vpn在大型企業(yè)網絡中的應用研究畢業(yè)論文（含外文翻譯）

1、<p>　　VPN在大型企業(yè)網絡中的應用研究</p><p><b>　　摘要：</b></p><p>　　隨著信息技術的高速發(fā)展，大型企業(yè)對計算機網絡的需求越來越高，促進了VPN技術快速的發(fā)展和應用。VPN有著租用專線的安全的和因特網廉價的優(yōu)點。</p><p>　　本文具體分析了VPN技術的現(xiàn)狀和發(fā)展趨勢，介紹了VPN的產生、特

2、征和優(yōu)勢。詳細分析了大型企業(yè)對VPN的需求，結合實際應用背景給出兩個解決方案，即基于IPSec VPN和MPLS VPN在大型企業(yè)中的部署方案，并詳細地給出了它們的設計和實現(xiàn)方法。最后對IPSec VPN與MPLS VPN二種方案的進行了對比分析，給出了它們各自的適用的場景。</p><p>　　關鍵詞：VPN；大型企業(yè)網絡；IPSec VPN；MPLS VPN</p><p>　　Res

3、earch of Application of VPN</p><p>　　in Large Enterprise Network</p><p>　　Abstract: </p><p>　　With the rapid development of the Information Technology, demand on network from large

4、enterprises becomes larger and larger. All of this promotes the rapid development and application of VPN technology. VPN has the advantage of security which leased line possesses and the advantage of inexpensiveness whic

5、h Internet possesses. </p><p>　　This paper analyzes the present situation and development trend of VPN technology, introduces the production, characteristics, advantages of the VPN. Then the paper analyzes t

6、he requirement of the VPN network construction of large enterprises. Afterward, two schemes are given according to practical background. One uses IPSec VPN, and the other uses MPLS VPN. The design and realization process

7、es of the two schemes are given in detail. At last, this paper compares the IPSec VPN and the MPLS VPN, a</p><p>　　Key words: VPN; Enterprise network; IPSec VPN; MPLS VPN</p><p><b>　　目 錄&

8、lt;/b></p><p><b>　　1 緒論1</b></p><p>　　1.1 研究背景1</p><p>　　1.2 技術發(fā)展現(xiàn)狀1</p><p>　　1.3 本文主要研究的內容4</p><p>　　1.4 本文的結構安排4</p><p>

9、　　2 VPN的分類和技術概要5</p><p>　　2.1 VPN概述5</p><p>　　2.2 VPN的分類7</p><p>　　3大型企業(yè)網絡的VPN需求分析9</p><p>　　4 大型企業(yè)VPN方案設計與實現(xiàn)10</p><p>　　4.1 IPSec VPN方案的設計與實現(xiàn)10</

10、p><p>　　4.2 MPLS VPN方案的設計與實現(xiàn)13</p><p>　　5 IPSec VPN與MPLS VPN的對比分析20</p><p><b>　　6 總結24</b></p><p><b>　　參考文獻25</b></p><p><b>

11、　　致謝26</b></p><p><b>　　1 緒論</b></p><p><b>　　1.1 研究背景</b></p><p>　　進入二十一世紀后，傳統(tǒng)語音業(yè)務的年增長率較低，只有5-10%，與之相比較，數(shù)據(jù)業(yè)務(如Internet等)的年增長率很高，為20-30%. Internet業(yè)務量持續(xù)的

12、指數(shù)增長是數(shù)據(jù)通信業(yè)務量如此高速、持續(xù)增長的最直接動力。這對整個網絡的技術模式、整體架構乃至當今知識經濟的內涵來說，都有著深遠的影響。隨著網絡經濟的不斷發(fā)展，各個企業(yè)對建設自己的網絡，提出的要求也不斷變高，要求網絡具備更好靈活性、經濟性、擴展性等是其主要表現(xiàn)。VPN具有獨有的優(yōu)勢，在通信技術大發(fā)展的背景下，對它密切關注的企業(yè)數(shù)量也不斷增多了。虛擬私有網絡(Virtual Private Network，VPN)簡單來說，就是利用公共網絡

13、來完成私有專用網絡的構建。組建VPN，使得在公共網絡也能提供安全性和可管理性等，就像是企業(yè)自己的私有網絡一樣。</p><p>　　隨著企業(yè)網及政府網應用的日益廣泛，網絡范圍也在不斷擴大，跨地區(qū)跨城市，甚至是跨國家的網絡日益增多，這導致了對網絡要求也越來越高。采用傳統(tǒng)廣域網建立跨區(qū)域的企業(yè)或政府專網，往往需要租用昂貴的數(shù)字專線。而在此同時，Internet日益普及，已經遍布世界各地，并且都是聯(lián)通的，但由于Inte

14、rnet是開放的網絡，如果企業(yè)或政府的信息要通過Internet進行傳輸，肯定存在著許多安全問題。因此如何利用現(xiàn)有的Internet網絡來安全地建立企業(yè)或政府的專有網絡，就成了現(xiàn)在網絡應用上的最急需解決的問題。</p><p>　　如今，企業(yè)信息化是所有企業(yè)發(fā)展的必經之路，特別是大型企業(yè)。企業(yè)信息化，可以大大提高企業(yè)的工作效率，減少企業(yè)的運營成本。</p><p>　　大型企業(yè)的特點是規(guī)模

15、很大，有多個分部或者分公司，它們之間需要信息的交流，這些信息一般都是一些敏感的信息，有的涉及到企業(yè)的商業(yè)秘密，若不小心被泄露，被截獲，后果不堪設想。</p><p>　　如何將企業(yè)的總部和分部連接起來，并且保證它們之間交換的數(shù)據(jù)的保密性、完整性，以及使連接成本不像專線那么高？為了解決這個問題，VPN（Virtual Private Network，虛擬專用網）就應運而生了。</p><p>

16、;　　因特網有廉價的優(yōu)點，但是不安全；專線安全，但比較昂貴。VPN結合了因特網和專用網的優(yōu)點，同時也彌補了兩者的缺點。</p><p>　　1.2 技術發(fā)展現(xiàn)狀</p><p>　　近十年，VPN已從電話公司僅僅提供語音業(yè)務發(fā)展到了提供數(shù)據(jù)/語音混合，甚至多媒體業(yè)務。相應的技術也從基于DDN,幀中繼(Frame Relay), ATM發(fā)展到了IP VPN，直至現(xiàn)在的MPLS VPN。<

17、;/p><p>　　SSL VPN市場近些年來一直保持著快速增長的勢頭，在今年4月IT調研公司Frost & Sullivan發(fā)布的2010年中國SSL VPN市場分析報告中可以看到，中國SSL VPN市場在過去的一年里保持了10.3%的健康增長。這其中，對于安全接入的需求增長起到了非常重要的促進作用。</p><p>　　SSL VPN市場現(xiàn)狀：政府和大中型企業(yè)等需求顯著</p

18、><p>　　近幾年來，各級政府對于信息化建設的投入一直在大幅度增加，這其中，無論是社保醫(yī)療網絡的建設，還是財務稅收信息化的建設，每個垂直分支都在大踏步地邁進信息化時代，在此背景之下，各級政府對其網絡的穩(wěn)定具有非常高的要求，SSL VPN在這些方面具有較強的先天優(yōu)勢，從而獲得了政府行業(yè)更多的政策性支持；另外一方面，對于保密性質較高的政府網絡來說，防黑防盜是一個長期的課題，SSL VPN產品突出的安全性能也更容易受到用

19、戶的青睞。</p><p>　　大型企業(yè)和中型企業(yè)方面，其往往具有信息化程度高、跨地域業(yè)務多和外包合作多的特點。這與政府行業(yè)更多是單純跨地域的網絡連通具有一定的差異。為了保證在不同網絡、不同地域機構之間的業(yè)務連續(xù)性，相當數(shù)量的用戶都選擇了比較安全穩(wěn)定的SSL VPN產品。</p><p>　　從未來市場增長的角度來看，移動終端和私有云的大規(guī)模發(fā)展也會對SSL VPN市場的增長起到一個巨大的

20、促進作用。</p><p>　　國外研究IPsec VPN較早，從1995年開始，IETF著手研究制定了一套用于保護IP通信的IPsec安全協(xié)議族，1998年制訂了IP安全框架. IPsec提供既可用于IPv4也可用于IPv6的安全性機制，它是工Pv6的一個組成部分，也是IPv4的一個可選擴展協(xié)議。通過實現(xiàn)和擴展工Psec協(xié)議族，國外廠商紛紛推出了面向不同市場的IPsecVPN產品。除擁有IPsec VPN基本的

21、加密、認證等功能外，還和防火墻、IDS等設備融合，形成了具有VPN功能的網絡安全設備。為滿足不同的用戶需求，各廠商還推出了擁有獨特功能的IPsec VPN，例如Cisco支持其專有Hub-and-Spoke技術的VPN。IPsec VPN技術的長足發(fā)展，還促使產生了許多開放源代碼的IPsec VPN軟件。</p><p>　　國內IPsec VPN已有數(shù)年的研究發(fā)展歷史。初期主要是通過研究、分析國外開源VPN軟件

22、，模仿國外大公司軟件功能的做法推出產品.隨著技術積累沉淀，國內網絡安全公司也開始研發(fā)具有自主知識產權、獨特功能的IPsec VPN產品.特別是在加密算法、認證方式、NAT穿越等適應國內網絡發(fā)展現(xiàn)狀的技術領域中獲得了長足進步。</p><p>　　MPLS VPN業(yè)務近幾年引起了全球運營業(yè)的普遍關注。國外大的運營商如AT&T, sprint, Verizon, Bellsouth, NTT都己經開始應用MP

23、LS網絡。我國運營商中最早推出MPLS VPN業(yè)務的是中國網通，推出時間為2002年6月。隨著市場前景的日益看好，中國電信、中國鐵通也開始提供這項服務。此外，一些跨國運營商也開始關注中國市場，圍繞MPLS VPN業(yè)務的競爭正在中國市場上逐漸升溫。</p><p>　　作為網絡之國的美國，美國政府非常重視MPLS VPN技術的發(fā)展。2004年初，美國全國性運營商sprint推出針對企業(yè)用戶的MPLS VPN業(yè)務。至

24、此，sprint己經擁有了數(shù)據(jù)網互聯(lián)方面所有的服務產品，包括舊有的傳統(tǒng)專用線、幀中繼、ATM,IP接入等等。在接下來的兩年里，sprint希望在自己的專有IP網和全球IP平臺上都采用MPLS VPN技術，并且集成以前的Internet接入和遠程接入服務。</p><p>　　MPLS VPN在我國己經進入市場成長期，越來越多的運營商會提供相應的產品，有兩個方面的經驗可以借鑒：一是國外同行的運營經驗，二是國內同行和

25、自己的經驗教訓?？偟膩碚f，首先，運營商一定要結合其他的VPN技術，如租用線、IP VPN、幀中繼、ATM來提供滿足不同用戶不同需求的整體解決方案；二是要確保運營質量，如可靠性、QoS等;三是要努力降低網絡操作維護的復雜度，提高網絡的利用率，優(yōu)化網絡資源的使用;四是要加強和內容提供商的合作，特別注意及時引入新業(yè)務吸引用戶。運營商相繼推出MPLS VPN服務，可能產生的最主要問題是特殊安全需求和互聯(lián)互通問題。</p><

26、p>　　在我國，因為在公共信息基礎平臺上發(fā)展專有網絡已是大勢所趨，唯一讓用戶擔心的是安全性。實際上，MPLS VPN針對一般用戶，己經可以提供虛電路級的安全性。但是在特殊要求的場合，比如公安、國防領域、電子交易、傳送敏感信息、商業(yè)文件時，用戶需要更加安全的保障措施。所以在吸引此類傳統(tǒng)的專網用戶時，運營商應該著力應對，提出更值得信賴的解決方案，比如IPSec加MPLS VPN。MPLS VPN應是未來VPN實現(xiàn)技術的趨勢與主流。&l

27、t;/p><p>　　1.3 本文主要研究的內容</p><p>　　本文主要研究怎么對大型企業(yè)網絡中使用的VPN的應用方案進行規(guī)劃、設計與實現(xiàn)。本文也分析研究了VPN技術原理，深入地探討了MPLS VPN技術的原理和它的優(yōu)點。</p><p>　　1.4 本文的結構安排</p><p>　　本論文分為四個部分。</p><p

28、>　　第一部分緒論部分，對VPN技術的研究背景及現(xiàn)狀做了個簡單的介紹。</p><p>　　第二部分介紹了VPN的技術概要，和VPN的分類。</p><p>　　第三部分講述了大型企業(yè)的VPN需求分析。</p><p>　　第四部分詳細IPSec VPN和MPLS VPN這兩種解決方案，包括組網背景、網絡拓撲、IP地址規(guī)劃和關鍵配置代碼。</p>

29、<p>　　第五部分是IPSec VPN實現(xiàn)方案與MPLS VPN實現(xiàn)方案的比較。</p><p>　　第六部分是對本論文的總結。</p><p>　　2 VPN的分類和技術概要</p><p>　　本章主要介紹了VPN的分類和基本概念和原理。</p><p><b>　　2.1 VPN概述</b></

30、p><p>　　2.1.1 VPN的產生</p><p>　　隨著社會的發(fā)展，IT技術越來越多地影響現(xiàn)代企業(yè)的業(yè)務流程，如企業(yè)資源規(guī)劃、基于IP網絡的語音、基于IP網絡的會議和教學活動等IT技術，為企業(yè)的自動化辦公和信息的獲取提供了構架。隨著網絡經濟的發(fā)展，越來越多的企業(yè)的分布范圍日益擴大，合作伙伴日益增多，公司員工的移動性也不斷增加。這使得企業(yè)迫切需要借助電信運營商網絡連接企業(yè)總部和分支機

31、構，組成自己的企業(yè)網，同時使移動辦公人員能在企業(yè)以外的地方方便地接入企業(yè)內部網絡。</p><p>　　最初，電信運營商是以租賃專線(Leased Line)的方式為企業(yè)提供二層鏈路，這種方式的主要缺點是：</p><p><b>　　1.建設時間長</b></p><p><b>　　2.價格昂貴</b></p&g

32、t;<p><b>　　3.難于管理</b></p><p>　　此后，隨著ATM(Asynchronous Transfer Mode)和幀中繼(Frame Relay)技術的興起，電信運營商轉而使用虛電路方式為客戶提供點到點的二層連接，客戶再在其上建立自己的三層網絡以承載IP等數(shù)據(jù)流。虛電路方式與租賃專線相比，運營商網絡建設時間短、價格低，能在不同專網之間共享運營商的網絡結

33、構。</p><p>　　這種傳統(tǒng)專網的不足在于：</p><p>　　1.依賴于專用的介質(如ATM或FR)：為提供基于ATM的VPN服務，運營商需要建立覆蓋全部服務范圍的ATM網絡：為提供基于FR的VPN服務，又需要建立覆蓋全部服務范圍的FR網絡。網絡建設成本高。</p><p>　　2.速率較慢：不能滿足當前Internet應用對于速率的要求。</p&g

34、t;<p>　　3.部署復雜：向已有的私有網絡加入新的站點時，需要同時修改所有接入此站點的邊緣節(jié)點的配置。</p><p>　　傳統(tǒng)專網的應用，促使了企業(yè)效益的日益增長，但傳統(tǒng)專網難以滿足企業(yè)對網絡的靈活性、安全性、經濟性、擴展性等方面的要求。這促使了一種新的替代方案的產生—在現(xiàn)有IP網絡上模擬傳統(tǒng)專網：這種新的解決方案就是虛擬專用網VPN(Virtual Private Network)。<

35、/p><p>　　VPN是依靠Internet服務提供商ISP (Internet Service Provider)和網絡服務提供商NSP(Network Service Provider)在公共網絡中建立的虛擬專用通信網絡。</p><p>　　2.1.2 VPN的特征</p><p>　　VPN具有以下兩個基本特征：</p><p>　　

36、1.專用(Private)：對于VPN用戶，使用VPN與使用傳統(tǒng)專網沒有區(qū)別。VPN與底層承載網絡之間保持資源獨立，即VPN資源不被網絡中非該VPN的用戶所使用；且VPN能夠提供足夠的安全保證，確保VPN內部信息不受外部侵擾。</p><p>　　2.虛擬(Virtual)：VPN用戶內部的通信是通過公共網絡進行的，而這個公共網絡同時也可以被其他非VPN用戶使用，VPN用戶獲得的只是一個邏輯意義上的專網。這個公共

37、網絡稱為VPN骨干網(VPN Backbone)。</p><p>　　利用VPN的專用和虛擬的特征，可以把現(xiàn)有的IP網絡分解成邏輯上隔離的網絡。這種邏輯隔離的網絡應用豐富：可以用在解決企業(yè)內部的互連、相同或不同辦事部門的互連：也可以用來提供新的業(yè)務，如為IP電話業(yè)務專門開辟一個VPN，以此解決IP網絡地址不足、QoS保證、以及開展新的增值服務等問題。</p><p>　　在解決企業(yè)互連和

38、提供各種新業(yè)務方面，VPN，尤其是MPLS VPN，越來越被運營商看好，成為運營商在IP網絡提供增值業(yè)務的重要手段。</p><p>　　2.1.3 VPN的優(yōu)勢</p><p>　　從客戶角度看，VPN和傳統(tǒng)的數(shù)據(jù)專網相比具有如下優(yōu)勢：</p><p>　　1.安全：在遠端用戶、駐外機構、合作伙伴、供應商與公司總部之間建立可靠的連接，保證數(shù)據(jù)傳輸?shù)陌踩?。這對于

39、實現(xiàn)電子商務或金融網絡與通訊網絡的融合特別重要。</p><p>　　2.廉價：利用公共網絡進行信息通訊，企業(yè)可以用更低的成本連接遠程辦事機構、出差人員和業(yè)務伙伴。</p><p>　　3.支持移動業(yè)務：支持駐外VPN用戶在任何時間、任何地點的移動接入，能夠滿足不斷增長的移動業(yè)務需求。</p><p>　　4.服務質量保證：構建具有服務質量保證的VPN(如MPLS

40、VPN)，可為VPN用戶提供不同等級的服務質量保證。從運營商角度看，VPN具有如下優(yōu)勢：</p><p>　　5.可運營：提高網絡資源利用率，有助于增加ISP的收益。</p><p>　　6.靈活：通過軟件配置就可以增加、刪除VPN用戶，無需改動硬件設施。在應用上具有很大靈活性。</p><p>　　7.多業(yè)務：SP在提供VPN互連的基礎上，可以承攬網絡外包、業(yè)務外

41、包、客戶化專業(yè)服務的多業(yè)務經營。</p><p>　　VPN以其獨具特色的優(yōu)勢贏得了越來越多的企業(yè)的青睞，使企業(yè)可以較少地關注網絡的運行與維護，從而更多地致力于企業(yè)的商業(yè)目標的實現(xiàn)。另外，運營商可以只管理、運行一個網絡，并在一個網絡上同時提供多種服務，如Best-effort IP服務、VPN、流量工程、差分服務(Diffserv)，從而減少運營商的建設、維護和運行費用。</p><p>

42、　　VPN在保證網絡的安全性、可靠性、可管理性的同時提供更強的擴展性和靈活性。在全球任何一個角落，只要能夠接入到Internet，即可使用VPN。</p><p>　　2.2 VPN的分類</p><p>　　VPN可按業(yè)務類型和實現(xiàn)技術兩個角度進行分類。</p><p>　　2.2.1 按VPN的業(yè)務類型劃分</p><p>　　根據(jù)服務類

43、型，VPN業(yè)務大致分為三類：接入VPN（Access VPN）、內聯(lián)網VPN(Intranet VPN)和外聯(lián)網VPN（Extranet VPN）。通常情況下內聯(lián)網VPN是專線VPN。</p><p>　　（1）接入VPN：這是企業(yè)出差員工通過公網遠程訪問企業(yè)內部網絡的VPN方式。遠程用戶一般是一臺計算機，而不是網絡，因此組成的VPN是一種主機到網絡的拓撲模型。</p><p>　　（2）

44、內聯(lián)網VPN：這是企業(yè)的總部與分支機構之間通過公網構筑的虛擬網，這是一種網絡到網絡以對等的方式連接起來所組成的VPN。</p><p>　?。?）外聯(lián)網VPN：這是企業(yè)在發(fā)生收購、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后，使不同企業(yè)間通過公網來構筑的虛擬網。這是一種網絡到網絡以不對等的方式連接起來所組成的VPN（主要在安全策略上有所不同）。</p><p>　　2.2.2 按VPN的實現(xiàn)技術劃分<

45、/p><p>　　目前，主流的VPN技術有IPSec VPN、SSL VPN、MPLS VPN。</p><p>　　IPSec VPN是一個應用廣泛、開放的VPN安全協(xié)議技術，它提供了如何讓保密性強的數(shù)據(jù)在開放的網絡中傳輸?shù)陌踩珯C制。它工作在網絡層，為數(shù)據(jù)傳輸過程提供安全保護，主要手段是對數(shù)據(jù)進行加密和對數(shù)據(jù)收發(fā)方進行身份認證。IPSec VPN技術可以設置成在兩種模式下運行，一種是隧道模式

46、，把IPv4數(shù)據(jù)包封裝在安全的IP幀中進行傳輸，但這種方式系統(tǒng)開銷比較大；另一種模式是傳輸模式，隱藏路由信息，提供端到端的安全保護。</p><p>　　SSL VPN也是一種在Internet上確保信息安全收發(fā)的通用協(xié)議技術，位于TCP/IP協(xié)議與各種應用層協(xié)議之間，以可靠的傳輸協(xié)議(如TCP)為根基，為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持，為網絡的連接提供服務器認證、可選的客戶認證、SSL鏈路上的

47、數(shù)據(jù)完整性保證、保密性保證。目前，SSL VPN也廣泛被應用于各種瀏覽器中，使用者利用瀏覽器內的SSL封裝包處理功能，用瀏覽器連接單位內網的SSL VPN服務器，通過網絡封包轉向的方式，從而讓遠程計算機執(zhí)行任務，讀取單位內網上的信息。</p><p>　　多協(xié)議標簽交換MPLS VPN是一種面向連接的技術，通過MPLS信令建立好MPLS標記交換通道LSP，數(shù)據(jù)轉發(fā)時在網絡的入口處對信息進行分類，網絡設備中根據(jù)分類

48、選擇相應的交換通道LSP，并打上相應的標簽，再轉發(fā)時直接根據(jù)報頭的標簽轉發(fā)，不再通過IP地址查找，在LSP出口處，卸掉標簽，還原為原來的IP數(shù)據(jù)包。它是一種快速數(shù)據(jù)包交換和路由的體系，通過標簽交換路徑將私有的網絡的不同分支聯(lián)系起來，從而形成一套虛擬的統(tǒng)一的網絡。基于這種交換和路由的特點，它的路由工作在網絡的第三層，而核心任務工作在第二層。</p><p>　　3大型企業(yè)網絡的VPN需求分析</p>

49、<p>　　隨著經濟全球化步伐的加快，跨國、跨地區(qū)的企業(yè)收購和合并日益增多。每家公司的分支機構的分布也越來越廣，公司各分支機構之間為了共享商業(yè)數(shù)據(jù)，需要將各分支機構之間聯(lián)網，在保證數(shù)據(jù)存儲和傳輸安全的前提下共享數(shù)據(jù)，同時解決方案盡可能的要減少投入和降低使用成本。</p><p>　　分析這些需要聯(lián)網的企業(yè)用戶的需求特點，可以歸納為以下幾點：</p><p>　　1）分支機構彼此分

50、布不同地點</p><p>　　2）需要共享大量的商業(yè)數(shù)據(jù)，對接入帶寬有一定的要求</p><p>　　3）必須保證數(shù)據(jù)在傳輸過程中的安全性。過去的企業(yè)網絡，多以封閉式的專線連接為主， 其主要原因就是考慮數(shù)據(jù)傳輸?shù)陌踩浴Ｈ粼诎踩圆荒鼙槐Ｕ系臓顩r下，一旦企業(yè)重要資料被他人所竊取，將對企業(yè)造成難以彌補的損失</p><p><b>　　4）解決方案低成本&

51、lt;/b></p><p>　　VPN技術就是在這個背景下應運而生的，VPN的出現(xiàn)滿足了企業(yè)用戶的需求。</p><p>　　VPN的基本思路就是充分利用現(xiàn)有的公共IP網，通過隧道技術，將公網虛擬成專用網，同時免除了昂貴的專線租用費用。</p><p>　　4 大型企業(yè)VPN方案設計與實現(xiàn)</p><p>　　4.1 IPSec VP

52、N方案的設計與實現(xiàn)</p><p>　　4.1.1 組網背景</p><p>　　有一公司的總部在北京，在上海有一分部，北京總部內部采用私有IP地址，但要接入Internet，且對外的Web服務器Server0，要讓一般用戶可以從Internet訪問。北京總部與上海分部之間，要求建立站點間的VPN。即通過私有IP地址可以互相訪問。北京總部有多個公用IP（200.0.0.0--200.0.0

53、.15，Server0對外的IP地址為200.0.0.8，即從公網的一臺電腦上ping 200.0.0.8可以ping通server0）。實現(xiàn)北京總部各部門間的網絡的廣播流量相互隔離，網絡互通。在路由器上配置路由協(xié)議，使用網絡可以互通。上海分部內部也使用私有IP地址，通過NAT訪問Internet。北京總部與上海分部之間，要求建立站點間的VPN。即通過私有IP地址可以互相訪問。</p><p>　　4.1.2 網

54、絡拓撲</p><p>　　圖4.1 IPSec VPN網絡拓撲圖</p><p>　　4.1.3 IP地址規(guī)劃</p><p>　　在北京總部的交換機上劃分5個VLAN</p><p>　　表4.1 北京總部VLAN劃分</p><p>　　上海分部Server2 IP：172.16.1.1</p>&

55、lt;p>　　某一外網PC IP：202.202.202.1</p><p>　　4.1.4 關鍵配置代碼</p><p>　　1）北京總部內部采用私有IP地址，但要接入Internet，且對外的Web服務器Server0，要讓一般用戶可以從Internet訪問。設分配給總部有多個公用IP（假設為200.0.0.0---200.0.0.15，Server0對外的IP地址為200.0.

56、0.8，即從公網IP地址的PC2上ping 200.0.0.8可以ping通server0）。</p><p><b>　　這要用到兩條NAT</b></p><p>　?、偈箖染W機子可以訪問外網</p><p>　　access-list 101 deny ip 192.168.0.0 0.0.255.255 172.16.0.0 0.0.2

57、55.255</p><p>　　access-list 101 permit ip 192.168.0.0 0.0.255.255 any</p><p>　　ip nat inside source list 101 interface FastEthernet0/1 overload</p><p>　　②使網絡可以訪問Server0</p>&

58、lt;p>　　ip nat inside source static 192.168.77.1 200.0.0.8</p><p>　　2）實現(xiàn)北京總部各部門間的網絡的廣播流量相互隔離，網絡互通，但同時要求各技術部、銷售部的計算機不能主動訪問財務部的服務器與計算機。</p><p>　　這要利用VLAN來進行廣播流量的分隔，并通過三層交換機來實現(xiàn)VALN間的互連</p>

59、<p>　　①用vlan命令建立vlan</p><p>　?、谟胕nt range switchport access vlan 把接口加入vlan</p><p>　?、墼賗nt vlan</p><p>　?、躨p addr給vlan分配IP地址。</p><p>　　3）上配置路由協(xié)議，使用網絡可以互通。</p>

60、;<p><b>　　在路由器用OSPF</b></p><p>　　router ospf 1</p><p>　　network 0.0.0.0 255.255.255.255 area 0</p><p>　　4）上海分部內部也使用私有IP地址，通過NAT訪問Internet。但北京總部與上海分部之間，要求建立站點間的VPN

61、。即通過私有IP地址可以互相訪問。</p><p>　　（1）Router0上的VPN配置</p><p>　　access-list 111 permit ip 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255</p><p>　　crypto isakmp policy 10</p><p>&

62、lt;b>　　encr 3des</b></p><p><b>　　hash md5</b></p><p>　　authentication pre-share</p><p>　　crypto isakmp key 2046 address 203.203.203.2</p><p>　　cryp

63、to ipsec transform-set tim esp-3des esp-md5-hmac</p><p>　　crypto map tom 10 ipsec-isakmp </p><p>　　set peer 203.203.203.2</p><p>　　set transform-set tim </p><p>　　match

64、 address 111</p><p>　　interface FastEthernet0/1</p><p>　　crypto map tom</p><p>　　ip route 172.16.1.0 255.255.255.0 200.0.0.16</p><p>　?。?）Router3上的VPN配置</p><

65、p>　　access-list 111 permit ip 172.16.0.0 0.0.255.255 192.168.0.0 0.0.255.255</p><p>　　crypto isakmp policy 10</p><p><b>　　encr 3des</b></p><p><b>　　hash md5<

66、/b></p><p>　　authentication pre-share</p><p>　　crypto isakmp key 2046 address 200.0.0.1</p><p>　　crypto ipsec transform-set tim esp-3des esp-md5-hmac</p><p>　　crypto

67、 map tom 10 ipsec-isakmp </p><p>　　set peer 200.0.0.1</p><p>　　set transform-set tim </p><p>　　match address 111</p><p>　　interface FastEthernet0/0</p><p>

68、　　crypto map tom</p><p>　　ip route 0.0.0.0 0.0.0.0 203.203.203.1</p><p>　　從PC0（192.168.1.1）上可以ping通Server2（172.16.1.1）（證明可從北京總部訪問上海分部，VPN配置成功）</p><p>　　圖4.2 從PC0到Server2可ping通</p

69、><p>　　4.2 MPLS VPN方案的設計與實現(xiàn)</p><p>　　4.1.1 組網背景</p><p>　　某大型公司除了北京的主要分支點以外，在深圳也有分部。</p><p>　　客戶對信息系統(tǒng)的應用相對于同行比較超前，目前，OA、郵件、語音等系統(tǒng)都己成為主要的應用。OA、語音等系統(tǒng)需要實時的數(shù)據(jù)交換，而且數(shù)據(jù)的交換量較大，依靠原有的

70、網絡連接，經常會帶來數(shù)據(jù)堵塞，速度太慢，系統(tǒng)不能真正的發(fā)揮效益。應用超前、網絡接入的滯后，嚴重影響了系統(tǒng)應用能力的提升。</p><p>　　隨著業(yè)務的不斷發(fā)展，客戶為改造現(xiàn)有語音數(shù)據(jù)綜合通信網絡并配合即將上馬的企業(yè)ERP系統(tǒng)的應用，需要與多個分支機構的業(yè)務點相互連接，建立一個單獨的靈活的符合企業(yè)運用要求的通達全球的數(shù)據(jù)通信網絡，保證數(shù)據(jù)傳輸?shù)目煽啃院桶踩?，并能獲得優(yōu)良的網絡服務質量保證。</p>

71、<p>　　由于MPLS VPN有與其它的實現(xiàn)技術有著成本低、靈活性和擴展性好、安全性高、支持QoS、適用于較大的企事業(yè)單位等諸多優(yōu)點，所以選擇MPLS作為VPN的實現(xiàn)技術。</p><p>　　4.2.2 網絡拓撲</p><p>　　圖4.3 MPSL VPN網絡拓撲圖</p><p>　　4.2.3 IP地址規(guī)劃</p><p&

72、gt;<b>　　見圖4.3。</b></p><p>　　4.2.4 關鍵配置代碼</p><p>　　（1）PE-A路由器配置</p><p>　　router id 192.168.255.2</p><p>　　mpls lsr id 192.168.255.2 //配置mpls lsr id此處用和rout

73、er id一致的Loopback地址</p><p><b>　　! </b></p><p>　　mpls ldp //啟動MPLS LDP協(xié)議</p><p><b>　　!</b></p><p>　　ip vrf vpntest //配置vrf，其中vpntest為vrf名稱<

74、/p><p>　　rd 100:1 //rd為標識符，結構為自治系統(tǒng)編號：VPN站點編號</p><p>　　route-target export 100:1</p><p>　　route-target import 100:1</p><p><b>　　! </b></p><p&g

75、t;　　interface Ethernet2/2/0</p><p>　　description TO_Router-CE-A</p><p>　　ip vrf forwarding vpntest //VPN站點連接CE路由器接口啟動vrf forwarding </p><p>　　ip address 172.16.0.9 255.255.255.252

76、</p><p>　　interface Ethernet3/2/0</p><p>　　description TO_Router-NE80_P </p><p>　　ip address 192.168.0.17 255.255.255.252</p><p>　　mpls ldp enable //與P路由器連接的接口啟動MP

77、LS LDP協(xié)議</p><p><b>　　!</b></p><p>　　interface LoopBack7/0/0 </p><p>　　ip address 192.168.255.2 255.255.255.255</p><p><b>　　!</b></p><

78、p>　　router bgp 100 //配置BGP協(xié)議 </p><p><b>　　!</b></p><p>　　address-family ipv4 vrf vpntest //此模式為配置EBGP和CE路由器通過BGP協(xié)議來傳遞 VPN站點的路由</p><p>　　redistribute static</

79、p><p>　　redistribute connected</p><p>　　no synchronization</p><p>　　neighbor 172.16.0.10 remote-as 65000</p><p>　　exit-address-family </p><p><b>　　! <

80、;/b></p><p>　　address-family vpnv4 //此模式為配置vpnv4 iBGP路由，用于在PE之間傳播MBGP VPN路由</p><p>　　no synchronization </p><p>　　neighbor 192.168.255.1 remote-as 100</p><p>　　n

81、eighbor 192.168.255.1 next-hop-self</p><p>　　neighbor 192.168.255.1 update-source LoopBack7/0/0</p><p>　　exit-address-family</p><p><b>　　!</b></p><p>　　rout

82、er ospf //PE、P路由器路由通過IGP路由協(xié)議傳播</p><p>　　network 192.168.0.0 0.0.255.255 area 0.0.0.0 </p><p>　　redistribute static</p><p>　　redistribute connected </p><p>　?。?）配置NE8

83、0 作為P路由器只做標簽轉發(fā)</p><p>　　router id 192.168.255.3</p><p>　　mpls lsr id 192.168.255.3</p><p><b>　　mpls ldp</b></p><p><b>　　!</b></p><p&g

84、t;　　interface Ethernet1/0/1 </p><p>　　description TO_Router-PE-B</p><p>　　negotiation auto</p><p>　　no shutdown</p><p>　　ip address 192.168.0.14 255.255.255.252</p

85、><p>　　mpls ldp enable //與PE-B路由器連接的接口啟動MPLS LDP協(xié)議</p><p><b>　　!</b></p><p>　　interface Ethernet1/0/3 </p><p>　　description TO_Router-PE-A</p>

86、;<p>　　negotiation auto</p><p>　　no shutdown</p><p>　　ip address 192.168.0.18 255.255.255.252</p><p>　　mpls ldp enable //與PE-A路由器連接的接口啟動MPLS LDP協(xié)議</p><p>

87、<b>　　!</b></p><p>　　interface LoopBack0</p><p>　　ip address 192.168.255.3 255.255.255.255</p><p><b>　　!</b></p><p>　　router ospf</p><

88、p>　　network 192.168.0.0 0.0.255.255 area 0.0.0.0 </p><p>　　redistribute connected </p><p>　　redistribute static</p><p>　?。?）CE-A路由器配置（VPN用戶路由器）</p><p>　　router id

89、172.16.0.10</p><p>　　interface Ethernet0 //用于和PE-A路由器連接</p><p>　　speed auto</p><p>　　duplex auto</p><p>　　no loopback</p><p>　　ip address 172.16.0.10 2

90、55.255.255.252</p><p><b>　　!</b></p><p>　　interface Ethernet1 //接入VPN用戶局域網</p><p>　　speed auto</p><p>　　duplex auto </p><p>　　no loopback&l

91、t;/p><p>　　ip address 10.0.5.1 255.255.255.0</p><p><b>　　!</b></p><p>　　router bgp 65000 //配置EBGP路由，與PE路由器之間傳遞VPN用戶路由</p><p>　　redistribute static </p

92、><p>　　redistribute connected</p><p>　　neighbor 172.16.0.9 remote-as 100</p><p><b>　　!</b></p><p>　?。?）配置PE-B路由器，和CE-B之間通過靜態(tài)路由互聯(lián)</p><p>　　hostname

93、 PE-B</p><p>　　router id 192.168.255.1</p><p>　　mpls lsr id 192.168.255.1</p><p><b>　　mpls ldp</b></p><p><b>　　!</b></p><p>　　ip vr

94、f vpntest</p><p><b>　　rd 100:1</b></p><p>　　route-target export 100:1</p><p>　　route-target import 100:1</p><p><b>　　!</b></p><p>　

95、　interface Ethernet12/2/0 //用于和CE-B路由器連接 </p><p>　　ip vrf forwarding vpntest</p><p>　　ip address 172.16.0.5 255.255.255.252</p><p><b>　　!</b></p><p>　

96、　interface Ethernet13/2/0 //用于和P路由器連接 </p><p>　　ip address 192.168.0.13 255.255.255.252</p><p>　　mpls ldp enable</p><p><b>　　!</b></p><p>　　interface Loop

97、Back7/0/0 </p><p>　　ip address 192.168.255.1 255.255.255.255</p><p><b>　　!</b></p><p>　　router bgp 100</p><p><b>　　!</b></p><p>　　a

98、ddress-family ipv4 vrf vpntest</p><p>　　redistribute static</p><p>　　redistribute connected </p><p>　　no synchronization</p><p>　　exit-address-family</p><p&g

99、t;<b>　　!</b></p><p>　　address-family vpnv4</p><p>　　no synchronization</p><p>　　neighbor 192.168.255.2 remote-as 100</p><p>　　neighbor 192.168.255.2 next-ho

100、p-self</p><p>　　neighbor 192.168.255.2 update-source LoopBack7/0/0 </p><p>　　exit-address-family </p><p><b>　　!</b></p><p>　　router ospf</p><p>

101、;　　network 192.168.0.0 0.0.255.255 area 0.0.0.0</p><p>　　redistribute connected </p><p>　　redistribute static</p><p><b>　　!</b></p><p>　　ip route vrf vpnt

102、est 10.0.3.0 255.255.255.0 172.16.0.6 preference 60 //配置到CE-B路由器VPN用戶網段地址靜態(tài)路由</p><p>　　（5）配置CE-B路由器</p><p>　　interface Ethernet0 //與PE-B路由器對接</p><p>　　ip address 172.16

103、.0.6 255.255.255.252</p><p>　　interface Ethernet1 //接入VPN用戶局域網</p><p>　　ip address 10.0.3.1 255.255.255.0</p><p>　　ip route 0.0.0.0 0.0.0.0 172.16.0.5 preference 60 //配置一條默認路由&

104、lt;/p><p>　　5 IPSec VPN與MPLS VPN的對比分析</p><p>　　MPLS VPN是一種基于MPLS(Multiprotocol Label Switc hing,多協(xié)議標記交換 )技術的IP-VPN，是在網絡路由和交換設備上應用MPLS技術，簡化核心路由器的路由選擇方式，利用結合傳統(tǒng)路由技術的標記交換實現(xiàn)的IP虛擬專用網絡（IP VPN），可用來構造寬帶的Int

105、ranet、Extranet，滿足多種靈活的業(yè)務需求。</p><p>　　MPLS有很多方面的優(yōu)點，其中主要的優(yōu)點就是采用了類似標記交換和IP交換的方式，可以充分利用電信交換網絡的硬件優(yōu)勢，相對簡化轉發(fā)處理，提高IP包的轉發(fā)效率。</p><p>　　與IPSec VPN比較，MPLS VPN有它優(yōu)越的一方面，但也并非處處完美。下面從幾個方面對MPLS VPN與IPSEC VPN進行對比

106、。</p><p><b>　　1）系統(tǒng)的可靠性</b></p><p>　　MPLS VPN是基于電信的網絡進行構建的，它的穩(wěn)定性相當高。由于本身屬于電信的一項數(shù)據(jù)業(yè)務，它的帶寬是完全有保證的，也就是說，租用MPLS鏈路，就能夠得到相應的數(shù)據(jù)帶寬。</p><p>　　從可靠性來說，MPLS有很強的優(yōu)勢。相當于另外一種形式的專線。</p

107、><p>　　IPSec VPN是完全基于Internet構建的，因此它的可靠性依賴于兩個方面：線路的可靠性和設備的穩(wěn)定性。</p><p>　　從設備可靠性來看，IPSEC作為主流的VPN協(xié)議，它的技術一般都比較完善。目前基于IPSec的VPN技術已經成熟，很多產品的運行都能夠非常穩(wěn)定可靠。</p><p>　　目前Internet的接入已經非常普及，由于長期的投入建

108、設，整個Internet線路已經達到了很高的水平，不僅帶寬有保證，而且提供的接入方式多樣。一旦某一條線路出錯，可以使用其他備份線路接入Internet。因此單一線路可靠性雖然沒有MPLS高，由于隨時可以使用的其他線路作備份，因此系統(tǒng)具有很強的容錯能力。這一點，是MPLS鏈路無法達到的。</p><p><b>　　2）投入成本</b></p><p>　　從投入成本上

109、分析，MPLS可以免除設備投資，但是大多數(shù)情況下，用戶還是需要購買路由器之類的設備。</p><p>　　另外，MPLS長期的租金累計起來，也不是一個小數(shù)目， 例如512K的帶寬，每個月需要上千元到幾千元的網絡租用費，如果是國際鏈路，就會更加昂貴。</p><p>　　但同樣512K的Internet接入費用，以普通的ADSL為例，現(xiàn)在在大多數(shù)城市只需要100～200元左右。采用IPSec

110、 VPN，一次性設備投入比較大。但從長遠看來，費用分攤以后，那么它的費用實際是比MPLS VPN要低很多。</p><p><b>　　3）接入方便性</b></p><p>　　MPLS VPN連接比較簡單，只要求客戶把客戶設備(CE) 連接到運營商的網絡邊緣設備(PE)就可以了，運營商同時負責二層的數(shù)據(jù)傳輸工作和三層的路由工作，這種三層MPLS VPN對客戶的要求

111、比較低，客戶負擔較小，但這種做法常見的問題就是接入的靈活性。因為MPLS VPN是單一運營商提供的，跨運營商的連接常常存在很大問題，例如：聯(lián)通提供的MPLS服務和電信提供的MPLS，彼此就很難連接。而大型客戶往往在全國各地都有自己的分支機構，如果寄希望這些分支機構所在城市都有同一家運營商并且都提供MPLS VPN的服務，顯然很不現(xiàn)實，特別是在偏遠地區(qū)和移動用戶。因此MPLS更適合在城域網中，或者象中國電信這樣大型的全國性的運營商中使用。

112、</p><p>　　IPSec VPN則是完全利用互聯(lián)網，做到了只要接入Internet，就可以利用IPSEC VPN來組建企業(yè)自己的網絡。其屬于端到端服務，不需要骨干網絡承擔業(yè)務相關功能。響應市場變化的速度快捷，可以在現(xiàn)有的任何IP網絡上部署。用戶可在任意位置使用。隨著電信“最后一公里”技術的實現(xiàn)，Internet真的做到了無處不在。利用Internet的資源，采用IPSEC VPN技術可以非常方便地在全球范

113、圍內，組建企業(yè)的虛擬專網。</p><p>　　隨著業(yè)務的不斷發(fā)展，移動用戶和在家辦公的用戶也越來越多，VPN客戶端的支持也非常重要，使用IPSec客戶端可以讓移動用戶隨時隨地都能夠跟企業(yè)內部進行信息交換。這一點MPLS VPN顯然是做不到的。</p><p><b>　　4）安全性</b></p><p>　　MPLS VPN采用路由隔離、地

114、址隔離等多種手段提供了抗攻擊和標記欺騙的手段，因此人們認為，MPLS VPN完全能夠提供與FR/ATM 相類似的線路安全保證。 </p><p>　　但是MPLS VPN也沒有解決所有管理型的共享網絡普遍存在的非法訪問受保護的網絡元、錯誤配置以及內部(包括核心)攻擊等安全問題。例如在MPLS VPN傳遞數(shù)據(jù)，只是標記了端點路由，對數(shù)據(jù)本身并不提供加密的防護手段。因此MPLS VPN的安全性一般。</p>