HW Quidway S8500技术白皮书系列嵌套VPN技术白皮书V100.docx
《HW Quidway S8500技术白皮书系列嵌套VPN技术白皮书V100.docx》由会员分享,可在线阅读,更多相关《HW Quidway S8500技术白皮书系列嵌套VPN技术白皮书V100.docx(12页珍藏版)》请在冰豆网上搜索。
HWQuidwayS8500技术白皮书系列嵌套VPN技术白皮书V100
QuidwayS8500技术白皮书系列
——嵌套VPN技术白皮书V1.00
华为技术有限公司
HuaweiTechnologiesCo.,Ltd.
目录
1概述4
2特性介绍5
2.1嵌套VPN技术简介5
2.1.1用户的一个Site具有内部VPN5
2.1.2用户多个Site具有内部VPN6
2.2嵌套VPN技术特点7
2.3路由信息发布8
2.4VPN报文转发9
3组网综述9
3.1嵌套VPN的对称组网应用9
3.2嵌套VPN的非对称组网10
3.3嵌套VPN形成用户两级VPN互访的组网11
4相关技术比较——运营商的运营商(CSC)12
4.1组网方式12
4.2路由信息的交互12
5QuidwayS8500特色介绍13
1
概述
组建MPLSVPN时,通常是由运营商经营MPLSVPN骨干网,通过PE设备提供VPN服务。
VPN用户通过CE设备与运营商的PE设备互连,接入MPLSVPN网络,实现VPN不同区域Site之间的通信。
在上述情况下,用户网络是普通的IP网络,每个Site的所有VPN用户都属于同一个VPN。
实际组网中,VPN用户网络复杂多样,繁简不同。
例如,一个VPN用户内部有大量用户设备,而这些用户设备又可以分成不同的管理域,这时,用户可能希望在自己的网络内部再划分不同的VPN,对不同的管理域进行VPN隔离。
VPN用户网络本身也可能是一个MPLSVPN网络,或它的某个Site是一个MPLSVPN网络。
这时,分布于不同Site的属于同一VPN的用户需要通过运营商的MPLSVPN骨干网络互访。
而运营商的MPLSVPN网络必须能够把用户内部的VPN属性划分透明传输到不同Site。
以上的用户需求,可以总结如下几点:
●用户整体作为运营商MPLSVPN网络上的一个VPN用户;
●用户有自己的内部VPN网络,并且,内部VPN网络分布是不规范的,可能在所有的Site上都有内部VPN网络,也可能只是某些Site有,而另一些Site的内部VPN直接连接到运营商的PE设备上;
●用户分布在不同Site上的内部VPN之间可以互访;
●用户不希望把自己的所有内部VPN都直接部署到运营商的PE设备上,因为涉及到成本和管理问题;
●运营商不管理用户内部的VPN划分,只维护运营商PE上的VPN;用户内部VPN划分由用户自己管理;
●可以提供大、小VPN两个层次组网,大VPN和小VPN之间可以互访,但小VPN之间不能互访,这个可以对应一些有层次访问权限的网络,比如子部门和一些服务器网络之间的应用。
2特性介绍
2.1嵌套VPN技术简介
在普通的MPLSVPN网络中,PE只支持通过私网交互IPv4路由。
而嵌套VPN技术支持在私网交互VPN-IPv4路由。
2.1.1用户的一个Site具有内部VPN
VPN用户自己的网络也可能是一个MPLSVPN网络,这种情况下,最简单的组网是用户只有一个PE设备,VPN用户在自己的PE上划分VPN,在本地构建多个内部VPN,实现用户本地的业务隔离。
其组网模型可以描述为:
●用户网络通过运营商PE的私网接口与运营商网络互连;
●用户的PE设备直接与运营商PE设备交互VPN-IPv4路由;
●运营商PE设备把用户网络当作普通VPN用户对待,用户的PE设备作为运营商的CE设备;
●用户网络把运营商的PE设备看作自己网络的一个普通PE设备。
图1用户的一个Site具有内部VPN
在图中,运营商MPLSVPN网络的PE1连接了一个VPN用户:
VPN_A,而用户VPN_A有两个内部VPN:
A_VPN1和A_VPN2。
设备A_PE1和A_PE2是用户网络的PE(用户网络中也可能有自己的P设备)。
A_PE1下面连接两个用户内部VPN。
用户VPN_A把运营商的PE1看作自己网络内的普通PE设备,PE1把用户A内部的A_PE1、A_PE2设备当作CE设备。
A_PE1、A_PE2和PE1之间交互VPN-IPv4路由(可以通过路由反射器交互)。
运营商只看到一个用户的VPN:
VPN_A。
2.1.2用户多个Site具有内部VPN
多数情况下,用户VPN有多个Site和运营商MPLSVPN网络互连,并且,各Site的内部VPN划分情况可能各不相同:
某些Site可能具有相同或相似的内部VPN划分,某些Site的内部VPN可能与运营商的PE设备直接互连,或者某些Site本身只有一个大VPN。
要实现这些情况下的用户互访,包括用户的内部VPN之间互访、内部VPN和用户大VPN之间互访等,必须把一个Site本地的VPN信息通过运营商的MPLSVPN网络传播给该VPN用户的其他Site。
因此,在嵌套VPN解决方案中,运营商的PE设备和用户内部的PE设备之间需要直接交互VPN-IPv4路由。
图2用户的多个Site具有内部VPN
VPN信息的传播过程可以描述如下:
●运营商的PE设备与用户的PE设备交互VPN-IPv4路由,VPN-IPv4路由携带这些用户内部的VPN信息;
●运营商的PE设备收到VPN-IPv4路由后,保持用户内部的VPN信息不变,并附加整个用户的VPN属性,用户的VPN信息在运营商的PE设备上维护;
●运营商的PE设备向其他运营商PE设备发布这些携带综合VPN信息的VPN-IPv4路由;
●其他运营商的PE设备收到VPN-IPv4路由后,与本地的VPN进行VPN关系匹配,每个VPN接收属于自己路由,然后将路由向自己连接的CE设备扩散:
如果和CE之间是IPv4连接,直接扩散IPv4路由;如果和CE设备之间是VPN-IPv4连接,表示通过私网连接的是一个MPLSVPN用户网络,向CE扩散VPN-IPv4路由。
这样,就实现了整个运营商网络上的用户之间的VPN关系、用户内部VPN之间的关系、以及用户内部VPN和用户本身之间的VPN关系。
2.2嵌套VPN技术特点
根据上一节的描述,可以了解到嵌套VPN技术的主要特点:
嵌套VPN实现VPN聚合功能,可以把用户的多个内部VPN聚合成一个用户VPN,接入运营商的MPLSVPN网络;
嵌套VPN是一种一个Site接入运营商PE设备的VPN接入技术,独立于同一个VPN的其他Site的接入方式;
嵌套VPN支持对称组网方式和非对称组网方式。
【注】:
由于用户内部的VPN网络和运营商的MPLSVPN网络的VPN属性是属于同一个空间的,因此运营商需要为用户VPN网络指定一段VPN属性空间,就是VPNROUTETARGET空间。
运营商的PE设备在接收用户PE来的VPN-IPV4路由时,只接收指定VPNROUTETARGET范围内的VPN-IPV4路由,其余的丢弃,类似于VLANTRUNK技术。
嵌套VPN技术简化了用户接入VPN网络的复杂度和成本,为用户提供多样化的VPN组网方式,可以实现用户内部VPN之间的互访、实现用户的两层VPN关系以及两层VPN之间的灵活互访。
并且,嵌套VPN技术支持多层嵌套。
嵌套VPN不支持同一个用户VPN的内部子VPN之间的IP地址重叠,因为对于运营商PE而言,只有一个VPN,也就是用一个VPN实例来保存所有内部子VPN的路由,如果内部子VPN间有路由重叠的话,对于运营商PE而言,是无法区分的。
2.3路由信息发布
由于在运营商PE设备上既可以通过私网直接接入普通的CE设备,也可以通过私网接入用户内部的VPN网络,因此就存在不同情况下的路由信息发布过程,如下图:
图3路由信息发布
Sub_vpn1的一条路由10.0.0.1/8在从SUBPE1上发出后携带上自己的exporttarget属性,通过MBGP协议传到PE1。
PE1在vpn1的私网下的MBGP连接上收到了这条路由后,在路由属性中加上vpn1的exporttarget属性,然后在PE1上进行本地VPN匹配,如果有其他的VPN和它匹配,就将路由发送给相应的VPN,如果vpn1下还有普通的CE连接,将路由转化为普通的IPv4路由,发送给CE设备。
这条路由被添加了vpn1的EXPORTtarget属性后继续传送到PE2;
PE2通过路由的exporttarget属性和PE2上的vpn1的importtarget属性进行匹配,如果匹配,对于vpn1下面有MBGP的连接,就继续将路由向它的下属SUB_PE发送,SUB_PE收到后,再将路由和本地的SUB_VPN进行匹配,匹配后被本地的Sub_vpn1接收,传送到CE设备上。
对于vpn1下有直连的CE设备,直接将路由转化为普通的IPv4路由发给CE设备。
用户内部VPN的CE设备与用户PE之间的路由信息发布流程与普通VPN拓扑下的相同。
2.4VPN报文转发
VPN报文转发和普通的VPN拓扑下的流程基本上是相同的,就是在每一个上层PE(PE1,PE2:
见图3)上要对私网的标签做一次替换操作。
3组网综述
3.1嵌套VPN的对称组网应用
对称组网应用是指用户的各SITE有自己的内部VPN,并且都采用嵌套VPN技术接入到运营商的PE设备。
图4嵌套VPN对称组网图
3.2嵌套VPN的非对称组网
如果某个Site的用户内部VPN数量比较多,可以使用嵌套VPN技术,在用户内部的PE设备上先进行一次聚合,聚合成一个VPN接入运营商的PE设备;而其他SITE的用户内部VPN数量比较少,可以直接连接到运营商的PE设备上。
这种情况称为非对称组网。
图5嵌套VPN非对称组网图
非对称组网还有一种应用,即,将一个VPN接入设备隐藏到一个骨干路由器后,以保护VPN路由能力或隧道能力不强的设备。
通常情况下,建议由转发能力和路由能力强的设备组建MPLSVPN骨干网,在这些设备的后面放置专门的VPN接入设备,防止骨干上的MPLSVPN路由和隧道等对这些设备的冲击,这种组网方案还可以将VPN接入网络和MPLSVPN骨干交换网络分离开。
例如,通过嵌套VPN技术,把BRAS设备上的VPN作为内部VPN,将这些VPN聚合成一个大的VPN接入MPLSVPN骨干网。
如下图所建议的MPLSVPN的组网模型;
图6采用嵌套VPN构建MPLSVPN网络
在图6中,使用嵌套VPN技术连接两级PE设备。
这样在MPLSVPN骨干交换网络上的PE设备需要VPN数量和接入VPN用户的接口数量都很少,因为在MPLSVPN的接入网络的PE设备上已经对整网的VPN做了一次聚合。
MPLSVPN接入网络的PE设备上有数量较大的VPN和接入VPN用户的接口资源,可能根本就没有P设备。
3.3嵌套VPN形成用户两级VPN互访的组网
采用嵌套VPN技术后,VPN用户将具有两级VPN关系:
用户级VPN和用户内部VPN,也称为大、小VPN。
大、小VPN两个层面可以互访。
在实际组网中,这种两级VPN用途非常广:
例如,可以把能够被所有小VPN访问的服务器等设备直接作为大VPN的CE设备连接到运营商的PE设备上;或将一些具有特殊角色的主机,比如领导主机等,作为大VPN的客户直接连接到运营商的PE设备上,以确保这些主机能够访问所有部门的网络。
图7用户两级互访嵌套VPN组网方案
4相关技术比较——运营商的运营商(CSC)
4.1组网方式
运营商的运营商CSC(Carriers’Carrier)是一种严格的对称组网方式,它要求用户严格地分布在相同层次上,只有相同层次上的VPN用户之间才能互访,不同层次之间的VPN用户之间是不能互访的。
嵌套VPN技术既可以实现对成组网,也可以实现不对称组网。
4.2路由信息的交互
CSC技术在同一层面的VPN用户之间直接交互VPN路由信息。
因此,需要确保同一层面的路由可达,处于一个层面的用户必须维护该层面的路由信息。
并且,同一层面的PE设备之间直接交互VPN-IPv4路由信息,因此,PE之间需要建立MBGP连接。
嵌套VPN技术是一种PE的本地VPN接入技术,独立于属于同一VPN的其他Site的接入方式。
VPN-IPv4路由信息在用户的PE设备和运营商的一个PE设备间交互,因此,不存在维护同一层面IPv4路由的问题,也不存在同一层面PE之间交互VPN-IPv4路由的问题。
5QuidwayS8500特色介绍
对于QuidwayS8500系列交换机,嵌套vpn具有如下特色:
1.用户可以在自己的网络内部独立的划分多个不同的VPN,且对骨干网来说是透明的。
2.运营商不需要管理用户内部的VPN划分,运营商只会看到一个客户VPN整体。
3.降低了运营商的PE设备上的VPN数量。
4.用户完全独立控制自己内部的VPN划分,增加了客户内部VPN之间流量的安全性
5.本技术方案也顺便解决了另外一个问题,就是通过在在用户网络内部实现嵌套的VPN,就可以让VPN用户把自己内部安全性要求不同,或是访问权限要求不同的业务放在嵌套VPN的不同层次上。
这样可以达到访问权限的限制。
85系列交换机主要用于企业网络的核心层以及运营商网络的汇聚层,作为核心网络的边缘设备,通过使用嵌套VPN技术来提供MPLSVPN服务,可以大大的降低设备的性能要求,通过提供多层次的vpn服务,对访问权限提供了控制。
只需要在作为运营商PE的85系列交换机上配置简单的策略,就可以给用户提供配置嵌套vpn的权限,而具体的配置完全有用户来决定,同时,对用户而言又是透明的。
用户内部的不同业务再也不用通过物理链路或是VLan等方式隔离,以便在顶层的PE设备上接入不同的VPN了,可以就近接入。
同时,85系列交换机对嵌套vpn支持多种不同的组网方式:
对称组网方式、非对称组网方式以及大小vpn的组网方式,可以支持不同的运营以及企业环境的需求。
非对称组网方式适合那些MPLSVPN能力较弱的用户采用,通过非对称的组网方式,可以大大的降低运营商PE上vrf的数量,从而降低性能负担;对称组网方式内部用户分布在不同地方的用户采用,通过对称的嵌套vpn组网方式,不仅可以大大降低运营商PE的接入压力,而且,由于用户内部具有独立的管理权限,大大的提高了安全性。
运营商PE在接收从用户PE而来的路由时,是通过配置关于vpn-target的route-policy策略来进行路由过滤的,而VPN内部流量在经过PE设备的时候,是采用MPLS标签转发,从而增强了VPN流量的安全性。
升级会员 