【文章內(nèi)容簡(jiǎn)介】 ，能夠?qū)崿F(xiàn)標(biāo)簽分發(fā)并能夠根據(jù)標(biāo)簽轉(zhuǎn)發(fā)分組的交換機(jī)或路由器都屬于 LSR。標(biāo)簽分發(fā)的基本功能是使得 LSR 能夠?qū)⑵錁?biāo)簽綁定分發(fā)給 MPLS 網(wǎng)絡(luò)中的其他 LSR。 在體系結(jié)構(gòu)中根據(jù)它們?cè)诰W(wǎng)絡(luò)基礎(chǔ)設(shè)施中提供的功能區(qū)分為邊緣 LSR、 ATMLSR 和 ATM 邊緣LSR。邊緣 LSR 是在 MPLS 網(wǎng)絡(luò)邊緣執(zhí)行標(biāo)簽壓入或標(biāo)簽彈出的路由器。 ATMLSR 是可以用作 LSR的 ATM 交換機(jī)， ATMLSR 在控制層面執(zhí)行 IP 路由選擇和標(biāo)簽分配 ，并在數(shù)據(jù)層面上使用傳統(tǒng)的ATM 信元交換機(jī)制來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)分組。表 對(duì)各種 LSR 實(shí)現(xiàn)的功能作了總結(jié) 表 各種 LSR 執(zhí)行的操作 LSR 類(lèi)型 執(zhí)行的操作 LSR 轉(zhuǎn)發(fā)帶標(biāo)簽的分組 邊緣 LSR 可以接收 IP 分組，執(zhí)行第三 層查找，并在將分組轉(zhuǎn)發(fā)給 LSR 域之前加入標(biāo)簽棧 可以接收帶標(biāo)簽的分組、刪除標(biāo)簽，執(zhí)行第三層查找，并將分組轉(zhuǎn)發(fā)給下一跳 ATMLSR 在控制層面運(yùn)行 MPLS 協(xié)議來(lái)建立 ATM 虛電路 將帶標(biāo)簽的分組作為 ATM 信元進(jìn)行轉(zhuǎn)發(fā) ATM 邊緣 LSR 可以接收帶標(biāo)簽或不帶標(biāo)簽的分組，將分組分割成 ATM 信元，并將信元轉(zhuǎn)發(fā)給下一跳 ATMLSR 可以接收來(lái)自鄰接 ATMLSR 的 ATM 信元，將信元重新組裝為原來(lái)的分組，然后將它們作為帶河南農(nóng)業(yè)大學(xué)理學(xué)院本科畢業(yè)論文 10 標(biāo)簽或不帶標(biāo)簽的分組進(jìn)行轉(zhuǎn)發(fā) （ 2）網(wǎng)絡(luò)邊緣的標(biāo)簽加入 標(biāo)簽加入指的是在分組進(jìn)入 MPLS 域時(shí)，給它預(yù)先設(shè)置標(biāo)簽的操作。這是一種邊緣功能，意味著標(biāo)簽在被轉(zhuǎn)發(fā)到 MPLS 域之前被加上標(biāo)記。 要實(shí)現(xiàn)這種功能，邊緣 LSR 需要知道分組將被發(fā)送到哪里，應(yīng)該給它加上哪種標(biāo)簽或標(biāo)簽棧 。 在傳統(tǒng)的第三層 IP 轉(zhuǎn)發(fā)技術(shù)中，網(wǎng)絡(luò)的每跳都在 IP 轉(zhuǎn)發(fā)表中查找分組的第三層報(bào)頭中的 IP 目標(biāo)地址，在每次查找中，都將選擇分組的下一跳的 IP 地址，并最終通過(guò)一個(gè)接口將分組發(fā)送到目的地。 在 MPLS 體系結(jié)構(gòu)中，第一項(xiàng)功能叫做轉(zhuǎn)發(fā)等價(jià)類(lèi)（ Forwarding Equivalence Class,FEC） ,可以將它們看做是一組以相同方式 、通過(guò)相同路徑、相同的轉(zhuǎn)發(fā)處理方式轉(zhuǎn)發(fā)的 IP 分組，轉(zhuǎn)發(fā)等價(jià)類(lèi)可能對(duì)應(yīng)于一個(gè)目標(biāo) IP 子網(wǎng)，也可能對(duì)應(yīng)于邊緣 LSR 認(rèn)為有意義的任何數(shù)據(jù)流類(lèi)。當(dāng)分組轉(zhuǎn)發(fā)到下一跳時(shí)，下一跳會(huì)查找本地的標(biāo)簽轉(zhuǎn)發(fā)信息庫(kù)（ Label Fowarding Information Base,LFIB） ,并將為自己分配的入棧標(biāo)簽交換為其鄰接的 下一跳 LSR 分配的出棧標(biāo)簽，從而實(shí)現(xiàn)將分組發(fā)送到目的地。圖 說(shuō)明了標(biāo)簽加入和轉(zhuǎn)發(fā)的整個(gè)過(guò)程 注：圖中為提高轉(zhuǎn)發(fā)性能采用倒數(shù)第二跳機(jī)制。 圖 標(biāo)簽的加入和轉(zhuǎn)發(fā) （ 3） MPLS 分組 轉(zhuǎn)發(fā)和標(biāo)簽交換路徑 所有的分組都是通過(guò)入口 LSR 進(jìn)入 MPLS 域，并通過(guò)出口 LSR 離開(kāi) MPLS 域的。這種機(jī)制創(chuàng)建了標(biāo)簽交換路徑（ Label Switched Path,LSP）， LSP 的創(chuàng)建是面向連接的，因?yàn)樵趥鬏敂?shù)據(jù)流之前必須建立路徑。 河南農(nóng)業(yè)大學(xué)理學(xué)院本科畢業(yè)論文 11 分組通過(guò) MPLS 域的時(shí)候，每個(gè) LSR 都會(huì)將入棧標(biāo)簽轉(zhuǎn)換成出棧標(biāo)簽，這一過(guò)程持續(xù)到最后一個(gè) LSR（即出口 LSR）。在此過(guò)程中，每個(gè) LSR 上都保存了兩張表，一張叫做標(biāo)簽信息數(shù)據(jù)庫(kù)（ Label Information Base,LIB） ,其中包含了該 LSR 分配的所有標(biāo)簽，以及 這些標(biāo)簽與從所有鄰接 LSR 收到的標(biāo)簽之間的映射。第二張表叫做標(biāo)簽轉(zhuǎn)發(fā)信息庫(kù)（ Label Fowarding Information Base,LFIB），它被用于實(shí)際轉(zhuǎn)發(fā)分組，該表只保存有 MPLS 轉(zhuǎn)發(fā)部件當(dāng)前使用的標(biāo)簽 。 圖 和圖 分別說(shuō)明了 LSR和邊緣 LSR 的組件體系結(jié)構(gòu)。 圖 LSR 組件體系結(jié)構(gòu) 圖 邊緣 LSR 組件體系結(jié)構(gòu) 河南農(nóng)業(yè)大學(xué)理學(xué)院本科畢業(yè)論文 12 MPLS 在 VPN 中的應(yīng)用與實(shí)現(xiàn) [9] MPLS 技術(shù)可以通過(guò)使用偽線路技術(shù)，在 OSI 參考模型的第 2 層和第 3 層提供 VPN 解決方案。基于 MPLS 的 VPN 架構(gòu)真正的亮點(diǎn)所在是這種基于網(wǎng)絡(luò)的 VPN 解決方案每個(gè)站點(diǎn)只需要一條到本地 PE 路由器的連接，而傳統(tǒng)的疊加方式需要為每個(gè)站點(diǎn)提供到其他任何站點(diǎn)的連接，并且需要在這些連接之間運(yùn)行路由鄰接關(guān)系，無(wú)法滿(mǎn)足當(dāng)今通常所需的客戶(hù)連接的規(guī)模和數(shù)量。 在第 3 層 MPLS VPN 架構(gòu)中定義了幾種網(wǎng)絡(luò)組件，這些組件在整體架構(gòu)框架內(nèi)執(zhí)行不同的功能，組合起來(lái)用于提供第三層 VPN 服務(wù)。 ? 提供商網(wǎng)絡(luò)（ P 網(wǎng)絡(luò)）：由服務(wù)提供商管理的核心 MPLS/IP 網(wǎng)絡(luò)。 ? 提供商路由器（ P 路由器）：部署在提供商網(wǎng)絡(luò)內(nèi)部的 MPLS/IP 路由器，不提供任何便捷服務(wù)連接。 ? 提供商邊界路由器（ PE 路由器）：服務(wù)提供商的邊界路由器，提供 VPN 終端客戶(hù)連接和服務(wù)。 ? 自主系統(tǒng)邊界路由器（ ASBR 路由器）：服務(wù)提供商的自主系統(tǒng)邊界路由器，提供到鄰接自主系統(tǒng)（屬于相同或不通的運(yùn)營(yíng)商）的連接。 ? 客戶(hù)網(wǎng)絡(luò)（ C 網(wǎng)絡(luò)）：連接到第 3 層 MPLS VPN 服務(wù)的客戶(hù)網(wǎng)絡(luò)，有最終用戶(hù)管理。 ? 客戶(hù)邊界路由器（ CE 路由器）：客戶(hù)的路由器，用作客戶(hù)網(wǎng)絡(luò)和提供商網(wǎng)絡(luò)之間的網(wǎng)關(guān)。 Overlay VPN—— 重疊 VPN 模型 在重疊的模型中， 服務(wù)提供商在其網(wǎng)絡(luò)內(nèi)部和用戶(hù)路由器之間提供點(diǎn)到點(diǎn)的鏈路或者是虛鏈路。對(duì)等體用戶(hù)之間直接通過(guò)服務(wù)提供商所提供的鏈路或者虛鏈路進(jìn)行連接。服務(wù)提供商通過(guò)自身的路由器或者交換機(jī)來(lái)承載用戶(hù)數(shù)據(jù)流量穿越服務(wù)提供商網(wǎng)絡(luò)，但永遠(yuǎn)不會(huì)在用戶(hù)和服務(wù)提供商路由器之間形成路由信息的對(duì)等體關(guān)系。這樣一來(lái)，服務(wù)提供商的路由器永遠(yuǎn)看不到用戶(hù)的路由器。 其中點(diǎn)到店的服務(wù)可能工作在第 1 層、第二層甚至是第 3 層。在第 1 層中的例子是時(shí)分多路復(fù)用（ TDM）、 E E SONET，以及 SDH 鏈路。在第二層中的例子是通過(guò) 、 ATM 或者幀 中繼所創(chuàng)建的虛鏈路。 重疊 VPN 模型簡(jiǎn)單的一些特點(diǎn)： （ 1） 網(wǎng)絡(luò)運(yùn)營(yíng)商不需要參與私網(wǎng)路由建設(shè)。 （ 2） 沒(méi)有 QoS 保證。 （ 3） CE 端配置復(fù)雜。 河南農(nóng)業(yè)大學(xué)理學(xué)院本科畢業(yè)論文 13 （ 4） 安全性能比較高。 （ 5） 構(gòu)建費(fèi)用比較低。 IPsec VPN[910] IPsec VPN 是業(yè)界標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全協(xié)議，可以為 IP 網(wǎng)絡(luò)通信提供透明的安全服務(wù)，保護(hù) TCP/IP通信免遭竊聽(tīng)和篡改，從而有效的抵御網(wǎng)絡(luò)攻擊。 IPsec VPN 在網(wǎng)絡(luò)的靈活性、安全性、經(jīng)濟(jì)性、擴(kuò)展性等方面極具優(yōu)勢(shì)，因此越來(lái)越受到企業(yè)用戶(hù)的青睞。 IPsec 技術(shù)簡(jiǎn)介 （ 1）安全協(xié)議 IPsec 這種安全協(xié)議提供了一系列的安全服務(wù)措施的詳細(xì)說(shuō)明，它被設(shè)計(jì)成整個(gè)安全報(bào)文的一部分，用來(lái)保護(hù)通信系統(tǒng)。這些服務(wù)通過(guò)使用 AH 和 ESP 這兩個(gè)安全協(xié)議和加密秘鑰管理過(guò)程和協(xié)議（包括 ISAKMP 和 IKE）來(lái)實(shí)現(xiàn)，這些使 IPsec 允許安全服務(wù)對(duì)不通安全需求的滿(mǎn)足。 （ 2）安全聯(lián)盟 SA（ Security Associations,安全聯(lián)盟）的概念是 IPsec 的中心，它定義了各種類(lèi)型的安全措施。一個(gè) SA需要由三個(gè)參數(shù)唯一的確定：目的 IP地址、安全協(xié)議標(biāo)示符 以及 SPI（ Security Parameter Index,安全參數(shù)索引） ，它運(yùn)行在傳送模式（ transport mode）和隧道模式（ tunnel mode）。 圖 所示的是原始 IP 報(bào)頭和傳送模式以及隧道模式下的 IP 報(bào)文結(jié)構(gòu)。 圖 不同模式下的 IP 報(bào)文結(jié)構(gòu) （ 3）安全數(shù)據(jù)庫(kù) 在一個(gè) IPsec 結(jié)點(diǎn)中有兩種數(shù)據(jù)庫(kù)，分別是 SPD（ Security Policy Database,安全策略數(shù)據(jù)庫(kù)）和SAD（ Security Association Database,安全聯(lián)盟數(shù)據(jù)庫(kù)）。 SPD 中保存 著滿(mǎn)足所有 IP 通信類(lèi)型的安全需要的策略，控制著 IP 報(bào)文的處理和 SA 的建立。所有的 SA 隨同它們的參數(shù)一起都要在 SAD 中注冊(cè)。 河南農(nóng)業(yè)大學(xué)理學(xué)院本科畢業(yè)論文 14 安全聯(lián)盟數(shù)據(jù)庫(kù)是與 SA 相關(guān)的參數(shù)集合。每個(gè) SA 在 SAD 中都有一個(gè)條目，為屬于這個(gè) SA的 IP 報(bào)文 指定了 實(shí)現(xiàn) IPsec 處理過(guò)程的所有必需的內(nèi)容 。 ? 安全參數(shù)索引（ Security Parameter Index,SPI）。 ? 用于安全聯(lián)盟的協(xié)議（ ESP 或 AH）。 ? 協(xié)議運(yùn)行的模式（隧道模式或者傳送模式）。 ? 序列號(hào)計(jì)數(shù)器。 ? 反重傳窗口。 ? 路徑 MTU（ maximum transmission unit,最大傳送單元）。 ? 安全聯(lián)盟的源和目的 IP 地址。 ? 使用的驗(yàn)證算法和它的驗(yàn)證秘鑰。 ? 加密算法和它的驗(yàn)證秘鑰。 ? 身份驗(yàn)證和加密秘鑰的生命周期。 ? 安全聯(lián)盟的生命周期。 安全策略數(shù)據(jù)庫(kù)是一個(gè)適用于 IP 報(bào)文的安全策略有序表。一個(gè) SPD 條目有兩個(gè)組成部分：一組選擇開(kāi)關(guān)和一組操作。 （ 4） Inter 秘鑰交換 協(xié)議 IKE（ Inter Key Exchange） IKE 是由三個(gè)不同的協(xié)議組成的，如圖 所示 圖 IKE的三大組成協(xié)議 河南農(nóng)業(yè)大學(xué)理學(xué)院本科畢業(yè)論文 15 其中， IKE 的秘鑰交換 方式是由 SKEME 決定的， Oakley 決定了 IPsec 的框架設(shè)計(jì)，讓 IPsec能夠支持更多的協(xié)議， ISAKMP 是 IKE 的本質(zhì)協(xié)議，它決定著 IKE 協(xié)商包的封裝格式，交換過(guò)程和模式的切換。 在 IKE 的協(xié)商過(guò)程中 分為第一階段和第二階段，第一個(gè)階段可以由 6 個(gè)包交換的主模式或者 3個(gè)包交換的主動(dòng)模式完成，它的目的就是認(rèn)證需要建立 IPsec 通道的雙方用戶(hù)，確保對(duì)等體的合法，協(xié)商結(jié)果就是 IKE SA。第二個(gè)階段是由三個(gè)包交換的快速模式完成的，它的目的就是根據(jù)需要加密的感興趣流量來(lái)協(xié)商出保護(hù)這些流量的策略，其協(xié)商結(jié)果就是 IPsec SA。其過(guò)程如圖 所示。 圖 IKE的 2 個(gè)階段與 3 個(gè)模式 第一階段的主要任務(wù)就是完成相互認(rèn)證 ， 第一階段的完成，不僅表示收發(fā)雙方認(rèn)證通過(guò)，而且還會(huì)建立一個(gè)雙向的 ISAKMP/IKE 安全關(guān)聯(lián)（ SA），這個(gè) SA維護(hù)了處理 ISAKMP/IKE 流量的相關(guān)策略（這些策略不會(huì)處理實(shí)際感興趣流量），而對(duì)等體雙方還會(huì)繼續(xù)使用這個(gè) SA，來(lái)安全保護(hù)后續(xù)的 IKE 快速模式 13 包交換。第二個(gè)階段的主要任務(wù)就是基于具體的感興趣流來(lái)協(xié)商相應(yīng)的 IPsec SA， IKE 快速模式交換的三個(gè)數(shù)據(jù)包都得到了安全保護(hù)（加密、完 整性校驗(yàn)和源認(rèn)證）。 IPsec 在 VPN 中的應(yīng)用與實(shí)現(xiàn) IPsec VPN 通過(guò)在感興趣流量上加密，解決了公司內(nèi)部之間流量傳輸?shù)陌踩?，卻不會(huì)影響用戶(hù)對(duì) Inter 的正常訪問(wèn)，其 主要運(yùn)用在兩個(gè)方 向 ，一個(gè)是企業(yè)內(nèi)部用戶(hù)與網(wǎng)關(guān)之間 （ sitetosite VPN） ，另一個(gè)是移動(dòng)用戶(hù)與網(wǎng)關(guān)之間（也稱(chēng) Easy VPN）。企業(yè)內(nèi)部用戶(hù)與網(wǎng)關(guān)之間需要通過(guò)第一階段和第二階段的協(xié)商完成，但不同的是 Easy VPN 的協(xié)商過(guò)程中在第一階段和第二階段之間插入了一個(gè)全新的 階段（此處略去不講） 。 IPsec VPN 部署過(guò)程中， 一般 需要經(jīng)歷 6 個(gè)步驟： （ 1） 確保用戶(hù)網(wǎng)關(guān)有到運(yùn)營(yíng)商的路由 河南農(nóng)業(yè)大學(xué)理學(xué)院本科畢業(yè)論文 16 （ 2） 定義兩端對(duì)稱(chēng)的感興趣流量（ ACL） （ 3） IKE 第一個(gè)階段（ ISAKMP SA） （ 4） IKE 第二個(gè)階段（ IPsec SA） （ 5） 把定義的感興趣流量和 IPsec 關(guān)聯(lián)，即與 (2)(3)(4)步驟關(guān)聯(lián) （ 6） 把步驟（ 5）調(diào)用到外網(wǎng)口 河南農(nóng)業(yè)大學(xué)理學(xué)院本科畢業(yè)論文 17 5 MPLS VPN 實(shí)例分析與配置 在業(yè)務(wù)不斷地?cái)U(kuò)大過(guò)程中，公司 A 和公司 B 都需要在異地建立分支機(jī)構(gòu)， 公司 A 和公司 B 的局域網(wǎng)和運(yùn)營(yíng)商網(wǎng)絡(luò)之間 邏輯網(wǎng)絡(luò)拓?fù)?結(jié)構(gòu) 如下圖 所示 （由于配置 集中在邊界網(wǎng)關(guān)等設(shè)備，故其它不參與配置 VPN 的設(shè)備在此用網(wǎng)絡(luò)云替代）。 圖 某網(wǎng)絡(luò)環(huán)境邏輯拓?fù)?圖 需求分析實(shí)施方案 在建立異地通信過(guò)程中，考慮到工作性質(zhì)因素， 公司 A 和公司 B 首要技術(shù)參考指標(biāo) 是 應(yīng)保障網(wǎng)絡(luò)服務(wù)質(zhì)量（ QOS），其次是可擴(kuò)展性。同時(shí)為了實(shí)現(xiàn)異地同步管理，需要在公司局域網(wǎng)的路由表中包含有公司所有分支機(jī)構(gòu)的路由條目。 為了滿(mǎn)足客戶(hù)以上的條件，在分析對(duì)比后， 我決定 用到 MPLS VPN 來(lái)進(jìn)行網(wǎng)絡(luò)實(shí)施 。 方案實(shí)施難點(diǎn)分析與解決 在一個(gè)網(wǎng)絡(luò)拓?fù)湟?guī)劃好以后，一般情況下要想實(shí)現(xiàn)最終的通 信互訪，我們必須先建立兩個(gè)層面的通道，即控制層面和數(shù)據(jù)層面 。首先， 控制層面也即路由層面主要考慮的是如何讓對(duì)端路由器、防火墻、網(wǎng)關(guān)