附件下载
嵌套VPN技术白皮书.pdf(913.93 KB)
嵌套VPN技术白皮书
关键词:MPLS,嵌套VPN
摘 要:本文描述了嵌套VPN技术的产生背景、技术细节以及典型组网应用。
缩略语:
缩略语 | 英文全名 | 中文解释 |
VPN | Virtual Private Network | 虚拟私有网络 |
MPLS | MultiProtocol Label Switching | 多协议标签交换 |
BRAS | Broadband Remote Access Server | 宽带远程接入服务器 |
目 录
在组建MPLS L3VPN时,通常是由运营商经营MPLS L3VPN骨干网,通过PE设备提供VPN服务。VPN用户由CE设备与运营商的PE设备互连,接入MPLS L3VPN网络,实现此VPN在不同区域的Site之间的通信。
在上述情况下,用户网络是普通的IP网络,每个Site的VPN用户的所有客户都属于同一个VPN。
实际组网中,VPN用户网络复杂多样,简繁不同。
例如,一个VPN用户内部有大量用户设备,而这些用户设备又可以分成不同的管理域,这时,用户可能希望在自己的网络内部再划分不同的VPN,对不同的管理域进行VPN隔离。
VPN用户网络本身也可能是一个MPLS VPN网络,或它的某个Site是一个MPLS VPN网络。这时,分布于不同Site的属于同一VPN的用户需要通过运营商的MPLS VPN骨干网络互访。而运营商的MPLS VPN网络必须能够把用户内部的VPN属性划分透明传输到不同Site。
以上的用户需求,可以总结如下几点:
l 用户整体作为运营商MPLS VPN网络上的一个VPN用户;
l 用户有自己的内部VPN网络,并且,内部VPN网络分布是不规范的,可能在所有的Site上都有内部VPN网络,也可能只是某些Site有,而另一些Site的内部VPN直接连接到运营商的PE设备上;
l 用户分布在不同Site上的内部VPN之间可以互访;
l 用户不希望把自己的所有内部VPN都直接部署到运营商的PE设备上,因为涉及到成本和管理问题;
l 运营商不管理用户内部的VPN划分,只维护运营商PE上的VPN;用户内部VPN划分由用户自己管理;
嵌套VPN技术可以满足用户的上述需求。嵌套VPN能够提供大、小VPN两个层次组网,大VPN和小VPN之间可以互访,但小VPN之间不能互访,这个可以对应一些有层次访问权限的网络,比如子部门和一些服务器网络之间等应用。
l 嵌套VPN实现VPN聚合功能,可以把用户的多个内部VPN聚合成一个用户VPN,接入运营商的MPLS VPN网络;
l 嵌套VPN是一种一个Site接入运营商PE设备的VPN接入技术,独立于同一个VPN的其他Site的接入方式;
l 嵌套VPN支持对称组网方式和非对称组网方式。
嵌套VPN技术简化了用户接入VPN网络的复杂度和成本,为用户提供多样化的VPN组网方式,可以实现用户内部VPN之间的互访、实现用户的两层VPN关系以及两层VPN之间的灵活互访。并且,嵌套VPN技术支持多层嵌套。
嵌套VPN组网在直属分支机构等的VPN组网应用中具有组网复杂度低、应用灵活的优点。
骨干网边缘路由器,存储VPN Instance,处理VPN-IPv4路由,是MPLS三层VPN的主要实现者。
用户网络边缘路由器。
骨干网核心路由器,负责MPLS转发。
VPN实例,包含了同一个Site相关的路由表、转发表、接口(子接口)、路由实例以及路由策略等。在PE设备上属于同一个VPN的物理端口或逻辑端口对应一个VPN Instance,VPN Instance通过命令行或网管工具来配置,主要的参数包括RD(Route Distinguish)、import route-targets、export route-targets、接口(子接口)表等。
VPN中的一个孤立的IP网络,一般来说不通过骨干网不具有连通性,公司总部分支机构都是Site的具体例子。CE路由器通常是VPN Site中的一个路由器或交换设备,Site通过一个单独的物理端口或逻辑端口连接到PE设备。
在普通的MPLS VPN网络中,PE只支持通过私网交互IPv4路由。而嵌套VPN技术支持在私网交互VPNv4路由。
VPN用户自己的网络也可能是一个MPLS VPN网络,这种情况下,最简单的组网是用户只有一个PE设备,VPN用户在自己的PE上划分VPN,在本地构建多个内部VPN,实现用户本地的业务隔离。其组网模型可以描述为:
l 用户网络通过运营商PE的私网接口与运营商网络互连;
l 用户的PE设备直接与运营商PE设备交互VPNv4路由;
l 运营商PE设备把用户网络当作普通VPN用户对待,用户的PE设备作为运营商的CE设备;
l 用户网络把运营商的PE设备看作自己网络的一个普通PE设备。
图1 用户的一个Site具有内部VPN
在图1中,运营商MPLS VPN网络的PE1连接了一个VPN用户:VPN_A,而用户VPN_A有两个内部VPN:A_VPN1和A_VPN2。
设备A_PE1和A_PE2是用户网络的PE(用户网络中也可能有自己的P设备)。A_PE1下面连接两个用户内部VPN。
用户VPN_A把运营商的PE1看作自己网络内的普通PE设备,PE1把用户A内部的A_PE1、A_PE2设备当作CE设备。A_PE1、A_PE2和PE1之间交互VPNv4路由(可以通过路由反射器交互)。
运营商只看到一个用户的VPN:VPN_A。
多数情况下,用户VPN有多个Site和运营商MPLS VPN网络互连,并且,各Site的内部VPN划分情况可能各不相同:某些Site可能具有相同或相似的内部VPN划分,某些Site的内部VPN可能与运营商的PE设备直接互连,或者某些Site本身只有一个大VPN。
要实现这些情况下的用户互访,包括用户的内部VPN之间互访、内部VPN和用户大VPN之间互访等,必须把一个Site本地的VPN信息通过运营商的MPLS VPN网络传播给该VPN用户的其他Site。
因此,在嵌套VPN解决方案中,运营商的PE设备和用户内部的PE设备之间需要直接交互VPNv4路由。
图2 用户的多个Site具有内部VPN
VPN信息的传播过程可以描述如下:
l 运营商的PE设备与用户的PE设备交互VPNv4路由,VPNv4路由携带这些用户内部的VPN信息;
l 运营商的PE设备收到VPNv4路由后,保持用户内部的VPN信息不变,并附加整个用户的VPN属性,用户的VPN信息在运营商的PE设备上维护;
l 运营商的PE设备向其他运营商PE设备发布这些携带综合VPN信息的VPN路由;
l 其他运营商的PE设备收到VPNv4路由后,与本地的VPN进行VPN关系匹配,每个VPN接收属于自己路由,然后将路由向自己连接的CE设备扩散:如果和CE之间是IPv4连接,直接扩散IPv4路由;如果和CE设备之间是VPNv4连接,表示通过私网连接的是一个MPLS VPN用户网络,向CE扩散VPNv4路由。
这样,就实现了整个运营商网络上的用户之间的VPN关系、用户内部VPN之间的关系、以及用户内部VPN和用户本身之间的VPN关系。
由于用户内部的VPN网络和运营商的MPLS VPN网络的VPN属性是属于同一个空间的,因此运营商需要为用户VPN网络指定一段VPN属性空间,就是VPN ROUTE TARGET空间。运营商的PE设备在接收用户PE来的VPNV4路由时,只收指定VPN ROUTE TARGET范围内的VPNV4路由,其余的丢弃,类似于VLAN TRUNK技术。
图3 嵌套VPN对称组网图
对称组网应用是指用户的各Site有自己的内部VPN,并且都采用嵌套VPN技术接入到运营商的PE设备。例如某省的公安系统网络在一个大的MPLS VPN网络中作为一个VPN存在。该公安系统还有各个职能部门,如人事、户籍、办公、邢侦等,每个职能部门又打算建立自己的内部VPN,实现业务隔离。如图3所示,各分局采用标准的MPLS VPN建网,将各职能部分划分到不同的VPN,再采用嵌套VPN技术将分局网络作为一个CE接入到运营商的PE设备,最终实现了异地分局各职能部门内部VPN的互通。
图4 嵌套VPN非对称组网图
如果某个Site的用户内部VPN数量比较多,可以使用嵌套VPN技术,在用户内部的PE设备上先进行一次聚合,聚合成一个VPN接入运营商的PE设备,如图4中的区域A;;而其他Site的用户内部VPN数量比较少,可以直接连接到运营商的PE设备上,如图4中的区域B和区域C。
这种情况称为非对称组网。
非对称组网还有一种应用,即将一个路由和MPLS转发能力不强的VPN接入设备隐藏到一个骨干路由器后,以保护该VPN的接入设备。
通常情况下,建议由转发能力和路由能力强的设备组建MPLS VPN骨干网,在这些设备的后面放置专门的VPN接入设备,防止骨干上的MPLS VPN路由和隧道等对这些设备的冲击,这种组网方案还可以将VPN接入网络和MPLS VPN骨干交换网络分离开。例如,通过嵌套VPN技术,把BRAS设备上的VPN作为内部VPN,将这些VPN聚合成一个大的VPN接入MPLS VPN骨干网。
图5 用户两级互访嵌套VPN组网方案
采用嵌套VPN技术后,VPN用户将具有两级VPN关系:用户级VPN和用户内部VPN,也称为大、小VPN。大、小VPN可以互访。
在实际组网中,这种两级VPN用途非常广。例如,可以把能够被所有小VPN访问的服务器等设备直接作为大VPN的CE设备连接到运营商的PE设备上;或将一些具有特殊角色的主机,比如领导主机等,作为大VPN的客户直接连接到运营商的PE设备上,以确保这些主机能够访问所有部门的网络。
如图5所示,大VPN为VPN_A,小VPN为A_VPN1、A_VPN2和A_VPN3。服务器群直接作为大VPN的CE设备连接到运营商PE1设备上,能够被所有小VPN访问;一些具有特殊角色的主机,比如领导主机等,作为大VPN的客户直接连接到运营商PE3设备上,从而确保这些特权主机能够访问所有部门的网络。
Copyright ©2008 杭州华三通信技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
本文档中的信息可能变动,恕不另行通知。
嵌套VPN技术白皮书.pdf(913.93 KB)