【正文】 器之間分發(fā)路由信息，因而又稱為BGP/MPLS VPN。圖42 MPLS VPN路由在MPLS VPN網(wǎng)絡(luò)中，因為對VPN的所發(fā)生的處理都在PE路由器上，因此我們在PE路由器上啟用了VPNv4地址協(xié)議，引入了RD(RouteDistinguisher)和RT(RouteTarget)屬性。RD具有惟一性，通過將8比特的RD作為IPv4地址前綴的擴展項，可以使不惟一的IPv4地址轉(zhuǎn)化為惟一確定的VPNv4地址。VPNv4地址只用于骨干網(wǎng)絡(luò)上路由信息的分發(fā)，它對客戶端來說是不可預(yù)見性的。PE的對等體之間發(fā)布是基于VPNv4地址族的路由條目，而且通常是通過MPBGP實現(xiàn)的。 MPLS VPN 路由傳送的原理MPIBGP在鄰居間傳遞VPN用戶路由時會將IPv4地址打上RD前綴，這樣以來VPN用戶傳來的IPv4路由就轉(zhuǎn)變?yōu)閂PNv4路由，這樣就保證VPN用戶的路由到了對端的PE上以后，即使存在地址空間重疊的情況，對端的PE也能夠區(qū)分分屬不同VPN的用戶路由。RT使用了BGP中擴展團體屬性來用于路由信息的分發(fā)，同時其具有全局惟一性，同一個RT只能被一個VPN所使用，它分成Import RT和Export RT，分別用于路由信息的導(dǎo)入策略和導(dǎo)出策略。 在PE路由器上針對每個site都創(chuàng)建個虛擬路由轉(zhuǎn)發(fā)表VRF(VPNRoutingamp。Forwarding)，VRF為每個site維護邏輯上分離出來的路由表，每個VRF都有Import RT和Export RT兩種屬性。當PE路由器從VRF表中導(dǎo)出VPN路由條目時，要用Export RT對VPN路由條目進行標記。當PE路由器收到VPNv4路由條目時，只有當所帶RT標記與VRF表中任意一個Import RT路由相符時才會被導(dǎo)入到VRF表中，從而形成不同的VPN，實現(xiàn)VPN的互訪與隔離的效果。 可以通過對Import RT和Export RT的進行適當?shù)呐渲?，運營商可以構(gòu)建不同拓撲類型的VPN網(wǎng)絡(luò)。 整個MPLS VPN體系結(jié)構(gòu)可以分成數(shù)據(jù)面和控制面，控制面定義了LSP的建立和VPN路由信息的分發(fā)過程，而數(shù)據(jù)面則定義了VPN數(shù)據(jù)的轉(zhuǎn)發(fā)過程。在控制層面，核心路由器P并不參與VPN路由信息的交互，客戶路由器是通過CE和PE路由器之間的路由交互知道屬于某個VPN的網(wǎng)絡(luò)拓撲信息。CEPE路由器之間通過采用靜態(tài)/默認路由或采用ICP(RIPvOSPF)等動態(tài)路由協(xié)議。PEPE之間通過采MPIBGP進行路由信息的交換，PE路由器通過維持IBGP網(wǎng)狀連接或使用路由反射器來確保路由信息分發(fā)給所有的PE路由器。除了路由協(xié)議外，在控制層面工作的協(xié)議還有LDP，它在整個MPLS網(wǎng)絡(luò)中進行分發(fā)標簽，從而形成了數(shù)據(jù)轉(zhuǎn)發(fā)的邏輯通道LSP。在數(shù)據(jù)轉(zhuǎn)發(fā)層面，MPLS VPN網(wǎng)絡(luò)中傳輸?shù)腣PN業(yè)務(wù)數(shù)據(jù)采用了外標簽(又稱隧道標簽)和內(nèi)標簽(又稱VPN標簽)兩層標簽棧結(jié)構(gòu)。當VPN傳輸數(shù)據(jù)的分組由CE路由器發(fā)給PE路由器的入口后，PE路由器開始查找該子接口相對應(yīng)的VRF表，從VRF表中得到所需的VPN標簽、初始外層標簽和到出口PE路由器的輸出接口。當VPN分組被打上兩層標簽后，再通過PE輸出接口轉(zhuǎn)發(fā)出去，然后在MPLS骨干網(wǎng)絡(luò)中沿著LSP被逐級轉(zhuǎn)發(fā)下去。在出口PE路由器之前的最后一個P路由器上，外層標簽會被彈出去，P路由器將只含有VPN標簽的分組轉(zhuǎn)發(fā)給出口PE路由器上。出口的PE路由器則根據(jù)內(nèi)層標簽表來查找對應(yīng)的輸出接口，當彈出VPN標簽后通過該接口將VPN分組再發(fā)送給相應(yīng)的CE路由器，這樣就實現(xiàn)了整個數(shù)據(jù)轉(zhuǎn)發(fā)過程。以上就是MPLS VPN路由傳送的原理。 VPN Ipsec VPN技術(shù)Ipsec 是一種保護IP數(shù)據(jù)在不同地方傳輸時候安全性的功能特性值。包含在VPN中的所有地點都要定義VPN類型。它的地點可以是企業(yè)總部、大型分支機構(gòu)、一個小型遠程站點、一個終端客戶機、數(shù)據(jù)中心等。任意兩個這樣的地點組合在一起就可以確定VPN的類型。Ipsec 無法將其業(yè)務(wù)擴展到數(shù)據(jù)鏈路層，只能夠保護IP層以上的數(shù)據(jù)。 Ipsec的功能特性數(shù)據(jù)完整性：確保數(shù)據(jù)在通過Ipsec VPN進行傳送的時不被修改，保證其完整性。數(shù)據(jù)機密性：指數(shù)據(jù)在VPN的雙方之間時通過Ipsec vpn傳送時保持數(shù)據(jù)的私密性。數(shù)據(jù)源驗證：驗證Ipsec vpn的數(shù)據(jù)源。它不能夠單獨實現(xiàn)必須依賴于數(shù)據(jù)的完整性服務(wù)，由VPN的每個端點來完成，以確保對方的身份。 防重放: 這個是利用數(shù)據(jù)包中的序列號和接受端滑動窗口確保VPN中的數(shù)據(jù)沒有被復(fù)制。 Ipsec協(xié)議Ipsec 提供了兩種安全協(xié)議，為IPSec對等體之間傳輸?shù)腎P數(shù)據(jù)流提供安全服務(wù)：ESP（Encapsulating Security Payload）封裝安全有效負載AH（Authentication Header）驗證報頭 (1) ESP 是為IPSEC提供數(shù)據(jù)機密性、源驗證、完整性等特性一種體系框架。以下是IPSEC ESP可以使用的加密方法。AES 高級數(shù)據(jù)加密標準DES（數(shù)據(jù)加密標準）：是一種應(yīng)用很廣泛的傳統(tǒng)的加密方式。3DES(3重數(shù)據(jù)加密標準) (2) AH是一種為IPSEC 提供數(shù)據(jù)源驗證、完整性、防重放功能的體系架構(gòu)，但是它不提供機密性，所以它無法保證數(shù)據(jù)在傳輸?shù)倪^程中是否被偷窺，因此現(xiàn)在很少單獨的使用AH，一般都是和ESP配合使用。AH和ESP都是利用HMAC（基于哈希的報文驗證）來進行完整性檢查和驗證的。 IPSEC模式 Ipsec 定義了隧道模式和傳送模式兩種的運行模式，它們對原始的IP包提供不同的保護能力。傳送模式就是僅僅把Ipsec頭部插在IP包中時。所以在傳送模式中，原始IP頭部暴露在外面，沒有得到保護。在數(shù)據(jù)包穿過非受信的網(wǎng)絡(luò)時，包中的數(shù)據(jù)其實是安全的，因為網(wǎng)絡(luò)中只能看到通信方的真實IP地址。隧道模式中，包括原始IP 頭部在內(nèi)，整個數(shù)據(jù)包都可以得到保護，隧道模式會產(chǎn)生一個全新的隧道端點IP地址，這樣原來的IP地址就不會暴露在外面，這樣IP數(shù)據(jù)包就能夠得到更好的保護。圖51 vpn通道Ip幀/包 L2頭部IP頭部TCP/UDP頭部有效負載表51AH傳輸模式封裝原始IP報頭驗證報頭（AH）有效負載表52AH隧道模式封裝新IP報頭驗證報頭（AH）原始IP報頭有效負載表53ESP傳輸模式封裝原始IP報頭封裝安全有效負載（ESP）報頭有效負載ESP報尾ESP驗證數(shù)據(jù)表54ESP隧道模式封裝新IP報頭封裝安全有效負載（ESP）報頭原始IP報頭有效負載ESP報尾ESP驗證數(shù)據(jù)表55 對等體驗證Ipsec對數(shù)據(jù)進行加密防止數(shù)據(jù)在途中被竊取和修改，保護傳送過程中的數(shù)據(jù)，但是首先VPN端點要能夠?qū)Ψ蕉它c的進行確認，否則就談不上數(shù)據(jù)包的保密了。所以數(shù)據(jù)在傳送之前必須驗證IPSEC VPN的端點。 下面舉出5種方法可以驗證IPSEC對等體：用戶名和密碼——在端點配置他們，但是因為用戶名和密碼是經(jīng)常使用的，所以這個驗證方法安全性不高。數(shù)據(jù)證書——它是由第三方CA給設(shè)備發(fā)數(shù)字證書。證書被發(fā)放到設(shè)備，需要驗證設(shè)備的時候向第三方提交證書，然后由第三方進行檢查，通過了就驗證成功。預(yù)共享密鑰——在每個對等體預(yù)先設(shè)置一個密鑰，這樣可以保證信息的絕對的安全。OTP（一次性密碼）——一般都是以TAN或PIN的方式來識別。生物測定——是通過分析人的物理特征例如語音、指紋和臉部的特征來驗證。 IKE（Internet 密鑰交換）IKE協(xié)議是一種動態(tài)更改Ipsec 密鑰和參數(shù)的機制，通過自動的交換機制和密鑰的更新來防止Ipsec會話被攻擊。同時，IPSEC可以在兩個IPSEC端點之間自動建立起來SA（安全關(guān)聯(lián)），SA是兩個對等體之間事先協(xié)商好的一個參數(shù)。IKE進程可以分為兩個階段，階段1是一個強制的IKE階段，它是建立在對等體之間一個雙向的SA，即兩個對等體的哈希、加密、組等都要相同，否則對等體之間就無法建立IPSEC連接，緊接著，這個階段還要執(zhí)行對等體的驗證。階段2也是一個強制的IKE階段，它是利用階段1協(xié)商同意的參數(shù)在兩個端點之間建立單向的SA。換而言之，就是每個方向都要使用獨立的密鑰素材。 加密算法所謂加密，就是將密鑰和數(shù)學加密算法運用到數(shù)據(jù)上面的一種表現(xiàn)形式。這樣子一來，加密后的數(shù)據(jù)只能夠被有解密能力的人讀取。加密算法一般可以分為兩種：同步加密和異步加密。 同步加密同步加密算法又稱為秘密密鑰加密技術(shù)，它需要使用同一個秘密密鑰來進行加密和解密。它注重的是保護密鑰的安全性，否則任何人獲得了密鑰都可以對數(shù)據(jù)進行解密，從而獲取到數(shù)據(jù)，這樣存在不安全性。這種加密算法主要用在20世紀70年代中期。同步加密通常是用于大批量的加密需求。常見的同步加密算法主要有DES、3DES和AES。AES：它是唯一一個被國家安全局用在絕密網(wǎng)絡(luò)的中的同步加密算法。是當前同步加密的選擇，這個密鑰長度是按64比特進行遞增。DES :密鑰有56bit，破解的話使用現(xiàn)代計算機只要24個小時左右可以破解，安全性不高。3DES：它使用的是三個不同的56bit密鑰（DES加密、DES解密、DES加密）用來創(chuàng)建密文。這個加密方法只是在理論上純在缺陷，但是到目前還沒有被攻破掉。 異步加密算法異步加密算法是使用不同的密鑰進行加密和解密，加密的密鑰稱為公鑰（public key），用于加密的密鑰不能夠用于解密，用于解密的密鑰稱為私鑰（private key）。公鑰可以廣泛的發(fā)出，但是私鑰就必須的保密的。對于數(shù)據(jù)簽名來講，這兩種密鑰的用途卻是相反的，公鑰是用來解密和驗證簽名的，而私鑰是用來簽署消息的哈希值。6. 企業(yè)VPN網(wǎng)絡(luò)構(gòu)建的分析與實現(xiàn) 方案應(yīng)用領(lǐng)域目前，比較大規(guī)模的公司一般都有自己的子公司，如何搭建起子公司同公司總部安全、多用途、高效率、低成本的網(wǎng)絡(luò)鏈接，這是每個企業(yè)都十分關(guān)注的問題。傳統(tǒng)的方法有專線連接、IP地址直接訪問、撥號連接、無線傳輸?shù)龋墒撬鼈儾皇琴M用高昂，就是功能單一，而且還有可能存在安全隱患。不過這些問題如果使用VPN技術(shù)，這些難題迎刃而解。另外，現(xiàn)在很多企業(yè)都有自己的合作伙伴，合作伙伴之間的VPN網(wǎng)絡(luò)需要有很高的靈活性，使用VPN技術(shù)可以做到簡單快捷的與合作伙伴建立聯(lián)系，真正實現(xiàn)想連就連，想斷就斷。 組網(wǎng)需求分析（1）公司總部與旗下分公司之間不僅要有穩(wěn)定的網(wǎng)絡(luò)連接支持，而且對于服務(wù)質(zhì)量的要求也相對較高。另外，網(wǎng)絡(luò)安全問題應(yīng)該擺在第一位， （2）公司總部同其子公司或者合作伙伴之間的網(wǎng)絡(luò)應(yīng)選擇擴展性高，靈活性強的網(wǎng)絡(luò)連接類型。（3）企業(yè)網(wǎng)絡(luò)在進行規(guī)劃設(shè)計時要注重考慮網(wǎng)絡(luò)的整體性價比，在考慮網(wǎng)絡(luò)的強度的同時要盡量節(jié)省公司資源，實現(xiàn)低成本，高效益的目的。 組網(wǎng)方案規(guī)劃 租用專線與使用VPN成本對比（1）租用專線費用如下所示：圖61 租用專線費用（2）使用VPN技術(shù)不用申請專線，只需要原有的公網(wǎng)基礎(chǔ)以及現(xiàn)有的路由器即可，可以大大節(jié)省開支費用。（1）B公司與旗下分公司之間使用MPLS VPN技術(shù)，實現(xiàn)總公司與子公司之間進行通信的目的，加以防火墻以保證數(shù)據(jù)的安全性。（2）C公司與旗下分公司之間使用Ipsec VPN實現(xiàn)，加以ACL與NAT進行完善，同時配備防火墻以保證數(shù)據(jù)的安全性。 組網(wǎng)設(shè)備選型及實驗地址規(guī)劃本實驗采用的是小凡模擬器來模擬真實的環(huán)境，在實驗中用到的路由的主要設(shè)備是cisco 3640系列的路由器。詳細配置表設(shè)備名稱區(qū)域IP地址備注Cisco 3640BS0/0模擬客戶端接入路由Cisco 3640BZS0/1模擬客戶端接入路由Cisco 3640B_PES0/0ISP與B相連接口S0/2ISP與C相連接口S0/1與ISP內(nèi)部相連地址Cisco 3640PS0/1與B_PE相連接口S0/0與BZ_PE相連接口Cisco 3640BZ_PES0/0與ISP內(nèi)部相連接口S0/1與BZ相連接口S0/2與CZ相連接口Cisco 3640CS0/2模擬客戶端接入路由Cisco 3640CZS0/2模擬客戶端接入路由表61圖62總拓撲圖圖63模擬實驗圖說明：由于使