?? rfc2917.txt
字號(hào):
9. VPN 的IP域配置
151.0.0.1
################
# #
# 路由器 A #
# #
################
# #
# #
# #
# #
############# ###############
# # # #
# 路由器 B # # 路由器C #
# # # #
# # # #
############# ###############
152.0.0.2 153.0.0.3
Figure 1:物理路由域
SP網(wǎng)絡(luò)中的物理路由域如上圖所示。在這個(gè)網(wǎng)絡(luò)中,物理路由器A,B,C彼此互聯(lián)。每個(gè)路
由器都有一個(gè)指定的公開(kāi)IP地址。根據(jù)這些地址可以唯一地識(shí)別每個(gè)在SP網(wǎng)絡(luò)中的路由器。
172.150.0/18 172.150.128/18
----------------------- ---------------------------|
| | |
| | 172.150.128.1
| 路由器A (151.0.0.1) | |----------|
| ############# | |備件數(shù)據(jù)庫(kù)|
| ---#-----------# | /---------/
| OSPF | # # ISIS | /----------/
------------|# VR - A #|--------------
#-------|---#-|
#############10.0.0.1/24
|----|------------#-#---------------|-----|
|10.0.0.2/24# # |10.0.0.3/24
|------|-------| # # ---------|-------|
| ############### # |############### |
| # VR - B |# # # VR - C # |
|#-------------# 路由器B ##|------------#----
(152.0.0.2)############### ############### (153.0.0.3)
------------------------- 路由器C | Extranet
172.150.64/18 設(shè)備商
Figure 2:虛擬路由域
每個(gè)虛擬路由器都可被PNA配置,如同一個(gè)私有的物理路由器。當(dāng)然,SP限制虛擬路由
器對(duì)資源的使用。每個(gè)VPN都有若干與CPE路由器的物理連接,以及若干與仿真LAN的邏輯
連接。每個(gè)連接都是支持IP且可配置的,以使用任意的標(biāo)準(zhǔn)路由協(xié)議和路由策略的組合連接
到指定的目的公司網(wǎng)絡(luò)。
如在圖2中,VPN1中的3個(gè)SPED上有3個(gè)VR。VR-A、VR-B、VR-C分別在路由器A、B、
C上,VR-C和VR-B與CPE設(shè)備有一個(gè)物理連接,而VR-A有兩個(gè)。每個(gè)VR與仿真LAN都有一
個(gè)支持IP的邏輯連接。VR-A與公司總部之間的物理連接上運(yùn)行的是OSPF。因此,它可以轉(zhuǎn)
發(fā)到172.150.0/18和172.150.128/18的包。VR-B與分公司的物理連接上運(yùn)行的是RIP。通
過(guò)與VR-A的邏輯連接,VR-B可以用RIP向VR-A發(fā)送來(lái)自172.150.64/18的包。通過(guò)該邏輯
連接,VR-A向VR-B廣告一個(gè)缺省路由。VR-C作為設(shè)備商的外聯(lián)網(wǎng)連接,與172.150.128.1
上的備件數(shù)據(jù)庫(kù)相連。因此,VR-C通過(guò)邏輯連接向VR-A廣告一個(gè)缺省路徑,VR-A只向VR-C
傳遞來(lái)自172.150.128.1的包。這樣,保證了公司網(wǎng)絡(luò)其余部分的安全性。
網(wǎng)絡(luò)管理員將做如下配置:
1. VR-A到172.150.0/18 和 172.150.128/18子網(wǎng)的OSPF連接。
2. VR-A到VR-B和VR-C的RIP連接。
3. VR-A上僅向VR-B廣告缺省路徑的路由策略;
4. VR-A上向VR-C廣告172.159.128.1路由的路由策略;
5. VR-B上與VR-A連接的RIP協(xié)議
6. VR-C上向VR-A廣告缺省路徑的RIP協(xié)議
10.鄰居發(fā)現(xiàn)舉例
在圖1中,VR-A所在的SPED-A使用的公開(kāi)IP地址是150.0.0.1/24,SPED-B的是
150.0.0.2/24,SPED-C的是150.0.0.3/24。注意,VR之間的連接是通過(guò)仿真LAN實(shí)現(xiàn)的。
在仿真LAN連接上的接口地址分別是VR-A:10.0.0.1/24,VR-B:10.0.0.2/24,VR-C:
10.0.0.3/24。
以VR-A向VR-B傳送一個(gè)數(shù)據(jù)包為例。要得到VR-B的地址(SPED-B的地址),VR-A發(fā)送一個(gè)
以VR-B(10.0.0.2)為邏輯地址的ARP請(qǐng)求包。包的源邏輯地址為10.0.0.1,硬件地址為
151.0.0.1。這個(gè)ARP請(qǐng)求封裝在該VPN的組播地址中發(fā)送出去。SPED B和SPED C都收到了
該包的副本。SPED B認(rèn)出自己的地址,以152.0.0.2為硬件地址給予應(yīng)答。這個(gè)應(yīng)答被發(fā)送
到該VPN的組播地址,以促進(jìn)無(wú)目的ARP的使用和網(wǎng)絡(luò)流量的減少。
如果沒(méi)有使用鄰居發(fā)現(xiàn)策略,就必須進(jìn)行手工配置。在本例中,VR-A與VR-B邏輯地址
(10.0.0.2)的連接將被配置為一個(gè)到硬件地址152.0.0.2的靜態(tài)ARP入口。
11. 轉(zhuǎn)發(fā)
上面已經(jīng)提到,數(shù)據(jù)的轉(zhuǎn)發(fā)可以有不同的方法。除了逐跳轉(zhuǎn)發(fā)路由信息/控制包外,其它的方
法都是可配置的。一方面可用基于策略的轉(zhuǎn)發(fā)實(shí)現(xiàn)快速服務(wù),另一方面可以用公開(kāi)LSP實(shí)現(xiàn)
盡力而為的轉(zhuǎn)發(fā)。轉(zhuǎn)發(fā)優(yōu)先權(quán)順序如下:
1. 基于策略的轉(zhuǎn)發(fā);
2. 可選擇性配置的專(zhuān)用LSP;
3. 盡力而為的公開(kāi)LSP。
11.1專(zhuān)用LSP
這種LSP可以在VPN的基礎(chǔ)上進(jìn)行選擇性配置。一般,該LSP都與帶寬預(yù)留、區(qū)分服務(wù)或QoS
有關(guān)。它可以用于轉(zhuǎn)發(fā)用戶(hù)數(shù)據(jù)或VPN的專(zhuān)用控制數(shù)據(jù)。
11.2盡力而為的公開(kāi)LSP
當(dāng)不能配置或無(wú)法使用具有指定帶寬或QoS特性的專(zhuān)用LSP時(shí),VPN的數(shù)據(jù)包就用公開(kāi)LSP
進(jìn)行轉(zhuǎn)發(fā)。該LSP的一端是VPN 0的出口路由器。shim 頭中的VPN標(biāo)識(shí)用來(lái)對(duì)出口路由器中
來(lái)自不同VPN的數(shù)據(jù)包進(jìn)行解復(fù)用。
12.區(qū)分服務(wù)
為VPN配置專(zhuān)用LSP使得SP得以向付費(fèi)用戶(hù)提供區(qū)分服務(wù)。這些專(zhuān)用LSP與可用的第二層
QoS等級(jí)或區(qū)分服務(wù)編碼點(diǎn)有關(guān)。在一個(gè)VPN中,具有不同服務(wù)級(jí)別的專(zhuān)用LSP不能按流的
包分類(lèi)屬性進(jìn)行配置。因?yàn)檫@一點(diǎn)以及對(duì)虛擬路由器大小的把握,SP得以為VPN用戶(hù)提供真
正的區(qū)分服務(wù)。
13.安全問(wèn)題
13.1路由安全
未經(jīng)修改的標(biāo)準(zhǔn)路由協(xié)議如OSPF、BGP的使用意味著所有的加密和安全方法(如MD5鄰
機(jī)鑒定)在VR中都可以使用。重要的是,要確保VPN路由信息不會(huì)被無(wú)意地泄露給其它VPN。
一種實(shí)現(xiàn)方法就是保持路由和轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)的隔離性。
13.2數(shù)據(jù)安全
SP可以向VPN用戶(hù)保證,一個(gè)VPN中的數(shù)據(jù)包不會(huì)進(jìn)入另一個(gè)VPN。從路由的角度來(lái)看,只
要保證每個(gè)虛擬路由器的路由數(shù)據(jù)庫(kù)的相互隔離就可以實(shí)現(xiàn)了。從數(shù)據(jù)轉(zhuǎn)發(fā)的角度來(lái)看,在
共享LSP中使用標(biāo)簽棧[Rosen2] [Callon],或使用專(zhuān)用LSP也可以保證數(shù)據(jù)的私有性了。設(shè)
置包過(guò)濾可以使本問(wèn)題的解決更為簡(jiǎn)單。
13.3配置安全
在PNA看來(lái),虛擬路由器就好象是個(gè)物理路由器。這意味著PNA可以對(duì)它們進(jìn)行配置,以實(shí)
現(xiàn)公司辦公室間的連接。顯然,SP必須保證只有PNA和PNA的設(shè)計(jì)者才能進(jìn)入與專(zhuān)用網(wǎng)相連
的SPED上的虛擬路由器。因?yàn)樘摂M路由器的控制器VRC與物理路由器在功能上是相同的,所
以一切在物理路由器控制器上可以進(jìn)行的認(rèn)證方法,如密碼、RADIUS等,PNA都可以實(shí)現(xiàn)。
13.4物理網(wǎng)絡(luò)安全
當(dāng)一個(gè)PNA登錄進(jìn)入一個(gè)SPED對(duì)VPN進(jìn)行配置或檢測(cè)時(shí),實(shí)際上PNA進(jìn)入的是VPN的那個(gè)虛
擬路由器。PNA只有對(duì)VR進(jìn)行第三層配置和檢測(cè)的權(quán)限,并不能對(duì)物理網(wǎng)絡(luò)進(jìn)行配置。這樣,
就保證了一個(gè)VPN管理人員不會(huì)因?yàn)槭韬龌蚬室舛绊慡P的網(wǎng)絡(luò)。
14.虛擬路由器的檢測(cè)
物理路由器的所有路由檢測(cè)功能虛擬路由器都有,包括“ping","traceroute"應(yīng)用。此外,
VR還可以顯示專(zhuān)用路由表,連接狀態(tài)數(shù)據(jù)庫(kù)。
15.性能問(wèn)題
出于性能和可擴(kuò)展性的考慮,現(xiàn)在的路由器分為兩個(gè)平面:路由(控制)平面和轉(zhuǎn)發(fā)平面。
在路由平面上,許多目前的路由協(xié)議使用優(yōu)化算法計(jì)算到終點(diǎn)的最短路徑。如,OSPD和ISIS
用Djikstra算法,BGP用“決定過(guò)程”。這些算法都是基于對(duì)路由數(shù)據(jù)庫(kù)的分析和到終點(diǎn)的
最優(yōu)路徑的計(jì)算。這些算法的性能特性均取決于其拓?fù)涮攸c(diǎn)(ISIS和OSPF)或到終點(diǎn)路徑上
AS的數(shù)目(BGP)。但重要的是,對(duì)現(xiàn)在大多數(shù)路由器而言,建立和進(jìn)行這些計(jì)算的開(kāi)銷(xiāo)都很
小。因?yàn)槁酚捎?jì)算時(shí)使用的數(shù)據(jù)庫(kù)是駐留在內(nèi)存中的。
因此,我們可以得出下列結(jié)論:
1. 對(duì)一個(gè)路由域進(jìn)行路由計(jì)算并不比建立一些指向數(shù)據(jù)庫(kù)對(duì)象的寄存器開(kāi)銷(xiāo)更大;
2. 一個(gè)給定的算法的性能不會(huì)因?yàn)榻r(shí)的開(kāi)銷(xiāo)而顯著降低;
3. 當(dāng)一個(gè)物理路由器要為若干虛擬路由器進(jìn)行路由計(jì)算時(shí),其計(jì)算復(fù)雜性并不比單個(gè)虛
擬路由器的路由計(jì)算復(fù)雜性之和更高。
4. 無(wú)論是使用疊加模式還是虛擬路由器模式,一個(gè)路由器的性能特點(diǎn)都只取決于它的硬
件能力、數(shù)據(jù)結(jié)構(gòu)和算法的選擇。
為了進(jìn)一步說(shuō)明,讓我們看一個(gè)有N個(gè)VPN的物理路由器,其上運(yùn)行的是被稱(chēng)為RP的路由協(xié)
議。假設(shè)RP路由計(jì)算算法的平均性能是f(X,Y),X和Y是決定路由協(xié)議算法性能的參數(shù)。例
如,對(duì)使用Djikstra算法的如OSPF,X可能是區(qū)域中的節(jié)點(diǎn)數(shù),而Y是連接數(shù)。任一VPN n
的性能是f (Xn, Yn)。(物理)路由器的性能是f(Xi, Yi)之和(0<=i<= N)。這個(gè)結(jié)論與VPN
實(shí)現(xiàn)方法(虛擬路由器模式或疊加模式)的選擇無(wú)關(guān)。
一般情況下,轉(zhuǎn)發(fā)平面有兩項(xiàng)輸入:轉(zhuǎn)發(fā)表和包頭。主要的性能參數(shù)是查詢(xún)算法。最好能將
IP路由表組織成樹(shù)狀結(jié)構(gòu),用二分法進(jìn)行查找。該算法的性能是O(log n)。
因此,只要虛擬路由器的路由表彼此不同,查詢(xún)路由表的開(kāi)銷(xiāo)就是固定的,O(log n)就可以
找到入口。這與采用疊加模式的VPN并沒(méi)什么不同。在疊加模式中,疊加路由器使用的是多
個(gè)VPN路由表的集成,其性能為O(log m*n),m表示該路由表中VPN的數(shù)目。
16. 致謝
The authors wish to thank Dave Ryan, Lucent Technologies for his
invaluable in-depth review of this version of this memo.
17. 參考文獻(xiàn)
[Callon] Callon R., et al., "A Framework for Multiprotocol Label
Switching", Work in Progress.
[Fox] Fox, B. and B. Gleeson,"Virtual Private Networks
Identifier", RFC 2685, September 1999.
[Meyer] Meyer, D., "Administratively Scoped IP Multicast", RFC 2365,
July 1998.
[Rosen1] Rosen, E. and Y. Rekhter, "BGP/MPLS VPNs", RFC 2547, March
1999.
[Rosen2] Rosen E., Viswanathan, A. and R. Callon, "Multiprotocol
Label Switching Architecture", Work in Progress.
18. 作者地址
Karthik Muthukrishnan
Lucent Technologies
1 Robbins Road
Westford, MA 01886
Phone: (978) 952-1368
EMail: mkarthik@lucent.com
Andrew Malis
Vivace Networks, Inc.
2730 Orchard Parkway
San Jose, CA 95134
Phone: (408) 383-7223
EMail: Andy.Malis@vivacenetworks.com
19. 版權(quán)聲明
Copyright (C) The Internet Society (2000). All Rights Reserved.
This document and translations of it may be copied and furnished to
others, and derivative works that comment on or otherwise explain it
or assist in its implementation may be prepared, copied, published
and distributed, in whole or in part, without restriction of any
kind, provided that the above copyright notice and this paragraph are
included on all such copies and derivative works. However, this
document itself may not be modified in any way, such as by removing
the copyright notice or references to the Internet Society or other
Internet organizations, except as needed for the purpose of
developing Internet standards in which case the procedures for
copyrights defined in the Internet Standards process must be
followed, or as required to translate it into languages other than
English.
The limited permissions granted above are perpetual and will not be
revoked by the Internet Society or its successors or assigns.
This document and the information contained herein is provided on an
"AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING
TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING
BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION
HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF
MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
Acknowledgement
Funding for the RFC Editor function is currently provided by the
Internet Society.
Muthukrishnan & Malis Informational [Page 16]
RFC2917--A Core MPLS IP VPN Architecture 核心 MPLS IP VPN 體系結(jié)構(gòu)
1
RFC文檔中文翻譯計(jì)劃
?? 快捷鍵說(shuō)明
復(fù)制代碼
Ctrl + C
搜索代碼
Ctrl + F
全屏模式
F11
切換主題
Ctrl + Shift + D
顯示快捷鍵
?
增大字號(hào)
Ctrl + =
減小字號(hào)
Ctrl + -