童 樣，張水平，李有峰，張鳳琴，梁 棟

（空軍工程大學(xué) 信息與導(dǎo)航學(xué)院，陜西 西安710077）

0 引 言

虛擬專用網(wǎng) （virtual private network，VPN）互訪解決多個(gè)獨(dú)立的VPN 之間互通的問題［1］。目前實(shí)現(xiàn)VPN 互訪主要有以下方法：①Hub－and－Spoke方法。所有VPN 都通過IPSec協(xié)議連接到Hub－GW，通過Hub－GW 轉(zhuǎn)發(fā)數(shù)據(jù)包實(shí)現(xiàn)互訪。該方法的缺點(diǎn)：所有數(shù)據(jù)傳輸都要經(jīng)過Hub－GW，當(dāng)數(shù)據(jù)流量很大時(shí)，Hub－GW 負(fù)載增大，易造成數(shù)據(jù)包丟失。②Full－Mesh方法。各VPN 之間通過IPSec協(xié)議相互連接。這種方法要求各VPN 對每條連接都要有相應(yīng)的密鑰交換策略，開銷很大。③K.Ishimura 等人在文獻(xiàn)［2］中提出的動(dòng)態(tài)IPSec－VPN 方法。它是Hub－and－Spoke和Full－Mesh方法的結(jié)合，當(dāng)VPN 之間數(shù)據(jù)流量較小時(shí)，VPN 之間利用Hub－and－Spoke方法傳輸數(shù)據(jù)；當(dāng)VPN 之間數(shù)據(jù)流量較大時(shí)，它們之間將動(dòng)態(tài)建立一條直接鏈路。這種方法要求進(jìn)行互訪的VPN 都是IPSec－VPN，適用范圍較窄，而且直接鏈路的建立需要在VPN 的用戶邊緣路由器（customer edge router，CE）和服務(wù)提供商邊緣路由器（provider edge router，PE）之間多次建立VLAN 連接。

本文提出了一種基于多協(xié)議標(biāo)簽交換 （multi－protocol label switching，MPLS）的動(dòng)態(tài)VPN 方法，詳細(xì)敘述了動(dòng)態(tài)MPLS－VPN （dynamic MPLS－VPN，DMVPN）方法的步驟以及優(yōu)點(diǎn)。

1 主要VPN 互訪方法分析

目前常用的VPN 互訪方法是IPSec－VPN 方法。IPSec－VPN 方法分為3種：Hub－and－Spoke方法、Full－Mesh方法以及動(dòng)態(tài)IPSec－VPN 方法。

1.1 Hub－and－Spoke方法

Hub－and－Spoke方法中，每個(gè)VPN 通過IPSec協(xié)議連接到Hub－GW 上，各VPN 通過Hub－GW 實(shí)現(xiàn)互訪，達(dá)到與其他的VPN 通信的目的。因此，連接到Hub－GW 的任意2個(gè)VPN 之間都能互訪。該方法中，各VPN 的CE 路由器只需要一條IKE／IPSec策略就能與其他VPN 通信。然而，由于所有流量都要通過Hub－GW，這種方法有2點(diǎn)不足：一是數(shù)據(jù)包可能因?yàn)殒溌份^長而出現(xiàn)較大時(shí)延；二是Hub－GW 不斷增加的負(fù)擔(dān)可能導(dǎo)致數(shù)據(jù)包丟失。Hub－and－Spoke方法如圖1所示。

圖1 Hub－and－Spoke方法

1.2 Full－Mesh方法

Full－Mesh方法中，各VPN 之間通過IPSec協(xié)議直接相連，以此達(dá)到互訪的目的。這種結(jié)構(gòu)的優(yōu)點(diǎn)是所有VPN之間能直接通信，且較大的通信流量對于網(wǎng)絡(luò)性能的影響較小。其缺點(diǎn)是：對于每個(gè)VPN 的網(wǎng)關(guān) （CE 路由器），它必須要為其他每一個(gè)VPN 網(wǎng)關(guān)制定一條IKE／IPSec策略，包括加密算法、認(rèn)證算法、通信流量選擇載荷信息等。Full－Mesh方法如圖2所示。

圖2 Full－Mesh方法

1.3 動(dòng)態(tài)IPSec－VPN方法

這種方法是Hub－and－Spoke和Full－Mesh的結(jié)合。如圖3所示，所有VPN 都與Hub－GW 相連，VPN1和VPN3有互訪需求。當(dāng)數(shù)據(jù)流量較小時(shí)，VPN1和VPN2通過Hub－GW 轉(zhuǎn)發(fā)數(shù)據(jù)包實(shí)現(xiàn)互訪；當(dāng)數(shù)據(jù)流量很大，或是VPN1和VPN3不允許數(shù)據(jù)包有較長時(shí)延時(shí)，就利用移動(dòng)多宿主協(xié)議 （mobility and multi－h(huán)oming protocol，MOBIKE）［3，4］在VPN1和VPN3 之間建立直接鏈路。該方法只能用于IPSec－VPN 之間的互訪，適用范圍窄。

圖3 動(dòng)態(tài)IPSec－VPN 方法

2 動(dòng)態(tài)MPLS－VPN方法

2.1 技術(shù)基礎(chǔ)

多協(xié)議標(biāo)簽交換 （multi－protocol label switching，MPLS）技術(shù)是動(dòng)態(tài)MPLS－VPN 方法的技術(shù)基礎(chǔ)。

MPLS－VPN 依靠虛擬路由轉(zhuǎn)發(fā) （virtual routing forwarding，VRF）表和數(shù)據(jù)包的標(biāo)記來創(chuàng)建一個(gè)安全的VPN，不但具有安全性及客戶隔離的優(yōu)點(diǎn)，同時(shí)也具有簡化路由工作的優(yōu)點(diǎn)［5］。MPLS技術(shù)的工作原理總的來說就是：核心交換，邊緣路由［6］。當(dāng)未被標(biāo)記的數(shù)據(jù)分組 （IP包、幀中繼或ATM 信元）到達(dá)入口標(biāo)簽邊緣路由器 （label edge router，LER）時(shí)，LER 根據(jù)數(shù)據(jù)分組的頭信息查找標(biāo)簽信息庫LIB，確定并在包頭加上該數(shù)據(jù)包的標(biāo)簽。之后數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)時(shí)，標(biāo)簽交換路由器 （label switching router，LSR）只需查找LIB，根據(jù)標(biāo)簽信息確定轉(zhuǎn)發(fā)出口，并用新標(biāo)簽取代舊標(biāo)簽。當(dāng)數(shù)據(jù)包到達(dá)出口LER 時(shí)，出口LER去除標(biāo)簽信息并按傳統(tǒng)IP方式轉(zhuǎn)發(fā)數(shù)據(jù)包。當(dāng)數(shù)據(jù)分組的標(biāo)簽給定時(shí)，標(biāo)簽交換路徑 （label switching path，LSP）由標(biāo)簽分發(fā)協(xié)議LDP［7］確定。

MPLS在解決網(wǎng)絡(luò)的擴(kuò)展性、實(shí)時(shí)流量工程、同時(shí)支持多種要求特定QoS保障的IP 業(yè)務(wù)等諸多方面具備技術(shù)優(yōu)勢。

2.2 方法原理

有互訪需求的VPN 節(jié)點(diǎn)需要向管理服務(wù)器注冊身份信息。只有注冊了身份信息的節(jié)點(diǎn)才能進(jìn)行VPN 互訪。當(dāng)VPN 內(nèi)的節(jié)點(diǎn)請求與另一VPN 內(nèi)節(jié)點(diǎn)互訪時(shí)，該節(jié)點(diǎn)將向管理服務(wù)器發(fā)送連接申請。管理服務(wù)器接收到連接申請后，將查詢互訪規(guī)則集，判斷申請能否通過。若連接申請不通過，則不會(huì)建立連接；若連接申請通過，將在互訪節(jié)點(diǎn)之間建立連接。

當(dāng)節(jié)點(diǎn)之間的連接申請被允許時(shí)，管理服務(wù)器分配新的標(biāo)簽，利用MPLS技術(shù)，在需要互訪的節(jié)點(diǎn)所在VPN 之間建立一條標(biāo)簽交換路徑 （LSP）。管理服務(wù)器根據(jù)節(jié)點(diǎn)信息，依據(jù)互訪規(guī)則集制定過濾規(guī)則，并下發(fā)至節(jié)點(diǎn)所在VPN 的用戶邊緣路由器CE。VPN 中節(jié)點(diǎn)數(shù)據(jù)的傳輸嚴(yán)格遵守過濾規(guī)則，當(dāng)數(shù)據(jù)包經(jīng)CE過濾后，將到達(dá)PE 路由器（入口LER），PE 在數(shù)據(jù)包上加上新標(biāo)簽，然后通過LSP傳輸。

當(dāng)設(shè)定的傳輸時(shí)長到達(dá)或是在傳輸時(shí)長內(nèi)數(shù)據(jù)傳輸結(jié)束，互訪節(jié)點(diǎn)的規(guī)則就被刪除，節(jié)點(diǎn)之間不能互訪。當(dāng)互訪節(jié)點(diǎn)所在的VPN 之間無任何節(jié)點(diǎn)連接時(shí)，標(biāo)簽信息和LSP被刪除。

根據(jù)方法原理，使用動(dòng)態(tài)MPLS－VPN 方法實(shí)現(xiàn)互訪的工作流程如圖4所示。

圖4 動(dòng)態(tài)MPLS－VPN 方法工作流程

2.3 方法特點(diǎn)

現(xiàn)有主要VPN 互聯(lián)方法只能做到VPN 與VPN 之間的連接控制，無法實(shí)現(xiàn)不同VPN 內(nèi)節(jié)點(diǎn)與節(jié)點(diǎn)之間的連接控制。DMVPN 互訪方法可以實(shí)現(xiàn)節(jié)點(diǎn)與節(jié)點(diǎn)之間的連接控制，即當(dāng)VPN1內(nèi)的節(jié)點(diǎn)i與VPN2內(nèi)的節(jié)點(diǎn)j有數(shù)據(jù)傳輸需求時(shí)，DMVPN 方法可以實(shí)現(xiàn)節(jié)點(diǎn)i與節(jié)點(diǎn)j之間的連接控制。DMVPN 方法能滿足VPN 互訪的細(xì)粒度控制要求，即按節(jié)點(diǎn)、按方向、按時(shí)間實(shí)現(xiàn)互訪需求。同時(shí)，節(jié)點(diǎn)之間的數(shù)據(jù)傳輸嚴(yán)格按照規(guī)則實(shí)行，不會(huì)導(dǎo)致其他節(jié)點(diǎn)之間的路由導(dǎo)通。

3 動(dòng)態(tài)MPLS－VPN方法實(shí)現(xiàn)

3.1 節(jié)點(diǎn)身份注冊

加入互訪系統(tǒng)的節(jié)點(diǎn)都要向管理服務(wù)器注冊身份信息。身份注冊的過程實(shí)際上是管理服務(wù)器制定互訪規(guī)則集的過程。各節(jié)點(diǎn)通過所在VPN 的用戶邊緣路由器CE 向管理服務(wù)器發(fā)送注冊信息。注冊信息包括以下內(nèi)容：節(jié)點(diǎn)所在VPN、IP和MAC地址、目的節(jié)點(diǎn)所在VPN、目的節(jié)點(diǎn)IP和MAC、數(shù)據(jù)流向 （流入或流出）、端口號(hào)、預(yù)計(jì)的傳輸時(shí)長。管理服務(wù)器收到注冊信息后，將其填入互訪規(guī)則集的相應(yīng)位置。

互訪規(guī)則集如圖5所示。互訪規(guī)則集由兩級(jí)構(gòu)成：一級(jí)互訪規(guī)則和二級(jí)互訪規(guī)則。一級(jí)互訪規(guī)則由VPN 連接方、能否連接、標(biāo)簽信息、二級(jí)互訪規(guī)則表標(biāo)識(shí)構(gòu)成，二級(jí)互訪規(guī)則表標(biāo)識(shí)用來快速查找連接方對應(yīng)的二級(jí)互訪規(guī)則；二級(jí)互訪規(guī)則由節(jié)點(diǎn)i所屬VPN、節(jié)點(diǎn)j所屬VPN、節(jié)點(diǎn)i的IP和MAC地址、節(jié)點(diǎn)j的IP和MAC地址、數(shù)據(jù)流向、端口號(hào)以及傳輸時(shí)長構(gòu)成。

圖5 互訪規(guī)則集

互訪規(guī)則集有2個(gè)作用。一個(gè)作用是判斷節(jié)點(diǎn)的互訪申請是否允許。一級(jí)互訪規(guī)則判斷節(jié)點(diǎn)所在VPN 之間能否連接，二級(jí)互訪規(guī)則判斷節(jié)點(diǎn)之間能否連接，只有一級(jí)判斷通過才會(huì)進(jìn)行二級(jí)判斷。當(dāng)兩級(jí)判斷都通過時(shí)，節(jié)點(diǎn)的互訪申請才會(huì)通過。另一個(gè)作用是制定CE 的過濾規(guī)則。當(dāng)VPN1中的節(jié)點(diǎn)i申請與VPN2中的節(jié)點(diǎn)j互訪，并且互訪申請通過時(shí)，管理服務(wù)器根據(jù)互訪規(guī)則集制定VPN1、VPN2的用戶邊緣路由器CE1、CE2的過濾規(guī)則。其過程如圖6所示。

圖6 用戶邊緣路由器過濾規(guī)則制定及下發(fā)

3.2 連接建立

2個(gè)節(jié)點(diǎn)之間使用DMVPN 方法建立連接包含3 個(gè)階段：申請階段、建立階段以及傳輸階段 （如圖7所示）。連接建立過程如下：

圖7 連接建立過程

3.2.1 申請階段

（1）當(dāng)VPN1內(nèi)節(jié)點(diǎn)i有業(yè)務(wù)需求，需要與VPN2 內(nèi)節(jié)點(diǎn)j進(jìn)行數(shù)據(jù)傳輸時(shí)，節(jié)點(diǎn)i將通過VPN1的邊緣路由器CE1向管理服務(wù)器發(fā)送Connect＿Request消息，申請與節(jié)點(diǎn)j建立連接。Connect＿Request消息包括節(jié)點(diǎn)i的IP 和MAC地址、VPN1 的標(biāo)識(shí)、節(jié)點(diǎn)j的IP 和MAC 地址、VPN2的標(biāo)識(shí)。

（2）管理服務(wù)器收到Connect＿Request消息后，分析、提取信息，并與互訪規(guī)則集進(jìn)行比對，檢查申請是否允許，并將結(jié)果消息Connect＿Response通過CE1 發(fā)送給節(jié)點(diǎn)i。Connect＿Response消息包括2種：當(dāng)允許建立連接時(shí)，返回申請成功消息以及設(shè)定的數(shù)據(jù)傳輸時(shí)長；當(dāng)拒絕建立連接時(shí)，返回申請失敗消息。

（3）若節(jié)點(diǎn)i的申請被允許，管理服務(wù)器將通過VPN2的邊緣路由器CE2向節(jié)點(diǎn)j發(fā)送建立連接通知消息：Connect＿Notifying。Connect＿Notifying消息包括節(jié)點(diǎn)i的IP和MAC地址、VPN1的標(biāo)識(shí)。若節(jié)點(diǎn)i申請不允許，則向i返回申請失敗消息，同時(shí)停止建立連接。

3.2.2 建立階段

（1）管理服務(wù)器通過解析Connect＿Request消息獲得VPN1和VPN2的標(biāo)識(shí)信息，查找互訪規(guī)則集中的一級(jí)互訪規(guī)則表，通過比對，查找對應(yīng)的標(biāo)簽信息是否為空。若為空，說明CE1與CE2之間未連接；若不為空，則CE1與CE2之間已連接。

（2）若標(biāo)簽信息不為空，則直接使用該標(biāo)簽進(jìn)行傳輸，管理服務(wù)器根據(jù)二級(jí)互訪規(guī)則表生成相應(yīng)的過濾規(guī)則 （如圖6所示）。若標(biāo)簽信息為空，則管理服務(wù)器隨機(jī)生成新的標(biāo)簽并填入一級(jí)過濾規(guī)則表中相應(yīng)位置，并按圖6方法生成對應(yīng)的過濾規(guī)則，將標(biāo)簽信息下發(fā)至PE1和PE2，PE之間依照LDP協(xié)議建立標(biāo)簽交換路徑 （LSP）。

（3）管理服務(wù)器將過濾規(guī)則對應(yīng)下發(fā)至CE1 和CE2。CE1、CE2分別通知節(jié)點(diǎn)i、節(jié)點(diǎn)j連接已建立。

3.2.3 傳輸階段LSP建立成功后，節(jié)點(diǎn)i和節(jié)點(diǎn)j之間通過CE1和CE2進(jìn)行連接。此時(shí)節(jié)點(diǎn)之間可進(jìn)行數(shù)據(jù)傳輸。

3.3 連接刪除

在傳輸時(shí)長內(nèi)節(jié)點(diǎn)數(shù)據(jù)傳輸結(jié)束、或是設(shè)定的傳輸時(shí)長到達(dá)時(shí)，節(jié)點(diǎn)之間的連接即被刪除。根據(jù)連接刪除的原因，可將節(jié)點(diǎn)之間連接刪除的方式分為2 種：Terminate－Request型和Out－Time型。

3.3.1 Terminate－Request型

（1）當(dāng)節(jié)點(diǎn)i和節(jié)點(diǎn)j之間的數(shù)據(jù)傳輸結(jié)束并且未超過傳輸時(shí)長時(shí)，CE1、CE2刪除關(guān)于節(jié)點(diǎn)i與節(jié)點(diǎn)j數(shù)據(jù)傳輸?shù)倪^濾規(guī)則，并檢查VPN1、VPN2內(nèi)節(jié)點(diǎn)是否還有連接。若沒有，CE1 或CE2 向管理服務(wù)器發(fā)送Connect＿Terminate消息，請求刪除連接。Connect＿Terminate消息包括VPN1的標(biāo)識(shí)和VPN2的標(biāo)識(shí)。

（2）管理服務(wù)器收到Connect＿Terminate消息后，提取信息，刪除一級(jí)過濾規(guī)則表中對應(yīng)的動(dòng)態(tài)標(biāo)簽信息。同時(shí)通知PE1和PE2刪除相應(yīng)的虛擬路由轉(zhuǎn)發(fā) （VRF）表。

Terminate－Request型刪除方式如圖8所示。

圖8 Terminate－Request型刪除方式

3.3.2 Out－Time型

節(jié)點(diǎn)i與節(jié)點(diǎn)j之間在設(shè)定的傳輸時(shí)長內(nèi)未完成數(shù)據(jù)傳輸，或是在傳輸時(shí)長內(nèi)數(shù)據(jù)傳輸結(jié)束，卻未向管理服務(wù)器發(fā)送刪除連接消息時(shí)，管理服務(wù)器將刪除連接，其具體過程如下：

（1）傳輸時(shí)長到達(dá)后，管理服務(wù)器向CE1和CE2發(fā)送Out＿of＿Time消息，CE1、CE2刪除對應(yīng)規(guī)則并將超時(shí)消息分別通知節(jié)點(diǎn)i、節(jié)點(diǎn)j。

（2）CE1、CE2檢查規(guī)則列表中關(guān)于VPN1、VPN2內(nèi)節(jié)點(diǎn)之間連接的規(guī)則是否為空。若為空，CE1或CE2向管理服務(wù)器發(fā)送刪除標(biāo)簽信息的消息。管理服務(wù)器刪除一級(jí)互訪規(guī)則表中對應(yīng)的動(dòng)態(tài)標(biāo)簽信息，同時(shí)通知PE1和PE2刪除相應(yīng)的虛擬路由轉(zhuǎn)發(fā) （VRF）表。

Out－Time型刪除方式如圖9所示。

圖9 Out－Time型刪除方式

4 動(dòng)態(tài)MPLS－VPN 方法分析

相比于章節(jié)1所述IPSec－VPN 互訪方法，DMVPN 方法具有以下優(yōu)點(diǎn)：

（1）能夠?qū)崿F(xiàn)細(xì)粒度控制。IPSec－VPN 互訪方法只能實(shí)現(xiàn) “面到面”的控制，即整個(gè)VPN 之間的控制，無法細(xì)化到VPN 內(nèi)各節(jié)點(diǎn)。使用DMVPN 方法，可以由VPN 內(nèi)的節(jié)點(diǎn)發(fā)起連接請求、實(shí)現(xiàn)節(jié)點(diǎn)與節(jié)點(diǎn)之間的連接，根據(jù)過濾規(guī)則控制數(shù)據(jù)包的流向，根據(jù)設(shè)定的傳輸時(shí)長控制節(jié)點(diǎn)數(shù)據(jù)的傳輸時(shí)間，做到按節(jié)點(diǎn)、按方向、按時(shí)間的細(xì)粒度控制。

（2）適用范圍更廣。IPSec－VPN 方法只適用于IPSec－VPN 網(wǎng)絡(luò)之間的互訪，對于非IPSec協(xié)議的VPN 的互訪需求，該方法不適用。DMVPN 方法的互訪路徑采用MPLS技術(shù)建立，MPLS技術(shù)具有很好的兼容性，支持任意網(wǎng)絡(luò)層協(xié)議 （如IP、IPv6、IPX 等）和數(shù)據(jù)鏈路層協(xié)議 （如ATM、FR、PPP 等）［8］。因此，DMVPN 方法對有互訪需求節(jié)點(diǎn)所在VPN 的類型沒有限制，適用范圍更廣。

（3）數(shù)據(jù)傳輸更高效安全。動(dòng)態(tài)IPSec－VPN 的創(chuàng)建需要進(jìn)行3次VLAN 創(chuàng)建［9］，VLAN 中所有設(shè)備位于同一廣播域，利用相關(guān)軟件工具很容易獲取其他主機(jī)的通信信息，安全性不高［10］。此外，IPSec協(xié)議也無法滿足數(shù)據(jù)傳輸?shù)母咝?、快速性和QoS。DMVPN 方法采用MPLS 技術(shù)，能滿足數(shù)據(jù)傳輸?shù)母咝浴⒖焖傩院蚎oS。MPLS能兼容多種協(xié)議，因此DMVPN 也能滿足數(shù)據(jù)的安全性要求，如與IPSec混合使用［11］，即在CE 端對數(shù)據(jù)進(jìn)行加密，使用標(biāo)簽在PE之間轉(zhuǎn)發(fā)數(shù)據(jù)包。DMVPN 方法中的標(biāo)簽是動(dòng)態(tài)隨機(jī)分配的、并不固定，從而有效保證通信傳輸?shù)陌踩?/p>

（4）連接刪除方法更加全面。動(dòng)態(tài)IPSec－VPN 的刪除機(jī)制只有一種，即管理服務(wù)器先刪除數(shù)據(jù)庫中CE1的MAC地址，然后通知PE1刪除PE表 （包含源IP和MAC地址、目的IP、端口）中的相關(guān)內(nèi)容，從而刪除連接，VPN 下一次連接申請前仍需進(jìn)行身份注冊。該方法只能由服務(wù)器發(fā)起刪除操作，不能確保及時(shí)刪除鏈路，容易導(dǎo)致鏈路的長期占用。DMVPN 方法有2種刪除機(jī)制，即Terminate－Request型和Out－Time型。Terminate－Request型由用戶主動(dòng)申請刪除連接；Out－Time型引入時(shí)間域概念，設(shè)定傳輸時(shí)長來限制數(shù)據(jù)傳輸?shù)臅r(shí)間，當(dāng)傳輸時(shí)長到來即由管理服務(wù)器刪除連接并通過CE通知節(jié)點(diǎn)。2種機(jī)制結(jié)合使用，節(jié)點(diǎn)和管理服務(wù)器都能發(fā)起刪除操作，確保鏈路資源不被長期占用、節(jié)點(diǎn)之間的路由不會(huì)一直導(dǎo)通。DMVPN 連接的刪除只是刪除節(jié)點(diǎn)的過濾規(guī)則，當(dāng)VPN 之間無節(jié)點(diǎn)連接時(shí)再刪除標(biāo)簽信息和虛擬路由轉(zhuǎn)發(fā)VRF表，節(jié)點(diǎn)下一次申請連接之前無需進(jìn)行身份注冊。

5 結(jié)束語

本文針對VPN 互訪需求，提出了動(dòng)態(tài)MPLS－VPN 方法。該方法使用隨機(jī)分配的標(biāo)簽，在有VPN 互訪需求的2個(gè)節(jié)點(diǎn)所在VPN 之間創(chuàng)建MPLS通道，利用互訪規(guī)則集和過濾規(guī)則實(shí)現(xiàn)節(jié)點(diǎn)到節(jié)點(diǎn)的數(shù)據(jù)傳輸控制。DMVPN 方法具有細(xì)粒度控制、適用于大多數(shù)VPN 之間的節(jié)點(diǎn)互訪、刪除機(jī)制更加全面以及數(shù)據(jù)傳輸可控的優(yōu)點(diǎn)。該方法對于管理服務(wù)器的要求較高，適合于VPN 互訪需求較少的情況。下一步研究將著重于改善服務(wù)器性能，包括優(yōu)化DMVPN方法連接建立方式和標(biāo)簽分配方法、增強(qiáng)DMVPN 方法的數(shù)據(jù)傳輸可控性，使DMVPN 方法能在更大范圍、更廣地域內(nèi)可靠實(shí)施。

［1］DING Yi.The research and implementation of Layer3 MPLS VPN ［D］.Shanghai：Fudan University，2010 （in Chinese）.［丁一.Layer3 MPLS VPN 技術(shù)的研究和實(shí)現(xiàn) ［D］.上海：復(fù)旦大學(xué)，2010.］

［2］Ishimura K，Tamura T，Mizuno S，et al.Dynamic IP－VPN architecture with secure IPsec tunnels ［C］／／8th Asia－Pacific Symposium on Information and Telecommunication Technologies.IEEE，2010：1－5.

［3］Karbasioun MM，Berenjkub M，Taji B.Securing mobile IP communications using MOBIKE protocol ［C］／／International Conference on Telecommunications.IEEE，2008：1－5.

［4］Devarapalli V，Eronen P.Secure connectivity and mobility using mobile IPv4and IKEv2 mobility and multihoming （MOBIKE） ［EB／OL］. ［2013－03－02／2013－12－20］.http／／tools.ietf.org／html／rfc5266.

［5］NI Yanbiao.The research and implementation of applying MPLS VPN in the telecommunications supporting networks［D］.Beijing：Beijing University of Posts and Telecommunications，2010 （in Chinese）.［倪彥彪.MPLS VPN 在電信支撐網(wǎng)中的研究與實(shí)現(xiàn) ［D］.北京：北京郵電大學(xué)，2010.］

［6］LANG He.Programming and application of MPLS VPN technology in Tianjin power integrated services digital networks［D］.Tianjin：Tianjin University，2010 （in Chinese）.［郎赫.MPLS VPN 技術(shù)在天津電力綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)中的規(guī)劃應(yīng)用［D］.天津：天津大學(xué)，2010.］

［7］Lasserre M， Kompella V. Virtual private LAN service（VPLS）using label distribution protocol signaling ［R］.RFC 4762，2007.

［8］HAN Likun.The design and practice on IP bearer network CDMA of Ningxia telecom ［D］.Beijing：Beijing University of Posts and Telecommunications，2011 （in Chinese）.［韓立琨.寧夏電信CDMA IP承載網(wǎng)絡(luò)方案設(shè)計(jì)與實(shí)踐 ［D］.北京：北京郵電大學(xué)，2011.］

［9］Liao WH，Su SC.A dynamic VPN architecture for private cloud computing ［C］／／Fourth IEEE International Conference on Utility and Cloud Computing.IEEE，2011：409－414.

［10］WANG Liping.Applications of MPLS VPN technologies in remotecontrol monitoring ［D］.Beijing：Beijing University of Posts and Telecommunications，2010（in Chinese）. ［王莉萍.MPLS VPN技術(shù)在遙控監(jiān)測中的應(yīng)用［D］.北京：北京郵電大學(xué)，2010.］

［11］FAN Yaqin，ZHANG Licui，MA Qiang.Application of IPSec technology for MPLS VPN security solution ［J］.Journal of Jilin University （Information Science Edition），2008，26（1）：6－9 （in Chinese）. ［范亞芹，張麗翠，馬強(qiáng).IPSec技術(shù)在MPLS VPN 安全保障中的應(yīng)用 ［J］.吉林大學(xué)學(xué)報(bào) （信息科學(xué)版），2008，26 （1）：6－9.］