最新MLPS-VPN的关键技术分析.doc

《最新MLPS-VPN的关键技术分析.doc》由会员分享，可在线阅读，更多相关《最新MLPS-VPN的关键技术分析.doc（31页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-dateMLPS-VPN的关键技术分析MLPS VPN的关键技术分析MLPS VPN的关键技术分析摘要 随着Internet的普及和发展，基于MPLS的虚拟专用网技术引起了人们的广泛关注，它利用MPLS骨干网络去建立VPN，只需要在网络服务提供商所提供的网络上建立一条虚拟的线路进行网络交流。MPLSVPN不是依靠封装和加密技术，而是依靠转发表和数据包的标记来创建一个安全的VP

2、N。它势必成为未来网络安全研究和Internet应用的一个重要方向。MPLSVPN能够利用公用骨干网络的广泛而强大的传输能力，降低企业内部网络/Internet的建设成本，极大地提高用户网络运营和管理的灵活性，同时能够满足用户对信息传输安全性、实时性、宽频带、方便性的需要，所以，很受一些大型跨地域集团用户的欢迎。据研究，MPLSVPN代替租用专线能使远程站点的连接费用降低20%到47%，在远程投入的情况下，能降低60%至80%的成本。VPN在为用户产生效益的同时，也为自己开拓了广阔的发展前景。关键词：MPLSVPN技术1MPLS VPN技术的概念、工作原理 MPLS VPN是一种基于VPN技术

3、的IP-VPN, 是在网络路由和交换设备上应用MPLS 技术, 简化核心路由器的路由选择方式, 利用结合传统路由技术的标记交换实现的护虚拟专用网络(IP-VPN), 它是由Cisco 标记交换演变而来的IETF 的标准协议。标记表示路径和服务的属性, 在入口的边缘、流入的数据包被处理做上标记, 位于核心的设备仅仅读这些标记, 斌于适当的服务, 然后根据标记转发这些数据包, 对这些数据包的分析、分类和过滤只发生一次, 在进入边缘设备时, 经过出口的边缘设备时, 标记被移去, 数据包转发到最终目的地。2. 实现VPN的关键技术2.1 隧道技术 VPN区别于一般网络互联的关键是隧道的建立，然后数据经

4、过加密，按隧道协议进行封装、传输以保证安全性。现有两种类型的隧道协议，一种是二层隧道协议，用于传输第二层网络协议，它主要应用于构建远程访问VPN；另一种是三层隧道协议，用于传输第三层网络协议，它主要应用于构建InternetVPN和ExtranetVPN。2.2 加密技术 数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息，使非授权者不能了解被保护信息的内容。加密算法有IPSec的DES和三次DES。RC4虽然强度比较弱，但是保护免于非专业人士的攻击已经足够了；DES和三次DES的强度比较高，可以用来保护敏感的商业信息。2.3 QoS技术 通过加密技术和隧道技术已经能够建立起一

5、个具有安全性、互操作性的VPN。但是该VPN性能上不稳定，管理上不能满足业务的要求，这就要加入QoS技术。实现QoS技术应该在主机网络中，即VPN建立的隧道这一段，这样才能建立一条性能符合用户要求的隧道。2.4 用户认证技术 VPN需首要解决的问题就是网络上的用户与设备身份的认证，目前常用的方法是依赖于数字证书签发中心CA所签发的符合X.509规范的标准数字证书。在正式的隧道连接之前需要确认彼此的身份，这就需要通信双方提供彼此的数字证书，只有证书比对结果吻合才能进一步实施资源访问，否则不然。2.5 密钥管理技术 密钥，即密匙，一般范指生产、生活所应用到的各种加密技术，能够对各人资料、企业机密进

6、行有效的监管，密钥管理就是指对密钥进行管理的行为，如加密、解密、破解等等。3. MPLS VPN应用3.1 MPLS VPN组网应用 随着企业网络化办公环境的普及、办公自动化的提高与VPN技术的日益成熟, 特别特别是经营活动的全球化, MPLS VPN技术上述三种方式在电信运营网络和企业网中都获得了广泛的应用, 提供的业务包括带宽租赁和业务隔离。目前在运营商电信网中MPLS VPN还没有被广泛用于语音、视频、数据的多网融合, 更多的是为企业用户提供带宽租赁业务。在企业网络中MPLS VPN被用于业务隔离及多网融合, 同时也是安全管理的一部分。 电信运营网络采用MPLS VPN为企业提供带宽服务

7、, 并保证企业数据流的安全性和服务质量 。VPN业务豁要面向多种不同的用户, 承载多种不同的业务, 采用多种接入方式。运营商可以根据网络的实际情况及用户的需求开通最适合的VPN业务, 实现统一的资源调度。目前运营商已经能够提供多种VPN业务, 如.internet、Access VPN、intranet 、Extranet而且这些业务可以整合为“VPN套餐” 提供给企业。VPN为实现完整的VPN业务, 电信运营网络需要融合各种VPN技术, 包括MPLS VPN、IPSEC、L2TP、GRM、ATM等。 随着MPLS VPN技术及应用的日益成熟,MPLS VPN逐渐成为企业建网的一种思路, 代替

8、来的业务专网。例如, 在电子政务网中, 不同的政府机关.如政府部门, 财税部门机要部门等+ 有着不同的业务系统, 各业务系统之间的数据流多数是要求相互隔离的, 但是同时各业务系统之间可能存在着互访的需求。可以采用MPLS VPN技术实现不同业务系统之间的隔离, 对于不同业务系统之间的互访要求, 通过Extranet实现。在企业网络中, MPLS VPN通常和安全、认证等技术相配合, 作为一种增强的安全管理手段。网络边界运营商为企业网提供VPN服务, 而企业网内部也运行MPLS VPN的时候, 运营商和企业网的边界需要采用Carriers Carrier技术。在运营商之间或运营商内部的AS之间,

9、 需要实现跨AS的 VPN部署。3.2 MPLSVPN的典型应用方式 根据用户使用的情况和应用环境的不同特点，VPN技术大致可分为三种典型的应用方式，即：企业内联网VPN、企业外联网VPN和接入VPN业务。3.2.1 内部VPN（IntranetVPN） IntranetVPN应用主要是实现用户内部网络各LAN的安全互联。3.2.2外部VPN（ExtranetVPN）ExtranetVPN应用主要是将Intranet在范围上向外扩展，将若干个企业的IntranetVPN结合起来构成一个大的虚拟企业内部网络。从而为企业与它的业务伙伴提供灵活、安全的连接。例如企业间发生的收购、兼并或企业的战略联盟

10、，使不同企业通过CNCnet构建虚拟专用网。3.2.3 接入VPN（AccessVPN） 可以通过多种接入技术为企业的远程雇员提供与企业的连接。接入方法可以是用56K调制解调器，ISDN和XDSL。主要用于企业员工或企业的小分支机构通过远程拨号的方式构建的虚拟网。通常我们把AccessVPN又称为拨号VPN，即VPDN。4MPLSVPN技术的优势4.1 VPN实现网络安全 VPN以多种方式增强了网络的智能和安全性。具有高度的安全性, 对于现在的网络是极其重要的。新的服务如在线银行, 在线交易都裕要绝对的安全4.2 简化网络设计 网络管理者可以使用VPN替代租用线路来实现分支机构的连接。这样就可

11、以将对远程链路进行安装、配置和管理的任务减少到最小, 仅此一点就可以极大地简化企业广域网的设计。另外, VPN通过拨号访问来自于ISP或NSP的外部服务, 减少了调制解调器池, 简化了所需的接口, 同时简化了与远程用户认证、授权和记账相关的设备和处理。4.3 降低成本 许多技术承诺可以降低成本, 但VPN降低成本的方法是立即且显著的, 它可以降低:移动用户长途通信成本费；可以以每条连接40%到60%的成本对租用线路进行控制和管理，对国际电路成本节约是极为显著的；主要设备成本：VPN 通过支持拨号访问外部资源, 使企业可以减少不断增长的调制解调器费。另外它还允许许一个单一的WAN接口服务多种目的

12、, 从分支网络互连、商业伙伴的外连网终端, 本地提供高带宽的线路连接到拨号访问服务提供者。因此, 只需要极少的WAN接口和设备。另外, 由于VPN独立于初始的协议, 这就使得远端的接入用户可以继续使用传统的设备, 保护了用户在现有硬件和软件系统上的投资。4.4 容易扩展 如果企业想扩大VPN的容量和攫盖范围, 只需与新的ISP签约, 建立账户;或者与原有的ISP重签合约, 扩大服务范围。4.5 易于建立商业伙伴 在过去, 企业如果想与合作伙伴联网, 双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路。有了VPN之后, 这种协商已毫无必要, 真正达到了要连就连、要断就断。这样就可

13、以迅速捕捉商业机会, 建立可靠的商业伙伴关系。4.6 完全控侧主动权 VPN使企业可以利用ISP的设施和服务, 同时又完全掌握着自己网络的控制权。比方说, 企业可以把拨号访问交给ISP去做, 由自己负贵用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。4.7 支持新兴应用 许多专用网对于许多新兴应用准备不足, 如那些要求高带宽的多媒体和协作交互式应用。VPN则可以支持各种高级的应用, 如IP语音,IP传真, 还有各种协议等。5MPLSVPN和发展前景及存在的问题5.1发展前景5.1.1 MPLSVPN是实现三网融合的关键性技术和VPN 技术的发展方向 MPLSVPN非常适合对Qos

14、、Cos(服务级别) 、网络带宽、可靠性等要求高的VPN业务, 适合于远程互联的大中型企业专用网络。MPLSVPN不仅满足VPN用户对安全性的要求, 还减少了网络运营商和用户方的工作趁。MPLSVPN便于实现三网合一, 即在同一网络平台上实现基于IP 的数据、语音和视频的远程通信, 代表了VPN 的发展方向.5.1.2 在下一代网络的发展和应用 在向以IP v6为核心技术的下一代互联网过渡和发展中, MPLS VPN将是IP v4网络向IP v6网络过渡的重要手段和方式, 原因是MPLS VPN采用的VPN技术在IP v4 和IP v6网络均能使用。因此, 即使完全过渡到IP v6网络, MP

15、LS VPN技术仍然能使用;并且发展空间更广, 因为可充分利用IP v6 的安全特性和Qos特性改善和加强MPLS VPN, 使用户对它更有兴趣和信心。5.2MPLSVPN存在的问题 虽然MPLSVPN技术已经取得了更大的发展, 运营商也准备加大对MPLSVPN网络的建设, 但是MPLS在发展和应用中存在的问题如Qos问题、安全问题、标准化程度、多厂家设备的互通性问题等也不容忽视。相信经过MPLSVPN技术的不断完善和发展, 未来必将和IP 网络达到完美结合, 为用户提供更加满意的服务和更加丰富的业务, 成为VPN技术的主流。6MPLS L2VPN和L3VPN的比较及互通过程 MPLS L2V

16、PN提供基于MPLS（Multiprotocol Label Switching，多协议标签交换）网络的二层VPN服务，使运营商可以在统一的MPLS网络上提供基于不同数据链路层的二层VPN，包括ATM、FR、VLAN、Ethernet、PPP等。简单来说，MPLS L2VPN就是在MPLS网络上透明传输用户二层数据。从用户的角度来看，MPLS网络是一个二层交换网络，可以在不同节点间建立二层连接。相对于MPLS L3VPN，MPLS L2VPN具有以下优点：MPLS L2VPN只建立二层连接关系，不引入和管理用户的路由信息，可扩展性强；大大减轻了PE（Provider Edge，服务提供商边缘设

17、备）甚至整个SP（Service Provider，服务提供商）网络的负担，使服务提供商能支持更多的VPN和接入更多的用户；由于不引入用户的路由信息，MPLS L2VPN不能获得和处理用户路由，保证了用户VPN路由的安全性和可靠性。支持多种网络层协议：包括IP、IPX、SNA等。6.1 MPLS L2VPN和L3VPN的比较6.1.1支持的服务类型 L2相对于L3对用户业务类型的要求限制要少一些。对于L3的MPLS来说，由于路由协议和信令协议的限制面前只支持纯IP的业务，而L2VPN的解决方案由于采用二层的透传技术，对于客户的很多三层协议是透明的，包括:IPv4、IPv6、IPX， DECne

18、t，OSI，SNA协议等等。另外客户组播的实现可以用L2 VPN简单解决，L3 VPN实现复杂。尤其，现在很多的组织已经或者正在准备开始使用IPv6，将来也会有很多的企业向IPv6迁移。其间，还会涉及到对运营商边界路由器软件或者硬件上的升级。L2的VPN可以继续为这些企业用户提供VPN的业务。6.1.2组网能力 运营商在向客户通过MPLSVPN服务的时候可以采用多种的组网方式，MPLSL2和L3的VPN都支持以下的几种VPN组网方式:aPoint-to-Point.bHubandSpoke.cPartialMesh.dFullMesh.eOverlappingVPNs具体来说，L3 VPN对于

19、a,d,e组网方式的支持能力好。L2 VPN对a,b,c,d连接的能力强。L2 VPN直接采用VC的方式构建VPN站点直接的连接，相对于通过控制BGP的路由传递建立的L3 VPN来说，在组网的能力上更灵活一些。6.1.3网络扩展性 在对比L3解决方案和L2解决方案扩展性的时候我们可以发现许多共同的地方。一般来说对于MPLSVPN来说网络的扩展性主要受以下几个因素的限制。一个限制因素是运营商边界的LSR最大可以支持的LSP或者是VC的数量;另一个限制因素是运营商边界路由器上可以存储的配置文件的大小。配置文件包括边界路由器的全局路由信息和相关的VPN配置信息。对于L3的MPLSVPN来说，配置文件

20、包括VRF(virtual route forwarding )、RD、BGP扩展属性的信息和路由过滤的策略。对于 MPLS 2层的解决方案来说，配置文件包括VPN对等PE的静态配置信息以及端口和VPN之间的映射关系。如果在Layer2 MPLS VPN解决方案中引入VPN成员站点的自动发现机制，可以极大的简化Layer2 MPLS VPN的配置过程和控制配置文件的规模。 对于L3的解决方案来说，运营商边界PE上可以存储的路由的数量也是影响VPN扩展性的一个重要因素。运营商边界路由器上存储在来自所有成员 VPN的路由信息。减小运营商路由器PE上路由数量的方法是尽可能的对VPN的路由进行汇总。L

21、2解决方案同样也存在这样的限制，解决的方法是使用一定的策略对PE路由器上MAC地址的数量进行限制，防止来自VPN的大量源MAC地址信息使PE路由器溢出。6.1.4运营管理和维护管理和维护L3的MPLSVPN很复杂，作配置改动或者进行故障的检查和修复时，实际上主要是处理路由器BGP对等会话，各种扩展属性的BGP路由和路由器的发布和控制，以及运营商边界PE和客户路由器CE之间的对等关系。随着VPN用户数量的增加，运营商边界路由器的配置文件也将变得越来越庞大，网络的可运营可管理的能力也随之下降。对于Layer2MPLSVPN来说，情况相对要简单一些，因为运营商不需要管理和维护属于客户的路由信息。对于

22、大多数的Layer2MPLS VPN解决方案来说也不需要BGP作标签的分配和路由信息的传递。网络的管理和维护相对比较简单。6.1.5业务提供过程 L3MPLSVPN业务的提供需要运营商通过控制路由信息为用户定制VPN的网络拓扑。具体的说就是要设计包含客户路由信息的VRF，制定RD和路由属性的分配方法，比较复杂。相对来说，Layer2MPLS VPN的业务提供比较简单。运营商PE上只需要配置相应的PE之间的VC连接以及PE端口或者电路和VPN之间的映射。随着VPN自动发现机制的标准化，Layer2 MPLS VPN的配置将进一步的简化。6.1.6用户定位 L3 VPN路由管理主要由运营商管理，适

23、合于技术力量弱的客户。L2 VPN由用户管理路由，适合于技术力量强的大客户。6.1.7运营成本 对比两种MPLS VPN部署的成本，L3的解决方案要比L2的解决方案稍高一些。L3的解决方案要求运营商边界的PE路由器同时处理多个路由表，相对于 L2解决方案对边界路由器的要求要苛刻一些。特定的网络解决方案的运营维护成本主要取决于网络的复杂程度，网络越复杂，对网络运营管理人员的专业要求更高，业务开展的周期也会相应的延长。所以，在同等网络规模的前提下L3MPLSVPN的运营成本高于Layer2 MPLS VPN。6.2 L2VPN和L3VPN的互通过程 选择一台路由器作L3VPN的CE，用它的一条链路

24、连接到L3 MPLS VPN的PE；用另一条链路连接到L2VPN的PE，让它同时作L2VPN的CE，这样客户在L3VPN的路由会通过此CE路由器中转而传播到L2VPN的路由器中，同样L2VPN中所有路由器的路由可以通过此CE中转而传播到L3VPN网络中，从而实现L2VPN和L3VPN的互通。7.体会与展望 在这时一周的时间里，我学习了很多知识，也有很多感受。从一开始对MPLS VPN一无所知，对MPLS与VPN的关键技术也很不了解，我开始了独立的学习，借阅相关的资料与书籍，在网上查找相关资料与知识。让自己对论文中所涉及的技术与概念逐渐清晰。通过学习我认识到了MPLS VPN给我们现在生活带来的

25、便利以及它的远大市场前景。就MPLS本身而言，目前MPLS领域的研究热点主要关注于包括VPN在内MPLS应用，如QoS，流量工程等。具体到MPLSVPN，目前研究重点主要集中在解决MPLSVPN应用中可能遇到的一些问题。相信随着这些技术的不断成熟，通过MPLSVPN构建一个多业务的IP网络，为用户提供有QoS保障的业务，都将不再是一个梦想。参考文献1赵斌MPLS和VPN体系结构（CCIP版）人民邮电出版社，20032王双勇，陈善学传统VPN与MPLSVPN对VPN网络可扩展性的比较J信息技术，2005（12）：108-1113陈海雯，林生新一代网络技术MPLSVPN工作机制解析J微机发展，2005（12）：129-1344刘红娟，杨振启基于MPLS技术的VPN研究J计算机安全，2005（8）：38-40-