2、GRE

　　(GRE: Generic Routing Encapsulation)

　　通用路由封装(GRE)定义了在任意一种网络层协议上封装任意一个其它网络层协议的协议。

　　在大多数常规情况下，系统拥有一个有效载荷(或负载)包，需要将它封装并发送至某个目的地。首先将有效载荷封装在一个 GRE 包中，然后将此 GRE 包封装在其它某协议中并进行转发。此外发协议即为发送协议。当 IPv4 被作为 GRE 有效载荷传输时，协议类型字段必须被设置为 0x800。当一个隧道终点拆封此含有 IPv4 包作为有效载荷的 GRE 包时，IPv4 包头中的目的地址必须用来转发包，并且需要减少有效载荷包的 TTL。值得注意的是，在转发这样一个包时，如果有效载荷包的目的地址就是包的封装器(也就是隧道另一端)，就会出现回路现象。在此情形下，必须丢弃该包。当 GRE 包被封装在 IPv4 中时，需要使用 IPv4 协议 47。

　　GRE 下的网络安全与常规的 IPv4 网络安全是较为相似的，GRE 下的路由采用 IPv4 原本使用的路由，但路由过滤保持不变。包过滤要求防火墙检查 GRE 包，或者在 GRE 隧道终点完成过滤过程。在那些这被看作是安全问题的环境下，可以在防火墙上终止隧道。

　　3、MPLS VPN

　　(1)MPLS VPN概述

　　随着网络经济的发展，企业对于自身网络的建设提出了越来越高的要求，主要表现在网络的灵活性、经济性、扩展性等方面。在这样的背景下，VPN以其独有的优势赢得了越来越多企业的青睐。利用公共网络来构建的私有专用网络称为虚拟私有网络(VPN，Virtual Private Network)。在公共网络上组建的VPN象企业现有的私有网络一样提供安全性、和可管理性等。在所有的VPN技术中，MPLS VPN具有良好的可扩展性和灵活性，是目前发展最为迅速的VPN技术之一。

　　A、 MPLS

　　MPLS(Multiprotocol Label Switching, 多协议标记交换)使用标签(Label)进行转发，一个标签是一个短的、长度固定的数值，由报文的头部携带，不含拓扑信息，只有局部意义。MPLS包头的结构如下图所示，包含20比特的标签，3比特的EXP(通常用作Cos)，1比特的S，用于标识此标签是否为最底层标签，8比特的TTL。

　　MPLS可以看做是一种面向连接的技术。通过MPLS信令(如LDP，Label Distribute Protocol，标签分配协议)建立好MPLS标记交换通道(Label Switched Path，简称LSP)，数据转发时，在网络入口对报文进行分类，根据分类结果选择相应的LSP，打上相应的标签，中间路由器在收到MPLS报文以后直接根据MPLS报头的标签进行转发，而不用再通过IP报文头的IP地址查找。在LSP出口(或倒数第二跳)，弹出MPLS标签，还原为IP包。

　　B、MPLS/BGP VPN

　　MPLS VPN是一种基于MPLS技术的IP-VPN，根据PE(Provider Edge)设备是否参与VPN路由处理又细分为二层VPN和三层VPN，一般而言，MPLS/BGP VPN指的是三层VPN。

　　在MPLS/BGP VPN的模型中，网络由运营商的骨干网与用户的各个Site组成，所谓VPN就是对site集合的划分，一个VPN就对应一个由若干site组成的集合。

　　MPLS/BGP VPN所包含的基本组件：

　　PE：Provider Edge Router，骨干网边缘路由器，是MPLS L3VPN的主要实现者。

　　CE：Custom Edge Router，用户网边缘路由器。

　　P router： Provider Router，骨干网核心路由器，负责MPLS转发。

　　VPN用户站点(site)：VPN中的一个孤立的IP网络，一般来说，不通过骨干网不具有连通性，公司总部、分支机构都是site的具体例子。

　　在MPLS/BGP VPN中，属于同一的VPN的两个site之间转发报文使用两层标签，在入口PE上为报文打上两层标签，外层标签在骨干网内部进行交换，代表了从PE到对端PE的一条隧道，VPN报文打上这层标签，就可以沿着LSP到达对端PE，然后再使用内层标签决定报文应该转发到哪个site上。

　　C、 L2 MPLS VPN

　　简单来说，MPLS L2VPN就是在MPLS网络上透明传递用户的二层数据。从用户的角度来看，这个MPLS网络就是一个二层的交换网络。以ATM为例，每一个用户边缘设备(CE)配置一个ATM虚电路，通过MPLS网络与远端的另一个CE设备相连，与通过ATM网络实现互联是完全一样的。

　　在MPLS L2VPN中，CE、PE、P的概念与BGP/MPLS VPN一样，原理也很相似：利用标记栈来实现用户报文在MPLS网络中的透明传送：外层标记(称为tunnel标记)用于将报文从一个PE传递到另一个PE，内层标记(在MPLS L2VPN中，称为VC标记)用于区分不同VPN中的不同连接，接收方的PE根据VC标记决定将报文传递给哪个CE。

　　当前MPLS L2VPN还没有形成正式的标准。存在两种主要的实现方式：Martini方式和Kompella方式。前者使用扩展的LDP协议作为信令来传递VC标记，因此又被称为LDP方式的L2VPN。Kompella方式采用BGP扩展为信令来散发二层可达信息和VC标记，因此又被称为BGP方式的L2VPN。

　　(2)MPLS VPN的应用

　　采用MPLS VPN技术可以把现有IP网络分解成逻辑上隔离的网络，这种逻辑上隔离的网络的应用可以是千变万化的：可以是用在解决企业互连、政府相同/不同部门的互连、也可以用来提供新的业务，如为IP电话业务专门开通一个VPN。

　　例如：

　　用MPLS VPN构建运营支撑网

　　利用MPLS VPN技术可以在一个统一的物理网络上实现多个逻辑上相互独立的VPN专网，该特性非常适合于构建运营支撑网，例如，目前国内很多省市的DCN网就采用华为的设备，在一个统一的物理网络上构建网管，OA，计费等多个业务专网。

　　MPLS VPN在与运营商城域网的应用：

　　作为运营商的基础网络，宽带城域网需同时服务多种不同的用户，承载多种不同的业务，存在多种接入方式，这一特点决定城域网需同时支持MPLS L3VPN，MPLS L2VPN及其它VPN服务，根据网络实际情况及用户需求开通相应的VPN业务，例如，为用户提供MPLS L2VPN服务以满足用户节约专线租用费用的要求。

　　MPLS VPN在企业网络的应用：

　　MPLS VPN在企业网中同样有广泛应用。例如，在电子政务网中，不同的政府部门有着不同的业务系统，各系统之间的数据多数是要求相互隔离的，同时各业务系统之间又存在着互访的需求，因此大量采用MPLS VPN技术实现这种隔离及互访需求。

　　4、VPDN

　　VPDN是基于拨号接入(PSTN、ISDN)的虚拟专用拨号网业务，可用于跨地域集团企业内部网、专业信息服务提供商专用网、金融大众业务网、银行存取业务网等业务。

　　VPDN采用专用的网络安全和通信协议，可以使企业在公共网络上建立相对安全的虚拟专网。VPN用户可以经过公共网络，通过虚拟的安全通道和用户内部的用户网络进行连接，而公共网络上的用户则无法穿过虚拟通道访问用户网络内部的资源。

　　VPDN技术适用于以下范围：

　　地点分散，在各地有分支机构，移动人员特别多的用户，例如企业用户、远程教育用户。

　　人员分散，需通过长途电信甚至国际长途手段联系的用户。

　　对线路的保密和可用性有一定要求的用户。

　　此外，通过VPDN技术，可实现对特定站点的封闭，可向小ISP和大集团用户提供一次、多次端口批发业务。

　　VPDN网络结构由局端(或称为中心端)和客户系统组成。VPDN客户系统包括两部分：企业端与远端。通常企业端是企业的内部局域网，以专线方式接入UNINET;远端是拨号客户，以拨号方式访问企业内部局域网。

　　VPDN--(Virtual Private Dail-up Network虚拟拨号专用网)，业务名称为“网中网”，是指在中国公众多媒体通信网，在接入手段上的延伸，它以拨号方式实现，同时又允许专线接入，与其无缝结合，组成一个提供多种接入手段的虚拟专用网。

　　VPN可划分为：VLL(Virtual Leased Lines)、VPDN(Virtual Private Dial Networks)、VPRN(Virtual Private Routed Networks…VPDN网上办税认证平台“，每位纳税人可采用宽带上网或拨号上网方式，通过专用账户和密码，经VPDN专用隧道登录国税网站即可

　　相关推荐：

　　2018年软考报名时间※2018软考考试安排(全年)

　　考试吧特别策划：2018年计算机软考报考指南专题

　　软考各科目模拟试题及答案※各科目复习指导汇总

　　软考报考条件※软考报名方法※考试大纲※科目

　　历年软考真题及答案汇总※软件水平考试简介