組織：中國互動出版網（http://www.china-pub.com/）
RFC文檔中文翻譯計劃（http://www.china-pub.com/compters/emook/aboutemook.htm）
E-mail：ouyang@china-pub.com
譯者：maggiee（maggiee  maggiee@etang.com）
譯文發布時間：2001-6-5
版權：本中文翻譯文檔版權歸中國互動出版網所有。可以用于非商業用途自由轉載，但必須保留本文檔的翻譯及版權信息。

 
Network Working Group                                           E. Rosen
Request for Comments: 2547                                    Y. Rekhter
Category: Informational                              Cisco Systems, Inc.
March 1999


RFC2547  BGP/MPLS VPNs

Status of this Memo

   This memo provides information for the Internet community.  It does
   not specify an Internet standard of any kind.  Distribution of this
   memo is unlimited.

Copyright Notice
   Copyright (C) The Internet Society (1999).  All Rights Reserved.

摘要
本文檔描述了擁有IP骨干網的服務提供商SP為其客戶提供VPN服務的一種方法。在骨干網中，使用MPLS（多協議標簽交換）進行包轉發，BPG（邊界網關協議）進行路由信息分發。這個方法主要目地是為企業網絡提供IP骨干網服務的外包。這種方法不僅對企業而言很簡單，對SP而言也有較好的可擴展性和靈活性，還可以提供增值服務。同時，這種方法還可以建立一個為客戶提供IP服務的VPN。
 


目錄
1. 簡介	3
1.1  虛擬專用網Virtual Private Networks	3
1.2  邊緣設備	3
1.3  有重疊地址空間的VPNs	4
1.4  由不同路由到達同一系統的VPN	4
1.5  PE上的轉發表	4
1.6  SP 主干網路由器	5
1.7  安全Security	5
2. 站點和CE	5
3. PE中基于站點的轉發表	6
3.1  虛擬站點	6
4. 用BGP分發VPN路由信息	7
4.1  VPN-IPv4地址族	7
4.2  控制路由分發	8
4.2.1  目標VPN屬性	8
4.2.2  用BGP在PE中分發路由	9
4.2.3. 源VPN屬性	10
4.2.4. 用目標和源屬性組建VPN	10
5. 在主干網上的轉發	11
6. PE如何從CE學習路由	12
7. CE如何從PE學習路由	14
8. CE支持MPLS	14
8.1 虛站點	14
8.2 用Stub VPN 表示 ISP VPN	14
9. 安全	14
9.1. CE路由器間的點到點安全隧道	15
9.2. 多方安全關聯	15
10. 服務質量	16
12. 版權事宜	16
13. 安全考慮	17
14. 致謝	17
15. 作者地址	17
16. 參考文獻	17
17. 版權說明	18
 
1. 簡介
1.1  虛擬專用網Virtual Private Networks

與被稱為主干網的公共網相連的是一個“站點”集合。我們基于某些原則創建該集合的若干子集，并附加如下規則：只有當兩個站點都同在某個子集里時，兩者間才可能存在經由該主干網的IP互連。

我們創建的這些子集就是“虛擬專用網”（VPNs）。只有同屬某個VPN時，兩個站點間才存在經公共主干網的IP連接。不屬同一個VPN的兩個站點間沒有經主干網的連接。

如果一個VPN中的所有站點都屬同一個企業，這個VPN就是一個公司“內聯網”。如果分屬不同企業，該VPN就是個“外聯網”。一個站點可在多個VPN中，如一個內聯網和多個外聯網中。內聯網和外聯網我們都視作VPN。一般而言，我們說的VPN并不區分內聯網或外聯網。

我們主要考慮主干網為一個或多個服務提供商（SPs）所擁有的情況。站點為SP的用戶所有，決定某些站點是否屬于一個VPN的策略由用戶制定。有些用戶可能希望完全由SP負責這些策略的執行，有些用戶可能希望自己獨立承擔或與SP分擔這項任務。在本文中，我們主要討論這些策略的執行機制。這些機制既可以由SP單獨執行，也可以由VPN用戶與SP共同完成。這里，我們主要討論前者。
   
本文中所討論的機制可用于多種策略的執行。如對給定的一個VPN，每個站點與其它所有站點都有直接連接（全連接），或者也可以限制某些站點間的直接連接（半連接）。
  
本文中我們感興趣的是公共主干網提供IP服務的情況。我們關注于在一定契約條件下，一個服務提供商SP或多個SP為企業提供主干網的情形，而并非是基于公共Internet的VPN。
  
下面，我們將詳細說明VPN 應有的特性。本文的其余部分我們描述了一個具備所有這些特性的VPN模型。該模型可視作[4]中描述的框架結構的實例。
  
1.2  邊緣設備
假定每個站點都有一個或多個用戶邊緣（CE）設備，并都通過某種數據連接方式（如PPP，ATM，ethernet, Frame Relay, GRE tunnel等）與一個或多個供應商邊緣（PE）路由器相連。
   
如果某個站點只有一個主機，這個主機可能就是CE設備。如果該站點有一個子網，CE設備可能是個交換機。一般而言，希望CE設備是路由器，我們稱之為CE路由器。
  
如果一個PE路由器與某個VPN的一個CE設備相連，我們就說這個路由器與該VPN相連。同樣，如果一個PE路由器與某個站點的一個CE設備相連，則稱這個路由器與該站點相連。