當前位置:
首頁>
技術交流>網(wǎng)絡中MPLS VPN的設計和實施考慮
網(wǎng)絡中MPLS VPN的設計和實施考慮
基本功能
MPLS VPN的建設在MPLS網(wǎng)絡的基礎設施上��,VPN骨干網(wǎng)絡由兩部分組成:PE路由器和P路由器����。
PE routers擁有并維護與其直接相連的VPN的路由信息。由于PE負責打 VPN標簽和IGP標簽兩層標簽(詳見RFC2574的規(guī)定)���,PE必須是一個邊緣LSR���。
PE routers通過MP-iBGP協(xié)議(見RFC2283規(guī)定)交換VPN的路由信息,選用 MP-iBGP作為路由協(xié)議的原因是MPLS VPN要求傳送多種地址家族�,并且還要傳送VPN的屬性。
PE與CE之間采用普通的IGP協(xié)議����,如RIPv2,OSPF����,Static Route,也可以采用EBGP協(xié)議��,因而當采用MPLSVPN技術時����,用戶側的原有路由協(xié)不需要修改和重新配置。
出于安全性的考慮���,在PE與CE之間做適當?shù)脑L問控制�,CE可以不均許從 PE能夠Telnet到CE路由器����,即用戶側數(shù)據(jù)完全可由用戶側自己進行維護處理;同時在位于局端的PE上���,也不均許CE Telnet到PE上�����。
P router是LSR (MPLS節(jié)點) P router完全依據(jù)MPLS的包封(ENCAP)來作出前傳決定�����。由于P router完全不需要讀取原始的數(shù)據(jù)包信息來作出前傳決定�,P不需要擁有VPN的路由信息���。因此P只參與骨干IGP的路由�。
實施規(guī)則
在ICS數(shù)據(jù)網(wǎng)絡中��,所有的MPLS節(jié)點可以有一個和多個邊緣LSR.在只有路由器的節(jié)點處,路由器可以作為邊緣LSR��;如果有VPN用戶�����,該路由器又可以被作為PE���。為VPN用戶提供Internet連接�����,包括以下幾種方式:
-PE router上的接口定義為Internet網(wǎng)關���,即Internet網(wǎng)關與PE Router共同存 在一個設備上;
- 將PE Router接口與Internet網(wǎng)關連接���,依據(jù)業(yè)務等級協(xié)議(SLA)采用CAR 進行流量限制���。 如果用戶有由ICS維護的防火墻,或者服務器放在ICS一方��,則通過以太網(wǎng)交換機使用PE上的FE接口連接到Internet網(wǎng)關�。
虛擬ISP
虛擬ISP���,其含義是ICS通過提供出租端口包括專線端口或撥號端口����,利用網(wǎng)絡的承載服務,為ISP提供透明網(wǎng)絡服務和虛擬的業(yè)務服務�,即該ISP利用ICS所提供的撥號,接入��,線路�,傳送和Hosting等服務來建立自己的服務中心,各ISP擁有自己的用戶群���,而各ISP之間是相對獨立的���,或可以通過策略控制可以進行信息互訪。
虛擬ISP目前能夠利用ICS所提供的認證服務功能���,大容量存儲能力����,豐富的端口類型和資源�����,以及豐富的帶寬資源來提供具有各自特色的網(wǎng)絡服務,這些業(yè)務可包括VPDN����,Web Hosting,Email Hosting等����。
