|
VPN运作方式概述在MPLS_VPN中,服务供应商业为每个VPN分配一个独有的标识符,称为路由区分符(RD),在服务供应商网络中每一个Intranet或Extranet的区分符都不同。转发表包含独有的地址、称为VPN-IP地址,由RD和用户的IP地址构成。VPN_IP地址是网络中每一个端点所独有的,条目存储在VPN中每一个节点的转发表中。 BGP是一个路由选择分配协议,它定义谁可以与使用多协议分支(multiprotocol_extensions)和群体属性(Community_attributes)的人对话。在MPLS的VPN中,BGP只向同一个VPN中的成员发布有关VPN的信息,通过业务分离来提供本机安全性。由于所有的业务都使用LSP进行传输,从而确保了额外的安全性。LSP定义了一个特定的通道穿过网络,这个通道是不可更改的。这种基于标记的模式保证了帧中继和ATM连接中的私密性。 当提供VPN时,服务供应商而非客户将特定的VPN与每一个接口连接。在服务供应商网络中,RD与每个数据包连接,这样,VPN就不会被非法者渗透“偷窃”数据流或数据包。用户只要位于正确的物理端口上,有相应的RD就可以加入Intranet或Extranet中。这种设置使Cisco的MPLS_VPN基本上不可能被突破,因而可提供人们在帧中继、租赁线路或ATM业务中所习惯的相同级别的安全性。 VPN_IP转发表包含与VPN_IP地址上对应的标记,这些标记将应用业务路由到VPN中的每一个站点。由于使用标记而不是IP地址,因些,用户可以在企业Internet中保留他们的专用编址方案,而不需要进行网络地址转换(NAT)。每一个VPN应用在逻辑上都拥有区分的转发表,以在VPN之间分离业务。根据呼入的接口,交换机选择一个特定的转发表,由于有BGP,这个表只列出VPN中的有效的目的地。若要建立一个Extranet,服务供应商则需要在VPN之间清晰地配置延及的范围(可能需要NAT配置) 工作流程 (1)用户端的路由器(CE)首先通过静态路由或BGP将用户网络中的路由信息通知提供商路由器(PE),同时在PE之间采用BGP的Extension传送VPN-IP的信息以及相应的标记(VPN的标记,以下简称为内层标记),而在PE与P路由器之间则采用传统的IGP协议相互学习路由信息,采用LDP协议进行路由信息与标记(骨干网络中的标记,以下称为外层标记)的梆定。到此时,CE,PE以及P路由器中基本的网络拓扑以及路由信息已经形成。PE路由器拥有了骨干网络的路由信息以及每一个VPN的路由信息。 【相关文章】 责任编辑: 雪花(TEL:(010)68476636-8008) 责编: 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
|
最新专题 |
|