畢業(yè)論文：企業(yè)MPLS VPN互聯(lián)安全設(shè)計(jì)與實(shí)現(xiàn)

畢業(yè)設(shè)計(jì)（論文）
題目：企業(yè)MPLS VPN互聯(lián)安全設(shè)計(jì)與實(shí)現(xiàn)
院（系） 　　 計(jì)算機(jī)科學(xué)與技術(shù)　　
專 業(yè) 　　 計(jì)算機(jī)科學(xué)與技術(shù)　

摘 要
本文主要介紹并驗(yàn)證了MPLS VPN的原理以及如何保證數(shù)據(jù)的安全性。首先介紹了VPN和MPLS協(xié)議的基本原理,因?yàn)檫\(yùn)營商專線的昂貴，使得VPN成為各個(gè)企業(yè)內(nèi)部網(wǎng)絡(luò)的互聯(lián)的首選，并且介紹了MPLS VPN的構(gòu)架以及BGP的屬性是如何在MPLS VPN中發(fā)揮獨(dú)特作用的。然后分析了MPLS VPN存在的那些安全隱患，以及如何解決這些安全問題，還說明了傳統(tǒng)IPSec VPN技術(shù)的不足之處。重點(diǎn)分析了GET VPN的特點(diǎn)，如何彌補(bǔ)IPSec的不足，最后本人通過搭建環(huán)境保證MPLS VPN的數(shù)據(jù)在公司總部和分部之間實(shí)現(xiàn)安全傳輸。考慮到數(shù)據(jù)安全問題，首先想到的是IPsec VPN，但是IPsec VPN與MPLS VPN結(jié)合后有三個(gè)致命的缺陷。為了解決這三個(gè)缺陷，本人使用思科最新提出的一種VPN，即GET VPN，這種VPN與MPLS VPN集合可以完美的解決上述的三個(gè)問題。


關(guān)鍵詞： MPLS; GET VPN; 安全

ABSTRACT
This paper introduces and validates the principle of the MPLS VPN and how to ensure data security. This article first introduces the basic principles of the VPN and MPLS protocols, VPN becomes the first choice of various internal networ
……（新文秘網(wǎng)http://www.jey722.cn省略1205字，正式會(huì)員可完整閱讀）……　
題 14
4.4.1影響Qos 14
4.4.2點(diǎn)對(duì)點(diǎn)IPSec SA造成的問題 15
4.4.3覆蓋路由（Overlay routing）問題 16
第五章 GET VPN的原理 18
5.1 GET VPN的介紹 18
5.2 GET VPN的特點(diǎn) 18
5.3 如何解決傳統(tǒng)IPSEC VPN的不足 19
5.3.1 如何解決Qos問題 19
5.3.2 解決點(diǎn)對(duì)點(diǎn)IPSec SA問題 19
5.3.3 解決覆蓋路由（Overlay routing）問題 20
5.4 GET VPN 與MPLS VPN結(jié)合驗(yàn)證實(shí)驗(yàn) 20
5.4.1配置過程 21
5.4.2驗(yàn)證加密過程 27
5.4.3加密產(chǎn)生的延時(shí)測(cè)試 28
第六章 結(jié) 論 30
參考文獻(xiàn) 31
致 謝 32


第一章 引言
MPLS-VPN是指采用MPLS技術(shù)在骨干的寬帶IP網(wǎng)絡(luò)上構(gòu)建企業(yè)IP專網(wǎng),采用MPLS VPN技術(shù)可以把現(xiàn)有IP網(wǎng)絡(luò)分解成邏輯上隔離的網(wǎng)絡(luò)，這種邏輯上隔離的網(wǎng)絡(luò)的應(yīng)用可以是千變?nèi)f化的：可以是用在解決企業(yè)互連、政府相同/不同部門的互連、也可以用來提供新的業(yè)務(wù)，如為IP電話業(yè)務(wù)專門開通一個(gè)VPN。 運(yùn)營商相繼推出MPLS　VPN服務(wù)，可能產(chǎn)生的最主要問題是特殊安全需求和互聯(lián)互通。因此在我國，在公共信息基礎(chǔ)平臺(tái)上發(fā)展專有網(wǎng)絡(luò)已是大勢(shì)所趨，唯一讓用戶擔(dān)心的是安全性。實(shí)際上，MPLS VPN針對(duì)一般用戶，已經(jīng)可以提供虛電路級(jí)的安全性。但是在有特殊要求的場合，比如公安、國防領(lǐng)域、電子政務(wù)、電子交易、傳送敏感信息、商業(yè)文件時(shí)，用戶需要更加安全的保障措施。所以在吸引此類傳統(tǒng)的專網(wǎng)用戶時(shí)，運(yùn)營商應(yīng)該著力應(yīng)對(duì)，提出更值得信賴的解決方案。比如IPSec加MPLS VPN接入技術(shù)。本課題主要研究的是GET VPN加MPLS VPN的接入技術(shù)，以保證MPLS VPN的安全。由于IPSec VPN與MPLS VPN結(jié)合后會(huì)產(chǎn)生許多無法避免的問題，所以本人使用新興技術(shù)GET VPN和MPLS VPN結(jié)合，實(shí)驗(yàn)證明，這種方案是完全的解決方案。


第二章 VPN基本原理
2.1 VPN的概念
VPN是在公用的通信基礎(chǔ)平臺(tái)上提供私有數(shù)據(jù)網(wǎng)絡(luò)的技術(shù)，運(yùn)營商一般通過隧道協(xié)議和采用安全機(jī)制來滿足客戶的私密性需求。VPN與傳統(tǒng)的專有線/租用線路相比，費(fèi)用低廉而且能較好地滿足客戶需求，對(duì)需要加密的數(shù)據(jù)，VPN設(shè)備對(duì)數(shù)據(jù)包進(jìn)行加密并附加認(rèn)證信息。VPN設(shè)備加上新的數(shù)據(jù)報(bào)頭，其中包括目的地VPN設(shè)備需要的安全信息和一些安全參數(shù)。VPN 設(shè)備對(duì)加密后的數(shù)據(jù)、鑒別包以及源IP地址、目標(biāo)VPN設(shè)備IP地址進(jìn)行重新封裝，重新封裝后的數(shù)據(jù)包通過虛擬通道在公網(wǎng)上傳輸。當(dāng)數(shù)據(jù)包到達(dá)目標(biāo)VPN設(shè)備時(shí)，數(shù)據(jù)包被解封裝，數(shù)據(jù)包的認(rèn)證碼核對(duì)無誤后，數(shù)據(jù)包被解密,并轉(zhuǎn)發(fā)到目的主機(jī)。
2.2 VPN的分類
2.2.1 按照技術(shù)點(diǎn)和用途分類
由于技術(shù)的側(cè)重點(diǎn)不同，VPN可以分為這樣的兩類，一類側(cè)重于網(wǎng)絡(luò)層的信息保護(hù)，提供各種加密安全機(jī)制以便靈活地支持認(rèn)證、完整性、訪問控制和密碼服務(wù)，保證信息傳送過程中的b_m性和不可篡改性。這類協(xié)議包括IPSec、PPTP、L2TP等等。其中，IPSec己經(jīng)成為國際標(biāo)準(zhǔn)的協(xié)議，并得到幾乎所有主流安全廠商的支持，如Cisco、Checkpoint、Netscreen等等。
當(dāng)今的互聯(lián)網(wǎng)應(yīng)用需求日益增多, 對(duì)帶寬和延時(shí)的要求也越來越高。為了提高轉(zhuǎn)發(fā)效率, 各個(gè)路由器生產(chǎn)廠家做了大量的改進(jìn)工作, 如Cisco 在路由器上提供CEF( Cisco E*press Forwarding) 功能、修改路由表、搜索算法等等。但這些修補(bǔ)并不能完全解決目前互聯(lián)網(wǎng)所面臨的問題。MPLS/VPN的網(wǎng)絡(luò)采用標(biāo)簽交換，一個(gè)標(biāo)簽對(duì)應(yīng)一個(gè)用戶數(shù)據(jù)流，非常易于用戶間數(shù)據(jù)的隔離，利用區(qū)分服務(wù)體系可以輕易地解決困擾傳統(tǒng)IP網(wǎng)絡(luò)的QoS/CoS問題，MPLS自身提供流量工程的能力，可以最大限度地優(yōu)化配置網(wǎng)絡(luò)資源，自動(dòng)快速修復(fù)網(wǎng)絡(luò)故障，提供高可用性和高可靠性。
IPSec VPN與MPLS VPN兩者所面向的應(yīng)用領(lǐng)域是不同的。當(dāng)信息的安全性是VPN網(wǎng)絡(luò)設(shè)計(jì)時(shí)考慮的首要因素時(shí)，應(yīng)當(dāng)采用IPSec VPN，因?yàn)镸PLS VPN并未提供加密、認(rèn)證等安全服務(wù)。銀行、工商、地稅等行業(yè)在租用了電信的專線構(gòu)建內(nèi)部網(wǎng)絡(luò)后，還要布署密碼機(jī)等加密設(shè)備來保證信息傳輸安全，原因就在于專線并不能提供商業(yè)通信所需要的機(jī)密性。因此，這類用戶的VPN網(wǎng)絡(luò)一般都是由自己來建設(shè)，以便根據(jù)業(yè)務(wù)需求進(jìn)行細(xì)粒度的安全策略的設(shè)置，增強(qiáng)資源訪問的受控性與信息傳輸?shù)陌踩浴?br>兩類VPN技術(shù)的主要區(qū)別在于MPLS實(shí)質(zhì)上是一種網(wǎng)絡(luò)基礎(chǔ)設(shè)施，而IPSec是運(yùn)行于網(wǎng)絡(luò)層之上的一種安全服務(wù)。
2.2.2 按照運(yùn)營商是否參與路由分類
VPN也可以大體分為這樣的兩種類型。一類是OVERLAY的VPN，運(yùn)營商是沒有參與路由的，這種VPN比如說IPSec VPN，運(yùn)營商甚至都不知這種VPN的存在。此外租用線路和幀中繼等也可以認(rèn)為是OVERLAY的VPN，ISP都是不參與路由的， 路由協(xié)議是直接在CE和CE之間部署的。這種VPN需要靜態(tài)部署，比如說一家公司有N個(gè)分部，一個(gè)總部，如果想兩兩之間部署VPN的話需要的數(shù)量比較大（N(N+1)/2） 。此時(shí)，如果再新增一個(gè)分部，分部必須再和總部及其它所有分部雙方靜態(tài)配置VPN，而且，需要企業(yè)具備相應(yīng)的人員進(jìn)行VPN的維護(hù)。
另一類是站點(diǎn)到站點(diǎn)的VPN，ISP是參與路由的。CE和PE之間運(yùn)行路由協(xié)議，PE學(xué)到CE端的路由，這些路由在ISP中傳遞，VPN另一端的CE接收這些條目。這種VPN的部署對(duì)CE來說是很簡單的，只是簡單地和PE運(yùn)行路由協(xié)議而已。不管新增多少個(gè)分部，CE端的配置都是無需進(jìn)行修改的。
2.2.3 MPLS VPN的引入
為了部署站點(diǎn)到站點(diǎn)VPN需要解決的一些問題。第一，對(duì)ISP來說，他更希望是一個(gè)PE連著多個(gè)CE，不然VPN的成本一定是很高的。那這時(shí)就會(huì)存在一些問題，比如說，因?yàn)镻E學(xué)到了A公司和B公司CE端的路由，如果，此時(shí)，是運(yùn)行同一個(gè)路由協(xié)議的話，那A公司和B公司之間就可以相互訪問了，哪怕不是運(yùn)行同一個(gè)路由協(xié)議，萬一A、B公司向PE指默認(rèn)路由，這種情況也會(huì)造成它們之 ……（未完，全文共18818字，當(dāng)前僅顯示3385字，請(qǐng)閱讀下面提示信息。收藏《畢業(yè)論文：企業(yè)MPLS VPN互聯(lián)安全設(shè)計(jì)與實(shí)現(xiàn)》）