论文部分内容阅读
虚拟专用网
虚拟专用网简而言之就是一组基站的集合。公共网络,我们称为骨干网,连接了所有的基站;根据不同的需要,可以把整个基站集划分成若干个基站子集。对任意两个基站,当且仅当这两个基站同属于至少一个基站子集时,这两个基站才能在骨干上保持IP层的连通性。这样的基站子集就构成了虚拟专用网VPN。
本文重点讨论如何通过提供IP服务的公共骨干网来实现VPN业务。
一、边界设备
基站都有一个或多个用户设备(CE),每个CE通过第二层数据链路(如PPP、ATM、Ethernet、FR、GRE隧道)连到一个或多个供应商边界路由器(PE)上。若基站只有一台主机,则该主机可以是CE。若基站只有一个子网,则CE可以是一台交换设备或路由器。一般来说,CE就是一台路由器,称为CE路由器。
当CE设备是一台路由器时,则该CE就是与之相连的PE的路由对等体。CE一般不会同其他基站内的CE构成路由对等关系。不同基站内的路由器彼此不直接交换路由信息;实际上,除非出于安全的考虑,它们甚至无需知道对方是否存在。
二、不同VPN的地址空间可以重叠
任意两个不连通的VPN(例如没有共同基站的VPN)可以使用重叠的地址空间;也就是说,在不同的VPN内,同样的地址可以分配给不同的设备。只要端系统的地址在其所属的VPN内唯一,则此端系统就无需了解其他VPN内的地址空间构成信息。
在这种模式下,VPN的拥有者没有要管理的骨干网,甚至连虚拟的骨干网也不存在。SP也不需要管理各个VPN的骨干或“虚拟骨干”。骨干网络上的基站到基站的路由处理是经过优化的,当然这种优化是要受此VPN设计策略的制约的。骨干网上的隧道拓扑结构也不会影响上述的路由优化。
三、在不同的VPN内,具有相同目的地址的路由可能不相同
尽管一个基站可以同时属于多个VPN,但到此基站内某个端系统的路由却可能因VPN的不同而不同。因此需要建立到服务器的两条不同的路由。其中一条由基站B、C使用,它把数据流直接送到基站A;另外一条路由供基站D使用,该路由将来自D的数据流引导到基站B处的防火墙。若防火墙允许数据流通过,则这些数据流再从基站B流向基站A。
四、 PE设备拥有多个转发路由表
每个PE路由器都需要维护若干转发路由表。与此PE直接相连的每个基站必须映射到其中一张转发路由表上。当PE收到来自基站的报文时,它就去查找对应于该基站的转发表,从而知道如何对该报文进行处理。与基站S至少有一个共同VPN的所有基站的路由信息构成了与基站S对应的路由转发表。这样,没有共同VPN的基站之间就不会发生联系,从而没有共同VPN的基站就可以独立使用重叠的地址空间了。
五、 SP骨干路由器
SP的骨干路由器包括PE路由器,也包括其他不与CE设备直接相连的路由器,统称为服务商路由器或P路由器。若每个SP骨干路由器都必须维护此SP内所有VPN的路由信息的话,对VPN进行扩展将会非常困难,VPN的基站数目势必要受到单个路由器所能够存储的信息量的限制。因此,把VPN的路由信息仅存放在与此VPN直接相连的PE设备内就显得非常重要。这样,P路由器就可以不用了解任何VPN的路由信息。
六、安全性要求
即使不借助加密手段,VPN所能提供的安全等级也应该与第二层骨干网(如帧中继)所提供的安全级别持平。也就是说,在没有配置错误,也没有故意将不同VPN互连的情况下,一个VPN内的端系统不可能访问到另一VPN内的端系统。
基站site和客户设备CE
从骨干网的角度看,如果一个IP端系统集合的成员彼此有IP连通性,而且不借助骨干网络彼此能进行IP报文交互,则此IP端系统集就构成了一个基站。一般而言,基站所含的端系统在地理位置上是非常接近的。一个基站可以含有多个“虚拟基站”。通常情况下,CE设备只属于单一基站;而一个基站却可以属于多个VPN。
PE路由器可以在任意多个基站处与CE设备相连,而不用去管这些CE设备是否属于相同或不同的VPN。CE设备可以和同一个或多个ISP的多个PE路由器相连。若CE是一台路由器,则PE路由器和CE路由器彼此成为邻接路由器。ISP与VPN用户互连的基本单位是基站。
PE的基站转发表
对与之直接相连的每一基站,PE路由器维护一张对应的“基站转发表”。一般来说,基站与基站转发表一一对应。仅当到达PE的数据报文直接来自与基站转发表对应的基站时,PE才会到基站转发表中去查找此报文的IP目的地址。
若一个基站同时属于多个VPN的话,则这些VPN的路由信息都要包含在与此基站对应的转发表里。
通常,对于每个基站,即使PE到该基站的连接有多个,PE也只保存一张转发表。而且,假如不同的基站确要使用完全相同的路由集合,则它们可以共享相同的转发表。若PE收到了来自与其直接相连的某个基站的报文,但此报文的目的地址无法和转发表中的任何表项相匹配,同时此SP又没有为此基站提供Internet访问服务的话,则此报文将会因为目的地不可达而被丢弃。若SP为此基站提供Internet访问,则该PE会去查找Internet路由表来处理此报文。也就是说,当SP可以向基站提供Internet访问服务时,PE设备需含有一张Internet的路由表。
为保证VPN彼此之间的隔离,骨干网中的路由设备不能接收与之邻接的任何非骨干路由设备所发送的带标记报文,以下情况例外:
a) 标记栈顶的转发标记确实是骨干路由设备分发到非骨干路由设备的;
b) 骨干路由设备可以断定若使用此转发标记,必将使得此报文所带的标记栈内层转发标记和IP报头被检查之前,报文离开骨干网络。
c) 为了防止报文进入其他的VPN,上述限制条件是必须的。
对应于基站的转发表只用于处理直接从该基站来的报文。而不能用于从其他SP骨干路由设备到达的报文的路由处理。因此,去往同一个端系统就可能有多条路由,而某个具体报文所走的路由则由报文从哪个基站进入骨干来决定。例如,对从Extranet出发去往某个端站系统的报文可能走一条路由,这条路由会把这些报文引导到一个防火墙;而对从intranet出发去往同一端站的数据包(包括那些已经通过防火墙的数据包)就可能走另外一条路由。
虚拟基站
有时,例如用户想实现VLAN,这时用户会把一个基站分为多个虚拟基站。每个虚拟基站可以是多个不同VPN的成员。于是PE就需要维护对应每个虚拟基站的转发表。PE则可以根据封装类型和报文到达的接口来将报文归入对应的虚拟基站。另外,可以把接口分为多个“子接口”,然后根据报文到达的子接口,把报文归入VPN。还可以简单地给每个虚拟基站分配一个不同的接口。不管是哪种方法,即使是拥有多个虚拟基站,基站一般也只需要一个CE路由设备。当然,若需要的话,也可以给每个虚拟基站分配一个CE路由设备。
通过BGP发布VPN路由
PE路由器之间使用BGP发布VPN路由信息,BGP进程仅能分配和发布去往给定地址前缀的路由信息。但是又要每个VPN拥有自身的地址空间,也就是说,在同一VPN内不同端系统具有不同地址的前提下,VPN之间的地址空间可以重叠。从而要求BGP可以安装和分发对应于单个IP地址前缀的多个路由信息项。此外,对于哪个基站可以使用那些路由,
我们可以采用下文所述的新地址类来使得BGP完成上述功能。
VPN-IPv4 地址类
BGP多协议扩展[3]允许BGP传送多个地址类的路由信息。VPN-IPv4 地址是一个12字节的数,以8字节的“路由区分符(RD)”开始,以4字节的IPv4地址结束。如果两个VPN使用相同的IPv4地址前缀,PE就把它们翻译成一致的VPN-IPv4地址前缀,而具有不同的RD。这就确保了当两个不同VPN使用相同的地址时,BGP可以装配去往两个不同的路由,每个VPN一个。
RD的结构使得SP可以管理自身的号码空间。 RD有两个字节的类型域,一个管理域和一个指派号码域。类型域的值决定了其他两个域的长度,也决定了管理域的语义。管理域标示了号码指派机构,而指派码域则是由此号码指派机构所指派的号码值。RD之所以有这种结构,是为了保证当提供VPN骨干承载服务的SP需要RD时,总能够随时去创建。然而,RD的结构没有提供语义上的信息。当BGP要比较两个地址前缀时,这时完全可以忽略RD。
若某个VPN-IPv4地址的管理域和指派号码域都设成了零,则此VPN-IPv4地址和对应的全球IPv4编址具有完全相同的意义。而且,BGP将认为此VPN-IPv4地址与对应的全球IPv4编址是可比较的。在其他情况下,VPN-IPv4地址与对应的全球IPv4编址不具备可比性。给定一张基站转发表,任何IPv4地址前缀只能有唯一的VPN-IPv4路由项。当数据报文的目的地址与VPN-IPv4路由项做匹配时,仅仅是与VPN-IPv4地址的IPv4部分做匹配。