（计算机应用技术专业论文）基于supanet的虚拟专用lan研究.pdf

西南交通大学硕士研究生学位论文第1 页 捅斐 针对现有的i n t e m e t 仅是提供“尽其所能”的服务而无法保证数据传输 的服务质量的问题，西南交通大学四川省网络通信技术重点实验室提出了“单 物理层用户数据交换平台体系结构的网络( s u p a n e t ) 。s u p a n e t 是一种 提供数据高速交换的骨干网，由两大平台组成，包括信控管理平台 ( s & m p l a t f o r m ) 和用户数据传输与交换平台( u p l a t f o r m ) 。信控管理平台保 留了i n t e m e t 的协议层次，而用户数据传输与交换平台将通信子网的3 层传 输平台简化为单物理层结构，并能为用户提供更有服务质量保证的数据传输 服务。信控管理平台保留了原有的i n t e m e t 协议栈，使得现有的用户接入 s u p a n e t 时能够减少成本，不需要改变软硬件或者尽量少的改变。s u p a n e t 建立的虚链路由一系列v l i 串接而成，并且由e p f 帧承载m a c 帧完成数据 传输。 本论文提出的虚拟专用局域网( v p l n ) 模型是基于s u p a n e t 骨干网， 不同局域网的主机跨越s u p a n e t 进行通信，建立虚链路，使位于不同局域 网的主机之间好像中间并没有跨越广域网，而是在一个局域网中通信，实现 v p l n 的目标透明通信。v p l n 模型实现透明通信的基本思想是：利用 s u p a n e t 特有的e p f 帧，为源端主机的请求报文进行封装，进入s u p a n e t 传输至边缘网关，保证请求报文在整个传输过程中保持不变，当该帧到达边 缘网关时，根据网关的地址自动学习功能，学习该报文的源m a c 地址与网 关端口对应，建立m a c 地址映射表，同样目的端主机回复应答报文建立相 应的m a c 地址映射表。用户根据建立的映射表对待传输的数据进行端口直 接转发，从而实现透明通信。 本文的工作包括s u p a 的信控管理平台和用户平台两大平台的研究，重 点放在s u p a 的信控管理平台。论文的主要工作如下： ( 1 ) 详细阐述了点对点通信和点对多点通信，以及m a c 地址映射表的详 细建立过程。 ( 2 ) 设计了m a c 地址映射表表项字段以及组织结构，并实现对该表的维 护，对映射表的老化、更新等问题进行较为详细的研究。 ( 3 ) 阐述了用户之间如何实现数据透明通信。 ( 4 ) 对v p l n 的可行性进行了仿真。 西南交通大学硕士研究生学位论文第l l 页 关键词：单物理层用户数据交换平台的体系结构，虚拟专用局域网，m a c 地 址映射表，o p n e t 西南交通大学硕士研究生学位论文第1 li 页 a bs t r a c t t h en e t w o r ka r c h i t e c t u r eo fs i n g l e p h y s i c a ll a y e ru s e r - d a t as w i t c h i n g p l a t f o r i l la r c h i t e c t u r e ( s u p a li sp r o m o t e db ys i c h u a nn e t w o r kc o m m u n i c a t i o n k e yl a b o r a t o r y ，s u p a n e ti san e t w o r kw h i c ha d o p ts u p a a si t sa r c h i t e c t u r e s u p a n e t ，o n ek i n do fb a c k b o n en e t w o r k ，c a np r o v i d eas e r v i c eo fh i g hs p e e d d a t ae x c h a n g e s u p a n e ta i m st ot h es i t u a t i o nt h a ti n t e r n e tc a no n l yp r o v i d e “b e s te f f o r t ”s e r v i c eb u tc o u l dn o te n s u r et h eq u a l i t yo fd a t at r a n s m i s s i o ns e r v i c e s u p a n e ti sc o m p o s e db yt w op l a t f o r m s ，s & m p l a t f o r ma n du - p l a t f o r m t h e s & m p l a t f o r n lm a i n t a i n st h ep r o t o c o l so fi n t e r n e ta n dt h eu p l a t f o i i nr e d u c e st h e t h r e e l a y e r st r a n s m i s s i o np l a t f o r m si n t os i n g l ep h y s i c a ll a y e rp l a t f o r m t h i s n e t w o r ka r c h i t e c t u r ec a np r o v i d eb e t t e rq u a l i t ys e r v i c eo fd a t at r a n s m i s s i o nf o r t h eu s e r s b c c a u s et h es & m p l a t f o r mr e t a i n st h eo r i g i n a li n t e r n e tp r o t o c o l ss t a c k c o m p a t i b i l i t yi ns u p a n e t t h eu s e r sc a nr e d u c et h ea c c e s sc o s t sw i t hn on e e dt o c h a n g es o f t w a r ea n dh a r d w a r eo rc h a n g ea sl i t t l ea sp o s s i b l e t h ev i r t u a ll i n e e s t a b l i s h e db ys u p a n e ti sf o r m e db yas e r i e so fv i r t u a ll i n ei d e n t i f i e r ( v l i ) ， a n dt h ee t h e m e t - o r i e n t e dp h y s i c a lf r a m e ( e p f ) c a r r i e st h em a cf r a m et of i n i s h t h ed a t at r a n s m i s s i o n b a s e do nt h eb a c k b o n en e t w o r ko fs u p a n e t an e wm o d e lc a l l e dv i r t u a l p r i v a t el a nn e t w o r k ( v p l n ) i sp r e s e n t e di nt h i sp a p e rt om a k et h eh o s t sb e l o n g t od i f f e r e n tl a n sc o m m u n i c a t ew i t he a c ho t h e ra c r o s st h es i 腰a n e t w h i c h e s t a b l i s h e st h ev i r t u a ll i n e s ( v l s ) b e t w e e nt h e m a sar e s u l t h o s t sc a na c h i e v e t r a n s p a r e n tc o m m u n i c a t i o nw i t hv p l n i e t h e yf e e ls u p a n e tj 配na b s e n ta s i ft h e yc o m m u n i c a t ei nt h es a m el a n t h eb a s i c i d e ao ft r a n s p a r e n t c o m m u n i c a t i o ni st h a tt h er e l a t i v ec o n t r o lf r a m e st r a n s m i s s i o nb e t w e e nt w o l a n sa r et u n n e l e dw i t he p fi ns u p a n e t i e t h ef l a m e sc a nb ee n s u r e d u n c h a n g e di nt h ew h o l ep r o c e s so ft r a n s m i s s i o ni ns u p a n e t o n c er e c e i v e da n a r r i v i n gf r a m e ，t h eg a t e w a ya u t o m a t i c a l l yl e a r n st h es o u r c em a ca d d r e s so ft h e f r a m ea n di t sa r r i v i n gp o r to fg a t e w a y , c r e a t e st h em a c - a d d r e s s - p o r tm a p p i n g t a b l e i nt h es a m ew a y , t h ed e s t i n a t i o nh o s tr e p l i e st h es o u r c eh o s ta n dc r e a t e s m a ca d d r e s sm a p p i n gt a b l e f i n a l l y , h o s tu s e r sc a nd i r e c t l yf o r w a r dt h ed a t at o t h ep o r to ft h eg a t e w a ya n dr e a l i z et h et r a n s p a r e n tt r a n s m i s s i o n 西南交通大学硕士研究生学位论文第l v 页 a i m e da tt h es & m - p l a t f o r ma n du p l a t f o r mi ns u p a n e t , t h ea u t h o r e m p h a s i z e so nt h ew o r ko fs & m - p l a t f o r mi nt h i sp a p e r , a n dt h ep r i m a r yw o r k si s p r e s e n t e da sf o l l o w i n g ： ( 1 ) ad e t a i l e dd e s c r i p t i o no fp o i n t - t o p o i n tc o m m u n i c a t i o n ，a sw e l la s t h e p o i n t - - t o - m u l t i p o i n t c o m m u n i c a t i o na n dt h e p r o c e s s o f e s t a b l i s h i n gm a c a d d r e s sm a p p i n gt a b l e ( 2 ) d e s i g no nt h eo r g a n i z a t i o n a ls t r u c t u r ea n dt h ef i e l d so fm a c a d d r e s sm a p p i n gt a b l e ，a sw e l la st h et a b l em a i n t e n a n c ea n d u p d a t i n g ( 3 ) d e s c r i p t i o ni nt h ep r o c e s so fd a t at r a n s p a r e n tt r a n s m i s s i o nb e t w e e n l a nu s e r s ( 4 ) s i m u l a t i o nt or e v e a lt h ef e a s i b i l i t yo fv p l n k e y w o r d s ：s i n g l ep h y s i c a ll a y e ru s e r - d a t as w i t c h i n gp l a t f o r ma r c h i t e c t u r e ( s u p a ) ，v i r t u a lp r i v a t el a n ( v p l n ) ，m a ca d d r e s sm a p p i n gt a b l e ，o p n e t 西南交通大学学位论文创新性声明 本人郑重声明：所呈交的学位论文，是在导师指导下独立进行研究工作 所得的成果。除文中已经注明引用的内容外，本论文不包含任何其他个人或 集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体， 均已在文中作了明确的说明。本人完全意识到本声明的法律结果由本人承担。 本学位论文的主要创新点如下： 1 、提供跨越s u p a n e t 骨干网获得对端m a c 地址与端口映射关系，建 立v p l n 中点对点以及点对多点的通信过程； 2 、设计s u p a 网关上维护的m a c 地址映射表的表项和组织结构； 丑凸厂 m 扩趴 趣聊 西南交通大学 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学 校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查 阅和借阅。本人授权西南交通大学可以将本论文的全部或部分内容编入有关 数据库进行检索，可以采用影印、缩印或扫描等复印手段保存和汇编本学位 论文。 本学位论文属于 1 保密口，在年解密后适用本授权书； 2 不保密函使用本授权书。 ( 请在以上方框内打“ ) 学位论文作者签名：速阳 醐：加 7 指导老师签名霄军 日期：p 口7 ，l c 7 西南交通大学硕士研究生学位论文第1 页 1 1 本课题的研究背景 第1 章绪论 本课题的研究背景基于四川省网络通信技术重点实验室提出的单物理层 用户数据交换平台的体系结构( s u p a s i n g l ep h y s i c a ll a y e ru s e r d a t a s w i t c h i n gp l a t f o r ma r c h i t e c t u r e ) 【卜4 】，s u p a n e t 是采用s u p a 体系结构的网 络。s u p a n e t 将控制信息与用户信息的分开传输，即采用带外信令技术， 把整个s u p a 分成用户数据传输交换平台称为用户平台 ( u p l a t f o r m u s e r d a t at r a n s f e r & s w i t c h i n gp l a t f o r m ) 和信令控制与管理平台 简称为“信控管理平台”( s & m p l a t f o r m s i g n a l i n g & m a n a g e m e n tp l a t f o r m ) ， 并且将用户平台构建为单物理层平台【l 】。由于传统的i n t e m e t 数据传输的服务 质量难以得到保证，s u p a 提出将用户数据传输平台简化为单层平台以改进 服务质量【引。 1 2s u p a n e t 相关内容介绍 1 2 1s u p a n e t 的提出 “三网合一指的是传统电信网、计算机互联网和有线电视网的发展趋 向于相互渗透和相互融合u4 1 。现有的骨干网传输无法保证传输的服务质量 ( q o s ) ，它的数据传输仅仅是一种“尽其所能”的服务【2 】。以下是为了改进 这一不足所进行的尝试【2 j ： 在i n t e m e t 的t c p i p 协议i p 层上添加服务质量保障机制； m p l s ( 多协议标签交换) f 1 5 】技术是将三层传输平台简化为两层结构， 即在t c p i p 协议中的数据链路层上添加标签子层替代i p 层； b i s d n ( 宽带综合业务数字网) 也采用了两层结构1 16 1 ，但是在信控 管理平台使用了b i s d n 专用的协议【l5 1 。 但是上述的尝试都没有取得理想的效果，i n t e r n e t 因其固有的三层传输平 台没有改变，只是在i p 层上添加服务质量保障机制，显然，用户数据传输的 西南交通大学硕士研究生学位论文第2 页 服务质量仍然难以得到保证；而m p l s 和b i s d n 要求其物理层也要具有服 务质量保障机制，因此，现有的网络中仍然没有能够满足用户服务质量需求 的有效机制，更无法满足“三网合一 的需要【1 7 】。 为了解决上述问题，西南交通大学四川省网络通信技术重点实验室提出 了以“面向以太网的物理帧时槽交换技术 ( e p f t s ，e t h e m e t o r i e n t e dp h y s i c a l f r a m es w i t c h i n g ) 1 9 , 5 3 为基础的“单物理层用户数据交换平台的体系结构 【l 】【4 】。 1 2 2s u p a n e t 的体系结构 带内信令技术是将用户信息与控制管理信息在同一频带内传输，带外信 令技术是将用户信息与控制管理信息使用不同的频带传输。带外信令技术能 更好地体现实时性【2 】。s u p a 就是利用带外信令技术【l 】划分两大平台来解决 i n t e m e t 的”b e s te f f o r t ”服务，而无法保证服务质量的问题。s u p a 的信控管 理平台保留i n t e m e t 的5 层结构，而s u p a 的用户平台为单物理层平台，有 利于以较小的代价实现s u p a n e t 与传统i n t e r n e t 的互联【2 】。在s u p a 的现阶 段的研究中，进一步的将信控管理平台的5 层结构简化为4 层，将u 。p l a t f o r m 和s & m p l a t f o r m 均置于e p f t s 上l lj 。 s u p a n e t 可以连接传统i n t e m e t 设备或者与s u p a 端系统；其中s u p a 端系统包括两类：s u p a n e t 端系统，i n t e m e t s u p a 网关【1 1 。当s u p a n e t 与i n t e m e t 设备连接时，工作于缺省i n t e r n e t 模式下；与s u p a 端系统连接， 工作于s u p a 模式下【2 j 。图1 1 为工作于s u p a 模式下s u p a n e t 的接口与 协议层次结构示意图【1 7 】。 西南交通大学硕士研究生学位论文第3 页 g t j l ，a 靖系统 r i p q o s n p o s p f丁m e p $ u p a 管理域 s i j p a 中问系统 龋；：i；二；卜一i；i二；二；： ； 、。u i n 叩( 用户数据传输x e - t e 的用户一嘲络接口)n n i t r d ( 用户数据传输平 台的网络一网络接口) 图1 1 单物理层用户数据交换平台的体系结构工作示意图 图1 1 中s u p a 体系结构由信控管理平台和用户平台两大平台组成，该 图的上半部分表示信控管理平台( s & mp l a t f o r m ) q b 的协议层次结构与接口； 下半部为用户平台的协议层次结构和接口。 s u p a 的s & m p l a t f o r m 有三种信令，分别为u n i s m ( 信控管理平台用户 网络接口) ，n n i s m ( 信控管理平台网络网络接口) ，u u i s m ( 信控管理平台 用户用户接口) 【l j 。s u p a 用户平台为单物理层结构，由“面向以太网的物 理帧子层 e p f s 和d w d m 子层组成，其接口包括u n i u d ( 用户数据传输平 台的用户网络接口) ，n n i u d ( 用户数据传输平台的网络网络接口) 【1 7 1 。 s u p a n e t 中基于面向以太网的物理帧( e t h e m e t o r i e n t e dp h y s i c a lf r a m e ， e p f ) 1 8 , 5 5 , 5 6 】结合服务质量协商协议( q o s n p ) 和相关的路由协议共同实现 了基于m a c 地址的“虚隧道服务 【l 】，为端系统用户建立隧道，实现跨越 s u p a n e t 的通信。 1 2 3s u p a n e t 的服务质量保障机制 s u p a n e t 的服务质量保障机制由信控管理平台和用户平台两大平台的 相关协议组成。服务质量协商协议( q o sn e g o t i a t i o np r o t o c o l ，q o s n p ) 2 1 】协议 是信控管理平台用于保证s u p a n e t 服务质量的一种u u i s m ( 用户用户接口) 信令控制协议 1 1 。q o s n p 的任务是为端系统用户的通信协商建立虚连接。协 商工作涉及用户端系统以及s u p a n e t 域中路径选择所经过的所有交换节点 攀 西南交通大学硕士研究生学位论文第4 页 【2 0 1 。q o s n p 协商包括两种协商：两次单向协商和双向同时协商，工作过程如 下【2 0 】： 端系统用户发起请求，当源端用户并不知道目的端用户的服务质量参数 时，进行单向协商。q o s n p 协议根据目的i p 地址和i p 路由表进行路由选径， 在s u p a 域内的所有交换节点中寻找下一跳节点进行服务质量协商，如果本 节点满足服务质量要求，返回确认信息，同时该交换节点将协商请求继续向 下一个交换节点发送进行协商，直到协商至目的端系统，从而完成一次单向 协商，建立了从源端到目的端的虚连接。如果某一节点协商失败，则向上游 节点逐级发回否定性确认，一直确认到源端，协商失败。目的端同样发起协 商请求，建立从目的端到源端的虚连接。两次单向协商所经过的路径可能不 同。 当源端用户知道双方服务质量参数时进行双向同时协商，它与两次单向 协商不同在于：双向协商仅协商一次即建立成功一条双向虚连接，并且正向 和反向两个方向上所经过的路径是相同的。 以上是q o s n p 协议的基本工作流程，可以看到在每个交换节点 s u p a n e t 都进行了服务质量的协商，只有满足了用户的服务质量参数，协 商才会继续向下一节点进行，否则中止协商。在整个建立连接的过程中， s u p a n e t 更注重用户的服务质量参数，因此，s u p a n e t 能够较好地保障用 户的服务质量。 s u p a n e t 的服务质量保障机制在s u p a 的信控管理平台上除了q o s n p 协议外还包括c a c ( 呼叫准入控制) 、t m e p ( 流量检测与交换协议) 等机制， 而在s u p a 的用户平台上包括u a c ( 数据入网控制) 、交换节点的交换结构 及交换机制等机制【2 0 1 。 1 4 本课题的研究意义 本课题所研究的虚拟专用局域网( v p l n ) 技术是四川省网络通信技术 重点实验室在研究“单物理层用户数据交换平台的体系结构网络”【2 j ( s u p a n e t ) 的过程中，为了使传统的以太网工作站通过s u p a n e t 实现透 明互联而提出，从而建立基于s u p a n e t 的虚拟专用局域网，以提高用户的 业务传输服务质量保证能力。 本课题意义在于通过建立m a c 地址映射表，该表为分属于不同局域网 西南交通大学硕士研究生学位论文第5 页 的用户跨越s u p a n e t 骨干网进行透明通信提供了端口直接转发的功能。对 于用户来讲，s u p a n e t 变得透明，就好像所有的局域网用户直接连接在一 个交换机上。 1 。5 本论文的组织安排 本文针对利用s u p a n e t 作为骨干网的虚拟专用局域网模型进行研究， 设计出透明通信的技术方案。设计的目的是将不同地点的l a n 通过 s u p a n e t 透明连接成为一个虚拟的l a n ，即虚拟专用局域网，用户感觉不 到s u p a n e t 的存在，所有的用户主机就如同运行在一个传统l a n 之中。 全文共分为四章，安排如下： 第一章主要介绍了本论文的研究背景，并且简要地介绍了s u p a n e t 的 相关内容，包括s 叭n e t 的提出背景、体系结构、服务质量保障机制和半 步超前交换技术，阐述了本论文的研究意义。 第二章介绍了对有关虚拟网络的研究现状，主要讨论了现有网络中的虚 拟专用技术，重点分析了各种网络建立虚拟专用网络的相关原理、技术以及 各自的优缺点。 第三章提出基于s u p a n e t 虚拟专用局域网的实现技术，对该技术做出 了较详细的阐述，详细讨论了建立并维护m a c 地址映射表所涉及的相关问 题。 第四章o p n e t 仿真实验，针对虚拟专用局域网模型进行仿真，主要验 证了工作过程中m a c 地址映射表的正确建立与维护，初步验证实现透明通 信的可行性。 最后是本文的结论与展望。 西南交通大学硕士研究生学位论文第6 页 第2 章现有虚拟网络技术分析 2 1 虚拟网络技术的研究现状 局域网是现代通信网络中广泛使用的数据通信网络。自2 0 世纪7 0 年代 末，计算机局域网技术随着微型计算机价格的下降获得了广泛的使用。局域 网的优点是具有较高的数据率，较低的时延和较小的误码率，可以实现一些 外设、主机、软件的共享，提高系统的可靠性【2 2 1 。交换技术的发展推动了局 域网交换机的发展，并促进了局域网交换机技术与产品的繁荣。交换机是网 络的设备之一，具有自动寻址和交换的能力，识别m a c 地址并用于完成二 层数据报文的转发操作瞄引。 2 1 1 虚拟局域网技术( v l a n ) 2 1 1 1 虚拟局域网概念 v l a n ( 虚拟局域网) 是一种基于交换局域网建立的逻辑网络，可以跨 越不同网段、不同网络【2 4 1 。v l a n 对与第二层交换机端口相连的网络用户进 行逻辑分段，也就是说虚拟局域网是将一组位于不同物理网络网段上的用户 和服务器从逻辑上划分成终端站组，v l a n 产生的主要原因是抑制广播风暴， 此外还有安全和管理等方面的应用【2 5 1 。 2 1 1 2 虚拟局域网技术实现 v l a n 的技术原理是通过交换机的控制，某一v l a n 成员发出的包，交 换机不会发给其他v l a n 中的计算机，只会发给同一v l a n 的其它成员。 虚拟局域网可以按功能、应用等逻辑概念划分局域网，也就是说，v l a n 是 一个与地理位置无关的局域网。v l a n 的划分方式有基于端口、基于m a c 地址、基于协议、基于i p 子网、基于组播等方式【2 引。一个v l a n 原则上对 应一个i p 子网( p v l a n 、v l a n 聚合除外) ，并且不同v l a n 间不能直接进 行通信。 2 1 1 3 虚拟局域网优缺点 虚拟局域网技术主要有以下几方面的优点 2 7 】： 控制广播风暴 西南交通大学硕士研究生学位论文第7 页 通过分段技术，就可以把一个大型局域网划分成几个小的v l a n ， v l a n 可以把广播报文限制在一个v l a n 内，从而避免影响其他网段， 减少了网络中的广播信息； 简化网络管理和维护 v l a n 的划分是一种逻辑划分，因此其工作站和服务器不受地理位置 的限制，大大方便了网络管理和维护，当移动、改变或者组建网络的时 候，只需要更改v l a n 配置，减少了移动和改变的代价，实现了动态的 网络管理：一 臼提高安全性 传统的局域网中，任何一台计算机都可以截取同一局域网中其他计算 机之间传输的数据包，存在着一定的安全漏洞。由于必须通过路由器来 转发v l a n 之间的数据，v l a n 就相当于一个独立的局域网，安全性可 以得到很大程度的提高，还可以在路由器上进行适当的设置，对v l a n 之间相互访问进行一定的安全控制； 减轻路由器的负担，提高网络性能 v l a n 使用交换机等二层设备，其传输效率比路由器的传输效率更 高，网络延迟时间缩短，同时基于逻辑划分的用户集中在同一v l a n 中， 数据的频繁交换更多的发生在一个v l a n 内，可以减轻路由器的工作负 担，从而提高网络的性能。 从上面分析可以看出v l a n 有很多优点，有效地控制了网络风暴，但是 同时存在着可扩展性方面的问题。给每个用户分配一个v l a n 和相关的i p 子网，由于v l a n 之间不能直接通信，用户从第2 层被隔离开，可以有效地 保证网络通信的相对安全性，但是v l a n 的这种解决方法它造成了可扩展性 方面的问题。v l a n 的不足主要有以下几个方面【| 7 】 v l a n 的限制 交换机可以连接的v l a n 数目的有限； s t p 比较复杂 对于每个v l a n ，每个相关的s p a n n i n gt r e e 的拓扑都需要管理； i p 地址的紧缺 划分i p 子网会造成一些i p 地址的浪费； 路由的限制 每个子网都需要相应的默认网关的配置。 西南交通大学硕士研究生学位论文第8 页 虽然虚拟局域网技术出现时间较为短暂，但是它推动了计算机网络的不 断向前发展，改变了传统网络的结构，同时也为新的网络应用推出了提供了 可能。 2 1 2v p l s 技术 局域网中应用最广泛的是以太网，已经成为局域网的标准技术【2 8 1 。很多 企业及其分公司通过i n t e m e t 来办公，还有便携式计算机也需要连接到公司 的内部网网络，因此实现不同地点的企业或者分支机构之间的互联和数据的 高效传输就成为亟待解决的问题之一【2 9 】。 2 1 2 1v p l s 技术原理 v p l s 技术( 虚拟专用局域网技术) 使分散在不同地理位置上的用户网 络可以相互通信。v p l s 是一种2 层v p n 技术，它采用了二层数据链路层技 术，在i p m p l s 中提供局域网互联的技术。它与m p l sv p n 类似，在骨干 网上，v p l s 通过两层标签封装完成数据帧的传输，从而实现多点对多点局 域网互联。对用户来说，中间的骨干网是透明的，不可见的，不同局域网用 户好像是在一个局域网中 3 0 】。 v p l s 中需要在各个p e ( 运营商网络边缘) 之间建立全网状的m p l s l s p ，p e 可以直接接收局域网中的以太帧，将二层以太网帧通过m p l s 进行 封装，并且根据该帧中的m a c 地址信息将数据转发到相应的l s p ，到达目 的端所在的局域网p 1 。 2 1 2 2v p l s 功能 v p l s 技术包括信令控制平面和数据转发平面两个层面。 在信令控制平面主要实现两大功能，成员发现和信令机制，前者是用于 寻找本v p l s 中所有其他p e ，后者主要实现v p l s 的p e 之间建立、维护和 拆除p w t “】。 在数据平面主要包括三大功能，封装、转发、解封装。 封装是指p e 对收到的以太帧进行封装然后发送到分组交换网络上；转 发根据报文的目的m a c 地址以及接收端口进行报文转发操作。在转发的操 作中，m a c 地址学习是p e 能将数据报文准确转发的前提。在v p l s 中，骨 干网相当与是一个交换机，交换机上所连接的用户的c e 设备m a c 地址都 存储在m a c 地址转发表中。除了m a c 地址学习功能外，v p l s 还具有泛洪 功能，当交换机接收到包含有未知m a c 地址的数据报文时，把该数据报文 西南交通大学硕士研究生学位论文第9 页 泛洪至除该端口之外的其他所有端口；解封装是指保证p e 从分组交换网络 上收到的以太帧能够解封装后转发到c e 3 2 】。 2 1 2 3v p l s 优缺点 v p l s 具备独立用户路由，组网更加灵活；用户路由震荡时，不会影响运 营商网络的稳定性；v p l s 技术是2 层v p n 技术，p e 与c e 之间基于二层交 换，用户可以使用任何三层协议；p e 不需维护路由表，对路由能力要求比较 低。但是v p l s 依然存在缺点，每个v p l s 都需要配置与其相关的p e 之间 的邻接关系，造成维护成本上升；局域网泛洪功能使得用户网络中的广播对 骨干网造成一定的影响；p e 之间的全网状网络的p e e r 形成网络扩展的一个 瓶颈。为了使广播风暴最小化需要优化网络的性能，如设置m a c 地址映射 表老化时间，限制广播包带宽等【3 3 1 。 2 1 3 局域网仿真技术( l a n e ) 2 1 3 1 局域网仿真介绍 a t m ，异步传输模式以固定长度为5 3 字节的信元作为交换的基本单位 【3 4 】。a t m 和l a n 是不同的技术，前者面向连接，后者支持无连接【3 5 】。局域 网仿真( l a n e ) 是在a t m 网络中仿真传统局域网的技术方案，为高层提供 m a c 子层【36 ，其目的是为了将a t m 网络转换成l a n ，实现a t m 网络与传 统局域网的互联互通的技术【3 7 】。 2 1 3 2 局域网仿真原理 局域网仿真为以太网和令牌环网，a t m 网络中的连接的建立由a t m 地 址来标识的，为了实现传统l a n 与a t m 的互通，必须进行地址解析、数据 传递等问题。局域网仿真服务是由仿真服务器、处理广播和未知地址的消息 的服务器、l a n 仿真配置服务器和l a n 仿真客户机【3 引。l a n e 包含仿真客 户与仿真服务器、配置服务器之间的控制信息和客户间的数据信息两种信息 报文。仿真局域网中有新的客户机加入时，先向仿真服务器注册，建立连接。 当主机发送报文时，利用已经建立的连接向仿真局域网内所有的主机广播 a r p 信息。目的主机响应并发送应答报文，回应自己的m a c 地址。在网络 边界处a t m 至l a n 转换器中有m a c 地址与a t m 地址的对应关系，将m a c 地址转化为主机所需要的a t m 地址，通知源端主机。源端主机使用获得的 a t m 地址建立连接，这样就完成源端主机和目的端主机的连接，可以在此连 接上传送报文【3 9 , 4 0 】。 西南交通大学硕士研究生学位论文第10 页 由上分析可以看出，局域网仿真发生在网络边缘设备和终端系统上，连 接的建立过程对用户来说是透明的，此时，面向连接的a t m 网络好象是无 连接的l a n 。 2 1 3 3 局域网仿真优缺点 局域网仿真的优点包括如下方面【4 l 】： 局域网仿真发生在数据链路层的m a c 子层，对于a t m 网络及以太 网主机来说是完全透明的，高层协议不需要改变； 限制了广播风暴； 网络拥塞小，性能高； 局域网仿真还存在一些问题： 不支持a t m 网络的，q o s 特性，局域网仿真的透明性特征是其重要 的优点，但是带来了a t m 网络重要的服务质量保障机制无法利用的 问题。 造成浪费资源，当客户机很多时，需要维持很多v c c ； 不能解决路由选择问题。 2 1 4 虚拟专用网( v p n ) 2 。i 。4 1 虚拟专用网概念 虚拟专用网( v i r t u a lp r i v a t en e t w o r k ) 不是真的专用网络，但却能够实 现专用网络的功能。在虚拟专用网中，任意两个节点之间的连接并没有传统 专网所需的端到端的物理链路，而是利用公众网的资源动态组成的。虚拟专 用网一般是建筑在i n t e m e t 上并且能够实现自我管理功能的专用网络【4 2 1 。 虚拟专用网的实现主要包括l 3 v p n 和l 2 v p n ，l 3 v p n 基于b g p 与 m p l s 技术，而l 2 v p n 则基于a t m 。与传统局域网相比较，v p n 能够提供 更强的安全性、可靠的服务质量保障机制、更好的扩充性以及方便的管理维 护特性。虚拟专用网可用于用户之间通过i n t e m e t 连接，也可以用于企业网 站之间安全通信【4 引。v p n 般有三部分组成客户机、传输通道和服务器，采 用在公共网络或专用网络上建立隧道进行数据传输，与普通网络连接的数据 传输不同。 2 1 。4 。2 虚拟专用网原理 实现v p n 的关键技术有隧道技术、加密技术、q o s 技术。 隧道技术是指用一种网络协议来传输另一种网络协议，一般有点到点隧 西南交通大学硕士研究生学位论文第1 1 页 道协议、第二层隧道协议和路由封装协议( g r e ) 4 4 1 。点到点隧道协议可以 在i n t e m e t 等支持t c p i p 协议的网络上建立v p n 连接，主机可以与服务器 建立点到点的隧道。第二层隧道协议压缩p p p 的帧，使用i p s e c 进行身份验 证和数据加密，拨号用户与网络中的某一点建立连接的机制。路由封装协议 ( g r e ) 是对将要通过隧道的报文封装g r e 报文头，通过网络进行透传，当 到达目的地时，进行解封装操作，将报文还原【4 5 】。 v p n 中的加密技术主要是为了保证数据的安全性和完整性，采用加密算 法，变换数据的表现形式实现数据加密的目的。i p s e c 就是在网络层实现加 密的加密标准【4 引。 仅靠隧道技术和加密技术建立的安全性高v p n 无法保证服务质量，给企 业用户的使用造成影响，因此q o s 技术在v p n 的实现中也占据着相当重要 的位置【4 5 1 。 2 1 4 43 虚拟专用网特性 虚拟专用网具备如下特性【4 6 j ： 保证传输数据的安全性，v p n 上建立在公网上，并且企业对其在v p n 中传输的数据的安全性要求较高，因此必须v p n 必须具有安全特性， 其隧道技术和加密技术，能够保证数据的安全完整； v p n 具有相应的服务质量( q o s ) 保证，由于网络拥塞的存在，可 能会造成v p n 性能不稳定，从而不能满足商家对于v p n 的要求， 因此必须有相应的q o s 技术保证v p n 的高效； v p n 具有可管理的能力，由于网络拓扑结构改变或者网络设备的增 加减少等操作，对网络管理造成了一定的影响，因此需要有固定的 管理方案以减轻网络管理方面的负担； v p n 还具有可用性、互操作性、可靠性等方面的特征。 2 2 本章小结 本章介绍了现有的虚拟网络技术，包括虚拟局域网( v l a n ) 技术、v p l s 技术、局域网仿真( l a n e ) 技术以及虚拟专用网( v p n ) 技术四种技术， 分别描述了这四种技术的原理、技术实现以及各自的优缺点等问题，为第三 章对本论文的研究课题( 基于s u p a n e t 的v p l n ( v i r t u a lp r i v a t el a n ) 虚 拟专用局域网技术的研究) 提供了参考和借鉴，在第三章中将会详细阐述 西南交通大学硕士研究生学位论文第12 页 v p l n 的实现方案以及工作流程等。 西南交通大学硕士研究生学位论文第13 页 第3 章v p l n 模型 图3 1 是v p l n 模型图，即基于s u p a n e t 的虚拟专用局域网模型。w - p l n ( v i r t u a lp r i v a t el a n ) ，全称为虚拟专用局域网，是一种在s u p a n e t 中提 供虚拟专用以太网桥接域的技术。其原理是s u p a n e t 的网关上建立虚链路， 将二层以太网帧用s u p a n e t 中专有帧e p f 帧头进行封装，由s u p a n e t 建 立虚连接进行转发。在两个或两个以上的用户u n i 之间通过点对点或者点对 多点的虚连接相连，用户如同在一个局域网中，对用户来说，s u p a 骨干网 变得透明，就好像所有的局域网用户直接连接在一个虚拟的交换机上，从而 实现不同局域网用户的透明通信。 图3 - 1v p l n 模型图 西南交通大学硕士研究生学位论文第14 页 3 1v p l n 单点对单点通信 以v p l n 模型中两个不同局域网之间透明通信的过程为例阐述v p l n 的 工作流程，如图3 2 所示： 图3 - 2s u p a n e t 连接两个不同局域网 源端主机与目的端主机分别位于两个不同局域网中，这两个不同局域网 通过s u p a n e t 的网关接入s u p a n e t 。源端主机与目的端主机进行通信， 为了实现v p l n 透明通信的目的，需要在s u p a