16高速網(wǎng)絡(luò)技術(shù)

高速網(wǎng)絡(luò)技術(shù)

High-SpeedNetworksTechnologies郭聯(lián)志廈門大學(xué)出版社第9章虛擬網(wǎng)絡(luò)技術(shù)9.1虛擬局域網(wǎng)技術(shù)9.2廣域網(wǎng)VPN技術(shù)9.3MPLSVPN9.4播送虛擬網(wǎng)絡(luò)技術(shù)9．1虛擬局域網(wǎng)〔VLAN〕交換局域網(wǎng)是虛擬局域網(wǎng)〔VirtueLAN，VLAN〕的根底。近年來，隨著交換局域網(wǎng)技術(shù)的飛速開展，交換局域網(wǎng)結(jié)構(gòu)逐漸取代了傳統(tǒng)局域網(wǎng)的共享介質(zhì)結(jié)構(gòu)，為虛擬局域網(wǎng)的實(shí)現(xiàn)提供了堅(jiān)實(shí)的根底。802.1網(wǎng)絡(luò)互聯(lián)小組標(biāo)準(zhǔn)：1996年3月。802.10VLAN標(biāo)準(zhǔn)不好用。9．1．1虛擬網(wǎng)絡(luò)概念

虛擬網(wǎng)絡(luò)是建立在局域網(wǎng)交換機(jī)或ATM交換機(jī)之上的，它以軟件方式來實(shí)現(xiàn)邏輯工作組的劃分與管理，邏輯工作組的節(jié)點(diǎn)組成不受物理位置的限制。同一邏輯工作組的成員不一定要連接在同一個(gè)物理網(wǎng)段上，它們可以連接在同一個(gè)局域網(wǎng)交換機(jī)上，也可以連接在不同的局域網(wǎng)交換機(jī)上，只要這些交換機(jī)是互聯(lián)的。當(dāng)一個(gè)節(jié)點(diǎn)從一個(gè)邏輯工作組轉(zhuǎn)移到另一個(gè)邏輯工作組時(shí)，只需要通過軟件設(shè)定，而不需要改變它在網(wǎng)絡(luò)中的物理位置。同一個(gè)邏輯工作組的節(jié)點(diǎn)可以分布在不同的物理網(wǎng)段上，但它們之間的通信就像在同一個(gè)物理網(wǎng)段上一樣。虛擬網(wǎng)絡(luò)VLAN在同一個(gè)VLAN的計(jì)算機(jī)，不管它們實(shí)際與哪一個(gè)交換機(jī)連接，同一個(gè)VLAN中的播送只有VLAN的成員才能聽到，而不會(huì)傳到其他的VLAN中去，這樣可以控制不必要的播送風(fēng)暴的產(chǎn)生。同時(shí)，如果沒有路由的話，不同的VLAN之間不能相互通信。增加了網(wǎng)絡(luò)中不同部門之間的平安性。VLAN可以將效勞器單獨(dú)劃分在一個(gè)VLAN中，通過第三層交換，允許其他VLAN用戶訪問效勞器，也可以將效勞器單獨(dú)劃分屬于多個(gè)VLAN，提高了效勞器的平安性。9．1．2劃分VLAN的方法1．基于交換機(jī)物理端口

2．基于MAC地址

3．基于IP地址

4．基于網(wǎng)絡(luò)協(xié)議

圖9-1典型的VLAN物理結(jié)構(gòu)圖1．基于交換機(jī)物理端口基于交換機(jī)物理端口劃分VLAN，可以說是基于OSI七層模型的第一層物理層。許多早期的虛擬局域網(wǎng)都是根據(jù)局域網(wǎng)交換機(jī)的端口來定義虛擬局域網(wǎng)成員的。虛擬局域網(wǎng)從邏輯上把局域網(wǎng)交換機(jī)的端口劃分為不同的虛擬子網(wǎng)，各虛擬子網(wǎng)相對獨(dú)立，其結(jié)構(gòu)如圖9-2a所示。圖中局域網(wǎng)交換機(jī)端口1、2、3、4和8組成VLAN1，端口5、6和7組成了VLAN2。虛擬局域網(wǎng)也可以跨越多個(gè)交換機(jī)。如圖9-2b所示，局域網(wǎng)交換機(jī)1的1、2、3端口和局域網(wǎng)交換機(jī)2的5、6、7端口組成VLAN1，局域網(wǎng)交換機(jī)1的5、6和7端口和局域網(wǎng)交換機(jī)2的1、2、3和8端口組成VLAN2。1．基于交換機(jī)物理端口示意圖TP-DLINK端口流量限制選擇交換機(jī)功能下的端口流量限制，您可以進(jìn)入如下設(shè)置界面。端口流量限制提供針對每個(gè)端口的流量限制設(shè)置，入口提供“不限制〞、“flood〞、“播送和多播〞、“播送〞、“所有幀〞等五種不同的限制模式，而出口限制那么是針對所有幀的限制。

入口限制模式請您選擇入口限制模式，它一共包含下面五個(gè)選項(xiàng)。不限制

選擇該項(xiàng)表示對進(jìn)入該端口的數(shù)據(jù)幀不進(jìn)行限制。

flood

選擇該項(xiàng)表示對進(jìn)入該端口的播送幀、多播幀、以及目的MAC地址不在MAC地址表的幀進(jìn)行限制。

播送和多播

選擇該項(xiàng)表示對進(jìn)入該端口的播送幀和多播幀進(jìn)行限制。

播送

選擇該項(xiàng)表示對進(jìn)入該端口的播送幀進(jìn)行限制。

所有幀

選擇該項(xiàng)表示對進(jìn)入該端口的所有幀進(jìn)行限制。

其中flood、播送以及播送和多播的限制方式就是傳統(tǒng)意義上的播送風(fēng)暴抑制，路由器的交換機(jī)局部可以對三種常見的播送幀〔播送包、組播包、未學(xué)習(xí)到地址的單播包〕進(jìn)行過濾。

播送風(fēng)暴是指網(wǎng)絡(luò)上的播送幀數(shù)量急劇增加而影響正常的網(wǎng)絡(luò)通訊的反?，F(xiàn)象。播送風(fēng)暴的判斷標(biāo)準(zhǔn)為一個(gè)端口是否在短時(shí)間內(nèi)連續(xù)收到許多個(gè)播送幀，播送風(fēng)暴會(huì)嚴(yán)重降低網(wǎng)絡(luò)性能。端口流量限制允許交換機(jī)局部對網(wǎng)絡(luò)上出現(xiàn)的播送幀進(jìn)行過濾。當(dāng)交換機(jī)檢測到播送幀數(shù)目超出一定的范圍時(shí)，會(huì)自動(dòng)丟棄播送幀，以防止播送風(fēng)暴的發(fā)生。

當(dāng)設(shè)置為所有幀的限制方式時(shí)，交換機(jī)局部將對所有的數(shù)據(jù)幀都進(jìn)行限制，對于入口的數(shù)據(jù)包采用過濾處理，假設(shè)當(dāng)前流量超出入口限制流量時(shí)，超出的局部將被丟棄；對于出口的數(shù)據(jù)，僅限制流量〔根據(jù)端口流量控制的開啟情況決定是否丟棄超出限制速率外的幀〕，這時(shí)起到端口下行帶寬限制的作用。2．基于MAC地址基于OSI七層模型第二層—數(shù)據(jù)鏈路層中的MAC子層劃分VLAN，是用節(jié)點(diǎn)的MAC地址來定義虛擬局域網(wǎng)，網(wǎng)絡(luò)中每一個(gè)端設(shè)備在出廠時(shí)都有一個(gè)固定的MAC地址，為占6字節(jié)的十六進(jìn)制數(shù)，例如00-10-4B-0C-AC-29。在Windows98中可用winipcfg命令獲取網(wǎng)卡的IP地址，在Windows2000中那么需使用ipconfig/all命令。這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的MAC地址來劃分，即對每個(gè)MAC地址的主機(jī)都配置它屬于哪個(gè)組。2．基于MAC地址由于MAC地址是與硬件相關(guān)的地址，所以用MAC地址定義的虛擬局域網(wǎng)允許節(jié)點(diǎn)移動(dòng)它的物理網(wǎng)段。由于它的MAC地址不變，所以該節(jié)點(diǎn)將自動(dòng)保持原來的虛擬局域網(wǎng)成員的地位。從這個(gè)角度來說，基于MAC地址定義的虛擬局域網(wǎng)可以看作是基于用戶的虛擬局域網(wǎng)。用MAC地址定義虛擬局域網(wǎng)的優(yōu)點(diǎn)是：網(wǎng)絡(luò)工作站上的網(wǎng)卡是全世界惟一和固定不變的，可以作為平安檢查的身份標(biāo)識(shí)。對于有特殊平安需求的網(wǎng)絡(luò)可以考慮用MAC地址定義虛擬局域網(wǎng)。3．基于IP地址

更加高級的基于第三層的VLAN劃分是基于IP地址的劃分，當(dāng)然它主要應(yīng)用在TCP/IP網(wǎng)絡(luò)中，支持這種劃分方法的交換機(jī)需要讀懂第三層信息，即讀懂?dāng)?shù)據(jù)包中的IP地址，但是交換機(jī)不進(jìn)行路由，只是判斷數(shù)據(jù)包的目的地址，送到交換機(jī)相應(yīng)的端口。在IP網(wǎng)絡(luò)中，通過IP地址及子網(wǎng)掩碼可以決定一臺(tái)計(jì)算機(jī)所屬的邏輯網(wǎng)段，但在二層交換網(wǎng)絡(luò)中，播送數(shù)據(jù)并未被控制在邏輯網(wǎng)段內(nèi)，整個(gè)物理網(wǎng)段的計(jì)算機(jī)都會(huì)接收到播送數(shù)據(jù)包，只不過接收方會(huì)簡單地丟棄不屬于自己的數(shù)據(jù)包。基于IP地址劃分VLAN，可以將播送域控制在一定的邏輯網(wǎng)段內(nèi)。3．基于IP地址

基于IP地址劃分VLAN的優(yōu)點(diǎn)是：用戶物理位置變化，端設(shè)備及網(wǎng)絡(luò)設(shè)置無需更改。增加用戶簡單方便，用戶端設(shè)備設(shè)置正確的IP地址子網(wǎng)掩碼就自動(dòng)參加相應(yīng)VLAN。管理員通過設(shè)定子網(wǎng)網(wǎng)段地址及正確的子網(wǎng)掩碼，并將這種策略加載到網(wǎng)絡(luò)中的各個(gè)交換機(jī)上，網(wǎng)絡(luò)就可以工作。(例:工程學(xué)院)4．基于網(wǎng)絡(luò)協(xié)議

基于OSI的第三層網(wǎng)絡(luò)層劃分VLAN，如運(yùn)行IP協(xié)議的用戶劃分成一個(gè)VLAN，運(yùn)行IPX協(xié)議的用戶分成另一個(gè)VLAN。支持這種劃分策略的交換機(jī)必須能讀懂?dāng)?shù)據(jù)包的第三層信息，分清數(shù)據(jù)包的協(xié)議類型。在某種情況下這種劃分策略的交換還是很有用的。如在一個(gè)大型網(wǎng)絡(luò)中，由于歷史的原因，有許多網(wǎng)絡(luò)的協(xié)議存在，例如將IPX協(xié)議用戶劃分在VLAN中，可以將IPX產(chǎn)生的SAP〔ServiceAdvertisementProtocol〕播送控制在一定的范圍。提高網(wǎng)絡(luò)通信的性能。在實(shí)際應(yīng)用中，這種劃分方法一般與基于MAC地址、基于IP地址劃分策略等其他方法混合使用，使得網(wǎng)絡(luò)管理更為靈活。它允許按照協(xié)議類型來組成虛擬局域網(wǎng)，用戶可以隨意移開工作站而無需重新配置網(wǎng)絡(luò)地址。9．2虛擬專用網(wǎng)絡(luò)〔VPN〕虛擬專用網(wǎng)絡(luò)〔VirtualPrivateNetwork，VPN〕是近年來熱門的技術(shù)，屬于廣域網(wǎng)的技術(shù)范疇。虛擬專用網(wǎng)絡(luò)分為兩種：一種是指幀中繼或ATM等提供的虛擬固定線路〔PVC〕效勞網(wǎng)絡(luò)，另一種是利用Internet構(gòu)建的虛擬專用網(wǎng)絡(luò)。本節(jié)只探討基于Internet的虛擬專用網(wǎng)絡(luò)。9．2．1VPN工作原理VPN系統(tǒng)可由分布在不同地方的多個(gè)專用網(wǎng)絡(luò)〔主要是企業(yè)內(nèi)部網(wǎng)〕構(gòu)成，這些專用網(wǎng)絡(luò)之間可以利用公共網(wǎng)絡(luò)進(jìn)行平安通信，在公共網(wǎng)絡(luò)上傳輸?shù)男畔⑼ㄟ^復(fù)雜的算法加密，保證VPN用戶的數(shù)據(jù)平安傳輸。9．2．2VPN協(xié)議VPN使用的協(xié)議主要有五種：即點(diǎn)到點(diǎn)隧道協(xié)議〔Point-to-PointTunnelingProtocol，PPTP〕第二層隧道協(xié)議〔Layer2TunnelingProtocol，L2TP〕IP平安協(xié)議〔IPsecurity，IPSec〕、SOCKS接口SSL〔SecureSocketLayer〕技術(shù)。1．PPTP協(xié)議PPTP〔PointToPointTunnelingProtocol〕是微軟公司提出來的。在推出之初目的是為了撥號VPN，這種協(xié)議通過使用戶撥號進(jìn)入本地ISP并利用隧道技術(shù)接入企業(yè)網(wǎng)絡(luò)。PPTP支持WindowsNT、95/98，在Windows平臺(tái)上運(yùn)行PPTP可以無縫地構(gòu)建和維護(hù)VPN。PPTP是數(shù)據(jù)鏈路層的協(xié)議，是PPP協(xié)議的擴(kuò)展，其用IP包來封裝PPP協(xié)議，用簡單的包過濾和或網(wǎng)絡(luò)控制來實(shí)現(xiàn)訪問控制。目前，PPTP協(xié)議已根本被淘汰，不再使用在VPN產(chǎn)品中。2．L2TP協(xié)議第二層隧道協(xié)議L2TP〔Layer2TunnelingProtocol〕是由微軟的PPTP和Cisco公司的L2F〔Layer2Forwording〕協(xié)議組合而成的，支持多路隧道?；贚ayer2的VPN封裝了IP協(xié)議和IPX、NetBEUI、AppleTalk等非IP協(xié)議。還支持流量控制，它通過減少丟棄包來改善網(wǎng)絡(luò)性能，這樣可減少數(shù)據(jù)包重傳。L2TP不提供任何加密措施，更多的是和IPsec協(xié)議配合使用，提供隧道驗(yàn)證。PPTP和L2TP同時(shí)最多只能連接255個(gè)用戶。3．IPSec協(xié)議IPSec協(xié)議是用來增強(qiáng)VPN平安性的標(biāo)準(zhǔn)協(xié)議，工作在OSI模型的第三層。IPSec包含了用戶身份認(rèn)證、查驗(yàn)和數(shù)據(jù)完整性等內(nèi)容。IPsec可以確保運(yùn)行在TCP/IP協(xié)議上的VPN之間的互操作性。標(biāo)準(zhǔn)化的IPSec能實(shí)現(xiàn)來自不同廠商的產(chǎn)品相互混合及相互匹配。不過，在為遠(yuǎn)程用戶構(gòu)建VPN時(shí)，IPSec需要在使用者的每個(gè)桌面系統(tǒng)上加載特殊的客戶軟件，相對來說，比較繁瑣。IPsec協(xié)議需要范圍的IP地址或固定的IP地址，因此在動(dòng)態(tài)分配地址時(shí)不太適合于IPsec。除了TCP/IP協(xié)議外，IPsec不支持其他的協(xié)議。目前的VPN大都是將L2TP和IPsec結(jié)合起來，用L2TP作為隧道協(xié)議，用IPsec協(xié)議保護(hù)數(shù)據(jù)的技術(shù)。4．SSL協(xié)議基于SSL〔平安套接字層〕的VPN通常是在防火墻后面放置一個(gè)SSL代理效勞器，如果用戶希望平安地連接到公司的網(wǎng)絡(luò)，那么當(dāng)用戶在瀏覽器上輸入一個(gè)URL后，連接將被SSL代理效勞器取得，然后SSL代理效勞器將提供一個(gè)遠(yuǎn)程用戶與各種不同的應(yīng)用效勞器之間連接。這種方式優(yōu)于傳統(tǒng)的IPsecVPN方式的特點(diǎn)是不需要安裝任何客戶端軟件，客戶端只需要一個(gè)支持SSL的瀏覽器就行了。SSLVPN主要局限是用戶只能訪問基于Web效勞器的應(yīng)用，而IPsecVPN卻幾乎可以為所有的應(yīng)用提供訪問。4．SSL協(xié)議SSL是Netscape公司設(shè)計(jì)的一種用來在Internet上傳輸個(gè)人信息的通信協(xié)議，InternetExplorer也支持SSL。IETF〔〕將SSL作了標(biāo)準(zhǔn)化，即RFC2246，并將其稱為TLS〔TransportLayerSecurity〕。WAP論壇〔〕在TLS的根底上做了簡化，提出了WTLS協(xié)議〔WirelessTransportLayerSecurity〕，以適應(yīng)無線網(wǎng)絡(luò)的特殊環(huán)境。當(dāng)在瀏覽器里設(shè)置了s的代理，而且在瀏覽器里輸入了之后，瀏覽器會(huì)與proxy建立TCP鏈接，然后向其發(fā)出這么一段消息：CONNECTserver.example:443HTTP/1.14．SSL協(xié)議Host:server.example:443然后proxy會(huì)向webserver端建立TCP連接之后，這個(gè)代理便完全成了一個(gè)內(nèi)容轉(zhuǎn)發(fā)裝置。瀏覽器與webserver會(huì)建立一個(gè)平安通道，因此這個(gè)平安通道是端到端的，盡管所有的信息流過了proxy，但其內(nèi)容proxy是無法解密和改動(dòng)的。SSL連接可以看成在TCP/IP連接的根底上建立一個(gè)平安通道，在這一通道中，所有點(diǎn)對點(diǎn)的信息都將加密，從而確保信息在Internet上傳輸時(shí)，不會(huì)被第三方竊取。SSL協(xié)議可以分為兩個(gè)子協(xié)議：SSL記錄協(xié)議〔RecordProtocol〕和SSL握手協(xié)議〔HandshakeProtocol〕。其中HandshakeProtocol用來協(xié)商密鑰，協(xié)議的大局部內(nèi)容就是通信雙方如何利用它來平安地協(xié)商出一份密鑰。RecordProtocol那么定義了傳輸?shù)母袷?。它們在網(wǎng)絡(luò)體系中分別位于如下層次：圖9-4SSL協(xié)議ApplicationLayer應(yīng)用層HandshakeProtocol會(huì)話層SSLRecordLayer傳輸層TCPLayerSSL提供了兩臺(tái)機(jī)器間的平安連接。支付系統(tǒng)經(jīng)常通過在SSL連接上傳輸信用卡卡號的方式來構(gòu)建，在線銀行和其他金融系統(tǒng)也常常構(gòu)建在SSL之上。雖然基于SSL的信用卡支付方式促進(jìn)了電子商務(wù)的開展，但如果想要電子商務(wù)得以成功地廣泛開展的話，必須采用更先進(jìn)的支付系統(tǒng)。SSL被廣泛應(yīng)用的原因在于它被大局部Web瀏覽器和Web效勞器所內(nèi)置，比較容易被應(yīng)用。

5．SOCKSv5協(xié)議SOCKS是相對于OSI模型的會(huì)話層的網(wǎng)絡(luò)連接代理協(xié)議，SOCKS能對連接請求進(jìn)行鑒別和授權(quán)。并建立代理連接和傳送數(shù)據(jù)。SOCKS有v4和v5兩個(gè)版本，SOCKSv5比SOCKSv4增加了處理UDP數(shù)據(jù)報(bào)能力。SOCKSv5的優(yōu)點(diǎn)在于它是在OSI模型的會(huì)話層控制數(shù)據(jù)流，它定義了非常詳細(xì)的訪問控制。SOCKSv5和SSL工作在會(huì)話層，能夠與低層協(xié)議IPv4、IPsec、PPTP、L2TP一起使用；用SOCKSv5的代理效勞器可隱藏網(wǎng)絡(luò)地址結(jié)構(gòu)；能為認(rèn)證、加密和密鑰管理提供“插件〞模塊，讓用戶自由地采用所需要的技術(shù)。SOCKSv5可根據(jù)規(guī)那么過濾數(shù)據(jù)流，包括JavaApplet和Actives控制。當(dāng)SOCKSv5同SSL協(xié)議配合使用時(shí)，可作為建立高度平安的VPN的根底。SOCKS已被IFTF建議作為建立VPN的標(biāo)準(zhǔn)。9．2．3VPN的業(yè)務(wù)

共有三種連接方式

1．AccessVPN2．IntranetVPN3．ExtranetVPN1．AccessVPNAccessVPN〔接入VPN〕，又叫做撥號VPN，即VPDN，接入方法可以是用調(diào)制解調(diào)器、ISDN或者xDSL。是指企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過公網(wǎng)遠(yuǎn)程撥號的方式構(gòu)筑的虛擬網(wǎng)，即客戶端到網(wǎng)關(guān)。遠(yuǎn)端用戶不是通過長途線路，而是通過本地ISP，采用VPN技術(shù)在公眾網(wǎng)上建立一個(gè)虛擬的通道。商家需提供B2C〔企業(yè)對用戶〕的平安訪問效勞。2．IntranetVPN所謂IntranetVPN〔內(nèi)部VPN〕適用于企業(yè)的總部與分支機(jī)構(gòu)間通過Internet構(gòu)筑的世界范圍的虛擬網(wǎng)，即網(wǎng)關(guān)到網(wǎng)關(guān)。利用Internet的線路保證網(wǎng)絡(luò)的互聯(lián)性。而利用隧道，加密等VPN技術(shù)，可以保證信息在整個(gè)IntranetVPN上平安傳輸。IPsec隧道協(xié)議可滿足所有網(wǎng)關(guān)到網(wǎng)關(guān)的VPN的連接。3．ExtranetVPNExtranetVPN〔外部VPN〕與IntranetVPN沒有本質(zhì)的差異，它是將客戶、供給商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)，使不同企業(yè)網(wǎng)通過公網(wǎng)來構(gòu)筑的虛擬網(wǎng)。但由于是不同公司的網(wǎng)絡(luò)相互通信，所以要更多地考慮設(shè)備的互聯(lián)、地址的協(xié)調(diào)、平安策略的協(xié)商等。它也屬于網(wǎng)關(guān)到網(wǎng)關(guān)的連接，選擇IPsec協(xié)議是明智之舉。IntranetVPN和ExtranetVPN統(tǒng)稱為專線VPN或場地到場地的VPN。9．2．4構(gòu)建VPN1．按運(yùn)營方式劃分

Core-basedVPN： Core-basedVPN是運(yùn)營商在電信公網(wǎng)上為企業(yè)建立的專用隧道效勞。其優(yōu)點(diǎn)是企業(yè)不需購置和維護(hù)VPN設(shè)備，方便了管理，但目前存在許多無法越過的障礙：由于涉及加密算法不統(tǒng)一，造成不同運(yùn)營商的VPN不能互通互聯(lián)，MPLSVPN雖然避開了加密算法的約束，但目前處于應(yīng)用初級階段，網(wǎng)絡(luò)沒覆蓋到全國；另一個(gè)致命弱點(diǎn)是VPN管理在運(yùn)營商處，公司的核心將被外人管理。每月還需繳納一定的維護(hù)費(fèi)。因此Core-basedVPN只適合于數(shù)據(jù)保密性要求不高，需求不固定的中小企業(yè)。CPE-basedVPN：CPE-basedVPN是企業(yè)通過自購VPN設(shè)備，在公網(wǎng)上建立的平安專用通道。企業(yè)自建VPN在技術(shù)上與Core-basedVPN完全一致，但是核心數(shù)據(jù)完全掌握在企業(yè)手中。同時(shí)它實(shí)現(xiàn)端到端的加密通信，并可根據(jù)公司的策略隨時(shí)進(jìn)行調(diào)整，具有靈活性。2．按應(yīng)用方式劃分

虛擬專用網(wǎng)絡(luò)在應(yīng)用上可分為Point-to-LAN〔單機(jī)對局域網(wǎng)〕與LAN-to-LAN〔局域網(wǎng)對局域網(wǎng)〕兩種：在Point-to-LAN的配置中，虛擬專用網(wǎng)絡(luò)的一端為局域網(wǎng)，通過具有虛擬專用網(wǎng)絡(luò)功能的路由器，專用連線上Internet；虛擬專用網(wǎng)絡(luò)的另一端為個(gè)人計(jì)算機(jī)，通過撥號的方式連上Internet。在LAN-to-LAN〔或稱為Router-to-Router〕的配置中，虛擬專用網(wǎng)絡(luò)的兩端都為局域網(wǎng)，通過具有虛擬專用網(wǎng)絡(luò)功能的路由器，以專線連上Internet。3．實(shí)施步驟企業(yè)構(gòu)建VPN在具體實(shí)施時(shí)，可按照幾大步驟進(jìn)行：〔1〕明確遠(yuǎn)程訪問要求。企業(yè)首先要明確需要與何種公網(wǎng)連接，用戶是通過局域網(wǎng)、廣域網(wǎng)還是撥號鏈路進(jìn)入企業(yè)專用網(wǎng)絡(luò)，遠(yuǎn)程用戶是否為同一機(jī)構(gòu)的成員等問題。此外，企業(yè)決策者還應(yīng)解決VPN特有的幾個(gè)問題，即遠(yuǎn)程訪問的資格、可執(zhí)行的計(jì)算能力、外聯(lián)網(wǎng)連接的責(zé)任以及VPN資源的監(jiān)管、為出差旅行的員工及遠(yuǎn)程工作站的員工提供訪問步驟等。3．實(shí)施步驟〔2〕選擇VPN設(shè)備?？蛇x擇的VPN產(chǎn)品很多，有路由器、主機(jī)網(wǎng)關(guān)、撥號接入設(shè)備、隧道加密機(jī)、隧道交換機(jī)、防火墻VPN等。但產(chǎn)品根本上可分成三大類，即基于硬件的VPN、基于軟件的VPN和基于防火墻VPN。〔3〕選擇VPN效勞器位置及配置網(wǎng)絡(luò)設(shè)備。構(gòu)建VPN系統(tǒng)可以利用企業(yè)原有的資源〔局域網(wǎng)〕，構(gòu)造VPN首先要確定VPN效勞器的位置，其次，要配置網(wǎng)絡(luò)地址轉(zhuǎn)換器等其他網(wǎng)絡(luò)設(shè)備。3．實(shí)施步驟〔4〕安裝和配置VPN。不同的VPN產(chǎn)品安裝的方法不同，要注意的是基于軟件的VPN和基于防火墻的VPN產(chǎn)品在安裝前，首先要從效勞器中取消所有不必要的效勞、應(yīng)用程序和用戶賬戶，確保安裝最新的、平安的產(chǎn)品，確保VPN系統(tǒng)的平安。在對VPN進(jìn)行配置時(shí)，通常網(wǎng)管員要為一系列因素設(shè)定參數(shù)，例如密鑰長度、主要與次要認(rèn)證效勞器及相關(guān)的共享秘密資源、連接和超時(shí)設(shè)置、證書生成、密鑰生成和分布機(jī)制等?！?〕監(jiān)控和管理VPN。這一步是要建立監(jiān)控Internet連接的機(jī)制，它可以測定VPN對網(wǎng)絡(luò)的利用和吞吐量，而且也是培訓(xùn)效勞臺(tái)員工操作VPN設(shè)備及認(rèn)識(shí)認(rèn)證效勞器和防火墻相互間的影響的重要一步。９．３MPLSVPNMPLSVPN是一種基于IP網(wǎng)絡(luò)的寬帶VPN技術(shù)。MPLSVPN效勞比較適合于一些點(diǎn)數(shù)較多的連接，對于傳統(tǒng)的低帶寬應(yīng)用，用戶只有2～3個(gè)點(diǎn)或者是點(diǎn)到點(diǎn)的連接，DDN和幀中繼VPN還是有自己的優(yōu)越性。MPLSVPN技術(shù)已被國內(nèi)一些大型企事業(yè)、行政機(jī)關(guān)所采用。9．3．1MPLSVPN解決方案1．CPEBasedVPN由用戶端激起并終結(jié)，對運(yùn)營商完全透明。不能為運(yùn)營商提供太多的盈利時(shí)機(jī)。它的缺點(diǎn)是擴(kuò)展性較差，因?yàn)樗峭ㄟ^數(shù)據(jù)包封裝方式建立隧道，如果同時(shí)加密隧道，速度會(huì)更慢。CPEBaseVPN要求企業(yè)擁有維護(hù)設(shè)備的技術(shù)能力，這類維護(hù)工作對中小型企業(yè)相當(dāng)昂貴。不過非常適合于技術(shù)力量雄厚、需要高度保密的單位。2．PPVPN由運(yùn)營商激發(fā)的VPN解決方案稱為ProviderProvisionVPN〔PPVPN〕，一般業(yè)界指的是MPLSVPN。3．MPLSVPN的典型應(yīng)用依然是內(nèi)部VPN〔IntranetVPN〕、外部VPN〔ExtranetVPN〕和接入VPN〔AccessVPN〕。9．3．2MPLSVPN的特點(diǎn)1．高平安性MPLS的標(biāo)簽交換路徑〔LSP〕具有與FR和ATMVCC相似的平安性。另外，像網(wǎng)通的MPLSVPN，還集成了IPSec加密，同時(shí)也實(shí)現(xiàn)了對用戶透明，用戶可以采用防火墻，數(shù)據(jù)加密等方法，進(jìn)一步提高平安性。2．強(qiáng)大的擴(kuò)展性第一，網(wǎng)絡(luò)中可以容納的VPN數(shù)目很大；第二，同一VPN中的用戶很容易擴(kuò)充。3．業(yè)務(wù)的融合功能MPLSVPN可提供數(shù)據(jù)、語音和視頻三網(wǎng)融合的能力。4．靈活的控制策略可以制訂特殊的控制策略，滿足不同用戶的特殊要求，實(shí)現(xiàn)增值效勞。5．強(qiáng)大的管理功能采用集中管理的方式，業(yè)務(wù)配置與調(diào)度統(tǒng)一平臺(tái)，減輕了用戶的負(fù)擔(dān)。6．效勞級別協(xié)議〔SLA〕目前利用差異效勞，流量整形和效勞級別來保證一定的流量性能，將來可以提供帶寬保證以及更高的效勞質(zhì)量保證。7．幫用戶節(jié)省費(fèi)用主要包括：線路費(fèi)——價(jià)格比租用專線節(jié)約；設(shè)備費(fèi)——用戶只須配備CE設(shè)備，不需要專門的VPN網(wǎng)關(guān)；融合業(yè)務(wù)——通過融合語音數(shù)據(jù)業(yè)務(wù)來節(jié)約費(fèi)用；管理費(fèi)用——用戶不必進(jìn)行專門管理維護(hù)；人員費(fèi)用——不必雇用大量的專業(yè)技術(shù)人員。8．MPLSVPN主要參數(shù)MPLSVPN與傳統(tǒng)的ATM/幀中繼VPN不同。例如，ATM只提供BurstRate、CommitRate等效勞，而基于MPLSVPN的SLA〔效勞級別協(xié)定〕更復(fù)雜，SLA必須包括時(shí)延、丟包率、QoS等內(nèi)容。主要的MPLSVPN效勞的測試參數(shù)包括：連接性〔可用性〕：業(yè)務(wù)處于正常狀態(tài)的時(shí)間占總時(shí)間的比例；激活期間：一天中進(jìn)行SLA監(jiān)視的時(shí)間；延遲〔抖動(dòng)〕：VPN內(nèi)各種業(yè)務(wù)的環(huán)回時(shí)間〔抖動(dòng)〕，可以設(shè)置相應(yīng)的門限值；吞吐量：用戶發(fā)送到網(wǎng)絡(luò)中的業(yè)務(wù)量；其他性能參數(shù)：包括分組喪失率等。9．3．3L2/L3MPLSVPNMPLSVPN分為二層MPLSVPN與三層MPLSVPN。二層MPLSVPN是指IETFDraftKompella或IETFDraftMartini;而三層MPLSVPN基于IETFRFC2547bis標(biāo)準(zhǔn)。RFC4364:BGP/MPLSIPVirtualPrivateNetworks(VPNs)

Obsoletes:2547.February2006

MPLS(MultiprotocolLabelSwitching)isusedforforwardingpacketsoverthebackbone,andBGP(BorderGatewayProtocol)isusedfordistributingroutesoverthebackbone.1．基于第三層的MPLSVPN由于開展的時(shí)間較長，三層MPLSVPN協(xié)議本身相對完善一些。但是，三層MPLSVPN由于實(shí)現(xiàn)機(jī)制的問題，其網(wǎng)絡(luò)的運(yùn)營管理和維護(hù)，以及運(yùn)營商邊界路由器需要存儲(chǔ)大量的客戶路由信息引發(fā)的網(wǎng)絡(luò)擴(kuò)展性問題，要求必須對其實(shí)施進(jìn)行很好地規(guī)劃。對于三層MPLSVPN來說，由于路由協(xié)議和信令協(xié)議的限制，目前只支持純IP的業(yè)務(wù)?，F(xiàn)在很多的組織已經(jīng)或者正在準(zhǔn)備開始使用IPv6，將來也會(huì)有很多的企業(yè)向IPv6遷移。對于運(yùn)營商來說，如何為這局部企業(yè)用戶提供VPN的連接業(yè)務(wù)是現(xiàn)實(shí)面臨的問題。對于三層MPLSVPN來說，需要對目前IPv4的路由技術(shù)和對目前M-BGP的功能進(jìn)行增強(qiáng)，生成一個(gè)新的VPNIPv6的AddressFamily。其間，還會(huì)涉及到對運(yùn)營商邊界路由器軟件或者硬件上的升級。2．基于第二層的MPLSVPN二層MPLSVPN的解決方案由于采用二層的透傳技術(shù)，對于客戶側(cè)的很多三層協(xié)議是透明的，這些協(xié)議包括：IPv4、IPv6、IPX、DECnet、OSI、SNA等。與三層MPLSVPN的解決方案比較，二層MPLSVPN可以提供更好的網(wǎng)絡(luò)擴(kuò)展性，更適合在大型的VPN網(wǎng)絡(luò)中使用，特別是在多級運(yùn)營商或者運(yùn)營商的多級網(wǎng)絡(luò)環(huán)境中〔CarrierSupportCarrier〕。二層MPLSVPN的特性，也使其可以很容易地實(shí)現(xiàn)目前困擾三層MPLSVPN的很多技術(shù)，比方說網(wǎng)絡(luò)的組播?？梢哉f，二層MPLSVPN的出現(xiàn)，是MPLSVPN技術(shù)的一個(gè)新亮點(diǎn)，隨著其協(xié)議的成熟和標(biāo)準(zhǔn)確實(shí)定，二層MPLSVPN將成為MPLSVPN的主流技術(shù)。二層MPLSVPN技術(shù)可以實(shí)現(xiàn)幀中繼、ATM、以太網(wǎng)、以太網(wǎng)VLAN、HDLC、PPP、SONET/SDH鏈路仿真效勞以及多種二層鏈路技術(shù)的互通，運(yùn)營商和客戶之間的責(zé)任明確，運(yùn)營模式清晰，是邁向IP/MPLS全業(yè)務(wù)網(wǎng)的關(guān)鍵一步，它可以實(shí)現(xiàn)真正意義上的多網(wǎng)合一。相對于L3來說，L2對于用戶業(yè)務(wù)類型的要求限制要少一些。不過，就目前來說，二層MPLSVPN面臨的最大問題就是協(xié)議不成熟，沒有標(biāo)準(zhǔn)化。目前設(shè)備廠家間解決方案種類繁多，大多數(shù)的設(shè)備只實(shí)現(xiàn)了協(xié)議定義的根本功能，還不具備全業(yè)務(wù)支持的能力，各種解決方案之間也無法實(shí)現(xiàn)互通。二層MPLSVPN協(xié)議本身的不完善也是制約其應(yīng)用的一個(gè)重要因素，目前大多數(shù)的二層MPLSVPN的配置過程都需要進(jìn)行大量的手工配置，不適合組建大規(guī)模的網(wǎng)絡(luò)。另外，除了以BGP作為信令協(xié)議的解決方案以外，二層MPLSVPN的跨域問題還沒有能夠完全地解決。可以說，二層MPLSVPN業(yè)務(wù)的成熟還需要運(yùn)營商積累一定的運(yùn)營經(jīng)驗(yàn)，其業(yè)務(wù)本身也有一個(gè)市場和客戶認(rèn)可的過程?？傊贛PLS的L2和L3解決方案各有其優(yōu)缺點(diǎn)。對于運(yùn)營商來說，到底采用何種方式在網(wǎng)絡(luò)中實(shí)施MPLSVPN，需要考慮L2和L3方案各自的優(yōu)缺點(diǎn)，結(jié)合網(wǎng)絡(luò)的現(xiàn)狀、方案實(shí)施的本錢，以及對當(dāng)前和將來業(yè)務(wù)的綜合分析、預(yù)測來作出決定。MPLSL3VPN與MPLSL2VPN的比較見表9-2。9．3．4三種VPN技術(shù)比較由ISP提供的組網(wǎng)比較：1．組網(wǎng)方式DDN對于每一個(gè)需要與總部或與分部進(jìn)行數(shù)據(jù)傳送的機(jī)構(gòu)，都需要租用一條DDN連接雙方。各分部之間仍沒有直接的DDN線路連接，所有分部之間的數(shù)據(jù)傳送都必須經(jīng)過總部。因此，這種組