【文章內(nèi)容簡介】 圖7 Internet訪問——二級(jí)控制方式 如圖7所示，在這種方式下，首先在企業(yè)內(nèi)部做INTERNET訪問控制，然后在服務(wù)提供商處再做一次統(tǒng)一的訪問控制，即兩級(jí)訪問控制。這種方式的優(yōu)點(diǎn)是即可以滿足企業(yè)用戶對(duì)自身進(jìn)行訪問控制的需求，同時(shí)運(yùn)營商也能對(duì)用戶訪問Internet進(jìn)行統(tǒng)一控制，并且不象第二鐘方式那樣需要增加太多的投資（因?yàn)閷?duì)每個(gè)VPN都要有單獨(dú)的Firewall設(shè)備來進(jìn)行訪問控制）。當(dāng)然這種方式的缺陷也是顯然的，一是配置復(fù)雜，二是效率低于前兩種。 Extranet Extranet即外聯(lián)網(wǎng)，指在這個(gè)網(wǎng)絡(luò)內(nèi)，屬于某一個(gè)管理者的用戶站點(diǎn)，由于業(yè)務(wù)的需求要與多個(gè)屬于其他管理者的用戶站點(diǎn)進(jìn)行有限制的連接。一個(gè)Extranet應(yīng)用的例子是：一個(gè)設(shè)備制造商在Extranet內(nèi)與器材供應(yīng)商及用戶進(jìn)行有限制連接，以便訂購元器件、了解供貨情況、了解用戶需求、向用戶介紹情況等。有限制的連接主要指可以進(jìn)行互訪問的有關(guān)協(xié)作數(shù)據(jù)是限制的，并不是所有數(shù)據(jù)都可以放開互訪。 所以在構(gòu)建Extranet時(shí)，管理者要解決的關(guān)鍵問題就是確定用戶允許接入、允許訪問的數(shù)據(jù)類型和內(nèi)容。 利用MPLS VPN技術(shù)可以很好的實(shí)現(xiàn)Extranet，對(duì)于MPLS VPN來說，Extranet實(shí)際上就是指兩個(gè)VPN可以共享部分site的網(wǎng)絡(luò)資源，同時(shí)兩個(gè)VPN的其他Site保持相互隔離。 實(shí)現(xiàn)過程： 對(duì)于共享的site，即Extranet部分，采用兩套IP地址，一套作為VPN私網(wǎng)地址，另一套作為Extranet公共地址，在訪問本VPN其他site時(shí)(非Extranet部分)，使用私有地址，在訪問Extranet 的site時(shí)，使用Extranet公共地址，在訪問Extranet site時(shí)，要先對(duì)報(bào)文的源IP地址進(jìn)行NAT轉(zhuǎn)換，即將原來VPN私有地址空間的源IP地址轉(zhuǎn)換為Extranet公有地址空間的IP地址。同時(shí)需要設(shè)置兩個(gè)DNS服務(wù)器，一個(gè)用于VPN私網(wǎng)內(nèi)部的訪問，這個(gè)DNS Server作為主用，另一個(gè)作為Second DNS Server，用于完成VPN用戶訪問Extranet站點(diǎn)時(shí)的地址解析工作。根據(jù)進(jìn)行NAT地址轉(zhuǎn)換的位置不同，有兩種實(shí)現(xiàn)方式： (1) 集中式(也叫組合式)方案 如下圖所示： NAT地址轉(zhuǎn)換工作統(tǒng)一在一個(gè)設(shè)備(一般多為防火墻設(shè)備)上完成，這樣，對(duì)于兩個(gè)VPN，NAT設(shè)備都相當(dāng)于是它的CE，這里我們可以稱之為虛擬CE，每個(gè)虛擬CE與PE之間通過2個(gè)VLAN連接，同時(shí)在VLAN子接口上針對(duì)每個(gè)VPN配置相應(yīng)的NAT策略及防火墻策略，NAT設(shè)備可以將兩個(gè)VPN用戶訪問Extranet的報(bào)文的源IP地址轉(zhuǎn)換為公有地址池中的地址，如圖所示。要將公有地址池的路由發(fā)布到Extranet的站點(diǎn)中。 圖8 Extranet——集中式方案 (2) 分布式方案 如下圖所示： NAT地址轉(zhuǎn)換工作在各Extranet site的出口完成。圖9 Extranet——分布式方案 (3) 地址空間統(tǒng)一規(guī)劃 上面通過兩套IP地址實(shí)現(xiàn)VPN之間互通的方式比較復(fù)雜，對(duì)網(wǎng)絡(luò)管理維護(hù)人員的要求較高。所以實(shí)際應(yīng)用中應(yīng)該盡量避免使用。 需互訪的VPN的地址空間由ISP統(tǒng)一規(guī)劃。如下圖所示，Extranet部分的IP地址與兩個(gè)VPN的地址空間均不重合，通過route target屬性(import/export)控制PE間路由的擴(kuò)散，將兩個(gè)VPN的路由引入到Extranet上，同時(shí)在VPN的其他site上只引入本VPN及Extranet的路由，為了防止VPN的其他site上通過通過指向extranet site的缺省路由進(jìn)行互訪，在與extranet直接相連的PE上通過ACL對(duì)非法互訪流量進(jìn)行隔離。 這種方式適用于需共享的網(wǎng)絡(luò)資源比較集中的情況。圖10 Extranet——地址空間統(tǒng)一規(guī)劃方式說明： 由于實(shí)現(xiàn)復(fù)雜的Extranet將導(dǎo)致網(wǎng)絡(luò)配置復(fù)雜，不易維護(hù)，有些實(shí)際項(xiàng)目中，可以通過網(wǎng)絡(luò)規(guī)劃手段和管理措施盡量避免或減少這種需求： 在采用VPN的網(wǎng)絡(luò)中，絕大多數(shù)流量是隔離的，真正需共享或互通的設(shè)備不應(yīng)過多?？梢詫⑿枰ネǖ木W(wǎng)絡(luò)設(shè)備(如一些機(jī)要主機(jī))單獨(dú)劃分在一個(gè)VPN中，如江西政務(wù)網(wǎng)中，機(jī)要部門系統(tǒng)和政府機(jī)關(guān)系統(tǒng)分別屬于不同的VPN中，但是在某些地區(qū)，本地區(qū)的一些機(jī)要主機(jī)和政府部門主機(jī)需要互通，而這些主機(jī)與本系統(tǒng)的其他主機(jī)之間很少互訪，這時(shí)，可以將這些主機(jī)單獨(dú)劃分一個(gè)VPN，這部分主機(jī)及本系統(tǒng)其他主機(jī)之間的數(shù)據(jù)交互通過人工或其他方式進(jìn)行。 VPLS VPLS(虛擬專用LAN網(wǎng)段，Virtual Private LAN Segments)是利用公共IP資源建立局域網(wǎng)的一種方法，類似于通過LANE在ATM網(wǎng)絡(luò)上模擬局域網(wǎng)，VPLS在拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)運(yùn)行上與VPRN相似，主要區(qū)別在于PE節(jié)點(diǎn)使用的是橋接技術(shù)而不是網(wǎng)絡(luò)層轉(zhuǎn)發(fā)。VPLS的組網(wǎng)是建立在MAC層轉(zhuǎn)發(fā)上的，對(duì)網(wǎng)絡(luò)層協(xié)議透明。 雖然Martini和Kompella方式的MPLS L2VPN都可以實(shí)現(xiàn)兩個(gè)LAN網(wǎng)段跨MPLS網(wǎng)絡(luò)的點(diǎn)到點(diǎn)互聯(lián)，但是它們都只支持VLL(Virtual Leased Link)方式的LAN網(wǎng)段互聯(lián)。而VPLS可以通過公共IP/MPLS網(wǎng)絡(luò)將多個(gè)LAN/VLAN網(wǎng)段連在一起，從用戶角度看，可以將整個(gè)公共IP/MPLS網(wǎng)絡(luò)看成一個(gè)大L2 Switch。由于目前VPLS實(shí)現(xiàn)沒有明確的標(biāo)準(zhǔn)指導(dǎo)，各廠家的VPLS實(shí)現(xiàn)各不相同。同Martini方式的MPLS L2VPN一樣，VPLS也可以利用LDP擴(kuò)展作為信令，實(shí)現(xiàn)VC標(biāo)記交換，同時(shí)VPLS要求PE節(jié)點(diǎn)支持MAC地址學(xué)習(xí)功能。 其組網(wǎng)形式：圖11 VPLS組網(wǎng) QoSMPLS/BGP VPN應(yīng)用中，在VPN網(wǎng)絡(luò)內(nèi)部可以對(duì)報(bào)文進(jìn)行分類、著色，各種QoS處理。報(bào)文在骨干網(wǎng)PE間傳送時(shí)，QoS屬性被透傳到對(duì)端PE，中間不會(huì)被修改。另一方面，在骨干網(wǎng)上也可以對(duì)VPN用戶的數(shù)據(jù)流進(jìn)行QoS處理。使用MPLS報(bào)文標(biāo)簽頭的EXP字段保存COS，在網(wǎng)絡(luò)中按照既定的規(guī)則，將不同COS值的報(bào)文對(duì)應(yīng)于不同的PHB，按照相應(yīng)規(guī)則進(jìn)行隊(duì)列調(diào)度，報(bào)文丟棄等處理。這里COS的值在入口PE上被設(shè)定，設(shè)定方法有兩種：一種是將VPN用戶IP報(bào)文的優(yōu)先級(jí)或DSCP值直接映射為MPLS報(bào)文的COS值；另一種方法是按照一定規(guī)則對(duì)用戶報(bào)文重新進(jìn)行分類，著色。無論使用哪種方法，設(shè)定的服務(wù)類型僅在骨干網(wǎng)內(nèi)有效。圖12 MPLS QoS TE與IP不同，MPLS技術(shù)是面向連接的。通過設(shè)置LSP穿越的路徑，用戶可以很方便地管理穿越IP網(wǎng)絡(luò)的業(yè)務(wù)，實(shí)現(xiàn)IP骨干網(wǎng)絡(luò)的負(fù)載平衡，減輕網(wǎng)絡(luò)擁塞，提高網(wǎng)絡(luò)效率和服務(wù)質(zhì)量。當(dāng)網(wǎng)絡(luò)中的路由器數(shù)量增多時(shí)，業(yè)務(wù)管理負(fù)擔(dān)就變得非常沉重。使用MPLS流量工程，網(wǎng)絡(luò)管理員只需要建立一些LSP，旁路擁塞節(jié)點(diǎn)，就可以消除網(wǎng)絡(luò)擁塞。圖13 MPLS 流量工程使用RSVPTE，將業(yè)務(wù)量特征（如帶寬）和類型在路徑上傳送，保證每臺(tái)路由器設(shè)置合適的帶寬和服務(wù)類型。通過這種方式，可以建立有帶寬保證的MPLS TE隧道，并可以方便的進(jìn)行隧道維護(hù)，參數(shù)修改等處理。使用MPLS TE隧道，網(wǎng)絡(luò)能夠提供各種有保證的增值服務(wù)，如用作MPLS/BGP VPN的隧道、L2VPN的隧道，用于各種接入業(yè)務(wù)、互聯(lián)業(yè)務(wù)。圖14 MPLS TE隧道MPLS TE隧道由于建立、使用靈活，成本低，還適用于一些特殊的場(chǎng)合。比如在一些應(yīng)用中，用戶需要僅在一段特定的時(shí)間內(nèi)，在某兩點(diǎn)間得到高可靠性的服務(wù)，這時(shí)使用MPLS TE是很好的選擇。首先建立到達(dá)對(duì)端的MPLS TE隧道，然后通過配置靜態(tài)路由或策略路由，將流量引入MPLS TE隧道，可以方便的提供保證服務(wù)。 跨AS 有三種方式，VRFtoVRF方式、EBGP方式和MultiHop方式。1) VRFtoVRF方式 如圖所示，這種方式要求兩個(gè)域的ASBR能夠做PE。兩個(gè)AS域各自運(yùn)行自己的VPN。對(duì)于每一個(gè)需要跨域的VPN，需要在本端跨域的PE設(shè)備(ASBR)上配置對(duì)應(yīng)于這個(gè)VPN的VRF，把對(duì)端的 PE設(shè)備(ASBR)做為 本域VPN的CE，PECE之間運(yùn)行EBGP協(xié)議，攜帶對(duì)端的VPN路由信息。這樣，VPN報(bào)文在兩個(gè)AS域都是兩層標(biāo)簽轉(zhuǎn)發(fā)，而在ASBR之間則是正常的IP轉(zhuǎn)發(fā)。 這個(gè)方法的優(yōu)點(diǎn)是在ASBR之間不需要運(yùn)行MPLS，但缺點(diǎn)是每個(gè)跨域的VPN需要與一個(gè)子接口綁定，子接口的數(shù)量至少要和跨域的VPN的數(shù)量相當(dāng)，并需要逐個(gè)VPN進(jìn)行配置，因而存在可擴(kuò)展性問題。這種方式也可以用于二層/三層VPN互通。圖15 VRFtoVRF跨AS2) MPEBGP攜帶VPNIPv4路由 通過直連的ASBR傳播VPNIPv4路由，并且為相應(yīng)的VPN路由分配一個(gè)標(biāo)簽。在兩個(gè)AS域內(nèi)，VPN報(bào)文是普通的兩層標(biāo)簽轉(zhuǎn)發(fā)，在ASBR間，只有VPN內(nèi)層標(biāo)簽，如果ASBR改變了VPN路由的下一跳，則需要交換報(bào)文的內(nèi)層標(biāo)簽。 當(dāng)VPNIPv4路由跨越多個(gè)AS時(shí)，采用的技術(shù)是同樣的，無論跨越多少個(gè)AS，都只需要2層標(biāo)簽。 這種方法的優(yōu)點(diǎn)是不需要在ASBR處為每個(gè)VPN的用戶站點(diǎn)分配一個(gè)子接口，也不用建立跨域的LSP。但缺點(diǎn)是是需要在ASBR處同時(shí)維護(hù)VPN的路由和Internet路由，ASBR節(jié)點(diǎn)的壓力大。為了克服這個(gè)缺點(diǎn)，可以采用多個(gè)ASBR，進(jìn)行負(fù)載分擔(dān)。圖16 MPEBGP攜帶VPN路由跨AS3) MultiHop MPEBGP 這種方式是首先在ingress與egress PE之間通過LDP + BGP的方式建立跨域的LSP，然后不同AS域之間的PE通過MPEBGP方式傳播VPN路由信息，由于PE間要跨越多跳，稱為MultiHop MPEBGP。 Ingress與Egress PE間LSP建立的方式同MPEBGP為VPNIPv4路由建立LSP的方式類似，區(qū)別是這時(shí)使用BGP協(xié)議分布PE的主機(jī)IPv4路由。首先在每個(gè)AS內(nèi)通過LDP建立外層LSP，然后通過BGP將PE的主機(jī)路由攜帶標(biāo)簽分布到另外一個(gè)自治系統(tǒng)，路徑是PEASBRASBRPE，這樣建立中間層LSP。這個(gè)LSP將兩個(gè)AS內(nèi)的外層LSP串接起來，形成跨域的LSP。 當(dāng)VPNIPv4路由跨越多個(gè)AS時(shí)，采用的技術(shù)是同樣的，無論跨越多少個(gè)AS，都只需要3層標(biāo)簽。 這種方式的優(yōu)點(diǎn)是不需要在ASBR上維護(hù)VPN路由信息，將VPN路由信息的處理壓力分散到PE上。 缺點(diǎn)是一個(gè)PE要同另外一個(gè)AS內(nèi)的所有PE之間建立EBGP連接，可擴(kuò)展性差。為了解決這個(gè)問題，可以在每個(gè)AS內(nèi)設(shè)置RR(路由反射器)，PE同RR間使用MPIBGP分布VPNIPv4路由，兩個(gè)AS的RR之間采用Multihop EBGP方式來分布VPNIPv4路由。但一定要注意RR上決不能配置nexthopself。另外注意，RR與ASBR不應(yīng)該是同一個(gè)設(shè)備。圖17 MultiHop MPEBGP方式跨AS4) 三種方式的比較 下面從幾個(gè)方面比較上述三種方式，以便于在合適的情況下選用。VRFtoVRF方式EBGP方式MultiHop方式ASBR轉(zhuǎn)發(fā)方式最長匹配算法查找FIB，PUSH標(biāo)簽精確匹配算法查找ILM，SWAP內(nèi)層標(biāo)簽精確匹配算法查找ILM，SWAP中間層標(biāo)簽ASBR維護(hù)VPN路由維護(hù)VPN路由維護(hù)VPN路由不維護(hù)VPN路由AS間分布VPN路由的方式多個(gè)IGP/BGP實(shí)例，每個(gè)實(shí)例分布一個(gè)VPN的路由ASBR間采用MPEBGPPE/RR間采用MultiHop MPEBGPASBR間(子)接口數(shù)目
至少同VPN數(shù)目相當(dāng)
最少需要1個(gè)最少需要1個(gè)提高可擴(kuò)展性的方法采用多個(gè)ASBR采用多個(gè)ASBR采用RR提高冗余性的方法采用多個(gè)ASBR采用多個(gè)ASBR采用多個(gè)RR/多個(gè)ASBRASBR的開銷最大中間最小PE的開銷小小若不采用RR非常大ASBR是否同RR合設(shè)可以可以不推薦PE上標(biāo)簽棧深度223 綜上所述，第1種方式基本不可用，但可以用于2/3層VPN互通；第2種方式適合較小的AS，這時(shí)ASBR同RR合設(shè)；第3種方式適合大型的AS，一般要求ASBR同RR分離，并最好使用兩個(gè)以上RR。 Carrier39。s Carrier Carrier39。s Carrier，中文翻譯為運(yùn)營商的運(yùn)營商。也就是說運(yùn)營商是分級(jí)的，二級(jí)運(yùn)營商有自己的用戶，同時(shí)二級(jí)運(yùn)營商是一級(jí)運(yùn)營商的一個(gè)用戶。在MPLS VPN中，一級(jí)運(yùn)營商將二級(jí)運(yùn)營商作為一個(gè)VPN用戶來處理，這樣，即保證了二級(jí)運(yùn)營商的私密性，因?yàn)樗渌?jí)運(yùn)營商是隔離的，同時(shí)，一級(jí)運(yùn)營商又可以為多個(gè)二級(jí)運(yùn)營商服務(wù)，而不用建立多個(gè)骨干網(wǎng)。一級(jí)運(yùn)營商和二級(jí)運(yùn)營商的費(fèi)用都降低了。 二級(jí)運(yùn)營商可以是一個(gè)ISP，也可以是一個(gè)MPLS VPN提供商。 Carrier39。s Carrier起初是BGP/MPLS VPN中的一個(gè)概念，在RFC2547中描述。但在MPLS L2 VPN中也面臨同樣的問題，并可以采用相似的技術(shù)來處理。下面對(duì)它們的原理和應(yīng)用方式進(jìn)行描述。1 一級(jí)運(yùn)營商采用BGP/MPLS VPN方式 分二級(jí)運(yùn)營商是ISP或MPLS VPN提供商兩種情況討論。1)ISP作為二級(jí)運(yùn)營商 典型組網(wǎng)方式如圖所示，二級(jí)運(yùn)營商的兩個(gè)站點(diǎn)通過一級(jí)運(yùn)營商連結(jié)。它們屬于同一個(gè)AS，因此其二級(jí)運(yùn)營商的外部路由(用戶路由)可以使用IBGP直接分布而無需一級(jí)運(yùn)營商參與，一級(jí)運(yùn)營商并不維護(hù)二級(jí)運(yùn)營商的外部路由。內(nèi)部路由則作為VPN路由通過BGP/MPLS VPN的機(jī)制進(jìn)行分布，也就是在一級(jí)PE和二級(jí)CE間運(yùn)行IGP協(xié)議。在轉(zhuǎn)發(fā)時(shí)，二級(jí)運(yùn)營商的外部報(bào)文在一級(jí)運(yùn)營商內(nèi)部應(yīng)當(dāng)使用MPLS轉(zhuǎn)發(fā)，但LSP不是起始于一級(jí)PE1，因?yàn)橐患?jí)PE1上不存在二級(jí)運(yùn)營商的外