1、HW Quidway S8500技术白皮书系列嵌套VPN技术白皮书V100Quidway S8500技术白皮书系列嵌套VPN技术白皮书V1.00华为技术有限公司Huawei Technologies Co., Ltd.目录1 概述 42 特性介绍 52.1 嵌套VPN技术简介 52.1.1 用户的一个Site具有内部VPN 52.1.2 用户多个Site具有内部VPN 62.2 嵌套VPN技术特点 72.3 路由信息发布 82.4 VPN报文转发 93 组网综述 93.1 嵌套VPN的对称组网应用 93.2 嵌套VPN的非对称组网 103.3 嵌套VPN形成用户两级VPN互访的组网 114 相
2、关技术比较运营商的运营商(CSC) 124.1 组网方式 124.2 路由信息的交互 125 Quidway S8500特色介绍 131 概述组建MPLS VPN时,通常是由运营商经营MPLS VPN骨干网,通过PE设备提供VPN服务。VPN用户通过CE设备与运营商的PE设备互连,接入MPLS VPN网络,实现VPN不同区域Site之间的通信。在上述情况下,用户网络是普通的IP网络,每个Site的所有VPN用户都属于同一个VPN。实际组网中,VPN用户网络复杂多样,繁简不同。例如,一个VPN用户内部有大量用户设备,而这些用户设备又可以分成不同的管理域,这时,用户可能希望在自己的网络内部再划分不
3、同的VPN,对不同的管理域进行VPN隔离。VPN用户网络本身也可能是一个MPLS VPN网络,或它的某个Site是一个MPLS VPN网络。这时,分布于不同Site的属于同一VPN的用户需要通过运营商的MPLS VPN骨干网络互访。而运营商的MPLS VPN网络必须能够把用户内部的VPN属性划分透明传输到不同Site。以上的用户需求,可以总结如下几点: 用户整体作为运营商MPLS VPN网络上的一个VPN用户; 用户有自己的内部VPN网络,并且,内部VPN网络分布是不规范的,可能在所有的Site上都有内部VPN网络,也可能只是某些Site有,而另一些Site的内部VPN直接连接到运营商的PE设
4、备上; 用户分布在不同Site上的内部VPN之间可以互访; 用户不希望把自己的所有内部VPN都直接部署到运营商的PE设备上,因为涉及到成本和管理问题; 运营商不管理用户内部的VPN划分,只维护运营商PE上的VPN;用户内部VPN划分由用户自己管理; 可以提供大、小VPN两个层次组网,大VPN和小VPN之间可以互访,但小VPN之间不能互访,这个可以对应一些有层次访问权限的网络,比如子部门和一些服务器网络之间的应用。2 特性介绍2.1 嵌套VPN技术简介在普通的MPLS VPN网络中,PE只支持通过私网交互IPv4路由。而嵌套VPN技术支持在私网交互VPN-IPv4路由。2.1.1 用户的一个Si
5、te具有内部VPNVPN用户自己的网络也可能是一个MPLS VPN网络,这种情况下,最简单的组网是用户只有一个PE设备,VPN用户在自己的PE上划分VPN,在本地构建多个内部VPN,实现用户本地的业务隔离。其组网模型可以描述为: 用户网络通过运营商PE的私网接口与运营商网络互连; 用户的PE设备直接与运营商PE设备交互VPN-IPv4路由; 运营商PE设备把用户网络当作普通VPN用户对待,用户的PE设备作为运营商的CE设备; 用户网络把运营商的PE设备看作自己网络的一个普通PE设备。图1 用户的一个Site具有内部VPN在图中,运营商MPLS VPN网络的PE1连接了一个VPN用户:VPN_A
6、,而用户VPN_A有两个内部VPN:A_VPN1和A_VPN2。设备A_PE1和A_PE2是用户网络的PE(用户网络中也可能有自己的P设备)。A_PE1下面连接两个用户内部VPN。用户VPN_A把运营商的PE1看作自己网络内的普通PE设备,PE1把用户A内部的A_PE1、A_PE2设备当作CE设备。A_PE1、A_PE2和PE1之间交互VPN-IPv4路由(可以通过路由反射器交互)。运营商只看到一个用户的VPN:VPN_A。2.1.2 用户多个Site具有内部VPN多数情况下,用户VPN有多个Site和运营商MPLS VPN网络互连,并且,各Site的内部VPN划分情况可能各不相同:某些Sit
7、e可能具有相同或相似的内部VPN划分,某些Site的内部VPN可能与运营商的PE设备直接互连,或者某些Site本身只有一个大VPN。要实现这些情况下的用户互访,包括用户的内部VPN之间互访、内部VPN和用户大VPN之间互访等,必须把一个Site本地的VPN信息通过运营商的MPLS VPN网络传播给该VPN用户的其他Site。因此,在嵌套VPN解决方案中,运营商的PE设备和用户内部的PE设备之间需要直接交互VPN-IPv4路由。图2 用户的多个Site具有内部VPNVPN信息的传播过程可以描述如下: 运营商的PE设备与用户的PE设备交互VPN-IPv4路由,VPN-IPv4路由携带这些用户内部的
8、VPN信息; 运营商的PE设备收到VPN-IPv4路由后,保持用户内部的VPN信息不变,并附加整个用户的VPN属性,用户的VPN信息在运营商的PE设备上维护; 运营商的PE设备向其他运营商PE设备发布这些携带综合VPN信息的VPN-IPv4路由; 其他运营商的PE设备收到VPN-IPv4路由后,与本地的VPN进行VPN关系匹配,每个VPN接收属于自己路由,然后将路由向自己连接的CE设备扩散:如果和CE之间是IPv4连接,直接扩散IPv4路由;如果和CE设备之间是VPN-IPv4连接,表示通过私网连接的是一个MPLS VPN用户网络,向CE扩散VPN-IPv4路由。这样,就实现了整个运营商网络上
9、的用户之间的VPN关系、用户内部VPN之间的关系、以及用户内部VPN和用户本身之间的VPN关系。2.2 嵌套VPN技术特点根据上一节的描述,可以了解到嵌套VPN技术的主要特点:嵌套VPN实现VPN聚合功能,可以把用户的多个内部VPN聚合成一个用户VPN,接入运营商的MPLS VPN网络;嵌套VPN是一种一个Site接入运营商PE设备的VPN接入技术,独立于同一个VPN的其他Site的接入方式;嵌套VPN支持对称组网方式和非对称组网方式。【注】:由于用户内部的VPN网络和运营商的MPLS VPN网络的VPN属性是属于同一个空间的,因此运营商需要为用户VPN网络指定一段VPN属性空间,就是VPN
10、ROUTE TARGET空间。运营商的PE设备在接收用户PE来的VPN-IPV4路由时,只接收指定VPN ROUTE TARGET范围内的VPN-IPV4路由,其余的丢弃,类似于VLAN TRUNK技术。嵌套VPN技术简化了用户接入VPN网络的复杂度和成本,为用户提供多样化的VPN组网方式,可以实现用户内部VPN之间的互访、实现用户的两层VPN关系以及两层VPN之间的灵活互访。并且,嵌套VPN技术支持多层嵌套。嵌套VPN不支持同一个用户VPN的内部子VPN之间的IP地址重叠,因为对于运营商PE而言,只有一个VPN,也就是用一个VPN实例来保存所有内部子VPN的路由,如果内部子VPN间有路由重叠
11、的话,对于运营商PE而言,是无法区分的。2.3 路由信息发布由于在运营商PE设备上既可以通过私网直接接入普通的CE设备,也可以通过私网接入用户内部的VPN网络,因此就存在不同情况下的路由信息发布过程,如下图:图3 路由信息发布Sub_vpn1 的一条路由10.0.0.1/8在从SUB PE1上发出后携带上自己的export target属性,通过MBGP协议传到PE1。PE1在vpn1的私网下的MBGP连接上收到了这条路由后,在路由属性中加上vpn1的export target属性,然后在PE1上进行本地VPN匹配,如果有其他的VPN和它匹配,就将路由发送给相应的VPN,如果vpn1下还有普通
12、的CE连接,将路由转化为普通的IPv4路由,发送给CE设备。这条路由被添加了vpn1的EXPORT target属性后继续传送到PE2;PE2通过路由的export target属性和PE2上的vpn1的import target 属性进行匹配,如果匹配,对于vpn1下面有MBGP的连接,就继续将路由向它的下属SUB_PE发送,SUB_PE收到后,再将路由和本地的SUB_VPN进行匹配,匹配后被本地的Sub_vpn1接收,传送到CE设备上。对于vpn1下有直连的CE设备,直接将路由转化为普通的IPv4路由发给CE设备。用户内部VPN的CE设备与用户PE之间的路由信息发布流程与普通VPN拓扑下的
13、相同。2.4 VPN报文转发VPN报文转发和普通的VPN拓扑下的流程基本上是相同的,就是在每一个上层PE(PE1,PE2:见图3)上要对私网的标签做一次替换操作。3 组网综述3.1 嵌套VPN的对称组网应用对称组网应用是指用户的各SITE有自己的内部VPN,并且都采用嵌套VPN技术接入到运营商的PE设备。图4 嵌套VPN对称组网图3.2 嵌套VPN的非对称组网如果某个Site的用户内部VPN数量比较多,可以使用嵌套VPN技术,在用户内部的PE设备上先进行一次聚合,聚合成一个VPN接入运营商的PE设备;而其他SITE的用户内部VPN数量比较少,可以直接连接到运营商的PE设备上。这种情况称为非对称
14、组网。图5 嵌套VPN非对称组网图非对称组网还有一种应用,即,将一个VPN接入设备隐藏到一个骨干路由器后,以保护VPN路由能力或隧道能力不强的设备。通常情况下,建议由转发能力和路由能力强的设备组建MPLS VPN骨干网,在这些设备的后面放置专门的VPN接入设备,防止骨干上的MPLS VPN路由和隧道等对这些设备的冲击,这种组网方案还可以将VPN接入网络和MPLS VPN骨干交换网络分离开。例如,通过嵌套VPN技术,把BRAS设备上的VPN作为内部VPN,将这些VPN聚合成一个大的VPN接入MPLS VPN骨干网。如下图所建议的MPLS VPN的组网模型;图6 采用嵌套VPN构建MPLS VPN
15、网络在图6中,使用嵌套VPN技术连接两级PE设备。这样在MPLS VPN骨干交换网络上的PE设备需要VPN数量和接入VPN用户的接口数量都很少,因为在MPLS VPN的接入网络的PE设备上已经对整网的VPN做了一次聚合。MPLS VPN接入网络的PE设备上有数量较大的VPN和接入VPN用户的接口资源,可能根本就没有P设备。3.3 嵌套VPN形成用户两级VPN互访的组网采用嵌套VPN技术后,VPN用户将具有两级VPN关系:用户级VPN和用户内部VPN,也称为大、小VPN。大、小VPN两个层面可以互访。在实际组网中,这种两级VPN用途非常广:例如,可以把能够被所有小VPN访问的服务器等设备直接作为
16、大VPN的CE设备连接到运营商的PE设备上;或将一些具有特殊角色的主机,比如领导主机等,作为大VPN的客户直接连接到运营商的PE设备上,以确保这些主机能够访问所有部门的网络。图7 用户两级互访嵌套VPN组网方案4 相关技术比较运营商的运营商(CSC)4.1 组网方式运营商的运营商CSC(Carriers Carrier)是一种严格的对称组网方式,它要求用户严格地分布在相同层次上,只有相同层次上的VPN用户之间才能互访,不同层次之间的VPN用户之间是不能互访的。嵌套VPN技术既可以实现对成组网,也可以实现不对称组网。4.2 路由信息的交互CSC技术在同一层面的VPN用户之间直接交互VPN路由信息
17、。因此,需要确保同一层面的路由可达,处于一个层面的用户必须维护该层面的路由信息。并且,同一层面的PE设备之间直接交互VPN-IPv4路由信息,因此,PE之间需要建立MBGP连接。嵌套VPN技术是一种PE的本地VPN接入技术,独立于属于同一VPN的其他Site的接入方式。VPN-IPv4路由信息在用户的PE设备和运营商的一个PE设备间交互,因此,不存在维护同一层面IPv4路由的问题,也不存在同一层面PE之间交互VPN-IPv4路由的问题。5 Quidway S8500特色介绍对于Quidway S8500系列交换机,嵌套vpn具有如下特色:1用户可以在自己的网络内部独立的划分多个不同的VPN,且
18、对骨干网来说是透明的。2运营商不需要管理用户内部的VPN划分,运营商只会看到一个客户VPN整体。3降低了运营商的PE设备上的VPN数量。4用户完全独立控制自己内部的VPN划分,增加了客户内部VPN之间流量的安全性5本技术方案也顺便解决了另外一个问题,就是通过在在用户网络内部实现嵌套的VPN,就可以让VPN用户把自己内部安全性要求不同,或是访问权限要求不同的业务放在嵌套VPN的不同层次上。这样可以达到访问权限的限制。85系列交换机主要用于企业网络的核心层以及运营商网络的汇聚层,作为核心网络的边缘设备,通过使用嵌套VPN技术来提供MPLS VPN服务,可以大大的降低设备的性能要求,通过提供多层次的
19、vpn服务,对访问权限提供了控制。只需要在作为运营商PE的85系列交换机上配置简单的策略,就可以给用户提供配置嵌套vpn的权限,而具体的配置完全有用户来决定,同时,对用户而言又是透明的。用户内部的不同业务再也不用通过物理链路或是VLan等方式隔离,以便在顶层的PE设备上接入不同的VPN了,可以就近接入。同时,85系列交换机对嵌套vpn支持多种不同的组网方式:对称组网方式、非对称组网方式以及大小vpn的组网方式,可以支持不同的运营以及企业环境的需求。非对称组网方式适合那些MPLS VPN能力较弱的用户采用,通过非对称的组网方式,可以大大的降低运营商PE上vrf的数量,从而降低性能负担;对称组网方式内部用户分布在不同地方的用户采用,通过对称的嵌套vpn组网方式,不仅可以大大降低运营商PE的接入压力,而且,由于用户内部具有独立的管理权限,大大的提高了安全性。运营商PE在接收从用户PE而来的路由时,是通过配置关于vpn-target的route-policy策略来进行路由过滤的,而VPN内部流量在经过PE设备的时候,是采用MPLS标签转发,从而增强了VPN流量的安全性。
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1