问答题
[说明]
目前,F省基于MPLS-VPN技术构建的省电子政务外网已覆盖到全省各个县区。而F省共有68家省市县党校,其中省级党校1家,副省级党校1家,市级党校8家,县区党校58家。2010年底,F省党校系统依托省电子政务外网平台构建了一个虚拟专网,实现了全省共68家党校的互联互通。目前,在该VPN平台上共享的信息资源越来越多,大大促进了全省党校系统信息资源的共享利用,推动了全省党校系统信息化的发展。
问答题
[问题1]
目前,主流的VPN主要包括IPSec VPN、SSL VPN和MPLS VPN。这3类VPN技术都能够在共享的基础网络设施上,向用户提供安全的网络连接。但这3类VPN技术在安全性、网络服务质量(QoS)、扩展性、便捷性、经济性和应用领域等方面存在一定的差异,各有各的应用特点。请对这3类技术进行比较,将有关内容填入表7-4的空白位置中。
表7-4 VPN技术比较 | 比较项目 | IPSec VPN | SSL VPN | MPLS VPN |
| 是否支持数据加密 | | | |
| 保证QoS的能力 | | | |
| 网络扩展性的能力 | 较弱 | | |
| 是否支持移动VPN客户端 | | | |
| 网络设备的协议支持要求 | 只要求边缘设备支持IPSec
协议 | | |
|
|
| VPN网络建设的启动成本 | | | |
【正确答案】见表7-6
表7-6 主流VPN技术比较 | 比较项目 | IPSec VPN | SSL VPN | MPLS VPN |
| 是否支持数据加密 | 支持 | 支持 | 不支持 |
| 保证QoS的能力 | 较弱(较差) | 较弱(较差) | 强(很好) |
| 网络扩展性的能力 | 较弱(较差) | 好 | 强(很好) |
| 是否支持移动VPN客户端 | 支持 | 支持 | 不支持 |
| 网络设备的协议支持要求 | 只要求边缘设备支持IPSec
协议 | 要求边缘和核心设备都支
持SSL协议 | 要求边缘和核心设备都支
持MPLS协议 |
|
|
| VPN网络建设启动成本 | 少(小) | 较少(较小) | 较多(大) |
【答案解析】[解析]
IPSec VPN通过在两个网络节点之间创建隧道提供安全接入,实现对整个网络的透明访问。它在网络层实现数据加密和验证,可以提供访问控制、数据源的验证、无连接数据的完整性验证、数据内容的机密性、抗重放保护以及有限的数据流机密性保证等安全服务。由于IPSec只能工作在网络层,是第三层隧道协议的典型代表,因此其要求乘客协议和承载协议都是IP协议。当传输流被加密之后,由于IPv4数据包首部标识QoS的比特位不能被网络路由器读取,因此其QoS很难得到保证,基于IPSec的VPN网络不能在应用层区分业务流并分配不同的优先权。
IPSec VPN技术本身的特性决定了它一般不适合在结构复杂的网络中应用,这是因为它需要解决穿越防火墙、IP地址冲突等问题。IPSec VPN在部署时,要考虑组织机构的全网拓扑结构、IP地址规划、路由规划等诸多因素。当增添新的IPSec VPN设备时,往往需要修改网络拓扑结构,从而造成基于IPSec的VPN网络的可扩展性比较差。
IPSec支持移动VPN客户端,可以随时随地进行访问接入。通常,IPSec VPN需要先安装客户端并完成相关配置之后才能建立通信信道,其连接性还可能会受到网络地址转换(NAT)的影响。由IPSec构建的VPN网络中,只要求网络边缘设备支持IPSec协议。IPSec VPN网络建设初期,通常要求每个建设单位(包括分支机构)添置一台专用的VPN硬件设备,需要一定的项目启动经费。并且在今后网络扩展中,每增加一个分支机构,就需要配套相关经费添加一台VPN硬件设备。
安全套接层(SSL)协议是目前解决传输层安全问题的一个主要协议,其设计的初衷是基于TCP443端口提供可靠的端到端安全服务,SSL的实施对于上层的应用程序是透明的。应用SSL协议最广泛的是HTTPS,它为客户浏览器和Web服务器之间交换信息提供安全通信支持。将SSL协议与VPN技术有机结合产生了SSL VPN应用,使用者只需浏览器内建的SSL封包处理功能,使用浏览器连接单位内部SSL VPN服务器,然后通过网络封包转向的方式,让使用者可以读取单位内部服务器数据或执行相应的应用程序等。它采用标准的SSL协议对传输中的数据包进行加密,从而在传输层保护了数据的安全性。借助于SSL VPN技术,可以根据需要对应用程序或网络进行细粒化的访问权限控制。
在QoS方面,SSL VPN与IPSec VPN类似,一方面数据包在传输过程中经过SSL加密隧道与身份认证时将降低传输效率,另一方面SSL VPN也承载在公众互联网上,因此其QoS也是无法得到保证的。
SSL VPN是为移动性而设计的,它支持移动VPN客户端,可以随时随地基于浏览器进行信息资源的安全访问。它使得许多网络设备可以通过支持SSL协议的浏览器访问企业内部网络,一些非传统设备也可以随时随地访问接入,其网络扩展性很好。
由于SSL VPN是一种端到端的网络安全解决方案,因此它要求网络边缘设备和网络核心设备都要能够支持SSL协议。对于一般的SSL VPN网络建设,只需要在中心(总部)节点放置一台专用的VPN硬件设备,就可以实现所有分支机构的用户的远程安全访问,SSL VPN具有最好的经济性。
多协议标签交换(MPLS)是一种用于快速数据包交换和路由的体系,它为网络数据流量提供了目标、路由、转发和交换等能力。它将IP地址映射为简单的、具有固定长度的标签,用于不同的包转发和包交换技术。基于MPLS的VPN是一种基于网络的新型VPN解决方案,它利用MPLS的标记交换技术在广域网络上为VPN用户提供虚拟连接。MPLS VPN是一种介于第二层和第三层之间的隧道协议。它借助于一个公用的MPLS域,在入口边缘路由器中为每个IP包添加MPLS标签,核心路由器根据标签值进行转发,出口边缘路由器再去除MPLS标签,恢复原来的IP包。MPLS标签位于第二层和第三层之间。
与IPSec VPN相比,在安全性能方面,MPLS VPN略显劣势。虽然MPLS VPN采用路由隔离、地址隔离等手段防范网络攻击和网络欺骗等,但它所传输的数据是明文的,存在较大的安全漏洞。并且MPLS VPN不支持移动VPN客户端。
MPLS VPN在支持网络服务质量(QoS)方面具有天然的优势,能够帮助网络服务提供商(ISP)区分出各种业务流量,并准许他们各自拥有不同的优先权。MPLS可以指定数据包传送的先后顺序,由于它使用标记交换,网络路由器只需要判别标记后即可进行转送处理,在根本程度上改变了传统IP网络逐跳路由、IGP路由汇聚、路由表过长、尽力传送等问题。
MPLS VPN提供商可简单地将MPLS VPN配置成全网状结构,各接入单位只需将用户端路由器(CE)与运营商核心路由器(PE)以各种方式相连,CE上不需做复杂配置,也不需要很高的硬件配置。当有新的CE加入时,只需在CE和PE上做简单的配置即可。同时,由于数据传输过程中使用标签代替了原IP地址的功能,因此,各接入单位可以继续使用原有的专用地址,即不需要重新改动单位内部原有的IP地址方案。当完成PE和CE的配置后,所有接入单位的用户如同在同一网络中,并且无需安装专用的客户端软件就可以实现资源的共建共享。MPLS VPN可以实现所有基于IP的应用服务,同时由于它具有很好的QoS,因此还可以提供语音、视频等服务。可见,在这3类VPN技术中,MPLS VPN的网络扩展性最好。
基于MPLS构建的VPN网络中,要求网络边缘设备(PE)和核心路由设备(P)都支持MPLS的基本功能,CE设备可以不必支持MPLS。这是因为在主干网中MPLS VPN必须依赖路由协议来准确地传播可达性信息,完成与标记分发等相关工作。
MPLS VPN网络建设初期,每个建设单位(包括分支机构)通常需要添置接入交换机(或路由器)、防火墙等一次性工程费用、VPLS(虚拟专用局域网业务)资源费和本地接入费用等。综合来看,其建设成本大于IPSec VPN和SSL VPN。
综上所述,IPSec VPN、SSL VPN和MPLS VPN3类主流VPN技术在相关方面的异同点如7-6所示。
问答题
[问题2]
F省各级党校信息化发展状况不均衡,基础设施条件和网络规模差距较大。该省某革命老区的市委党校目前通过一台二层交换机构建了简单的校园网络,并通过省政府信息中心下发的一台接入路由器连接到省电子政务外网,如图7-6所示。
[*]
请简要回答以下问题:
(1)在不添置硬件设备的情况,如何区分解决该市委党校访问电子政务外网资源共享专网数据和全省党校系统VPN专网数据两种不同网络应用业务的建设需求?
(2)对于上述问题(1)的解决方案,在图7-6所示的CE设备上需要配置哪些与全省党校系统VPN专网相关的接入信息?
(3)图7-6所示的电子政务外网接入方案存在哪些设计缺陷?
【正确答案】(1)解决方案的基本思路:CE与PE互连接口工作在子接口方式,划分出两个逻辑子接口(或创建出两条虚链路),并肩用VLAN封装(Dotlq),通过策略路由技术实现一条虚链路负责传输一种专网数据,PE设备利用接收到数据帧的VLAN标签来区分每一种应用业务。
(2)配置省级平台提供的VLAN号,配置CE与PE互连接口的IP地址及路由协议,在策略路由上加入全省各级党校网络的路由地址范围,配置BGP邻居(若有需要时)
(3)①缺乏网络安全设备(如防火墙)的保护,网络整体安全性较差;②终端用户使用网络不方便,需要配置两个不同的IP地址才能分别访问internet和全省党校系统VPN专网;③管理和维护终端计算机的工作量较大
【答案解析】[解析]
(1)解决方案的基本思路(包含但不限于以下内容):让CE外连电子政务外网的接口工作在子接口方式,即该物理接口划分成两个逻辑子接口,并启用VLAN封装(Dotlq),从而将一条物理光纤逻辑上分为两条虚链路。通过路由器的策略路由技术实现一条虚链路负责传输电子政务网资源共享专网数据,另一条虚链路负责传输全省党校系统VPN专网数据。该CE的上连PE设备利用接收到数据帧的VLAN标签来区分这两种不同的网络应用业务。
(2)对于F省党校系统VPN专网,通常需要在省政府信息中心的省级平台中,单独为该专网建立VLAN,配备相关地址信息(即全省党校系统虚拟专网地址规划表中省市县每所党校的CIDR地址块)和相应的路由信息。如果F省电子政务外网采用OSPF动态路由技术,那么还需要配置RT/RD、VRF参数及OSPF邻居认证的MD5密钥等信息。
对于图7-6中的CE设备,需要在其外连电子政务外网的接口上划分出一个虚接口,对VLAN号进行封装(VLAN号由省政府信息中心提供),并配置接口地址(该IP地址为省政府信息中心配备党校系统虚拟专网VLAN地址的下一个地址)以及路由协议(如静态路由、OSPF协议等)。在策略路由上应加入通往全省各级党校网络的路由地址范围(如10.64.0.0 255.224.0.0),以便可以访问全省各级党校在虚拟专网上共享的数字信息资源。
(3)图7-6所示的电子政务外网接入方案存在以下几点明显的缺陷:①缺乏网络安全设备(如防火墙)的保护,网络整体安全性较差;②终端用户PC1~PCn使用网络不方便,即访问Internet和访问全省党校系统VPN专网时,需要给每台计算机配置两个不同的IP地址;③网络管理、维护比较复杂,例如,如果给每台计算机安装两张网卡,那么就需要给计算机的每张网卡设置相应的静态路由,一旦计算机重装操作系统,所有网络配置信息需要重新设置。
问答题
[问题3]
在F省基于MPLS-VPN的电子政务外网的主干网络中,主要有P和PE两种类型的路由器设备。请简要说明PE路由器上区别于P路由器的MPLS VPN配置内容(列举出8条内容即可)。
【正确答案】(1)VRF配置:①定义并且配置VRF实例;②定义并且配置路由区分符(RD);③定义路由目标(RT),并且配置导入导出策略等。
(2)VPN接口配置:将相应的接口加入VPN实例中
(3)PE-CE配置:①启用边界网关路由协议(BGP),并设置自治区号;②在BGP的IPv4 VRF实例地址簇中引入路由信息:③建立IPv4 VRF实例的邻居关系,激活并传递VRF路由:④在BGP中引入直连路由等。
(4)PE-PE配置:①启用边界网关路由协议(BGP),并设置自治区号;②引入OSPF路由,并配置相应的metric值;③配置VPNV4 iBGP路由,使得在PE之间传播MBGP VPN路由;④建立邻居;⑤激活邻居等。
【答案解析】[解析]
在基于MPLS-VPN的电子政务外网的主干网络中,PE(骨干网边缘路由器)设备与用户的CE(用户网络边缘路由器)直接相连,负责VPN业务接入,存储VRF(虚拟路由转发实例)表,处理VPN-IPv4路由,是MPLS3层VPN的主要实现者。P(骨干网核心路由器)负责快速转发MPLS数据,不与CE直接相连。
通常,在PE路由器上与MPLS VPN相关的主要配置内容如下(包含但不限于以下内容)。
VRF配置:①定义并且配置VRF实例;②定义并且配置路由区分符(RD);③定义路由目标(RT),并且配置导入导出策略等。
VPN接口配置:①将相应的接口加入VPN实例中;②进入接口配置模式,配置各个接口的IP地址等。
PE-CE配置:①启用边界网关路由协议(BGP),并设置自治区号;②在BGP的IPv4 VRF实例地址簇中引入路由信息;③建立IPv4 VRF实例的邻居关系,激活并传递VRF路由;④在BGP中引入直连路由等。
PE-PE配置:①启用边界网关路由协议(BGP),并设置自治区号;②引入OSPF路由,并配置相应的metric值;③配置VPNV4 iBGP)路由,使得在PE之间传播MBGP VPN路由;④建立邻居;⑤激活邻居等。
OSPF配置:①启用OSPF路由协议;②配置路由区域及网络地址信息等。
MPLS配置:①配置MPLS的LSR ID标识;②启用路由器的MPLS LDP标签协议;③在网络接口上启用MPLS LDP标签协议等。
在P路由器上与MPLS VPN相关的主要配置内容如下(包含但不限于以下内容)。
VPN接口配置:进入接口配置模式,配置各个接口的IP地址等。
OSPF配置:①启用OSPF路由协议;②配置路由区域及网络地址信息等。
MPLS配置:①配置MPLS的LSR ID标识;②启用路由器的MPLS LDP标签协议;③在网络接口上启用MPLS LDP标签协议等。
综上所述,PE路由器上区别于P路由器的MPLS VPN配置内容主要体现在:VRF配置、VPN接口配置、PE-CE配置、PE-PE配置等。