本文档讲述了一种Internet社区的Internet标准跟踪协议,它需要进一步进行讨论和建议以得到改进。请参考最新版的“Internet正式协议标准” (STD1)来获得本协议的标准化程度和状态。本备忘录的发布不受任何限制。
摘要
本备忘录描述了一种在服务提供商的MPLS主干网上建立核心VPN服务的方法。该方法在主干网中使用MPLS,以提供除“尽力而为”外的“优先服务”。其核心思想是,服务提供商为客户提供一个虚拟路由器服务。该体系结构的基本原则是便于配置、用户安全、网络安全、动态邻居发现、可扩展性和对现有路由协议的不加修改的使用。
目录
1.缩略语
2. 概述
3. 虚拟路由器
4. 目标
5. 结构要求
6. 结构框架
7. 可扩展的配置
8. 动态邻居发现
9. VPN 的IP域配置
10.邻居发现举例
11. 转发
11.1专用LSP
11.2尽力而为的公开LSP
12.区分服务
13.安全问题
13.1路由安全
13.2数据安全
13.3配置安全
13.4物理网络安全
14.虚拟路由器的检测
15.性能问题
1.缩略语
ARP
地址解析协议
CE
客户边缘路由器
LSP
标签交换路径
PNA
专用网管理员
SLA
服务等级协议
SP
服务提供商
SPED
SP边缘设备
SPNA
SP网络管理员
VMA
VPN 组播地址
VPNID
VPN 标识
VR
虚拟路由器
VRC
虚拟路由控制台
2. 概述
本备忘录描述了一种以服务提供商网络为主干网,提供IP
VPN服务的方法。一般而言,有两种实现方法:叠加模式和虚拟路由器方法。前者是在现有路由协议的基础上叠加一些语义,以携带一些地址可达信息。在本文中,我们着重于介绍虚拟路由器的方法。
本文描述的方法并不需要对现有的路由协议进行修改。邻居发现是通过仿真局域网及地址解析协议来实现的。本文力图对SP和PNA做如下分工:SP拥有和管理第一层、第二层的服务,而PNA负责第三层的服务。因为有逻辑独立的路由域,PNA可以灵活地使用私有地址和未经注册的地址。而在共享LSP上利用标签堆栈对专用LSP和VPN标识进行了封装,数据安全性也得到了保证。
本备忘录描述的方法与RFC2547中不同之处在于:并没有指定路由协议来携带VPN路由信息。在RFC2547中描述了一种方法,可以通过修改BGP协议来携带VPN在SP主干网上的单播路由。如果要携带多播路由,还必须进行进一步的工作。
3. 虚拟路由器
一个虚拟路由器是一个路由设备中静态或动态线程的集合,提供类似物理路由器的路由和转发服务。一个虚拟路由器不须单独的操作系统处理(当然也可以有),它只是给人一种错觉,好象有一个专用的路由器为它所连接的网络提供服务。一个虚拟路由器与它相应的物理设备一样,是路由域的一个元素。这个路由域中的其它路由器可以是物理的,也可以是虚拟的。如果虚拟路由器与一个特定的(逻辑离散的)路由域相连,而一个物理路由器又可以承载多个虚拟路由器的话,那么,一个物理路由器就能支持多个(逻辑离散的)路由空间了。
从VPN用户的角度来看,虚拟路由器应该与物理路由器尽可能地相同。换言之,除了极个别情况外,虚拟路由应该在各方面(配置、管理、检测、查错)都象一个专用的物理路由器。这样,就无须对大量已安装的路由器进行升级或重新配置,也不需对网络管理员重新培训。
虚拟
路由器的任务在于:
1.
对任意路由协议组合的配置
2.
对网络的检测
3.
查错
每个VPN都有一个逻辑上独立的路由域,这样SP就可以更好地为用户提供相当灵活的虚拟路由器服务,而无需为每一个VPN准备一个物理路由器。这也就是说,SP的硬件投资--路由器和它们之间的连接--可以被多个用户复用。
4. 目标
1. SP网络上的VPN终节点扩展性好、易于配置。添加一个CE时,最多只需要加一条配置信息。
2. 无需使用SP的唯一而且难得到的资源,如IP地址和子网等。
3. 在SP云中对虚拟路由器的动态发现。这是个可选,但可以保持网络尽可能简单的相当有价值的目标。
4. 虚拟路由器应能由VPN网络管理员完全配置和检测。这样,PNA在VPN配置问题上就有足够的灵活性,可以自己配置,也可以交由SP完成。
5. 各VPN的数据转发质量应该是可配置的。这种质量要求可解释为连续(或离散)级别的服务,例如,尽力而为,专用带宽,QOS以及基于策略的转发服务等。
6. 可以通过在VPN中建立专用的数据转发LSP的方法将各VPN配置为区别服务模式。
7. Internet路由器的安全也包括虚拟路由器。这就意味着虚拟路由器的数据转发和选路应该与专用的物理路由器一样安全,用户数据及可达性信息不会从一个路由域无意地泄露出去。
8. 不指定在虚拟路由器之间使用的路由协议。这对于VPN用户自主地按各自的方式建立网络及设置策略相当重要。例如,一些协议适于进行包过滤,而另一些则适于进行流量工程。而VPN用户有时可能希望同时应用这两类服务来获得最优的网络服务质量。
9. 对现有的路由协议,如BGP,RIP,OSPF,ISIS不进行特别的修改和扩充。这对于将来在其上叠加其它如NHRP和组播服务是很重要的。此外,对现有协议的改进和增强(如对ISIS和OSPF在流量工程方面的扩展等)也可以方便地结合进VPN应用中。
5. 结构要求
服务提供商的网络必须支持到所有节点的多播路由,以提供VPN连接和转发虚拟路由器发现的多播数据。不须指定某个多播路由协议。一个服务提供商SP可以运行MOSPF或DVMRP或其它协议。
6. 结构框架
1.
每个VPN都指定了一个在SP网络中唯一的VPNID。这个标识明确地表明了与一个包或一个连接有关的VPN。VPNID为0的标识被保留,用于表示公共Internet。VPN标识最好与RFC2685兼容,但并非必须如此。
2.
VPN服务由虚拟路由器提供。这些虚拟路由器位于SPED上,因而限于在SP云的边缘。虚拟路由器通过SP网络来转发数据包和控制包,但在SPED外并不可见。
3.
与某VPN相关的一给定SPED上的VR的“大小”可以用其所占用的IP资源数量表示,如路由接口、路由过滤器、路由入口等。这些完全由SP控制,并可以提供SPED级别的精细的控制粒度,使SP得以提供虚拟的无限等级的VR服务。(例:一个SPED可能是一个给定VPN的聚集点,如公司总部,其它的SPED可能是接入点,如分公司办公室。在这种情况下,与公司总部相连的SPED可能需要一个比较大的VR,而其它与分公司相连的只需要小的VR,甚至是stub VR就行了。)这样,SP在设计网络的时候还可以考虑把负载分布在网络中的各路由器上。
4. 从SP网络中与某VPN的CPE路由器相连的SPED数目上可以看出该VPN的大小。从这一点上看,一个连接有许多结点的VPN是一个“大”VPN,否则,就是“小”VPN。而且,一个VPN可能扩大也可能变小。VPN可能因公司的合并或达成合作协议而合并。这种体系结构可以很简单地处理这些变化,因为唯一的IP资源并不为某一VPN专用或指定给某一VPN。SPED的数量也不受任何人工配置条件的限制。
5.
SP拥有和管理第一、第二层网络实体。尤其是,SP控制物理的交换机或路由器、物理连接、第二层逻辑连接(如帧中继的DLCI,ATM的VPI/VCI)以及LSP(和它们对于指定VPN的任务)等。在VPN中,为其指定和分配第二层实体是SP的责任。
6.
PNA拥有和管理第三层实体,包括IP接口、动态路由协议或静态路由表的选择、路由接口等。注意:虽然逻辑上第三层的配置由PNA负责,但并非必须由PNA执行。由SP负责VR的IP管理对PNA来说是个更好的选择。不过,无论谁负责配置和检测,PNA所见的都是整个路由域,这样,PNA便于设计网络实现intranet, extranet及流量工程。
7.
在管理VPN时,就好象使用的是物理路由器,而不是虚拟路由器。因此,可以用SNMP或其它类似的方法,甚至直接在VRC上来进行网络管理。
8.
在一个路由域内,工业标准的查错工具如PING,traceroute,完全由专用的物理路由器组成。因此,检测和查错可以用SNMP或类似的方法完成,但也可以使用这些标准工具,当然也可以使用VRC。
9. 因为VRC对用户是可见的,路由器的特别安全检查应该确保VPN用户只可以使用该VPN的第三层资源,而不能访问该路由器中的物理资源。许多路由器利用数据库视图来实现这一功能。
10. SP也可以使用VRC。如果配置和监控都交由SP负责,那么,SP可以象PNA一样用VRC来完成这些任务。
11. SPED中的VR组成了SP网络中的VPN。同时,它们也代表一个虚拟路由域。它们通过SP网络内的一个仿真LAN,动态地发现对方。
SP网络中的每个VPN都被且仅被指定一个多播地址。这个地址从可管理范围(239.192/14)中选取,唯一的要求就是必须与VPN一一对应。只要把一个VPN标识明确地对应于一个多播地址,就可以通过路由器自动完成这一功能。对多播地址的预约可以让一个VR发现其它VR或被其它VR发现。要注意的是,多播地址并非是必须配置的。