基于IP骨干网的虚拟专用网理论与实现

讨论了虚拟专用网（VPN），尤其是IP-VPN的相关方面。在此基础上分析了IP-VPN的虚拟专用路由网（VPRN）和虚拟专用局域网 （VPLS）两种类型。着重讨论了VPRN的两种实现机制--边界网关协议/多协议标记交换（BGP/MPLS）和虚拟路由器（VR），并进行了比较。实现了一种VPLS--虚拟局域网（VLAN）。最后从理论上探讨了基于网络的VPN的服务质量（QoS）并提出了一种VPN QoS的实现途径。     

基于IPSec的虚拟专用网（VPN）的研究与实现

文章首先简单介绍虚拟专用网（VPN）核心技术，然后详细分析了IPSec协议的体系结构、IPSec的工作模式，最后给出了一个在思赞路由器上利用IPSec技术实现VPN的方案。     

IPSec技术在MPLS VPN安全保障中的应用

针对MPLS VPN(Multi.Protocol Label Switching Virtual Private Network)在保密性要求较高场合存在安全隐患的问题,提出一种可保障其安全性的设计方案.该方案通过利用IPSee(IP Security)协议在客户路由器端对IP数据包进行加密,在MPLS(Multi-Protocol Label Switching)边缘路由器端对数据进行封装,从而解决了VPN(Virtual Private Network)采用单一MPLS,在公用骨干网进行第2层传输存在的信息不能自动加密,容易出现因误发或连接中断造成信息泄露等问题.实验结果表明,该方案在不增大网络成本的前提下,保证了数据在传输过程的私有性、完整性和真实性,从而大大提高了网络安全系数.     

基于IPSec的虚拟专用网——新一代的IP-VPN

对基于IPSec的虚拟专用网及其关键技术进行了研究。首先介绍了VPN的概念及分类,然后分析了隧道技术,并在此基础上详细研究了基于IPSec的IP—VPN技术及实现,最后讨论了VPN的现状和未来IP—VPN发展需要解决的一些问题：如IPSec本身的完善,IP—VPN的QoS保证和IP—VPN的网管和安全等。     

浅谈VPN技术

虚拟专用网络（VPN）是一门网络新技术，为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。我们知道一个网络连接通常由三个部分组成：客户机、传输介质和服务器。VPN同样也由这三部分组成，不同的是VPN连接使用隧道作为传输通道，这个隧道是建立在公共网络或专用网络基础之上的，如Internet或Intranet。     

浅谈MPLS VPN的技术特点及应用

MPLS VPN是一种基于MPLS技术的IP—VPN,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IP VPN）,可用来构造宽带的Intranet、Extranet,满足多种灵活的业务需求。     

一种改进的用户数据报协议封装方案

提出一种改进的用户数据报协议(UDP)封装方案．该方案使用UDP／IP头对施加了IP安全协议(IPSec)保护的整个IP包进行封装,解决了IETF的为解决网络地址转换(NAT)应用和基于IPSec技术的虚拟专用网(VPN)不兼容的UDP封装方案建议中存在认证头包(AH)失败、TCP校验和出错等问题。对改进方案的具体实现细节进行了规范化描述,使得新的改进方案比原方案更易实现。最后讨论了改进UDP封装方案在实施过程中可能对网络性能和安全所造成的影响。     

可提供MPLS VPN网络安全性保障的解决方案

基于对多协议标记交换骨干网络的虚拟专用网--MPLS VPN(Multi-Protocol Label Switching Virtual Private Network)技术的研究,针对MPLS(Multi-Protocol Label Switching)不能给客户提供足够大安全系数的问题,在分析MPIS VPN(Multi-Protocol Label Switching Virtual Private Network)网络的构成和原理的基础上,就安全性保障问题进行研究和讨论,提出了一个对MPIS VPN可提供安全性保障的解决方案,此方案通过结合BGP(Border Gateway Protocol)、IP(Internet Protoco1)地址解析、IPSec(Internet Protocol Security)加密和认证技术来完成.结果表明,与原有网络相比,该方案的安全系数可提高30%.     

基于虚拟路由器方式的VPN组播实现机制

论文对三层VPN组播进行了研究,提出了一种基于VR方式的VPN组播实现机制,并依照本地VPN站点及服务提供商骨干网络的建树、组播分组的封装处理流程,阐述了方案的具体实现.验证结果证明本文所提出的方法最大限度的减少了骨干网络路由器上的组播状态,从而提高网络可扩展性.     

VPN技术及应用研究

虚拟专用网络VPN是一个新的网络技术，它是在公共网络的基础上建立一个临时的、专用的、安全的连接，为实现信息的安全传输和资源的充分利用提供了很好的解决方案。讨论了VPN的基本技术和协议，并举例说明VPN技术如何构建一个公司的内部VPN网和外部VPN网。     

可编程虚拟化路由器的转发表查找技术综述

可编程虚拟化路由器是未来互联网的核心网络设备,即在一个物理路由器平台上并行实现多个相互独立的虚拟路由器.综述了可编程虚拟化路由器的转发表(forwarding table,FIB)查找技术.分析了FIB查找技术的性能与可伸缩性挑战,即查找吞吐量、存储空间和增量更新问题.讨论了多FIB融合的IP查找算法和基于NDN(named data networking)命名的非IP查找算法的研究进展.指出了OpenFlow的多域FIB查找和基于硬件的NDN线速转发是未来研究亟需解决的重点问题.     

可编程路由器的虚拟化技术研究

可编程虚拟化路由器作为构建未来网络试验床的核心设备,在针对未来网络的体系架构以及相关协议、算法的性能进行评估和实验验证时将发挥关键作用.分析了可编程虚拟化路由器基本概念及其特性,对可编程路由器的整体框架结构进行了划分,并对各个层次结构的功能进行了详细描述.给出了一种基于NetFPGA的可编程虚拟化路由器的设计方案,并对路由器的虚拟化技术进行了研究论述.     

并行式IP路由器体系分析

随着Internet的迅猛发展，网上流量的急剧增加，传统路由器已逐渐成为整个网络的瓶颈。介绍并行式IP路由器体系结构，建立其开销模型并分析它的最优化配置，并介绍两种重要的Internet网上技术：吉比特路由器和IP Switching.     

基于路由器IP地址统计的网络拓扑发现算法

为了削弱网络拓扑发现对路由器口令的依赖性,增强网络拓扑发现算法的通用性和提高效率,在对基于SNMP、ICMP、ARP等几种网络拓扑发现方法分析和研究的基础上,提出了基于路由器IP地址统计的网络拓扑发现算法。此算法首先利用traceroute获得大量的路由器IP地址,然后根据traceroute的工作原理,对路由器IP地址进行统计,得出各路由器之间的连接关系,最后给出了该算法对某高校校园网的实际测试效果。结果表明该方法能够高效、准确地发现网络主干拓扑。     

一种基于短波Mesh网络的短波IP路由器模型

为了在短波Mesh网络中进行IP数据报的转发,实现与其他IP网络的互连互通,结合短波IP网络的特点,对网络中的关键设备—短波IP路由器进行了深入分析,提出其内部组件的结构模型,并通过搭建试验平台进行验证。试验结果表明该短波IP路由器可实现短波链路上的IP数据报路由转发,验证了所提出模型的可行性。     

基于安全GRE隧道的Site-to-Site VPN构建方案研究与实现

为了实现经由Internet连接的两个私有网络之间能够利用隧道技术以私有IP地址的方式相互访问其内部资源,并且可以在隧道中传递动态路由协议信息,在基于Cisco路由器的配置过程中,通过利用GRE与IPSec两种技术共同构建Site—to—Site VPN,即首先使用GRE协议对用户数据和路由协议报文进行隧道封装。然后通过IPSec提供的数据机密性、数据完整性验证以及数据源认证功能保护在GRE隧道中传送的敏感数据,以实现GRE隧道的安全传输。通过结合GRE可支持承载IP组播流量与IPSec提供的安全特性创建Site-to-Site VPN,既解决动态路由协议在IPSec VPN隧道内正常通告的问题,又可以保护敏感数据穿越不安全通道的安全性。     

一种基于短波Mesh网络的短波IP路由器模型

为了在短波Mesh网络中进行IP数据报的转发,实现与其他IP网络的互连互通,结合短波IP网络的特点,对网络中的关键设备-短波IP路由器进行了深入分析,提出其内部组件的结构模型,并通过搭建试验平台进行验证.试验结果表明该短波IP路由器可实现短波链路上的IP数据报路由转发,验证了所提出模型的可行性.     

路由器端防范DDos攻击机制综述

防范DDos攻击一直是网络安全领域一个重要的课题.DDos攻击的爆炸式增长使得这方面的防范机制和策略面临了新的挑战,同时也出现了很多在路由器端防范DDos攻击的方法.综述了目前基于路由器端防范DDos攻击的各种方法,并将这些方法分成3类进行阐述,包括基于拥塞的、基于异常的和基于源的,分别包含了聚集拥塞控制机制,在线包统计多层树结点、基于监视源IP地址防范DDos策略、正常数据流量模式机制和出口过滤、基于路由信息、IP跟踪等机制.还重点讨论了攻击响应部分,包括响应的位置、包过滤和速率限制、回退策略.最后给出了结论.     

A Cluster-Based Secure Active Network Environment

We introduce a cluster-based secure active network environment ((.‘SANE) which separates the processing of IP packets from that of active packets in active routers. In this environment, the active code authorized or trusted by privileged users is executed in the secure execution environment (EE) of the activc router, while others are executed in the sccure EE of the nodes in the distributed shared memory (DSM) cluster. With the supports of a multi-process Java virtual machine and KcyNotc, untrusted active packets are controllcd to securely consume rcsource. The DSM consistency management makes that active packets can be parallelly proccssed in the DSM cluster as if they were processed one by one in ANTS (Active Network Transport System). We demonstrate that CSANE has good security and scalability, but imposing little changes on traditional routcrs.     

基于MPLS IP VPN机制的拥塞处理分析

简要地分析了目前IP VPN技术存在的弱点，对引入MPLS技术后带来的拥塞进行了分析和研究，给出了解决拥塞的几种可能途径，并进行了相应的评价和讨论。