科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道VPN运作方式概述

VPN运作方式概述

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在MPLS_VPN中,服务供应商业为每个VPN分配一个独有的标识符,称为路由区分符,在服务供应商网络中每一个Intranet或Extranet的区分符都不同。

作者:中国IT实验室 2007年9月14日

关键字: VPN 虚拟专用网 SSL VPN IPSecVPN

  • 评论
  • 分享微博
  • 分享邮件

在MPLS_VPN中,服务供应商业为每个VPN分配一个独有的标识符,称为路由区分符(RD),在服务供应商网络中每一个Intranet或Extranet的区分符都不同。转发表包含独有的地址、称为VPN-IP地址,由RD和用户的IP地址构成。VPN_IP地址是网络中每一个端点所独有的,条目存储在VPN中每一个节点的转发表中。

BGP是一个路由选择分配协议,它定义谁可以与使用多协议分支(multiprotocol_extensions)和群体属性(Community_attributes)的人对话。在MPLS的VPN中,BGP只向同一个VPN中的成员发布有关VPN的信息,通过业务分离来提供本机安全性。由于所有的业务都使用LSP进行传输,从而确保了额外的安全性。LSP定义了一个特定的通道穿过网络,这个通道是不可更改的。这种基于标记的模式保证了帧中继和ATM连接中的私密性。

当提供VPN时,服务供应商而非客户将特定的VPN与每一个接口连接。在服务供应商网络中,RD与每个数据包连接,这样,VPN就不会被非法者渗透“偷窃”数据流或数据包。用户只要位于正确的物理端口上,有相应的RD就可以加入Intranet或Extranet中。这种设置使Cisco的MPLS_VPN基本上不可能被突破,因而可提供人们在帧中继、租赁线路或ATM业务中所习惯的相同级别的安全性。

VPN_IP转发表包含与VPN_IP地址上对应的标记,这些标记将应用业务路由到VPN中的每一个站点。由于使用标记而不是IP地址,因些,用户可以在企业Internet中保留他们的专用编址方案,而不需要进行网络地址转换(NAT)。每一个VPN应用在逻辑上都拥有区分的转发表,以在VPN之间分离业务。根据呼入的接口,交换机选择一个特定的转发表,由于有BGP,这个表只列出VPN中的有效的目的地。若要建立一个Extranet,服务供应商则需要在VPN之间清晰地配置延及的范围(可能需要NAT配置)

工作流程

(1)用户端的路由器(CE)首先通过静态路由或BGP将用户网络中的路由信息通知提供商路由器(PE),同时在PE之间采用BGP的Extension传送VPN-IP的信息以及相应的标记(VPN的标记,以下简称为内层标记),而在PE与P路由器之间则采用传统的IGP协议相互学习路由信息,采用LDP协议进行路由信息与标记(骨干网络中的标记,以下称为外层标记)的梆定。到此时,CE,PE以及P路由器中基本的网络拓扑以及路由信息已经形成。PE路由器拥有了骨干网络的路由信息以及每一个VPN的路由信息。

(2)当属于某一VPN的CE用户数据进入网络时,在CE与PE连接的接口上可以识别出该CE属于那一个VPN,进而到该VPN的路由表中去读取下一跳的地址信息,同时,在前传的数据包中打上VPN标记(内层标记)。这时得到的下一跳地址为与该PE作Peer的PE的地址,为了达到这个目的端的PE,此时在起始端PE中需读取骨干网络的路由信息,从而得到下一个P路由器的地址,同时采用LDP在用户前传数据包中打上骨干网络中的标记(外层标记)。

(3)在骨干网络中,初始PE之后的P均只读取外层标记的信息来决定下一跳,因此骨干网络中只是简单的标记交换。

(4)在达到目的端PE之前的最后一个P路由器时,将外层标记去掉,读取内层标记,找到VPN,并送到相关的接口上,进而将数据传送到VPN的目的地址处。

  

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章