基于IPSec的BGP-MPLS VPN研究與設計.pdf

1、虛擬專用網技術是近年網絡技術研究的熱點.它的出現(xiàn),使私有網絡幾乎可以無限延伸到地球的每個角落,從而以安全、低廉的網絡互連模式為包羅萬象的應用服務提供了發(fā)展的舞臺.由于其巨大的商業(yè)價值和發(fā)展?jié)摿?虛擬專用網已經成為目前最具活力的研究領域之一.VPN的服務目的就是在共享的基礎公共網絡上向用戶提供網絡連接,不僅如此,VPN連接應使得用戶獲得等同于專有網絡的通信體驗.合理和實用的VPN實現(xiàn)方案應能夠抗拒非法入侵、防范網絡阻塞,而且應能安全、及時

2、地交付用戶的重要數據,在實現(xiàn)這些功能的同時VPN還應該具有良好的可管理性.基于這些基本原則,我們對當前基于服務商的兩種主要三層VPN實現(xiàn)方案——IPSec VPN和BGP/MPLS VPN進行了分析比較,在此基礎上針對各自的缺陷,提出了一種基于IPSec的BGP/MPLS VPN高效、高安全性的方案.這種方案延續(xù)了IETF 13vpn工作組在BGP/MPLS VPN中增強安全性方面的思路,在普通IP報文通過骨干網傳輸以前,對其依次封裝上

3、內層MPLS標簽、IPSec頭以及外層MPLS標簽.內層MPLS標簽稱為VPN標簽,用來標志所屬的VPN;IPSec加密用來保證報文在骨干網傳輸過程中的安全性;外層MPLS標簽稱為骨干網標簽,用于報文在骨干網中的交換.在這個方案的基礎上,我們對整個方案的實施進行了整體的考慮和論述.同時,考慮VPN的安全性,不能不考慮移動用戶接入中的安全性問題.本方案對移動用戶提出了由服務提供商提供、集中式認證、分布式訪問的機制,這種機制能夠在保證一定的