VPLS技术白皮书

VPLS虚拟专用以太网业务技术入门摘要本白皮书概述了虚拟专用以太网服务（VPLS）的技术要点，VPLS是一个用于提供可扩展的第二层多点到多点以太网VPN服务的新兴IETF标准架构。

本书描述了VPLS解决方案中的架构和网络功能，而且也讨论了采用层次化方法的城际VPN解决方案，同时还提供了补充内容，介绍VPLS解决方案中数据包的具体传输过程。

引言在过去的几年里，企业客户日益要求使用更高带宽的广域网服务来实现多个办公室的局域网互联，这种需求导致透明局域网服务（TLS）成为众多基于网络的VPN产品中的一员。

然而，服务提供商必须构建、运营和维护一个独立的ATM来支持TLS。

另外，底层基础结构无法保证运营效率，而且不能提供更快、更简单的服务供应。

面对客户对于更多的带宽、更快的服务供应和更简单的服务接口的需求，服务提供商正在探索一条能改进这些服务的扩展特性而同时又能减少整体成本结构的道路。

如今，随着IP/MPLS网络的兴起，以及IETF PPVPN工作组内部面向TLS的新标准的开发，使服务提供商通过单一包交换基础设施提供VPN服务和互联网接入，实现了推出新服务和改善运营效率的双重效益。

VPN选择今天，客户能够选择以下基于网络的VPN类型之一来连接分散在各地的办公室。

1. 帧中继帧中继是迄今为止最普遍的服务。

然而，由于服务提供商只是提供站到站的链接，因此客户必须自己设计、管理和维护他们的广域网接入设备。

这些设备通常是客户在每一个站点配置并管理的路由器。

客户围绕一个集中星型（hub-and-spoke）或者全网状式（full-mesh）拓扑结构或者两者的混合来设计自己的广域网基础结构。

2. 虚拟专用路由网络（VPRN）服务在诸如RFC2547bis等VPRN服务的情况下，客户在每个站点连接路由器，而服务提供商则负责站点之间的路由。

虽然这样更容易实现多站点连接，有些客户还是不愿意将其对IP路由的控制权转交服务提供商。

MPLS VPN 跨域技术白皮书一．MPLS VPN的体系结构理解在这里我们说明几个概念：LSP ，VPN的LSP，公网LSP，BGP LSP1）LSP: 一段标签路径2）公网的LSP：使用LDP或是RSVP信令协议，使用公网路由触发创建的LSP，是两个PE设备之间的一条隧道。

3）VPN的LSP:通过VPN路由触发创建的LSP，是两个VPN之间的一条隧道，由于每个PE上可以有多个VPN存在，VPN的LSP要保证当一个数据报文从这条LSP到达一个PE后，它必须能区分出，这个数据报文是属于哪个VPN的。

因此也是一条LSP隧道，虽然仅仅只有一跳。

4）BGP的LSP：是使用BGP作为信令为公网的BGP路由分配的标签路径，符合标准RFC3107。

MPLS VPN的基本框架是两层的标签，或说是两层的LSP，或是两层的隧道，隧道是迭加在一起的，职责分别是，公网的隧道保证数据报文送到某个指定的PE，VPN的隧道负责报文送到某个指定的VPN。

后面将使用上面的这些概念来分析几种不同的跨域VPN解决方案二．跨域VPN的需求产生随着MPLS VPN解决方案的越来越流行，服务的终端用户的规格和范围也在增长，在一个特殊的企业内部的站点数目越来越大，某个地理位置与另外一个服务提供商相连的可能性的需求变得非常的普遍，比如我们国内运营商的不同城域网之间，或是同骨干网之间都存在着非常现实的跨越不同自治域问题，这些都需要一个不同于基本的MPLS VPN体系结构所提供的互连模型——跨域的MPLS VPN，为了支持服务提供商之间的VPN路由选择信息交换，需要一个新的机制，以便可以穿过提供商间的链路来广播路由前缀和标签信息，但是一般的MPLS VPN体系结构都是在一个自治系统内运行，任何VPN的路由信息都是可以在一个自治系统内按需扩散，就是没有提供一个自治系统内的V PN信息向其他服务商所属的自治系统扩散的功能，因此，为了支持以上的跨域VPN的需求，就需要扩展现有的协议和修改MPLS VPN体系框架。

白皮书2008年12月版权声明本手册的所有内容，其版权属于上海华堂网络有限公司所有，未经华堂许可，任何人不得仿制、拷贝、转译或任意引用。

本手册没有任何形式的担保、立场倾向或其他暗示。

若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，华堂及其员工恕不承担任何责任。

本手册所提到的产品规格及资讯仅供参考，有关内容可能会随时更新，华堂恕不承担另行通知之义务。

版权所有不得翻印上海华堂网络有限公司商标声明本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。

上海华堂网络有限公司华堂®SSL VPN白皮书1.前言1.1.背景现阶段，我国的信息安全体系的创建基本完成，来自全国各地的安全厂商为电子政务、电子商务以及各大行业提供了品种繁多的产品，诸如防火墙、VPN、防病毒、IDS等，这些产品为各行各业的网络平台提供了基本的安全保障并有效地防止了各种恶意攻击、提高了系统的稳定性，并且有效地利用了系统资源加速了社会经济的发展。

但是，随着信息安全技术进入到后信息安全时代，我们注意到各种应用对信息安全提出了新的需求，原有的技术已经无法完全满足这些新的市场需求，基于传统安全理论架构开发的安全产品也难以应付越来越高的安全需求。

1.2.II-SEC体系华堂一直致力于全方面的安全解决方案，根据在为客户服务过程中长期积累的经验，我们认为时间跨度最长的运营服务管理应给予更多的重视。

信息系统对于信息技术和安全技术有较强的依赖性，高质产品由于技术服务管理质量对应用业务系统的冲击将等同于劣质产品II-SEC NETWORK所带来的负面影响。

尤其是当今应用业务需要根据市场变化、竞争对手情况等日益复杂的环境进行灵活的调整、变更，传统的以技术为中心的模式由于过于注重技术而正面临对业务造成负面影响的窘境，已无法更好的满足当今业务灵活变化的需求。

2.3 SSL VPN工作过程2.4 SSL VPN接入方式2.4.1 Web接入方式2.4.2 TCP接入方式2.4.3 IP接入方式3 Comware V5平台实现的技术特色3.1 客户端免安装，免维护3.2 支持多种用户认证技术3.3 丰富灵活的安全策略3.4 细粒度的资源访问控制4 典型组网应用4.1 远程接入组网应用4.2 共享式组网应用4.3 SSL VPN组网模式1 概述1.1 产生背景随着互联网的普及和电子商务的飞速发展，越来越多的员工、客户和合作伙伴希望能够随时随地接入公司的内部网络，访问公司的内部资源。

接入用户的身份可能不合法、远端接入主机可能不够安全，这些都为公司内部网络带来了安全隐患。

通过加密实现安全接入的VPN——SVPN（Security VPN）技术提供了一种安全机制，保护公司的内部网络不被攻击，内部资源不被窃取。

SVPN技术主要包括IPsec VPN和SSL VPN。

由于IPsec VPN实现方式上的局限性，导致其存在着一些不足：l部署IPsec VPN网络时，需要在用户主机上安装复杂的客户端软件。

而远程用户的移动性要求VPN 可以快速部署客户端，并动态建立连接；远程终端的多样性还要求VPN的客户端具有跨平台、易于升级和维护等特点。

这些问题是IPsec VPN技术难以解决的。

l无法检查用户主机的安全性。

如果用户通过不安全的主机访问公司内部网络，可能引起公司内部网络感染病毒。

l访问控制不够细致。

由于IPsec是在网络层实现的，对IP报文的内容无法识别，因而不能控制高层应用的访问请求。

随着企业经营模式的改变，企业需要建立Extranet，与合作伙伴共享某些信息资源，以便提高企业的运作效率。

对合作伙伴的访问必须进行严格有效地控制，才能保证企业信息系统的安全，而IPsec VPN无法实现访问权限的控制。

l在复杂的组网环境中，IPsec VPN部署比较困难。

在使用NAT的场合，IPsec VPN需要支持NAT 穿越技术；在部署防火墙的网络环境中，由于IPsec协议在原TCP/UDP头的前面增加了IPsec报文头，因此，需要在防火墙上进行特殊的配置，允许IPsec报文通过。

深信服科技SSL VPN产品白皮书深信服科技有限公司2015年11月版权声明深圳市深信服电子科技有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其它相关权利均属于深圳市深信服电子科技有限公司。

未经深圳市深信服电子科技有限公司书面同意，任何人不得以任何方式或形式对本文档内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。

免责条款本文档仅用于为最终用户提供信息，其内容如有更改，恕不另行通知。

深圳市深信服电子科技有限公司在编写本文档的时候已尽最大努力保证其内容准确可靠，但深圳市深信服电子科技有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。

联系我们售前咨询热线：400-860-6868 售后服务热线：400-630-6430 （中国大陆）香港：(+852) 3427 9160英国：(+44) 8455 332 371新加坡：(+65) 9189 3267马来西亚：(+60) 3 2201 0192泰国：(+66) 2 254 5884印尼：(+62) 21 5695 0789您也可以访问深信服科技网站：获得最新技术和产品信息目录第1章序言 (1)第2章SANGFOR SSL VPN网关简介 (4)第3章SANGFOR SSL VPN网关技术 (5)3.1更安全的SSL VPN为业务互联保驾护航 (5)3.1.1丰富的认证方式 (5)3.1.2混合认证保护机制 (5)3.1.3动态身份认证提供多重保证 (6)3.1.4内置的CA中心提供完整认证体系 (8)3.1.5与第三方CA结合 (9)3.1.6与LDAP（AD）结合 (9)3.1.7与Radius结合 (10)3.1.8开放数据接口提供二次开发 (11)3.1.9与其他第三方认证系统结合，保护前期投资 (11)3.1.10图形码验证功能 (11)3.1.11软键盘功能 (11)3.1.12会话超时控制功能 (12)3.1.13全面的密码安全保障 (12)3.1.14客户端安全检查从端点开始保障您的网络安全 (12)3.1.15强化的网络防护－VPN虚拟专线功能 (13)3.1.16零痕迹访问功能避免安全漏洞 (13)3.1.17真正的SSL 协议加密传输 (14)3.1.18支持国产商用密码标准 (15)3.1.19访问权限控制功能提供最细致的权限管理 (15)3.1.20完善的日志系统 (15)3.1.21丰富的日志信息 (16)3.1.22强大的实时监控能力 (17)3.1.23沙盒技术-安全桌面 (17)3.1.24集成企业级状态防火墙 (18)3.2更快的SSL VPN提升业务办公效率 (19)3.2.1自主研发单边加速技术，极大提升应用访问速度 (19)3.2.2多线路智能选路解决您的网络延迟问题 (20)3.2.3多线路带宽叠加技术，扩大出口带宽 (21)3.2.4HTP技术，提高无线和恶劣环境下的访问速度 (22)3.2.5动态压缩技术，全面提高传输速度 (22)3.2.6基于Web的压缩技术，进一步提高传输效率 (23)3.2.7流缓存技术-大幅减少数据冗余碎片 (23)3.2.8自主研发SRAP远程应用传输协议，提升远程应用访问速度 (24)3.3更好用的SSL VPN (24)3.3.1支持所有网络应用 (24)3.3.2全面适应各种平台 (25)3.3.3提供IPSec/SSL一体化选择 (25)3.3.4虚拟门户功能 (26)3.3.5配置向导简化管理员的操作过程 (26)3.3.6隐藏服务模式 (27)3.3.7支持动态IP (27)3.3.8管理员分级分权限管理 (27)3.3.9定制登录界面功能 (28)3.3.10单点登录功能（SSO） (28)3.3.11移动终端设备的完美支持 (29)3.3.12内网DNS支持 (29)3.3.13多虚拟IP池支持 (29)3.3.14User权限下正常访问 (29)3.3.15默认服务页面 (30)3.3.16系统托盘 (30)3.3.17全网资源-智能递推 (30)3.4更稳定的SSL VPN (31)3.4.1多线路技术实现线路备份，保证VPN线路稳定 (31)3.4.2资源服务器的智能负载功能 (32)3.4.3会话自动恢复，提高网络适应能力 (32)3.4.4非对称集群功能，满足大并发接入 (32)3.5应用虚拟化 (33)3.5.1远程应用发布 (33)3.6企业移动管理 (34)3.6.1移动设备管理（MDM） (34)3.6.2便捷的批量移动终端管理 (34)3.6.3严格的设备密码策略 (35)3.6.4远程锁定移动设备 (35)3.6.5远程擦除办公终端数据 (35)3.6.6企业消息推送 (35)3.6.7移动用户管理（MUM） (36)3.6.8多种身份认证 (36)3.6.9严格的权限管理 (36)3.6.10移动应用管理（MAM） (36)3.6.11影子IT避免，保护企业数据安全 (36)3.6.12全面的移动应用管理 (37)3.6.13方便快速的应用安全封装 (37)3.6.14多应用统一登录 (38)3.6.15C/S、B/S架构企业应用商店，保证企业应用分发权威 (38)3.6.16图形解锁，轻松的二次认证 (38)3.6.17应用黑白名单，用技术手段保证“专设专用” (38)3.6.18移动内容管理（MCM） (39)3.6.19安全的企业移动内容管理 (39)3.6.20一机两用，BYOD的公私隔离 (39)第4章SSL VPN部署模式及用户使用 (39)4.1SANGFOR SSL VPN部署模式 (39)4.2客户端登录和使用界面 (41)4.2.1缺省登录界面 (41)4.2.2可用资源界面 (42)第5章深信服公司简介 (43)第6章附录——VPN技术背景知识 (43)6.1VPN简介 (43)6.2SSL 协议介绍 (46)6.3SSL VPN技术 (47)第1章序言随着互联网数据技术的进步和商务模式的发展，在互联网技术的帮助下提升业务效率已经是必然的选择：利用信息化，加速业务流程；利用互联网，实现随时随地的业务响应。

VPL S技术白皮书HUAW6I华为技术有限公司Huawei Technologies Co., Ltd.目录1 前言........................................2 技术简介. ....................................................................1.1 VPLS PW 建立的两种信令方式 (2)1.2 报文转发. (5)1.2.1 VPLS 网络的基本传输构件. (5)3 关键技术. ....................................................................3.1 MA地址学习 (8)3.2 PE数增大时PW全连接问题 (9)3.3 VPL呵靠性 (12)3.3.1 CE 接入的可靠性 (12)3.3.2 HVPLS 的可靠性 (13)3.3.3 PE 间链路的可靠性 (13)3.4 VPLS勺环路避免 (14)3.4.1 基本组网条件下的环路避免 (14)3.4.2 HVPLS 组网条件下勺环路避免 (14)15 4 典型应用. ....................................................................4.1 利用VPLS进行综合组网 (15)16 5 结束语 ........................................附录A缩略语17VPLS技术白皮书摘要：VPLS^术是在现有的广域网上提供虚拟以太网服务的技术，通过成员关系发现，PW 建立与维护，VSI基于MA地址的转发实现跨广域网的局域点的互连，从而通过In ternet把地理上分散的局域网互连起来。

本篇文档介绍了VPLS勺原理、关键技术，缺陷与优势。

最后，给出了VPLS^用和部署的建议。

关键词：VPLS ，PW，AC，VSI，UPE，SPE, P-PE/ 、八—1 前言VPLS是一种基于MPLS和以太网技术的2层VPN技术。

Juniper远程安全访问系统技术白皮书(v1.0)Juniper Networks, Inc.2005.3目录1企业网络远程访问面临挑战 (4)2JUNIPER远程安全访问解决方案 (4)3员工和合作伙伴如何应用远程安全访问系统 (5)3.1访问WEB应用，企业内部网站、文件服务器和TELNET/SSH (6)3.2访问消息服务器和C/S服务 (6)4网络管理员如何部署和管理远程访问系统 (6)5JUNIPER IVE系统结构简介 (8)5.1WEB请求处理器 (9)5.2客户端请求处理器 (9)5.3交换引擎 (10)5.3.1解析和转换器 (10)5.3.2协议连接器 (11)5.4其他安全组件 (12)5.4.1硬件平台和固化的操作系统 (12)5.4.2流量检测和过滤 (13)5.4.3数据的完整性和机密性保护 (13)5.4.4用户认证和授权 (13)5.4.5日志审计 (14)5.4.6文件系统和I/O (14)5.4.7访问控制子模块 (14)6请求的处理过程 (15)6.1进站请求 (15)6.2出站响应 (16)7第三方的安全认证 (17)8总结 (17)1企业网络远程访问面临挑战随着互联网的发展和电子商务的普及，越来越多公司的员工已经不仅仅是坐在办公室里处理日常事务，象出差员工、家庭办公等多种类型的远程访问公司内部资源和应用的需要变得十分的迫切。

同时，这种网络连接的发生也为企业网络引入了新的安全威胁，而目前相应的网络安全解决方案又是十分的昂贵和复杂。

目前的企业极需要一种简单实用的解决方案，可以安全的实现员工、合作伙伴乃至客户远程的对企业内部网络资源的访问，而又不会为企业网络带来新的安全风险。

2Juniper远程安全访问解决方案Juniper的远程安全访问产品（可简称为IVE）从根本上解决了企业的远程访问问题，可以为企业的远程员工、合作伙伴或者最终客户提供对企业内网资源的安全远程访问。

企业专线解决方案白皮书华为技术有限公司Huawei Technologies Co., Ltd.目 录1企业专线介绍 (1)2华为企业专线解决方案 (2)2.1点到点专线 (2)2.1.1可靠性 (4)2.1.2QoS (6)2.1.3业务部署 (9)2.1.4业务保证 (10)2.2点到多点专线 (12)2.3多点到多点企业专线 (13)2.3.1可靠性 (15)2.3.2QoS (16)2.3.3业务部署 (16)2.3.4业务保证 (16)3结束语 (17)附录A 参考资料 (18)附录B 缩略语 (18)Copyright ©2008 华为技术有限公司版权所有，侵权必究i企业专线解决方案白皮书摘要：企业专线是通过租用运营商的传输链路，完成企业上网及安全可靠互连的功能。

本篇文档介绍了通过MPLS VPN技术，实现比传统企业专线具有更低成本、更容易扩展的企业专线解决方案，同时具有相同的可靠性、QoS、安全性以及可管理性。

关键词：企业专线HQoS VLL/PW VPLS1 企业专线介绍企业专线客户是运营商最有价值用户，在运营商市场中占有非常重要的地位。

根据咨询机构Ovum的统计，全球专线业务增长迅速，2007年共720亿美元，09年770亿，2012年全球总空间约为790亿美元；其中ETH专线增长空间最大，从2006年98亿美金增加到2012年313亿美金，复合增长率CAGR高达21.3%。

图1 Ovum 企业专线的统计数据传统的企业专线解决方案是企业租用各大运营商的骨干网，通过DDN/SDH/ATM/FR专线等方式构建企业的专用网络，价格昂贵，无法根据用户需求分配带宽，不能支持移动办公的方式，无法满足企业日益扩展的需要。

与传统的企业专线相比，企业Ethernet专线可以大幅度降低成本，提高投资回报，简化网络设计，容易扩展，可随意与合作伙伴实现 Extranet，企业完全控制主动权，负责用户的身份查验、访问权限、安全性和网络变化管理等重要工作，同时支持更多新兴应用，如IP语音、IP传真等。

MPLS VPN技术白皮书MPLS VPN综述1.1概述MPLS(Multiprotocol Label Switching，多协议标记交换)是从90年代中期起新兴的多层交换技术的标准化和最新进展，最初提出MPLS技术的初衷是为了加快IP转发速度。

简单回顾一下MPLS的发展过程：1996年，Ipsilon公司推出了IP Switching协议，IP Switching 的基本目的是采用弃用ATM控制平面的方法来高效地集成ATM交换机和IP路由器，从而具有ATM交换机的高性能，突破了传统路由器的性能限制。

IP Switching在数据通讯界立即引起具大震动。

并由此引发了路由技术的一次革命，各公司纷纷推出自己的三层交换方案，如Cisco公司推出Tag Switching技术，IBM公司推出ARIS(Aggregate Route-based IP Switch)技术等。

1997年，IETF成立一个工作组，经过多次商讨。

MPLS(Multiprotocol Label Switching）这个术语被确实下去，作为独立于厂商的一系列标准的名称。

虽然MPLS最初是动机是提高路由交换设备的转发速度，随着硬件技术及网络处理器技术的不断发展，目前的GSR及高性能三层交换设备都已经能够做到线速转发，MPLS的这一优势已经不存在。

但由于MPLS将2层交换和3层路由技术结合起来的固有优势，在解决VPN(虚拟专用网)、CoS(服务分类)和流量工程(Traffic Engineering) 这些IP网络的重大问题时具有很优异的表现，MPLS技术获得了越来越多的注意力。

MPLS应用也逐步转向MPLS流量工程和MPLS VPN等。

在IP网中，MPLS流量工程技术成为一种主要的管理网络流量、减少拥塞、一定程度上保证IP网络的QoS的重要工具。

在解决企业互连，提供各种新业务方面，MPLS VPN也越来越被运营商看好，成为在IP网络运营商提供增值业务的重要手段！MPLS正日益成为IP骨干网落的主流技术。