核心 MPLS IP VPN 体系结构

本文档讲述了一种Internet社区的Internet标准跟踪协议，它需要进一步进行讨论和建议以得到改良。请参考最新版的“Internet正式协议标准” (STD1)来获得本协议的标准化程度和状态。本备忘录的发布不受任何限制。

摘要

本备忘录描写了一种在服务供给商的MPLS主干网上建立核心VPN服务的方法。该方法在主干网中利用MPLS，以供给除“努力而为”外的“优先服务”。其核心思想是，服务供给商为客户供给一个虚拟路由器服务。该系统结构的基础原则是便于配置、用户安全、网络安全、动态邻居创造、可扩大性和对现有路由协议的不加修正的利用。

目录

1．缩略语

2. 概述

3. 虚拟路由器

4. 目标

5. 结构恳求

6. 结构框架

7. 可扩大的配置

8. 动态邻居创造

9. VPN 的IP域配置

10．邻居创造举例

11. 转发

11.1专用LSP

11.2努力而为的公开LSP

12．区分服务

13．安全问题

13.1路由安全

13.2数据安全

13.3配置安全

13.4物理网络安全

14．虚拟路由器的检测

15．性能问题

16. 致谢

17. 参考文献

18. 作者地址

19.  版权声明

1．缩略语

ARP    地址解析协议

CE     客户边沿路由器

LSP    标签交换路径

PNA    专用网管理员

SLA    服务等级协议

SP     服务供给商

SPED   SP边沿设备

SPNA   SP网络管理员

VMA    VPN 组播地址

VPNID  VPN 标识

VR     虚拟路由器

VRC    虚拟路由把持台

2. 概述

    本备忘录描写了一种以服务供给商网络为主干网，供给IP  VPN服务的方法。一般而言，有两种实现方法：叠加模式和虚拟路由器方法。前者是在现有路由协议的基础上叠加一些语义，以携带一些地址可达信息。在本文中，我们着重于介绍虚拟路由器的方法。

本文描写的方法并不需要对现有的路由协议进行修正。邻居创造是通过仿真局域网及地址解析协议来实现的。本文力图对SP和PNA做如下分工：SP拥有和管理第一层、第二层的服务，而PNA负责第三层的服务。因为有逻辑独立的路由域，PNA可以机动地利用私有地址和未经注册的地址。而在共享LSP上利用标签堆栈对专用LSP和VPN标识进行了封装，数据安全性也得到了保证。

本备忘录描写的方法与RFC2547中不同之处在于：并没有指定路由协议来携带VPN路由信息。在RFC2547中描写了一种方法，可以通过修正BGP协议来携带VPN在SP主干网上的单播路由。如果要携带多播路由，还必须进行进一步的工作。

3. 虚拟路由器

一个虚拟路由器是一个路由设备中静态或动态线程的集合，供给类似物理路由器的路由和转发服务。一个虚拟路由器不须单独的操作系统处理（当然也可以有），它只是给人一种错觉，好象有一个专用的路由器为它所连接的网络供给服务。一个虚拟路由器与它相应的物理设备一样，是路由域的一个元素。这个路由域中的其它路由器可以是物理的，也可以是虚拟的。如果虚拟路由器与一个特定的（逻辑离散的）路由域相连，而一个物理路由器又可以承载多个虚拟路由器的话，那么，一个物理路由器就能支撑多个（逻辑离散的）路由空间了。

从VPN用户的角度来看，虚拟路由器应当与物理路由器尽可能地雷同。换言之，除了极个别情况外，虚拟路由应当在各方面（配置、管理、检测、查错）都象一个专用的物理路由器。这样，就无须对大批已安装的路由器进行升级或重新配置，也不需对网络管理员重新培训。

虚拟    路由器的任务在于：

1.       对任意路由协议组合的配置

2.       对网络的检测  

3.       查错

每个VPN都有一个逻辑上独立的路由域，这样SP就可以更好地为用户供给相当机动的虚拟路由器服务，而无需为每一个VPN筹备一个物理路由器。这也就是说，SP的硬件投资--路由器和它们之间的连接--可以被多个用户复用。

本消息共5页,当前在第1页  1  2  3  4  5