【正文】 優(yōu)先級(jí). IP 交換機(jī)以切入時(shí)所分配的VCC 為單位, 執(zhí)行這四級(jí)Qo S. 和防火墻中的過(guò)濾機(jī)制一樣,通信是在進(jìn)入切入方式時(shí)才分級(jí)的, 所以QoS 功能也不影響網(wǎng)絡(luò)的整體性能.　理想的路由和包傳送體系結(jié)構(gòu)IP 交換具有實(shí)現(xiàn)多目傳送的理想功能. 用對(duì)BUS 所指定的網(wǎng)段進(jìn)行廣播的方式, 實(shí)現(xiàn)LANE ( LAN 仿真) 和MPOA( ATM 上的多協(xié)議) 的多目傳送. 這里所指的網(wǎng)段, 在LANE中是橋網(wǎng)段, MPOA 中是子網(wǎng)段, 所以, 它與把客戶(hù)機(jī)分組進(jìn)行多目傳送的路由器有很大區(qū)別. 在IP 交換的情況下, 雖然使用與路由器相同的IP 多目傳送路由協(xié)議( DVMRP: 反向路徑轉(zhuǎn)發(fā)) 來(lái)路由多目傳送, 但通信是用切入方式進(jìn)行的, 所以不會(huì)產(chǎn)生路由器中的節(jié)點(diǎn)延遲.缺點(diǎn)：　IP 交接在不同域之間不能直接通信IP 交換也可構(gòu)成IP 交換網(wǎng)域. 構(gòu)成各個(gè)網(wǎng)域的裝置不能與另外的網(wǎng)域直接通信. 同樣, IP 交換網(wǎng)也不能直接與LANE 和MPOA 進(jìn)行通信. 實(shí)例分析首先, 把IP 交換網(wǎng)作為已有LAN 的主干網(wǎng). 在這種情況下, 與其說(shuō)是ATM LAN, 不如說(shuō)IP 交換機(jī)實(shí)質(zhì)上是在起超高速路由器( 比現(xiàn)在最快的路由器還快5 倍) 的作用. 例如, 把3 臺(tái)IP 交換機(jī)用OC 3 連接起來(lái), 可構(gòu)成主干網(wǎng), 通過(guò)IP 交換網(wǎng)關(guān)于已有的LAN 連接起來(lái). 這樣, 已有的LAN 之間, 可以經(jīng)由IP 交換主干網(wǎng), 進(jìn)行高速通信. 第二種使用方法是, 將現(xiàn)有網(wǎng)絡(luò)高速網(wǎng)遷移, 把想提速的部分, 直接接到IP 交換機(jī)即可. 在這種情況下, 它具有AT M LAN 的特性, 可以構(gòu)成帶寬為25M bps、直連桌面機(jī)的高速工作組.參考資料?！?】沈鑫剡 《IP交換網(wǎng)原理、技術(shù)及實(shí)現(xiàn)》 人民郵電出版社【2】【3】天文忠刊 《IP 交換技術(shù)及其應(yīng)用》高　倩1 , 楊　澤2第三部分 MPLS中的VPN技術(shù)必做題：對(duì)所學(xué)的基于MPLS的VPN技術(shù)進(jìn)行詳細(xì)的擴(kuò)展，包括概念介紹、模型介紹等 概念介紹（一）VPN定義由于虛電路提供的遠(yuǎn)距離連接并不是專(zhuān)用線(xiàn)路，所以通常把由虛電路完成遠(yuǎn)距離連接的專(zhuān)用網(wǎng)絡(luò)稱(chēng)為虛擬專(zhuān)用網(wǎng)（VPN）。（二）VPN的要求　　安全性　　VPN提供用戶(hù)一種私人專(zhuān)用（Private）的感覺(jué)，因此建立在不安全、不可信任的公共數(shù)據(jù)網(wǎng)的首要任務(wù)是解決安全性問(wèn)題。VPN的安全性可通過(guò)隧道技術(shù)、加密和認(rèn)證技術(shù)得到解決。在Intranet VPN中，要有高強(qiáng)度的加密技術(shù)來(lái)保護(hù)敏感信息；在遠(yuǎn)程訪(fǎng)問(wèn)VPN中要有對(duì)遠(yuǎn)程用戶(hù)可*的認(rèn)證機(jī)制?！　⌒阅堋　PN要發(fā)展其性能至少不應(yīng)該低于傳統(tǒng)方法。盡管網(wǎng)絡(luò)速度不斷提高，但在Internet時(shí)代，隨著電子商務(wù)活動(dòng)的激增，網(wǎng)絡(luò)擁塞經(jīng)常發(fā)生，這給VPN性能的穩(wěn)定帶來(lái)極大的影響。因此VPN解決方案應(yīng)能夠讓管理員進(jìn)行通信控制來(lái)確保其性能。通過(guò)VPN平臺(tái)，管理員定義管理政策來(lái)激活基于重要性的出入口帶寬分配。這樣既能確保對(duì)數(shù)據(jù)丟失有嚴(yán)格要求和高優(yōu)先級(jí)應(yīng)用的性能，又不會(huì)“餓死”，低優(yōu)先級(jí)的應(yīng)用?！　」芾韱?wèn)題　　由于網(wǎng)絡(luò)設(shè)施、應(yīng)用不斷增加，網(wǎng)絡(luò)用戶(hù)所需的IP地址數(shù)量持續(xù)增長(zhǎng)，對(duì)越來(lái)越復(fù)雜的網(wǎng)絡(luò)管理，網(wǎng)絡(luò)安全處理能力的大小是VPN解決方案好壞的至關(guān)緊要的區(qū)分。VPN是公司對(duì)外的延伸，因此VPN要有一個(gè)固定管理方案以減輕管理、報(bào)告等方面負(fù)擔(dān)。管理平臺(tái)要有一個(gè)定義安全政策的簡(jiǎn)單方法，將安全政策進(jìn)行分布，并管理大量設(shè)備?！　』ゲ僮鳌　≡贓xtranet VPN中，企業(yè)要與不同的客戶(hù)及供應(yīng)商建立聯(lián)系，VPN解決方案也會(huì)不同。因此，企業(yè)的VPN產(chǎn)品應(yīng)該能夠同其他廠(chǎng)家的產(chǎn)品進(jìn)行互操作。這就要求所選擇的VPN方案應(yīng)該是基于工業(yè)標(biāo)準(zhǔn)和協(xié)議的。這些協(xié)議有IPSec、點(diǎn)到點(diǎn)隧道協(xié)議（Point to Point Tunneling Protocol，PPTP）、第二層隧道協(xié)議（Layer 2 Tunneling Protocol，L2TP）等。 （三）VPN的實(shí)現(xiàn)技術(shù)　　VPN實(shí)現(xiàn)的兩個(gè)關(guān)鍵技術(shù)是隧道技術(shù)和加密技術(shù)，同時(shí)QoS技術(shù)對(duì)VPN的實(shí)現(xiàn)也至關(guān)重要?！　?．VPN訪(fǎng)問(wèn)點(diǎn)模型　　首先提供一個(gè)VPN訪(fǎng)問(wèn)點(diǎn)功能組成模型圖作為參考。其中IPSec集成了IP層隧道技術(shù)和加密技術(shù)?！　?．隧道技術(shù)　　隧道技術(shù)簡(jiǎn)單的說(shuō)就是：原始報(bào)文在A地進(jìn)行封裝，到達(dá)B地后把封裝去掉還原成原始報(bào)文，這樣就形成了一條由A到B的通信隧道。目前實(shí)現(xiàn)隧道技術(shù)的有一般路由封裝（Generic Routing Encapsulation，GRE）L2TP和PPTP?！　、? GRE　　GRE主要用于源路由和終路由之間所形成的隧道。例如，將通過(guò)隧道的報(bào)文用一個(gè)新的報(bào)文頭（GRE報(bào)文頭）進(jìn)行封裝然后帶著隧道終點(diǎn)地址放入隧道中。當(dāng)報(bào)文到達(dá)隧道終點(diǎn)時(shí)，GRE報(bào)文頭被剝掉，繼續(xù)原始報(bào)文的目標(biāo)地址進(jìn)行尋址。 GRE隧道通常是點(diǎn)到點(diǎn)的，即隧道只有一個(gè)源地址和一個(gè)終地址。然而也有一些實(shí)現(xiàn)允許點(diǎn)到多點(diǎn)，即一個(gè)源地址對(duì)多個(gè)終地址。這時(shí)候就要和下一跳路由協(xié)議（NextHop Routing Protocol，NHRP）結(jié)合使用。NHRP主要是為了在路由之間建立捷徑?！　RE隧道用來(lái)建立VPN有很大的吸引力。從體系結(jié)構(gòu)的觀(guān)點(diǎn)來(lái)看，VPN就象是通過(guò)普通主機(jī)網(wǎng)絡(luò)的隧道集合。普通主機(jī)網(wǎng)絡(luò)的每個(gè)點(diǎn)都可利用其地址以及路由所形成的物理連接，配置成一個(gè)或多個(gè)隧道。在GRE隧道技術(shù)中入口地址用的是普通主機(jī)網(wǎng)絡(luò)的地址空間，而在隧道中流動(dòng)的原始報(bào)文用的是VPN的地址空間，這樣反過(guò)來(lái)就要求隧道的終點(diǎn)應(yīng)該配置成VPN與普通主機(jī)網(wǎng)絡(luò)之間的交界點(diǎn)。這種方法的好處是使VPN的路由信息從普通主機(jī)網(wǎng)絡(luò)的路由信息中隔離出來(lái)，多個(gè)VPN可以重復(fù)利用同一個(gè)地址空間而沒(méi)有沖突，這使得VPN從主機(jī)網(wǎng)絡(luò)中獨(dú)立出來(lái)。從而滿(mǎn)足了VPN的關(guān)鍵要求：可以不使用全局唯一的地址空間。隧道也能封裝數(shù)量眾多的協(xié)議族，減少實(shí)現(xiàn)VPN功能函數(shù)的數(shù)量。還有，對(duì)許多VPN所支持的體系結(jié)構(gòu)來(lái)說(shuō)，用同一種格式來(lái)支持多種協(xié)議同時(shí)又保留協(xié)議的功能，這是非常重要的。IP路由過(guò)濾的主機(jī)網(wǎng)絡(luò)不能提供這種服務(wù)，而只有隧道技術(shù)才能把VPN私有協(xié)議從主機(jī)網(wǎng)絡(luò)中隔離開(kāi)來(lái)。基于隧道技術(shù)的VPN實(shí)現(xiàn)的另一特點(diǎn)是對(duì)主機(jī)網(wǎng)絡(luò)環(huán)境和VPN路由環(huán)境進(jìn)行隔離。對(duì)VPN而言主機(jī)網(wǎng)絡(luò)可看成點(diǎn)到點(diǎn)的電路集合，VPN能夠用其路由協(xié)議穿過(guò)符合VPN管理要求的虛擬網(wǎng)。同樣，主機(jī)網(wǎng)絡(luò)用符合網(wǎng)絡(luò)要求的路由設(shè)計(jì)方案，而不必受VPN用戶(hù)網(wǎng)絡(luò)的路由協(xié)議限制?！　‰m然GRE隧道技術(shù)有很多優(yōu)點(diǎn)，但用其技術(shù)作為VPN機(jī)制也有缺點(diǎn)，例如管理費(fèi)用高、隧道的規(guī)模數(shù)量大等。因?yàn)镚RE是由手工配置的，所以配置和維護(hù)隧道所需的費(fèi)用和隧道的數(shù)量是直接相關(guān)的――每次隧道的終點(diǎn)改變，隧道要重新配置。隧道也可自動(dòng)配置，但有缺點(diǎn)，如不能考慮相關(guān)路由信息、性能問(wèn)題以及容易形成回路問(wèn)題。一旦形成回路，會(huì)極大惡化路由的效率。除此之外，通信分類(lèi)機(jī)制是通過(guò)一個(gè)好的粒度級(jí)別來(lái)識(shí)別通信類(lèi)型。如果通信分類(lèi)過(guò)程是通過(guò)識(shí)別報(bào)文（進(jìn)入隧道前的）進(jìn)行的話(huà)，就會(huì)影響路由發(fā)送速率的能力及服務(wù)性能?！　RE隧道技術(shù)是用在路由器中的，可以滿(mǎn)足Extranet VPN以及Intranet VPN的需求。但是在遠(yuǎn)程訪(fǎng)問(wèn)VPN中，多數(shù)用戶(hù)是采用撥號(hào)上網(wǎng)。這時(shí)可以通過(guò)L2TP和PPTP來(lái)加以解決。　?、凇2TP和PPTP　　L2TP是L2F（Layer 2 Forwarding）和PPTP的結(jié)合。但是由于PC機(jī)的桌面操作系統(tǒng)包含著PPTP，因此PPTP仍比較流行。隧道的建立有兩種方式即：“用戶(hù)初始化”隧道和“NAS初始化”（Network Access Server）隧道。前者一般指“主動(dòng)”隧道，后者指“強(qiáng)制”隧道?！爸鲃?dòng)”隧道是用戶(hù)為某種特定目的的請(qǐng)求建立的，而“強(qiáng)制”隧道則是在沒(méi)有任何來(lái)自用戶(hù)的動(dòng)作以及選擇的情況下建立的?！　2TP作為“強(qiáng)制”隧道模型是讓撥號(hào)用戶(hù)與網(wǎng)絡(luò)中的另一點(diǎn)建立連接的重要機(jī)制。建立過(guò)程如下：①用戶(hù)通過(guò)Modem與NAS建立連接；②用戶(hù)通過(guò)NAS的L2TP接入服務(wù)器身份認(rèn)證；③在政策配置文件或NAS與政策服務(wù)器進(jìn)行協(xié)商的基礎(chǔ)上，NAS和L2TP接入服務(wù)器動(dòng)態(tài)地建立一條L2TP隧道；④用戶(hù)與L2TP接入服務(wù)器之間建立一條點(diǎn)到點(diǎn)協(xié)議（Point to Point Protocol，PPP）訪(fǎng)問(wèn)服務(wù)隧道；⑤用戶(hù)通過(guò)該隧道獲得VPN服務(wù)?！　∨c之相反的是，PPTP作為“主動(dòng)”隧道模型允許終端系統(tǒng)進(jìn)行配置，與任意位置的PPTP服務(wù)器建立一條不連續(xù)的、點(diǎn)到點(diǎn)的隧道。并且，PPTP協(xié)商和隧道建立過(guò)程都沒(méi)有中間媒介NAS的參與。NAS的作用只是提供網(wǎng)絡(luò)服務(wù)。PPTP建立過(guò)程如下：①用戶(hù)通過(guò)串口以撥號(hào)IP訪(fǎng)問(wèn)的方式與NAS建立連接取得網(wǎng)絡(luò)服務(wù)；②用戶(hù)通過(guò)路由信息定位PPTP接入服務(wù)器；③用戶(hù)形成一個(gè)PPTP虛擬接口；④用戶(hù)通過(guò)該接口與PPTP接入服務(wù)器協(xié)商、認(rèn)證建立一條PPP訪(fǎng)問(wèn)服務(wù)隧道；⑤用戶(hù)通過(guò)該隧道獲得VPN服務(wù)?！　≡贚2TP中，用戶(hù)感覺(jué)不到NAS的存在，仿佛與PPTP接入服務(wù)器直接建立連接。而在PPTP中，PPTP隧道對(duì)NAS是透明的；NAS不需要知道PPTP接入服務(wù)器的存在，只是簡(jiǎn)單地把PPTP流量作為普通IP流量處理?！　〔捎肔2TP還是PPTP實(shí)現(xiàn)VPN取決于要把控制權(quán)放在NAS還是用戶(hù)手中。L2TP比PPTP更安全，因?yàn)長(zhǎng)2TP接入服務(wù)器能夠確定用戶(hù)從哪里來(lái)的。L2TP主要用于比較集中的、固定的VPN用戶(hù)，而PPTP比較適合移動(dòng)的用戶(hù)。 ③。加密技術(shù)　　數(shù)據(jù)加密的基本思想是通過(guò)變換信息的表示形式來(lái)偽裝需要保護(hù)的敏感信息，使非受權(quán)者不能了解被保護(hù)信息的內(nèi)容。加密算法有用于Windows95的RC用于IPSec的DES和三次DES。RC4雖然強(qiáng)度比較弱，但是保護(hù)免于非專(zhuān)業(yè)人士的攻擊已經(jīng)足夠了；DES和三次DES強(qiáng)度比較高，可用于敏感的商業(yè)信息?！　〖用芗夹g(shù)可以在協(xié)議棧的任意層進(jìn)行；可以對(duì)數(shù)據(jù)或報(bào)文頭進(jìn)行加密。在網(wǎng)絡(luò)層中的加密標(biāo)準(zhǔn)是IPSec。網(wǎng)絡(luò)層加密實(shí)現(xiàn)的最安全方法是在主機(jī)的端到端進(jìn)行。另一個(gè)選擇是“隧道模式”：加密只在路由器中進(jìn)行，而終端與第一跳路由之間不加密。這種方法不太安全，因?yàn)閿?shù)據(jù)從終端系統(tǒng)到第一條路由時(shí)可能被截取而危及數(shù)據(jù)安全。終端到終端的加密方案中，VPN安全粒度達(dá)到個(gè)人終端系統(tǒng)的標(biāo)準(zhǔn)；而“隧道模式”方案，VPN安全粒度只達(dá)到子網(wǎng)標(biāo)準(zhǔn)。在鏈路層中，目前還沒(méi)有統(tǒng)一的加密標(biāo)準(zhǔn)，因此所有鏈路層加密方案基本上是生產(chǎn)