基于MPLS技术的VPN网络实现课程设计.doc

目 录1、前言22、VPN技术原理32.1 VPN原理32.2 VPN基本要求32.3 实现VPN的关键技术43、 MPLS技术原理53.1 MPLS的标签结构53.2 MPLS网络工作原理54、 在MPLS上实现VPN64.1 MPLS/VPN中标签分组的转发64.2 三层VPN-MPLS VPN75、MPLS VPN的应用85.1 MPLS VPN的典型应用方式86、结 论91、前言 VPN技术广泛的应用于国家国防军队通信和远程指挥网络平台的搭建；应用于企业网Intranet、远程访问、企业外部网Extranet、企业内VPN网络的建设；应用于网络游戏领域中基于VPN网络游戏大型网络平台的实施；应用于电子商务领域中公司、分公司于顾客间应用平台的建设；同时随着教育领域资源共享的开放性程度逐渐扩大，VPN技术也更为广泛的应用于教育事业、校园网建设等网络的建设；甚至在未来的发展中也将更为广泛的应用于可提供更加安全的、速度更快的、易用性更好的连接平台的无线网络。使用VPN可降低成本，通过公用网来建立VPN，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护广域网设备和远程访问设备；传输数据安全可靠，虚拟专用网产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性；连接方便灵活，用户如果想与合作伙伴联网，如果没有虚拟专用网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网之后，只需双方配置安全连接信息即可；完全控制，虚拟专用网使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。虚拟专用网架构中采用了多种安全机制，如隧道技术、加解密技术、密钥管理技术、身份认证技术等，通过上述的各项网络安全技术，确保资料在公众网络中传输时不被窃取，或是即使被窃取了对方亦无法读取数据包内所传送的资料。虚拟专用网虽然是一项刚刚兴起的综合性的网络新技术，但却已经显示了其强大的生命力。随着MPLS技术的发展和应用，基于MPLS的虚拟专用网（MPLS VPN）技术引起了人们的广泛关注，它利用MPLS骨干网络去建立VPN，只需要在网络服务提供商所提供的网络上建立一条虚拟的线路进行网络交流。MPLS VPN不是依靠封装和加密技术，而是依靠转发表和数据包的标记来创建一个安全的VPN。MPLS VPN具有安全性好、扩展性强、控制策略灵活、管理功能强、能够实现IP网中QoS与流量工程、具有业务融合能力和服务级别协议以及为用户节省费用等特点。2、VPN技术原理2.1 VPN原理虚拟专用网（VPN）指的是依靠ISP和其他NSP（网络服务提供商）在公用网络中建立专用的数据网络。VPN可以通过特殊加密的通讯协议连接到Internet上，在位于不同地方的两个或多个企业内部网之间建立一条专有得通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。VPN技术是广域网建设的最佳解决方案，它不仅会大大节省广域网的建设和运行维护费用。而且拥有成本低、便于管理、开销小、灵活度高、保密性好等优点。为了实现虚拟连接线路，VPN网络采用了“隧道”技术。“隧道”技术就是模仿点对点连接，他依靠Internet服务提供商和其他的网络服务提供商在公共网中建立自己专用的“隧道”，让数据包在这条隧道上传输。2.2 VPN基本要求VPN的基本要求主要有安全性、性能、管理问题、互操作。这四个基本要求是VPN的整体性能评价的标准。（1）安全性。VPN提供用户一种私人专用的感觉，因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。VPN的安全性可通过隧道技术、加密和认证技术得到解决。在Internet VPN中，要有高强度的加密技术来保护敏感信息；在远程访问VPN中要有对远程用户可靠的认证机制。（2）性能。VPN要发展，其性能至少要高于传统方法。尽管网络速度不断提高，但在因特网时代，随着电子商务活动的激增，网络经常会发生拥塞，这给VPN性能的稳定带来极大的影响。因此，VPN解决方案应能够让管理员进行通信控制来确保其性能。通过VPN平台，管理员定义管理策略来激活基于重要性的入口带宽分配。这样不仅能确保对数据丢失有严格要求和高优先级应用的性能，而且不会“饿死”低优先级的应用。（3）管理问题。由于网络设施、应用不断增加，网络用户所需的IP地址数量持续增长，对越来越复杂的网络进行管理，网络安全处理能力的大小是VPN解决方案好坏至关紧要的区分。所以，VPN要有一个固定的管理方案来减轻管理、报告等方面的负担。管理平台要有一个定义安全策略的简单方法，将安全策略进行分布，并管理大量设备。（4）互操作。在Internet VPN中，企业要与不同的客户及合作伙伴建立联系，VPN解决方案一而不同。所以，企业的VPN产品应该能够同其他厂家的产品进行互操作。这要求所选择的VPN方案应该是基于工业标准和协议的。这些协议有Internet安全协议、点到点隧道协议、第二层隧道协议等。 2.3 实现VPN的关键技术（1）隧道技术。VPN区别于一般网络互联的关键是隧道的建立，然后数据经过加密，按隧道协议进行封装、传输以保证安全性。现有两种类型的隧道协议，一种是二层隧道协议，用于传输第二层网络协议，它主要应用于构建远程访问VPN；另一种是三层隧道协议，用于传输第三层网络协议，它主要应用于构建Internet VPN和Extranet VPN。（2）加密技术。数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息，使非授权者不能了解被保护信息的内容。加密算法有IPSec的DES和三次DES。RC4虽然强度比较弱，但是保护免于非专业人士的攻击已经足够了；DES和三次DES的强度比较高，可以用来保护敏感的商业信息。（3）QoS技术。通过加密技术和隧道技术已经能够建立起一个具有安全性、互操作性的VPN。但是该VPN性能上不稳定，管理上不能满足业务的要求，这就要加入QoS技术。实现QoS技术应该在主机网络中，即VPN建立的隧道这一段，这样才能建立一条性能符合用户要求的隧道。（4）用户认证技术。VPN需首要解决的问题就是网络上的用户与设备身份的认证，目前常用的方法是依赖于数字证书签发中心CA所签发的符合X.509规范的标准数字证书。在正式的隧道连接之前需要确认彼此的身份，这就需要通信双方提供彼此的数字证书，只有证书比对结果吻合才能进一步实施资源访问，否则不然。（5）密钥管理技术。密钥，即密匙，一般范指生产、生活所应用到的各种加密技术，能够对各人资料、企业机密进行有效的监管，密钥管理就是指对密钥进行管理的行为，如加密、解密、破解等等。3、 MPLS技术原理3.1 MPLS的标签结构MPLS即是多标志交换协议。标签是LSR用于转发网络层数据报的定长头，它的格式依赖于OSI体系结构的链路层网络的类型。在ATM中FR作为链路层时，IETF建议直接采用VPI/VCI或DLCI作为标记。如Ethernet，PPP等一些没有内部标记结构的链路层就在二、三层间加上规定格式的32b定长标记。其中：Label长度为20b，标签值字段，它用于转发的地址。Exp长度为3b，此段保留，没有明确规定，通常用于服务业务等级（Class of Service, CoS）。S长度为1b，此段是堆栈标识符，用于标识MPLS标签是否为最底层的标签（值为1表示是）。TTL长度为8b，此段表示生存周期，用于避免路由环路，每经过一个路由器，TTL的值减1（值为0即表示无论该数据包是否传送到目的地，网络都将其丢弃）。标签可以包含一个或多个标记条目。所有条目都由上述的4个字段组成，多个标记条目的有序集合就构成了标记栈。在MPLS VPN网络中，为了加快转发速度，使用两级MPLS标签。第1级标签与到达一个出口PE路由器的路由关联。第2级标签控制分组在出口PE路由器上的转发。 3.2 MPLS网络工作原理MPLS的出现是源于早期的IP交换，其目的是将各种IP路由和ATM交换技术兼容并蓄，以提供一种更具有弹性、扩充性以及效率更高的宽带交换路由。与标记交换（Tag Switching）、ATM交换技术等技术类似，MPLS引入了标记（Label）的概念，在MPLS网中数据的传输靠标记引导。MPLS主要的作用是在无连接的IP协议平台基础上，建立面向连接的传输，能够为扩展性、VPN、QoS以及与ATM的互操作提供解决方案1。一个MPLS网络的核心结构组成为：标记边缘交换路由器（Label Edge Switch Router, LER）、标记交换路由器（LSR）。通过标记分发协议LDP,LER和LSR、LSR和LSR之间完成标记信息的分发。网络路由信息来自一些共同的路由协议，如开放式最短路径优先（Open Shortest Path First, OSPF）、边界网关协议（Boundary Gateway Protocol, BGP），根据路由信息决定如何完成交换路径LSP的建立。 当一个未被标记的分组（IP包、帧中继或ATM信元）到达MPLS标记边缘路由器（LER）时，入口LER根据输入分组头查找路由表以确定通向目的地的标记交换路径LSP，把查找到的对应LSP的标记插入到分组头中，完成端到端IP地址与MPLS标记的映射。每个MPLS节点的标记都放在一个所谓的标记信息库（LIB）中，这时需要用最短路径优先（OSPF）、边界网关协议（BGP）等传统路由协议，而且采用MPLS的标记分发协议（LDP）将其转发到下一跳的标记交换路由器LSR。核心LSR接收到标记IP数据包后，将标记抽出并作为索引查找LSR中的标记转发信息表，如标记转发信息表中有相应的项，则将输出标记添加到包头，并替代了标记的IP数据包发送到下一跳的输入接口。这个以新标记取代旧标记的过程在MPLS中称为标记互换，各个中间的路由器以相同的方法转发IP数据包，直到数据包到达离开MPLS域的标记边缘路由器（LER）。当IP数据包从核心LSR到边缘LER时，边缘LER发现该IP数据包的出口时一个非标记接口，MPLS的出口标记路由器将完成标记与IP地址的映射，将IP数据包中的标记去掉后继续进行基于第三层的IP转发。1MPLS技术的真正优势在于它提供了控制和转发的完全分离。4、 在MPLS上实现VPN4.1 MPLS/VPN中标签分组的转发 图4.1 MPLS VPN 拓扑图通过MP-BGP协议各个VPN用户路由器学习到正确的路由，现在看看图4.1中如何转发用户数据的。（1）RT6接收到发往RT8的IP数据包，查询路由表，把该IP数据包发送到RT4。（2）RT4从S0/1口上收到IP数据包后，根据S0/1所在的VRF，查询对应的CEF表，数据包打上标签8，注意该标签就是通过MP-BGP协议传来的。RT4继续查询全局CEF表，获知要把数据发往RT8，必须先发送到RT5，而要发送到RT2，则必须打上由RT2告知的标签2。所以该IP包被打上了两个标签。（3）RT2接收到标签包后，分析顶层的标签，把顶层标签换成4，继续发送的RT3。（4）RT3和RT2一样做同样的操作，由于次末中继弹出机制，P2去掉标签4，直接把只带有一个标签的标签包发送的RT5。（5）RT5收到标签包后，分析标签头，由于该标签8是它本地产生的，而且是本地唯一的，所以RT5很容易查出带有标签8的标签包应该去掉标签，恢复IP包原貌，从S0/1端口发出。（6）RT8获得IP数据包后，进行数据处理。4.2 三层VPN-MPLS VPN三层VPN是专门为VPN所设计的，建设在MPLS网络的基础设施之上，即感知VPN的网络。三层VPN网络的主要组成部分包括：PE路由器、P路由器和网关路由协议（BGP）。PE路由器拥有并维护与其直接相连的VPN的路由信息。PE路由器负责将VPN客户的普通数据包打上标记和去除标记，因此PE路由器必须是一个边缘标记交换路由器。在PE路由器上，为每一个VPN设定了一个虚拟路由转发表（VRF），只处理该VPN的路由信息。PE路由器只通过该虚拟路由转发表与VPN用户交换路由信息（可以采用任何一种动态路由协议）。同时PE路由器上还有一个全局路由表，维持MPLS骨干网所需的路由信息。各个路由转发表之间相互隔离，每一个端口（包括物理的和逻辑的）都只能属于一个路由转发表，保证各VPN用户之间的私密性。 每个虚拟路由转发表采用一个路由区分符（RD）来区分彼此的路由，64位的RD加上32位的普通IP地址组成96位全网唯一的VPNIPv4地址。通过这种方式，三层VPN可以允许不同的VPN内部采用相同的地址而互不影响。PE路由器之间通过RFC2283定义的多协议扩展的网关路由协议（MPBGP）来传递VPNIPv4地址，同时参与传递的还有与该地址对应的扩展BGP属性和VPN标记。其中一项扩展BGP属性是路由目的（RT），用来控制路由信息到虚拟路由转发表之间的引入和引出关系。 当VPN用户的数据包通过任一端口进入PE路由器时，PE路由器只调用与此端口对应的虚拟路由转发表来处理此数据包。PE路由器会将此数据包打上两层标记，其中外层标记为IGP标记，指示从该PE路由器到目的PE路由器的路径；内层标记为VPN标记，指示在目的PE路由器上属于哪个VPN的信息。P路由器是MPLS网络的标记交换路由器，完全依据标记进行转发。由于P路由器完全不须要读取原始的数据包信息来作出转发决定，P路由器不须要拥有VPN的路由信息，因此P路由器只参与骨干IGP的路由。这种三层VPN的实现方式从根本上改变了传统的基于点到点的VPN实现方式，它利用了MPLS网络中标记的灵活性和多样性，将每一个VPN作为一个逻辑网络，依附在MPLS骨干网之上，各个用户节点只须简单加入或退出，就可以组建特定的VPN网络。 5、MPLS VPN的应用随着Internet的普及和发展，基于MPLS的虚拟专用网技术引起了人们的广泛关注，它势必成为未来网络安全研究和Internet应用的一个重要方向。MPLS VPN能够利用公用骨干网络的广泛而强大的传输能力，降低企业内部网络/Internet的建设成本，极大地提高用户网络运营和管理的灵活性，同时能够满足用户对信息传输安全性、实时性、宽频带、方便性的需要，所以，很受一些大型跨地域集团用户的欢迎。据研究，MPLS VPN代替租用专线能使远程站点的连接费用降低20%到47%，在远程投入的情况下，能降低60%至80%的成本。VPN在为用户产生效益的同时，也为自己开拓了广阔的发展前景。 5.1 MPLS VPN的典型应用方式根据用户使用的情况和应用环境的不同特点，VPN技术大致可分为三种典型的应用方式，即：企业内联网VPN、企业外联网VPN和接入VPN业务。（1）内部VPN（Intranet VPN）Intranet VPN应用主要是实现用户内部网络各LAN的安全互联。（2）外部VPN（Extranet VPN）Extranet VPN应用主要是将Intranet在范围上向外扩展，将若干个企业的Intranet VPN结合起来构成一个大的虚拟企业内部网络。从而为企业与它的业务伙伴提供灵活、安全的连接。例如企业间发生的收购、兼并或企业的战略联盟，使不同企业通过CNC net构建虚拟专用网。（3）接入VPN（Access VPN）可以通过多种接入技术为企业的远程雇员提供与企业的连接。接入方法可以是用56K调制解调器，ISDN和XDSL。主要用于企业员工或企业的小分支机构通过远程拨号的方式构建的虚拟网。通常我们把Access VPN又称为拨号VPN，即VPDN。 6、结 论在这段时间里面，我学到了很多知识也有很到感受。从一开始对VPN一无所知，对MPLS与VPN的关键技术很不了解，我开始了独立的学习与实验，到图书馆借阅相关的资料与书籍，让自己对论文中所涉及的技术与概念逐渐清晰。我按照老师的指导一步一步去完善我的论文。每一次的完善我都得到收获，我都会兴奋不已。从中我认识到了VPN给我们现在生活带来的便利与远大的市场前景。就MPLS本身而言，目前MPLS领域的研究热点主要关注于包括VPN在内MPLS应用，如QoS，流量工程等。具体到MPLS VPN，目前研究重点主要集中在解决MPLS VPN应用中可能遇到的一些问题，例如VPN跨自治域，VPN组播等。以后我会继续深入研