組織：中國互動出版網(wǎng)（http://www.china-pub.com/）
RFC文檔中文翻譯計劃（http://www.china-pub.com/compters/emook/aboutemook.htm）
E-mail：ouyang@china-pub.com
譯者：maggiee（maggiee  maggiee@etang.com）
譯文發(fā)布時間：2001-6-5
版權(quán)：本中文翻譯文檔版權(quán)歸中國互動出版網(wǎng)所有。可以用于非商業(yè)用途自由轉(zhuǎn)載，但必須保留本文檔的翻譯及版權(quán)信息。

 
Network Working Group                                           E. Rosen
Request for Comments: 2547                                    Y. Rekhter
Category: Informational                              Cisco Systems, Inc.
March 1999


RFC2547  BGP/MPLS VPNs

Status of this Memo

   This memo provides information for the Internet community.  It does
   not specify an Internet standard of any kind.  Distribution of this
   memo is unlimited.

Copyright Notice
   Copyright (C) The Internet Society (1999).  All Rights Reserved.

摘要
本文檔描述了擁有IP骨干網(wǎng)的服務(wù)提供商SP為其客戶提供VPN服務(wù)的一種方法。在骨干網(wǎng)中，使用MPLS（多協(xié)議標(biāo)簽交換）進(jìn)行包轉(zhuǎn)發(fā)，BPG（邊界網(wǎng)關(guān)協(xié)議）進(jìn)行路由信息分發(fā)。這個方法主要目地是為企業(yè)網(wǎng)絡(luò)提供IP骨干網(wǎng)服務(wù)的外包。這種方法不僅對企業(yè)而言很簡單，對SP而言也有較好的可擴(kuò)展性和靈活性，還可以提供增值服務(wù)。同時，這種方法還可以建立一個為客戶提供IP服務(wù)的VPN。
 


目錄
1. 簡介	3
1.1  虛擬專用網(wǎng)Virtual Private Networks	3
1.2  邊緣設(shè)備	3
1.3  有重疊地址空間的VPNs	4
1.4  由不同路由到達(dá)同一系統(tǒng)的VPN	4
1.5  PE上的轉(zhuǎn)發(fā)表	4
1.6  SP 主干網(wǎng)路由器	5
1.7  安全Security	5
2. 站點(diǎn)和CE	5
3. PE中基于站點(diǎn)的轉(zhuǎn)發(fā)表	6
3.1  虛擬站點(diǎn)	6
4. 用BGP分發(fā)VPN路由信息	7
4.1  VPN-IPv4地址族	7
4.2  控制路由分發(fā)	8
4.2.1  目標(biāo)VPN屬性	8
4.2.2  用BGP在PE中分發(fā)路由	9
4.2.3. 源VPN屬性	10
4.2.4. 用目標(biāo)和源屬性組建VPN	10
5. 在主干網(wǎng)上的轉(zhuǎn)發(fā)	11
6. PE如何從CE學(xué)習(xí)路由	12
7. CE如何從PE學(xué)習(xí)路由	14
8. CE支持MPLS	14
8.1 虛站點(diǎn)	14
8.2 用Stub VPN 表示 ISP VPN	14
9. 安全	14
9.1. CE路由器間的點(diǎn)到點(diǎn)安全隧道	15
9.2. 多方安全關(guān)聯(lián)	15
10. 服務(wù)質(zhì)量	16
12. 版權(quán)事宜	16
13. 安全考慮	17
14. 致謝	17
15. 作者地址	17
16. 參考文獻(xiàn)	17
17. 版權(quán)說明	18
 
1. 簡介
1.1  虛擬專用網(wǎng)Virtual Private Networks

與被稱為主干網(wǎng)的公共網(wǎng)相連的是一個“站點(diǎn)”集合。我們基于某些原則創(chuàng)建該集合的若干子集，并附加如下規(guī)則：只有當(dāng)兩個站點(diǎn)都同在某個子集里時，兩者間才可能存在經(jīng)由該主干網(wǎng)的IP互連。

我們創(chuàng)建的這些子集就是“虛擬專用網(wǎng)”（VPNs）。只有同屬某個VPN時，兩個站點(diǎn)間才存在經(jīng)公共主干網(wǎng)的IP連接。不屬同一個VPN的兩個站點(diǎn)間沒有經(jīng)主干網(wǎng)的連接。

如果一個VPN中的所有站點(diǎn)都屬同一個企業(yè)，這個VPN就是一個公司“內(nèi)聯(lián)網(wǎng)”。如果分屬不同企業(yè)，該VPN就是個“外聯(lián)網(wǎng)”。一個站點(diǎn)可在多個VPN中，如一個內(nèi)聯(lián)網(wǎng)和多個外聯(lián)網(wǎng)中。內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)我們都視作VPN。一般而言，我們說的VPN并不區(qū)分內(nèi)聯(lián)網(wǎng)或外聯(lián)網(wǎng)。

我們主要考慮主干網(wǎng)為一個或多個服務(wù)提供商（SPs）所擁有的情況。站點(diǎn)為SP的用戶所有，決定某些站點(diǎn)是否屬于一個VPN的策略由用戶制定。有些用戶可能希望完全由SP負(fù)責(zé)這些策略的執(zhí)行，有些用戶可能希望自己獨(dú)立承擔(dān)或與SP分擔(dān)這項任務(wù)。在本文中，我們主要討論這些策略的執(zhí)行機(jī)制。這些機(jī)制既可以由SP單獨(dú)執(zhí)行，也可以由VPN用戶與SP共同完成。這里，我們主要討論前者。
   
本文中所討論的機(jī)制可用于多種策略的執(zhí)行。如對給定的一個VPN，每個站點(diǎn)與其它所有站點(diǎn)都有直接連接（全連接），或者也可以限制某些站點(diǎn)間的直接連接（半連接）。
  
本文中我們感興趣的是公共主干網(wǎng)提供IP服務(wù)的情況。我們關(guān)注于在一定契約條件下，一個服務(wù)提供商SP或多個SP為企業(yè)提供主干網(wǎng)的情形，而并非是基于公共Internet的VPN。
  
下面，我們將詳細(xì)說明VPN 應(yīng)有的特性。本文的其余部分我們描述了一個具備所有這些特性的VPN模型。該模型可視作[4]中描述的框架結(jié)構(gòu)的實例。
  
1.2  邊緣設(shè)備
假定每個站點(diǎn)都有一個或多個用戶邊緣（CE）設(shè)備，并都通過某種數(shù)據(jù)連接方式（如PPP，ATM，ethernet, Frame Relay, GRE tunnel等）與一個或多個供應(yīng)商邊緣（PE）路由器相連。
   
如果某個站點(diǎn)只有一個主機(jī)，這個主機(jī)可能就是CE設(shè)備。如果該站點(diǎn)有一個子網(wǎng)，CE設(shè)備可能是個交換機(jī)。一般而言，希望CE設(shè)備是路由器，我們稱之為CE路由器。
  
如果一個PE路由器與某個VPN的一個CE設(shè)備相連，我們就說這個路由器與該VPN相連。同樣，如果一個PE路由器與某個站點(diǎn)的一個CE設(shè)備相連，則稱這個路由器與該站點(diǎn)相連。