毕业论文-vpn技术在局域网中的应用经典收藏

毕业论文-vpn技术在局域网中的应用经典收藏内容摘要：

，能够实现标签分发并能够根据标签转发分组的交换机或路由器都属于 LSR。 标签分发的基本功能是使得 LSR 能够将其标签绑定分发给 MPLS 网络中的其他 LSR。 在体系结构中根据它们在网络基础设施中提供的功能区分为边缘 LSR、 ATMLSR 和 ATM 边缘LSR。 边缘 LSR 是在 MPLS 网络边缘执行标签压入或标签弹出的路由器。 ATMLSR 是可以用作 LSR的 ATM 交换机， ATMLSR 在控制层面执行 IP 路由选择和标签分配 ，并在数据层面上使用传统的ATM 信元交换机制来转发数据分组。 表 对各种 LSR 实现的功能作了总结 表 各种 LSR 执行的操作 LSR 类型 执行的操作 LSR 转发带标签的分组 边缘 LSR 可以接收 IP 分组，执行第三 层查找，并在将分组转发给 LSR 域之前加入标签栈 可以接收带标签的分组、删除标签，执行第三层查找，并将分组转发给下一跳 ATMLSR 在控制层面运行 MPLS 协议来建立 ATM 虚电路 将带标签的分组作为 ATM 信元进行转发 ATM 边缘 LSR 可以接收带标签或不带标签的分组，将分组分割成 ATM 信元，并将信元转发给下一跳 ATMLSR 可以接收来自邻接 ATMLSR 的 ATM 信元，将信元重新组装为原来的分组，然后将它们作为带河南农业大学理学院本科毕业论文 10 标签或不带标签的分组进行转发 （ 2）网络边缘的标签加入 标签加入指的是在分组进入 MPLS 域时，给它预先设置标签的操作。 这是一种边缘功能，意味着标签在被转发到 MPLS 域之前被加上标记。 要实现这种功能，边缘 LSR 需要知道分组将被发送到哪里，应该给它加上哪种标签或标签栈。 在传统的第三层 IP 转发技术中，网络的每跳都在 IP 转发表中查找分组的第三层报头中的 IP 目标地址，在每次查找中，都将选择分组的下一跳的 IP 地址，并最终通过一个接口将分组发送到目的地。 在 MPLS 体系结构中，第一项功能叫做转发等价类（ Forwarding Equivalence Class,FEC） ,可以将它们看做是一组以相同方式 、通过相同路径、相同的转发处理方式转发的 IP 分组，转发等价类可能对应于一个目标 IP 子网，也可能对应于边缘 LSR 认为有意义的任何数据流类。 当分组转发到下一跳时，下一跳会查找本地的标签转发信息库（ Label Fowarding Information Base,LFIB） ,并将为自己分配的入栈标签交换为其邻接的 下一跳 LSR 分配的出栈标签，从而实现将分组发送到目的地。 图 说明了标签加入和转发的整个过程 注：图中为提高转发性能采用倒数第二跳机制。 图 标签的加入和转发 （ 3） MPLS 分组 转发和标签交换路径 所有的分组都是通过入口 LSR 进入 MPLS 域，并通过出口 LSR 离开 MPLS 域的。 这种机制创建了标签交换路径（ Label Switched Path,LSP）， LSP 的创建是面向连接的，因为在传输数据流之前必须建立路径。 河南农业大学理学院本科毕业论文 11 分组通过 MPLS 域的时候，每个 LSR 都会将入栈标签转换成出栈标签，这一过程持续到最后一个 LSR（即出口 LSR）。 在此过程中，每个 LSR 上都保存了两张表，一张叫做标签信息数据库（ Label Information Base,LIB） ,其中包含了该 LSR 分配的所有标签，以及 这些标签与从所有邻接 LSR 收到的标签之间的映射。 第二张表叫做标签转发信息库（ Label Fowarding Information Base,LFIB），它被用于实际转发分组，该表只保存有 MPLS 转发部件当前使用的标签。 图 和图 分别说明了 LSR和边缘 LSR 的组件体系结构。 图 LSR 组件体系结构 图 边缘 LSR 组件体系结构 河南农业大学理学院本科毕业论文 12 MPLS 在 VPN 中的应用与实现 [9] MPLS 技术可以通过使用伪线路技术，在 OSI 参考模型的第 2 层和第 3 层提供 VPN 解决方案。 基于 MPLS 的 VPN 架构真正的亮点所在是这种基于网络的 VPN 解决方案每个站点只需要一条到本地 PE 路由器的连接，而传统的叠加方式需要为每个站点提供到其他任何站点的连接，并且需要在这些连接之间运行路由邻接关系，无法满足当今通常所需的客户连接的规模和数量。 在第 3 层 MPLS VPN 架构中定义了几种网络组件，这些组件在整体架构框架内执行不同的功能，组合起来用于提供第三层 VPN 服务。 • 提供商网络（ P 网络）：由服务提供商管理的核心 MPLS/IP 网络。 • 提供商路由器（ P 路由器）：部署在提供商网络内部的 MPLS/IP 路由器，不提供任何便捷服务连接。 • 提供商边界路由器（ PE 路由器）：服务提供商的边界路由器，提供 VPN 终端客户连接和服务。 • 自主系统边界路由器（ ASBR 路由器）：服务提供商的自主系统边界路由器，提供到邻接自主系统（属于相同或不通的运营商）的连接。 • 客户网络（ C 网络）：连接到第 3 层 MPLS VPN 服务的客户网络，有最终用户管理。 • 客户边界路由器（ CE 路由器）：客户的路由器，用作客户网络和提供商网络之间的网关。 Overlay VPN—— 重叠 VPN 模型 在重叠的模型中， 服务提供商在其网络内部和用户路由器之间提供点到点的链路或者是虚链路。 对等体用户之间直接通过服务提供商所提供的链路或者虚链路进行连接。 服务提供商通过自身的路由器或者交换机来承载用户数据流量穿越服务提供商网络，但永远不会在用户和服务提供商路由器之间形成路由信息的对等体关系。 这样一来，服务提供商的路由器永远看不到用户的路由器。 其中点到店的服务可能工作在第 1 层、第二层甚至是第 3 层。 在第 1 层中的例子是时分多路复用（ TDM）、 E E SONET，以及 SDH 链路。 在第二层中的例子是通过 、 ATM 或者帧 中继所创建的虚链路。 重叠 VPN 模型简单的一些特点： （ 1） 网络运营商不需要参与私网路由建设。 （ 2） 没有 QoS 保证。 （ 3） CE 端配置复杂。 河南农业大学理学院本科毕业论文 13 （ 4） 安全性能比较高。 （ 5） 构建费用比较低。 IPsec VPN[910] IPsec VPN 是业界标准的网络安全协议，可以为 IP 网络通信提供透明的安全服务，保护 TCP/IP通信免遭窃听和篡改，从而有效的抵御网络攻击。 IPsec VPN 在网络的灵活性、安全性、经济性、扩展性等方面极具优势，因此越来越受到企业用户的青睐。 IPsec 技术简介 （ 1）安全协议 IPsec 这种安全协议提供了一系列的安全服务措施的详细说明，它被设计成整个安全报文的一部分，用来保护通信系统。 这些服务通过使用 AH 和 ESP 这两个安全协议和加密秘钥管理过程和协议（包括 ISAKMP 和 IKE）来实现，这些使 IPsec 允许安全服务对不通安全需求的满足。 （ 2）安全联盟 SA（ Security Associations,安全联盟）的概念是 IPsec 的中心，它定义了各种类型的安全措施。 一个 SA需要由三个参数唯一的确定：目的 IP地址、安全协议标示符 以及 SPI（ Security Parameter Index,安全参数索引） ，它运行在传送模式（ transport mode）和隧道模式（ tunnel mode）。 图 所示的是原始 IP 报头和传送模式以及隧道模式下的 IP 报文结构。 图 不同模式下的 IP 报文结构 （ 3）安全数据库 在一个 IPsec 结点中有两种数据库，分别是 SPD（ Security Policy Database,安全策略数据库）和SAD（ Security Association Database,安全联盟数据库）。 SPD 中保存 着满足所有 IP 通信类型的安全需要的策略，控制着 IP 报文的处理和 SA 的建立。 所有的 SA 随同它们的参数一起都要在 SAD 中注册。 河南农业大学理学院本科毕业论文 14 安全联盟数据库是与 SA 相关的参数集合。 每个 SA 在 SAD 中都有一个条目，为属于这个 SA的 IP 报文 指定了 实现 IPsec 处理过程的所有必需的内容。 • 安全参数索引（ Security Parameter Index,SPI）。 • 用于安全联盟的协议（ ESP 或 AH）。 • 协议运行的模式（隧道模式或者传送模式）。 • 序列号计数器。 • 反重传窗口。 • 路径 MTU（ maximum transmission unit,最大传送单元）。 • 安全联盟的源和目的 IP 地址。 • 使用的验证算法和它的验证秘钥。 • 加密算法和它的验证秘钥。 • 身份验证和加密秘钥的生命周期。 • 安全联盟的生命周期。 安全策略数据库是一个适用于 IP 报文的安全策略有序表。 一个 SPD 条目有两个组成部分：一组选择开关和一组操作。 （ 4） Inter 秘钥交换 协议 IKE（ Inter Key Exchange） IKE 是由三个不同的协议组成的，如图 所示 图 IKE的三大组成协议 河南农业大学理学院本科毕业论文 15 其中， IKE 的秘钥交换 方式是由 SKEME 决定的， Oakley 决定了 IPsec 的框架设计，让 IPsec能够支持更多的协议， ISAKMP 是 IKE 的本质协议，它决定着 IKE 协商包的封装格式，交换过程和模式的切换。 在 IKE 的协商过程中 分为第一阶段和第二阶段，第一个阶段可以由 6 个包交换的主模式或者 3个包交换的主动模式完成，它的目的就是认证需要建立 IPsec 通道的双方用户，确保对等体的合法，协商结果就是 IKE SA。 第二个阶段是由三个包交换的快速模式完成的，它的目的就是根据需要加密的感兴趣流量来协商出保护这些流量的策略，其协商结果就是 IPsec SA。 其过程如图 所示。 图 IKE的 2 个阶段与 3 个模式 第一阶段的主要任务就是完成相互认证 ， 第一阶段的完成，不仅表示收发双方认证通过，而且还会建立一个双向的 ISAKMP/IKE 安全关联（ SA），这个 SA维护了处理 ISAKMP/IKE 流量的相关策略（这些策略不会处理实际感兴趣流量），而对等体双方还会继续使用这个 SA，来安全保护后续的 IKE 快速模式 13 包交换。 第二个阶段的主要任务就是基于具体的感兴趣流来协商相应的 IPsec SA， IKE 快速模式交换的三个数据包都得到了安全保护（加密、完 整性校验和源认证）。 IPsec 在 VPN 中的应用与实现 IPsec VPN 通过在感兴趣流量上加密，解决了公司内部之间流量传输的安全性，却不会影响用户对 Inter 的正常访问，其 主要运用在两个方 向 ，一个是企业内部用户与网关之间 （ sitetosite VPN） ，另一个是移动用户与网关之间（也称 Easy VPN）。 企业内部用户与网关之间需要通过第一阶段和第二阶段的协商完成，但不同的是 Easy VPN 的协商过程中在第一阶段和第二阶段之间插入了一个全新的 阶段（此处略去不讲）。 IPsec VPN 部署过程中， 一般 需要经历 6 个步骤： （ 1） 确保用户网关有到运营商的路由 河南农业大学理学院本科毕业论文 16 （ 2） 定义两端对称的感兴趣流量（ ACL） （ 3） IKE 第一个阶段（ ISAKMP SA） （ 4） IKE 第二个阶段（ IPsec SA） （ 5） 把定义的感兴趣流量和 IPsec 关联，即与 (2)(3)(4)步骤关联 （ 6） 把步骤（ 5）调用到外网口 河南农业大学理学院本科毕业论文 17 5 MPLS VPN 实例分析与配置 在业务不断地扩大过程中，公司 A 和公司 B 都需要在异地建立分支机构， 公司 A 和公司 B 的局域网和运营商网络之间 逻辑网络拓扑 结构 如下图 所示 （由于配置 集中在边界网关等设备，故其它不参与配置 VPN 的设备在此用网络云替代）。 图 某网络环境逻辑拓扑 图 需求分析实施方案 在建立异地通信过程中，考虑到工作性质因素， 公司 A 和公司 B 首要技术参考指标 是 应保障网络服务质量（ QOS），其次是可扩展性。 同时为了实现异地同步管理，需要在公司局域网的路由表中包含有公司所有分支机构的路由条目。 为了满足客户以上的条件，在分析对比后， 我决定 用到 MPLS VPN 来进行网络实施。 方案实施难点分析与解决 在一个网络拓扑规划好以后，一般情况下要想实现最终的通 信互访，我们必须先建立两个层面的通道，即控制层面和数据层面。 首先， 控制层面也即路由层面主要考虑的是如何让对端路由器、防火墙、网关。