（通信与信息系统专业论文）mpls+vpn研究与实现.pdf

北京邮电大学硕士研究生论文 m p l sv p n 研究与实现 m p l sv p n 研究与实现 摘要 随着信息化进程的快速发展，企业内网已经成为许多企业必不可 少的组成部分之一。m p l s 技术从上世纪九十年代中后期兴起，在 2 0 0 0 年后才逐渐开始了大规模的商用。由于m p l s 技术的基于短标 记的快速交换机制以及其对q o s 的支持，世界各国的网络服务提供 商纷纷建设自己的m p l s 网络，为用户提供m p l sv p n 服务。 本文首先将基于r f c 2 5 4 7 的3 层m p l sv p n 与现有v p n 技术 如f rv p n 、a t mv p n 、v p d n 以及i p s e cv p n 进行比较分析，通过 ， 对相应的基本原理、网络结构、网络互联以及相关特点进行总结，指 出了m p l sv p n 相对于其他v p n 技术的优势所在。 其次，本文提供了一种c o s 规划的方案，以实现m p l s 网络中 的q o s ，同时为了解决跨域互联中如何保证q o s ，本文也提供了相应 的解决方案，并通过实际的跨域互联测试进行了验证。 最后，接入解决方案m p l sv p n 实现中非常重要的步骤，本文 通过对现有的网络接入技术进行实例总结，并扩展到通过3 g 宽带移 动通信进行接入的研究；在分析的基础上，结合网络功能、网络规模 以及经济性等因素，对企业的v p n 站点提出了分类规划方案。从而 针对企业用户，提出并实现了一个全面的m p l sv p n 解决方案。 关键词多协议标记交换自治域边界路由器虚拟专网i p s e c m p l sv p n 北京邮电人学硕i j 研究生论文 m p l sv p n 研究与实现 r e s e a r c ha n di m p l e m e n t a t i o nf o rm p l sv p n a b s t r a c t i nr e c e n ty e a r e s ，t h ei n t e m a ln e c w o r k sh a v eb e c o m ek e yc o m p o n e n t s o fi n 仔a s t m c t u r e so fm a n yc o m p a n i e s m p l sd e v e l o p e di nt h em i d l a t e 9 0 so fl a s tc e n t u 巧，w a su s e dc o m m e r i c a l l ya r e r2 0 0 0 、m my e a r s d e v e l o p m e n t s ，m p l sv p nh a sp i a y e da j li m p o r t a n tr o l ei i lt h et e l e c o m m a r k e td u et oi t sq u i c ks h o r tl a b e ls w i t c h i n gt e c l l i q u ea n ds u p p o n i n g q o s m o s tc a 币e r si nt h e 、帕r l du s em em p l sn e 附o r kt op r o v i d e s e r v i c et ot h e i rc u s t o m e r s t h i st h e s i sa t b e g i r u l i n gc o m p a r e sr f c 2 5 4 7b a s e dm p l sv p nw i t h o t h e r ) nt e c h n i q u e ss u c h 弱f rv p n ，a t m ) n ，v p d na 1 1 di p s e c b y a n a l y z i n gt h eb a u s i ct h e o n e t w o r ks t n l c t u r e ，n e t w o r ki n t e r c o n n e c t i o n a n ds u m m a r i z i n gt h ef e a m r e s ，i td i s c o v e r sm ea d v a n t a g e so fm p l s v p n t h i st h e s i st h e np r o v i d e sac o ss c h e m et or e a l i z eq o si nm p l s n e 觚o r k ，a n da l s op r o v i d e sas o l u t i o nf o r h o wt og u 扰m t e et h ee n dt oe n d q o sw h e nm p l s v p n r u i u l i n ga c c r o s sd i 能r e n ta s nn e t w o r k s ，a n d i t w a sv e f i e db yat e s t b ya n a l y s i s f o rm a n ya c t u a lm p l sv p n s ，i t p r o v i d e s a p r o 鲈a m m i n gs c h e m ef o rv p ns i t e sb 鼹e do n 也e 如n c t i o n ，s c a l ea n d 1 1 e c o n o m i ci s s u eo ft h es i t e s a c c e s ss o l u t i o ni sa l s oa ni m p o r t a n tp a r to f m p l sv p n ，t h i st h e s i sp r o v i d e sat o t a ls 0 1 u t i o nf o rh o wt ob u i l da a 1 1 a i 。o u n dm p l sv p nb ys u m m a r i z i n gp r - e s e n ta c c e s st e c h n o l o g i e sa n d e x t e n d i n gt o3 gb t o a d b a n dm o b i l en e t w o r k k e yw o r d s ：m p l sa s b rv p ni p s e cm p l sv p n 北京邮电大学硕j ：研究生论文 m p l sv p n 彤f 究与妻- 见 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的 研究成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外， 论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮 电大学或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志 对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名： 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定， 即：研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学 校有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论 文被查阅和借阅；学校可以公布学位论文的全部或部分内容，可以允许采用 影印、缩印或其它复制手段保存、汇编学位论文。( 保密的学位论文在解密 后遵守此规定) 非保密论文注释：本学位论文不属于保密范围，适用本授权书。 本人签名： 导师签名：兰鱼 -卞 吼翻二止之： 日期：鲨! ：! ：丝 北京邮电大学硕l j 研究生论文 m p l sv p n 研究与实现 1 1 研究背景 第一章绪论 随着电信技术和业务的飞速发展，以及企业信息化浪潮的席卷，无论是电 信网络服务提供商还是各个企业内部的i t ( i n f o n n a t i o nt e c h n 0 1 0 9 y ) 部门，尤 其是那些跨国、跨地域的分布式企业的1 1 r 部门都在考虑如何建立企业内网，即 企业自己的，n ( n u a lp r i v a t en e t 、o r k ) ，以保证企业内部信息能够安全、及时 有效地在公司内部传递，为企业的发展提供积极的推动作用。 n 通常是指在公用网络平台上构筑不受地域限制而受企业统一策略控制 和管理的企业网络【l l 。这里的公用网络平台是指由公众网络服务提供商提供的 网络，比如互联网、f r ( f r 卸m er e l a y ) 网络、a t m ( a s y n c h r o r l 0 邺t r 锄s f hm o d e ) 网络、m p l s ( m u l 石p r o t o c o ll a b e ls w i t c l 曲曲网络等等。其实可以把其理解为借 助公众网络服务提供商的网络或线路资源而构建的一个为特定群体服务的封闭 网络。 根据v 】 n 所基于的技术和网络的不同，以及产生的时间点，常见的埘 有f 嗍mv _ p 2 1 、s e c ( i i l t e n l e tp r o t o c o ls e c u r i t y ) n 【3 1 、d n ( v i m l a l p r i v a t ed i a ln e t 、) i r o r k ) 1 4 】、m p l s n 【5 】等。而作为当前主流技术的m p l s 正逐 渐取代传统的类似于f 刚a 1 r m ) n 等专线 n ，成为企业) n 建立的主流广 域网技术。 m p l s 是一种采用标准分组处理方式对第3 层的分组进行转发，采用标记 交换对第二层分组进行交换的技术。它是在c i s c 0 公司所提出来的t a gs 诵t c l l i n g 技术基础上发展起来的。它是一种结合第二层和第三层的快速交换技术。其核 心思想是边缘路由，核心交换。【l 】l s 技术所具有的快速交换、面向连接以 及对q o s 的支持，以及其扩展性强，性价比更好的特点促使该技术有了广泛的 应用和不断发展。 现在m p l s 不仅是网络服务提供商发展的重点，而且也是很多企业用户在 组建自己企业内部网络的主要选择技术，可见脚l s n 受到了越来越多的关 注和重视。 基于l 心c2 5 4 7 【6 】的m p l s p n 作为i p p n 的一种，也是一种基于专线接 入的v p n 组网方式【2 1 ，由于专线接入比基于公众互联网的i p s e c 在线路传输性 能上更有保证，而比其他专线接入的) n 组网技术，比f r 锄er e l a y ，a t m 在 扩展性，q o s 方面以及经济性上更有先天的优势，这也决定了它为什么是现在 北京邮i u 人学硕i ：研究生论文m p l s v p n 研究o j 实现 人们关注和推崇的p n 技术焦点。但是如何为企业提供合适的v p n 规划和解 决方案是长期以来一直困扰网络服务商和企业用户的棘手问题。因为不同企业 用户在企业规模、分布地域、应用类型、带宽需求及经济承受能力千差万别。 所以如何设计和规划企业用户v 】) n 各站点的网络结构也是网络服务提供商在 为客户提供m p l s n 解决方案和网络实现中很重要的一部分。 1 2 论文的主要研究内容 本论文所研究的主要对象是基于l 讧c2 5 4 7 的m p l sv p n 。为了保证m p l s v p n 端到端的q o s ，整个m p l s 网络全网的c o s 设置策略是非常重要的，根据 用户实际应用的分类以及考虑到网络实际操作和维护的有效性，本文提供了一 种c o s 规划的方案，以满足对q o s 的支持；同时为了解决跨域互联中如何保证 q o s ，本文也提供了相应的解决方案。并通过实际的跨域互联测试，验证了 d s c p 口p r e c e d 饥c c 在不同网络服务提供商的m p l s 网络中透传的可行性，从 而可以为跨域互联的m p l sv p n 提供端到端的设计并保证端到端的q o s 。 同时为了给企业客户提供更为合适m p l sv p n 的解决方案，通过对大量实 际的客户案例分析，综合考虑企业用户各分支机构的规模、重要性以及应用类 型等方面的因素，并考虑在网络上的成本投入，本文提出了几种不同的p n 站 点规划方案。同时结合现有的网络资源和客户对v p n 网络在使用中的实际需 求，提出m p l s p n 的整体解决方案。 1 3 论文章节结构 本文的章节结构安排如下： 第二章，从v p n 的分类和发展的角度，介绍了 n 发展过程中的几种v p n ， 包括f r n ，a t m n ，口s e c 以及m p l sv p n ，并总结比较了不同方案的 优缺点； 第三章，首先概述了m p l s 及其交换原理。通过对m p l s 网络的分析，总 结了m p l sv 】，n 的优势所在。然后讨论了m p l s 网络服务提供商如何通过跨 域c o s 的映射来实现m p l s 网络和业务的扩展以及如何去实现m p l s ，n 的 接入从而建立起自己的) n 网络； 第四章，通过结合现有网络资源并结合用户的需求和用户自身的实际状况， 提出了四种不同类型的企业悄站点规划方案： 第五章，对全文进行了总结，并简单论述了m p l sv 1 ) n 的现状和发展趋势。 北京邮电人学硕一j ：研究生论文 m p l sv p n 研究与实现 第二章v p n 概述及其实现技术比较 2 1v p n 产生的背景 v p n 通常是指在公用网络平台上构筑不受地域限制而受企业统一策略控制 和管理的企业网络，一般利用隧道、加密等技术来满足客户的私密性需求，v p n 其实是在公众网络上叠加的一个逻辑网络，可以把其理解为借助公众网络服务 提供商的网络或线路资源而构建的一个为特定群体服务的封闭网络。根据v p n 所基于的技术和网络的不同，常见的v p n 有f 刚触r m v p n ，m p l s v p n ，p s e c n 等。从o s l 分层模型的角度来考虑，这些) n 有可以分为2 层) n 和3 层v p n ，f r 删v p n 属于2 层v p n ，而i p s e cv p n 和m p l sv p n 则属于3 层v p n 【3 1 0 由于，n 网络与其他网络的隔离性，保证了其具有良好的私秘性，这样在 企业完成企内部业办公电子化的进程中，可以保证企业内部商业机密的安全性， 再加上信息电子化后所提供的信息及时准确的传递，可以极大地提高企业的工 作效率，因此受到了企业客户的关注并逐步使用。随着通信技术的发展，以及 客户内部需求的不断变化，v p n 的技术也是在逐渐发展变化的，下面将通过对 常用，n 技术的分析和比较来了解v p n 技术的发展趋势。 2 2 p n 技术的分析与比较 2 2 1f r v p n f r n 是依靠网络服务提供商的f r 网络来实现的，通过网络服务提供商 给不同的用户建立相互隔离的p v c ( p e 咖锄e n t m l a lc i r c u i t ) 来构建的。f r 也 被称作快速分组交换，作为一种广域网技术，从2 0 世纪9 0 年代问世以来，就 成为当时主流的，n 技术。它在链路层上用简化的方法传送和交换数据单元， 用户信息以帧为单位进行传输，并对用户信息流进行统计复用，链路层以上协 议则在用户终端设备上执行。其相关标准有a n s i ，丌u 和帧中继论坛标准。 帧中继突发特性可以使客户利用网络空闲资源满足日常峰值数据流量的传 送，尤其适合客户局域网之间互连。同时帧中继协议简化了x 2 5 的第二层功 能，使网络节点的处理大大简化，提高了网络对信息处理的效率；同时，f r 在 链路层完成统计复用、帧透明传输和差错检测，但不提供发现差错后的重传操 北京邮电人学硕f ：研究生论文m p l sv p n 研究与实现 作，省去了帧编号、流量控制、应答和监视等机制，大大节省了交换机的开销， 提高了网络吞吐量、降低通信时延。由于帧中继传送信息所使用的传输链路是 逻辑连接，而不是物理连接，在一个物理连接上可以复用多个逻辑连接，这种 机理可以实现带宽的统计复用和按需分配，有效的利用了带宽。f r 提供了一套 合理的带宽管理和防止阻塞的机制，用户可以有效的利用预先约定的带宽，即 承诺的信息速率( c 瓜) ，并且还允许用户的突发数据占用未预定的带宽，以提 高整个网络的资源利用率。 对于f rv p n 客户，客户端设备通常可使用多种物理接口( v 3 5 ，g 7 0 3e l ， g 7 0 3c e l ) ，接入速率选择：从6 4 l b p s 至2 m b p s ；通过c 瓜和e i r 来实现可 传递速率的保证和突发流量的设定。 从上面的介绍可以看出f rv p n 通常只支持2 m 及2 m 以下的接入速率， 同时无法对用户的不同应用进行q o s 管理。由于a t m 能解决上述问题，因此 在需要这些要求的时候，人们又开始了触r m 悄的使用。 2 2 - 2a t m v p n 御r mv p n 就是依托网络服务提供商提供的a 删p v c 来实现企业各站点间 的相互通信，并通过路由技术实现了站点间的通信而建起来的v p n 。其实a t m n 和f r ，n 在组网形式上没有本质的区别。a t m 是通过用v p i ，v c i 来标 识的p v c 来建立连接的通道的，而f r 则是通过d l c i 来实现的。 触m 与帧中继具有相同的目标客户群，帧中继作为一种快速分组技术，非 常适用于处理突发性信息和可变长度帧的信息，特别适用于局域网的互连；a t m 交换技术是一种融合了电路交换方式和分组交换方式优点而形成的新型交换技 术，对于每一种c o s ( c l 弱so fs e 州c e ：服务等级) ，它都通过时延、抖动和丢 包率规定了相应的服务质量，以满足数据、语音和视频等不同业务的传输要求。 当用户需要大带宽的接入或需要不同的服务质量等级时，则用a t m 来代替f r 。 对于a t m p n 客户，客户端设备通常可使用下列多种物理接口( v 3 5 ， g 7 0 3a t m e l 、a 1 口d s 3 ，a 1 n o c 3 ) ，接入速率选择：从2 m b p s 到1 5 5 m b p s ； 同时为了支持不用的应用服务，a t m 网络可提供多种服务类别可供选择，包括 c b r ( c o i 坞t a n tb i tr a t e ) ，v b r i u ( v 撕a b l eb i tr a t e - r e 甜t i m e ) 、v b r n i n m r i a b l eb i tr a t e - n r e a lt i i n e ) ，u b r ( u i l s p e c i f i e db i tr a t e ) 和a b r 等几类业务 【4 】。可以很好的支持语音、视频和数据应用。下面对这几类服务进行简单阐述。 2 2 2 1c b r 服务 a t mc b r 业务是所有删业务种类中性能最好的，因为c b r 业务保证 北京邮i 乜人学顾 ：研究生论文m p l sv p n 研究o j 实现 了数据的吞吐量和时延。相比专线，它是经济有效的替代方案，可以充分支持 语音，视频和数据应用。 c b r 服务类似虚拟专线服务， 具有专线和管理型带宽服务的主要特性。 如固定的专用带宽，不管客户是否使用都有一个固定比特速率的带宽，低延时， 可用性高等，是语音，视频和对时延敏感的应用和关键业务的理想选择。 和专线服务相比，c b r 业务最大的好处在于平滑的带宽增加，不象专线那 样，当带宽需要从2 m 升级到3 4 m b p s 或从1 5 m 升级到4 5 m b p s 时，需要大量 的投资。客户可根据自身业务的需求平滑的升级带宽。这是一种比专线服务更 加经济有效的解决方案。 在c b r 服务中，客户根据p c r ( p e a l 【c e l lr a t e ) 速率定购带宽，因为c b r 服务中没有流量突发的概念，所以对于c b r 服务来说没有突发选项。p c r 速 率不能大于接入电路速率。 2 2 2 2n r t r 和r t - v b r 服务 n r t - j r 服务和帧中继类似，有传输时延保证，它具有f r 服务的所有主 要特性，比如平均可用带宽和流量突发以及高可靠性。不管客户是否使用，平 均可用带宽到在网络中为客户做了预留。 r t - r 服务具有和n r t v b r 服务一样的特性，但是有更高的优先级。 r t - 3 r 服务有更高的传输时延保证，能更好的保证应用的时延和时延变化， 适合更高优先级、对时延和时延变化敏感的突发流量，如视频流量。n i m r 适合于突发的数据应用，适合于经常需要快速据传输的数据业务( 比如电子邮 件，h t 峪n o t 懿数据库访问，w e b 服务器等) 。 朋m 3 r 服务的最大的好处就是客户只需支付平均流量，即s c r 。因为 删v b r 允许客户的流量突发到很高的速率( 即p c r ) 。在规定的时段里，这些 突发的流量可以有保证的在网络中传输。r 在成本上的好处是v b r 比专线 电路便宜，比御r m 固定比特速率也便宜，因为用户只需支付平均s c r 。 对于r t - v b r 和n r t - v b r 服务，客户可以选择突发能力，突发能力由最 大突发尺度m b s ( m a x i 御l mb u r s ts i z e ) 和突发比( p c r ：s c r ) 决定。突发比即p c r 与s c r 的比率，在朋m r 服务务中，通常可以向客户提供的突发比为2 ：1 ， 即p c r 为s c r 的两倍。 筒r mv b r 服务与f r 服务的关键区别就是a t m 提出了m b s 的概念。m b s 是在s c r 之上可保证传输的信用尺度，单位为信元。在客户传送突发流量时， 一旦这个信用尺度被用满，就不可能再突发到s c r 速率以上，直到客户传送数 据的速率低于s c r ，s 得到补偿之后才可再次使用。 北京邮也人学硕l j 研究生论文 m p l sv p n 研究1 j 实现 2 2 2 3u b r 服务 a t mu b r ( u n s p e c i t i e db i tr a t e ) 是一种尽力而为的服务。流量在网络中被标 记上可丢弃的标记，如果网络资源空闲的话，这些流量就发送出去，否则被丢 弃。u b r 适用于非实时应用，是理想的互联网接入和通宵的f t p 文件传输的选 择。 在u b r 服务中，客户根据p c r ( p e a l 【c e l lr a t e ) 速率定购服务，因为u b r 服务中没有流量突发的概念，所以对于u b r 服务来说没有突发选项。p c r 速 率不能大于接入电路速率。u b r 的p c r 相当于c b r 的p c r 。 2 2 2 4a b r 服务 a b r 服务和n i m v b r 有相同的特性，但是只有很小的一部分流量可以保 证传输过去，连接的吞吐量根据网络可用资源随时间变化。 a b r 的参数是p c r 和m c r ，网络可传送的最大信元速率和网络保证传送 的最小信元速率。在m c r 和p c r 之间的速率由网络可用资源的多少决定，同 时a b r 服务还可以支持客户数据流量突发和s p v c 和s p v p 连接。 表2 1 概括了删个业务类别流量参数： 表2 1a 1 r m 个业务类别流量参数 a t m 服务类别使用的流量参数 c b rp c r n r v b r p c r ，s c r ，m b s i m v b r p c r ，s c rm b s a b r p c r ，m c r ， u b rp c r p c r ：定义了客户可使用的最大带宽。 s c r ：定义了客户不能超过的平均流量。 m b s ：定义了用户可以突发到p c r 的最长时间 m c r ：定义了最小的承诺的带宽( f o r a b r ) 在实际中，a b r 和u b r 服务应用的很少。除了上述的特性外，a t m 还有 如下特有的性能：软连接服务和m a 北京邮电人学硕- 十研究生论文 m p l sv p n 研究与实现 2 2 2 5 软连接服务 a t m 网络可为客户提供a t ms p v c ( s o rp e n n a i l 锄tv i f h m lc o 皿e c t i o n ) 和s p v p ( s o rp 锄锄朗t n 岫lp a m ) 连接服务。如果链路失效，a t m 软连接 可以通过p n n i 路由协议自动重路由。 在软连接的两个端点中，拥有软连接，并负责建立和释放软连接的端节点 称为源节点。当一个软连接建立起来以后，动态交换部分会在这个路径上创建。 如果一个软连接的交换部分被清除( 交换或链路失效) ，所有的软连接会被清除， 源节点负责重新建立这个连接。 所有的软连接特性都在源节点定义，而且不能协商( 流量和q o s 参数) 。 如果有特性不能被支持，呼叫就不能建立。软连接是动态建立的，当用户的端 口处于可用状态而且网络提供了足够的带宽资源的时候就可以建立，如图2 1 所示： 客户节凯 接入电略肇入t 譬一。 客户鞠 图2 一l 御ms p v c 的建立 在网络失效的时候，所有软连接被清除然后重新通过另一个通道建立。如 图2 2 所示： 一一曩有船i 蓬垂 一一一簟生靶曩述麓 图2 2s p v c 重建立 北京邮i 乜大学硕 ：研究生论文m p l s v p n 研究o j 实现 2 2 2 6 支持a t m 反向复用( i m a ) a t m 反向复用( i l l v e r s em u l t i p l e x i n gf i ”a t m ) 技术是将a t m 集合信元流 分散到多个低速链路上，在远端再将多个低速链路复接在一起恢复成原来的集 合信元流，使多个低速链路灵活方便地复用起来，它是支持高速a t m 信元流的 一种有效方式。通常最多可支持8 幸e 1 端口的捆绑来实现1 6 m 的接入。御r m 反 向复用可支持包括c b r 在内的所有删业务类别及服务质量等级。当客户需 要使用该服务，其路由器上必须配置可以支持e 1i m a 的模块。2 4 个e 1 的捆 绑是比较常见的应用。这一技术除了为用户组建v p n 时提供数据接入服务，同 时也是当前3 g 移动网络n o d eb 和l 喇c 之间的接口。 由于f r 和御m 具有互通的特性，这就允许f r ) n 客户可平滑升级到 朋r mv p n ，并在期间可出现f r ，删并存的状况。 无论是f r ，n 还是a t mv p n ，对用户来说，他们需要支付给网络服务提 供商的费用都包括接入电路，接入端口和p v c 三部分，如果客户需要建立一个 全网状的网络的时候，p v c 的数量将会积聚增加，从而导致用户成本增加。许 多用户正是由于这一原因，逐渐舍弃了f r a 1 1 mv p n ，转而采用了当前的热点 m p l s p n ，因为它缺省状态下提供的就是一种全网状的网络结构，而且没有 f 刚a t m p n 中p v c 的概念，所以可以为用户节省很多费用。 2 2 3v p d n 其实我们还可以利用传统拨号业务来实现，n 的接入，即通过v p d n ( i t i l a lp r i v a t ed i a l u pn e 附o r k ，虚拟拨号专网) 来实现p n 的接入服务。当 然这种方式通常只作为一种解决移动办公的方法来使用【5 】。，d n 可以利用随 处可及的拨号业务，为用户提供“可移动 的v p n ，通过虚拟的加密通道与企 业内部的网络连接，而公共网络上的用户则无法穿过虚拟通道访问该企业的内 部网络。由此看出v p d n 做为一种访问特定 n 的方式，通常都是作为其他 v p n 组网方式的补充，因为这种方式可用带宽非常有限，不适合大流量数据。 而且由于其特定的建立方式，更适合远程集中式访问。 ，d n 主要由网络接入服务器( n a s ) 、用户端设备( c e ) 和管理工具组 成。其中n a s 由大型i s p 或电信部门提供，其作用是作为v p d n 的接入服务， 提供广域网接口，负责与p s t n 、i s d n 的连接，并支持各种u 蝌的协议、安 全管理和认证、隧道及相关技术。v p d n 的实现方式有两种：一种是通过n a s 与v p d n 网关建立隧道，如图2 3 所示；另一种是客户机与v p d n 网关建立 隧道，如图2 4 所示。前者是n a s 通过隧道协议与v p d n 网关建立通道，将 客户的p p p 连接直接连到企业网关上，目前可以使用的协议有l 2 f 和l 2 t p 。 北京邮电大学硕i j 研究生论文 m p l sv p n 研究与实现 后者是由客户机首先建立与因特网的连接，再通过专用的客户软件与网关建立 通道连接，一般使用p p t p 和i p s e c 协议。如下图所示： 为了保证 n 的安全性，通常需要采用二次认证。所谓二次认证是指在接 入服务器和企业安全服务器上分别进行用户认证。接入服务器进行初步认证， 通常根据用户名自带的域名确定该用户是否为合法的v p d n 用户以及是否建立 i p 隧道。隧道建立后，企业安全服务器对用户进行第二次认证，再次确认用户 是否为企业的合法用户。 图2 3 隧道模式下的v p d n 2 2 4s e cv p n 图2 4 客户机模式下的v p d n s e cv p n 是利用公众互联网，通过利用口s e c 协议建立隧道，而建立起来 的p n 。这种方式要求客户必要至少拥有1 个公网的口地址用来实现隧道的 建立。i p s e cv p n 的网络结构通常都是星形的，然后通过中心站点的路由广播 实现各个分支站点间的互相访问。 i p s e c 是一组开放的网络安全检查协议的总称，提供访问控制、无连接的完 整性、数据来源验证、加密及数据流分类加密等服纠6 】。口s 细则首先于1 9 9 5 北京邮| 乜人学硕f ：研究生论文m p l sv p n 研究j 实现 年在互联网标准草案中颁布。i p s e c 可以保证局域网、专用或公用的广域网及 h n 锄e t 上信息传输的安全。口s e c 的一个最基本的优点是它可以在共享网络访 问设备，甚至是所有的主机和服务器上完全实现，这很大程度避免了升级任何 网络相关资源的需要。 i p s e c 在i p 层之下，对于应用程序来说是透明的。当在路由器或防火墙上 安装口s e c 时，无需更改用户或服务器系统中的软件设置。即使在终端系统中 执行i p s e c ，应用程序一类的上层软件也不会被影响。口s e c 对终端用户来说是 透明的，因此不必对用户进行安全机制的培训。i p s e c 可以为个体用户提供安全 保障，这样做就可以保护企业内部的敏感信息。 i p s e c 的设计目标是给i p v 4 和口v 6 提供具有互操作性的、高质量的、基于 加密技术的安全服纠7 】。这些安全服务包括访问控制、无连接完整性、数据源 人证、防重播、保密和有限的通信流量保密。这些目标是通过口s e c 中的三个 机制来实现的。这三种机制是：认证协议头( a h ) 、安全加载封装( e s p ) 和 互联网密匙管理协议( i k m p ) 。认证协议头和安全加载封装可以通过分开或组 合使用来达到所希望的保护等级。 2 2 4 1 认证协议头 认证协议头( a h ) 是在所有数据包头加入一个密码，用来给i p 数据包提 供数据源认证和无连接数据完整性服务，根据所选择的密码学算法和密钥协商 算法，它还可以用来提供数据源防抵赖服务。正如整个名称所示，a h 通过一 个只有密匙持有人才知道的”数字签名”来对用户进行认证。这个签名是数据包 通过特别的算法得出的独特结果；a h 还能维持数据的完整性，因为在传输过 程中无论多小的变化被加载，数据包头的数字签名都能把它检测出来。不过由 于a h 不能加密数据包所加载的内容，因而它不保证任何的机密性。两个最普 遍的a h 标准是m d 5 和s h a - l ，m d 5 使用最高到1 2 8 位的密匙，而s h a 1 通 过最高到1 6 0 位密匙提供更强的保护【6 】。 2 2 4 2 安全加载封装 安全加载封装( e s p ) 通过对数据包的全部数据和加载内容进行全加密来 严格保证传输信息的机密性，这样可以避免其他用户通过监听来打开信息交换 的内容，因为只有受信任的用户拥有密匙打开内容。e s p 也能提供认证和维持 数据的完整性。最主要的e s p 标准是数据加密标准( d e s ) ，d e s 最高支持5 6 位的密匙，而嘶p l e d e s 使用三套密匙加密，那就相当于使用最高到1 6 8 位的 密匙【们。由于e s p 实际上加密所有的数据，因而它比a h 需要更多的处理时间， 从而导致性能下降。 2 2 4 3 密匙 密匙包括密匙确定和密匙分发两个方面，最多需要四个密匙：为a h 和e s p 北京邮电人学硕一l 研究生论文m p l sv p n 研究与实现 分配两个发送和接收密匙。所有在p s c c 中使用的加密及认证算法已经过仔细 的研究和几年的验证，所以用户大可放心地将安全问题交付给i p s e c 。密匙本身 是一个二进制字符串，通常用十六进制表示。密匙管理包括手工和自动两种方 式。人工手动管理方式是指管理员使用自己的密钥及其它系统的密钥手工设置 每个系统。这种方法在小型网络环境中使用比较实际。手工管理系统在有限的 安全需要可以工作得很好。使用手工管理系统，密匙由管理站点确定然后分发 到所有的远程用户。真实的密匙可以用随机数字生成器或简单的任意拼凑计算 出来，每一个密匙可以根据集团的安全政策进行修改。 自动管理系统能满足其他所有的应用要求。使用自动管理系统，可以动态 地确定和分发密匙，显然和名称一样，是自动的。自动管理系统具有一个中央 控制点，集中的密匙管理者可以令自己更加安全，最大限度的发挥l p s e c 的效 用。另一方面，自动管理系统可以随时建立新的s a 密钥，并可以对较大的分 布式系统上使用密钥进行定期的更新。自动管理模式是很有弹性的，但需要花 费更多的时间及精力去设置，同时，还需要使用更多的软件。 口s e c 的自动管理密钥协议的默认名字是i s 川枞p o a l ( 1 e y 。互联网安全组 织及密钥管理协议( i i l t 锄e ts e c 嘶竹a s s o c i a t i o na n dk e ym a m g 锄e l l tp r o t o c o l i s a k m p ) 对互联网密钥管理的架构以及特定的协议提供支持。o a k l e y 密钥使 用的协议基于d i m e - h e l l m 锄算法，但它也提供额外的安全功能。特别是o a l 【l e y 包括认证用户的机制。 2 2 4 4 口s e c 的工作模式 不管是a h 还是e s p ，都可以工作于两种模式：传输模式和隧道模式。这 两种模式对口数据包的封装方式不同，其实是验证头的位置不同，所以保护的 数据内容也有所差别。如图2 5 所示嘲： 北京邮i u 大学硕t ：研究生论文m p l s v p n 研究o j 实现 a h 俸输模式 a h 隧道模式 i 一加密一i i 一一验证一i e s p 传输模式 i 加密一i l 验证一i e s p 隧道模式 图2 5 两种模式下的a h 和e s p 封装结构 传输模式只能在主机上实现，而隧道模式既可以在主机中实现，也可以在 安全网关中实现。 对于p n 来说，认证和加密都是必需的，因为只有双重安全措施才能确保 未经授权的用户不能进入v p n ，同时，i n t e n l e t 上的窃听者无法读取喇上传 输的信息。因此大部分的应用实例中都采用了e s p 而不是a h 。e s p 的传输模 式保护了口包的内容，特别是用于两个主机之间的端对端通讯( 例如，客户与 服务器，或是两台工作站) 。传输模式中的e s p 加密后会认证口包内容，但不 认证的包头。这种配置对于装有口s e c 的小型网络比较有用。但是要全面实 施) n ，使用隧道模式会更有效。因此很多口s e c ，n 是基于e s p 的隧道模式， 这样就保护了整个包在隧道中的端到端安全传递。 隧道模式被用在两端或是一端是安全网关的架构中，例如装有i p s e c 的路 由器或防火墙，它用自己的地址做为源地址加入到新的头。使用了隧道模式， 防火墙内很多主机不需要安装i p s e c 也能安全地通信。这些主机所生成的未加 保护的数据包，经过外网，使用隧道模式的安全组织规定( 即s a ，发送者与接 收者之间的单向关系，定义装在本地网络边缘的安全路由器或防火墙中的i p s c c 软件p 交换所规定的参数) 传输。 以下是隧道模式的i p s e c 运作的例子。某网络的主机甲生成一个口包，目 的地址是另一个网中的主机乙。这个包从起始主机被发送到主机甲的网络边缘 的安全路由器或防火墙。防火墙把所有出去的包过滤，看看有哪些包需要进行 p s e c 的处理。如果这个从甲到乙的包需要使用p s e c ，防火墙就进行口s e c 的 北京邮电人学硕十研究生论文m p l s v p n 研究o j 实现 处理，并把该包打包，重新封装，添加外层i p 包头。这个外层包头的源地址 是防火墙，而目的地址可能是主机乙的网络边缘的防火墙。现在这个包被传送 到主机乙的防火墙，中途的路由器只检查外层的i p 包头。主机乙网络的防火墙 会把外层i p 包头除掉，把p 内层发送到主机乙去。 i p s c cv p n 作为一种基于h l t e m e t 的v p n 解决方案，通常是作为一些小企 业的解决方案，因为这种方式的成本较低，用户可以利用自己公司已经有的互 联网资源。而一些经济实力更强的公司，现在则更多的去选择m p l sv p n ，因 为很多网络服务提供商的m p l s 网络本身是与互联网分丌的，是一个大的专网， 有着先天的安全隔离性。 2 2 5m p l sv p n m p l s ) n 是基于m p l s 这种短标签快速交换网络而建立的v p n ，通常都 是同一个企业的不同分支机构或有一定关联关系的企业间构建的通信站点集合 群。本论文中所指的m p l s 都是基于i 强c2 5 4 7 的3 层v p n 。图2 6 是 m p l s ，n 网络的结构示意图【引。 图2 6m p l s n 网络的结构示意图 p 路由器为网络服务提供商主干路由器，负责，n 分组外层标签的交换； p e 路由器为网络服务提供商边界路由器，存放着v r f 表和全局路由表， c e 路由器为客户端路由器，存放本地路由信息并对用户的不同类型的应用进行相 应的c o s 配置。在这里通过说明m p l s ) n 的几个特点来说明它为什么会成为 主要的悄技术。 北京邮电人学硕j ：研究生论文 m p l sv p n 研究j 实现 2 2 5 _ 1 安全性高 m p l sv 】) n 采用标记交换，一个标记对应一个用户数据流，不同用户的路 由信息是存放在p e 的不同的路由表中的，这种完全隔离性保证了传输的安全 性，非常易于用户间数据的隔离，能够为用户站点间提供安全的纯i p 通信通道， 其安全性通过对不同用户间、用户与公网自j 的路由信息进行隔离实现的。 2 2 5 2 可扩展性强 m p l s n 具有极强的可扩展性。首先从用户接入方面来看，m p l sv p n 可支持6 4 k b p s 1 5 5 m ，甚至g 比特的速率，物理接口也是多种多样。此外，增 加新的用户站点非常方便，不需要专门为新增的站点与原来的站点新建新的路 由即可通信。用户只需要保证新增站点的l 谢口地址与自己网内已有的v p n 站点保证不重合即可，而且不需要自己网内做任何调整，因为新增站点的路由 信息会通过b g p 这样的路由协议自动广播到用户已有的所有站点。而f m m v p n 以及p s e cv p n 站点的新增则是个非常复杂的过程，客户需要在新站点和 老站点之间建立p v c 或隧道并进行路由的调整才能实现正常通信。 2 2 5 3 用户网络结构灵活 通过网络服务提供商调整网络侧的参数，m p l sv p n 就可以为用户的各站 点间实现星形、网状以及其他任何形式的逻辑拓扑，以满足用户对自己网络管 理上的要求。m p l s v 】p n 对于客户端设备没有特殊要求，因此客户可以继续使 用原设备。m p l s n 支持使用私有地址，客户可保持客户原有网络规划。 2 2 5 4 支持端到端q o s q o s 的英文全称为”q u a l 时o fs e f v i c e ”，中文名为”服务质量”。q o s 是网络 与用户之间以及网络上互相通信的用户之间关于信息传输与共享的质的约定。 m p l s 具有强大的q o s 能力，通过提供不同的服务级别来保证关键通信的质量。 另外，m p l s v 】) n 核心层只对数据包做第二层交换，加快了数据包的转发速 度，减少了时延和抖动，增加了网络吞吐能力，大大提高了网络