第一篇:VPN的典型隧道协议
VPN的典型隧道协议
隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。
使用隧道传递的数据(或负载)可以是不同协议的数据桢(此字不正确)或包。隧道协议将这些其它协议的数据桢或包重新封装在新的包头中发送。
新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传递。
被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点,数据将被解包并转发到最终目的地。
注意隧道技术是指包括数据封装,传输和解包在内的全过程。
1、点对点隧道协议(PPTP)
点对点隧道协议(PPTP,Point-to-point Tunneling Protocol)是一种用于让远程用户拨号连接到本地ISP,通过因特网安全远程访问公司网络资源的新型技术。PPTP对PPP协议本身并没有做任何修改,只是使用PPP拨号连接,然后获取这些PPP包,并把它们封装进GRE头中。PPTP使用PPP协议的PAP或CHAP(MS-CHAP)进行认证,另外也支持Microsoft公司的点到点加密技术(MPPE)。PPTP支持的是一种客户-LAN型隧道的VPN实现。
传统网络接入服务器(NAS)执行以下功能:它是PSTN或ISDN的本地接口,控制着外部的MODEM或终端适配器:它是PPP链路控制协议会话的逻辑终点;它是PPP认证协议的执行者;它为PPP多链路由协议进行信道汇聚管理;它是各种PPP网络控制协议的逻辑终点。PPTP协议将上述功能分解成由两部分即PAC(PPTP接入集中器)和PNS(PPTP网络服务器)来分别执行。这样一来,拨号PPP链路的终点就延伸至PNS。
PPTP协议正是利用了“NAS功能的分解”这样的机制支持在因特网上的VPN实现。ISP的NAS将执行PPTP协议中指定的PAC的功能。而企业VPN中心服务器将执行PNS的功能,通过PPTP,远程拥护首先拨号到本地ISP的NAS,访问企业的网络和应用,而不再需要直接拨号至企业的网络,这样,由GRE将PPP报文封装成IP报文就可以在PAC-PNS之间经由因特网传递,即在PAC和PNS之间为用户的PPP会话建立一条PPTP隧道。
建立PPTP连接,首先需要建立客户端与本地ISP的PPP连接。一旦成功的接入因特网,下一步就是建立PPTP连接。从最顶端PPP客户端、PAC 和PNS服务器之间开始,由已经安装好PPTP的PAC建立并管理PPTP任务。如果PPP客户端将PPTP添加到它的协议中,所有列出来的PPTP通信都会在支持PPTP的客户端上开始与终止。由于所有的通信都将在IP包内通过隧道,因此PAC只起着通过PPP连接进因特网的入口点的作用。从技术上讲,PPP包从PPTP隧道的一端传输到另一端,这种隧道对用户是完全透明的。
PPTP具有两种不同的工作模式,即被动模式和主动模式。被动模式的PPTP会话通过一个一般是位于ISP处的前端处理器发起,在客户端不需要安装任何与PPTP有关的软件。在拨号连接到ISP的过程中,ISP为用户提供所有的相应服务和帮助。被动方式的好处是降低了对客户的要求,缺点是限制了客户对因特网其他部分的访问。
主动方式是由客户建立一个与网络另外一端服务器直接连接的PPTP隧道,这种方式不需要ISP的参与,不再需要位于ISP处的前端处理器,ISP只提供透明的传输通道。这种方式的优点是客户拥有对PPTP的绝对控制,缺点是对用户的要求较高,并需要在客户端安装支持PPTP的相应软件。
通过PPTP,远程用户经由因特网访问企业的网络和应用,而不再需要直接拨号至企业的网络。这样大大的减少了建立和维护专用远程线路的费用。且为企业提供了充分的安全保证。另外,PPTP还在IP网络中支持IP协议。PPTP“隧道”将IP、IPX、APPLE-TALK等协议封装在IP包中,使用户能够运行基于特定网络协议的应用程序。同时,“隧道”采用现 有的安全检测和认证策略,还允许管理员和用户对数据进行加密,使数据更加安全。PPTP还提供了灵活的IP地址管理。如果企业专用的网络使用未经注册的IP地址,那么PNS将把此地址和企业专用地址联系起来。
PPTP协议是一个为中小企业提供的VPN解决方案,但PPTP协议在实现上存在着重大安全隐患。有研究表明其安全性甚至比PPP还要弱,因此不适用于需要一定安全保证的通信。如果条件允许,用户最好选择完全能够替代PPTP的下一代二层协议L2TP。
2、第二层转发(L2F)
L2F由Cisco公司在1998年5月提交给IETF,RFC2341对L2F有详细的阐述。L2F可以在多种介质(如AMT、帧中继、IP网)上建立多协议的安全虚拟专用网。它将链路层的协议(如HDLC,PPP,ASYNC等)封装起来传送。因此,网络的链路层完全独立于用户的链路层协议。L2F远端用户能够通过任何拨号方式接入公共IP网络,首先按常规方式拨号到ISP的接入服务器(NAS),建立PPP连接:NAS根据用户名等信息,发起第二重连接,呼叫用户网络的服务器。在这种方式下隧道的建立和配置对用户是完全透明的。L2F允许拨号接入服务器发送PPP帧传输并通过WAN连接到达L2F服务器。L2F服务器将包去封装后把它们接入到公司自己的网络中。
3、二层隧道协议(L2TP)
L2TP协议的前身是Microsoft公司的点到点隧道协议(PPTP)和Cisco公司的二层转发协议(L2F)。PPTP协议是一个为中小企业提供的VPN解决方案。但PPTP协议在实现上存在着重大安全隐患,有研究表明其安全性甚至比PPP还要弱,因此不适用于需要一定安全保证的通信。L2F协议是一种安全通信隧道协议,但它的主要缺陷是没有把标准加密方法包括在内,因此它也已经成为一个过时的隧道协议。IETF的开放标准L2TP协议结合了PPTP协议和L2F的优点,特别适合组建远程接入方式的VPN,已经成为事实上的工业标准。
远程拨号的用户通过本地PSTN、ISDN或PLMN拨号,利用ISP提供的VPDN特服号,接入ISP在当地的接入服务器(NAS)。NAS通过当地的VPDN的管理系统(如认证系统),对用户身份进行认证,并获得用户对应的企业安全网关(CPE)的隧道属性(如企业网关的IP地址等)。NAS根据获得的这些信息,采用适当的隧道协议封装上层协,议建立一个位于NAS和LNS(本地网络服务器)之间的虚拟转网。
4、多协议标记交换(MPLS)
MPLS为每个IP包加上一个固定长度的标签,并根据标签值转发数据包。MPLS实际上就是一种隧道技术,所以使用它来建立VPN隧道是十分容易的。同时,MPLS是一种完备的网络技术,可以用它来建立起VPN成员之间简单而高效的VPN。MPLS VPN适用于实现对服务质量、服务等级的划分以及网络资源的利用率、网络的可靠性有较高要求的VPN业务。
CE路由器是用于将一个用户站点接入服务提供者网络的用户边缘路由器。CE路由器不使用MPLS,它可以只是一台IP路由器。CE不必支持任何VPN的特定路由协议或信令。PE路由器是与用户CE路由器相连的服务提供者边缘路由器。PE实际上就是MPLS中的边缘标记交换路由器(LER),它需要能够支持BGP协议,一种或几种IGP路由协议以及MPLS协议,需要能够执行IP包检查、协议转换等功能。
用户站点是指这样一组网络或子网,它们是用户网络的一部分并且通过一条或多条PE/CE链路接至VPN。一组共享相同路由信息的站点就构成了VPN。一个站点可以同时位于不同的几个VPN之中。
从MPLS VPN网络的结构可以看到,与前几种VPN技术不同,MPLS VPN网络中的主角虽然仍然是边缘路由器(此时是MPLS网络的边缘LSR),但是它需要公共IP网内部的所有相关路由都能够支持MPLS,所以这种技术对网络有较为特殊的要求。
5、IP安全(IPSec)
IPSec是专门为IP设计提供安全服务的一种协议(其实是一种协议族)。IPSec可有效保护IP数据报的安全,所采取的具体保护形式包括:数据源验证、无连接数据的完整性验证、数据内容的机密性保护、抗重播保护等。
IPSec主要由AH(认证头)、ESP(封装安全载荷)、IKE(因特网密钥交换)三个协议组成,各协议之间的关系如下图所示
①AH为IP数据包提供无连接的数据完整性和数据源身份认证,同时具有防重放攻击的能力。数据完整性校验通过消息认证码(如MD5)产生的校验来保证;数据源身份认证通过在待认证数据中加入一个共享密钥来实现;AH报头中的序列号可以防止重放攻击。
②ESP为IP数据包提供数据的保密性(加密)、无连接的数据完整性、数据源身份认证以及防重放攻击保护。其中的数据保密性是ESP的基本功能,而数据源身份证、数据完整性检验以及重放保护都是可选的。
③AH和ESP可以单独使用,也可以结合使用,甚至嵌套使用。通过这些组合方式,可以在两台主机、两台安全网关(防火墙和路由器),或者主机与安全网关之间使用。
④解释域(DOI)将所有的IPSec协议捆绑在一起,是IPSec安全参数的主要数据库。
⑤密钥管理包括IKE协议和安全联盟(SA)等部分。IKE提供密钥确定、密钥管理。它在通信系统之间建立安全联盟,是一个产生和交换密钥材料并协调IPSec参数框架。
IPSec可以在主机、路由器/防火墙(创建一个安全网关)或两者中同时实施和部署。用户可以根据对安全服务的要求决定究竟在什么地方实施。、为实现在专用或公共IP网络上的安全传输,IPSEC隧道模式使用的安全方式封装和加密整个IP包。然后对加密的负载再次封装在明文IP包头内通过网络发送到隧道服务器端。隧道服务器对收到的数据报进行处理,在去除明文IP包头,对内容进行解密之后,获的最初的负载IP包。负载IP包在经过正常处理之后被路由到位于目标网络的目的地。
6、通用路由封装(GRE)
通用路由协议封装(GRE)是由Cisco和NetSmiths等公司1994年提交给IETF的,标号为RFC1701和RFC1702。目前有多数厂商的网络设备均支持GER隧道协议。
GER规定了如何用一种网络协议去封装另一种网络协议的方法。GER的隧道由两端的 源IP和目的IP来定义,允许用户使用IP包封装IP、IPX、AppleTalk包,并支持全部的路由协议(如RIP2、OSPF等)。通过GER,用户可以利用公共IP网络连接IPX网络、AppleTalk网络,还可以使用保留地址进行网络互联,或者对公网隐藏企业网的IP地址。GER只提供了数据包的封装,并没有加密功能来防止网络侦听和攻击,所以在实际环境中经常与IPSec在一起使用,由IPSec提供用户数据的加密,从而给用户提供更好的安全性。GER的实施策略以及网络结构与IPSec非常相似,只需要网络边缘的接入设备支持GER协议即可。GER封装的格式如下图。
第二层和第三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装,其中GRE、IPSec和MPLS主要用于实现专线VPN业务,L2TP主要用于实现拨号VPN业务(但也可以用于实现专线VPN业务),当然这些协议之间本身不是冲突的,而是可以结合使用的。
隧道技术可以分别以第2层或第3层隧道协议为基础。上述分层按照开放系统互联(OSI)的参考模型划分。第2层隧道协议对应OSI模型中的数据链路层,使用桢作为数据交换单位。PPTP,L2TP和L2F(第2层转发)都属于第2层隧道协议,都是将数据封装在点对点协议(PPP)桢中通过互联网络发送。第3层隧道协议对应OSI模型中的网络层,使用包作为数据交换单位。IP overIP以及IPSec隧道模式都属于第3层隧道协议,都是将IP包封装在附加的IP包头中通过IP网络传送。
第二篇:典型应用之--VPN篇
花生壳典型应用之--VPN篇
VPN技术简介
1.1 概述
VPN的全称是Virtual Private Network,翻译过来一般称为虚拟专用网络。其主要作用就是利用公用网络(主要是互联网)将多个私有网络或网络节点连接起来。通过公用网络进行连接可以大大降低通信的成本。
一般来说两台连接上互联网的计算机只要知道对方的IP地址,是可以直接同通信的。不过位于这两台计算机之后的网络是不能直接互联的,原因是这些私有的网络 和公用网络使用了不同的地址空间或协议,即私有网络和公用网络之间是不兼容的。VPN的原理就是在这两台直接和公用连接的计算机之间建立一个条专用通道。连个私有网络之间的通信内容经过这两台计算机或设备打包通过公用网络的专用通道进行传输,然后在对端解包,还原成私有网络的通信内容转发到私有网络中。这 样对于两个私有网络来说公用网络就像普通的通信电缆,而接在公用网络上的两台计算机或设备则相当于两个特殊的线路接头。
由于VPN连接的特点,私有网络的通信内容会在公用网络上传输,出于安全和效率的考虑一般通信内容需要加密或压缩。而通信过程的打包和解包工作则必须通过 一个双方协商好的协议进行,这样在两个私有网络之间建立VPN通道是需要一个专门的过程,依赖于一系列不同的协议。这些设备和相关的设备和协议组成了一个 VPN系统。一个完整的VPN系统一般包括以下几个单元:
VPN服务器,一台计算机或设备用来接收和验证VPN连接的请求,处理数据打包和解包工作。VPN客户端,一台计算机或设备用来发起VPN连接的请求,也处理数据的打包和解包工作。VPN数据通道,一条建立在公用网络上的数据连接。
注意所谓的服务器和客户端在VPN连接建立之后在通信的角色是一样的,服务器和客户端的区别在于连接是由谁发起的而已。这个概念在两个网络之间的连接尤其明显。
1.2 应用情景
我们可以设想一下的情景:公司的总部在广州,有两个办事处分别在香港和上海,两个办事处的网络需要和总部连接,同时办事处之间也需要相互连接。解决这种问题以前只有一种办法就是分别申请两条专线连接总部和两个办事处,两个办事处之前的通信通过总部转发。长途专线的费用是非常昂贵的,在以前也只有银行、证券 公司以及大象企业才有能力负担。
有了互联网和VPN技术之后解决办法可以变成这样,总部通过一条专线和互联网连接,两个办事处分别在本地申请互联网的拨号连接。然后通过在互联网上建立两条VPN通道将三个网络连接起来。这样可以省去长途专线费用。不过互联网的专线连接也不便宜,这种解决方案暂时也只有大中型公司可以负担得起。
那么为什么总部必须使用互联网专线呢,这里牵涉到一个VPN的技术细节,在建立VPN通道的时候,连接的发起者必须知道接受连接的服务器的IP地址,就像我们打电话之前必须知道对方的号码一样。而普通的拨号连接每次上网的IP地址都不相同。不过现在有一个很好的解决方案,通过花生壳动态域名服务可以让一个拨号连接获得的IP地址与一个固定的域名绑定在一起,当建立VPN连接的时候,连接建立者只需要输入连接接受方的域名就可以了。不过接受方的IP地址怎么改变,这个域名都可以解释到接受方当前的Ip地址上。这样就可以省去一条互联网的专线连接,大大降低了通信的费用,这样VPN的解决方案中小型企业也可以负担得起了。
二、规划VPN接入环境
VPN不但可以用于上述网络对网络的连接,也可以用于单台计算机到网络的连接。在使用VPN的时候我们需要规划一下我们应用环境。
首先我们需要列出需要连接的节点以及节点的类型,以及之间的访问关系,即由谁发起连接和向谁发起连接的问题。这样我们可以确认在我们环境中确定哪些地方需要安装VPN服务器,哪些地方仅仅是配置客户端就可以了。
对于需要安装VPN服务器的地方我们需要一条比较高速的互联网线路,一个固定的IP地址,或者使用花生壳配置一个固定的域名。
下面的介绍时基于微软间操作系统进行的。微软的操作系统中提供VPN服务器功能的有Window 2000 Server和Advance Server,以及比较久的NT Server 4.0,当然这些操作系统也可以作为VPN的客户端。其他的则全部都可以作为VPN客户端。(Window95必须安装Dialup Network 1.3组件)。
确定了服务器和客户端之后,我们还需要规划个节点的IP地址。每个私有网络必须使用不同的地址段,在各自的地址段中必须划分出一部分用于VPN的接入。
以下的介绍我们都是围绕着Window2000的配置进行的。
三、配置VPN接入服务器
3.1 安装花生壳
只有VPN服务器才需要安装花生壳服务,在规划环境的时候必须为每台VPN服务器申请一个Oray护照。这样每台服务器就会有一个不同的域名。在客户端拨号的时候可以通过域名控制连接不同的网络。
一般建议花生壳直接安装在VPN服务器上,并配置为自动启动。这样只要服务器在线域名一定有效。当然如果VPN服务器也提供互联网共享的话也可以将花生壳安装在内部网络的任何一台计算机上,不过必须保证这台计算机不会在服务器在线的时候关机,以免域名失效。
3.2 网络连接准备
作为VPN服务器实际上就是一台路由器,一般需要安装两块或以上的网卡,其中一块网卡负责和互联网连接。另一块网卡则连接内部网络。在进行下面的配置之前首先必须检测服务器和互联网的连接是否正常。
另外很重要的一点就是必须保证服务器和互联网连接的网卡获得的是一个公网地址,即接入的ISP不是使用地址转换技术。检测的办法如下:
在命令行输入ipconfig,检查和互联网连接的网卡的IP地址,如果其地址在下列范围之一则不是公网地址,ISP使用了地址转换技术提供接入服务。这样就必须更换ISP。10.0.0.0-10.255.255.255 172.16.0.0-172.31.255.255 192.168.0.0-192.168.255.255
3.3 配置路由和远程访问服务
激活路由和远程访问服务
在安装Window 2000 服务器或高级服务器的时候路由和远程服务是默认安装好的,不过没有激活罢了,因此我们需要首先激活路由和远程访问服务。步骤如下:
在程序/管理工具中,点击“路由和远程访问”。打开路由和远程访问服务管理界面,见图3-1
图3-1
当前的管理界面中尚未添加服务器,所接下来需要将本机添加进去,方法是在服务器状态上按鼠标右键,选择添加服务器,打开添加服务器的对话框,选择“这台计算机”,见图3-2
图3-2
按确定之后管理界面出现本机,并且处于停止状态,见图3-3
图3-3
接下来需要激活本机的路由和远程访问服务,在本级服务器上按鼠标右键,选择配置和激活路由和远程访问服务。系统打开路由和远程访问服务安装向导。按下一步出现想到的功用设置页面,见图3-4。
图3-4 选择手动配置服务器,实际上这是最简单的配置方法,我们暂时撇开复杂的概念,这个选择实际上已经将大部分我们需要的功能完成了。按下一步然后完成,系统会询问是否启动路由和远程访问服务,回答是。然后我们又回到管理界面。见图3-5
图3-5
接下来我们所需要改动的地方只有一个就是配置VPN接入是分配的IP地址。
配置接入的IP地址
VPN服务在接受了VPN客户端的接入之后就会为客户端分配一个IP地址,客户端就是用这个地址和服务器或服务器连接的内部网络通信。这个地址需要实现分配好,这个地址可以有两种配置方法:
1、使用和内部网络相同的地址段,这样远程接入的VPN客户就和直接连接在内部网络的计算机一样,其网络配置和在公司内部的计算机没有什么区别。这种方式适合于单机拨入的情况,但不太适合网络对网络的VPN互联。
2、使用和内部网络不同的地址段,这时候VPN服务器相当于一台路由器,比较和与网络对网络的互联。对于单机就比较麻烦,对于接入移动式办公的电脑最好还是选用第一种方式。
配置接入地址段的方法也有两种方法,一种是利用DHCP服务器,另一种就是直接在接入服务器上配置。前一种方法需要介绍DHCP服务器的使用,这里就暂不介绍了。以下是配置接入服务器自己的地址段的方法。
在接入服务器上按鼠标右键,点击属性,打开服务器的属性对话框,选择IP页面,如图3-6
图3-6 选择“静态地址”,按添加打开静态地址配置对话框,如图3-7
图3-7
输入其实抵制和结束地质,注意地址数量必须比最大的接入数量多一个,因为服务总是占用地址段的第一个地址。
3.4 配置访问权限
用户必须有相应的权限才能使用接入服务,这个权限是在用户管理工具中配置的。如果使用活动目录则必须使用活动目录的拥护和计算机进行管理,如果使用本机的账号则使用计算机管理中的用户和组的功能。
远程拨入的权限是一个个用户配置的,默认情况下所有用户都没有拨入权限。我们在用户管理中选择需要拨入的用户,打开属性对话框,选择拨入页面。在远程访问权限中选择“允许访问”即可,见图3-8
图3-8
四、配置客户端
这里介绍的客户端指的是单台PC连接VPN服务器的情况,即单机和网络的连接。关于网络到网络的连接我将在后续的文章介绍。
单机连接2000Server做的VPN服务器非常简单,和平时Modem拨号上网差不多。区别在于原来填写电话号码的地方现在必须填写VPN服务器的 Ip地址或域名。另外我们需要记住VPN是一种建立在已有的网络连接上的一种专用连接,即人和VPN都需要一个底层的网络连接,我们可以在建立VPN拨号 连接的时候指定底层连接(如连接互联网的拨号连接),这样在拨VPN的时候计算机会自动拨互联网的连接。当然你如果使用多种互联网连接或直接使用局域网类 型的连接。可以不指定这个底层连接,在拨VPN之前自己手工拨号上互联网。建立VPN拨号连接的方法如下:
首先打开控制面板里面的网络和拨号连接,点击新建连接。系统会打开拨号连接向导,按下一步,进入网络连接类型的选择,如图4-1
图4-1
选择通过Internet连接到专用网络,按下一步,进入公用网络配置,见图4-2
图4-2
如果你使用的局域网形式的接入选择,不拨初始连接,如果你使用一个固定的拨号网络连接互联网,则选择自动拨此初始连接,并选择对应的拨号连接名称。按下一步,进入目标地址配置,见图4-3
图4-3
输入VPN服务器的IP地址或域名,如果你的VPN服务器采用的是动态连接,这时花生壳就显示出其威力了,只需要输入了VPN服务器的动态域名,我们就可以省去大笔固定线路的租用费用了。按下一步,输入新建VPN连接的名称,见图4-4
图4-4
至此VPN客户端配置完毕。如果你有多个VPN服务器可以重复上述步骤,为每个VPN接入服务器建立相应的连接。
第三篇:网网通VPN成功案例-典型行-客-
网网通VPN成功案例-典型行业客户
网网通VPN成功案例
— 典型行业客户 综合性集团客户列表.....................................................................................................2 2 能源行业客户列表........................................................................................................2 3 化工行业客户列表........................................................................................................2 4 机械及机电制造行业客户列表.......................................................................................3 5 电子信息行业客户列表.................................................................................................3 6 房地产、物业及建筑行业客户列表................................................................................4 7 医药及医疗器械行业客户列表.......................................................................................4 8 服装纺织行业客户列表.................................................................................................5 9 旅游及食品行业客户列表..............................................................................................5 10零售批发连锁及外贸行业客户列表...............................................................................6 11物流行业客户列表.......................................................................................................6 12金融投资及电信行业客户列表......................................................................................6 13政府及事业单位客户列表.............................................................................................7
网网通VPN
孙涛::020-33059165,88222967 / 020-87517725
网网通VPN成功案例-典型行业客户 综合性集团客户列表
侨鑫集团
豪恩国际集团 东凌集团
华联发展集团 上海中发电气集团 上海海得股份集团 …… 能源行业客户列表
中国石化集团西北石油局
广东大亚湾核电服务(集团)有限公司 广东省德庆电力有限公司
上海电力股份有限公司吴泾热电厂 真兴-爱依斯电力有限公司 鞍山荣信电力
广西三江电力
广西西能科技有限责任公司 广州市番禺煤气有限公司 广州市煤建公司 广州振戎燃气有限公司 杭州水电十二局 …… 化工行业客户列表
日本花王(中国)有限公司 香港圣薇娜化妆品集团 广州蓝月亮有限公司
广州立白企业集团有限公司 金兄弟化工(香港)有限公司 深圳市沃尔热缩材料有限公司 广州市特俪侬化妆品有限公司 万益纸巾(深圳)有限公司 安兴纸业(深圳)有限公司 顺德宝盛染料有限公司
日本可涂(香港)有限公司 上海利康消毒有限公司 ……
网网通VPN
孙涛::020-33059165,88222967 / 020-87517725
网网通VPN成功案例-典型行业客户 机械及机电制造行业客户列表
中国南车集团湖南株洲电力机车研究所 安徽合力股份有限公司 上海汉钟机械有限公司
广州电梯集团配件有限公司 广州双菱钢铁工业有限公司 广州胶管厂
上海乐鼎自动化设备有限公司 深圳市金龙空调电器有限公司
埃克尔空调技术(无锡)有限公司 香港三和国际集团
摩比天线技术(深圳)有限公司 台湾辉隆机械有限公司 江苏江动集团有限公司 广州吉必时实业有限公司 西安三力锁业有限公司 广州辉门冠军火花塞有限公司 浙江宁波车灯电器有限公司 中国台州杰克缝纫机有限公司 浙江台州缝纫机集团 …… 电子信息行业客户列表
广东步步高电子工业有限公司 航天信息技术股份有限公司 京信通信系统(广州)有限公司 汤玛士电器制造(深圳)有限公司
北京希格玛集团
顺德市万和集团有限公司 顺特电气有限公司
海联讯网络科技(深圳)有限公司 深圳市金天信电子有限公司
泰德富源科技(深圳)有限公司 松日高科(深圳)有限公司 至卓飞高线路板(深圳)有限公司 广州威创电子有限公司 广州星智数码科技有限公司 深圳市蜂星电讯有限公司
普诺玛商业安全设备(深圳)有限公司 ……
网网通VPN
孙涛::020-33059165,88222967 / 020-87517725
网网通VPN成功案例-典型行业客户 房地产、物业及建筑行业客户列表
深圳市华侨城集团公司 广东奥园置业集团
广州市珠江地产有限公司
江苏弘辉房地产开发有限公司
扬州宏大房地产开发有限公司
广东省城建开发建筑工程集团有限公司 广州工程总承包集团有限公司 广州市政工程维修处
深圳市长城物业管理有限公司 东深投资物业控股有限公司
华森建筑与工程设计顾问有限公司 深圳宝成石业有限公司 高氏(广州)涂料有限公司 广东金宝集团有限公司
浙江力宝高新建材股份有限公司 中山市尊宝灯饰有限公司 雅特照明有限公司
荣文灯饰(东莞)有限公司 东营黄河口家具
礼恩派(上海)有限公司 南海市耐尔仕陶瓷有限公司 南海市特高特陶瓷有限公司 南海市美雅陶瓷有限公司 …… 医药及医疗器械行业客户列表
北京同仁堂药业
上海市医药股份有限公司 上海复星药业有限公司
上海雷允上药品连锁经营有限公司 深圳海王星辰医药有限公司 广州市光华药业股份有限公司 广州敬修堂股份有限公司 广州医药有限公司 深圳市中医院
美信医药国际连锁中国总部 深圳市汇华医药有限公司 深圳市尚荣医疗设备有限公司 广东明林药业有限公司 广州市致宁药业有限公司
网网通VPN
孙涛::020-33059165,88222967 / 020-87517725
网网通VPN成功案例-典型行业客户
广州三元科技有限公司 广东柏康连锁药店有限公司 上海置基医药有限公司 北京慈济门诊部
深圳市宇冠医药有限公司 洋浦华海医药物资有限公司 …… 服装纺织行业客户列表
南海嘉莉诗国际内衣有限公司 深圳市日神羊绒纺织有限公司 港归服饰有限公司
深圳市港鹏针织厂
北京铜牛针织集团有限责任公司 深圳市亿弘润实业发展有限公司 广州羊毛衫织造厂
虎门元精时装有限公司 广州景峰针织有限公司 上海中玄服饰有限公司 广州市欧时力服饰
吴江焕利实业纺织有限公司 得时纺织(上海)有限公司 …… 旅游及食品行业客户列表
深圳华侨城旅游公司
广州广之旅国际旅行社股份有限公司 广州市羊城国际旅游总公司 佛山市中国国际旅游有限公司 顺德市旅游总公司 中山市海外旅游有限公司 广东时尚国际旅行社 桂林市海外旅游总公司 中山市小榄国际旅行社
上海美林阁餐饮管理有限公司 深圳达能益力泉饮品有限公司 深圳市山天饮食连锁有限公司 上海怡乐食品科技有限公司 ……
网网通VPN
孙涛::020-33059165,88222967 / 020-87517725
网网通VPN成功案例-典型行业客户
10零售批发连锁及外贸行业客户列表
广州明廊眼镜连锁企业有限公司 深圳市博士眼镜有限公司 深圳海王星辰药业连锁有限公司 广州市东泽电器有限公司
北京长安铃木汽车销售有限责任公司 西安晶众佳乐连锁超市
湖南佳惠百货有限公司
广东省工艺品进出口(集团)公司 上海锦宫牧野国际贸易有限公司 ……
11物流行业客户列表
中外运深圳分公司
上海中远国际航空货运有限公司 深圳市高速公路有限公司
广深珠高速公路有限公司
深圳市威豹金融押运股份有限公司 华南国际物流有限公司 德科国际物流有限公司
深圳市盐田港珠江集装箱运输公司 深圳市新产业综合物流发展有限公司 南宁运德汽车运输有限公司 上海新杰货运服务有限公司 上海东亚运输仓储有限公司 上海华加国际货运代理有限公司 广州越联国际运输有限公司 广西超大运输有限公司 上海纬铭国际货运 上海三骏国际货运 上海一辉国际货运 ……
12金融投资及电信行业客户列表
华夏证券 泰康人寿 华安保险 信安保险 永安保险
网网通VPN
孙涛::020-33059165,88222967 / 020-87517725
网网通VPN成功案例-典型行业客户
深圳市北方投资有限公司
深圳市金融电子结算中心(深圳市金融联)北京新华信商业信息咨询有限公司 西安市电信分公司
上海市电信有限公司南汇电信局 深大电话有限公司 佛山联通
中国联通绥化分公司 ……
13政府及事业单位客户列表
信息产业部五所赛宝计量检测中心 深圳市中小企业信用担保中心 新疆克拉玛依社会保险管理局 珠海市交通信息中心
福建省永安市林业局 福建省石狮市人民政府
上海市市容环境卫生水上管理处 深圳市宝安财政局
广东省从化市人民法院 广东省惠州市规划局 广东省增城市建设局 广东省河源市地税局 江西省九江市地税局 河南省新会市邮政局 广州市少年儿童图书馆 广州市越秀图书馆 深圳有线电视台 深圳慈善公益网 天津工程机械研究院
广东工业大学
广州市番禺区职业技术培训中心 上海美国管理协会(学院)深圳市邮电规划设计院 浙江特检中心
佛山市顺德生产力促进中心 湖州市特种设备检测中心 ……
(数千家客户、上万个网络的成功应用)
更多案例,请参见微胜科技网站:www.xiexiebang.com
网网通VPN
孙涛::020-33059165,88222967 / 020-87517725
第四篇:隧道施工安全协议
施 工 安 全 协 议
甲方:中铁三局集团太中银铁路吕梁山隧道项目经理部
乙方:中铁三局集团太中银铁路吕梁山隧道项目经理部
为保证中铁三局集团太中银铁路吕梁山隧道项目工程能安全顺利的完成及确保施工期间的人身、设备安全,明确甲乙双方的安全施工责任,经甲乙双方协商,达成以下协议:
一、施工范围1、2、3、其他甲方指定工程。
二、甲方的职责
1、开工前,必须对员工进行施工安全教育。
2、甲方负责向乙方提供既有地下管线、光、电缆位置。
3、甲方要以高度负责的态度作好监督工作。
4、每个工点指定专职和监控人员,协助乙方作好安全工作。监控人员有权制止乙方施工中影响行车安全作业,乙方必须无条件服从。若不服从甲方有权向乙方发放停工通知书,停工造成的损失由乙方负责。
5、甲方负责检查、监督、指导乙方施工,甲方发现乙方违章施工,有权停工。若发放停工通知书后,乙方仍不停止违章作业,由此产生一切后果均由乙方负责。
6、甲方的安全监控干部随现场施工情况随时抽查,安排好监督工作并作好情况汇报。
三、乙方职责
1、乙方所有上岗人员、各工种人员必须熟知《铁路施
工技术安全规则》具体规则,严格按照《铁路安全规则》和《技规》作业,不得违规作业。严格按照《施工规范》及《技术规范》作业,不得违规作业。
2、乙方应在在施工现场设置醒目的施工标志、标语牌,用耐腐蚀、抗老化的材料做成正规的标牌,严格执行文明工地标准。
3、道路施工要注意对地下建筑物的安全防护,在未探明具体位置的情况下,严禁使用机械作业。现场开挖的沟坑在道路没有完全封闭前,在道路两侧和有出入口的地方必须设置明显的警示标志牌,夜间设警示灯。
4、乙方施工中开挖各种基坑、沟壕时要先挖探沟,摸清地下电缆、光缆的走向、具体径路和根数,应及时通知甲方再行施工。在有地下管线,电缆处施工时,必须了解既有地下管线、光缆、电力电缆的位置及走向,进行有效的现场监护,严禁触及。保证不影响既有设备的正常使用,不应该造成设备的正常使用,也不应造成设备隐患。
5、拆除围墙、围柱、其它建筑物及砍伐树木时,必须统一指挥,专人防护,确保行人和车辆及相邻建筑物的安全。
6、施工期间,遇有动力设备,高压电线路,地下管道、压力容器、易燃易爆品、有毒有害物体等情况,需要特殊防护时,乙方必须按设计要求,采取切实可行的安全可靠的防护措施,确保施工人员和设备的安全。
7、施工现场装载机、挖掘机等大型机械作业时,必须设有专人监护,监护人员不得以任何理由脱岗。车辆及施工机械在进行倒车、调头及施工作业时要自行安全。
8、施工现场内各种临时用电必须符合临时用电安全规
定,闸盖齐全,按规定设置漏电保护器和熔断器,严禁使用其它导线代替保险丝,有危险的地方要立警告牌。使用机械及电器设备时,要注意设备的使用安全,经常检查电器设备的绝缘情况。
9、登高施工作业时,必须戴安全帽、系安全带(绳)、设置安全网,衣装要灵便,禁止穿硬底和带钉易滑的鞋,严禁在同一作业面上下同时作业,不准向上、向下抛掷材料和工具,并有专人检修平台、栏杆的连接扣件的稳定性。遇到恶劣气候条件(如风力在六级以上)禁止高空作业。
10、用于生产、生活的设施不得建于低洼处,防止发生危险。
11、吊车在工作时,严禁在起重臂、吊装物及转动半径内站立。要时刻注意起重臂、吊装物的动向,避免出现意外。
12、施工人员在施工期间的交通安全及人身安全要自行负责。
13、非工作时间乙方自行进行安全管理。
14、乙方施工作业人员必须服从甲方管理人员指挥。施工现场严格执行统一管理,严格施工纪律,防止施工人员工作态度懒散,注意力不集中而出现的安全事故。
15、做好日常和定期安全检查工作,保证工程顺利进行。对于事故苗头按“三不放过”的原则认真分析,查找原因,进行整改。
16、施工中,进度与安全发生矛盾时,坚决服从安全。
17、每日施工前,进行安全教育、技术交底,在全体作业人员中营造安全生产氛围。
18、施工中严禁擅自变更施工地点,增加项目。
19、在施工中一旦发生安全事故,乙方应停止一切施工,积极配合甲方进行处理,待事故处理完毕后,再继续施工。
20、一旦发生人身伤亡事故,乙方必须立即报告上级主管部门当地劳动部门,检察机关,并通知甲方代表。甲方代表应按规定向上级安全、建设主管部门报告。
四、乙方在施工过程中除应严格遵守本协议,尚应按照国家和公路的有关标准及各专项施工技术安全规则的有关规程作业,以及安检、技术室下发的各类技术交底、安全技术措施执行,如乙方人员在施工中违反上述规定而造成安全问题,其后果乙方自已负责,甲方不负任何责任。
五、凡因违反本协议发生安全及其它问题,均由乙方承担全部责任,并负责赔偿由此引起的所有经济损失。
六、本协议未尽事宜,双方协商解决。
七、本协议一式贰份,双方各执壹份,自双方签字盖章后生效,工程施工完毕时自行作废。
甲方:(公章)乙方:(公章)
甲方代表:乙方代表:
2007年月日
第五篇:VPN定义
VPN
开放分类: 互联网、网络、电脑、技术
VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或WINDOWS2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。下面我们结合本站有关思科及微软关于VPN方面的文章为大家介绍这方面的资讯,更多更丰富的相关方面内容我们将在以后日子里进行补充。
针对不同的用户要求,VPN有三种解决方案:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet(外部扩展)相对应。
======
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的压网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
目前很多单位都面临着这样的挑战:分公司、经销商、合作伙伴、客户和外地出差人员要求随时经过公用网访问公司的资源,这些资源包括:公司的内部资料、办公OA、ERP系统、CRM系统、项目管理系统等。现在很多公司通过使用IPSec VPN来保证公司总部和分支机构以及移动工作人员之间安全连接。
对于很多IPSec VPN用户来说,IPSec VPN的解决方案的高成本和复杂的结构是很头疼的。存在如下事实:在部署和使用软硬件客户端的时候,需要大量的评价、部署、培训、升级和支持,对于用户来说,这些无论是在经济上和技术上都是个很大的负担,将远程解决方案和昂贵的内部应用相集成,对任何IT专业人员来说都是严峻的挑战。由于受到以上IPSec VPN的限制,大量的企业都认为IPSec VPN是一个成本高、复杂程度高,甚至是一个无法实施的方案。为了保持竞争力,消除企业内部信息孤岛,很多公司需要在与企业相关的不同的组织和个人之间传递信息,所以很多公司需要找一种实施简便,不需改变现有网络结构,运营成本低的解决方案。
----从概念上讲,IP-VPN是运营商(即服务提供者)支持企业用户应用的方案。一个通用的方法可以适用于由一个运营商来支持的、涉及其他运营商网络的情况(如运营商的运营商)。
----图1给出了实现IP-VPN的一个通用方案。其中,CE路由器是用于将一个用户站点接入服务提供者网络的用户边缘路由器。而PE路由器则是与用户CE路由器相连的、服务提供者的边缘路由器。
----站点是指这样一组网络或子网,它们是用户网络的一部分,并且通过一条或多条PE/CE链路接至VPN。VPN是指一组共享相同路由信息的站点,一个站点可以同时位于不同的几个VPN之中。
----图2显示了一个服务提供者网络支持多个VPN的情况。如图2所示,一个站点可以同时属于多个VPN。依据一定的策略,属于多个VPN的站点既可以在两个VPN之间提供一定的转发能力,也可以不提供这种能力。当一个站点同时属于多个VPN时,它必须具有一个在所有VPN中唯一的地址空间。
----MPLS为实现IP-VPN提供了一种灵活的、具有可扩展性的技术基础,服务提供者可以根据其内部网络以及用户的特定需求来决定自己的网络如何支持IP-VPN。所以,在MPLS/ATM网络中,有多种支持IP-VPN的方法,本文介绍其中两种方法。
方案一
----本节介绍一种在公共网中使用MPLS提供IPVPN业务的方法。该方法使用LDP的一般操作方式,即拓扑驱动方式来实现基本的LSP建立过程,同时使用两级LSP隧道(标记堆栈)来支持VPN的内部路由。
----图3 给出了在MPLS/ATM核心网络中提供IPVPN业务的一种由LER和LSR构成的网络配置。
----LER(标记边缘路由器)
----LER是MPLS的边缘路由器,它位于MPLS/ATM服务提供者网络的边缘。对于VPN用户的IP业务量,LER将是VPN隧道的出口与入口节点。如果一个LER同时为多个用户所共享,它还应当具有执行虚拟路由的能力。这就是说,它应当为自己服务的各个VPN分别建立一个转发表,这是因为不同VPN的IP地址空间可能是有所重叠的。
----LSR(标记交换路由器)
----MPLS/ATM核心网络是服务提供者的下层网络,它为用户的IP-VPN业务所共享。
----建立IP-VPN区域的操作
----希望提供IP-VPN的网络提供者必须首先对MPLS域进行配置。这里的MPLS域指的就是IPVPN区域。作为一种普通的LDP操作,基本的LSP 建立过程将使用拓扑驱动方法来进行,这一过程被定义为使用基本标记的、基本的或是单级LSP建立。而对于VPN内部路由,则将使用两级LSP隧道(标记堆栈)。
----VPN成员
----每一个LER都有一个任务,即发现在VPN区域中为同一 IPVPN服务的其他所有LER。由于本方案最终目的是要建立第二级MPLS隧道,所以 LER发现对等实体的过程也就是LDP会话初始化的过程。每一个LER沿着能够到达其他 LER的每一条基本网络LSP,向下游发送一个LDP Hello消息。LDP Hello消息中会包含一个基本的MPLS标记,以方便这些消息能够最终到达目的LER。
----LDP Hello消息实际上是一种查询消息,通过这一消息,发送方可以获知在目的LER处是否存在与发送方LSR同属一个VPN的LER(对等实体)。新的Hello消息相邻实体注册完成之后,相关的两个LER之间将开始发起LDP会话。随后,其中一个LER将初始化与对方的TCP连接。当TCP连接建立完成而且必要的初始化消息交互也完成之后,对等LER之间的会话便建立起来了。此后,双方各自为对方到自己的LSP 隧道提供一个标记。如果LSP隧道是嵌套隧道,则该标记将被推入标记栈中,并被置于原有的标记之上。
----VPN成员资格和可到达性信息的传播
----通过路由信息的交换,LER可以学习与之直接相连的、用户站点的IP地址前缀。LER需要找到对等LER,还需要找到在一个VPN中哪些LER 是为同一个VPN服务的。LER将与其所属的VPN区域中其他的LER建立直接的LDP会话。换言之,只有支持相同VPN的LER之间才能成功地建立LDP会话。
----VPN内的可到达性
----最早在嵌套隧道中传送的数据流是LER之间的路由信息。当一个LER被配置成一个IPVPN的一员时,配置信息将包含它在VPN内部要使用的路由协议。在这一过程中,还可能会配置必要的安全保密特性,以便该LER能够成为其他LER的相邻路由器。在VPN内部路由方案中,每一次发现阶段结束之后,每一个LER 都将发布通过它可以到达的、VPN用户的地址前缀。
----IP分组转发
----LER之间的路由信息交互完成之后,各个LER都将建立起一个转发表,该转发表将把VPN用户的特定地址前缀(FEC转发等价类)与下一跳联系起来。当收到的IP分组的下一跳是一个LER时,转发进程将首先把用于该LER的标记(嵌套隧道标记)推入标记栈,随后把能够到达该LER的基本网络LSP上下一跳的基本标记推入标记分组,接着带有两个标记的分组将被转发到基本网络LSP中的下一个LSR;当该分组到达目的LER时,最外层的标记可能已经发生许多次的改变,而嵌套在内部的标记始终保持不变;当标记栈弹出后,继续使用嵌套标记将分组发送至正确的LER。在LER上,每一个VPN使用的嵌套标记空间必须与该LER所支持的其他所有VPN使用的嵌套标记空间不同。
方案二
----本节将对一种在公共网中使用MPLS和多协议边界网关协议来提供IP-VPN业务的方法进行介绍,其技术细节可以参见RFC 2547。
----图1 给出了在MPLS/ATM核心网络中提供IPVPN业务的、由LER和LSR构成的网络配置,图4则给出了使用RFC 2547的网络模型。
----提供者边缘(PE)路由器
----PE路由器是与用户路由器相连的服务提供者边缘路由器。
----实际上,它就是一个边缘LSR(即MPLS网络与不使用 MPLS的用户或服务提供者之间的接口)。
----用户边缘(CE)路由器
----CE路由器是用于将一个用户站点接至PE路由器的用户边缘路由器。在这一方案中,CE路由器不使用MPLS,它只是一台IP路由器。CE不必支持任何VPN的特定路由协议或信令。
----提供者(P)路由器
----P路由器是指网络中的核心LSR。
----站点(Site)
----站点是指这样一组网络或子网:它们是用户网络的一部分,通过一条或多条PE/CE链路接至VPN。VPN是指一组共享相同路由信息的站点。一个站点可以同时位于不同的几个VPN之中。
----路径区别标志
----服务提供者将为每一个VPN分配一个唯一的标志符,该标志符称为路径区别标志(RD),它对应于服务提供者网络中的每一个Intranet或Extranet 都是不同的。PE路由器中的转发表里将包含一系列唯一的地址,这些地址称为VPNIP 地址,它们是由RD与用户的IP地址连接而成的。VPNIP地址对于服务提供者网络中的每一个端点都是唯一的,对于VPN中的每一个节点(即VPN中的每一个PE路由器),转发表中都将存储有一个条目。
----连接模型
----图4给出了MPLS/BGP VPN的连接模型。
----从图4中可以看出,P路由器位于MPLS网络的核心。PE路由器将使用MPLS与核心MPLS网络通信,同时使用IP路由技术来与CE路由器通信。P与PE路由器将使用IP路由协议(内部网关协议)来建立MPLS核心网络中的路径,并且使用LDP实现路由器之间的标记分发。
----PE路由器使用多协议BGP4来实现彼此之间的通信,完成标记交换和每一个VPN策略。除非使用了路径映射标志(route reflector),否则PE 之间是BGP全网状连接。特别地,图4中的PE处于同一自治域中,它们之间使用内部BGP(iBGP)协议。
----P路由器不使用BGP协议而且对VPN一无所知,它们使用普通的MPLS协议与进程。
----PE路由器可以通过IP路由协议与CE路由器交换IP路径,也可以使用静态路径。在CE与PE路由器之间使用普通的路由进程。CE路由器不必实现MPLS或对VPN有任何特别了解。
----PE路由器通过iBGP将用户路径分发到其他的PE路由器。为了实现路径分发,BGP使用VPN-IP地址(由RD和IPv4地址构成)。这样,不同的VPN可以使用重叠的IPv4地址空间而不会发生VPN-IP地址重复的情况。
----PE路由器将BGP计算得到的路径映射到它们的路由表中,以便把从CE路由器收到的分组转发到正确的LSP上。
----这一方案使用两级标记:内部标记用于PE路由器对于各个VPN的识别,外部标记则为MPLS网络中的LSR所用——它们将使用这些标记把分组转发给正确的PE。
----建立IP-VPN区域的操作
----希望提供IP-VPN业务的网络提供者必须按照连接需求对网络进行设计与配置,这包括:PE必须为其支持的VPN以及与之相连的CE所属的VPN 进行配置;MPLS网络或者是一个路径映射标志中的PE路由器之间必须进行对等关系的配置;为了与CE进行通信,还必须进行普通的路由协议配置;为了与MPLS核心网络进行通信,还必须进行普通的MPLS配置(如LDP、IGP)。另外,P路由器除了要求能够支持MPLS之外,还要能够支持VPN。
>----VPN成员资格和可到达性信息的传播
----PE路由器使用IP路由协议或者是静态路径的配置来交换路由信息,并且通过这一过程获得与之直接相连的用户网站IP地址前缀。
----PE路由器通过与其BGP对等实体交换VPN-IP地址前缀来获得到达目的VPN站点的路径。另外,PE路由器还要通过BGP与其PE路由器对等实体交换标记,以此确定PE路由器间连接所使用的LSP。这些标记用作第二级标记,P 路由器看不到这些标记。
----PE路由器将为其支持的每一个VPN分别建立路由表和转发表,与一个PE路由器相连的CE路由器则根据该连接所使用的接口选择合适的路由表。
----IP分组转发
----PE之间的路由信息交换完成之后,每一个PE都将为每一个VPN建立一个转发表,该转发表将把VPN用户的特定地址前缀与下一跳PE路由器联系起来。
----当收到发自CE路由器的IP分组时,PE路由器将在转发表中查询该分组对应的VPN。
----如果找到匹配的条目,路由器将执行以下操作:
----如果下一跳是一个PE路由器,转发进程将首先把从路由表中得到的、该PE路由器所对应的标记(嵌套隧道标记)推入标记栈;PE路由器把基本的标记推入分组,该标记用于把分组转发到到达目的PE路由器的、基本网络LSP上的第一跳;带有两级标记的分组将被转发到基本网络LSP上的下一个LSR。
----P路由器(LSR)使用顶层标记及其路由表对分组继续进行转发。当该分组到达目的LER时,最外层的标记可能已发生多次改变,而嵌套在内部的标记保持不变。
----当PE收到分组时,它使用内部标记来识别VPN。此后,PE将检查与该VPN相关的路由表,以便决定对分组进行转发所要使用的接口。
----如果在VPN路由表中找不到匹配的条目,PE路由器将检查Internet路由表(如果网络提供者具备这一能力)。如果找不到路由,相应分组将被丢弃。
----VPNIP转发表中包含VPNIP地址所对应的标记,这些标记可以把业务流路由至VPN中的每一个站点。这一过程由于使用的是标记而不是IP 地址,所以在企业网中,用户可以使用自己的地址体系,这些地址在通过服务提供者网络进行业务传输时无需网络地址翻译(NAT)。通过为每一个VPN使用不同的逻辑转发表,不同的VPN业务将可以被分开。使用BGP协议,交换机可以根据入口选择一个特定的转发表,该转发表可以只列出一个VPN有效目的地址。
----为了建立企业的Extranet,服务提供者需要对VPN之间的可到达性进行明确指定(可能还需要进行NAT配置)。
----安全
----在服务提供者网络中,PE所使用的每一个分组都将与一个RD相关联,这样,用户无法将其业务流或者是分组偷偷送入另一个用户的VPN。要注意的是,在用户数据分组中没有携带RD,只有当用户位于正确的物理端口上或拥有PE路由器中已经配置的、适当的RD时,用户才能加入一个Intranet或 Extranet。这一建立过程可以保证非法用户无法进入VPN,从而为用户提供与帧中继、租用线或ATM业务相同的安全等级。
点击咨询 