高手講解IP-VPN連接模型和相應安全問題
高手講解IP-VPN連接模型和相應安全問題,對于很多朋友來說,IP-VPN 還是一個很陌生的詞語。它到底是干什么的,有什么作用呢?帶著這些疑問,我們來了解一下吧。
連接模型
給出了MPLS/BGP VPN的連接模型。從中可以看出,P路由器位于MPLS網絡的核心。 PE路由器將使用MPLS與核心MPLS網絡通信,同時使用IP路由技術來與CE路由器通信。 P與PE路由器將使用IP路由協議(內部網關協議)來建立MPLS核心網絡中的路徑,并且使用LDP實現路由器之間的標記分發。
PE路由器使用多協議BGP4來實現彼此之間的通信,完成標記交換和每一個IP-VPN策略。除非使用了路徑映射標志(route reflector),否則PE 之間是BGP全網狀連接。特別地,中的PE處于同一自治域中,它們之間使用內部BGP (iBGP)協議。P路由器不使用BGP協議而且對VPN一無所知,它們使用普通的MPLS協議與進程。
PE路由器可以通過IP路由協議與CE路由器交換IP路徑,也可以使用靜態路徑。在CE與PE路由器之間使用普通的路由進程。CE路由器不必實現MPLS或對VPN有任何特別了解。PE路由器通過iBGP將用戶路徑分發到其他的PE路由器。為了實現路徑分發,BGP使用IP-VPN地址(由RD和IPv4地址構成)。這樣,不同的VPN可以使用重疊的IPv4地址空間而不會發生IP-VPN地址重復的情況。
PE路由器將BGP計算得到的路徑映射到它們的路由表中,以便把從CE路由器收到的分組轉發到正確的LSP上。這一方案使用兩級標記:內部標記用于PE路由器對于各個VPN的識別,外部標記則為MPLS網絡中的LSR所用——它們將使用這些標記把分組轉發給正確的PE。
建立IP-VPN區域的操作
希望提供IP-VPN業務的網絡提供者必須按照連接需求對網絡進行設計與配置,這包括:PE必須為其支持的VPN以及與之相連的CE所屬的VPN 進行配置;MPLS網絡或者是一個路徑映射標志中的PE路由器之間必須進行對等關系的配置;為了與CE進行通信,還必須進行普通的路由協議配置;為了與MPLS核心網絡進行通信,還必須進行普通的MPLS配置(如LDP、IGP)。另外,P路由器除了要求能夠支持MPLS之外,還要能夠支持IP-VPN。
IP-VPN成員資格和可到達性信息的傳播
PE路由器使用IP路由協議或者是靜態路徑的配置來交換路由信息,并且通過這一過程獲得與之直接相連的用戶網站IP地址前綴。PE路由器通過與其BGP對等實體交換IP-VPN地址前綴來獲得到達目的VPN站點的路徑。
另外,PE路由器還要通過BGP與其PE路由器對等實體交換標記,以此確定PE路由器間連接所使用的LSP。這些標記用作第二級標記,P 路由器看不到這些標記。PE路由器將為其支持的每一個IP-VPN分別建立路由表和轉發表,與一個PE路由器相連的CE路由器則根據該連接所使用的接口選擇合適的路由表。
IP分組轉發
PE之間的路由信息交換完成之后,每一個PE都將為每一個VPN建立一個轉發表,該轉發表將把VPN用戶的特定地址前綴與下一跳PE路由器聯系起來。當收到發自CE路由器的IP分組時,PE路由器將在轉發表中查詢該分組對應的IP-VPN。如果找到匹配的條目,路由器將執行以下操作:
如果下一跳是一個PE路由器,轉發進程將首先把從路由表中得到的、該PE路由器所對應的標記(嵌套隧道標記)推入標記棧;PE路由器把基本的標記推入分組,該標記用于把分組轉發到到達目的PE路由器的、基本網絡LSP上的第一跳;帶有兩級標記的分組將被轉發到基本網絡LSP上的下一個LSR。
P路由器(LSR)使用頂層標記及其路由表對分組繼續進行轉發。當該分組到達目的LER時,最外層的標記可能已發生多次改變,而嵌套在內部的標記保持不變。當PE收到分組時,它使用內部標記來識別VPN。此后, PE將檢查與該VPN相關的路由表,以便決定對分組進行轉發所要使用的接口。
如果在VPN路由表中找不到匹配的條目,PE路由器將檢查Internet路由表(如果網絡提供者具備這一能力)。如果找不到路由,相應分組將被丟棄。IP-VPN轉發表中包含VPNIP地址所對應的標記,這些標記可以把業務流路由至VPN中的每一個站點。
這一過程由于使用的是標記而不是IP 地址,所以在企業網中,用戶可以使用自己的地址體系,這些地址在通過服務提供者網絡進行業務傳輸時無需網絡地址翻譯(NAT)。通過為每一個VPN使用不同的邏輯轉發表,不同的VPN業務將可以被分開。
使用BGP協議,交換機可以根據入口選擇一個特定的轉發表,該轉發表可以只列出一個VPN有效目的地址。為了建立企業的Extranet,服務提供者需要對VPN之間的可到達性進行明確指定(可能還需要進行NAT配置)。
IP-VPN安全
在服務提供者網絡中,PE所使用的每一個分組都將與一個RD相關聯,這樣,用戶無法將其業務流或者是分組偷偷送入另一個用戶的IP-VPN。要注意的是,在用戶數據分組中沒有攜帶RD,只有當用戶位于正確的物理端口上或擁有PE路由器中已經配置的、適當的RD時,用戶才能加入一個Intranet或 Extranet。這一建立過程可以保證非法用戶無法進入VPN,從而為用戶提供與幀中繼、租用線或ATM業務相同的安全等級。
