組織：中國互動出版網（http://www.china-pub.com/）
RFC文檔中文翻譯計劃（http://www.china-pub.com/compters/emook/aboutemook.htm）
E-mail：ouyang@china-pub.com
譯者：孟魁（maggiee  maggiee@etang.com）
譯文發布時間：2001-5-11
版權：本中文翻譯文檔版權歸中國互動出版網所有。可以用于非商業用途自由轉載，但必須
保留本文檔的翻譯及版權信息。
 
 

Network Working Group                                    K. Muthukrishnan
Request for Comments: 2917                            Lucent Technologies
Category: Informational                                          A. Malis
                                                    Vivace Networks, Inc.
                                                           September 2000


                    核心 MPLS IP VPN 體系結構  
(RFC2917--A Core MPLS IP VPN Architecture)

本備忘錄的狀態
本文檔講述了一種Internet社區的Internet標準跟蹤協議，它需要進一步進行討論和建
議以得到改進。請參考最新版的“Internet正式協議標準” (STD1)來獲得本協議的標準化程
度和狀態。本備忘錄的發布不受任何限制。
版權聲明
   Copyright (C) The Internet Society (2000).  All Rights Reserved.

摘要
本備忘錄描述了一種在服務提供商的MPLS主干網上建立核心VPN服務的方法。該方法在主干
網中使用MPLS，以提供除“盡力而為”外的“優先服務”。其核心思想是，服務提供商為客
戶提供一個虛擬路由器服務。該體系結構的基本原則是便于配置、用戶安全、網絡安全、動
態鄰居發現、可擴展性和對現有路由協議的不加修改的使用。

目錄
1．	縮略語
2. 概述
3. 虛擬路由器
4. 目標
5. 結構要求
6. 結構框架
7. 可擴展的配置
8. 動態鄰居發現
9. VPN 的IP域配置
10．鄰居發現舉例
11. 轉發
11.1專用LSP
11.2盡力而為的公開LSP
12．區分服務
13．安全問題
13.1路由安全
13.2數據安全
13.3配置安全
13.4物理網絡安全
14．虛擬路由器的檢測
15．性能問題
16. 致謝
17. 參考文獻
18. 作者地址
19.  版權聲明

1．縮略語
ARP    地址解析協議
CE     客戶邊緣路由器
LSP    標簽交換路徑
PNA    專用網管理員
SLA    服務等級協議
SP     服務提供商
SPED   SP邊緣設備
SPNA   SP網絡管理員
VMA    VPN 組播地址
VPNID  VPN 標識
VR     虛擬路由器
VRC    虛擬路由控制臺
        

2. 概述

	本備忘錄描述了一種以服務提供商網絡為主干網，提供IP  VPN服務的方法。一般而言，
有兩種實現方法：疊加模式和虛擬路由器方法。前者是在現有路由協議的基礎上疊加一些語
義，以攜帶一些地址可達信息。在本文中，我們著重于介紹虛擬路由器的方法。
   
本文描述的方法并不需要對現有的路由協議進行修改。鄰居發現是通過仿真局域網及地
址解析協議來實現的。本文力圖對SP和PNA做如下分工：SP擁有和管理第一層、第二層的
服務，而PNA負責第三層的服務。因為有邏輯獨立的路由域，PNA可以靈活地使用私有地址
和未經注冊的地址。而在共享LSP上利用標簽堆棧對專用LSP和VPN標識進行了封裝，數據
安全性也得到了保證。

本備忘錄描述的方法與RFC2547[Rosen1]中不同之處在于：并沒有指定路由協議來攜帶
VPN路由信息。在RFC2547中描述了一種方法，可以通過修改BGP協議來攜帶VPN在SP主干
網上的單播路由。如果要攜帶多播路由，還必須進行進一步的工作。
  
3. 虛擬路由器

一個虛擬路由器是一個路由設備中靜態或動態線程的集合，提供類似物理路由器的路由
和轉發服務。一個虛擬路由器不須單獨的操作系統處理（當然也可以有），它只是給人一種錯
覺，好象有一個專用的路由器為它所連接的網絡提供服務。一個虛擬路由器與它相應的物理
設備一樣，是路由域的一個元素。這個路由域中的其它路由器可以是物理的，也可以是虛擬
的。如果虛擬路由器與一個特定的（邏輯離散的）路由域相連，而一個物理路由器又可以承
載多個虛擬路由器的話，那么，一個物理路由器就能支持多個（邏輯離散的）路由空間了。

從VPN用戶的角度來看，虛擬路由器應該與物理路由器盡可能地相同。換言之，除了極
個別情況外，虛擬路由應該在各方面（配置、管理、檢測、查錯）都象一個專用的物理路由
器。這樣，就無須對大量已安裝的路由器進行升級或重新配置，也不需對網絡管理員重新培
訓。
   
虛擬	路由器的任務在于：
1.	對任意路由協議組合的配置
2.	對網絡的檢測   
3.	查錯

每個VPN都有一個邏輯上獨立的路由域，這樣SP就可以更好地為用戶提供相當靈活的虛擬
路由器服務，而無需為每一個VPN準備一個物理路由器。這也就是說，SP的硬件投資--路由
器和它們之間的連接--可以被多個用戶復用。

4. 目標

   1. SP網絡上的VPN終節點擴展性好、易于配置。添加一個CE時，最多只需要加一條配
置信息。

   2. 無需使用SP的唯一而且難得到的資源，如IP地址和子網等。 

   3. 在SP云中對虛擬路由器的動態發現。這是個可選，但可以保持網絡盡可能簡單的相當
有價值的目標。

   4. 虛擬路由器應能由VPN網絡管理員完全配置和檢測。這樣，PNA在VPN配置問題上就
有足夠的靈活性，可以自己配置，也可以交由SP完成。

   5. 各VPN的數據轉發質量應該是可配置的。這種質量要求可解釋為連續（或離散）級別
的服務，例如，盡力而為，專用帶寬，QOS以及基于策略的轉發服務等。

   6. 可以通過在VPN中建立專用的數據轉發LSP的方法將各VPN配置為區別服務模式。

   7. Internet路由器的安全也包括虛擬路由器。這就意味著虛擬路由器的數據轉發和選路
應該與專用的物理路由器一樣安全，用戶數據及可達性信息不會從一個路由域無意地泄露出
去。

   8. 不指定在虛擬路由器之間使用的路由協議。這對于VPN用戶自主地按各自的方式建立
網絡及設置策略相當重要。例如，一些協議適于進行包過濾，而另一些則適于進行流量工程。
而VPN用戶有時可能希望同時應用這兩類服務來獲得最優的網絡服務質量。

   9. 對現有的路由協議，如BGP，RIP，OSPF，ISIS不進行特別的修改和擴充。這對于將來
在其上疊加其它如NHRP和組播服務是很重要的。此外，對現有協議的改進和增強（如對ISIS
和OSPF在流量工程方面的擴展等）也可以方便地結合進VPN應用中。

5. 結構要求

服務提供商的網絡必須支持到所有節點的多播路由，以提供VPN連接和轉發虛擬路由器
發現的多播數據。不須指定某個多播路由協議。一個服務提供商SP可以運行MOSPF或DVMRP
或其它協議。
   
6. 結構框架

   1.  每個VPN都指定了一個在SP網絡中唯一的VPNID。這個標識明確地表明了與一個包
或一個連接有關的VPN。VPNID為0的標識被保留，用于表示公共Internet。VPN標識最好與
RFC2685[Fox]兼容，但并非必須如此。

   2.  VPN服務由虛擬路由器提供。這些虛擬路由器位于SPED上，因而限于在SP云的邊緣。
虛擬路由器通過SP網絡來轉發數據包和控制包，但在SPED外并不可見。

   3.  與某VPN相關的一給定SPED上的VR的“大小”可以用其所占用的IP資源數量表示，
如路由接口、路由過濾器、路由入口等。這些完全由SP控制，并可以提供SPED級別的精細
的控制粒度，使SP得以提供虛擬的無限等級的VR服務。（例：一個SPED可能是一個給定VPN
的聚集點，如公司總部，其它的SPED可能是接入點，如分公司辦公室。在這種情況下，與公
司總部相連的SPED可能需要一個比較大的VR，而其它與分公司相連的只需要小的VR，甚至
是stub VR就行了。）這樣，SP在設計網絡的時候還可以考慮把負載分布在網絡中的各路由
器上。

   4. 從SP網絡中與某VPN的CPE路由器相連的SPED數目上可以看出該VPN的大小。從這
一點上看，一個連接有許多結點的VPN是一個“大”VPN，否則，就是“小”VPN。而且，一
個VPN可能擴大也可能變小。VPN可能因公司的合并或達成合作協議而合并。這種體系結構
可以很簡單地處理這些變化，因為唯一的IP資源并不為某一VPN專用或指定給某一VPN。SPED
的數量也不受任何人工配置條件的限制。 

   5.  SP擁有和管理第一、第二層網絡實體。尤其是，SP控制物理的交換機或路由器、物
理連接、第二層邏輯連接（如幀中繼的DLCI，ATM的VPI/VCI）以及LSP（和它們對于指定
VPN的任務）等。在VPN中，為其指定和分配第二層實體是SP的責任。

   6.  PNA擁有和管理第三層實體，包括IP接口、動態路由協議或靜態路由表的選擇、路
由接口等。注意：雖然邏輯上第三層的配置由PNA負責，但并非必須由PNA執行。由SP負責
VR的IP管理對PNA來說是個更好的選擇。不過，無論誰負責配置和檢測，PNA所見的都是整
個路由域，這樣，PNA便于設計網絡實現intranet, extranet及流量工程。

   7.  在管理VPN時，就好象使用的是物理路由器，而不是虛擬路由器。因此，可以用SNMP
或其它類似的方法，甚至直接在VRC上來進行網絡管理。

   8.  在一個路由域內，工業標準的查錯工具如PING，traceroute，完全由專用的物理路
由器組成。因此，檢測和查錯可以用SNMP或類似的方法完成，但也可以使用這些標準工具，
當然也可以使用VRC。

   9. 因為VRC對用戶是可見的，路由器的特別安全檢查應該確保VPN用戶只可以使用該VPN
的第三層資源，而不能訪問該路由器中的物理資源。許多路由器利用數據庫視圖來實現這一
功能。

   10. SP也可以使用VRC。如果配置和監控都交由SP負責，那么，SP可以象PNA一樣用VRC
來完成這些任務。

   11. SPED中的VR組成了SP網絡中的VPN。同時，它們也代表一個虛擬路由域。它們通過
SP網絡內的一個仿真LAN，動態地發現對方。

SP網絡中的每個VPN都被且僅被指定一個多播地址。這個地址從可管理范圍
（239.192/14）[Meyer]中選取，唯一的要求就是必須與VPN一一對應。只要把一個VPN標識
明確地對應于一個多播地址，就可以通過路由器自動完成這一功能。對多播地址的預約可以
讓一個VR發現其它VR或被其它VR發現。要注意的是，多播地址并非是必須配置的。

   12. 數據可用下列方法轉發：

      1. 適用于所有VPN的進行“盡力而為”傳送的LSP。

      2. 為某一VPN專用，并為VPN用戶提供流量工程的LSP。

      3. 可提供區分服務的專用LSP。

      4. 在專用的第二層虛電路上的基于策略的轉發。

對于轉發方法的選擇，SP和VPN用戶可以相互協商，還可以將之作為服務水平協議的一
部分。這樣SP可以為不同的VPN用戶提供不同等級的服務。

當然，在LSP建立或建立失敗期間，也采用逐跳轉發的方法轉發路由信息包和用戶數據
包。

   13. 這種方法并不要求SPED上的每個VR上為每個路由協議運行一個單獨的操作系統任
務。對使用中的特定的SPED可能要定制一些特別的操作。為每一個VR維護一個獨立的路由
數據庫和轉發表可以使一個給定的SPED獲得最好的性能。

7. 可擴展的配置
痛在SP云中，一個典型的VPN一般有100-1000個終端。因此，配置工作與終端節點數是線
性相關的。當一個新用戶結點加入某VPN的VR時，管理員必須添加一些配置項。如果情況變
壞，大量的配置工作會讓SP感到相當頭疼。在這種結構里，SP所要分配和配置的就是出/入
口物理連接（如幀中繼DLCI或ATM的VPI/VCI），以及VR與仿真LAN之間的虛連接。

8. 動態鄰居發現
  給定一VPN的VR都駐留在網絡中的一系列SPED中。這些VR應該互相了解，并且連接在一
起。
   
一種方法就是對鄰居進行手工配置。例如，當一個新結點加入到VPN中時，所有其它相
鄰的VR都需進行相應的配置。顯然這種方法可擴展性相當差。

因此，VR要能進行動態地鄰居發現。這可以通過為每一VPN提供一個仿真LAN來實現。
仿真LAN可以有下列作用：
   
   1. 利用該LAN進行與其它VR相關的下一跳IP地址的解析。 

   2. RIP、OSPF等路由協議可以利用該LAN發現鄰居并發送路由更新信息。

每個VPN 的VPN仿真都基于一個IP多播地址。因為要保護公開地址空間，而且多播地址只
能在SP網絡空間內可見，我們將使用[Meyer]描述的組織范圍的多播地址（239.192/14）。每
個VPN都分配了這樣的一個地址。為了減少相應的配置工作，這個地址是根據VPN標識計算
得到的。