vpn在大型企業(yè)網(wǎng)絡(luò)中的應(yīng)用研究畢業(yè)論文（含外文翻譯）

1、<p>　　VPN在大型企業(yè)網(wǎng)絡(luò)中的應(yīng)用研究</p><p><b>　　摘要：</b></p><p>　　隨著信息技術(shù)的高速發(fā)展，大型企業(yè)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的需求越來(lái)越高，促進(jìn)了VPN技術(shù)快速的發(fā)展和應(yīng)用。VPN有著租用專線的安全的和因特網(wǎng)廉價(jià)的優(yōu)點(diǎn)。</p><p>　　本文具體分析了VPN技術(shù)的現(xiàn)狀和發(fā)展趨勢(shì)，介紹了VPN的產(chǎn)生、特

2、征和優(yōu)勢(shì)。詳細(xì)分析了大型企業(yè)對(duì)VPN的需求，結(jié)合實(shí)際應(yīng)用背景給出兩個(gè)解決方案，即基于IPSec VPN和MPLS VPN在大型企業(yè)中的部署方案，并詳細(xì)地給出了它們的設(shè)計(jì)和實(shí)現(xiàn)方法。最后對(duì)IPSec VPN與MPLS VPN二種方案的進(jìn)行了對(duì)比分析，給出了它們各自的適用的場(chǎng)景。</p><p>　　關(guān)鍵詞：VPN；大型企業(yè)網(wǎng)絡(luò)；IPSec VPN；MPLS VPN</p><p>　　Res

3、earch of Application of VPN</p><p>　　in Large Enterprise Network</p><p>　　Abstract: </p><p>　　With the rapid development of the Information Technology, demand on network from large

4、enterprises becomes larger and larger. All of this promotes the rapid development and application of VPN technology. VPN has the advantage of security which leased line possesses and the advantage of inexpensiveness whic

5、h Internet possesses. </p><p>　　This paper analyzes the present situation and development trend of VPN technology, introduces the production, characteristics, advantages of the VPN. Then the paper analyzes t

6、he requirement of the VPN network construction of large enterprises. Afterward, two schemes are given according to practical background. One uses IPSec VPN, and the other uses MPLS VPN. The design and realization process

7、es of the two schemes are given in detail. At last, this paper compares the IPSec VPN and the MPLS VPN, a</p><p>　　Key words: VPN; Enterprise network; IPSec VPN; MPLS VPN</p><p><b>　　目 錄&

8、lt;/b></p><p><b>　　1 緒論1</b></p><p>　　1.1 研究背景1</p><p>　　1.2 技術(shù)發(fā)展現(xiàn)狀1</p><p>　　1.3 本文主要研究的內(nèi)容4</p><p>　　1.4 本文的結(jié)構(gòu)安排4</p><p>

9、　　2 VPN的分類和技術(shù)概要5</p><p>　　2.1 VPN概述5</p><p>　　2.2 VPN的分類7</p><p>　　3大型企業(yè)網(wǎng)絡(luò)的VPN需求分析9</p><p>　　4 大型企業(yè)VPN方案設(shè)計(jì)與實(shí)現(xiàn)10</p><p>　　4.1 IPSec VPN方案的設(shè)計(jì)與實(shí)現(xiàn)10</

10、p><p>　　4.2 MPLS VPN方案的設(shè)計(jì)與實(shí)現(xiàn)13</p><p>　　5 IPSec VPN與MPLS VPN的對(duì)比分析20</p><p><b>　　6 總結(jié)24</b></p><p><b>　　參考文獻(xiàn)25</b></p><p><b>

11、　　致謝26</b></p><p><b>　　1 緒論</b></p><p><b>　　1.1 研究背景</b></p><p>　　進(jìn)入二十一世紀(jì)后，傳統(tǒng)語(yǔ)音業(yè)務(wù)的年增長(zhǎng)率較低，只有5-10%，與之相比較，數(shù)據(jù)業(yè)務(wù)(如Internet等)的年增長(zhǎng)率很高，為20-30%. Internet業(yè)務(wù)量持續(xù)的

12、指數(shù)增長(zhǎng)是數(shù)據(jù)通信業(yè)務(wù)量如此高速、持續(xù)增長(zhǎng)的最直接動(dòng)力。這對(duì)整個(gè)網(wǎng)絡(luò)的技術(shù)模式、整體架構(gòu)乃至當(dāng)今知識(shí)經(jīng)濟(jì)的內(nèi)涵來(lái)說(shuō)，都有著深遠(yuǎn)的影響。隨著網(wǎng)絡(luò)經(jīng)濟(jì)的不斷發(fā)展，各個(gè)企業(yè)對(duì)建設(shè)自己的網(wǎng)絡(luò)，提出的要求也不斷變高，要求網(wǎng)絡(luò)具備更好靈活性、經(jīng)濟(jì)性、擴(kuò)展性等是其主要表現(xiàn)。VPN具有獨(dú)有的優(yōu)勢(shì)，在通信技術(shù)大發(fā)展的背景下，對(duì)它密切關(guān)注的企業(yè)數(shù)量也不斷增多了。虛擬私有網(wǎng)絡(luò)(Virtual Private Network，VPN)簡(jiǎn)單來(lái)說(shuō)，就是利用公共網(wǎng)絡(luò)

13、來(lái)完成私有專用網(wǎng)絡(luò)的構(gòu)建。組建VPN，使得在公共網(wǎng)絡(luò)也能提供安全性和可管理性等，就像是企業(yè)自己的私有網(wǎng)絡(luò)一樣。</p><p>　　隨著企業(yè)網(wǎng)及政府網(wǎng)應(yīng)用的日益廣泛，網(wǎng)絡(luò)范圍也在不斷擴(kuò)大，跨地區(qū)跨城市，甚至是跨國(guó)家的網(wǎng)絡(luò)日益增多，這導(dǎo)致了對(duì)網(wǎng)絡(luò)要求也越來(lái)越高。采用傳統(tǒng)廣域網(wǎng)建立跨區(qū)域的企業(yè)或政府專網(wǎng)，往往需要租用昂貴的數(shù)字專線。而在此同時(shí)，Internet日益普及，已經(jīng)遍布世界各地，并且都是聯(lián)通的，但由于Inte

14、rnet是開(kāi)放的網(wǎng)絡(luò)，如果企業(yè)或政府的信息要通過(guò)Internet進(jìn)行傳輸，肯定存在著許多安全問(wèn)題。因此如何利用現(xiàn)有的Internet網(wǎng)絡(luò)來(lái)安全地建立企業(yè)或政府的專有網(wǎng)絡(luò)，就成了現(xiàn)在網(wǎng)絡(luò)應(yīng)用上的最急需解決的問(wèn)題。</p><p>　　如今，企業(yè)信息化是所有企業(yè)發(fā)展的必經(jīng)之路，特別是大型企業(yè)。企業(yè)信息化，可以大大提高企業(yè)的工作效率，減少企業(yè)的運(yùn)營(yíng)成本。</p><p>　　大型企業(yè)的特點(diǎn)是規(guī)模

15、很大，有多個(gè)分部或者分公司，它們之間需要信息的交流，這些信息一般都是一些敏感的信息，有的涉及到企業(yè)的商業(yè)秘密，若不小心被泄露，被截獲，后果不堪設(shè)想。</p><p>　　如何將企業(yè)的總部和分部連接起來(lái)，并且保證它們之間交換的數(shù)據(jù)的保密性、完整性，以及使連接成本不像專線那么高？為了解決這個(gè)問(wèn)題，VPN（Virtual Private Network，虛擬專用網(wǎng)）就應(yīng)運(yùn)而生了。</p><p>

16、;　　因特網(wǎng)有廉價(jià)的優(yōu)點(diǎn)，但是不安全；專線安全，但比較昂貴。VPN結(jié)合了因特網(wǎng)和專用網(wǎng)的優(yōu)點(diǎn)，同時(shí)也彌補(bǔ)了兩者的缺點(diǎn)。</p><p>　　1.2 技術(shù)發(fā)展現(xiàn)狀</p><p>　　近十年，VPN已從電話公司僅僅提供語(yǔ)音業(yè)務(wù)發(fā)展到了提供數(shù)據(jù)/語(yǔ)音混合，甚至多媒體業(yè)務(wù)。相應(yīng)的技術(shù)也從基于DDN,幀中繼(Frame Relay), ATM發(fā)展到了IP VPN，直至現(xiàn)在的MPLS VPN。<

17、;/p><p>　　SSL VPN市場(chǎng)近些年來(lái)一直保持著快速增長(zhǎng)的勢(shì)頭，在今年4月IT調(diào)研公司Frost & Sullivan發(fā)布的2010年中國(guó)SSL VPN市場(chǎng)分析報(bào)告中可以看到，中國(guó)SSL VPN市場(chǎng)在過(guò)去的一年里保持了10.3%的健康增長(zhǎng)。這其中，對(duì)于安全接入的需求增長(zhǎng)起到了非常重要的促進(jìn)作用。</p><p>　　SSL VPN市場(chǎng)現(xiàn)狀：政府和大中型企業(yè)等需求顯著</p

18、><p>　　近幾年來(lái)，各級(jí)政府對(duì)于信息化建設(shè)的投入一直在大幅度增加，這其中，無(wú)論是社保醫(yī)療網(wǎng)絡(luò)的建設(shè)，還是財(cái)務(wù)稅收信息化的建設(shè)，每個(gè)垂直分支都在大踏步地邁進(jìn)信息化時(shí)代，在此背景之下，各級(jí)政府對(duì)其網(wǎng)絡(luò)的穩(wěn)定具有非常高的要求，SSL VPN在這些方面具有較強(qiáng)的先天優(yōu)勢(shì)，從而獲得了政府行業(yè)更多的政策性支持；另外一方面，對(duì)于保密性質(zhì)較高的政府網(wǎng)絡(luò)來(lái)說(shuō)，防黑防盜是一個(gè)長(zhǎng)期的課題，SSL VPN產(chǎn)品突出的安全性能也更容易受到用

19、戶的青睞。</p><p>　　大型企業(yè)和中型企業(yè)方面，其往往具有信息化程度高、跨地域業(yè)務(wù)多和外包合作多的特點(diǎn)。這與政府行業(yè)更多是單純跨地域的網(wǎng)絡(luò)連通具有一定的差異。為了保證在不同網(wǎng)絡(luò)、不同地域機(jī)構(gòu)之間的業(yè)務(wù)連續(xù)性，相當(dāng)數(shù)量的用戶都選擇了比較安全穩(wěn)定的SSL VPN產(chǎn)品。</p><p>　　從未來(lái)市場(chǎng)增長(zhǎng)的角度來(lái)看，移動(dòng)終端和私有云的大規(guī)模發(fā)展也會(huì)對(duì)SSL VPN市場(chǎng)的增長(zhǎng)起到一個(gè)巨大的

20、促進(jìn)作用。</p><p>　　國(guó)外研究IPsec VPN較早，從1995年開(kāi)始，IETF著手研究制定了一套用于保護(hù)IP通信的IPsec安全協(xié)議族，1998年制訂了IP安全框架. IPsec提供既可用于IPv4也可用于IPv6的安全性機(jī)制，它是工Pv6的一個(gè)組成部分，也是IPv4的一個(gè)可選擴(kuò)展協(xié)議。通過(guò)實(shí)現(xiàn)和擴(kuò)展工Psec協(xié)議族，國(guó)外廠商紛紛推出了面向不同市場(chǎng)的IPsecVPN產(chǎn)品。除擁有IPsec VPN基本的

21、加密、認(rèn)證等功能外，還和防火墻、IDS等設(shè)備融合，形成了具有VPN功能的網(wǎng)絡(luò)安全設(shè)備。為滿足不同的用戶需求，各廠商還推出了擁有獨(dú)特功能的IPsec VPN，例如Cisco支持其專有Hub-and-Spoke技術(shù)的VPN。IPsec VPN技術(shù)的長(zhǎng)足發(fā)展，還促使產(chǎn)生了許多開(kāi)放源代碼的IPsec VPN軟件。</p><p>　　國(guó)內(nèi)IPsec VPN已有數(shù)年的研究發(fā)展歷史。初期主要是通過(guò)研究、分析國(guó)外開(kāi)源VPN軟件

22、，模仿國(guó)外大公司軟件功能的做法推出產(chǎn)品.隨著技術(shù)積累沉淀，國(guó)內(nèi)網(wǎng)絡(luò)安全公司也開(kāi)始研發(fā)具有自主知識(shí)產(chǎn)權(quán)、獨(dú)特功能的IPsec VPN產(chǎn)品.特別是在加密算法、認(rèn)證方式、NAT穿越等適應(yīng)國(guó)內(nèi)網(wǎng)絡(luò)發(fā)展現(xiàn)狀的技術(shù)領(lǐng)域中獲得了長(zhǎng)足進(jìn)步。</p><p>　　MPLS VPN業(yè)務(wù)近幾年引起了全球運(yùn)營(yíng)業(yè)的普遍關(guān)注。國(guó)外大的運(yùn)營(yíng)商如AT&T, sprint, Verizon, Bellsouth, NTT都己經(jīng)開(kāi)始應(yīng)用MP

23、LS網(wǎng)絡(luò)。我國(guó)運(yùn)營(yíng)商中最早推出MPLS VPN業(yè)務(wù)的是中國(guó)網(wǎng)通，推出時(shí)間為2002年6月。隨著市場(chǎng)前景的日益看好，中國(guó)電信、中國(guó)鐵通也開(kāi)始提供這項(xiàng)服務(wù)。此外，一些跨國(guó)運(yùn)營(yíng)商也開(kāi)始關(guān)注中國(guó)市場(chǎng)，圍繞MPLS VPN業(yè)務(wù)的競(jìng)爭(zhēng)正在中國(guó)市場(chǎng)上逐漸升溫。</p><p>　　作為網(wǎng)絡(luò)之國(guó)的美國(guó)，美國(guó)政府非常重視MPLS VPN技術(shù)的發(fā)展。2004年初，美國(guó)全國(guó)性運(yùn)營(yíng)商sprint推出針對(duì)企業(yè)用戶的MPLS VPN業(yè)務(wù)。至

24、此，sprint己經(jīng)擁有了數(shù)據(jù)網(wǎng)互聯(lián)方面所有的服務(wù)產(chǎn)品，包括舊有的傳統(tǒng)專用線、幀中繼、ATM,IP接入等等。在接下來(lái)的兩年里，sprint希望在自己的專有IP網(wǎng)和全球IP平臺(tái)上都采用MPLS VPN技術(shù)，并且集成以前的Internet接入和遠(yuǎn)程接入服務(wù)。</p><p>　　MPLS VPN在我國(guó)己經(jīng)進(jìn)入市場(chǎng)成長(zhǎng)期，越來(lái)越多的運(yùn)營(yíng)商會(huì)提供相應(yīng)的產(chǎn)品，有兩個(gè)方面的經(jīng)驗(yàn)可以借鑒：一是國(guó)外同行的運(yùn)營(yíng)經(jīng)驗(yàn)，二是國(guó)內(nèi)同行和

25、自己的經(jīng)驗(yàn)教訓(xùn)。總的來(lái)說(shuō)，首先，運(yùn)營(yíng)商一定要結(jié)合其他的VPN技術(shù)，如租用線、IP VPN、幀中繼、ATM來(lái)提供滿足不同用戶不同需求的整體解決方案；二是要確保運(yùn)營(yíng)質(zhì)量，如可靠性、QoS等;三是要努力降低網(wǎng)絡(luò)操作維護(hù)的復(fù)雜度，提高網(wǎng)絡(luò)的利用率，優(yōu)化網(wǎng)絡(luò)資源的使用;四是要加強(qiáng)和內(nèi)容提供商的合作，特別注意及時(shí)引入新業(yè)務(wù)吸引用戶。運(yùn)營(yíng)商相繼推出MPLS VPN服務(wù)，可能產(chǎn)生的最主要問(wèn)題是特殊安全需求和互聯(lián)互通問(wèn)題。</p><

26、p>　　在我國(guó)，因?yàn)樵诠残畔⒒A(chǔ)平臺(tái)上發(fā)展專有網(wǎng)絡(luò)已是大勢(shì)所趨，唯一讓用戶擔(dān)心的是安全性。實(shí)際上，MPLS VPN針對(duì)一般用戶，己經(jīng)可以提供虛電路級(jí)的安全性。但是在特殊要求的場(chǎng)合，比如公安、國(guó)防領(lǐng)域、電子交易、傳送敏感信息、商業(yè)文件時(shí)，用戶需要更加安全的保障措施。所以在吸引此類傳統(tǒng)的專網(wǎng)用戶時(shí)，運(yùn)營(yíng)商應(yīng)該著力應(yīng)對(duì)，提出更值得信賴的解決方案，比如IPSec加MPLS VPN。MPLS VPN應(yīng)是未來(lái)VPN實(shí)現(xiàn)技術(shù)的趨勢(shì)與主流。&l

27、t;/p><p>　　1.3 本文主要研究的內(nèi)容</p><p>　　本文主要研究怎么對(duì)大型企業(yè)網(wǎng)絡(luò)中使用的VPN的應(yīng)用方案進(jìn)行規(guī)劃、設(shè)計(jì)與實(shí)現(xiàn)。本文也分析研究了VPN技術(shù)原理，深入地探討了MPLS VPN技術(shù)的原理和它的優(yōu)點(diǎn)。</p><p>　　1.4 本文的結(jié)構(gòu)安排</p><p>　　本論文分為四個(gè)部分。</p><p

28、>　　第一部分緒論部分，對(duì)VPN技術(shù)的研究背景及現(xiàn)狀做了個(gè)簡(jiǎn)單的介紹。</p><p>　　第二部分介紹了VPN的技術(shù)概要，和VPN的分類。</p><p>　　第三部分講述了大型企業(yè)的VPN需求分析。</p><p>　　第四部分詳細(xì)IPSec VPN和MPLS VPN這兩種解決方案，包括組網(wǎng)背景、網(wǎng)絡(luò)拓?fù)?、IP地址規(guī)劃和關(guān)鍵配置代碼。</p>

29、<p>　　第五部分是IPSec VPN實(shí)現(xiàn)方案與MPLS VPN實(shí)現(xiàn)方案的比較。</p><p>　　第六部分是對(duì)本論文的總結(jié)。</p><p>　　2 VPN的分類和技術(shù)概要</p><p>　　本章主要介紹了VPN的分類和基本概念和原理。</p><p><b>　　2.1 VPN概述</b></

30、p><p>　　2.1.1 VPN的產(chǎn)生</p><p>　　隨著社會(huì)的發(fā)展，IT技術(shù)越來(lái)越多地影響現(xiàn)代企業(yè)的業(yè)務(wù)流程，如企業(yè)資源規(guī)劃、基于IP網(wǎng)絡(luò)的語(yǔ)音、基于IP網(wǎng)絡(luò)的會(huì)議和教學(xué)活動(dòng)等IT技術(shù)，為企業(yè)的自動(dòng)化辦公和信息的獲取提供了構(gòu)架。隨著網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展，越來(lái)越多的企業(yè)的分布范圍日益擴(kuò)大，合作伙伴日益增多，公司員工的移動(dòng)性也不斷增加。這使得企業(yè)迫切需要借助電信運(yùn)營(yíng)商網(wǎng)絡(luò)連接企業(yè)總部和分支機(jī)

31、構(gòu)，組成自己的企業(yè)網(wǎng)，同時(shí)使移動(dòng)辦公人員能在企業(yè)以外的地方方便地接入企業(yè)內(nèi)部網(wǎng)絡(luò)。</p><p>　　最初，電信運(yùn)營(yíng)商是以租賃專線(Leased Line)的方式為企業(yè)提供二層鏈路，這種方式的主要缺點(diǎn)是：</p><p><b>　　1.建設(shè)時(shí)間長(zhǎng)</b></p><p><b>　　2.價(jià)格昂貴</b></p&g

32、t;<p><b>　　3.難于管理</b></p><p>　　此后，隨著ATM(Asynchronous Transfer Mode)和幀中繼(Frame Relay)技術(shù)的興起，電信運(yùn)營(yíng)商轉(zhuǎn)而使用虛電路方式為客戶提供點(diǎn)到點(diǎn)的二層連接，客戶再在其上建立自己的三層網(wǎng)絡(luò)以承載IP等數(shù)據(jù)流。虛電路方式與租賃專線相比，運(yùn)營(yíng)商網(wǎng)絡(luò)建設(shè)時(shí)間短、價(jià)格低，能在不同專網(wǎng)之間共享運(yùn)營(yíng)商的網(wǎng)絡(luò)結(jié)

33、構(gòu)。</p><p>　　這種傳統(tǒng)專網(wǎng)的不足在于：</p><p>　　1.依賴于專用的介質(zhì)(如ATM或FR)：為提供基于ATM的VPN服務(wù)，運(yùn)營(yíng)商需要建立覆蓋全部服務(wù)范圍的ATM網(wǎng)絡(luò)：為提供基于FR的VPN服務(wù)，又需要建立覆蓋全部服務(wù)范圍的FR網(wǎng)絡(luò)。網(wǎng)絡(luò)建設(shè)成本高。</p><p>　　2.速率較慢：不能滿足當(dāng)前Internet應(yīng)用對(duì)于速率的要求。</p&g

34、t;<p>　　3.部署復(fù)雜：向已有的私有網(wǎng)絡(luò)加入新的站點(diǎn)時(shí)，需要同時(shí)修改所有接入此站點(diǎn)的邊緣節(jié)點(diǎn)的配置。</p><p>　　傳統(tǒng)專網(wǎng)的應(yīng)用，促使了企業(yè)效益的日益增長(zhǎng)，但傳統(tǒng)專網(wǎng)難以滿足企業(yè)對(duì)網(wǎng)絡(luò)的靈活性、安全性、經(jīng)濟(jì)性、擴(kuò)展性等方面的要求。這促使了一種新的替代方案的產(chǎn)生—在現(xiàn)有IP網(wǎng)絡(luò)上模擬傳統(tǒng)專網(wǎng)：這種新的解決方案就是虛擬專用網(wǎng)VPN(Virtual Private Network)。<

35、/p><p>　　VPN是依靠Internet服務(wù)提供商ISP (Internet Service Provider)和網(wǎng)絡(luò)服務(wù)提供商N(yùn)SP(Network Service Provider)在公共網(wǎng)絡(luò)中建立的虛擬專用通信網(wǎng)絡(luò)。</p><p>　　2.1.2 VPN的特征</p><p>　　VPN具有以下兩個(gè)基本特征：</p><p>　　

36、1.專用(Private)：對(duì)于VPN用戶，使用VPN與使用傳統(tǒng)專網(wǎng)沒(méi)有區(qū)別。VPN與底層承載網(wǎng)絡(luò)之間保持資源獨(dú)立，即VPN資源不被網(wǎng)絡(luò)中非該VPN的用戶所使用；且VPN能夠提供足夠的安全保證，確保VPN內(nèi)部信息不受外部侵?jǐn)_。</p><p>　　2.虛擬(Virtual)：VPN用戶內(nèi)部的通信是通過(guò)公共網(wǎng)絡(luò)進(jìn)行的，而這個(gè)公共網(wǎng)絡(luò)同時(shí)也可以被其他非VPN用戶使用，VPN用戶獲得的只是一個(gè)邏輯意義上的專網(wǎng)。這個(gè)公共

37、網(wǎng)絡(luò)稱為VPN骨干網(wǎng)(VPN Backbone)。</p><p>　　利用VPN的專用和虛擬的特征，可以把現(xiàn)有的IP網(wǎng)絡(luò)分解成邏輯上隔離的網(wǎng)絡(luò)。這種邏輯隔離的網(wǎng)絡(luò)應(yīng)用豐富：可以用在解決企業(yè)內(nèi)部的互連、相同或不同辦事部門(mén)的互連：也可以用來(lái)提供新的業(yè)務(wù)，如為IP電話業(yè)務(wù)專門(mén)開(kāi)辟一個(gè)VPN，以此解決IP網(wǎng)絡(luò)地址不足、QoS保證、以及開(kāi)展新的增值服務(wù)等問(wèn)題。</p><p>　　在解決企業(yè)互連和

38、提供各種新業(yè)務(wù)方面，VPN，尤其是MPLS VPN，越來(lái)越被運(yùn)營(yíng)商看好，成為運(yùn)營(yíng)商在IP網(wǎng)絡(luò)提供增值業(yè)務(wù)的重要手段。</p><p>　　2.1.3 VPN的優(yōu)勢(shì)</p><p>　　從客戶角度看，VPN和傳統(tǒng)的數(shù)據(jù)專網(wǎng)相比具有如下優(yōu)勢(shì)：</p><p>　　1.安全：在遠(yuǎn)端用戶、駐外機(jī)構(gòu)、合作伙伴、供應(yīng)商與公司總部之間建立可靠的連接，保證數(shù)據(jù)傳輸?shù)陌踩?。這對(duì)于

39、實(shí)現(xiàn)電子商務(wù)或金融網(wǎng)絡(luò)與通訊網(wǎng)絡(luò)的融合特別重要。</p><p>　　2.廉價(jià)：利用公共網(wǎng)絡(luò)進(jìn)行信息通訊，企業(yè)可以用更低的成本連接遠(yuǎn)程辦事機(jī)構(gòu)、出差人員和業(yè)務(wù)伙伴。</p><p>　　3.支持移動(dòng)業(yè)務(wù)：支持駐外VPN用戶在任何時(shí)間、任何地點(diǎn)的移動(dòng)接入，能夠滿足不斷增長(zhǎng)的移動(dòng)業(yè)務(wù)需求。</p><p>　　4.服務(wù)質(zhì)量保證：構(gòu)建具有服務(wù)質(zhì)量保證的VPN(如MPLS

40、VPN)，可為VPN用戶提供不同等級(jí)的服務(wù)質(zhì)量保證。從運(yùn)營(yíng)商角度看，VPN具有如下優(yōu)勢(shì)：</p><p>　　5.可運(yùn)營(yíng)：提高網(wǎng)絡(luò)資源利用率，有助于增加ISP的收益。</p><p>　　6.靈活：通過(guò)軟件配置就可以增加、刪除VPN用戶，無(wú)需改動(dòng)硬件設(shè)施。在應(yīng)用上具有很大靈活性。</p><p>　　7.多業(yè)務(wù)：SP在提供VPN互連的基礎(chǔ)上，可以承攬網(wǎng)絡(luò)外包、業(yè)務(wù)外

41、包、客戶化專業(yè)服務(wù)的多業(yè)務(wù)經(jīng)營(yíng)。</p><p>　　VPN以其獨(dú)具特色的優(yōu)勢(shì)贏得了越來(lái)越多的企業(yè)的青睞，使企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運(yùn)行與維護(hù)，從而更多地致力于企業(yè)的商業(yè)目標(biāo)的實(shí)現(xiàn)。另外，運(yùn)營(yíng)商可以只管理、運(yùn)行一個(gè)網(wǎng)絡(luò)，并在一個(gè)網(wǎng)絡(luò)上同時(shí)提供多種服務(wù)，如Best-effort IP服務(wù)、VPN、流量工程、差分服務(wù)(Diffserv)，從而減少運(yùn)營(yíng)商的建設(shè)、維護(hù)和運(yùn)行費(fèi)用。</p><p>

42、　　VPN在保證網(wǎng)絡(luò)的安全性、可靠性、可管理性的同時(shí)提供更強(qiáng)的擴(kuò)展性和靈活性。在全球任何一個(gè)角落，只要能夠接入到Internet，即可使用VPN。</p><p>　　2.2 VPN的分類</p><p>　　VPN可按業(yè)務(wù)類型和實(shí)現(xiàn)技術(shù)兩個(gè)角度進(jìn)行分類。</p><p>　　2.2.1 按VPN的業(yè)務(wù)類型劃分</p><p>　　根據(jù)服務(wù)類

43、型，VPN業(yè)務(wù)大致分為三類：接入VPN（Access VPN）、內(nèi)聯(lián)網(wǎng)VPN(Intranet VPN)和外聯(lián)網(wǎng)VPN（Extranet VPN）。通常情況下內(nèi)聯(lián)網(wǎng)VPN是專線VPN。</p><p>　?。?）接入VPN：這是企業(yè)出差員工通過(guò)公網(wǎng)遠(yuǎn)程訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)的VPN方式。遠(yuǎn)程用戶一般是一臺(tái)計(jì)算機(jī)，而不是網(wǎng)絡(luò)，因此組成的VPN是一種主機(jī)到網(wǎng)絡(luò)的拓?fù)淠Ｐ汀?lt;/p><p>　　（2）

44、內(nèi)聯(lián)網(wǎng)VPN：這是企業(yè)的總部與分支機(jī)構(gòu)之間通過(guò)公網(wǎng)構(gòu)筑的虛擬網(wǎng)，這是一種網(wǎng)絡(luò)到網(wǎng)絡(luò)以對(duì)等的方式連接起來(lái)所組成的VPN。</p><p>　?。?）外聯(lián)網(wǎng)VPN：這是企業(yè)在發(fā)生收購(gòu)、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后，使不同企業(yè)間通過(guò)公網(wǎng)來(lái)構(gòu)筑的虛擬網(wǎng)。這是一種網(wǎng)絡(luò)到網(wǎng)絡(luò)以不對(duì)等的方式連接起來(lái)所組成的VPN（主要在安全策略上有所不同）。</p><p>　　2.2.2 按VPN的實(shí)現(xiàn)技術(shù)劃分<

45、/p><p>　　目前，主流的VPN技術(shù)有IPSec VPN、SSL VPN、MPLS VPN。</p><p>　　IPSec VPN是一個(gè)應(yīng)用廣泛、開(kāi)放的VPN安全協(xié)議技術(shù)，它提供了如何讓保密性強(qiáng)的數(shù)據(jù)在開(kāi)放的網(wǎng)絡(luò)中傳輸?shù)陌踩珯C(jī)制。它工作在網(wǎng)絡(luò)層，為數(shù)據(jù)傳輸過(guò)程提供安全保護(hù)，主要手段是對(duì)數(shù)據(jù)進(jìn)行加密和對(duì)數(shù)據(jù)收發(fā)方進(jìn)行身份認(rèn)證。IPSec VPN技術(shù)可以設(shè)置成在兩種模式下運(yùn)行，一種是隧道模式

46、，把IPv4數(shù)據(jù)包封裝在安全的IP幀中進(jìn)行傳輸，但這種方式系統(tǒng)開(kāi)銷比較大；另一種模式是傳輸模式，隱藏路由信息，提供端到端的安全保護(hù)。</p><p>　　SSL VPN也是一種在Internet上確保信息安全收發(fā)的通用協(xié)議技術(shù)，位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間，以可靠的傳輸協(xié)議(如TCP)為根基，為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持，為網(wǎng)絡(luò)的連接提供服務(wù)器認(rèn)證、可選的客戶認(rèn)證、SSL鏈路上的

47、數(shù)據(jù)完整性保證、保密性保證。目前，SSL VPN也廣泛被應(yīng)用于各種瀏覽器中，使用者利用瀏覽器內(nèi)的SSL封裝包處理功能，用瀏覽器連接單位內(nèi)網(wǎng)的SSL VPN服務(wù)器，通過(guò)網(wǎng)絡(luò)封包轉(zhuǎn)向的方式，從而讓遠(yuǎn)程計(jì)算機(jī)執(zhí)行任務(wù)，讀取單位內(nèi)網(wǎng)上的信息。</p><p>　　多協(xié)議標(biāo)簽交換MPLS VPN是一種面向連接的技術(shù)，通過(guò)MPLS信令建立好MPLS標(biāo)記交換通道LSP，數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)在網(wǎng)絡(luò)的入口處對(duì)信息進(jìn)行分類，網(wǎng)絡(luò)設(shè)備中根據(jù)分類

48、選擇相應(yīng)的交換通道LSP，并打上相應(yīng)的標(biāo)簽，再轉(zhuǎn)發(fā)時(shí)直接根據(jù)報(bào)頭的標(biāo)簽轉(zhuǎn)發(fā)，不再通過(guò)IP地址查找，在LSP出口處，卸掉標(biāo)簽，還原為原來(lái)的IP數(shù)據(jù)包。它是一種快速數(shù)據(jù)包交換和路由的體系，通過(guò)標(biāo)簽交換路徑將私有的網(wǎng)絡(luò)的不同分支聯(lián)系起來(lái)，從而形成一套虛擬的統(tǒng)一的網(wǎng)絡(luò)?；谶@種交換和路由的特點(diǎn)，它的路由工作在網(wǎng)絡(luò)的第三層，而核心任務(wù)工作在第二層。</p><p>　　3大型企業(yè)網(wǎng)絡(luò)的VPN需求分析</p>

49、<p>　　隨著經(jīng)濟(jì)全球化步伐的加快，跨國(guó)、跨地區(qū)的企業(yè)收購(gòu)和合并日益增多。每家公司的分支機(jī)構(gòu)的分布也越來(lái)越廣，公司各分支機(jī)構(gòu)之間為了共享商業(yè)數(shù)據(jù)，需要將各分支機(jī)構(gòu)之間聯(lián)網(wǎng)，在保證數(shù)據(jù)存儲(chǔ)和傳輸安全的前提下共享數(shù)據(jù)，同時(shí)解決方案盡可能的要減少投入和降低使用成本。</p><p>　　分析這些需要聯(lián)網(wǎng)的企業(yè)用戶的需求特點(diǎn)，可以歸納為以下幾點(diǎn)：</p><p>　　1）分支機(jī)構(gòu)彼此分

50、布不同地點(diǎn)</p><p>　　2）需要共享大量的商業(yè)數(shù)據(jù)，對(duì)接入帶寬有一定的要求</p><p>　　3）必須保證數(shù)據(jù)在傳輸過(guò)程中的安全性。過(guò)去的企業(yè)網(wǎng)絡(luò)，多以封閉式的專線連接為主， 其主要原因就是考慮數(shù)據(jù)傳輸?shù)陌踩浴Ｈ粼诎踩圆荒鼙槐Ｕ系臓顩r下，一旦企業(yè)重要資料被他人所竊取，將對(duì)企業(yè)造成難以彌補(bǔ)的損失</p><p><b>　　4）解決方案低成本&

51、lt;/b></p><p>　　VPN技術(shù)就是在這個(gè)背景下應(yīng)運(yùn)而生的，VPN的出現(xiàn)滿足了企業(yè)用戶的需求。</p><p>　　VPN的基本思路就是充分利用現(xiàn)有的公共IP網(wǎng)，通過(guò)隧道技術(shù)，將公網(wǎng)虛擬成專用網(wǎng)，同時(shí)免除了昂貴的專線租用費(fèi)用。</p><p>　　4 大型企業(yè)VPN方案設(shè)計(jì)與實(shí)現(xiàn)</p><p>　　4.1 IPSec VP

52、N方案的設(shè)計(jì)與實(shí)現(xiàn)</p><p>　　4.1.1 組網(wǎng)背景</p><p>　　有一公司的總部在北京，在上海有一分部，北京總部?jī)?nèi)部采用私有IP地址，但要接入Internet，且對(duì)外的Web服務(wù)器Server0，要讓一般用戶可以從Internet訪問(wèn)。北京總部與上海分部之間，要求建立站點(diǎn)間的VPN。即通過(guò)私有IP地址可以互相訪問(wèn)。北京總部有多個(gè)公用IP（200.0.0.0--200.0.0

53、.15，Server0對(duì)外的IP地址為200.0.0.8，即從公網(wǎng)的一臺(tái)電腦上ping 200.0.0.8可以ping通server0）。實(shí)現(xiàn)北京總部各部門(mén)間的網(wǎng)絡(luò)的廣播流量相互隔離，網(wǎng)絡(luò)互通。在路由器上配置路由協(xié)議，使用網(wǎng)絡(luò)可以互通。上海分部?jī)?nèi)部也使用私有IP地址，通過(guò)NAT訪問(wèn)Internet。北京總部與上海分部之間，要求建立站點(diǎn)間的VPN。即通過(guò)私有IP地址可以互相訪問(wèn)。</p><p>　　4.1.2 網(wǎng)

54、絡(luò)拓?fù)?lt;/p><p>　　圖4.1 IPSec VPN網(wǎng)絡(luò)拓?fù)鋱D</p><p>　　4.1.3 IP地址規(guī)劃</p><p>　　在北京總部的交換機(jī)上劃分5個(gè)VLAN</p><p>　　表4.1 北京總部VLAN劃分</p><p>　　上海分部Server2 IP：172.16.1.1</p>&

55、lt;p>　　某一外網(wǎng)PC IP：202.202.202.1</p><p>　　4.1.4 關(guān)鍵配置代碼</p><p>　　1）北京總部?jī)?nèi)部采用私有IP地址，但要接入Internet，且對(duì)外的Web服務(wù)器Server0，要讓一般用戶可以從Internet訪問(wèn)。設(shè)分配給總部有多個(gè)公用IP（假設(shè)為200.0.0.0---200.0.0.15，Server0對(duì)外的IP地址為200.0.

56、0.8，即從公網(wǎng)IP地址的PC2上ping 200.0.0.8可以ping通server0）。</p><p><b>　　這要用到兩條NAT</b></p><p>　?、偈箖?nèi)網(wǎng)機(jī)子可以訪問(wèn)外網(wǎng)</p><p>　　access-list 101 deny ip 192.168.0.0 0.0.255.255 172.16.0.0 0.0.2

57、55.255</p><p>　　access-list 101 permit ip 192.168.0.0 0.0.255.255 any</p><p>　　ip nat inside source list 101 interface FastEthernet0/1 overload</p><p>　?、谑咕W(wǎng)絡(luò)可以訪問(wèn)Server0</p>&

58、lt;p>　　ip nat inside source static 192.168.77.1 200.0.0.8</p><p>　　2）實(shí)現(xiàn)北京總部各部門(mén)間的網(wǎng)絡(luò)的廣播流量相互隔離，網(wǎng)絡(luò)互通，但同時(shí)要求各技術(shù)部、銷售部的計(jì)算機(jī)不能主動(dòng)訪問(wèn)財(cái)務(wù)部的服務(wù)器與計(jì)算機(jī)。</p><p>　　這要利用VLAN來(lái)進(jìn)行廣播流量的分隔，并通過(guò)三層交換機(jī)來(lái)實(shí)現(xiàn)VALN間的互連</p>

59、<p>　?、儆胿lan命令建立vlan</p><p>　?、谟胕nt range switchport access vlan 把接口加入vlan</p><p>　?、墼賗nt vlan</p><p>　　④ip addr給vlan分配IP地址。</p><p>　　3）上配置路由協(xié)議，使用網(wǎng)絡(luò)可以互通。</p>

60、;<p><b>　　在路由器用OSPF</b></p><p>　　router ospf 1</p><p>　　network 0.0.0.0 255.255.255.255 area 0</p><p>　　4）上海分部?jī)?nèi)部也使用私有IP地址，通過(guò)NAT訪問(wèn)Internet。但北京總部與上海分部之間，要求建立站點(diǎn)間的VPN

61、。即通過(guò)私有IP地址可以互相訪問(wèn)。</p><p>　?。?）Router0上的VPN配置</p><p>　　access-list 111 permit ip 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255</p><p>　　crypto isakmp policy 10</p><p>&

62、lt;b>　　encr 3des</b></p><p><b>　　hash md5</b></p><p>　　authentication pre-share</p><p>　　crypto isakmp key 2046 address 203.203.203.2</p><p>　　cryp

63、to ipsec transform-set tim esp-3des esp-md5-hmac</p><p>　　crypto map tom 10 ipsec-isakmp </p><p>　　set peer 203.203.203.2</p><p>　　set transform-set tim </p><p>　　match

64、 address 111</p><p>　　interface FastEthernet0/1</p><p>　　crypto map tom</p><p>　　ip route 172.16.1.0 255.255.255.0 200.0.0.16</p><p>　?。?）Router3上的VPN配置</p><

65、p>　　access-list 111 permit ip 172.16.0.0 0.0.255.255 192.168.0.0 0.0.255.255</p><p>　　crypto isakmp policy 10</p><p><b>　　encr 3des</b></p><p><b>　　hash md5<

66、/b></p><p>　　authentication pre-share</p><p>　　crypto isakmp key 2046 address 200.0.0.1</p><p>　　crypto ipsec transform-set tim esp-3des esp-md5-hmac</p><p>　　crypto

67、 map tom 10 ipsec-isakmp </p><p>　　set peer 200.0.0.1</p><p>　　set transform-set tim </p><p>　　match address 111</p><p>　　interface FastEthernet0/0</p><p>

68、　　crypto map tom</p><p>　　ip route 0.0.0.0 0.0.0.0 203.203.203.1</p><p>　　從PC0（192.168.1.1）上可以ping通Server2（172.16.1.1）（證明可從北京總部訪問(wèn)上海分部，VPN配置成功）</p><p>　　圖4.2 從PC0到Server2可ping通</p

69、><p>　　4.2 MPLS VPN方案的設(shè)計(jì)與實(shí)現(xiàn)</p><p>　　4.1.1 組網(wǎng)背景</p><p>　　某大型公司除了北京的主要分支點(diǎn)以外，在深圳也有分部。</p><p>　　客戶對(duì)信息系統(tǒng)的應(yīng)用相對(duì)于同行比較超前，目前，OA、郵件、語(yǔ)音等系統(tǒng)都己成為主要的應(yīng)用。OA、語(yǔ)音等系統(tǒng)需要實(shí)時(shí)的數(shù)據(jù)交換，而且數(shù)據(jù)的交換量較大，依靠原有的

70、網(wǎng)絡(luò)連接，經(jīng)常會(huì)帶來(lái)數(shù)據(jù)堵塞，速度太慢，系統(tǒng)不能真正的發(fā)揮效益。應(yīng)用超前、網(wǎng)絡(luò)接入的滯后，嚴(yán)重影響了系統(tǒng)應(yīng)用能力的提升。</p><p>　　隨著業(yè)務(wù)的不斷發(fā)展，客戶為改造現(xiàn)有語(yǔ)音數(shù)據(jù)綜合通信網(wǎng)絡(luò)并配合即將上馬的企業(yè)ERP系統(tǒng)的應(yīng)用，需要與多個(gè)分支機(jī)構(gòu)的業(yè)務(wù)點(diǎn)相互連接，建立一個(gè)單獨(dú)的靈活的符合企業(yè)運(yùn)用要求的通達(dá)全球的數(shù)據(jù)通信網(wǎng)絡(luò)，保證數(shù)據(jù)傳輸?shù)目煽啃院桶踩?，并能獲得優(yōu)良的網(wǎng)絡(luò)服務(wù)質(zhì)量保證。</p>

71、<p>　　由于MPLS VPN有與其它的實(shí)現(xiàn)技術(shù)有著成本低、靈活性和擴(kuò)展性好、安全性高、支持QoS、適用于較大的企事業(yè)單位等諸多優(yōu)點(diǎn)，所以選擇MPLS作為VPN的實(shí)現(xiàn)技術(shù)。</p><p>　　4.2.2 網(wǎng)絡(luò)拓?fù)?lt;/p><p>　　圖4.3 MPSL VPN網(wǎng)絡(luò)拓?fù)鋱D</p><p>　　4.2.3 IP地址規(guī)劃</p><p&

72、gt;<b>　　見(jiàn)圖4.3。</b></p><p>　　4.2.4 關(guān)鍵配置代碼</p><p>　?。?）PE-A路由器配置</p><p>　　router id 192.168.255.2</p><p>　　mpls lsr id 192.168.255.2 //配置mpls lsr id此處用和rout

73、er id一致的Loopback地址</p><p><b>　　! </b></p><p>　　mpls ldp //啟動(dòng)MPLS LDP協(xié)議</p><p><b>　　!</b></p><p>　　ip vrf vpntest //配置vrf，其中vpntest為vrf名稱<

74、/p><p>　　rd 100:1 //rd為標(biāo)識(shí)符，結(jié)構(gòu)為自治系統(tǒng)編號(hào)：VPN站點(diǎn)編號(hào)</p><p>　　route-target export 100:1</p><p>　　route-target import 100:1</p><p><b>　　! </b></p><p&g

75、t;　　interface Ethernet2/2/0</p><p>　　description TO_Router-CE-A</p><p>　　ip vrf forwarding vpntest //VPN站點(diǎn)連接CE路由器接口啟動(dòng)vrf forwarding </p><p>　　ip address 172.16.0.9 255.255.255.252

76、</p><p>　　interface Ethernet3/2/0</p><p>　　description TO_Router-NE80_P </p><p>　　ip address 192.168.0.17 255.255.255.252</p><p>　　mpls ldp enable //與P路由器連接的接口啟動(dòng)MP

77、LS LDP協(xié)議</p><p><b>　　!</b></p><p>　　interface LoopBack7/0/0 </p><p>　　ip address 192.168.255.2 255.255.255.255</p><p><b>　　!</b></p><

78、p>　　router bgp 100 //配置BGP協(xié)議 </p><p><b>　　!</b></p><p>　　address-family ipv4 vrf vpntest //此模式為配置EBGP和CE路由器通過(guò)BGP協(xié)議來(lái)傳遞 VPN站點(diǎn)的路由</p><p>　　redistribute static</

79、p><p>　　redistribute connected</p><p>　　no synchronization</p><p>　　neighbor 172.16.0.10 remote-as 65000</p><p>　　exit-address-family </p><p><b>　　! <

80、;/b></p><p>　　address-family vpnv4 //此模式為配置vpnv4 iBGP路由，用于在PE之間傳播MBGP VPN路由</p><p>　　no synchronization </p><p>　　neighbor 192.168.255.1 remote-as 100</p><p>　　n

81、eighbor 192.168.255.1 next-hop-self</p><p>　　neighbor 192.168.255.1 update-source LoopBack7/0/0</p><p>　　exit-address-family</p><p><b>　　!</b></p><p>　　rout

82、er ospf //PE、P路由器路由通過(guò)IGP路由協(xié)議傳播</p><p>　　network 192.168.0.0 0.0.255.255 area 0.0.0.0 </p><p>　　redistribute static</p><p>　　redistribute connected </p><p>　?。?）配置NE8

83、0 作為P路由器只做標(biāo)簽轉(zhuǎn)發(fā)</p><p>　　router id 192.168.255.3</p><p>　　mpls lsr id 192.168.255.3</p><p><b>　　mpls ldp</b></p><p><b>　　!</b></p><p&g

84、t;　　interface Ethernet1/0/1 </p><p>　　description TO_Router-PE-B</p><p>　　negotiation auto</p><p>　　no shutdown</p><p>　　ip address 192.168.0.14 255.255.255.252</p

85、><p>　　mpls ldp enable //與PE-B路由器連接的接口啟動(dòng)MPLS LDP協(xié)議</p><p><b>　　!</b></p><p>　　interface Ethernet1/0/3 </p><p>　　description TO_Router-PE-A</p>

86、;<p>　　negotiation auto</p><p>　　no shutdown</p><p>　　ip address 192.168.0.18 255.255.255.252</p><p>　　mpls ldp enable //與PE-A路由器連接的接口啟動(dòng)MPLS LDP協(xié)議</p><p>

87、<b>　　!</b></p><p>　　interface LoopBack0</p><p>　　ip address 192.168.255.3 255.255.255.255</p><p><b>　　!</b></p><p>　　router ospf</p><

88、p>　　network 192.168.0.0 0.0.255.255 area 0.0.0.0 </p><p>　　redistribute connected </p><p>　　redistribute static</p><p>　　（3）CE-A路由器配置（VPN用戶路由器）</p><p>　　router id

89、172.16.0.10</p><p>　　interface Ethernet0 //用于和PE-A路由器連接</p><p>　　speed auto</p><p>　　duplex auto</p><p>　　no loopback</p><p>　　ip address 172.16.0.10 2

90、55.255.255.252</p><p><b>　　!</b></p><p>　　interface Ethernet1 //接入VPN用戶局域網(wǎng)</p><p>　　speed auto</p><p>　　duplex auto </p><p>　　no loopback&l

91、t;/p><p>　　ip address 10.0.5.1 255.255.255.0</p><p><b>　　!</b></p><p>　　router bgp 65000 //配置EBGP路由，與PE路由器之間傳遞VPN用戶路由</p><p>　　redistribute static </p

92、><p>　　redistribute connected</p><p>　　neighbor 172.16.0.9 remote-as 100</p><p><b>　　!</b></p><p>　　（4）配置PE-B路由器，和CE-B之間通過(guò)靜態(tài)路由互聯(lián)</p><p>　　hostname

93、 PE-B</p><p>　　router id 192.168.255.1</p><p>　　mpls lsr id 192.168.255.1</p><p><b>　　mpls ldp</b></p><p><b>　　!</b></p><p>　　ip vr

94、f vpntest</p><p><b>　　rd 100:1</b></p><p>　　route-target export 100:1</p><p>　　route-target import 100:1</p><p><b>　　!</b></p><p>　

95、　interface Ethernet12/2/0 //用于和CE-B路由器連接 </p><p>　　ip vrf forwarding vpntest</p><p>　　ip address 172.16.0.5 255.255.255.252</p><p><b>　　!</b></p><p>　

96、　interface Ethernet13/2/0 //用于和P路由器連接 </p><p>　　ip address 192.168.0.13 255.255.255.252</p><p>　　mpls ldp enable</p><p><b>　　!</b></p><p>　　interface Loop

97、Back7/0/0 </p><p>　　ip address 192.168.255.1 255.255.255.255</p><p><b>　　!</b></p><p>　　router bgp 100</p><p><b>　　!</b></p><p>　　a

98、ddress-family ipv4 vrf vpntest</p><p>　　redistribute static</p><p>　　redistribute connected </p><p>　　no synchronization</p><p>　　exit-address-family</p><p&g

99、t;<b>　　!</b></p><p>　　address-family vpnv4</p><p>　　no synchronization</p><p>　　neighbor 192.168.255.2 remote-as 100</p><p>　　neighbor 192.168.255.2 next-ho

100、p-self</p><p>　　neighbor 192.168.255.2 update-source LoopBack7/0/0 </p><p>　　exit-address-family </p><p><b>　　!</b></p><p>　　router ospf</p><p>

101、;　　network 192.168.0.0 0.0.255.255 area 0.0.0.0</p><p>　　redistribute connected </p><p>　　redistribute static</p><p><b>　　!</b></p><p>　　ip route vrf vpnt

102、est 10.0.3.0 255.255.255.0 172.16.0.6 preference 60 //配置到CE-B路由器VPN用戶網(wǎng)段地址靜態(tài)路由</p><p>　　（5）配置CE-B路由器</p><p>　　interface Ethernet0 //與PE-B路由器對(duì)接</p><p>　　ip address 172.16

103、.0.6 255.255.255.252</p><p>　　interface Ethernet1 //接入VPN用戶局域網(wǎng)</p><p>　　ip address 10.0.3.1 255.255.255.0</p><p>　　ip route 0.0.0.0 0.0.0.0 172.16.0.5 preference 60 //配置一條默認(rèn)路由&

104、lt;/p><p>　　5 IPSec VPN與MPLS VPN的對(duì)比分析</p><p>　　MPLS VPN是一種基于MPLS(Multiprotocol Label Switc hing,多協(xié)議標(biāo)記交換 )技術(shù)的IP-VPN，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS技術(shù)，簡(jiǎn)化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實(shí)現(xiàn)的IP虛擬專用網(wǎng)絡(luò)（IP VPN），可用來(lái)構(gòu)造寬帶的Int

105、ranet、Extranet，滿足多種靈活的業(yè)務(wù)需求。</p><p>　　MPLS有很多方面的優(yōu)點(diǎn)，其中主要的優(yōu)點(diǎn)就是采用了類似標(biāo)記交換和IP交換的方式，可以充分利用電信交換網(wǎng)絡(luò)的硬件優(yōu)勢(shì)，相對(duì)簡(jiǎn)化轉(zhuǎn)發(fā)處理，提高IP包的轉(zhuǎn)發(fā)效率。</p><p>　　與IPSec VPN比較，MPLS VPN有它優(yōu)越的一方面，但也并非處處完美。下面從幾個(gè)方面對(duì)MPLS VPN與IPSEC VPN進(jìn)行對(duì)比

106、。</p><p><b>　　1）系統(tǒng)的可靠性</b></p><p>　　MPLS VPN是基于電信的網(wǎng)絡(luò)進(jìn)行構(gòu)建的，它的穩(wěn)定性相當(dāng)高。由于本身屬于電信的一項(xiàng)數(shù)據(jù)業(yè)務(wù)，它的帶寬是完全有保證的，也就是說(shuō)，租用MPLS鏈路，就能夠得到相應(yīng)的數(shù)據(jù)帶寬。</p><p>　　從可靠性來(lái)說(shuō)，MPLS有很強(qiáng)的優(yōu)勢(shì)。相當(dāng)于另外一種形式的專線。</p

107、><p>　　IPSec VPN是完全基于Internet構(gòu)建的，因此它的可靠性依賴于兩個(gè)方面：線路的可靠性和設(shè)備的穩(wěn)定性。</p><p>　　從設(shè)備可靠性來(lái)看，IPSEC作為主流的VPN協(xié)議，它的技術(shù)一般都比較完善。目前基于IPSec的VPN技術(shù)已經(jīng)成熟，很多產(chǎn)品的運(yùn)行都能夠非常穩(wěn)定可靠。</p><p>　　目前Internet的接入已經(jīng)非常普及，由于長(zhǎng)期的投入建

108、設(shè)，整個(gè)Internet線路已經(jīng)達(dá)到了很高的水平，不僅帶寬有保證，而且提供的接入方式多樣。一旦某一條線路出錯(cuò)，可以使用其他備份線路接入Internet。因此單一線路可靠性雖然沒(méi)有MPLS高，由于隨時(shí)可以使用的其他線路作備份，因此系統(tǒng)具有很強(qiáng)的容錯(cuò)能力。這一點(diǎn)，是MPLS鏈路無(wú)法達(dá)到的。</p><p><b>　　2）投入成本</b></p><p>　　從投入成本上

109、分析，MPLS可以免除設(shè)備投資，但是大多數(shù)情況下，用戶還是需要購(gòu)買(mǎi)路由器之類的設(shè)備。</p><p>　　另外，MPLS長(zhǎng)期的租金累計(jì)起來(lái)，也不是一個(gè)小數(shù)目， 例如512K的帶寬，每個(gè)月需要上千元到幾千元的網(wǎng)絡(luò)租用費(fèi)，如果是國(guó)際鏈路，就會(huì)更加昂貴。</p><p>　　但同樣512K的Internet接入費(fèi)用，以普通的ADSL為例，現(xiàn)在在大多數(shù)城市只需要100～200元左右。采用IPSec

110、 VPN，一次性設(shè)備投入比較大。但從長(zhǎng)遠(yuǎn)看來(lái)，費(fèi)用分?jǐn)傄院?，那么它的費(fèi)用實(shí)際是比MPLS VPN要低很多。</p><p><b>　　3）接入方便性</b></p><p>　　MPLS VPN連接比較簡(jiǎn)單，只要求客戶把客戶設(shè)備(CE) 連接到運(yùn)營(yíng)商的網(wǎng)絡(luò)邊緣設(shè)備(PE)就可以了，運(yùn)營(yíng)商同時(shí)負(fù)責(zé)二層的數(shù)據(jù)傳輸工作和三層的路由工作，這種三層MPLS VPN對(duì)客戶的要求

111、比較低，客戶負(fù)擔(dān)較小，但這種做法常見(jiàn)的問(wèn)題就是接入的靈活性。因?yàn)镸PLS VPN是單一運(yùn)營(yíng)商提供的，跨運(yùn)營(yíng)商的連接常常存在很大問(wèn)題，例如：聯(lián)通提供的MPLS服務(wù)和電信提供的MPLS，彼此就很難連接。而大型客戶往往在全國(guó)各地都有自己的分支機(jī)構(gòu)，如果寄希望這些分支機(jī)構(gòu)所在城市都有同一家運(yùn)營(yíng)商并且都提供MPLS VPN的服務(wù)，顯然很不現(xiàn)實(shí)，特別是在偏遠(yuǎn)地區(qū)和移動(dòng)用戶。因此MPLS更適合在城域網(wǎng)中，或者象中國(guó)電信這樣大型的全國(guó)性的運(yùn)營(yíng)商中使用。

112、</p><p>　　IPSec VPN則是完全利用互聯(lián)網(wǎng)，做到了只要接入Internet，就可以利用IPSEC VPN來(lái)組建企業(yè)自己的網(wǎng)絡(luò)。其屬于端到端服務(wù)，不需要骨干網(wǎng)絡(luò)承擔(dān)業(yè)務(wù)相關(guān)功能。響應(yīng)市場(chǎng)變化的速度快捷，可以在現(xiàn)有的任何IP網(wǎng)絡(luò)上部署。用戶可在任意位置使用。隨著電信“最后一公里”技術(shù)的實(shí)現(xiàn)，Internet真的做到了無(wú)處不在。利用Internet的資源，采用IPSEC VPN技術(shù)可以非常方便地在全球范

113、圍內(nèi)，組建企業(yè)的虛擬專網(wǎng)。</p><p>　　隨著業(yè)務(wù)的不斷發(fā)展，移動(dòng)用戶和在家辦公的用戶也越來(lái)越多，VPN客戶端的支持也非常重要，使用IPSec客戶端可以讓移動(dòng)用戶隨時(shí)隨地都能夠跟企業(yè)內(nèi)部進(jìn)行信息交換。這一點(diǎn)MPLS VPN顯然是做不到的。</p><p><b>　　4）安全性</b></p><p>　　MPLS VPN采用路由隔離、地

114、址隔離等多種手段提供了抗攻擊和標(biāo)記欺騙的手段，因此人們認(rèn)為，MPLS VPN完全能夠提供與FR/ATM 相類似的線路安全保證。 </p><p>　　但是MPLS VPN也沒(méi)有解決所有管理型的共享網(wǎng)絡(luò)普遍存在的非法訪問(wèn)受保護(hù)的網(wǎng)絡(luò)元、錯(cuò)誤配置以及內(nèi)部(包括核心)攻擊等安全問(wèn)題。例如在MPLS VPN傳遞數(shù)據(jù)，只是標(biāo)記了端點(diǎn)路由，對(duì)數(shù)據(jù)本身并不提供加密的防護(hù)手段。因此MPLS VPN的安全性一般。</p>