----圖1給出了實現(xiàn)IP-VPN的一個通用方案。其中,CE路由器是用于將一個用戶站點接入服務提供者網(wǎng)絡的用戶邊緣路由器。而PE路由器則是與用戶CE路由器相連的、服務提供者的邊緣路由器。
站點是指這樣一組網(wǎng)絡或子網(wǎng),它們是用戶網(wǎng)絡的一部分,并且通過一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的站點,一個站點可以同時位于不同的幾個VPN之中。
----圖2顯示了一個服務提供者網(wǎng)絡支持多個VPN的情況。如圖2所示,一個站點可以同時屬于多個VPN。依據(jù)一定的策略,屬于多個VPN的站點既可以在兩個VPN之間提供一定的轉(zhuǎn)發(fā)能力,也可以不提供這種能力。當一個站點同時屬于多個VPN時,它必須具有一個在所有VPN中唯一的地址空間。
MPLS為實現(xiàn)IP-VPN提供了一種靈活的、具有可擴展性的技術(shù)基礎,服務提供者可以根據(jù)其內(nèi)部網(wǎng)絡以及用戶的特定需求來決定自己的網(wǎng)絡如何支持IP-VPN。所以,在MPLS/ATM網(wǎng)絡中,有多種支持IP-VPN的方法,本文介紹其中兩種方法。
方案一
----本節(jié)介紹一種在公共網(wǎng)中使用MPLS提供IP?VPN業(yè)務的方法。該方法使用LDP的一般操作方式,即拓撲驅(qū)動方式來實現(xiàn)基本的LSP建立過程,同時使用兩級LSP隧道(標記堆棧)來支持VPN的內(nèi)部路由。
----圖3 給出了在MPLS/ATM核心網(wǎng)絡中提供IP?VPN業(yè)務的一種由LER和LSR構(gòu)成的網(wǎng)絡配置。
----LER (標記邊緣路由器)
----LER是MPLS的邊緣路由器,它位于MPLS/ATM服務提供者網(wǎng)絡的邊緣。 對于VPN用戶的IP業(yè)務量,LER將是VPN隧道的出口與入口節(jié)點。如果一個LER同時為多個用戶所共享,它還應當具有執(zhí)行虛擬路由的能力。這就是說,它應當為自己服務的各個VPN分別建立一個轉(zhuǎn)發(fā)表,這是因為不同VPN的IP地址空間可能是有所重疊的。
----LSR(標記交換路由器)
----MPLS/ATM核心網(wǎng)絡是服務提供者的下層網(wǎng)絡,它為用戶的IP-VPN業(yè)務所共享。
----建立IP-VPN區(qū)域的操作
----希望提供IP-VPN的網(wǎng)絡提供者必須首先對MPLS域進行配置。這里的MPLS域指的就是IP?VPN區(qū)域。作為一種普通的LDP操作,基本的LSP 建立過程將使用拓撲驅(qū)動方法來進行,這一過程被定義為使用基本標記的、基本的或是單級LSP建立。而對于VPN內(nèi)部路由,則將使用兩級LSP隧道(標記堆棧)。
----VPN成員
----每一個LER都有一個任務,即發(fā)現(xiàn)在VPN區(qū)域中為同一 IP?VPN服務的其他所有LER。由于本方案最終目的是要建立第二級MPLS隧道,所以 LER發(fā)現(xiàn)對等實體的過程也就是LDP會話初始化的過程。每一個LER沿著能夠到達其他 LER的每一條基本網(wǎng)絡LSP,向下游發(fā)送一個LDP Hello消息。LDP Hello消息中會包含一個基本的MPLS標記,以方便這些消息能夠最終到達目的LER。
----LDP Hello消息實際上是一種查詢消息,通過這一消息,發(fā)送方可以獲知在目的LER處是否存在與發(fā)送方LSR同屬一個VPN的LER(對等實體)。新的Hello消息相鄰實體注冊完成之后,相關的兩個LER之間將開始發(fā)起LDP會話。隨后,其中一個LER將初始化與對方的TCP連接。當TCP連接建立完成而且必要的初始化消息交互也完成之后,對等LER之間的會話便建立起來了。此后,雙方各自為對方到自己的LSP 隧道提供一個標記。如果LSP隧道是嵌套隧道,則該標記將被推入標記棧中,并被置于原有的標記之上。
----VPN成員資格和可到達性信息的傳播
----通過路由信息的交換,LER可以學習與之直接相連的、用戶站點的IP地址前綴。LER需要找到對等LER,還需要找到在一個VPN中哪些LER 是為同一個VPN服務的。LER將與其所屬的VPN區(qū)域中其他的LER建立直接的LDP會話。換言之,只有支持相同VPN的LER之間才能成功地建立LDP會話。
----VPN內(nèi)的可到達性
----最早在嵌套隧道中傳送的數(shù)據(jù)流是LER之間的路由信息。當一個LER被配置成一個IP?VPN的一員時,配置信息將包含它在VPN內(nèi)部要使用的路由協(xié)議。在這一過程中,還可能會配置必要的安全保密特性,以便該LER能夠成為其他LER的相鄰路由器。在VPN內(nèi)部路由方案中,每一次發(fā)現(xiàn)階段結(jié)束之后,每一個LER 都將發(fā)布通過它可以到達的、VPN用戶的地址前綴。
----IP分組轉(zhuǎn)發(fā)
----LER之間的路由信息交互完成之后,各個LER都將建立起一個轉(zhuǎn)發(fā)表,該轉(zhuǎn)發(fā)表將把VPN用戶的特定地址前綴(FEC轉(zhuǎn)發(fā)等價類) 與下一跳聯(lián)系起來。當收到的IP分組的下一跳是一個LER時,轉(zhuǎn)發(fā)進程將首先把用于該LER的標記(嵌套隧道標記)推入標記棧,隨后把能夠到達該LER的基本網(wǎng)絡LSP上下一跳的基本標記推入標記分組,接著帶有兩個標記的分組將被轉(zhuǎn)發(fā)到基本網(wǎng)絡LSP中的下一個LSR;當該分組到達目的LER時,最外層的標記可能已經(jīng)發(fā)生許多次的改變,而嵌套在內(nèi)部的標記始終保持不變;當標記棧彈出后,繼續(xù)使用嵌套標記將分組發(fā)送至正確的LER。在LER上,每一個VPN使用的嵌套標記空間必須與該LER所支持的其他所有VPN使用的嵌套標記空間不同。
方案二
----本節(jié)將對一種在公共網(wǎng)中使用MPLS和多協(xié)議邊界網(wǎng)關協(xié)議來提供IP-VPN業(yè)務的方法進行介紹,其技術(shù)細節(jié)可以參見RFC 2547。
----圖1 給出了在MPLS/ATM核心網(wǎng)絡中提供IP?VPN業(yè)務的、由LER和LSR構(gòu)成的網(wǎng)絡配置,圖4則給出了使用RFC 2547的網(wǎng)絡模型。
----提供者邊緣(PE)路由器
----PE路由器是與用戶路由器相連的服務提供者邊緣路由器。
----實際上,它就是一個邊緣LSR(即MPLS網(wǎng)絡與不使用 MPLS的用戶或服務提供者之間的接口)。
----用戶邊緣 (CE)路由器 #p#分頁標題#e#
----CE路由器是用于將一個用戶站點接至PE路由器的用戶邊緣路由器。在這一方案中,CE路由器不使用MPLS,它只是一臺IP路由器。CE不必支持任何VPN的特定路由協(xié)議或信令。
----提供者(P)路由器
----P路由器是指網(wǎng)絡中的核心LSR。
----站點(Site)
----站點是指這樣一組網(wǎng)絡或子網(wǎng):它們是用戶網(wǎng)絡的一部分,通過一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的站點。一個站點可以同時位于不同的幾個VPN之中。
----路徑區(qū)別標志
----服務提供者將為每一個VPN分配一個唯一的標志符,該標志符稱為路徑區(qū)別標志(RD),它對應于服務提供者網(wǎng)絡中的每一個Intranet或Extranet 都是不同的。PE路由器中的轉(zhuǎn)發(fā)表里將包含一系列唯一的地址,這些地址稱為VPN?IP 地址,它們是由RD與用戶的IP地址連接而成的。VPN?IP地址對于服務提供者網(wǎng)絡中的每一個端點都是唯一的,對于VPN中的每一個節(jié)點(即VPN中的每一個PE路由器),轉(zhuǎn)發(fā)表中都將存儲有一個條目。
----連接模型
----圖4給出了MPLS/BGP VPN的連接模型。
----從圖4中可以看出,P路由器位于MPLS網(wǎng)絡的核心。 PE路由器將使用MPLS與核心MPLS網(wǎng)絡通信,同時使用IP路由技術(shù)來與CE路由器通信。 P與PE路由器將使用IP路由協(xié)議(內(nèi)部網(wǎng)關協(xié)議)來建立MPLS核心網(wǎng)絡中的路徑,并且使用LDP實現(xiàn)路由器之間的標記分發(fā)。
----PE路由器使用多協(xié)議BGP?4來實現(xiàn)彼此之間的通信,完成標記交換和每一個VPN策略。除非使用了路徑映射標志(route reflector),否則PE 之間是BGP全網(wǎng)狀連接。特別地,圖4中的PE處于同一自治域中,它們之間使用內(nèi)部BGP (iBGP)協(xié)議。
----P路由器不使用BGP協(xié)議而且對VPN一無所知,它們使用普通的MPLS協(xié)議與進程。
----PE路由器可以通過IP路由協(xié)議與CE路由器交換IP路徑,也可以使用靜態(tài)路徑。在CE與PE路由器之間使用普通的路由進程。CE路由器不必實現(xiàn)MPLS或?qū)PN有任何特別了解。
----PE路由器通過iBGP將用戶路徑分發(fā)到其他的PE路由器。為了實現(xiàn)路徑分發(fā),BGP使用VPN-IP地址(由RD和IPv4地址構(gòu)成)。這樣,不同的VPN可以使用重疊的IPv4地址空間而不會發(fā)生VPN-IP地址重復的情況。
----PE路由器將BGP計算得到的路徑映射到它們的路由表中,以便把從CE路由器收到的分組轉(zhuǎn)發(fā)到正確的LSP上。
----這一方案使用兩級標記:內(nèi)部標記用于PE路由器對于各個VPN的識別,外部標記則為MPLS網(wǎng)絡中的LSR所用——它們將使用這些標記把分組轉(zhuǎn)發(fā)給正確的PE。
----建立IP-VPN區(qū)域的操作
----希望提供IP-VPN業(yè)務的網(wǎng)絡提供者必須按照連接需求對網(wǎng)絡進行設計與配置,這包括:PE必須為其支持的VPN以及與之相連的CE所屬的VPN 進行配置;MPLS網(wǎng)絡或者是一個路徑映射標志中的PE路由器之間必須進行對等關系的配置;為了與CE進行通信,還必須進行普通的路由協(xié)議配置;為了與MPLS核心網(wǎng)絡進行通信,還必須進行普通的MPLS配置(如LDP、IGP)。另外,P路由器除了要求能夠支持MPLS之外,還要能夠支持VPN。
----VPN成員資格和可到達性信息的傳播
----PE路由器使用IP路由協(xié)議或者是靜態(tài)路徑的配置來交換路由信息,并且通過這一過程獲得與之直接相連的用戶網(wǎng)站IP地址前綴。
----PE路由器通過與其BGP對等實體交換VPN-IP地址前綴來獲得到達目的VPN站點的路徑。
