高手講解IP-VPN連接模型和相應安全問題
高手講解IP-VPN連接模型和相應安全問題,對于很多朋友來說,IP-VPN 還是一個很陌生的詞語。它到底是干什么的,有什么作用呢?帶著這些疑問,我們來了解一下吧。
連接模型
給出了MPLS/BGP VPN的連接模型。從中可以看出,P路由器位于MPLS網(wǎng)絡的核心。 PE路由器將使用MPLS與核心MPLS網(wǎng)絡通信,同時使用IP路由技術來與CE路由器通信。 P與PE路由器將使用IP路由協(xié)議(內部網(wǎng)關協(xié)議)來建立MPLS核心網(wǎng)絡中的路徑,并且使用LDP實現(xiàn)路由器之間的標記分發(fā)。
PE路由器使用多協(xié)議BGP4來實現(xiàn)彼此之間的通信,完成標記交換和每一個IP-VPN策略。除非使用了路徑映射標志(route reflector),否則PE 之間是BGP全網(wǎng)狀連接。特別地,中的PE處于同一自治域中,它們之間使用內部BGP (iBGP)協(xié)議。P路由器不使用BGP協(xié)議而且對VPN一無所知,它們使用普通的MPLS協(xié)議與進程。
PE路由器可以通過IP路由協(xié)議與CE路由器交換IP路徑,也可以使用靜態(tài)路徑。在CE與PE路由器之間使用普通的路由進程。CE路由器不必實現(xiàn)MPLS或對VPN有任何特別了解。PE路由器通過iBGP將用戶路徑分發(fā)到其他的PE路由器。為了實現(xiàn)路徑分發(fā),BGP使用IP-VPN地址(由RD和IPv4地址構成)。這樣,不同的VPN可以使用重疊的IPv4地址空間而不會發(fā)生IP-VPN地址重復的情況。
PE路由器將BGP計算得到的路徑映射到它們的路由表中,以便把從CE路由器收到的分組轉發(fā)到正確的LSP上。這一方案使用兩級標記:內部標記用于PE路由器對于各個VPN的識別,外部標記則為MPLS網(wǎng)絡中的LSR所用——它們將使用這些標記把分組轉發(fā)給正確的PE。
建立IP-VPN區(qū)域的操作
希望提供IP-VPN業(yè)務的網(wǎng)絡提供者必須按照連接需求對網(wǎng)絡進行設計與配置,這包括:PE必須為其支持的VPN以及與之相連的CE所屬的VPN 進行配置;MPLS網(wǎng)絡或者是一個路徑映射標志中的PE路由器之間必須進行對等關系的配置;為了與CE進行通信,還必須進行普通的路由協(xié)議配置;為了與MPLS核心網(wǎng)絡進行通信,還必須進行普通的MPLS配置(如LDP、IGP)。另外,P路由器除了要求能夠支持MPLS之外,還要能夠支持IP-VPN。
IP-VPN成員資格和可到達性信息的傳播
PE路由器使用IP路由協(xié)議或者是靜態(tài)路徑的配置來交換路由信息,并且通過這一過程獲得與之直接相連的用戶網(wǎng)站IP地址前綴。PE路由器通過與其BGP對等實體交換IP-VPN地址前綴來獲得到達目的VPN站點的路徑。
另外,PE路由器還要通過BGP與其PE路由器對等實體交換標記,以此確定PE路由器間連接所使用的LSP。這些標記用作第二級標記,P 路由器看不到這些標記。PE路由器將為其支持的每一個IP-VPN分別建立路由表和轉發(fā)表,與一個PE路由器相連的CE路由器則根據(jù)該連接所使用的接口選擇合適的路由表。
IP分組轉發(fā)
PE之間的路由信息交換完成之后,每一個PE都將為每一個VPN建立一個轉發(fā)表,該轉發(fā)表將把VPN用戶的特定地址前綴與下一跳PE路由器聯(lián)系起來。當收到發(fā)自CE路由器的IP分組時,PE路由器將在轉發(fā)表中查詢該分組對應的IP-VPN。如果找到匹配的條目,路由器將執(zhí)行以下操作:
如果下一跳是一個PE路由器,轉發(fā)進程將首先把從路由表中得到的、該PE路由器所對應的標記(嵌套隧道標記)推入標記棧;PE路由器把基本的標記推入分組,該標記用于把分組轉發(fā)到到達目的PE路由器的、基本網(wǎng)絡LSP上的第一跳;帶有兩級標記的分組將被轉發(fā)到基本網(wǎng)絡LSP上的下一個LSR。
P路由器(LSR)使用頂層標記及其路由表對分組繼續(xù)進行轉發(fā)。當該分組到達目的LER時,最外層的標記可能已發(fā)生多次改變,而嵌套在內部的標記保持不變。當PE收到分組時,它使用內部標記來識別VPN。此后, PE將檢查與該VPN相關的路由表,以便決定對分組進行轉發(fā)所要使用的接口。
如果在VPN路由表中找不到匹配的條目,PE路由器將檢查Internet路由表(如果網(wǎng)絡提供者具備這一能力)。如果找不到路由,相應分組將被丟棄。IP-VPN轉發(fā)表中包含VPNIP地址所對應的標記,這些標記可以把業(yè)務流路由至VPN中的每一個站點。
這一過程由于使用的是標記而不是IP 地址,所以在企業(yè)網(wǎng)中,用戶可以使用自己的地址體系,這些地址在通過服務提供者網(wǎng)絡進行業(yè)務傳輸時無需網(wǎng)絡地址翻譯(NAT)。通過為每一個VPN使用不同的邏輯轉發(fā)表,不同的VPN業(yè)務將可以被分開。
使用BGP協(xié)議,交換機可以根據(jù)入口選擇一個特定的轉發(fā)表,該轉發(fā)表可以只列出一個VPN有效目的地址。為了建立企業(yè)的Extranet,服務提供者需要對VPN之間的可到達性進行明確指定(可能還需要進行NAT配置)。
IP-VPN安全
在服務提供者網(wǎng)絡中,PE所使用的每一個分組都將與一個RD相關聯(lián),這樣,用戶無法將其業(yè)務流或者是分組偷偷送入另一個用戶的IP-VPN。要注意的是,在用戶數(shù)據(jù)分組中沒有攜帶RD,只有當用戶位于正確的物理端口上或擁有PE路由器中已經(jīng)配置的、適當?shù)腞D時,用戶才能加入一個Intranet或 Extranet。這一建立過程可以保證非法用戶無法進入VPN,從而為用戶提供與幀中繼、租用線或ATM業(yè)務相同的安全等級。
