论文题目: 层次网络虚拟专网的设计与研究
论文类型: 博士论文
论文专业: 计算机系统结构
作者: 娄雪明
导师: 钱华林
关键词: 层次式交换网络,虚拟专用网络,资源管理,服务质量,数据平面
文献来源: 中国科学院研究生院(计算技术研究所)
发表年度: 2005
论文摘要: 随着网络规模和用户数量的迅速增长,Internet正逐步成为未来信息基础平台,新的应用需求和通讯技术的进步驱使电信网、电话网、有线电视网的三网融合,而融合的承载层正是IP技术。但是IP作为承载层,以用户自律为基础,自由发展,缺少管理,是一个非盈利的商业模型,它不完全适合于下一代电信网络的发展。为了构建下一代网络,Internet的体系结构需要某种根本性的变革。为此,钱华林老师提出了层次式交换网络(Hierarchically Switched Network,HSNET)的思想。数据、语音、图象融合的趋势促使下一代电信网络核心高速转发,边缘多业务接入服务具有智能性,这种网络要求在业务上进行流量的隔离和服务质量保证,并且能够提供端到端的IP个性化服务,目前IP VPN的发展正好满足当前下一代电信网络承载层融合的需求,同时能够提供网络业务的增值应用。本文基于层次式交换网络进行了IP虚拟专网相关机制的研究工作。 本论文的研究内容有五个部分:第一部分是虚拟专网(Virtual Private Network,VPN)的基本概念、标准和参考模型,以及从实验数据总结了MPLS VPN的优缺点;第二部分对HSNET VPN虚拟专网的概念设计模型的研究,包括网络架构的设计与VPN的管理;第三部分对HSNETVPN服务质量的研究;第四部分对HSNETVPN安全的研究;第五部分主要包括HSNET VPN线卡的概念设计模型和性能分析。 本文的主要贡献有: 1.指出了MPLS VPN实际部署中的扩展性问题,通过对MPLS协议的分析,并针对MPLS VPN的特性,进行了仿真实验,同时解决扩展性问题也是本文的动机。 2.提出了一种层次网络VPN的基本架构。将VPN的接入地址中包含VPN的ID号,便于边缘节点PE区分不同的VPN流量,加快边缘节点VPN转发的效率,避免了由于引入面向连接的协议带来扩展性的问题。利用层次网络中心的VNOC(VPN网络管理服务器)集中控制所有的VPN接入和拓扑结构,通过网络节点的集中控制实现灵活的VPN拓扑结构。 3.给出了一种感知边缘端口到边缘端口流量的算法,称为EA-FAS算法。该算法为VPN确保服务提供服务质量保证,它的最大特点是在边缘端口增加相应的控制功能,来感知内部的拥塞状况。 4.验证了基于层次式交换网络VPN的安全加密IPsec协议,实现了IP VPN的原型系统,并基于此原型系统做了相关的模拟实验。实验结果表明:IPSec主机到主机的TCP通信,采用AH(HMAC-MD5)+ESP(3DES)对主机的CPU和内存资源消耗比较大,如果边缘节点的VPN需要建立多个隧道的情况下,IPsec纯软件的方案是不可取的,必须以专用的硬件协处理器来实现。 5.综述了当前网络安全线卡的实现架构和高端安全产品架构的发展趋势,并对基于IPsec的协处理器,比较各种不同的软件架构,给出了一种概要的硬件参考设计,分
论文目录:
摘要
ABSTRACT
第一章 虚拟专用网络概述
1.1 VPN的定义
1.1.1 简要历史
1.1.2 VPN的优点
1.1.3 ISP网络术语
1.2 VPN网络的分类
1.2.1 VPN类型
1.2.2 VPN工作组
1.2.3 VPN的关键技术及协议
1.2.4 隧道机制
1.2.5 隧道的分类
1.3 IP VPN的分类
1.3.1 IP VPN的定义
1.3.2 IP VPN的分类
1.4 MPLS VPN网络的特点分析
1.4.1 MPLS与传统网络的关系
1.4.2 MPLS网络本身固有的问题
1.4.3 MPLS VPN网络的挑战
1.4.4 MPLS BGP网络扩展性的仿真
1.5 未来Internet网络的特点
1.6 层次式交换网络的特点
1.7 本文的简要介绍和论文组织
1.7.1 研究内容和主要贡献
1.7.2 论文组织
第二章 层次式交换网络虚拟专网设计框架
2.1 层次式交换网络的基本思想
2.1.1 层次式交换网络的基本思想
2.1.2 层次式交换网络相关术语
2.2 层次式交换网络体系结构概述
2.2.1 拓扑结构层次与地址结构层次严格匹配
2.2.2 节点域交换控制
2.3 层次网络地址空间的表示方法
2.3.1 地址空间的分离与融合
2.3.2 内部信息包的终止方法
2.3.3 内部地址的表示及访问方法
2.4 层次交换网络虚拟专网架构设计
2.4.1 设计目标
2.4.2 层次交换网络IPv6 VPN拟解决的关键问题
2.4.3 层次交换网络IPv6 VPN地址分配方案
2.4.4 层次交换网络IPv6 VPN架构
2.4.5 PE端VPN的转发过程
2.4.6 VPN的查询、查询应答和MTU探测消息
2.4.7 VPN的注册、增添和注销消息
2.4.8 边缘VPN的自动配置
2.4.9 基于主机的VPN
2.4.10 虚拟网络的拓扑结构
2.5 本章小节
第三章 层次网络虚拟专网的服务质量保证机制
3.1 层次网络服务质量保证的实现框架
3.1.1 层次交换网络服务质量控制模型的基本元素
3.1.2 HSNet的资源管理
3.1.3 接纳控制模型和资源预留(RSVP)控制平面
3.1.4 数据平面
3.2 确保服务的公平算法
3.2.1 主机参与的调整发送速率
3.3 边缘节点感知的公平确保服务(Edge Aware Fair Assured Service)
3.3.1 过载系数的调节方法
3.3.2 算法介绍
3.3.3 算法的实现
3.3.4 性能评估仿真实验
3.4 层次网络虚拟专网服务质量保证的特殊性
3.4.1 虚拟专网的服务质量模型
3.4.2 虚拟专网对服务质量的性能要求
3.5 本章小节
第四章 虚拟专网的安全机制
4.1 网络安全防范体系框架结构
4.2 层次网络的安全性分析
4.2.1 源端口对地址的检测
4.2.2 网络截听
4.2.3 VPN接入网络安全
4.3 IPsec概述
4.3.1 结构
4.3.2 传送模式与隧道模式
4.3.3 安全关联SA
4.3.4 IPSec安全策略(SPD)
4.3.5 安全策略库(SPD)与安全关联库的交互
4.4 封装安全载荷(ESP)
4.4.1 封装安全载荷(ESP)包格式
4.4.2 封装安全载荷协议处理
4.5 Internet密钥交换(IKE)
4.5.1 IKE的基本概念
4.5.2 IKE SA建立
4.5.3 IPsec SA建立(快速模式)
4.6 层次交换网络 VPN实验
4.6.1 实验设计原则
4.6.2 IPsec原型软件FreesWan简介
4.6.3 VPN系统实验
4.6.4 测试结果
4.7 本章小节
第五章 层次网络虚拟专网的硬件设计
5.1 当前网络协议软件和高端路由器硬件发展趋势
5.1.1 高端路由器硬件发展趋势
5.1.2 网络协议软件的发展
5.2 网络处理器数据包的通用处理流程
5.3 网络处理器各部件在IPsec处理中的功能
5.4 安全系统的架构
5.4.1 旁路(look inside)架构
5.4.2 直通(Flow through)架构
5.4.3 架构总结和比较
5.4.4 参考设计
5.5 本章小节
第六章 结束语
6.1 本文主要贡献与创新
6.2 下一步研究工作
参考文献
致谢
作者简历
发布时间: 2006-12-29
相关论文
- [1].高可用IPSec虚拟专用网研究[D]. 张云鹤.华中科技大学2009
- [2].基于改进Kerberos认证协议的远程访问VPN密码系统研究[D]. 何伟.浙江大学2003
- [3].基于软交换技术的下一代网络体系结构及相关技术的研究[D]. 林娜.东北大学2005
- [4].基于增强型第二层隧道协议的隧道代理防火墙系统的研究[D]. 张颖江.武汉理工大学2006
- [5].层次式交换网络服务质量控制机制研究[D]. 马宏伟.中国科学院研究生院(计算技术研究所)2004
- [6].移动无线场景下的远程访问认证安全及其相关问题研究[D]. 叶润国.中国科学院研究生院(计算技术研究所)2005
- [7].可扩展的计算机网络管理系统技术研究[D]. 林曼筠.中国科学院研究生院(计算技术研究所)2002
- [8].异构无线网络互联的认证和密钥协商研究[D]. 蒋军.上海交通大学2006
- [9].组密钥管理技术研究及其在IPSec VPN中的应用[D]. 李欣.浙江大学2006
- [10].面向VPN的访问控制模型及相关技术研究[D]. 欧阳凯.华中科技大学2006