毕业设计基于mpls技术的vpn网络实现.docx
《毕业设计基于mpls技术的vpn网络实现.docx》由会员分享,可在线阅读,更多相关《毕业设计基于mpls技术的vpn网络实现.docx(53页珍藏版)》请在冰豆网上搜索。
毕业设计基于mpls技术的vpn网络实现
第1章绪论
1.1概述
近年来,随着信息技术和网络经济的发展,企业日益扩张,对自身网络建设提出了更高的要求,主要变现在网络的灵活性、安全性、经济性和可扩展性方面。
在这种情况下VPN以独特的优势赢得企业的亲睐。
虚拟专用网技术在全世界已经迅速发展起来,2001年全球VPN市场将达到120亿美元。
在中国,近些年人们对虚拟专用网的定义开始了解,包括虚拟专用网的安全性、服务质量等方面,随着互联网和电子商务的快速发展,中国的虚拟专用网市场将逐渐热起来。
对国内的用户来说,VPN虚拟专用网最大的吸引力是价格。
据估算,如果企业放弃租用专线而采用虚拟专用网,其整个网络的成本可节约21%-45%,至于那些以拨号方式连网存取数据的公司,采用VPN则可以节约通讯成本50%-80%。
VPN技术广泛的应用于国家国防军队通信和远程指挥网络平台的搭建;应用于企业网Intranet、远程访问、企业外部网Extranet、企业内VPN网络的建设;应用于网络游戏领域中基于VPN网络游戏大型网络平台的实施;应用于电子商务领域中公司、分公司于顾客间应用平台的建设;同时随着教育领域资源共享的开放性程度逐渐扩大,VPN技术也更为广泛的应用于教育事业、校园网建设等网络的建设;甚至在未来的发展中也将更为广泛的应用于可提供更加安全的、速度更快的、易用性更好的连接平台的无线网络。
使用VPN可降低成本,通过公用网来建立VPN,就可以节省大量的通信费用,而不必投入大量的人力和物力去安装和维护广域网设备和远程访问设备;传输数据安全可靠,虚拟专用网产品均采用加密及身份验证等安全技术,保证连接用户的可靠性及传输数据的安全和保密性;连接方便灵活,用户如果想与合作伙伴联网,如果没有虚拟专用网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路,有了虚拟专用网之后,只需双方配置安全连接信息即可;完全控制,虚拟专用网使用户可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。
用户只利用ISP提供的网络资源,对于其它的安全设置、网络管理变化可由自己管理。
在企业内部也可以自己建立虚拟专用网。
虚拟专用网架构中采用了多种安全机制,如隧道技术、加解密技术、密钥管理技术、身份认证技术等,通过上述的各项网络安全技术,确保资料在公众网络中传输时不被窃取,或是即使被窃取了对方亦无法读取数据包内所传送的资料。
虚拟专用网虽然是一项刚刚兴起的综合性的网络新技术,但却已经显示了其强大的生命力。
然而虚拟专用网也不是万能的,在实际的应用中也存在着很多问题。
传统的虚拟专用网由于本身的技术缺陷,不可避免出现诸如网络配置繁重、维护困难、安全性不高、不能保证服务质量等问题。
对于虚拟专用网应用过程中逐渐暴露的问题,需要采取适当的策略手段,以改善或加速因特网上的路由分组的处理。
为了解决以上问题,工程任务组IETF提出了MPLS的概念。
MPLS是一个多协议标签交换协议,是一种在开放的通信网上利用标签引导数据高速、高效传输的新技术。
它的价值在于能够在一个无连接的网络中引入连接模式的特性,其主要优点是减少了网络复杂性,兼容现有各种主流网络技术,能降低50%网络成本,在提供IP业务时能确保服务质量和安全性。
此外,基于MPLS技术还能解决VPN扩展问题和成本维护问题。
1.2涉及到的关键技术
论文中主要涉及到的关键技术有MPLS技术和VPN技术。
MPLS技术是一种将ATM和IP相结合的技术,它基于标记交换的机制,在ATM层上直接承载IP业务。
MPLS首先根据某种特定的映射规则,在网络入口LER处将数据流分组头和固定长度的端标记对应起来;然后在数据流的分组头中插入标记信息。
在以后的网络转发过程里,LSR就只是根据数据流携带的标记进行交换或是转发。
MPLS技术中有主要有标记技术、MPLS封装技术、标记分发协议、标记交换路径。
VPN技术是依靠ISP和其他NSP(网络服务提供商)在公用网络中建立专用的数据网络。
VPN有别于传统的电信网络,它并不实际存在;或者说,在任意两个节点之间的连接并没有传统专网所说的端到端的物理连接,而是利用现有网络通过资源配置以及虚拟电路的建立来构成动态的虚拟网络。
VPN采用了多种技术如隧道技术、加密技术、QoS技术、用户认证技术、密钥技术等。
随着MPLS技术的发展和应用,基于MPLS的虚拟专用网(MPLSVPN)技术引起了人们的广泛关注,它利用MPLS骨干网络去建立VPN,只需要在网络服务提供商所提供的网络上建立一条虚拟的线路进行网络交流。
MPLSVPN不是依靠封装和加密技术,而是依靠转发表和数据包的标记来创建一个安全的VPN。
MPLSVPN具有安全性好、扩展性强、控制策略灵活、管理功能强、能够实现IP网中QoS与流量工程、具有业务融合能力和服务级别协议以及为用户节省费用等特点。
1.3国内外现状与应用前景
国内外现状
MPLSVPN业务近几年引起了全球运营业的普遍关注。
国外大的运营商如AT&T、Sprint、Verizon、BellSouth、NTT都已经开始应用MPLS网络。
我国运营商中最早推出MPLSVPN业务的是中国网通,推出时间为2002年6月。
随着市场前景的日益看好,中国电信、中国铁通也开始提供这项服务。
此外,一些跨国运营商也开始关注中国市场,围绕MPLSVPN业务的竞争正在中国市场上逐渐升温。
(1)中国网通2002年,网通成为中国首个在全国范围内提供全程全网、端到端的宽带MPLSVPN业务的电信运营商。
据网通称,MPLSVPN如今是中国网通所有国际产品中增长最快的业务,目前的业务量月均增长率在25%左右,年增长率高达300%。
中国网通公司通过MPLSVPN技术已经为大量的商业用户提供了端到端的高质量、安全可靠的网络平台和服务,用户中不乏国际知名企业、运营商以及金融业客户;并且实现了FR/ATMoverMPLS电路业务以及拨号上网业务。
(2)2002年,中国电信在中国大陆建立其高密度的IP/MPLS网络。
该网络在同一物理网络上支持对传统业务和IP/MPLS新业务,并可快速提供用户业务。
比如对等接入、IPVPN、城域以太网,通过二层VPN的方式承载FR、ATM、DDN业务的等。
中国电信美国公司则将向在中国有业务的美国公司提供MPLSVPN、通达中国内地各处的专线业务和到CHINANET的直接IP接入等业务。
(3)MPLSVPN技术主要用于跨国企业用户和行业用户在国内外的分支机构。
在不能独立建网的中小企业应用也很广泛。
MPLSVPN技术为用户提供了质量和安全保证,同时大大节省了成本,特别是通过MPLSVPN为企业用户提供语音、数据甚至视频业务在内的统一通信平台。
目前,VPN已经出现向银行、保险、运输、大型制造和连锁企业迅速扩算的趋势。
(4)2003年,MPLS技术得到更为广泛的应用。
印度的最大的INTERNER网络和电子商务提供商Sify,建成了印度最大的MPLS网络,提供安全VPN业务并作为连接到美国的INTERNET网关。
日本的NTTCommunications建成了其全国范围、宽带多业务MPLS网络,并在这一个平台上提供IP、Ethernet、FR和ATM业务。
此外,NTTCommunications还将面向全球提供其MPLSVPN与IPSecVPN互为备份的VPN业务,使得用户的专网可以覆盖到全球的124个国家或地区,并可在网络受到攻击时,通过在MPLSVPN和IPSec之间的切换,保证用户VPN业务的传输。
(5)Sprint2004年初,美国全国性运营商Sprint推出针对企业用户的MPLSVPN业务。
至此,Sprint已经拥有了数据网互联方面所有的服务产品,包括旧有的传统专用线、帧中继、ATM、IP接入等等。
在接下来的两年里,Sprint希望在自己的专有IP网和全球IP平台上都采用MPLSVPN技术,并且集成以前的Internet接入和远程接入服务。
应用前景
在国内,因特网已成为全社会的信息基础设施,企业端应用也大都基于IP,在因特网上构筑应用系统已成为必然趋势,因此基于IP的VPN业务获得了极大的增长空间。
在向以IPV6为核心技术的下一代互联网过渡和发展中,MPLSVPN将是IPv4网络向IPv6网络过渡的重要手段和方式,原因是MPLSVPN采用的MPLS技术在IPv4和IPv6网络均能使用。
因此,即使完全过渡到IPv6网络,MPLSVPN技术仍然能使用,并且发展空间更广,因为可充分利用IPv6的安全特性和QOS特性改善和加强MPLSVPN,使用户对它更有兴趣和信心。
MPLSVPN非常适合对QoS、CoS(服务级别)、网络带宽、可靠性等要求高的VPN业务,适合于远程互联的大中型企业专用网络。
MPLSVPN不仅满足VPN用户对安全性的要求,还减少了网络运营商和用户方的工作量。
MPLSVPN便于实现三网合一,即在同一网络平台上实现基于IP的数据、语音和视频的远程通信,代表了VPN的发展方向。
随着因特网于MPLS的虚拟专用网技术引起了人们的广泛关注,它势必成为未来网络安全研究和因特网应用的一个重要方向。
基于MPLS的VPN能够利用公用骨干网络的广泛而强大的传输能力,降低企业内部网络和因特网的建设成本。
极大的提高用户网络运营和管理的灵活性,同时能够满足用户对信息传输安全性、实时性、宽频带、方便性的需求,所以受到一些大型跨地域集团用户的欢迎。
对于企业来说,MPLS-VPN能够利用公共骨干网强大的传输能力,降低企业内部网络的建设成本,极大的提高用户网络运营和管理的灵活性,同时能够满足用户对信息传输安全性、实时性、宽频带和方便性的需要。
与传统的VPN不同的是,基于MPLS的VPN是通过LSP(标记交换路径)将私有网络在地域上的不同分支连接起来,形成一个统一的网络,支持不同VPN间的互通。
MPLS-VPN技术适合用于具有一下明显特征的企业:
高效运作、商务活动频繁、数据通信量大、对网络依靠程度高、有较多分支机构,如网络公司、IT公司、金融业、贸易行业、新闻机构等。
随着网络的普及,特别是在电子商务的推动下,基于MPLS的IP虚拟专用网技术的研究必将有不可估量的市场前景。
虽然发展前景比较乐观,不过MPLSVPN技术要想有更大的发展,目前QoS问题还有待进一步提高,安全问题需加强,另外需要进一步提高标准化程度,解决多厂家设备的互通性问题。
相信经过MPLSVPN技术的不断完善和发展,未来必将和IP网络达到完美结合,为用户提供更加满意的服务和更加丰富的业务,成为VPN技术的主流。
第2章VPN技术原理
2.1VPN的历史
VPN服务是很早就提出的概念,不过以前电信提供商提供VPN是在传输网上提供的覆盖型的VPN服务。
电信运营商给用户出租线路,用户上层使用何种的路由协议、路由怎么走等等,这些电信运营商不管。
这种租用线路来搭建VPN的好处是安全,但是价格昂贵,线路资源浪费严重。
后来随着IP网络的全面铺开,电信服务提供商在竞争的压力下,不得不提供更加廉价的VPN服务,也就是三层VPN服务。
通过提供给用户一个IP平台,用户通过IPOverIP的封装格式在公网上打隧道,同时也提供了加密等等的手段提供安全保障。
这类VPN用户在目前的网络上数量还是相当巨大的!
但是这类VPN服务因大量的加密工作、传统路由器根据IP包头的目的地址转发效率不高等等的原因不是非常令人满意。
MPLS技术的出现和BGP协议的改进,让大家看到了另一种实现VPN的曙光。
2.2VPN原理
虚拟专用网(VPN)指的是依靠ISP和其他NSP(网络服务提供商)在公用网络中建立专用的数据网络。
VPN可以通过特殊加密的通讯协议连接到Internet上,在位于不同地方的两个或多个企业内部网之间建立一条专有得通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。
VPN技术是广域网建设的最佳解决方案,它不仅会大大节省广域网的建设和运行维护费用。
而且拥有成本低、便于管理、开销小、灵活度高、保密性好等优点。
为了实现虚拟连接线路,VPN网络采用了“隧道”技术。
“隧道”技术就是模仿点对点连接,他依靠Internet服务提供商和其他的网络服务提供商在公共网中建立自己专用的“隧道”,让数据包在这条隧道上传输。
2.3VPN基本要求
VPN(虚拟专用网)是指在公共网络平台上构筑的、不受地域限制,而受企业统一策略控制和管理的企业网络。
VPN与普通的Internet不同,它采用公共数据网作为基础平台,与其他用户共享网络资源,而不是独占资源;它由企业采用统一策略进行网络管理,而不仅仅由网络服务商进行管理。
从网络的结构来看,VPN所赖以运行的公共数据网平台可以包括各种实际的网络,如:
IP网、FR网、ATM网和Internet网,可以由多个服务商提供服务。
从用户的接入方式来看,VPN可以包括服务商所提供的所有接入方式,如:
专线接入、拨号接入和无线接入等。
VPN的基本要求主要有安全性、性能、管理问题、互操作。
这四个基本要求是VPN的整体性能评价的标准。
(1)安全性。
VPN提供用户一种私人专用的感觉,因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。
VPN的安全性可通过隧道技术、加密和认证技术得到解决。
在InternetVPN中,要有高强度的加密技术来保护敏感信息;在远程访问VPN中要有对远程用户可靠的认证机制。
(2)性能。
VPN要发展,其性能至少要高于传统方法。
尽管网络速度不断提高,但在因特网时代,随着电子商务活动的激增,网络经常会发生拥塞,这给VPN性能的稳定带来极大的影响。
因此,VPN解决方案应能够让管理员进行通信控制来确保其性能。
通过VPN平台,管理员定义管理策略来激活基于重要性的入口带宽分配。
这样不仅能确保对数据丢失有严格要求和高优先级应用的性能,而且不会“饿死”低优先级的应用。
(3)管理问题。
由于网络设施、应用不断增加,网络用户所需的IP地址数量持续增长,对越来越复杂的网络进行管理,网络安全处理能力的大小是VPN解决方案好坏至关紧要的区分。
所以,VPN要有一个固定的管理方案来减轻管理、报告等方面的负担。
管理平台要有一个定义安全策略的简单方法,将安全策略进行分布,并管理大量设备。
(4)互操作。
在InternetVPN中,企业要与不同的客户及合作伙伴建立联系,VPN解决方案一而不同。
所以,企业的VPN产品应该能够同其他厂家的产品进行互操作。
这要求所选择的VPN方案应该是基于工业标准和协议的。
这些协议有Internet安全协议、点到点隧道协议、第二层隧道协议等。
2.4实现VPN的关键技术
(1)隧道技术。
VPN区别于一般网络互联的关键是隧道的建立,然后数据经过加密,按隧道协议进行封装、传输以保证安全性。
现有两种类型的隧道协议,一种是二层隧道协议,用于传输第二层网络协议,它主要应用于构建远程访问VPN;另一种是三层隧道协议,用于传输第三层网络协议,它主要应用于构建InternetVPN和ExtranetVPN。
(2)加密技术。
数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非授权者不能了解被保护信息的内容。
加密算法有IPSec的DES和三次DES。
RC4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;DES和三次DES的强度比较高,可以用来保护敏感的商业信息。
加密技术可以再协议栈的任意层进行,可以对数据或报文头进行加密。
在网络中的加密标准是IPSec。
网络层加密实现的最安全的方法是在主机的端到端进行。
另一个选择是“隧道模式”:
加密只在路由器中进行,而终端与第一跳路由之间不加密。
这种办法不太安全,因为数据到终端系统到第一跳路由时可能被截取而危及到数据安全。
终端到终端的加密方案中,VPN安全粒度达到个人终端系统的标准;而“隧道模式”方案,VPN安全粒度只达到子网标准。
在链路层中,目前还没有统一的加密标准,因此,所有链路层加密方案基本上是生产产家自己设计的,需要特别的加密硬件。
(3)QoS技术。
通过加密技术和隧道技术已经能够建立起一个具有安全性、互操作性的VPN。
但是该VPN性能上不稳定,管理上不能满足业务的要求,这就要加入QoS技术。
实现QoS技术应该在主机网络中,即VPN建立的隧道这一段,这样才能建立一条性能符合用户要求的隧道。
QoS机制具有通信处理机制以及供应和配置机制。
网络资源是有限的,有时用户要求的网络资源得不到满足,管理员基于一定的策略进行QoS机制配置,通过QoS机制对用户的网络资源分配进行控制以满足应用的要求,这些QoS机制相互作用使网络资源得到最大化的利用,同时又向用户提供了一个性能良好的网络服务。
(4)用户认证技术。
VPN需首要解决的问题就是网络上的用户与设备身份的认证,目前常用的方法是依赖于数字证书签发中心CA所签发的符合X.509规范的标准数字证书。
在正式的隧道连接之前需要确认彼此的身份,这就需要通信双方提供彼此的数字证书,只有证书比对结果吻合才能进一步实施资源访问,否则不然。
(5)密钥管理技术。
密钥,即密匙,一般范指生产、生活所应用到的各种加密技术,能够对各人资料、企业机密进行有效的监管,密钥管理就是指对密钥进行管理的行为,如加密、解密、破解等等。
密钥管理包括,从密钥的产生到密钥的销毁的各个方面。
主要表现于管理体制、管理协议和密钥的产生、分配、更换和注入等。
对于军用计算机网络系统,由于用户机动性强,隶属关系和协同作战指挥等方式复杂,因此,对密钥管理提出了更高的要求。
其主要任务是在公共网上安全传输密钥而不被盗取。
除了这5种主要技术以外,VPN技术中还具有备份技术、流量控制技术、包过滤技术、网址地址转换技术、抗打击能力、网络监控和管理技术等。
第3章MPLS技术原理
3.1MPLS提出的意义
传统的IP数据转发是基于逐跳式的,每个转发数据的路由器都要根据IP包头的目的地址查找路由表来获得下一跳的出口,这是个繁琐又效率低下的工作,主要的原因是两个:
(1)有些路由的查询必须对路由表进行多次查找,这就是所谓的递归搜索;
(2)由于路由匹配遵循最长匹配原则,所以迫使几乎所有的路由器的交换引擎必须用软件来实现,用软件实现的交换引擎和ATM交换机上用硬件来实现的交换引擎在效率上无法相抗衡。
当今的互联网应用需求日益增多,对带宽、对时延的要求也越来越高。
如何提高转发效率,各个路由器生产厂家做了大量的改进工作,如Cisco在路由器上提供CEF(CiscoExpressForwarding)功能、修改路由表搜索算法等等。
但这些修补并不能完全解决目前互联网所面临的问题。
IP和ATM曾经是两个互相对立的技术,各个IP设备制造商和ATM设备制造商都曾努力想吃掉对方,想IP一统天下,或者ATM一家独秀!
但是最终是这两种技术的融合,那就是MPLS(Multi-ProtocolLabelSwitching)技术的诞生!
MPLS技术结合和IP技术信令简单和ATM交换引擎高效的优点!
MPLS(Multi-ProtocolLabelSwitching)即多标志交换。
MPLS属于第三代网络架构,是新一代的IP高速骨干网络交换标准,由IETF(InternetEngineeringTaskForce,因特网工程任务组)所提出,由Cisco、ASCEND、3Com等网络设备大厂所主导。
MPLS是集成式的IPOverATM技术,即在FrameRelay及ATMSwitch上结合路由功能,数据包通过虚拟电路来传送,只须在OSI第二层(数据链路层)执行硬件式交换(取代第三层即网络层的软件式routing),它整合了IP选径和第二层标志交换为单一的系统,因此可以解决Internet路由的问题,是传送数据包的延迟时间缩短,增加网络传输的速度,更适合多媒体讯息的传送。
因此,MPLS最大技术特色是可以指定数据包传送的先后顺序。
MPLS使用标志交换(LabelSwitching),网络路由只需判别标志后即可进行转送处理。
MPLS运作的原理是提供每个IP数据包一个标志,并由此决定数据包的路径以及优先级。
与MPLS兼容的路由器(Router),在将数据包转送到其路径前,仅读取数据包标志,无须读取数据包的IP地址以及标头,然后将所传送的数据包置于FrameRelay及ATM的虚拟电路上,并迅速将数据包传送至终点的路由器,进而减少数据包的延迟,同时由FrameRelay及ATM交换器所提供的QoS(QualityofService)对所传送的数据包加以分级,因而网络速度会更快,大幅度提升网络服务品质提供更多样化的服务。
3.2MPLS的标签结构
MPLS即是多标志交换协议。
标签是LSR用于转发网络层数据报的定长头,它的格式依赖于OSI体系结构的链路层网络的类型。
在ATM中FR作为链路层时,IETF建议直接采用VPI/VCI或DLCI作为标记。
如Ethernet,PPP等一些没有内部标记结构的链路层就在二、三层间加上规定格式的32b定长标记,具体如图3.1所示。
图3.1MPLS标签结构图
020232431
标签
EXP
TTL
S
32b
二层头部
IP头部
MPLS头部
数据
其中:
Label长度为20b,标签值字段,它用于转发的地址。
Exp长度为3b,此段保留,没有明确规定,通常用于服务业务等级(ClassofService,CoS)。
S长度为1b,此段是堆栈标识符,用于标识MPLS标签是否为最底层的标签(值为1表示是)。
TTL长度为8b,此段表示生存周期,用于避免路由环路,每经过一个路由器,TTL的值减1(值为0即表示无论该数据包是否传送到目的地,网络都将其丢弃)。
标签可以包含一个或多个标记条目。
所有条目都由上述的4个字段组成,多个标记条目的有序集合就构成了标记栈。
在MPLSVPN网络中,为了加快转发速度,使用两级MPLS标签。
第1级标签与到达一个出口PE路由器的路由关联。
第2级标签控制分组在出口PE路由器上的转发。
3.3MPLS网络工作原理
MPLS的出现是源于早期的IP交换,其目的是将各种IP路由和ATM交换技术兼容并蓄,以提供一种更具有弹性、扩充性以及效率更高的宽带交换路由。
与标记交换(TagSwitching)、ATM交换技术等技术类似,MPLS引入了标记(Label)的概念,在MPLS网中数据的传输靠标记引导。
MPLS主要的作用是在无连接的IP协议平台基础上,建立面向连接的传输,能够为扩展性、VPN、QoS以及与ATM的互操作提供解决方案[1]。
如图3.2所示为MPLS网络工作原理示意图,从图中可见,一个MPLS网络的核心结构组成为:
标记边缘交换路由器(LabelEdgeSwitchRouter,LER)、标记交换路由器(LSR)。
通过标记分发协议LDP,LER和LSR、LSR和LSR之间完成标记信息的分发。
网络路由信息来自一些共同的路由协议,如开放式最短路径优先(OpenShortestPathFirst,OSPF)、边界网关协议(BoundaryGatewayProtocol,BGP),根据路由信息决定如何完成交换路径LSP的建立。
图3.2MPLS网络原理示意图
LSR
In
Out
3
6
LSR
3
分组
入口
LSR
LDP
3
Out
In
…
6
In
Out
6
8
IP路由处理
LDP
LDP
8
分组
出口
LER
In
8
Out
…
当一个未被标记的分组(IP包、帧中继或ATM信元)到达MPLS标记边缘路由器(LER)时,入口LER根据输入分组头查找路由表以确定通向目的地的标记交换路径LSP,把查找到的对应LSP的标记插入到分组头中,完成端到端IP地