畢業(yè)設(shè)計(論文)
題目:企業(yè)MPLS VPN互聯(lián)安全設(shè)計與實現(xiàn)
院(系) 計算機科學(xué)與技術(shù)
專 業(yè) 計算機科學(xué)與技術(shù)
摘 要
本文主要介紹并驗證了MPLS VPN的原理以及如何保證數(shù)據(jù)的安全性。首先介紹了VPN和MPLS協(xié)議的基本原理,因為運營商專線的昂貴,使得VPN成為各個企業(yè)內(nèi)部網(wǎng)絡(luò)的互聯(lián)的首選,并且介紹了MPLS VPN的構(gòu)架以及BGP的屬性是如何在MPLS VPN中發(fā)揮獨特作用的。然后分析了MPLS VPN存在的那些安全隱患,以及如何解決這些安全問題,還說明了傳統(tǒng)IPSec VPN技術(shù)的不足之處。重點分析了GET VPN的特點,如何彌補IPSec的不足,最后本人通過搭建環(huán)境保證MPLS VPN的數(shù)據(jù)在公司總部和分部之間實現(xiàn)安全傳輸?紤]到數(shù)據(jù)安全問題,首先想到的是IPsec VPN,但是IPsec VPN與MPLS VPN結(jié)合后有三個致命的缺陷。為了解決這三個缺陷,本人使用思科最新提出的一種VPN,即GET VPN,這種VPN與MPLS VPN集合可以完美的解決上述的三個問題。
關(guān)鍵詞: MPLS; GET VPN; 安全
ABSTRACT
This paper introduces and validates the principle of the MPLS VPN and how to ensure data security. This article first introduces the basic principles of the VPN and MPLS protocols, VPN becomes the first choice of various internal networ
……(新文秘網(wǎng)http://120pk.cn省略1205字,正式會員可完整閱讀)……
題 14
4.4.1影響Qos 14
4.4.2點對點IPSec SA造成的問題 15
4.4.3覆蓋路由(Overlay routing)問題 16
第五章 GET VPN的原理 18
5.1 GET VPN的介紹 18
5.2 GET VPN的特點 18
5.3 如何解決傳統(tǒng)IPSEC VPN的不足 19
5.3.1 如何解決Qos問題 19
5.3.2 解決點對點IPSec SA問題 19
5.3.3 解決覆蓋路由(Overlay routing)問題 20
5.4 GET VPN 與MPLS VPN結(jié)合驗證實驗 20
5.4.1配置過程 21
5.4.2驗證加密過程 27
5.4.3加密產(chǎn)生的延時測試 28
第六章 結(jié) 論 30
參考文獻 31
致 謝 32
第一章 引言
MPLS-VPN是指采用MPLS技術(shù)在骨干的寬帶IP網(wǎng)絡(luò)上構(gòu)建企業(yè)IP專網(wǎng),采用MPLS VPN技術(shù)可以把現(xiàn)有IP網(wǎng)絡(luò)分解成邏輯上隔離的網(wǎng)絡(luò),這種邏輯上隔離的網(wǎng)絡(luò)的應(yīng)用可以是千變?nèi)f化的:可以是用在解決企業(yè)互連、政府相同/不同部門的互連、也可以用來提供新的業(yè)務(wù),如為IP電話業(yè)務(wù)專門開通一個VPN。 運營商相繼推出MPLS VPN服務(wù),可能產(chǎn)生的最主要問題是特殊安全需求和互聯(lián)互通。因此在我國,在公共信息基礎(chǔ)平臺上發(fā)展專有網(wǎng)絡(luò)已是大勢所趨,唯一讓用戶擔(dān)心的是安全性。實際上,MPLS VPN針對一般用戶,已經(jīng)可以提供虛電路級的安全性。但是在有特殊要求的場合,比如公安、國防領(lǐng)域、電子政務(wù)、電子交易、傳送敏感信息、商業(yè)文件時,用戶需要更加安全的保障措施。所以在吸引此類傳統(tǒng)的專網(wǎng)用戶時,運營商應(yīng)該著力應(yīng)對,提出更值得信賴的解決方案。比如IPSec加MPLS VPN接入技術(shù)。本課題主要研究的是GET VPN加MPLS VPN的接入技術(shù),以保證MPLS VPN的安全。由于IPSec VPN與MPLS VPN結(jié)合后會產(chǎn)生許多無法避免的問題,所以本人使用新興技術(shù)GET VPN和MPLS VPN結(jié)合,實驗證明,這種方案是完全的解決方案。
第二章 VPN基本原理
2.1 VPN的概念
VPN是在公用的通信基礎(chǔ)平臺上提供私有數(shù)據(jù)網(wǎng)絡(luò)的技術(shù),運營商一般通過隧道協(xié)議和采用安全機制來滿足客戶的私密性需求。VPN與傳統(tǒng)的專有線/租用線路相比,費用低廉而且能較好地滿足客戶需求,對需要加密的數(shù)據(jù),VPN設(shè)備對數(shù)據(jù)包進行加密并附加認證信息。VPN設(shè)備加上新的數(shù)據(jù)報頭,其中包括目的地VPN設(shè)備需要的安全信息和一些安全參數(shù)。VPN 設(shè)備對加密后的數(shù)據(jù)、鑒別包以及源IP地址、目標(biāo)VPN設(shè)備IP地址進行重新封裝,重新封裝后的數(shù)據(jù)包通過虛擬通道在公網(wǎng)上傳輸。當(dāng)數(shù)據(jù)包到達目標(biāo)VPN設(shè)備時,數(shù)據(jù)包被解封裝,數(shù)據(jù)包的認證碼核對無誤后,數(shù)據(jù)包被解密,并轉(zhuǎn)發(fā)到目的主機。
2.2 VPN的分類
2.2.1 按照技術(shù)點和用途分類
由于技術(shù)的側(cè)重點不同,VPN可以分為這樣的兩類,一類側(cè)重于網(wǎng)絡(luò)層的信息保護,提供各種加密安全機制以便靈活地支持認證、完整性、訪問控制和密碼服務(wù),保證信息傳送過程中的b_m性和不可篡改性。這類協(xié)議包括IPSec、PPTP、L2TP等等。其中,IPSec己經(jīng)成為國際標(biāo)準(zhǔn)的協(xié)議,并得到幾乎所有主流安全廠商的支持,如Cisco、Checkpoint、Netscreen等等。
當(dāng)今的互聯(lián)網(wǎng)應(yīng)用需求日益增多, 對帶寬和延時的要求也越來越高。為了提高轉(zhuǎn)發(fā)效率, 各個路由器生產(chǎn)廠家做了大量的改進工作, 如Cisco 在路由器上提供CEF( Cisco E*press Forwarding) 功能、修改路由表、搜索算法等等。但這些修補并不能完全解決目前互聯(lián)網(wǎng)所面臨的問題。MPLS/VPN的網(wǎng)絡(luò)采用標(biāo)簽交換,一個標(biāo)簽對應(yīng)一個用戶數(shù)據(jù)流,非常易于用戶間數(shù)據(jù)的隔離,利用區(qū)分服務(wù)體系可以輕易地解決困擾傳統(tǒng)IP網(wǎng)絡(luò)的QoS/CoS問題,MPLS自身提供流量工程的能力,可以最大限度地優(yōu)化配置網(wǎng)絡(luò)資源,自動快速修復(fù)網(wǎng)絡(luò)故障,提供高可用性和高可靠性。
IPSec VPN與MPLS VPN兩者所面向的應(yīng)用領(lǐng)域是不同的。當(dāng)信息的安全性是VPN網(wǎng)絡(luò)設(shè)計時考慮的首要因素時,應(yīng)當(dāng)采用IPSec VPN,因為MPLS VPN并未提供加密、認證等安全服務(wù)。
銀行、工商、地稅等行業(yè)在租用了電信的專線構(gòu)建內(nèi)部網(wǎng)絡(luò)后,還要布署密碼機等加密設(shè)備來保證信息傳輸安全,原因就在于專線并不能提供商業(yè)通信所需要的機密性。因此,這類用戶的VPN網(wǎng)絡(luò)一般都是由自己來建設(shè),以便根據(jù)業(yè)務(wù)需求進行細粒度的安全策略的設(shè)置,增強資源訪問的受控性與信息傳輸?shù)陌踩浴?br>兩類VPN技術(shù)的主要區(qū)別在于MPLS實質(zhì)上是一種網(wǎng)絡(luò)基礎(chǔ)設(shè)施,而IPSec是運行于網(wǎng)絡(luò)層之上的一種安全服務(wù)。
2.2.2 按照運營商是否參與路由分類
VPN也可以大體分為這樣的兩種類型。一類是OVERLAY的VPN,運營商是沒有參與路由的,這種VPN比如說IPSec VPN,運營商甚至都不知這種VPN的存在。此外租用線路和幀中繼等也可以認為是OVERLAY的VPN,ISP都是不參與路由的, 路由協(xié)議是直接在CE和CE之間部署的。這種VPN需要靜態(tài)部署,比如說一家公司有N個分部,一個總部,如果想兩兩之間部署VPN的話需要的數(shù)量比較大(N(N+1)/2) 。此時,如果再新增一個分部,分部必須再和總部及其它所有分部雙方靜態(tài)配置VPN,而且,需要企業(yè)具備相應(yīng)的人員進行VPN的維護。
另一類是站點到站點的VPN,ISP是參與路由的。CE和PE之間運行路由協(xié)議,PE學(xué)到CE端的路由,這些路由在ISP中傳遞,VPN另一端的CE接收這些條目。這種VPN的部署對CE來說是很簡單的,只是簡單地和PE運行路由協(xié)議而已。不管新增多少個分部,CE端的配置都是無需進行修改的。
2.2.3 MPLS VPN的引入
為了部署站點到站點VPN需要解決的一些問題。第一,對ISP來說,他更希望是一個PE連著多個CE,不然VPN的成本一定是很高的。那這時就會存在一些問題,比如說,因為PE學(xué)到了A公司和B公司CE端的路由,如果,此時,是運行同一個路由協(xié)議的話,那A公司和B公司之間就可以相互訪問了,哪怕不是運行同一個路由協(xié)議,萬一A、B公司向PE指默認路由,這種情況也會造成它們之 ……(未完,全文共18818字,當(dāng)前僅顯示3385字,請閱讀下面提示信息。
收藏《畢業(yè)論文:企業(yè)MPLS VPN互聯(lián)安全設(shè)計與實現(xiàn)》)