独享网络通道 无线VPN组网技术全面解析

一、 剖析VPN原理
虚拟专用网(VPN)是专用网络的延伸，它包含了类似Internet的共享或公共网络链接。通过VPN可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据。虚拟专用联网是创建和配置虚拟专用网的行为。
利用IP网络构建VPN，其实质是通过公用网在各个路由器之间建立VPN安全隧道以传输用户的私有网络数据。用于构建这种VPN连接的隧道技术有IPSec， GRE等。结合服务商提供的QoS机制，可以有效而且可靠地使用网络资源，保证网络质量。基于ATM或帧中继的虚电路技术构建的VPN也可实现可靠的网络质量，但其不足之处是互联区域有较大的局限性。另一方面，基于Internet构建VPN是最为经济的方式，然而服务质量难以保证。企业在规划VPN建设时应根据自身的需求对以上的各种公用网络方案进行权衡。
利用公用网络构建VPN是新型的网络概念，它给服务提供商(ISP)和VPN用户(企业)都将带来不少的益处。对于服务提供商来说，通过向企业提供VPN这种增值服务，服务提供商可以与企业建立更加紧密的长期合作关系，同时充分利用现有网络资源，提高业务量；而对于企业而言，利用Internet组建私有网，将大笔的专线费用缩减为少量的市话费用和Internet费用，节省了开支，提高了经济效益。在家里或者旅途中工作的用户可以使用VPN建立到组织服务器的远程访问连接，方法是使用公共网络(例如 Internet)提供的基础结构。从用户的角度来讲，VPN是一种在计算机(VPN客户端)与团体服务器(VPN服务器)之间的点对点连接。VPN与共享或公用网络的具体基础结构无关，因为在逻辑上数据就如同通过专用的私有链接发送的。单位也能够使用VPN连接来为地理位置分开的办公室建立路由连接，或者在保持安全通信的同时通过公共网络，例如Internet，连接到其他单位。通过Internet的VPN连接逻辑上作为专用的WAN链接来操作。通过远程访问和路由连接，可以使用VPN连接将长途拨号或租用线路换成本地拨号，这无疑将节约大量的通信成本。

显示VPN连接的逻辑等价关系

VPN的设计包含以下原则：安全性、网络优化、VPN管理。VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业用户必需确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。Extranet VPN将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。

VPN的安全性包含以下特征：
a)隧道与加密：隧道能实现多协议封装，增加VPN应用的灵活性，可以在无连接的IP网上提供点到点的逻辑通道。在安全性要求更高的场合应用加密隧道则进一步保护了数据的私有性，使数据在网上传送而不被非法窥视与篡改。
b)数据验证：在不安全的网络上，特别是构建VPN的公用网上，数据包有可能被非法截获，篡改后重新发送，接收方将会接收到错误的数据。数据验证使接收方可识别这种篡改，保证了数据的完整性。
c)用户验证：VPN可使合法用户访问他们所需的企业资源，同时还要禁止未授权用户的非法访问。通过AAA，路由器可以提供用户鉴别、访问级别以及必要的访问记录等功能。这一点对于Access VPN和Extranet VPN具有尤为重要的意义。
d)防火墙与攻击检测：防火墙用于过滤数据包，防止非法访问，而攻击检测则更进一步分析数据包的内容，确定其合法性，并可实时应用安全策略，断开包含非法访问内容的会话链接，并产生非法访问记录。要模拟点对点链路，应压缩或包装数据，并加上一个提供路由信息的报头，该报头使数据能够通过共享或公用网络到达其终点。若要模拟专用链接，数据应加密以进行保密。如果没有加密密钥，在共享或公用网络上截取的数据包是无法破译的。

二、详解隧道技术
隧道即基于公共网络或其它网络的特殊通道，用以实现数据的封装传输。隧道的本质是对该通道数据流的寻径和转发完全不依赖于隧道内载荷数据的地址信息。隧道协议事实上是利用公共或其他网络的传输媒体，在隧道的两端形成一个逻辑的点对点链接，只是这里点到点链接传送的帧信息部分是隧道的载荷数据，如可以是PPP分组、IP分组，甚至是TCP或UDP等报文数据。
2. 1 IPsec协议
IPsec (IP security)是IETF IPsec工作组为在IP层提供通信安全而制定的一个协议族，它包括安全协议部分和密域协商部分。安全协议部分定义对通信的保护规则，密域协商部分定义如何为安全协议协商保护参数。
设计IPse。的目的在于4个方面：为通信提供连接的主机级身份鉴别和数据的分组级源鉴别；为数据的机密性和完整性提供保护；为通信提供有限的流量保护功能；为数据传输提供抗重放攻击等服务，从而提供一定的通信QOS保证。
IPsec的安全协议定义了两种机制：ESP (Encapsulation Security Payload)和AH (Authentication Header)。
ESP机制能为通信提供机密性和完整性服务，以及为IPsec隧道提供抗重放攻击等服务。ESP规定如何对IP分组进行IPsec封装的规则，依据对IP分组的封装范围，ESP有传输模式和隧道模式两种模式。如果仅对IP分组的IP载荷(即上层协议数据部分如TCP/UDP等协议数据单元)进行封装，则称为传输模式ESP封装；如果对整个IP分组进行封装传输则称为隧道模式的ESP封装。这两种封装如下图所示。

AH机制为通信提供完整性服务以及抗重放攻击等服务。AH机制为IP分组插入一个AH头，提供安全服务。

依据AH头插入分组的位置，可将AH的实施分为两种模式：一种是将AH插入原IP分组的IP头和上层协议数据之间，称传输模式的AH封装；另一种是将AH头插入原IP分组和一个外部IP之间，称隧道模式的AH封装。这两种封装如下图所示。

2. 2形成隧道的方法

有两种方法形成隧道：一种称为封装隧道，它是通过封装协议，对上层数据分组进行透明封装传输，从而形成封装隧道的；另一种称为加密隧道，它是通过数据加密，形成数据的透明传输，从而形成加密隧道的。
加密和封装是密切相关的，加密本身不能形成隧道，被加密分组后必须通过封装传输，才能形成加密隧道。严格地将，封装是形成隧道的唯一方式。隧道中的数据有不同的存在形式：有明文的、没有任何形式保护的方式，有密文的方式，也有受完整性保护的方式。加密只是封装协议提供的一种安全服务。
人们习惯于封装和加密分开来看。这种习惯来源于实际中两种主流的封装协议类：一种为实现多协议传输的封装协议，如L2TP；另一种则强调具有安全功能的隧道封装协议，如IPseca。
典型的隧道协议包括如下几种：Microsoft公司的PPTP协议、L2F协议、L2TP协议、Microsoft公司的MPPE协议、Microsoft公司的DESE协议、IP/IP封装、GRE协议、IPsec协议。
2. 3隧道技术提供的服务
为使通过隧道构建的VPN满足人们的各种服务需求，如分组的透明传输、数据的安全性、服务质量的保证等，隧道技术应能提供以下8种服务：
a)数据安全性服务
VPN隧道机制应能支持不同层次的安全服务。这些安全服务包括不同强度的源鉴别、数据加密和数据完整性服务等。
b)多协议传输
构建VPN的另一个主要动机就是借用己有的网络基础设施，实现分组在异构网络上的传输。人们通常希望隧道机制能实现对不同类型的协议分组封装传输。
c)信号协议
隧道的端点往往是不固定的，其接入可能是暂时的、随机的，而且一条隧道往往要跨越不同的管理域。因此，采用手动隧道配置甚至是SNMP的MIB变量进行管理和配置，是低效而且不安全的。为隧道机制设计一个信号协议，以实现隧道的自动建立、配置、维护和关闭，显然是意义重大的。它大大减少了人为干预，省时省事，又提高了隧道的安全性。
d)复用
这里的复用包含两方面内容：两个服务提供商(SP)之间可以同时存在多条隧道；在同一条隧道内，能够同时封装多条用户会话。
复用的好处是显而易见的：两个服务商之间同时存在多条隧道，有利于区分通信，以提供不同的QOS保障，达到通信效能的优化；而同一条隧道内封装多条用户会话，则有利于会话的集中统一管理，提高协议的实现效率。
e)分组排序、分段与重组功能
VPN既然是对物理租用网络的功能模拟，显然用户也希望它能支持分组排序。支持排序有利于VPN功能应用的透明实施，以及VPN隧道协议的高效实现。隧道机制应支持隧道级的分组分段/重组机制，这有利于提高系统整体效能。隧道级的封装显然比借助隧道内的上层协议的分段更省事。
f)隧道维护功能
一个典型的隧道机制应给出何时建立隧道的规则：在网络开通即永久性建立隧道，还是使用管理命令触发或是数据驱动方式建立隧道。
典型的隧道机制应该在隧道的存活期间对隧道进行动态维护，以维护其安全性及有效性。隧道机制还应规定如何探测隧道另一端的存活性，以便在对端死亡的时候释放本地资源。
g)系统开销最小化
系统开销的节省包括带宽节省以及系统处理节省，这种节省的好处是显而易见的。既然VPN隧道需要通过封装来实现，增大系统开销在所难免，设计者们要做的事是尽可能减少这种开销。
h) QOS的保证
隧道机制作为一种链路机制，用户也希望它为流量提供如延迟、吞吐量、优先级等QOS的保证。

三、MPLS原理及其应用
Internet业务量的飞速增长以及宽带技术的不断出现，对Internet服务提供商(工SP)的网络带宽提出了严峻的挑战。这种挑战不仅是对高带宽的要求，也是对目前Internet所基于的传统路由交换模式的新的要求。要建立一种服务质量较好且具备扩展性支持的新一代路由系统，需要各单个路由器维持大容量的路由信息，并能建立一种路由信息的分层结构；在增强路由器对IP分组包转发性能的同时，还需要增加对多目广播的路由支持，提供分层式的路由信息结构；路由体系还必需具有灵活的适应能力以满足将来可能出现的各种新型需求。
MPLS技术的全称是多协议标交换技术，是在Cisco公司所提出来的TagSwitching技术基础上发展起来的，属于第三层交换技术。它引入了基于标签的机制，把选路和转发分开，由标签来规定一个分组通过网络的路径，数据传输通过标签交换路径(LSP)完成。
3. 1与MPLS相关的几个概念及定义
a)路由协议：路由协议(如RIP， OSPF)是一种机制，使网络中的每台设备都知道在将一个分组送向其目的地时，传送这个分组的下一跳级(Next-Hop)是哪里。路由器使用路由协议构建路由表，当它们接收到一个分组而必须进行转发判决时，路由器用分组中的目的IP地址作为索引(Index)查寻路由表，利用特定算法获得下一跳机器的地址。路由表的构造和它们在转发时的查寻基本上是两个独立的操作。
b)交换：交换概念通常用来描述从一个设备内的输入端口到输出端口的数据传递，这种传送一般是基于第二层的(如ATMVP工/VCI)信息。
c)控制部件：控制部件为一个节点建造并维护一个路由转发表(ForwardingTable)。它与其它节点的控制部件共同协作，持续并正确地交换分布路由信息，同时在本地建立转发表。标准的路由协议(如OSPF， BGP和R工P)用于在控制部件之间交换路由信息。
d)转发部件：转发部件执行分组转发功能。它使用转发表、分组所携带的地址等信息及本地的一系列操作来进行转发判决。在传统路由器中，最长匹配算法将分组中的目的地址与转发表中的条项进行对比，直到获得一个最优的匹配。更为重要的是，从源到目的地的沿路节点都要重复这一操作。在一个标志交换路由器中，(最佳匹配)标志交换算法使用分组的标志和基于标志的转发表来为分组获取一个新的标志及输出端口。
e)路由转发表：路由转发表包含若干条项，提供信息给转发部件，执行其交换功能。转发表必须将每个分组与一个条项(传统条项为目的地址)关联起来，为分组的下一步路由提供指引。
f)转发同等类(FEC)：转发同等类(FEC)定义了这样一组分组，从转发的行为来看，它们都具有相同的转发属性。一种FEC是一组单目广播分组，其目的地址均与一个IP地址前缀相匹配。另一种FEC是分组的源及目的地址都相同的一组分组。FEC可在不同的级别上进行定义。
g)标志(label)：标志(label)相对较短，长度固定且无结构标识，可在转发进程中使用。标志通过一种绑定操作与一个FEC关联起来。标志正常情况下，对于一个单一数据链路来说仅具有本地意义，不具有全局意义。在ATM环境中相当于它们的VPI/VCI。由于ATM使用固定短区域进行交换，因此可以相信标志交换能成为一种IPoverATM应用的有效方案。在某种事件驱动下，标志与FEC进行绑定，具有一定意义，这种事件可分为以下两种类型：一种是数据驱动绑定，即在数据流开始产生时进行绑定。标志绑定仅在需要时建立，在转发表中只存在很少的几个条项。标志被分配给不同的IP数据流。在一个ATM网络环境中，它需要使用大量的虚电路资源，不易于扩展。另一种是拓扑驱动绑定，当在控制平面激活时其建立与数据流的产生无关。标志绑定可能与路由的更新或RSVP消息的接收有关。拓扑驱动绑定较数据驱动绑定更易于扩展，因此用于MPLS中。
h)标志交换转发部件：标志与分组的绑定有若干种方式，对一些网络可以将标志嵌入到链路层的头端(ATMVCI/VPI和帧中继的DLC工)，有时也可以将它嵌入至位于数据链路头端和数据链路协议数据单元(PDU)之间的小标志头端(如位于第二层头端与第三层数据负载之间)，称为“Shim"。这种标志信息能够在链路层进行承载，"Shim”结构可以用于Ethernet， IEEE802.3，或点对点(PPP)链路上，其中一个是为单目广播，另一个是为多目广播(Multicast)，每个标志为4字节。
3. 2 MPLS的工作流程
在MPLS骨干网络边缘，边界LSR对进来的无标志分组(正常情况下)按其工P头端进行归类划分(Classification)及转发判决，这样IP分组在边界LSR被打上相应的标志，并被传送至到达目的地址的下一跳。
在后续的交换过程中，由LSR所产生的固定长度的标志替代IP分组头端，大大简化了以后的节点处理操作，后续节点使用这个标志进行转发判决。一般情况下，标志的值在每个LSR中交换后改变，这就是标志转发。如果分组从MPLS的骨干网络中出来，出口边界LSR发现它们的转发方向是一个无标志的接口，就简单地移除分组中的标志。这种基于标志转发的最重要的优势在于对多种交换类型只需要唯一一种转发算法，可以用硬件来实现非常高的转发速度。
MPLS网络由核心部分的标签交换路由器(LSR)、边缘部分的标签边缘路由器(LER)组成。LSR可以看作是ATM交换机与传统路由器的结合，由控制单元和交换单元组成；LER的作用是分析IP包头，决定相应的传送级别和标签交换路径(LSP)。由于MPLS技术隔绝了标签分发机制与数据流的关系，因此，它的实现不依赖于特定的数据链路层协议，可支持多种的物理和链路层技术 (工P/ATM、以太网、PPP、帧中继、光传输等)。MPLS使用控制驱动模型初始化标签捆绑的分配及分发，用于建立标签交换路径(LSP)，通过连接几个标签交换点来建立一条LSP。一条LSP是单向的，全双工业务需要两条LSPo
标签交换的工作流程如下：
1)由LDP(标签分发协议)和传统路由协议(OSPF等)在LSR中建立路由表和标签映射表；
2)在MPLS入口处的LER接收IP包，完成第三层功能，并给IP包加上标签；
3)在MPLS出口处的LER将分组中的标签去掉后继续进行转发；
4) LSR不再对分组进行第三层处理，只是根据分组上的标签通过交换单元进行转发。
3. 3 MPLS技术的实现细节
标签结构
IP设备和ATM设备厂商是在各自原来的基础上实现MPLS技术的。对于IP设备商，它修改了原来工P包直接封装在二层链路帧中的规范，在二层和三层包头之间插了一个标签(Label)：而ATM设备制造商利用了原来ATM交换机上的VP工/VC工的概念，使用Label来代替了VPI/CVI，当然ATM交换机上还必需修改信令控制部分，引入路由协议。ATM交换使用路由协议来和其它设备交换三层的路由信息。

标签的结构如图
20比特的LABEL字段用来表示标签值。由于标签是定长的，所以对于路由器来说，可以分析定长的标签来做数据包的转发，这是标签交换的最大优点。定长的标签就意味可以用硬件来实现数据转发，这种硬件转发方式要比必须用软件实现的路由最长匹配转发方式效率要高得多!
3比特的EXP用来实现QOS。
1比特S值用来表示标签栈是否到底了，对于VPN， TE等应用将在二层和三层头之间插入两个以上的标签，形成标签栈。
8比特TTL值用来防止数据在网上形成环路。

于是完整的带有标签的二层帧就成了如图形式

在ATM信元模式下，信元的结构形式如图

LSR设备的体系结构
通过修改，能支持标签交换的路由器称为LSR(Label Switch Router)，而支持MPLS功能的ATM交换机一般称为ATM-LSRo

LSR设备的体系结构如图
LSR的体系结构分为两块：
a)控制平面(Control Plane)
该模块的功能是用来和其他LSR交换三层路由信息，以此建立路由表和交换标签对路由的绑定信息，以此建立Label Information Table(LIB)标签信息表。同时再根据路由表和LIB生成Forwarding Information Table(FIB)表和Label Forwarding Information Table(LFIB)表。控制平面也就是我们一般所说的路由引擎模块!
b)数据平面(Data Plane)
数据平面的功能主要是根据控制平面生成的FIB表和LFIB表转发IP包和标签包。
对于控制平面中所使用的路由协议，可以使用以前的任何一种，如OSPI"，RIP， BGP等等，这些协议的主要功能是和其他设备交换路由信息，生成路由表，这是实现标签交换的基础。在控制平面中导入了一种新的协议——LDP，该协议的功能是用来针对本地路由表中的每个路由条目生成一个本地的标签，由此生成LIB表，再把路由条目和本地标签的绑定通告给邻居LSR，同时把邻居LSR告知的路由条目和标签绑定接收下来放到LIB表里，最后在网络路由收敛的情况下，参照路由表和LIB表的信息生成FIB表和LFIB表。具体的标签分发模式如下叙述。
标志交换控制部件
标志由标志交换路径(LSP)的上游LSR (Upstream LSR)节点来附加至分组中，下游LSR(Downstream LSR)收到标志分组后判决处理，这由标志交换的控制部件来完成，它使用标志转发表中的条项内容作为引导。
标志交换控制部件除了基本的表的建立和维护外，还负责以一种连续的方式在LSR之间进行路由的分布及进行将这些信息生成为转发表的操作。标志交换控制部件包括所有的传统路由协议(如OSPF， BGP， PIM等等)。这些路由协议为LSR提供了FEC与下一跳地址的映射。标志交换转发表中的条项内容最少应能提供输出的端口信息和下一个新的标志，当然也可以包含更多的信息。例如，它可以为被交换的分组产生一种输出队列原则。
输入分组必须在转发表中有唯一的条项与之对应。每一个分配的标志必须与转发表中的一个条项相关联起来，这种绑定可以在本地LSR执行或在远端LSR执行。目前MPLS版本使用下游绑定，这种情况下，本地关联的标志用作进入分组标志，而远端关联标志用作输出标志。另一种方式为上游绑定，与下游绑定相反，也是一种可行的方法。在MPLS技术中，转发表又称为标志转发信息库(LFIB) ， LFIB的每一个条目中包括输入标志、输出标志、输入接口和输出端口MAC地址，由输入标志对条项进行检索查找。另外LFIB既可以在一个标志交换路由器上也可以存在于一个接口上。
标志交换路由器(LSR)
MPLS的设备按其在MPLS路由网络中所处的位置可分为边界标志交换路由器和中间标志交换路由器。边界LSR除对分组的标志进行符加或移除外，还负责对流量进行分类，标志的分配除了基于目的地址外还有其它很多因素。边界LSR判定流量是否为一个长持续流，采取管理政策和访问控制，并在可能的情况下将普通业务流汇聚成较大的数据流，这些都是在IP与MPLS的边界处所需具有的功能。因此边界LSR的能力是整个标志交换环境能否成功的关键环节，对于服务提供者而言，这也是一个管理和控制点。
MPLS和ATM协议关系
MPLS为公共的转发算法，基于标志的交换技术，在与ATM技术的结合上，MPLS使用ATM的用户平面(user plane)，以ATM的VPI/VCI作为其标志。MPLS的控制功能部件，以网络层的动态路由协议(如：IS-IS， OSPF， BGP， PIM)及标志分配协议(LDP)来替代ATM传统的控制平面，完成对整个MPLS网络的控制功能。
MPLS的优势
基于MPLS的思想框架，MPLS的优势主要体现在以下：
将传统的基于IP分组中头端信息进行IP路由转发的机制淘汰后在一种公共转发算法(标志交换)上提供了多种路由方案(如基于目的的显式路由等)将ATM技术与IP技术灵活地结合起来，从控制平面看具有MPLS功能的ATM交换机更像是一台路由器。
使用MPLS使各种IP业务应用成为可能，如基于IP的VPN， IP级业务服务质量保证、骨干网络流量控制。
MPLS技术总结
MPLS交换主要目的是为下一代的多用户、多服务的Internet骨干网络提供一种路由交换的技术基础。它的主要特征为高性能，可灵活扩展，能最大可能地满足用户对服务质量的需求。Internet网络的飞速发展也为MPLS的发展提供了十分显著的推动作用。
MPLS技术也为一些目前IP网络亟待提供的应用服务如流量控制(traffic engineering) ，虚拟专网(VPN)、服务类别质量保证(COS)等提供了一套更为合理有效的解决方案。
3. 4基于MPLS的VPN实现
MPLS/VPN体系结构
基于MPLS方式组建VPN网络时，所需设备是路由器，可以利用网络上己有的路由器升级，也可以新建。在全网各路由器配置MPLS，各接入点的路由器配置成MPLS VPN PE(边界)Router，其余路由器配置成MPLS VPN P(核心)Router。全网路由器运行内部网关协议IS-IS及MPLS LDP协议。PE Router之间运行MP-BGP协议，并且建立Full-mesh的 BGP连接。各VPN用户的路由设备CE连到网络接入点PE Router。用户与PE Router之间运行EBGP(或RIP2，OSPF)协议。VPN用户的地址空间由用户确定，可采用私有保留地址。[22}
MPLS VPN限制VPN路由信息仅在VPN内部传播，具体过程如下：
1)在PE路由器上有两种互相隔离的路由表。一种是包含所有P和PE路由器路由的普通路由表，一种是与它相连的VPN的路由表，即VRF。每个VPN对应一个VRF。
2) PE路由器将VPN用户地址(多为私有地址)转换成VPN-V4的地址，其中包含RD， S00等新增属性，存储在相应VRF中。
3)同一VPN两端的PE通过RSVP-Tunnel或LDP建立LSP (Label Switch Path) ，并用MP-iBGP交换此VPN的路由。
4)当PE接到本地VPN用户Packet的时候，此PE在相应的VRF中查找相应路由，找到下一跳，此下一跳应为将目的VPN用户地址通过MP-iBGP广播给它的那台PE。
5)本地PE路由器通过先前建立的LSP将此Packet转发到异地PE路由器。
6)异地PE路由器再在其相应的VRF中找到需要从哪个用户端口转发到目的地。
PE路由器的改造和VRF的导入
为了让PE路由器能区分是哪个本地接口送来的VPN用户路由，在PE路由器上创建了大量的虚拟路由器，每个虚拟路由器都有各自的路由表和转发表，这些路由表和转发表统称为VRF(VPN Routing and Forwarding instances)。一个VRF定义了连到PE路由器上的VPN成员，VRF中包含了IP路由表，IP转发表(也称为CEF表)，使用该CEF表的接口集和路由协议参数和路由导入导出规则等等。
在VRF中定义和VPN业务有关的两个重要参数是RD (Route Distinguisher)和RT (Route Target) ， RD和RT长度都是64比特。有了虚拟路由器就能隔离不同VPN用户之间的路由，也能解决不同VPN之间IP地址空间重叠的问题。
MP-BGP协议对VPN用户路由的发布

MPLS路由演示图
正常的BGP4协议只能传递工Pv4的路由，由于不同VPN用户具有地址空间重叠的问题，必须修改BGP协议。BGP最大的优点是扩展性好，可以在原来的基础上再定义新的属性，通过对BGP修改，把BGP4扩展成MP-BGP。在MP—— IBGP邻居间传递VPN用户路由时打上RD标记，这样VPN用户传来的IPv4路由转变为VPNv4路由，这样保证VPN用户的路由到了对端的PE上，能够使对端PE区分开地址空间重叠但实际并不相同的VPN用户路由。举例如下：
在PE1， PE2， PE3上分别配置VRF参数，其中VPN1用户的RD=6500：1，RT=100：1， VPN2用户的RD=6500：2， RT=100：2。所有VRF可以同时导入和导出所定义的RT。
以PE2为例，PE2从接口SO上获得由CE4传来的有关10. 1. 1. 0/8的路由，PE2把该路由放置到和SO有关的VRF所管辖的IP路由表中，并且分配该路由的本地标签，注意该标签是本地唯一的。通过路由把VRF所管辖的IP路由表中的路由重新发布到BGP表中，此时通过参考VRF表的RD， RT参数，把正常的IPv4路由变成VPNv4路由，如10. 1. 1. 0/8变成6500：1：10. 1. 1. 0/8，同时把导出(Export) RT值和该路由的本地标签值等等的属性全部加到该路由条目中去。通过MP-IBGP会话，PE2把这条VPNv4路由发送到PE1处，PE1收到T两条有关10. 1. 1. 0/8的路由，其中一条是由PE3发来的，由于RD的不同，导致该两条路由没有可比性。MP-BGP接受到该两条路由后的后继工作是：去掉VPN4路由所带的RD值，使之恢复IPv4路由原貌，并且根据各VRF配置的允许导入(Import；的RT值，把工Pv4导入各个VRF管辖的路由表和CEF表中，也就是说带有RT=100：1的10. 1. 1. 0/8的路由导入VRFl所管的路由表和CEF表中，带有RT-100：2的10. 1. 1. 0/8的路由导入VRF2所管辖的路由表和CEF表中。再通过CE和PE之间的路由协议，PE把不同的VRF管辖的路由表内容通告的各自的相联的CE中去。
目前PE和CE之间可支持的路由协议只有四种BGP， OSPF， RIP2或者静态路由。
基于MPLS的VPN的优势
1) MPLS VPN提供一个可快速部署实施增值IP业务的平台，包括内部网、外部网、话音、多媒体及网络商务：
2) MPLS VPN通过限制VPN路由信息的传播仅在VPN成员内部，可提供与第二层VPN相同的私密性及安全性；
3) MPLS VPNs提供与用户内部网的无缝集成；
4) MPLS VPNs扩展性好，每个服务提供商可以设定数十万VPN，每个VPN可有数千个现场；
5) MPLS VPNs提供IP业务类别，支持VPN内部多级别业务，VPN间的优先级，灵活的服务级别选定：
MPLS VPNs提供方便的VPN成员管理及新VPN创建功能以利于业务的快速实施；
MPLS VPNs提供可伸缩的any-to-any连接以扩展内部网及外部网从而含盖多业务。
MPLS的流量管理功能可以保证网络资源得到合理利用，保证用户申请的服务质量得到满足。

四、CDMAIX&ATM原理及其应用
CDMA系统作为联通无线VPN的接入技术，充分运用了CDMA的码分多址技术及软切换技术为客户供物理层安全。
CDMA即Code Division Multiple Access(码分多址)是一种采用先进无线扩频技术的数字通信多址接入方式。顾名思义，码分多址就是给每个用户分配一个唯一的扩频码(或称地址码)，通过该扩频码的不同来识别用户。CDMA2000标准的发展经历了从IS-95A， IS-95B到cdma2000 lx及cdma2000 1xEV的发展过程。码分多址(CDMA)系统的特点之一是用于传输信息的信号带宽远大于信息带宽；特点之二是在扩频的实现上，基本都是用一组优选的扩频码进行控制，CDMA是在信号的扩展维一编码维上对无线信号空间进行划分。码分多址中对于扩频码的选择要求比较苛刻，实际中通常是准正交性，即自相关性很强，而互相关性很弱。出于系统容量的考虑，对于特定长度的扩频码集要求能够提供足够多的扩频码。在统计特性上要求扩频码类似白噪声以增强隐蔽性，这在军事通信中尤为重要。为了提高处理增益应选择周期足够长的扩频码，而为了便于实现应选择产生与捕获容易并且同步建立时间较短的扩频码。通常扩频码的选择就是各种伪随机(PN)码。
虽然码分多址都是利用了地址码的正交性来实现多址接入，但通常可根据扩频的不同实现手法，将码分多址分类。
4. 1直接序列码分多址(DS一CDMA )
这是用得比较多的一种扩频多址方式。众所周知，DS -CDMA在现在的第二代移动通信中己经得到了成功应用，而且它还是第三代移动通信的核心技术，在工MT-2000的众多标准中，大部分都采用了DS -CDMA。此外，在军事通信和卫星通信中，DS-CDMA也受到了青睐。从原理上来说，DS-CDMA是通过将携带信息的窄带信号与高速地址码信号相乘而获得的宽带扩频信号。收端需要用与发端同步的相同地址码信号去控制输入变频器的载频相位以实现解扩。根据Shannon定理，在信号平均功率受限的白噪声信道中，系统的极限信息传输速率C (b/s)与信道带宽B (Hz)、信噪比S/N之间满足如下的约束关系：C=Blog (1+S/N)，实际上，该式也体现了上述各变量之间的一种互换关系。也就是说，在所需最高信息传输速率C不变的条件下，通过应用地址码展宽信号带宽B，就可以在信噪比S/N很低的条件下实现可靠通信，DS-CDMA正是这一思想的应用。通过DS扩频，将信号功率谱在一个很宽的频段上进行了“平均”，或者说在背景噪声不变的情况下，单位带宽信噪比S/N变得很低，好像是将信号在噪声中“隐藏”了起来。因此DS -CDMA系统具有抗窄带干扰、抗多径衰落和保密性好的优点。此外，DS-CDMA的优点还有很多：许多用户可以共享频带资源，无须复杂的频带分配和管理；具有“软容量”特性，即在一定限度内的用户数增加，只会使得信噪比下降，而不会终止通信，也就是说DS - CDMA没有绝对的容量限制：具有“小区呼吸功能”，即小区负荷量可以动态控制，相邻小区可通过覆盖范围的互动来重新分担负荷；可以通过“软切换”实现移动台的越区管理，保证越区时通信的连续性等。当然，DS-CDMA也存在一些问题，如多址干扰问题，这是由于不同地址码之间的非完全正交性而造成的，通信过程中不同用户的发射信号会相互干扰。多址干扰是DS -CDMA系统中相当严重的一个问题，还需要人们通过对地址码选择的进一步研究来解决。此外，在DS-CDMA系统中还存在“远近效应”，就是说离基站近的强信号用户会对远离基站的弱信号用户的通信形成干扰，本质上说这还是由于地址码的非完全正交性所致，但现阶段人们已通过在移动通信系统中引入“自动功率控制”技术削弱了远近效应的影响。
CDMA的技术持点
1) CDMA是扩频通信的一种，具有扩频通信的以下特点：
.抗干扰能力强。这是扩频通信的基本特点，是所有通信方式无法比拟的。
.宽带传输，抗衰落能力强。
.由于采用宽带传输，在信道中传输的有用信号的功率比干扰信号的功率低得多，因此信号好象隐蔽在噪声中，即功率谱密度比较低，有利于信号隐蔽。
.利用扩频码的相关性来获取用户的信息，抗截获的能力强。
2)在扩频CDMA通信系统中，由于采用了新的关键技术而具有新的特点：
采用了多种分集方式。除了传统的空间分集外，由于采用宽带传输起到了频率分集的作用，同时在基站和移动台采用了RAKE接收机技术，相当于时间分集的作用。 采用了话音激活技术和扇区化技术。因为CDMA系统的容量直接与所受的干扰有关，采用话音激活和扇区化技术可以减少干扰，可以使整个系统的容量增大。 采用了移动台辅助的软切换。通过它可以实现无缝切换，保证了通话的连续性，减少了掉话的可能性。处于切换区域的移动台通过分集接收多个基站的信号，可以减低自身的发射功率，从而减少了对周围基站的干扰，这样有利于提高反向联路的容量和覆盖范围。 采用了功率控制技术，这样降低了发射功率。 具有软容量特性。可以在话务量高峰期通过提高误帧率来增加可以用的信道数。当相邻小区的负荷一轻一重时，负荷重的小区可以通过减少导频的发射功率，使本小区的边缘用户由于导频强度的不足而切换到相临小区，分担负担。 兼容性好。由于CDMA的带宽很大，功率分布在广阔的频谱上，功率谱密度低，对窄带模拟系统的干扰小，因此两者可以共存，即兼容性好。 CDMA的频率利用率高，不需频率规划，这也是CDMA的特点之一。 CDMA高效率的OCELP话音编码。话音编码技术是数字通信中的一个重要课题，OCELP是利用码表矢量量化差值的信号，并根据语音激活的程度产生一个输出速率可变的信号。这种编码方式被认为是目前效率最高的编码技术，在保证有较好话音质量的前提下，大大提高了系统的容量。这种声码器具有8kbit/S和13kbit/S两种速率的序列。8kbit/S序列从1. 2 kbit/s到 9. 6kbit/s可变，13kbit/S序列则从1. 8kbt/s到14. 4kbt/S可变。最近，又有一种8kbit/s EVRC型编码器问世，具有8kbit / s声码器容量大的特点，话音质量有了明显的提高。 WCDMA与cdma2000的主要分歧与共同点
1) WCDMA与cdma2000的主要分歧点是：
扩频码片速率与射频信道结构：W-CDMA根据ITU关于5MHZ信道基本带宽的划分规则，将基本码片速率定为4.096Mchip / S，在一个完整的信道内，使用直接扩频调制；Cdma2000为了兼容Cdmaone，以原CdmaOne的基本码片速率的三倍，即3. 6864Mchip / s作为Cdma2000的基本速率进行直接扩频调制。同时，Cdma2000还定义了以原Cdmaone系统3个基本信道(带宽1. 25 MHZ)作频分复用的多载波扩频调制方式。 支持不同的核心网络标准：W-CDMA要求实现与GSM网络的全兼容，所以它把GSM的MAP协议作为上层核心网络协议；Cdma2000要求完全兼容cdmaone，因此，它支持ANSI-41作为自己的核心网络协议。 基站之间的同步问题：cdma2000沿袭了cdmaone各个基站依靠GPS测量实现前向信道同步的要求；而W-CDMA没有基站同步的要求。 cdma 2000方案提出采用可变速率语音编码，采用帧长为20ms的全速率、1/2，1/4、和1/8速率，而WCDMA采用自适应多速率编码(AMR)，帧长l0ms 2.技术上它们是相容的，就总的无线信道的空中接口结构而言，这两类方案有如下的共同特点： 都是采用定时长的帧结构作为基本的传送单位，在一个帧上实施速率匹配，卷积纠错，交织运算等操作； 以短的可变长度正交序列调制出独立的物理通道(“通道化”)，并遵循ITU建议M. 1035，将这些独立的通道映射为具有不同功能的逻辑通道。 在一个独立通道内，又可将导频引导字、功率控制消息、数据速率信息进行时分复用。 在完成了利用短码调制的“通道化”之后，不同通道可以按不同的加权增益组合起来进行在I/0信道的复用。 为了分隔不同小区和不同用户，采用长码(如大M序列或GOLD序列)进行最后的扩频调制，完成整个“复杂扩频电路”结构。 关于W-CDMA和Cdma2000建议中对于导频的设计和使用。导频在CDMA移动通信系统计中占有举足轻重的地位，W-CDMA和Cdma2000都是依靠导频信道来完成相干接收的。在上下行方向，W-CDMA都采用了直接指派到用户的时分复用的导频，以配合多速率以及分组突发业务的接收。Cdma2000则仍沿用了工s-95标准下的导频设计方法：上行信道上码分复用导频，下行信道采用公共连续导频。这里，由于W-CDMA和Cdma2000在下行信道上的导频设计不同，直接导致W-CDMA成为“异步”的CDMA，即相邻小区之间异步；而Cdma2000依靠下行公共导频和GPS，实现相邻小区间的同步。但由于W一CDMA拥有指派到用户的时分导频，在异步环境下的越区切换同样没有问题。 关于多速率业务的支持，W-CDMA和Cdma2000方案都采用可变扩频增益/多万马道并行调制，并且扩频指数都是4}-2560 关于功率控制方法，两个方案都采用了开环结合快速闭环的控制。 2)综上所述，就RTT主要技术项目的设计方法来看，W-CDMA和Cdma2000是相容的。W-CDMA和Cdma2000建议的争论，与其说是技术角度的分歧，还不如说是商业利益上的斗争。
宽带cdma系统与第二代通信系统相比所县有的优点
W-CDMA因其宽带和扩频码分多址的特性，具有以下主要优点：
1)容量更大、覆盖范围更广。CDMA信道带宽是宽带的，而W-CDMA信道带宽(以典型的每载波SMHZ带宽为例)更是窄带CDMA(如IS-95 )信道带宽的4倍，较宽的带宽将增加频率分集的效果，从而降低衰落的影响，提高上行与下行链路快速功率控制的精度，以及上行信道采用相干解调可获得2dB-V 3dB的解调增益等等，这大大提高了系统容量。有研究结果表明，SMHZW一CDMA系统的容量是窄带CDMA系统的8倍。
2)频谱利用率高。CDMA系统中用户共享频谱资源；功率控制、话音激活等技术的采用大大提高了频谱利用率，而又不必象TDMA / FDMA(时分多址/频分多址)系统那样进行复杂的频率管理。
3)适合不对称业务、变速率业务以及高速业务。由于上行与下行信道可以采用独立的无线资源，W-CDMA系统通过采用可变增益的正交扩频码(OVSF码)和自动调整发射功率，统计复用及多码传输等技术，可方便地支持不对称业务如Internet(因特网)接入、变速率业务和高速业务。
4)W-CDMA终端可同时支持多个业务。例如；通过统计复用，W-CDMA可使用户在接入相应无线局域网(LAN)的同时接收电话呼叫，提供多媒体服务。
5)同时支持电路交换业务与分组交换业务。对分组模式数据的支持为用户提供了与Internet接入有关的业务。
6)移动台发射功率低。由于采用扩频技术和RAKE接收；移动台发射功率大大降低，从而减少了对其他用户的干扰，延长了移动台电池的连续通话和待机时间。
7)对FDD方式，各基站不需要严格的同步。从而可不必依赖昂贵的全球定位系统即(GPS)卫星系统。
8)采用开放式系统设计。便于引入可进一步提高系统性能的更先进技术，如支持自适应天线阵、多用户检测和分层小区结构(HCS)等等。
CDMA存在的问题
1)在小区的规划问题上，虽然CDMA无需频率规划，但它的小区规划却并非十分容易。由于所有的基站都使用同一个频率，相互之间是存在干扰的，如果小区规划做得不好，将直接影响话音质量和使系统容量打折扣，因而在进行站距、天线高度等方面的设计时应当小心谨慎。
2)其次，在标准的问题上，CDMA的标准并不十分完善。许多标准都仍在研究及制定之中。如A接口，目前各厂家有的提供IS-634版本0，有的支持Is-634版本。还有的使用Is-634 / TSB-80。因此对于系统运营商来说，选择统一的A接口是比较困难的。
3)由于功率控制的误差所导致的系统容量的减少。
4. 2 ATM在CDMA 1X系统中的应用
反向复用工MA的目的是将所有E1传输线上的业务进行统计平均，使所有业务平均分配在每条E1上。BSS内部业务采用AAL2，信令/维护/数据业务采用AAL5a
为实现工POA下的ARP协议，每个连接ATM网络的主机均视为ATM终端。ARP服务器和路由器也同样如此。为实现IPOA，所有的IP数据包均要转化为ATM信元的净荷，相应的每个主机的IP地址也要转化为ATM地址，这样主机之间才能建立起ATM虚连接，进而进行IP的交互。因此在通信前必须建立IP地址和ATM地址间的映射关系。
目前的工POA方式中，有两种方法可以建立IP地址和ATM地址(或ATM虚连接)的对应关系：SVC方式和PVC方式。在PVC方式下不需要ARP服务器，在公司的CDMA 1X产品中采用的是PVC方式。

ATM在CDMA中的运用图

4.3 CDMA1x VPN无线信道安全分析

无线信道部分采用CDMA(码分多址技术)，CDMA是给每个用户分配一个唯一的扩频码(或称地址码)，通过该扩频码的不同来识别用户。对于扩频码的选择要求比较苛刻，但实际中通常是准正交性，即自相关性很强，而互相关性很弱；出于系统容量的考虑，对于特定长度的地址码集还要求其能够提供足够多的地址码；在统计特性上要求地址码类似白噪声以增强隐蔽性；为了提高处理增益应选择周期足够长的地址码：而为了便于实现则应选择产生与捕获容易和同步建立时间较短的地址码，通常选择就是各种伪随机(PN)码。这些伪随机(PN)码长度达到128位，具有很强的抗攻击性，能很好起到对用户数据的保密作用。

五、Radius原理及其应用
Radius是Remote Authentication Dial In User Service的简称，即远程验证拨入用户服务。当用户想要通过某个网络(如电话网)与NAS(网络接入服务器)建立连接从而获得访问其它网络的权力时，NAS可以选择在NAS上进行本地认证计费，或把用户信息传递给RADIUS服务器，由Radius进行认证计费。RADIUS协议规定了NAS与RADIUS服务器之间如何传递用户信息和记账信息，RAD工US服务器负责接收用户的连接请求，完成验证，并把传递服务给用户所需的配置信息返回给NAS。
用户要求得到某些服务(如SLIP， PPP， telnet)，必须通过NAS，由NAS依据某种顺序与所连服务器通信从而进行验证。用户通过拨号进入NAS，然后NAS按配置好的验证方式(如PPP PAP， CHAP等)要求输入用户名，密码等信息，用户端出现提示，用户按提示输入。通过与NAS的连接，NAS得到这些信息。而后，NAS把这些信息传递给响应验证或记账的服务器，并根据服务器的响应来决定用户是否可以获得他所要求的服务。AAA是鉴别，授权和记账(Authentication， Authorization， Accounting)的简称，它是运行于NAS上的客户端程序，提供了一个用来对鉴别，授权和记账这三种安全功能进行配置的一致的框架。AAA的配置实际上是对网络安全的一种管理，这里的网络安全主要指访问控制，包括哪些用户可以访问网络服务器，具有访问权的用户可以得到哪些服务，如何对正在使用网络资源的用户进行记账。下面简单介绍一下鉴别，授权，记账的作用。
鉴别(Authentication)：鉴别用户是否可以获得访问权，可以选择使用RADIUS协议。
授权(Authorization)：授权用户可以使用哪些服务。
记账(Accounting) ：记录用户使用网络资源的情况。
AAA的实现可采用RADIUS协议。RADIUS是Remote Authentication Dial工n User Service的简称，用来管理使用串口和调制解调器的大量分散用户。网络接入服务器NAS(Network Access Server)，当用户想要通过某个网络(如电话网)与NAS建立连接从而获得访问其他网络的权利(或取得使用某些网络资源的权利)时，NAS起到了过问用户(或这个连接)的作用。NAS负责把用户的鉴别，授权，记账信息传递给RAD工US服务器。RAD工US协议规定了NAS与RAD工US服务器之间如何传递用户信息和记账信息，即两者之间的通信规则。RAD工US服务器负责接收用户的连接请求，完成鉴别，并把传递服务给用户所需的配置信息返回给NAS。用户获得授权后，在其正常上线、在线和下线过程中，Radius服务器完成对用户账号计费的功能。
RADIUS协议的认证端口号为1812或1645，计费端口号为1813或1646a一个网络允许外部用户通过公用网对其进行访问，从而用户在地理上可以极为分散。大量分散用户通过Modem等设备从不同的地方可以对这个网络进行随机访问。用户可以把自己的信息传递给这个网络，也可以从这个网络得到自己想要的信息。由于存在内外的双向数据流动，网络安全就成为很重要的问题了。大量的modem形成了Modem pools。对modem pool的管理就成为网络接入服务器或路由器的任务。管理的内容有：哪些用户可以获得访问权，获得访问权的用户可以允许使用哪些服务，如何对使用网络资源的用户进行记费。AAA很好地完成了这三项任务。
RADIUS通过建立一个唯一的用户数据库，存储用户名，用户的密码来进行鉴别、存储传递给用户的服务类型以及相应的配置信息来完成授权。RADIUS采用客户/服务器(Client/Server)结构：NAS上运行的AAA程序对用户来讲为服务器端，对RADIUS服务器来讲是作为客户端。RADIUS的客户端通常运行于接入服务器(NAS)上，RADIUS服务器通常运行于一台工作站上，一个RADIUS服务器可以同时支持多个RADIUS客户(NAS )。RADIUS的服务器上存放着大量的信息，接入服务器(NAS)无须保存这些信息，而是通过RADUIS协议对这些信息进行访问。这些信息的集中统一的保存，使得管理更加方便，而且更加安全。RADIUS服务器可以作为一个代理，以客户的身份同其他的RADIUS服务器或者其他类型的鉴别服务器进行通信。例如用户的漫游通常就是通过RADIUS代理实现的CHAP鉴别：当用户请求上网时，NAS产生一个16字节的随机码给用户(同时还有一个ID号，本地路由器的host name)，用户端得到这个包后使用自己独有的设备或软件对传来的各域进行加密，生成一个Secret Password传给NAS}NAS把传回来的CHAP ID和Secret Password分别作为用户名和密码，并把原来的16字节随机码传给RADIUS服务器，RADIUS根据用户名在服务器端查找数据库，得到和用户端进行加密所用的一样的密码，然后根据传来的16字节的随机码进行加密，将结果与传来的Password作比较，如果相同表明验证通过，如果不相同表明验证失败。如果验证成功，RADIUS服务器还可以生成一个16字节的随机码对用户进行挑战询问。
RADIUS采用UDPoNAS和RAD工US服务器之间传递的是一般几十上百个字节长度的数据，并且RADIUS要求特别的定时器管理机制。用户可以容忍几十秒的验证等待时间。当处理大量用户时服务器端采用多线程，UDP简化了服务器端的实现过程。TCP是必须成功建立连接后才能进行数据传输的，这种方式在有大量用户使用的情况下实时性不好。RADIUS要有重传机制和备用服务器机制，它所采用的定时，TCP不能很好的满足。
RADIUS协议具有很好的扩展性。RADIUS包是由包头和一定数目的属性(Attribute)构成的。新属性的增加不会影响到现有协议的实现。通常的NAS厂家在生产NAS时，还同时开发与之配套的RAD工US服务器。为了提供一些功能，常常要定义一些非标准的(RFC上没有定义过的)属性。