在公共骨干网上实施VPN的方案已经提出了很多,并且能够保证不同水平的保密性。但是,这些方案中的大部分需要每一VPN有独立转发能力,并且能够使用穿过骨干网的基于IP或MPLS的通道。
本文描述的使用VR的路由VPN的结构和〔VPN-RFC2764〕中描述的IP VPN的框架相兼容。但是,它可以提供基于每个VPN的路由、转发、QoS和业务管理能力。基于VR概念构建的VPN和基于物理路由器的VPN有完全一样的机制,并且继承了现存的配置、实施、运行、故障恢复、监测和计费的机制和工具。VR可以使用不同的方案实施,例如通过第二层直接的VR到VR的连接,或者把多个VR聚合成一个VR,然后用基于IP或MPLS的通道把它们连接起来。在VPN域内,任何路由协议不需改变和扩展就可以获得以及分发VPN可达信息。
现在,有两种基本的结构实现路由VPN,即虚拟路由器VR模式和搭载模式。两种模式的主要不同在于获得VPN可达信息和成员信息的功能模型不相同。在VR模型中,VPN域中的每一个VR都运行路由协议,在它们之间分发VPN可达信息。因此,VPN成员信息和VPN可达信息被认为是分离的,并且由分离的机制实现。在搭载模型中,VPN的网络层在骨干网的边缘终结,并且由骨干路由协议(如BGP-4)负责在所有被配置为某一VPN的PE之间分发VPN成员信息和可达信息。?VPN-RFC2547bis?就是一个搭载VPN结构的例子。
1、VR的定义
VR是通过软件实现的模拟物理路由器。VR有独立的IP路由表和转发表,并且各VR相互独立。这就意味着VPN的地址空间可以相同。但是,同一VPN内的地址必须唯一。VR有以下两方面的主要功能:
(1) 能够使用任何路由协议(如静态配置、OSPF、RIP或BGP)构建描述VPN节点之间连接特性的路由表。
(2)能够把数据包转发到VPN域中的下一跳。
从VPN用户的角度看,VR提供和物理路由器相同的功能。尽管各VPN运行在共享转发和传输资源上,但是,路由和转发的分离好像为每一VPN CE链路提供了可以保证与其他的VPN业务分离的专用路由器。
属于同一个VPN的VR必须具有相同的VPNID?VPN-RFC2685?。对于CE接入设备来说,VR就好像是CE设备的邻居路由器,CE把非本地的业务全部发送到VR。属于同一VPN域的VR必须负责在它们之间学习和分发VPN可达信息,并且一个VR仅仅拥有其所属VPN的路由。
2、网络参考模型
VPN用户节点是通过CE设备(可能是网桥或路由器)与VR之间的连接来连接到服务提供商骨干网的。CE设备可以通过任何的接入链路(如ATM、FR、以太网、PPP或IPSec、L2TP和GRE等IP隧道)连接到VR,也可以通过专用线路或拨号链路静态地连接到服务提供商的网络上。另外,CE设备可以被配置为连接一个或多个VR,而多个VR也可以共存于同一个服务商网络边缘设备(Provider Edge Device,PE)中。图1给出网络的参考模型。
每一VR维护一个路由表,它定义了该VR所属VPN中节点到节点的可达信息。对于网络的骨干路由器PE(Provider Equipment)来说,它意识不到VPN的存在,也不保存任何的VPN的状态信息。所以网络的扩展性也就大大增强了。并且,VR对骨干网没有任何的要求,它可以使用ATM、FR、IP或 MPLS等多种传输技术。
3、怎样使用VR构建和实施VPN
使用VR实现VPN有两种方案:
●通过第二层的VR到VR连接;
●多个VR聚合到一个VR上。
以上VR实现的情况可以在同一个PE中共存,并且互不影响。
3.1 通过第二层的VR到VR连接构建VPN
如图2所示,VR可以直接在FR或ATM连接或第二层传输技术之上实现。这种类型VR的实施允许直接在每个VPN连接上实现QoS。第二层连接可以静态配置或动态建立。
3.2 通过聚合VR构建VPN
另一种典型的VPN实施方案是把多个VR连接到一个VR(我们称这种VR为"骨干VR")上,然后再连接到骨干网。骨干VR在功能上和其他的VR没有什么不同。它仅仅是一个被特殊配置和应用的VR,并且骨干VR不需要了解运行在每一专用VR上的路由。图3给出了使用骨干VR实现VPN的模型图,图中VR-1与VR-2就是骨干VR。
骨干VR可以实施在ATM、FR、IP或MPLS网络之上。由于骨干VR允许VPN VR的聚合,所以当有新的VPN节点加入时,骨干网的配置就可以保持不变。VR和骨干VR之间的关系只是简单的叠加,它们之间并不存在任何路由关系。通过聚合到骨干VR,VPN内的每一VR都好像直接连接起来(支持全连接或部分连接)。在VPN内,VR之间直接交换路由信息,而骨干VR是与其他的骨干实体(P路由器或可能的其他骨干VR)交换路由信息。VR可以在自己的VPN域内运行任何的路由协议,可以是静态路由或者动态路由协议,如RIP、OSPF和BGP-4。
VPN的数据和路由信息通过IP或MPLS通道传送。但是,该方案也不排除使用其他的通道机制。通道可以静态配置或动态建立。对于VR来说,通道实际上就是点到点的链路。业务通过通道传送,由骨干VR转发。
图4说明了多个骨干网连接到同一PE的例子。当PE连接到多个服务提供商骨干网或当服务提供商为不同类型的骨干网提供不同的VPN服务时,这种类型的配置就会提供更多的灵活性。
4、VPN拓扑和成员的发现
基于VR的VPN方案简洁地把分发可达信息和获得VPN拓扑的机制分离开来。VPN成员信息指的是拥有共同VPN用户的一组PE。VPN拓扑信息指的是该组PE以及它们之间的连接性。根据VPN用户的需求,也可以处理动态拓扑。
VPN成员发现可以通过不同的机制来得到,例如?VPN-ITU?:
●采用目录服务器,VR通过查询服务器来获得其邻居路由器;
●通过管理平台的显式配置;
●通过现存的路由协议搭载VPN信息。
以上的机制可以被集成应用在一个PE中。例如,一些VPN拓扑的发现可以仅仅通过管理平台来完成,也可以使用现存的路由协议搭载完成?VPN-BGP?。
5、结束语
VPN能够充分地利用现有的网络资源,提供经济、灵活的联网方式,为客户节省设备、人员和管理所需的投资,降低用户的费用,所以必将得到广泛的利用。基于虚拟路由器的VPN方案不但兼容原有的VPN解决方案,具有其原有的优点,而且为构建VPN提供了更好的扩展性和灵活性。因此,随着相关细节和技术的完善与标准化,基于VR的VPN解决方案必将广泛地应用于将来的VPN。的VPN解决方案,具有其原有的优点,而且为构建VPN提供了更好的扩展性和灵活性。因此,随着相关细节和技术的完善与标准化,基于VR的VPN解决方案必将广泛地应用于将来的VPN。
