程控交换与宽带交换第十章MPLS技术在VPN上的应用

第十章MPLS技术在VPN上的应用10.1VPN的概念和结构10.2实现VPN的传统技术10.3利用MPLS技术实现VPN10.1VPN的概念和结构10.1.1VPN的概念一、什么是VPN虚拟专用网（VirtualPrivateNetwork，VPN）指的是依靠ISP和其他NSP（网络服务提供商）在公用网络中建立专用的数据网络。实际上，从虚拟专用网的“VPN”三个字母，就可以看出它的实质。（1）“V”表明VPN有别于传统的电信网络，它并不实际存在；或者说，在任意两个节点之间的连接并没有传统专网所说的端到端的物理连接，而是利用现有网络通过资源配置以及虚电路的建立来构成动态的虚拟网络。（2）“P”表明VPN将为特定的企业或用户群体所专用。（3）“N”表明VPN是一种网络，VPN业务需要建立在专网用户之间的网络互连上，通过VPN内部的网络拓扑建立、路由计算、成员的加入和退出等来完成相应的工作。二、VPN的应用方式根据用户使用的情况和应用环境的不同，目前VPN技术大致可分为三种典型的应用方式，即：企业内连网VPN、企业外连网VPN和接入VPN。10.1.2VPN结构VPN的服务目的就是在共享的基础网络上向用户提供网络连接，不仅如此，VPN连接应使得用户获得等同于专用网络的通信效果。一、VPN的拓扑结构VPN可以构建在很广泛的结构上，根据AccessVPN，IntranetVPN及ExtranetVPN的不同应用，VPN拓扑结构可以分为三种主要类型。（1）对于IntranetVPN，可以采用星型辐射结构、部分或全互连结构、混合结构。（2）对于ExtranetVPN，可以采用两两相连的企业外部网和集中服务式外部网络结构。（3）对于AccessVPN，通常采用拨号VPN（即VPDN）和专线VPN。二、FR和ATMVC构成的VPN结构虚电路（VC）是FR和ATM所具有的特征，基于虚电路（VC）的VPN可以通过公共的FR或ATM网来传送IP业务。服务提供商为远端用户提供的PVC和路由表由用户边缘设备（CE/CPE）来维护，这种实施方案的优点如下。（1）对已经具有FR或ATM基础设施的服务提供商来说，MRS（管理路由服务）业务可以为其提供既便宜又快捷的实现VPN业务的方法。（2）在提供直接的带宽分配机制方面具有优势，如FR承诺的信息速率（CommittedInformationRate，CIR）、ATM确保信元速率（SustainedCellRate，SCR）或ATM最小信元速率（MinimumCellRate，MCR）的带宽分配方法，可以保证端到端的带宽。（3）具有了VC拓扑结构提供的灵活性。（4）PVC提供了逻辑VPN的分离，因此，加密不是必需的。三、基于隧道技术的VPN结构1．IP隧道IPVPN将通过某种IP隧道来实现，VPN用户的数据也将通过各种IPVPN隧道来传输，如图10.2所示为基于IP隧道的VPN结构示意图。远端接入用户IPSecPC客户第三层加密通道(IPSec)具有IPSec功能的防火墙用户边缘设备CE公共IP网图10.2路由核心网上基于IP隧道的传统VPN结构图2．GRE隧道通用路由封装（GRE）协议是由Cisco和NetSmiths公司1994年提交给IETF的，标号为RFC1701和RFC1702。四、基于传统路由器的VPN实现方案在基于传统路由器实现VPN的方案中，服务提供商的边缘设备是一台路由器（PeripheryEquipment，PE），它直接与用户前端设备路由器（CustomerEquipment，CE）连接并交换路由信息，主要有共享路由器方式和专用路由器方式。五、基于MPLS的VPN实现方案基于MPLS的VPN具有许多优点，业务提供商可以使用MPLS设备建立一个全新类型的VPN。基于MPLS的VPN实现方案将在后面专门介绍。10.2实现VPN的传统技术10.2.1隧道技术隧道是指在IP网络中通过特定的封装方式将用户原有的IP分组重新封装，并使用新的封装形式在IP网络中传输，就像用信封识别数据包业务流一样，信封中的内容对网络而言是不可见的。VPN的实施必须通过使用一些隧道机制来实现。隧道机制的目的是要保证VPN中分组的封装方式及使用的地址与传输网络的封装方式及使用地址无关。实现VPN隧道机制的要求，主要有以下几个方面。1．VPN隧道多路复用技术在某些情况下，相同的两端点之间可能需要多个VPN隧道。因此用于IPVPN的隧道协议应当具有对隧道进行复用的能力，也就是说，不同用户的业务流要在相同物理节点的不同隧道上传输，需要一个多路复用部分来区分哪一个数据包属于哪一个隧道。2．VPN信令协议在隧道建立之前，端节点必须知道一些有关VPN的配置信息。一旦得到这些信息，隧道协议即可通过网管静态配置或通过信令协议动态配置的方式完成隧道的建立。3．VPN数据安全一个VPN隧道必须能够满足用户对于数据安全性的各种不同层次的需求，包括认证机制与数据加密机制。4．VPN多协议传输由于在VPN的应用中，VPN可以承载多协议的业务。5．VPN中的帧排序帧排序是VPN用户提出的一项服务质量属性。6．VPN隧道的维护隧道机制必须具备对隧道的检查与监控能力，也就是说，必须监视VPN隧道的连接是否正常以及故障发生后的恢复情况等。7．VPN中的最大MTU像常规链路层上传送的分组有最大传输单元（MTU）的限制一样，IP隧道也有可传送分组最大尺寸的限制。8．VPN隧道的最小开销任何隧道机制开销的最小化都是有意义的。9．VPN中的流量控制与拥塞控制为了提高VPN的性能，需要提供必要的流量和拥塞控制策略，在众多的网络流量和拥塞控制方案中，发送方与接收方之间有一定的协商机制，使发送方能够知道接收方的接收能力，并进而从发送端就对业务流进行整形，使接收者的方案成为比较理想的方案。10．VPNQoS与流量管理可以使用现有的各种QoS机制。例如，当使用MPLS来实现IPVPN时，可以直接利用MPLS中的流量工程与QoS机制。10.2.2基于IPSec的加密技术IPVPN隧道使用的加密技术是基于IPSec的。IPSec把IP分组安全性定义为两种类型的数据传输方式：认证首部（AuthenticationHeader，AH）和有效负载安全封装（EffectiveSafetyPackage，ESP）。AH可以采用传输模式和隧道模式两种模式。10.2.3密钥管理技术密钥交换（IKE）协议是IPSec解决方案的一个关键组件，它为IPSec的AH和ESP协议提供密钥管理和安全联盟管理。密钥是安全过程中的关键问题，不管密钥是在一个公用服务器上还是在不可靠的服务器的硬盘上，密钥都可能破环整个系统。10.2.4身份认证技术开发加密系统的最重要的挑战是认证通信方的身份。加密的主要目的是保证信息的机密性。数字认证技术（数字签名）提供了在大规模网络中方便地进行相互认证的能力。10.3利用MPLS技术实现VPN基于MPLS的IPVPN具有安全性好、扩展性强、控制策略灵活、管理功能强、能够实现IP网中的QoS与流量工程、具有业务融合能力和服务级别协议以及为用户节省费用等特点。10.3.1MPLSVPN结构同传统的VPN不同，MPLSVPN不是依靠封装和加密技术，而是依靠转发表和数据包的标记来创建一个安全的VPN，MPLSVPN的所有技术产生于InternetConnect网络。一、CE和PECE是用于将一个用户站点接入服务提供者网络的用户边缘路由器。CE既可以使用MPLS也可以不使用MPLS。一个VPN包括一组CE路由器以及同其相连的Internet网中的PE路由器。在MPLSVPN中，用户站点运行的是通常的IP协议。二、PE中的节点转发表每个PE维护一个或多个“虚节点转发表”。每个和PE相连的虚节点都和其中的一个转发表相关联。PE内的节点转发表仅用于那些来自与其直接相连节点的数据包。三、SP骨干网中的路由器服务提供商（SP）骨干网由PE路由器和其他的不与CE直接相连的P路由器组成。四、路由信息的分发在MPLSVPN体系结构中，关于VPN路由信息的传播需要解决两方面的问题：PE路由器之间如何交换有关部门VPN用户和VPN路由的信息；PE路由器如何转发来自用户VPN的分组。1．CE使用MPLS设备当CE使用MPLS设备时，BGP用来在CE和服务提供商（SP）网络之间分发IP可达信息和标记绑定信息。2．CE不使用MPLS设备当用户不使用MPLS设备时，用户LSR和SPLSR之间的可达信息交换可以通过静态配置路由或边界网关协议（BGP）分发。3．VPNID和可达信息的分发当SPLSR从用户节点知道VPNID和可达信息时，SPLSR需要找到其对等LSR，还需要找到在一个VPN中哪些LSR是为该VPN服务的，SPLSR将与其所属的VPN区域中的其他成员建立直接会话，并将所获得的信息通知属于该VPN的其他成员。五、BGP的使用（1）网络中VPN路由的数目可能非常大，BGP是惟一一种支持大量路由的路由协议。（2）只有BGP，EIGRP和IS-IS是专门用于多协议的路由协议（它们都可以为大量不同地址簇运载路由协议），而IS-IS和EIGRP不能扩展到BGP所支持的那么多的路由数量，并且BGP也是为在不直接相连的路由器之间交换信息而设计的，它使得SP的核心路由器中无需包含VPN路由信息。（3）BGP可以运载附加在路由器后面的任何信息，将其作为一个可选的BGP属性。10.3.2MPLS技术对IP扩展头问题的解决10.3.3MPLSVPN安全性一、利用BGP满足MPLS安全性需求边界网关协议（BGP）是一个路由信息分发协议，它使用多协议的扩展和共同的属性来判断谁和谁可以通信。二、利用IP地址解析满足MPLSVPN安全性要求MPLSIPVPN网络可以容易地和IP用户网络结合成一个整体。用户可以无缝地实现业务的连接，而不更改Intranet的应用。三、利用IPSec的MPLSVPN安全性对于大多数的业务，BGP，VPNID和IP地址的结合就可以提供足够的安全性。