路由交換協(xié)議

路由交換協(xié)議RIP

RIP(RoutingInformationProtocol)是一種距離向量協(xié)議，是當(dāng)今應(yīng)用最為廣泛的內(nèi)部網(wǎng)關(guān)協(xié)議。在默認(rèn)情況下，RIP使用一種非常簡單的度量制度：距離就是通往目的站點(diǎn)所需經(jīng)過的鏈路數(shù)，取值為1～15，數(shù)值16表示無窮大。RIP進(jìn)程使用UDP的520端口來發(fā)送和接收RIP分組。RIP分組每隔30s以廣播的形式發(fā)送一次，為了防止出現(xiàn)“廣播風(fēng)暴”，其后續(xù)的分組將做隨機(jī)延遲后再發(fā)送。在RIP中，如果一個(gè)路由在180s內(nèi)未被刷新，則相應(yīng)的距離就被設(shè)定成無窮大，并從路由表中刪除該表項(xiàng)。RIP分組分為兩種：請求分組和響應(yīng)分組。

由于RIP1存在一些缺陷，因此RIP2試圖定義一套有效的RIP改進(jìn)方案，例如子網(wǎng)路由選擇、支持無類型域間路由(CIDR，ClasslessInter-DomainRouting)、驗(yàn)證機(jī)制和多點(diǎn)廣播等，并且還定義了過渡策略。但RIP2是一個(gè)兼容性的升級，也就繼承了RIP1的大部分缺點(diǎn)。

路由交換協(xié)議OSPF

為了解決RIP協(xié)議的缺陷，IETF于1998年4月在RFC2328中發(fā)布了OSPF協(xié)議的第二版(OSPFv2)。OSPF(OpenShortest-PathFirst)全稱為開放式最短路徑優(yōu)先協(xié)議，OSPF中的O意味著OSPF標(biāo)準(zhǔn)是對公共開放的，而不是封閉的專有路由方案。

OSPF采用鏈路狀態(tài)協(xié)議算法，每個(gè)路由器維護(hù)一個(gè)相同的鏈路狀態(tài)數(shù)據(jù)庫，保存整個(gè)AS的拓?fù)浣Y(jié)構(gòu)(在自治系統(tǒng)不再劃分的情況下)。一旦每個(gè)路由器都有了完整的鏈路狀態(tài)數(shù)據(jù)庫之后，該路由器就可以自己為根構(gòu)造最短路徑樹，然后再根據(jù)最短路徑構(gòu)造路由表。對于大型的網(wǎng)絡(luò)，為了進(jìn)一步減少路由協(xié)議通信流量，利于管理和計(jì)算，OSPF將整個(gè)自治系統(tǒng)劃分為若干個(gè)區(qū)域，區(qū)域內(nèi)的路由器維護(hù)一個(gè)相同的鏈路狀態(tài)數(shù)據(jù)庫，保存該區(qū)域的拓?fù)浣Y(jié)構(gòu)。OSPF路由器相互間交換信息，但它們交換的信息不是路由，而是鏈路狀態(tài)。OSPF定義了5種分組：Hello分組用于建立和維護(hù)連接；數(shù)據(jù)庫描述分組用于初始化路由器的網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)庫，當(dāng)發(fā)現(xiàn)數(shù)據(jù)庫中的某部分信息已經(jīng)過時(shí)時(shí)，路由器發(fā)送鏈路狀態(tài)請求分組，請求相鄰節(jié)點(diǎn)提供更新信息；路由器使用鏈路狀態(tài)更新分組來主動(dòng)擴(kuò)散自己的鏈路狀態(tài)數(shù)據(jù)庫或?qū)︽溌窢顟B(tài)請求分組進(jìn)行響應(yīng)；由于OSPF直接運(yùn)行在IP層，協(xié)議本身要提供確認(rèn)機(jī)制，鏈路狀態(tài)應(yīng)答分組是對鏈路狀態(tài)更新分組的確認(rèn)。

與其他協(xié)議相比，OSPF有許多優(yōu)點(diǎn)。例如，OSPF支持各種不同鑒別機(jī)制(如簡單口令驗(yàn)證、MD5加密驗(yàn)證等)，并且允許各個(gè)系統(tǒng)或區(qū)域采用互不相同的鑒別機(jī)制；提供負(fù)載均衡功能，如果計(jì)算到某個(gè)目的站有若干條費(fèi)用相同的路由，OSPF路由器則會(huì)把通信流量均勻地分配給這幾條路由，沿這幾條路由把該分組發(fā)送出去；在一個(gè)自治系統(tǒng)內(nèi)可劃分出若干個(gè)區(qū)域，每個(gè)區(qū)域根據(jù)自己的拓?fù)浣Y(jié)構(gòu)計(jì)算最短路徑，可以減少OSPF路由實(shí)現(xiàn)的工作量；OSPF屬動(dòng)態(tài)的自適應(yīng)協(xié)議，對于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變化可以迅速地做出反應(yīng)，并進(jìn)行相應(yīng)調(diào)整，提供短的收斂期，使路由表盡快穩(wěn)定，并且與其他路由協(xié)議相比，OSPF在對網(wǎng)絡(luò)拓?fù)渥兓奶幚磉^程中僅需要最少的通信流量；OSPF提供點(diǎn)到多點(diǎn)的接口，支持CIDR地址。

OSPF的不足之處就是協(xié)議本身龐大復(fù)雜，實(shí)現(xiàn)起來較RIP困難。

路由交換協(xié)議IS-IS協(xié)議

和OSPF一樣，IS-IS也包含一些子協(xié)議。其中，Hello協(xié)議用來發(fā)現(xiàn)鄰機(jī)，在廣播鏈路上選舉指派路由器；擴(kuò)散協(xié)議用來在區(qū)域或主干中傳播鏈路狀態(tài)記錄。

路由交換協(xié)議IGRP

由于RIP的局限性，Cisco公司在20世紀(jì)80年代中期開發(fā)了IGRP(InteriorGatewayRoutingProtocol)，它是一個(gè)距離向量家族的路由協(xié)議。IGRP使用組合度量制式，其路由更新的每一項(xiàng)都包含了一組4種度量制式：延遲(D)、帶寬(B)、可靠性(R)和負(fù)載(L)。此外，它還包括2個(gè)不參與路徑計(jì)算的變量：路由中的跳數(shù)(H)和路徑MTU的計(jì)算結(jié)果。

IGRP的更新發(fā)送間隔更長(90s)，使用組合度量制式，可選擇多路徑路由、環(huán)路檢測和處理默認(rèn)路由的新手段。IGRP最大的缺點(diǎn)是它為Cisco私有，故僅局限于Cisco產(chǎn)品，而RIP是任何平臺(tái)上IP路由的一部分。

路由交換協(xié)議EIGRP

IGRP存在的缺點(diǎn)是它的環(huán)路檢測會(huì)持續(xù)較長時(shí)間，且路由更新的周期性發(fā)送也會(huì)造成同樣效應(yīng)。因此Cisco公司還開發(fā)了EIGRP(EnhancedlnteriorGatewayRoutingProtocol)。EIGRP仍是一個(gè)距離向量協(xié)議，使用了與IGRP相同的組合度量制式，除此之外就沒什么相似之處了。EIGRP使用了擴(kuò)散計(jì)算系統(tǒng)，保持快速收斂、避免環(huán)路產(chǎn)生。EIGRP比傳統(tǒng)的距離向量協(xié)議使用更少的帶寬。這使它適用于低帶寬、高費(fèi)用WAN鏈路。最重要的是，EIGRP不僅可用于IP，而且還可用于IPX和AppleTalk。

早期的互聯(lián)網(wǎng)最初采用一種外部網(wǎng)關(guān)協(xié)議(EGP，ExteriorGatewayProtocol)的。EGP是為一個(gè)簡單的樹形拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)的。隨著互聯(lián)網(wǎng)的迅速擴(kuò)大，EGP逐漸暴露出了很多的局限性，如不能處理環(huán)路和多個(gè)網(wǎng)絡(luò)網(wǎng)狀連接等情況。為了克服EGP的局限性，IETF制定了實(shí)際上現(xiàn)已成為標(biāo)準(zhǔn)的邊界網(wǎng)關(guān)協(xié)議(BGP，BorderGatewayProtocol)。

BGP經(jīng)歷了不同的階段，從最早的版本BGP1發(fā)展到了當(dāng)前的版本BGP4。BGP4是第一個(gè)支持CIDR的版本。

BGP是一種用于在自治系統(tǒng)之間傳遞路由信息的路徑向量協(xié)議。路徑向量的含義是指BGP路由消息中帶有一個(gè)自治域號碼的序列，它說明了一條路由所通過的路徑，這樣可有效地檢測并避免復(fù)雜拓?fù)浣Y(jié)構(gòu)中可能出現(xiàn)的環(huán)路問題。BGP支持CIDR尋址方式，減少了路由表長度，從而加快了選路速度。另外，BGP使用TCP作為其傳輸協(xié)議(缺省端口號為179)，這保證了傳輸?shù)目煽啃裕捎诓铄e(cuò)控制功能全部由TCP協(xié)議完成，因此BGP自身的實(shí)現(xiàn)就變得非常簡單。

BGP協(xié)議在TCP連接上傳送4種消息類型，包括：Open分組用來建立對等體連接；Update消息用來在BGP對等體之間傳輸路由信息；Keepalive消息用于周期性刷新對等體連接，以確保連接的有效性；Notification消息用于通知其他BGP對等體檢測到一個(gè)差錯(cuò)。

BGP協(xié)議的運(yùn)行分為建立對等體連接和路由更新處理兩個(gè)階段。BGP進(jìn)程的對等體連接建立過程可用如圖2所示的有限狀態(tài)機(jī)模型來表示。

圖2BGP對話的有限狀態(tài)機(jī)模型

①空閑狀態(tài)：這是連接的第一階段。BGP進(jìn)程等待一個(gè)通常由網(wǎng)絡(luò)管理員發(fā)出的啟動(dòng)事件，然后BGP初始化資源，復(fù)位連接重試計(jì)數(shù)器，打開一個(gè)TCP連接端口，并開始監(jiān)聽可能由遠(yuǎn)程對等體啟動(dòng)的連接，若成功，就轉(zhuǎn)換到連接狀態(tài)，否則將回到空閑狀態(tài)。

②連接狀態(tài)：BGP進(jìn)程等待TCP連接的建立。如果TCP連接已建立，就轉(zhuǎn)換到OPEN發(fā)送狀態(tài)，同時(shí)發(fā)送OPEN消息。如果TCP連接沒有建立，那么將轉(zhuǎn)換到行動(dòng)(active)狀態(tài)。如果連接重試計(jì)時(shí)器溢出，狀態(tài)就停留在連接階段，計(jì)時(shí)器將被復(fù)位，一個(gè)TCP連接請求被啟動(dòng)。

③行動(dòng)狀態(tài)：BGP進(jìn)程建立一個(gè)TCP連接，獲得一個(gè)對等體。若成功，則轉(zhuǎn)換為Open發(fā)送狀態(tài)，同時(shí)發(fā)送Open消息。如果TCP連接計(jì)時(shí)器溢出，那么BGP進(jìn)程將重新設(shè)置計(jì)時(shí)器，并回到連接狀態(tài)。一般地，如果BGP進(jìn)程的狀態(tài)在連接與行動(dòng)之間來回變化，則表明存在故障，不能建立TCP連接。這可能是因?yàn)閷Φ润w的IP地址不可達(dá)。

④Open發(fā)送狀態(tài)：BGP進(jìn)程等待接收來自對等體的Open消息。若收到Open消息，就對Open消息進(jìn)行正確性檢查：如果沒有錯(cuò)誤，就轉(zhuǎn)換為Open確認(rèn)狀態(tài)，同時(shí)開始發(fā)送Keepalive消息，并且復(fù)位Keepalive時(shí)鐘；否則，發(fā)送Notification消息，轉(zhuǎn)換到空閑狀態(tài)。在這個(gè)階段，BGP進(jìn)程比較對等體的自治域號碼，以確認(rèn)對等體是內(nèi)部對等體還是外部對等體。

⑤Open確認(rèn)狀態(tài)：BGP進(jìn)程等待一個(gè)Keepalive或Notification報(bào)文。如果收到Keepalive報(bào)文，就進(jìn)入對等已建立狀態(tài)，表示對等體連接已建立；如果收到Notification報(bào)文，則回到空閑狀態(tài)。

⑥已建立狀態(tài)：BGP進(jìn)程與對等體交換Update或Keepalive數(shù)據(jù)包，假設(shè)Keepalive計(jì)時(shí)器的值不是零，那么當(dāng)收到Update或Keepalive數(shù)據(jù)包時(shí)，計(jì)時(shí)器將復(fù)位。如果收到任何Notification報(bào)文，則說明系統(tǒng)出現(xiàn)錯(cuò)誤，將就回到空閑狀態(tài)。

路由更新處理是BGP協(xié)議的核心。當(dāng)BGP收到一個(gè)Update消息時(shí)，首先驗(yàn)證Update數(shù)據(jù)包的有效性，若Update消息內(nèi)沒有錯(cuò)誤信息，那么就調(diào)用圖3所示的路由更新處理過程。

一個(gè)Update消息或者通告一條可達(dá)路由，或者撤銷多條不再可達(dá)路由。對于不可達(dá)路由，BGP將從BGP路由表或路由信息庫的輸入路由表中刪除這些不可達(dá)路由，然后再調(diào)用決策過程處理。對于收到的可達(dá)路由信息，BGP將根據(jù)輸入路由策略進(jìn)行路由過濾及屬性控制。例如，BGP要過濾從一個(gè)對等體收到的一條路徑的某個(gè)自治域號碼，為了防止流量通過該對等體到達(dá)該自治網(wǎng)絡(luò)，輸出的路由將存儲(chǔ)到BGP路由表或路由信息庫的輸入路由表中。

BGP決策過程基于路徑屬性值，在多條可達(dá)路由中選擇一條到達(dá)某個(gè)目的地的最佳路由。BGP協(xié)議使用的一些重要的路徑屬性包括：

①起源(Origins)：表示一條路由的起源，如由外部BGP獲取，或者由內(nèi)部路由協(xié)議輸入等。

圖3BGP路由更新處理過程

②自治系統(tǒng)路徑(AS_Path)：一條路由到達(dá)一個(gè)目的地址所經(jīng)過的一系列自治系統(tǒng)號碼。

③下一段地址(Next-hop)：到達(dá)一個(gè)網(wǎng)絡(luò)的下一跳地址。

④多出口判別(MULTI_EXIT_DISC)：用于提示進(jìn)入一個(gè)多入口自治系統(tǒng)的入口優(yōu)先級。

⑤本地優(yōu)先(LOCAL_PREF)：用于自治系統(tǒng)內(nèi)部到達(dá)某一地址出口點(diǎn)的優(yōu)先權(quán)。

BGP決策過程分為以下幾個(gè)步驟：

①如果下一段地址是不可達(dá)的，這路由就要被忽略；

②優(yōu)先選擇最大本地優(yōu)先的路由；

③如果本地優(yōu)先相同，優(yōu)先選擇本地始發(fā)的路由；

④如果本地始發(fā)相同，優(yōu)先選擇具有最短自治系統(tǒng)路徑的路由；

⑤如果自治系統(tǒng)路徑相同，優(yōu)先選擇具有低起源屬性的路由；

⑥如果起源屬性相同，優(yōu)先選擇具有最低多出口判別屬性值的路由；

⑦如果以上情況都相同，優(yōu)先選擇可通過最近對等體到達(dá)的路由。

由以上決策過程產(chǎn)生的最佳路由是路由器本身使用的，將被存儲(chǔ)到BGP路由表的內(nèi)部使用路由表中，同時(shí)輸入到路由轉(zhuǎn)發(fā)表。

BGP路由表中內(nèi)部使用路由表的路由以及路由器在本地產(chǎn)生的路由需要通告給其他的對等體。在送出更新消息以前，要應(yīng)用輸出策略進(jìn)行路由過濾及屬性控制。例如，自治系統(tǒng)內(nèi)存在多個(gè)入口，給各個(gè)入口設(shè)置不同的多出口判別屬性來調(diào)整各個(gè)入境流量的大小。另外，還需區(qū)別內(nèi)部和外部對等體，例如從內(nèi)部對等體得知的路由不應(yīng)傳送到內(nèi)部對等體。

總之，BGP協(xié)議是一種基于策略的路由協(xié)議，雖然協(xié)議本身相對簡單，但配置相當(dāng)復(fù)雜，若使用不當(dāng)，則有可能影響其他網(wǎng)絡(luò)。更詳細(xì)的BGP協(xié)議內(nèi)容及應(yīng)用指導(dǎo)參見IETFRFC1771、RFC1773等。

路由協(xié)議按路由算法一般劃分為距離向量協(xié)議和鏈路狀態(tài)協(xié)議兩類。距離向量協(xié)議，也稱為Bellman-Ford算法，是指使用中繼計(jì)數(shù)表示源節(jié)點(diǎn)到目的節(jié)點(diǎn)的距離，它基于下面的計(jì)算公式來計(jì)算兩個(gè)節(jié)點(diǎn)間距離：

D(i，i)=0

D(i，j)=min[d(i，k) D(k，j)]

其中，D(i，j)表示從節(jié)點(diǎn)(節(jié)點(diǎn)為網(wǎng)絡(luò)或路由器)i到節(jié)點(diǎn)j的最短路徑，d(i，k)表示從節(jié)點(diǎn)i到k的直接路徑，也就是說，節(jié)點(diǎn)i和k之間沒有中介節(jié)點(diǎn)。具體運(yùn)算步驟如下：

①所有的路由器都建有一個(gè)路由表，使系統(tǒng)中的所有目的地址都出現(xiàn)在表中，每一個(gè)表項(xiàng)內(nèi)容均包括目的地址和下一站地址，記為元組(N，G)。

②路由器周期性地向鄰居發(fā)送更新分組，更新分組的內(nèi)容為路由表中的所有信息。

③鄰居路由器接收處理更新分組。設(shè)更新分組來自G'，根據(jù)更新分組計(jì)算到目的地址N的路由開銷為D'，如果D'

鏈路狀態(tài)協(xié)議，也稱最短路徑算法，其計(jì)算原理可以分為以下4個(gè)過程來描述：

①發(fā)現(xiàn)該路由器的鄰居，獲取它們的網(wǎng)絡(luò)地址，建立相鄰關(guān)系，并測量到每個(gè)相鄰路由器的開銷或延遲。建立相鄰關(guān)系是通過發(fā)送Hello分組來實(shí)現(xiàn)的。

②將用于交換的信息收集起來，構(gòu)造包含這些信息的鏈路狀態(tài)消息。創(chuàng)建鏈路狀態(tài)消息的時(shí)機(jī)分兩種，一種為定期創(chuàng)建，另一種就是當(dāng)有事件發(fā)生時(shí)創(chuàng)建。

③通過flood(擴(kuò)散)算法，向所有的其他路由器發(fā)送該消息。在鏈路狀態(tài)路由選擇算法中，如何可靠地發(fā)布鏈路狀態(tài)消息包是相當(dāng)重要的。鏈路狀態(tài)算法實(shí)現(xiàn)的好壞在一定程度上取決于flood算法的優(yōu)劣。

④根據(jù)收集到的鏈路狀態(tài)信息，通過Dijkstra算法計(jì)算本路由器到全網(wǎng)其他路由器或網(wǎng)絡(luò)的最短距離。

鏈路狀態(tài)協(xié)議與距離向量協(xié)議相比，其優(yōu)點(diǎn)是基于量度值(如鏈路帶寬和時(shí)延)，而不是由中繼計(jì)數(shù)來選擇優(yōu)化路由，因此可使網(wǎng)絡(luò)負(fù)載平衡；通過鏈路狀態(tài)更新，將鏈路和節(jié)點(diǎn)狀態(tài)的變化情況擴(kuò)散到整個(gè)網(wǎng)絡(luò)，使所有路由器馬上更新路由表，使網(wǎng)絡(luò)具有更好的收斂特性。

ldp利用路由轉(zhuǎn)發(fā)表建立lsp 　ldp通過逐跳方式建立lsp時(shí)，利用沿途各lsr路由轉(zhuǎn)發(fā)表中的信息來確定下一跳，而路由轉(zhuǎn)發(fā)表中的信息一般是通過igp、bgp等路由協(xié)議收集的。ldp并不直接和各種路由協(xié)議關(guān)聯(lián)，只是間接使用路由信息。 　通過已有協(xié)議的擴(kuò)展支持mpls標(biāo)簽分發(fā) 　雖然ldp是專門用來實(shí)現(xiàn)標(biāo)簽分發(fā)的協(xié)議，但ldp并不是唯一的標(biāo)簽分發(fā)協(xié)議。通過對bgp、rsvp（resource reservation protocol）等已有協(xié)議進(jìn)行擴(kuò)展，也可以支持mpls標(biāo)簽的分發(fā)。 　通過某些路由協(xié)議的擴(kuò)展支持mpls應(yīng)用 　在mpls的應(yīng)用中，也可能需要對某些路由協(xié)議進(jìn)行擴(kuò)展。例如，基于mpls的vpn應(yīng)用需要對bgp進(jìn)行擴(kuò)展，使bgp能夠傳播vpn的路由信息；基于mpls的流量工程te（traffic engineering）需要對ospf或is-is協(xié)議進(jìn)行擴(kuò)展，以攜帶鏈路狀態(tài)信息。 　lspm: lsp management

隧道技術(shù)的實(shí)質(zhì)是如何利用一種網(wǎng)絡(luò)層的協(xié)議來傳輸另一種網(wǎng)絡(luò)層的協(xié)議，其基本功能是封裝和加密，主要利用隧道協(xié)議來實(shí)現(xiàn)。封裝是構(gòu)建隧道的基本手段。從隧道的兩端來看，封裝就是用來創(chuàng)建、維持和撤銷一個(gè)隧道，來實(shí)現(xiàn)信息的隱蔽和抽象。而如果流經(jīng)隧道的數(shù)據(jù)不加密，那么整個(gè)隧道就暴露在公共網(wǎng)絡(luò)中，VPN的安全性和私有性就得不到體現(xiàn)。

網(wǎng)路隧道技術(shù)涉及了3種網(wǎng)絡(luò)協(xié)議：網(wǎng)絡(luò)隧道協(xié)議、隧道協(xié)議下面的承載協(xié)議和隧道協(xié)議所承載的被承載協(xié)議。如圖所示

隧道協(xié)議作為VPN IP層的底層，將VPN IP分組進(jìn)行安裝封裝；隧道協(xié)議同時(shí)作為公用IP網(wǎng)的一種特殊形式，將封裝的VPN分組利用公網(wǎng)內(nèi)的IP協(xié)議棧進(jìn)行傳輸，以實(shí)現(xiàn)隧道內(nèi)的功能。隧道協(xié)議在這個(gè)協(xié)議體系中起著承上啟下的作用。

隧道協(xié)議存在多種可能的實(shí)現(xiàn)方式，按照工作的層次，可分為兩類：一類是二層隧道協(xié)議，用于傳輸二層網(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建撥號VPN（Access VPN）；另一類是三層隧道協(xié)議，用于傳輸三層網(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建內(nèi)部網(wǎng)VPN（Intranet VPN）和外聯(lián)網(wǎng)（VPN Extranet VPN）。

隧道協(xié)議二層隧道協(xié)議

二層隧道協(xié)議指用公用網(wǎng)絡(luò)來封裝和傳輸二層（數(shù)據(jù)鏈路層）協(xié)議，此時(shí)在隧道內(nèi)傳輸?shù)氖菙?shù)據(jù)鏈路層的幀。工作原理如圖所示

在點(diǎn)到點(diǎn)的二層鏈路上，最常用的二層協(xié)議是PPP協(xié)議，隧道協(xié)議實(shí)現(xiàn)中，首先將IP分組封裝在二層的PPP協(xié)議幀中，也就是會(huì)所，先把各種網(wǎng)絡(luò)協(xié)議封裝在PPP中，再把整個(gè)數(shù)據(jù)包裝入二層隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包在公用網(wǎng)絡(luò)中傳輸。

第二層隧道協(xié)議具有簡單易行的優(yōu)點(diǎn)，但是他沒的可擴(kuò)展性不太好，而且提供內(nèi)在的安全機(jī)制安全強(qiáng)度低，因此它們不支持企業(yè)和企業(yè)的外部客戶以及供應(yīng)商之間通信的保密性需求，不適合用來構(gòu)建連接企業(yè)內(nèi)部網(wǎng)和企業(yè)的外部客戶和供應(yīng)商的企業(yè)外部網(wǎng)VPN。

隧道協(xié)議三層隧道協(xié)議

三層隧道協(xié)議是用公用網(wǎng)來封裝和傳輸三層（網(wǎng)路層）協(xié)議（如IP、IPX、AppleTalk等），此時(shí)在隧道內(nèi)傳輸?shù)氖蔷W(wǎng)路層的分組。三層隧道協(xié)議并非是一種很新的技術(shù)，早已出現(xiàn)的RFC 1701 通路路由封裝協(xié)議就是一個(gè)三層隧道協(xié)議。IETF制定的IP層加密標(biāo)準(zhǔn)協(xié)議IPSec 也是一個(gè)三層速到協(xié)議，利用IPSec（ESP/AN）的隧道模式構(gòu)成的VPN隧道。三層隧道協(xié)議的協(xié)議棧如圖所示，

ANCP由GSMPv3（General Switch Management Protocol Version 3）協(xié)議承載，并對GSMPv3協(xié)議進(jìn)行了擴(kuò)充，增加了鄰接關(guān)系的建立與維護(hù)體制。