基于虛擬路由器的ＩＰＶＰＮ技術(shù)

2019-11-05 00:34:07

字體：大中小

供稿：網(wǎng)友

　　在公共骨干網(wǎng)上實施ＶＰＮ的方案已經(jīng)提出了很多，并且能夠保證不同水平的保密性。但是，這些方案中的大部分需要每一ＶＰＮ有獨立轉(zhuǎn)發(fā)能力，并且能夠使用穿過骨干網(wǎng)的基于ＩＰ或ＭＰＬＳ的通道。
　　
　　本文描述的使用ＶＲ的路由ＶＰＮ的結(jié)構(gòu)和〔ＶＰＮ－ＲＦＣ２７６４〕中描述的ＩＰＶＰＮ的框架相兼容。但是，它可以提供基于每個ＶＰＮ的路由、轉(zhuǎn)發(fā)、ＱｏＳ和業(yè)務(wù)治理能力。基于ＶＲ概念構(gòu)建的ＶＰＮ和基于物理路由器的ＶＰＮ有完全一樣的機制，并且繼續(xù)了現(xiàn)存的配置、實施、運行、故障恢復(fù)、監(jiān)測和計費的機制和工具。ＶＲ可以使用不同的方案實施，例如通過第二層直接的ＶＲ到ＶＲ的連接，或者把多個ＶＲ聚合成一個ＶＲ，然后用基于ＩＰ或ＭＰＬＳ的通道把它們連接起來。在ＶＰＮ域內(nèi)，任何路由協(xié)議不需改變和擴展就可以獲得以及分發(fā)ＶＰＮ可達信息。
　　
　　現(xiàn)在，有兩種基本的結(jié)構(gòu)實現(xiàn)路由ＶＰＮ，即虛擬路由器ＶＲ模式和搭載模式。兩種模式的主要不同在于獲得ＶＰＮ可達信息和成員信息的功能模型不相同。在ＶＲ模型中，ＶＰＮ域中的每一個ＶＲ都運行路由協(xié)議，在它們之間分發(fā)ＶＰＮ可達信息。因此，ＶＰＮ成員信息和ＶＰＮ可達信息被認為是分離的，并且由分離的機制實現(xiàn)。在搭載模型中，ＶＰＮ的網(wǎng)絡(luò)層在骨干網(wǎng)的邊緣終結(jié)，并且由骨干路由協(xié)議（如ＢＧＰ－４）負責(zé)在所有被配置為某一ＶＰＮ的ＰＥ之間分發(fā)ＶＰＮ成員信息和可達信息。ＶＰＮ－ＲＦＣ２５４７ｂｉｓ就是一個搭載ＶＰＮ結(jié)構(gòu)的例子。
　　
　　１、ＶＲ的定義
　　
　　ＶＲ是通過軟件實現(xiàn)的模擬物理路由器。ＶＲ有獨立的ＩＰ路由表和轉(zhuǎn)發(fā)表，并且各ＶＲ相互獨立。這就意味著ＶＰＮ的地址空間可以相同。但是，同一ＶＰＮ內(nèi)的地址必須唯一。ＶＲ有以下兩方面的主要功能：
　　
　　（１）能夠使用任何路由協(xié)議（如靜態(tài)配置、ＯＳＰＦ、ＲＩＰ或ＢＧＰ）構(gòu)建描述ＶＰＮ節(jié)點之間連接特性的路由表。
　　
　　（２）能夠把數(shù)據(jù)包轉(zhuǎn)發(fā)到ＶＰＮ域中的下一跳。
　　
　　從ＶＰＮ用戶的角度看，ＶＲ提供和物理路由器相同的功能。盡管各ＶＰＮ運行在共享轉(zhuǎn)發(fā)和傳輸資源上，但是，路由和轉(zhuǎn)發(fā)的分離似乎為每一ＶＰＮＣＥ鏈路提供了可以保證與其他的ＶＰＮ業(yè)務(wù)分離的專用路由器。
　　
　　屬于同一個ＶＰＮ的ＶＲ必須具有相同的ＶＰＮＩＤＶＰＮ－ＲＦＣ２６８５。對于ＣＥ接入設(shè)備來說，ＶＲ就似乎是ＣＥ設(shè)備的鄰居路由器，ＣＥ把非本地的業(yè)務(wù)全部發(fā)送到ＶＲ。屬于同一ＶＰＮ域的ＶＲ必須負責(zé)在它們之間學(xué)習(xí)和分發(fā)ＶＰＮ可達信息，并且一個ＶＲ僅僅擁有其所屬ＶＰＮ的路由。
　　
　　２、網(wǎng)絡(luò)參考模型
　　
　　ＶＰＮ用戶節(jié)點是通過ＣＥ設(shè)備（可能是網(wǎng)橋或路由器）與ＶＲ之間的連接來連接到服務(wù)提供商骨干網(wǎng)的。ＣＥ設(shè)備可以通過任何的接入鏈路（如ＡＴＭ、ＦＲ、以太網(wǎng)、ＰＰＰ或ＩＰＳｅｃ、Ｌ２ＴＰ和ＧＲＥ等ＩＰ隧道）連接到ＶＲ，也可以通過專用線路或撥號鏈路靜態(tài)地連接到服務(wù)提供商的網(wǎng)絡(luò)上。另外，ＣＥ設(shè)備可以被配置為連接一個或多個ＶＲ，而多個ＶＲ也可以共存于同一個服務(wù)商網(wǎng)絡(luò)邊緣設(shè)備（ＰｒｏｖｉｄｅｒＥｄｇｅＤｅｖｉｃｅ，ＰＥ）中。圖１給出網(wǎng)絡(luò)的參考模型。
　　　

　　每一ＶＲ維護一個路由表，它定義了該ＶＲ所屬ＶＰＮ中節(jié)點到節(jié)點的可達信息。對于網(wǎng)絡(luò)的骨干路由器ＰＥ（ＰｒｏｖｉｄｅｒＥｑｕｉｐｍｅｎｔ）來說，它意識不到ＶＰＮ的存在，也不保存任何的ＶＰＮ的狀態(tài)信息。所以網(wǎng)絡(luò)的擴展性也就大大增強了。并且，ＶＲ對骨干網(wǎng)沒有任何的要求，它可以使用ＡＴＭ、ＦＲ、ＩＰ或ＭＰＬＳ等多種傳輸技術(shù)。
　　
　　３、怎樣使用ＶＲ構(gòu)建和實施ＶＰＮ
　　
　　使用ＶＲ實現(xiàn)ＶＰＮ有兩種方案：
　　●通過第二層的ＶＲ到ＶＲ連接；
　　●多個ＶＲ聚合到一個ＶＲ上。
　　
　　以上ＶＲ實現(xiàn)的情況可以在同一個ＰＥ中共存，并且互不影響。
　　
　　３．１通過第二層的ＶＲ到ＶＲ連接構(gòu)建ＶＰＮ
　　
　　如圖２所示，ＶＲ可以直接在ＦＲ或ＡＴＭ連接或第二層傳輸技術(shù)之上實現(xiàn)。這種類型ＶＲ的實施答應(yīng)直接在每個ＶＰＮ連接上實現(xiàn)ＱｏＳ。第二層連接可以靜態(tài)配置或動態(tài)建立。
　　　

　　3．２通過聚合ＶＲ構(gòu)建ＶＰＮ
　　
　　另一種典型的ＶＰＮ實施方案是把多個ＶＲ連接到一個ＶＲ（我們稱這種ＶＲ為"骨干ＶＲ"）上，然后再連接到骨干網(wǎng)。骨干ＶＲ在功能上和其他的ＶＲ沒有什么不同。它僅僅是一個被非凡配置和應(yīng)用的ＶＲ，并且骨干ＶＲ不需要了解運行在每一專用ＶＲ上的路由。圖３給出了使用骨干ＶＲ實現(xiàn)ＶＰＮ的模型圖，圖中ＶＲ－１與ＶＲ－２就是骨干ＶＲ。
　　　

　　骨干ＶＲ可以實施在ＡＴＭ、ＦＲ、ＩＰ或ＭＰＬＳ網(wǎng)絡(luò)之上。由于骨干ＶＲ答應(yīng)ＶＰＮＶＲ的聚合，所以當(dāng)有新的ＶＰＮ節(jié)點加入時，骨干網(wǎng)的配置就可以保持不變。ＶＲ和骨干ＶＲ之間的關(guān)系只是簡單的疊加，它們之間并不存在任何路由關(guān)系。通過聚合到骨干ＶＲ，ＶＰＮ內(nèi)的每一ＶＲ都似乎直接連接起來（支持全連接或部分連接）。在ＶＰＮ內(nèi)，ＶＲ之間直接交換路由信息，而骨干ＶＲ是與其他的骨干實體（Ｐ路由器或可能的其他骨干ＶＲ）交換路由信息。ＶＲ可以在自己的ＶＰＮ域內(nèi)運行任何的路由協(xié)議，可以是靜態(tài)路由或者動態(tài)路由協(xié)議，如ＲＩＰ、ＯＳＰＦ和ＢＧＰ－４。
　　
　　ＶＰＮ的數(shù)據(jù)和路由信息通過ＩＰ或ＭＰＬＳ通道傳送。但是，該方案也不排除使用其他的通道機制。通道可以靜態(tài)配置或動態(tài)建立。對于ＶＲ來說，通道實際上就是點到點的鏈路。業(yè)務(wù)通過通道傳送，由骨干ＶＲ轉(zhuǎn)發(fā)。
　　
　　圖４說明了多個骨干網(wǎng)連接到同一ＰＥ的例子。當(dāng)ＰＥ連接到多個服務(wù)提供商骨干網(wǎng)或當(dāng)服務(wù)提供商為不同類型的骨干網(wǎng)提供不同的ＶＰＮ服務(wù)時，這種類型的配置就會提供更多的靈活性。
　　

　　４、ＶＰＮ拓撲和成員的發(fā)現(xiàn)
　　
　　基于ＶＲ的ＶＰＮ方案簡潔地把分發(fā)可達信息和獲得ＶＰＮ拓撲的機制分離開來。ＶＰＮ成員信息指的是擁有共同ＶＰＮ用戶的一組ＰＥ。ＶＰＮ拓撲信息指的是該組ＰＥ以及它們之間的連接性。根據(jù)ＶＰＮ用戶的需求，也可以處理動態(tài)拓撲。
　　
　　ＶＰＮ成員發(fā)現(xiàn)可以通過不同的機制來得到，例如ＶＰＮ－ＩＴＵ：
　　●采用目錄服務(wù)器，ＶＲ通過查詢服務(wù)器來獲得其鄰居路由器；
　　●通過治理平臺的顯式配置；
　　●通過現(xiàn)存的路由協(xié)議搭載ＶＰＮ信息。
　　以上的機制可以被集成應(yīng)用在一個ＰＥ中。例如，一些ＶＰＮ拓撲的發(fā)現(xiàn)可以僅僅通過治理平臺來完成，也可以使用現(xiàn)存的路由協(xié)議搭載完成ＶＰＮ－ＢＧＰ。
　　
　　５、結(jié)束語
　　
　　ＶＰＮ能夠充分地利用現(xiàn)有的網(wǎng)絡(luò)資源，提供經(jīng)濟、靈活的聯(lián)網(wǎng)方式，為客戶節(jié)省設(shè)備、人員和治理所需的投資，降低用戶的費用，所以必將得到廣泛的利用。基于虛擬路由器的ＶＰＮ方案不但兼容原有的ＶＰＮ解決方案，具有其原有的優(yōu)點，而且為構(gòu)建ＶＰＮ提供了更好的擴展性和靈活性。因此，隨著相關(guān)細節(jié)和技術(shù)的完善與標準化，基于ＶＲ的ＶＰＮ解決方案必將廣泛地應(yīng)用于將來的ＶＰＮ。的ＶＰＮ解決方案，具有其原有的優(yōu)點，而且為構(gòu)建ＶＰＮ提供了更好的擴展性和靈活性。因此，隨著相關(guān)細節(jié)和技術(shù)的完善與標準化，基于ＶＲ的ＶＰＮ解決方案必將廣泛地應(yīng)用于將來的ＶＰＮ。

上一篇：通過SSH實現(xiàn)Cisco路由器登錄

下一篇：關(guān)于路由器cpu利用率過高的解決