| ---- 从概念上讲,IP- 的方法可以适用于由一个运 。 |
VPN是运营商(即服务提供者)支 营商来支持的、涉及其他运营商 |
持企业用户应用的方案。一个通用 网络的情况(如运营商的运营商) |
| ----图1给出了实现IP- 服务提供者网络的用户边缘 缘路由器。 |
VPN的一个通用方案。其中,CE 路由器。而PE路由器则是与用户 |
路由器是用于将一个用户站点接入 CE路由器相连的、服务提供者的边 |
 |
| 站点是指这样一组网络 路接至VPN。VPN是指一组共 中。 |
或子网,它们是用户网络的一部 享相同路由信息的站点,一个站 |
分,并且通过一条或多条PE/CE链 点可以同时位于不同的几个VPN之 |
| ----图2显示了一个服务提供者网络 属于多个VPN。依据一定的策略,属于多 力,也可以不提供这种能力。当一个站点 一的地址空间。 |
支持多个VPN的情况。如图2所示,一个站点可以同时 个VPN的站点既可以在两个VPN之间提供一定的转发能 同时属于多个VPN时,它必须具有一个在所有VPN中唯 |
 |
| MPLS为实现IP-VPN提供了一种灵活的 内部网络以及用户的特定需求来决定自己 有多种支持IP-VPN的方法,本文介绍其中 |
、具有可扩展性的技术基础,服务提供者可以根据其 的网络如何支持IP-VPN。所以,在MPLS/ATM网络中, 两种方法。 |
| 方案一 |
| ----本节介绍一种在公 操作方式,即拓扑驱动方式 支持VPN的内部路由。 |
共网中使用MPLS提供IPVPN业 来实现基本的LSP建立过程,同 |
务的方法。该方法使用LDP的一般 时使用两级LSP隧道(标记堆栈)来 |
| ----图3 给出了在MPLS/ATM核心网络 置。 |
中提供IPVPN业务的一种由LER和LSR构成的网络配 |
 |
| ----LER (标记边缘路由器) |
| ----LER是MPLS的边缘 IP业务量,LER将是VPN隧道 当具有执行虚拟路由的能力 这是因为不同VPN的IP地址 |
路由器,它位于MPLS/ATM服务提 的出口与入口节点。如果一个LE 。这就是说,它应当为自己服务 空间可能是有所重叠的。 |
供者网络的边缘。 对于VPN用户的 R同时为多个用户所共享,它还应 的各个VPN分别建立一个转发表, |
| ----LSR(标记交换路由器) |
| ----MPLS/ATM核心网络 |
是服务提供者的下层网络,它为 |
用户的IP-VPN业务所共享。 |
| ----建立IP-VPN区域的操作 |
| ----希望提供IP-VPN的 VPN区域。作为一种普通 一过程被定义为使用基本标 两级LSP隧道(标记堆栈) |
网络提供者必须首先对MPLS域进 的LDP操作,基本的LSP 建立过 记的、基本的或是单级LSP建立 。 |
行配置。这里的MPLS域指的就是IP 程将使用拓扑驱动方法来进行,这 。而对于VPN内部路由,则将使用 |
| ----VPN成员 |
| ----每一个LER都有一个任务,即发 由于本方案最终目的是要建立第二级MPLS 初始化的过程。每一个LER沿着能够到达 LDP Hello消息。LDP Hello消息中会包含 目的LER。 |
现在VPN区域中为同一 IPVPN服务的其他所有LER。 隧道,所以 LER发现对等实体的过程也就是LDP会话 其他 LER的每一条基本网络LSP,向下游发送一个 一个基本的MPLS标记,以方便这些消息能够最终到达 |
| ----LDP Hello消息实际上是一种查 处是否存在与发送方LSR同属一个VPN的LE 后,相关的两个LER之间将开始发起LDP会 当TCP连接建立完成而且必要的初始化消 了。此后,双方各自为对方到自己的LSP 标记将被推入标记栈中,并被置于原有的 |
询消息,通过这一消息,发送方可以获知在目的LER R(对等实体)。新的Hello消息相邻实体注册完成之 话。随后,其中一个LER将初始化与对方的TCP连接。 息交互也完成之后,对等LER之间的会话便建立起来 隧道提供一个标记。如果LSP隧道是嵌套隧道,则该 标记之上。 |
| ----VPN成员资格和可到达性信息的传播 |
| ----通过路由信息的交 需要找到对等LER,还需要 的VPN区域中其他的LER建立 建立LDP会话。 |
换,LER可以学习与之直接相连 找到在一个VPN中哪些LER 是为 直接的LDP会话。换言之,只有 |
的、用户站点的IP地址前缀。LER 同一个VPN服务的。LER将与其所属 支持相同VPN的LER之间才能成功地 |
| ----VPN内的可到达性 |
| ----最早在嵌套隧道中 VPN的一员时,配置信息 配置必要的安全保密特性, ,每一次发现阶段结束之后 |
传送的数据流是LER之间的路由 将包含它在VPN内部要使用的路 以便该LER能够成为其他LER的相 ,每一个LER 都将发布通过它可 |
信息。当一个LER被配置成一个IP 由协议。在这一过程中,还可能会 邻路由器。在VPN内部路由方案中 以到达的、VPN用户的地址前缀。 |
| ----IP分组转发 |
| ----LER之间的路由信息交互完成之 VPN用户的特定地址前缀(FEC转发等价类) 个LER时,转发进程将首先把用于该LER的 该LER的基本网络LSP上下一跳的基本标记 基本网络LSP中的下一个LSR;当该分组到 改变,而嵌套在内部的标记始终保持不变 正确的LER。在LER上,每一个VPN使用的 的嵌套标记空间不同。 |
后,各个LER都将建立起一个转发表,该转发表将把 与下一跳联系起来。当收到的IP分组的下一跳是一 标记(嵌套隧道标记)推入标记栈,随后把能够到达 推入标记分组,接着带有两个标记的分组将被转发到 达目的LER时,最外层的标记可能已经发生许多次的 ;当标记栈弹出后,继续使用嵌套标记将分组发送至 嵌套标记空间必须与该LER所支持的其他所有VPN使用 |
| 方案二 |
| ----本节将对一种在公 行介绍,其技术细节可以参 |
共网中使用MPLS和多协议边界网 见RFC 2547。 |
关协议来提供IP-VPN业务的方法进 |
| ----图1 给出了在MPLS ,图4则给出了使用RFC 254 |
/ATM核心网络中提供IPVPN业 7的网络模型。 |
务的、由LER和LSR构成的网络配置 |
| ----提供者边缘(PE)路由器 |
| ----PE路由器是与用户路由器相连的服务提供者边缘路由器。 |
| ----实际上,它就是一个边缘LSR( 的接口)。 |
即MPLS网络与不使用 MPLS的用户或服务提供者之间 |
| ----用户边缘 (CE)路由器 |
| ----CE路由器是用于将 路由器不使用MPLS,它只是 |
一个用户站点接至PE路由器的用 一台IP路由器。CE不必支持任何 |
户边缘路由器。在这一方案中,CE VPN的特定路由协议或信令。 |
| ----提供者(P)路由器 |
| ----P路由器是指网络中的核心LSR。 |
| ----站点(Site) |
| ----站点是指这样一组网络或子网: 路接至VPN。VPN是指一组共享相同路由信 中。 |
它们是用户网络的一部分,通过一条或多条PE/CE链 息的站点。一个站点可以同时位于不同的几个VPN之 |
| ----路径区别标志 |
| ----服务提供者将为每 ),它对应于服务提供者网 发表里将包含一系列唯一的 接而成的。VPNIP地址对 个节点(即VPN中的每一个P |
一个VPN分配一个唯一的标志符 络中的每一个Intranet或Extran 地址,这些地址称为VPNIP 地 于服务提供者网络中的每一个端 E路由器),转发表中都将存储 |
,该标志符称为路径区别标志(RD et 都是不同的。PE路由器中的转 址,它们是由RD与用户的IP地址连 点都是唯一的,对于VPN中的每一 有一个条目。 |
| ----连接模型 |
| ----图4给出了MPLS/BGP VPN的连接模型。 |
| ----从图4中可以看出 MPLS网络通信,同时使用IP 部网关协议)来建立MPLS核 |
,P路由器位于MPLS网络的核心 路由技术来与CE路由器通信。 P 心网络中的路径,并且使用LDP |
。 PE路由器将使用MPLS与核心 与PE路由器将使用IP路由协议(内 实现路由器之间的标记分发。 |
| ----PE路由器使用多协议BGP4来实 。除非使用了路径映射标志(route refl 图4中的PE处于同一自治域中,它们之间 |
现彼此之间的通信,完成标记交换和每一个VPN策略 ector),否则PE 之间是BGP全网状连接。特别地, 使用内部BGP (iBGP)协议。 |
| ----P路由器不使用BGP |
协议而且对VPN一无所知,它们 |
使用普通的MPLS协议与进程。 |
| ----PE路由器可以通过IP路由协议与 PE路由器之间使用普通的路由进程。CE路 |
CE路由器交换IP路径,也可以使用静态路径。在CE与 由器不必实现MPLS或对VPN有任何特别了解。 |
| ----PE路由器通过iBGP将用户路径分 VPN-IP地址(由RD和IPv4地址构成)。这 发生VPN-IP地址重复的情况。 |
发到其他的PE路由器。为了实现路径分发,BGP使用 样,不同的VPN可以使用重叠的IPv4地址空间而不会 |
| ----PE路由器将BGP计 组转发到正确的LSP上。 |
算得到的路径映射到它们的路由 |
表中,以便把从CE路由器收到的分 |
| ----这一方案使用两级 MPLS网络中的LSR所用—— |
标记:内部标记用于PE路由器对 它们将使用这些标记把分组转发 |
于各个VPN的识别,外部标记则为 给正确的PE。 |
| ----建立IP-VPN区域的操作 |
| ----希望提供IP-VPN业务的网络提供 :PE必须为其支持的VPN以及与之相连的C 射标志中的PE路由器之间必须进行对等关 由协议配置;为了与MPLS核心网络进行通 外,P路由器除了要求能够支持MPLS之外 |
者必须按照连接需求对网络进行设计与配置,这包括 E所属的VPN 进行配置;MPLS网络或者是一个路径映 系的配置;为了与CE进行通信,还必须进行普通的路 信,还必须进行普通的MPLS配置(如LDP、IGP)。另 ,还要能够支持VPN。 |
| ----VPN成员资格和可到达性信息的传播 |
| ----PE路由器使用IP路由协议或者是 获得与之直接相连的用户网站IP地址前缀 |
静态路径的配置来交换路由信息,并且通过这一过程 。 |
| ----PE路由器通过与其 。另外,PE路由器还要通过 使用的LSP。这些标记用作 |
BGP对等实体交换VPN-IP地址前 BGP与其PE路由器对等实体交换 第二级标记,P 路由器看不到这 |
缀来获得到达目的VPN站点的路径 标记,以此确定PE路由器间连接所 些标记。 |
| ----PE路由器将为其支 CE路由器则根据该连接所使 |
持的每一个VPN分别建立路由表 用的接口选择合适的路由表。 |
和转发表,与一个PE路由器相连的 |
| ----IP分组转发 |
| ----PE之间的路由信息 发表将把VPN用户的特定地 |
交换完成之后,每一个PE都将为 址前缀与下一跳PE路由器联系起 |
每一个VPN建立一个转发表,该转 来。 |
| ----当收到发自CE路由 |
器的IP分组时,PE路由器将在转 |
发表中查询该分组对应的VPN。 |
| ----如果找到匹配的条目,路由器将执行以下操作: |
| ----如果下一跳是一个 应的标记(嵌套隧道标记) 转发到到达目的PE路由器的 网络LSP上的下一个LSR。 |
PE路由器,转发进程将首先把从 推入标记栈;PE路由器把基本的 、基本网络LSP上的第一跳;带 |
路由表中得到的、该PE路由器所对 标记推入分组,该标记用于把分组 有两级标记的分组将被转发到基本 |
| ----P路由器(LSR)使用顶层标记及 LER时,最外层的标记可能已发生多次改 |
其路由表对分组继续进行转发。当该分组到达目的 变,而嵌套在内部的标记保持不变。 |
| ----当PE收到分组时, 表,以便决定对分组进行转 |
它使用内部标记来识别VPN。此 发所要使用的接口。 |
后, PE将检查与该VPN相关的路由 |
| ----如果在VPN路由表 提供者具备这一能力)。如 |
中找不到匹配的条目,PE路由器 果找不到路由,相应分组将被丢 |
将检查Internet路由表(如果网络 弃。 |
| ----VPNIP转发表中包含VPNIP地 中的每一个站点。这一过程由于使用的是 用自己的地址体系,这些地址在通过服务 )。通过为每一个VPN使用不同的逻辑转 交换机可以根据入口选择一个特定的转发 |
址所对应的标记,这些标记可以把业务流路由至VPN 标记而不是IP 地址,所以在企业网中,用户可以使 提供者网络进行业务传输时无需网络地址翻译(NAT 发表,不同的VPN业务将可以被分开。使用BGP协议, 表,该转发表可以只列出一个VPN有效目的地址。 |
| ----为了建立企业的Ex 能还需要进行NAT配置)。 |
tranet,服务提供者需要对VPN |
之间的可到达性进行明确指定(可 |
| ----安全 |
| ----在服务提供者网络中,PE所使用 将其业务流或者是分组偷偷送入另一个用 RD,只有当用户位于正确的物理端口上或 加入一个Intranet或 Extranet。这一建 提供与帧中继、租用线或ATM业务相同的 |
的每一个分组都将与一个RD相关联,这样,用户无法 户的VPN。要注意的是,在用户数据分组中没有携带 拥有PE路由器中已经配置的、适当的RD时,用户才能 立过程可以保证非法用户无法进入VPN,从而为用户 安全等级。 |