【正文】 施；應(yīng)用于電子商務(wù)領(lǐng)域中公司、分公司于顧客間應(yīng)用平臺的建設(shè)；同時隨著教育領(lǐng)域資源共享的開放性程度逐漸擴(kuò)大， VPN 技術(shù)也更為廣泛的應(yīng)用于教育事業(yè)、校園網(wǎng)建設(shè)等網(wǎng)絡(luò)的建設(shè)；甚至在未來的發(fā)展中也將 更為廣泛的應(yīng)用于可提供更加安全的、速度更快的、易用性更好的連接平臺的無線網(wǎng)絡(luò)。虛擬專用網(wǎng)技術(shù)在全世界已經(jīng)迅速發(fā)展起來， 2020 年全球 VPN 市場將達(dá)到 120 億美元。在這種情況下 VPN 以獨特的優(yōu)勢贏得企業(yè)的親睞。據(jù)估算，如果企業(yè)放棄租用專線而采用，其整個網(wǎng)絡(luò) 的成本可節(jié)約21%45%，至于那些以電話撥號方式連網(wǎng)存取數(shù)據(jù)的公司，采用 VPN 則可以節(jié)約通訊成本 50%80%。在企業(yè)內(nèi)部也可以自己建立虛擬專用網(wǎng)。對于應(yīng)用過程中逐漸暴露的問題 , 需要采取 適當(dāng)?shù)牟呗允侄?，以改善或加速上的路由分組的處理。此外， MPLS 技術(shù)還能解決 VPN 擴(kuò)展問題和成本維護(hù)問題。 MPLS VPN 技術(shù)為用戶提供了質(zhì)量和安全保證，同時大大節(jié)省了成本，特別是通過 MPLS VPN 為企業(yè)用戶提供語音、數(shù)據(jù)甚至視頻業(yè)務(wù)在內(nèi)的統(tǒng)一通信平臺。因此，即使完全過渡到IPv6 網(wǎng)絡(luò)， MPLS VPN 技術(shù)仍然能使用，并且發(fā)展空間更廣，因為可充分利用 IPv6的安全特性和 QOS 特性改善和加強(qiáng) MPLS VPN，使用戶對它更有興趣和信心。對于企業(yè)來說， MPLSVPN 能夠利用公共骨干網(wǎng)強(qiáng)大的傳輸能力，降低企業(yè)內(nèi)部網(wǎng)絡(luò)的建設(shè)成本，極大的提高用戶網(wǎng)絡(luò)運營和管理的靈活性，同時能夠滿足用戶對信息傳輸安全性、實時性、寬頻帶和方便性的需要。雖然發(fā)展前景比較樂觀，不過 MPLS VPN 技術(shù)要想有更大的發(fā)展，目前 QoS 問題還有待進(jìn)一步提 高，安全問題需加強(qiáng)，另外需要進(jìn)一步提高標(biāo)準(zhǔn)化程度，解決多廠家設(shè)備的互通性問題。這種租用線路來搭建 VPN 的好處是安全，但是價格昂貴，線路資 源浪費嚴(yán)重。 MPLS 技術(shù)的出現(xiàn)和 BGP 協(xié)議的改進(jìn)，讓大家看到了另一種實現(xiàn) VPN 的曙光。而且擁有成本低、便于管理、開銷小、靈活度高、保密性好等優(yōu)點。 VPN 與普通的 Inter 不同，它采用公共數(shù)據(jù)網(wǎng)作為基礎(chǔ)平臺，與其他用戶共享網(wǎng)絡(luò)資源，而不是獨占資源；它由企業(yè)采用統(tǒng)一策略進(jìn)行網(wǎng)絡(luò)管理，而不僅僅由網(wǎng)絡(luò)服務(wù)商進(jìn)行管理。這四個基本要求是 VPN 的整體性能評價的標(biāo)準(zhǔn)。在 Inter VPN 中，要有高強(qiáng)度的加密技術(shù)來保護(hù)敏感信息；在遠(yuǎn)程訪問 VPN 中要有對遠(yuǎn) 程用戶可靠的認(rèn)證機(jī)制。因此， VPN 解決方案應(yīng)能夠讓管理員進(jìn)行通信控制來確保其性能。由于網(wǎng)絡(luò)設(shè)施、應(yīng)用不斷增加，網(wǎng)絡(luò)用戶所需的 IP 地址數(shù)量持續(xù)增長，對越來越復(fù)雜的網(wǎng)絡(luò)進(jìn)行 管理，網(wǎng)絡(luò)安全處理能力的大小是 VPN解決方案好壞至關(guān)緊要的區(qū)分。在 Inter VPN 中，企業(yè)要與不同的客戶及合作伙伴建立聯(lián)系， VPN 解決方案一而不同。 實現(xiàn) VPN 的關(guān)鍵技術(shù) （ 1）隧道技術(shù)。數(shù)據(jù)加密的基本思想是通過變換信息的表示形式來偽裝需要保護(hù)的敏感信息，使非授權(quán)者不能了解被保護(hù)信息的內(nèi)容。在網(wǎng)絡(luò)中的加密標(biāo)準(zhǔn)是 IPSec。終端到終端的加密方案中， VPN 安全粒度達(dá)到個人終端系統(tǒng)的標(biāo)準(zhǔn) 。通過加密技術(shù)和隧道技術(shù)已經(jīng)能夠建立起一個具有安全性、互操作性的 VPN。網(wǎng)絡(luò)資源是有限的，有時用戶要求的網(wǎng)絡(luò)資源得不到滿足，管理員基于一定的策略 進(jìn)行 QoS 機(jī)制配置，通過 QoS 機(jī)制對用戶的網(wǎng)絡(luò)資源分配進(jìn)行控制以滿足應(yīng)用的要求，這些 QoS 機(jī)制相互作用使網(wǎng)絡(luò)資源得到最大化的利用，同時又向用戶提供了一個性能良好的網(wǎng)絡(luò)服務(wù)。 （ 5）密鑰管理技術(shù)。對于軍用計算機(jī)網(wǎng)絡(luò)系統(tǒng)，由于用戶機(jī)動性強(qiáng)，隸屬關(guān)系和協(xié)同作戰(zhàn)指揮等方式復(fù)雜，因此，對密鑰管理提出了更高的要求。但這些修補(bǔ)并不能完全解決目前互聯(lián)網(wǎng)所面臨的問題。因此， MPLS 最大技術(shù)特色是可以指定數(shù)據(jù)包傳送的先后順序。如圖 所示為所有 MPLS 封裝技術(shù)的總結(jié)。但是，封裝頭過短就無法攜帶上面所列的各項信息。這種分離結(jié)構(gòu)，一反面有利于現(xiàn)有 ATM 交換設(shè)備向 MPLS LSR 的演進(jìn)（只要在現(xiàn)有的 ATM 交換機(jī)上安裝 MPLS 的控制軟件）；另一方面，對于 MPLS 技術(shù)本身的演進(jìn) 與升級也是十分有利的。而下層的交 換單元將依據(jù)這一標(biāo)記信息庫（ LIB）生成標(biāo)記轉(zhuǎn)發(fā)信息庫（ LFIB）。LSR 要像通用的路由器一樣完成作為路由器的路由控制，不斷更新和維護(hù)路由信息庫。然后，利用第二層的交換機(jī)制實現(xiàn)信息在虛連接上的轉(zhuǎn)發(fā)，同時也支持第三層的 IP 分組逐跳式轉(zhuǎn)發(fā) [1]。 標(biāo)記分發(fā)協(xié)議（ LDP）與標(biāo)記交換路徑（ LSP） 標(biāo)記分發(fā)協(xié)議（ LDP）是控制標(biāo)記交換路由器之間交換標(biāo)記與 FEC 綁定信息，協(xié)調(diào) LSR 間工作的一系列規(guī)程。 LSP 與轉(zhuǎn)發(fā)等價類 FEC 相對應(yīng)。 圖 、分別給出了路由表、標(biāo)記交換轉(zhuǎn)發(fā)信息表（ LIB）及標(biāo)記交換路徑（ LSP）形成過程。這種租用線路來搭建 VPN的好處是安全，但是價格昂貴、線路資源浪費嚴(yán)重。但是這類 VPN服務(wù)因大量的加密工 作、傳統(tǒng)路由器根據(jù) IP 包頭的目的地址轉(zhuǎn)發(fā)效率不高等等的原因不是非常令人滿意。一個 VRF定義了連到 PE路由器上的 VPN成員。這些表可以防止轉(zhuǎn)發(fā)信息被傳輸?shù)?VPN 之外，同時也能阻止 VPN之外的數(shù)據(jù)包轉(zhuǎn)發(fā)到 VPN內(nèi)部的路由器中，這個機(jī)制使 VPN具有了安全性。 MPBGP 協(xié)議對 VPN 用戶路由的發(fā)布 正常的 BGP4 協(xié)議能只傳遞 IPv4 的路由，由于不同 VPN 用戶具有地址空間重疊的問題，必須修改 BGP 協(xié)議。所有 VRF 可以同時導(dǎo)入和導(dǎo)出所定義的 RT。 MPBGP 接受到該兩條路由后的后繼工作是：去掉 VPN4 路由所帶的 RD 值，使之恢復(fù) IPv4路由原貌，并且根據(jù)各 VRF 配置的允許導(dǎo)入 Import 的 RT 值，把 IPv4 倒到各個VRF 管轄的路由表和 CEF 表中，也就是說帶有 RT 100:.0/8 的路由倒到 VRF1 所管的路由表和 CEF 表中，帶有 RT 100:.0/8 的路由倒到 VRF2 所管轄的路由表和CEF 表中。 （ 1） CE1 接收到 .0 的 IP 數(shù)據(jù)包，查詢路由表，把該 IP 數(shù)據(jù)包發(fā)送到 PE1。 （ 3） P1 接收到標(biāo)簽包后，分析頂層的標(biāo)簽，把頂層標(biāo)簽換成 4，繼續(xù)發(fā)送的 P2。 多協(xié)議標(biāo)記交換 MPLS 網(wǎng)絡(luò) MPLS 網(wǎng)絡(luò)的主要組 成包括邊緣標(biāo)記交換路由器（ LER）、標(biāo)記交換路由器（ LSR）和標(biāo)記分發(fā)協(xié)議（ LDP）。在基本的 MPLS 網(wǎng)絡(luò)中，標(biāo)記一般表示路由的信息；但在高級的 MPLS 網(wǎng)絡(luò)中，不同的標(biāo)記還可以用來表示不同的服務(wù)等級、不同的 VPN 或不同轉(zhuǎn)發(fā)路徑。 標(biāo)記交換路由器是根據(jù)標(biāo)記分發(fā)協(xié)議預(yù)先計算出的標(biāo)記交換表來轉(zhuǎn)發(fā)帶標(biāo)記的數(shù)據(jù)包的核心設(shè)備。、 MPLS 網(wǎng)絡(luò)結(jié)合了二層交換和三層路由的技術(shù)，集中了交換網(wǎng)絡(luò)和 IP 網(wǎng)絡(luò)的優(yōu)勢，既可以實現(xiàn)交換網(wǎng)絡(luò)的私密性和業(yè)務(wù)等級，也可以達(dá)到 IP 網(wǎng)絡(luò)的靈活性和擴(kuò)展性。 PE 路由器擁有并維護(hù)與其直接相連的二層透傳的鏈路信息。 在兩個 PE 路由器之間要定義穿過 MPLS 網(wǎng)絡(luò)的 LSP 隧道， LSP 隧 道提供了隧道標(biāo)記（ Tunnel Label），在兩個 PE 路由器之間透傳數(shù)據(jù)。 值得一提的是， PE 路由器要監(jiān)視各自端口上的二層協(xié)議狀態(tài)，如幀中繼的LMI 或 ATM 的 ILMI?，F(xiàn)在，二層 VPN 的各項標(biāo)準(zhǔn)正處于 IETF起草階段，主要包括針對點到點服務(wù)的虛擬私用線路服務(wù) （ VPWS）和針對多點服務(wù)的虛擬私用局域網(wǎng)服務(wù)（ VPLS）。 PE路由器擁有并維護(hù)與其直接相連的 VPN的路由信息。同時 PE 路由器上還有一個全局路由表，維持 MPLS 骨干網(wǎng)所需的路由信息。 PE 路由器之間通過 RFC2283 定義的多協(xié)議擴(kuò)展的網(wǎng)關(guān)路由協(xié)議（ MP－ BGP）來傳遞 VPN－ IPv4 地址，同時參與傳遞的還有與該地址對應(yīng)的擴(kuò)展 BGP 屬性和VPN 標(biāo)記。 P 路由器是 MPLS 網(wǎng)絡(luò)的標(biāo)記交換路由器，完全依據(jù)標(biāo)記進(jìn)行轉(zhuǎn)發(fā)。 其工作流程有以下 4 個步驟： （ 1）用戶端的路由器（ CE）首先通過靜態(tài)路由和 BGP 將用戶網(wǎng)絡(luò)中的路由信息通知提供商路由器（ PE），同時在 PE 之間采用 BGP 的 Extension 傳送 VPNIP的信息以及相應(yīng)的標(biāo)記（以下簡稱為內(nèi)層標(biāo)記），而在 PE 與 P 路由器之間則采用傳統(tǒng)的 IGP 協(xié)議相互學(xué)習(xí)路由信息，采用 LDP 協(xié)議進(jìn)行路由信息與標(biāo)記（骨干網(wǎng)絡(luò)中的標(biāo)記，以下簡稱為外層標(biāo)記）的綁定。這是得到的下一跳地址為該 PE 作為 Peer 的 PE地址，為了達(dá)到這個目的端的地址，同時采用 LDP 在用戶前傳數(shù)據(jù)包中打上骨干網(wǎng)絡(luò)中的標(biāo)記（外層標(biāo)記）。 第 5 章 MPLS VPN 的應(yīng)用 隨著 Inter 的普及和發(fā)展，基于 MPLS 的虛擬專用網(wǎng)技術(shù)引起了人們的廣泛關(guān)注，它勢必成為未來網(wǎng)絡(luò)安全研究和 Inter 應(yīng)用的一個重要方向。 MPLS VPN 的典型應(yīng)用方式 根 據(jù)用戶使用的情況和應(yīng)用環(huán)境的不同特點， VPN 技術(shù)大致可分為三種典型的應(yīng)用方式，即：企業(yè)內(nèi)聯(lián)網(wǎng) VPN、企業(yè)外聯(lián)網(wǎng) VPN 和接入 VPN 業(yè)務(wù)。例如企業(yè)間發(fā)生的收購 、兼并或企業(yè)的戰(zhàn)略聯(lián)盟，使不同企業(yè)通過 CNC 構(gòu)建虛擬專用網(wǎng)。通常我們把 Access VPN 又稱為撥號 VPN，即VPDN。所以要在總校區(qū)和分校區(qū)之間建立一個統(tǒng)一、高效、可維護(hù)的數(shù)據(jù)網(wǎng)絡(luò)，實現(xiàn)不同業(yè)務(wù)之間的隔離和相同業(yè)務(wù)之間的連通；并且可以進(jìn)一步擴(kuò)展外部網(wǎng)絡(luò)，方便學(xué)校網(wǎng)絡(luò)的僅一步擴(kuò)展。其中教學(xué)系統(tǒng)劃分到 VPN1，科研系統(tǒng)劃分到 VPN2，辦公自動化系統(tǒng)劃分到 VPN3。本次試驗使用簡單的靜態(tài)路由協(xié)議進(jìn)行配置。該方案包括本地接入、遠(yuǎn)程接入及區(qū)域中心等典型接入方式，幫助實達(dá)實現(xiàn)內(nèi)部網(wǎng)絡(luò)無縫連接，擁有快速、安全的網(wǎng)絡(luò)環(huán)境，并可進(jìn)一步擴(kuò)展外部網(wǎng)絡(luò)，方便與合作伙伴、供應(yīng)商、關(guān)鍵客戶、移動辦公人員的網(wǎng)絡(luò)聯(lián)系，為成功進(jìn)行互聯(lián)網(wǎng)應(yīng)用建立一個可靠的環(huán)境。通過加設(shè)小網(wǎng)關(guān)，各地分公司均可通過 MPLS VPN 實現(xiàn)與總部的長途電話業(yè)務(wù)，實現(xiàn)內(nèi)部語音通信，省去了大量長途電話的費用。企業(yè)可以控制流量，更好的去管理網(wǎng)絡(luò)，對 QoS 進(jìn)行有效的控制；企業(yè)可以劃分多個業(yè)務(wù)， 對業(yè)務(wù)之間進(jìn)行隔離。 第 6 章 MPLS VPN 技術(shù)優(yōu)勢與挑戰(zhàn) MPLS VPN 是最近世界各大電信運營商爭相發(fā)展的新型 VPN 業(yè)務(wù)，它的發(fā)展源于 MPLS 技術(shù)提供的超越傳統(tǒng) IP 的技術(shù)優(yōu)勢，如 QoS 保證、流量工程等，滿足了互聯(lián)網(wǎng)寬帶業(yè)務(wù)的多方需求。 VPN 技術(shù)是多種多樣的。因此基于 MPLS 技術(shù)的 MPLS VPN，在靈活性、擴(kuò)展性、安全性各個方面是當(dāng)前技術(shù)最先進(jìn)的 VPN。 （ 2）強(qiáng)大的擴(kuò)展性。 （ 4）靈活的控制策略。減輕了用戶的負(fù)擔(dān)。 設(shè)備費：用戶只須配備 CE 設(shè)備，不需要專門的 VPN 網(wǎng)關(guān)。 就未來的發(fā)展趨勢來看， MPLS 在光網(wǎng)絡(luò)的擴(kuò)展 GMPLS Generalized MPLS 已經(jīng)成為自動交換光網(wǎng)絡(luò) ASON 的基本控制協(xié)議組，從而使不遠(yuǎn)的將來運營可以考慮架構(gòu)在 GMPLS 基礎(chǔ)上的一層或者零層的 OVPN Optical VPN 。 （ 2） MPLS 的多播問題 現(xiàn)在的 MPLS 網(wǎng)絡(luò)還不支持點到多點的多播通信，而多播機(jī)制有利于實現(xiàn)視頻點播等新型業(yè)務(wù)。所以 GMPLS 與傳統(tǒng)光網(wǎng)絡(luò)結(jié)合，是當(dāng)前另一個應(yīng)用的難題。但是對運營商來說，推出 MPLS VPN 需要新的軟硬件、人員培訓(xùn)、市場推廣投資，而目前客戶的響應(yīng)程度還不十分熱烈，這就需要運營商明白市場正處在孕育期，必須加大推廣力度，重點強(qiáng)調(diào) MPLS VPN 的優(yōu)越性、特殊性和其他 VPN 技術(shù)的兼容性及對新業(yè)務(wù)的優(yōu)良支持等。 在我國，因此在公共信息基礎(chǔ)平臺上發(fā)展專有網(wǎng)絡(luò)已是大勢所趨，唯一讓用戶擔(dān)心的是安全性。當(dāng)然，安全問題不可能僅靠運營商的 MPLS VPN 來保證， MPLS VPN也保證 不了絕對的安全，所以行業(yè)主管部門要加強(qiáng)對驗證、加密算法等保證安全手段的強(qiáng)制應(yīng)用，法律部門要加強(qiáng)對信息盜竊的處罰。從開始接到論文題目到論文文章的完成，每走一步對我 來說都是新的嘗試與挑戰(zhàn)，這也是我在大學(xué)期間獨立完成的最大的項目。每一次的完善我都得到收獲，我都會興奮不已。以后我會繼續(xù)深入研究 VPN 跨自治域與組播方面的研究。這也是我以后繼續(xù)深入學(xué)習(xí)的一個知識。這次論文設(shè)計經(jīng)歷將會激勵我在以后的日子里努力學(xué)習(xí)繼續(xù)進(jìn)步。在此向幫助和指導(dǎo)過我的各位老師表示最中心的感謝！ 感謝這篇論文所涉及到的