【文章內(nèi)容簡(jiǎn)介】 進(jìn)性 組網(wǎng)方案設(shè)計(jì)應(yīng)適應(yīng)技術(shù)發(fā)展的潮流， 在兼顧技術(shù)上的成熟性 同 時(shí)也要盡量做到技術(shù)的先進(jìn)性。 （ 2）實(shí)用性 出于對(duì)網(wǎng)絡(luò)的整體 性和 對(duì)資源的有限的考慮，在方案設(shè)計(jì) 時(shí)候 都應(yīng)該注意實(shí)用性，這樣才能夠做到 以 最少的資源達(dá)到最優(yōu)的效果。 （ 3）可靠性 對(duì)于企業(yè)網(wǎng)來(lái)說(shuō)， 穩(wěn)定就是 其最重要的要求。一個(gè) 可靠的企業(yè)網(wǎng)絡(luò)可以為 企業(yè)帶來(lái)無(wú)法衡量的利益，反之則有可能 對(duì)公司帶來(lái)不可估量的損失 。 （ 4）完整性 一個(gè)好的網(wǎng)絡(luò)設(shè)計(jì) 在 做到 實(shí)現(xiàn) 基本功能后，對(duì)于其他 各方面都應(yīng)該考慮周全，盡量使得整個(gè)網(wǎng)絡(luò)完善 強(qiáng)健 。 現(xiàn)狀 首先，企業(yè) 在組建 網(wǎng)絡(luò) 時(shí)一般會(huì)考慮投入的資金以及 網(wǎng)絡(luò)通訊在今后可獲得的利益； 其次，企業(yè) 內(nèi)部或者說(shuō)企業(yè)總公司與旗下的分公司 為了 長(zhǎng)久的發(fā)展需要 ，他們 需要有穩(wěn)定的、相對(duì)安全的連接方式以適應(yīng)； 4 再次，一家企業(yè) 同戰(zhàn)略 合作伙伴之間就應(yīng)該要有靈活多變的網(wǎng)絡(luò)連接類型； 最后，對(duì)于一家企業(yè)來(lái)說(shuō)， 充裕的帶寬， 優(yōu)質(zhì) 的網(wǎng)絡(luò)服務(wù)質(zhì)量， 是公司今后 業(yè)務(wù)發(fā)展的保障。 采用 VPN 的理由 相對(duì)于企業(yè)對(duì)網(wǎng)絡(luò)設(shè)計(jì)的要求，最好使用 VPN，有以下理由： （ 1） 與 向運(yùn)營(yíng)商租用專線 或者 搭建專線 對(duì)比，使用 VPN是可以達(dá)到專線效果但比專線節(jié)省大量費(fèi) 用的一種最優(yōu)技術(shù)手段； （ 2） 專線的使用 很大程度地 制約了網(wǎng)絡(luò)的靈活性， 而 使用 VPN 可以 很好的彌補(bǔ)這一點(diǎn)； （ 3） 使用 QoS 的 VPN 服務(wù)通過(guò)配置隊(duì)列的優(yōu)先級(jí)可以控制不同類型的數(shù)據(jù)流量， 對(duì)于服務(wù)質(zhì)量 可以有很大的改善， 對(duì)企業(yè)內(nèi)部的管理有很大的幫助。 本設(shè)計(jì)涉及的 VPN技術(shù) 有 MPLS VPN 和 Ipsec這幾種。下面我們分別來(lái)介紹一下這兩種 VPN技術(shù)。 4 MPLS VPN 原理 MPLS VPN 體系基本架構(gòu) MPLS VPN同時(shí)汲取的重疊 模型的 VPN 和對(duì)等 體模型 VPN 的優(yōu)點(diǎn)，將他們組合成 了 單一的產(chǎn)品。了解 MPLS VPN 前必須 來(lái) 先了解一笑它相關(guān)的一些術(shù)語(yǔ)。 CE 路由器 —— 客戶端路由器 ， 直連 在 PE 路由器上 。 P 網(wǎng)絡(luò) —— 由 ISP 控制的核心路由器組成的內(nèi)部網(wǎng)絡(luò)。 LSP—— 標(biāo)簽交換數(shù)據(jù)包通過(guò) P 網(wǎng)絡(luò)傳輸?shù)教囟康臅r(shí)所用到的 路徑 。 VRF 表 —— 與客 戶相關(guān)的路由表實(shí)例。 RD—— 一個(gè) 64bit 標(biāo)識(shí)符，附加在 ipv4 地址前可 組成全球唯一的 VPNV4 地址 。 RT—— 是 VPNV4 BGP 路由的附加屬性，用 以 指示 VPN 的成員關(guān)系。 圖 41 MPLS VPN 網(wǎng)絡(luò)主要由 CE、 PE和 P 組成 CE 路由器架構(gòu) CE 路由器非常的重要，不管 用什么名稱它本質(zhì)上還是一臺(tái)路由器，運(yùn)行 IGP 協(xié)議（ 可用的協(xié)議包括 EIGRP、 OSPF、 RIP、 BGP 或者靜態(tài)路由）并與 發(fā)現(xiàn)的鄰居路由器交換路由信息。 CE 路5 由器不需要 支持 MPLS，也不屬于 MPLS 體系架構(gòu) 的組成部分 ，只 用來(lái) 負(fù)責(zé)發(fā)送和接 收 客戶的路由信息。 MPLS 提供商的 P 路由器對(duì) 于 CE 路由器是不可見(jiàn)的 ， 所有路由重分發(fā) 操作 以及 MPLS相關(guān)的 其他操作都是由 PE 路由器 完成 的 ， 而它 對(duì)于站點(diǎn) 的 CE 路由器是完全透明的。 PE路由器架構(gòu) PE路由器 是 比較高端的設(shè)備， 可 同時(shí)接入和并發(fā)比較 龐 大的數(shù)據(jù)流量而 不會(huì)產(chǎn)生鏈路 堵塞 。PE 設(shè)備與用戶的 CE 設(shè)備 直接相連， 用于 處理 VPNV4 路由， 負(fù)責(zé) VPN 業(yè)務(wù)接入，是 MPLS 三層 VPN 的主要實(shí)現(xiàn)者 。 骨干網(wǎng)核心路由器 P 負(fù)責(zé)快速轉(zhuǎn)發(fā)數(shù)據(jù)， 其 不與 CE 直接相連。在整個(gè)MPLS VPN 網(wǎng)絡(luò)中， P、 PE 設(shè)備需要支持 MPLS 的基本功能 ， P 設(shè)備 是 MPLSVPN 網(wǎng)絡(luò)的關(guān)鍵設(shè)備，根據(jù) PE 路由器有無(wú) 參與客戶的路由， MPLS VPN 又 分成 Layer3MPLS VPN 和 Layer2 MPLS VPN。其中 的 Layer3 MPLS VPN 遵循 RFC2547bis 標(biāo)準(zhǔn)， 使用 MPLS 技術(shù)在 VPN 站點(diǎn)之間傳送數(shù)據(jù)， 使用 MBGP 在 PE 路由器之間分發(fā)路由信息，因而又稱為 BGP/MPLS VPN。 圖 42 MPLS VPN 路由 在 MPLS VPN 網(wǎng)絡(luò)中， 因?yàn)?對(duì) VPN 的 所發(fā)生的 處理都在 PE 路由器上， 因此 我們?cè)?PE 路由器上 啟 用了 VPNv4 地址 協(xié)議 ，引入了 RD(RouteDistinguisher)和 RT(RouteTarget)屬性。 RD 具有惟一性，通過(guò)將 8 比特 的 RD 作為 IPv4 地址前綴的擴(kuò)展項(xiàng) ， 可以 使不惟一的 IPv4 地址轉(zhuǎn)化為惟一 確定 的 VPNv4 地址。 VPNv4 地址 只用于骨干網(wǎng)絡(luò)上路由信息的分發(fā)，它 對(duì)客戶端來(lái) 說(shuō)是不可預(yù)見(jiàn)性 的。 PE 的 對(duì)等體之間發(fā)布 是 基于 VPNv4 地址族的路 由 條目 ， 而且 通常是通過(guò) MPBGP實(shí)現(xiàn)的。 MPLS VPN 路由傳送的原理 MPIBGP 在鄰居間傳遞 VPN 用戶路由時(shí)會(huì)將 IPv4 地址打上 RD 前綴，這樣 以來(lái) VPN 用戶傳來(lái)的 IPv4 路由就轉(zhuǎn)變?yōu)?VPNv4 路由， 這樣就 保證 VPN 用戶的路由到了對(duì)端的 PE 上以后， 即使存在地址空間重疊 的情況 ，對(duì)端 的 PE 也能夠區(qū)分分屬不同 VPN 的用戶路由。 RT 使用了 BGP 中擴(kuò)展團(tuán)體屬性 來(lái) 用于路由信息的分發(fā)， 同時(shí)其 具有全局惟一性，同一個(gè) RT 只能被一 個(gè) VPN 所 使用，它分成 Import RT 和 Export RT，分別用于路由信 息的導(dǎo)入 策略 和導(dǎo)出策略。 在 PE路由器上針對(duì)每個(gè) site 都創(chuàng)建個(gè)虛擬路由轉(zhuǎn)發(fā)表 VRF(VPNRoutingamp。Forwarding)， VRF 為每個(gè) site 維護(hù)邏輯上分離 出來(lái) 的路由表，每個(gè) VRF 都有 Import RT 和 Export RT 兩種 屬性。當(dāng) PE路由器 從 VRF 表中導(dǎo)出 VPN 路由 條目時(shí) ，要用 Export RT 對(duì) VPN 路由 條目 進(jìn)行標(biāo)記 。當(dāng) PE路由器 收到 VPNv4 路由 條目 時(shí)，只有 當(dāng) 所帶 RT 標(biāo)記與 VRF 表中任意一個(gè) Import RT 路由 相符時(shí) 才會(huì)被導(dǎo)入到 VRF 表中，從而形成不同的 VPN，實(shí)現(xiàn) VPN 的互 訪與隔離 的效果 。 可以 通過(guò)對(duì) Import RT 和 Export RT 的 進(jìn)行適當(dāng)?shù)?配置，運(yùn)營(yíng)商可以構(gòu)建不同拓?fù)漕愋偷?VPN 網(wǎng)絡(luò) 。 整個(gè) MPLS VPN 體系結(jié)構(gòu)可以分成 數(shù)據(jù)面 和 控制面 ，控制面定義了 LSP 的建立和 VPN路由信息的分發(fā)過(guò)程， 而 數(shù)據(jù)面則定義了 VPN 數(shù)據(jù)的轉(zhuǎn)發(fā)過(guò)程。 6 在控制層面， 核心路由器 P 并不參與 VPN 路由信息的交互，客戶路由器是通過(guò) CE 和 PE路由器之間的路由交互知道屬于某個(gè) VPN 的網(wǎng)絡(luò)拓?fù)湫畔ⅰ?CEPE路由器之間通過(guò)采用靜態(tài) /默認(rèn)路由或采用 ICP(RIPv OSPF)等動(dòng)態(tài)路由協(xié)議。 PEPE 之間通過(guò)采 MPIBGP 進(jìn)行路由信息的交換 ， PE路由器通過(guò)維持 IBGP 網(wǎng)狀連接或使用路由反射器來(lái)確保路由信息分發(fā)給所有的 PE路由器。除了路由協(xié)議外，在控制層面工作的 協(xié)議 還有 LDP，它在整個(gè) MPLS 網(wǎng)絡(luò)中進(jìn)行分發(fā)標(biāo)簽 ，從而形成了 數(shù)據(jù)轉(zhuǎn)發(fā)的邏輯通道 LSP。 在數(shù)據(jù)轉(zhuǎn)發(fā)層面， MPLS VPN 網(wǎng)絡(luò)中傳輸?shù)?VPN 業(yè)務(wù)數(shù)據(jù)采用 了 外標(biāo)簽 (又稱隧道標(biāo)簽 )和內(nèi)標(biāo)簽 (又稱 VPN 標(biāo)簽 )兩層標(biāo)簽棧結(jié)構(gòu)。當(dāng) VPN 傳輸數(shù)據(jù) 的 分組由 CE 路由器發(fā)給 PE 路由器的入口 后， PE 路由器 開(kāi)始 查找該子接口 相 對(duì)應(yīng)的 VRF 表，從 VRF 表中得到 所需的 VPN 標(biāo)簽、初始外層標(biāo)簽 和 到出口 PE 路由器的輸出接口。當(dāng) VPN 分組被打上兩層標(biāo)簽后，再 通過(guò) PE輸出接口轉(zhuǎn)發(fā)出去，然后在 MPLS 骨干網(wǎng) 絡(luò) 中沿著 LSP 被逐級(jí)轉(zhuǎn)發(fā) 下去 。在出口 PE路由器 之前的最后一個(gè) P 路由器上，外層標(biāo)簽 會(huì) 被彈出 去 ， P 路由器將只含有 VPN 標(biāo)簽的分組轉(zhuǎn)發(fā)給出口 PE路由器 上 。出口 的 PE路由器 則 根據(jù)內(nèi)層標(biāo)簽 表來(lái) 查找對(duì)應(yīng)的輸出接口， 當(dāng) 彈出 VPN 標(biāo)簽后通過(guò)該接口將 VPN 分組 再 發(fā)送給 相應(yīng) 的 CE路由器， 這樣就 實(shí)現(xiàn)了整個(gè)數(shù)據(jù)轉(zhuǎn)發(fā)過(guò)程。 以上就是 MPLS VPN 路由傳送的原理 。 VPN Ipsec VPN 技術(shù) Ipsec 是一種保護(hù) IP 數(shù)據(jù)在不同 地方 傳輸時(shí) 候 安全性的功能特性值。包含在 VPN 中的 所有地點(diǎn)都要定義 VPN 類型。它的地點(diǎn)可以是 企業(yè)總部、大型分支機(jī)構(gòu)、一個(gè)小型遠(yuǎn)程站點(diǎn)、 一個(gè)終端客戶機(jī)、數(shù)據(jù)中心等。任意兩個(gè)這樣的地點(diǎn)組合在一起就 可以確定 VPN 的類型。 Ipsec 無(wú)法將其業(yè)務(wù)擴(kuò)展到數(shù)據(jù)鏈路層 ， 只能夠保護(hù) IP 層以上的數(shù)據(jù)。 Ipsec 的功能特性 數(shù)據(jù)完整性：確保數(shù)據(jù)在通過(guò) Ipsec VPN 進(jìn)行傳送的 時(shí)不 被修改 ，保證其完整性 。 數(shù)據(jù)機(jī)密性：指數(shù)據(jù)在 VPN 的 雙方 之間 時(shí) 通過(guò) Ipsec vpn 傳 送時(shí)保持?jǐn)?shù)據(jù)的私密性。 數(shù)據(jù)源驗(yàn)證：驗(yàn)證 Ipsec vpn 的數(shù)據(jù)源。 它不能夠單獨(dú)實(shí)現(xiàn)必須依賴于數(shù)據(jù)的完整性服務(wù) ，由 VPN 的每個(gè)端點(diǎn)來(lái)完成， 以 確保對(duì)方的身份 。 防重放 : 這個(gè)是利用數(shù)據(jù)包中的序列號(hào)和接受端滑動(dòng)窗口 確保 VPN 中的數(shù)據(jù)沒(méi)有被復(fù)制。 Ipsec 協(xié)議 Ipsec 提供了兩種安全協(xié)議，為 IPSec 對(duì)等體之間傳輸?shù)?IP 數(shù)據(jù)流提供安全服務(wù)： ESP（ Encapsulating Security Payload）封裝安全 有效負(fù) 載 AH（ Authentication Header）驗(yàn)證 報(bào)頭 (1) ESP 是為 IPSEC提供數(shù)據(jù)機(jī)密性、 源驗(yàn)證、 完整性等 特性 一種 體系框架。以下是 IPSEC ESP 可 以使 用的加密方法。 AES 高級(jí)數(shù)據(jù)加密標(biāo)準(zhǔn) DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）：是一種應(yīng)用很廣泛的 傳統(tǒng)的 加密方式。 3DES(3 重?cái)?shù)據(jù)加密標(biāo)準(zhǔn) ) (2) AH 是一種為 IPSEC 提供數(shù)據(jù) 源驗(yàn)證、 完整性、防重放功能的體系架構(gòu)， 但是 它不提供機(jī)密性 ， 所以它無(wú)法保證數(shù)據(jù)在傳輸?shù)倪^(guò)程中 是否 被偷窺 ，因此現(xiàn)在 很少單獨(dú)的使用 AH，一般都是和 ESP 配合使用。 AH 和 ESP 都是 利用 HMAC（基于哈希的報(bào)文驗(yàn)證）來(lái)進(jìn)行 完整性檢查 和 驗(yàn)證 的 。 7 IPSEC 模式 Ipsec 定義了 隧道模式和傳送模式 兩種的運(yùn)行模式 ， 它們對(duì)原始的 IP 包 提供不同的保護(hù)能力。 傳送模式 就是 僅僅把 Ipsec 頭部插在 IP 包中時(shí) 。 所以 在傳送模式中，原始 IP 頭部 暴露在外面， 沒(méi)有得到保護(hù)。在數(shù)據(jù)包 穿過(guò) 非受信 的 網(wǎng)絡(luò)時(shí)，包中的數(shù)據(jù) 其實(shí)是 安全的， 因?yàn)?網(wǎng)絡(luò)中只能看到通信方的真實(shí) IP 地址。 隧道模式中，包括原始 IP 頭部 在內(nèi)，整個(gè)數(shù)據(jù)包都可以 得到保護(hù)，隧道模式會(huì)產(chǎn)生一個(gè) 全新的隧道端點(diǎn) IP 地址，這樣原來(lái)的 IP 地址就不會(huì) 暴露在外面 ， 這樣 IP 數(shù)據(jù)包就能夠得到 更 好的保護(hù)。 圖 51 vpn 通道 Ip 幀 /包 L2 頭部 IP 頭部 TCP/UDP 頭部 有效負(fù)載 表 51 AH 傳輸模式封裝 原始 IP 報(bào)頭 驗(yàn)證報(bào)頭（ AH） 有效負(fù)載 表 52 AH 隧道模式封裝 新 IP 報(bào)頭 驗(yàn)證報(bào)頭（ AH） 原始 IP 報(bào)頭 有效負(fù)載 表 53 ESP 傳輸模式封裝 原始 IP 報(bào)頭 封裝安全有效負(fù)載（ ESP）報(bào)頭 有效負(fù)載 ESP 報(bào)尾 ESP 驗(yàn)證數(shù)據(jù) 表 54 ESP 隧道模式封裝 新 IP 報(bào)頭 封裝安全有效負(fù)載（ ESP）報(bào)頭 原始 IP 報(bào)頭 有效負(fù)載 ESP 報(bào)尾 ESP 驗(yàn)證數(shù)據(jù) 表 55 對(duì)等體 驗(yàn)證 Ipsec 對(duì)數(shù)據(jù)進(jìn)行加密防止數(shù)據(jù)在途中被竊取和修改， 保護(hù)傳送過(guò)程中的數(shù)據(jù)， 但是 首先 VPN端點(diǎn) 要能 夠?qū)?duì)方端點(diǎn)的 進(jìn)行 確認(rèn) ，否則 就談不上數(shù)據(jù)包的保密了。所以數(shù)據(jù)在傳送之前必須驗(yàn)證 IPSEC VPN 的端點(diǎn)。 下面舉出 5 種方法可以驗(yàn)證 IPSEC 對(duì)等體： 8 用戶名和密碼 —— 在端點(diǎn)配置他們，但是 因?yàn)?用戶名和密碼是經(jīng)常使用的，所以這個(gè) 驗(yàn)證方法 安全性不高 。 數(shù)據(jù)證書 —— 它是由第三 方 CA 給設(shè)備發(fā)數(shù)字證書。證書被發(fā)放到設(shè)備，需要驗(yàn)證設(shè)備的時(shí)候 向第三方 提交證書 ，然后由第三方進(jìn)行檢查， 通過(guò)了就驗(yàn)證成功。 預(yù)共享密鑰 —— 在每個(gè)對(duì)等體預(yù)先設(shè)置一個(gè)密鑰， 這樣 可以 保證信息的絕對(duì)的安全。 OTP（一次性密碼） —— 一般都是以 TAN 或 PIN 的 方式來(lái)識(shí)別。 生物測(cè)定 —— 是通過(guò)分析人的物理特征例如 語(yǔ)音、 指紋和臉部的特征來(lái)驗(yàn)證。 IKE（ Inter 密鑰交換） IKE 協(xié)議 是 一種動(dòng)態(tài)