《关于L2VPN与L3VPN的详细介绍与对比(2020年10月整理).pptx》由会员分享,可在线阅读,更多相关《关于L2VPN与L3VPN的详细介绍与对比(2020年10月整理).pptx(11页珍藏版)》请在金锄头文库上搜索。
1、VPN 技术简介 VPN 是运营商通过其公网向用户提供的虚拟专有网络,即在用户的角度 VPN 是用户的一 个专有网络。 对于运营商来说公网包括公共的骨干网和公共的运营商边界设备。地理上彼此分离的 VPN 成员站点通过客户端设备(CPE)连接到对应的运营商边界设备(PE),通过运营商 的公网组成客户的VPN 网络。 传统的 VPN 组网方式 传统的VPN 主要采取两种组网的方式:专线VPN 和基于客户端设备的安全 VPN。 专线 VPN 使用静态的虚电路(如ATMPVC、FRPVC 等)连接客户的站点,形成一个二 层的 VPN 骨干网。VPN 成员站点连接到运营商的边界设备(PE),由运营商负责
2、建立 VPN 成员站点之间的虚电路连接,客户对属于自己VPN 的站点的路由进行自主的控制和管理。 采用这种方式组建VPN 无论对运营商或者是对客户来说成本都是很高的,而且二层虚电路 的业务提供的周期长,网络管理人员需要进行大量的手工配置工作。 对于基于客户端设备的(CEBased)VPN,VPN 的功能全部在客户端的设备中实现。运 营商的设备对客户的VPN 来说是完全透明的。客户可以通过购买相应的 VPN 设备或者在现 有的路由器、网关或者甚至是 PC 机上安装相应的 VPN 功能软件就可以开始独立构建基于 客户端设备的 VPN。由于 VPN 的成员站点之间通常是通过非信任的 Internet
3、 实现互连的, 所以一般基于客户端设备的VPN 在实现时都引入某些安全机制保护站点之间跨 Internet 的 客户私有流量。这个解决方案的最大缺点就是客户需要购买、配置和维护昂贵的VPN 网关 设备,同时也意味着需要高素质的网络管理人员对 VPN 网关设备和整个VPN 网络进行有效 的管理和维护,相应也会带来企业网络成本的上升。 MPLS VPN MPLS 技术提供了类似于虚电路的标签交换业务,这种基于标签的交换可以提供类似于 帧中继、ATM 的网络安全性。同时相对于传统的 VPN 技术来说,MPLSVPN 可以实现底层 标签自动的分配,在业务的提供上比传统的 VPN 技术更廉价,更快速。同
4、时 MPLSVPN 可 以充分的利用 MPLS 技术的一些先进的特性,比如说MPLS 流量工程能力,MPLS 的服务 质量保证,结合这些能力,MPLS VPN 可以向客户提供不同服务质量等级的服务,也更容 易实现跨运营商骨干网服务质量的保证。同时 MPLS VPN 还可以向客户提供传统基于路由 技术 VPN 无法提供的业务种类,比如像支持VPN 地址空间复用。对于MPLS 的客户来说, 运营商的 MPLS 网络可以提供客户需要的安全机制,以及组网的能力,VPN 底层连接的建 立、管理和维护主要由运营商负责,客户运营其 VPN 的维护和管理都将比传统的VPN 解决 方案简单,也减低了企业在人员和
5、设备维护上的投资和成本。基于 MPLS 的 VPN 可以作为 传统的基于二层专线的 VPN、纯三层的 IP VPN 和隧道方式的VPN 的替代技术,在现阶段 可以作为传统 VPN 技术的有效补充。,1,具体到 MPLSVPN 的实现方式,根据运营商边界设备 PE 是否参与客户的路由,运营商在 建立基于 IP/MPLS 的VPN 时有两种选择: 第三层的解决方案,通常称作是 Layer3MPLSVPNs 第二层的解决方案,通常称作是 Layer2MPLSVPNs 衡量一个VPN 解决方案的优劣主要基于以下几点的考虑: 支持的业务种类; 可以向用户提供的连接的种类; 扩展性; 部署的复杂度; 业务
6、开展的复杂度; 管理和维护的复杂度; 部署的成本; 管理和维护的成本。 当然这些因素并不是绝对的,实际的应用中很难简单的说这两个方案谁优谁劣。两个方 案都有其优缺点,有其特定的业务模式,也都还处在不断完善发展的阶段,选择一个方案的 关键是运营商实际的网络运营环境,和运营商自身的业务定位,要向客户提供什么样的服务 模式。 4.Layer3MPLSVPN Layer3MPLSVPN 是一种基于路由方式的 MPLSVPN 解决方案,ITEF RFC2547 中对这种 VPN 技术进行了描述,MPLS Layer3 VPN 也被称作是 BGP/MPLS VPNs。BGP/MPLS VPN 使用类似传统
7、路由的方式进行 IP 分组的转发,在路由器接收到 IP 数据包以后,通过在转发 表查找 IP 数据包的目的地址,然后使用预先建立的 LSP 进行 IP 数据跨运营商骨干的传送。 为了使运营商的路由器可以感知客户网络的可达性信息,运营商的边界路由器(PE)和客 户端路由器(CE)进行路由信息的交互。PE 和 CE 之间的路由交换可以采用静态路由,也 可以采用 RIP、OSPF、ISIS 和 BGP 等动态的路由协议。BGP/MPLS VPN 的解决方案支持对 等方式的VPN 网络结构。PE 之间属于同一 MPLS VPN 的路由信息通过 BGP 协议承载进行 交互。PE 路由器使用 LSP 进行
8、路由转发,对于运营商路由器 P 并不需要知道客户 VPN 网 络的信息,这种透明可以有效的减小 P 路由器的负担,提高网络的扩展性和业务开展的灵 活性。通过 PE 之间、PE 和 CE 之间的路由交互,客户的路由器可以知道属于同一个 VPN 的网络拓扑信息。,2,3,BGP/MPLSVPNs 可以解决基于纯 IPLayer3 VPN 无法实现的一些功能,主要有: 支持地址重叠,即同时支持使用公有地址的客户端设备和私有地址的客户端设备,或者 多个 VPN 使用同一个地址空间; 支持重叠VPN,即一个站点可以同时属于多个 VPN。 对于传统基于路由的 VPN 来说,要解决以上的问题有一定的挑战性。
9、MPLSVPN 使用 VPN 路由转发表(VRF)解决地址重叠的问题。在运营商 PE 路由器上使用基于每 VPN 的 路由转发表隔离不同VPN 的路由。通过路由信息的隔离,实现支持 VPN 地址的重叠。如果 一个 PE 上有多个 CE 属于同一个VPN,那么这些 CE 共享 PE 上的 VPN 路由转发表。对于 重叠 VPN 的情况,重叠发生的站点需要使用独立的VRF 表存储来自其所属 VPN 的路由信 息。地址重叠的另一个问题是,PE 路由器从邻居的 BGP 更新中会收到属于不同 VPN 的重 叠路由信息。为了区别来自不同 VPN 的路由信息,PE 使用 8octet 的路由标识(RD)对来
10、 自不同 VPN 的路由信息进行标识。这个 8octet 的路由标识作为 4 octet 的 IP 地址前缀的扩展 构成了一个新的地址类(VPNIPv4 地址)。RD 不参与路由发布的过程,它所起的作用仅 仅是区分属于不同VPN 站点的路由。RD 和 VRF 之间建立了一种一一映射的关系,VRF 在 发布路由信息时将同时附带相应的 RD 信息。对于重叠 VPN 的情况,这类站点虽然同时属 于多个 VPN,但是它只需要一个 RD,并不需要多个 RD 以对应多个 VRF,其主要的目的是 为了节省 PE 路由器上的存储资源。对于这类的 VPN 成员站点,路由分布的策略和单一 VPN 成员站点是一致的
11、。为了防止 PE 路由器接收到不属于该 PE 上 VPN 成员的路由信息而浪 费 PE 的资源,MPLS VPN 使用 BGP 的扩展属性来控制运营商网络中路由信息的发布。这 个功能是通过对 BGP 的团体属性来实现的,所有的客户 VPN 都被赋予一个唯一的团体属性 值。在 PE 接收到一条路由时,BGP 进程将检查该路由的扩展属性,如果该属性和该 PE 上 承载的 VPN 的扩展属性相同 PE 将接收该路由,如果不同,PE 将忽略这些 BGP 路由。 通 过这种方式,PE 路由器可以避免存储一些不必要的路由信息,提高网络的可扩展性。 从以上的分析可以看出,MPLSVPN 可以支持创建重叠 V
12、PN,所谓重叠 VPN 是指同一个 站点同时属于多个VPN 的情况。这种功能特别适用于企业之间并购时的网络整合或者企业 之间由于合作的需要,相互之间需要共享网络资源。用户将依靠服务提供商来实现特定的路 由控制,也就是说,路由控制来自于 CE 路由器并且派送到 PE 路由器。在图 1 中,用户 A, 站点 1,既归属于 VPNA,又归属于 VPNC。该站点的路由信息由本地 PE 路由器在一个 RD 中进行通告,这个 RD 同时包含了两个 Route Target 扩展属性:一个用于 VPN A,另一个用 于 VPN C。远端的 PE 根据 BGP 扩展属性对来自该 PE 的路由信息进行接收和处理
13、。 当通告一个VPN-IPv4 路由时,BGP 信息中携带了VPN 的内标签信息和相关VPN 的BGP 下一跳信息。PE 路由器可以通过 LSP 可以建立两两之间之间的通信。这些 LSP 可以看做是 MPLSVPN 的外层标签,可以通过多种信令协议方式建立,比如 LDP 或者 RSVP/TE。当 PE 接收到一个目的为远端 VPN 站点的 IP 分组时,PE 给分组包附加两层 MPLS 标签。 外标签或者称作是隧道标签用于标识 BGP 的下一跳即远端 PE 的地址;内标签或者称之 为 VPN 标签标识 PE 上特定的 VPN 成员,具体的说应该是标识到 PE 上的VRF。P 路由器 只是根据标
14、签进行数据转发,整个过程VPN 过程对于 P 路由器透明。,4,MPLSLayer2VPN 基于 MPLS 的第二层 VPN 解决方案保留了传统基于第二层VPN 解决方案的优势。 MPLSL2VPN 降低了 VPN 业务开通复杂度,特别是在现有的 VPN 中增加站点时,在大多数 情况下只需把供应商边缘(PE)路由器连接到新站点上即可,相应也减小了业务提供的周 期。通过采用 MPLS 技术,可以在多元融合的网络中运行二层 VPN、三层 VPN、流量工程、 Diffserv 及许多其它业务,服务提供商可以为 IP、第三层(MPLS/IP)和二层 VPN 共同管理 和维护单一的基于 MPLS 的网络
15、。基于第二层的 MPLSVPN 解决方案提供了运营商网络和 客户的 VPN 网络之间的完全独立,也就是说,运营商边界的 PE 设备和 CE 设备之间没有进 行路由交换,运营商只是简单向客户提供一些基于 2 层的网络功能。运营商的网络和客户的 VPN 网络和完全架构在层叠的网络模型上,从客户的角度看运营商只是提供了一个简单的 2 层连接。这种透明简化了运营商网络的结构和配置管理,同时也提供了对客户的多业务支持 能力,运营商除了传统的 IP 业务以外,还可以向客户提供 IPv4, IPv6, IPX, DECNet, OSI, SNA 等等业务,以及一些传统基于电路业务的仿真,比如说 FR、ATM
16、 等。 目前 Layer2MPLSVPN 的解决方案可以提供以下两种连接方式的服务: 点到点连接 点到多点连接 点到点仿真虚电路 对于点到点仿真虚电路方式的 Layer2MPLSVPN 主要是基于以下的几个 IETF 草案,这几 个草案基本上已经成为点到点方式 L2VPN 的事实标准: “draft-martini-l2circuit-trans-mpls-0 x.txt” “draft-martini-l2circuit-encap-mpls-0 x.txt” “draft-kompella-mpls-l2vpn-0 x” “draft-kompella-ppvpn-l2vpn-0 x” 这几个草案基本上可以划分为 Layer2MPLSVPN 两个主要的技术流派:Martini 和 Kompella。两种解决方案在数据层面非常相似,都支持多种二层技术。两个草案的区别主要 在控制层面;前者支持点对点的服务,后者可以支持点对多点服务。 Draft-Martini 不包括 用于 VPN 成员自动发现机制,更多的操作需要手工完成。支持 Martini 的运营商和设备厂家 主 要 有 Leve
