打印本文 
关闭窗口 PPVPN(Provider Provisioned VPN)指由运营商参与管理和实施的VPN,IETF PPVPN工作组正在致力于这方面的研究工作,包括以下三种方式的VPN:基于RFC2547的BGP/MPLS VPN(RFC2547bis,将废止RFC2547),虚拟路由器(VR)以及基于端口的VPN (比如运营商在IP上提供ATM/FR/Ethernet等二层接口)。另外,该工作组也正在研究跨自制域(AS)或跨运营商的VPN的互联问题。
与RFC2547相比,RFC2547bis(截止2002年7月的draft)主要变化在于完善了通过BGP分发VPN路由的说明,增加了维护正确的路由隔离、运营商的运营商、跨运营商、VPN的管理、Internet接入等内容。本文将介绍的重点放在用户目前最关心的几个问题上:如何跨自治系统;如何接入Internet;安全性;可扩展性。
一、 结构模型
BGP/MPLS VPN是一种基于网络的VPN,运营商为用户提供的是三层IP路由服务,适用于以下情形。
对客户而言:
客户不希望管理路由骨干网。客户在它的站点内可能使用路由,但希望把站点间的路由外包给运营商。
客户希望运营商组建骨干网,并且它的路由对用户路由完全透明。如果客户在它的站点内有一个路由基础设施,那么他不希望它的站点的路由算法需要知道运营商骨干网的任何一部分,除非是该站点连接的PE路由器。特别是客户并不希望它的路由器了解运营商骨干网的结构,或是穿越运营商骨干网时用的隧道拓扑。
客户希望在自己完全专用的VPN内发送IP包。
对运营商而言:
运营商拥有IP骨干网,可能是支持MPLS的。
运营商希望提供满足客户以上要求的一种业务。
运营商不希望为每个VPN用户维护完全不同的隧道重叠拓扑。
1. CE设备
假设每个用户站点拥有一个或多个客户边缘(CE)设备。通过某种形式的数据链路( 如PPP、ATM、Ethernet、FR以及GRE等),每个CE设备连接到一个或多个运营商边缘(PE)路由器上。把运营商网络中不与CE相联的设备称为“P路由器”。
CE路由器只与和它直接连接的PE建立路由对等关系,并彼此传播VPN路由信息。CE不与其他站点中的CE路由器建立路由邻接关系,也不直接交换路由信息。
如果某站点只有一台主机,那么该主机可以就是CE设备。如果某站点只有一个子网,那么CE设备可以是一台交换机。一般而言,可以认为CE是一台路由器,能够与和它直接相联的PE路由器建立邻接关系。建立邻接关系后,CE把VPN本地站点的路由信息通告给PE,并从PE学习该VPN其它站点的路由信息。
2. PE路由器
打印本文 关闭窗口