第十章 MPLS技术在 VPN上的
应用
? 10.1 VPN的概念和结构
? 10.2 实现 VPN的传统技术
? 10.3 利用 MPLS技术实现 VPN
10.1 VPN的概念和结构
? 10.1.1 VPN的概念
? 一, 什么是 VPN
? 虚拟专用网 ( Virtual Private Network,
VPN) 指的是依靠 ISP和其他 NSP( 网络
服务提供商 ) 在公用网络中建立专用的
数据网络 。 实际上, 从虚拟专用网的
,VPN”三个字母, 就可以看出它的实质 。
? ( 1),V”表明 VPN有别于传统的电信网络,
它并不实际存在;或者说,在任意两个节点之
间的连接并没有传统专网所说的端到端的物理
连接,而是利用现有网络通过资源配置以及虚
电路的建立来构成动态的虚拟网络。
? ( 2),P”表明 VPN将为特定的企业或用户
群体所专用。
? ( 3), N”表明 VPN是一种网络, VPN业务
需要建立在专网用户之间的网络互连上, 通过
VPN内部的网络拓扑建立, 路由计算, 成员的
加入和退出等来完成相应的工作 。
? 二, VPN的应用方式
? 根据用户使用的情况和应用环境的不
同, 目前 VPN技术大致可分为三种典型
的应用方式, 即:企业内连网 VPN,企
业外连网 VPN和接入 VPN。
? 10.1.2 VPN结构
? VPN的服务目的就是在共享的基础网
络上向用户提供网络连接, 不仅如此,
VPN连接应使得用户获得等同于专用网
络的通信效果 。
? 一, VPN的拓扑结构
? VPN可以构建在很广泛的结构上, 根
据 Access VPN,Intranet VPN及 Extranet
VPN的不同应用, VPN拓扑结构可以分
为三种主要类型 。
? ( 1)对于 Intranet VPN,可以采用星
型辐射结构、部分或全互连结构、混合
结构。
? ( 2)对于 Extranet VPN,可以采用两
两相连的企业外部网和集中服务式外部
网络结构。
? ( 3)对于 Access VPN,通常采用拨
号 VPN( 即 VPDN) 和专线 VPN。
? 二, FR和 ATM VC构成的 VPN结构
? 虚电路 ( VC) 是 FR和 ATM所具有的
特征, 基于虚电路 ( VC) 的 VPN可以通
过公共的 FR或 ATM网来传送 IP业务 。
? 服务提供商为远端用户提供的 PVC和路
由表由用户边缘设备 ( CE/CPE) 来维护,
这种实施方案的优点如下 。
?( 1)对已经具有 FR或 ATM基础设施的服务
提供商来说,MRS( 管理路由服务)业务可
以为其提供既便宜又快捷的实现 VPN业务的方
法。
?( 2)在提供直接的带宽分配机制方面具有优
势,如 FR承诺的信息速率( Committed
Information Rate,CIR),ATM确保信元速率
( Sustained Cell Rate,SCR) 或 ATM最小信元
速率( Minimum Cell Rate,MCR) 的带宽分
配方法,可以保证端到端的带宽。
? ( 3)具有了 VC拓扑结构提供的灵活
性。
? ( 4) PVC提供了逻辑 VPN的分离,因
此,加密不是必需的。
? 三, 基于隧道技术的 VPN结构
? 1,IP隧道
? IP VPN将通过某种 IP隧道来实现,
VPN用户的数据也将通过各种 IP VPN隧
道来传输, 如图 10.2所示为基于 IP隧道
的 VPN结构示意图 。
远端接入用户
I P S e c P C 客户
第三层加密
通道 ( I P S e c )
具有 I P S e c
功能的防火墙
用户边缘设备 CE
公共 IP 网
图 10.2 路由核心网上基于 IP隧道的传统 VPN结构图
? 2,GRE隧道
? 通用路由封装 ( GRE) 协议是由 Cisco
和 NetSmiths公司 1994年提交给 IETF的,
标号为 RFC1701和 RFC1702。
? 四, 基于传统路由器的 VPN实现方案
? 在基于传统路由器实现 VPN的方案中,
服务提供商的边缘设备是一台路由器
( Periphery Equipment,PE), 它直接
与用户前端设备路由器 ( Customer
Equipment,CE) 连接并交换路由信息,
主要有共享路由器方式和专用路由器方
式 。
? 五, 基于 MPLS的 VPN实现方案
? 基于 MPLS的 VPN具有许多优点, 业
务提供商可以使用 MPLS设备建立一个
全新类型的 VPN。 基于 MPLS的 VPN实
现方案将在后面专门介绍 。
10.2 实现 VPN的传统技术
? 10.2.1 隧道技术
? 隧道是指在 IP网络中通过特定的封装
方式将用户原有的 IP分组重新封装, 并
使用新的封装形式在 IP网络中传输, 就
像用信封识别数据包业务流一样, 信封
中的内容对网络而言是不可见的 。
? VPN的实施必须通过使用一些隧道机
制来实现。隧道机制的目的是要保证
VPN中分组的封装方式及使用的地址与
传输网络的封装方式及使用地址无关。
? 实现 VPN隧道机制的要求, 主要有以
下几个方面 。
? 1,VPN隧道多路复用技术
? 在某些情况下,相同的两端点之间可
能需要多个 VPN隧道。因此用于 IP VPN
的隧道协议应当具有对隧道进行复用的
能力,也就是说,不同用户的业务流要
在相同物理节点的不同隧道上传输,需
要一个多路复用部分来区分哪一个数据
包属于哪一个隧道。
? 2,VPN信令协议
? 在隧道建立之前,端节点必须知道一
些有关 VPN的配置信息。一旦得到这些
信息,隧道协议即可通过网管静态配置
或通过信令协议动态配置的方式完成隧
道的建立。
? 3,VPN数据安全
? 一个 VPN隧道必须能够满足用户对于
数据安全性的各种不同层次的需求, 包
括认证机制与数据加密机制 。
? 4,VPN多协议传输
? 由于在 VPN的应用中, VPN可以承载
多协议的业务 。
? 5,VPN中的帧排序
? 帧排序是 VPN用户提出的一项服务质
量属性 。
? 6,VPN隧道的维护
? 隧道机制必须具备对隧道的检查与监控能
力, 也就是说, 必须监视 VPN隧道的连接是否
正常以及故障发生后的恢复情况等 。
? 7,VPN中的最大 MTU
? 像常规链路层上传送的分组有最大传
输单元 ( MTU) 的限制一样, IP隧道也
有可传送分组最大尺寸的限制 。
? 8,VPN隧道的最小开销
? 任何隧道机制开销的最小化都是有意
义的 。
? 9,VPN中的流量控制与拥塞控制
? 为了提高 VPN的性能, 需要提供必要
的流量和拥塞控制策略, 在众多的网络
流量和拥塞控制方案中, 发送方与接收
方之间有一定的协商机制, 使发送方能
够知道接收方的接收能力, 并进而从发
送端就对业务流进行整形, 使接收者的
方案成为比较理想的方案 。
? 10,VPN QoS与流量管理
? 可以使用现有的各种 QoS机制 。 例如,
当使用 MPLS来实现 IP VPN时, 可以直
接利用 MPLS中的流量工程与 QoS机制 。
? 10.2.2 基于 IPSec的加密技术
? IP VPN隧道使用的加密技术是基于 IPSec的 。
? IPSec把 IP分组安全性定义为两种类型的数
据传输方式:认证首部 ( Authentication
Header,AH) 和有效负载安全封装 ( Effective
Safety Package,ESP) 。
? AH可以采用传输模式和隧道模式两种模式 。
? 10.2.3 密钥管理技术
? 密钥交换 ( IKE) 协议是 IPSec解决方
案的一个关键组件, 它为 IPSec的 AH和
ESP协议提供密钥管理和安全联盟管理 。
? 密钥是安全过程中的关键问题, 不管
密钥是在一个公用服务器上还是在不可
靠的服务器的硬盘上, 密钥都可能破环
整个系统 。
? 10.2.4 身份认证技术
? 开发加密系统的最重要的挑战是认证
通信方的身份 。 加密的主要目的是保证
信息的机密性 。
? 数字认证技术 ( 数字签名 ) 提供了在
大规模网络中方便地进行相互认证的能
力 。
10.3 利用 MPLS技术实现 VPN
? 基于 MPLS的 IP VPN具有安全性好、扩展性
强、控制策略灵活、管理功能强、能够实现 IP
网中的 QoS与流量工程、具有业务融合能力和
服务级别协议以及为用户节省费用等特点。
? 10.3.1 MPLS VPN结构
? 同传统的 VPN不同, MPLS VPN不是
依靠封装和加密技术, 而是依靠转发表
和数据包的标记来创建一个安全的 VPN,
MPLS VPN的所有技术产生于 Internet
Connect网络 。
? 一,CE和 PE
? CE是用于将一个用户站点接入服务提
供者网络的用户边缘路由器 。 CE既可以
使用 MPLS也可以不使用 MPLS。
? 一个 VPN包括一组 CE路由器以及同其
相连的 Internet网中的 PE路由器 。
? 在 MPLS VPN中, 用户站点运行的是
通常的 IP协议 。
? 二, PE中的节点转发表
? 每个 PE维护一个或多个, 虚节点转发
表, 。 每个和 PE相连的虚节点都和其中
的一个转发表相关联 。
? PE内的节点转发表仅用于那些来自与
其直接相连节点的数据包 。
? 三, SP骨干网中的路由器
? 服务提供商 ( SP) 骨干网由 PE路由器
和其他的不与 CE直接相连的 P路由器组
成 。
? 四, 路由信息的分发
? 在 MPLS VPN体系结构中, 关于 VPN
路由信息的传播需要解决两方面的问题:
PE路由器之间如何交换有关部门 VPN用
户和 VPN路由的信息; PE路由器如何转
发来自用户 VPN的分组 。
? 1,CE使用 MPLS设备
? 当 CE使用 MPLS设备时, BGP用来在
CE和服务提供商 ( SP) 网络之间分发 IP
可达信息和标记绑定信息 。
? 2,CE不使用 MPLS设备
? 当用户不使用 MPLS设备时, 用户
LSR和 SP LSR之间的可达信息交换可以
通过静态配置路由或边界网关协议
( BGP) 分发 。
? 3,VPN ID和可达信息的分发
? 当 SP LSR从用户节点知道 VPN ID和
可达信息时, SP LSR需要找到其对等
LSR,还需要找到在一个 VPN中哪些
LSR是为该 VPN服务的, SP LSR将与其
所属的 VPN区域中的其他成员建立直接
会话, 并将所获得的信息通知属于该
VPN的其他成员 。
? 五, BGP的使用
? ( 1) 网络中 VPN路由的数目可能非常大,
BGP是惟一一种支持大量路由的路由协议 。
? ( 2) 只有 BGP,EIGRP和 IS-IS是专门用于
多协议的路由协议 ( 它们都可以为大量不同地
址簇运载路由协议 ), 而 IS-IS和 EIGRP不能扩
展到 BGP所支持的那么多的路由数量, 并且
BGP也是为在不直接相连的路由器之间交换信
息而设计的, 它使得 SP的核心路由器中无需
包含 VPN路由信息 。
? ( 3) BGP可以运载附加在路由器后
面的任何信息,将其作为一个可选的
BGP属性。
? 10.3.2 MPLS技术对 IP扩展头问题的解决
? 10.3.3 MPLS VPN安全性
? 一, 利用 BGP满足 MPLS安全性需求
? 边界网关协议 ( BGP) 是一个路由信
息分发协议, 它使用多协议的扩展和共
同的属性来判断谁和谁可以通信 。
? 二, 利用 IP地址解析满足 MPLS VPN安全性要
求
? MPLS IP VPN网络可以容易地和 IP用
户网络结合成一个整体 。 用户可以无缝
地实现业务的连接, 而不更改 Intranet的
应用 。
? 三, 利用 IPSec的 MPLS VPN安全性
? 对于大多数的业务, BGP,VPN ID和
IP地址的结合就可以提供足够的安全性 。
应用
? 10.1 VPN的概念和结构
? 10.2 实现 VPN的传统技术
? 10.3 利用 MPLS技术实现 VPN
10.1 VPN的概念和结构
? 10.1.1 VPN的概念
? 一, 什么是 VPN
? 虚拟专用网 ( Virtual Private Network,
VPN) 指的是依靠 ISP和其他 NSP( 网络
服务提供商 ) 在公用网络中建立专用的
数据网络 。 实际上, 从虚拟专用网的
,VPN”三个字母, 就可以看出它的实质 。
? ( 1),V”表明 VPN有别于传统的电信网络,
它并不实际存在;或者说,在任意两个节点之
间的连接并没有传统专网所说的端到端的物理
连接,而是利用现有网络通过资源配置以及虚
电路的建立来构成动态的虚拟网络。
? ( 2),P”表明 VPN将为特定的企业或用户
群体所专用。
? ( 3), N”表明 VPN是一种网络, VPN业务
需要建立在专网用户之间的网络互连上, 通过
VPN内部的网络拓扑建立, 路由计算, 成员的
加入和退出等来完成相应的工作 。
? 二, VPN的应用方式
? 根据用户使用的情况和应用环境的不
同, 目前 VPN技术大致可分为三种典型
的应用方式, 即:企业内连网 VPN,企
业外连网 VPN和接入 VPN。
? 10.1.2 VPN结构
? VPN的服务目的就是在共享的基础网
络上向用户提供网络连接, 不仅如此,
VPN连接应使得用户获得等同于专用网
络的通信效果 。
? 一, VPN的拓扑结构
? VPN可以构建在很广泛的结构上, 根
据 Access VPN,Intranet VPN及 Extranet
VPN的不同应用, VPN拓扑结构可以分
为三种主要类型 。
? ( 1)对于 Intranet VPN,可以采用星
型辐射结构、部分或全互连结构、混合
结构。
? ( 2)对于 Extranet VPN,可以采用两
两相连的企业外部网和集中服务式外部
网络结构。
? ( 3)对于 Access VPN,通常采用拨
号 VPN( 即 VPDN) 和专线 VPN。
? 二, FR和 ATM VC构成的 VPN结构
? 虚电路 ( VC) 是 FR和 ATM所具有的
特征, 基于虚电路 ( VC) 的 VPN可以通
过公共的 FR或 ATM网来传送 IP业务 。
? 服务提供商为远端用户提供的 PVC和路
由表由用户边缘设备 ( CE/CPE) 来维护,
这种实施方案的优点如下 。
?( 1)对已经具有 FR或 ATM基础设施的服务
提供商来说,MRS( 管理路由服务)业务可
以为其提供既便宜又快捷的实现 VPN业务的方
法。
?( 2)在提供直接的带宽分配机制方面具有优
势,如 FR承诺的信息速率( Committed
Information Rate,CIR),ATM确保信元速率
( Sustained Cell Rate,SCR) 或 ATM最小信元
速率( Minimum Cell Rate,MCR) 的带宽分
配方法,可以保证端到端的带宽。
? ( 3)具有了 VC拓扑结构提供的灵活
性。
? ( 4) PVC提供了逻辑 VPN的分离,因
此,加密不是必需的。
? 三, 基于隧道技术的 VPN结构
? 1,IP隧道
? IP VPN将通过某种 IP隧道来实现,
VPN用户的数据也将通过各种 IP VPN隧
道来传输, 如图 10.2所示为基于 IP隧道
的 VPN结构示意图 。
远端接入用户
I P S e c P C 客户
第三层加密
通道 ( I P S e c )
具有 I P S e c
功能的防火墙
用户边缘设备 CE
公共 IP 网
图 10.2 路由核心网上基于 IP隧道的传统 VPN结构图
? 2,GRE隧道
? 通用路由封装 ( GRE) 协议是由 Cisco
和 NetSmiths公司 1994年提交给 IETF的,
标号为 RFC1701和 RFC1702。
? 四, 基于传统路由器的 VPN实现方案
? 在基于传统路由器实现 VPN的方案中,
服务提供商的边缘设备是一台路由器
( Periphery Equipment,PE), 它直接
与用户前端设备路由器 ( Customer
Equipment,CE) 连接并交换路由信息,
主要有共享路由器方式和专用路由器方
式 。
? 五, 基于 MPLS的 VPN实现方案
? 基于 MPLS的 VPN具有许多优点, 业
务提供商可以使用 MPLS设备建立一个
全新类型的 VPN。 基于 MPLS的 VPN实
现方案将在后面专门介绍 。
10.2 实现 VPN的传统技术
? 10.2.1 隧道技术
? 隧道是指在 IP网络中通过特定的封装
方式将用户原有的 IP分组重新封装, 并
使用新的封装形式在 IP网络中传输, 就
像用信封识别数据包业务流一样, 信封
中的内容对网络而言是不可见的 。
? VPN的实施必须通过使用一些隧道机
制来实现。隧道机制的目的是要保证
VPN中分组的封装方式及使用的地址与
传输网络的封装方式及使用地址无关。
? 实现 VPN隧道机制的要求, 主要有以
下几个方面 。
? 1,VPN隧道多路复用技术
? 在某些情况下,相同的两端点之间可
能需要多个 VPN隧道。因此用于 IP VPN
的隧道协议应当具有对隧道进行复用的
能力,也就是说,不同用户的业务流要
在相同物理节点的不同隧道上传输,需
要一个多路复用部分来区分哪一个数据
包属于哪一个隧道。
? 2,VPN信令协议
? 在隧道建立之前,端节点必须知道一
些有关 VPN的配置信息。一旦得到这些
信息,隧道协议即可通过网管静态配置
或通过信令协议动态配置的方式完成隧
道的建立。
? 3,VPN数据安全
? 一个 VPN隧道必须能够满足用户对于
数据安全性的各种不同层次的需求, 包
括认证机制与数据加密机制 。
? 4,VPN多协议传输
? 由于在 VPN的应用中, VPN可以承载
多协议的业务 。
? 5,VPN中的帧排序
? 帧排序是 VPN用户提出的一项服务质
量属性 。
? 6,VPN隧道的维护
? 隧道机制必须具备对隧道的检查与监控能
力, 也就是说, 必须监视 VPN隧道的连接是否
正常以及故障发生后的恢复情况等 。
? 7,VPN中的最大 MTU
? 像常规链路层上传送的分组有最大传
输单元 ( MTU) 的限制一样, IP隧道也
有可传送分组最大尺寸的限制 。
? 8,VPN隧道的最小开销
? 任何隧道机制开销的最小化都是有意
义的 。
? 9,VPN中的流量控制与拥塞控制
? 为了提高 VPN的性能, 需要提供必要
的流量和拥塞控制策略, 在众多的网络
流量和拥塞控制方案中, 发送方与接收
方之间有一定的协商机制, 使发送方能
够知道接收方的接收能力, 并进而从发
送端就对业务流进行整形, 使接收者的
方案成为比较理想的方案 。
? 10,VPN QoS与流量管理
? 可以使用现有的各种 QoS机制 。 例如,
当使用 MPLS来实现 IP VPN时, 可以直
接利用 MPLS中的流量工程与 QoS机制 。
? 10.2.2 基于 IPSec的加密技术
? IP VPN隧道使用的加密技术是基于 IPSec的 。
? IPSec把 IP分组安全性定义为两种类型的数
据传输方式:认证首部 ( Authentication
Header,AH) 和有效负载安全封装 ( Effective
Safety Package,ESP) 。
? AH可以采用传输模式和隧道模式两种模式 。
? 10.2.3 密钥管理技术
? 密钥交换 ( IKE) 协议是 IPSec解决方
案的一个关键组件, 它为 IPSec的 AH和
ESP协议提供密钥管理和安全联盟管理 。
? 密钥是安全过程中的关键问题, 不管
密钥是在一个公用服务器上还是在不可
靠的服务器的硬盘上, 密钥都可能破环
整个系统 。
? 10.2.4 身份认证技术
? 开发加密系统的最重要的挑战是认证
通信方的身份 。 加密的主要目的是保证
信息的机密性 。
? 数字认证技术 ( 数字签名 ) 提供了在
大规模网络中方便地进行相互认证的能
力 。
10.3 利用 MPLS技术实现 VPN
? 基于 MPLS的 IP VPN具有安全性好、扩展性
强、控制策略灵活、管理功能强、能够实现 IP
网中的 QoS与流量工程、具有业务融合能力和
服务级别协议以及为用户节省费用等特点。
? 10.3.1 MPLS VPN结构
? 同传统的 VPN不同, MPLS VPN不是
依靠封装和加密技术, 而是依靠转发表
和数据包的标记来创建一个安全的 VPN,
MPLS VPN的所有技术产生于 Internet
Connect网络 。
? 一,CE和 PE
? CE是用于将一个用户站点接入服务提
供者网络的用户边缘路由器 。 CE既可以
使用 MPLS也可以不使用 MPLS。
? 一个 VPN包括一组 CE路由器以及同其
相连的 Internet网中的 PE路由器 。
? 在 MPLS VPN中, 用户站点运行的是
通常的 IP协议 。
? 二, PE中的节点转发表
? 每个 PE维护一个或多个, 虚节点转发
表, 。 每个和 PE相连的虚节点都和其中
的一个转发表相关联 。
? PE内的节点转发表仅用于那些来自与
其直接相连节点的数据包 。
? 三, SP骨干网中的路由器
? 服务提供商 ( SP) 骨干网由 PE路由器
和其他的不与 CE直接相连的 P路由器组
成 。
? 四, 路由信息的分发
? 在 MPLS VPN体系结构中, 关于 VPN
路由信息的传播需要解决两方面的问题:
PE路由器之间如何交换有关部门 VPN用
户和 VPN路由的信息; PE路由器如何转
发来自用户 VPN的分组 。
? 1,CE使用 MPLS设备
? 当 CE使用 MPLS设备时, BGP用来在
CE和服务提供商 ( SP) 网络之间分发 IP
可达信息和标记绑定信息 。
? 2,CE不使用 MPLS设备
? 当用户不使用 MPLS设备时, 用户
LSR和 SP LSR之间的可达信息交换可以
通过静态配置路由或边界网关协议
( BGP) 分发 。
? 3,VPN ID和可达信息的分发
? 当 SP LSR从用户节点知道 VPN ID和
可达信息时, SP LSR需要找到其对等
LSR,还需要找到在一个 VPN中哪些
LSR是为该 VPN服务的, SP LSR将与其
所属的 VPN区域中的其他成员建立直接
会话, 并将所获得的信息通知属于该
VPN的其他成员 。
? 五, BGP的使用
? ( 1) 网络中 VPN路由的数目可能非常大,
BGP是惟一一种支持大量路由的路由协议 。
? ( 2) 只有 BGP,EIGRP和 IS-IS是专门用于
多协议的路由协议 ( 它们都可以为大量不同地
址簇运载路由协议 ), 而 IS-IS和 EIGRP不能扩
展到 BGP所支持的那么多的路由数量, 并且
BGP也是为在不直接相连的路由器之间交换信
息而设计的, 它使得 SP的核心路由器中无需
包含 VPN路由信息 。
? ( 3) BGP可以运载附加在路由器后
面的任何信息,将其作为一个可选的
BGP属性。
? 10.3.2 MPLS技术对 IP扩展头问题的解决
? 10.3.3 MPLS VPN安全性
? 一, 利用 BGP满足 MPLS安全性需求
? 边界网关协议 ( BGP) 是一个路由信
息分发协议, 它使用多协议的扩展和共
同的属性来判断谁和谁可以通信 。
? 二, 利用 IP地址解析满足 MPLS VPN安全性要
求
? MPLS IP VPN网络可以容易地和 IP用
户网络结合成一个整体 。 用户可以无缝
地实现业务的连接, 而不更改 Intranet的
应用 。
? 三, 利用 IPSec的 MPLS VPN安全性
? 对于大多数的业务, BGP,VPN ID和
IP地址的结合就可以提供足够的安全性 。
