第9章-IP交換與IP安全

第1頁(yè)第9章IP交換與IP安全本章概述本章的學(xué)習(xí)目標(biāo)主要內(nèi)容第2頁(yè)本章概述為了解決了傳統(tǒng)路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問(wèn)題，需要設(shè)計(jì)快速的轉(zhuǎn)發(fā)技術(shù)，OSI的數(shù)據(jù)鏈路層就有成熟的技術(shù)，因此要想利用二層轉(zhuǎn)發(fā)效率高這一優(yōu)點(diǎn)，又要處理三層IP數(shù)據(jù)包，三層交換技術(shù)就誕生了。IP作為公開(kāi)開(kāi)放的網(wǎng)絡(luò)標(biāo)準(zhǔn)，在解決兼容問(wèn)題的同時(shí)，負(fù)面效應(yīng)隨之而來(lái)。網(wǎng)絡(luò)層除了轉(zhuǎn)發(fā)速度的問(wèn)題，還有安全隱患，解決數(shù)據(jù)安全、認(rèn)證信息、完整性等問(wèn)題是網(wǎng)絡(luò)層無(wú)法繞開(kāi)的職責(zé)。本章全面簡(jiǎn)述IP交換和IP安全技術(shù)。第3頁(yè)本章的學(xué)習(xí)目標(biāo)理解第三層交換基本概念理解IP交換模型和類型掌握MPLS結(jié)構(gòu)和標(biāo)簽格式掌握LDP協(xié)議工作流程掌握IPSec實(shí)現(xiàn)協(xié)議掌握VPN原理第4頁(yè)主要內(nèi)容9.1IP交換9.2MPLS9.3IP安全9.4VPN9.5本章小結(jié)第5頁(yè)9.1IP交換由于Internet及許多私有網(wǎng)絡(luò)經(jīng)常處于近似的擁塞狀態(tài)，更快速和更便宜的IP轉(zhuǎn)發(fā)設(shè)備是每個(gè)人都需要的。事實(shí)上許多IP網(wǎng)絡(luò)設(shè)計(jì)上就有擁塞，如果發(fā)生擁塞，TCP主機(jī)將發(fā)送速率適配到網(wǎng)絡(luò)容量允許的大小，擁塞消除，網(wǎng)絡(luò)通信可以恢復(fù)如初。如果主機(jī)繼續(xù)將分組注入一個(gè)已經(jīng)阻塞的網(wǎng)絡(luò)，而忽略或不理解隱含或顯式的擁塞指示，問(wèn)題不但不會(huì)消失，反而可能更嚴(yán)重。如何在路由器三層設(shè)備實(shí)現(xiàn)分組快速轉(zhuǎn)發(fā)，是應(yīng)用的迫切需求。第6頁(yè)9.1.1第三層交換IP交換涵蓋兩個(gè)概念，網(wǎng)絡(luò)層的IP技術(shù)和數(shù)據(jù)鏈路層的交換技術(shù)。第三層路由技術(shù)的基本功能是實(shí)現(xiàn)路徑確定、路由表維護(hù)等路由處理，完成地址解析、計(jì)數(shù)器維護(hù)、報(bào)文頭重寫等業(yè)務(wù)流轉(zhuǎn)發(fā)任務(wù)。第二層交換技術(shù)的基本功能就是轉(zhuǎn)發(fā)業(yè)務(wù)流，將輸入端口與輸出端口對(duì)應(yīng)起來(lái)。交換機(jī)的體系結(jié)構(gòu)和實(shí)現(xiàn)方法決定了在什么時(shí)候進(jìn)行對(duì)應(yīng)以及如何對(duì)應(yīng)。第二層交換技術(shù)使用端口的MAC地址決定輸入信息包的下一步流向。第7頁(yè)兩個(gè)基本類型第三層交換選實(shí)現(xiàn)基于第三層（L3）地址轉(zhuǎn)發(fā)業(yè)務(wù)流，執(zhí)行交換功能，可能提供諸如認(rèn)證的特別服務(wù)，執(zhí)行或不執(zhí)行路由處理。第三層交換分為兩個(gè)基本類型：一種在第三層對(duì)每個(gè)信息報(bào)文都進(jìn)行處理；而另一種則不是這樣。前者稱為報(bào)文到報(bào)文第三層交換（PacketeXchangePackage），后者稱為第三層流交換（FlowStwith）。第8頁(yè)第三層交換機(jī)的定位第三層交換機(jī)為網(wǎng)絡(luò)設(shè)計(jì)提供了許多靈活性。例如，它可用于會(huì)聚建筑物內(nèi)網(wǎng)段的業(yè)務(wù)流，將局部業(yè)務(wù)流局限于子網(wǎng)內(nèi)，而同時(shí)以線速度轉(zhuǎn)發(fā)跨子網(wǎng)的業(yè)務(wù)流。它們可用于前端共享資源（如服務(wù)器群），提供高速交換連接，同時(shí)保護(hù)這些服務(wù)器免受消耗其處理時(shí)間的外部廣播業(yè)務(wù)流的影響。它們也可減輕傳統(tǒng)路由器的IP網(wǎng)絡(luò)業(yè)務(wù)流處理負(fù)擔(dān)，無(wú)需對(duì)老技術(shù)進(jìn)行進(jìn)一步擴(kuò)充或投資以改善所有第三層協(xié)議的性能。第9頁(yè)IP交換類型建立一條直通路徑的標(biāo)準(zhǔn)和置于直通路徑上的業(yè)務(wù)流的分類標(biāo)準(zhǔn)依賴于IP交換解決方案和協(xié)議的類型。一般而言，有兩種IP交換解決方案：流驅(qū)動(dòng)和拓?fù)潋?qū)動(dòng)。第10頁(yè)9.1.2支撐技術(shù)除了交換和路由技術(shù)外，新的第三層技術(shù)的成功與其他正在開(kāi)發(fā)的技術(shù)有著密切聯(lián)系。虛擬局域網(wǎng)、NHRP、RSVP、IP組播第11頁(yè)主要內(nèi)容9.1IP交換9.2MPLS9.3IP安全9.4VPN9.5本章小結(jié)第12頁(yè)9.2MPLS多協(xié)議標(biāo)簽交換（MPLS）是一種用于快速數(shù)據(jù)包交換和路由的體系，它為網(wǎng)絡(luò)數(shù)據(jù)流量提供了目標(biāo)、路由、轉(zhuǎn)發(fā)和交換等能力。更特殊的是，它具有管理各種不同形式通信流的機(jī)制。MPLS獨(dú)立于第二和第三層協(xié)議，諸如ATM和IP。它提供了一種方式，將IP地址映射為簡(jiǎn)單的具有固定長(zhǎng)度的標(biāo)簽，用于不同的包轉(zhuǎn)發(fā)和包交換技術(shù)。它是現(xiàn)有路由和交換協(xié)議的接口，如IP、ATM、幀中繼、資源預(yù)留協(xié)議（RSVP）、開(kāi)放最短路徑優(yōu)先（OSPF）等等。

第13頁(yè)9.2.1MPLS基本結(jié)構(gòu)多協(xié)議標(biāo)簽交換技術(shù)MPLS（MultiProtocolLabelSwitching）是一種在開(kāi)放的通信網(wǎng)上利用標(biāo)簽引導(dǎo)數(shù)據(jù)高速、高效傳輸?shù)募夹g(shù)。MPLS體系結(jié)構(gòu)描述了實(shí)現(xiàn)標(biāo)簽交換的機(jī)制，這種技術(shù)融合了第二層的分組交換轉(zhuǎn)發(fā)技術(shù)和第三層的路由技術(shù)。MPLS構(gòu)建在傳統(tǒng)路由協(xié)議基礎(chǔ)上，繼承了傳統(tǒng)路由協(xié)議的柔韌強(qiáng)健的特性，可運(yùn)行在大多數(shù)網(wǎng)絡(luò)上，包括ATM、FR、以太網(wǎng)，并且支持高帶寬高速率的IP轉(zhuǎn)發(fā)。第14頁(yè)LSRMPLS網(wǎng)絡(luò)的基本構(gòu)成單元是標(biāo)簽交換路由器LSR（LabelSwitchingRouter），主要運(yùn)行MPLS控制協(xié)議和第三層路由協(xié)議，并負(fù)責(zé)與其他LSR交換路由信息來(lái)建立路由表，實(shí)現(xiàn)FEC和IP分組頭的映射，建立FEC和標(biāo)簽之間的綁定，分發(fā)標(biāo)簽綁定信息，建立和維護(hù)標(biāo)簽轉(zhuǎn)發(fā)表等工作。第15頁(yè)LER由LSR構(gòu)成的網(wǎng)絡(luò)叫做MPLS域，位于區(qū)域邊緣的LSR稱為邊緣LSR（LER，LabeledEdgeRouter），主要完成連接MPLS域和非MPLS域以及不同MPLS域的功能，并實(shí)現(xiàn)對(duì)業(yè)務(wù)的分類、分發(fā)標(biāo)簽（作為出口LER）、剝?nèi)?biāo)簽等。其中入口LER叫Ingress，出口LER叫Egress。位于區(qū)域內(nèi)部的LSR則稱為核心LSR，核心LSR可以是支持MPLS的路由器，也可以是支持MPLS標(biāo)簽交換的LSR，它提供標(biāo)簽分發(fā)、交換功能（LabelSwapping）。帶標(biāo)簽的分組沿著由一系列LSR構(gòu)成的標(biāo)簽交換路徑LSP（LabelSwitchedPath）傳送。MPLS網(wǎng)絡(luò)結(jié)構(gòu)圖9-2第16頁(yè)第17頁(yè)LOREMIPSUMDOLOR轉(zhuǎn)發(fā)等價(jià)類FEC（ForwardingEquivalenceClass）是MPLS中的一個(gè)重要概念。MPLS實(shí)際上是一種分類轉(zhuǎn)發(fā)技術(shù)，它將具有相同轉(zhuǎn)發(fā)處理方式，例如目的地相同、使用轉(zhuǎn)發(fā)路徑相同、具有相同的服務(wù)等級(jí)的分組歸為一類，稱為轉(zhuǎn)發(fā)等價(jià)類。LSR根據(jù)某些策略對(duì)數(shù)據(jù)流進(jìn)行分類，把具有相同屬性的分組映射到某個(gè)FEC，映射的目的是標(biāo)記分組。一個(gè)FEC可以只包含一個(gè)數(shù)據(jù)流，也可以是一組數(shù)據(jù)流。FEC只具有“本地”意義，如何建立數(shù)據(jù)流分組到FEC的映射和劃分FEC有每個(gè)路由器自己決定。一般來(lái)說(shuō)，劃分分組的FEC是根據(jù)他的網(wǎng)絡(luò)層目的地址。屬于相同轉(zhuǎn)發(fā)等價(jià)類的分組，在MPLS網(wǎng)絡(luò)中將獲得完全相同的處理。第18頁(yè)LDP標(biāo)簽分發(fā)協(xié)議LDP（LabelDistributionProtocol）是MPLS中的信令控制協(xié)議，是控制LSR之間交換標(biāo)簽與FEC綁定，協(xié)調(diào)LSR間工作的一系列規(guī)程。MPLS交換路由器（LSR）對(duì)有標(biāo)記的包或信元進(jìn)行交換，也能支持第三層路由功能，完成Fec到Lsp的建路。MPLS邊緣交換路由器（LER）將標(biāo)記加到包上，主要完成連接MPLS域和非MPLS域以及不同MPLS域的功能，實(shí)現(xiàn)FEC劃分，并對(duì)業(yè)務(wù)進(jìn)行分類、分發(fā)標(biāo)簽、剝?nèi)?biāo)簽等，流量工程，LSP建路發(fā)起，Ip包轉(zhuǎn)發(fā)。標(biāo)記交換通路LSP，用于IP包轉(zhuǎn)發(fā)。標(biāo)記分發(fā)協(xié)議LDP，用于分配標(biāo)簽。第19頁(yè)LOREMIPSUMDOLORMPLS改進(jìn)了傳統(tǒng)路由器和專線組網(wǎng)技術(shù)。在數(shù)據(jù)通信過(guò)程中，用標(biāo)記分配協(xié)議（LDP）替代ATM信令協(xié)議，實(shí)現(xiàn)面向連接功能。中間的MPLS交換機(jī)根據(jù)轉(zhuǎn)發(fā)信息庫(kù)（FIB）只做信元交換功能，消減了傳統(tǒng)路由器網(wǎng)逐跳尋址的弊端，減少處理時(shí)延。IP分組映射在FEC（ForwardingEquivalenceClass）上的，根據(jù)不同的映射策略可以提供對(duì)不同業(yè)務(wù)的支持，方便提供了新業(yè)務(wù)的VPN功能，同時(shí)提供了靈活的轉(zhuǎn)發(fā)機(jī)制。第20頁(yè)LOREMIPSUMDOLOR在傳統(tǒng)的路由中路由器中，需要分析包含在每個(gè)分組頭中的信息，然后解析分組頭、提取目的地址、查詢路由表、決定下一跳地址、計(jì)算頭校驗(yàn)、減TTL。MPLS只是根據(jù)標(biāo)簽進(jìn)行轉(zhuǎn)發(fā)，支持高帶寬高速率的IP轉(zhuǎn)發(fā)。限制路由的標(biāo)記分配協(xié)議CR-LDP（ConstraintRouteLabelDistributionProtocol），提供了對(duì)Qos、流量工程的強(qiáng)大支持。提供LDP信令協(xié)議，并且在ATM上能與PNNI、UNI共存?？梢耘c傳統(tǒng)的路由協(xié)議共存而不增加現(xiàn)在網(wǎng)管的負(fù)擔(dān)?？膳c現(xiàn)在IP網(wǎng)上已有的資源預(yù)流協(xié)議共存（RSVP）。第21頁(yè)9.2.2標(biāo)簽（標(biāo)記）

1.標(biāo)簽的定義標(biāo)簽為一個(gè)長(zhǎng)度固定、具有本地意義的短標(biāo)識(shí)符，用于標(biāo)識(shí)一個(gè)FEC（ForwardingEquivalenceClass）。當(dāng)分組到達(dá)MPLS網(wǎng)絡(luò)入口時(shí)，它將按一定規(guī)則被劃歸不同的FEC，根據(jù)分組所屬的FEC，將相應(yīng)的標(biāo)簽封裝在分組中，這樣，在網(wǎng)絡(luò)中，按標(biāo)簽進(jìn)行分組轉(zhuǎn)發(fā)即可。第22頁(yè)2.標(biāo)簽的結(jié)構(gòu)標(biāo)簽的結(jié)構(gòu)如圖9-12所示。標(biāo)簽位于鏈路層包頭和網(wǎng)絡(luò)層分組之間，長(zhǎng)度為4個(gè)字節(jié)。標(biāo)簽共有4個(gè)域：Label：標(biāo)簽值字段，長(zhǎng)度為20bits，用于轉(zhuǎn)發(fā)的指針。Exp：3bits，保留，協(xié)議中沒(méi)有明確規(guī)定，通常用于COS。S：1bit，MPLS支持標(biāo)簽的分層結(jié)構(gòu)，即多重標(biāo)簽。值為1時(shí)表明為最底層標(biāo)簽。TTL：8bits，和IP分組中的TTL意義相同。標(biāo)簽的結(jié)構(gòu)圖9-3第23頁(yè)第24頁(yè)3.標(biāo)簽的操作（1）標(biāo)簽映射（2）標(biāo)簽的封裝（3）標(biāo)簽分配和分發(fā)（4）標(biāo)簽分配控制方式（5）標(biāo)簽保持方式標(biāo)簽保持方式分為自由標(biāo)簽保持方式和保守標(biāo)簽保持方式兩種。

第25頁(yè)9.2.3MPLS工作流程MPLS是一種特殊的轉(zhuǎn)發(fā)機(jī)制，它為進(jìn)入網(wǎng)絡(luò)中的IP數(shù)據(jù)包分配標(biāo)記，并通過(guò)對(duì)標(biāo)記的交換來(lái)實(shí)現(xiàn)IP數(shù)據(jù)包的轉(zhuǎn)發(fā)。標(biāo)記作為IP包頭在網(wǎng)絡(luò)中的替代品而存在，在網(wǎng)絡(luò)內(nèi)部MPLS在數(shù)據(jù)包所經(jīng)過(guò)的路徑沿途通過(guò)交換標(biāo)記來(lái)實(shí)現(xiàn)轉(zhuǎn)發(fā)；當(dāng)數(shù)據(jù)包要退出MPLS網(wǎng)絡(luò)時(shí)，數(shù)據(jù)包被解開(kāi)封裝，繼續(xù)按照IP包的路由方式到達(dá)目的地。

MPLS的工作流程可以分為網(wǎng)絡(luò)的邊緣行為、網(wǎng)絡(luò)的中心行為以及如何建立標(biāo)記交換路徑。

第26頁(yè)1.網(wǎng)絡(luò)的邊緣行為

當(dāng)IP數(shù)據(jù)包到達(dá)一個(gè)LER時(shí)，MPLS第一次應(yīng)用標(biāo)記。首先，LER要分析IP包頭的信息，并且按照它的目的地址和業(yè)務(wù)等級(jí)加以區(qū)分。

在LER中，MPLS使用了轉(zhuǎn)發(fā)等價(jià)類（FEC）的概念來(lái)，將輸入的數(shù)據(jù)流映射到一條LSP上。簡(jiǎn)單地說(shuō)，F(xiàn)EC就是定義了一組沿著同一條路徑、有相同處理過(guò)程的數(shù)據(jù)包。這就意味著所有FEC相同的包都可以映射到同一個(gè)標(biāo)記中。第27頁(yè)LOREMIPSUMDOLOR對(duì)于每一個(gè)FEC，LER都建立一條獨(dú)立的LSP穿過(guò)網(wǎng)絡(luò)，到達(dá)目的地。數(shù)據(jù)包分配到一個(gè)FEC后，LER就可以根據(jù)標(biāo)記信息庫(kù)（LIB）來(lái)為其生成一個(gè)標(biāo)記。標(biāo)記信息庫(kù)將每一個(gè)FEC都映射到LSP下一跳的標(biāo)記上。如果下一跳的鏈路是ATM，則MPLS將使用ATMVCC里的VCI作為標(biāo)記。

轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)，LER檢查標(biāo)記信息庫(kù)中的FEC，然后將數(shù)據(jù)包用LSP的標(biāo)記封裝，從標(biāo)記信息庫(kù)所規(guī)定的下一個(gè)接口發(fā)送出去。

第28頁(yè)2.網(wǎng)絡(luò)的核心行為

當(dāng)一個(gè)帶有標(biāo)記的包到達(dá)LSR的時(shí)候，LSR提取入局標(biāo)記，同時(shí)以它作為索引在標(biāo)記信息庫(kù)中查找。當(dāng)LSR找到相關(guān)信息后，取出出局的標(biāo)記，并由出局標(biāo)記代替入局標(biāo)簽，從標(biāo)記信息庫(kù)中所描述的下一跳接口送出數(shù)據(jù)包。

最后，數(shù)據(jù)包到達(dá)了MPLS域的另一端，在這一點(diǎn)，LER剝?nèi)シ庋b的標(biāo)記，仍然按照IP包的路由方式將數(shù)據(jù)包繼續(xù)傳送到目的地。

第29頁(yè)3.建立標(biāo)記交換路徑兩種方式

（1）HopbyHop路由

“一個(gè)Hop-by-Hop的LSP是所有從源站點(diǎn)到一個(gè)特定目的站點(diǎn)的IP樹(shù)的一部分。對(duì)于這些LSP，MPLS模仿IP轉(zhuǎn)發(fā)數(shù)據(jù)包的面向目的地的方式建立了一組樹(shù)。

從傳統(tǒng)的IP路由來(lái)看，每一臺(tái)沿途的路由器都要檢查包的目的地址，并且選擇一條合適的路徑將數(shù)據(jù)包發(fā)送出去。而MPLS則不然，數(shù)據(jù)包雖然也沿著IP路由所選擇的同一條路徑進(jìn)行傳送，但是它的數(shù)據(jù)包頭在整條路徑上從始至終都沒(méi)有被檢查。

在每一個(gè)節(jié)點(diǎn)，MPLS生成的樹(shù)是通過(guò)一級(jí)一級(jí)為下一跳分配標(biāo)記，而且是通過(guò)與它們的對(duì)等層交換標(biāo)記而生成的。交換是通過(guò)LDP的請(qǐng)求以及對(duì)應(yīng)的消息完成的。

第30頁(yè)（2）顯式路由

MPLS最主要的一個(gè)優(yōu)點(diǎn)就是它可以利用流量設(shè)計(jì)“引導(dǎo)”數(shù)據(jù)包，比如避免擁塞或者滿足業(yè)務(wù)的QoS等。MPLS允許網(wǎng)絡(luò)的運(yùn)行人員在源節(jié)點(diǎn)就確定一條顯式路由的LSP（ER-LSP），以規(guī)定數(shù)據(jù)包將選擇的路徑。

不像Hop-by-Hop的LSP，ER-LSP不會(huì)形成IP樹(shù)。取而代之，ER-LSP從源端到目的端建立一條直接的端到端的路徑，如圖3所示。MPLS將顯式路由嵌入到限制路由的標(biāo)記分配協(xié)議的信息中，從而建立這條路徑。

第31頁(yè)9.2.4LSPMPLS的標(biāo)簽分組沿著由一系列LSR構(gòu)成的標(biāo)簽交換路徑LSP（LabelSwitchedPath）傳送。LSP的建立其實(shí)就是將FEC和標(biāo)簽進(jìn)行綁定，并將這種綁定通告LSP上相鄰LSR的過(guò)程。這個(gè)過(guò)程是通過(guò)標(biāo)簽分發(fā)協(xié)議LDP來(lái)實(shí)現(xiàn)的。LDP規(guī)定了LSR間的消息交互過(guò)程和消息結(jié)構(gòu)，以及路由選擇方式。第32頁(yè)1.LSP隧道與分層MPLS支持LSP隧道技術(shù)。在一條LSP路徑上，LSRRu和LSRRd互為上下游，但LSRRu和LSRRd之間的路徑，可能并不是路由協(xié)議所提供路徑的一部分，MPLS允許在LSRRu和LSRRd間建立一條新的LSP路徑<RuR1...RnRd>，LSRRu和LSRRd分別為這條LSP的起點(diǎn)和終點(diǎn)。LSRRu和LSRRd間的LSP就是LSP隧道，它避免了傳統(tǒng)的網(wǎng)絡(luò)層封裝隧道。當(dāng)隧道經(jīng)由的路由和逐跳與從路由協(xié)議取得的路由一致時(shí)，這種隧道叫逐跳路由隧道；若不一致，則這種隧道叫顯式路由隧道。如圖9-4所示，LSP<R2R21R22R3>就是R2、R3間的一條隧道。圖9-4LSP隧道第33頁(yè)第34頁(yè)標(biāo)簽棧在MPLS的多層標(biāo)簽棧，是分組可以攜帶多個(gè)標(biāo)簽，這些標(biāo)簽在分組中以“堆棧”的形式存在，對(duì)堆棧的操作按“后進(jìn)先出”的原則，決定如何轉(zhuǎn)發(fā)分組的標(biāo)簽始終是棧頂標(biāo)簽。標(biāo)簽入棧是指向輸出分組中加入一個(gè)標(biāo)簽，使標(biāo)簽棧的深度加1，同時(shí)，分組的當(dāng)前標(biāo)簽就變?yōu)榇诵录尤氲臉?biāo)簽；標(biāo)簽出棧是指從分組中去掉一個(gè)標(biāo)簽，使標(biāo)簽棧的深度減1，同時(shí)，分組的當(dāng)前標(biāo)簽將變?yōu)樵瓉?lái)處于下一層的標(biāo)簽。第35頁(yè)LOREMIPSUMDOLOR在LSP隧道中會(huì)使用多層標(biāo)簽棧。當(dāng)分組在LSP隧道中傳送時(shí)，分組的標(biāo)簽就會(huì)有多層。在每一隧道的入口和出口處，要進(jìn)行標(biāo)簽棧的入棧和出棧操作，每發(fā)生一次入棧操作，標(biāo)簽就會(huì)增加一層。MPLS對(duì)標(biāo)簽棧的深度沒(méi)有限制。標(biāo)簽棧按照“后進(jìn)先出”方式組織標(biāo)簽，MPLS從棧頂開(kāi)始處理標(biāo)簽。若一個(gè)分組的標(biāo)簽棧深度為m，則位于棧底的標(biāo)簽為1級(jí)標(biāo)簽，位于棧頂?shù)臉?biāo)簽為m級(jí)標(biāo)簽。未打標(biāo)簽的分組可看作標(biāo)簽棧為空（即標(biāo)簽棧深度為零）的分組。第36頁(yè)2.標(biāo)簽報(bào)文的轉(zhuǎn)發(fā)在Ingress，將進(jìn)入網(wǎng)絡(luò)的分組根據(jù)其特征劃分成轉(zhuǎn)發(fā)等價(jià)類FEC。一般根據(jù)IP地址前綴或者主機(jī)地址來(lái)劃分FEC。屬于相同F(xiàn)EC的分組在MPLS區(qū)域中將經(jīng)過(guò)相同的路徑（即LSP）。LSR對(duì)到來(lái)的FEC分組分配一個(gè)短而定長(zhǎng)的標(biāo)簽，然后從相應(yīng)的接口轉(zhuǎn)發(fā)出去。第37頁(yè)NHLFE在LSP沿途的LSR上，都已建立了輸入/輸出標(biāo)簽的映射表（該表的元素叫下一跳標(biāo)簽轉(zhuǎn)發(fā)條目，簡(jiǎn)稱NHLFE，NextHopLabelForwardingEntry）。對(duì)于接收到的標(biāo)簽分組，LSR只需根據(jù)標(biāo)簽從表中找到相應(yīng)的NHLFE，并用新的標(biāo)簽來(lái)替換原來(lái)的標(biāo)簽，然后，對(duì)標(biāo)簽分組進(jìn)行轉(zhuǎn)發(fā)，這個(gè)過(guò)程叫輸入標(biāo)簽映射ILM（IncomingLabelMap）。MPLS在網(wǎng)絡(luò)入口處指定特定分組的FEC，后續(xù)P路由器只需簡(jiǎn)單的轉(zhuǎn)發(fā)即可，比常規(guī)的網(wǎng)絡(luò)層轉(zhuǎn)發(fā)要簡(jiǎn)單得多，轉(zhuǎn)發(fā)速度得以提高。第38頁(yè)9.2.5LDP協(xié)議LDP協(xié)議規(guī)定標(biāo)簽分發(fā)過(guò)程中的各種消息以及相關(guān)的處理進(jìn)程。通過(guò)LDP，LSR可以把網(wǎng)絡(luò)層的路由信息直接映射到數(shù)據(jù)鏈路層的交換路徑上，進(jìn)而建立起網(wǎng)絡(luò)層上的LSP。LSP既可以建立在兩個(gè)相鄰的LSR之間，也可以終止于網(wǎng)絡(luò)出口節(jié)點(diǎn)，從而在網(wǎng)絡(luò)中所有中間節(jié)點(diǎn)上都使用標(biāo)簽交換。第39頁(yè)1.LDP基本概念LDP對(duì)等體是指相互之間存在LDP會(huì)話、使用LDP來(lái)交換標(biāo)簽/FEC映射關(guān)系的兩個(gè)LSR。兩個(gè)LDP對(duì)等體可以同時(shí)通過(guò)一個(gè)LDP會(huì)話獲得對(duì)方的標(biāo)簽映射消息，即，LDP協(xié)議是雙向的。LDP會(huì)話用于在LSR之間交換標(biāo)簽映射、釋放等消息。LDP會(huì)話可以分為兩種類型本地LDP會(huì)話（localLDPsession）：建立會(huì)話的兩個(gè)LSR之間是直連的；遠(yuǎn)端LDP會(huì)話（remoteLDPsession）：建立會(huì)話的兩個(gè)LSR之間是非直連的。第40頁(yè)LDP協(xié)議主要使用四種消息發(fā)現(xiàn)（discovery）消息，用于通告和維護(hù)網(wǎng)絡(luò)中LSR的存在。會(huì)話（session）消息，用于建立、維護(hù)和終止LDP對(duì)等體之間的會(huì)話連接。通告（advertisement）消息，用于創(chuàng)建、改變和刪除標(biāo)記—FEC綁定。通知（notification）消息，用于提供建議性的消息和差錯(cuò)通知。第41頁(yè)標(biāo)簽空間與LDP標(biāo)識(shí)符LDP對(duì)等體之間分配標(biāo)簽的范圍稱為標(biāo)簽空間。可以為L(zhǎng)SR的每個(gè)接口指定一個(gè)標(biāo)簽空間，也可以整個(gè)LSR使用一個(gè)標(biāo)簽空間。LDP標(biāo)識(shí)符用于標(biāo)識(shí)特定LSR的標(biāo)簽空間范圍，是一個(gè)六字節(jié)的數(shù)值，格式如下：[ip地址]：[標(biāo)簽空間序號(hào)]。其中，四字節(jié)的ip地址是LSR的ip地址，標(biāo)簽空間序號(hào)占兩字節(jié)。第42頁(yè)2.LDP工作過(guò)程LDP工作過(guò)程，如圖9-15所示LDP標(biāo)簽的分發(fā)。圖9-5標(biāo)簽分發(fā)第43頁(yè)第44頁(yè)標(biāo)簽分發(fā)模式在一條LSP上，沿?cái)?shù)據(jù)傳送的方向，相鄰的LSR分別稱為上游LSR和下游LSR。例如，在上圖中的LSP1，LSRb為L(zhǎng)SRc的上游LSR。標(biāo)簽的分發(fā)過(guò)程有下游按需標(biāo)簽分發(fā)dod和下游自主標(biāo)簽分發(fā)du兩種模式，它們的主要區(qū)別在于標(biāo)簽映射的發(fā)布是上游請(qǐng)求還是下游主動(dòng)發(fā)布。第45頁(yè)dod（downstream-on-demand）模式上游LSR向下游LSR發(fā)送標(biāo)簽請(qǐng)求消息（包含F(xiàn)EC的描述信息），下游LSR為此FEC分配標(biāo)簽，并將綁定的標(biāo)簽通過(guò)標(biāo)簽映射消息反饋給上游LSR。下游LSR何時(shí)反饋標(biāo)簽映射消息，取決于該LSR采用獨(dú)立標(biāo)簽控制方式還是有序標(biāo)簽控制方式。采用有序標(biāo)簽控制方式時(shí)，只有收到它的下游返回的標(biāo)簽映射消息后，才向其上游發(fā)送標(biāo)簽映射消息；采用獨(dú)立標(biāo)簽控制方式時(shí)，不管有沒(méi)有收到它的下游返回的標(biāo)簽映射消息，都立即向其上游發(fā)送標(biāo)簽映射消息。上游LSR一般是根據(jù)其路由表中的信息來(lái)選擇下游LSR。在圖1-5中，LSP1沿途的LSR都采用有序標(biāo)簽控制方式，LSP2上的LSRf則采用獨(dú)立標(biāo)簽控制方式。第46頁(yè)du（downstreamunsolicited）模式下游LSR在LDP會(huì)話建立成功后，主動(dòng)向其上游LSR發(fā)布標(biāo)簽映射消息。上游LSR保存標(biāo)簽映射信息，并根據(jù)路由表信息來(lái)處理收到的標(biāo)簽映射信息。第47頁(yè)3.LDP基本操作按照先后順序，LDP的操作主要包括發(fā)現(xiàn)階段，會(huì)話建立與維護(hù)，LSP建立與維護(hù)，會(huì)話撤銷四個(gè)階段。第48頁(yè)發(fā)現(xiàn)階段在這一階段，希望建立會(huì)話的LSR向相鄰LSR周期性地發(fā)送hello消息，通知相鄰節(jié)點(diǎn)本地對(duì)等關(guān)系。通過(guò)這一過(guò)程，LSR可以自動(dòng)發(fā)現(xiàn)它的LDP對(duì)等體，而無(wú)需進(jìn)行手工配置。第49頁(yè)（1）LDP有兩種發(fā)現(xiàn)機(jī)制

基本發(fā)現(xiàn)機(jī)制

基本發(fā)現(xiàn)機(jī)制用于發(fā)現(xiàn)本地的LDP對(duì)等體，即通過(guò)鏈路層直接相連的LSR，建立本地LDP會(huì)話。這種方式下，LSR向特定端口周期性發(fā)送LDP鏈路hello消息，并攜帶特定端口所屬標(biāo)簽空間的LDP標(biāo)識(shí)符以及其它相關(guān)信息。如果LSR在特定端口收到LDP鏈路hello消息，則表明可能存在一個(gè)可達(dá)的對(duì)等LSR。通過(guò)hello消息攜帶的信息，LSR還可獲知在特定端口使用的標(biāo)簽空間。第50頁(yè)擴(kuò)展發(fā)現(xiàn)機(jī)制擴(kuò)展發(fā)現(xiàn)機(jī)制用于發(fā)現(xiàn)遠(yuǎn)端的LDP對(duì)等體，即不通過(guò)鏈路層直接相連的LSR，建立遠(yuǎn)端LDP會(huì)話。這種方式下，LSR向某一特定ip地址周期地發(fā)送LDP目標(biāo)hello消息（targetedhello）。LDP目標(biāo)hello消息以u(píng)dp分組的形式發(fā)往特定地址的知名LDP發(fā)現(xiàn)端口，LSR發(fā)送的LDP目標(biāo)消息帶有LSR希望使用的標(biāo)簽空間和其它可選信息。第51頁(yè)（2）會(huì)話建立與維護(hù)對(duì)等關(guān)系建立之后，LSR開(kāi)始建立會(huì)話。首先建立傳輸層連接，即在LSR之間建立tcp連接；隨后對(duì)LSR之間的會(huì)話進(jìn)行初始化，協(xié)商會(huì)話中涉及的各種參數(shù)，如LDP版本、標(biāo)簽分發(fā)方式、定時(shí)器值、標(biāo)簽空間等。第52頁(yè)（3）LSP建立與維護(hù)LSP的建立過(guò)程實(shí)際就是將FEC和標(biāo)簽進(jìn)行綁定，并將這種綁定通告LSP上相鄰LSR。這個(gè)過(guò)程是通過(guò)LDP實(shí)現(xiàn)的，主要步驟如下。（i）當(dāng)網(wǎng)絡(luò)的路由改變時(shí)，如果有一個(gè)邊緣節(jié)點(diǎn)發(fā)現(xiàn)自己的路由表中出現(xiàn)了新的目的地地址，并且這一地址不屬于任何現(xiàn)有的FEC，則該邊緣節(jié)點(diǎn)需要為這一目的地址建立一個(gè)新的FEC。邊緣LSR決定該FEC將要使用的路由，向其下游LSR發(fā)起標(biāo)簽請(qǐng)求消息，并指明是要為哪個(gè)FEC分配標(biāo)簽；第53頁(yè)LOREMIPSUMDOLOR（ii）收到標(biāo)簽請(qǐng)求消息的下游LSR記錄這一請(qǐng)求消息，根據(jù)本地的路由表找出對(duì)應(yīng)該FEC的下一跳，繼續(xù)向下游LSR發(fā)出標(biāo)簽請(qǐng)求消息；（iii）當(dāng)標(biāo)簽請(qǐng)求消息到達(dá)目的節(jié)點(diǎn)或MPLS網(wǎng)絡(luò)的出口節(jié)點(diǎn)時(shí)，如果這些節(jié)點(diǎn)尚有可供分配的標(biāo)簽，并且判定上述標(biāo)簽請(qǐng)求消息合法，則該節(jié)點(diǎn)為FEC分配標(biāo)簽，并向上游發(fā)出標(biāo)簽映射消息，標(biāo)簽映射消息中包含分配的標(biāo)簽等信息；第54頁(yè)LOREMIPSUMDOLOR（iv）收到標(biāo)簽映射消息的LSR檢查本地存儲(chǔ)的標(biāo)簽請(qǐng)求消息狀態(tài)。對(duì)于某一FEC的標(biāo)簽映射消息，如果數(shù)據(jù)庫(kù)中記錄了相應(yīng)的標(biāo)簽請(qǐng)求消息，LSR將為該FEC進(jìn)行標(biāo)簽分配，并在其標(biāo)簽轉(zhuǎn)發(fā)表中增加相應(yīng)的條目，然后向上游LSR發(fā)送標(biāo)簽映射消息。（v）當(dāng)入口LSR收到標(biāo)簽映射消息時(shí)，它也需要在標(biāo)簽轉(zhuǎn)發(fā)表中增加相應(yīng)的條目。這時(shí)，就完成了LSP的建立，接下來(lái)就可以對(duì)該FEC對(duì)應(yīng)的數(shù)據(jù)分組進(jìn)行標(biāo)簽轉(zhuǎn)發(fā)了。第55頁(yè)（4）會(huì)話撤銷LDP通過(guò)檢測(cè)會(huì)話連接上傳輸?shù)腖DPpdu來(lái)判斷會(huì)話的完整性。LSR為每個(gè)會(huì)話建立一個(gè)“生存狀態(tài)”定時(shí)器，每收到一個(gè)LDPpdu時(shí)刷新該定時(shí)器。如果在收到新的LDPpdu之前定時(shí)器超時(shí)，LSR認(rèn)為會(huì)話中斷，對(duì)等關(guān)系失效。LSR將關(guān)閉相應(yīng)的傳輸層連接，終止會(huì)話進(jìn)程。第56頁(yè)4.LDP環(huán)路檢測(cè)兩種方式在MPLS域中建立LSP也要防止產(chǎn)生環(huán)路，LDP環(huán)路檢測(cè)機(jī)制可以檢測(cè)LSP環(huán)路的出現(xiàn)，并避免標(biāo)簽請(qǐng)求等消息發(fā)生環(huán)路。（1）最大跳數(shù)在傳遞標(biāo)簽綁定的消息中包含跳數(shù)信息，每經(jīng)過(guò)一跳該值就加一。當(dāng)該值超過(guò)規(guī)定的最大值時(shí)認(rèn)為出現(xiàn)環(huán)路，終止LSP的建立過(guò)程。（2）路徑向量在傳遞標(biāo)簽綁定的消息中記錄路徑信息，每經(jīng)過(guò)一跳，相應(yīng)的LSR就檢查自己的id是否在此記錄中。如果沒(méi)有，將自己的id添加到該記錄中；如果有，說(shuō)明出現(xiàn)了環(huán)路，終止LSP的建立過(guò)程。第57頁(yè)5.基于約束路由的LDPMPLS還支持基于約束路由的LDP機(jī)制（CR-LDP，Constrain-basedRoutingLDP）。所謂CR-LDP，就是入口節(jié)點(diǎn)在發(fā)起建立LSP時(shí)，在標(biāo)簽請(qǐng)求消息中對(duì)LSP路由附加了一定的約束信息。這些約束信息可以是對(duì)沿途LSR的精確指定，即逐一指定LSP上的LSR，此時(shí)叫嚴(yán)格的顯式路由；也可以是對(duì)選擇下游LSR的模糊限制，即只指定LSP上的個(gè)別LSR，此時(shí)叫松散的顯式路由。第58頁(yè)主要內(nèi)容9.1IP交換9.2MPLS9.3IP安全9.4VPN9.5本章小結(jié)第59頁(yè)9.3IP安全I(xiàn)P分組本身并不繼承任何安全特性。很容易便可偽造出IP包的地址、修改其內(nèi)容、重播以前的包，在傳輸途中攔截并查看包的情況每時(shí)每刻都在發(fā)生。因此，我們收到的IP數(shù)據(jù)報(bào)會(huì)有很多安全隱患。諸如IP分組是否來(lái)自IP頭內(nèi)的源地址，來(lái)自真實(shí)的發(fā)送方；IP分組中是否還是發(fā)送方當(dāng)初放在其中的原始數(shù)據(jù)；原始數(shù)據(jù)在傳輸中途是否被其它人看查閱。第60頁(yè)LOREMIPSUMDOLOR針對(duì)這些問(wèn)題，IPSec可有效地保護(hù)IP數(shù)據(jù)報(bào)的安全。它采取的具體保護(hù)形式有，數(shù)據(jù)起源地驗(yàn)證；無(wú)連接數(shù)據(jù)的完整性驗(yàn)證；數(shù)據(jù)內(nèi)容的機(jī)密性；抗重播保護(hù)；以及有限的數(shù)據(jù)流機(jī)密性保證。第61頁(yè)9.3.1IPSecIPSec（IPSecurity）是IETF制定的三層隧道加密協(xié)議，它為Internet上傳輸?shù)臄?shù)據(jù)提供了高質(zhì)量的、可互操作的、基于密碼學(xué)的安全保證。特定的通信方之間在IP層通過(guò)加密與數(shù)據(jù)源認(rèn)證等方式，提供了以下的安全服務(wù)：數(shù)據(jù)機(jī)密性（Confidentiality），數(shù)據(jù)完整性（DataIntegrity），數(shù)據(jù)來(lái)源認(rèn)證（DataAuthentication），防重放（Anti-Replay）。第62頁(yè)IPSec兩種實(shí)現(xiàn)協(xié)議

AHIPSec通過(guò)AH認(rèn)證頭協(xié)議和ESP認(rèn)證頭協(xié)議兩種協(xié)議實(shí)現(xiàn)安全服務(wù)。AH（AuthenticationHeader）是認(rèn)證頭協(xié)議，協(xié)議號(hào)為51。主要提供的功能有數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性校驗(yàn)和防報(bào)文重放功能，可選擇的認(rèn)證算法有MD5（MessageDigest）、SHA-1（SecureHashAlgorithm）等。AH報(bào)文頭插在標(biāo)準(zhǔn)IP包頭后面，保證數(shù)據(jù)包的完整性和真實(shí)性，防止黑客截獲數(shù)據(jù)包或向網(wǎng)絡(luò)中插入偽造的數(shù)據(jù)包。第63頁(yè)ESPESP（EncapsulatingSecurityPayload）認(rèn)證頭協(xié)議，協(xié)議號(hào)為50。與AH協(xié)議不同的是，ESP將需要保護(hù)的用戶數(shù)據(jù)進(jìn)行加密后再封裝到IP包中，以保證數(shù)據(jù)的機(jī)密性。常見(jiàn)的加密算法有DES、3DES、AES等。同時(shí)，作為可選項(xiàng)，用戶可以選擇MD5、SHA-1算法保證報(bào)文的完整性和真實(shí)性。AH和ESP可以單獨(dú)使用，也可以聯(lián)合使用。設(shè)備支持的AH和ESP聯(lián)合使用的方式為：先對(duì)報(bào)文進(jìn)行ESP封裝，再對(duì)報(bào)文進(jìn)行AH封裝，封裝之后的報(bào)文從內(nèi)到外依次是原始IP報(bào)文、ESP頭、AH頭和外部IP頭。第64頁(yè)2.安全聯(lián)盟（SecurityAssociation，SA）IPSec在兩個(gè)端點(diǎn)之間提供安全通信，端點(diǎn)被稱為IPSec對(duì)等體。SA是IPSec的基礎(chǔ)，也是IPSec的本質(zhì)。SA是通信對(duì)等體間對(duì)某些要素的約定，例如，使用哪種協(xié)議（AH、ESP還是兩者結(jié)合使用）、協(xié)議的封裝模式（傳輸模式和隧道模式）、加密算法（DES、3DES和AES）、特定流中保護(hù)數(shù)據(jù)的共享密鑰以及密鑰的生存周期等。SA是單向的，在兩個(gè)對(duì)等體之間的雙向通信，最少需要兩個(gè)SA來(lái)分別對(duì)兩個(gè)方向的數(shù)據(jù)流進(jìn)行安全保護(hù)。同時(shí)，如果兩個(gè)對(duì)等體希望同時(shí)使用AH和ESP來(lái)進(jìn)行安全通信，則每個(gè)對(duì)等體都會(huì)針對(duì)每一種協(xié)議來(lái)構(gòu)建一個(gè)獨(dú)立的SA。第65頁(yè)LOREMIPSUMDOLORSA由一個(gè)三元組來(lái)唯一標(biāo)識(shí)，這個(gè)三元組包括SPI（SecurityParameterIndex，安全參數(shù)索引）、目的IP地址、安全協(xié)議號(hào)（AH或ESP）。SPI是為唯一標(biāo)識(shí)SA而生成的一個(gè)32比特的數(shù)值，它在AH和ESP頭中傳輸。在手工配置安全聯(lián)盟時(shí)，需要手工指定SPI的取值。使用IKE協(xié)商產(chǎn)生安全聯(lián)盟時(shí)，SPI將隨機(jī)生成。第66頁(yè)3.IPSec兩種封裝模式隧道（tunnel）模式：用戶的整個(gè)IP數(shù)據(jù)包被用來(lái)計(jì)算AH或ESP頭，AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被封裝在一個(gè)新的IP數(shù)據(jù)包中。通常，隧道模式應(yīng)用在兩個(gè)安全網(wǎng)關(guān)之間的通訊。傳輸（transport）模式：只是傳輸層數(shù)據(jù)被用來(lái)計(jì)算AH或ESP頭，AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被放置在原IP包頭后面。通常，傳輸模式應(yīng)用在兩臺(tái)主機(jī)之間的通訊，或一臺(tái)主機(jī)和一個(gè)安全網(wǎng)關(guān)之間的通訊。圖9-6安全協(xié)議數(shù)據(jù)封裝格式第67頁(yè)第68頁(yè)4.認(rèn)證算法與加密算法認(rèn)證算法的實(shí)現(xiàn)主要是通過(guò)雜湊函數(shù)。雜湊函數(shù)是一種能夠接受任意長(zhǎng)的消息輸入，并產(chǎn)生固定長(zhǎng)度輸出的算法，該輸出稱為消息摘要。IPSec對(duì)等體計(jì)算摘要，如果兩個(gè)摘要是相同的，則表示報(bào)文是完整未經(jīng)篡改的。IPSec使用兩種認(rèn)證算法，MD5。SHA-1加密算法實(shí)現(xiàn)主要通過(guò)對(duì)稱密鑰系統(tǒng)，它使用相同的密鑰對(duì)數(shù)據(jù)進(jìn)行加密和解密。目前設(shè)備的IPSec實(shí)現(xiàn)三種加密算法：這三個(gè)加密算法的安全性由高到低依次是：AES、3DES、DES。第69頁(yè)5.協(xié)商方式IPsec有兩種協(xié)商方式建立SA。手工方式（manual）配置比較復(fù)雜，創(chuàng)建SA所需的全部信息都必須手工配置，而且不支持一些高級(jí)特性（例如定時(shí)更新密鑰），但優(yōu)點(diǎn)是可以不依賴IKE而單獨(dú)實(shí)現(xiàn)IPSec功能。IKE自動(dòng)協(xié)商（isakmp）方式相對(duì)比較簡(jiǎn)單，只需要配置好IKE協(xié)商安全策略的信息，由IKE自動(dòng)協(xié)商來(lái)創(chuàng)建和維護(hù)SA。第70頁(yè)LOREMIPSUMDOLOR當(dāng)與之進(jìn)行通信的對(duì)等體設(shè)備數(shù)量較少時(shí)，或是在小型靜態(tài)環(huán)境中，手工配置SA是可行的。對(duì)于中、大型的動(dòng)態(tài)網(wǎng)絡(luò)環(huán)境中，推薦使用IKE協(xié)商建立SA。第71頁(yè)6.IPSec的NAT穿越IPSec的一個(gè)主要應(yīng)用是建立VPN，但在實(shí)際組網(wǎng)應(yīng)用中，有一種情況會(huì)對(duì)部署IPSecVPN網(wǎng)絡(luò)造成障礙：如果發(fā)起者位于一個(gè)私網(wǎng)內(nèi)部，而它希望在自己與遠(yuǎn)端響應(yīng)者之間直接建立一條IPSec隧道；這就涉及到IPSec與NAT的配合，主要問(wèn)題在于，IKE在協(xié)商過(guò)程中如何發(fā)現(xiàn)兩個(gè)端點(diǎn)之間存在NAT網(wǎng)關(guān)，以及如何使ESP報(bào)文正常穿越NAT網(wǎng)關(guān)。第72頁(yè)LOREMIPSUMDOLOR首先，建立IPSec隧道的兩端需要進(jìn)行NAT穿越能力協(xié)商，這是在IKE協(xié)商的前兩個(gè)消息中進(jìn)行的，通過(guò)VendorID載荷指明的一組數(shù)據(jù)來(lái)標(biāo)識(shí)，該載荷數(shù)據(jù)的定義隨所采用草案（draft）版本的不同而不同。而NAT網(wǎng)關(guān)發(fā)現(xiàn)是通過(guò)NAT-D載荷來(lái)實(shí)現(xiàn)的，該載荷用于兩個(gè)目的：在IKEPeer之間發(fā)現(xiàn)NAT的存在；確定NAT設(shè)備在Peer的哪一側(cè)。NAT側(cè)的Peer作為發(fā)起者，需要定期發(fā)送NAT-Keepalive報(bào)文，以使NAT網(wǎng)關(guān)確保安全隧道處于激活狀態(tài)。第73頁(yè)LOREMIPSUMDOLORIPSec穿越NAT，簡(jiǎn)單來(lái)說(shuō)就是在原報(bào)文的IP頭和ESP頭（不考慮AH方式）間增加一個(gè)標(biāo)準(zhǔn)的UDP報(bào)頭。這樣，當(dāng)ESP報(bào)文穿越NAT網(wǎng)關(guān)時(shí)，NAT對(duì)該報(bào)文的外層IP頭和增加的UDP報(bào)頭進(jìn)行地址和端口號(hào)轉(zhuǎn)換；轉(zhuǎn)換后的報(bào)文到達(dá)IPSec隧道對(duì)端時(shí)，與普通IPSec處理方式相同，但在發(fā)送響應(yīng)報(bào)文時(shí)也要在IP頭和ESP頭之間增加一個(gè)UDP報(bào)頭。第74頁(yè)9.3.2IKEIPSec的安全聯(lián)盟可以通過(guò)手工配置的方式建立，但是當(dāng)網(wǎng)絡(luò)中節(jié)點(diǎn)增多時(shí)，手工配置將非常困難，而且難以保證安全性。這時(shí)就要使用因特網(wǎng)密鑰交換協(xié)議IKE（InternetKeyExchange，）自動(dòng)地進(jìn)行安全聯(lián)盟的建立與密鑰的交換。，該協(xié)議建立在由ISAKMP（InternetSecurityAssociationandKeyManagementProtocol，互聯(lián)網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議）定義的框架上。第75頁(yè)LOREMIPSUMDOLORIKE為IPSec提供了自動(dòng)協(xié)商交換密鑰、建立安全聯(lián)盟。SA的服務(wù)，能夠簡(jiǎn)化IPSec的使用和管理，大大簡(jiǎn)化IPSec的配置和維護(hù)工作。IKE不是在網(wǎng)絡(luò)上直接傳輸密鑰，而是通過(guò)一系列數(shù)據(jù)的交換，最終計(jì)算出雙方共享的密鑰，并且即使第三者截獲了雙方用于計(jì)算密鑰的所有交換數(shù)據(jù)，也不足以計(jì)算出真正的密鑰。第76頁(yè)1.IKE的安全機(jī)制IKE具有一套自保護(hù)機(jī)制，可以在不安全的網(wǎng)絡(luò)上安全地認(rèn)證身份、分發(fā)密鑰、建立IPSecSA。第77頁(yè)2.IKE的交換過(guò)程IKE經(jīng)過(guò)兩個(gè)階段為IPSec進(jìn)行密鑰協(xié)商并建立安全聯(lián)盟。第一階段，通信各方彼此間建立了一個(gè)已通過(guò)身份驗(yàn)證和安全保護(hù)的通道，此階段的交換建立了一個(gè)ISAKMP安全聯(lián)盟，即ISAKMPSA（也可稱IKESA）。第二階段，用已經(jīng)建立的安全聯(lián)盟（IKESA）為IPSec協(xié)商安全服務(wù)，即為IPSec協(xié)商具體的安全聯(lián)盟，建立IPSecSA，IPSecSA用于最終的IP數(shù)據(jù)安全傳送。第78頁(yè)LOREMIPSUMDOLOR（TheInternetKeyExchange）中規(guī)定，IKE第一階段協(xié)商可以采用兩種模式：主模式（MainMode）和野蠻模式（AggressiveMode）。主模式被設(shè)計(jì)成將密鑰交換信息與身份、驗(yàn)證信息相分離。這種分離保護(hù)了身份信息；交換的身份信息受已生成的Diffie-Hellman共享密鑰的保護(hù)。但這增加了3條消息的開(kāi)銷。野蠻模式則允許同時(shí)傳送與SA、密鑰交換和驗(yàn)證相關(guān)的載荷。這些載荷組合到一條消息中減少了消息的往返次數(shù)，但是就無(wú)法提供身份保護(hù)了。第79頁(yè)LOREMIPSUMDOLOR雖然野蠻模式存在一些功能限制，但可以滿足某些特定的網(wǎng)絡(luò)環(huán)境需求。例如：遠(yuǎn)程訪問(wèn)時(shí)，如果響應(yīng)者（服務(wù)器端）無(wú)法預(yù)先知道發(fā)起者（終端用戶）的地址、或者發(fā)起者的地址總在變化，而雙方都希望采用預(yù)共享密鑰驗(yàn)證方法來(lái)創(chuàng)建IKESA，那么，不進(jìn)行身份保護(hù)的野蠻模式就是唯一可行的交換方法；另外，如果發(fā)起者已知響應(yīng)者的策略，或者對(duì)響應(yīng)者的策略有全面的了解，采用野蠻模式能夠更快地創(chuàng)建IKESA。圖9-7主模式交換過(guò)程第80頁(yè)第81頁(yè)IKE協(xié)商過(guò)程中三對(duì)消息如圖9-7所示，第一階段主模式的IKE協(xié)商過(guò)程中包含三對(duì)消息：第一對(duì)叫SA交換，是協(xié)商確認(rèn)有關(guān)安全策略的過(guò)程；第二對(duì)消息叫密鑰交換，交換Diffie-Hellman公共值和輔助數(shù)據(jù)（如：隨機(jī)數(shù)），密鑰材料在這個(gè)階段產(chǎn)生；最后一對(duì)消息是ID信息和認(rèn)證數(shù)據(jù)交換，進(jìn)行身份認(rèn)證和對(duì)整個(gè)SA交換進(jìn)行認(rèn)證。第82頁(yè)LOREMIPSUMDOLOR野蠻模式交換與主模式交換的主要差別在于，野蠻模式不提供身份保護(hù)，只交換3條消息。在對(duì)身份保護(hù)要求不高的場(chǎng)合，使用交換報(bào)文較少的野蠻模式可以提高協(xié)商的速度；在對(duì)身份保護(hù)要求較高的場(chǎng)合，則應(yīng)該使用主模式。第83頁(yè)3.IKE在IPSec中的作用因?yàn)橛辛薎KE，IPSec很多參數(shù)（如：密鑰）都可以自動(dòng)建立，降低了手工配置的復(fù)雜度。IKE協(xié)議中的DH交換過(guò)程，每次的計(jì)算和產(chǎn)生的結(jié)果都是不相關(guān)的。每次SA的建立都運(yùn)行DH交換過(guò)程，保證了每個(gè)SA所使用的密鑰互不相關(guān)。第84頁(yè)LOREMIPSUMDOLORIPSec使用IP報(bào)文頭中的序列號(hào)實(shí)現(xiàn)防重放。此序列號(hào)是一個(gè)32比特的值，此數(shù)溢出后，為實(shí)現(xiàn)防重放，SA需要重新建立，這個(gè)過(guò)程需要IKE協(xié)議的配合。對(duì)安全通信的各方身份的的認(rèn)證和管理，將影響到IPSec的部署。IPSec的大規(guī)模使用，必須有CA（CertificateAuthority，認(rèn)證中心）或其他集中管理身份數(shù)據(jù)的機(jī)構(gòu)的參與。IKE提供端與端之間動(dòng)態(tài)認(rèn)證。圖9-8IPSec與IKE的關(guān)系圖第85頁(yè)第86頁(yè)LOREMIPSUMDOLOR從圖9-8中我們可以看出IKE和IPSec的關(guān)系，IKE是UDP之上的一個(gè)應(yīng)用層協(xié)議，是IPSec的信令協(xié)議；IKE為IPSec協(xié)商建立SA，并把建立的參數(shù)及生成的密鑰交給IPSec；IPSec使用IKE建立的SA對(duì)IP報(bào)文加密或認(rèn)證處理。第87頁(yè)9.3.3GRE協(xié)議通用路由封裝GRE是對(duì)某些網(wǎng)絡(luò)層協(xié)議（如IP和IPX）的報(bào)文進(jìn)行封裝，使這些被封裝的報(bào)文能夠在另一網(wǎng)絡(luò)層協(xié)議（如IP）中傳輸。GRE可以作為VPN的第三層隧道協(xié)議，在協(xié)議層之間采用隧道（Tunnel）技術(shù)。Tunnel是一個(gè)虛擬的點(diǎn)對(duì)點(diǎn)的連接，可以看成僅支持點(diǎn)對(duì)點(diǎn)連接的虛擬接口，這個(gè)接口提供了一條通路，使封裝的數(shù)據(jù)報(bào)能夠在這個(gè)通路上傳輸，并在一個(gè)Tunnel的兩端分別對(duì)數(shù)據(jù)報(bào)進(jìn)行封裝及解封裝。第88頁(yè)1.GRE報(bào)文封裝及解封裝報(bào)文在Tunnel中傳輸包括加封裝與解封裝兩個(gè)過(guò)程，如圖9-9所示的網(wǎng)絡(luò)為例說(shuō)明這兩個(gè)過(guò)程。IPX網(wǎng)絡(luò)通過(guò)GRE隧道互連圖9-9第89頁(yè)第90頁(yè)LOREMIPSUMDOLOR加封裝過(guò)程：連接Novellgroup1的接口收到IPX數(shù)據(jù)報(bào)后，首先交由IPX協(xié)議處理。IPX協(xié)議檢查IPX報(bào)頭中的目的地址域來(lái)確定如何路由此包。如果發(fā)現(xiàn)報(bào)文的目的地址要經(jīng)過(guò)網(wǎng)號(hào)為1f的網(wǎng)絡(luò)（Tunnel的虛擬網(wǎng)號(hào)），則將此報(bào)文發(fā)給網(wǎng)號(hào)為1f的Tunnel接口。Tunnel接口收到此報(bào)文后進(jìn)行GRE封裝，封裝完成后交給IP模塊處理，在封裝IP報(bào)文頭后，根據(jù)報(bào)文目的地址及路由表交由相應(yīng)的網(wǎng)絡(luò)接口處理。第91頁(yè)LOREMIPSUMDOLOR解封裝過(guò)程：解封裝過(guò)程和加封裝過(guò)程相反。從Tunnel接口收到IP報(bào)文，檢查目的地址，當(dāng)發(fā)現(xiàn)目的地就是此路由器時(shí)，系統(tǒng)去掉此報(bào)文的IP報(bào)頭，交給GRE協(xié)議模塊處理；GRE協(xié)議模塊完成相應(yīng)的處理后，去掉GRE報(bào)頭，再交由IPX協(xié)議模塊處理，IPX協(xié)議模塊像對(duì)待一般數(shù)據(jù)報(bào)一樣對(duì)此數(shù)據(jù)報(bào)進(jìn)行處理。第92頁(yè)LOREMIPSUMDOLOR系統(tǒng)收到的需要封裝和路由的數(shù)據(jù)報(bào)稱為凈荷（Payload），凈荷首先被加上GRE封裝，成為GRE報(bào)文；再被封裝在IP報(bào)文中，這樣IP層就可以完全負(fù)責(zé)此報(bào)文的轉(zhuǎn)發(fā)（forward）。負(fù)責(zé)轉(zhuǎn)發(fā)的IP協(xié)議被稱為傳輸協(xié)議（DeliveryProtocol或者TransportProtocol）。一個(gè)封裝在IPTunnel中的IPX報(bào)文的格式如圖9-10所示。圖9-10Tunnel中傳輸報(bào)文的格式第93頁(yè)第94頁(yè)主要內(nèi)容9.1IP交換9.2MPLS9.3IP安全9.4VPN9.5本章小結(jié)第95頁(yè)9.4VPN

9.4.1VPN基礎(chǔ)虛擬專用網(wǎng)VPN是依靠Internet服務(wù)提供商ISP（InternetServiceProvider）和網(wǎng)絡(luò)服務(wù)提供商N(yùn)SP（NetworkServiceProvider），在公共網(wǎng)絡(luò)中建立的虛擬專用通信網(wǎng)絡(luò)。專用（Private）：對(duì)于VPN用戶，使用VPN與使用傳統(tǒng)專網(wǎng)沒(méi)有區(qū)別。一方面，VPN與底層承載網(wǎng)絡(luò)之間保持資源獨(dú)立，即，一般情況下，VPN資源不被網(wǎng)絡(luò)中其它VPN或非該VPN用戶所使用；另一方面，VPN提供足夠的安全保證，確保VPN內(nèi)部信息不受外部侵?jǐn)_。第96頁(yè)LOREMIPSUMDOLOR虛擬（Virtual）：VPN用戶內(nèi)部的通信是通過(guò)一個(gè)公共網(wǎng)絡(luò)進(jìn)行的，而這個(gè)公共網(wǎng)絡(luò)同時(shí)也被其他非VPN用戶使用。即，VPN用戶獲得的是一個(gè)邏輯意義上的專網(wǎng)。這個(gè)公共網(wǎng)絡(luò)稱為VPN骨干網(wǎng)（VPNBackbone）。VPN不是一種簡(jiǎn)單的高層業(yè)務(wù)。該業(yè)務(wù)建立用戶之間的網(wǎng)絡(luò)互聯(lián)，包括建立VPN內(nèi)部的網(wǎng)絡(luò)拓?fù)洹⑦M(jìn)行路由計(jì)算、維護(hù)成員的加入與退出等，因此，VPN技術(shù)比普通的點(diǎn)對(duì)點(diǎn)應(yīng)用復(fù)雜得多。第97頁(yè)9.4.2VPN分類VPN可以按照組網(wǎng)模型、業(yè)務(wù)用途、運(yùn)營(yíng)模式、實(shí)現(xiàn)層次不同的角度分為多種類型。第98頁(yè)9.4.3VPN原理

1.VPN隧道VPN的基本原理是利用隧道技術(shù)，把VPN報(bào)文封裝在隧道中，利用VPN骨干網(wǎng)建立專用數(shù)據(jù)傳輸通道，實(shí)現(xiàn)報(bào)文的透明傳輸。隧道技術(shù)使用一種協(xié)議封裝另外一種協(xié)議報(bào)文，而封裝協(xié)議本身也可以被其他封裝協(xié)議所封裝或承載。對(duì)用戶來(lái)說(shuō)，隧道是其PSTN/ISDN鏈路的邏輯延伸，在使用上與實(shí)際物理鏈路相同。第99頁(yè)2.隧道協(xié)議隧道通過(guò)隧道協(xié)議實(shí)現(xiàn)