资源描述:
《mpls在vpn中的应用》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、1、VPN基于MPLS(多协议标记交换)一般用于ISP部署自己的骨干网络并对外提供VPN服务。MPLSVPN是一种基于MPLS技术的IPVPN,是在网络路由和交换设备上应用MPLS(MultiprotocolLabelSwitching,多协议标记交换)技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IPVPN),可用来构造宽带的Intranet、Extranet,满足多种灵活的业务需求。MPLS是基于标记的IP路由选择方法。这些标记可以被用来代表逐跳式或者显式路由,并指明服务质量(QoS)、虚拟专网以及影响一种特定
2、类型的流量(或一个特殊用户的流量)在网络上的传输方式等各类信息。MPLS采用简化了的技术来完成第三层和第二层的转换,它可以提供每个IP数据包一个标记,将之与IP数据包封装于新的MPLS数据包,由此决定IP数据包的传输路径以及优先顺序。而与MPLS兼容的路由器会在将IP数据包按相应路径转发之前仅读取该MPLS数据包的包头标记,无须再去读取每个IP数据包中的IP地址位等信息,因此数据包的交换转发速度大大加快。MPLS协议实现了第三层的路由到第二层的交换的转换。MPLS可以使用各种第二层协议。MPLS工作组到目前为止已经把在帧中继、ATM和PPP链路以及IEEE8
3、0213局域网上使用的标记实现了标准化。MPLS在帧中继和ATM上运行的一个好处是它为这些面向连接的技术。使用MPLS的VPN分为两类:第二层MPLSVPN和第三层MPLSVPN。第二层MPLSVPN一般基于IETF的Martini标准或Kompella标准,只提供第二层的服务,例如:帧中继、ATM或者以太网。如果用户使用的是帧中继或者ATM,并且需要合并网眼,而用户可以由一个服务提供商连接所有的分支地点的话,那么用户使用MPLSVPN的成本就较低,否则MPLSVPN不会给用户带来任何附加的好处。第三层MPLSVPN的工作方式与第二层的不同,服务提供商为每个
4、IP通信数据流添加标签,通过这个标识就可以在IP网络中生成虚拟IP回路或者标签交换路径LSP。服务提供商使用标签来生成闭合的路径,将用户的数据同网络中其它的数据隔离开来,从而可以提供类似于帧中继或者ATM中的专用虚拟回路PVC式的安全服务。因为MPLSVPN需要服务提供商修改自己的网络,所以MPLSVPN是一种基于网络的VPN,它不需要在客户端安装任何设备,隧道一般在服务提供商的边缘路由器处就终结了。第三层MPLSVPN相对于第二层MPLSVPN来说有很多的优点。由于它是依靠IP路由来构筑路径的,第三层VPN可以方便地在一个服务提供商的网络内生成完全的或部分
5、的网状网络,每个站点只有一个链路连接到服务提供商的网络上,这样就消除了一直困扰着ATM或帧中继网络的多PVC的设置和管理问题。IETF已经制定了标准来使MPLSVPN支持区分服务,这样服务提供商就可以为语音或其它对延时敏感的服务提供优先级服务。VPN安全技术在VPN使用日益频繁的今天,安全问题是VPN的核心问题。由于传输的是私有信息,VPN用户对数据的安全性都比较关心。目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术(KeyManagement)、使用
6、者与设备身份认证技术(Authentication)。MPLS的安全性MPLS为每个IP包加上了一个固定长度的标签,并根据标签值转发数据包。MPLS实际上就是一种隧道技术,所以使用它来建立VPN隧道十分容易而且高效。一般采用下面一些措施:(1)路由隔离MPLSVPN实现了VPN之间的路由隔离。每个PE路由器为每个所连接的VPN都维护一个独立的虚拟路由转发实例(VFI),每个VFI驻留来自同一VPN的路由(静态配置或在PE和CE之间运行路由协议)。因为每个VPN都产生一个独立的VFI,因此不会受到该PE路由器上其它VPN的影响。(2)隐藏MPLS核心结构出于安
7、全考虑,运营商和终端用户通常并不希望把它们的网络拓扑暴露给外界,这可以使攻击变得更加困难。如果知道了IP地址,一个潜在的攻击者至少可以对该设备发起DoS攻击。但由于使用了“路由隔离”,MPLS不会将不必要的信息泄露给外界,甚至是向客户VPN。(3)抗攻击性 因为进行了路由隔离,因此不可能从一个VPN攻击另外一个VPN或核心网络,但从理论上讲有可能利用路由协议对PE路由器进行Dos攻击,或者攻击MPLS的信令信息。(4)标记欺骗 在MPLS网络中,包的转发不是基于IP目的地址,而是基于由PE路由器预先添加的标记。与IP欺骗攻击时攻击者替代包的IP源地址和目的地
8、址相似,理论上有可能出现MPLS包的标记欺骗。从上面