2、GRE

　　(GRE: Generic Routing Encapsulation)

　　通用路由封裝(GRE)定義了在任意一種網(wǎng)絡層協(xié)議上封裝任意一個其它網(wǎng)絡層協(xié)議的協(xié)議。

　　在大多數(shù)常規(guī)情況下，系統(tǒng)擁有一個有效載荷(或負載)包，需要將它封裝并發(fā)送至某個目的地。首先將有效載荷封裝在一個 GRE 包中，然后將此 GRE 包封裝在其它某協(xié)議中并進行轉(zhuǎn)發(fā)。此外發(fā)協(xié)議即為發(fā)送協(xié)議。當 IPv4 被作為 GRE 有效載荷傳輸時，協(xié)議類型字段必須被設置為 0x800。當一個隧道終點拆封此含有 IPv4 包作為有效載荷的 GRE 包時，IPv4 包頭中的目的地址必須用來轉(zhuǎn)發(fā)包，并且需要減少有效載荷包的 TTL。值得注意的是，在轉(zhuǎn)發(fā)這樣一個包時，如果有效載荷包的目的地址就是包的封裝器(也就是隧道另一端)，就會出現(xiàn)回路現(xiàn)象。在此情形下，必須丟棄該包。當 GRE 包被封裝在 IPv4 中時，需要使用 IPv4 協(xié)議 47。

　　GRE 下的網(wǎng)絡安全與常規(guī)的 IPv4 網(wǎng)絡安全是較為相似的，GRE 下的路由采用 IPv4 原本使用的路由，但路由過濾保持不變。包過濾要求防火墻檢查 GRE 包，或者在 GRE 隧道終點完成過濾過程。在那些這被看作是安全問題的環(huán)境下，可以在防火墻上終止隧道。

　　3、MPLS VPN

　　(1)MPLS VPN概述

　　隨著網(wǎng)絡經(jīng)濟的發(fā)展，企業(yè)對于自身網(wǎng)絡的建設提出了越來越高的要求，主要表現(xiàn)在網(wǎng)絡的靈活性、經(jīng)濟性、擴展性等方面。在這樣的背景下，VPN以其獨有的優(yōu)勢贏得了越來越多企業(yè)的青睞。利用公共網(wǎng)絡來構(gòu)建的私有專用網(wǎng)絡稱為虛擬私有網(wǎng)絡(VPN，Virtual Private Network)。在公共網(wǎng)絡上組建的VPN象企業(yè)現(xiàn)有的私有網(wǎng)絡一樣提供安全性、和可管理性等。在所有的VPN技術(shù)中，MPLS VPN具有良好的可擴展性和靈活性，是目前發(fā)展最為迅速的VPN技術(shù)之一。

　　A、 MPLS

　　MPLS(Multiprotocol Label Switching, 多協(xié)議標記交換)使用標簽(Label)進行轉(zhuǎn)發(fā)，一個標簽是一個短的、長度固定的數(shù)值，由報文的頭部攜帶，不含拓撲信息，只有局部意義。MPLS包頭的結(jié)構(gòu)如下圖所示，包含20比特的標簽，3比特的EXP(通常用作Cos)，1比特的S，用于標識此標簽是否為最底層標簽，8比特的TTL。

　　MPLS可以看做是一種面向連接的技術(shù)。通過MPLS信令(如LDP，Label Distribute Protocol，標簽分配協(xié)議)建立好MPLS標記交換通道(Label Switched Path，簡稱LSP)，數(shù)據(jù)轉(zhuǎn)發(fā)時，在網(wǎng)絡入口對報文進行分類，根據(jù)分類結(jié)果選擇相應的LSP，打上相應的標簽，中間路由器在收到MPLS報文以后直接根據(jù)MPLS報頭的標簽進行轉(zhuǎn)發(fā)，而不用再通過IP報文頭的IP地址查找。在LSP出口(或倒數(shù)第二跳)，彈出MPLS標簽，還原為IP包。

　　B、MPLS/BGP VPN

　　MPLS VPN是一種基于MPLS技術(shù)的IP-VPN，根據(jù)PE(Provider Edge)設備是否參與VPN路由處理又細分為二層VPN和三層VPN，一般而言，MPLS/BGP VPN指的是三層VPN。

　　在MPLS/BGP VPN的模型中，網(wǎng)絡由運營商的骨干網(wǎng)與用戶的各個Site組成，所謂VPN就是對site集合的劃分，一個VPN就對應一個由若干site組成的集合。

　　MPLS/BGP VPN所包含的基本組件：

　　PE：Provider Edge Router，骨干網(wǎng)邊緣路由器，是MPLS L3VPN的主要實現(xiàn)者。

　　CE：Custom Edge Router，用戶網(wǎng)邊緣路由器。

　　P router： Provider Router，骨干網(wǎng)核心路由器，負責MPLS轉(zhuǎn)發(fā)。

　　VPN用戶站點(site)：VPN中的一個孤立的IP網(wǎng)絡，一般來說，不通過骨干網(wǎng)不具有連通性，公司總部、分支機構(gòu)都是site的具體例子。

　　在MPLS/BGP VPN中，屬于同一的VPN的兩個site之間轉(zhuǎn)發(fā)報文使用兩層標簽，在入口PE上為報文打上兩層標簽，外層標簽在骨干網(wǎng)內(nèi)部進行交換，代表了從PE到對端PE的一條隧道，VPN報文打上這層標簽，就可以沿著LSP到達對端PE，然后再使用內(nèi)層標簽決定報文應該轉(zhuǎn)發(fā)到哪個site上。

　　C、 L2 MPLS VPN

　　簡單來說，MPLS L2VPN就是在MPLS網(wǎng)絡上透明傳遞用戶的二層數(shù)據(jù)。從用戶的角度來看，這個MPLS網(wǎng)絡就是一個二層的交換網(wǎng)絡。以ATM為例，每一個用戶邊緣設備(CE)配置一個ATM虛電路，通過MPLS網(wǎng)絡與遠端的另一個CE設備相連，與通過ATM網(wǎng)絡實現(xiàn)互聯(lián)是完全一樣的。

　　在MPLS L2VPN中，CE、PE、P的概念與BGP/MPLS VPN一樣，原理也很相似：利用標記棧來實現(xiàn)用戶報文在MPLS網(wǎng)絡中的透明傳送：外層標記(稱為tunnel標記)用于將報文從一個PE傳遞到另一個PE，內(nèi)層標記(在MPLS L2VPN中，稱為VC標記)用于區(qū)分不同VPN中的不同連接，接收方的PE根據(jù)VC標記決定將報文傳遞給哪個CE。

　　當前MPLS L2VPN還沒有形成正式的標準。存在兩種主要的實現(xiàn)方式：Martini方式和Kompella方式。前者使用擴展的LDP協(xié)議作為信令來傳遞VC標記，因此又被稱為LDP方式的L2VPN。Kompella方式采用BGP擴展為信令來散發(fā)二層可達信息和VC標記，因此又被稱為BGP方式的L2VPN。

　　(2)MPLS VPN的應用

　　采用MPLS VPN技術(shù)可以把現(xiàn)有IP網(wǎng)絡分解成邏輯上隔離的網(wǎng)絡，這種邏輯上隔離的網(wǎng)絡的應用可以是千變?nèi)f化的：可以是用在解決企業(yè)互連、政府相同/不同部門的互連、也可以用來提供新的業(yè)務，如為IP電話業(yè)務專門開通一個VPN。

　　例如：

　　用MPLS VPN構(gòu)建運營支撐網(wǎng)

　　利用MPLS VPN技術(shù)可以在一個統(tǒng)一的物理網(wǎng)絡上實現(xiàn)多個邏輯上相互獨立的VPN專網(wǎng)，該特性非常適合于構(gòu)建運營支撐網(wǎng)，例如，目前國內(nèi)很多省市的DCN網(wǎng)就采用華為的設備，在一個統(tǒng)一的物理網(wǎng)絡上構(gòu)建網(wǎng)管，OA，計費等多個業(yè)務專網(wǎng)。

　　MPLS VPN在與運營商城域網(wǎng)的應用：

　　作為運營商的基礎網(wǎng)絡，寬帶城域網(wǎng)需同時服務多種不同的用戶，承載多種不同的業(yè)務，存在多種接入方式，這一特點決定城域網(wǎng)需同時支持MPLS L3VPN，MPLS L2VPN及其它VPN服務，根據(jù)網(wǎng)絡實際情況及用戶需求開通相應的VPN業(yè)務，例如，為用戶提供MPLS L2VPN服務以滿足用戶節(jié)約專線租用費用的要求。

　　MPLS VPN在企業(yè)網(wǎng)絡的應用：

　　MPLS VPN在企業(yè)網(wǎng)中同樣有廣泛應用。例如，在電子政務網(wǎng)中，不同的政府部門有著不同的業(yè)務系統(tǒng)，各系統(tǒng)之間的數(shù)據(jù)多數(shù)是要求相互隔離的，同時各業(yè)務系統(tǒng)之間又存在著互訪的需求，因此大量采用MPLS VPN技術(shù)實現(xiàn)這種隔離及互訪需求。

　　4、VPDN

　　VPDN是基于撥號接入(PSTN、ISDN)的虛擬專用撥號網(wǎng)業(yè)務，可用于跨地域集團企業(yè)內(nèi)部網(wǎng)、專業(yè)信息服務提供商專用網(wǎng)、金融大眾業(yè)務網(wǎng)、銀行存取業(yè)務網(wǎng)等業(yè)務。

　　VPDN采用專用的網(wǎng)絡安全和通信協(xié)議，可以使企業(yè)在公共網(wǎng)絡上建立相對安全的虛擬專網(wǎng)。VPN用戶可以經(jīng)過公共網(wǎng)絡，通過虛擬的安全通道和用戶內(nèi)部的用戶網(wǎng)絡進行連接，而公共網(wǎng)絡上的用戶則無法穿過虛擬通道訪問用戶網(wǎng)絡內(nèi)部的資源。

　　VPDN技術(shù)適用于以下范圍：

　　地點分散，在各地有分支機構(gòu)，移動人員特別多的用戶，例如企業(yè)用戶、遠程教育用戶。

　　人員分散，需通過長途電信甚至國際長途手段聯(lián)系的用戶。

　　對線路的保密和可用性有一定要求的用戶。

　　此外，通過VPDN技術(shù)，可實現(xiàn)對特定站點的封閉，可向小ISP和大集團用戶提供一次、多次端口批發(fā)業(yè)務。

　　VPDN網(wǎng)絡結(jié)構(gòu)由局端(或稱為中心端)和客戶系統(tǒng)組成。VPDN客戶系統(tǒng)包括兩部分：企業(yè)端與遠端。通常企業(yè)端是企業(yè)的內(nèi)部局域網(wǎng)，以專線方式接入UNINET;遠端是撥號客戶，以撥號方式訪問企業(yè)內(nèi)部局域網(wǎng)。

　　VPDN--(Virtual Private Dail-up Network虛擬撥號專用網(wǎng))，業(yè)務名稱為“網(wǎng)中網(wǎng)”，是指在中國公眾多媒體通信網(wǎng)，在接入手段上的延伸，它以撥號方式實現(xiàn)，同時又允許專線接入，與其無縫結(jié)合，組成一個提供多種接入手段的虛擬專用網(wǎng)。

　　VPN可劃分為：VLL(Virtual Leased Lines)、VPDN(Virtual Private Dial Networks)、VPRN(Virtual Private Routed Networks…VPDN網(wǎng)上辦稅認證平臺“，每位納稅人可采用寬帶上網(wǎng)或撥號上網(wǎng)方式，通過專用賬戶和密碼，經(jīng)VPDN專用隧道登錄國稅網(wǎng)站即可

　　相關推薦：

　　2018年軟考報名時間※2018軟考考試安排(全年)

　　考試吧特別策劃：2018年計算機軟考報考指南專題

　　軟考各科目模擬試題及答案※各科目復習指導匯總

　　軟考報考條件※軟考報名方法※考試大綱※科目

　　歷年軟考真題及答案匯總※軟件水平考試簡介