1.引入
VPN技术的产生
专线的特点:
- 线路专有,安全性高,不同用户之间物理隔离;
- 价格昂贵;
- 使用不充分,带宽浪费严重。
VPN模型 - Overlay VPN
Overlay VPN的特点:
- 客户路由协议总是在客户设备之间交换,而运营商对客户网络结构一无所知。
- 典型的协议:二层一一顿中继;三层一-GRE与IPSec;应用层一-SSL VPN。
VPN模型- Peer-to-Peer VPN
Peer-to-Peer VPN特点:
- 在CE设备与PE设备之间交换私网信息,由PE设备将私网信息在运营商网络中传播,实现了VPN部署及路由发布的动态性。
- 解决了Overlay VPN的“静态”性质不太适合大规模应用和部署的问题。
Peer-to-Peer VPN的专用PE的接入方式特点:
- 运营商为每一个VPN单独准备一台PE设备,PE和CE之间可以运行任意的路由协议,与其他VPN无关。
传统VPN技术的缺陷:无法适应大规模VPN网络应用
2.MPLS VPN概述:
- 运营商VPN解决方案中一种基于PE的L3 VPN技术。
- 使用BGP在运营商骨于网上发布VPN路由
- 使用MPLS在运营商骨干网上转发VPN报文
MPLS VPN特点:
- 通过扩展的BGP协议 (MP-BGP) 传输路由报文;
- 使用MPLS LSP为公网隧道对私网数据报文进行封装传输;
- CE、PE、P设备不兼容其它功能 (没有一台设备既是CE,又是PE)。
- 实现隧道的动态建立
- 解决本地地址冲突问题
- VPN私网路由易于控制
MPLS VPN网络架构
Site:站点
- Site是指相互之间具备IP连通性的一组IP系统,且不需通过运营商网络实现。
- Site的划分是根据设备的拓扑关系,而不是地理位置,尽管在大多数情况下一个Siteo中的设备地理位置相邻。
- 地理位置隔离的两组IP系统,如果它们使用专线互联,不需要通过运营商网络就可以互通,那么这两组IP系统也组成一个Site。
- Site通过CE连接到运营商网络,一个Site可以包含多个CE,但一个CE只属于一个Site。
- 根据Site的情况,建议CE设备选择方案如下:
- 如果Site只是一台主机,则这台主机就作为CE设备;
- 如果Site是单个子网,则使用交换机作为CE设备;
- 如果Site是多个子网,则使用路由器作为CE设备。
- 对于多个连接到同一运营商网络的Sites,通过制定策略,可以将它们划分为不同的集合 (Set),只有属于相同集合的Sites之间才能通过运营商网络互访,这种集合就是VPN。
- 一个Site中的设备可以属于多个VPN,换言之,一个Site可以属于多个VPiN
VPN-instance:VPN实例
在MPLS VPN中,不同VPN之间的路由隔离通过VPN实例实现,VPN实例中包含对应 Site的VPN成员关系和路由规则,PE上每个VPN实例都有相对独立的路由表和LFIB。
VPN、Site和VPN-instance的关系:
- VPN是多个Site的组合。
- 一个Site可以属于多个VPN。
- 每个Site在PE上都关联一个VPN实例。
- VPN实例综合了它所关联的Site的VPN成员关系和路由规则。
- 多个Site根据VPN实例的规则组合成一个VPN。