按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
通过VPN,企业可以以更低的成本连接远程办公室和出差工作人员,开展电子商务,为客户提供支持并与供应商和其他商业伙伴沟通。
传统VPN使用第二层隧道协议(L2TP、L2F和PPTP等)或者第三层隧道技术(IPSec、GRE等),在解决网络安全以及灵活性等方面获得很大成功,被广泛应用。但是,随着VPN范围的扩大,传统VPN在可扩展性和可管理性等方面的缺陷越来越突出;另外,QoS(Quality of Service)和安全问题也是传统VPN难以解决的问题。
多协议标签交换MPLS(Multiprotocol Label Switching)技术越来越多地被用来组建VPN。MPLS网络可以非常容易地实现基于IP技术的VPN业务,而且可以满足VPN可扩展性和可管理的需求;可以在MPLS VPN上采取安全措施,保障VPN的安全性。利用MPLS构造的VPN,还提供了实现增值业务的可能;通过配置,可将单一接入点形成多种VPN,每种VPN代表不同的业务,使网络能以灵活方式传送不同类型的业务。
NE80目前提供比较完全的MPLS VPN组网能力:
* 地址隔离,允许不同VPN之间的地址重叠。
* 支持BGP协议发布VPN的路由消息,构建BGP/MPLS VPN。
* 提供了MPLS VPN的性能监视和故障检测工具。
4。4。3。1。2 VPN网络结构
VPN是由若干Site组成的集合。Site可以同时属于不同的VPN,但是必须遵循如下规则:属于一个VPN定义的Site集合,才具有IP连通性。按照VPN的定义,一个VPN中的所有Site都属于一个企业,称为Intranet;如果VPN中的Site分属不同的企业,则称为Extranet。
如下图所示,site1和site2构成了VPN…A,site2、site3和site4构成了VPN…B,site4和site5构成VPN…C。其中site2分别属于VPN…A和VPN…B,site4属于VPN…B和VPN…C。
VPN组成示意图
4。4。3。2 BGP/MPLS VPN模型
MPLS VPN模型
如上图所示,MPLS VPN模型中,包含三个组成部分:CE、PE和P。
* CE(Custom Edge)设备:是用户网络边缘设备,有接口直接与服务提供商网络相连,可以是路由器或是交换机等。CE“感知”不到VPN的存在。
* PE(Provider Edge)路由器:即运营商边缘路由器,是运营商网络的边缘设备,与用户的CE直接相连。在MPLS网络中,对VPN的所有处理都发生在PE路由器上。
* P(Provider)路由器:运营商网络中的骨干路由器,不和CE直接相连。P路由器需要支持MPLS基本能力。
CE和PE的划分主要是从运营商与用户的管理范围来划分的,CE和PE是两者管理范围的边界。
CE与PE之间使用EBGP路由协议交换路由信息,也可以使用静态路由。CE不必支持MPLS。PE之间以及PE和P之间通过IGP交换路由信息。
以下详细介绍MPLS VPN的相关属性:
vpn…instance
PE负责更新、维护vpn…instance与VPN的关联关系。vpn…instance包括:标签转发表、IP路由表、与vpn…instance绑定的接口以及vpn…instance的管理信息(包括Route Distinguisher、路由过滤策略、成员接口列表等)。
在实际网络中,我们给每一个Site在PE上对应有一个单独的vpn…instance。该vpn…instance包括了该Site的VPN成员关系和路由规则。
为了避免数据泄漏出VPN之外,同时防止VPN之外的数据进入,在PE上每个vpn…instance有一套相对独立的路由表和标签转发表,报文转发信息存储在该vpn…instance的IP路由表和标签转发表中。
VPN…IPv4地址族
PE路由器之间使用MBGP来发布VPN路由,并使用了新的地址族——VPN…IPv4地址。
一个VPN…IPv4地址有12个字节,由8字节的路由分辨符RD(Route Distinguisher)和4字节的IPv4地址组成。ISP可以独立地分配RD,但是需要把他们专用的自治系统AS(Autonomous System)号作为RD的一部分来保证每个RD的全局唯一性。RD为零的VPN…IPv4地址同全局唯一的IPv4地址是同义的。通过这样的处理以后,即使VPN…IPv4地址中包含的4字节IPv4地址重叠,VPN…IPv4地址仍可以保持全局唯一。
PE从CE接收的路由是IPv4路由,该路由使用IPv4地址,这些路由在引入到vpn…instance路由表中时,需要在IPv4地址前附加一个RD,变成VPN…IPv4地址。在实现中,为来自于同一个用户Site的所有路由设置相同的RD。vpn…instance路由表中的路由将传递给其他PE对等体。
VPN Target属性
VPN Target属性标识了可以使用某路由的站点的集合,即该路由可以被哪些Site所接收,PE路由器可以接收哪些Site传送来的路由。与VPN Target中指明的Site相连的PE路由器,都会接收到具有这种属性的路由。PE路由器接收到包含此属性的路由后,将其加入到相应的路由表中。
PE路由器存在两个VPN Target属性的集合:一个集合用于附加到从某个Site接收的路由上,称为Export Targets;另一个集合用于决定哪些路由可以引入此Site的路由表中,称为Import Targets。
通过匹配路由所携带的VPN Target属性,可以获得VPN的成员关系。匹配VPN Target属性也可以用来过滤PE路由器接收的路由信息。
通过匹配VPN Target属性过滤路由
如上图所示,如果Export Target集合与Import Target集合存在相同项,则该路由被接收。如果Export Target集合与Import Target集合没有相同项,则该路由被拒绝。
4。4。3。3 BGP/MPLS VPN的实现
VPN报文的转发
VPN报文转发使用两层标签方式。外层标签在骨干网内部进行交换,代表了从PE到对端PE的一条LSP,VPN报文利用这层标签,就可以沿着LSP到达对端PE。从对端PE到达CE时使用内层标签,内层标签指示了报文到达哪个Site,或者更具体一些,到达哪一个CE。这样,根据内层标签,就可以找到转发报文的接口。特殊情况下,属于同一个VPN的两个Site连接到同一个PE,则如何到达对方PE的问题不存在,只需要解决如何到达对端CE。
通过BGP/RIP发布VPN路由信息
CE与PE之间通过EBGP、RIP或静态路由来传播路由信息,PE得到该VPN的路由表,存储在单独的vpn…instance中。各个PE之间通过IGP来保证内部的连通性,通过MBGP来传播VPN路由,并完成各自vpn…instance的更新。再通过与直接相连CE之间的路由交换来更新CE的路由表,由此完成各个CE之间的路由交换。BGP通信在两个层次上进行:自治系统内部(IBGP)以及自治系统之间(EBGP)。PE…PE会话是IBGP会话,而PE…CE会话是EBGP会话。
PE路由器之间的VPN组成信息和路由传播是通过MBGP(Multiprotocol extensions for BGP…4,参见RFC2283)来实现。MBGP向下兼容,既可以支持传统的IPv4地址族,又可以支持其他地址族(比如VPN…IPv4地址族)。使用MBGP确保了特定VPN的路由只能被这个VPN的其他成员知道,使MPLS VPN成员间的通信成为可能。
在MPLS域中通过IGP建立PE之间的可达路由
在MPLS域中,需要保证各节点有可达路由,PE和P上都要运行相同的IGP协议,例如OSPF、IS…IS、IBGP等等,以保证路由可达。
4。4。4 MPLS VPN典型配置举例
4。4。4。1 利用L3VPN组建Intranet
组网需求
两个企业分别通过MPLS网络组建两个VPN:VPN_A和VPN_B。
* CE1、CE3构成VPN_A,CE2、CE4构成VPN_B。
* PE为Quidway NE系列路由器,P为能运行MPLS的Quidway NE路由器,CE为一般的Quidway系列中低端路由器。
组网图
BGP/MPLS VPN组网图
配置步骤
PE1配置
# 配置MPLS基本能力,PE1的LSR标识为172。1。1。1。
'PE1' mpls lsr…id 172。1。1。1
'PE1…mpls' mpls ldp
'PE1…mpls…ldp' quit
# 在与P相连的接口上使能LDP。
'PE1' interface pos 1/0/0
'PE1…pos1/0/0' mpls ldp enable
# 创建VPN实例vpna。
'PE1' ip vpn…instance vpna
# 配置本vpn…instance的Route Distinguisher。
'PE1…vpn…instance' route…distinguisher 100:1
# 配置本vpn…instance的VPN…target。
'PE1…vpn…instance' vpn…target 100:1 both
# 配置CE1所在的Site可以接受CE3所在的Site的路由。
'PE1…vpn…instance' vpn…target 100:3 import…extmunity
# 配置Loopback接口(对PE路由器,配置Loopback接口地址时,必须使用32位掩码的主机地址)
'PE1' interface loopback0
'PE1…LoopBack 0' ip add