講解VPN配置實(shí)例的邊緣設(shè)備部分
講解VPN配置實(shí)例的邊緣設(shè)備部分,在網(wǎng)絡(luò)時(shí)代的今天,大家經(jīng)常會(huì)遇到VPN配置實(shí)例的安裝問題,下面將介紹關(guān)于VPN配置實(shí)例的知識(shí),包括如何了解有重疊地址空間的VPNs等等。
虛擬專用網(wǎng)VirtualPrivateNetworks
與被稱為主干網(wǎng)的公共網(wǎng)相連的是一個(gè)“站點(diǎn)”集合。我們基于某些原則創(chuàng)建該集合的若干子集,并附加如下規(guī)則:只有當(dāng)兩個(gè)站點(diǎn)都同在某個(gè)子集里時(shí),兩者間才可能存在經(jīng)由該主干網(wǎng)的IP互連。
我們創(chuàng)建的這些子集就是“虛擬專用網(wǎng)”(VPNs)。只有同屬某個(gè)VPN時(shí),兩個(gè)站點(diǎn)間才存在經(jīng)公共主干網(wǎng)的IP連接。不屬同一個(gè)VPN配置實(shí)例的兩個(gè)站點(diǎn)間沒有經(jīng)主干網(wǎng)的連接。如果一個(gè)VPN配置實(shí)例中的所有站點(diǎn)都屬同一個(gè)企業(yè),這個(gè)VPN配置實(shí)例就是一個(gè)公司“內(nèi)聯(lián)網(wǎng)”。
如果分屬不同企業(yè),該VPN配置實(shí)例就是個(gè)“外聯(lián)網(wǎng)”。一個(gè)站點(diǎn)可在多個(gè)VPN配置實(shí)例中,如一個(gè)內(nèi)聯(lián)網(wǎng)和多個(gè)外聯(lián)網(wǎng)中。內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)我們都視作VPN配置實(shí)例。一般而言,我們說的VPN配置實(shí)例并不區(qū)分內(nèi)聯(lián)網(wǎng)或外聯(lián)網(wǎng)。
我們主要考慮主干網(wǎng)為一個(gè)或多個(gè)服務(wù)提供商(SPs)所擁有的情況。站點(diǎn)為SP的用戶所有,決定某些站點(diǎn)是否屬于一個(gè)VPN配置實(shí)例的策略由用戶制定。有些用戶可能希望完全由SP負(fù)責(zé)這些策略的執(zhí)行,有些用戶可能希望自己獨(dú)立承擔(dān)或與SP分擔(dān)這項(xiàng)任務(wù)。
在本文中,我們主要討論這些策略的執(zhí)行機(jī)制。這些機(jī)制既可以由SP單獨(dú)執(zhí)行,也可以由VPN配置實(shí)例用戶與SP共同完成。這里,我們主要討論前者。本文中所討論的機(jī)制可用于多種策略的執(zhí)行。如對給定的一個(gè)VPN配置實(shí)例,每個(gè)站點(diǎn)與其它所有站點(diǎn)都有直接連接(全連接),或者也可以限制某些站點(diǎn)間的直接連接(半連接)。
本文中我們感興趣的是公共主干網(wǎng)提供IP服務(wù)的情況。我們關(guān)注于在一定契約條件下,一個(gè)服務(wù)提供商SP或多個(gè)SP為企業(yè)提供主干網(wǎng)的情形,而并非是基于公共Internet的VPN。下面,我們將詳細(xì)說明VPN配置實(shí)例應(yīng)有的特性。本文的其余部分我們描述了一個(gè)具備所有這些特性的VPN配置實(shí)例模型。該模型可視作[4]中描述的框架結(jié)構(gòu)的實(shí)例。
邊緣設(shè)備
假定每個(gè)站點(diǎn)都有一個(gè)或多個(gè)用戶邊緣(CE)設(shè)備,并都通過某種數(shù)據(jù)連接方式(如PPP,ATM,ethernet,FrameRelay,GREtunnel等)與一個(gè)或多個(gè)供應(yīng)商邊緣(PE)路由器相連。如果某個(gè)站點(diǎn)只有一個(gè)主機(jī),這個(gè)主機(jī)可能就是CE設(shè)備。如果該站點(diǎn)有一個(gè)子網(wǎng),CE設(shè)備可能是個(gè)交換機(jī)。一般而言,希望CE設(shè)備是路由器,我們稱之為CE路由器。
如果一個(gè)PE路由器與某個(gè)VPN的一個(gè)CE設(shè)備相連,我們就說這個(gè)路由器與該VPN配置實(shí)例相連。同樣,如果一個(gè)PE路由器與某個(gè)站點(diǎn)的一個(gè)CE設(shè)備相連,則稱這個(gè)路由器與該站點(diǎn)相連。如果CE設(shè)備是一個(gè)路由器。
它是其直接相連的PE的路由對等體,而不是其它站點(diǎn)上的CE路由器的路由對等體。不同站點(diǎn)上的路由器并不直接交換路由信息,它們甚至無需互相了解(除非因?yàn)榘踩男枰R驗(yàn)楹喕嗣總€(gè)站點(diǎn)的路由策略,可以支持大型的VPN配置實(shí)例(有大量站點(diǎn)的VPN)。重要的一點(diǎn)是要保持SP和其用戶間明晰的界限(cf.[4])。PE和P路由器僅由SP,SP用戶無權(quán)介入。CE設(shè)備僅由用戶(除非用戶把服務(wù)委托給了SP)。
有重疊地址空間的VPNs
任何兩個(gè)不相交的VPN配置實(shí)例(如:無公共站點(diǎn)的VPN)可能有重疊的地址空間,而同一地址也可能用在不同VPN的不同系統(tǒng)中。只要端系統(tǒng)的地址在其所屬的VPN中是唯一的,該端系統(tǒng)無須對VPN有所了解。
在這種模式下,VPN配置實(shí)例的擁有者無須一個(gè)主干網(wǎng)或一個(gè)虛擬主干網(wǎng)。SP也無須為每個(gè)VPN一個(gè)單獨(dú)的主干網(wǎng)或虛擬主干網(wǎng)。主干網(wǎng)中站點(diǎn)間的路由是最優(yōu)化的(基于組建VPN的限制策略),并不受限于任何人工的隧道虛擬拓?fù)洹?/p>
