独享网络通道无VPN组网专业技术全面解析Word下载.docx
- 文档编号:18030692
- 上传时间:2022-12-13
- 格式:DOCX
- 页数:17
- 大小:166.70KB
独享网络通道无VPN组网专业技术全面解析Word下载.docx
《独享网络通道无VPN组网专业技术全面解析Word下载.docx》由会员分享,可在线阅读,更多相关《独享网络通道无VPN组网专业技术全面解析Word下载.docx(17页珍藏版)》请在冰豆网上搜索。
ExtranetVPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。
VPN的安全性包含以下特征:
a)隧道与加密:
隧道能实现多协议封装,增加VPN应用的灵活性,可以在无连接的IP网上提供点到点的逻辑通道。
在安全性要求更高的场合应用加密隧道则进一步保护了数据的私有性,使数据在网上传送而不被非法窥视与篡改。
b)数据验证:
在不安全的网络上,特别是构建VPN的公用网上,数据包有可能被非法截获,篡改后重新发送,接收方将会接收到错误的数据。
数据验证使接收方可识别这种篡改,保证了数据的完整性。
c)用户验证:
VPN可使合法用户访问他们所需的企业资源,同时还要禁止未授权用户的非法访问。
通过AAA,路由器可以提供用户鉴别、访问级别以及必要的访问记录等功能。
这一点对于AccessVPN和ExtranetVPN具有尤为重要的意义。
d)防火墙与攻击检测:
防火墙用于过滤数据包,防止非法访问,而攻击检测则更进一步分析数据包的内容,确定其合法性,并可实时应用安全策略,断开包含非法访问内容的会话链接,并产生非法访问记录。
要模拟点对点链路,应压缩或包装数据,并加上一个提供路由信息的报头,该报头使数据能够通过共享或公用网络到达其终点。
若要模拟专用链接,数据应加密以进行保密。
如果没有加密密钥,在共享或公用网络上截取的数据包是无法破译的。
二、详解隧道技术
隧道即基于公共网络或其它网络的特殊通道,用以实现数据的封装传输。
隧道的本质是对该通道数据流的寻径和转发完全不依赖于隧道内载荷数据的地址信息。
隧道协议事实上是利用公共或其他网络的传输媒体,在隧道的两端形成一个逻辑的点对点链接,只是这里点到点链接传送的帧信息部分是隧道的载荷数据,如可以是PPP分组、IP分组,甚至是TCP或UDP等报文数据。
2.1IPsec协议
IPsec(IPsecurity)是IETFIPsec工作组为在IP层提供通信安全而制定的一个协议族,它包括安全协议部分和密域协商部分。
安全协议部分定义对通信的保护规则,密域协商部分定义如何为安全协议协商保护参数。
设计IPse。
的目的在于4个方面:
为通信提供连接的主机级身份鉴别和数据的分组级源鉴别;
为数据的机密性和完整性提供保护;
为通信提供有限的流量保护功能;
为数据传输提供抗重放攻击等服务,从而提供一定的通信QOS保证。
IPsec的安全协议定义了两种机制:
ESP(EncapsulationSecurityPayload)和AH(AuthenticationHeader)。
ESP机制能为通信提供机密性和完整性服务,以及为IPsec隧道提供抗重放攻击等服务。
ESP规定如何对IP分组进行IPsec封装的规则,依据对IP分组的封装范围,ESP有传输模式和隧道模式两种模式。
如果仅对IP分组的IP载荷(即上层协议数据部分如TCP/UDP等协议数据单元)进行封装,则称为传输模式ESP封装;
如果对整个IP分组进行封装传输则称为隧道模式的ESP封装。
这两种封装如下图所示。
AH机制为通信提供完整性服务以及抗重放攻击等服务。
AH机制为IP分组插入一个AH头,提供安全服务。
依据AH头插入分组的位置,可将AH的实施分为两种模式:
一种是将AH插入原IP分组的IP头和上层协议数据之间,称传输模式的AH封装;
另一种是将AH头插入原IP分组和一个外部IP之间,称隧道模式的AH封装。
2.2形成隧道的方法
有两种方法形成隧道:
一种称为封装隧道,它是通过封装协议,对上层数据分组进行透明封装传输,从而形成封装隧道的;
另一种称为加密隧道,它是通过数据加密,形成数据的透明传输,从而形成加密隧道的。
加密和封装是密切相关的,加密本身不能形成隧道,被加密分组后必须通过封装传输,才能形成加密隧道。
严格地将,封装是形成隧道的唯一方式。
隧道中的数据有不同的存在形式:
有明文的、没有任何形式保护的方式,有密文的方式,也有受完整性保护的方式。
加密只是封装协议提供的一种安全服务。
人们习惯于封装和加密分开来看。
这种习惯来源于实际中两种主流的封装协议类:
一种为实现多协议传输的封装协议,如L2TP;
另一种则强调具有安全功能的隧道封装协议,如IPseca。
典型的隧道协议包括如下几种:
Microsoft公司的PPTP协议、L2F协议、L2TP协议、Microsoft公司的MPPE协议、Microsoft公司的DESE协议、IP/IP封装、GRE协议、IPsec协议。
2.3隧道技术提供的服务
为使通过隧道构建的VPN满足人们的各种服务需求,如分组的透明传输、数据的安全性、服务质量的保证等,隧道技术应能提供以下8种服务:
a)数据安全性服务
VPN隧道机制应能支持不同层次的安全服务。
这些安全服务包括不同强度的源鉴别、数据加密和数据完整性服务等。
b)多协议传输
构建VPN的另一个主要动机就是借用己有的网络基础设施,实现分组在异构网络上的传输。
人们通常希望隧道机制能实现对不同类型的协议分组封装传输。
c)信号协议
隧道的端点往往是不固定的,其接入可能是暂时的、随机的,而且一条隧道往往要跨越不同的管理域。
因此,采用手动隧道配置甚至是SNMP的MIB变量进行管理和配置,是低效而且不安全的。
为隧道机制设计一个信号协议,以实现隧道的自动建立、配置、维护和关闭,显然是意义重大的。
它大大减少了人为干预,省时省事,又提高了隧道的安全性。
d)复用
这里的复用包含两方面内容:
两个服务提供商(SP)之间可以同时存在多条隧道;
在同一条隧道内,能够同时封装多条用户会话。
复用的好处是显而易见的:
两个服务商之间同时存在多条隧道,有利于区分通信,以提供不同的QOS保障,达到通信效能的优化;
而同一条隧道内封装多条用户会话,则有利于会话的集中统一管理,提高协议的实现效率。
e)分组排序、分段与重组功能
VPN既然是对物理租用网络的功能模拟,显然用户也希望它能支持分组排序。
支持排序有利于VPN功能应用的透明实施,以及VPN隧道协议的高效实现。
隧道机制应支持隧道级的分组分段/重组机制,这有利于提高系统整体效能。
隧道级的封装显然比借助隧道内的上层协议的分段更省事。
f)隧道维护功能
一个典型的隧道机制应给出何时建立隧道的规则:
在网络开通即永久性建立隧道,还是使用管理命令触发或是数据驱动方式建立隧道。
典型的隧道机制应该在隧道的存活期间对隧道进行动态维护,以维护其安全性及有效性。
隧道机制还应规定如何探测隧道另一端的存活性,以便在对端死亡的时候释放本地资源。
g)系统开销最小化
系统开销的节省包括带宽节省以及系统处理节省,这种节省的好处是显而易见的。
既然VPN隧道需要通过封装来实现,增大系统开销在所难免,设计者们要做的事是尽可能减少这种开销。
h)QOS的保证
隧道机制作为一种链路机制,用户也希望它为流量提供如延迟、吞吐量、优先级等QOS的保证。
三、MPLS原理及其应用
Internet业务量的飞速增长以及宽带技术的不断出现,对Internet服务提供商(工SP)的网络带宽提出了严峻的挑战。
这种挑战不仅是对高带宽的要求,也是对目前Internet所基于的传统路由交换模式的新的要求。
要建立一种服务质量较好且具备扩展性支持的新一代路由系统,需要各单个路由器维持大容量的路由信息,并能建立一种路由信息的分层结构;
在增强路由器对IP分组包转发性能的同时,还需要增加对多目广播的路由支持,提供分层式的路由信息结构;
路由体系还必需具有灵活的适应能力以满足将来可能出现的各种新型需求。
MPLS技术的全称是多协议标交换技术,是在Cisco公司所提出来的TagSwitching技术基础上发展起来的,属于第三层交换技术。
它引入了基于标签的机制,把选路和转发分开,由标签来规定一个分组通过网络的路径,数据传输通过标签交换路径(LSP)完成。
3.1与MPLS相关的几个概念及定义
a)路由协议:
路由协议(如RIP,OSPF)是一种机制,使网络中的每台设备都知道在将一个分组送向其目的地时,传送这个分组的下一跳级(Next-Hop)是哪里。
路由器使用路由协议构建路由表,当它们接收到一个分组而必须进行转发判决时,路由器用分组中的目的IP地址作为索引(Index)查寻路由表,利用特定算法获得下一跳机器的地址。
路由表的构造和它们在转发时的查寻基本上是两个独立的操作。
b)交换:
交换概念通常用来描述从一个设备内的输入端口到输出端口的数据传递,这种传送一般是基于第二层的(如ATMVP工/VCI)信息。
c)控制部件:
控制部件为一个节点建造并维护一个路由转发表(ForwardingTable)。
它与其它节点的控制部件共同协作,持续并正确地交换分布路由信息,同时在本地建立转发表。
标准的路由协议(如OSPF,BGP和R工P)用于在控制部件之间交换路由信息。
d)转发部件:
转发部件执行分组转发功能。
它使用转发表、分组所携带的地址等信息及本地的一系列操作来进行转发判决。
在传统路由器中,最长匹配算法将分组中的目的地址与转发表中的条项进行对比,直到获得一个最优的匹配。
更为重要的是,从源到目的地的沿路节点都要重复这一操作。
在一个标志交换路由器中,(最佳匹配)标志交换算法使用分组的标志和基于标志的转发表来为分组获取一个新的标志及输出端口。
e)路由转发表:
路由转发表包含若干条项,提供信息给转发部件,执行其交换功能。
转发表必须将每个分组与一个条项(传统条项为目的地址)关联起来,为分组的下一步路由提供指引。
f)转发同等类(FEC):
转发同等类(FEC)定义了这样一组分组,从转发的行为来看,它们都具有相同的转发属性。
一种FEC是一组单目广播分组,其目的地址均与一个IP地址前缀相匹配。
另一种FEC是分组的源及目的地址都相同的一组分组。
FEC可在不同的级别上进行定义。
g)标志(label):
标志(label)相对较短,长度固定且无结构标识,可在转发进程中使用。
标志通过一种绑定操作与一个FEC关联起来。
标志正常情况下,对于一个单一数据链路来说仅具有本地意义,不具有全局意义。
在ATM环境中相当于它们的VPI/VCI。
由于ATM使用固定短区域进行交换,因此可以相信标志交换能成为一种IPoverATM应用的有效方案。
在某种事件驱动下,标志与FEC进行绑定,具有一定意义,这种事件可分为以下两种类型:
一种是数据驱动绑定,即在数据流开始产生时进行绑定。
标志绑定仅在需要时建立,在转发表中只存在很少的几个条项。
标志被分配给不同的IP数据流。
在一个ATM网络环境中,它需要使用大量的虚电路资源,不易于扩展。
另一种是拓扑驱动绑定,当在控制平面激活时其建立与数据流的产生无关。
标志绑定可能与路由的更新或RSVP消息的接收有关。
拓扑驱动绑定较数据驱动绑定更易于扩展,因此用于MPLS中。
h)标志交换转发部件:
标志与分组的绑定有若干种方式,对一些网络可以将标志嵌入到链路层的头端(ATMVCI/VPI和帧中继的DLC工),有时也可以将它嵌入至位于数据链路头端和数据链路协议数据单元(PDU)之间的小标志头端(如位于第二层头端与第三层数据负载之间),称为“Shim"
。
这种标志信息能够在链路层进行承载,"
Shim”结构可以用于Ethernet,IEEE802.3,或点对点(PPP)链路上,其中一个是为单目广播,另一个是为多目广播(Multicast),每个标志为4字节。
3.2MPLS的工作流程
在MPLS骨干网络边缘,边界LSR对进来的无标志分组(正常情况下)按其工P头端进行归类划分(Classification)及转发判决,这样IP分组在边界LSR被打上相应的标志,并被传送至到达目的地址的下一跳。
在后续的交换过程中,由LSR所产生的固定长度的标志替代IP分组头端,大大简化了以后的节点处理操作,后续节点使用这个标志进行转发判决。
一般情况下,标志的值在每个LSR中交换后改变,这就是标志转发。
如果分组从MPLS的骨干网络中出来,出口边界LSR发现它们的转发方向是一个无标志的接口,就简单地移除分组中的标志。
这种基于标志转发的最重要的优势在于对多种交换类型只需要唯一一种转发算法,可以用硬件来实现非常高的转发速度。
MPLS网络由核心部分的标签交换路由器(LSR)、边缘部分的标签边缘路由器(LER)组成。
LSR可以看作是ATM交换机与传统路由器的结合,由控制单元和交换单元组成;
LER的作用是分析IP包头,决定相应的传送级别和标签交换路径(LSP)。
由于MPLS技术隔绝了标签分发机制与数据流的关系,因此,它的实现不依赖于特定的数据链路层协议,可支持多种的物理和链路层技术(工P/ATM、以太网、PPP、帧中继、光传输等)。
MPLS使用控制驱动模型初始化标签捆绑的分配及分发,用于建立标签交换路径(LSP),通过连接几个标签交换点来建立一条LSP。
一条LSP是单向的,全双工业务需要两条LSPo
标签交换的工作流程如下:
1)由LDP(标签分发协议)和传统路由协议(OSPF等)在LSR中建立路由表和标签映射表;
2)在MPLS入口处的LER接收IP包,完成第三层功能,并给IP包加上标签;
3)在MPLS出口处的LER将分组中的标签去掉后继续进行转发;
4)LSR不再对分组进行第三层处理,只是根据分组上的标签通过交换单元进行转发。
3.3MPLS技术的实现细节
标签结构
IP设备和ATM设备厂商是在各自原来的基础上实现MPLS技术的。
对于IP设备商,它修改了原来工P包直接封装在二层链路帧中的规范,在二层和三层包头之间插了一个标签(Label):
而ATM设备制造商利用了原来ATM交换机上的VP工/VC工的概念,使用Label来代替了VPI/CVI,当然ATM交换机上还必需修改信令控制部分,引入路由协议。
ATM交换使用路由协议来和其它设备交换三层的路由信息。
标签的结构如图
20比特的LABEL字段用来表示标签值。
由于标签是定长的,所以对于路由器来说,可以分析定长的标签来做数据包的转发,这是标签交换的最大优点。
定长的标签就意味可以用硬件来实现数据转发,这种硬件转发方式要比必须用软件实现的路由最长匹配转发方式效率要高得多!
3比特的EXP用来实现QOS。
1比特S值用来表示标签栈是否到底了,对于VPN,TE等应用将在二层和三层头之间插入两个以上的标签,形成标签栈。
8比特TTL值用来防止数据在网上形成环路。
于是完整的带有标签的二层帧就成了如图形式
在ATM信元模式下,信元的结构形式如图
LSR设备的体系结构
通过修改,能支持标签交换的路由器称为LSR(LabelSwitchRouter),而支持MPLS功能的ATM交换机一般称为ATM-LSRo
LSR设备的体系结构如图
LSR的体系结构分为两块:
a)控制平面(ControlPlane)
该模块的功能是用来和其他LSR交换三层路由信息,以此建立路由表和交换标签对路由的绑定信息,以此建立LabelInformationTable(LIB)标签信息表。
同时再根据路由表和LIB生成ForwardingInformationTable(FIB)表和LabelForwardingInformationTable(LFIB)表。
控制平面也就是我们一般所说的路由引擎模块!
b)数据平面(DataPlane)
数据平面的功能主要是根据控制平面生成的FIB表和LFIB表转发IP包和标签包。
对于控制平面中所使用的路由协议,可以使用以前的任何一种,如OSPI"
,RIP,BGP等等,这些协议的主要功能是和其他设备交换路由信息,生成路由表,这是实现标签交换的基础。
在控制平面中导入了一种新的协议——LDP,该协议的功能是用来针对本地路由表中的每个路由条目生成一个本地的标签,由此生成LIB表,再把路由条目和本地标签的绑定通告给邻居LSR,同时把邻居LSR告知的路由条目和标签绑定接收下来放到LIB表里,最后在网络路由收敛的情况下,参照路由表和LIB表的信息生成FIB表和LFIB表。
具体的标签分发模式如下叙述。
标志交换控制部件
标志由标志交换路径(LSP)的上游LSR(UpstreamLSR)节点来附加至分组中,下游LSR(DownstreamLSR)收到标志分组后判决处理,这由标志交换的控制部件来完成,它使用标志转发表中的条项内容作为引导。
标志交换控制部件除了基本的表的建立和维护外,还负责以一种连续的方式在LSR之间进行路由的分布及进行将这些信息生成为转发表的操作。
标志交换控制部件包括所有的传统路由协议(如OSPF,BGP,PIM等等)。
这些路由协议为LSR提供了FEC与下一跳地址的映射。
标志交换转发表中的条项内容最少应能提供输出的端口信息和下一个新的标志,当然也可以包含更多的信息。
例如,它可以为被交换的分组产生一种输出队列原则。
输入分组必须在转发表中有唯一的条项与之对应。
每一个分配的标志必须与转发表中的一个条项相关联起来,这种绑定可以在本地LSR执行或在远端LSR执行。
目前MPLS版本使用下游绑定,这种情况下,本地关联的标志用作进入分组标志,而远端关联标志用作输出标志。
另一种方式为上游绑定,与下游绑定相反,也是一种可行的方法。
在MPLS技术中,转发表又称为标志转发信息库(LFIB),LFIB的每一个条目中包括输入标志、输出标志、输入接口和输出端口MAC地址,由输入标志对条项进行检索查找。
另外LFIB既可以在一个标志交换路由器上也可以存在于一个接口上。
标志交换路由器(LSR)
MPLS的设备按其在MPLS路由网络中所处的位置可分为边界标志交换路由器和中间标志交换路由器。
边界LSR除对分组的标志进行符加或移除外,还负责对流量进行分类,标志的分配除了基于目的地址外还有其它很多因素。
边界LSR判定流量是否为一个长持续流,采取管理政策和访问控制,并在可能的情况下将普通业务流汇聚成较大的数据流,这些都是在IP与MPLS的边界处所需具有的功能。
因此边界LSR的能力是整个标志交换环境能否成功的关键环节,对于服务提供者而言,这也是一个管理和控制点。
MPLS和ATM协议关系
MPLS为公共的转发算法,基于标志的交换技术,在与ATM技术的结合上,MPLS使用ATM的用户平面(userplane),以ATM的VPI/VCI作为其标志。
MPLS的控制功能部件,以网络层的动态路由协议(如:
IS-IS,OSPF,BGP,PIM)及标志分配协议(LDP)来替代ATM传统的控制平面,完成对整个MPLS网络的控制功能。
MPLS的优势
基于MPLS的思想框架,MPLS的优势主要体现在以下:
将传统的基于IP分组中头端信息进行IP路由转发的机制淘汰后在一种公共转发算法(标志交换)上提供了多种路由方案(如基于目的的显式路由等)将ATM技术与IP技术灵活地结合起来,从控制平面看具有MPLS功能的ATM交换机更像是一台路由器。
使用MPLS使各种IP业务应用成为可能,如基于IP的VPN,IP级业务服务质量保证、骨干网络流量控制。
MPLS技术总结
MPLS交换主要目的是为下一代的多用户、多服务的Internet骨干网络提供一种路由交换的技术基础。
它的主要特征为高性能,可灵活扩展,能最大可能地满足用户对服务质量的需求。
Internet网络的飞速发展也为MPLS的发展提供了十分显著的推动作用。
MPLS技术也为一些目前IP网络亟待提供的应用服务如流量控制(trafficengineering),虚拟专网(VPN)、服务类别质量保证(COS)等提供了一套更为合理有效的解决方案。
3.4基于MPLS的VPN实现
MPLS/VPN体系结构
基于MPLS方式组建VPN网络时,所需设备是路由器,可以利用网络上己有的路由器升级,也可以新建。
在全网各路由器配置MPLS,各接入点的路由器配置成MPLSVPNPE(边界)Router,其余路由器配置成MPLSVPNP(核心)Router。
全网路由器运行内部网关协议IS-IS及MPLSLDP协议。
PERouter之间运行MP-BGP协议,并且建立Full-mesh的BGP连接。
各VPN用户的路由设备CE连到网络接入点PERouter。
用户与PERouter之间运行EBGP(或RIP2,OSPF)协议。
VPN用户的地址空间由用户确定,可采用私有保留地址。
[22}
MPLSVPN限制VPN路由信息仅在VPN内部传播,具体过程如下:
1)在PE路由器上有两种互相隔离的路由表。
一种是包含所有P和PE路由器路由的普通路由表,一种是与它相连的VPN的路由表,即VRF。
每个VPN对应一个VRF。
2)PE路由器将VPN用户地址(多为私有地址)转换成VPN-V4的地址,其中包含RD,S00等新增属性,存储在相应VRF中。
3)同一VPN两端的PE通过RSVP-Tunnel或LDP建立LSP(
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 独享 网络 通道 VPN 组网 专业技术 全面 解析