http://www.sina.com.cn2008年12月20日09:22比特網ChinaByte
本文檔講述瞭一種Internet社區的Internet標準跟蹤協議,它需要進一步進行討論和建議以得到改進。請參考最新版的“Internet正式協議標準” (STD1)來獲得本協議的標準化程度和狀態。本備忘錄的發佈不受任何限制。
摘要
本備忘錄描述瞭一種在服務提供商的MPLS主幹網上建立核心VPN服務的方法。該方法在主幹網中使用MPLS,以提供除“盡力而為”外的“優先服務”。其核心思想是,服務提供商為客戶提供一個虛擬路由器服務。該體系結構的基本原則是便於配置、用戶安全、網絡安全、動態鄰居發現、可擴展性和對現有路由協議的不加修改的使用。
目錄
1.縮略語
2. 概述
3. 虛擬路由器
4. 目標
5. 結構要求
6. 結構台灣申請商標框架
7. 可擴展的配置
8. 動態鄰居發現
9. VPN 的IP域配置
10.鄰居發現舉例
11. 轉發
11.1專用LSP
11.2盡力而為的公開LSP
12.區分服務
13.安全問題
13.1路由安全
13.2數據安全
13.3配置安全
13.4物理網絡安全
14.虛擬路由器的檢測
15.性能問題
1.縮略語
ARP地址解析協議
CE客戶邊緣路由器
LSP標簽交換路徑
PNA專用網管理員
SLA服務等級協議
SP服務提供商
SPEDSP邊緣設備
SPNASP網絡管理員
VMAVPN 組播地址
VPNID VPN 標識
VR虛擬路由器
VRC虛擬路由控制臺
2. 概述
本備忘錄描述瞭一種以服務提供商網絡為主幹網,提供IP VPN服務的方法。一般而言,有兩種實現方法:疊加模式和虛擬路由器方法。前者是在現有路由協議的基礎上疊加一些語義,以攜帶一些地址可達信息。在本文中,我們著重於介紹虛擬路由器的方法。
本文描述的方法並不需要對現有的路由協議進行修改。鄰居發現是通過仿真局域網及地址解析協議來實現的。本文力圖對SP和PNA做如下分工:SP擁有和管理第一層、第二層的服務,而PNA負責第三層的服務。因為有邏輯獨立的路由域,PNA可以靈活地使用私有地址和未經註冊的地址。而在共享LSP上利用標簽堆棧對專用LSP和VPN標識進行瞭封裝,數據安全性也得到瞭保證。
本備忘錄描述的方法與RFC2547中不同之處在於:並沒有指定路由協議來攜帶VPN路由信息。在RFC2547中描述瞭一種方法,可以通過修改BGP協議來攜帶VPN在SP主幹網上的單播路由。如果要攜帶多播路由,還必須進行進一步的工作。
3. 虛擬路由器
一個虛擬路由器是一個路由設備中靜態或動態線程的集合,提供類似物理路由器的路由和轉發服務。一個虛擬路由器不須單獨的操作系統處理(當然也可以有),它隻是給人一種錯覺,好象有一個專用的路由器為它所連接的網絡提供服務。一個虛擬路由器與它相應的物理設備一樣,是路由域的一個元素。這個路由域中的其它路由器可以是物理的,也可以是虛擬的。如果虛擬路由器與一個特定的(邏輯離散的)路由域相連,而一個物理路由器又可以承載多個虛擬路由器的話,那麼,一個物理路由器就能支持多個(邏輯離散的)路由空間瞭。
從VPN用戶的角度來看,虛擬路由器應該與物理路由器盡可能地相同。換言之,除瞭極個別情況外,虛擬路由應該在各方面(配置、管理、檢測、查錯)都象一個專用的物理路由器。這樣,就無須對大量已安裝的路由器進行升級或重新配置,也不需對網絡管理員重新培訓。
虛擬路由器的任務在於:
1.對任意路由協議組合的配置
2.對網絡的檢測
3.查錯
每個VPN都有一個邏輯上獨立的路由域,這樣SP就可以更好地為用戶提供相當靈活的虛擬路由器服務,而無需為每一個VPN準備一個物理路由器。這也就是說,SP的硬件投資--路由器和它們之間的連接--可以被多個用戶復用。
4. 目標
1. SP網絡上的VPN終節點擴展性好、易於配置。添加一個CE時,最多隻需要加一條配置信息。
2. 無需使用SP的唯一而且難得到的資源,如IP地址和子網等。
3. 在SP雲中對虛擬路由器的動態發現。這是個可選,但可以保持網絡盡可能簡單的相當有價值的目標。
4. 虛擬路由器應能由VPN網絡管理員完全配置和檢測。這樣,PNA在VPN配置問題上就有足夠的靈活性,可以自己配置,也可以交由SP完成。
5. 各VPN的數據轉發質量應該是可配置的。這種質量要求可解釋為連續(或離散)級別的服務,例如,盡力而為,專用帶寬,QOS以及基於策略的轉發服務等。
6. 可以通過在VPN中建立專用的數據轉發台灣商標註冊LSP的方法將各VPN配置為區別服務模式。
7. Internet路由器的安全也包括虛擬路由器。這就意味著虛擬路由器的數據轉發和選路應該與專用的物理路由器一樣安全,用戶數據及可達性信息不會從一個路由域無意地泄露出去。
8. 不指定在虛擬路由器之間使用的路由協議。這對於VPN用戶自主地按各自的方式建立網絡及設置策略相當重要。例如,一些協議適於進行包過濾,而另一些則適於進行流量工程。而VPN用戶有時可能希望同時應用這兩類服務來獲得最優的網絡服務質量。
9. 對現有的路由協議,如BGP,RIP,OSPF,ISIS不進行特別的修改和擴充。這對於將來在其上疊加其它如NHRP和組播服務是很重要的。此外,對現有協議的改進和增強(如對ISIS和OSPF在流量工程方面的擴展等)也可以方便地結合進VPN應用中。
5. 結構要求
服務提供商的網絡必須支持到所有節點的多播路由,以提供VPN連接和轉發虛擬路由器發現的多播數據。不須指定某個多播路由協議。一個服務提供商SP可以運行MOSPF或DVMRP或其它協議。
6. 結構框架
1. 每個VPN都指定瞭一個在SP網絡中唯一的VPNID。這個標識明確地表明瞭與一個包或一個連接有關的VPN。VPNID為0的標識被保留,用於表示公共Internet。VPN標識最好與RFC2685兼容,但並非必須如此。
2. VPN服務由虛擬路由器提供。這些虛擬路由器位於SPED上,因而限於在SP雲的邊緣。虛擬路由器通過SP網絡來轉發數據包和控制包,但在SPED外並不可見。
3. 與某VPN相關的一給定SPED上的VR的“大小”可以用其所占用的IP資源數量表示,如路由接口、路由過濾器、路由入口等。這些完全由SP控制,並可以提供SPED級別的精細的控制粒度,使SP得以提供虛擬的無限等級的VR服務。(例:一個SPED可能是一個給定VPN的聚集點,如公司總部,其它的SPED可能是接入點,如分公司辦公室。在這種情況下,與公司總部相連的SPED可能需要一個比較大的VR,而其它與分公司相連的隻需要小的VR,甚至是stub VR就行瞭。)這樣,SP在設計網絡的時候還可以考慮把負載分佈在網絡中的各路由器上。
4. 從SP網絡中與某VPN的CPE路由器相連的SPED數目上可以看出該VPN的大小。從這一點上看,一個連接有許多結點的VPN是一個“大”VPN,否則,就是“小”VPN。而且,一個VPN可能擴大也可能變小。VPN可能因公司的合並或達成合作協議而合並。這種體系結構可以很簡單地處理這些變化,因為唯一的IP資源並不為某一VPN專用或指定給某一VPN。SPED的數量也不受任何人工配置條件的限制。
5. SP擁有和管理第一、第二層網絡實體。尤其是,SP控制物理的交換機或路由器、物理連接、第二層邏輯連接(如幀中繼的DLCI,ATM的VPI/VCI)以及LSP(和它們對於指定VPN的任務)等。在VPN中,為其指定和分配第二層實體是SP的責任。
6. PNA擁有和管理第三層實體,包括IP接口、動態路由協議或靜態路由表的選擇、路由接口等。註意:雖然邏輯上第三層的配置由PNA負責,但並非必須由PNA執行。由SP負責VR的IP管理對PNA來說是個更好的選擇。不過,無論誰負責配置和檢測,PNA所見的都是整個路由域,這樣,PNA便於設計網絡實現intranet, extranet及流量工程。
7. 在管理VPN時,就好象使用的是物理路由器,而不是虛擬路由器。因此,可以用SNMP或其它類似的方法,甚至直接在VRC上來進行網絡管理。
8. 在一個路由域內,工業標準的查錯工具如PING,traceroute,完全台中商標註冊類別由專用的物理路由器組成。因此,檢測和查錯可以用SNMP或類似的方法完成,但也可以使用這些標準工具,當然也可以使用VRC。
9. 因為VRC對用戶是可見的,路由器的特別安全檢查應該確保VPN用戶隻可以使用該VPN的第三層資源,而不能訪問該路由器中的物理資源。許多路由器利用數據庫視圖來實現這一功能。
10. SP也可以使用VRC。如果配置和監控都交由SP負責,那麼,SP可以象PNA一樣用VRC來完成這些任務。
11. SPED中的VR組成瞭SP網絡中的VPN。同時,它們也代表一個虛擬路由域。它們通過SP網絡內的一個仿真LAN,動態地發現對方。
SP網絡中的每個VPN都被且僅被指定一個多播地址。這個地址從可管理范圍(239.192/14)中選取,唯一的要求就是必須與VPN一一對應。隻要把一個VPN標識明確地對應於一個多播地址,就可以通過路由器自動完成這一功能。對多播地址的預約可以讓一個VR發現其它VR或被其它VR發現。要註意的是,多播地址並非是必須配置的。
文章標籤
全站熱搜
留言列表
