中文名 | 用户网络边缘设备 | 外文名 | Customer Edge CE |
---|
近年来 ,电子商务等网络应用的飞速发展,使网络安全问题体现得尤为突出。在这种背景下,VPN 的应用越来越广泛。当前实现 VPN的技术有多种,其中BGP / MPLS VPN 以其可扩展性好、 转发效率高、 灵活的地址策略等优势而得到广泛的部署。
BGP / MPLS VPN 中有3 种路由器,即用户边缘( Customer Edge,CE) 路由器,提供商边界 ( ProviderEdge,PE)路由器,提供商(Provider,P)路由器PE 路由器和 P路由器保存到达外网的全局路由表信息,而CE 路由器保存VPN 内网的路由信息PE 路由器上使用独立的虚拟路由转发实例 ( Virtual outing andForwarding Instance,V F)来保存并交换来自CE 路由器的 VPN路由信息,这些路由信息不与全局路由表交互 P路由器通常只根据数据包的标签执行快速转发,并不参与 VPN内网的路由信息交换。 这样,各VPN 路由信息只存在于各自独立的V F 下,PE 路由器和 P路由器的主路由表并没有各 VPN的路由信息,从而通过这样的路由隔离来实现流量隔离,提供了VPN 之间通信的安全性。由于采用了路由隔离,VPN中的用户不能访问Internet 。然而,VPN 中的某些用户除了需要安全的共享自身所在 VPN的网络资源,同时还需要能够访问Internet。 因此,在典型BGP / MPLS VPN 的基础上,结合使用 G E隧道技术,把特定的需要访问 Internet的流量通过隧道从 V F中分离出来,然后依据全局路由表的路由信息发往 Internet,而发往同一 VPN其它站点的流量仍依据 V F中的路由信息转发 ,应用各种仿真软件模拟网络环境已经得到广泛的应用。
在 用户网络和提供商网络之间 ,即在客户边缘 (CE)设备和提供商边缘 (PE)设备之间通过用户网络接口 (UNI)相互连接 ,如图《边缘接入控制模型》所示。用户跨越 UNI进行网络访问,产生用户网络业务流(UNSF)映射为一个单一的业务会话虚连接(SCVC)。在提供商网络侧的 PE针对每个 SCVC部署接入控制策略 ,控制业务流允许进入网络的流量 ,从而实现占用网络资源与业务服务等级之间的合理匹配。
边缘 PE的每个接口都配有入方向和出方向的接入控制策略表 ,且相互独立。
接入控制是一个策略模块,用于控制业务数据流的转发和网络安全部署。接入控制策略是一个有序的语句集,它基于已建立的标准匹配报文中信息与接入控制表参数,来允许报文通过或拒绝报文通过某个接口。接入控制策略控制范围之外,设备将按默认方式工作,如默认转发。接入控制策略应用于接口,每个接口可以配置不同的接入控制策略表(即接入控制表) ,其对数据流的监控具有方向性—“向内”2100433B
CE设备
CE更多的是出现在VPN中的,与之对应的是PE。
CE(Customer Edge)设备:是用户网络边缘设备,有接口直接与服务提供商相连,可以是路由器,也可以是交换机等。CE是感知不到VPN的存在的。
PE是运营商边缘路由器(Provider Edge)。
CE和PE的划分主要都是从运营商和用户的管理范围来划分的。这两者是范围的边界。
接入控制功能的实现为业务提供商给用户基于策略的流量限制提供了可能,更好地满足网络成本与业务服务等级之间的公平性,同时提高了网络的安全性。
引入EDGE以后,一个信元将包括两类收发机:标准GSM收发机和EDGE收发机。信元中的每个物理信道(时隙)一般至少具有四种信道类型:(1)、GSM语音和GSM电路交换数据(CSD);(2)、GPRS分...
Solid Edge标准件库啊,你不用求了,我免费告诉你,登录linkable PARTcommunity,注册后资源全部免费下载,数据资源涉及标准件、紧固件、轴承、弹簧、工控产品、电机、工业电气、管...
三星的手机真的很难适应的,但是前提是低端版本的,低端机器的话绝对是 不建议买三星的手机来的,但是如果是高端的版本的话呢那就是不一定的了 三星S6的话还算可以的高端版本的手机来的,楼主问的那个东西是感应...
基于CE-CE的路由认证机制重新应用了在CE-PE 路由认证过程中的MD5密钥,它的好处是不需要CE路由器或VPN站点改变或进行软件升级。机制运行时,PE路由器必须为每个VPN指明哪个MD5密钥是用来验证路由信息的,必须让每个VPN在所有的CE-PE 链路的路由认证过程使用同一个MD5密钥。MD5密钥必须唯一的对应一个VPN。VPN用户用此MD5密钥配置其所有的CE路由器。MPLS 服务提供商也用此密钥配置与客户CE连接的PE路由器。
路由信息发布过程为如下方式:
CE路由器向PE登记VPN的成员信息:一个PE有可能为多个VPN的CE服务,而PE必须能够辨别CE属于哪个VPN。每一个VPN都具有自己的VPN ID,VPN ID在提供者域内应该是唯一的,PE就是根据这个VPN ID来辨别CE属于哪个VPN。另外,CE路由器必须向PE路由器提供本VPN的路由认证密钥,因此如果在CE-PE之间采用动态路由协议,那么必须对路由协议进行MD5路由认证。一般只有经过MD5认证成功的路由信息才能够写入相应的VRF中,并且该VRF也是需要路由认证机制的。如果要在PE路由器上配置需要MD5认证的VRF时,必须确保先进行本地的路由认证然后才向其它PE路由上传播路由信息。此处的路由认证主要包括检查并确认在VRF中所有从连接的CE路由器上接收来的路由信息是否是正确的。
PE路由器需要把VRF转发给骨干网络中其它的PE路由器,只有当本地VRF从相连CE路由器接收到了至少一条路由信息并且该信息已经通过了路由认证机制的检查时才能转发。这样,就避免了将错误的VRF转发到其它VPN中。在配置路由认证机制后,PE 路由器首先为每个VRF产生一个随机数,作为"UPDATE authenticator"的'Generator'域的值。其次将该随机数同MP-BGPUPDATE消息一起进行HAMC MD5加密,此处用到的MD5密钥是与该VRF对 应CE的 密 钥 , 加 密结 果 写 在UPDATE-authenticator的"HMAC-MD5Signature" 域中。PE还要在UPDATE-authenticator属性上填充'key-identifier'域值。在VPN网络中,每个VRF的MD5密钥都与全局唯一的'key-identifier'相对应。每个有VPN成员的PE路由器均有 映射关系表,接收端PE应用'key-identifier'域值在映射表中查找相应MD5密钥来验证路由更新信息。最后,路由消息被送往 BGP 等价对 (其它的路由器或路由反射器),消息中route-targets值决定哪个PE路由器接收该路由信息,也决定了将更新哪一个VRF。
当PE路由器接收到UPDATE authenticator消息后,将进行一系列的检查,通过检查的路由消息才能够写入路由信息表中。接收路由信息的过程如下:首先检查路由信息是否包含UPDATE-authenticator属性,当路由信息具有UPDATE-authenticator属性并且VRF需要进行路由认证时,接收端PE才根据'key-identifier'域值在映射表中查找相应MD5密钥,用此密钥 对 路 由 信 息 进 行MD5加 密 , 然 后 将 加 密 结 果 与 接 收 到 的"UPDATEauthenticator" 属性中的值进行比较,如果两个值是相同的,则将路由信息写入VRF,如果两个值不同,则记录一个警告信息以提示出现错误配置。如《算法框图》所示:
IF target VRF is configured for Verification
THEN
IF UPDATE-authenticator attribute is present
THEN
subroutine determine_MD5-key
verify UPDATE-authenticator with MD5-key
IF result = signature of received UPDATE-authenticator
THEN
import route into VRF
ELSE
mark routes as 'not authenticated'; log error
ELSE
mark routes as 'not authenticated'; log error
ELSE
mark routes as 'not authenticated'; log error
subroutine determine_MD5-key
IF key-identifier = 0
THEN
MD5-key = the MD5 key used for routing authentication with one of the
routing peers of the VRF.
ELSE
MD5-key = lookup_in_config (key-identifier)
RETURN MD5-key.
与RFC2547中定义的BGP/MPLS VPN的路由信息发布过程类似,每个CE还需要知道它所能达到的地址信息,它将从与PE路由器接口相对应的VRF表中获取路由信息。
这种基于CE-CE的路由认证机制,目的是保证PE路由器上路由目标的正确配置,以顺利地完成BGP/MPLS VPN网络中路由配置、实现路由隔离及VPN之间的访问控制。应用这个认证机制的结果是将不属于该VPN网络的CE路由器进行隔离,并且对于出现的错误进行报警。
1 微波器件测试应用的技术突破 介绍日程 ?新一代网络分析仪 PNA-X ?PNA-X 硬件结构 ?放大器 IMD测试 ?器件脉冲特性测试 ?变频器件测试 ?噪声系数测试 2 器件特性 测试参数 典型指标 对信号的放大 /衰减,延时 线性特性 传输和反射指标 输入和输出端口驻波比、增益 /插损 。延时等 对信号的非线性处理特性,信号的 变频或交调失真 信号传输非线性失真 1dB压缩点;三阶交调; ACPR 恶 化;CCDF,X参数等 在输入信号中叠加噪声 信号信噪比恶化 噪声系数;寄生相位噪声 调制器 解调器 理想信号状态 噪声干扰 相位噪声 功率压缩 器件相位失真 码间串扰 单频干扰 微波射频电路的性能参数 网络分析仪的基本结构 测试端口 1 测试端口 2 LO* 激励源 R2接收机 B接收机A接收机 A/D A/D A/D 输出衰减器输出衰减器 X 倍频器 R1接收机 A/D 被测件
消防设备产品怎么办理 CE认证? CE认证技术咨询 消防产品,是指专门用于火灾预防、灭火救援和火灾防护、避难、逃生的产品。 常见的消防产品有喷水器、 灭火器、烟雾报警器、消防水带、喷水灭火设备等等。 “CE”标志是一种安全认证标志, 被视为制造商打开并进入欧洲市场的护照。 所 以,消防产品出口欧盟也需要办理强制 CE认证,下面一起看看消防设备产品怎 么办理 CE认证? 消防产品 CE认证标准: EN 54 火灾探测和火灾报警系统 EN 12094-1 固定消防系统 -气体灭火系统用元件 -第 1部分:电气自动控制和延迟 装置的要求和测试方法 EN 12094-2 固定消防系统 -气体灭火系统用元件 -第 2部分:非电气控制和延迟装 置的要求和测试方法 EN 12094-3 固定消防系统 -气体灭火系统用元件 -第 3部分:人工触发和停止装置 的要求和测试方法 EN 12094-4 固定消防
Water Edge处于罕见的集海滨、交通、购物、休闲、娱乐为一体的地区Rhodes区。地铁、大型购物中心、娱乐设施应有尽有。
Water Edge以其优美的景色、发达的商业而成为人口密集且新房林立的高尚新区。与Mirvac的Rhodes Shopping Centre著名的宜家商场-IKEA近在咫尺,附近的Rhodes火车站连通着其它各区。最令人关注的是,该楼盘离南半球最大的购物中心Top Ryde Shopping Centre 仅5分钟的车距,便利的购物及交通设施使得该区成为众多购买者关注的焦点。属于“地理中心”,同时具有火车和巴士等公共交通,是悉尼进出最方便的地区之一。
Mirvac本次推出的楼盘步行至Rhodes火车站仅需5分钟。
EDGE Router无线路由器采用高性能的工业级ARM9通信处理器,以嵌入式实时操作系统为软件支撑平台,系统集成了全系列从逻辑链路层到应用层通信协议,支持静态及动态路由,PPP server及PPP client,VPN(包括PPTP和IPSEC),DHCP server及DHCP client,DDNS,防火墙,NAT,DMZ主机等功能。为用户提供安全,高速,稳定可靠,各种协议路由转发的无线路由网络。本产品已广泛应用于金融,水利,环保,电力,邮政,气象等行业
《Solid Edge钣金设计》是Velocity Series实践指导专题类辅导书,系统、全面地介绍了Solid Edge钣金设计模块的各种设计功能、操作方法和设计技巧。在内容编排上,充分考虑读者的思路和接受能力,去繁从简、由浅入深,实用性和可操作性强,从而使读者能够迅速上手并且产生成就感。另外,在每个主要章节的实例中,贯穿了Solid Edge设计的特点和技巧,以加深读者的印象和理解。