扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在MPLS_VPN中,服务供应商业为每个VPN分配一个独有的标识符,称为路由区分符(RD),在服务供应商网络中每一个Intranet或Extranet的区分符都不同。转发表包含独有的地址、称为VPN-IP地址,由RD和用户的IP地址构成。VPN_IP地址是网络中每一个端点所独有的,条目存储在VPN中每一个节点的转发表中。
BGP是一个路由选择分配协议,它定义谁可以与使用多协议分支(multiprotocol_extensions)和群体属性(Community_attributes)的人对话。在MPLS的VPN中,BGP只向同一个VPN中的成员发布有关VPN的信息,通过业务分离来提供本机安全性。由于所有的业务都使用LSP进行传输,从而确保了额外的安全性。LSP定义了一个特定的通道穿过网络,这个通道是不可更改的。这种基于标记的模式保证了帧中继和ATM连接中的私密性。
当提供VPN时,服务供应商而非客户将特定的VPN与每一个接口连接。在服务供应商网络中,RD与每个数据包连接,这样,VPN就不会被非法者渗透“偷窃”数据流或数据包。用户只要位于正确的物理端口上,有相应的RD就可以加入Intranet或Extranet中。这种设置使Cisco的MPLS_VPN基本上不可能被突破,因而可提供人们在帧中继、租赁线路或ATM业务中所习惯的相同级别的安全性。
VPN_IP转发表包含与VPN_IP地址上对应的标记,这些标记将应用业务路由到VPN中的每一个站点。由于使用标记而不是IP地址,因些,用户可以在企业Internet中保留他们的专用编址方案,而不需要进行网络地址转换(NAT)。每一个VPN应用在逻辑上都拥有区分的转发表,以在VPN之间分离业务。根据呼入的接口,交换机选择一个特定的转发表,由于有BGP,这个表只列出VPN中的有效的目的地。若要建立一个Extranet,服务供应商则需要在VPN之间清晰地配置延及的范围(可能需要NAT配置)
工作流程
(1)用户端的路由器(CE)首先通过静态路由或BGP将用户网络中的路由信息通知提供商路由器(PE),同时在PE之间采用BGP的Extension传送VPN-IP的信息以及相应的标记(VPN的标记,以下简称为内层标记),而在PE与P路由器之间则采用传统的IGP协议相互学习路由信息,采用LDP协议进行路由信息与标记(骨干网络中的标记,以下称为外层标记)的梆定。到此时,CE,PE以及P路由器中基本的网络拓扑以及路由信息已经形成。PE路由器拥有了骨干网络的路由信息以及每一个VPN的路由信息。
(2)当属于某一VPN的CE用户数据进入网络时,在CE与PE连接的接口上可以识别出该CE属于那一个VPN,进而到该VPN的路由表中去读取下一跳的地址信息,同时,在前传的数据包中打上VPN标记(内层标记)。这时得到的下一跳地址为与该PE作Peer的PE的地址,为了达到这个目的端的PE,此时在起始端PE中需读取骨干网络的路由信息,从而得到下一个P路由器的地址,同时采用LDP在用户前传数据包中打上骨干网络中的标记(外层标记)。
(3)在骨干网络中,初始PE之后的P均只读取外层标记的信息来决定下一跳,因此骨干网络中只是简单的标记交换。
(4)在达到目的端PE之前的最后一个P路由器时,将外层标记去掉,读取内层标记,找到VPN,并送到相关的接口上,进而将数据传送到VPN的目的地址处。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者