编辑:sx_yangk
2015-10-23
MPLS是一种将具有相同转发处理方式的分组归为一类的分类转发技术。 下面是编辑老师为大家准备的MPLS VPN安全性测试方法。
在MPLS网络中,通过LDP(Label Distribution Protocol,标签分配协议)动态地在邻居之间发布标签/FEC绑定关系,建立一系列的LSP(Label Switching Path,标签交换路径)隧道,形成逻辑上的全网状拓扑结构[2]。MPLS结合了IP技术的灵活性与ATM技术的安全性等优点,非常适合组建VPN(Virtual Private Network,虚拟专用网)。在VPN中有CE(Custom Edge,用户接入设备)、PE(Provider Edge Router,骨干网边缘路由器)和P(Provider Router,骨干网核心路由器)三种路由器。
MPLS VPN工作过程:当一个IP分组由源端CE进入PE时,将有选择地放入一个私网标签和一个公网标签(前者用于区分不同VPN用户,后者用于实现分组在LSP上的高速转发)到分组头中形成标签分组;标签分组在LSP上高速透明地通过P到达骨干网对端的PE;在被去掉两层标签后,用户分组被转发到目的CE,进行VPN内部的IP转发[3]。
MPLS VPN路由信息发布过程:PE和CE可以通过静态或动态路由协议交换路由信息,PE维护一个公网路由表和多个逻辑上分离的VPN私网路由表VRF(VPN Routing/Forwarding Instance,路由转发实例,用于区分不同VPN用户的路由);PE对每一条VPN路由加上RD(Route Distinguisher,路由区分符,用于区分一台PE接收到其他PE发来的不同VRF的相同路由,并形成一条VPNv4路由)和RT(Route Target,路由目标RT,用于实现不同VRF之间的路由互通)属性,然后把路由更新信息发给所有的PE邻居;根据本地VRF的RT属性把VPNv4路由加入到相应的VRF中,再由本地VRF的路由协议引入并转发给相应的CE。
图中MPLS骨干网使用华为Quidway S8016路由交换机,其中P路由器的IP地址为198.148.10.0网段,PE路由器的IP地址为204.18.68/78/88.0网段。X、Y公司使用二层交换机作为CE接入MPLS骨干网,组成VPNx和VPNy,其中X公司CEx1、CEx2、CE3…的IP地址为10.1.1/2/3.0网段,VRF为mplsvpn-x,RT、RD均为65500:3,Y公司CEy1、CEy2、CEy3的IP地址为10.2.1/2/3.0网段,VRF为mplsvpn-y,RT、RD均为65500:3。
采用交叉互ping的方法测试。在未禁止ICMP流量和防火墙的条件下,轮流地在X或Y公司的各个网段上ping对方的各个网段,利用返回的ICMP包验证VPNx和VPNy的连通性。测试的显示信息均为“Request timed out”,说明VPNx和VPNy之间的数据是隔离的。
标签:其它理学论文
精品学习网(51edu.com)在建设过程中引用了互联网上的一些信息资源并对有明确来源的信息注明了出处,版权归原作者及原网站所有,如果您对本站信息资源版权的归属问题存有异议,请您致信qinquan#51edu.com(将#换成@),我们会立即做出答复并及时解决。如果您认为本站有侵犯您权益的行为,请通知我们,我们一定根据实际情况及时处理。