云南龙网

  1. 首页 > 云知道 > >

基于MPLS网络的二层虚拟专用网VPN技术( 二 )

云知道


二、基于MPLS的二层VPN
过去,企业VPN网大多是通过租用数据专线(帧中继或ATM)来组建的二层VPN 。提供二层VPN业务时,网络提供商只需为客户提供二层数据链路层的连通性,由客户来控制路由并可以灵活地选择三层协议,且客户VPN的安全性相对较高 。但是对网络提供商来说,过去FR或ATM网络中的一般Internet流量和VPN流量是完全分离的,而且配置传统的二层VPN存在全网状连接的N2问题,因此这种传统的叠加式二层VPN为网络维护和治理带来了沉重的负担 。目前,采用MPLS技术的网络已经被普遍认为是下一代核心网络的发展方向,而MPLS技术最主要的优势之一就是可以很好地支持VPN业务 。网络提供商采用基于MPLS网络提供二层VPN技术,可以仅维护和治理单一的网络基础设施来同时提供二层VPN业务、三层VPN业务以及其他各种灵活的“尽力而为”或担保服务质量的IP业务,且VPN业务的配置实施将更加自动化 。
基于MPLS网络的二层VPN技术实现方案目前主要有两种,分别是Kompella等提出的二层VPN(以下称Kompella二层VPN)和Martini等提出的二层VPN(以下称Martini二层VPN) 。这两种方案的数据平面基本相似,都可以支持多种数据链路层技术,如帧中继、ATMAAL5CPCS模式、ATM透明信元模式、以太网、以太网VLAN、思科HDLC和PPP等,它们的主要差别在于控制平面协议的使用 。下面分别讨论两种方案的具体实施过程 。
1.Kompella二层VPN
Kompella方案在实施二层VPN时分为以下三步:
第一步,建立LSP 。网络在PE路由器间事先建立LSP,可采用RSVP-TE,LDP或CR-LDP中的任一种方法 。这些LSP可被用于多种业务,包括传统Internet、二层VPN、三层VPN等 。这一步实际上是网络提供商实施MPLS的一个必要步骤,与二层VPN的实施相对独立 。

;第二步,在PE路由器上实施VPN信息 。这一步实际上是控制平面建立VPN数据传输通道的过程,是实施二层VPN的要害 。首先,在PE2路由器上为每一个连接到它的CE设备建立一个VPN转发表(VFT),这个转发表包括该CE设备的身份识别码(ID)、可连接CE设备的最大数目N、标记值范围(预留N个连续的标记)、使用边界网关协议(BGP)时的路由目标共同体标识或使用标记分发协议(LDP)时的VPNID,分配给CE-PE连接的一组本地子接口ID 。其次,为每个CE设备配置VFT表(这里以配置CE3的VFT为例),为VFT中的每个子接口ID分配相应的标记,即要到达CE3的其他CE设备需要使用的VPN标记,如子接口数据链路连接标识(DLCI)=44时,VPN标记=300;然后使用BGP协议来实现成员自动发现和成员间链路自动分配,使用基于BGP路由目标共同体和目的地址的路由过滤来配置VPN拓扑 。接下来,PE2利用BGP或LDP协议向拓扑中的其他VPN成员(如PE1)发布VPN连接表(VCT),其中VCT是VFT的子集,包含VFT中除本地子接口ID之外的前四项 。收到VCT的PE1路由器更新自己VFT中相关的子接口ID列表,如子接口DLCI=33是用于CE1去往CE3的,则为该子接口添加其VPN标记=300和相应的PE1到PE2的LSP隧道的LSP标记101 。类似地可以配置其他VPN信息 。
第三步,实施VPN数据转发 。数据沿第二步建立的VPN通道转发的具体过程 。CE1发往CE3的数据以DLCI=33发往PE1,在PE1处查找相应的VFT,将数据的帧中继头去掉,压入两层标记(VPN标记和LSP标记),核心网中的P路由器象处理普通MPLS分组一样只是根据LSP标记进行交换,根本不知道VPN的存在,直到出口前,执行倒数第二跳弹栈(pop) 。在PE2处再根据VPN标记,查找相应的VFT表,用子接口DLCI=44恢复二层数据格式并转发给CE3 。
2.Martini二层VPN
Martini二层VPN方案与Kompella二层VPN方案类似,数据转发过程也采用两层标记堆栈来提高转发状态的可扩展性,只是在Martini二层VPN方案中内部标记被称为虚链路(VC)标记,而不是VPN标记,外部标记仍称为LSP隧道标记 。在控制平面,Martini二层VPN方案采用LDP来更新相应的接口信息,建立VPN通道 。为此不同于发布VCT表,Martini二层VPN方案定义了一个新的虚链路类型长度值(TLV)参数,在LDP的标记映射和标记撤销消息中携带 。这个VCTLV中包括面向CE设备的接口参数、接口的最大传输单元(MTU)、连接ATM信元的最大数量等信息 。另外Martini二层VPN方案定义了在两层标记和数据净荷之间可选的一个32bit的控制字选项,可用于排序、对小数据包的填充以及与数据链路层协议相关的控制位的传送 。其他的控制和处理过程与Kompella二层VPN方案相同 。

推荐阅读


上一篇:小ck是什么品牌

下一篇:被骗签字有法律效力吗