一、VPN技术概述
VPN(Virtual Private Network)是基于公网,利用隧道、加密等技术,为用户提供的虚拟专用网络,它给用户一种直接连接到私人局域网的感觉。
1. 传统VPN组网方式
传统VPN组网方式分成两种,一种是专线VPN,一种是基于客户端设备的VPN (CPE-based VPN)。
专线VPN使用DDN电路或者虚电路(如ATMPVC、FR PVC 等)连接客户的站点,形成一个叠加式的二层VPN网络。这种方式的VPN,成本高、建设周期长、网络拓展性不好,并且可管理性差。
CPE-based VPN:其VPN功能都集成在各种各样的CPE设备之中,运营商的公网为客户提供透明的数据传输。因为VPN是跨越不可信任的公网构建而成的,所以一般CPE-based VPN都采用隧道、加密、认证等方式来防止数据被复制、篡改和丢失。这种方式的VPN,其最大缺点就在于需要客户投入较大的人力、物力去管理和维护VPN,同时加密机制也会对设备的转发性能和网络的拓展性产生很大的影响。
2. Provider Provisioned VPN(PP-VPN):随着通信技术的不断发展,特别是MPLS技术的出现,基于运营商网络的VPN,即PP-VPN应运而生。PP-VPN整个操作是作为一个运营商的外包资源实现在网络上,而不是在客户端设备上。这种方式的VPN,降低了客户的投入,增加了运营商的收入,同时又具有较好的网络拓展性、可管理性,因而赢得了越来越多客户和运营商的青睐。基于MPLS的VPN就属于PP-VPN。
二、MPLS VPN简介
MPLS(Multi-Protocol Label Switch,多协议标签交换)是由IETF提出的新一代IP骨干网络交换标准,是一种集成式的IP Over ATM技术。它融合了IP路由技术灵活性和ATM交换技术简洁性的优点,在面向无连接的IP网络中引入了MPLS面向连接的属性,提供了类似于虚电路的标签交换业务。
MPLS VPN有三种类型的路由器,CE路由器、PE路由器和P路由器。其中,CE路由器是客户端路由器,为用户提供到PE路由器的连接;PE路由器是运营商边缘路由器,也就是MPLS网络中的标签边缘路由器 (LER),它根据存放的路由信息将来自CE路由器或标签交换路径(LSP)的VPN数据处理后进行转发,同时负责和其他PE路由器交换路由信息;P路由器是运营商网络主干路由器,也就是MPLS网络中的标签交换路由器(LSR),它根据分组的外层标签对VPN数据进行透明转发,P路由器只维护到PE路由器的路由信息而不维护VPN相关的路由信息。
根据PE路由器是否参与客户的路由,MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC2547bis标准,使用BGP在PE路由器之间分发路由信息,使用MPLS技术在VPN站点之间传送数据,因而又称为BGP/MPLS VPN。
三、BGP/MPLS VPN中几个重要的概念
1. VRF
BGP/MPLS VPN的安全举措之一就是路由隔离和信息隔离,它是通过VPN路由转发(VPN Routing &&Forwarding:VRF)表和MPLS中的LSP来实现的。在PE路由器上,存在有多个VRF表,这些VRF表是和PE路由器上的一个或多个子接口相对应的,用于存放这些子接口所属VPN的路由信息。通常情况下,VRF表中只包含一个VPN的路由信息,但是当子接口属于多个VPN时,其所对应的VRF表中就包含了子接口所属的所有VPN的路由信息。
对于每一个VRF表,都具有路由区分符(Route Distinguisher:RD)和路由目标(Route Target:RT)两大属性。
