| 核心 MPLS IP VPN 体系结构 |
|
| |
|
|
本文档讲述了一种Internet社区的Internet标准跟踪协议,它需要进一步进行讨论和建议以得到改进。请参考最新版的“Internet正式协议标准” (STD1)来获得本协议的标准化程度和状态。本备忘录的发布不受任何限制。摘要本备忘录描述了一种在服务提供商的MPLS主干网上建立核心VPN服务的方法。该方法在主干网中使用MPLS,以提供除“尽力而为”外的“优先服务”。其核心思想是,服务提供商为客户提供一个虚拟路由器服务。该体系结构的基本原则是便于配置、用户安全、网络安全、动态邻居发现、可扩展性和对现有路由协议的不加修改的使用。目录1.缩略语2. 概述3. 虚拟路由器4. 目标5. 结构要求6. 结构框架7. 可扩展的配置8. 动态邻居发现9. VPN 的IP域配置10.邻居发现举例11. 转发11.1专用LSP11.2尽力而为的公开LSP12.区分服务13.安全问题13.1路由安全13.2数据安全13.3配置安全13.4物理网络安全14.虚拟路由器的检测15.性能问题16. 致谢17. 参考文献18. 作者地址19. 版权声明 1.缩略语ARP 地址解析协议CE 客户边缘路由器LSP 标签交换路径PNA 专用网管理员SLA 服务等级协议SP 服务提供商SPED SP边缘设备SPNA SP网络管理员VMA VPN 组播地址VPNID VPN 标识VR 虚拟路由器VRC 虚拟路由控制台 2. 概述 本备忘录描述了一种以服务提供商网络为主干网,提供IP VPN服务的方法。一般而言,有两种实现方法:叠加模式和虚拟路由器方法。前者是在现有路由协议的基础上叠加一些语义,以携带一些地址可达信息。在本文中,我们着重于介绍虚拟路由器的方法。 本文描述的方法并不需要对现有的路由协议进行修改。邻居发现是通过仿真局域网及地址解析协议来实现的。本文力图对SP和PNA做如下分工:SP拥有和管理第一层、第二层的服务,而PNA负责第三层的服务。因为有逻辑独立的路由域,PNA可以灵活地使用私有地址和未经注册的地址。而在共享LSP上利用标签堆栈对专用LSP和VPN标识进行了封装,数据安全性也得到了保证。 本备忘录描述的方法与RFC2547中不同之处在于:并没有指定路由协议来携带VPN路由信息。在RFC2547中描述了一种方法,可以通过修改BGP协议来携带VPN在SP主干网上的单播路由。如果要携带多播路由,还必须进行进一步的工作。 3. 虚拟路由器 一个虚拟路由器是一个路由设备中静态或动态线程的集合,提供类似物理路由器的路由和转发服务。一个虚拟路由器不须单独的操作系统处理(当然也可以有),它只是给人一种错觉,好象有一个专用的路由器为它所连接的网络提供服务。一个虚拟路由器与它相应的物理设备一样,是路由域的一个元素。这个路由域中的其它路由器可以是物理的,也可以是虚拟的。如果虚拟路由器与一个特定的(逻辑离散的)路由域相连,而一个物理路由器又可以承载多个虚拟路由器的话,那么,一个物理路由器就能支持多个(逻辑离散的)路由空间了。 从VPN用户的角度来看,虚拟路由器应该与物理路由器尽可能地相同。换言之,除了极个别情况外,虚拟路由应该在各方面(配置、管理、检测、查错)都象一个专用的物理路由器。这样,就无须对大量已安装的路由器进行升级或重新配置,也不需对网络管理员重新培训。 虚拟 路由器的任务在于:1. 对任意路由协议组合的配置2. 对网络的检测 3. 查错 每个VPN都有一个逻辑上独立的路由域,这样SP就可以更好地为用户提供相当灵活的虚拟路由器服务,而无需为每一个VPN准备一个物理路由器。这也就是说,SP的硬件投资--路由器和它们之间的连接--可以被多个用户复用。本新闻共5页,当前在第1页 1 2 3 4 5 4. 目标 1. SP网络上的VPN终节点扩展性好、易于配置。添加一个CE时,最多只需要加一条配置信息。 2. 无需使用SP的唯一而且难得到的资源,如IP地址和子网等。 3. 在SP云中对虚拟路由器的动态发现。这是个可选,但可以保持网络尽可能简单的相当有价值的目标。 4. 虚拟路由器应能由VPN网络管理员完全配置和检测。这样,PNA在VPN配置问题上就有足够的灵活性,可以自己配置,也可以交由SP完成。 5. 各VPN的数据转发质量应该是可配置的。这种质量要求可解释为连续(或离散)级别的服务,例如,尽力而为,专用带宽,QOS以及基于策略的转发服务等。 6. 可以通过在VPN中建立专用的数据转发LSP的方法将各VPN配置为区别服务模式。 7. Internet路由器的安全也包括虚拟路由器。这就意味着虚拟路由器的数据转发和选路应该与专用的物理路由器一样安全,用户数据及可达性信息不会从一个路由域无意地泄露出去。 8. 不指定在虚拟路由器之间使用的路由协议。这对于VPN用户自主地按各自的方式建立网络及设置策略相当重要。例如,一些协议适于进行包过滤,而另一些则适于进行流量工程。而VPN用户有时可能希望同时应用这两类服务来获得最优的网络服务质量。 9. 对现有的路由协议,如BGP,RIP,OSPF,ISIS不进行特别的修改和扩充。这对于将来在其上叠加其它如NHRP和组播服务是很重要的。此外,对现有协议的改进和增强(如对ISIS和OSPF在流量工程方面的扩展等)也可以方便地结合进VPN应用中。 5. 结构要求 服务提供商的网络必须支持到所有节点的多播路由,以提供VPN连接和转发虚拟路由器发现的多播数据。不须指定某个多播路由协议。一个服务提供商SP可以运行MOSPF或DVMRP或其它协议。 6. 结构框架 1. 每个VPN都指定了一个在SP网络中唯一的VPNID。这个标识明确地表明了与一个包或一个连接有关的VPN。VPNID为0的标识被保留,用于表示公共Internet。VPN标识最好与RFC2685兼容,但并非必须如此。 2. VPN服务由虚拟路由器提供。这些虚拟路由器位于SPED上,因而限于在SP云的边缘。虚拟路由器通过SP网络来转发数据包和控制包,但在SPED外并不可见。 3. 与某VPN相关的一给定SPED上的VR的“大小”可以用其所占用的IP资源数量表示,如路由接口、路由过滤器、路由入口等。这些完全由SP控制,并可以提供SPED级别的精细的控制粒度,使SP得以提供虚拟的无限等级的VR服务。(例:一个SPED可能是一个给定VPN的聚集点,如公司总部,其它的SPED可能是接入点,如分公司办公室。在这种情况下,与公司总部相连的SPED可能需要一个比较大的VR,而其它与分公司相连的只需要小的VR,甚至是stub VR就行了。)这样,SP在设计网络的时候还可以考虑把负载分布在网络中的各路由器上。 4. 从SP网络中与某VPN的CPE路由器相连的SPED数目上可以看出该VPN的大小。从这一点上看,一个连接有许多结点的VPN是一个“大”VPN,否则,就是“小”VPN。而且,一个VPN可能扩大也可能变小。VPN可能因公司的合并或达成合作协议而合并。这种体系结构可以很简单地处理这些变化,因为唯一的IP资源并不为某一VPN专用或指定给某一VPN。SPED的数量也不受任何人工配置条件的限制。 5. SP拥有和管理第一、第二层网络实体。尤其是,SP控制物理的交换机或路由器、物理连接、第二层逻辑连接(如帧中继的DLCI,ATM的VPI/VCI)以及LSP(和它们对于指定VPN的任务)等。在VPN中,为其指定和分配第二层实体是SP的责任。 6. PNA拥有和管理第三层实体,包括IP接口、动态路由协议或静态路由表的选择、路由接口等。注意:虽然逻辑上第三层的配置由PNA负责,但并非必须由PNA执行。由SP负责VR的IP管理对PNA来说是个更好的选择。不过,无论谁负责配置和检测,PNA所见的都是整个路由域,这样,PNA便于设计网络实现intranet, extranet及流量工程。 7. 在管理VPN时,就好象使用的是物理路由器,而不是虚拟路由器。因此,可以用SNMP或其它类似的方法,甚至直接在VRC上来进行网络管理。 8. 在一个路由域内,工业标准的查错工具如PING,traceroute,完全由专用的物理路由器组成。因此,检测和查错可以用SNMP或类似的方法完成,但也可以使用这些标准工具,当然也可以使用VRC。 9. 因为VRC对用户是可见的,路由器的特别安全检查应该确保VPN用户只可以使用该VPN的第三层资源,而不能访问该路由器中的物理资源。许多路由器利用数据库视图来实现这一功能。 10. SP也可以使用VRC。如果配置和监控都交由SP负责,那么,SP可以象PNA一样用VRC来完成这些任务。 11. SPED中的VR组成了SP网络中的VPN。同时,它们也代表一个虚拟路由域。它们通过SP网络内的一个仿真LAN,动态地发现对方。 SP网络中的每个VPN都被且仅被指定一个多播地址。这个地址从可管理范围(239.192/14)中选取,唯一的要求就是必须与VPN一一对应。只要把一个VPN标识明确地对应于一个多播地址,就可以通过路由器自动完成这一功能。对多播地址的预约可以让一个VR发现其它VR或被其它VR发现。要注意的是,多播地址并非是必须配置的。 12. 数据可用下列方法转发: 1. 适用于所有VPN的进行“尽力而为”传送的LSP。 2. 为某一VPN专用,并为VPN用户提供流量工程的LSP。 3. 可提供区分服务的专用LSP。 4. 在专用的第二层虚电路上的基于策略的转发。 对于转发方法的选择,SP和VPN用户可以相互协商,还可以将之作为服务水平协议的一部分。这样SP可以为不同的VPN用户提供不同等级的服务。 当然,在LSP建立或建立失败期间,也采用逐跳转发的方法转发路由信息包和用户数据包。 13. 这种方法并不要求SPED上的每个VR上为每个路由协议运行一个单独的操作系统任务。对使用中的特定的SPED可能要定制一些特别的操作。为每一个VR维护一个独立的路由数据库和转发表可以使一个给定的SPED获得最好的性能。本新闻共5页,当前在第2页 1 2 3 4 5 7. 可扩展的配置痛在SP云中,一个典型的VPN一般有100-1000个终端。因此,配置工作与终端节点数是线性相关的。当一个新用户结点加入某VPN的VR时,管理员必须添加一些配置项。如果情况变坏,大量的配置工作会让SP感到相当头疼。在这种结构里,SP所要分配和配置的就是出/入口物理连接(如帧中继DLCI或ATM的VPI/VCI),以及VR与仿真LAN之间的虚连接。 8. 动态邻居发现 给定一VPN的VR都驻留在网络中的一系列SPED中。这些VR应该互相了解,并且连接在一起。 一种方法就是对邻居进行手工配置。例如,当一个新结点加入到VPN中时,所有其它相邻的VR都需进行相应的配置。显然这种方法可扩展性相当差。 因此,VR要能进行动态地邻居发现。这可以通过为每一VPN提供一个仿真LAN来实现。仿真LAN可以有下列作用: 1. 利用该LAN进行与其它VR相关的下一跳IP地址的解析。 2. RIP、OSPF等路由协议可以利用该LAN发现邻居并发送路由更新信息。 每个VPN 的VPN仿真都基于一个IP多播地址。因为要保护公开地址空间,而且多播地址只能在SP网络空间内可见,我们将使用描述的组织范围的多播地址(239.192/14)。每个VPN都分配了这样的一个地址。为了减少相应的配置工作,这个地址是根据VPN标识计算得到的。 9. VPN 的IP域配置 151.0.0.1 ################ # # # 路由器 A # # # ################ # # # # # # # # ############# ############### # # # # # 路由器 B # # 路由器C # # # # # # # # # ############# ############### 152.0.0.2 153.0.0.3 Figure 1:物理路由域 SP网络中的物理路由域如上图所示。在这个网络中,物理路由器A,B,C彼此互联。每个路由器都有一个指定的公开IP地址。根据这些地址可以唯一地识别每个在SP网络中的路由器。 &nb [1] [2] [3] 下一页
 |
频道声明:本频道的文章除部分特别声明禁止转载的专稿外,可以自由转载.但请务必注明出出处和原始作者 文章版权归本频道与文章作者所有.对于被频道转载文章的个人和网站,我们表示深深的谢意。
| 原始作者:佚名 |
录入时间:2006-12-26 2:27:31 |
| 信息来源:不详 |
投稿信箱:itqoo@126.com |
|
|
 |
|
|
|
| 教程录入:itqoo 责任编辑:itqoo |
|
上一个教程: SIP Technology Guide
下一个教程: 安全协议之:RADIUS |
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
用户登录 
新用户注册 
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) 