【正文】 在內(nèi)的統(tǒng)一通信平臺(tái)。目前， VPN 已經(jīng)出現(xiàn)向銀行、保險(xiǎn)、運(yùn)輸、大型制造和連鎖企業(yè)迅速擴(kuò)算的趨勢(shì)。 （ 4） 2021 年， MPLS 技術(shù)得到更為廣泛的應(yīng)用。印度的最大的 INTERNER 網(wǎng)絡(luò)和電子商務(wù)提供商 Sify 有限公司，建成了印度最大的 MPLS 網(wǎng)絡(luò)，提供安全 VPN 業(yè)務(wù)并作為連接到美國的 INTERNET 網(wǎng)關(guān)。日本的 NTTCommunications 建成了其全國范圍、寬帶多業(yè)務(wù) MPLS 網(wǎng)絡(luò)，并 在這一個(gè)平臺(tái)上提供 IP、 Ether、 FR 和 ATM 業(yè)務(wù)。此外，NTTCommunications 還將面向全球提供其 MPLSVPN 與 IPSecVPN 互為備份的 VPN 業(yè)務(wù)，使得用戶的專網(wǎng)可以覆蓋到全球的 124 個(gè)國家或地區(qū)，并可在網(wǎng)絡(luò)受到攻擊時(shí)，通過在 MPLSVPN 和 IPSec 之間的切換，保證用戶 VPN 業(yè)務(wù)的傳輸。 （ 5） Sprint2021 年初，美國全國性運(yùn)營商 Sprint 推出針對(duì)企業(yè)用戶的 MPLS VPN業(yè)務(wù)。至此， Sprint 已經(jīng)擁有了數(shù)據(jù)網(wǎng)互聯(lián)方面所有的服務(wù)產(chǎn)品，包括舊有的傳統(tǒng)專邵陽學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） 4 用線、幀中繼、 ATM、 IP接入等等。在接下來的兩年里， Sprint 希望在自己的專有 IP網(wǎng)和全球 IP 平臺(tái)上都采用 MPLS VPN 技術(shù)，并且集成以前的 Inter 接入和遠(yuǎn)程接入服務(wù)。 應(yīng)用前景 在 國內(nèi) ， 因特網(wǎng) 已成為全社會(huì)的信息基礎(chǔ)設(shè)施，企業(yè)端應(yīng)用也大都基于 IP，在 因特網(wǎng) 上構(gòu)筑應(yīng)用系統(tǒng)已成為必然趨勢(shì)，因此基于 IP的 VPN業(yè)務(wù)獲得了極大的增長(zhǎng)空間。 在向以 IP V6 為核心技術(shù)的下一代互聯(lián)網(wǎng)過渡和發(fā)展中， MPLS VPN 將是 IP v4 網(wǎng)絡(luò)向 IP v6 網(wǎng)絡(luò)過渡的重要手段和方式，原因是 MPLS VPN 采用的 MPLS 技術(shù)在 IP v4和 IP v6 網(wǎng)絡(luò)均能使用。因此，即使完全過渡到 IPv6 網(wǎng)絡(luò)， MPLS VPN 技術(shù)仍然能使用，并且發(fā)展空間更廣，因?yàn)榭沙浞掷? IPv6 的安全特性和 QOS 特性改善和加強(qiáng) MPLS VPN，使用戶對(duì)它更有興趣和信心。 MPLS VPN 非常適合對(duì) QoS、 CoS（服務(wù)級(jí)別）、網(wǎng)絡(luò)帶寬、可靠性等要求高的 VPN業(yè)務(wù)，適合于遠(yuǎn)程互聯(lián)的大中型企業(yè)專用網(wǎng)絡(luò)。 MPLS VPN 不僅滿足 VPN 用戶對(duì)安全性的要求，還減少了網(wǎng)絡(luò)運(yùn)營商和用戶方的工作量。 MPLS VPN 便于實(shí)現(xiàn)三網(wǎng)合一，即在同一網(wǎng)絡(luò)平臺(tái)上實(shí)現(xiàn)基于 IP的數(shù)據(jù)、語音和視頻 的遠(yuǎn)程通信，代表了 VPN 的發(fā)展方向。 隨著因特網(wǎng)于 MPLS 的虛擬專用網(wǎng)技術(shù)引起了人們的廣泛關(guān)注，它勢(shì)必成為未來網(wǎng)絡(luò)安全研究和因特網(wǎng)應(yīng)用的一個(gè)重要方向?；?MPLS 的 VPN 能夠利用公用骨干網(wǎng)絡(luò)的廣泛而強(qiáng)大的傳輸能力，降低企業(yè)內(nèi)部網(wǎng)絡(luò)和因特網(wǎng)的建設(shè)成本。極大的提高用戶網(wǎng)絡(luò)運(yùn)營和管理的靈活性，同時(shí)能夠滿足用戶對(duì)信息傳輸安全性、實(shí)時(shí)性、寬頻帶、方便性的需求，所以受到一些大型跨地域集團(tuán)用戶的歡迎。 對(duì)于企業(yè)來說， MPLSVPN能夠利用公共骨干網(wǎng)強(qiáng)大的傳輸能力，降低企業(yè)內(nèi)部網(wǎng)絡(luò)的建設(shè)成本，極大的提高用戶網(wǎng)絡(luò)運(yùn)營和管理 的靈活性，同時(shí)能夠滿足用戶對(duì)信息傳輸安全性、實(shí)時(shí)性、寬頻帶和方便性的需要。與傳統(tǒng)的 VPN 不同的是，基于 MPLS的 VPN 是通過 LSP（標(biāo)記交換路徑）將私有網(wǎng)絡(luò)在地域上的不同分支連接起來，形成一個(gè)統(tǒng)一的網(wǎng)絡(luò)，支持不同 VPN 間的互通。 MPLSVPN 技術(shù)適合用于具有一下明顯特征的企業(yè)：高效運(yùn)作、商務(wù)活動(dòng)頻繁、數(shù)據(jù)通信量大、對(duì)網(wǎng)絡(luò)依靠程度高、有較多分支機(jī)構(gòu)，如網(wǎng)絡(luò)公司、 IT 公司、金融業(yè)、貿(mào)易行業(yè)、新聞機(jī)構(gòu)等。隨著網(wǎng)絡(luò)的普及，特別是在電子商務(wù)的推動(dòng)下，基 于 MPLS 的 IP虛擬專用網(wǎng)技術(shù)的研究必將有不可估量的市場(chǎng)前景。 雖然發(fā)展前景比較樂觀，不過 MPLS VPN 技術(shù)要想有更大的發(fā)展，目前 QoS 問題還有待進(jìn)一步提高，安全問題需加強(qiáng)，另外需要進(jìn)一步提高標(biāo)準(zhǔn)化程度，解決多廠家設(shè)備的互通性問題。相信經(jīng)過 MPLS VPN 技術(shù)的不斷完善和發(fā)展，未來必將和 IP 網(wǎng)絡(luò)達(dá)邵陽學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） 5 到完美結(jié)合，為用戶提供更加滿意的服務(wù)和更加豐富的業(yè)務(wù)，成為 VPN 技術(shù)的主流。 邵陽學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） 6 第 2 章 VPN 技術(shù)原理 VPN 的歷史 VPN 服務(wù)是很早就提出的概念，不過以前電信提供商提供 VPN 是在傳輸網(wǎng)上提供的覆蓋型的 VPN 服務(wù)。電信運(yùn)營商給用戶出租線路，用戶上層使用何種的路由協(xié) 議、路由怎么走等等，這些電信運(yùn)營商不管。這種租用線路來搭建 VPN 的好處是安全，但是價(jià)格昂貴，線路資源浪費(fèi)嚴(yán)重。 后來隨著 IP 網(wǎng)絡(luò)的全面鋪開，電信服務(wù)提供商在競(jìng)爭(zhēng)的壓力下，不得不提供更加廉價(jià)的 VPN服務(wù)，也就是三層 VPN服務(wù)。通過提供給用戶一個(gè) IP平臺(tái)，用戶通過 IP Over IP 的封裝格式在公網(wǎng)上打隧道，同時(shí)也提供了加密等等的手段提供安全保障。這類 VPN用戶在目前的網(wǎng)絡(luò)上數(shù)量還是相當(dāng)巨大的！但是這類 VPN 服務(wù)因大量的加密工作、傳統(tǒng)路由器根據(jù) IP 包頭的目的地址轉(zhuǎn)發(fā)效率不高等等的原因不是非常令人滿意。 MPLS技 術(shù)的出現(xiàn)和 BGP 協(xié)議的改進(jìn)，讓大家看到了另一種實(shí)現(xiàn) VPN 的曙光。 VPN 原理 虛擬專用網(wǎng)（ VPN）指的是依靠 ISP 和其他 NSP（網(wǎng)絡(luò)服務(wù)提供商）在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)網(wǎng)絡(luò)。 VPN 可以通過特殊加密的通訊協(xié)議連接到 Inter 上，在位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有得通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。 VPN 技術(shù)是廣域網(wǎng)建設(shè)的最佳解決方案，它不僅會(huì)大大節(jié)省廣域網(wǎng)的建設(shè)和運(yùn)行維護(hù)費(fèi)用。而且擁有成本低、便于管理、開銷小、靈活度高、保密性 好等優(yōu)點(diǎn)。 為了實(shí)現(xiàn)虛擬連接線路， VPN 網(wǎng)絡(luò)采用了“隧道”技術(shù)?！八淼馈奔夹g(shù)就是模仿點(diǎn)對(duì)點(diǎn)連接，他依靠 Inter 服務(wù)提供商和其他的網(wǎng)絡(luò)服務(wù)提供商在公共網(wǎng)中建立自己專用的“隧道”，讓數(shù)據(jù)包在這條隧道上傳輸。 VPN 基本要求 VPN（虛擬專用網(wǎng)）是指在公共網(wǎng)絡(luò)平臺(tái)上構(gòu)筑的、不受地域限制，而受企業(yè)統(tǒng)一策略控制和管理的企業(yè)網(wǎng)絡(luò)。 VPN 與普通的 Inter 不同，它采用公共數(shù)據(jù)網(wǎng)作為基礎(chǔ)平臺(tái)，與其他用戶共享網(wǎng)絡(luò)資源，而不是獨(dú)占資源；它由企業(yè)采用統(tǒng)一策略進(jìn)行網(wǎng)絡(luò)管理，而不僅僅由網(wǎng)絡(luò)服務(wù)商進(jìn)行管理。 從網(wǎng) 絡(luò)的結(jié)構(gòu)來看， VPN 所賴以運(yùn)行的公共數(shù)據(jù)網(wǎng)平臺(tái)可以包括各種實(shí)際的網(wǎng)絡(luò)，如： IP 網(wǎng)、 FR網(wǎng)、 ATM 網(wǎng)和 Inter 網(wǎng)，可以由多個(gè)服務(wù)商提供服務(wù)。 邵陽學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） 7 從用戶的接入方式來看， VPN 可以包括服務(wù)商所提供的所有接入方式，如：專線接入、撥號(hào)接入和無線接入等。 VPN 的基本要求主要有安全性、性能、管理問題、互操作。這四個(gè)基本要求是 VPN的整體性能評(píng)價(jià)的標(biāo)準(zhǔn)。 （ 1）安全性。 VPN 提供用戶一種私人專用的感覺，因此建立在不安全、不可信任的公共數(shù)據(jù)網(wǎng)的首要任務(wù)是解決安全性問題。 VPN 的安全性可通過隧道技術(shù)、加密和認(rèn)證技術(shù)得到 解決。在 Inter VPN 中，要有高強(qiáng)度的加密技術(shù)來保護(hù)敏感信息；在遠(yuǎn)程訪問 VPN 中要有對(duì)遠(yuǎn)程用戶可靠的認(rèn)證機(jī)制。 （ 2）性能。 VPN 要發(fā)展，其性能至少要高于傳統(tǒng)方法。盡管網(wǎng)絡(luò)速度不斷提高，但在因特網(wǎng)時(shí)代，隨著電子商務(wù)活動(dòng)的激增，網(wǎng)絡(luò)經(jīng)常會(huì)發(fā)生擁塞，這給 VPN 性能的穩(wěn)定帶來極大的影響。因此， VPN 解決方案應(yīng)能夠讓管理員進(jìn)行通信控制來確保其性能。通過 VPN 平臺(tái)，管理員定義管理策略來激活基于重要性的入口帶寬分配。這樣不僅能確保對(duì)數(shù)據(jù)丟失有嚴(yán)格要求和高優(yōu)先級(jí)應(yīng)用的性能，而且不會(huì)“餓死”低優(yōu)先級(jí)的應(yīng)用。 （ 3）管理問題。由于網(wǎng)絡(luò)設(shè)施、應(yīng)用不斷增加，網(wǎng)絡(luò)用戶所需的 IP 地址數(shù)量持續(xù)增長(zhǎng)，對(duì)越來越復(fù)雜的網(wǎng)絡(luò)進(jìn)行管理，網(wǎng)絡(luò)安全處理能力的大小是 VPN 解決方案好壞至關(guān)緊要的區(qū)分。所以， VPN 要有一個(gè)固定的管理方案來減輕管理、報(bào)告等方面的負(fù)擔(dān)。管理平臺(tái)要有一個(gè)定義安全策略的簡(jiǎn)單方法，將安全策略進(jìn)行分布，并管理大量設(shè)備。 （ 4）互操作。在 Inter VPN 中，企業(yè)要與不同的客戶及合作伙伴建立聯(lián)系，VPN 解決方案一而不同。所以，企業(yè)的 VPN 產(chǎn)品應(yīng)該能夠同其他廠家的產(chǎn)品進(jìn)行互操作。這要求所選擇的 VPN 方案應(yīng)該是基于工業(yè)標(biāo)準(zhǔn)和 協(xié)議的。這些協(xié)議有 Inter安全協(xié)議、點(diǎn)到點(diǎn)隧道協(xié)議、第二層隧道協(xié)議等。 實(shí)現(xiàn) VPN 的關(guān)鍵技術(shù) （ 1）隧道技術(shù)。 VPN區(qū)別于一般網(wǎng)絡(luò)互聯(lián)的關(guān)鍵是隧道的建立，然后數(shù)據(jù)經(jīng)過加密，按隧道協(xié)議進(jìn)行封裝、傳輸以保證安全性。 現(xiàn)有兩種類型的隧道協(xié)議，一種是二層隧道協(xié)議，用于傳輸?shù)诙泳W(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建遠(yuǎn)程訪問 VPN；另一種是三層隧道協(xié)議，用于傳輸?shù)谌龑泳W(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建 Inter VPN 和 Extra VPN。 （ 2）加密技術(shù)。數(shù)據(jù)加密的基本思想是通過變換信息的表示形式來偽裝需要 保護(hù)的敏感信息，使非授權(quán)者不能了解被保護(hù)信息的內(nèi)容。加密算法有 IPSec 的 DES 和三次 DES。 RC4 雖然強(qiáng)度比較弱，但是保護(hù)免于非專業(yè)人士的攻擊已經(jīng)足夠了； DES 和三邵陽學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） 8 次 DES的強(qiáng)度比較高，可以用來保護(hù)敏感的商業(yè)信息。 加密技術(shù)可以再協(xié)議棧的任意層進(jìn)行，可以對(duì)數(shù)據(jù)或報(bào)文頭進(jìn)行加密。在網(wǎng)絡(luò)中的加密標(biāo)準(zhǔn)是 IPSec。網(wǎng)絡(luò)層加密實(shí)現(xiàn)的最安全的方法是在主機(jī)的端到端進(jìn)行。另一個(gè)選擇是“隧道模式”：加密只在路由器中進(jìn)行，而終端與第一跳路由之間不加密。這種辦法不太安全，因?yàn)閿?shù)據(jù)到終端系統(tǒng)到第一跳路由時(shí)可能被截取而危及到數(shù)據(jù) 安全。終端到終端的加密方案中， VPN 安全粒度達(dá)到個(gè)人終端系統(tǒng)的標(biāo)準(zhǔn) 。而“隧道模式”方案， VPN 安全粒度只達(dá)到子網(wǎng)標(biāo)準(zhǔn)。在鏈路層中，目前還沒有統(tǒng)一的加密標(biāo)準(zhǔn)，因此，所有鏈路層加密方案基本上是生產(chǎn)產(chǎn)家自己設(shè)計(jì)的，需要特別的加密硬件。 （ 3） QoS 技術(shù)。通過加密技術(shù)和隧道技術(shù)已經(jīng)能夠建立起一個(gè)具有安全性、互操作性的 VPN。但是該 VPN 性能上不穩(wěn)定，管理上不能滿足業(yè)務(wù)的要求，這就要加入 QoS技術(shù)。實(shí)現(xiàn) QoS技術(shù)應(yīng)該在主機(jī)網(wǎng)絡(luò)中，即 VPN 建立的隧道這一段，這樣才能建立一條性能符合用戶要求的隧道。 QoS 機(jī)制具有通信處 理機(jī)制以及供應(yīng)和配置機(jī)制。網(wǎng)絡(luò)資源是有限的，有時(shí)用戶要求的網(wǎng)絡(luò)資源得不到滿足，管理員基于一定的策略進(jìn)行 QoS 機(jī)制配置，通過 QoS 機(jī)制對(duì)用戶的網(wǎng)絡(luò)資源分配進(jìn)行控制以滿足應(yīng)用的要求，這些 QoS 機(jī)制相互作用使網(wǎng)絡(luò)資源得到最大化的利用，同時(shí)又向用戶提供了一個(gè)性能良好的網(wǎng)絡(luò)服務(wù)。 （ 4）用戶認(rèn)證技術(shù)。 VPN 需首要解決的問題就是網(wǎng)絡(luò)上的用戶與設(shè)備身份的認(rèn)證，目前常用的方法是依賴于數(shù)字證書簽發(fā)中心 CA所簽發(fā)的符合 書。在正式的隧道連接之前需要確認(rèn)彼此的身份，這就需要通信雙方提供彼此的數(shù)字證書，只有 證書比對(duì)結(jié)果吻合才能進(jìn)一步實(shí)施資源訪問，否則不然。 （ 5）密鑰管理技術(shù)。 密鑰，即密匙，一般范指生產(chǎn)、生活所應(yīng)用到的各種加密技術(shù)，能夠?qū)Ω魅速Y料、企業(yè)機(jī)密進(jìn)行有效的監(jiān)管，密鑰管理就是指對(duì)密鑰進(jìn)行管理的行為，如加密、解密、破解等等。 密鑰管理包括，從密鑰的產(chǎn)生到密鑰的銷毀的各個(gè)方面。主要表現(xiàn)于管理體制、管理協(xié)議和密鑰的產(chǎn)生、分配、更換和注入等。對(duì)于軍用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，由于用戶機(jī)動(dòng)性強(qiáng)，隸屬關(guān)系和協(xié)同作戰(zhàn)指揮等方式復(fù)雜，因此，對(duì)密鑰管理提出了更高的要求。 其主要任務(wù)是在公共網(wǎng)上安全傳輸密鑰而不被盜取。 除了這 5 種主 要技術(shù)以外， VPN 技術(shù)中還具有備份技術(shù)、流量控制技術(shù)、包過濾技術(shù)、網(wǎng)址地址轉(zhuǎn)換技術(shù)、抗打擊能力、網(wǎng)絡(luò)監(jiān)控和管理技術(shù)等。 邵陽學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） 9 第 3 章 MPLS 技術(shù)原理 MPLS 提出的意義 傳統(tǒng)的 IP數(shù)據(jù)轉(zhuǎn)發(fā)是基于逐跳式的，每個(gè)轉(zhuǎn)發(fā)數(shù)據(jù)的路由器都要根據(jù) IP 包頭的目的地址查找路由表來獲得下一跳的出口，這是個(gè)繁瑣又效率低下的工作，主要的原因是兩個(gè)：（ 1）有些路由的查詢必須對(duì)路由表進(jìn)行多次查找，這就是所謂的遞歸搜索；（ 2）由于路由匹配遵循最長(zhǎng)匹配原則，所以迫使幾乎所有的路由器的交換引擎必須用軟件來實(shí)現(xiàn)，用軟件實(shí)現(xiàn)的交換引擎和 ATM 交換機(jī)上用硬件來實(shí)現(xiàn)的交換引擎在效率上無法相抗衡。 當(dāng)今的互聯(lián)網(wǎng)應(yīng)用需求日益增多，對(duì)帶寬、對(duì)時(shí)延的要求也越來越高。如何提高轉(zhuǎn)發(fā)效率，各個(gè)路由器生產(chǎn)廠家做了大量的改進(jìn)工作，如 Cisco 在路由器上提供 CEF（ Cisco Express Forwarding）功能、修改路由表搜索算法等等。但這些修補(bǔ)并不能完全解決目前互聯(lián)網(wǎng)所面臨的問題。 IP 和 ATM 曾經(jīng)是兩個(gè)互相對(duì)立的技術(shù)，各個(gè) IP 設(shè)備制造商和 ATM 設(shè)備制造商都曾努力想吃掉對(duì)方，想 IP 一統(tǒng)天下，或者 ATM 一家獨(dú)秀！但是最終是這兩種技術(shù)的融合，那就是 MPLS(MultiProtocol Label Switching)技術(shù)的誕生！ MPLS 技術(shù)結(jié)合和IP 技術(shù)信令簡(jiǎn)單和 ATM 交換引擎高效的優(yōu)點(diǎn)！ MPLS(MultiProtocol Label Switching)即多標(biāo)志交換。 MPLS 屬于第三代網(wǎng)絡(luò)架構(gòu)，是新一代的 IP 高速骨干網(wǎng)絡(luò)交換標(biāo)準(zhǔn)，由 IETF（ Inter Engineering