本備忘錄的狀態(tài)
本文檔講述了一種Internet社區(qū)的Internet標(biāo)準(zhǔn)跟蹤協(xié)議,它需要進(jìn)一步進(jìn)行討論和建
議以得到改進(jìn)�。請(qǐng)參考最新版的“Internet正式協(xié)議標(biāo)準(zhǔn)”(STD1)來獲得本協(xié)議的標(biāo)準(zhǔn)化程
度和狀態(tài)。本備忘錄的發(fā)布不受任何限制。
版權(quán)聲明
Copyright(C)TheInternetSociety(2000).AllRightsReserved.
摘要
本備忘錄描述了一種在服務(wù)提供商的MPLS主干網(wǎng)上建立核心VPN服務(wù)的方法。該方法在主干
網(wǎng)中使用MPLS���,以提供除“盡力而為”外的“優(yōu)先服務(wù)”。其核心思想是,服務(wù)提供商為客
戶提供一個(gè)虛擬路由器服務(wù)�����。該體系結(jié)構(gòu)的基本原則是便于配置、用戶安全、網(wǎng)絡(luò)安全、動(dòng)
態(tài)鄰居發(fā)現(xiàn)����、可擴(kuò)展性和對(duì)現(xiàn)有路由協(xié)議的不加修改的使用�����。
目錄
1. 縮略語
2.概述
3.虛擬路由器
4.目標(biāo)
5.結(jié)構(gòu)要求
6.結(jié)構(gòu)框架
7.可擴(kuò)展的配置
8.動(dòng)態(tài)鄰居發(fā)現(xiàn)
9.VPN的ip域配置
10.鄰居發(fā)現(xiàn)舉例
11.轉(zhuǎn)發(fā)
11.1專用LSP
11.2盡力而為的公開LSP
12.區(qū)分服務(wù)
13.安全問題
13.1路由安全
13.2數(shù)據(jù)安全
13.3配置安全
13.4物理網(wǎng)絡(luò)安全
14.虛擬路由器的檢測(cè)
15.性能問題
16.致謝
17.參考文獻(xiàn)
18.作者地址
19.版權(quán)聲明
1.縮略語
ARP地址解析協(xié)議
CE客戶邊緣路由器
LSP標(biāo)簽交換路徑
PNA專用網(wǎng)治理員
SLA服務(wù)等級(jí)協(xié)議
SP服務(wù)提供商
SPEDSP邊緣設(shè)備
SPNasp網(wǎng)絡(luò)治理員
VMAVPN組播地址
VPNIDVPN標(biāo)識(shí)
VR虛擬路由器
VRC虛擬路由控制臺(tái)
2.概述
本備忘錄描述了一種以服務(wù)提供商網(wǎng)絡(luò)為主干網(wǎng),提供IPVPN服務(wù)的方法���。一般而言,
有兩種實(shí)現(xiàn)方法:疊加模式和虛擬路由器方法�����。前者是在現(xiàn)有路由協(xié)議的基礎(chǔ)上疊加一些語
義�����,以攜帶一些地址可達(dá)信息�。在本文中����,我們著重于介紹虛擬路由器的方法。
本文描述的方法并不需要對(duì)現(xiàn)有的路由協(xié)議進(jìn)行修改。鄰居發(fā)現(xiàn)是通過仿真局域網(wǎng)及地
址解析協(xié)議來實(shí)現(xiàn)的��。本文力圖對(duì)SP和PNA做如下分工:SP擁有和治理第一層��、第二層的
服務(wù)�����,而PNA負(fù)責(zé)第三層的服務(wù)。因?yàn)橛羞壿嫪?dú)立的路由域�����,PNA可以靈活地使用私有地址
和未經(jīng)注冊(cè)的地址����。而在共享LSP上利用標(biāo)簽堆棧對(duì)專用LSP和VPN標(biāo)識(shí)進(jìn)行了封裝,數(shù)據(jù)
安全性也得到了保證��。
本備忘錄描述的方法與RFC2547[Rosen1]中不同之處在于:并沒有指定路由協(xié)議來攜帶
VPN路由信息����。在RFC2547中描述了一種方法,可以通過修改BGP協(xié)議來攜帶VPN在SP主干
網(wǎng)上的單播路由����。假如要攜帶多播路由����,還必須進(jìn)行進(jìn)一步的工作��。
3.虛擬路由器
一個(gè)虛擬路由器是一個(gè)路由設(shè)備中靜態(tài)或動(dòng)態(tài)線程的集合���,提供類似物理路由器的路由
和轉(zhuǎn)發(fā)服務(wù)�����。一個(gè)虛擬路由器不須單獨(dú)的操作系統(tǒng)處理(當(dāng)然也可以有),它只是給人一種錯(cuò)
覺��,好象有一個(gè)專用的路由器為它所連接的網(wǎng)絡(luò)提供服務(wù)���。一個(gè)虛擬路由器與它相應(yīng)的物理
設(shè)備一樣���,是路由域的一個(gè)元素����。這個(gè)路由域中的其它路由器可以是物理的���,也可以是虛擬
的�。假如虛擬路由器與一個(gè)特定的(邏輯離散的)路由域相連,而一個(gè)物理路由器又可以承
載多個(gè)虛擬路由器的話���,那么,一個(gè)物理路由器就能支持多個(gè)(邏輯離散的)路由空間了��。
從VPN用戶的角度來看��,虛擬路由器應(yīng)該與物理路由器盡可能地相同�����。換言之,除了極
個(gè)別情況外�,虛擬路由應(yīng)該在各方面(配置�、治理��、檢測(cè)��、查錯(cuò))都象一個(gè)專用的物理路由
器。這樣�����,就無須對(duì)大量已安裝的路由器進(jìn)行升級(jí)或重新配置����,也不需對(duì)網(wǎng)絡(luò)治理員重新培
訓(xùn)。
虛擬 路由器的任務(wù)在于:
1. 對(duì)任意路由協(xié)議組合的配置
2. 對(duì)網(wǎng)絡(luò)的檢測(cè)
3. 查錯(cuò)
每個(gè)VPN都有一個(gè)邏輯上獨(dú)立的路由域���,這樣SP就可以更好地為用戶提供相當(dāng)靈活的虛擬
路由器服務(wù),而無需為每一個(gè)VPN預(yù)備一個(gè)物理路由器��。這也就是說�����,SP的硬件投資--路由
器和它們之間的連接--可以被多個(gè)用戶復(fù)用。
4.目標(biāo)
1.SP網(wǎng)絡(luò)上的VPN終節(jié)點(diǎn)擴(kuò)展性好����、易于配置�。添加一個(gè)CE時(shí),最多只需要加一條配
置信息。
2.無需使用SP的唯一而且難得到的資源����,如IP地址和子網(wǎng)等����。
3.在SP云中對(duì)虛擬路由器的動(dòng)態(tài)發(fā)現(xiàn)����。這是個(gè)可選,但可以保持網(wǎng)絡(luò)盡可能簡(jiǎn)單的相當(dāng)
有價(jià)值的目標(biāo)����。
4.虛擬路由器應(yīng)能由VPN網(wǎng)絡(luò)治理員完全配置和檢測(cè)�����。這樣,PNA在VPN配置問題上就
有足夠的靈活性���,可以自己配置,也可以交由SP完成。
5.各VPN的數(shù)據(jù)轉(zhuǎn)發(fā)質(zhì)量應(yīng)該是可配置的�。這種質(zhì)量要求可解釋為連續(xù)(或離散)級(jí)別
的服務(wù)�����,例如�����,盡力而為�,專用帶寬����,QOS以及基于策略的轉(zhuǎn)發(fā)服務(wù)等。
6.可以通過在VPN中建立專用的數(shù)據(jù)轉(zhuǎn)發(fā)LSP的方法將各VPN配置為區(qū)別服務(wù)模式。
7.Internet路由器的安全也包括虛擬路由器。這就意味著虛擬路由器的數(shù)據(jù)轉(zhuǎn)發(fā)和選路
應(yīng)該與專用的物理路由器一樣安全��,用戶數(shù)據(jù)及可達(dá)性信息不會(huì)從一個(gè)路由域無意地泄露出
去�。
8.不指定在虛擬路由器之間使用的路由協(xié)議。這對(duì)于VPN用戶自主地按各自的方式建立
網(wǎng)絡(luò)及設(shè)置策略相當(dāng)重要。例如����,一些協(xié)議適于進(jìn)行包過濾�,而另一些則適于進(jìn)行流量工程�����。
而VPN用戶有時(shí)可能希望同時(shí)應(yīng)用這兩類服務(wù)來獲得最優(yōu)的網(wǎng)絡(luò)服務(wù)質(zhì)量�。
9.對(duì)現(xiàn)有的路由協(xié)議���,如BGP�����,RIP�,OSPF���,ISIS不進(jìn)行非凡的修改和擴(kuò)充���。這對(duì)于將來
在其上疊加其它如NHRP和組播服務(wù)是很重要的����。此外����,對(duì)現(xiàn)有協(xié)議的改進(jìn)和增強(qiáng)(如對(duì)ISIS
和OSPF在流量工程方面的擴(kuò)展等)也可以方便地結(jié)合進(jìn)VPN應(yīng)用中。
5.結(jié)構(gòu)要求
服務(wù)提供商的網(wǎng)絡(luò)必須支持到所有節(jié)點(diǎn)的多播路由����,以提供VPN連接和轉(zhuǎn)發(fā)虛擬路由器
發(fā)現(xiàn)的多播數(shù)據(jù)����。不須指定某個(gè)多播路由協(xié)議。一個(gè)服務(wù)提供商SP可以運(yùn)行MOSPF或DVMRP
或其它協(xié)議�。
6.結(jié)構(gòu)框架
1.每個(gè)VPN都指定了一個(gè)在SP網(wǎng)絡(luò)中唯一的VPNID���。這個(gè)標(biāo)識(shí)明確地表明了與一個(gè)包
或一個(gè)連接有關(guān)的VPN��。VPNID為0的標(biāo)識(shí)被保留,用于表示公共Internet�����。VPN標(biāo)識(shí)最好與
RFC2685[Fox]兼容�,但并非必須如此。
2.VPN服務(wù)由虛擬路由器提供��。這些虛擬路由器位于SPED上�����,因而限于在SP云的邊緣��。
虛擬路由器通過SP網(wǎng)絡(luò)來轉(zhuǎn)發(fā)數(shù)據(jù)包和控制包,但在SPED外并不可見�����。
3.與某VPN相關(guān)的一給定SPED上的VR的“大小”可以用其所占用的IP資源數(shù)量表示��,
如路由接口、路由過濾器�、路由入口等����。這些完全由SP控制�����,并可以提供SPED級(jí)別的精細(xì)
的控制粒度���,使SP得以提供虛擬的無限等級(jí)的VR服務(wù)�����。(例:一個(gè)SPED可能是一個(gè)給定VPN
的聚集點(diǎn),如公司總部���,其它的SPED可能是接入點(diǎn),如分公司辦公室����。在這種情況下����,與公
司總部相連的SPED可能需要一個(gè)比較大的VR�,而其它與分公司相連的只需要小的VR,甚至
是stubVR就行了。)這樣��,SP在設(shè)計(jì)網(wǎng)絡(luò)的時(shí)候還可以考慮把負(fù)載分布在網(wǎng)絡(luò)中的各路由
器上��。
4.從SP網(wǎng)絡(luò)中與某VPN的CPE路由器相連的SPED數(shù)目上可以看出該VPN的大小�。從這
一點(diǎn)上看�����,一個(gè)連接有許多結(jié)點(diǎn)的VPN是一個(gè)“大”VPN,否則,就是“小”VPN���。而且,一
個(gè)VPN可能擴(kuò)大也可能變小。VPN可能因公司的合并或達(dá)成合作協(xié)議而合并。這種體系結(jié)構(gòu)
可以很簡(jiǎn)單地處理這些變化,因?yàn)槲ㄒ坏腎P資源并不為某一VPN專用或指定給某一VPN����。SPED
的數(shù)量也不受任何人工配置條件的限制��。
5.SP擁有和治理第一、第二層網(wǎng)絡(luò)實(shí)體。尤其是,SP控制物理的交換機(jī)或路由器����、物
理連接�����、第二層邏輯連接(如幀中繼的DLCI�����,ATM的VPI/VCI)以及LSP(和它們對(duì)于指定
VPN的任務(wù))等。在VPN中,為其指定和分配第二層實(shí)體是SP的責(zé)任���。
6.PNA擁有和治理第三層實(shí)體,包括IP接口、動(dòng)態(tài)路由協(xié)議或靜態(tài)路由表的選擇、路
由接口等。注重:雖然邏輯上第三層的配置由PNA負(fù)責(zé)����,但并非必須由PNA執(zhí)行���。由SP負(fù)責(zé)
VR的IP治理對(duì)PNA來說是個(gè)更好的選擇��。不過�����,無論誰負(fù)責(zé)配置和檢測(cè)��,PNA所見的都是整
個(gè)路由域,這樣���,PNA便于設(shè)計(jì)網(wǎng)絡(luò)實(shí)現(xiàn)intranet,extranet及流量工程。
7.在治理VPN時(shí)����,就好象使用的是物理路由器����,而不是虛擬路由器��。因此��,可以用SNMP
或其它類似的方法,甚至直接在VRC上來進(jìn)行網(wǎng)絡(luò)治理��。
8.在一個(gè)路由域內(nèi)��,工業(yè)標(biāo)準(zhǔn)的查錯(cuò)工具如PING����,traceroute��,完全由專用的物理路
由器組成���。因此�����,檢測(cè)和查錯(cuò)可以用SNMP或類似的方法完成���,但也可以使用這些標(biāo)準(zhǔn)工具�,
當(dāng)然也可以使用VRC。
9.因?yàn)閂RC對(duì)用戶是可見的�����,路由器的非凡安全檢查應(yīng)該確保VPN用戶只可以使用該VPN
的第三層資源�,而不能訪問該路由器中的物理資源。許多路由器利用數(shù)據(jù)庫視圖來實(shí)現(xiàn)這一
功能���。
10.SP也可以使用VRC。假如配置和監(jiān)控都交由SP負(fù)責(zé)����,那么�,SP可以象PNA一樣用VRC
來完成這些任務(wù)���。
11.SPED中的VR組成了SP網(wǎng)絡(luò)中的VPN��。同時(shí)���,它們也代表一個(gè)虛擬路由域�����。它們通過
SP網(wǎng)絡(luò)內(nèi)的一個(gè)仿真LAN�,動(dòng)態(tài)地發(fā)現(xiàn)對(duì)方�����。
SP網(wǎng)絡(luò)中的每個(gè)VPN都被且僅被指定一個(gè)多播地址。這個(gè)地址從可治理范圍
(239.192/14)[Meyer]中選取�,唯一的要求就是必須與VPN一一對(duì)應(yīng)��。只要把一個(gè)VPN標(biāo)識(shí)
明確地對(duì)應(yīng)于一個(gè)多播地址,就可以通過路由器自動(dòng)完成這一功能�����。對(duì)多播地址的預(yù)約可以
讓一個(gè)VR發(fā)現(xiàn)其它VR或被其它VR發(fā)現(xiàn)�。要注重的是,多播地址并非是必須配置的��。
12.數(shù)據(jù)可用下列方法轉(zhuǎn)發(fā):
1.適用于所有VPN的進(jìn)行“盡力而為”傳送的LSP����。
2.為某一VPN專用,并為VPN用戶提供流量工程的LSP。
3.可提供區(qū)分服務(wù)的專用LSP�。
4.在專用的第二層虛電路上的基于策略的轉(zhuǎn)發(fā)����。
對(duì)于轉(zhuǎn)發(fā)方法的選擇���,SP和VPN用戶可以相互協(xié)商��,還可以將之作為服務(wù)水平協(xié)議的一
部分��。這樣SP可以為不同的VPN用戶提供不同等級(jí)的服務(wù)。
當(dāng)然�,在LSP建立或建立失敗期間��,也采用逐跳轉(zhuǎn)發(fā)的方法轉(zhuǎn)發(fā)路由信息包和用戶數(shù)據(jù)
包。
13.這種方法并不要求SPED上的每個(gè)VR上為每個(gè)路由協(xié)議運(yùn)行一個(gè)單獨(dú)的操作系統(tǒng)任
務(wù)�。對(duì)使用中的特定的SPED可能要定制一些非凡的操作�。為每一個(gè)VR維護(hù)一個(gè)獨(dú)立的路由
數(shù)據(jù)庫和轉(zhuǎn)發(fā)表可以使一個(gè)給定的SPED獲得最好的性能�。
7.可擴(kuò)展的配置
痛在SP云中,一個(gè)典型的VPN一般有100-1000個(gè)終端����。因此���,配置工作與終端節(jié)點(diǎn)數(shù)是線
性相關(guān)的。當(dāng)一個(gè)新用戶結(jié)點(diǎn)加入某VPN的VR時(shí),治理員必須添加一些配置項(xiàng)���。假如情況變
壞,大量的配置工作會(huì)讓SP感到相當(dāng)頭疼����。在這種結(jié)構(gòu)里�����,SP所要分配和配置的就是出/入
口物理連接(如幀中繼DLCI或ATM的VPI/VCI),以及VR與仿真LAN之間的虛連接�。
8.動(dòng)態(tài)鄰居發(fā)現(xiàn)
給定一VPN的VR都駐留在網(wǎng)絡(luò)中的一系列SPED中����。這些VR應(yīng)該互相了解�����,并且連接在一
起�����。
一種方法就是對(duì)鄰居進(jìn)行手工配置。例如,當(dāng)一個(gè)新結(jié)點(diǎn)加入到VPN中時(shí)�,所有其它相
鄰的VR都需進(jìn)行相應(yīng)的配置��。顯然這種方法可擴(kuò)展性相當(dāng)差。
因此�,VR要能進(jìn)行動(dòng)態(tài)地鄰居發(fā)現(xiàn)���。這可以通過為每一VPN提供一個(gè)仿真LAN來實(shí)現(xiàn)��。
仿真LAN可以有下列作用:
1.利用該LAN進(jìn)行與其它VR相關(guān)的下一跳IP地址的解析�。
2.RIP����、OSPF等路由協(xié)議可以利用該LAN發(fā)現(xiàn)鄰居并發(fā)送路由更新信息���。
每個(gè)VPN的VPN仿真都基于一個(gè)IP多播地址�。因?yàn)橐Wo(hù)公開地址空間,而且多播地址只
能在SP網(wǎng)絡(luò)空間內(nèi)可見�����,我們將使用[Meyer]描述的組織范圍的多播地址(239.192/14)��。每
個(gè)VPN都分配了這樣的一個(gè)地址����。為了減少相應(yīng)的配置工作�����,這個(gè)地址是根據(jù)VPN標(biāo)識(shí)計(jì)算
得到的�����。
9.VPN的IP域配置
151.0.0.1
################
##
#路由器A#
##
################
##
##
##
##
############################
####
#路由器B##路由器C#
####
####
############################
152.0.0.2153.0.0.3
Figure1:物理路由域
SP網(wǎng)絡(luò)中的物理路由域如上圖所示。在這個(gè)網(wǎng)絡(luò)中���,物理路由器A,B�,C彼此互聯(lián)���。每個(gè)路
由器都有一個(gè)指定的公開IP地址�����。根據(jù)這些地址可以唯一地識(shí)別每個(gè)在SP網(wǎng)絡(luò)中的路由器��。
172.150.0/18172.150.128/18
--------------------------------------------------
172.150.128.1
路由器A(151.0.0.1)----------
#############備件數(shù)據(jù)庫
---#-----------#/---------/
OSPF##ISIS/----------/
------------#VR-A#--------------
#----------#-
#############10.0.0.1/24
----------------#-#--------------------
10.0.0.2/24##10.0.0.3/24
-------------##----------------
###############################
#VR-B###VR-C#
#-------------#路由器B##------------#----
(152.0.0.2)##############################(153.0.0.3)
-------------------------路由器CExtranet
172.150.64/18設(shè)備商
Figure2:虛擬路由域
每個(gè)虛擬路由器都可被PNA配置����,如同一個(gè)私有的物理路由器���。當(dāng)然�����,SP限制虛擬路由
器對(duì)資源的使用��。每個(gè)VPN都有若干與CPE路由器的物理連接,以及若干與仿真LAN的邏輯
連接�����。每個(gè)連接都是支持IP且可配置的���,以使用任意的標(biāo)準(zhǔn)路由協(xié)議和路由策略的組合連接
到指定的目的公司網(wǎng)絡(luò)���。
如在圖2中��,VPN1中的3個(gè)SPED上有3個(gè)VR���。VR-A�、VR-B�����、VR-C分別在路由器A����、B�、
C上,VR-C和VR-B與CPE設(shè)備有一個(gè)物理連接,而VR-A有兩個(gè)�。每個(gè)VR與仿真LAN都有一
個(gè)支持IP的邏輯連接��。VR-A與公司總部之間的物理連接上運(yùn)行的是OSPF。因此,它可以轉(zhuǎn)
發(fā)到172.150.0/18和172.150.128/18的包。VR-B與分公司的物理連接上運(yùn)行的是RIP����。通
過與VR-A的邏輯連接��,VR-B可以用RIP向VR-A發(fā)送來自172.150.64/18的包。通過該邏輯
連接����,VR-A向VR-B廣告一個(gè)缺省路由����。VR-C作為設(shè)備商的外聯(lián)網(wǎng)連接�,與172.150.128.1
上的備件數(shù)據(jù)庫相連。因此�,VR-C通過邏輯連接向VR-A廣告一個(gè)缺省路徑��,VR-A只向VR-C
傳遞來自172.150.128.1的包。這樣��,保證了公司網(wǎng)絡(luò)其余部分的安全性����。
網(wǎng)絡(luò)治理員將做如下配置:
1. VR-A到172.150.0/18和172.150.128/18子網(wǎng)的OSPF連接。
2. VR-A到VR-B和VR-C的RIP連接。
3. VR-A上僅向VR-B廣告缺省路徑的路由策略��;
4. VR-A上向VR-C廣告172.159.128.1路由的路由策略����;
5. VR-B上與VR-A連接的RIP協(xié)議
6. VR-C上向VR-A廣告缺省路徑的RIP協(xié)議
10.鄰居發(fā)現(xiàn)舉例
在圖1中,VR-A所在的SPED-A使用的公開IP地址是150.0.0.1/24,SPED-B的是
150.0.0.2/24��,SPED-C的是150.0.0.3/24�����。注重,VR之間的連接是通過仿真LAN實(shí)現(xiàn)的�����。
在仿真LAN連接上的接口地址分別是VR-A:10.0.0.1/24�,VR-B:10.0.0.2/24,VR-C:
10.0.0.3/24。
以VR-A向VR-B傳送一個(gè)數(shù)據(jù)包為例。要得到VR-B的地址(SPED-B的地址),VR-A發(fā)送一個(gè)
以VR-B(10.0.0.2)為邏輯地址的ARP請(qǐng)求包。包的源邏輯地址為10.0.0.1��,硬件地址為
151.0.0.1���。這個(gè)ARP請(qǐng)求封裝在該VPN的組播地址中發(fā)送出去�����。SPEDB和SPEDC都收到了
該包的副本��。SPEDB認(rèn)出自己的地址,以152.0.0.2為硬件地址給予應(yīng)答���。這個(gè)應(yīng)答被發(fā)送
到該VPN的組播地址,以促進(jìn)無目的ARP的使用和網(wǎng)絡(luò)流量的減少�����。
假如沒有使用鄰居發(fā)現(xiàn)策略���,就必須進(jìn)行手工配置�����。在本例中,VR-A與VR-B邏輯地址
(10.0.0.2)的連接將被配置為一個(gè)到硬件地址152.0.0.2的靜態(tài)ARP入口��。
11.轉(zhuǎn)發(fā)
上面已經(jīng)提到���,數(shù)據(jù)的轉(zhuǎn)發(fā)可以有不同的方法��。除了逐跳轉(zhuǎn)發(fā)路由信息/控制包外�,其它的方
法都是可配置的��。一方面可用基于策略的轉(zhuǎn)發(fā)實(shí)現(xiàn)快速服務(wù)��,另一方面可以用公開LSP實(shí)現(xiàn)
盡力而為的轉(zhuǎn)發(fā)��。轉(zhuǎn)發(fā)優(yōu)先權(quán)順序如下:
1. 基于策略的轉(zhuǎn)發(fā);
2. 可選擇性配置的專用LSP���;
3. 盡力而為的公開LSP。
11.1專用LSP
這種LSP可以在VPN的基礎(chǔ)上進(jìn)行選擇性配置���。一般,該LSP都與帶寬預(yù)留�、區(qū)分服務(wù)或QoS
有關(guān)�����。它可以用于轉(zhuǎn)發(fā)用戶數(shù)據(jù)或VPN的專用控制數(shù)據(jù)。
11.2盡力而為的公開LSP
當(dāng)不能配置或無法使用具有指定帶寬或QoS特性的專用LSP時(shí)���,VPN的數(shù)據(jù)包就用公開LSP
進(jìn)行轉(zhuǎn)發(fā)。該LSP的一端是VPN0的出口路由器��。shim頭中的VPN標(biāo)識(shí)用來對(duì)出口路由器中
來自不同VPN的數(shù)據(jù)包進(jìn)行解復(fù)用�。
12.區(qū)分服務(wù)
為VPN配置專用LSP使得SP得以向付費(fèi)用戶提供區(qū)分服務(wù)。這些專用LSP與可用的第二層
QoS等級(jí)或區(qū)分服務(wù)編碼點(diǎn)有關(guān)�����。在一個(gè)VPN中�����,具有不同服務(wù)級(jí)別的專用LSP不能按流的
包分類屬性進(jìn)行配置。因?yàn)檫@一點(diǎn)以及對(duì)虛擬路由器大小的把握����,SP得以為VPN用戶提供真
正的區(qū)分服務(wù)���。
13.安全問題
13.1路由安全
未經(jīng)修改的標(biāo)準(zhǔn)路由協(xié)議如OSPF����、BGP的使用意味著所有的加密和安全方法(如md5鄰
機(jī)鑒定)在VR中都可以使用�。重要的是,要確保VPN路由信息不會(huì)被無意地泄露給其它VPN�。
一種實(shí)現(xiàn)方法就是保持路由和轉(zhuǎn)發(fā)數(shù)據(jù)庫的隔離性���。
13.2數(shù)據(jù)安全
SP可以向VPN用戶保證��,一個(gè)VPN中的數(shù)據(jù)包不會(huì)進(jìn)入另一個(gè)VPN。從路由的角度來看�����,只
要保證每個(gè)虛擬路由器的路由數(shù)據(jù)庫的相互隔離就可以實(shí)現(xiàn)了���。從數(shù)據(jù)轉(zhuǎn)發(fā)的角度來看�,在
共享LSP中使用標(biāo)簽棧[Rosen2][Callon],或使用專用LSP也可以保證數(shù)據(jù)的私有性了。設(shè)
置包過濾可以使本問題的解決更為簡(jiǎn)單����。
13.3配置安全
在PNA看來�,虛擬路由器就好象是個(gè)物理路由器����。這意味著PNA可以對(duì)它們進(jìn)行配置,以實(shí)
現(xiàn)公司辦公室間的連接���。顯然�,SP必須保證只有PNA和PNA的設(shè)計(jì)者才能進(jìn)入與專用網(wǎng)相連
的SPED上的虛擬路由器。因?yàn)樘摂M路由器的控制器VRC與物理路由器在功能上是相同的,所
以一切在物理路由器控制器上可以進(jìn)行的認(rèn)證方法,如密碼、RADIUS等�����,PNA都可以實(shí)現(xiàn)����。
13.4物理網(wǎng)絡(luò)安全
當(dāng)一個(gè)PNA登錄進(jìn)入一個(gè)SPED對(duì)VPN進(jìn)行配置或檢測(cè)時(shí),實(shí)際上PNA進(jìn)入的是VPN的那個(gè)虛
擬路由器���。PNA只有對(duì)VR進(jìn)行第三層配置和檢測(cè)的權(quán)限���,并不能對(duì)物理網(wǎng)絡(luò)進(jìn)行配置�。這樣����,
就保證了一個(gè)VPN治理人員不會(huì)因?yàn)槭韬龌蚬室舛绊慡P的網(wǎng)絡(luò)。
14.虛擬路由器的檢測(cè)
物理路由器的所有路由檢測(cè)功能虛擬路由器都有,包括“ping","traceroute"應(yīng)用�。此外�,
VR還可以顯示專用路由表����,連接狀態(tài)數(shù)據(jù)庫。
15.性能問題
出于性能和可擴(kuò)展性的考慮,現(xiàn)在的路由器分為兩個(gè)平面:路由(控制)平面和轉(zhuǎn)發(fā)平面��。
在路由平面上�����,許多目前的路由協(xié)議使用優(yōu)化算法計(jì)算到終點(diǎn)的最短路徑�����。如���,OSPD和ISIS
用Djikstra算法�����,BGP用“決定過程”����。這些算法都是基于對(duì)路由數(shù)據(jù)庫的分析和到終點(diǎn)的
最優(yōu)路徑的計(jì)算��。這些算法的性能特性均取決于其拓?fù)涮攸c(diǎn)(ISIS和OSPF)或到終點(diǎn)路徑上
AS的數(shù)目(BGP)����。但重要的是��,對(duì)現(xiàn)在大多數(shù)路由器而言����,建立和進(jìn)行這些計(jì)算的開銷都很
小����。因?yàn)槁酚捎?jì)算時(shí)使用的數(shù)據(jù)庫是駐留在內(nèi)存中的。
因此����,我們可以得出下列結(jié)論:
1. 對(duì)一個(gè)路由域進(jìn)行路由計(jì)算并不比建立一些指向數(shù)據(jù)庫對(duì)象的寄存器開銷更大�;
2. 一個(gè)給定的算法的性能不會(huì)因?yàn)榻r(shí)的開銷而顯著降低����;
3. 當(dāng)一個(gè)物理路由器要為若干虛擬路由器進(jìn)行路由計(jì)算時(shí)���,其計(jì)算復(fù)雜性并不比單個(gè)虛
擬路由器的路由計(jì)算復(fù)雜性之和更高�。
4. 無論是使用疊加模式還是虛擬路由器模式,一個(gè)路由器的性能特點(diǎn)都只取決于它的硬
件能力�、數(shù)據(jù)結(jié)構(gòu)和算法的選擇����。
為了進(jìn)一步說明���,讓我們看一個(gè)有N個(gè)VPN的物理路由器���,其上運(yùn)行的是被稱為RP的路由協(xié)
議���。假設(shè)RP路由計(jì)算算法的平均性能是f(X,Y)����,X和Y是決定路由協(xié)議算法性能的參數(shù)���。例
如����,對(duì)使用Djikstra算法的如OSPF���,X可能是區(qū)域中的節(jié)點(diǎn)數(shù)�����,而Y是連接數(shù)�。任一VPNn
的性能是f(Xn,Yn)�。(物理)路由器的性能是f(Xi,Yi)之和(0<=i<=N)��。這個(gè)結(jié)論與VPN
實(shí)現(xiàn)方法(虛擬路由器模式或疊加模式)的選擇無關(guān)�����。
一般情況下,轉(zhuǎn)發(fā)平面有兩項(xiàng)輸入:轉(zhuǎn)發(fā)表和包頭�����。主要的性能參數(shù)是查詢算法��。最好能將
IP路由表組織成樹狀結(jié)構(gòu)��,用二分法進(jìn)行查找。該算法的性能是O(logn)。
因此�����,只要虛擬路由器的路由表彼此不同,查詢路由表的開銷就是固定的��,O(logn)就可以
找到入口。這與采用疊加模式的VPN并沒什么不同��。在疊加模式中����,疊加路由器使用的是多
個(gè)VPN路由表的集成,其性能為O(logm*n)�,m表示該路由表中VPN的數(shù)目��。
16.致謝
TheauthorswishtothankDaveRyan,LUCentTechnologiesforhis
invaluablein-depthreviewofthisversionofthismemo.
17.參考文獻(xiàn)
[Callon]CallonR.,etal.,"AFrameworkforMultiPRotocolLabel
Switching",WorkinProgress.
[Fox]Fox,B.andB.Gleeson,"VirtualPrivateNetworks
Identifier",RFC2685,September1999.
[Meyer]Meyer,D.,"AdministrativelyScopedIPMulticast",RFC2365,
July1998.
[Rosen1]Rosen,E.andY.Rekhter,"BGP/MPLSVPNs",RFC2547,March
1999.
[Rosen2]RosenE.,Viswanathan,A.andR.Callon,"Multiprotocol
LabelSwitchingArchitecture",WorkinProgress.
18.作者地址
KarthikMuthukrishnan
LucentTechnologies
1RobbinsRoad
Westford,MA01886
Phone:(978)952-1368
EMail:mkarthik@lucent.com
AndrewMalis
VivaceNetworks,Inc.
2730OrchardParkway
SanJose,CA95134
Phone:(408)383-7223
EMail:Andy.Malis@vivacenetworks.com
19.版權(quán)聲明
Copyright(C)TheInternetSociety(2000).AllRightsReserved.
Thisdocumentandtranslationsofitmaybecopiedandfurnishedto
others,andderivativeworksthatcommentonorotherwiseeXPlainit
orassistinitsimplementationmaybeprepared,copied,published
anddistributed,inwholeorinpart,withoutrestrictionofany
kind,providedthattheabovecopyrightnoticeandthisparagraphare
includedonallsuchcopiesandderivativeworks.However,this
documentitselfmaynotbemodifiedinanyway,suchasbyremoving
thecopyrightnoticeorreferencestotheInternetSocietyorother
Internetorganizations,exceptasneededforthepurpoSEOf
developingInternetstandardsinwhichcasetheproceduresfor
copyrightsdefinedintheInternetStandardsprocessmustbe
followed,orasrequiredtotranslateitintolanguagesotherthan
English.
Thelimitedpermissionsgrantedaboveareperpetualandwillnotbe
revokedbytheInternetSocietyoritssuccessorsorassigns.
Thisdocumentandtheinformationcontainedhereinisprovidedonan
"ASIS"basisandTHEINTERNETSOCIETYANDTHEINTERNETENGINEERING
TASKFORCEDISCLAIMSALLWARRANTIES,EXPRESSORIMPLIED,INCLUDING
BUTNOTLIMITEDTOANYWARRANTYTHATTHEUSEOFTHEINFORMATION
HEREINWILLNOTINFRINGEANYRIGHTSORANYIMPLIEDWARRANTIESOF
MERCHANTABILITYORFITNESSFORAPARTICULARPURPOSE.
Acknowledgement
FundingfortheRFCEditorfunctioniscurrentlyprovidedbythe
InternetSociety.
Muthukrishnan&MalisInformational[Page16]
