黛蓝公司VPN网络方案设计与分析
对Import RT和Export RT的合理配置,运营商可以构建不同拓扑类型的VPN,如重叠式VPN和Hub-and-spoke VPN。
整个MPLS VPN体系结构可以分成控制面和数据面,控制面定义了LSP的建立和VPN路由信息的分发过程,数据面则定义了VPN数据的转发过程。
在控制层面,P路由器并不参与VPN路由信息的交互,客户路由器是通过CE和PE路由器之间、PE路由器之间的路由交互知道属于某个VPN的网络拓扑信息。CE-PE路由器之间通过采用静态/默认路由或采用ICP(RIPv2、OSPF)等动态路由协议。PE-PE之间通过采用MP-iBGP进行路由信息的交互,PE路由器通过维持iBGP网状连接或使用路由反射器来确保路由信息分发给所有的PE路由器。除了路由协议外,在控制层面工作的还有 LDP,它在整个MPLS网络中进行标签的分发,形成数据转发的逻辑通道LSP。
在数据转发层面,MPLS VPN网络中传输的VPN业务数据采用外标签(又称隧道标签)和内标签(又称VPN标签)两层标签栈结构。当一个VPN业务分组由CE路由器发给入口PE 路由器后,PE路由器查找该子接口对应的VRF表,从VRF表中得到VPN标签、初始外层标签以及到出口PE路由器的输出接口。当VPN分组被打上两层标签之后,就通过PE输出接口转发出去,然后在MPLS骨干网中沿着LSP被逐级转发。在出口PE之前的最后一个P路由器上,外层标签被弹出,P路由器将只含有VPN标签的分组转发给出口PE路由器。出口PE路由器根据内层标签查找对应的输出接口,在弹出VPN标签后通过该接口将VPN分组发送给正确的CE 路由器,从而实现了整个数据转发过程。
4.2.4.3 MPLS VPN优势
MPLS能识别不同种类的应用的数据包这点,保证了QoS的实现,而且实现方法比IP隧道和基于VC的网络简单。因为在IP网络上建设VPN需要隧道或加密,而基于VC的网络(如ATM和帧中继)所建的VPN是点对点的,需要为每个CPE进行单独的配置。另外因为在这种网络上的IP数据包的传输是在VC通道内进行的,所以整个VPN并不知道通信的内容和种类。这种方式下,需要智能化和有策略配置的边界设备,可以给每个通信最大的VC带宽。而且这种方式是以连接为中心的,不具备可扩展性。而且还与IP的商业应用是冲突的,因为IP的商务应用是围绕无连接的TCP/IP协议的。VPN还应当能识别通信的类型,从而将通信根据应用分类。而且VPN应当对VPN的整个网络的存在有了解,这样服务商可以将不同用户和服务分组到IntranetVPN或ExtranetVPN。
MPLS完全可以隔离无关用户的通信,使得无关用户的通信不会混杂,从而提高了安全性。这是在不必使用隧道和加密的前提下就能完成的。MPLS根据服务类型区分的传输方法和完全的QoS策略使得服务商的原来面向传输的服务模型转变成为重
21
洛阳师范学院2013届本科生毕业设计
点集中于服务变化的模型。
基于MPLS的网络能够将数据流分开,无需建立隧道或加密即可提供保密性,基于MPLS的网络,以网络到网络的方式提供保密性,为用户提供服务。这将支持服务供应商实现从面向传输的模式到面向服务的模式转变。基于MPLS的VPN提供了逻辑上最大的安全性,网络的安全性是由BGP、IP地址方案、可选的IPSec加密三方面结合而成的。
MPLS VPN不仅满足VPN用户对安全性的要求,还减少了网络方和用户方的工作量,可以建立任意的连接,且具有很好的网络可扩展性。VPN用户可以延用原有的专用地址,不需要作任何修改,在骨干网络采用VPN-ID,可以保持全网的唯一性。MPLSVPN还易于提供增值业务,如不同的COS等。
22
黛蓝公司VPN网络方案设计与分析
第5章 适合公司的VPN网络构建
5.1 公司VPN技术选择
黛蓝化妆品公司只拥有广州和太原两个公司。所以广州及太原的分公司间需要较好的远程网络互联。同时,公司之间因业务需求需要保证相当的服务质量,要能保证相关业务以及视频会议等不出现延迟,或者不能访问的现象,同时又要保证数据的安全。在工程造价以及维护方面要便宜简单。综合考虑,需要以下几点作保证:
1.可靠稳定
MPLS、GRE、IPSEC,SSL、L2TP等技术组建VPN网络在可靠性稳定性方面,GRE、IPSEC、SSL、L2TP不能保证服务质量,其很大程度上要依赖运营商网络。MPLS承载在专线上,而且还提供丰富的QOS,所以MPLS在很大程度上能保证网络的可靠性,稳定性。所以在可靠性以及稳定性方面选择MPLS VLN。
2.安全性
普通GRE隧道没有采用加密方式,所以在安全性上得不到保证,所以大多选择选择了IPSEC+GRE模式。IPSEC在数据部分和IP包头部分采用加密和HASH算法,保证数据的安全性,完整性。同时,IPSEC的还能保证数据源认证以及防重放等功能。SSL采用SSL套接层加密,HASH等保证数据安全性,数据完整性。基于MPLS的网络能够将数据流分开,无需建立隧道或加密即可提供保密性,基于MPLS的网络,以网络到网络的方式提供保密性,为用户提供安全服务。 所以在安全性上考虑可以选择GRE
+IPSEC或者IPSEC或者SSL,MPLS VPN等部署方式。
3.用户可使用性
GRE或者IPSEC VPN在点到点方式上用户不需要安装什么客户端软件就可以直接访问公司内部网络,不过不具备移动性。基于IPSEC的easy VPN技术可以很好的解决移动性问题,不过需要客户端软件拨号。SSL VPN可以很好的实现无客户端移动访问,具有很好的可移动性。MPLS VPN用户也不具移动性,也是在固定站点后使用。
4.支持的应用
除了SSL VPN是基于WEB,邮件,文件共享等的应用,其他都是基于IP的服务应用。所以在支持的应用上基于不同的需求可以选择不同的部署类型。
5.可伸缩性
GRE隧道容易配置,也方便用户端扩展。IPSEC在服务器端可以自由扩展,在客户端有限制。SSL VPN容易配置和扩展。与设备性能有关。MPLS VPN也利于扩展。
6.维护
在维护方面,IPSEC难维护,需要配置较多参数,而且也难管理。SSL维护简单,
23
洛阳师范学院2013届本科生毕业设计
管理也容易。GRE 隧道在管理方面基本也容易,配置不多,维护也简单。MPLS在CE端维护简单,在PE侧有运营商维护。所以从维护管理上来说GRE和SSL较容易。IPSEC相对复杂的多。
7.费用
从造价方面,GRE借助运营商网络也就是互联网,造价不会太高,IPSEC和SSL也借助运营商网络。MPLS需要承载网,需要租用线路,所以相对贵些。
5.2 公司VPN设计选择
经过调研,黛蓝化妆品公司现在主要是点对点式的网络远程,有时候也会出差。因此只要保证网络的安全性,时效性,性价比就可以了。所以针对黛蓝公司的现状,建议太原公司使用IPSEC VPN。移动人员使用SSL VPN。
24
黛蓝公司VPN网络方案设计与分析
第6章 组建公司VPN网络
6.1 公司VPN总体设计
太原分部 移动人员
图6-1公司VPN网络总设计图
6.2 IPSEC VPN建设
6.2.1 集团IPSEC VPN部署
图6-2 公司IPSEC部署图
太原分公司要远程访问广州总公司的各种网络资源,CRM系统、FTP服务器等。在Internet上传输数据本身存在安全隐患,通过IPsec VPN技术实现数据的安全传输。 1.需求分析 需求:解决太原分公司和广州总公司之间通过Internet进行数据传输的安全问
25