毕业论文：企业MPLS VPN互联安全设计与实现

毕业设计（论文）
题目：企业MPLS VPN互联安全设计与实现
院（系） 　　 计算机科学与技术　　
专 业 　　 计算机科学与技术　

摘 要
本文主要介绍并验证了MPLS VPN的原理以及如何保证数据的安全性。首先介绍了VPN和MPLS协议的基本原理,因为运营商专线的昂贵，使得VPN成为各个企业内部网络的互联的首选，并且介绍了MPLS VPN的构架以及BGP的属性是如何在MPLS VPN中发挥独特作用的。然后分析了MPLS VPN存在的那些安全隐患，以及如何解决这些安全问题，还说明了传统IPSec VPN技术的不足之处。重点分析了GET VPN的特点，如何弥补IPSec的不足，最后本人通过搭建环境保证MPLS VPN的数据在公司总部和分部之间实现安全传输。考虑到数据安全问题，首先想到的是IPsec VPN，但是IPsec VPN与MPLS VPN结合后有三个致命的缺陷。为了解决这三个缺陷，本人使用思科最新提出的一种VPN，即GET VPN，这种VPN与MPLS VPN集合可以完美的解决上述的三个问题。


关键词： MPLS; GET VPN; 安全

ABSTRACT
This paper introduces and validates the principle of the MPLS VPN and how to ensure data security. This article first introduces the basic principles of the VPN and MPLS protocols, VPN becomes the first choice of various internal networ
……（新文秘网https://www.wm114.cn省略1205字，正式会员可完整阅读）……　
题 14
4.4.1影响Qos 14
4.4.2点对点IPSec SA造成的问题 15
4.4.3覆盖路由（Overlay routing）问题 16
第五章 GET VPN的原理 18
5.1 GET VPN的介绍 18
5.2 GET VPN的特点 18
5.3 如何解决传统IPSEC VPN的不足 19
5.3.1 如何解决Qos问题 19
5.3.2 解决点对点IPSec SA问题 19
5.3.3 解决覆盖路由（Overlay routing）问题 20
5.4 GET VPN 与MPLS VPN结合验证实验 20
5.4.1配置过程 21
5.4.2验证加密过程 27
5.4.3加密产生的延时测试 28
第六章 结 论 30
参考文献 31
致 谢 32


第一章 引言
MPLS-VPN是指采用MPLS技术在骨干的宽带IP网络上构建企业IP专网,采用MPLS VPN技术可以把现有IP网络分解成逻辑上隔离的网络，这种逻辑上隔离的网络的应用可以是千变万化的：可以是用在解决企业互连、政府相同/不同部门的互连、也可以用来提供新的业务，如为IP电话业务专门开通一个VPN。 运营商相继推出MPLS　VPN服务，可能产生的最主要问题是特殊安全需求和互联互通。因此在我国，在公共信息基础平台上发展专有网络已是大势所趋，唯一让用户担心的是安全性。实际上，MPLS VPN针对一般用户，已经可以提供虚电路级的安全性。但是在有特殊要求的场合，比如公安、国防领域、电子政务、电子交易、传送敏感信息、商业文件时，用户需要更加安全的保障措施。所以在吸引此类传统的专网用户时，运营商应该着力应对，提出更值得信赖的解决方案。比如IPSec加MPLS VPN接入技术。本课题主要研究的是GET VPN加MPLS VPN的接入技术，以保证MPLS VPN的安全。由于IPSec VPN与MPLS VPN结合后会产生许多无法避免的问题，所以本人使用新兴技术GET VPN和MPLS VPN结合，实验证明，这种方案是完全的解决方案。


第二章 VPN基本原理
2.1 VPN的概念
VPN是在公用的通信基础平台上提供私有数据网络的技术，运营商一般通过隧道协议和采用安全机制来满足客户的私密性需求。VPN与传统的专有线/租用线路相比，费用低廉而且能较好地满足客户需求，对需要加密的数据，VPN设备对数据包进行加密并附加认证信息。VPN设备加上新的数据报头，其中包括目的地VPN设备需要的安全信息和一些安全参数。VPN 设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装，重新封装后的数据包通过虚拟通道在公网上传输。当数据包到达目标VPN设备时，数据包被解封装，数据包的认证码核对无误后，数据包被解密,并转发到目的主机。
2.2 VPN的分类
2.2.1 按照技术点和用途分类
由于技术的侧重点不同，VPN可以分为这样的两类，一类侧重于网络层的信息保护，提供各种加密安全机制以便灵活地支持认证、完整性、访问控制和密码服务，保证信息传送过程中的b_m性和不可篡改性。这类协议包括IPSec、PPTP、L2TP等等。其中，IPSec己经成为国际标准的协议，并得到几乎所有主流安全厂商的支持，如Cisco、Checkpoint、Netscreen等等。
当今的互联网应用需求日益增多, 对带宽和延时的要求也越来越高。为了提高转发效率, 各个路由器生产厂家做了大量的改进工作, 如Cisco 在路由器上提供CEF( Cisco E*press Forwarding) 功能、修改路由表、搜索算法等等。但这些修补并不能完全解决目前互联网所面临的问题。MPLS/VPN的网络采用标签交换，一个标签对应一个用户数据流，非常易于用户间数据的隔离，利用区分服务体系可以轻易地解决困扰传统IP网络的QoS/CoS问题，MPLS自身提供流量工程的能力，可以最大限度地优化配置网络资源，自动快速修复网络故障，提供高可用性和高可靠性。
IPSec VPN与MPLS VPN两者所面向的应用领域是不同的。当信息的安全性是VPN网络设计时考虑的首要因素时，应当采用IPSec VPN，因为MPLS VPN并未提供加密、认证等安全服务。银行、工商、地税等行业在租用了电信的专线构建内部网络后，还要布署密码机等加密设备来保证信息传输安全，原因就在于专线并不能提供商业通信所需要的机密性。因此，这类用户的VPN网络一般都是由自己来建设，以便根据业务需求进行细粒度的安全策略的设置，增强资源访问的受控性与信息传输的安全性。
两类VPN技术的主要区别在于MPLS实质上是一种网络基础设施，而IPSec是运行于网络层之上的一种安全服务。
2.2.2 按照运营商是否参与路由分类
VPN也可以大体分为这样的两种类型。一类是OVERLAY的VPN，运营商是没有参与路由的，这种VPN比如说IPSec VPN，运营商甚至都不知这种VPN的存在。此外租用线路和帧中继等也可以认为是OVERLAY的VPN，ISP都是不参与路由的， 路由协议是直接在CE和CE之间部署的。这种VPN需要静态部署，比如说一家公司有N个分部，一个总部，如果想两两之间部署VPN的话需要的数量比较大（N(N+1)/2） 。此时，如果再新增一个分部，分部必须再和总部及其它所有分部双方静态配置VPN，而且，需要企业具备相应的人员进行VPN的维护。
另一类是站点到站点的VPN，ISP是参与路由的。CE和PE之间运行路由协议，PE学到CE端的路由，这些路由在ISP中传递，VPN另一端的CE接收这些条目。这种VPN的部署对CE来说是很简单的，只是简单地和PE运行路由协议而已。不管新增多少个分部，CE端的配置都是无需进行修改的。
2.2.3 MPLS VPN的引入
为了部署站点到站点VPN需要解决的一些问题。第一，对ISP来说，他更希望是一个PE连着多个CE，不然VPN的成本一定是很高的。那这时就会存在一些问题，比如说，因为PE学到了A公司和B公司CE端的路由，如果，此时，是运行同一个路由协议的话，那A公司和B公司之间就可以相互访问了，哪怕不是运行同一个路由协议，万一A、B公司向PE指默认路由，这种情况也会造成它们之 ……（未完，全文共18818字，当前仅显示3385字，请阅读下面提示信息。收藏《毕业论文：企业MPLS VPN互联安全设计与实现》）