HW Quidway S8500技术白皮书系列嵌套VPN技术白皮书V100.docx

1、HW Quidway S8500技术白皮书系列嵌套VPN技术白皮书V100Quidway S8500技术白皮书系列嵌套VPN技术白皮书V1.00华为技术有限公司Huawei Technologies Co., Ltd.目录1 概述 42 特性介绍 52.1 嵌套VPN技术简介 52.1.1 用户的一个Site具有内部VPN 52.1.2 用户多个Site具有内部VPN 62.2 嵌套VPN技术特点 72.3 路由信息发布 82.4 VPN报文转发 93 组网综述 93.1 嵌套VPN的对称组网应用 93.2 嵌套VPN的非对称组网 103.3 嵌套VPN形成用户两级VPN互访的组网 114 相

2、关技术比较运营商的运营商（CSC） 124.1 组网方式 124.2 路由信息的交互 125 Quidway S8500特色介绍 131 概述组建MPLS VPN时，通常是由运营商经营MPLS VPN骨干网，通过PE设备提供VPN服务。VPN用户通过CE设备与运营商的PE设备互连，接入MPLS VPN网络，实现VPN不同区域Site之间的通信。在上述情况下，用户网络是普通的IP网络，每个Site的所有VPN用户都属于同一个VPN。实际组网中，VPN用户网络复杂多样，繁简不同。例如，一个VPN用户内部有大量用户设备，而这些用户设备又可以分成不同的管理域，这时，用户可能希望在自己的网络内部再划分不

3、同的VPN，对不同的管理域进行VPN隔离。VPN用户网络本身也可能是一个MPLS VPN网络，或它的某个Site是一个MPLS VPN网络。这时，分布于不同Site的属于同一VPN的用户需要通过运营商的MPLS VPN骨干网络互访。而运营商的MPLS VPN网络必须能够把用户内部的VPN属性划分透明传输到不同Site。以上的用户需求，可以总结如下几点： 用户整体作为运营商MPLS VPN网络上的一个VPN用户； 用户有自己的内部VPN网络，并且，内部VPN网络分布是不规范的，可能在所有的Site上都有内部VPN网络，也可能只是某些Site有，而另一些Site的内部VPN直接连接到运营商的PE设

4、备上； 用户分布在不同Site上的内部VPN之间可以互访； 用户不希望把自己的所有内部VPN都直接部署到运营商的PE设备上，因为涉及到成本和管理问题； 运营商不管理用户内部的VPN划分，只维护运营商PE上的VPN；用户内部VPN划分由用户自己管理； 可以提供大、小VPN两个层次组网，大VPN和小VPN之间可以互访，但小VPN之间不能互访，这个可以对应一些有层次访问权限的网络，比如子部门和一些服务器网络之间的应用。2 特性介绍2.1 嵌套VPN技术简介在普通的MPLS VPN网络中，PE只支持通过私网交互IPv4路由。而嵌套VPN技术支持在私网交互VPN-IPv4路由。2.1.1 用户的一个Si

5、te具有内部VPNVPN用户自己的网络也可能是一个MPLS VPN网络，这种情况下，最简单的组网是用户只有一个PE设备，VPN用户在自己的PE上划分VPN，在本地构建多个内部VPN，实现用户本地的业务隔离。其组网模型可以描述为： 用户网络通过运营商PE的私网接口与运营商网络互连； 用户的PE设备直接与运营商PE设备交互VPN-IPv4路由； 运营商PE设备把用户网络当作普通VPN用户对待，用户的PE设备作为运营商的CE设备； 用户网络把运营商的PE设备看作自己网络的一个普通PE设备。图1 用户的一个Site具有内部VPN在图中，运营商MPLS VPN网络的PE1连接了一个VPN用户：VPN_A

6、，而用户VPN_A有两个内部VPN：A_VPN1和A_VPN2。设备A_PE1和A_PE2是用户网络的PE（用户网络中也可能有自己的P设备）。A_PE1下面连接两个用户内部VPN。用户VPN_A把运营商的PE1看作自己网络内的普通PE设备，PE1把用户A内部的A_PE1、A_PE2设备当作CE设备。A_PE1、A_PE2和PE1之间交互VPN-IPv4路由（可以通过路由反射器交互）。运营商只看到一个用户的VPN：VPN_A。2.1.2 用户多个Site具有内部VPN多数情况下，用户VPN有多个Site和运营商MPLS VPN网络互连，并且，各Site的内部VPN划分情况可能各不相同：某些Sit

7、e可能具有相同或相似的内部VPN划分，某些Site的内部VPN可能与运营商的PE设备直接互连，或者某些Site本身只有一个大VPN。要实现这些情况下的用户互访，包括用户的内部VPN之间互访、内部VPN和用户大VPN之间互访等，必须把一个Site本地的VPN信息通过运营商的MPLS VPN网络传播给该VPN用户的其他Site。因此，在嵌套VPN解决方案中，运营商的PE设备和用户内部的PE设备之间需要直接交互VPN-IPv4路由。图2 用户的多个Site具有内部VPNVPN信息的传播过程可以描述如下： 运营商的PE设备与用户的PE设备交互VPN-IPv4路由，VPN-IPv4路由携带这些用户内部的

8、VPN信息； 运营商的PE设备收到VPN-IPv4路由后，保持用户内部的VPN信息不变，并附加整个用户的VPN属性，用户的VPN信息在运营商的PE设备上维护； 运营商的PE设备向其他运营商PE设备发布这些携带综合VPN信息的VPN-IPv4路由； 其他运营商的PE设备收到VPN-IPv4路由后，与本地的VPN进行VPN关系匹配，每个VPN接收属于自己路由，然后将路由向自己连接的CE设备扩散：如果和CE之间是IPv4连接，直接扩散IPv4路由；如果和CE设备之间是VPN-IPv4连接，表示通过私网连接的是一个MPLS VPN用户网络，向CE扩散VPN-IPv4路由。这样，就实现了整个运营商网络上

9、的用户之间的VPN关系、用户内部VPN之间的关系、以及用户内部VPN和用户本身之间的VPN关系。2.2 嵌套VPN技术特点根据上一节的描述，可以了解到嵌套VPN技术的主要特点：嵌套VPN实现VPN聚合功能，可以把用户的多个内部VPN聚合成一个用户VPN，接入运营商的MPLS VPN网络；嵌套VPN是一种一个Site接入运营商PE设备的VPN接入技术，独立于同一个VPN的其他Site的接入方式；嵌套VPN支持对称组网方式和非对称组网方式。【注】：由于用户内部的VPN网络和运营商的MPLS VPN网络的VPN属性是属于同一个空间的，因此运营商需要为用户VPN网络指定一段VPN属性空间，就是VPN

10、ROUTE TARGET空间。运营商的PE设备在接收用户PE来的VPN-IPV4路由时，只接收指定VPN ROUTE TARGET范围内的VPN-IPV4路由，其余的丢弃，类似于VLAN TRUNK技术。嵌套VPN技术简化了用户接入VPN网络的复杂度和成本，为用户提供多样化的VPN组网方式，可以实现用户内部VPN之间的互访、实现用户的两层VPN关系以及两层VPN之间的灵活互访。并且，嵌套VPN技术支持多层嵌套。嵌套VPN不支持同一个用户VPN的内部子VPN之间的IP地址重叠,因为对于运营商PE而言,只有一个VPN,也就是用一个VPN实例来保存所有内部子VPN的路由,如果内部子VPN间有路由重叠

11、的话,对于运营商PE而言,是无法区分的。2.3 路由信息发布由于在运营商PE设备上既可以通过私网直接接入普通的CE设备，也可以通过私网接入用户内部的VPN网络，因此就存在不同情况下的路由信息发布过程，如下图：图3 路由信息发布Sub_vpn1 的一条路由10.0.0.1/8在从SUB PE1上发出后携带上自己的export target属性，通过MBGP协议传到PE1。PE1在vpn1的私网下的MBGP连接上收到了这条路由后，在路由属性中加上vpn1的export target属性，然后在PE1上进行本地VPN匹配，如果有其他的VPN和它匹配，就将路由发送给相应的VPN，如果vpn1下还有普通

12、的CE连接，将路由转化为普通的IPv4路由，发送给CE设备。这条路由被添加了vpn1的EXPORT target属性后继续传送到PE2；PE2通过路由的export target属性和PE2上的vpn1的import target 属性进行匹配，如果匹配，对于vpn1下面有MBGP的连接，就继续将路由向它的下属SUB_PE发送，SUB_PE收到后，再将路由和本地的SUB_VPN进行匹配，匹配后被本地的Sub_vpn1接收，传送到CE设备上。对于vpn1下有直连的CE设备，直接将路由转化为普通的IPv4路由发给CE设备。用户内部VPN的CE设备与用户PE之间的路由信息发布流程与普通VPN拓扑下的

13、相同。2.4 VPN报文转发VPN报文转发和普通的VPN拓扑下的流程基本上是相同的，就是在每一个上层PE（PE1,PE2：见图3）上要对私网的标签做一次替换操作。3 组网综述3.1 嵌套VPN的对称组网应用对称组网应用是指用户的各SITE有自己的内部VPN，并且都采用嵌套VPN技术接入到运营商的PE设备。图4 嵌套VPN对称组网图3.2 嵌套VPN的非对称组网如果某个Site的用户内部VPN数量比较多，可以使用嵌套VPN技术，在用户内部的PE设备上先进行一次聚合，聚合成一个VPN接入运营商的PE设备；而其他SITE的用户内部VPN数量比较少，可以直接连接到运营商的PE设备上。这种情况称为非对称

14、组网。图5 嵌套VPN非对称组网图非对称组网还有一种应用，即，将一个VPN接入设备隐藏到一个骨干路由器后，以保护VPN路由能力或隧道能力不强的设备。通常情况下，建议由转发能力和路由能力强的设备组建MPLS VPN骨干网，在这些设备的后面放置专门的VPN接入设备，防止骨干上的MPLS VPN路由和隧道等对这些设备的冲击，这种组网方案还可以将VPN接入网络和MPLS VPN骨干交换网络分离开。例如，通过嵌套VPN技术，把BRAS设备上的VPN作为内部VPN，将这些VPN聚合成一个大的VPN接入MPLS VPN骨干网。如下图所建议的MPLS VPN的组网模型；图6 采用嵌套VPN构建MPLS VPN

15、网络在图6中，使用嵌套VPN技术连接两级PE设备。这样在MPLS VPN骨干交换网络上的PE设备需要VPN数量和接入VPN用户的接口数量都很少，因为在MPLS VPN的接入网络的PE设备上已经对整网的VPN做了一次聚合。MPLS VPN接入网络的PE设备上有数量较大的VPN和接入VPN用户的接口资源，可能根本就没有P设备。3.3 嵌套VPN形成用户两级VPN互访的组网采用嵌套VPN技术后，VPN用户将具有两级VPN关系：用户级VPN和用户内部VPN，也称为大、小VPN。大、小VPN两个层面可以互访。在实际组网中，这种两级VPN用途非常广：例如，可以把能够被所有小VPN访问的服务器等设备直接作为

16、大VPN的CE设备连接到运营商的PE设备上；或将一些具有特殊角色的主机，比如领导主机等，作为大VPN的客户直接连接到运营商的PE设备上，以确保这些主机能够访问所有部门的网络。图7 用户两级互访嵌套VPN组网方案4 相关技术比较运营商的运营商（CSC）4.1 组网方式运营商的运营商CSC（Carriers Carrier）是一种严格的对称组网方式，它要求用户严格地分布在相同层次上，只有相同层次上的VPN用户之间才能互访，不同层次之间的VPN用户之间是不能互访的。嵌套VPN技术既可以实现对成组网，也可以实现不对称组网。4.2 路由信息的交互CSC技术在同一层面的VPN用户之间直接交互VPN路由信息

17、。因此，需要确保同一层面的路由可达，处于一个层面的用户必须维护该层面的路由信息。并且，同一层面的PE设备之间直接交互VPN-IPv4路由信息，因此，PE之间需要建立MBGP连接。嵌套VPN技术是一种PE的本地VPN接入技术，独立于属于同一VPN的其他Site的接入方式。VPN-IPv4路由信息在用户的PE设备和运营商的一个PE设备间交互，因此，不存在维护同一层面IPv4路由的问题，也不存在同一层面PE之间交互VPN-IPv4路由的问题。5 Quidway S8500特色介绍对于Quidway S8500系列交换机，嵌套vpn具有如下特色：1用户可以在自己的网络内部独立的划分多个不同的VPN，且

18、对骨干网来说是透明的。2运营商不需要管理用户内部的VPN划分，运营商只会看到一个客户VPN整体。3降低了运营商的PE设备上的VPN数量。4用户完全独立控制自己内部的VPN划分，增加了客户内部VPN之间流量的安全性5本技术方案也顺便解决了另外一个问题，就是通过在在用户网络内部实现嵌套的VPN，就可以让VPN用户把自己内部安全性要求不同，或是访问权限要求不同的业务放在嵌套VPN的不同层次上。这样可以达到访问权限的限制。85系列交换机主要用于企业网络的核心层以及运营商网络的汇聚层，作为核心网络的边缘设备，通过使用嵌套VPN技术来提供MPLS VPN服务，可以大大的降低设备的性能要求，通过提供多层次的

19、vpn服务，对访问权限提供了控制。只需要在作为运营商PE的85系列交换机上配置简单的策略，就可以给用户提供配置嵌套vpn的权限，而具体的配置完全有用户来决定，同时，对用户而言又是透明的。用户内部的不同业务再也不用通过物理链路或是VLan等方式隔离,以便在顶层的PE设备上接入不同的VPN了,可以就近接入。同时，85系列交换机对嵌套vpn支持多种不同的组网方式：对称组网方式、非对称组网方式以及大小vpn的组网方式，可以支持不同的运营以及企业环境的需求。非对称组网方式适合那些MPLS VPN能力较弱的用户采用，通过非对称的组网方式，可以大大的降低运营商PE上vrf的数量，从而降低性能负担；对称组网方式内部用户分布在不同地方的用户采用，通过对称的嵌套vpn组网方式，不仅可以大大降低运营商PE的接入压力，而且，由于用户内部具有独立的管理权限，大大的提高了安全性。运营商PE在接收从用户PE而来的路由时，是通过配置关于vpn-target的route-policy策略来进行路由过滤的，而VPN内部流量在经过PE设备的时候，是采用MPLS标签转发，从而增强了VPN流量的安全性。