沃尔夫网络 
2003-7-15 
|
Network Working Group E. Rosen Request for Comments: 2547 Y. Rekhter Category: Informational Cisco Systems, Inc. March 1999 BGP/MPLS VPNs Status of this Memo This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited. Copyright Notice Copyright (C) The Internet Society (1999). All Rights Reserved. 摘要 本文档描述了拥有IP骨干网的服务提供商SP为其客户提供VPN服务的一种方法。在骨干网 中,使用MPLS(多协议标签交换)进行包转发,BPG(边界网关协议)进行路由信息分发 。这个方法主要目地是为企业网络提供IP骨干网服务的外包。这种方法不仅对企业而言 很简单,对SP而言也有较好的可扩展性和灵活性,还可以提供增值服务。同时,这种方 法还可以建立一个为客户提供IP服务的VPN。 目录 1. 简介 3 1.1 虚拟专用网Virtual Private Networks 3 1.2 边缘设备 3 1.3 有重叠地址空间的VPNs 4 1.4 由不同路由到达同一系统的VPN 4 1.5 PE上的转发表 4 1.6 SP 主干网路由器 5 1.7 安全Security 5 2. 站点和CE 5 3. PE中基于站点的转发表 6 3.1 虚拟站点 6 4. 用BGP分发VPN路由信息 7 4.1 VPN-IPv4地址族 7 4.2 控制路由分发 8 4.2.1 目标VPN属性 8 4.2.2 用BGP在PE中分发路由 9 4.2.3. 源VPN属性 10 4.2.4. 用目标和源属性组建VPN 10 5. 在主干网上的转发 11 6. PE如何从CE学习路由 12 7. CE如何从PE学习路由 14 8. CE支持MPLS 14 8.1 虚站点 14 8.2 用Stub VPN 表示 ISP VPN 14 9. 安全 14 9.1. CE路由器间的点到点安全隧道 15 9.2. 多方安全关联 15 10. 服务质量 16 12. 版权事宜 16 13. 安全考虑 17 14. 致谢 17 15. 作者地址 17 16. 参考文献 17 17. 版权说明 18 1. 简介 1.1 虚拟专用网Virtual Private Networks 与被称为主干网的公共网相连的是一个"站点"集合。我们基于某些原则创建该集合的若 干子集,并附加如下规则:只有当两个站点都同在某个子集里时,两者间才可能存在经 由该主干网的IP互连。 我们创建的这些子集就是"虚拟专用网"(VPNs)。只有同属某个VPN时,两个站点间才存 在经公共主干网的IP连接。不属同一个VPN的两个站点间没有经主干网的连接。 如果一个VPN中的所有站点都属同一个企业,这个VPN就是一个公司"内联网"。如果分属 不同企业,该VPN就是个"外联网"。一个站点可在多个VPN中,如一个内联网和多个外联 网中。内联网和外联网我们都视作VPN。一般而言,我们说的VPN并不区分内联网或外联 网。 我们主要考虑主干网为一个或多个服务提供商(SPs)所拥有的情况。站点为SP的用户所 有,决定某些站点是否属于一个VPN的策略由用户制定。有些用户可能希望完全由SP负责 这些策略的执行,有些用户可能希望自己独立承担或与SP分担这项任务。在本文中,我 们主要讨论这些策略的执行机制。这些机制既可以由SP单独执行,也可以由VPN用户与S P共同完成。这里,我们主要讨论前者。 本文中所讨论的机制可用于多种策略的执行。如对给定的一个VPN,每个站点与其它所有 站点都有直接连接(全连接),或者也可以限制某些站点间的直接连接(半连接)。 本文中我们感兴趣的是公共主干网提供IP服务的情况。我们关注于在一定契约条件下, 一个服务提供商SP或多个SP为企业提供主干网的情形,而并非是基于公共Internet的VP N。 下面,我们将详细说明VPN 应有的特性。本文的其余部分我们描述了一个具备所有这些 特性的VPN模型。该模型可视作[4]中描述的框架结构的实例。 1.2 边缘设备 假定每个站点都有一个或多个用户边缘(CE)设备,并都通过某种数据连接方式(如PP P,ATM,ethernet, Frame Relay, GRE tunnel等)与一个或多个供应商边缘(PE)路由 器相连。 如果某个站点只有一个主机,这个主机可能就是CE设备。如果该站点有一个子网,CE设 备可能是个交换机。一般而言,希望CE设备是路由器,我们称之为CE路由器。 如果一个PE路由器与某个VPN的一个CE设备相连,我们就说这个路由器与该VPN相连。同 样,如果一个PE路由器与某个站点的一个CE设备相连,则称这个路由器与该站点相连。 如果CE设备是一个路由器,它是其直接相连的PE的路由对等体,而不是其它站点上的CE 路由器的路由对等体。不同站点上的路由器并不直接交换路由信息,它们甚至无需互相 了解(除非因为安全的需要,见第9节)。因为简化了每个站点的路由策略,可以支持大 型的VPN(有大量站点的VPN)。 重要的一点是要保持SP和其用户间明晰的管理界限(cf. [4])。PE和P路由器仅由SP管理 ,SP用户无权介入。CE设备仅由用户管理(除非用户把管理服务委托给了SP)。 1.3 有重叠地址空间的VPNs 任何两个不相交的VPN(如:无公共站点的VPN)可能有重叠的地址空间,而同一地址也可 能用在不同VPN的不同系统中。只要端系统的地址在其所属的VPN中是唯一的,该端系统 无须对VPN有所了解。 在这种模式下,VPN的拥有者无须管理一个主干网或一个虚拟主干网。SP也无须为每个V PN管理一个单独的主干网或虚拟主干网。主干网中站点间的路由是最优化的(基于组建V PN的限制策略),并不受限于任何人工的隧道虚拟拓扑。 1.4 由不同路由到达同一系统的VPN 一个站点可以在多个VPN中,但不同VPN到该站点中某一系统的路由无须相同。例如,假 设一个内联网中包含站点A、B、C,一个外联网中包含A、B、C和一个外部站点D。若在站 点A上有一个服务器,我们希望来自于B、C、D的客户能使用该服务器。同时,在站点B上 有一个防火墙,为了对来自外联网的业务进行接纳控制,所有站点D连到服务器的业务都 要通过这个防火墙。而来自站点C的业务是内联网的,无须经由该防火墙到达服务器。 也就是说,到服务器有两条路径。站点B和C使用一条路径直接通向站点A,站点D使用第 二条路径,先到达站点B的防火墙,如果防火墙允许该业务流通过,该业务就象从站点B 发出的业务流一样发往站点A。 1.5 PE上的转发表 每个PE路由器都要维护若干独立的转发表。每个与PE相连的站点必须对应于其中的一个 转发表。当从某个站点收取一个包时,需查找与该站点相应的转发表以确定该包的转发 路径。只有当路由的目标站点与站点S同在至少一个VPN中时,才产生站点S的转发表,这 可以防止两个不在同一VPN的站点间的通信,而且,这样两个没有公共站点的VPN也可以 使用重叠的地址空间。 1.6 SP 主干网路由器 SP的主干网包括PE路由器和未直接与CE设备相连的其它路由器(P路由器)。 如果SP主干网中的每个路由器都得为所有VPN维护路由信息,那么无疑这个模式的扩展能 力很差,SP能支持的站点数取决于一个路由器上可保存的路由信息的数量。因此,一个 重要的要求就是,一个VPN的路由信息只保存在与该VPN相连的PE路由器上,而P路由器无 需保存任何VPN的路由信息。 VPN可以跨越多个服务提供商。如果两个服务提供商SP之间是相互信任的,那么它们的P E路由器间的通路可根据一个专用的对等协议穿越SP网络间的边界。特别是,每个提供商 信任对方并把正确的路由信息和来源可靠的带有标签的包(在MPLS情况下[9])传递给对方 。在此,我们假定标签交换路径可以穿越SP间的边界。 1.7 安全Security 即使不加密,一个VPN模型也应当提供相当于第二层主干网(如Frame Relay)的安全保证 。也就是说,即使在误配置或故意将不同VPN间互连的情况下,一个VPN的系统也不能进 入另一个VPN的系统。 同时,该模型应该也可以采用标准的安全措施。 2. 站点和CE 从主干网的角度看,如果一系列IP系统相互连接且它们之间的通信无需主干网参与,则 这些IP系统组成了一个站点。一般来说,一个站点由一些地理位置相近的系统组成,当 然并非总是这样。如果地理位置较远的两地间用一根运行OSPF的专线相连,也可以组成 一个站点,因为两地间的通信无须主干网的参与。 一个CE设备常被视为在一个单独的站点上(但一个站点可能由多个"虚拟站点"组成)。而 一个站点可能在多个VPN中。 一个PE路由器可能与多个站点中的CE设备相连,无论它们是否在同一个VPN 中。出于鲁 棒性的考虑,一个CE设备也可能与多个PE路由器相连,这些路由器可能属于同一个或不 同的服务提供商。如果这个CE设备是路由器,则它与相连的PE路由器互为邻接路由器。 如果互连的基本单元是站点,这里描述的体系结构可以实现更为精细的互连控制粒度。 例如,一个站点上的某个系统可能是一个内 | |
 相关文章 |
热门文章 |
|
| 个人观点:Cisco认证和Juniper认证的比较 JNCIE考试心得 路由器启动进程及初始配置 Olive完整介绍--权威版 Install IPSO on PC Juniper提升路由器服务功能 RFC 2547bis (1) RFC 2547bis (2) RFC 2547bis (3) RFC 2547bis (4) |
| 文章评论 | |||