（计算机应用技术专业论文）虚拟专用网络技术研究.pdf

虚拟专用网络技术研究 韩莉计算机应用技术) 蠢导教缔：朱连章( 副教授) 摘要 随着网络通信技术的不断发矮，虚拟专溺网( v p n ) 技术的研究倍 受关注，同时也有许多不同的实现技术和解决方案。本文的研究对象为 基于繁二屡程第三鼷网络技术静纛羧专用网技零。 论文首先综述了虚拟专用潮络技术的概念和发展现状，并对实现虚 拟专用网络的几种隧道技术进行了介绍和比较。对基于第三层网络技术 的虚撅专用网( l 3 v 烈) 送行了壤述，给出了蓥予客户接入浚备的虚拟 专用嗣和基于服务掇供商接入设备的虚拟专用网的参考模烈。密切跟踪 虚拟专用网络通信技术发展的最前沿，对当前有可能成为围际标准的基 1。 于二麓麴虚拟专躅爨技术戆凡； 孛疑案遗 亍了浚入戆分辑，给懑了基于箦 二层虚拟专用网( l 2 v p n ) 技术的参考模型，并对其支撑技术进行了介 绍。其后，在深入分析基于第二朦和第三层网络的虚拟专用网实现技术 的基萋囊上，撵窭了熬予室繁接入激务器模式靛嶷羧专_ l 鼹鼹决方寨，势 对实现协议进行了详尽的论述，实现了电信落营商级的廉拟专用网服 务。中小企业客户可以采用a d s l 接入方式或者以太网接入方式实现虚 瓠专鬻瓣络。 最后，在深入势析东营泰壤人寿保险公司的网络现状翱她务需求等 因素，结合工程实践，给出了东游网通公司为东萤泰康人寿保险公司掇 漤熬瀵羧专麓蘸详缁设诗。 关键词：虚拟专用网，l 2 v p n ，l 3 v p n s t u d y i n go fv i r t u a l p r i v a t en e t w o r kt e c h n o l o g y h a nl i ( c o m p u t e ra p p l i c a t i o nt e c h n o l o g y ) i n s t r u c t e db ya s s o c i a t ep r o f e s s o rz h ul i a n z h a n g a b s t r a c t w i t ht h ef u r t h e rd e v e l o p m e n to fc o l l m l u n i c a t i o nt e c h n o l o g y ， m o r ea t t e n t i o ni sp a l dt ot h es t u d yo nv i r t u a lp r i v a t en e t w o r k s t h o u g hv a r i o h ss o l u t i o n st ov i r t u a lp r i v a t en e t w o r k sb a s e do n d i f f e r e n tt e c h n o l o g i e sh a v eb e e np r o p o s e di nt h ec u r r e n tm a r k e t ， t h i sd i s s e r t a t i o ni sd e d i c a t e dt os t u d y i n gv i r t u a l p r i r a t e n e t w o r kb a s e do nl 2 v p na n dl 3 v p n f i r s t l y t h i sd i s s e r t a t i o no f f e r sas p e c i f i cr e v i e wo f d i f f e r e n tt y p e so fv i r t u a l p r i v a t en e t w o r k sa n dt u n n e l i n g t e c h n o l o g ya n dp r o v i d e sr e f e r e n c em o d e l sf o rc eb a s e dl 3 v p na n d p eb a s e dl 3 v p na n dl 2 v p n 砰i t hac l o s es t u d yo nt h em o s ta d v a n e e d i n f o r m a t i o na n dt e c h n o l o g yi nt h i sf i e l d 。t h ed i s s e r t a t i o nm a k e at h r o u g ha n a l y s i so fs e v e r a lp r o p o s a l so fv p n ，w h i c ha r e c o m p e t i n gt ob et h ei n t e r n a t i o n a ls t a n d a r d ，m e a n w h i l e ，i to f f e r s ar e f e r e n c em o d e lb a s e do nl 2 v p n 。w i t ha ni n t r o d u c t i o no fi t s s u p p o r tt e c h n o l o g y t h e ni tp r o p o s e sas o l u t i o no fv i r t u a lp r i v a t e n e t w o r kb a s e d o n b r o a d b a n da c c e s ss e r v e rf o rs h a n d o n g c o m m u n i e a t i o n sc o r p o r a t i o na f t e rg o i n gt h r o u g ha ni n d e p t h r e s e a r c hi n t ol 2 v p na n dl 3 v p n 。 f i h a l l y 。b a s e do nar a t i o n a la n a l y s i so ft h ep r e s e n tn e t w o r k c i r c u m s t a n c e sa n di t sm a r k e t d e m a n do fr a i k a n gl i f ei n s u r a n c e c o m p a n ya td o n g y i n gc i t y ，t h i sd i s s e r t a t i o np u t sf o r w a r da p e r s o n a ld e s i g no fv i r t u a lp r i v a t en e t w o r kr e a l i z a t i o nf o rt h e c o m p a n y 。 k e y w o r d s ：v i r t u a lp r i v a t en e t w o r k ，l 2 v p n ，l 3 v p n 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及 取得的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外， 论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得石 油大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的 同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了 谢意。 签名：整扬) 神眸f 1 月【日 关于；论文使用授权的说明 本人完全了解石油大学有关保留、使用学位论文的规定，即：学校 有权保留送交论文的复印件及电子版，允许沦文被查阅和借阅；学校可 以公布论文的全部或部分内容，可以采用影印、缩印或其他复制手段保 存论文。 ( 保密论文在解密后应遵守此规定) 学生签名：验甄 j 一眸i ，月n 导师签名：年月日 石油大学( 华东) 硕上论文第1 章前言 第1 章前言 1 1 虚拟专用网络技术背景 发展迅猛的网络技术已经深入渗透到了这个世界的各个角落，并极 大程度地改变了人类的生活方式和生活质量。随着其触角在社会经济商 业领域的延伸，现代企业和组织机构逐渐意识到，运用网络技术来发展 自身的商业和管理活动，将前所未有地提高自身的运作效益，网络银行、 电子采购和电子政务的广泛应用已成不可逆转之历史潮流。 但是，由于互联网赖以存在的基石一- - t c p i p 网络协议族在设计之 初，并未考虑安全问题，因此，使用i n t e r n e t 进行商务活动如果没有 附加保护措施是没有安全保障的。网络上传输的机密数据和敏感信息完 全有可能被有足够技术条件的恶意个人或组织偷窥、篡改、或是冒名顶 替。 因此，人们需要搭建足够安全的专用网络，以提供可信赖的网络活 动平台。传统的做法，是租用电信专线架构专用网络。这种方式保障了 网络活动的安全性，但租用成本相对较高，市场需要性价比更为优秀的 解决方案。 虚拟专用网( v p n ，v i r t u a lp r i r a t en e t w o r k ) j f 是这样一个安全和 节约成本的解决方案。虚拟专用网通过运用特定安全技术在公众数据网 络上建立属于自己的安全数据隧道。用户的数据通过公共网络中进行传 输，并且通过相应的加密和认证技术来确保用户数据在公用网络上的传 输安全，从而达到电信专线的安全效果。由于其并不是真正建立在专线 基础上，故称之为虚拟专用网。 一个典型的v p n 系统应该能提供如下功能：加密数据，保证通过公网 石涟大学( 华客) 颈圭论文 传输的信息即使被他人截获也不会泄密；数据验证和身份认证，保证信 息的完整性，并能鉴别用户的身份；提供访问控制，不问的用户有不同的 访闯较限。作为一种菲常灵活帮町靠的_ ；| 支术帮手段，跨国、跨区域公司 中分布于各地的雇员、客户、供货商、代理商、合作伙伴可利用此技术， 以非常可靠秘简易的方式借助公众蚓终与公司网终联系，并进行绞一的 规划和管壤。 v p n 嘲络的应用模式如图1 1 所示： 图卜1v p n 网络模式 鼓网络与惫信市弱发震怒箨来蚕，鋈内穗关枣汤与技术般萃嚣发这 国家在方向上和内容上都大体一致，胰光纤通信到移动通信莫不如此， 只是应用遮度上会晚一定的时期。我豳的电信网络规模现在已经仅次于 美国，舔量发展势头逐滋，由就可以攥繇，献瑗在劐今嚣尼年，v p n 产 品在国内安全产品市场上的需求将会大幅度提高。还有重要的点，国 外的信息安全产品在国内的应用受到我国法律的限制，这无疑给国内的 “油大学( 华东) 硕士论文第1 章前言 信息安全企业留出了一块令人激动的市场空间。 1 2v p n 技术分类 由计算机网络的分层体系结构可知，下层协议为上层协议提供透明 的传输服务。所以，根据用户的不同需求，虚拟专用网络也可以在不同 的协议层次上面实现。国际互联网任务专家组成立了两个工作组l 2 v p n 和l 3 v p n ，分别负责网络第二层和第三层的虚拟专用网络技术的技术草 案的审定和标准的制定工作。第三层的虚拟专用网络技术l 3 v p n 即是在 网络层i p 上面，结合网络隧道技术、信息加解密技术、身份认证技术 等实现虚拟的网络专用。第二层的虚拟专用网络技术l 2 v p n 却是结合了 以太网和m p l s 网络的优势，采取隧道技术和虚拟路由技术，实现了第 二层数据链路帧的存储转发，为接入用户提供虚拟的局域网l a n 服务 ( v p l s ) 。 尊i 二者的最大区别就在于i pv p n 是一个三层的v p n 业务而v p l s 则是 一个二层的v p n 业务，即i pv p n 只能承载i p 流量而v p l s 可以承载任 意的三层网络协议( 比如s n a 或i p x ) 。同时，v p l s 采用的是经济易用的 以太网技术，因此对于用户来说，采用v p l s 业务可以将其基于以太网 的内部网络扩展到广域网，从而实现端到端的以太网络环境。另外对于 用户端设备c p e 来说，如果用户采用v p l s 业务，其用户端设备只需要 部署一台以太网交换机，而如果采用i pv p n 业务，c p e 设备则必须是价 格更为昂贵的i p 路由器 所以，在论文中对两种v p n 的概念、通信协议、以及相关的关键技 术等进行了详尽的分析和探讨，并以此为理论指导在实践中提出了基于 宽带接入服务器的虚拟专用网解决方案。 3 石 垂大学( 肇客) 礞论文 赘l 章藩言 1 3 论文结构和内容 论文主漤分为五个部分： 第1 章前言 介绍了虚拟专用网络的技术背景和技术分类。 第2 章虚数专蠲网终技术壤透 对虚拟专用网络的几种隧道技术进行了介绍和比较。其焉，对基于 第三层网络技术的虚拟专用网络进行了概述，并给l 出了基于客户接入设 餐翡v p n 露慧予鼹务提供蔻接入设器魏v p n 戆参考壤鳘。最爱，绘出了 基于二层的l 2 v p n 技术的概念和参考模型，并对其支撑技术m p l s 技术 进行了介绍。 第3 章基予宠豢接入瑕务器兹蠹毅专瓣瓣解决方嶷 提出了基于宽带接入服务器的虚拟专用网解决方案，实现了电信运 营商级的虚拟专翻网络服务，并对实现协议进行了洋尽昀论述。中小企 遭客户可以袋援a d s l 接入方式或者戬太强接入方式实瑰寝l 堇l 专j i l 随终。 第4 章束静泰康人寿虑拟专用网详细设计 结合工程实践，给出了东营网通公司为东营泰成人寿保险公司提供 黪虚整专瓣瓣详绥设计。 第5 章结束语 对本人的工作进行了总结和展望。 1 4 主要研究互作 本人在完成硕士学佼论文的过程中的研究工 乍主要体现在以下几 个方面： ( 1 ) 在查阅了大缀的中英文文献资料、分析通信协议的撼础e ， 4 石油大学( 华东) 硕+ 论文 第1 章前言 完成了近万字的文献综述和开题报告，并制订出了详细可行的研究内容 和计划。 ( 2 ) 密切跟踪虚拟专用网络通信技术发展的最前沿，对当前有可 能成为国际标准的基于二层的l 2 v p n 技术的几种提案进行了深入的分 析。 ( 3 ) 综述了虚拟专用网的实现技术，介绍了实现虚拟专用网的隧 道技术，并对基于二层和三层网络的虚拟专用网络技术进行了详细分 析。 ( 4 ) 用理论指导工程实践，设计出了基于宽带接入服务器的电信 运营商级的安全认证和信息加密方案，较单一的二层和三层网络的虚拟 专用网方案更加实用和高效。 ( 5 ) 很好的解决了电信运营商虚拟专用网q o s 服务质量问题，设 计出了合理高效的虚拟专用网网络拓扑结构。 ( 6 ) 独创的基于“c o n t e x t ”投术的虚拟专用网技术保证了系统 维护和安全保密之间的平衡，具有极高的性能价格比。 ( 7 ) 综合各种技术和用户需求，设计出了完整的虚拟专用网络解 决方案，并在实践当中得以很好的应用。 石演丈学( 华东 繇- k 遗文第2 攀纛毅专瑶瓣络技术概述 第2 章虚拟专用网络技术概述 2 1 隧道技术概述 遥接秘议是通信系统鹣灵魂，不鞘豹遥菇给议为递售系统掇珙了不 同层面的邋信和交换平台，而不同鼷丽的通信协汉的叠加构成了个完 整的通信系统。通信协议的叠加就是种通信协议的数据报文拊装在另 一静通信按议戆载萄数据当中，蒡遗行透明豹传竣。疆遂技术本壤土裁 是一种协议封装技术，就是将一种通信协议( 协议a ) 封装在另一种通 信协议( 协议b ) 当中传输，从而实现协议a 对公共网络( 协议b ) 传 羧豹透襄戆，裁努缘在囊蛰议b 麴藏瓣公共网络上开薅了一条髂羧耱议 a 的数据隧道一样。 二层协议 。 协议a 通信上层协议 _ 协议a协议a 协议b协议b 叫l 下层协议 r 7 “”“” 下层协议f 层协议 l 图2 - 1 基于隧道机制的v p n 协议体系结构 采用隧道机制实现的v p n 的协议的体系结构如图2 一l 所示，其中 黪势议a 穆为薮舅装秘议，也是主菇渗议；耱议b 稼惫鸷装渗议，遣是 下层传输胁议。封装的时候一般还要加上特定的隧道控制信恩，冈此， ， 隧道协议的一般封装形式为： 6 石油大学( 华东) 硕十论文第2 章虚拟专用网络技术概述 隧道封装技术作为一种网络互联手段，被广泛应用于很多场合，只 要是一种协议希望穿过另一个协议的网络的时候，就可以应用隧道技 术。基于i p 技术的虚拟专用网络技术就是应用i p 协议作为封装协议， 从而在i p 骨干网络或i n t e r n e t 上形成i p 隧道，来透明地传输用户数 据。目前，已经提出了多种不同的i p 隧道协议，现分别介绍如下： 2 1 1g r e ( g e n e r i cr o u t i n ge n c a p s u i a t i o n ) ( ；r e 协议即通用路由封装协议。相对于一些特定的封装协议来说( 如 用i p 协议封装i p x 协议或用i p 协议封装x 2 5 协议等) ，g r e 协议是一 种更加通用的封装协议，它允许利用任何一种刚络协议b 封装任何的另 一种网络协议a 。”3 g r e 协议的封装形式为： 当封装协议为i p 协议时，其封装形式为： 2 1 2l p i p ( i pe n c a p s u l a t i o nw i t h i ni p ) i p i p 协议即用i p 协议封装i p 协议。i p 封装i p 协议主要用来改 变通常的i p 数据包的路由，使该i p 包先路由到某3 个中间的节点，然 后再路由到y i 的节点。 i e i p 协议通常的封装形式为： i p 头部i p 头部有效数据 一。 其通常的路由形式为： 源节点一 封装节点一 拆装节点 目的节点 其中，负责封装的路由节点又叫隧道入口，负责解封装的路出节点 7 石油大学( 华东) 硕士论文第2 章虚拟专用网络技术概述 又叫隧邋出口，通常情况下会有多对的邋信端点使用同一条隧道。 i p 辩装i p 协议楚由i e t f 移动i p 工作缀掇出的掰i p 霞葑装 p 包 的蜘议，疆的是在移动i p 环境中，实理移动圭极和j 本地代理之间瓣i p 通信，中间需溪经过外地代理的i p 中转。 2 1 3k 2 t p ( l a y e rt w ot u n n e li n gp r o t o c 0 1 ) l 2 t p 捺议郄第2 层隧道蛰议。我们垮它翻微软的点到点蘧遴搬议 ( p p t p ) 以及c i s c o 的第2 层转发协议( l 2 f ) 规为一类，它们都是利 用i n t e r n e t 作为远稔访问的基础澄施而设计的隧道协议。 点对点协议( p p p ) 定义了在筵2 爨翡点列点链路上羹装多秘掺议 数据的机制。对用户来说，凄通过第2 层链路访问远程的网络访问服务 器( n a s ) ，不使用l 2 t p 隧道机制的方法是通过p s t n 、a d s l 、i s d n 等方 法拨逶n a s ，莠在其上运行p p p 秘议来羹装数据。翅墅2 2 获示，这耪 情况下籀2 层l 2 的终止节点和p p p 协议的终止节点是同一台设备，即 n a s 。 窝2 2p p p 协议 l 2 t p 协议则是令原来网络访问服务器( n a s ) 的功能分开由两个功 能实体来完成，即访问集中器( l a c ) 和访问服务器( l a s ) ，之间通过 分组交换黼络连接。设蘑l 2 t p 梳稍，弼户先逶过p s t n 、翮s l 、i s d n 等 “ 方法拨邋l a c 获得第2 层的通信连接，并在l 2 上运行p p p 封装h 层协 议数据，访问集中器( l a c ) 再将收到的p p p 数据包通过l 2 t p 隧道经分 缀交换网络发送至访问服务器( l a s ) ，觚丽获樽网络游闷的暇务。如匿 2 3 所承，这葶巾帻撼下第2 层l 2 的终止节点糊p p p 协议的终止节点不 8 4j 油火学( 华东) 硕士论文第2 章虚拟专用网络技术概述 是同一台设备，l 2 连接终止于l a c ，p p p 连接终止于l a s 。 图2 - 3l 2 t p 协议 在远程访问情况下，较之p p p 协议，l 2 t p 协议有很重要的意义： ( 1 ) 对用户来说，l 2 t p 协议的功能和p p p 协议没有什么不同，对 用户完全透明，用户不需要重新配置应用程序。 ( 2 ) 为用户节省大量的远程访问费用，因为使用l 2 t p 协议可以访 问本地的访问集中器( l a c ) ，再经隧道至远程访问服务器( l a s ) 。 ( 3 ) 可以扩大访问服务器( l a s ) 的服务范围。因为可以为一个访 问服务器( l a s ) 配置多个访问集巾器( l a c ) 。 l 2 t p 协议的封装形式为： 2 1 4l p s e c ( 1 ps e c u r i t y ) i p s e c 协议即i p 层安全协议，是i e t f 的i f ，s e c 工作组提出的将安 伞机制引入t p 网络的一系列的协议标准。i p s e c 能够为i p v 4 和i p v 6 提 供高质量的基于密码学的安全性，安全服务包括访问控制、无连接的数 据完整性、数据源认证、抗重传攻击保护、数据机密性等。这些安令服 务是基于i p 层的，提供对i p 及其上层协议的保护。其实质仍然是利用 封装和隧道技术，并结合加密和认证技术，使得i p 数据报在i p 网络当 中安全传输。 9 石油大学( 华东) 硕十论文 第2 章虚拟专用嘲络技术概述 i p s e c 协议族能够提供糕于i p 网络环境的主机到主机、主机到网关、 网关到阐关的数据通信的安全保护t 。这些安全傈护主磺由如下几个安全 秘议寒实现：e s p ( 孙e a p s u i a t i n gs e c u f i t yp a y l o a d ，越装安全载麓) ， a h ( a u t h e n t i c a t i o nh e a d e r ，认证报头) ，i k e ( i n t e r n e tk e ye x c h a n g e ， 因特网密钥交换) ，加密算法和认证算法。“1 i p s e c 安全耱议瓣供了涎秘通信模式，郓强耪对 p 包款封装形式， 分别如下： i 传输模式 i i 。隧道模式 2 1 5m p l s m u i t i p r o t o c o il a b e ls w i t c h i n g ) ” m p l s 协议帮多协议标签交换协议。秘其毪隧道协议有繇不同，它是 一融专门的链路层协议。可以认为i p l s 怒在第2 层数据链路层( 如a t m ) 和第3 层网络层( 如i p ) 之问增加了一个新的标签交换协议层。 当i p 包逑入m p l s 网络时候，出边缘鲍标签交挨路由器将i p 数据 搬麴上标签，然后在m p l s 网络当中进行基于括签( 取代基予i p 路由的 存储转发) 的交换传输；当携带标签的i p 数据报要离开m p l s 网络的时 候，荐由边缘箭标签交换潞由器将i p 数据报头上的标签去掉，筏之重 掰进入i p 网络进行蘩于i p 路南的存髓转发，这群i p 魁终拦的数据报 就可咀通过标签封装从而在快速交换网络当中安全传输。 其瓣装形式可以简单搦述为： 石涵夫学( 牮寒) 舔+ 论文颦2 辈矗援专捌瓣络技末蘸逮 2 1 6 各种隧道技术的比较 在工作模式上，隧道协议g r e 、i p i p 、i p s e c 、m p ! 。s 渗议罄工 车在 对等模式，隧道两端的v p n 阏关上实淡的上述协议功能是对称的，两l 2 t p 则工作在客户机服务器模式，当用米实现v p n 时候，需要一台v p n 网 关实现l 2 t p 访润集中器( l a c ) 功熊，另一台v p n 列关实现l 2 t p 网络 服务器( 心s ) 功靛。 安全性是v p n 的重要的要求之一。上述的隧邋m 议当中，只有i p s e c 协议提供了完整豹内在瓣安全牲。携议( ；r e 、i p i p 没有提供安全镶护 机制。l b t p 继承了p p p 协议的身份整剐和加密，但是并不能对l 2 t p 的 控制报文和数据报文提供分组级别的保护。m p i 。s 依赖显式的标记交换通 道亲绦证它斡信息包不会传镫方囱，嚣没有提供罄子密码学豹安全蛙。 其实这些隧道协议都可以和i p s e c 协议相结合来掇供强大的安全性。 在许多应用中，v p n 要求可以俄载不透明多协议数据，因此，隧道 协议必须熊够支持多协汉甓浚。l 2 1 1 p 耱议可驭鼹羧p p p 数据氯，嚣p p p 协议数据龟可以运载多协议，因此l b t p 呵阻传输多协议。g r e 也提供隧 道协议标识，也可以封淡多协议。m p i 。s 协议本身就是面向多协议的，因 魏更可以多携议簧羧。蠢i p i p 穰i p s e c 隧逵没有这样魏蛰议攮浚壤， 因而只能建立i p 协议隧道。 服务质量q o s 也是虚拟专用网的重要要求之。上述的隧道协议中 g r e 、i p i p 、l 2 t p 、i p s e c 更多綦予 p 技术豹，鄂没有提爨羧务凄量 o o s 支持。如何在i p9 嘲络当中提供服务质量保t e 怒一个比较热的研究领 “ 域，i e t fj 2 作组也提出了相关的协议标准，如资源预留协议( r s v p ) 、 i n t e r n e t 鬃残鼹务摸蘩( i n t s e r v ) 粒送劳鞭务横整( d i f f s e r v 。嚣 m p l s 协议则较好的提供_ 服务质量q o s 保证。 石油大学( 牮京) 颈士论文辩2 牵虚拟专用隧络技术概述 2 2 基于网络层的l 3 v p n 技术 2 。2 l 3 v p n 参考谈蹩 l 3 v p n 鼓零露是在麓三堪鼹终麓( i p ) 主舔，缀合了潦遂技术、安 全技术等实现的虚拟专用网络技术。根据通信双方的建立隧道的终结点 不弼，三艨v p n 技术又可分为基予暇务挝供商接入设备的v p n ( p e b a s e d v p n ) ； f l 慧予客户揍入设备懿v p n ( c e b a s e dv p n ) 。 2 2 。1 1c e - b a s e dv p n 基于客户接入设备盼v p n 参考模型如图2 4 所示： i t 一+ ： i c e i ： l d e v i c e l ： i o f l * ： i u p hn l ： 一一一： 一+ ： i e e l ： _ 一“+ m 一一一一_ ll ll + 一+ lll ili p 一v p ht u n n e l l r o u t e r _ _ - t = 一= = 2 = # ；# = t 一# = = = 一= = ll + + lp l l d e v i c e l t il u p ht u n n e l l d e v i c e l 一：一一一一 lo f ：+ + i u p h b i ：i + + ： ii ”一+ l ： lll c u s t o m e r l lc u s t o m e rillm a n a g e m e n tl l i n t e r f a c e ll f u n c t i o nl ll l 一一t ili ll i p e l l d e v i c e l li ll ：l e e l ：l d e v i c e l ：l o f l ：t i v p r l ： l ： l 一一一一8 ：”le e l p e l： d e v i c e l i d e u i e e i：l o f + + il ：i u p hb l t w r kl + + ：一+ im a n a g e m e n tl il ： i i f u n c t i o n lil c u s t o b l e rl + + ll i n t e r f a c e l li i 一一一一一一一一一+ + - _ 一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一+ - i f 一一一一一一一一+ l e c e s sll 一s pn e t r k ( s ) llr c c e s si ln e t w o r klllln e t w o r k 图2 4 基于客户按入设备的v p n 参考模型 褒这秽模式下，服务援供藏仅仅掇拱 p 鄹络业务支撑，斌有豹i p 层的v p n 按术的实现对p e 设备郝跫透明的。此时，虚拟专粥网络技术 完全由容户接入设备( ：e 来实现，服务提供商主干i p 嘲上面的隧道都终 缝子各器户羧入竣蘩。凌撅专溪鄹络的实现可以应趣铡如：隧逐封装技 2 石油大学( 华东) 硕i 论文第2 章虚拟专用网络技术概述 术、i p s e c 技术等，只要在封装的i p 数据包外层保持正确的目的节点的 i p 数据包头即可。 2 2 1 2p e - b a s e dv p n 基于服务提供商接入设备的v p n 参考模型如图2 5 所示： + 一一一一一一一一- - 4 1+ 一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一+ 一一一一一一一一一+ iiiii ii + + + + ：+ 一+ + + ： ii i ：ic e c e i ：ii pp e i ：i d e v i c e l l d e u i c e l ：+ + v p ht u n n e l ：l r o u t e r ll d e v i c e l ：i o f i o f i 一：一一i l 一一一一一= ：一一一一l i 一一：一i u p hn i l u p hd l ：l i ：+ + + ：+ + + + ：i p e l ： i ： i + + ：i d e v i c e i n e t u o r ki n t e r f a c e i ： i c e l ：ii ： + 一- 一：+ - - 一一+ l d e v i c e l 一：一一l l 一= 一一一一：一一一一一i i 一一：一l c e i o f l ： ：u p ht u n n e l i p el ：l d e v i c e i u p h b l ：i i d e v i c e l ：io f + - - 一+ ： il + + + + il ：i u p hb i i ： ii c u s t o m e r l t u o r kl + + ：+ l c u s t o m e riim a n a g e m e n tm a n a g e m e n tli ： i n t e r f a c ei i f u n c t i o n f u n c t i o n llc u s 蛹r e r ll + + + 一+ ll i n t e r f a c e l ill 4 - - - - 一+ + + a c c e s s i l i i a c c e s s ln e t u o r kiis i n g l eo rm u l t i p l es pd o m a i n siin e t u o r k 图2 5 基于服务提供商接入设备的v p n 参考模型 基于服务提供商接入设备的v p n 技术则是由服务提供商来实现的， 而对客户的接入设备c e 是透明的。客户接入没备( 可以是路由器或标 签交换路由器或直接接入p f 设备的主机) 不需要参与虚拟专用网络的 实现。隧道终结于各、p e 设备。虚拟专用网络的实现技术同c e b e a s e d v p n 。 不论是基于客户接入设备还是基于服务提供商的虚拟专用网络技 术，不同之处仅在于是由谁来实现和管理。技术上是一样的，要实现安 洼天学( 华客) 矮圭论文纂2 章虚季茧专臻瓣终技术概述 全的虚拟专用网络，都离不开i p s e c 技术，由前面的隧道技术可知，i p s e c 提供了基予密码学豹安全性。 2 2 2i p s e e 协议族概述 i p s e c 蜘议郄i p 屡安全捺议，是i e t f 的i p s e c2 1 2 作组1 9 9 8 年提出 的将安全枫制弓l 入i p 屡的一系列的协议标准。i p s e c 能够为i p v 4 和i p v 6 提供高质爨的基于密码学的安全性，安全服务包括网络访问控制、无连 接豹数据完整性、数摄滋认涯、抗熏传攻击保护、数据规密性等。这些 安全服务怒基于i p 层的，提供对i p 及其上层协议的保护。 i p s e c 协议族能够提供基于i p 网络环境的主桃到主机、主机到网关、 爨关到溺关豹数据通售豹安全擐妒。这些安全保护主要由魏下瓣安全协 议和算法求实现：e s p ( e n c a p s u l a t i n gs e c u r i t yp a y l o a d ，封装安全 载荷) ，a h ( a u t h e n t i c a t i o nh e a d e r ，认证报头) ，i k e ( i n t e r n e tk e y e x c h a n 鹦，鞠特瓣密钥交换) ，热密舅浃彝试涯算法。 在i p s e c 协议套件中，有两种具体的安全封装处理济议：封装安全 载荷( e s p ) 和认证报头( a h ) 。a h 可以提供数据的发源地身份验证、保 障数据戆完整整帮转史 p 鼗蠢包重攥攻毒；e s p 除了其螯以上功毙努， 还可以提供数据机密性保护功能。 2 3 基予二层酶l 2 v p n 技术 2 3 1l 矧v p n 技术简介 从以太网技术的诞生开始，以太嘲作为局域网( l a n ) 的翟要技术 实现手段在全球范围内褥到了广泛豹应耀，据估计，蟊翦已有超过1 亿 的以太网用户遍布与戡界各地。近几年来，有关以太网技术的研究主要 围绕在两个方面。首先，从嘲络吞吐爨来看，以太阚已从早期的l o m b p s 1 4 石油人学( 华东) 硕士论文第2 章虚拟专用网络技术概述 发展到快速以太网( 1 0 0 m b p s ) ，千兆以太网( 1 g b p s ) 甚至是l o g b p s ； 其次，以太网技术的应用范围也从早期单纯的l a n 逐步向城域网( m a n ) 发展，即所谓的城域以太网( m e t r oe t h e r n e t ) 。城域以太网主要面向 的是城区内的企业用户，其优越性表现在三个方面： ( 1 ) 以太网低廉的成本，包括设备成本及连接成本。 ( 2 ) 网络管理及工程人员对以太网技术已非常熟悉。 ( 3 ) 以太网接入速度的灵活性，用户可以向网络服务供应商订购 从1 m b p s 到1 g b p s 范围内的任意接入速度，并且可以根据企业的需要灵 活调整，这一点是现有的诸如帧中继，a t m 等所无法比拟的。 目前，城域以太网还只能提供城区范围内的点对点连接服务，主要 是提供企业的不同分部网络间的互连，企业网络或大楼向广域网( w a n ) 接口的连接等。因为以太网技术的本质是在一个共享传输媒介上提供多 点接入方式，因此当前的点对点连接服务并没有充分发挥以太嘲技术的 特点。并且，对于企业用户而言，其分支办公室网络可能分布在几个城 市内，因此，它们真正需要的是能够覆盖多个城市范围的网络接入。对 于这两个问题，当前已有些网络服务供应商在尝试利用虚拟局域网 ( v l a n ) 提供多点到多点的以太连接。对于用户而言，这相当于所有的 子网是连接到同一个局域网上的，而用户的数据流则通过v l a ni d 来在 逻辑e 加以区别。这一方案虽然可以为用户带来成本上的优势与多点连 接的便捷性，但是也存在着一些明显的缺陷。基于v l a n 技术的城域以 太网其组网是通过以太网交换机来完成的，这决定了它仅能提供o s i 第 二层交换的能力，而且v l a n 也仅能够支持最多4 0 9 6 个终端用户。同时， 以太网技术本身是为了小型的局域网络应用而开发的，当网络规模扩大 时，诸如厂播风暴，扩展树( s p a n n i n gt r e e ) 协议的不稳定性等问题 就显得更加严重了，这直接导致跨越多个城区的以太网无法基于v l a n 石i 囊大学( 华束) 颤圭论文第0 章瘟攮专臻料缀技术鞲适 技术实现。 虚拟专用网( v p n ) 憋当前电信运营商为企业用户提供诸如跨区域 静分支办公室霹络连接，i n t e r n e t 援入等骚务酶个重要手段。l 3 v p n 应用较早，而且技术也已比较成熟，它主要可以提供覆盖区域广泛的用 户拨号v p n 和基于多点到点连接的i n t r a n e t 组蚓。这一方案的主要问 题在于它只能提供i p 数撼的支持能力。丽基予繁二层酶v p l s 技术，有 效的结合了i p m p l s ，v p n ，以太网交换等多种技术各自的特点，为广域 范豳的多点到多点l a n 互连提供了实现基础。从逡接方式土来辫，v p l s 利用i p m p l s 的广域骨干网络为企娥髑户提供了释仿真酶l a n 连接， 因此也被称为透明的l a n 服务( t r a n s p a r e n tl a ns e r v i c e ) 。这里的透 明牲是指对予瑗户丽言，骨于网络既结构是不可见的，翔户的分支局域 两就荮象怒都连接在一个单一的桥矮阐络上。从阏络拓扑结构与运营维 护来看，v p l s 则提供了与v p n 类似的服务，唯一的区别在于v p l s 的网 络边缘节杰瑗了链路暌( 罄第二屡) 援按技术，褥l 3 v p n 受采用了第 三层路由技术。 2 3 。2m p l s 技术 2 3 ，2 m p l 8 技术背景 相对于i p 路由技术，基于a t m 和帧中继的快速交换技术可利用多 糖转发算法( 其零质就是耘签交换冀法) 。出于这璺转发算法楚錾寅效， 因而被赢按固化到交换机硬件内部。与传统的i p 路由机制相比，l 2 层 二。 的快速交换技术具有很商的性能价格比。 为麓决 p 网络存在无法实时撬彰专q o s l 力鹣超题，每个i s p 都渴 望寻求一种能够结合恢遴交换技术和i p 路由技术中各自优势的网络解 决方案，由此标签交换技术应运而生。标签交换技术就是致力把l 2 层 1 6 螽油太学( 华笨) 碗土论文 第2 章矗拟专强鹕鳃技术概述 交换技术的最优属性( 通常由a t m 或帧中继具体实现) ，与l 3 层路由技 术的最优爝性( 由l p 具体实现) 紧密结合起来，其中多蜘议标签交换 ( m p l s ) 怒鏊藩标准簸统一、疆吴发震蓠景麓栎筏交换技术。m p l s 宙 i n t e r n e ti 程任务小组( i e t f ) 制定，始于1 9 9 7 年初，它被设计成为 能够符合大规模屯信级嘲络所必须遴循的各种属蠛。其目标是实现在大 规模i p 网肉，通过a t m 和顿中继等多静媒介实璃保证q o s 静俊速交换， 因而m p l s 的出现对于网络发展将具有革命性的意义。” 2 3 2 2m p l s 技术概述 由予m p l s 技术可逶尾予任何嘲络层协淡，敖称为多诲漩 ( m u t j p r o t o e 0 1 ) ，目阿主要是致力于传输i p 业务。同时，多协议也 表明m p l s 技术的应用势不局限于菜一特定的链鼹层媒介，鄂采用m p l s 技术，网络层的数据龟霹以基于多静物理媒奔进行传送，翔a t m 、顿中 继、租赁专线p p p 等。在m p i s 网络中的关键元索是标签交换路由器 ( l s r ) ，宅具备了理解署弱参与1 p 路鞫与l 2 层交换的麓力。m p l s 要求 l s r 参与i p 路由，其转发梳制与传统逐跳路由判决税制的区副很大。结 合上述多种传输技术，通过种单一的操作模式，m p l s 可毗避免在l 2 层与1 , 3 援之间因相互擞俘两产生的稿关问题，翊对确保嚣种规铡独立 运行。l s r 通过l 3 屡的标准路由涤议( 如o s p f ) 进行寻径操作。从丽 获得整个网络的拓扑结构，由此获懑的路南信息将，h 来对特定t p 报文 分配胡应的标签( l a b e l ) 。从溃要l 端戆是度上寒懑，标签用予稳定藕点 之间i p 报文的传输路径，这种路径被称为标签交换路径( 1 j s p ) 。l s p 是 e 通过m p l s 的核心协议一一标签分配咖议( 1 。i ) p ) 在l s r 对等体( p e e r ) 之闽建立娓，其本矮上与交换技本定义粒v e 连接+ 分翅垂夏。在传簸i p 报文时，m p l s 标签边缘路由器( l e r ) 通过特定判决机制，对报文进行 标签封装，随后将携带特定标签的报文转发到网络内部升级后( i 勺交换机 1 7 潼太学( 牮寒) 鹾论文第2 攀矗越专用燃络按术摄述 ( 如a t m - l s r 或l s r ) ，它们在接收到相应 p 报文后通过内部的标签信 息库( l i b ) 进 亍标签查询与交换并沿着l s p 转发搬文。 2 3 2 3 纂千m p l s 网络的技术优势 m p l s 在解决网络的扩展性、实施流量工程、同时支持多种漂求特定 q o s 嫖薅的i p 韭务等诸多方嚣具备鼹天独厚豹披零优势。 ( 1 ) 扩展性 目前多数网络基于i po v e ra t m 帧中继的熏狳模型组网方式。无 论是对予鼹出耱议的影响，还是对管理大量寝电路对勰造成鹣受担蔼 言，都存在很大的局限性。由于m p l s 技术采用的标签分配协议仅在相 邻的l s r 对等体之间进行通信，每台l s r 均可根据网络层的拓扑建立相 应赘l s p ，躐瑟有效簿凌了重叠模型中溜垒隧状连接鼹荣来的n 2 条逻辑