基于MPLS二层VPN技术的的研究

1基于MPLS二层VPN技术的研究院系:计算机学院班级：193112学号：2011100865姓名：李铎成绩：2013年7月6日2目录:摘要-研究内容第一章VPN技术简述1.1VPN的产生与定义2-31.2VPN的分类41.3VPN的关键技术4第二章MLPS技术简述2.1MPLS的几个相关的基本概念5-62.2MPLS的基本概念6-72.3MPLS的体系结构8第三章MPLSVPN3.1虚拟专用网(VPN)93.2MPLSVPN的组成93.3.1MPLSVPN的优点103.3.2MPLSVPN面临的问题10-113.4MPLSL2VPN和L3VPN的比较113.5MPLSL2VPN和L3VPN的互通12致谢13参考文献13摘要:随着计算机通信网络在世界范围内的迅猛发展,专用网络已经成为网络中一个极为重要的部分,而VPN(虚拟专用网络)则是一种新兴的业务,由于它能够使用现有的公共网络为企业或特定的用户建立虚拟的专用网络,节省用户的组网与维护成本,因此这种技术正在受到越来越密切的关注。新型的VPN技术不断涌现,特别是MPLS(多协议标签交换)技术的出现,使整个Internet的体系结构都发生了变化。采用MPLS实现VPN的技术方案不仅改善了传统IP网络、帧中继和ATM网络的缺陷,还具备了信息传输安全性、实时性、宽频带、方便性和较低建设成本的优点,能很好地适应客户对VPN业务的需求。全球各大网络设备厂商都纷纷投入到MPLS的研究中,虽然基于MPLS的三层VPN已经开始应用,但是对基于MPLS二层VPN来说,成熟的产品并不是很多。本论文根据这种状况,在路由器上研究基于MPLS二层VPN。论文首先介绍了VPN和MPLS技术的基本原理,分析了MPLSL3VPN和MPLSL2VPN两种技术的优缺点;关键字：MPLSMPLS-L2-VPNVPN3第一章VPN技术简介VPN即虚拟专用网，是通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。通常，VPN是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。虚拟专用网（VirtualPrivateNetwork，VPN）是一种“基于公共数据网，给用户一种直接连接到私人局域网感觉的服务”。VPN极大地降低了用户的费用，而且提供了比传统方法更强的安全性和可靠性。VPN可分为三大类：（1）企业各部门与远程分支之间的IntranetVPN；（2）企业网与远程（移动）雇员之间的远程访问（RemoteAccess）VPN；（3）企业与合作伙伴、客户、供应商之间的ExtranetVPN。1.1VPN的产生与定义VPN产生的背景：在经济全球化的今天，随着网络，尤其是网络经济的发展，客户分布日益广泛，合作伙伴增多，移动办公人员也随之剧增。传统企业网基于固定地点的专线连接方式，已难以适应现代企业的需求。在这样的背景下，远程办公室、公司各分支机构、公司与合作伙伴、供应商、公司与客户之间都可能要建立连接通道以进行信息传送。而在传统的企业组网方案中，要进行远程LAN到LAN互联，除了租用DDN专线或帧中继之外，并没有更好的解决方法。对于移动用户与远端用户而言，只能通过拨号线路进入企业各自独立的局域网。这样的方案必然导致高昂的长途线路租用费及长途电话费。于是，虚拟专用网VPN（VirtualPrivateNetwork）的概念与市场随之出现。利用VPN网络能够获得语音、视频方面的服务，如IP电话业务、电视会议、远程教学，甚至证券行业的网上路演、网上交易等等。VPN的定义：VPN架构中采用了多种安全机制，如隧道技术（Tunneling）、加解密技术（Encryption）、密钥管理技术、身份认证技术（Authentication）等，通过上述的各项网络安全技术，确保资料在公众网络中传输时不被窃取，或是即使被窃取了，对方亦无法读取数据包内所传送的资料。虚拟专用网(VirtualPrivateNetwork)简称VPN，是建立在公共网络平台上的虚拟专用网络。顾名思义，虚拟，是因为它不提供物理上的端到端的专有连接；专用，是因为它可以在LAN、WAN等之间的网络通道里共享信息，为某一企业、团体服务。虚拟专用网络是专用网络的延伸，它包含了类似Internet的共享或公共网络链接。通过VPN可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据。这个学名叫虚拟专用网络的VPN到底是个什么呢？比方说：从北京到广州的班机，VPN就如机场在众多的的主干班机上辟出的一条临时专用班机来供贵宾直通到广州。并且，VPN的存在不会影响其它信息照常传递，又能像传统的4专网一样保障内部信息在公共信道上传输时的机密性、完整性和可用性。如果说得再通俗一点，VPN实际上是线路中的线路，类型于城市大道上的公交专用线，所不同的是，由VPN组成的线路并不是物理存在的，而是通过技术手段模拟出来，即是虚拟的。不过，这种虚拟的专用网络技术却可以在一条公用线路中为两台计算机建立一个逻辑上的专用通道，它具有良好的保密和不受干扰性，使双方能进行自由而安全的点对点连接，因此被网络管理员们非常广泛地关注着。公众信息网是对整个社会开放的公众基础网络，具有覆盖范围广、速度快、费用低、使用方便等特点。VPN技术就是利用公众信息网中传输,就如同在茫茫的广域网中为用户拉出一条专线。对于用户来讲，公众网络起到了“虚拟专用”的效果。通过VPN，网络对每个使用者也是专用的。也就是说，VPN根据使用者的身份和权限，直接将使用者接入他所应该接触的信息中。所以VPN对于每个用户，也是“专用”的，这一点应该是VPN给用户带来的最明显的变化1.2VPN的分类根据不同的划分标准，VPN可以按几个标准进行分类划分1.按VPN的协议分类VPN的隧道协议主要有三种，PPTP，L2TP和IPSec，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPSec是第三层隧道协议，也是最常见的协议。L2TP和IPSec配合使用是目前性能最好，应用最广泛的一种。2.按VPN的应用分类1)AccessVPN（远程接入VPN）：客户端到网关，使用公网作为骨干网在设备之间传输VPN的数据流量。从PSTN、ISDN或PLMN接入。2)IntranetVPN（内联网VPN）：网关到网关，通过公司的网络架构连接来自同公司的资源。3)ExtranetVPN（外联网VPN）：与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接3.按所用的设备类型进行分类网络设备提供商针对不同客户的需求，开发出不同的VPN网络设备，主要为交换机，路由器，和防火墙1）路由器式VPN：路由器式VPN部署较容易，只要在路由器上添加VPN服务即可只支持简单的PPTP或IPSEC。2）交换机式VPN：主要应用于连接用户较少的VPN网络3）防火墙式VPN：防火墙式VPN是最常见的一种VPN的实现方式，许多厂商都提供这种配置类型1.3VPN的关键技术1.隧道技术实现VPN的最关键部分是在公网上建立虚信道，而建立虚信道是利用隧道技术实现的，IP隧道的建立可以是在链路层和网络层。第二层隧道主要是PPP连接，如PPTP，L2TP，其特点是协议简单，易于加密，适合远程拨号用户;第三层隧道是IPinIP，如IPSec，其可靠性及扩展性优于第二层隧道，但没有前者简单直接。注：VPN的速度和效果取决与运营商的所提供的线路质量来决定的。52.隧道协议隧道是利用一种协议传输另一种协议的技术，即用隧道协议来实现VPN功能。为创建隧道，隧道的客户机和服务器必须使用同样的隧道协议。1)PPTP（点到点隧道协议）是一种用于让远程用户拨号连接到本地的ISP，通过因特网安全远程访问公司资源的新型技术。它能将PPP（点到点协议）帧封装成IP数据包，以便能够在基于IP的互联网上进行传输。PPTP使用TCP（传输控制协议）连接的创建，维护，与终止隧道，并使用GRE(通用路由封装)将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。2)L2TP协议：L2TP是PPTP与L2F（第二层转发）的一种综合，他是由思科公司所推出的一种技术3)IPSec协议：是一个标准的第三层安全协议，他是在隧道外面再封装，保证了隧在传输过程中的安全。IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证，正是这一点才使IPSec可以确保包括远程登录，电子邮件，文件传输及WEB访问在内多种应用程序的安全。4)SSLVPN（安全套接层协议）是网景公司提出的基于Web应用的在两台机器之间提供安全通道的协议。它具有保护传输数据积极识别通信机器的功能。SSL主要采用公开密钥体制和X509数字证书技术在Internet上提供服务器认证，客户认证，SSL链路上的数据的保密性的安全性保证。被广泛用于Web浏览器与服务器之间的身份认证和加密传输。第二章MPLS的技术简述MPLS（Multi-PropocolLabelSwitching）即多协议标记交换，属于第三代网络架构，是新一代的IP高速骨干网络交换标准，由IETF（InternetEngineeringTaskForce，因特网工程任务组）提出。MPLS采用简化了ATM的技术，来完成第三层和第二层的转换。它可以为每个IP数据包提供一个标记，与IP数据包一起封装到新的MPLS数据包，由此决定IP数据包的传输路径以及优先顺序。MPLS协议特点就是使用标记交换（LabelSwitching），网络路由器只需要判别标记后即可进行转送处理；并且MPLS支持任意的网络层协议（IPV6、IPX、IP等）及数据链路层协议（如ATM、FR、PPP等）。MPLS路由器会在将IP数据包按相应路径转发之前读取该MPLS数据包的包头标记，而不会去读取每个IP数据包中的IP地址位等信息，因此数据包的交换转发速度大大加快，所以称MPLS为2.5层协议。MPLS可以使用各种第二层协议。MPLS工作组到目前为止已经把在帧中继、ATM、PPP链路以及IEEE802．3局域网上使用的标记实现了标准化。MPLS在帧中继和ATM上运行的一个好处是它为这些面向连接的技术带来了IP的任意连通性。MPLS网络工作的机制就是在MPLS网络外部通过IP进行三层路由查找，在MPLS网络内部通过对标签的查找实现二层交换2.1MPLS的几个相关的基本概念转发等价类（ForwardingEquivalenceClass）：指以同样方式（如相同的转发处理策略、相同的路径等）转发的一组IP包。虽然它们的业务类别相同、处理策略相同，或者遵循相同的路径，但它们并不一定同源。帧合并（FrameMerge）：在基于帧的应用（比如ATM／FR等）进行的标签合并。标签(Label)：一个短的定长的物理(编码)上连续的识别符，用于标识一个FEC，通常具有本地意义，由包携带。6标签分配协议（LabelDistributionProtocol,LDP）：在MPLS接点之间分配、发布、维护和回收标签资源的协议。标签合并（LabelMerging）：在某个LSR上将特定FEC的多个入标接替换为一个出标签的过程。标签交换（LabeISwap）：一种基本的转发操作，捡索入标签以得到出标签、封装形式、端口以及其他处理信息。它通过标签识别同类的包，以相同的方式转发。标签交换路径（LabelSwitchedPath，LSP）：在同一个网络层次上通过一个或多个LSR的路径，特定FEC的包遵循该路径。标签交换路由器（LabelSwitchingRouter，LSR）：支持MPLS的路由器称为标签交换路由器，亦即可以进行第三层包转发的MPLS节点。环路检测（LoopDetectio