第9章-IP交換與IP安全

第1頁第9章IP交換與IP安全本章概述本章的學(xué)習(xí)目標(biāo)主要內(nèi)容第2頁本章概述為了解決了傳統(tǒng)路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問題，需要設(shè)計(jì)快速的轉(zhuǎn)發(fā)技術(shù)，OSI的數(shù)據(jù)鏈路層就有成熟的技術(shù)，因此要想利用二層轉(zhuǎn)發(fā)效率高這一優(yōu)點(diǎn)，又要處理三層IP數(shù)據(jù)包，三層交換技術(shù)就誕生了。IP作為公開開放的網(wǎng)絡(luò)標(biāo)準(zhǔn)，在解決兼容問題的同時，負(fù)面效應(yīng)隨之而來。網(wǎng)絡(luò)層除了轉(zhuǎn)發(fā)速度的問題，還有安全隱患，解決數(shù)據(jù)安全、認(rèn)證信息、完整性等問題是網(wǎng)絡(luò)層無法繞開的職責(zé)。本章全面簡述IP交換和IP安全技術(shù)。第3頁本章的學(xué)習(xí)目標(biāo)理解第三層交換基本概念理解IP交換模型和類型掌握MPLS結(jié)構(gòu)和標(biāo)簽格式掌握LDP協(xié)議工作流程掌握IPSec實(shí)現(xiàn)協(xié)議掌握VPN原理第4頁主要內(nèi)容9.1IP交換9.2MPLS9.3IP安全9.4VPN9.5本章小結(jié)第5頁9.1IP交換由于Internet及許多私有網(wǎng)絡(luò)經(jīng)常處于近似的擁塞狀態(tài)，更快速和更便宜的IP轉(zhuǎn)發(fā)設(shè)備是每個人都需要的。事實(shí)上許多IP網(wǎng)絡(luò)設(shè)計(jì)上就有擁塞，如果發(fā)生擁塞，TCP主機(jī)將發(fā)送速率適配到網(wǎng)絡(luò)容量允許的大小，擁塞消除，網(wǎng)絡(luò)通信可以恢復(fù)如初。如果主機(jī)繼續(xù)將分組注入一個已經(jīng)阻塞的網(wǎng)絡(luò)，而忽略或不理解隱含或顯式的擁塞指示，問題不但不會消失，反而可能更嚴(yán)重。如何在路由器三層設(shè)備實(shí)現(xiàn)分組快速轉(zhuǎn)發(fā)，是應(yīng)用的迫切需求。第6頁9.1.1第三層交換IP交換涵蓋兩個概念，網(wǎng)絡(luò)層的IP技術(shù)和數(shù)據(jù)鏈路層的交換技術(shù)。第三層路由技術(shù)的基本功能是實(shí)現(xiàn)路徑確定、路由表維護(hù)等路由處理，完成地址解析、計(jì)數(shù)器維護(hù)、報(bào)文頭重寫等業(yè)務(wù)流轉(zhuǎn)發(fā)任務(wù)。第二層交換技術(shù)的基本功能就是轉(zhuǎn)發(fā)業(yè)務(wù)流，將輸入端口與輸出端口對應(yīng)起來。交換機(jī)的體系結(jié)構(gòu)和實(shí)現(xiàn)方法決定了在什么時候進(jìn)行對應(yīng)以及如何對應(yīng)。第二層交換技術(shù)使用端口的MAC地址決定輸入信息包的下一步流向。第7頁兩個基本類型第三層交換選實(shí)現(xiàn)基于第三層（L3）地址轉(zhuǎn)發(fā)業(yè)務(wù)流，執(zhí)行交換功能，可能提供諸如認(rèn)證的特別服務(wù)，執(zhí)行或不執(zhí)行路由處理。第三層交換分為兩個基本類型：一種在第三層對每個信息報(bào)文都進(jìn)行處理；而另一種則不是這樣。前者稱為報(bào)文到報(bào)文第三層交換（PacketeXchangePackage），后者稱為第三層流交換（FlowStwith）。第8頁第三層交換機(jī)的定位第三層交換機(jī)為網(wǎng)絡(luò)設(shè)計(jì)提供了許多靈活性。例如，它可用于會聚建筑物內(nèi)網(wǎng)段的業(yè)務(wù)流，將局部業(yè)務(wù)流局限于子網(wǎng)內(nèi)，而同時以線速度轉(zhuǎn)發(fā)跨子網(wǎng)的業(yè)務(wù)流。它們可用于前端共享資源（如服務(wù)器群），提供高速交換連接，同時保護(hù)這些服務(wù)器免受消耗其處理時間的外部廣播業(yè)務(wù)流的影響。它們也可減輕傳統(tǒng)路由器的IP網(wǎng)絡(luò)業(yè)務(wù)流處理負(fù)擔(dān)，無需對老技術(shù)進(jìn)行進(jìn)一步擴(kuò)充或投資以改善所有第三層協(xié)議的性能。第9頁IP交換類型建立一條直通路徑的標(biāo)準(zhǔn)和置于直通路徑上的業(yè)務(wù)流的分類標(biāo)準(zhǔn)依賴于IP交換解決方案和協(xié)議的類型。一般而言，有兩種IP交換解決方案：流驅(qū)動和拓?fù)潋?qū)動。第10頁9.1.2支撐技術(shù)除了交換和路由技術(shù)外，新的第三層技術(shù)的成功與其他正在開發(fā)的技術(shù)有著密切聯(lián)系。虛擬局域網(wǎng)、NHRP、RSVP、IP組播第11頁主要內(nèi)容9.1IP交換9.2MPLS9.3IP安全9.4VPN9.5本章小結(jié)第12頁9.2MPLS多協(xié)議標(biāo)簽交換（MPLS）是一種用于快速數(shù)據(jù)包交換和路由的體系，它為網(wǎng)絡(luò)數(shù)據(jù)流量提供了目標(biāo)、路由、轉(zhuǎn)發(fā)和交換等能力。更特殊的是，它具有管理各種不同形式通信流的機(jī)制。MPLS獨(dú)立于第二和第三層協(xié)議，諸如ATM和IP。它提供了一種方式，將IP地址映射為簡單的具有固定長度的標(biāo)簽，用于不同的包轉(zhuǎn)發(fā)和包交換技術(shù)。它是現(xiàn)有路由和交換協(xié)議的接口，如IP、ATM、幀中繼、資源預(yù)留協(xié)議（RSVP）、開放最短路徑優(yōu)先（OSPF）等等。

第13頁9.2.1MPLS基本結(jié)構(gòu)多協(xié)議標(biāo)簽交換技術(shù)MPLS（MultiProtocolLabelSwitching）是一種在開放的通信網(wǎng)上利用標(biāo)簽引導(dǎo)數(shù)據(jù)高速、高效傳輸?shù)募夹g(shù)。MPLS體系結(jié)構(gòu)描述了實(shí)現(xiàn)標(biāo)簽交換的機(jī)制，這種技術(shù)融合了第二層的分組交換轉(zhuǎn)發(fā)技術(shù)和第三層的路由技術(shù)。MPLS構(gòu)建在傳統(tǒng)路由協(xié)議基礎(chǔ)上，繼承了傳統(tǒng)路由協(xié)議的柔韌強(qiáng)健的特性，可運(yùn)行在大多數(shù)網(wǎng)絡(luò)上，包括ATM、FR、以太網(wǎng)，并且支持高帶寬高速率的IP轉(zhuǎn)發(fā)。第14頁LSRMPLS網(wǎng)絡(luò)的基本構(gòu)成單元是標(biāo)簽交換路由器LSR（LabelSwitchingRouter），主要運(yùn)行MPLS控制協(xié)議和第三層路由協(xié)議，并負(fù)責(zé)與其他LSR交換路由信息來建立路由表，實(shí)現(xiàn)FEC和IP分組頭的映射，建立FEC和標(biāo)簽之間的綁定，分發(fā)標(biāo)簽綁定信息，建立和維護(hù)標(biāo)簽轉(zhuǎn)發(fā)表等工作。第15頁LER由LSR構(gòu)成的網(wǎng)絡(luò)叫做MPLS域，位于區(qū)域邊緣的LSR稱為邊緣LSR（LER，LabeledEdgeRouter），主要完成連接MPLS域和非MPLS域以及不同MPLS域的功能，并實(shí)現(xiàn)對業(yè)務(wù)的分類、分發(fā)標(biāo)簽（作為出口LER）、剝?nèi)?biāo)簽等。其中入口LER叫Ingress，出口LER叫Egress。位于區(qū)域內(nèi)部的LSR則稱為核心LSR，核心LSR可以是支持MPLS的路由器，也可以是支持MPLS標(biāo)簽交換的LSR，它提供標(biāo)簽分發(fā)、交換功能（LabelSwapping）。帶標(biāo)簽的分組沿著由一系列LSR構(gòu)成的標(biāo)簽交換路徑LSP（LabelSwitchedPath）傳送。MPLS網(wǎng)絡(luò)結(jié)構(gòu)圖9-2第16頁第17頁LOREMIPSUMDOLOR轉(zhuǎn)發(fā)等價類FEC（ForwardingEquivalenceClass）是MPLS中的一個重要概念。MPLS實(shí)際上是一種分類轉(zhuǎn)發(fā)技術(shù)，它將具有相同轉(zhuǎn)發(fā)處理方式，例如目的地相同、使用轉(zhuǎn)發(fā)路徑相同、具有相同的服務(wù)等級的分組歸為一類，稱為轉(zhuǎn)發(fā)等價類。LSR根據(jù)某些策略對數(shù)據(jù)流進(jìn)行分類，把具有相同屬性的分組映射到某個FEC，映射的目的是標(biāo)記分組。一個FEC可以只包含一個數(shù)據(jù)流，也可以是一組數(shù)據(jù)流。FEC只具有“本地”意義，如何建立數(shù)據(jù)流分組到FEC的映射和劃分FEC有每個路由器自己決定。一般來說，劃分分組的FEC是根據(jù)他的網(wǎng)絡(luò)層目的地址。屬于相同轉(zhuǎn)發(fā)等價類的分組，在MPLS網(wǎng)絡(luò)中將獲得完全相同的處理。第18頁LDP標(biāo)簽分發(fā)協(xié)議LDP（LabelDistributionProtocol）是MPLS中的信令控制協(xié)議，是控制LSR之間交換標(biāo)簽與FEC綁定，協(xié)調(diào)LSR間工作的一系列規(guī)程。MPLS交換路由器（LSR）對有標(biāo)記的包或信元進(jìn)行交換，也能支持第三層路由功能，完成Fec到Lsp的建路。MPLS邊緣交換路由器（LER）將標(biāo)記加到包上，主要完成連接MPLS域和非MPLS域以及不同MPLS域的功能，實(shí)現(xiàn)FEC劃分，并對業(yè)務(wù)進(jìn)行分類、分發(fā)標(biāo)簽、剝?nèi)?biāo)簽等，流量工程，LSP建路發(fā)起，Ip包轉(zhuǎn)發(fā)。標(biāo)記交換通路LSP，用于IP包轉(zhuǎn)發(fā)。標(biāo)記分發(fā)協(xié)議LDP，用于分配標(biāo)簽。第19頁LOREMIPSUMDOLORMPLS改進(jìn)了傳統(tǒng)路由器和專線組網(wǎng)技術(shù)。在數(shù)據(jù)通信過程中，用標(biāo)記分配協(xié)議（LDP）替代ATM信令協(xié)議，實(shí)現(xiàn)面向連接功能。中間的MPLS交換機(jī)根據(jù)轉(zhuǎn)發(fā)信息庫（FIB）只做信元交換功能，消減了傳統(tǒng)路由器網(wǎng)逐跳尋址的弊端，減少處理時延。IP分組映射在FEC（ForwardingEquivalenceClass）上的，根據(jù)不同的映射策略可以提供對不同業(yè)務(wù)的支持，方便提供了新業(yè)務(wù)的VPN功能，同時提供了靈活的轉(zhuǎn)發(fā)機(jī)制。第20頁LOREMIPSUMDOLOR在傳統(tǒng)的路由中路由器中，需要分析包含在每個分組頭中的信息，然后解析分組頭、提取目的地址、查詢路由表、決定下一跳地址、計(jì)算頭校驗(yàn)、減TTL。MPLS只是根據(jù)標(biāo)簽進(jìn)行轉(zhuǎn)發(fā)，支持高帶寬高速率的IP轉(zhuǎn)發(fā)。限制路由的標(biāo)記分配協(xié)議CR-LDP（ConstraintRouteLabelDistributionProtocol），提供了對Qos、流量工程的強(qiáng)大支持。提供LDP信令協(xié)議，并且在ATM上能與PNNI、UNI共存。可以與傳統(tǒng)的路由協(xié)議共存而不增加現(xiàn)在網(wǎng)管的負(fù)擔(dān)?？膳c現(xiàn)在IP網(wǎng)上已有的資源預(yù)流協(xié)議共存（RSVP）。第21頁9.2.2標(biāo)簽（標(biāo)記）

1.標(biāo)簽的定義標(biāo)簽為一個長度固定、具有本地意義的短標(biāo)識符，用于標(biāo)識一個FEC（ForwardingEquivalenceClass）。當(dāng)分組到達(dá)MPLS網(wǎng)絡(luò)入口時，它將按一定規(guī)則被劃歸不同的FEC，根據(jù)分組所屬的FEC，將相應(yīng)的標(biāo)簽封裝在分組中，這樣，在網(wǎng)絡(luò)中，按標(biāo)簽進(jìn)行分組轉(zhuǎn)發(fā)即可。第22頁2.標(biāo)簽的結(jié)構(gòu)標(biāo)簽的結(jié)構(gòu)如圖9-12所示。標(biāo)簽位于鏈路層包頭和網(wǎng)絡(luò)層分組之間，長度為4個字節(jié)。標(biāo)簽共有4個域：Label：標(biāo)簽值字段，長度為20bits，用于轉(zhuǎn)發(fā)的指針。Exp：3bits，保留，協(xié)議中沒有明確規(guī)定，通常用于COS。S：1bit，MPLS支持標(biāo)簽的分層結(jié)構(gòu)，即多重標(biāo)簽。值為1時表明為最底層標(biāo)簽。TTL：8bits，和IP分組中的TTL意義相同。標(biāo)簽的結(jié)構(gòu)圖9-3第23頁第24頁3.標(biāo)簽的操作（1）標(biāo)簽映射（2）標(biāo)簽的封裝（3）標(biāo)簽分配和分發(fā)（4）標(biāo)簽分配控制方式（5）標(biāo)簽保持方式標(biāo)簽保持方式分為自由標(biāo)簽保持方式和保守標(biāo)簽保持方式兩種。

第25頁9.2.3MPLS工作流程MPLS是一種特殊的轉(zhuǎn)發(fā)機(jī)制，它為進(jìn)入網(wǎng)絡(luò)中的IP數(shù)據(jù)包分配標(biāo)記，并通過對標(biāo)記的交換來實(shí)現(xiàn)IP數(shù)據(jù)包的轉(zhuǎn)發(fā)。標(biāo)記作為IP包頭在網(wǎng)絡(luò)中的替代品而存在，在網(wǎng)絡(luò)內(nèi)部MPLS在數(shù)據(jù)包所經(jīng)過的路徑沿途通過交換標(biāo)記來實(shí)現(xiàn)轉(zhuǎn)發(fā)；當(dāng)數(shù)據(jù)包要退出MPLS網(wǎng)絡(luò)時，數(shù)據(jù)包被解開封裝，繼續(xù)按照IP包的路由方式到達(dá)目的地。

MPLS的工作流程可以分為網(wǎng)絡(luò)的邊緣行為、網(wǎng)絡(luò)的中心行為以及如何建立標(biāo)記交換路徑。

第26頁1.網(wǎng)絡(luò)的邊緣行為

當(dāng)IP數(shù)據(jù)包到達(dá)一個LER時，MPLS第一次應(yīng)用標(biāo)記。首先，LER要分析IP包頭的信息，并且按照它的目的地址和業(yè)務(wù)等級加以區(qū)分。

在LER中，MPLS使用了轉(zhuǎn)發(fā)等價類（FEC）的概念來，將輸入的數(shù)據(jù)流映射到一條LSP上。簡單地說，F(xiàn)EC就是定義了一組沿著同一條路徑、有相同處理過程的數(shù)據(jù)包。這就意味著所有FEC相同的包都可以映射到同一個標(biāo)記中。第27頁LOREMIPSUMDOLOR對于每一個FEC，LER都建立一條獨(dú)立的LSP穿過網(wǎng)絡(luò)，到達(dá)目的地。數(shù)據(jù)包分配到一個FEC后，LER就可以根據(jù)標(biāo)記信息庫（LIB）來為其生成一個標(biāo)記。標(biāo)記信息庫將每一個FEC都映射到LSP下一跳的標(biāo)記上。如果下一跳的鏈路是ATM，則MPLS將使用ATMVCC里的VCI作為標(biāo)記。

轉(zhuǎn)發(fā)數(shù)據(jù)包時，LER檢查標(biāo)記信息庫中的FEC，然后將數(shù)據(jù)包用LSP的標(biāo)記封裝，從標(biāo)記信息庫所規(guī)定的下一個接口發(fā)送出去。

第28頁2.網(wǎng)絡(luò)的核心行為

當(dāng)一個帶有標(biāo)記的包到達(dá)LSR的時候，LSR提取入局標(biāo)記，同時以它作為索引在標(biāo)記信息庫中查找。當(dāng)LSR找到相關(guān)信息后，取出出局的標(biāo)記，并由出局標(biāo)記代替入局標(biāo)簽，從標(biāo)記信息庫中所描述的下一跳接口送出數(shù)據(jù)包。

最后，數(shù)據(jù)包到達(dá)了MPLS域的另一端，在這一點(diǎn)，LER剝?nèi)シ庋b的標(biāo)記，仍然按照IP包的路由方式將數(shù)據(jù)包繼續(xù)傳送到目的地。

第29頁3.建立標(biāo)記交換路徑兩種方式

（1）HopbyHop路由

“一個Hop-by-Hop的LSP是所有從源站點(diǎn)到一個特定目的站點(diǎn)的IP樹的一部分。對于這些LSP，MPLS模仿IP轉(zhuǎn)發(fā)數(shù)據(jù)包的面向目的地的方式建立了一組樹。

從傳統(tǒng)的IP路由來看，每一臺沿途的路由器都要檢查包的目的地址，并且選擇一條合適的路徑將數(shù)據(jù)包發(fā)送出去。而MPLS則不然，數(shù)據(jù)包雖然也沿著IP路由所選擇的同一條路徑進(jìn)行傳送，但是它的數(shù)據(jù)包頭在整條路徑上從始至終都沒有被檢查。

在每一個節(jié)點(diǎn)，MPLS生成的樹是通過一級一級為下一跳分配標(biāo)記，而且是通過與它們的對等層交換標(biāo)記而生成的。交換是通過LDP的請求以及對應(yīng)的消息完成的。

第30頁（2）顯式路由

MPLS最主要的一個優(yōu)點(diǎn)就是它可以利用流量設(shè)計(jì)“引導(dǎo)”數(shù)據(jù)包，比如避免擁塞或者滿足業(yè)務(wù)的QoS等。MPLS允許網(wǎng)絡(luò)的運(yùn)行人員在源節(jié)點(diǎn)就確定一條顯式路由的LSP（ER-LSP），以規(guī)定數(shù)據(jù)包將選擇的路徑。

不像Hop-by-Hop的LSP，ER-LSP不會形成IP樹。取而代之，ER-LSP從源端到目的端建立一條直接的端到端的路徑，如圖3所示。MPLS將顯式路由嵌入到限制路由的標(biāo)記分配協(xié)議的信息中，從而建立這條路徑。

第31頁9.2.4LSPMPLS的標(biāo)簽分組沿著由一系列LSR構(gòu)成的標(biāo)簽交換路徑LSP（LabelSwitchedPath）傳送。LSP的建立其實(shí)就是將FEC和標(biāo)簽進(jìn)行綁定，并將這種綁定通告LSP上相鄰LSR的過程。這個過程是通過標(biāo)簽分發(fā)協(xié)議LDP來實(shí)現(xiàn)的。LDP規(guī)定了LSR間的消息交互過程和消息結(jié)構(gòu)，以及路由選擇方式。第32頁1.LSP隧道與分層MPLS支持LSP隧道技術(shù)。在一條LSP路徑上，LSRRu和LSRRd互為上下游，但LSRRu和LSRRd之間的路徑，可能并不是路由協(xié)議所提供路徑的一部分，MPLS允許在LSRRu和LSRRd間建立一條新的LSP路徑<RuR1...RnRd>，LSRRu和LSRRd分別為這條LSP的起點(diǎn)和終點(diǎn)。LSRRu和LSRRd間的LSP就是LSP隧道，它避免了傳統(tǒng)的網(wǎng)絡(luò)層封裝隧道。當(dāng)隧道經(jīng)由的路由和逐跳與從路由協(xié)議取得的路由一致時，這種隧道叫逐跳路由隧道；若不一致，則這種隧道叫顯式路由隧道。如圖9-4所示，LSP<R2R21R22R3>就是R2、R3間的一條隧道。圖9-4LSP隧道第33頁第34頁標(biāo)簽棧在MPLS的多層標(biāo)簽棧，是分組可以攜帶多個標(biāo)簽，這些標(biāo)簽在分組中以“堆?！钡男问酱嬖?，對堆棧的操作按“后進(jìn)先出”的原則，決定如何轉(zhuǎn)發(fā)分組的標(biāo)簽始終是棧頂標(biāo)簽。標(biāo)簽入棧是指向輸出分組中加入一個標(biāo)簽，使標(biāo)簽棧的深度加1，同時，分組的當(dāng)前標(biāo)簽就變?yōu)榇诵录尤氲臉?biāo)簽；標(biāo)簽出棧是指從分組中去掉一個標(biāo)簽，使標(biāo)簽棧的深度減1，同時，分組的當(dāng)前標(biāo)簽將變?yōu)樵瓉硖幱谙乱粚拥臉?biāo)簽。第35頁LOREMIPSUMDOLOR在LSP隧道中會使用多層標(biāo)簽棧。當(dāng)分組在LSP隧道中傳送時，分組的標(biāo)簽就會有多層。在每一隧道的入口和出口處，要進(jìn)行標(biāo)簽棧的入棧和出棧操作，每發(fā)生一次入棧操作，標(biāo)簽就會增加一層。MPLS對標(biāo)簽棧的深度沒有限制。標(biāo)簽棧按照“后進(jìn)先出”方式組織標(biāo)簽，MPLS從棧頂開始處理標(biāo)簽。若一個分組的標(biāo)簽棧深度為m，則位于棧底的標(biāo)簽為1級標(biāo)簽，位于棧頂?shù)臉?biāo)簽為m級標(biāo)簽。未打標(biāo)簽的分組可看作標(biāo)簽棧為空（即標(biāo)簽棧深度為零）的分組。第36頁2.標(biāo)簽報(bào)文的轉(zhuǎn)發(fā)在Ingress，將進(jìn)入網(wǎng)絡(luò)的分組根據(jù)其特征劃分成轉(zhuǎn)發(fā)等價類FEC。一般根據(jù)IP地址前綴或者主機(jī)地址來劃分FEC。屬于相同F(xiàn)EC的分組在MPLS區(qū)域中將經(jīng)過相同的路徑（即LSP）。LSR對到來的FEC分組分配一個短而定長的標(biāo)簽，然后從相應(yīng)的接口轉(zhuǎn)發(fā)出去。第37頁NHLFE在LSP沿途的LSR上，都已建立了輸入/輸出標(biāo)簽的映射表（該表的元素叫下一跳標(biāo)簽轉(zhuǎn)發(fā)條目，簡稱NHLFE，NextHopLabelForwardingEntry）。對于接收到的標(biāo)簽分組，LSR只需根據(jù)標(biāo)簽從表中找到相應(yīng)的NHLFE，并用新的標(biāo)簽來替換原來的標(biāo)簽，然后，對標(biāo)簽分組進(jìn)行轉(zhuǎn)發(fā)，這個過程叫輸入標(biāo)簽映射ILM（IncomingLabelMap）。MPLS在網(wǎng)絡(luò)入口處指定特定分組的FEC，后續(xù)P路由器只需簡單的轉(zhuǎn)發(fā)即可，比常規(guī)的網(wǎng)絡(luò)層轉(zhuǎn)發(fā)要簡單得多，轉(zhuǎn)發(fā)速度得以提高。第38頁9.2.5LDP協(xié)議LDP協(xié)議規(guī)定標(biāo)簽分發(fā)過程中的各種消息以及相關(guān)的處理進(jìn)程。通過LDP，LSR可以把網(wǎng)絡(luò)層的路由信息直接映射到數(shù)據(jù)鏈路層的交換路徑上，進(jìn)而建立起網(wǎng)絡(luò)層上的LSP。LSP既可以建立在兩個相鄰的LSR之間，也可以終止于網(wǎng)絡(luò)出口節(jié)點(diǎn)，從而在網(wǎng)絡(luò)中所有中間節(jié)點(diǎn)上都使用標(biāo)簽交換。第39頁1.LDP基本概念LDP對等體是指相互之間存在LDP會話、使用LDP來交換標(biāo)簽/FEC映射關(guān)系的兩個LSR。兩個LDP對等體可以同時通過一個LDP會話獲得對方的標(biāo)簽映射消息，即，LDP協(xié)議是雙向的。LDP會話用于在LSR之間交換標(biāo)簽映射、釋放等消息。LDP會話可以分為兩種類型本地LDP會話（localLDPsession）：建立會話的兩個LSR之間是直連的；遠(yuǎn)端LDP會話（remoteLDPsession）：建立會話的兩個LSR之間是非直連的。第40頁LDP協(xié)議主要使用四種消息發(fā)現(xiàn)（discovery）消息，用于通告和維護(hù)網(wǎng)絡(luò)中LSR的存在。會話（session）消息，用于建立、維護(hù)和終止LDP對等體之間的會話連接。通告（advertisement）消息，用于創(chuàng)建、改變和刪除標(biāo)記—FEC綁定。通知（notification）消息，用于提供建議性的消息和差錯通知。第41頁標(biāo)簽空間與LDP標(biāo)識符LDP對等體之間分配標(biāo)簽的范圍稱為標(biāo)簽空間?？梢詾長SR的每個接口指定一個標(biāo)簽空間，也可以整個LSR使用一個標(biāo)簽空間。LDP標(biāo)識符用于標(biāo)識特定LSR的標(biāo)簽空間范圍，是一個六字節(jié)的數(shù)值，格式如下：[ip地址]：[標(biāo)簽空間序號]。其中，四字節(jié)的ip地址是LSR的ip地址，標(biāo)簽空間序號占兩字節(jié)。第42頁2.LDP工作過程LDP工作過程，如圖9-15所示LDP標(biāo)簽的分發(fā)。圖9-5標(biāo)簽分發(fā)第43頁第44頁標(biāo)簽分發(fā)模式在一條LSP上，沿?cái)?shù)據(jù)傳送的方向，相鄰的LSR分別稱為上游LSR和下游LSR。例如，在上圖中的LSP1，LSRb為LSRc的上游LSR。標(biāo)簽的分發(fā)過程有下游按需標(biāo)簽分發(fā)dod和下游自主標(biāo)簽分發(fā)du兩種模式，它們的主要區(qū)別在于標(biāo)簽映射的發(fā)布是上游請求還是下游主動發(fā)布。第45頁dod（downstream-on-demand）模式上游LSR向下游LSR發(fā)送標(biāo)簽請求消息（包含F(xiàn)EC的描述信息），下游LSR為此FEC分配標(biāo)簽，并將綁定的標(biāo)簽通過標(biāo)簽映射消息反饋給上游LSR。下游LSR何時反饋標(biāo)簽映射消息，取決于該LSR采用獨(dú)立標(biāo)簽控制方式還是有序標(biāo)簽控制方式。采用有序標(biāo)簽控制方式時，只有收到它的下游返回的標(biāo)簽映射消息后，才向其上游發(fā)送標(biāo)簽映射消息；采用獨(dú)立標(biāo)簽控制方式時，不管有沒有收到它的下游返回的標(biāo)簽映射消息，都立即向其上游發(fā)送標(biāo)簽映射消息。上游LSR一般是根據(jù)其路由表中的信息來選擇下游LSR。在圖1-5中，LSP1沿途的LSR都采用有序標(biāo)簽控制方式，LSP2上的LSRf則采用獨(dú)立標(biāo)簽控制方式。第46頁du（downstreamunsolicited）模式下游LSR在LDP會話建立成功后，主動向其上游LSR發(fā)布標(biāo)簽映射消息。上游LSR保存標(biāo)簽映射信息，并根據(jù)路由表信息來處理收到的標(biāo)簽映射信息。第47頁3.LDP基本操作按照先后順序，LDP的操作主要包括發(fā)現(xiàn)階段，會話建立與維護(hù)，LSP建立與維護(hù)，會話撤銷四個階段。第48頁發(fā)現(xiàn)階段在這一階段，希望建立會話的LSR向相鄰LSR周期性地發(fā)送hello消息，通知相鄰節(jié)點(diǎn)本地對等關(guān)系。通過這一過程，LSR可以自動發(fā)現(xiàn)它的LDP對等體，而無需進(jìn)行手工配置。第49頁（1）LDP有兩種發(fā)現(xiàn)機(jī)制

基本發(fā)現(xiàn)機(jī)制

基本發(fā)現(xiàn)機(jī)制用于發(fā)現(xiàn)本地的LDP對等體，即通過鏈路層直接相連的LSR，建立本地LDP會話。這種方式下，LSR向特定端口周期性發(fā)送LDP鏈路hello消息，并攜帶特定端口所屬標(biāo)簽空間的LDP標(biāo)識符以及其它相關(guān)信息。如果LSR在特定端口收到LDP鏈路hello消息，則表明可能存在一個可達(dá)的對等LSR。通過hello消息攜帶的信息，LSR還可獲知在特定端口使用的標(biāo)簽空間。第50頁擴(kuò)展發(fā)現(xiàn)機(jī)制擴(kuò)展發(fā)現(xiàn)機(jī)制用于發(fā)現(xiàn)遠(yuǎn)端的LDP對等體，即不通過鏈路層直接相連的LSR，建立遠(yuǎn)端LDP會話。這種方式下，LSR向某一特定ip地址周期地發(fā)送LDP目標(biāo)hello消息（targetedhello）。LDP目標(biāo)hello消息以udp分組的形式發(fā)往特定地址的知名LDP發(fā)現(xiàn)端口，LSR發(fā)送的LDP目標(biāo)消息帶有LSR希望使用的標(biāo)簽空間和其它可選信息。第51頁（2）會話建立與維護(hù)對等關(guān)系建立之后，LSR開始建立會話。首先建立傳輸層連接，即在LSR之間建立tcp連接；隨后對LSR之間的會話進(jìn)行初始化，協(xié)商會話中涉及的各種參數(shù)，如LDP版本、標(biāo)簽分發(fā)方式、定時器值、標(biāo)簽空間等。第52頁（3）LSP建立與維護(hù)LSP的建立過程實(shí)際就是將FEC和標(biāo)簽進(jìn)行綁定，并將這種綁定通告LSP上相鄰LSR。這個過程是通過LDP實(shí)現(xiàn)的，主要步驟如下。（i）當(dāng)網(wǎng)絡(luò)的路由改變時，如果有一個邊緣節(jié)點(diǎn)發(fā)現(xiàn)自己的路由表中出現(xiàn)了新的目的地地址，并且這一地址不屬于任何現(xiàn)有的FEC，則該邊緣節(jié)點(diǎn)需要為這一目的地址建立一個新的FEC。邊緣LSR決定該FEC將要使用的路由，向其下游LSR發(fā)起標(biāo)簽請求消息，并指明是要為哪個FEC分配標(biāo)簽；第53頁LOREMIPSUMDOLOR（ii）收到標(biāo)簽請求消息的下游LSR記錄這一請求消息，根據(jù)本地的路由表找出對應(yīng)該FEC的下一跳，繼續(xù)向下游LSR發(fā)出標(biāo)簽請求消息；（iii）當(dāng)標(biāo)簽請求消息到達(dá)目的節(jié)點(diǎn)或MPLS網(wǎng)絡(luò)的出口節(jié)點(diǎn)時，如果這些節(jié)點(diǎn)尚有可供分配的標(biāo)簽，并且判定上述標(biāo)簽請求消息合法，則該節(jié)點(diǎn)為FEC分配標(biāo)簽，并向上游發(fā)出標(biāo)簽映射消息，標(biāo)簽映射消息中包含分配的標(biāo)簽等信息；第54頁LOREMIPSUMDOLOR（iv）收到標(biāo)簽映射消息的LSR檢查本地存儲的標(biāo)簽請求消息狀態(tài)。對于某一FEC的標(biāo)簽映射消息，如果數(shù)據(jù)庫中記錄了相應(yīng)的標(biāo)簽請求消息，LSR將為該FEC進(jìn)行標(biāo)簽分配，并在其標(biāo)簽轉(zhuǎn)發(fā)表中增加相應(yīng)的條目，然后向上游LSR發(fā)送標(biāo)簽映射消息。（v）當(dāng)入口LSR收到標(biāo)簽映射消息時，它也需要在標(biāo)簽轉(zhuǎn)發(fā)表中增加相應(yīng)的條目。這時，就完成了LSP的建立，接下來就可以對該FEC對應(yīng)的數(shù)據(jù)分組進(jìn)行標(biāo)簽轉(zhuǎn)發(fā)了。第55頁（4）會話撤銷LDP通過檢測會話連接上傳輸?shù)腖DPpdu來判斷會話的完整性。LSR為每個會話建立一個“生存狀態(tài)”定時器，每收到一個LDPpdu時刷新該定時器。如果在收到新的LDPpdu之前定時器超時，LSR認(rèn)為會話中斷，對等關(guān)系失效。LSR將關(guān)閉相應(yīng)的傳輸層連接，終止會話進(jìn)程。第56頁4.LDP環(huán)路檢測兩種方式在MPLS域中建立LSP也要防止產(chǎn)生環(huán)路，LDP環(huán)路檢測機(jī)制可以檢測LSP環(huán)路的出現(xiàn)，并避免標(biāo)簽請求等消息發(fā)生環(huán)路。（1）最大跳數(shù)在傳遞標(biāo)簽綁定的消息中包含跳數(shù)信息，每經(jīng)過一跳該值就加一。當(dāng)該值超過規(guī)定的最大值時認(rèn)為出現(xiàn)環(huán)路，終止LSP的建立過程。（2）路徑向量在傳遞標(biāo)簽綁定的消息中記錄路徑信息，每經(jīng)過一跳，相應(yīng)的LSR就檢查自己的id是否在此記錄中。如果沒有，將自己的id添加到該記錄中；如果有，說明出現(xiàn)了環(huán)路，終止LSP的建立過程。第57頁5.基于約束路由的LDPMPLS還支持基于約束路由的LDP機(jī)制（CR-LDP，Constrain-basedRoutingLDP）。所謂CR-LDP，就是入口節(jié)點(diǎn)在發(fā)起建立LSP時，在標(biāo)簽請求消息中對LSP路由附加了一定的約束信息。這些約束信息可以是對沿途LSR的精確指定，即逐一指定LSP上的LSR，此時叫嚴(yán)格的顯式路由；也可以是對選擇下游LSR的模糊限制，即只指定LSP上的個別LSR，此時叫松散的顯式路由。第58頁主要內(nèi)容9.1IP交換9.2MPLS9.3IP安全9.4VPN9.5本章小結(jié)第59頁9.3IP安全I(xiàn)P分組本身并不繼承任何安全特性。很容易便可偽造出IP包的地址、修改其內(nèi)容、重播以前的包，在傳輸途中攔截并查看包的情況每時每刻都在發(fā)生。因此，我們收到的IP數(shù)據(jù)報(bào)會有很多安全隱患。諸如IP分組是否來自IP頭內(nèi)的源地址，來自真實(shí)的發(fā)送方；IP分組中是否還是發(fā)送方當(dāng)初放在其中的原始數(shù)據(jù)；原始數(shù)據(jù)在傳輸中途是否被其它人看查閱。第60頁LOREMIPSUMDOLOR針對這些問題，IPSec可有效地保護(hù)IP數(shù)據(jù)報(bào)的安全。它采取的具體保護(hù)形式有，數(shù)據(jù)起源地驗(yàn)證；無連接數(shù)據(jù)的完整性驗(yàn)證；數(shù)據(jù)內(nèi)容的機(jī)密性；抗重播保護(hù)；以及有限的數(shù)據(jù)流機(jī)密性保證。第61頁9.3.1IPSecIPSec（IPSecurity）是IETF制定的三層隧道加密協(xié)議，它為Internet上傳輸?shù)臄?shù)據(jù)提供了高質(zhì)量的、可互操作的、基于密碼學(xué)的安全保證。特定的通信方之間在IP層通過加密與數(shù)據(jù)源認(rèn)證等方式，提供了以下的安全服務(wù)：數(shù)據(jù)機(jī)密性（Confidentiality），數(shù)據(jù)完整性（DataIntegrity），數(shù)據(jù)來源認(rèn)證（DataAuthentication），防重放（Anti-Replay）。第62頁IPSec兩種實(shí)現(xiàn)協(xié)議

AHIPSec通過AH認(rèn)證頭協(xié)議和ESP認(rèn)證頭協(xié)議兩種協(xié)議實(shí)現(xiàn)安全服務(wù)。AH（AuthenticationHeader）是認(rèn)證頭協(xié)議，協(xié)議號為51。主要提供的功能有數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性校驗(yàn)和防報(bào)文重放功能，可選擇的認(rèn)證算法有MD5（MessageDigest）、SHA-1（SecureHashAlgorithm）等。AH報(bào)文頭插在標(biāo)準(zhǔn)IP包頭后面，保證數(shù)據(jù)包的完整性和真實(shí)性，防止黑客截獲數(shù)據(jù)包或向網(wǎng)絡(luò)中插入偽造的數(shù)據(jù)包。第63頁ESPESP（EncapsulatingSecurityPayload）認(rèn)證頭協(xié)議，協(xié)議號為50。與AH協(xié)議不同的是，ESP將需要保護(hù)的用戶數(shù)據(jù)進(jìn)行加密后再封裝到IP包中，以保證數(shù)據(jù)的機(jī)密性。常見的加密算法有DES、3DES、AES等。同時，作為可選項(xiàng)，用戶可以選擇MD5、SHA-1算法保證報(bào)文的完整性和真實(shí)性。AH和ESP可以單獨(dú)使用，也可以聯(lián)合使用。設(shè)備支持的AH和ESP聯(lián)合使用的方式為：先對報(bào)文進(jìn)行ESP封裝，再對報(bào)文進(jìn)行AH封裝，封裝之后的報(bào)文從內(nèi)到外依次是原始IP報(bào)文、ESP頭、AH頭和外部IP頭。第64頁2.安全聯(lián)盟（SecurityAssociation，SA）IPSec在兩個端點(diǎn)之間提供安全通信，端點(diǎn)被稱為IPSec對等體。SA是IPSec的基礎(chǔ)，也是IPSec的本質(zhì)。SA是通信對等體間對某些要素的約定，例如，使用哪種協(xié)議（AH、ESP還是兩者結(jié)合使用）、協(xié)議的封裝模式（傳輸模式和隧道模式）、加密算法（DES、3DES和AES）、特定流中保護(hù)數(shù)據(jù)的共享密鑰以及密鑰的生存周期等。SA是單向的，在兩個對等體之間的雙向通信，最少需要兩個SA來分別對兩個方向的數(shù)據(jù)流進(jìn)行安全保護(hù)。同時，如果兩個對等體希望同時使用AH和ESP來進(jìn)行安全通信，則每個對等體都會針對每一種協(xié)議來構(gòu)建一個獨(dú)立的SA。第65頁LOREMIPSUMDOLORSA由一個三元組來唯一標(biāo)識，這個三元組包括SPI（SecurityParameterIndex，安全參數(shù)索引）、目的IP地址、安全協(xié)議號（AH或ESP）。SPI是為唯一標(biāo)識SA而生成的一個32比特的數(shù)值，它在AH和ESP頭中傳輸。在手工配置安全聯(lián)盟時，需要手工指定SPI的取值。使用IKE協(xié)商產(chǎn)生安全聯(lián)盟時，SPI將隨機(jī)生成。第66頁3.IPSec兩種封裝模式隧道（tunnel）模式：用戶的整個IP數(shù)據(jù)包被用來計(jì)算AH或ESP頭，AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被封裝在一個新的IP數(shù)據(jù)包中。通常，隧道模式應(yīng)用在兩個安全網(wǎng)關(guān)之間的通訊。傳輸（transport）模式：只是傳輸層數(shù)據(jù)被用來計(jì)算AH或ESP頭，AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被放置在原IP包頭后面。通常，傳輸模式應(yīng)用在兩臺主機(jī)之間的通訊，或一臺主機(jī)和一個安全網(wǎng)關(guān)之間的通訊。圖9-6安全協(xié)議數(shù)據(jù)封裝格式第67頁第68頁4.認(rèn)證算法與加密算法認(rèn)證算法的實(shí)現(xiàn)主要是通過雜湊函數(shù)。雜湊函數(shù)是一種能夠接受任意長的消息輸入，并產(chǎn)生固定長度輸出的算法，該輸出稱為消息摘要。IPSec對等體計(jì)算摘要，如果兩個摘要是相同的，則表示報(bào)文是完整未經(jīng)篡改的。IPSec使用兩種認(rèn)證算法，MD5。SHA-1加密算法實(shí)現(xiàn)主要通過對稱密鑰系統(tǒng)，它使用相同的密鑰對數(shù)據(jù)進(jìn)行加密和解密。目前設(shè)備的IPSec實(shí)現(xiàn)三種加密算法：這三個加密算法的安全性由高到低依次是：AES、3DES、DES。第69頁5.協(xié)商方式IPsec有兩種協(xié)商方式建立SA。手工方式（manual）配置比較復(fù)雜，創(chuàng)建SA所需的全部信息都必須手工配置，而且不支持一些高級特性（例如定時更新密鑰），但優(yōu)點(diǎn)是可以不依賴IKE而單獨(dú)實(shí)現(xiàn)IPSec功能。IKE自動協(xié)商（isakmp）方式相對比較簡單，只需要配置好IKE協(xié)商安全策略的信息，由IKE自動協(xié)商來創(chuàng)建和維護(hù)SA。第70頁LOREMIPSUMDOLOR當(dāng)與之進(jìn)行通信的對等體設(shè)備數(shù)量較少時，或是在小型靜態(tài)環(huán)境中，手工配置SA是可行的。對于中、大型的動態(tài)網(wǎng)絡(luò)環(huán)境中，推薦使用IKE協(xié)商建立SA。第71頁6.IPSec的NAT穿越IPSec的一個主要應(yīng)用是建立VPN，但在實(shí)際組網(wǎng)應(yīng)用中，有一種情況會對部署IPSecVPN網(wǎng)絡(luò)造成障礙：如果發(fā)起者位于一個私網(wǎng)內(nèi)部，而它希望在自己與遠(yuǎn)端響應(yīng)者之間直接建立一條IPSec隧道；這就涉及到IPSec與NAT的配合，主要問題在于，IKE在協(xié)商過程中如何發(fā)現(xiàn)兩個端點(diǎn)之間存在NAT網(wǎng)關(guān)，以及如何使ESP報(bào)文正常穿越NAT網(wǎng)關(guān)。第72頁LOREMIPSUMDOLOR首先，建立IPSec隧道的兩端需要進(jìn)行NAT穿越能力協(xié)商，這是在IKE協(xié)商的前兩個消息中進(jìn)行的，通過VendorID載荷指明的一組數(shù)據(jù)來標(biāo)識，該載荷數(shù)據(jù)的定義隨所采用草案（draft）版本的不同而不同。而NAT網(wǎng)關(guān)發(fā)現(xiàn)是通過NAT-D載荷來實(shí)現(xiàn)的，該載荷用于兩個目的：在IKEPeer之間發(fā)現(xiàn)NAT的存在；確定NAT設(shè)備在Peer的哪一側(cè)。NAT側(cè)的Peer作為發(fā)起者，需要定期發(fā)送NAT-Keepalive報(bào)文，以使NAT網(wǎng)關(guān)確保安全隧道處于激活狀態(tài)。第73頁LOREMIPSUMDOLORIPSec穿越NAT，簡單來說就是在原報(bào)文的IP頭和ESP頭（不考慮AH方式）間增加一個標(biāo)準(zhǔn)的UDP報(bào)頭。這樣，當(dāng)ESP報(bào)文穿越NAT網(wǎng)關(guān)時，NAT對該報(bào)文的外層IP頭和增加的UDP報(bào)頭進(jìn)行地址和端口號轉(zhuǎn)換；轉(zhuǎn)換后的報(bào)文到達(dá)IPSec隧道對端時，與普通IPSec處理方式相同，但在發(fā)送響應(yīng)報(bào)文時也要在IP頭和ESP頭之間增加一個UDP報(bào)頭。第74頁9.3.2IKEIPSec的安全聯(lián)盟可以通過手工配置的方式建立，但是當(dāng)網(wǎng)絡(luò)中節(jié)點(diǎn)增多時，手工配置將非常困難，而且難以保證安全性。這時就要使用因特網(wǎng)密鑰交換協(xié)議IKE（InternetKeyExchange，）自動地進(jìn)行安全聯(lián)盟的建立與密鑰的交換。，該協(xié)議建立在由ISAKMP（InternetSecurityAssociationandKeyManagementProtocol，互聯(lián)網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議）定義的框架上。第75頁LOREMIPSUMDOLORIKE為IPSec提供了自動協(xié)商交換密鑰、建立安全聯(lián)盟。SA的服務(wù)，能夠簡化IPSec的使用和管理，大大簡化IPSec的配置和維護(hù)工作。IKE不是在網(wǎng)絡(luò)上直接傳輸密鑰，而是通過一系列數(shù)據(jù)的交換，最終計(jì)算出雙方共享的密鑰，并且即使第三者截獲了雙方用于計(jì)算密鑰的所有交換數(shù)據(jù)，也不足以計(jì)算出真正的密鑰。第76頁1.IKE的安全機(jī)制IKE具有一套自保護(hù)機(jī)制，可以在不安全的網(wǎng)絡(luò)上安全地認(rèn)證身份、分發(fā)密鑰、建立IPSecSA。第77頁2.IKE的交換過程IKE經(jīng)過兩個階段為IPSec進(jìn)行密鑰協(xié)商并建立安全聯(lián)盟。第一階段，通信各方彼此間建立了一個已通過身份驗(yàn)證和安全保護(hù)的通道，此階段的交換建立了一個ISAKMP安全聯(lián)盟，即ISAKMPSA（也可稱IKESA）。第二階段，用已經(jīng)建立的安全聯(lián)盟（IKESA）為IPSec協(xié)商安全服務(wù)，即為IPSec協(xié)商具體的安全聯(lián)盟，建立IPSecSA，IPSecSA用于最終的IP數(shù)據(jù)安全傳送。第78頁LOREMIPSUMDOLOR（TheInternetKeyExchange）中規(guī)定，IKE第一階段協(xié)商可以采用兩種模式：主模式（MainMode）和野蠻模式（AggressiveMode）。主模式被設(shè)計(jì)成將密鑰交換信息與身份、驗(yàn)證信息相分離。這種分離保護(hù)了身份信息；交換的身份信息受已生成的Diffie-Hellman共享密鑰的保護(hù)。但這增加了3條消息的開銷。野蠻模式則允許同時傳送與SA、密鑰交換和驗(yàn)證相關(guān)的載荷。這些載荷組合到一條消息中減少了消息的往返次數(shù)，但是就無法提供身份保護(hù)了。第79頁LOREMIPSUMDOLOR雖然野蠻模式存在一些功能限制，但可以滿足某些特定的網(wǎng)絡(luò)環(huán)境需求。例如：遠(yuǎn)程訪問時，如果響應(yīng)者（服務(wù)器端）無法預(yù)先知道發(fā)起者（終端用戶）的地址、或者發(fā)起者的地址總在變化，而雙方都希望采用預(yù)共享密鑰驗(yàn)證方法來創(chuàng)建IKESA，那么，不進(jìn)行身份保護(hù)的野蠻模式就是唯一可行的交換方法；另外，如果發(fā)起者已知響應(yīng)者的策略，或者對響應(yīng)者的策略有全面的了解，采用野蠻模式能夠更快地創(chuàng)建IKESA。圖9-7主模式交換過程第80頁第81頁IKE協(xié)商過程中三對消息如圖9-7所示，第一階段主模式的IKE協(xié)商過程中包含三對消息：第一對叫SA交換，是協(xié)商確認(rèn)有關(guān)安全策略的過程；第二對消息叫密鑰交換，交換Diffie-Hellman公共值和輔助數(shù)據(jù)（如：隨機(jī)數(shù)），密鑰材料在這個階段產(chǎn)生；最后一對消息是ID信息和認(rèn)證數(shù)據(jù)交換，進(jìn)行身份認(rèn)證和對整個SA交換進(jìn)行認(rèn)證。第82頁LOREMIPSUMDOLOR野蠻模式交換與主模式交換的主要差別在于，野蠻模式不提供身份保護(hù)，只交換3條消息。在對身份保護(hù)要求不高的場合，使用交換報(bào)文較少的野蠻模式可以提高協(xié)商的速度；在對身份保護(hù)要求較高的場合，則應(yīng)該使用主模式。第83頁3.IKE在IPSec中的作用因?yàn)橛辛薎KE，IPSec很多參數(shù)（如：密鑰）都可以自動建立，降低了手工配置的復(fù)雜度。IKE協(xié)議中的DH交換過程，每次的計(jì)算和產(chǎn)生的結(jié)果都是不相關(guān)的。每次SA的建立都運(yùn)行DH交換過程，保證了每個SA所使用的密鑰互不相關(guān)。第84頁LOREMIPSUMDOLORIPSec使用IP報(bào)文頭中的序列號實(shí)現(xiàn)防重放。此序列號是一個32比特的值，此數(shù)溢出后，為實(shí)現(xiàn)防重放，SA需要重新建立，這個過程需要IKE協(xié)議的配合。對安全通信的各方身份的的認(rèn)證和管理，將影響到IPSec的部署。IPSec的大規(guī)模使用，必須有CA（CertificateAuthority，認(rèn)證中心）或其他集中管理身份數(shù)據(jù)的機(jī)構(gòu)的參與。IKE提供端與端之間動態(tài)認(rèn)證。圖9-8IPSec與IKE的關(guān)系圖第85頁第86頁LOREMIPSUMDOLOR從圖9-8中我們可以看出IKE和IPSec的關(guān)系，IKE是UDP之上的一個應(yīng)用層協(xié)議，是IPSec的信令協(xié)議；IKE為IPSec協(xié)商建立SA，并把建立的參數(shù)及生成的密鑰交給IPSec；IPSec使用IKE建立的SA對IP報(bào)文加密或認(rèn)證處理。第87頁9.3.3GRE協(xié)議通用路由封裝GRE是對某些網(wǎng)絡(luò)層協(xié)議（如IP和IPX）的報(bào)文進(jìn)行封裝，使這些被封裝的報(bào)文能夠在另一網(wǎng)絡(luò)層協(xié)議（如IP）中傳輸。GRE可以作為VPN的第三層隧道協(xié)議，在協(xié)議層之間采用隧道（Tunnel）技術(shù)。Tunnel是一個虛擬的點(diǎn)對點(diǎn)的連接，可以看成僅支持點(diǎn)對點(diǎn)連接的虛擬接口，這個接口提供了一條通路，使封裝的數(shù)據(jù)報(bào)能夠在這個通路上傳輸，并在一個Tunnel的兩端分別對數(shù)據(jù)報(bào)進(jìn)行封裝及解封裝。第88頁1.GRE報(bào)文封裝及解封裝報(bào)文在Tunnel中傳輸包括加封裝與解封裝兩個過程，如圖9-9所示的網(wǎng)絡(luò)為例說明這兩個過程。IPX網(wǎng)絡(luò)通過GRE隧道互連圖9-9第89頁第90頁LOREMIPSUMDOLOR加封裝過程：連接Novellgroup1的接口收到IPX數(shù)據(jù)報(bào)后，首先交由IPX協(xié)議處理。IPX協(xié)議檢查IPX報(bào)頭中的目的地址域來確定如何路由此包。如果發(fā)現(xiàn)報(bào)文的目的地址要經(jīng)過網(wǎng)號為1f的網(wǎng)絡(luò)（Tunnel的虛擬網(wǎng)號），則將此報(bào)文發(fā)給網(wǎng)號為1f的Tunnel接口。Tunnel接口收到此報(bào)文后進(jìn)行GRE封裝，封裝完成后交給IP模塊處理，在封裝IP報(bào)文頭后，根據(jù)報(bào)文目的地址及路由表交由相應(yīng)的網(wǎng)絡(luò)接口處理。第91頁LOREMIPSUMDOLOR解封裝過程：解封裝過程和加封裝過程相反。從Tunnel接口收到IP報(bào)文，檢查目的地址，當(dāng)發(fā)現(xiàn)目的地就是此路由器時，系統(tǒng)去掉此報(bào)文的IP報(bào)頭，交給GRE協(xié)議模塊處理；GRE協(xié)議模塊完成相應(yīng)的處理后，去掉GRE報(bào)頭，再交由IPX協(xié)議模塊處理，IPX協(xié)議模塊像對待一般數(shù)據(jù)報(bào)一樣對此數(shù)據(jù)報(bào)進(jìn)行處理。第92頁LOREMIPSUMDOLOR系統(tǒng)收到的需要封裝和路由的數(shù)據(jù)報(bào)稱為凈荷（Payload），凈荷首先被加上GRE封裝，成為GRE報(bào)文；再被封裝在IP報(bào)文中，這樣IP層就可以完全負(fù)責(zé)此報(bào)文的轉(zhuǎn)發(fā)（forward）。負(fù)責(zé)轉(zhuǎn)發(fā)的IP協(xié)議被稱為傳輸協(xié)議（DeliveryProtocol或者TransportProtocol）。一個封裝在IPTunnel中的IPX報(bào)文的格式如圖9-10所示。圖9-10Tunnel中傳輸報(bào)文的格式第93頁第94頁主要內(nèi)容9.1IP交換9.2MPLS9.3IP安全9.4VPN9.5本章小結(jié)第95頁9.4VPN

9.4.1VPN基礎(chǔ)虛擬專用網(wǎng)VPN是依靠Internet服務(wù)提供商ISP（InternetServiceProvider）和網(wǎng)絡(luò)服務(wù)提供商N(yùn)SP（NetworkServiceProvider），在公共網(wǎng)絡(luò)中建立的虛擬專用通信網(wǎng)絡(luò)。專用（Private）：對于VPN用戶，使用VPN與使用傳統(tǒng)專網(wǎng)沒有區(qū)別。一方面，VPN與底層承載網(wǎng)絡(luò)之間保持資源獨(dú)立，即，一般情況下，VPN資源不被網(wǎng)絡(luò)中其它VPN或非該VPN用戶所使用；另一方面，VPN提供足夠的安全保證，確保VPN內(nèi)部信息不受外部侵?jǐn)_。第96頁LOREMIPSUMDOLOR虛擬（Virtual）：VPN用戶內(nèi)部的通信是通過一個公共網(wǎng)絡(luò)進(jìn)行的，而這個公共網(wǎng)絡(luò)同時也被其他非VPN用戶使用。即，VPN用戶獲得的是一個邏輯意義上的專網(wǎng)。這個公共網(wǎng)絡(luò)稱為VPN骨干網(wǎng)（VPNBackbone）。VPN不是一種簡單的高層業(yè)務(wù)。該業(yè)務(wù)建立用戶之間的網(wǎng)絡(luò)互聯(lián)，包括建立VPN內(nèi)部的網(wǎng)絡(luò)拓?fù)?、進(jìn)行路由計(jì)算、維護(hù)成員的加入與退出等，因此，VPN技術(shù)比普通的點(diǎn)對點(diǎn)應(yīng)用復(fù)雜得多。第97頁9.4.2VPN分類VPN可以按照組網(wǎng)模型、業(yè)務(wù)用途、運(yùn)營模式、實(shí)現(xiàn)層次不同的角度分為多種類型。第98頁9.4.3VPN原理

1.VPN隧道VPN的基本原理是利用隧道技術(shù)，把VPN報(bào)文封裝在隧道中，利用VPN骨干網(wǎng)建立專用數(shù)據(jù)傳輸通道，實(shí)現(xiàn)報(bào)文的透明傳輸。隧道技術(shù)使用一種協(xié)議封裝另外一種協(xié)議報(bào)文，而封裝協(xié)議本身也可以被其他封裝協(xié)議所封裝或承載。對用戶來說，隧道是其PSTN/ISDN鏈路的邏輯延伸，在使用上與實(shí)際物理鏈路相同。第99頁2.隧道協(xié)議隧道通過隧道協(xié)議實(shí)現(xiàn)