然而也有一些实现允许点到多点， 即一个源地址对多个终地址。这时候就要和( n e x t h o pr o u t i n gp r o t o c o l ，n h r p ) 即下一跳路由协议结合使用。n h r p 主要是为了在路由之间建立捷径。g r e 隧道技术是 用在路由器中的，可以满足e x t r a n e tv p n 以及i n t r a n e tv p n 的需求。但是在远程访 问v p n 中，多数用户是采用拨号上网。这时可以通过l 2 t p 和p p t p 来加以解决。 ( 5 ) 多协议标记交换m p l s ( m u l t i p r o t o c o ll a b e ls w i t c h i n g ) m p l s 是一种利用标记引导数据高速高效转发的新技术，能够在一个无连接网络中引入 连接模式的特性，结合了第二层快速交换技术( a t m 、f r 和e t h e r n e t ) 和第三层i p 路由技术的优势，实现了控制( 即选路) 和转发的完全分离【3 1 】。m p l s 建立在标 南京邮u 人学硕 。研，c 生学位论文v p n 综述 签交换”概念的基础之上，入口边缘标记交换路由器( l e r ，l a b e le d g er o u t e r ) 为进 入m p l s 域的i p 数据包分配一个2 0 b i t 的短标记( 只在一跳链路上具有本地效力) ， 根据o o s 要求将各个i p 数据包映射为不同的转发等价类( f e c ，f o r w a r d i n g e q u iv a l e n c ec l a s s ) 。然后沿着标记交换路径( l s p ，l a b e ls w i t c hp a t h ) 通过对 标记的交换来实现i p 数据包的转发。 基于m p l s 的v p n 主要具有以下优点： 网络逻辑拓扑结构的复杂性与v p n 用户数目无关，解决了v p n 组网存在的n 2 问题，提 高了业务平台的升级能力，适用于组建大型v p n 网络。 采用标记堆栈技术和动态寻路机制，众多不同的v p n 用户可以通过隧道复用( 顶层标 记用来在骨干网进行交换，底层标记用来标记不同的v p n ) 来共用一个v p n 骨干网络拓扑， 只需调整本地v p n 接入，无需全程调整v p n 网络拓扑即可实现v p n 用户的增加或删减，具 有良好的可扩展性。 v p n 用户可以沿用原有的私有地址，不需要做任何修改，在骨干网采用v p n i d 可以保 持全网的唯一性。 在传送中继上采用m p l s 技术，有利于在无连接的互联网环境中为用户提供具有端到端 o o s 保证的服务。 ( 6 ) s o c k sv 5 和s s l t l s s o c k sv 5 和s s l t l s 都是工作在t c p i p 协议栈的传输层。s o c k sv 5 由n e c 公司开发， 是建立在t c p 层上需要认证的安全协议。其优势在于访问控制，可以为与特定t c p 端 口相连的应用建立特定的隧道。用s o c k sv 5 的代理服务器可以隐藏网络地址结构。 当s o c k sv 5 和防火墙结合起来使用时，代理服务器可以过滤来自防火墙端e i 的数据 包从而弥补防火墙存在的漏洞。另外，s o c k sv 5 还能为认证、加密和密钥管理提供 “插件”模块，用户可以自出选择他们所需要的技术。s o c k sv 5 通过代理服务器来增 加一层安全性，尽管它比网络层和链路层的方案要更安全，但其性能往往比低层协议 差，而且还要制定比低层协议更为复杂的安全管理策略。 2 5 2 认证技术 认证技术主要解决网络通信过程中通信双方的身份认可，认证过程通常涉及到加密和 密钥交换1 6 。在v p n 中，当隧道连接两个v p n 网关时，需要验证这两个网关的身份：当 隧道连接个v p n 客户机和一个v p n 网关时，必须验证远程访问客户和v p n 网关的身份。 v p n 中采用的身份认证方法有：口令身份验证协议( p a p ) 、询问握手身份验证协议( c h a p ) 、 1 i 查皇! ! ! ! ! ! 坚叁兰堡：! 堕壅圭兰笪笙兰! ! 型箜垄 s h i v a 密码身份验证协议( s p a p ) 、m i c r o s o f t 询问握手身份验证协议( m s - c h a p ) 和远程访问 拨号接入用户服务( r a d i u s ) 以及可选的可扩展身份验证协议( e a p ) 。另外，数字签名技 术目前也很流行，它可以作为验证发送者身份和消息完整性的依据。 2 5 3 数据安全技术 数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息，使非受 权者不能了解被保护信息的内容。加密技术可以在协议栈的任意层进行：可以对数据或报 文头进行加密。在网络层中的加密标准是i p s e c 。网络层加密实现的最安全方法是在主机 的端到端进行。另一个选择是“隧道模式”：加密只在路由器中进行，而终端与第一跳路 由之间不加密。这种方法不太安全，因为数据从终端系统到第一条路由时可能被截取而危 及数据安全。终端到终端的加密方案中，v p n 安全粒度达到个人终端系统的标准；而“隧 道模式”方案，v p n 安全粒度只达到子网标准。 由于v p n 使用共享的基础网络设施来传输数据，数据在传输过程中有可能被截取或修 改，因此数据安全性在v p n 中显得尤为重要。在v p n 中主要利用加密技术来保证数据安全 性。加密技术大致可以分为三类【18 】： 对称( s y m m e t r i c ) 型加密。就是使用相同的共享密钥( s e s s i o nk e y ) 进行加密和解 密，如d e s ( d a t ae n c r y p t i o ns t a n d a r d ) 、3 d e s 、a e s ( a d v a n c e de n c r y p t i o ns t a n d a r d ) 等。其特点是计算量小，加密效率高，但密钥管理困难，不容易保证安全性。 非对称( a s y m m e t r i c ) 型加密。就是使用不同的密钥( 公钥和私钥) 进行加密和解密， 他们必须配对使用，否则不能打开加密文件。公钥可以对外公布，私钥则只有持有人知道。 典型的非对称加密有著名的r s a ( r i v e s t s h a m i r a d l e m a n ) 算法。r s a 算法的主要思想是 基于对一个很大的数进行质因数分解的复杂性。简单地说就是找两个很大的质数，一个作 为公钥，一个作为私钥，这两个密钥是互补的，即公钥私钥加密的密文可以用私钥公钥 解密。 不可逆型加密。加密过程不需要密钥，且经过加密的数据无法被解密，只有同样的输 入数据经过同样的不可逆加密算法爿+ 能得到相同的加密数据，如m d 5 ( m e s s a g e d i g e s t a l g o r i t h m5 ) 算法和s h s ( s e c u r eh a s hs t a n d a r d ) 算法。不可逆加密算法不存在密钥保 管和分发问题，适用于分布式网络系统，但其加密计算工作量很大，所以通常用于数据量 有限的情况。 南京邮i u 人学坝i ：4 i ) d 7 生学位论史v p n 综述 2 5 4o o s 技术 通过隧道技术和加密技术，已经能够建立起一个具有安全性、互操作性的v p n 。但是 该v p n 性能上不稳定，管理上不能满足企业的要求，这就要加入q o s 技术。q o s 是指服务 质量，也是数据流通过网络时的性能。它有一套度量指标，包括业务可用性、延迟、吞吐 量和丢包率。业务可用性即用户到业务之间连接的可靠性，延迟是两个参照点之间发送和 接收数据包的时间间隔，吞吐量是网络中发送数据包的速率，可以用平均速率或者峰值速 率来表示；丢包率是数据包丢失的比率。 i e t f 已经建议了很多服务模型和机制，以满足o o s 的需求【2 2 】。其中比较有名的有： 综合业务模型( i nl s e t v ) ，区分业务模型( d i f f s e f v ) 。多协议标记交换( m p l s ) 和流量 上程等。 综合! 世务的特点足资源预留，实时应用在传输数据前必须首先建立通道和预留资源。 r s v p 是用来建立通道和预留资源的协议。在区别型业务中，把包加以标记，产生不同的 级别，每个级别的包得到不同的服务级别。m p i s 是一种前向转发策略，在进入m p i ，s 作用 域时给包赋予一定的标签，随后包的分类、转发和服务都将基于标签完成。流量1 二辊是 种安排通信流量如何通过网络的过程。我们主要讨论一下综合业务模型和区分业务模 型。 综合业务模型( i n t s e r v ：i n t e g r a t e ds e r v i c e ) 的基本思想是“所：胃的流相关状态 信息应该是在端系统| j ”，它基于每个流( 椎个的或是汇聚的) 提供端到端的保证或是受 拧负载的服务( c o n t r o l 。d 二l o a ds e r v i c e ) 。i n t s e r v 框架使i p 网能够提供具有q o s 的 传输，以用于对q o s 要求较为f 1 ”格的实时业务( 声音视频) 。 在i n t s e r v 流中，定义了三种类型的_ k 务，即： 保证业务( g u a r a n t e e d s e r v i c e ，g s ) ：对于g s 业务流的最大时延是受到控制的，路由 上的任何时延都会影响最大排队时延。 受控负载业务( c o n t r o l l e d l o a d s e r v i c e ，c l s ) ：c l