2、GRE

　　(GRE: Generic Routing Encapsulation)

　　通用路由封裝(GRE)定義了在任意一種網絡層協議上封裝任意一個其它網絡層協議的協議。

　　在大多數常規情況下，系統擁有一個有效載荷(或負載)包，需要將它封裝并發送至某個目的地。首先將有效載荷封裝在一個 GRE 包中，然后將此 GRE 包封裝在其它某協議中并進行轉發。此外發協議即為發送協議。當 IPv4 被作為 GRE 有效載荷傳輸時，協議類型字段必須被設置為 0x800。當一個隧道終點拆封此含有 IPv4 包作為有效載荷的 GRE 包時，IPv4 包頭中的目的地址必須用來轉發包，并且需要減少有效載荷包的 TTL。值得注意的是，在轉發這樣一個包時，如果有效載荷包的目的地址就是包的封裝器(也就是隧道另一端)，就會出現回路現象。在此情形下，必須丟棄該包。當 GRE 包被封裝在 IPv4 中時，需要使用 IPv4 協議 47。

　　GRE 下的網絡安全與常規的 IPv4 網絡安全是較為相似的，GRE 下的路由采用 IPv4 原本使用的路由，但路由過濾保持不變。包過濾要求防火墻檢查 GRE 包，或者在 GRE 隧道終點完成過濾過程。在那些這被看作是安全問題的環境下，可以在防火墻上終止隧道。

　　3、MPLS VPN

　　(1)MPLS VPN概述

　　隨著網絡經濟的發展，企業對于自身網絡的建設提出了越來越高的要求，主要表現在網絡的靈活性、經濟性、擴展性等方面。在這樣的背景下，VPN以其獨有的優勢贏得了越來越多企業的青睞。利用公共網絡來構建的私有專用網絡稱為虛擬私有網絡(VPN，Virtual Private Network)。在公共網絡上組建的VPN象企業現有的私有網絡一樣提供安全性、和可管理性等。在所有的VPN技術中，MPLS VPN具有良好的可擴展性和靈活性，是目前發展最為迅速的VPN技術之一。

　　A、 MPLS

　　MPLS(Multiprotocol Label Switching, 多協議標記交換)使用標簽(Label)進行轉發，一個標簽是一個短的、長度固定的數值，由報文的頭部攜帶，不含拓撲信息，只有局部意義。MPLS包頭的結構如下圖所示，包含20比特的標簽，3比特的EXP(通常用作Cos)，1比特的S，用于標識此標簽是否為最底層標簽，8比特的TTL。

　　MPLS可以看做是一種面向連接的技術。通過MPLS信令(如LDP，Label Distribute Protocol，標簽分配協議)建立好MPLS標記交換通道(Label Switched Path，簡稱LSP)，數據轉發時，在網絡入口對報文進行分類，根據分類結果選擇相應的LSP，打上相應的標簽，中間路由器在收到MPLS報文以后直接根據MPLS報頭的標簽進行轉發，而不用再通過IP報文頭的IP地址查找。在LSP出口(或倒數第二跳)，彈出MPLS標簽，還原為IP包。

　　B、MPLS/BGP VPN

　　MPLS VPN是一種基于MPLS技術的IP-VPN，根據PE(Provider Edge)設備是否參與VPN路由處理又細分為二層VPN和三層VPN，一般而言，MPLS/BGP VPN指的是三層VPN。

　　在MPLS/BGP VPN的模型中，網絡由運營商的骨干網與用戶的各個Site組成，所謂VPN就是對site集合的劃分，一個VPN就對應一個由若干site組成的集合。

　　MPLS/BGP VPN所包含的基本組件：

　　PE：Provider Edge Router，骨干網邊緣路由器，是MPLS L3VPN的主要實現者。

　　CE：Custom Edge Router，用戶網邊緣路由器。

　　P router： Provider Router，骨干網核心路由器，負責MPLS轉發。

　　VPN用戶站點(site)：VPN中的一個孤立的IP網絡，一般來說，不通過骨干網不具有連通性，公司總部、分支機構都是site的具體例子。

　　在MPLS/BGP VPN中，屬于同一的VPN的兩個site之間轉發報文使用兩層標簽，在入口PE上為報文打上兩層標簽，外層標簽在骨干網內部進行交換，代表了從PE到對端PE的一條隧道，VPN報文打上這層標簽，就可以沿著LSP到達對端PE，然后再使用內層標簽決定報文應該轉發到哪個site上。

　　C、 L2 MPLS VPN

　　簡單來說，MPLS L2VPN就是在MPLS網絡上透明傳遞用戶的二層數據。從用戶的角度來看，這個MPLS網絡就是一個二層的交換網絡。以ATM為例，每一個用戶邊緣設備(CE)配置一個ATM虛電路，通過MPLS網絡與遠端的另一個CE設備相連，與通過ATM網絡實現互聯是完全一樣的。

　　在MPLS L2VPN中，CE、PE、P的概念與BGP/MPLS VPN一樣，原理也很相似：利用標記棧來實現用戶報文在MPLS網絡中的透明傳送：外層標記(稱為tunnel標記)用于將報文從一個PE傳遞到另一個PE，內層標記(在MPLS L2VPN中，稱為VC標記)用于區分不同VPN中的不同連接，接收方的PE根據VC標記決定將報文傳遞給哪個CE。

　　當前MPLS L2VPN還沒有形成正式的標準。存在兩種主要的實現方式：Martini方式和Kompella方式。前者使用擴展的LDP協議作為信令來傳遞VC標記，因此又被稱為LDP方式的L2VPN。Kompella方式采用BGP擴展為信令來散發二層可達信息和VC標記，因此又被稱為BGP方式的L2VPN。

　　(2)MPLS VPN的應用

　　采用MPLS VPN技術可以把現有IP網絡分解成邏輯上隔離的網絡，這種邏輯上隔離的網絡的應用可以是千變萬化的：可以是用在解決企業互連、政府相同/不同部門的互連、也可以用來提供新的業務，如為IP電話業務專門開通一個VPN。

　　例如：

　　用MPLS VPN構建運營支撐網

　　利用MPLS VPN技術可以在一個統一的物理網絡上實現多個邏輯上相互獨立的VPN專網，該特性非常適合于構建運營支撐網，例如，目前國內很多省市的DCN網就采用華為的設備，在一個統一的物理網絡上構建網管，OA，計費等多個業務專網。

　　MPLS VPN在與運營商城域網的應用：

　　作為運營商的基礎網絡，寬帶城域網需同時服務多種不同的用戶，承載多種不同的業務，存在多種接入方式，這一特點決定城域網需同時支持MPLS L3VPN，MPLS L2VPN及其它VPN服務，根據網絡實際情況及用戶需求開通相應的VPN業務，例如，為用戶提供MPLS L2VPN服務以滿足用戶節約專線租用費用的要求。

　　MPLS VPN在企業網絡的應用：

　　MPLS VPN在企業網中同樣有廣泛應用。例如，在電子政務網中，不同的政府部門有著不同的業務系統，各系統之間的數據多數是要求相互隔離的，同時各業務系統之間又存在著互訪的需求，因此大量采用MPLS VPN技術實現這種隔離及互訪需求。

　　4、VPDN

　　VPDN是基于撥號接入(PSTN、ISDN)的虛擬專用撥號網業務，可用于跨地域集團企業內部網、專業信息服務提供商專用網、金融大眾業務網、銀行存取業務網等業務。

　　VPDN采用專用的網絡安全和通信協議，可以使企業在公共網絡上建立相對安全的虛擬專網。VPN用戶可以經過公共網絡，通過虛擬的安全通道和用戶內部的用戶網絡進行連接，而公共網絡上的用戶則無法穿過虛擬通道訪問用戶網絡內部的資源。

　　VPDN技術適用于以下范圍：

　　地點分散，在各地有分支機構，移動人員特別多的用戶，例如企業用戶、遠程教育用戶。

　　人員分散，需通過長途電信甚至國際長途手段聯系的用戶。

　　對線路的保密和可用性有一定要求的用戶。

　　此外，通過VPDN技術，可實現對特定站點的封閉，可向小ISP和大集團用戶提供一次、多次端口批發業務。

　　VPDN網絡結構由局端(或稱為中心端)和客戶系統組成。VPDN客戶系統包括兩部分：企業端與遠端。通常企業端是企業的內部局域網，以專線方式接入UNINET;遠端是撥號客戶，以撥號方式訪問企業內部局域網。

　　VPDN--(Virtual Private Dail-up Network虛擬撥號專用網)，業務名稱為“網中網”，是指在中國公眾多媒體通信網，在接入手段上的延伸，它以撥號方式實現，同時又允許專線接入，與其無縫結合，組成一個提供多種接入手段的虛擬專用網。

　　VPN可劃分為：VLL(Virtual Leased Lines)、VPDN(Virtual Private Dial Networks)、VPRN(Virtual Private Routed Networks…VPDN網上辦稅認證平臺“，每位納稅人可采用寬帶上網或撥號上網方式，通過專用賬戶和密碼，經VPDN專用隧道登錄國稅網站即可

　　相關推薦：

　　2018年軟考報名時間※2018軟考考試安排(全年)

　　考試吧特別策劃：2018年計算機軟考報考指南專題

　　軟考各科目模擬試題及答案※各科目復習指導匯總

　　軟考報考條件※軟考報名方法※考試大綱※科目

　　歷年軟考真題及答案匯總※軟件水平考試簡介