制胜的
VPN策略
第一部分 VPN介绍
什么是VPN? 90年代实施的VPN 21世纪实施的VPN 一个VPN模型不能满足所有用户! VPN分类模型用户管理的VPN解决方案(CPE-VPN) L2TP及
PPTP IPsec隧道模式提供商实施的VPN解决方案(PP-VPN)基于
BGP/MPLS的VPN (
RFC 2547bis)虚拟路由器二层MPLS VPN
CPE-VPN:L2TP及PPTP 应用:远程用户拨号接入二层隧道协议(L2TP) RFC 2661 L2F及点到点隧道协议的组合点到点隧道协议(PPTP)与
Windows及
Windows NT捆绑在建立过程中进行认证
IPsec可在
PPP上运行以提供更高的
安全性 CPE-VPN:IPsec隧道模式 IPsec定义了
IETF三层安全性体系结构应用高安全性要求,跨越一个或多个服务提供商用户负责密匙管理安全性服务包括访问控制数据起源认证重放保护数据完整性数据私密性(加密)密匙管理 CPE-VPN:IPsec ? 例子 IPsec特点从服务提供商处获得普通
IP服务使用现有路由器对受保护的数据包进行转发自身不参与QoS/SLA 提供商
机会较小客户管理自己的路由美国正逐步放宽对加密
技术的出口限制
由提供商实施的VPN: 三层与二层比较提供商路由器参与客户三层路由提供商路由器管理与VPN相关的路由表,将路由发布给远端站点 CPE路由器将其路由广播给提供商客户将其三层路由映射至链路
网络
提供商为用户的每个远端站点提供一条二层链路
客户路由对提供商透明三层PP-VPN: RFC 2547bis 三层PP-VPN: RFC 2547bis 三层PP-VPN: 虚拟路由器虚拟路由器的问题三层PP-VPN优势 3层PP-VPN缺点基于MPLS的二层PP-VPN 线路交叉连接 (CCC) Draft-Martini 二层VPN Draft-Kompella 二层VPN 线路交叉连接(CCC)线路交叉连接的问题 Draft-Martini 基于MPLS的二层VPN Draft-Kompella 基于MPLS的二层VPN 基于MPLS的二层VPN:优势基于MPLS的二层VPN:问题
标准: 基于CPE的VPN 标准: BGP/MPLS VPN 标准: 其它VPN文件第二部分 BGP/MPLS VPN
客户边界路由器客户边界(CE)路由器 位于客户处提供到服务提供商网络的接入 CE/PE连接可使用任何接入技术或路由协议提供商边界路由器提供商边界(PE)路由器维护与站点相关的转发表使用BGP与其它PE路由器交换VPN路由信息使用MPLS LSP转发VPN业务提供商路由器提供商(P)路由器使用已建立的LSP对VPN数据进行透明转发不维护与VPN有关的路由信息 VPN路由及转发表(VRF) VRF
地址复用 VPN-
IPv4 地址族 VPN-IPv4 地址族 新的BGP-4并发地址族识别器路由区分器(
RD)+用户IPv4前缀路由区分器消除IPv4地址的歧义支持私有IP地址空间允许服务提供商管理自己的“数字空间” VPN-IPV4地址通过BGP发布使用“BGP 4多协议扩展”(RFC 2283) VPN-IPV4地址只在控制层面被使用 VPN-IPv4地址族 VPN-IPv4地址族使用路由区分器
运营模式概况控制流路由信息在CE与PE间进行交换路由信息在PE间进行交换在PE间建立LSP(
RSVP或LDP作为信令)数据流转发用户业务 RFC 2547bis策略 VPN通过管理策略定义用于连通性及
CoS保证由客户定义由服务提供商通过输入及输出路由策略进行实施定义VPN成员定义拓扑结构(例如,全网状结构,hub-spoke结构等)路由发布路由发布通过BGP扩展Community属性控制路由目标:定义PE路由器发布路由前往的一组站点起始站点:定义PE路由器从某一特定站点
学习到一条路由路由目标路由信息的交换路由信息的交换路由信息的交换路由信息的交换路由信息的交换路由信息的交换路由信息的交换数据流数据流数据流数据流数据流数据流数据流
休息
如何使其具有可扩展性,来自 RFC 2547bis的建议可扩展性: 划分和解决两级堆栈使P路由器不必了解VPN路由信息 PE路由器只维持与其具有直接连接站点的VPN路由如果需要,由提供商提供VPN中部分BGP路由反射器
系统中没有任何一个单个设备需要维持所有VPN的路由
系统的能力并不由某个单个设备所限制可扩展性: VPN有关的路由反射器可扩展性: BGP-Refresh 可扩展性: BGP-出境路由过滤器(ORF)
访问公共
Internet 如果VPN使用专有地址,连接至Internet需要
NAT CE可执行NAT功能服务提供商可执行NAT功能选项 1:PE不维护Internet相关路由甚至无0/0 选项 2:PE维护一些或所有 Internet路由范围可从0/0到全Internet路由访问公共Internet: 选项1.1 VPN服务提供商在Internet连接中不起作用 VPN客户在其从其部分或所有站点具有独立的Internet连接访问公共Internet: 选项1.2 PE提供二层连通性至一台维护部分或所有Internet路由的路由器 SP提供2547bis及L2 PP-VPN 假设CE及PE间具有分离的逻辑(不需要物理连接)链路(例如,DLCI,VLAN,GRE…) L2 VPN具有到达与Internet相关的路由器的L2连通性不同的VPN可能使用不同的Internet
