下载文档原格式
什么是VPN路由器在当今数字化的时代,网络技术日新月异,各种网络设备层出不穷,其中 VPN 路由器就是一种备受关注的设备。
那么,究竟什么是 VPN路由器呢?简单来说,VPN 路由器就是一种将虚拟专用网络(VPN)技术集成到路由器中的设备。
要理解 VPN 路由器,我们得先从 VPN 说起。
VPN,即虚拟专用网络,它可以在公共网络上建立一个私密的、安全的通信通道。
想象一下,您在公共场合使用免费的 WiFi,比如咖啡店或者机场。
这些公共网络通常不太安全,您的数据可能会被他人窃取或监听。
但如果您使用了 VPN 服务,您的数据就会被加密传输,就像给您的信息穿上了一层“隐身衣”,让其他人无法轻易获取您的敏感信息。
而路由器呢,大家都不陌生,它是我们连接互联网的重要设备,负责将网络信号分发到各个设备上,让我们的手机、电脑、平板等能够上网。
那么当 VPN 和路由器结合在一起,就诞生了 VPN 路由器。
它的主要作用就是让连接到这个路由器的设备,都能够通过 VPN 通道访问网络。
比如说,您家里有多台设备,电脑、手机、智能电视等等。
如果您使用了 VPN 路由器,那么所有这些设备都可以享受到 VPN 带来的安全和隐私保护,无需在每台设备上单独设置 VPN。
VPN 路由器在很多场景中都能发挥重要作用。
对于一些经常需要远程办公的人来说,它是一个非常实用的工具。
当您在家中或者其他非公司的网络环境中工作时,如果需要访问公司内部的网络资源,如文件服务器、数据库等,通过 VPN 路由器就可以建立一个安全的连接,仿佛您就在公司内部一样。
对于一些关注网络隐私和安全的个人用户来说,VPN 路由器也能提供很好的保护。
它可以隐藏您的真实 IP 地址,让您在上网时更加匿名和安全。
此外,在一些地区,由于网络限制或审查,某些网站或服务可能无法访问。
通过使用 VPN 路由器,您可能能够突破这些限制,访问到您需要的内容。
不过,需要注意的是,使用 VPN 路由器也需要遵守法律法规。
作为现在市场上的安全标准体系来说过,很多的厂商都独霸着自己的一块天地!微软有自己操作系统windows系列,由此开发了一系列的应用服务!比如exchange,isa等。
都是微软为企业应用而开发的使用产品。
这也包括在路由器和交换机上的大厂商cisco。
本身的设备都有自己的一套应用体系与使用的标准!当然很多的公司在购买其设备的同时就需要高薪聘请专门维护人员!但是这些产品中永远都会有一个服务是不会缺少的!那就是vpn!首先我们来了解一下什么是vpn。
其实在中国计算机研究员!也把vpn的安全作为整个安全体系标准中的一个。
VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。
顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。
它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。
这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。
VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或WINDOWS2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
如果我们用更直白的话来说vpn的话!其实就是把分隔两地的公司利用一条专线网络连接起来。
从而成为一个局域网进行互相通信!。
当然这个局域网不是我们所说的专线网络而是一条虚拟专网!可以说现在很多厂商的商品中都会有vpn!比如windows2003企业版里边我们可以在添加和删除里边找到vpn!isa防火墙也有vpn的功能!这些无疑是给整个企业带来很多方便的工作环境!这也包括cisco的路由器也是有vpn的功能的!各种商品都存在着一个独霸自己领域的商家!这无疑也给我们学习上稳定了一个很好的标准了!ipsec技术是现在使用最流行的一种vpn技术。
虚拟专用网如何建立虚拟专用网()是一种通向服务器的安全网络连接,让计算机或能够联网的设备在共享网络或公共网络上收发数据,那么虚拟专用网如何建立呢?下文店铺就分享了虚拟专用网建立的方法,希望对大家有所帮助。
虚拟专用网建立方法的三个基本要素1. IP封装系统的第一个基本要素是使用IP封装。
若一个IP包包含其他IP 包时,就称为IP封装。
IP封装可以使两个实际上分离的网络计算机看上去像比邻的——相互之间只是由一个路由器分开,但是它们是通过许多网络路由器和网关分开的,这些路由器和网关也可能不用同一个地址空间。
例如,若有两个使用PPTP(Point-to-Point Tunneling Protocol)的RAS(Remote Access Service)服务器连接的IP网络,一个局域网的网络地址是10.1.1,另一个是10.1.2。
每个网络上的RAS服务器都提供到Internet的连接。
一个RAS服务器有一个局域网的IP地址10.1.1.1和一个ISP分配的因特网地址250.121.13.12,而另一个RAS 服务器的局域网地址是10.1.2.1,ISP分配的因特网地址是110.121.112.34。
这时若10.1.1网络中的一个计算机,假设为10.1.1.23,需向10.1.2网络中的一个计算机,假设为10.1.2.99,发送一个IP包。
其通信过程为:1) 发送方的计算机首先注意到,目标地址10.1.2.99的网络部分与它自己的网络地址不匹配。
2) 发送方不将包直接发送给目标地址,而是将包发送给自己子网缺省的网关地址10.1.1.1。
3) 这个10.1.1网络上的RAS服务器读这个包。
4) 网络10.1.1上的RAS服务器判断出这个包应被放到10.1.2网络的子网上。
5) RAS服务器加密这个包,并用另一个包将它封装起来。
6)路由器从它的网络接口上发送这个封装的包(这个接口连接到因特网上,假设地址为24.121.13.12)到10.1.2网络子网的RAS服务器的因特网地址110.121.112.34上。
EVPN技术介绍EVPN(以太网虚拟专用网络)是一种新型的虚拟专用网络(VPN)技术,用于构建以太网覆盖网络,支持广域网(WAN)和数据中心(DC)之间的连接。
EVPN利用BGP(边界网关协议)作为控制平面,实现了快速以太网二层VPN服务,并且具备了多种优势和特点。
EVPN具有以下特点和优势:1.支持二层以太网VPN服务:EVPN可以提供二层VPN服务,而不仅仅是传统的三层VPN。
传统的三层VPN需要进行IP封装,而EVPN使用以太网帧进行封装,可以实现更高效的数据传输,减少网络开销。
2.支持多播和广播:EVPN可以支持多播和广播通信,这对于一些应用场景非常重要,例如视频会议、流媒体和广播等。
使用EVPN能够在不同的数据中心之间实现高效的多播和广播通信。
3. 支持虚拟机迁移(VMotion):EVPN还支持虚拟机迁移,可以在不同的数据中心之间迁移虚拟机,同时保持虚拟机的网络连通性。
这对于跨数据中心的负载均衡和容灾非常重要。
4.灵活的网络拓扑:EVPN支持灵活的网络拓扑,可以构建任意复杂的以太网覆盖网络。
它可以支持树状、环形、网状等多种拓扑结构,适应不同的网络架构和需求。
5.更高的扩展性:EVPN使用BGP作为控制平面,可以支持大规模的网络拓扑,具有更高的扩展性。
它可以处理大量的VPN站点和多个数据中心之间的连接,同时具备快速收敛和容灾能力。
6.安全性:EVPN支持数据加密和身份认证,保护用户数据的安全性和完整性。
它可以使用IPsec或VXLAN等技术对数据进行加密,在跨公共网络的环境下提供安全的通信。
EVPN的工作原理如下:1.BGP控制平面:EVPN使用BGP作为控制平面,通过BGP路由协议互换以太网MAC地址和IP地址的信息。
BGP会将这些信息注入到每个站点的路由表中,实现MAC和IP的学习和广播。
2.EVPN类型路由:EVPN引入了两种新的BGP路由类型:MAC/IP路由和类型5路由。
MAC/IP路由用于传输MAC和IP地址的学习和转发信息,而类型5路由用于传输多播和广播信息。
BGPMPLSVPN基本原理
BGPMPLSVPN(BGP/MPLS Virtual Private Network)是一种基于BGP 和MPLS的虚拟专用网络技术,用于构建安全可靠的虚拟专用网络,使得企业或组织能够安全地在Internet上建立和运行私有网络。
BGPMPLSVPN 的基本原理是通过BGP协议建立和维护VPN路由,并利用MPLS技术在公共网络中为VPN数据流建立隧道。
1. VPN路由分发:首先,VPN路由提供者(VPN Service Provider)通过BGP协议向VPN客户(VPN Customer)分发VPN路由信息。
VPN客户可以根据自己的需求和策略,选择将哪些子网内的流量传送到VPN路由分发点。
2.VPN路由选择:VPN客户接收到VPN路由分发后,可以通过本地的路由选择过程来决定将流量传送到哪个VPN路由分发点。
VPN客户根据路由选择算法来选择最佳的路径,并建立到VPN路由分发点的连接。
通过以上的步骤,BGPMPLSVPN实现了在公共网络上建立安全可靠的虚拟专用网络。
VPN客户可以通过在BGP和MPLS的支持下,将其流量隔离在公共网络之外,增加了数据传输的安全性和可靠性。
此外,BGPMPLSVPN还支持不同客户之间的流量隔离和不同服务质量(QoS)的提供,以满足不同应用场景的需求。
总结起来,BGPMPLSVPN利用BGP协议建立和维护VPN路由,通过MPLS技术在公共网络中为VPN数据流建立隧道,从而实现了在公共网络中构建安全可靠的虚拟专用网络的目的。
虚拟专用网络(VPC)的构建与管理在互联网时代,网络安全问题备受关注。
为了确保数据的安全传输和访问,虚拟专用网络(Virtual Private Network,简称VPC)应运而生。
VPC提供了一种安全的、受保护的网络环境,使得用户可以远程访问私有网络资源。
本文将详细介绍VPC的构建与管理的相关内容,旨在帮助读者更好地理解和应用VPC技术。
一、什么是虚拟专用网络(VPC)虚拟专用网络(Virtual Private Network,简称VPC)是一种通过公共网络(例如互联网)构建的、安全的、私有的网络环境。
VPC利用加密技术保护数据的传输和访问过程,提供了一种虚拟隧道,使得远程用户可以访问私有网络资源,并且在公共网络中表现得像在私有网络中一样。
VPC的构建与管理不仅可以满足个人用户的安全上网需求,也是企业建立安全网络环境的重要手段。
接下来,将着重介绍VPC的构建与管理的方法和技巧。
二、VPC的构建1. 确定网络架构在构建VPC之前,首先需要确定网络架构。
通常,VPC由子网、路由表、网关和安全组等组件构成。
可以按照实际需求,设计合理的网络拓扑结构,将不同的子网划分出来,并决定子网之间的路由和连接方式。
2. 配置子网和路由表在VPC中,子网是承载网络通信的基本单元。
每个子网都分配了一个唯一的IP地址范围,并且可以自定义路由表来控制不同子网之间的通信。
在构建VPC时,需要合理规划子网的IP地址范围,配置子网和路由表之间的关系,以便实现不同子网之间的通信和访问控制。
3. 配置网关和安全组VPC中的网关可以实现VPC与其他网络之间的连接,如VPC与本地数据中心、VPC与其他云服务提供商的VPC之间的连接等。
同时,安全组可以设置网络访问控制规则,控制进出VPC的流量。
4. 设置访问权限和安全策略为了保障VPC的安全性,需要设置访问权限和安全策略。
可以通过网络访问控制列表(Network Access Control Lists,简称ACL)和网络防火墙等机制,限制进出VPC的网络流量。
104 福 建 电脑 2006年第8期 基于IPv6蜂巢式无线网络架构下虚拟专用网络的应用 黎小红 (西北民族大学中国民族信息技术研究院 甘肃兰州730030)
【摘要】:IPv6协议是取代IPv4的下一代网络协议,它具有许多新的特性和功能。而虚拟专用网 ̄-(VPN,Virtual Pri- vate Netw0rk)就是利用公众网络实现安全的保密数据通讯,本篇文章主要研究IPV6蜂巢式移动通讯网络[1】申如何建构虚拟 专用网络环境架构.利用IETF所制订的IPsec[2] ̄-;g 用在下一代移动通讯系统网络中来完成数据传输的保密性与完整
性。 【关键词】:虚拟专用网 ̄-(VPN)、IP安全性协议(IPsec)、IPV6蜂窝移动网. ̄(CMIv6)
O.引言 随着网络技术的不断发展,IP地址不断减少,IETF制订了 下一代互联网的标准IPv61313 ̄决网络IP地址不够用的问题。 IPv6拥有128位的地址空间。IPv6与现存的IPv4最大的不同 在于『31:有限的地址空间、简化的表头格式、缺乏服务质量保 证、缺乏安全性及对移动性支持差等。IPv6基本的设计就是支持 可移动式IP。而可移动式IPf41遇到的问题不外乎切换(}land 0毋 的延迟时间过长和切换后包的丢失,CMIv6(Cellular Mobile IPv6)的机制『11解决了包丢失与延迟时间过长的问题。在信息流 通的过程中.信息传递的安全性更加让人重视。为确保网络传送 数据的安全.利用虚拟专用网络(Virtual Private Network,VPN)通 过互联网来传送数据,在传送信息前进行加密,使被拦截数据无 法还原为原始数据.经过加密的数据也只有指定的接收端才能 还原.为确保接收端的身份,亦有身份认证的环节。本篇文章中 论述了利用VPN运用到CMIv6机制上,来达到更为安全的IPv6 蜂巢式无线网络的环境。 1.Cellular M0bile IPv6机制运作过程 为解决传统移动IPV4无法有效解决蜂巢式网络中切换中 断、延迟时间过长和包丢失等问题,提出IPV6蜂巢式移动算法【 1 (CMIv6 algorithm)! ̄决以上问题。CMIv6主要有两种机制:归 属、外部代理Foreign Home Agent(FHA) ̄q.制和Cellulal"Mul£i- castin C 机制。不同于移动IPV4的是,FHA不是一台主机或 服务器.而是改进的IPv6路由器。FHA可以看作是IPv6路由 器或IPv6协定第三层交换机.来作封包的判别与转送工作。CM 中.在移动节点端记录其切换的频率,如果切换频率超过最大更 新速率,移动节点将会用IGMP协议通知路由器(FHA),而CN传 给移动节点的封包经过FHA时就会根据IGMP作多播动作。 CMIv6机制分述如下: 1.当移动节点进入蜂窝网络后.使用IPv6路由发现机制来 决定其现在所在位置。 2.移动节点在外部网络使用无状态地址自动配置来获得转 交地址。 3.有FHA功能的路由器在其路由表中纪录移动节点的连 结状态 4.移动节点使用绑定更新通知HA、CN其转交地址,HA、 CN回送绑定确认给移动节点。 5.CN利用移动节点的转交地址传送封包数据给移动节 点。 6.当移动节点移动至另一个子网络时.移动节点获得另一 个新的转交地址。 7.移动节点用绑定更新消息通知HA与CN.HA与CN回 送绑定确认给移动节点。在FHA里也同时记录移动节点位置的 变动。 8.在CN还未收到移动节点的绑定消息时.CN传送给移动 节点的封包数据仍往之前的子网传送。在经过FHA时,FI-IA按 照其MAC地址来转送封包资料给移动节点。 2.虚拟专用网络与IPsec相关安全协议 虚拟专用网络是指通过共享的网络建立私有的数据通道. 将分布在不同地域的网络或终端连接起来,构成一个专用的、具 有一定安全性和服务质量保证的网络。IP—VPN是通过隧道机制 实现的.隧道机制可以提供一定的安全性。并且使IP—VPN中分 组的封装方式、地址信息与承载网络的封装方式、地址信息无 关。目前常见的IP—VPN技术『6]有第二层隧道协议(L2TP)、IP 安全协议(IPsec)、通用路由封装(GRE)协议和多协议标签交换 (MPLS)协议。其中IPSec协议是一个第三层的VPN协议标准, 它支持信息通过IP公网的安全传输。IPSec可有效保护IP数据 的安全.所采用的具体保护形式包括:数据源验证、无连接数据 的完整性验证、数据内容的机密性保护、抗重播保护等。它主要 由验证头(AH)、封装安全载荷(ESP)及密匙交换管理机制 (ISAKMP)三部分组成。AH协议主要提供数据来源验证、数据 完整性验证和防报文重放功能。EsP协议除具有AH协议的功 能之外还提供对IP报文的加密功能『71。本篇论文因而采用它来 作虚拟专用网络的安全协议。 IPsec协议分成三个主要架构口: 1.验证头AH:提供原始数据的认证、完整性和防转送的功 能。 2.封装安全载荷ESP:针对资料的机密性、完整性、数据认 证和防转送功能 . 3.密匙交换管理机制ISAKMP:提供自动设定安全联 ̄l(se- curity association)与管理加解密的钥匙。在通讯架构中,网络层 是其所能提供端对端安全的最低一层.可以保护IP数据串里的 上层的应用层数据不被修改。 AH和EsP有两种模式:传输模式和隧道模式 在传输模式 中。数据的IP报头保持不变,整个IP数据串和ESP拖挂部分均 被加密。值得注意的是,IP报头既没有被验证也没有被加密.因 此在传送的过程中有可能被拦截看到。而在隧道模式中.新的IP 报头被产生.整个IP数据串和ESP拖挂部分均被加密 所以IP 报头在传送过程中不会被看到.一般在两个防火墙间使用隧道 模式。 IPsec安全联盟翻中包含所有在IPsec协议中所要执行的信 息,例如:AH、EsP。在ISAKMP[8]J ̄定义了标准架构去支持协调 安全联盟、初始加密钥匙的产生及之后如何更新钥匙的工作 安 全的交换钥匙一直是建立安全通讯环境的最重要因素.不论你 的加密、认证多么的周详,一旦被破解就如同没有作加密认证一 样。 ISAKMP分两个阶段,第一阶段的加密运算过程消耗大部 分CPU资源,为的是要安全的交换”主要机密”.第二阶段的交 换就相对简单.因为它是根据第一阶段所建立的安全环境来作 AH或ESP的安全联盟设定。各阶段分述如下: 1.在所有钥匙密码中产生”主要机密”.接着再加密得到已 加密的使用者数据。在一般的情形下.公众钥匙密码是用来建立 系统间ISAl P安全和建立保护ISA ̄P信息的钥匙.在第一
路由器虚拟专用网络安全性虚拟专用网络(Virtual Private Network, VPN)技术已经成为了现代信息通信网络中重要的安全保障手段之一。
而路由器则是网络通信的核心设备,对于虚拟专用网络的安全性起着关键作用。
本文将重点探讨路由器在虚拟专用网络中的安全性,并提出相关的建议和措施。
一、虚拟专用网络简介虚拟专用网络是一种通过公共网络,如互联网,实现安全、加密的私有网络。
它通过在公共网络中创建一个私有通道,使得用户可以在这个私有通道上进行信息的传输和通信,避免了敏感数据被未授权的用户窃取或篡改的风险。
虚拟专用网络在商业、教育、政府等领域中被广泛应用。
它可以实现远程办公、跨地域访问内部网络、保护个人隐私等功能。
而路由器作为虚拟专用网络中数据流转的节点,其安全性直接关系到整个网络的安全。
二、路由器在虚拟专用网络中的安全威胁虽然路由器对于虚拟专用网络的安全至关重要,但它也存在一些安全威胁,主要包括以下几个方面:1. 认证与准入控制(Authentication and Access Control):路由器作为虚拟专用网络的入口,对用户的身份信息进行认证和准入控制。
然而,如果路由器的认证机制薄弱,缺乏强大的身份验证和权限管理功能,就容易被攻击者冒充合法用户进入网络,从而造成安全隐患。
2. 数据传输的加密与解密(Encryption and Decryption):虚拟专用网络依赖于数据的加密和解密来保证数据的机密性和完整性。
而路由器需要提供强大的加密与解密算法,以及防止中间人攻击和数据篡改的措施。
如果路由器的加密功能存在漏洞或弱点,就会导致数据泄露和被篡改的风险。
3. 安全日志与监控(Security Logging and Monitoring):路由器应当具备完善的安全日志记录和监控功能,能够对网络流量进行及时监测和分析。
这样一来,即使发生安全事件,也能够快速定位并采取相应的响应措施。
但如果路由器的日志记录和监控功能不健全,就会给攻击者提供可乘之机。
计算机工程与设计ComputerEngineeringandDesign 2011,Vo1.32,No.8 2619 虚拟专用路由网络的集成研究 张小波, 程良伦 (广东工业大学自动化学院,广东广州510006) 摘 要:在虚拟专用路由网络(VPRN)的实现中,主干网的配置相对复杂,针对这一情况,分析了VPRN集成的约束条件和实 现,使得在满足VPRN内部的连接和外部非关联VPRN之间相互独立的情况下更好地实现VPRN的集成。实现集成的目的 是为了基于公共基础设施上的VPRN在满足低消耗和高性能的情况下容纳更多的用户,也可以实现不同用户参与不同的 VPRN来达到不同的目的。 关键词:虚拟专用路由网络;RFC2547;地址空间;转发表;集成约束 中图法分类号:TP393 文献标识码:A 文章编号:1000—7024(2011)08—2619—04
Research of integrity for virtual private routed networks ZHANO Xiao—bo. CHENG Liang—lun (Faulty of Automation,Guangdong University of Technology,Guangzhou 5 1 0006,China)
Abstract:The configuration ofthe backbone for VPRN is fairly complex.An analysis ofVPRN integrity constraints and the implemen・ tation are presented.It can implement VPRN integrity correctly with the satisfaction of VPRN intra—connection and isolation of disjoint VPRNs.The purpose is to make VPRN contain more users based on public infrastructure in lower cost and higher performance.It also can make diferent user join diferent VPRN to reach diferent purposes. Key words:VPRN;FRC2547;address spaces;forwarding table;integrity constraints
0引 言 VPN是一种比较新的网络技术,它是指在公共网络基础 设施上建立属于自己的私有数据网络的一种技术…。目前有 各种不同的VPN,包括VPLN[ ̄4],VPDNt ̄-Tl,VPRN 等。所有的 VPN都必须满足与其他网络之间的不相关性和VPN内部的 安全连接。一般将VPN建于公共网络基础设施上以尽量减 少成本消耗。用IP公共网络基础设施仿真出一一个专用的多 站点广域路由网,这种网络就为虚拟专用路由网络(VPRN)。 相比其他的VPN而言,VPRN需要用户管理他们自己的点对 点连接。 RFC2547文档描述了采用BGP 川和MPLS 实现VPRN 的一一些协议和规范。现在有很多的Intemet服务提供商也开 始提供基于RFC2547规范的VPRN服务。RFC2547增加了 VPRN网络配置和管理的复杂性,当某一用户站点参与多个 VPRN和用户站点对所属的不同VPRN开放不同的地址空间 时,这种复杂性还会增加。因此,通过模型来分析VPRN内部 的连接和外部的相互独立性可以帮助我们更好的实现和配置 VPN。这在设计VPN的自动配置软件中显得尤为重要。本文 分析基于RFC2547的VPRN集成,包括VPRN集成的约束问 题和正确的实现。集成约束包括VPRN内部的连接约束条件 和外部的相互独立,正确的实现包括用一组转发表来满足 VPRN各种约束条件成立。
l与VPRN相关的RFC2547规范描述 采用RFC2547规范的网络物理模型如图1所示。该模型 包括一些客户站点,每个站点包含一些用户边缘(cE)设备,连 接到提供者边缘(PE)设备。网络主干通过提供者路由器为各 提供者设备提供相互之间的信息传输。图1描述了3个重叠 的VPN,其中站点1既属于VPN1也属于VPN3。 RFC2547声明了一些约束条件来保证重叠的VPN之间没 有重叠的地址空间。一个站点也可以将自己的地址空间选择 性的开放给所属的VPN。VPN的实现必须保证各个VPRN相 互之间的独立性和VPRN内部的连接。由于通信是至少两个 站点之间进行的,所以PE路由至少需要两个以上转发表来实 现VPRN内部的连接。
收稿日期:2010-10-29:修订日期:2010—12-30。 基金项目:国家自然科学基金项目(60673132);国家自然科学基金广东省联合基金项目(U0935002);广东省自然科学基金项目(8351009001000002、 071 17421);广东省重大科技专项基金项目(2009A080207008);广东工业大学青年基金项目(405095245)。 作者简介:张小波(1977一),男,湖北随州人,博士研究生,讲师,CCF会员,研究方向为RFID传感器网络、嵌入式系统、动态模型与智能 控制: 程良伦(1964一),男,湖北荆州人,教授,博士生导师,研究方向为传感器网络、网络控制与信息集成、嵌入式系统。 E—mail:zxb leng@163.tom 2620 2011,Vo1.32,No.8 计算机工程与设计Computer Engineering and Design 图1基于RFC2547的网络物理模型 RFC2547规范描述的解决方案中每个PE包含与其相连 的各个站点的转发表。从站点i出来的网络流根据与i关联 的转发表进行转发。 即使有与每个连接站点对应的转发表,重叠的VPN之问 也同样会破坏独立性。图2是一个例子。其中站点s2有一个 附加的前缀P.和 ,但 属于VPNv,而不属于VPNv ;P,既不 属于VPN Vt,也不属于VPN v2。如果在站点Sz没有相关的地 址保证,则 既可以将网络流转发给站点s。,也可以转发给站 点s,。而且即使带源地址的网络流在P 被禁止转发给站点s】, 还存在另一个问题就是带源地址的系统可以在站点s2通过 将网络流转发给站点s,的 ,但p4对VPNvz并没有开放,因此 也会破坏独立性。
图2破坏VPN独立性的一个网络模型 解决这种问题的方法有多种。客户端可以用多接口接入 主干网,将每个V】)N中的转发表公开使用或采用更好的源地 址保证,还可以将这几方面组合使用解决问题。由于这种破 坏独立性问题的出现不可预料,所以在实现时需要充分考虑 来保证VFN内部的连接和VPN之间的独立。
2 VPRN集成的约束问题 2.1删集成相关的概念 用S={s。,s ̄,-.-,sJ代表n个站点的集合,V={v ,v2,…, )代 表k个VPRN的集合。对于每个站点s∈S,存在s的~个有限 非空接口类集合c|。一个抽象接口是一个二元表达式<s,c>, 其中S是一个站点,c∈C。是一个接口类。抽象接口一般与CE 部分的一个或多个逻辑接口一起实现并与PE中的接口相连。 PE路由器用同样的方式(过滤或转发)对待从同一抽象接口的 任一逻辑接口出来的流量。站点S的抽象接口集合可表示为 I(s)={<s,c>Jc∈c。} 接口i所属的所有VPRN构成所有VPRN集合V的一个 子集。这个子集被定义成V(i) V。也就是说,如果v∈V【<s, c>),则抽象接口<s,c>就是VPRN v的一个成员。每个VPRN v∈V与一个抽象接口集关联,I(v)={<s,c>ls ̄S,C∈C。,v∈V(< S,c>)),同时也与一组站点集合关联S(v)={s∈sl<s,c>∈I(v))。 如果S∈s(v),那么就说站点s在VPRN v中,但前提是必 须存在抽象接口<s,C>EI(v)。对于任何站点SES,其所属的 VPRN集合为V(s)={v∈Vl s∈s(v)) 对于任意IP前缀(CIDR块)p,定义A(p)为P覆盖的所有 地址集合。如果P为非空前缀的集合,则A(P)就表示所有集 合A(p)的并集,其中P∈P。对于每一站点S,我们为所有前缀 的集合P(s)建立关联使得S能够参与VPRN,S的地址空间 A(s) 就定义为A(P(s))。 如果v是一个带站点s∈S(v)的VPRN,则s可以选择性的 将P(s)中的部分前缀开放给v而将其他部分隐藏起来。如果 i=<s,c>∈I(v),那么E(i,v)就表示站点S在抽象接口i开放给 VPRNv的前缀集合,相应的地址空间就为A(i,v)。也就是说, 如果aEA(i,v),则a就在站点s的抽象接口i=<s,c>开放给 VPRNv 2.2 VPRN地址空间重叠约束“ 为了实现地址空间不能重叠的约束,以下两种情况不允 许出现。第一种情况是假设VPRN v包含了站点s。、s2和s3,si 和S:都包含前缀P并开放给v。当S,传递流量给前缀P或s。与 S:中的前缀P交换流量时就会出现模糊的问题。当站点S。开 放P。,S 开放p2,并且P。是p2的子网时也会出现同样的问题。 当站点S 属于VPRNv ,s2属于VPRNv:并且s3既属于v。也属 于V2时出现第二种情况,当s,传递流量给前缀P时同样出现 模糊问题。由于在这种情况下vt和V2代表不同的工作域,问 题也就更加难以检测和修正。与第一种情况一样,如果站点 S。开放P,,s2开放P:,P 是p2子网的时候也会出现同样的问题。 地址空间不重叠约束条件意味着对于所有v,v-,V2,St和如, 如果SiCs:,i。EI(s ),并且i2 I(s:),则以下两个条件成立: (1)如果il,i ∈I(v),那么A(iI’v)nA(i2,v)= ; (2)如果v。≠ ,i。∈I(v。),i2∈I(v2),并且A(i。,V。)n A( )≠ , 则I(v )f'lt(v9= 。 如果各VPRN没有公共站点,则他们完全没有任何约束 可以随意使用重叠的地址空间。 2.3 VPRN集成的内部连接和外部独立性约束 VPRN的实现必须确保能够满足VPRN内部连接。假设 i =<sb c >与i2=<S ,c2>,则定义(al,i )一(a2,i2)之间的连接为带 有源地址a 和目的地址如的数据流经站点s。的抽象接口it被 传递到站点s 的抽象接口 。如果(a。,i,)一(a2, 并且(a2’ 一 (at,it),则可以合并成(a,,it)一(a2,i:)。 VPRN内部连接约束条件定义为对于所有v,sI,s2,i-∈I(s-), i:∈I(s ),a。∈A(it,v)和a2 ̄A(i2,v),如果i,,i2 S(v),则(at,i。)一(a2, i:)。这个约束意味着如果两个抽象接口共享一个通用的 VPRN,那么(aI,i )一( i2)就表示允许a 和a2之间可以交换 数据流。 以上所述连接约束条件简单说明了一些数据连接是必须
