【正文】 戶的路由，MPLS VPN又分成Layer3MPLS VPN和Layer2 MPLS VPN。 在PE路由器上針對每個site都創(chuàng)建個虛擬路由轉(zhuǎn)發(fā)表VRF(VPNRoutingamp。PEPE之間通過采MPIBGP進行路由信息的交換，PE路由器通過維持IBGP網(wǎng)狀連接或使用路由反射器來確保路由信息分發(fā)給所有的PE路由器。 VPN Ipsec VPN技術(shù)Ipsec 是一種保護IP數(shù)據(jù)在不同地方傳輸時候安全性的功能特性值。它不能夠單獨實現(xiàn)必須依賴于數(shù)據(jù)的完整性服務(wù)，由VPN的每個端點來完成，以確保對方的身份。傳送模式就是僅僅把Ipsec頭部插在IP包中時。證書被發(fā)放到設(shè)備，需要驗證設(shè)備的時候向第三方提交證書，然后由第三方進行檢查，通過了就驗證成功。換而言之，就是每個方向都要使用獨立的密鑰素材。常見的同步加密算法主要有DES、3DES和AES。對于數(shù)據(jù)簽名來講，這兩種密鑰的用途卻是相反的，公鑰是用來解密和驗證簽名的，而私鑰是用來簽署消息的哈希值。 組網(wǎng)方案規(guī)劃 租用專線與使用VPN成本對比（1）租用專線費用如下所示：圖61 租用專線費用（2）使用VPN技術(shù)不用申請專線，只需要原有的公網(wǎng)基礎(chǔ)以及現(xiàn)有的路由器即可，可以大大節(jié)省開支費用。圖67選定文件生成目錄4. 配置各臺路由器的接口和型號。B_PE(config)ip cef **在全局模式下運行MPLSBZ_PE(config)ip cef 第三步：在核心接口上配置MPLS。在把VRF關(guān)聯(lián)到接口上面去的時候，原先接口配置的地址信息會消失。 B_PE(config)router rip **/在路由器上啟用RIPB_PE(config)version 2B_PE(configrouter)addressfamily ipv4 vrf CE1PE1B_PE(configrouteraf)redistribute Bgp 100 metric transparent **/重分布BGP路由到RIP中B_PE(configrouteraf)network BZ_PE(config)router rip BZ_PE(config)version 2BZ_PE (configrouter)addressfamily ipv4 vrf CE2PE2BZ_PE E(configrouteraf)redistribute Bgp 100 metric transparent BZ_PE (configrouteraf)network 在查看VPNV4路由是否到達時，同樣通過show ip bgp 是沒有內(nèi)容的，需要用show ip bgp vpnv4 all 來查看收到的VPNV4路由。在數(shù)據(jù)傳輸時，會自動運行LDP協(xié)議為每條路由分配一個標(biāo)簽。IKE策略指定了IKE協(xié)商期間使用的加密參數(shù)。631觸發(fā)感興趣流如上圖，我們可以在看在使用感興趣流去ping的時候，會丟失兩個包，這是因為路由正在匹配感興趣流。C(config)interface lo0C/[7J+{y$i0CECECE(configif)ip nat inside C1]Qh3G0Rk SQq0CC(configif)exit龍城博客ul1J8o
g xb2[6}~C(config)interface s0/2龍城博客u$fL1V3s pC(configif)ip nat outside CUHxV
b1l0CE3(configif)exitCZ(config)accesslist 101 deny ip 但是它的傳輸質(zhì)量能夠得到很好的保證。在此謹(jǐn)向XXX老師表示我最誠摯的敬意和感謝！同時，在我四年的大學(xué)生活期間，深深受益于各位老師的關(guān)心、愛護和諄諄教導(dǎo)。 Simulator Dynamic28。點撥迷津，讓人如沐春風(fēng)；作為長輩，關(guān)懷備至，讓人感念至深。本設(shè)計分為MPLS VPN和IPSEC VPN兩大功能模塊，其中，IPSEC VPN 是一種現(xiàn)在應(yīng)用較為廣泛的vpn技術(shù)，因為它不需要向運營商申請專線所以它的費用是相對低的，同時它能夠提供數(shù)據(jù)的加密使得數(shù)據(jù)在傳輸?shù)倪^程中的具有強健的安全性。CZ(config)interface lo0CZ/[7J+{y$i0CECECE(configif)ip nat inside CZ1]Qh3G0Rk SQq0CC(configif)exit龍城博客ul1J8o
g xb2[6}~CZ(config)interface s0/2龍城博客u$fL1V3s pCZ(configif)ip nat outside CZUHxV
b1l0CE3(configif)exit通過這樣做，它指定了要保護哪些數(shù)據(jù)流，以及向IPSec對等體發(fā)送數(shù)據(jù)流和接收來自該對等體的數(shù)據(jù)流時如何對它們進行加密。預(yù)共享密鑰應(yīng)是一個數(shù)字字母字符串，在兩臺對等體路由器上必須相同。圖623 MPIBGP拓撲圖在B_PE上查看EIGRP的路由表，發(fā)現(xiàn)器能夠?qū)W習(xí)到BZ_PE上的路由，說明在ISP內(nèi)部能夠?qū)崿F(xiàn)了全互聯(lián)。B的路由要想通過B_PE傳到BZ中，因為原來BB_PE中的路由是導(dǎo)入到VRF中的，所以想要把VRF中的路由導(dǎo)入到公網(wǎng)中，這時就需要重分發(fā)的技術(shù)，這時要做雙向的重分發(fā)，這樣B中的私網(wǎng)地址就可以重分布到BGP中，再經(jīng)過MPLS網(wǎng)絡(luò)，到達BZ_PE上，這樣一路傳遞下去，然后再重分布到RIP 中。圖619 查看BGP鄰居第七步：配置VRF實例B_PE端，由于B_PE端連接的兩個CE端B和C，為了避免兩個客戶端使用同一個私有網(wǎng)段地址，傳到B_PE中的產(chǎn)生沖突，需要在B_PE上為不同的客戶端定義一個VRF。在CE端運行RIP協(xié)議第2版，然后把其直連的網(wǎng)段加入到這個協(xié)議中B(config)router rip **/運行路由RIP協(xié)議B(configrouter)no autosummary **/關(guān)閉自動匯總B(configrouter)version 2 **/修改RIP的版本號B(configrouter)network **/把網(wǎng)段加入的協(xié)議B(configrouter)network BZ(config)router rip BZ(configrouter)no autosummary BZ(configrouter)version 2 BZ(configrouter)network BZ(configrouter)network 配置PE路由器PE路由器的配置比CE 路由器復(fù)雜得多，本設(shè)計中關(guān)于PE路由器的配置涉及的9個步驟如下：第一步：配置環(huán)回接口，以用作BGP更新源和LDP路由器ID。圖64 設(shè)備選型2. 選擇計算idle值，確定，把結(jié)果填入idle值選項框。另外，網(wǎng)絡(luò)安全問題應(yīng)該擺在第一位， （2）公司總部同其子公司或者合作伙伴之間的網(wǎng)絡(luò)應(yīng)選擇擴展性高，靈活性強的網(wǎng)絡(luò)連接類型。 異步加密算法異步加密算法是使用不同的密鑰進行加密和解密，加密的密鑰稱為公鑰（public key），用于加密的密鑰不能夠用于解密，用于解密的密鑰稱為私鑰（private key）。這種加密算法主要用在20世紀(jì)70年代中期。IKE進程可以分為兩個階段，階段1是一個強制的IKE階段，它是建立在對等體之間一個雙向的SA，即兩個對等體的哈希、加密、組等都要相同，否則對等體之間就無法建立IPSEC連接，緊接著，這個階段還要執(zhí)行對等體的驗證。 下面舉出5種方法可以驗證IPSEC對等體：用戶名和密碼——在端點配置他們，但是因為用戶名和密碼是經(jīng)常使用的，所以這個驗證方法安全性不高。AH和ESP都是利用HMAC（基于哈希的報文驗證）來進行完整性檢查和驗證的。數(shù)據(jù)機密性：指數(shù)據(jù)在VPN的雙方之間時通過Ipsec vpn傳送時保持?jǐn)?shù)據(jù)的私密性。出口的PE路由器則根據(jù)內(nèi)層標(biāo)簽表來查找對應(yīng)的輸出接口，當(dāng)彈出VPN標(biāo)簽后通過該接口將VPN分組再發(fā)送給相應(yīng)的CE路由器，這樣就實現(xiàn)了整個數(shù)據(jù)轉(zhuǎn)發(fā)過程。在控制層面，核心路由器P并不參與VPN路由信息的交互，客戶路由器是通過CE和PE路由器之間的路由交互知道屬于某個VPN的網(wǎng)絡(luò)拓撲信息。 MPLS VPN 路由傳送的原理MPIBGP在鄰居間傳遞VPN用戶路由時會將IPv4地址打上RD前綴，這樣以來VPN用戶傳來的IPv4路由就轉(zhuǎn)變?yōu)閂PNv4路由，這樣就保證VPN用戶的路由到了對端的PE上以后，即使存在地址空間重疊的情況，對端的PE也能夠區(qū)分分屬不同VPN的用戶路由。PE設(shè)備與用戶的CE設(shè)備直接相連，用于處理VPNV4路由，負責(zé)VPN業(yè)務(wù)接入，是MPLS三層VPN的主要實現(xiàn)者。LSP——標(biāo)簽交換數(shù)據(jù)包通過P網(wǎng)絡(luò)傳輸?shù)教囟康臅r所用到的路徑。 現(xiàn)狀首先，企業(yè)在組建網(wǎng)絡(luò)時一般會考慮投入的資金以及網(wǎng)絡(luò)通訊在今后可獲得的利益；其次，企業(yè)內(nèi)部或者說企業(yè)總公司與旗下的分公司為了長久的發(fā)展需要，他們需要有穩(wěn)定的、相對安全的連接方式以適應(yīng)；再次，一家企業(yè)同戰(zhàn)略合作伙伴之間就應(yīng)該要有靈活多變的網(wǎng)絡(luò)連接類型；最后，對于一家企業(yè)來說，充裕的帶寬，優(yōu)質(zhì)的網(wǎng)絡(luò)服務(wù)質(zhì)量，是公司今后業(yè)務(wù)發(fā)展的保障。（2）虛擬專用局域網(wǎng)段（VPLS）：這是在IP廣域網(wǎng)上仿真LAN的技術(shù)。一般情況下內(nèi)聯(lián)網(wǎng)用的VPN是專線VPN。 按接入方式劃分這是用戶和運營商最常見的VPN劃分方法。VPN是架構(gòu)在公網(wǎng)上的，所以其服務(wù)質(zhì)量往往是不穩(wěn)定的，而服務(wù)質(zhì)量的好壞是各個企業(yè)都很關(guān)心的問題，不過可以使用QoS來解決這個問題。有了VPN之后，這種協(xié)商就顯得毫無必要，真正實現(xiàn)了想連就連、要斷就斷。再者，VPN通過撥號訪問來自于 ISP或 NSP的外部服務(wù)，減少了所需的調(diào)制解調(diào)器池，同時簡化了與遠程用戶認證、授權(quán)和記賬相關(guān)的設(shè)備。VPN主要采用的技術(shù)有隧道技術(shù)、密鑰管理技術(shù)、加解密技術(shù)和使用者與設(shè)備身份認證技術(shù)。VPN技術(shù)在企業(yè)網(wǎng)絡(luò)中的應(yīng)用畢業(yè)論文目錄 1 1 VPN主要的優(yōu)點 1 1 1 1 1 1 2 2 VPN技術(shù)目前存在的問題 2 2 2 2 VPN技術(shù)分類 2 按接入方式劃分 2 按協(xié)議實現(xiàn)類型劃分 2 按VPN的服務(wù)類型劃分 3 按VPN業(yè)務(wù)層次模型劃分 3 3 網(wǎng)絡(luò)系統(tǒng)設(shè)計原則 3 現(xiàn)狀 3 采用VPN的理由 44 MPLS VPN原理 4 MPLS VPN體系基本架構(gòu) 4 CE路由器架構(gòu) 4 PE路由器架構(gòu) 5 MPLS VPN 路由傳送的原理 5 VPN 6 Ipsec VPN技術(shù) 6 Ipsec的功能特性 6 Ipsec協(xié)議 6 IPSEC模式 6 對等體驗證 7 IKE（Internet 密鑰交換） 8 加密算法 8 同步加密 8 異步加密算法 86. 企業(yè)VPN網(wǎng)絡(luò)構(gòu)建的分析與實現(xiàn) 8 方案應(yīng)用領(lǐng)域 8 組網(wǎng)需求分析 8 組網(wǎng)方案規(guī)劃 9 租用專線與使用VPN成本對比 9 9 組網(wǎng)設(shè)備選型及實驗地址規(guī)劃 9 10 10 10 10 13 13 MPLS VPN的配置 17 配置CE路由器 17 配置PE路由器 17 P路由器的配置。它涵蓋了跨共享網(wǎng)絡(luò)或者公共網(wǎng)絡(luò)的封裝、加密和身份驗證鏈接的專網(wǎng)的擴展。這樣就可以將對遠程控制鏈路進行安裝、配置和管理這些任務(wù)減少到最低，僅此一點就極大地簡化企業(yè)廣域網(wǎng)的設(shè)計。以前，企業(yè)如果想與合作伙伴聯(lián)網(wǎng)，雙方的技術(shù)部門就必須首先協(xié)商如何在雙方之間建立租用線路或幀中繼線路。因此只能通過各種加密技術(shù)來完善VPN的安全問題。下面我們按照不同的分類方式對VPN技術(shù)進行介紹。 按VPN的服務(wù)類型劃分根據(jù)服務(wù)類型，VPN業(yè)務(wù)大致分為這三類：接入VPN（Access VPN）、外聯(lián)網(wǎng)VPN（Extranet VPN）和內(nèi)聯(lián)網(wǎng)VPN(Intranet VPN)。（1）虛擬專用路由網(wǎng)（VPRN）業(yè)務(wù)：