Junier制胜的VN策略二

制胜的VPN策略日程安排虚拟专网（VPN）介绍运营模式：BGP/MPLSVPN（RFC2547bis）运营模式：二层MPLSVPN总结2

第一部分

VPN介绍日程：

VPN介绍VPN概况基于CPE的VPN由服务商实施的VPNIETF标准更新4日程：

VPN介绍VPN概况基于CPE的VPN由提供商实施的VPNIETF标准更新5什么是VPN？专网是建立在共享基础设施之上的虚拟：并不是一个独立的物理网络专有：独立的地址使用及路由网络：一组能够相互通信的设备的集合约束是关键–无限制的连通性并不是目的共享基础设施移动用户及远程用户远程接入分支办公室公司总部供应商，合作伙伴及客户企业内部互联网企业间互联网690年代实施的VPN运营模式PVC覆盖在共享基础设施（ATM/帧中继）之上用户路由（或桥接）在用户处实施优点更低的开销（相对于专线来讲）相对“安全”局限可扩展性及管理并不是一个完全集成的IP解决方案提供商帧中继网络CECEDLCI帧中继交换机DLCIDLCI帧中继交换机帧中继交换机721世纪实施的VPN使用IP基础设施可以与Internet业务共享IP/MPLS（并不是ATM/FR）变得越来越为重要用户需求更低的运营成本一个网络为所有服务提供连接提供商需求可支持所有业务的多业务基础设施创造更多盈利机会Internet远程接入企业内部互联网企业间互联网移动用户及远程用户分支办公室公司总部供应商，合作伙伴及客户8一个VPN模型不能满足所有用户！挑战：客户具有多种VPN需求解决方案：建立灵活的、支持多业务的核心网集成公共、半公共及专有业务支持多种VPN业务模式站点数用户数业务量希望托管程度职员专业技术010001000100010001000100安全要求9VPN分类模型用户管理的VPN解决方案（CPE-VPN）L2TP及PPTPIPsec隧道模式提供商实施的VPN解决方案（PP-VPN）基于BGP/MPLS的VPN（RFC2547bis）虚拟路由器二层MPLSVPNPEPECPECPE用户站点3PP-VPN用户站点2CPEPEVPN隧道VPN隧道VPN隧道CPEPEPEPECPECPECPE-VPNVPN隧道用户站点1用户站点3用户站点2VPN隧道VPN隧道用户站点110日程：VPN介绍VPN概况基于CPE的VPN由提供商实施施的VPNIETF标准更新11CPE-VPN：L2TP及PPTP应用：远程用用户拨号接入入二层隧道协议议（L2TP）RFC2661L2F及点到点隧道道协议的组合合点到点隧道协协议（PPTP）与Windows及WindowsNT捆绑在建立过程中中进行认证IPsec可在PPP上运行以提供供更高的安全全性拨号接入提供供商V.x调制解调器PPP拨号服务提供商或或VPNL2TP接入服务器拨号接入服务器L2TP隧道拨号接入服务器PPTP接入服务器PPTP隧道12CPE-VPN：IPsec隧道模式IPsec定义了IETF三层安全性体体系结构应用高安全性要求求，跨越一个个或多个服务务提供商用户负责密匙匙管理安全性服务包包括访问控制数据起源认证证重放保护数据完整性数据私密性（（加密）密匙管理13CPE-VPN：IPsec–例子路由必须在CPE处执行隧道在用户处处终结只有CPE设备需要支持持IPsec不需要对共享享/公共资源源进行修改封装安全有效效载荷（ESP）隧道模型认证确保完整整（CPE至CPE）加密原有的报报头/有效载载荷通过Internet支持私有地址址空间公司总部分支办公室CPECPEIPsecESP隧道模型公共Internet14IPsec特点从服务提供商商处获得普通通IP服务使用现有路由由器对受保护护的数据包进进行转发自身不参与QoS/SLA提供商机会较较小客户管理自己己的路由美国正逐步放放宽对加密技技术的出口限限制公司总部分支办公室CPECPEIPsecESP隧道模型公共Internet15日程：VPN介绍VPN概况基于CPE的VPN由提供商实施施的VPNIETF标准更新16由提供商实施施的VPN：三层与二层比比较提供商路由器器参与客户三三层路由提供商路由器器管理与VPN相关的路由表表，将路由发发布给远端站站点CPE路由器将其路路由广播给提提供商客户将其三层层路由映射至至链路网络提供商为用户户的每个远端端站点提供一一条二层链路路客户路由对提提供商透明三层二层17三层PP-VPN：

RFC2547bis应用：外包VPNPE为每个直连的的VPN站点维护与该该站点相关的的转发表客户与提供商商间运行传统统IP路由使用BGP发布VPN路由使用MPLS在提供商骨干干网中对VPN业务进行转发发服务提供商网网络站点1站点1站点2站点3站点2站点3CECECEVRFVRFVRFVRFVRFPEPEPEPPPEPPPCECECEVRF18三层PP-VPN：

RFC2547bis使用LDP或RSVP建立PE至PE的标记交换路路径（LSP）BGP用于发布VPN相关信息（发发现）VPN路由及可达信信息每条VPNLSP的标记（封装在PE-PELSP隧道中）通过路由过滤滤进行连接的的限制灵活的、基于于策略的控制制机制19三层PP-VPN：虚拟路由器PE设备为专网提提供网络层（（IP）转发与VPN相关的转发表表PE参与专网路由由穿过公网的专专网路由与数数据一起被封封装在隧道中中PE中的VR象专网中的一一台普通路由由器一样运行行可使用MPLS或其它隧道方方式实现20虚拟路由器的的问题VPN端点发现多种选择（BGP，组播，LDAP及其它）路由可扩展性性必须在公网上上运行多个路由进程互通性多种VR实现方式没有任何一个个获得“领导导地位”网间互联不像2547bis那样普通21三层PP-VPN优势用户将路由复杂性性转移给提供供商适于不希望在在其组织结构构中建立核心心路由功能的的中小型公司司提供商不需所有骨干干网路由器中中维护与VPN相关的路由信信息增值业务（盈盈利机遇）223层PP-VPN缺点基于策略的控控制增加了提提供商管理负负担一些客户希望望维持控制他他们的路由体体系23基于MPLS的二层PP-VPN线路交叉连接接(CCC)Draft-Martini二层VPNDraft-Kompella二层VPN24输入输出LSP1DLCI600LSP2DLCI610输入输出DLCI60010/8DLCI61020/8线路交叉连接接（CCC）为基于MPLS的二层VPN提供基础CPE与PE间使用FR/ATM接口服务提供商管管理PE间的LSP全网状互联CPE基于子网/PVC映射对VPN业务进行路由由入口PE将每条入境PVC映射至一条专专用LSP出口PE将进来的LSP映射至出境PVCCECEDLCI600DLCI610LSP1LSP2DLCI608DLCI605PEPECE源路由表CCC表“好服务提提供商”(美国区域域)“好服务提提供商”(欧洲区域域)“好服务提提供商”(亚洲区域域)CCC表CCC表输入输出DLCI605LSP1大型IP/MPLS网络CCC=线路交叉连连接输入输出DLCI608LSP2PE25线路交叉连连接的问题题需对CPE及PE系统进行配配置复杂的初始始配置添加、移动动及更改的的配置非常常冗长每条DLCI/PVC需要一条专专用LSP只适用于小小数量的个个别私有连连接26ATM（或帧中继）ATM（或帧中继）Draft-Martini基于MPLS的二层VPN继承使用CCC及MPLS的经验在传统实现现方式的基基础上提高高数据层面面的可扩展展性标记堆栈将将多条DLCI、、PVC，，或VLAN合并到一条条LSP上去增加一个站站点时，需需在每条链链路的两端端进行实施施专网路由为为CPE至CPEPEPELSPLSP2LSP6LSP5DLCI600DLCI610DLCI506DLCI408(MPLS核心)CPECPE27Draft-Kompella基于MPLS的二层VPN继承使用CCC及MPLS的经验可扩展的数数据及控制制层面数据层面：：通过标记记堆栈将多多条DLCI、、PVC，，或VLAN合并到一条条LSP上去实施：进行行自动配置置专网路由为为CPE至CPEPEPELSPDLCI600DLCI610DLCI506DLCI408CPEPECPECPE28基于MPLS的二层VPN：优势用户外包线路能够维持对对路由的控控制支持任何三三层协议提供商对RFC2547bis的补充在相同的核核心网上运运行，使用用相同的出出境LSPL2VPN（帧中继，，ATM及VLAN））可被合并至至一个IP/MPLS基础设施平平台上与CCC相比，标记记堆栈减少少了LSP的数量29基于MPLS的二层VPN：问题到达每个VPN站点的线路路类型（ATM/FR）必须一致减少了提供供商的盈利利机会客户必须具具有路由专专业技能30日程：VPN介绍VPN概况基于CPE的VPN由提供商实实施的VPNIETF标准更新31标准：基基于CPE的VPNCPE-VPN标准是稳定定的而且已已被实施L2TP的RFC2661许多针对IPsec的RFC配置及实施施具有挑战战性具有许多专专有的实施施方案32标准：BGP/MPLSVPNRFC2547提供了优势势的概况2547bis（（Internet-Draft）详细说明了了有关互通通性方面所所需的细节节由Cisco，Juniper及多家服务务提供商和和其它组织织联合撰写写可互通的产产品已经开开始发运完整的IETF标准化将需需要一段时时间扩展正被考考虑MPLS/BGPVPN的组播33标准：其其它VPN文件框架文件正正在草案拟拟定过程中中综合了多家家的建议覆盖了L3VPN已被更新覆覆盖了L2，CPEPP-VPN需求文件正正在草案拟拟定过程中中已撰写了多多个VR的建议二层MPLSVPN是Internet草案draft-kompella-mpls-l2vpn-02.txtdraft-martini-l2circuit-encap-mpls-01.txtdraft-martini-l2circuit-signaling-mpls-??.txtIETF中运营商实实施的VPN工作组会议议34第二部分BGP/MPLSVPN日程：BGP/MPLSVPNRFC2547bis术语VPN地址结构运行模式基于策略的的路由信息息交换业务转发可扩展的2547bisInternet访问服务等级36日程：BGP/MPLSVPNRFC2547bis术语VPN地址结构运行模式基于策略的的路由信息息交换业务转发可扩展的2547bisInternet访问服务等级37客户边界路路由器客户边界（（CE）路由器位于客户处处提供到服务务提供商网网络的接入入CE/PE连接可使用用任何接入入技术或路路由协议CEPPPECECECEPEVPNAVPNAVPNBVPNBPE客户边界38提供商边界界路由器提供商边界界（PE））路由由器器维护护与与站站点点相相关关的的转转发发表表使用用BGP与其其它它PE路由由器器交交换换VPN路由由信信息息使用用MPLSLSP转发发VPN业务务CEPPPECECECEPEVPNAVPNAVPNBVPNBPE提供供商商边边界界39提供供商商路路由由器器提供供商商（（P））路由由器器使用用已已建建立立的的LSP对VPN数据据进进行行透透明明转转发发不维维护护与与VPN有关关的的路路由由信信息息CEPPPECECECEPEVPNAVPNAVPNBVPNBPE提供供商商路路由由器器40VPN路由由及及转转发发表表（（VRF））PPPPE2VPNA站点点3VPNA站点点1VPNB站点点2VPNB站点点1PE1PE3VPNA站点点2CE––A1CE––B1CE––A3CE––A2CE––B2PVPNB站点点3CE––B3CE––C1VPNC站点点1VPNC站点点2CE––C2为连连接接到到PE上的的每个个站站点点建建立立一一个个VRF静态态路路由由OSPF路由由E-BGP41VRF每个个VRF广播播时时具具有有：：与此此VRF相关关的的、、直直接接从从CE站点点接接收收到到的的路路由由从其其它它PE路由由器器接接收收到到的的、、具具有有可可接接受受的的BGP属性性的的路路由由来自自某某VPN站点点的的数数据据包包只只使使用用与与该该VPN相关关的的VRF提供供不不同同VPN间的的隔隔离离42日程程：：BGP/MPLSVPNRFC2547bis术语语VPN地址址结结构构运行行模模式式基于于策策略略的的路路由由信信息息交交换换业务务转转发发可扩扩展展的的2547bisInternet访问问服务务等等级级43地址址复复用用PPPPE2VPNA站点点3VPNA站点点1VPNB站点点2VPNB站点点1PE1PE3VPNA站点点2CE––A1CE––B1CE––A3CE––A2CE––B2PVPNB站点点3CE––B310.1/1610.3/1610.2/1610.3/1610.2/1610.1/1644路由由区区分分器器(RD)VPN-IPv4地址址族族VPN-IPv4地址址族族新的的BGP-4并发地址址族识别别器路由区分分器（RD）+用户IPv4前缀路由区分分器消除除IPv4地址的歧歧义支持私有有IP地址空间间允许服务务提供商商管理自自己的““数字空空间”VPN-IPV4地址通过过BGP发布使用“BGP4多协议扩扩展”（（RFC2283）VPN-IPV4地址只在在控制层层面被使使用类型管理器分配数值值用户IPv4前缀(2字节节)(变长)(变长)(4字字节)45VPN-IPv4地址族类型区域域有两个个可选值值：0和和1类型0：：管理器器区域=2字节节，AN区域=4字节管理器区区域必须须包含一一个来自自IANA的自治域域号码（（ASN））AN区域为由由服务提提供商分分配的一一个数值值类型1：：管理器器区域=4字节节，AN区域=2字节管理器区区域必须须包含一一个由IANA分配的IP地址AN为由服务务提供商商分配的的一个数数值例子：10458:22:/16或:33:/16类型管理器分配数值值用户IPv4前缀(2字字节)(变长)(变长)8字节路由由区分器器（RD）(4字字节)2字节类类型区域域：决定其它它两个区区域的长长度管理器区区域：定义一个个分配数数值单位位分配数值值区域:由指定单单位分配配的用于于特殊目目的的数数值46VPN-IPv4地址族路由区分分器消除除IPv4地址歧义义VPN-IPv4路由入口PE为从每个个CE接收到的的路由建建立RD及IPv4前缀VPN-IPv4使用BGP在PE间进行交交换出口PE在将路由由信息装装入站点点路由表表前将VPN-IPv4路由转变变为IPv4路由VPN-IPv4只在控制制层面被被使用数据层面面使用MPLS及IPv4地址47使用路由由区分器器PPPPE2VPNA站点3VPNA站点1VPNB站点2VPNB站点1PE1PE3VPNA站点2CE–A1CE–B1CE–A3CE–A2CE–B2PVPNB站点3CE–B310.1/1610.3/1610.2/1610.3/1610.2/1610.1/1610458:22:10.1/1610458:23:10.1/16BGP48日程：BGP/MPLSVPNRFC2547bis术语VPN地址结构构运行模式式基于策略略的路由由信息交交换业务转发发可扩展的的2547bisInternet访问服务等级级49运营模式式概况控制流路由信息息在CE与PE间进行交交换路由信息息在PE间进行交交换在PE间建立LSP（（RSVP或LDP作为信令令）数据流转发用户户业务PPPPE2VPNA站点3VPNA站点1VPNB站点2VPNB站点1PE1PE3VPNA站点2CE–A1CE–B1CE–A3CE–A2CE–B2P50RFC2547bis策略VPN通过管理理策略定定义用于连通通性及CoS保证由客户定定义由服务提提供商通通过输入入及输出出路由策策略进行行实施定义VPN成员定义拓扑扑结构（（例如，，全网状状结构，，hub-spoke结构等））51路由发布布路由发布布通过BGP扩展Community属性控制制路由目标标：定义PE路由器发发布路由由前往的的一组站站点起始站点点：定义PE路由器从从某一特特定站点点学习到到一条路路由52路由目标标每条VPN-IPv4路由被BGP广播时都都与一个个路由目标标属性相关关联输出策略略定义哪哪一目标标与路由由相关联联在接收一一条VPN-IPv4路由时，，PE路由器将将决定是是否将该该条路由由添加到到一个VRF中输入策略略定义哪哪些路由由将被添添加到一一个VRF中VRF间的路由由隔离通通过仔细细的策略略管理来来实现服务提供供商实施施工具确确定适当当的输出出和输入入目标间间关系53路由信息息的交换换CE设备向PE路由器广广播路由由使用传统统路由技技术（OSPF，IS-IS，RIP，，BGP，静态路由由等）10.1/16OSPF站点1站点2站点1站点2PE-2CE-4PE-1BGP会话期CE-2CE-3CE-1VRFVRFVRFVRF54站点1站点2站点1站点2PE-2CE-4PE-1BGP会话期CE-2CE-3CE-1VRFVRFVRFVRF路由信息息的交换换IPv4地址被添添加至适适当的转转发表PE路由器将将IPv4地址转换换成VPN-IPv4地址VPN-IPv4地址被安安装至BGP路由表中中10458:23:10.1/1610.1/16OSPF55站点1站点2站点1站点2PE-2CE-4PE-1BGP会话期CE-2CE-3CE-1VRFVRFVRFVRF路由信息息的交换换VPN-IPv4地址与一一个输出出目标相相关联“VPNRED”10458:23:10.1/16“VPNRED”输出10.1/16OSPF56站点1站点2站点1站点2PE-2CE-4PE-1BGP会话期CE-2CE-3CE-1VRFVRFVRFVRF路由信息息的交换换VPN-IPv4地址被广广播至其其它PE内部标记记目标下一跳10458:23:10.1/16“VPNRED”输出标记Z10.1/16OSPF下一跳PE-257站点1站点2站点1站点2PE-2CE-4PE-1BGP会话期CE-2CE-3CE-1VRFVRFVRFVRF路由信息息的交换换每个PE都配置了了输入目目标输入目标标用于有有选择地地将VPN-IPv4路由合并并至VRF如果输入入目标属属性与BGP消息中的的属性匹匹配，路路由则被被合并至至VRF基于配置置的输入入策略，，10458:23:12.1/16被合合并至红红色VRF而不是蓝蓝色VRF“VPNBLUE”输入“VPNRED”输入BGP10.1/16OSPF10458:23:10.1/16“VPNRED”输出标记Z下一跳PE-258站点1站点2站点1站点2PE-2CE-4PE-1BGP会话期CE-2CE-3CE-1VRFVRFVRFVRF路由信息息的交换换VRF中的每条条VPN-IPv4路由与下下面信息息相关：：到达被广广播的NLRI的内部标标记到达每个个PE的外部标标记（在在BGPNext-Hop中承载））来自同一一CE的多条路路由可以以共享相相同的标标记“VPNBLUE”输入10458:23:10.1/16BGP标记(内部)标记记(Z)IGP(外部)标标记(y)BGP10.1/16OSPF10458:23:10.1/16“VPNRED”输出标记Z下一跳PE-259站点1站点2站点1站点2PE-2CE-4PE-1BGP会话期CE-2CE-3CE-1VRFVRFVRFVRF路由信息息的交换换每条VRF接收到的的IPv4路由可能能被广播播至与该该VRF相关的站站点使用传统统路由技技术（RIP，，OSPF，IS-IS，EBGP，或静态态路由由）“VPNBLUE””输入10.1/16下一跳跳PE1OSPF，…60站点2(10.1/16)站点1站点1站点2PE-2CE-4PE-1CE-2CE-3CE-1VRFVRFVRFVRF数据流流必须在在对数数据进进行转转发以以通过过MPLS骨干网网前建建立PE至PE的LSPLSP通过LDP或RSVP进行信信令交交换61数据流流CE执行传传统IPv4查询并并将数数据包包发送送给PE站点2(10.1/16)站点1站点1站点2PE-2CE-4PE-1CE-2CE-3CE-1VRFVRFVRFVRFIP62站点2(10.1/16)站点1站点1站点2PE-2CE-4PE-1CE-2CE-3CE-1VRFVRFVRFVRFIP数据流流PE针对特特定入入境接接口使使用适适当的的VRF从VRF路由查查询获获得两两个标标记并并“压压入””给数数据包包

PE-11)在红色FT中查询路由2)压入BGP标记(Z)3)压入IGP标记(Y)63标记2(10.1/16)站点1站点1站点2PE-2CE-4PE-1CE-2CE-3CE-1VRFVRFVRFVRF数据流流数据包包通过过两级级标记记堆栈栈在LSP中被转转发外部IGP标记定义去去往出出口PE路由器器的LSP从核心心网的的IGP获得并并通过过RSVP或LDP发布内部BGP标记定义从从出口口PE至CE的输出出接口口从来自自出口口PE的MP-IBPG更新获获得

PE-11)在红色FT中查询路由2)压入BGP标记(Z)3)压入IGP标记(Y)IPBGP标记(Z)IGP标记(Y)64站点2(10.1/16)数据流流在数据据包离离开入入口PE后，外外部标标记用用于穿穿过服服务提提供商商网络络P路由器器并不不意识识到VPN的存在在站点1站点1站点2PE-2CE-4PE-1CE-2CE-3CE-1VRFVRFVRFVRFIPBGP标记(z)IGP标记(x)65数据流流外部标标记在在通过过倒数数第二二跳时时被弹弹出（（在到到达出出口PE前）站点2(10.1/16)站点1站点1站点2PE-2CE-4PE-1CE-2CE-3CE-1VRFVRFVRFVRFIPBGP标记(z)倒数第二跳弹出外部标记66数据流流内部标标记在在出口口PE被拆除除原来的的IPv4包被发发往与与该标标记相相关联联的出出境接接口站点2(10.1/16)站点1站点1站点2PE-2CE-4PE-1CE-2CE-3CE-1VRFVRFVRFVRFIP67日程：：BGP/MPLSVPNRFC2547bis术语VPN地址结结构运行模模式基于策策略的的路由由信息息交换换业务转转发可扩展展的2547bisInternet访问服务等等级68休息日程：：BGP/MPLSVPNRFC2547bis术语VPN地址结结构运行模模式基于策策略的的路由由信息息交换换业务转转发可扩展展的2547bisInternet访问服务等等级70如何使使其具具有可可扩展展性，，来自自RFC2547bis的建议议考虑PE的局限限（例例如，，总路路由数数）尽量使使CE至PE间的路路由简简单专门为为VPN路由建建立多多个独独立的的BGP路由反反射器器使用BGP-RFRSH(刷新)建议议标准准RFC2918使用BGP-ORF（出境路路由过过滤器器）建建议标标准/internet-drafts/draft-chen-bgp-route-filter-00.txt71可扩展展性：：划划分和和解决决两级堆堆栈使使P路由器器不必必了解解VPN路由信信息PE路由器器只维维持与与其具具有直直接连连接站站点的的VPN路由如果需需要，，由提提供商商提供供VPN中部分分BGP路由反反射器器系统中中没有有任何何一个个单个个设备备需要要维持持所有有VPN的路由由系统的的能力力并不不由某某个单单个设设备所所限制制72可扩展展性：：VPN有关的的路由由反射射器RR不需成成为PE或P不需要要进行行转发发，不不需要要具有有VRF，甚至不不需要要MPLSPE路由器器来来来自每每个组组的RR建立对对等关关系在PE上自动动建立立路由由过滤滤器，，只允允许接接收直直接连连接到到该PE的VPN路由PPPPE3PPE2PE1随着VPN数量的的增加加而添添加路路由反反射器器VPN1VPN48用于100-200的的VPNRR用于1-99的的VPNRRVPN18873可扩展展性：：BGP-RefreshBGP为状态态协议议一旦对对等体体间同同步后后，他他们将将不再再交换换路由由直到到发生生改变变PE已经过过滤了了与RRvpn间交换换的路路由以以限制制其接接收到到的路路由数数量PE增加/删除除一个个VPN需要对对BPG路由表表进行行更新新BGP-refresh允许PE以非分分裂方方式从从一个个新的的VPN获得路路由（（无需需中断断与RR间的BGP会话期期）RRvpn2RRvpn1PECE74RRvpn2可扩展展性：：BGP-出境路路由过过滤器器（ORF））没有BGP-ORFPE从RRvpn接收更更新更新包包括RRvpn所知的的每条条路由由PE则根据路由由目标实施施路由过滤滤器，丢弃弃不适当的的路由具有BGP-ORFPE发送给RRvpn一个其感兴兴趣的路由由目标列表表RRvpn应用路由过过滤器，只只发送给PE适当的路由由RRvpn1PECE75日程：BGP/MPLSVPNRFC2547bis术语VPN地址结构运行模式基于策略的的路由信息息交换业务转发可扩展的2547bisInternet访问服务等级76访问公共Internet如果VPN使用专有地地址，连接接至Internet需要NATCE可执行NAT功能服务提供商商可执行NAT功能选项1：：PE不维护Internet相关路由甚至无0/0选项2：：PE维护一些或或所有Internet路由范围可从0/0到全Internet路由客户公共InternetVPNCE77访问公共Internet：选项1.1VPN服务提供商商在Internet连接中不起起作用VPN客户在其从其部分或或所有站点点具有独立的的Internet连接站点1站点2VRFVRF公共Internet站点378访问公共Internet：选项1.2PE提供二层连连通性至一一台维护部部分或所有有Internet路由的路由由器SP提供2547bis及L2PP-VPN假设CE及PE间具有分离离的逻辑（（不需要物物理连接））链路（例例如，DLCI，，VLAN，GRE…）L2VPN具有到达与与Internet相关的路由由器的L2连通性不同的VPN可能使用不不同的Internet相关路由器器站点1站点2VRFVRF公共InternetInternet业务Internet相关路由器器VPN业务79访问公共Internet：选项2.1所有连接到PE的VPN共享包含部部分或完整整Internet路由的路由由表迫使所有连连接到该PE的所有VPN对于Internet路由作相似似的路由选选择可能需要在在CE和PE间具有分离离的逻辑链链路以承载载去往及来来自Internet的业务公共InternetInternet表VRFInternet路由VPN路由站点1站点2VRFVRFInternet80访问公共共Internet：选项2.2PE上的一个个（独立立的）VRF具有部分分/所有有Internet路由Internet连通性被被作为一一个（独独立的））的VPN允许为Internet路由进行行定制路由由选择在一个PE上使用多多个Internet-VRF可能需要要在CE和PE间具有分分离的逻逻辑链路路以承载载去往及及来自Internet的业务如果VRF维护全路路由，则则可能出出现可扩扩展性方方面的问问题此选项可可能需要要每个VRF维护0/0及少少量的其其它Internet路由公共Internet站点1站点2VRFInternetVRFVPN-RedVRF81访问公共共Internet：选项2.3PE上的一个个VRF维护部分分/全部部Internet路由与用于VPN的VRF相同允许对于于Internet路由根据据每个VPN进行路由由选择如果VRF维护全路路由，则则可能出出现可扩扩展性方方面的问问题此选项可可能需要要每个VRF维护0/0及少少量的其其它Internet路由Internet及VPN可通过一一条逻辑辑链路提提供不确定是是否与用用户网络络中具有有NAT功能的设设备兼容容公共Internet站点1站点2VRFVPN-Red+InternetVRF82日程：BGP/MPLSVPNRFC2547bis术语VPN地址结构构运行模式式基于策略略的路由由信息交交换业务转发发可扩展的的2547bisInternet访问服务等级级83VPN服务等级级VPN业务必须须提供CoS区别至少要与与现有的的服务模模式相匹匹配，甚甚至更好好多种可能能的模式式：每隔VPN每种应用用每…?842547bis的服务等等级CoS可支持许许多不同同的方法法CoS值可由下下列因素素确定：：DiffServ值IP优先级位位静态配置置应用与DiffServ所使用的的衡定、、分类及及标识等等机制相相一致在PE至PE路径上，，CoS可使用MPLS的EXP/CoS位及/或或标记、、基于每每条LSP进行实施施可在边缘缘及核心心使用排排队机制制共享链链路带宽宽及对拥拥塞进行行管理85MPLS/VPNCoS服务模型型点到网络络远端CE被作为一一个组本地端口口对于入入口及出出口具有有不同的的保证速速率点到点与具有““硬”性性能保证证的PVC相似可组合作作为混合合模式例如具有有硬备份份的软服服务需要灵灵活的的实施施86第三部部分二二层层MPLSVPN提供商商实施施的二二层VPN过去，，提供供商使使用唯唯一的的ATM核心支支持Internet及VPN业务用于Internet业务（（ISP）的ATMPVC用于VPN的ATMPVCATM的速度度不足足以支支持Internet提供商商被迫迫使用用两个个核心心网为什么么不在在一个个MPLS核心网网上对对两种种业务务同时时予以以支持持呢？？将帧中中继及及ATM映射到到MPLSLSP（L3VPN可使用用相同同的核核心网网）88使用MPLS的提供供商实实施的的二层层VPN提供商商边缘缘设备备为用用户提提供二二层链链路ID（（DLCI，VPI/VCI，或VLANID）客户得得到标标准的的FR或ATMPVC从本地地站点点，每每个可可达站站点都都具有有一条条提供商商边缘缘设备备将链链路ID映射到到一条条MPLSLSP以穿过过提供供商核核心网网客户将将自己己的路路由体体系结结构映映射到到链路路网上上去客户路路由对对提供供商透透明管理责责任分分离89通过MPLS对传统统二层层VPN进行改改进从核心心技术术中减减弱边边界（（客户户面对对）技技术对所有希望望的服务提提供单一的的网络基础础设施简化实施90两个提议：：Draft-Kompelladraft-kompella-mpls-l2vpn-02.txtDraft-Martinidraft-martini-l2circuit-trans-mpls-06.txtdraft-martini-l2circuit-encap-mpls-02.txt两个提议在在数据层面面相似都支持多种种二层技术术两个提议在在控制层面面不同标准处于早早期阶段二层VPN标准91客户边界路路由器客户边界（（CE）路由器路由器或交交换机位于于客户处，，提供服务务提供商网网络的接入入与服务提供供商网络在在二层（FR，ATM，以太网）及三层（IP，IPX，SNA）独立VPN内的CE使用相同的的L2技术接入服服务提供商商网络不同的链接接可使用不不同的第二二层技术每个远端CE需要一个逻逻辑链接CEPPPECECECEPEVPNAVPNAVPNBVPNBPE客户边缘ATMFRATMFRVPN站点92提供商边界界路由器边界路由器器（PE）路由器维持VPN相关信息与其它PE交换VPN相关信息对于draft-kompella，使用BGP或LDP对于draft-martini，使用LDP在PE间使用MPLSLSP转发VPN业务CEPPPECECECEPEVPNAVPNAVPNBVPNBPEATMFRATMFR提供商边界界93提供商路由由器提供商（P）路由器通过已建立立的LSP对VPN数据进行透透明转发并不维护与与VPN有关的转发发信息CEPPPECECECEPEVPNAVPNAVPNBVPNBPEATMFRATMFR提供商路由由器94Draft-Kompella介绍面向用户的的接口使用用标准的第第二层技术术将这些第二二层接口（（“链路””）映射至至骨干网内内的LSP上去使用MPLS标记堆栈以以降低核心心网内的LSP数量规范中还包包括用于自自动实施的的协议机制制增加/删除除/更改一一个单一站站点只需对对一个PE进行重新配配置支持全网状状拓扑及hub-spoke拓扑结构95PPPPE2VPNA站点3VPNA站点1VPNB站点2VPNB站点1PE1PE3VPNA站点2CE–A1CE–B1CE–A3CE–A2CE–B2P为每个连接接至PE的站点建立一一个VRFDraft-Kompella：VPN转发表（（VFT）ATMATMATM每个VFT连同下面一一些因素一一起被广播播：为本地CE站点实施的的转发信息息通过BGP或LDP从其它PE接收到的VPN连接表96站点1站点2站点1站点2Draft-Kompella：VPN连接表（VCT）PE-2CE-4PE-1CE-2CE-2CE-1VFTVFTVFTVFTVCT是VFT所拥有信息息的子集VCT由PE通过BGP或LDP进行发布为每个VPN站点广播VCT至PEBGP会话期/LDP97Draft-Kompella：L2VPN实施实施网络在PE上实施信息息实施VPN（PE）假设：A，接入技术为为帧中继（其他情况与与之相似））B，使用BGP在PE间对VPN信息进行分分配98PPPPE2VPNA站点3VPNA站点1VPNB站点2VPNB站点1PE1PE3VPNA站点2CE–A1CE–B1CE–A3CE–A2CE–B2PDraft-Kompella：实施网络必须在PE间事先建立立LSP：LSP被用于多种种服务（例例如，对Internet业务实施流流量工程，，L2VPN，L3VPN）OSPFOSPFOSPFATMATMATM99Draft-Kompella：在PE处实施用户户站点DLCI列表每个远端CE一个，一些些多余的用用于过盈实实施每个CE的DLCI数值相互独独立用于自动发发现及地址址学习的LMI，反向ARP和/或路由由协议VPN关系更改时时不会发生生更改直到过盈实实施被用尽尽CE-4DLCIs63758294CE-4路由表入出DLCI6310/8DLCI7520/8DLCI8230/8DLCI94-100Draft-Kompella：在PE处实施用户户站点在每个PE处为每个CE实施VFT输入/输出出路由目标标BGP共同体：VPNIDCE-ID：在相关VPN中为唯一值值CE范围：可连连接CE的最大数数量标记库：：为第一一个子接接口ID分配的标标记PE预留N个连续的的标记，，这里N为CE范围子接口ID列表：分分配给CE-PE连接的一一组本地地子接口口ID（DLCI）CE4VFT输入/输输出路由由表CEIDRT14CE范围10004标记基准准子接口ID63758294CE4VCT标记101Site1Site2Site1Site2Draft-Kompella：在PE处实施用用户站点点PE-2CE-4PE-1CE-2CE-2CE-1VFTVFTVFTVFTCE4VFT输入/输输出路由由表CEIDRT14CE范围标记4子接口ID63758294100110021003由CE2使用的用于到达CE4

的标记1001由CE3使用的用于到达CE4

的标记10021000由CE1使用的用于到达CE4

的标记1000FRFRCE4的DLCI至CE163CE4的DLCI至CE275CE4的DLCI至CE382CE4的DLCI至CEnew94PE-2使用CE4VFT进行配置置由CEnew使用的用于到达CE4

的标记1003标记标准准1000102Draft-Kompella：发布VCT使用BGP成员自动动发现成员间链链路自动动分配使用BGP路由目标标共同体体+路由由过滤（（基于路路由目的的）配置置VPN拓扑103站点1站点2站点1站点2Draft-Kompella：发布VCTPE-1接收承载载PE-2CE4VCT的BGP路由PE-2CE-4PE-1CE-2CE-2CE-1VFTVFTVFTVFTFRFRBGP会话期/LDPCE4VCT更新RTCEIDRT14CE范围标记基准41000CE4VCT更新RTCEIDRT14CE范围标记基准41000104站点1站点2站点1站点2Draft-Kompella：更新VFTPE-1更新其CE2VFT的子接口口ID列表CE2VFT(RT1)的输入路路由目标标匹配BGP路由中承承载的路路由目标标（RT1）匹配PE-2CE-4PE-1CE-2CE-2CE-1VFTVFTVFTVFTFRDLCI75FRDLCI414CE2VFTCEID内部标记子接口ID

用于到达CE4

的标记10011072092654141234502075009350105站点1站点2站点1站点2Draft-Kompella：更新VFTPE-1更新其CE2VFT的子接口口ID列表CE2VFT(RT1)的输入路路由目标标匹配BGP路由中承承载的路路由目标标匹配PE-2CE-4PE-1CE-2CE-2CE-1VFTVFTVFTVFTCE2VFTCEID内部标记记子接口ID到达PE-2的LSP

50010720926541412345020750093501001外部标记记FRDLCI75FRDLCI414106站点1站点2站点1站点2Draft-Kompella：数据流假设PE至PE的LSP已经存在（与与RFC2547bis相似）CE-2使用于CE-4相关的DLCI（414）将数据包发送送给PE-1PE-2CE-4PE-1CE-2CE-2CE-1VFTVFTVFTVFTDLCI75DLCI414数据包DLCI

414107站点1站点2站点1站点2Draft-Kompella：数据流DLCI数值由入口PE除去两个标记从VFT子接口查询得得到并“压入入”数据包之之上外部IGP标记定义到出口PE路由器的LSP从核心网IGP获得并由RSVP或LDP发布内部站点标记记定义从PE至CE的出境子接口口从通过BGP发布的VCT获得并由出口口PE发布PE-2CP-4PE-1CE-2CE-2CE-1PE-11)在红色VFT中查询DLCI2)压入VPN标记(1001)3)压入IGP标记(500)VFTVFTVFTVFTDLCI75数据包站点标记(1001)IGP标记(500)108站点1站点2站点1站点2Draft-Kompella：数据流当数据包离开开入口PE后，使用外部部标记在LSP中进行传输P路由器并不了了解VPNPE-2CPE-4PE-1CE-2CE-2CE-1VFTVFTVFTVFT数据包站点标记(1001)IGP标记(z)DLCI75DLCI414109站点1站点2站点1站点2Draft-Kompella：数据流由倒数第二跳跳路由器弹出出外部标记（（在到达出口口PE前）PE-2CE-4PE-1CE-2CE-2CE-1倒数第二跳弹出外部标记lVFTVFTVFTVFT数据包站点标记(1001)DLCI75DLCI414110站点1站点2站点1站点2Draft-Kompella：数据流在出口PE处将内部标记记去除出口PE进行一次标记记查询以寻找找相应的DLCI值原来的帧中继继包被发送至至相应的出境境子接口PE-2CE-4PE-1CE-2CE-2CE-1VFTVFTVFTVFTDLCI75DLCI414数据包DLCI75111Draft-Kompella:支持的2层技技术帧中继ATMAAL5CPCS模式ATM透明信元模式式以太网以太网VLANCiscoHDLCPPP112Draft-Martini介绍比draft-kompella简单的机制标准的第二层层用户接口，，被映射至LSP，使用标记堆栈栈以减少核心心网LSP的数量但并不包括用用于自动实施施的协议使协议更为简简单但需要更多的的手动实时适合于高度定定制的拓扑结结构113Draft-Martini:实施L2VPN站点1站点2站点1站点2PE-2CE-4PE-1CE-2CE-2CE-1DLCI82DLCI414间接LDP会话期以广播VC标记500VC类型VCID帧中继25DLCI到达PE-2的标记414500PE-1到达CE-2的标记1001VC类型VCID帧中继25DLCI到达PE-1的标记82501PE-2到达CE-4的标记1002VC类型VCID帧中继25VC标记1002PE-2LDP广播接口参数MTU=4482VC类型VCID帧中继25VC标记1001PE-1LDP广播接口参数MTU=4482501114Draft-Martini：数据流站点1站点2站点1站点2PE-2CE-4PE-1CE-2CE-2CE-1DLCI82DLCI414500

VC类型VCID帧中继25DLCI到达PE-2的隧道标记414500PE-1到达CE-4的VC标记1002VC类型VCID帧中继25DLCI到达PE-1的隧道标记82501PE-2到达CE-2的VC标记1001501数据包DLCI

414PE-11)压入VC标记(1002)2)压入隧道标记记(500)数据包VC标记

1002隧道标记500倒数第二跳弹出顶部标记数据包DLCI

82数据包VC标记1002数据流与draft-Kompella相似115Draft-Martini:可选控制字控制字的出现现及其功能依依赖于被封装装的L2有效载荷可被用于：排序添加信息承载与协议相相关的控制位位帧中继FECN，BECN，DE，C/RATM传输类型，EFCI，CLP，C/RVC标记（32位）控制字（32位）被封装的有效载荷隧道标记（32位）116Draft-Martini:支持的二层技技术帧中继ATMAAL5CPCS模式ATM透明信元模式式以太网以太网VLANCiscoHDLCPPPSONET/SDH链路仿真服务务（CEM）117二层MPLSVPN的CoS与2547bisCoS相同的机制业务模型可从从现有的L2技术继承而来来基于速率基于丢失基于CoSMartiniID方法为对FECN，BECN，DE/CLP进行端到端保保留118第四部分总总结IPVPN的优势更低的设备投投资使用普通骨干干网进行经济济的扩展更低的服务成成本更低的管理和和支持开支管理可外包给给服务提供商商最终用户能够够专注于其核核心业务而不不是网络为最终用户提提供更好的连连通性IP无处不在服务提供商的的一个机遇120一系列的VPN解决方案每个客户都有有所不同安全性需求职员专业技能能外包的可能性性客户网络的规规模及业务量量不同提供商具有不不同的考虑客户群提供外包的期期望程度处理托管路由由器服务121一系列的VPN解决方案具有很强安全全性需求的客客户在客户处的加加密/认证可与任何VPN方式一同使用用IPSecIPSecVPN非常普通（或L2VPN）希望对路由进进行完全管理理的客户例如，在整个个专网中运行行一个OSPF进程（具有VPN及后门连接））客户在其路由由器间需要链链路二层VPN非常适合122一系列VPN解决方案一些客户仅有有有限的IP专业经验需要外包广域域网互联及路路由RFC2547bisVPN非常适合适合于绝大部部份VPN业务用户对于需远程接接入公司网络络的用户拨号解决方案案非常通用PPTP/L2TP非常方便和经经济用户可以通过过Internet在任何地方接接入网络123JUNOSv4.4RFC2547实施JUNOS4.4支持RFC2547bis的基本功能已发运并所有有平台上支持持所有平台都支支持CE，PE，，P路由器功能继承了JUNOS的稳定性及可可扩展性继承了Internet处理器II的性能及功功能–通通过硬件件对数据包包进行处理理将来可对RFC2547bis进行增强（（组播…））标准仍在制制定中124总结：虚虚拟专网背景客户管理的的VPN（CPE-VPN）L2TP及PPTPIPsec提供商实施施的VPN（（PP-VPN）MPLS/BGPVPN：：RFC2547bis虚拟路由器器基于MPLS的二层VPNVPN的实施途径径是互补的的可以同时存存在于一个个多业务核核心网上支持不同的的客户模式式允许客户自自由选择最最佳的解决决方案125谢谢！一系列的VPN解决方案虚拟路由器器解决方案案又如何？？在概念上非非常吸引人人，但是…对于希望外外包路由的的用户来说说，在提供供商网络上上增加了不不必要的负负担对于那些在在整个网络络中只运行行一个IGP进程的用户户来说，要要求他们与与提供商在在IGP运行上合作作可以在整个个专网中使使用一个OSPF区域，但是是二层VPN非常适合这这种情况不清楚是否否有某种环环境下，VR是最佳的VPN解决方案127Draft-Martini:虚链路FEC网元VCTLVCVC类型VC信息长度组IDVCID接口参数““在LDP标记映射及及标记撤销销消息中使使用VC类型定义VC封装类型VCID32位连接ID与VC类型一起定定义特定的的VC128Draft-Martini:虚链路FEC网元接口参数定义CE面向的接口口相关特定定参数确认LSR及边缘端口口有互操作作所必须的的能力可定义：接口MTU连接ATM信元的最大大数量随意的接口口描述字符符串CEM有效载荷字字节CEM选项129VPNA站点1VPNB站点1VPNB站点2VPNA站点2Inter-AS运营：ASBR间的VRF至VRF直接连接AS边界路由器器担当PE直接相互连连接需要为每个个VRF提供一个单单独的子接接口每个ASBR/PE将另一个ASBR/PE作为一个CE存在可扩展展性方面的的问题EBGPP1ASBR1PE1ASBR2P2PE2SP1SP2130VPNA站点1VPNB站点1VPNB站点2VPNA站点2P1ASBR1PE1ASBR2P2PE2SP1SP2Inter-AS运营：MultihopEBGP广播被标记记的IPv4/32路由至另一一个AS在入口及出出口PE间建立LSP使用MultihopEBGP如果/32PE地址不被广广播，P路由器可使使用3层堆堆栈ASBR并不了解VPN-IPv4路由MultihopEBGPRRRR131MPLSCoS机制机制为标记记联同MPLS帧中的3位位Exp/CoS区域，或只只简单的