基于mpls_技術(shù)的vpn網(wǎng)絡(luò)實(shí)現(xiàn)課程設(shè)計(jì)

1、<p><b>　　目 錄</b></p><p><b>　　1、前言2</b></p><p>　　2、VPN技術(shù)原理3</p><p>　　2.1 VPN原理3</p><p>　　2.2 VPN基本要求3</p><p>　　2.3 實(shí)現(xiàn)VPN的關(guān)鍵

2、技術(shù)4</p><p>　　3、 MPLS技術(shù)原理5</p><p>　　3.1 MPLS的標(biāo)簽結(jié)構(gòu)5</p><p>　　3.2 MPLS網(wǎng)絡(luò)工作原理5</p><p>　　4、 在MPLS上實(shí)現(xiàn)VPN6</p><p>　　4.1 MPLS/VPN中標(biāo)簽分組的轉(zhuǎn)發(fā)6</p><p&g

3、t;　　4.2 三層VPN---MPLS VPN7</p><p>　　5、MPLS VPN的應(yīng)用8</p><p>　　5.1 MPLS VPN的典型應(yīng)用方式8</p><p><b>　　6、結(jié) 論9</b></p><p><b>　　1、前言</b></p><

4、p>　　VPN技術(shù)廣泛的應(yīng)用于國家國防軍隊(duì)通信和遠(yuǎn)程指揮網(wǎng)絡(luò)平臺的搭建；應(yīng)用于企業(yè)網(wǎng)Intranet、遠(yuǎn)程訪問、企業(yè)外部網(wǎng)Extranet、企業(yè)內(nèi)VPN網(wǎng)絡(luò)的建設(shè)；應(yīng)用于網(wǎng)絡(luò)游戲領(lǐng)域中基于VPN網(wǎng)絡(luò)游戲大型網(wǎng)絡(luò)平臺的實(shí)施；應(yīng)用于電子商務(wù)領(lǐng)域中公司、分公司于顧客間應(yīng)用平臺的建設(shè)；同時(shí)隨著教育領(lǐng)域資源共享的開放性程度逐漸擴(kuò)大，VPN技術(shù)也更為廣泛的應(yīng)用于教育事業(yè)、校園網(wǎng)建設(shè)等網(wǎng)絡(luò)的建設(shè)；甚至在未來的發(fā)展中也將更為廣泛的應(yīng)用于可提供更加

5、安全的、速度更快的、易用性更好的連接平臺的無線網(wǎng)絡(luò)。</p><p>　　使用VPN可降低成本，通過公用網(wǎng)來建立VPN，就可以節(jié)省大量的通信費(fèi)用，而不必投入大量的人力和物力去安裝和維護(hù)廣域網(wǎng)設(shè)備和遠(yuǎn)程訪問設(shè)備；傳輸數(shù)據(jù)安全可靠，虛擬專用網(wǎng)產(chǎn)品均采用加密及身份驗(yàn)證等安全技術(shù)，保證連接用戶的可靠性及傳輸數(shù)據(jù)的安全和保密性；連接方便靈活，用戶如果想與合作伙伴聯(lián)網(wǎng)，如果沒有虛擬專用網(wǎng)，雙方的信息技術(shù)部門就必須協(xié)商如何在雙

6、方之間建立租用線路或幀中繼線路，有了虛擬專用網(wǎng)之后，只需雙方配置安全連接信息即可；完全控制，虛擬專用網(wǎng)使用戶可以利用ISP的設(shè)施和服務(wù)，同時(shí)又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。用戶只利用ISP提供的網(wǎng)絡(luò)資源，對于其它的安全設(shè)置、網(wǎng)絡(luò)管理變化可由自己管理。在企業(yè)內(nèi)部也可以自己建立虛擬專用網(wǎng)。</p><p>　　虛擬專用網(wǎng)架構(gòu)中采用了多種安全機(jī)制，如隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、身份認(rèn)證技術(shù)等，通過上述的各項(xiàng)網(wǎng)絡(luò)安

7、全技術(shù)，確保資料在公眾網(wǎng)絡(luò)中傳輸時(shí)不被竊取，或是即使被竊取了對方亦無法讀取數(shù)據(jù)包內(nèi)所傳送的資料。虛擬專用網(wǎng)雖然是一項(xiàng)剛剛興起的綜合性的網(wǎng)絡(luò)新技術(shù)，但卻已經(jīng)顯示了其強(qiáng)大的生命力。</p><p>　　隨著MPLS技術(shù)的發(fā)展和應(yīng)用，基于MPLS的虛擬專用網(wǎng)（MPLS VPN）技術(shù)引起了人們的廣泛關(guān)注，它利用MPLS骨干網(wǎng)絡(luò)去建立VPN，只需要在網(wǎng)絡(luò)服務(wù)提供商所提供的網(wǎng)絡(luò)上建立一條虛擬的線路進(jìn)行網(wǎng)絡(luò)交流。MPLS VP

8、N不是依靠封裝和加密技術(shù)，而是依靠轉(zhuǎn)發(fā)表和數(shù)據(jù)包的標(biāo)記來創(chuàng)建一個(gè)安全的VPN。MPLS VPN具有安全性好、擴(kuò)展性強(qiáng)、控制策略靈活、管理功能強(qiáng)、能夠?qū)崿F(xiàn)IP網(wǎng)中QoS與流量工程、具有業(yè)務(wù)融合能力和服務(wù)級別協(xié)議以及為用戶節(jié)省費(fèi)用等特點(diǎn)。</p><p><b>　　2、VPN技術(shù)原理</b></p><p><b>　　2.1 VPN原理</b>&

9、lt;/p><p>　　虛擬專用網(wǎng)（VPN）指的是依靠ISP和其他NSP（網(wǎng)絡(luò)服務(wù)提供商）在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)網(wǎng)絡(luò)。VPN可以通過特殊加密的通訊協(xié)議連接到Internet上，在位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有得通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。VPN技術(shù)是廣域網(wǎng)建設(shè)的最佳解決方案，它不僅會(huì)大大節(jié)省廣域網(wǎng)的建設(shè)和運(yùn)行維護(hù)費(fèi)用。而且擁有成本低、便于

10、管理、開銷小、靈活度高、保密性好等優(yōu)點(diǎn)。</p><p>　　為了實(shí)現(xiàn)虛擬連接線路，VPN網(wǎng)絡(luò)采用了“隧道”技術(shù)?！八淼馈奔夹g(shù)就是模仿點(diǎn)對點(diǎn)連接，他依靠Internet服務(wù)提供商和其他的網(wǎng)絡(luò)服務(wù)提供商在公共網(wǎng)中建立自己專用的“隧道”，讓數(shù)據(jù)包在這條隧道上傳輸。</p><p>　　2.2 VPN基本要求</p><p>　　VPN的基本要求主要有安全性、性能、管理問

11、題、互操作。這四個(gè)基本要求是VPN的整體性能評價(jià)的標(biāo)準(zhǔn)。</p><p>　?。?）安全性。VPN提供用戶一種私人專用的感覺，因此建立在不安全、不可信任的公共數(shù)據(jù)網(wǎng)的首要任務(wù)是解決安全性問題。VPN的安全性可通過隧道技術(shù)、加密和認(rèn)證技術(shù)得到解決。在Internet VPN中，要有高強(qiáng)度的加密技術(shù)來保護(hù)敏感信息；在遠(yuǎn)程訪問VPN中要有對遠(yuǎn)程用戶可靠的認(rèn)證機(jī)制。</p><p>　?。?）性能

12、。VPN要發(fā)展，其性能至少要高于傳統(tǒng)方法。盡管網(wǎng)絡(luò)速度不斷提高，但在因特網(wǎng)時(shí)代，隨著電子商務(wù)活動(dòng)的激增，網(wǎng)絡(luò)經(jīng)常會(huì)發(fā)生擁塞，這給VPN性能的穩(wěn)定帶來極大的影響。因此，VPN解決方案應(yīng)能夠讓管理員進(jìn)行通信控制來確保其性能。通過VPN平臺，管理員定義管理策略來激活基于重要性的入口帶寬分配。這樣不僅能確保對數(shù)據(jù)丟失有嚴(yán)格要求和高優(yōu)先級應(yīng)用的性能，而且不會(huì)“餓死”低優(yōu)先級的應(yīng)用。</p><p>　?。?）管理問題。由于

13、網(wǎng)絡(luò)設(shè)施、應(yīng)用不斷增加，網(wǎng)絡(luò)用戶所需的IP地址數(shù)量持續(xù)增長，對越來越復(fù)雜的網(wǎng)絡(luò)進(jìn)行管理，網(wǎng)絡(luò)安全處理能力的大小是VPN解決方案好壞至關(guān)緊要的區(qū)分。所以，VPN要有一個(gè)固定的管理方案來減輕管理、報(bào)告等方面的負(fù)擔(dān)。管理平臺要有一個(gè)定義安全策略的簡單方法，將安全策略進(jìn)行分布，并管理大量設(shè)備。</p><p>　?。?）互操作。在Internet VPN中，企業(yè)要與不同的客戶及合作伙伴建立聯(lián)系，VPN解決方案一而不同。所

14、以，企業(yè)的VPN產(chǎn)品應(yīng)該能夠同其他廠家的產(chǎn)品進(jìn)行互操作。這要求所選擇的VPN方案應(yīng)該是基于工業(yè)標(biāo)準(zhǔn)和協(xié)議的。這些協(xié)議有Internet安全協(xié)議、點(diǎn)到點(diǎn)隧道協(xié)議、第二層隧道協(xié)議等。</p><p>　　2.3 實(shí)現(xiàn)VPN的關(guān)鍵技術(shù)</p><p>　?。?）隧道技術(shù)。VPN區(qū)別于一般網(wǎng)絡(luò)互聯(lián)的關(guān)鍵是隧道的建立，然后數(shù)據(jù)經(jīng)過加密，按隧道協(xié)議進(jìn)行封裝、傳輸以保證安全性。</p>&

15、lt;p>　　現(xiàn)有兩種類型的隧道協(xié)議，一種是二層隧道協(xié)議，用于傳輸?shù)诙泳W(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建遠(yuǎn)程訪問VPN；另一種是三層隧道協(xié)議，用于傳輸?shù)谌龑泳W(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建Internet VPN和Extranet VPN。</p><p>　　（2）加密技術(shù)。數(shù)據(jù)加密的基本思想是通過變換信息的表示形式來偽裝需要保護(hù)的敏感信息，使非授權(quán)者不能了解被保護(hù)信息的內(nèi)容。加密算法有IPSec的DES和三次DES

16、。RC4雖然強(qiáng)度比較弱，但是保護(hù)免于非專業(yè)人士的攻擊已經(jīng)足夠了；DES和三次DES的強(qiáng)度比較高，可以用來保護(hù)敏感的商業(yè)信息。</p><p>　　（3）QoS技術(shù)。通過加密技術(shù)和隧道技術(shù)已經(jīng)能夠建立起一個(gè)具有安全性、互操作性的VPN。但是該VPN性能上不穩(wěn)定，管理上不能滿足業(yè)務(wù)的要求，這就要加入QoS技術(shù)。實(shí)現(xiàn)QoS技術(shù)應(yīng)該在主機(jī)網(wǎng)絡(luò)中，即VPN建立的隧道這一段，這樣才能建立一條性能符合用戶要求的隧道。</

17、p><p>　　（4）用戶認(rèn)證技術(shù)。VPN需首要解決的問題就是網(wǎng)絡(luò)上的用戶與設(shè)備身份的認(rèn)證，目前常用的方法是依賴于數(shù)字證書簽發(fā)中心CA所簽發(fā)的符合X.509規(guī)范的標(biāo)準(zhǔn)數(shù)字證書。在正式的隧道連接之前需要確認(rèn)彼此的身份，這就需要通信雙方提供彼此的數(shù)字證書，只有證書比對結(jié)果吻合才能進(jìn)一步實(shí)施資源訪問，否則不然。</p><p>　?。?）密鑰管理技術(shù)。密鑰，即密匙，一般范指生產(chǎn)、生活所應(yīng)用到的各種加

18、密技術(shù)，能夠?qū)Ω魅速Y料、企業(yè)機(jī)密進(jìn)行有效的監(jiān)管，密鑰管理就是指對密鑰進(jìn)行管理的行為，如加密、解密、破解等等。</p><p>　　3、 MPLS技術(shù)原理</p><p>　　3.1 MPLS的標(biāo)簽結(jié)構(gòu)</p><p>　　MPLS即是多標(biāo)志交換協(xié)議。標(biāo)簽是LSR用于轉(zhuǎn)發(fā)網(wǎng)絡(luò)層數(shù)據(jù)報(bào)的定長頭，它的格式依賴于OSI體系結(jié)構(gòu)的鏈路層網(wǎng)絡(luò)的類型。在ATM中FR作為鏈路層時(shí)，

19、IETF建議直接采用VPI/VCI或DLCI作為標(biāo)記。如Ethernet，PPP等一些沒有內(nèi)部標(biāo)記結(jié)構(gòu)的鏈路層就在二、三層間加上規(guī)定格式的32b定長標(biāo)記。其中：</p><p>　　Label長度為20b，標(biāo)簽值字段，它用于轉(zhuǎn)發(fā)的地址。</p><p>　　Exp長度為3b，此段保留，沒有明確規(guī)定，通常用于服務(wù)業(yè)務(wù)等級（Class of Service, CoS）。</p>

20、<p>　　S長度為1b，此段是堆棧標(biāo)識符，用于標(biāo)識MPLS標(biāo)簽是否為最底層的標(biāo)簽（值為1表示是）。</p><p>　　TTL長度為8b，此段表示生存周期，用于避免路由環(huán)路，每經(jīng)過一個(gè)路由器，TTL的值減1（值為0即表示無論該數(shù)據(jù)包是否傳送到目的地，網(wǎng)絡(luò)都將其丟棄）。</p><p>　　標(biāo)簽可以包含一個(gè)或多個(gè)標(biāo)記條目。所有條目都由上述的4個(gè)字段組成，多個(gè)標(biāo)記條目的有序集合就構(gòu)

21、成了標(biāo)記棧。在MPLS VPN網(wǎng)絡(luò)中，為了加快轉(zhuǎn)發(fā)速度，使用兩級MPLS標(biāo)簽。第1級標(biāo)簽與到達(dá)一個(gè)出口PE路由器的路由關(guān)聯(lián)。第2級標(biāo)簽控制分組在出口PE路由器上的轉(zhuǎn)發(fā)。</p><p>　　3.2 MPLS網(wǎng)絡(luò)工作原理</p><p>　　MPLS的出現(xiàn)是源于早期的IP交換，其目的是將各種IP路由和ATM交換技術(shù)兼容并蓄，以提供一種更具有彈性、擴(kuò)充性以及效率更高的寬帶交換路由。與標(biāo)記交換（

22、Tag Switching）、ATM交換技術(shù)等技術(shù)類似，MPLS引入了標(biāo)記（Label）的概念，在MPLS網(wǎng)中數(shù)據(jù)的傳輸靠標(biāo)記引導(dǎo)。MPLS主要的作用是在無連接的IP協(xié)議平臺基礎(chǔ)上，建立面向連接的傳輸，能夠?yàn)閿U(kuò)展性、VPN、QoS以及與ATM的互操作提供解決方案[1]。一個(gè)MPLS網(wǎng)絡(luò)的核心結(jié)構(gòu)組成為：標(biāo)記邊緣交換路由器（Label Edge Switch Router, LER）、標(biāo)記交換路由器（LSR）。通過標(biāo)記分發(fā)協(xié)議LDP,LE

23、R和LSR、LSR和LSR之間完成標(biāo)記信息的分發(fā)。網(wǎng)絡(luò)路由信息來自一些共同的路由協(xié)議，如開放式最短路徑優(yōu)先（Open Shortest Path First, OSPF）、邊界網(wǎng)關(guān)協(xié)議（Boundary Gateway Protocol, BGP），根據(jù)路由信息決定如何完成交換路徑LSP的建立。</p><p>　　當(dāng)一個(gè)未被標(biāo)記的分組（IP包、幀中繼或ATM信元）到達(dá)MPLS標(biāo)記邊緣路由器（LER）時(shí)，入口LE

24、R根據(jù)輸入分組頭查找路由表以確定通向目的地的標(biāo)記交換路徑LSP，把查找到的對應(yīng)LSP的標(biāo)記插入到分組頭中，完成端到端IP地址與MPLS標(biāo)記的映射。每個(gè)MPLS節(jié)點(diǎn)的標(biāo)記都放在一個(gè)所謂的標(biāo)記信息庫（LIB）中，這時(shí)需要用最短路徑優(yōu)先（OSPF）、邊界網(wǎng)關(guān)協(xié)議（BGP）等傳統(tǒng)路由協(xié)議，而且采用MPLS的標(biāo)記分發(fā)協(xié)議（LDP）將其轉(zhuǎn)發(fā)到下一跳的標(biāo)記交換路由器LSR。核心LSR接收到標(biāo)記IP數(shù)據(jù)包后，將標(biāo)記抽出并作為索引查找LSR中的標(biāo)記轉(zhuǎn)發(fā)信

25、息表，如標(biāo)記轉(zhuǎn)發(fā)信息表中有相應(yīng)的項(xiàng)，則將輸出標(biāo)記添加到包頭，并替代了標(biāo)記的IP數(shù)據(jù)包發(fā)送到下一跳的輸入接口。這個(gè)以新標(biāo)記取代舊標(biāo)記的過程在MPLS中稱為標(biāo)記互換，各個(gè)中間的路由器以相同的方法轉(zhuǎn)發(fā)IP數(shù)據(jù)包，直到數(shù)據(jù)包到達(dá)離開MPLS域的標(biāo)記邊緣路由器（LER）。當(dāng)IP數(shù)據(jù)包從核心LSR到邊緣LER時(shí)，邊緣LER發(fā)現(xiàn)該IP數(shù)據(jù)包的出口時(shí)一個(gè)非標(biāo)記接口，MPLS的出口標(biāo)記路由器將完成標(biāo)記與IP地址的映射，將IP數(shù)據(jù)包中的標(biāo)記去掉后繼續(xù)進(jìn)行基

26、于第三層的IP轉(zhuǎn)發(fā)。[</p><p>　　4、 在MPLS上實(shí)現(xiàn)VPN</p><p>　　4.1 MPLS/VPN中標(biāo)簽分組的轉(zhuǎn)發(fā)</p><p>　　圖4.1 MPLS VPN 拓?fù)鋱D</p><p>　　通過MP-BGP協(xié)議各個(gè)VPN用戶路由器學(xué)習(xí)到正確的路由，現(xiàn)在看看圖4.1中如何轉(zhuǎn)發(fā)用戶數(shù)據(jù)的。</p><p&

27、gt;　　（1）RT6接收到發(fā)往RT8的IP數(shù)據(jù)包，查詢路由表，把該IP數(shù)據(jù)包發(fā)送到RT4。</p><p>　　（2）RT4從S0/1口上收到IP數(shù)據(jù)包后，根據(jù)S0/1所在的VRF，查詢對應(yīng)的CEF表，數(shù)據(jù)包打上標(biāo)簽8，注意該標(biāo)簽就是通過MP-BGP協(xié)議傳來的。RT4繼續(xù)查詢?nèi)諧EF表，獲知要把數(shù)據(jù)發(fā)往RT8，必須先發(fā)送到RT5，而要發(fā)送到RT2，則必須打上由RT2告知的標(biāo)簽2。所以該IP包被打上了兩個(gè)標(biāo)簽。

28、</p><p>　?。?）RT2接收到標(biāo)簽包后，分析頂層的標(biāo)簽，把頂層標(biāo)簽換成4，繼續(xù)發(fā)送的RT3。</p><p>　?。?）RT3和RT2一樣做同樣的操作，由于次末中繼彈出機(jī)制，P2去掉標(biāo)簽4，直接把只帶有一個(gè)標(biāo)簽的標(biāo)簽包發(fā)送的RT5。</p><p>　　（5）RT5收到標(biāo)簽包后，分析標(biāo)簽頭，由于該標(biāo)簽8是它本地產(chǎn)生的，而且是本地唯一的，所以RT5很容易查出

29、帶有標(biāo)簽8的標(biāo)簽包應(yīng)該去掉標(biāo)簽，恢復(fù)IP包原貌，從S0/1端口發(fā)出。</p><p>　?。?）RT8獲得IP數(shù)據(jù)包后，進(jìn)行數(shù)據(jù)處理。</p><p>　　4.2 三層VPN---MPLS VPN</p><p>　　三層VPN是專門為VPN所設(shè)計(jì)的，建設(shè)在MPLS網(wǎng)絡(luò)的基礎(chǔ)設(shè)施之上，即感知VPN的網(wǎng)絡(luò)。三層VPN網(wǎng)絡(luò)的主要組成部分包括：PE路由器、P路由器和網(wǎng)關(guān)路

30、由協(xié)議（BGP）。</p><p>　　PE路由器擁有并維護(hù)與其直接相連的VPN的路由信息。PE路由器負(fù)責(zé)將VPN客戶的普通數(shù)據(jù)包打上標(biāo)記和去除標(biāo)記，因此PE路由器必須是一個(gè)邊緣標(biāo)記交換路由器。</p><p>　　在PE路由器上，為每一個(gè)VPN設(shè)定了一個(gè)虛擬路由轉(zhuǎn)發(fā)表（VRF），只處理該VPN的路由信息。PE路由器只通過該虛擬路由轉(zhuǎn)發(fā)表與VPN用戶交換路由信息（可以采用任何一種動(dòng)態(tài)路由協(xié)

31、議）。同時(shí)PE路由器上還有一個(gè)全局路由表，維持MPLS骨干網(wǎng)所需的路由信息。各個(gè)路由轉(zhuǎn)發(fā)表之間相互隔離，每一個(gè)端口（包括物理的和邏輯的）都只能屬于一個(gè)路由轉(zhuǎn)發(fā)表，保證各VPN用戶之間的私密性。 </p><p>　　每個(gè)虛擬路由轉(zhuǎn)發(fā)表采用一個(gè)路由區(qū)分符（RD）來區(qū)分彼此的路由，64位的RD加上32位的普通IP地址組成96位全網(wǎng)唯一的VPN－IPv4地址。通過這種方式，三層VPN可以允許不同的VPN內(nèi)部采用相同的地

32、址而互不影響。</p><p>　　PE路由器之間通過RFC2283定義的多協(xié)議擴(kuò)展的網(wǎng)關(guān)路由協(xié)議（MP－BGP）來傳遞VPN－IPv4地址，同時(shí)參與傳遞的還有與該地址對應(yīng)的擴(kuò)展BGP屬性和VPN標(biāo)記。其中一項(xiàng)擴(kuò)展BGP屬性是路由目的（RT），用來控制路由信息到虛擬路由轉(zhuǎn)發(fā)表之間的引入和引出關(guān)系。 當(dāng)VPN用戶的數(shù)據(jù)包通過任一端口進(jìn)入PE路由器時(shí)，PE路由器只調(diào)用與此端口對應(yīng)的虛擬路由轉(zhuǎn)發(fā)表來處理此數(shù)據(jù)包。PE路

33、由器會(huì)將此數(shù)據(jù)包打上兩層標(biāo)記，其中外層標(biāo)記為IGP標(biāo)記，指示從該P(yáng)E路由器到目的PE路由器的路徑；內(nèi)層標(biāo)記為VPN標(biāo)記，指示在目的PE路由器上屬于哪個(gè)VPN的信息。</p><p>　　P路由器是MPLS網(wǎng)絡(luò)的標(biāo)記交換路由器，完全依據(jù)標(biāo)記進(jìn)行轉(zhuǎn)發(fā)。由于P路由器完全不須要讀取原始的數(shù)據(jù)包信息來作出轉(zhuǎn)發(fā)決定，P路由器不須要擁有VPN的路由信息，因此P路由器只參與骨干IGP的路由。</p><p&g

34、t;　　這種三層VPN的實(shí)現(xiàn)方式從根本上改變了傳統(tǒng)的基于點(diǎn)到點(diǎn)的VPN實(shí)現(xiàn)方式，它利用了MPLS網(wǎng)絡(luò)中標(biāo)記的靈活性和多樣性，將每一個(gè)VPN作為一個(gè)邏輯網(wǎng)絡(luò)，依附在MPLS骨干網(wǎng)之上，各個(gè)用戶節(jié)點(diǎn)只須簡單加入或退出，就可以組建特定的VPN網(wǎng)絡(luò)。 </p><p>　　5、MPLS VPN的應(yīng)用</p><p>　　隨著Internet的普及和發(fā)展，基于MPLS的虛

35、擬專用網(wǎng)技術(shù)引起了人們的廣泛關(guān)注，它勢必成為未來網(wǎng)絡(luò)安全研究和Internet應(yīng)用的一個(gè)重要方向。MPLS VPN能夠利用公用骨干網(wǎng)絡(luò)的廣泛而強(qiáng)大的傳輸能力，降低企業(yè)內(nèi)部網(wǎng)絡(luò)/Internet的建設(shè)成本，極大地提高用戶網(wǎng)絡(luò)運(yùn)營和管理的靈活性，同時(shí)能夠滿足用戶對信息傳輸安全性、實(shí)時(shí)性、寬頻帶、方便性的需要，所以，很受一些大型跨地域集團(tuán)用戶的歡迎。據(jù)研究，MPLS VPN代替租用專線能使遠(yuǎn)程站點(diǎn)的連接費(fèi)用降低20%到47%，在遠(yuǎn)程投入的情況

36、下，能降低60%至80%的成本。VPN在為用戶產(chǎn)生效益的同時(shí)，也為自己開拓了廣闊的發(fā)展前景。 </p><p>　　5.1 MPLS VPN的典型應(yīng)用方式</p><p>　　根據(jù)用戶使用的情況和應(yīng)用環(huán)境的不同特點(diǎn)，VPN技術(shù)大致可分為三種典型的應(yīng)用方式，即：企業(yè)內(nèi)聯(lián)網(wǎng)VPN、企業(yè)外聯(lián)網(wǎng)VPN和接入VPN業(yè)務(wù)。</p><p>　?。?）內(nèi)部VPN（Intranet

37、 VPN）</p><p>　　Intranet VPN應(yīng)用主要是實(shí)現(xiàn)用戶內(nèi)部網(wǎng)絡(luò)各LAN的安全互聯(lián)。</p><p>　?。?）外部VPN（Extranet VPN）</p><p>　　Extranet VPN應(yīng)用主要是將Intranet在范圍上向外擴(kuò)展，將若干個(gè)企業(yè)的Intranet VPN結(jié)合起來構(gòu)成一個(gè)大的虛擬企業(yè)內(nèi)部網(wǎng)絡(luò)。從而為企業(yè)與它的業(yè)務(wù)伙伴提供靈活

38、、安全的連接。例如企業(yè)間發(fā)生的收購、兼并或企業(yè)的戰(zhàn)略聯(lián)盟，使不同企業(yè)通過CNC net構(gòu)建虛擬專用網(wǎng)。</p><p>　　（3）接入VPN（Access VPN）</p><p>　　可以通過多種接入技術(shù)為企業(yè)的遠(yuǎn)程雇員提供與企業(yè)的連接。接入方法可以是用56K調(diào)制解調(diào)器，ISDN和XDSL。主要用于企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過遠(yuǎn)程撥號的方式構(gòu)建的虛擬網(wǎng)。通常我們把Access VPN又

39、稱為撥號VPN，即VPDN。</p><p><b>　　6、結(jié) 論</b></p><p>　　在這段時(shí)間里面，我學(xué)到了很多知識也有很到感受。從一開始對VPN一無所知，對MPLS與VPN的關(guān)鍵技術(shù)很不了解，我開始了獨(dú)立的學(xué)習(xí)與實(shí)驗(yàn)，到圖書館借閱相關(guān)的資料與書籍，讓自己對論文中所涉及的技術(shù)與概念逐漸清晰。我按照老師的指導(dǎo)一步一步去完善我的論文。每一次的完善我都得到收

40、獲，我都會(huì)興奮不已。從中我認(rèn)識到了VPN給我們現(xiàn)在生活帶來的便利與遠(yuǎn)大的市場前景。</p><p>　　就MPLS本身而言，目前MPLS領(lǐng)域的研究熱點(diǎn)主要關(guān)注于包括VPN在內(nèi)MPLS應(yīng)用，如QoS，流量工程等。具體到MPLS VPN，目前研究重點(diǎn)主要集中在解決MPLS VPN應(yīng)用中可能遇到的一些問題，例如VPN跨自治域，VPN組播等。以后我會(huì)繼續(xù)深入研究VPN跨自治域與組播方面的研究。這方面的研究也會(huì)給我以后的工

41、作帶來很大的幫助。 </p><p>　　現(xiàn)在業(yè)界MPLS VPN研究的一個(gè)重要熱點(diǎn)是分布式PE，目前的MPLS VPN功能主要是通過單個(gè)PE設(shè)備實(shí)現(xiàn)，PE需完成多種業(yè)務(wù)，對接口數(shù)目及種類的要求高，性能壓力很大等。為了解決該問題，有人提出通過多個(gè)設(shè)備虛擬一個(gè)設(shè)備完成PE功能，如華為公司提出的分層PE等。這也是我以后繼續(xù)深入學(xué)習(xí)的一個(gè)知識。</p><p&

42、gt;　　相信隨著這些技術(shù)的不斷成熟，通過MPLS VPN構(gòu)建一個(gè)多業(yè)務(wù)的IP網(wǎng)絡(luò)，為用戶提供有QoS保障的業(yè)務(wù)，都將不再是一個(gè)夢想。</p><p><b>　　參考文獻(xiàn)</b></p><p>　　[1] 趙斌．MPLS和VPN體系結(jié)構(gòu)（CCIP版）．人民郵電出版社，2003．</p><p>　　[2] 華建軍．計(jì)算機(jī)網(wǎng)絡(luò)安全問題探索［J

43、］．科技信息，2007（9）．</p><p>　　[3] 任德玲，韋衛(wèi)．基于IPSec的MPLS VPN的設(shè)計(jì)與實(shí)現(xiàn)［J］．計(jì)算機(jī)應(yīng)用研究， 2006（03）：116-118．</p><p>　　[4] 王雙勇，陳善學(xué)．傳統(tǒng)VPN與MPLS VPN對VPN網(wǎng)絡(luò)可擴(kuò)展性的比較［J］．信息技術(shù)，2005（12）：108-111．</p><p>　　[5] 陳海雯，

44、林生．新一代網(wǎng)絡(luò)技術(shù)——MPLS VPN工作機(jī)制解析［J］．微機(jī)發(fā)展，2005（12）：129-134．</p><p>　　[6] 劉紅娟，楊振啟．基于MPLS 技術(shù)的VPN研究［J］．計(jì)算機(jī)安全，2005（8）：38-40．</p><p>　　[7] 王曉峰．利用MPLS 技術(shù)在吉林省寬帶IP網(wǎng)上實(shí)現(xiàn)VPN［D］．長春：吉林大學(xué)；2005．</p><p>&

45、lt;b>　　致 謝</b></p><p>　　本文引用了數(shù)位學(xué)者的研究文獻(xiàn)，如果沒有各位學(xué)者的研究成果的幫助和啟發(fā)，我將很難完成本篇論文的寫作。</p><p>　　感謝我的同學(xué)和朋友，在我寫論文的過程中給予我了很多相關(guān)素材，還在論文的撰寫和排版等過程中提供熱情的幫助。尤其要強(qiáng)烈感謝我的論文指導(dǎo)老師—**老師，他對我進(jìn)行了無私的指導(dǎo)和幫助，不厭其煩的幫助進(jìn)行論文的修改