mplsvpn的设计和实现.docx
- 文档编号:11613656
- 上传时间:2023-06-01
- 格式:DOCX
- 页数:37
- 大小:97.61KB
mplsvpn的设计和实现.docx
《mplsvpn的设计和实现.docx》由会员分享,可在线阅读,更多相关《mplsvpn的设计和实现.docx(37页珍藏版)》请在冰点文库上搜索。
mplsvpn的设计和实现
毕业论文
企业MPLSVPN设计和实现
年5月定稿
摘要
伴随网络技术飞速发展,网络使我们生活愈加方便,工作效率大大提升。
同时,大家对于网络安全要求也变得越来越高。
VPN(虚拟局域网)作为一个新型远程网络访问技术,在近两年内受到企业用户广泛关注。
而作为VPN技术中最为关键MPLSVPN现在还是被公认为最安全,应用广泛VPN技术。
VPN技术应用日益广泛,MPLS已成为实现VPN一个关键方法。
文章对VPN基础概念,VPN工作原理及MPLSVPN技术进行了叙述,并设计企业内部网VPN实际处理方案。
关键字:
网络;VPN;MPLS
Abstract
WiththerapiddevelopmentofNetwork,Usingnetworkmakesourlifemoreconvenientandmoreefficient.AVirtualPrivateNetwork(VPN),whichisanewtechniquetoaccesstheremotenetwork,hasbeenwidelyusedintherecentyears.MPLSVPN,themostimportanttechnique,hasbeenregardedasthemostsecureandusedone.
MPLSVPNhasbeenthemainmethodtousetheVPNwiththewildlyusedofVPNtechnique.MyessaywillmainlyintroducetheconceptofVPN,thetheoryofVPN,andhowtousetheMPLSVPNtechnique.Atthesametime,IwillmakeasolutionabouttheMPLSVPNinarealenvironmentinthecompany.
Keywords:
Network;VPN;MPLS
第一章绪论
1.1、课程背景及意义
现在是信息科技时代,网络使我们生活愈加便捷,工作效率大大提升。
同时在工作中,企业们对于网络要求也随之变得越来越高。
当一个集团企业在全球开设分企业,并要求信息共享时,网络信息传输安全变成了一个不得不面正确问题。
而MPLSVPN就是现在应用最广泛网络信息传输安全技术之一。
它不仅不需要企业支付额外而高昂费用,同时,只需对思科或华为技术略有了解技术员全部能够简单而数量上手,这么也就避免了未来在使用中产生维护困难问题。
现经过此论文,我将介绍MPLSVPN技术原理,配置和在现实工作环境中应用。
经过此技术应用,企业内部网络安全将变得比以往任何时刻全部更安全,更简便,愈加快捷。
1.2、MPLSVPN介绍
MPLSVPN(MultiprotocolLabelSwitching)是一个新WAN技术基于MPLS技术IP-VPN,其体系架构定义在RFC3031之中。
MPLSVPN是在网络路由和交换设备上应用MPLS技术,简化关键路由器路由选择方法,利用结合传统路由技术标识交换实现IP虚拟专用网络(IPVPN),可用来结构宽带Intranet、Extranet,满足多个灵活业务需求。
第二章相关技术
2.1、交换技术介绍
2.1.1、VLAN介绍
VLAN(VirtualLAN,虚拟局域网)是拥有一组共同要求且和物理位置无关终端设备逻辑组。
大型平面网络通常包含很多终端设备,而广播和未知单播数据包将扩散到网络中全部端口。
使用VlAN优势之一就是含有对第二层广播域分段功效,单个VLAN中全部设备全部属于相同广播域。
假如终端设备发送第二层广播,那么VLAN中其它全部组员全部将收到该广播。
假如端口或设备不属于相同VLAN,那么交换机将过滤这些广播。
尽管交换机不能在VLAN之间传输第二层广播,但VLAN和物理子网存在轻微差异。
物理子网由相同物理电缆分段中设备所组成;逻辑子网由相互通信且和物理位置无关设备所组成。
基于上述原因,VLAN是一个逻辑子网,而且其中终端设备连接不受物理位置直接限制。
取而代之是交换机配置能够限制VLAN之间连通。
深入而言,VLAN能够存在于交换网络中任何位置。
因为VLAN是一个单独广播域,所以VLAN通常属于某个ip子网。
为了能够在VLAN之间通信,数据包必需经过路由器或第三层设备。
端到端VLAN是能够扩展到整个网络VLAN。
当地VLAN是局限于特定域VLAN,比如建筑物接入子模块交换机及其各自建筑物分布子模块。
端到端VLAN可能跨越多个配线间,甚至可能跨越多个建筑物。
端到端VLAN通常和工作组相关联,比如部门或项目团体。
2.1.2、Ether-channel
通常情况下,以太网端口设备能够实现交换机互联,进而使得连接到一台交换机设备能够向连接到其它交换机设备传送数据帧。
以太网工作速度能够是10Mbit/s、100Mbit/s、1000Mbit/s、或10Gbit/s。
伴伴随对更高带宽需求不停增加,管理员正在寻求替换方法来增加两台设备之间可用流量带宽。
在大多数情况下,即使我们能够选择更高带宽端口类型作为增加网络带宽方法,但因为要增加更多成本,所以她并不总是可行。
经过多个端口进行绑定,EtherChannel充足利用现有端口优势来增加可用带宽。
在连接设备失效情况下,经过采取其它未失效链路来维护连接,EtherChannel能够提供冗余。
假如端口属于相同模块,因为只有失效链路中正在传输帧被丢失,所以不会造成显著连接损失。
2.1.3、快速生成树
要说明快速生成树(RSTP)协议首先要明白生成树协议(STP),交换机基础STP功效相当于一个透明网桥。
经过在端口上侦听数据帧中源MAC地址,网桥能够学习到其它设备MAC地址。
随即,网桥就建立一张MAC地址表,该表能够指明特定端口所学到MAC地址,交换机再使用该表且依据目标MAC地址进行帧转发。
对于含有目标多播或广播MAC地址数据包,网桥必需将它们转发到除最初接收广播端口之外全部其它端口;这个过程也称为“扩散”。
扩散多播帧例外是使用多播特征,比如IGMP监听。
假如一个数据帧目标MAC地址是未知,那么网桥会将这个帧转发到除接收该帧端口之外全部其它端口。
对于含有未知目标MAC地址帧,它也被称作“未知单播数据包”。
透明桥对于所连接第二层和上层协议设备来说应该是透明。
当网络拓扑发生变更时候,快速生成树协议(802.1w,也简称为RSTP)能够显著加紧重新计算生成树速度。
RSTP不仅定义了其它端口角色:
替换端口,备份端口,而且还定义了三种端口状态:
丢弃状态,学习状态,转发状态。
IEEE802.1w标准(RSTP)是802.1d标准一个进化,而不是一个革命。
802.1d术语仍然保留了相同大部分参数,而且未作任何修改,所以对于熟悉802.1d标准用户,能够在配置新协议时候找到熟悉感觉。
在大多数情况下,RSTP能够比CISCO专有扩展实施愈加好,而且几乎不需要做出额外配置。
2.2、多个路由协议
2.2.1、OSPF协议
1、OSPF协议介绍
路由选择协议开放最短路径优先(OSPF),它是IP网络中最常见内部网关协议之一。
OSPF是一个基于请求评论(RFC)2328开放标准协议,它很复杂,包含多个协议握手,数据库通告和分组类型。
首先OSPF是一个链路状态路由选择协议,它关键特征包含到区域结构,链路状态邻接关系,最短路径优先(SPF)算法和链路状态数据结构。
为克服距离矢量路由选择协议缺点,开发了链路状态路由选择协议。
链路状态路由选择协议含有以下特征:
(1)快速适应网络改变
(2)在网络发生改变时,发送触发更新。
以较低频率(如每隔30分钟)发送定时更新,这被称作链路状态刷新。
链路状态路由选择协议仅在网络拓扑发生改变时,才生成路由选择更新。
链路状态发生改变后,检测到改变设备将生成一个针对该链路链路状态通告(LSA),使用一个特殊组播地址,将LSA传输给全部邻接设备。
每台路由选择设备全部将得到一个LSA拷贝,据此更新其链路状态数据库(LSDB),并将LSA转发给区域内全部临界设备。
这种LSA扩散确保全部路由选择设备全部更新其数据库,然后更新路由选择表以反应新拓扑。
LSDB被用来计算最好路径。
链路状态路由器对LSDB应用Dijkstra算法(也称SPF)算法,以建立SPF树,进而选择前往目标地最好路径。
每台路由器全部从其SPF树中选择最好路径,然后将其加入到路由选择表中。
链路状态路由选择协议从网络或网络指定区域内全部路由器那里搜集路由选择信息,然后每台路由器全部使用Dijkstar(SPF)算法分别计算其前往网络中各个目标地最好路径。
来自某台路由器错误信息造成混乱可能性较低,因为每台路由器全部有其对网络认识。
为确保网络中全部路由器做出一致路由选择决议,每台路由器全部必需统计下述信息。
直接相连邻接路由器,失去和邻接路由器联络后,路由器将在几秒钟之内将该邻居提供全部路径作废,并重新计算路径。
在OSPF中,相关邻居信息存放在邻居表中,这个表也被称作邻接关系数据库。
网络或区域内其它路由器及其连接网络:
路由器经过LSA来得悉其它路由器和网络,LSA被扩散到整个网络,它储存在拓扑表或数据库中(也叫LSDB)中。
每台路由器全部是用Dijkstra(SPF)算法独立地计算前往网路中每个目标地最好路径。
全部路径全部存放在LSDB中。
最好路径被加入到路由选择表(也叫转发数据库)中。
路由器收到分组后,将依据路由选择表中信息对其及进行转发。
2、OSPF区域结构
在小型网络中,路由器链路组成结构并不复杂,很轻易确定前往各个目标地路径。
然而,在大型网络中,路由器链路组成结构复杂,前往每个目标地潜在路径为数众多,所以,对全部可能路由进行比较SPF算法很复杂,需要很长时间。
链路状态路由选择协议通常将网络划分成区域,以降低SPF算法计算量。
区域内路由器数量和在区域内扩散LSA数量较少,这意味着区域内链路状态数据库(拓扑数据库)较小。
其结果是,SPF算法计算量更小,需要时间更短。
OSPF使用包含两层层次区域结构:
(1)中转区域:
关键功效为快速,高效地传输IP分组OSPF区域。
中转区域将其它类型OSPF区域连接起来,通常,中转区域中没有终端用户。
依据定义,OSPF区域0(也叫做主干区域)为中转区域。
(2)常规区域:
关键功效连接用户和资源OSPF区域。
常规区域通常是依据职能或地理位置划分。
默认情况下,常规区域不许可另一个区域使用其连接将数据流传输到其它区域来自其它区域全部数据流全部必需经过中转区域(如区域0)。
不许可数据流穿过区域被称作常规区域(非主干区域)。
常规区域又分几类,包含标准区域,末节区域,绝对末节区域和次末节区域。
OSPF采取严格两层区域结构。
网络底层物理连接必需和两层区域结构相匹配,即全部非主干区域全部直接和区域0相连。
3、OSPF邻接关系
运行链路状态路由选择协议路由器必需首先和选定邻接路由器建立邻接关系,这是经过和邻接路由器交换Hello分组来实现。
大致而言,路由器建立邻接关系过程以下:
路由器将Hello分组发送给邻接路由器,并接收来自邻接路由器Hello分组。
Hello分组目标地址通常是组播地址。
路由器经过交换Hello分组来得悉协议特定参数,如检验邻居是否在同一个区域中,Hello间隔是否相等。
交换玩Hello分组后,路由器宣称邻居处于正常运行状态。
两台路由器使用Hello分组建立邻接关系后,它们经过交换LSA来同时LSDB,并确定已收到邻接路由器LSA。
至此,两台邻接路由器知道她们LSDB已经同时。
对OSPF而言,这意味着两台路由器已处于完全邻接状态。
必需时,路由器将新LSA转发给其它邻接路由器,确保在整个区域内链路状态信息时完全同时。
点到点串行链路上两台路由器之间建立完全邻接关系,它们使用封装类型通常是高级数据链路控制(HDLC)或点到点协议(PPP)。
在LAN链路上,将选举一个指定路由器(DR)和一个备用指定路由器(BDR)。
其它路由器全部和这两台路由器建立邻接关系,且只将LSA通告给她们。
DR从邻居那里收到更新后,将其转发给LAN上其它全部邻居。
DR关键功效之一是确保同一个LAN中全部路由器LSDB全部相同。
DR将其LSDB传输给新加入到链路中路由器。
使LAN上全部路由器全部将相同信息传输给新加入路由器效率很低,所以让一台路由器对新加入LAN中路由器和区域中其它路由器代表LAN中其它路由器即可。
DR和BDR路由器还维护和LAN上其它路由器直接按部分邻接关系(双向邻接状态),后者被称为DROTHER。
链路状态信息是经过LSA进行交换,LSA也被称为链路状态协议数据单元(PDU)。
2.2.2、BGP
BGP(BorderGatewayProtocol,边界网关协议)是用来连接Internet上独立系统路由选择协议。
它是Internet工程任务组制订一个加强、完善、可伸缩协议。
BGP4支持CIDR寻址方案,该方案增加了Internet上可用IP地址数量。
BGP是为替换最初外部网关协议EGP设计。
它也被认为是一个路径矢量协议。
BGP(BorderGatewayProtocol)是一个在自治系统之间动态交换路由信息路由协议。
一个自治系统经典定义是在一个管理机构控制之下一组路由器,它使用IGP和一般度量值向其它自治系统转发报文。
在BGP中使用自治系统这个术语是为了强调这么一个事实:
一个自治系统管理对于其它自治系统而言是提供一个统一内部选路计划,它为那些经过它能够抵达网络提供了一个一致描述。
BGP,边界网关协议,是自主网络系统中网关之间交换器路由信息协议。
边界网关协议常常应用于互联网网关之间。
路由表包含已知路由器列表、路由器能够达成地址和抵达每个路由器路径跳数。
使用边界网关协议主机通常也使用传输控制协议(TCP)。
当网络检测到某台主机发出改变时,就会发送新路由表。
BGP-4,边界网关协议最新版本,许可网络管理员在策略描述下配置跳数规格。
2.2.3、IS-IS
中间系统到中间系统路由选择协议(IS-IS:
IntermediateSystemtoIntermediateSystemRoutingProtocol)是由ISO提出一个路由选择协议。
它是一个链路状态协议。
在该协议中,IS(路由器)负责交换基于链路开销路由信息并决定网络拓扑结构。
IS-IS类似于TCP/IP网络开放最短路径优先(OSPF)协议。
ISO网络包含了终端系统、中间系统、区域(Area)和域(Domain)。
终端系统指用户设备,中间系统指路由器。
路由器形成当地组称之为“区域”,多个区域组成一个“域”。
IS-IS被设计来提供域内或一个区域内路由。
IS-IS和CLNP、ES-IS和IDRP协议相结合,为整个网络提供完整路由选择。
IS-IS路由使用两层路由体系。
Level1路由器只知道它们本区域中拓扑,包含全部路由器和主机,而不知道区域以外路由器和目标地。
Level1路由器将去往其它区域全部流量全部转发给本区域内一台L1/2路由器,再由该L1/2把流量转发给L2区域中L1/2路由器,再由L2区域中L1/2路由器转发给L2路由器,完成数据转发。
每台路由器只能属于一个区域,区域边界在链路上。
IS-IS使用LSP分组来更新LSDB,更新数据流量小于OSPFLSA更新LSDB。
适合传送IP网络信息IS-IS称之为在综合IS-IS(IntegratedIS-IS)。
在目前路由选择协议中,IntegratedIS-IS含有最关键一个特征:
它支持VLSM和快速收敛。
另外它含有可伸缩性,能够支持大规模网络。
IS-IS含有两种地址类型,一个是网络服务访问点(NSAP)–NSAP地址用来标识网络层服务,每种服务对应一个NSAP地址。
另一个是网络实体标题(NET)–NET地址用来标识网络层实体或过程,而不是服务。
每种设备可能不止含有一个地址,不过NET应该是唯一而且每个系统中NSAP系统ID部分也必需是唯一。
2.3、VPN概况
2.3.1、VPN定义
VPN(VirtualPrivateNetwork),即虚拟专用网,是利用开放公众网络资源建立私有数据传输通道,将远程分支机构、商业伙伴、移动办公人员等连接起来,而且提供安全端到端数据通信一个广域网技术。
VPN有两层含义:
它是“虚拟”,即建立隧道或虚电路把不一样物理网络或设备连接起来,不再使用物理专线建立专用网,而是将其建立在分布广泛公共网络上,如Internet;它是“专用”,对基于IPSecVPN而言,是一组连接闭适用户群(CVC),它不仅含有服务质量(QoS)确保,而且更多地强调安全服务。
VPN是企业网在公共网络上无缝延伸,VPN可将在不一样地点远程用户、分支机构和合作伙伴等连接起来。
2.3.2、VPN应用
VPN根据应用大致可分为IntranetVPN及ExtranetVPN和RemoteaccessVPN三种。
其基础用途就是提供企业分支机构和企业,企业用户和企业和企业内部,远端企业职员和企业安全点对点通信。
下面是多个常见VPN场所:
(1)IntranetVPN是指在一个组织内部怎样安全地连接两个相互信任内联网,要求在企业和分支机构之间建立安全通信连接。
这种应用模式需要做不仅是要防范外部入侵者对企业内联网攻击,还要保护在因特网上传送敏感数据。
(2)ExtranetVPN是基于InternetVPN,虚拟专用网络支持远程访问用户以安全方法经过公共互联网络远程访问企业资源。
ExtranetVPN是IntranetVPN一个扩展,即经过因特网连接两台分别属于两个互不信任内部网络主机。
它要求一个开放基于标准处理方案,方便处理企业和多种合作伙伴和用户网络协同工作问题。
(3)Remote Access VPN是指企业职员经过因特网远程拨号方法访问企业内联网而构筑VPN,通常也叫做远程拨号VPN。
VPN技术这种应用替换了传统直接拨入内联网远程访问方法,这么能够大大降低远程访问费用。
2.3.3、现在多个关键VPN技术
现在已经投入实际当中使用VPN技术包含IPSecVPN、SSLVPN、MPLSVPN。
这三种VPN技术各有特色、各有所长。
现在国外关键厂商对SSLVPN技术、MPLSVPN技术发展相对比较重视发展较快,不过现在应用最为广泛,技术最为成熟仍然是IPSecVPN技术。
·IPSec协议是网络层协议,是为保障IP通信而提供一系列协议族。
SSL是套接层协议,它是保障在Internet上基于Web通信安全而提供协议。
以标签交换是作为底层转发机制MPLS(Multi-ProtocolLabelSwitching,多协议标识交换)VPN。
(1)IPSec针对数据在经过公共网络时数据完整性、安全性和正当性等问题设计了一整套隧道、加密和认证方案。
IPSec能为IPv4/IPv6网络提供能共同操作/使用、高品质、基于加密安全机制。
提供包含存取控制、无连接数据完整性、数据源认证、预防重发攻击、基于加密数据机密性和受限数据流机密性服务。
(2)SSL用公钥加密经过SSL连接传输数据来工作。
SSL是一个高层安全协议,建立在应用层上。
SSLVPN使用SSL协议和代理为终端用户提供HrrP、用户机/服务器和共享文件资源访问认证和访问安全SSLVPN传输用户层认证。
确保只有经过安全策略认证用户能够访问指定资源。
(3)MPLS是一个能够在多个第二层媒质上进行标识交换网络技术。
不管什么格式数据均能够第三层路由在网络边缘实施,而在MPLS网络关键采取第二层交换,能够用一句话概括MPLS特点:
“边缘路由,关键交换”。
2.4、MPLS技术
MPLS(MultiprotocolLabelSwitching,多协议标识交换)使用标签(Label)进行转发,一个标签是一个短、长度固定数值,由报文头部携带,不含拓扑信息,只有局部意义。
MPLS包头结构以下图所表示,包含20比特标签,3比特EXP(通常见作Cos),1比特S,用于标识此标签是否为最底层标签,8比特TTL。
MPLS能够看做是一个面向连接技术。
经过MPLS信令(如LDP,LabelDistributeProtocol,标签分配协议)建立好MPLS标识交换通道(LabelSwitchedPath,简称LSP),数据转发时,在网络入口对报文进行分类,依据分类结果选择对应LSP,打上对应标签,中间路由器在收到MPLS报文以后直接依据MPLS报头标签进行转发,而不用再经过IP报文头IP地址查找。
在LSP出口(或倒数第二跳),弹出MPLS标签,还原为IP包。
2.4.1、MPLS功效特征
MPLS是一个交换机制,MPLS数据包交换过程包含了标签分析过程。
标签中包含了LSR中数据包进行路径交换所需全部信息,负责转发操作设备能够进行标签查找和替换,但不一定能分析网络层头部或不能足够快地分析网络层头部。
换句话说,LSR无需实施纯粹3层路由选择。
和传统路由协议操作类似,标签通常全部以某种方法和目标网络保持一致,但有时标签也能够和其它内容(如3层VPN目标地,2层虚电路,出接口,QoS或源地址)等保持一致。
这些内容全部能够在每台设备上灵活配置,这么做原因是MPLS并不仅仅用来转发IP包,当然,IP(和IPv6)是MPLS最关键应用之一。
当数据包在路由器之间穿越时。
每台路由器只要做出转发决定、实施路径交换并将数据包传送到下一跳路由器即可。
从本质上看,该过程类似于高速,高技术“传球”游戏,而该游戏只要基于数据包标签中所包含信息即可,无需考虑3层协议。
MPLS技术设计者认为3层头部中包含信息远远多于实施转发操作所需要信息。
设计MPLS想法是期望设计一个无无须要信息、且不和任何3层被路由协议相关3层路由协议,MPLS基础路由选择原理和其它路由选择协议完全一样。
2.4.2、MPLS体系架构
MPLS组件
从基础构架角度来看,MPLS将传统路由选择机制划分为以下两部分。
控制平面——负责处理相邻设备路由选择和标签信息交换。
数据平面——依据目标地址或标签转发流量(也称为转发平面)。
和传统路由协议相同,MPLS也是一个基于目标地协议,MPLS标签功效就是将转发功效和包头中包含3层目标信息相分离。
将标签和FEC绑定在一起以后,标签就称为一个很高效转发信息源。
2.4.3、配置帧模式MPLS
MPLS及其相关开销对路由器资源占用较大,在一个经典服务提供商模型中,需要路由器接收互联网全路由表,超出0条前缀。
通常情况下,服务提供商网络需要运行ISIS(IntermediateSystem-to-IntermediateSystem,中间系统-中间系统)等IGP(InteriorGatewayProtocol,内部网关协议)和BGP(BorderGatewayProtocol,边界网关协议)等EGP(ExteriorGatewayProtocol,外部网关协议)路由协议。
每种路由协议全部包含一定数量前缀,其中,BGP包含全部公共宣告前缀,而IGP则包含服务提供商网络内部目标地前缀。
现在这些前缀数量已经达成了一个令人头疼数量。
再加上CEF(CIscoExpressForwarding,Cisco快速转发)信息、MPLS所需FIB(Forward
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- mplsvpn 设计 实现