【文章內(nèi)容簡(jiǎn)介】 點(diǎn)放置 Netscreen 10。這種方式擴(kuò)展性高，安全性高。缺點(diǎn)是需添加設(shè)備。 上海電信寬帶 IP 網(wǎng)絡(luò)項(xiàng)目 方案建議書 . 深圳睿盈通信息技術(shù)有限公司 18 基于 MPLS 的 VPN 方案 Riverstone 交換式路由器支持所有的 MPLS特性來實(shí)現(xiàn) QoS及流量工程能力 ， 更重要是的 ， Riverstone MPLS提供現(xiàn)有城域網(wǎng)特性和 MPLS集成的擴(kuò)展 ， 使得運(yùn)營(yíng)商能夠輕易擴(kuò)展它們現(xiàn)有的服務(wù)。 虛擬專線（ VLL）及二層 VPN 服務(wù) 當(dāng)用戶和網(wǎng)絡(luò)不斷增長(zhǎng)時(shí)，運(yùn)營(yíng)商提供 VLAN 基于的 VPN 服務(wù)面臨嚴(yán)重的擴(kuò)展性問題，首先， VLAN 的總數(shù)被限制在 4096 個(gè)，第二，核心路由器所需處理的 MAC 地址的總數(shù)可能變得很大，除非限制最大可用的MAC 地址的數(shù)量。第三，用戶的 VLAN 不易管理除非核心 VLAN 被映射到每個(gè)用戶 VLAN，并且 VLAN 標(biāo)符識(shí)在 VLAN 用戶之間不沖突。因此標(biāo)準(zhǔn)的 方式已不再是運(yùn)營(yíng)商 VPN 解決方案的好方法。 Riverstone 通過使用 MPLS 支持采用了虛擬專線及二層 VPN 功能和第三層 IP VPN 來解決運(yùn)營(yíng)商的 VPN 服務(wù)。 一 虛擬專線服務(wù) Riverstone MPLS 基于的虛擬專線服務(wù)解決了這些擴(kuò)展性問題，使得城域網(wǎng)運(yùn)營(yíng)商能通過兩條相反方向的 MP LS LSP 提供一個(gè)邏輯的管道。這些LSP 可以帶上指定的 Qos 特性， Qos 可以是靜態(tài)預(yù) 配置的或者使用 MP LS 信號(hào)動(dòng)態(tài)建立的。一個(gè) LSP 所走的路由可按流量要求而指定。 服務(wù)供應(yīng)商能夠?yàn)橐粋€(gè)特定用戶的流量指定一個(gè)策略，比如，如果為具體某一個(gè)用戶分配了一個(gè)物理端口 P1，運(yùn)營(yíng)商能夠定義一個(gè)策略指定所有來自物理端口 P1 的流量流向一個(gè)預(yù)定義的 LSP L1 ，而該 LSP L1 位于端口 P2。 Riverstone MPLS 支持基于每 LSP 進(jìn)行速率限制，保證用戶的服務(wù)等級(jí)水平（ SLA）?；诿?LSP 的流量統(tǒng)計(jì)使得 MSP 能夠監(jiān)測(cè)流量情況以上海電信寬帶 IP 網(wǎng)絡(luò)項(xiàng)目 方案建議書 . 深圳睿盈通信息技術(shù)有限公司 19 便適時(shí)作調(diào)整。這個(gè)基于 MP LP LSP 的虛擬專線（ VLL）服務(wù)模型使 得運(yùn)營(yíng)商有很大的擴(kuò)展性，最終用戶的網(wǎng)絡(luò)信息如， MAC 地址， VLN AIds, 都保持對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)透明，因?yàn)橹挥?MP LS 標(biāo)簽被檢查，此外，基于 MP LS 標(biāo)簽堆棧特性，邊緣得 LSP 能被組合成少量的 LSP 隧道。 二 MPLS L2 VPN 功能 通過 Riverstone 的 MPLS，當(dāng)超過兩個(gè)以上的用戶網(wǎng)絡(luò)必需要透明互連時(shí)，運(yùn)營(yíng)商能夠擴(kuò)展 VLL 功能以提供透明的以太網(wǎng)服務(wù) (TLS) ， Riverstone MPLS 支持虛擬 LAN 的擴(kuò)展需要以及地址學(xué)習(xí)能力。下列的圖指明Riverstone 如何實(shí)施層二 VPN 功能。 上海電信寬帶 IP 網(wǎng)絡(luò)項(xiàng)目 方案建議書 . 深圳睿盈通信息技術(shù)有限公司 20 圖 1，用戶的 VLAN 被映射到指定的 VLAN LSP，在 POP 點(diǎn)之間的隧道LSP 將 VLAN LSP 進(jìn)行隧道化，核心的 LSP 必須被限制在一個(gè)較小的數(shù)量。這些隧道的 LSP 通常經(jīng)由 RS VP TE 進(jìn)行信令化，因?yàn)楹诵牡?LSP 通常要求有嚴(yán)格的 Qos 保證。而 POP 點(diǎn)之間的攜帶用戶 VLAN 流量的 LSP 不要求流量工程因?yàn)閹捇静皇菃栴}，所以這些 LSP 通常由 LDP 信令建立。當(dāng) LAN LSP 被指定給具體某個(gè)用戶后，就不再需要作額外的供應(yīng)操作。事實(shí)上， 單個(gè) VLAN LSP 能夠攜帶用戶的所有流量而不管用戶端的VLAN 拓?fù)浣Y(jié)構(gòu)。通過 VLAN 到 MP LS LSP 隧道的映射，事實(shí)上可以建立基于第二層的 BGP VPN。整個(gè) VPN 用戶可以使用第二層隧道。這樣整個(gè)VPN 的用戶可以使用同一個(gè)子網(wǎng)的地址，也可以使用除了 IP 之外的其他協(xié)議。 上海電信寬帶 IP 網(wǎng)絡(luò)項(xiàng)目 方案建議書 . 深圳睿盈通信息技術(shù)有限公司 21 MPLS IP 層三 VPNs (MPLS/BGP VPN) 簡(jiǎn)述 按照 Frost 及 Sullivan 的預(yù)測(cè)，到 2020 年， IP VPN 服務(wù)將從 1998 的200$百萬上升到 13 個(gè)億， VPN 的必需的要求是安全，可擴(kuò)展性及 服務(wù)等級(jí)水平，以前服務(wù)供應(yīng)商通過面向連接的 ATM 及 F rame Relay 或使用加密的IP sec 提供 VPN 主要的問題是現(xiàn)基于隧道的技術(shù)不具有擴(kuò)展性的?；蚺渲脧?fù)雜， Riverstone MPLS VPN 基于 RFC 2547bis 使用 BGP 擴(kuò)展實(shí)現(xiàn)具有高度擴(kuò)展能力的 VPN。通過使用 MP LS VPN，運(yùn)營(yíng)商通過分配 VPN ID 給用戶。然后組合 VPNID 和 IP 地址來進(jìn)行轉(zhuǎn)送，使得用戶的 IP 地址成為唯一的標(biāo)識(shí)，在 MPLS VPN 中， VPN 信息由 BGP 協(xié)議分布到同樣的 VPN 成員中去，不同的 VPN 成員之間流量 完成分開，流量通過 MP LS LSP 來進(jìn)行轉(zhuǎn)送， MPLS LSP 能提供 ATM 或幀中繼級(jí)別的安全和可靠性。轉(zhuǎn)發(fā)表中包含相對(duì)應(yīng)于 VPNIP 地址的標(biāo)簽信息。 Riverstone 提供的 MPLS VPN 能夠利用基于 MPLS 的 QOS 功能為不同用戶提供不同層次的 IP 服務(wù)是，這些簡(jiǎn)單有效的 VPN 服務(wù)能夠滿足用戶的 VPN 要求并能提供額外的強(qiáng)大的服務(wù)分發(fā)機(jī)制。 MPLS VPN 的實(shí)現(xiàn)過程 MPLS的應(yīng)用導(dǎo)致 VPN技術(shù)產(chǎn)生了質(zhì)的變化，他保證了 VPN的極高的可擴(kuò)展性，并為服務(wù)供應(yīng)商和最終用戶同時(shí)提供了簡(jiǎn)單配置和可 管理性。 MP LS同時(shí)可以提供跨越 IP路由網(wǎng)絡(luò)和 ATM交換網(wǎng)絡(luò)的 VPN，從而保護(hù)用戶的現(xiàn)有投資。 MPLS VPN的基本工作方式是采用三層技術(shù)，每一個(gè) VPN具有獨(dú)自的 VPNID，每一個(gè) VPN的用戶只能與自己 VPN網(wǎng)絡(luò)中的成員進(jìn)行通信，而也只有VPN的成員才能有權(quán)進(jìn)入該 VPN。如下圖所示： 上海電信寬帶 IP 網(wǎng)絡(luò)項(xiàng)目 方案建議書 . 深圳睿盈通信息技術(shù)有限公司 22 圖： MPLS VPN示意 圖中有兩個(gè) VPN： A公司以及 B公司， A公司的 VPN中的用戶有權(quán)進(jìn)入黃色的VPN，并且與該 VPN的用戶進(jìn)行通信，而 B 公司 VPN不可見。 MPLS VPN的工作過 程如下： 在基于 MPLS的 VPN中，服務(wù)提供商為每個(gè) VPN分配了一個(gè)標(biāo)識(shí)符，稱作路由標(biāo)識(shí)符 (RD)，這個(gè)標(biāo)識(shí)符在服務(wù)提供商的網(wǎng)絡(luò)中是獨(dú)一無二的。轉(zhuǎn)發(fā)表中包括一個(gè)獨(dú)一無二的地址，叫作 VPNIP地址，是由 RD和用戶的 IP地址連接形成。 VPNIP地址在網(wǎng)絡(luò)中是獨(dú)一無二的，地址表存儲(chǔ)在轉(zhuǎn)發(fā)表中。每個(gè) VPN保持一個(gè)轉(zhuǎn)發(fā)表。 BGP是一個(gè)路由信息分布協(xié)議，它利用多協(xié)議擴(kuò)展和 BGP Community 屬性來定義 VPN的連接性。在基于 MPLS的 VPN中， BGP只對(duì)同一個(gè) VPN的成員發(fā)布信息，通過流量分隔來提供基本的安 全性。因?yàn)閿?shù)據(jù)是通過使用 LSPs來轉(zhuǎn)發(fā) 上海電信寬帶 IP 網(wǎng)絡(luò)項(xiàng)目 方案建議書 . 深圳睿盈通信息技術(shù)有限公司 23 的， LSP定義一條特定的路徑，不可以被改變，這樣對(duì)安全性也有保證。這種基于標(biāo)簽的模式可與幀中繼和 ATM一樣提供保密性。服務(wù)提供商，而不是用戶，應(yīng)用 VPN時(shí)將一個(gè)特定的 VPN與接口聯(lián)系起來，數(shù)據(jù)包的轉(zhuǎn)發(fā)是由用于入口的標(biāo)簽決定的。既然不可能 spoof端口， MPL SVPN就不易受到 spoof的攻擊。 VPN轉(zhuǎn)發(fā)表中包括與 VPNIP地址相對(duì)應(yīng)的標(biāo)簽。通過這個(gè)標(biāo)簽將數(shù)據(jù)傳送到相應(yīng)地點(diǎn)。既然標(biāo)簽代替了 IP地址，用戶可以保持他們的專用地址結(jié)構(gòu)，無需進(jìn)行網(wǎng)絡(luò)地址翻譯 (NAT)來傳送 數(shù)據(jù)。根據(jù)數(shù)據(jù)入口，交換機(jī)選擇一特定的轉(zhuǎn)發(fā)表，該表中只包括在 VPN中有效的目的地址。為了創(chuàng)建 extr，服務(wù)提供商在 VPN之間要明確配置可達(dá)性。 這種解決方案的優(yōu)勢(shì)在于服務(wù)提供商可以通過相同的網(wǎng)絡(luò)結(jié)構(gòu)來支持許多種VPN，并不需要為每一個(gè)用戶建立單獨(dú)的網(wǎng)絡(luò)。而且，這種方案將 IP VPN的能力內(nèi)置于網(wǎng)絡(luò)本身，所以，服務(wù)提供商可以為所有租用者配置一個(gè)網(wǎng)絡(luò)來提供專用的 IP網(wǎng)服務(wù)，如 intra和 extra，而無需復(fù)雜的管理，隧道或 VC mesh。 QoS可為每個(gè) VPN提供特有的業(yè)務(wù)政策， QoS服務(wù)可與基于 MPLS的 VPN無縫結(jié)合，因?yàn)閮烧叨际腔跇?biāo)記的技術(shù)。 上海電信寬帶 IP 網(wǎng)絡(luò)項(xiàng)目 方案建議書 . 深圳睿盈通信息技術(shù)有限公司 24 基于 MPLS 的 IPVPN網(wǎng)絡(luò)可以很容易地與基于 IP的用戶網(wǎng)絡(luò)結(jié)合起來。租用者可與供應(yīng)商提供的服務(wù)無縫結(jié)合，不必改變 intra應(yīng)用，因?yàn)檫@些網(wǎng)絡(luò)具有應(yīng)用通曉性、保密性和 QoS內(nèi)置于網(wǎng)絡(luò)中。用戶能夠使用他們專有的IP地址而無需 NAT(網(wǎng)絡(luò)地址翻譯 )。 這同一種網(wǎng)絡(luò)結(jié)構(gòu)目前可支持許多種 VPN，可減輕為每一個(gè)新網(wǎng)絡(luò)實(shí)施工程的負(fù)擔(dān)。這種方案易于進(jìn)行 VPN的添加、移動(dòng)和改變。如果某個(gè)公司需要在自己的 VPN中增加一站點(diǎn)，服務(wù)提供商只需告訴客戶端設(shè)備的路由器如何與網(wǎng)絡(luò)連接，并配置 LSR來識(shí)別來自于 CPE的 VPN成員。 BGP會(huì)自動(dòng)更新 VPN成員。與增加一臺(tái)設(shè)備需要大量操作的 overlay VPN相比，這種方案要簡(jiǎn)單、迅速和便宜的多。在一個(gè) overlay VPN中增加一臺(tái)新設(shè)備要涉及到更新流量matrix，從新站點(diǎn)建立 VC到所有現(xiàn)存的站點(diǎn)，更新每個(gè)站點(diǎn)的 OSPF設(shè)計(jì)，針對(duì)新的拓?fù)浣Y(jié)構(gòu)圖重新配置每臺(tái) CPE設(shè)備。 MPLSVPN的工作過程如下： 用戶端的路由器 (CE)首先通過靜態(tài)路由或 BGP將用戶網(wǎng)絡(luò)中的路由信息 通知提供商路由器 (PE)，同時(shí)在 PE之間采用 BGP多協(xié)議擴(kuò)展來傳送 VPNIP的信息以及相應(yīng)的標(biāo)記 (VPN的標(biāo)記，以下簡(jiǎn)稱為內(nèi)層標(biāo)記 )，而在 PE與 P路由器之間則采用傳統(tǒng)的 IGP協(xié)議相互學(xué)習(xí)路由信息，采用 LDP或 RSVP協(xié)議進(jìn)行路由信息與標(biāo)記 (骨干網(wǎng)絡(luò)中的標(biāo)記，以下稱為外層標(biāo)記 )的綁定。到此時(shí)， CE，PE以及 P路由器中基本的網(wǎng)絡(luò)拓?fù)湟约奥酚尚畔⒁呀?jīng)形成。 PE路由器擁有了骨干網(wǎng)絡(luò)的路由信息以及每一個(gè) VPN的路由信息。 當(dāng)屬于某一 VPN的 CE用戶數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)時(shí)，在 CE與 PE連接的接口上可以識(shí)別出該 CE屬于那一個(gè) VPN，進(jìn)而到該 VPN的路由表中去讀取下一跳的地址信息，同時(shí)，在前傳的數(shù)據(jù)包中打上 VPN標(biāo)記 (內(nèi)層標(biāo)記 )。這時(shí)得到的下一跳地址為與該 PE作 Peer的 PE的地址，為了達(dá)到這個(gè)目的端的 PE，此時(shí)在起始端 PE中需讀取骨干網(wǎng)絡(luò)的路由信息，從而得到下一個(gè) P路由器的地址，同時(shí)采用 LDP或 RSVP在用戶前傳數(shù)據(jù)包中打上骨干網(wǎng)絡(luò)中的標(biāo)記 (外層標(biāo)記 )。 上海電信寬帶 IP 網(wǎng)絡(luò)項(xiàng)目 方案建議書 . 深圳睿盈通信息技術(shù)有限公司 25 在骨干網(wǎng)絡(luò)中，初始 PE之后的 P均只讀取外層標(biāo)記的信息來決定下一跳，因此骨干網(wǎng)絡(luò)中只是簡(jiǎn)單的標(biāo)記交換。 在達(dá)到目的端 PE之前的最后一個(gè) P路由器時(shí)，將外層標(biāo)記去掉，讀取內(nèi)層標(biāo)記，找 到 VPN，并送到相關(guān)的接口上，進(jìn)而將數(shù)據(jù)傳送到 VPN的目的地址處 從以上工作過程可見， MPLS VPN絲毫不改變 CE和 P原有的配置，一旦有新的CE加入到網(wǎng)絡(luò)時(shí)，只需在 PE上作簡(jiǎn)單配置，其余的改動(dòng)信息由 IGP/BGP自動(dòng)通知到 CE和 P。因此 MPLS VPN擁有以下優(yōu)點(diǎn)： 三層的智能 VPN； VPN連接配置簡(jiǎn)單，對(duì)現(xiàn)有骨干網(wǎng)絡(luò)沒有壓力； 對(duì)現(xiàn)有用戶的要求為 0，用戶不需要作任何改動(dòng)，用戶加入 VPN的配置也很簡(jiǎn)單； 網(wǎng)絡(luò)可擴(kuò)展能力很強(qiáng)； 上海電信寬帶 IP 網(wǎng)絡(luò)項(xiàng)目 方案建議書 . 深圳睿盈通信息技術(shù)有限公司 26 VPN用戶可以延用原有的專用地址，不需要作 任何修改，在骨干網(wǎng)絡(luò)采用VPNID，可以保持全網(wǎng)的唯一性； 易于提供增值業(yè)務(wù)，如不同的 COS。 可靠性 通過 Riverstone 的 MPLS 解決方案，備份的 LSP能夠被配置以提供快速的故障恢復(fù)。備份的 LSP可以是已經(jīng)被預(yù)配置的，也可以是當(dāng)主 LSP失效時(shí)運(yùn)態(tài)建立的。另外也可以通過 MPLS 快速重路由功能實(shí)現(xiàn)熱容錯(cuò)，快速重路由功能能快速建立一個(gè)繞過故障點(diǎn)的 LSP隧道。如果一個(gè)結(jié)點(diǎn)或鏈路失效，這條繞過故障點(diǎn)的 LSP將過使用并通知入口路由器，入口路由器然后決定建立一個(gè)新的 LSP。 當(dāng)故障點(diǎn)恢復(fù)正常時(shí)，流量可 以按照配置恢復(fù)從原路徑通過。 上海電信寬帶 IP 網(wǎng)絡(luò)項(xiàng)目 方案建議書 . 深圳睿盈通信息技術(shù)有限公司 27 故障的檢測(cè)必須要盡可能