MPLS-VPN與IPSec-VPN混合組網(wǎng)研究

寬帶網(wǎng)絡(luò)基礎(chǔ)課程實(shí)習(xí)——MPLSVPN與IPSecVPN混合組網(wǎng)研究專業(yè)：班級(jí)：姓名：學(xué)號(hào)：指導(dǎo)教師：摘要MPLSVPN構(gòu)建在專用網(wǎng)絡(luò)上，能夠保證很好的服務(wù)質(zhì)量，但價(jià)格與傳統(tǒng)專線在同一水平。IPSec/SSLVPN承載在公眾互聯(lián)網(wǎng)上，服務(wù)質(zhì)量基本無法保證，但成本相對(duì)比較低。服務(wù)供應(yīng)商當(dāng)然可以部署一種或者同時(shí)部署多種VPN架構(gòu)來支持其新型增值服務(wù)，但是，如果它們能夠把各類VPN融合起來更可以獲得優(yōu)勢(shì)互補(bǔ)所帶來的巨大利益。提供設(shè)計(jì)優(yōu)良、運(yùn)行正常和綜合性的VPN服務(wù)可以同時(shí)提升IPsec和MPLS的應(yīng)用層次。服務(wù)供應(yīng)商可以對(duì)那些需要較高認(rèn)證和私密性、而對(duì)服務(wù)質(zhì)量要求不高的數(shù)據(jù)流實(shí)行IPsec解決方案，而對(duì)網(wǎng)絡(luò)的帶寬和服務(wù)質(zhì)量(QoS)要求較高的需求采用MPLS解決方案。關(guān)鍵詞：MPLSVPN、IPSecVPN、混合組網(wǎng)MPLSVPN與IPSecVPN混合組網(wǎng)研究一、綜述VPN是一種邏輯上的專用網(wǎng)絡(luò)，能夠向用戶提供專用網(wǎng)絡(luò)所具有的功能，但本身卻不是一個(gè)獨(dú)立的物理網(wǎng)絡(luò)。為適應(yīng)全球經(jīng)濟(jì)一體化的格局與發(fā)展，利用IP協(xié)議和現(xiàn)有的Internet來建立企業(yè)的安全的專有網(wǎng)絡(luò)，成為主要VPN發(fā)展趨勢(shì)。VPN(虛擬專用網(wǎng)絡(luò)，VirtualPrivateNetwork)，是一種通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)的封包或加密傳輸，在公眾網(wǎng)絡(luò)上傳輸私有數(shù)據(jù)、達(dá)到私有網(wǎng)絡(luò)的安全級(jí)別，從而利用公眾網(wǎng)絡(luò)構(gòu)筑企業(yè)專網(wǎng)的組網(wǎng)技術(shù)。VPN是一種邏輯上的專用網(wǎng)絡(luò)，能夠向用戶提供專用網(wǎng)絡(luò)所具有的功能，但本身卻不是一個(gè)獨(dú)立的物理網(wǎng)絡(luò)。VPN的技術(shù)實(shí)現(xiàn)方式VPN是一種廣義的概念，即在公眾網(wǎng)絡(luò)上實(shí)現(xiàn)私有網(wǎng)絡(luò)。有多種技術(shù)可以實(shí)現(xiàn)VPN的功能，一般來說，虛擬專用網(wǎng)絡(luò)(VPN)可分為如下幾種:1.傳統(tǒng)的專線虛擬專用網(wǎng)絡(luò)傳統(tǒng)的虛擬專用網(wǎng)絡(luò)主要包括幀中繼和ATM，是傳統(tǒng)的電信專線業(yè)務(wù)，是電信運(yùn)營(yíng)商通過幀中繼或ATM的專用交換設(shè)備建立覆蓋一定區(qū)域的公用交換平臺(tái)，并通過在此公用交換平臺(tái)上建立虛電路連接，為用戶提供專用網(wǎng)絡(luò)。幀中繼(FrameRelay，簡(jiǎn)稱FR)，是一種面向連接的快速分組交換技術(shù)。它使用一組規(guī)程將數(shù)據(jù)信息以幀的形式有效地進(jìn)行傳送，在一個(gè)物理連接上可復(fù)用多個(gè)邏輯連接(即可建立多條邏輯信道)，可實(shí)現(xiàn)帶寬的復(fù)用和動(dòng)態(tài)分配。幀中繼適合于封裝局域網(wǎng)的數(shù)據(jù)單元，適合傳送突發(fā)業(yè)務(wù)(如壓縮視頻業(yè)務(wù)、WWW業(yè)務(wù)等)。ATM(AsynchronousTransferMode)，異步傳輸模式。ATM是面向連接的服務(wù),它摒棄了電路交換中采用的同步時(shí)分復(fù)用，改用異步時(shí)分復(fù)用，收發(fā)雙方的時(shí)鐘可以不同，可以更有效地利用帶寬。它是一種高速分組交換，在協(xié)議上它將OSI第三層的糾錯(cuò)、流控功能轉(zhuǎn)移到智能終端上完成，降低了網(wǎng)絡(luò)時(shí)延，提高了交換速度。2.基于用戶端設(shè)備的虛擬專用網(wǎng)絡(luò)基于用戶端設(shè)備的虛擬專用網(wǎng)絡(luò)是指用戶端設(shè)備使用封裝或加密技術(shù)，在公眾網(wǎng)絡(luò)上建立安全的隧道連接，實(shí)現(xiàn)安全的專用網(wǎng)絡(luò)。VPN功能都集成在各種各樣的CPE設(shè)備之中，運(yùn)營(yíng)商的公網(wǎng)為客戶提供透明的數(shù)據(jù)傳輸。這種方式的VPN，其最大缺點(diǎn)就在于需要客戶投入較大的人力、物力去管理和維護(hù)VPN，同時(shí)加密機(jī)制也會(huì)對(duì)設(shè)備的轉(zhuǎn)發(fā)性能和網(wǎng)絡(luò)的拓展性產(chǎn)生很大的影響。IPSec，即Internet安全協(xié)議，是被采用得最廣泛的VPN技術(shù)，是由Internet工程任務(wù)組(IETF)開發(fā)的一組身份驗(yàn)證和加密的協(xié)議，通過對(duì)數(shù)據(jù)加密、認(rèn)證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃?、私有性和保密性。IPSec實(shí)際上是一套協(xié)議包而不是一個(gè)單個(gè)的協(xié)議，這一點(diǎn)對(duì)于我們認(rèn)識(shí)IPSec是很重要的。3.網(wǎng)絡(luò)提供商指配的虛擬專用網(wǎng)絡(luò)網(wǎng)絡(luò)提供商指配的虛擬專用網(wǎng)絡(luò)是指利用虛擬路由技術(shù)和隧道技術(shù)，由網(wǎng)絡(luò)提供商管理的網(wǎng)絡(luò)端設(shè)備為不同用戶建立獨(dú)立的路由表和傳輸隧道，實(shí)現(xiàn)虛擬專用網(wǎng)絡(luò)。BGP/MPLSVPN技術(shù)就是屬于此類VPN。MPLSVPN是一種基于MPLS技術(shù)的IPVPN，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS(MultiprotocolLabelSwitching，多協(xié)議標(biāo)記交換)技術(shù)，簡(jiǎn)化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實(shí)現(xiàn)的IP虛擬專用網(wǎng)絡(luò)(IPVPN)。MPLSVPN體系中包含三種類型的路由器，CE路由器、PE路由器和P路由器。其中，CE路由器是客戶端路由器，為用戶提供到PE路由器的連接;PE路由器是運(yùn)營(yíng)商邊緣路由器，也就是MPLS網(wǎng)絡(luò)中的標(biāo)簽邊緣路由器(LER);P路由器是運(yùn)營(yíng)商網(wǎng)絡(luò)主干路由器，也就是MPLS網(wǎng)絡(luò)中的標(biāo)簽交換路由器(LSR)。4.基于會(huì)話的虛擬專用網(wǎng)絡(luò)基于會(huì)話的虛擬專用網(wǎng)絡(luò)是指利用工作在第四層協(xié)議，即傳輸層協(xié)議及以上的安全協(xié)議，實(shí)現(xiàn)的虛擬專用網(wǎng)絡(luò)。目前，主要是指SSLVPN。、SSLVPN產(chǎn)品采用標(biāo)準(zhǔn)的安全套接層(SSL)對(duì)傳輸中的數(shù)據(jù)包進(jìn)行加密。SSL(SecureSocketLayer)又稱套接字，是一個(gè)運(yùn)行在原TCP/IP協(xié)議棧Transport(傳輸層，第4層)和其上應(yīng)用層(5-7層)之間的安全協(xié)議。IPVPN市場(chǎng)發(fā)展前景為適應(yīng)全球經(jīng)濟(jì)一體化的格局與發(fā)展，利用IP協(xié)議和現(xiàn)有的Internet來建立企業(yè)的安全的專有網(wǎng)絡(luò)，成為主要VPN發(fā)展趨勢(shì)，此類VPN通稱為IPVPN。目前，IPVPN主要包括MPLSVPN、IPSecVPN和SSLVPN。1.MPLSVPN與ATM/FRVPN的比較MPLSVPN與ATM/FRVPN在價(jià)格和服務(wù)質(zhì)量上看，是同質(zhì)化的產(chǎn)品，但MPLSVPN有更多的優(yōu)勢(shì)(見表)。MPLSVPN相比傳統(tǒng)專線VPN而言更具高性價(jià)比，MPLSVPN技術(shù)已經(jīng)逐漸成為企業(yè)進(jìn)行廣域互聯(lián)的主流技術(shù)，已經(jīng)越來越多的企業(yè)把MPLSVPN作為他們建立企業(yè)專網(wǎng)的首選廣域網(wǎng)技術(shù)，同時(shí)越來越多的企業(yè)正在逐漸考慮把他們的網(wǎng)絡(luò)從傳統(tǒng)的專線VPN網(wǎng)絡(luò)遷移到MPLSVPN上。2.MPLSVPN與IPSec/SSLVPN的比較與融合MPLSVPN構(gòu)建在專用網(wǎng)絡(luò)上，能夠保證很好的服務(wù)質(zhì)量，但價(jià)格與傳統(tǒng)專線在同一水平。IPSec/SSLVPN承載在公眾互聯(lián)網(wǎng)上，服務(wù)質(zhì)量基本無法保證，但成本相對(duì)比較低。服務(wù)供應(yīng)商當(dāng)然可以部署一種或者同時(shí)部署多種VPN架構(gòu)來支持其新型增值服務(wù)，但是，如果它們能夠把各類VPN融合起來更可以獲得優(yōu)勢(shì)互補(bǔ)所帶來的巨大利益。提供設(shè)計(jì)優(yōu)良、運(yùn)行正常和綜合性的VPN服務(wù)可以同時(shí)提升IPsec和MPLS的應(yīng)用層次。服務(wù)供應(yīng)商可以對(duì)那些需要較高認(rèn)證和私密性、而對(duì)服務(wù)質(zhì)量要求不高的數(shù)據(jù)流實(shí)行IPsec解決方案，而對(duì)網(wǎng)絡(luò)的帶寬和服務(wù)質(zhì)量(QoS)要求較高的需求采用MPLS解決方案。IPSecVPN與MPLSVPN混合組網(wǎng)的注意事項(xiàng)

有的公司通過一個(gè)服務(wù)供應(yīng)商配置了一個(gè)MPLSVPN，但是由于該公司在國(guó)外的站點(diǎn)附近沒有MPLS接入點(diǎn)，因此客戶建立了一個(gè)混合VPN。這樣，就可在Internet上建立安全的連接，并利用IPSec設(shè)備來保護(hù)這些連接。但是，在IPSecVPN和MPLSVPN之間，存在一些差異，對(duì)于考慮使用這兩種產(chǎn)品的用戶來說，必須分清它們之間的這些差異。

IPSecVPN和MPLSVPN之間的一個(gè)關(guān)鍵差異是MPLS廠商在性能、可用性以及服務(wù)等級(jí)上提供了SLA（ServiceLevelAgreement）。而它對(duì)于建立在IPSec設(shè)備上的VPN來說則是不可用的，因?yàn)镮PSec設(shè)備利用Internet接入服務(wù)直接掛接在Internet上。

MPLSVPN要求所有的站點(diǎn)都與同一服務(wù)供應(yīng)商相關(guān)聯(lián)。如果連接到VPN的所有站點(diǎn)都是由一個(gè)公司所有的，這當(dāng)然不存在什么問題，但是需要在VPN上增加商業(yè)合作伙伴時(shí)，可能就會(huì)出現(xiàn)一些問題了。如果合作伙伴使用的是其它一些服務(wù)供應(yīng)商的服務(wù)，而且它還需要加入這個(gè)連接的話，那么它就必須將連接轉(zhuǎn)到MPLSVPN供應(yīng)商。另外，MPLSVPN并沒有為自己的遠(yuǎn)程撥號(hào)用戶提供遠(yuǎn)程接入。

還有的公司使用了VPN管理服務(wù)，服務(wù)供應(yīng)商可為其安裝、管理、監(jiān)測(cè)和維護(hù)VPN設(shè)備，這就減少了公司在設(shè)備上的投資，公司只需考慮設(shè)備的正常運(yùn)轉(zhuǎn)和不落伍就可以了。但是它的缺點(diǎn)就是，當(dāng)技術(shù)、設(shè)備需要更新時(shí)，這些公司只能等待服務(wù)供應(yīng)商來作出決定。

所有連接到VPN的站點(diǎn)現(xiàn)在都擁有了自己的Internet接入。這意味著它們的Internet流量不再通過傳統(tǒng)的遠(yuǎn)程接入和Internet連接進(jìn)行傳輸，這就減少了利用Internet連接進(jìn)行傳輸?shù)牧髁靠偭?，但是同時(shí)也意味著公司必須管理所有站點(diǎn)的防火墻而不是處于中心位置的一個(gè)防火墻。二、設(shè)計(jì)舉例面臨的問題某集團(tuán)的原網(wǎng)絡(luò)系統(tǒng)核心與各分部之間通過公共的Internet

IPsecVPN方式連接。由于該集團(tuán)在全國(guó)都有分店，各地區(qū)使用基礎(chǔ)運(yùn)營(yíng)商的線路不統(tǒng)一，電信和網(wǎng)通之間存在的互聯(lián)互通問題，使得總部與分店之間的數(shù)據(jù)傳輸非常慢。該集團(tuán)的ERP系統(tǒng)，管理系統(tǒng)、OA系統(tǒng)等其他應(yīng)用對(duì)現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施提出了更高要求。隨著公司的發(fā)展，將來需要建立的內(nèi)部VOIP系統(tǒng)、視頻會(huì)議系統(tǒng)、遠(yuǎn)程培訓(xùn)系統(tǒng)。也需要重新規(guī)劃集團(tuán)內(nèi)部的信息網(wǎng)絡(luò)系統(tǒng)，以滿足公司長(zhǎng)遠(yuǎn)業(yè)務(wù)發(fā)展需要。原網(wǎng)絡(luò)拓?fù)鋱D如下所示：解決方案根據(jù)目前網(wǎng)絡(luò)系統(tǒng)的應(yīng)用情況，以及將來集團(tuán)擴(kuò)展的需要，現(xiàn)將該集團(tuán)信息網(wǎng)絡(luò)設(shè)計(jì)成以下幾部分：一、深圳總部：1、深圳總部設(shè)計(jì)1條10Mbps上網(wǎng)線路接入互聯(lián)網(wǎng)平臺(tái)，開通10MVPN端口，同時(shí)路由電信IP和網(wǎng)通IP，實(shí)現(xiàn)負(fù)載均衡，解決南北電信互聯(lián)互通問題。2、深圳總部在已有的電信10M上網(wǎng)線路上面建立與深圳節(jié)點(diǎn)之間的IPsecVPN互聯(lián)，做為對(duì)MPLSVPN的備份，當(dāng)本地線路發(fā)生故障時(shí)，自動(dòng)調(diào)整到電信線路上面，兩條線路互為備份，保證總部上網(wǎng)穩(wěn)定運(yùn)行。二、北京花園店：由于北京花園店現(xiàn)在已有4M的網(wǎng)通專線，規(guī)劃在不改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上，在北京花園店建立與北京VPN平臺(tái)上面的IPsecVPN,通過MPLSVPN網(wǎng)絡(luò)，實(shí)現(xiàn)北京花園店與深圳總部快速互聯(lián)。三、其他分店：其他分店分步建立與各自節(jié)點(diǎn)間的互聯(lián)，實(shí)現(xiàn)全網(wǎng)集團(tuán)的MPLSVPN網(wǎng)絡(luò)互聯(lián)。網(wǎng)絡(luò)方案示意圖如下所示：利用NOVAMPLSVPN搭建的企業(yè)專網(wǎng)可以采用非常靈活的接入方式，用戶端的設(shè)備可以是任何廠商、任何檔次的路由器或具有路由能力的交換機(jī)，接入NOVAMPLS可以采用DDN、FR、ATM等任何專線，CE與PE之間可以運(yùn)行任何IP路由協(xié)議，包括BGP、OSPF、RIP、靜態(tài)路由等。

基于這個(gè)網(wǎng)絡(luò)平臺(tái)，可以實(shí)現(xiàn)集團(tuán)內(nèi)部ERP、業(yè)務(wù)系統(tǒng)、OA、語音、視頻會(huì)議、電子郵件等應(yīng)用系統(tǒng)的數(shù)據(jù)傳輸。同時(shí)也可以提供ERP系統(tǒng)、業(yè)務(wù)系統(tǒng)、語音數(shù)據(jù)、視頻數(shù)據(jù)的QoS的保證，即當(dāng)有ERP、業(yè)務(wù)系統(tǒng)、語音、視頻、數(shù)據(jù)需要同時(shí)傳輸時(shí)，ERP系統(tǒng)、業(yè)務(wù)系統(tǒng)比普通數(shù)據(jù)具有較高的優(yōu)先級(jí)，首先確保ERP系統(tǒng)、業(yè)務(wù)系統(tǒng)數(shù)據(jù)傳輸?shù)膸?，在保證ERP等關(guān)鍵應(yīng)用帶寬質(zhì)量的前提下，再把剩余的帶寬供普通數(shù)據(jù)傳輸使用。在沒有ERP、業(yè)務(wù)系統(tǒng)數(shù)據(jù)傳輸時(shí)，所有的帶寬可以提供普通數(shù)據(jù)使用。并且，根據(jù)用戶的要求，可以對(duì)普通數(shù)據(jù)也進(jìn)行分類，對(duì)不同類別設(shè)定不同的優(yōu)先級(jí)別，提供不同的QoS/CoS服務(wù)。三、方案綜合評(píng)價(jià)與結(jié)論由于網(wǎng)絡(luò)的擴(kuò)展性與穩(wěn)定性，保障了該集團(tuán)的信息系統(tǒng)跟隨公司業(yè)務(wù)不斷發(fā)展的不斷擴(kuò)容升級(jí)。在信息系統(tǒng)的擴(kuò)展中，本設(shè)計(jì)方案提供了強(qiáng)有力的基礎(chǔ)設(shè)施保障。1、快速響應(yīng)，有效降低網(wǎng)絡(luò)故障率。2、有效的QoS設(shè)置，確保ERP、語音、數(shù)據(jù)流量可靠傳輸；3、網(wǎng)絡(luò)進(jìn)行統(tǒng)一的管理，大大減少網(wǎng)絡(luò)維護(hù)的工作量；4、總部設(shè)備無需更換，且分支機(jī)構(gòu)只需申請(qǐng)低端的接入設(shè)備就足以完成網(wǎng)絡(luò)改造，大幅節(jié)約成本。四、實(shí)習(xí)體會(huì)經(jīng)過近兩周的努力，在老師和同學(xué)們的幫助下，我完成了本次設(shè)計(jì)任務(wù)，通過本次課程設(shè)計(jì)，我加深了自己對(duì)理論知識(shí)的理解，強(qiáng)化了對(duì)知識(shí)的應(yīng)用能力，同時(shí)也鍛煉了分析、解決問題的能力，更鍛煉了自己的動(dòng)手能力，能夠根據(jù)需要去讀一些相關(guān)文獻(xiàn)，學(xué)會(huì)如何使用相關(guān)軟件等，為以后的學(xué)習(xí)、工作打下了堅(jiān)實(shí)的基礎(chǔ)。通過這次實(shí)習(xí)，還有一個(gè)收獲就是感受到同學(xué)之間的溫暖和相互協(xié)作的力量。盡管我們各自設(shè)計(jì)要求不同，思路也不相同，但是我們能夠