Junier制勝的VN策略二

制勝的VPN策略日程安排虛擬專網(wǎng)（VPN）介紹運(yùn)營(yíng)模式：BGP/MPLSVPN（RFC2547bis）運(yùn)營(yíng)模式：二層MPLSVPN總結(jié)2

第一部分

VPN介紹日程：

VPN介紹VPN概況基于CPE的VPN由服務(wù)商實(shí)施的VPNIETF標(biāo)準(zhǔn)更新4日程：

VPN介紹VPN概況基于CPE的VPN由提供商實(shí)施的VPNIETF標(biāo)準(zhǔn)更新5什么是VPN？專網(wǎng)是建立在共享基礎(chǔ)設(shè)施之上的虛擬：并不是一個(gè)獨(dú)立的物理網(wǎng)絡(luò)專有：獨(dú)立的地址使用及路由網(wǎng)絡(luò)：一組能夠相互通信的設(shè)備的集合約束是關(guān)鍵–無(wú)限制的連通性并不是目的共享基礎(chǔ)設(shè)施移動(dòng)用戶及遠(yuǎn)程用戶遠(yuǎn)程接入分支辦公室公司總部供應(yīng)商，合作伙伴及客戶企業(yè)內(nèi)部互聯(lián)網(wǎng)企業(yè)間互聯(lián)網(wǎng)690年代實(shí)施的VPN運(yùn)營(yíng)模式PVC覆蓋在共享基礎(chǔ)設(shè)施（ATM/幀中繼）之上用戶路由（或橋接）在用戶處實(shí)施優(yōu)點(diǎn)更低的開銷（相對(duì)于專線來(lái)講）相對(duì)“安全”局限可擴(kuò)展性及管理并不是一個(gè)完全集成的IP解決方案提供商幀中繼網(wǎng)絡(luò)CECEDLCI幀中繼交換機(jī)DLCIDLCI幀中繼交換機(jī)幀中繼交換機(jī)721世紀(jì)實(shí)施的VPN使用IP基礎(chǔ)設(shè)施可以與Internet業(yè)務(wù)共享IP/MPLS（并不是ATM/FR）變得越來(lái)越為重要用戶需求更低的運(yùn)營(yíng)成本一個(gè)網(wǎng)絡(luò)為所有服務(wù)提供連接提供商需求可支持所有業(yè)務(wù)的多業(yè)務(wù)基礎(chǔ)設(shè)施創(chuàng)造更多盈利機(jī)會(huì)Internet遠(yuǎn)程接入企業(yè)內(nèi)部互聯(lián)網(wǎng)企業(yè)間互聯(lián)網(wǎng)移動(dòng)用戶及遠(yuǎn)程用戶分支辦公室公司總部供應(yīng)商，合作伙伴及客戶8一個(gè)VPN模型不能滿足所有用戶！挑戰(zhàn)：客戶具有多種VPN需求解決方案：建立靈活的、支持多業(yè)務(wù)的核心網(wǎng)集成公共、半公共及專有業(yè)務(wù)支持多種VPN業(yè)務(wù)模式站點(diǎn)數(shù)用戶數(shù)業(yè)務(wù)量希望托管程度職員專業(yè)技術(shù)010001000100010001000100安全要求9VPN分類模型用戶管理的VPN解決方案（CPE-VPN）L2TP及PPTPIPsec隧道模式提供商實(shí)施的VPN解決方案（PP-VPN）基于BGP/MPLS的VPN（RFC2547bis）虛擬路由器二層MPLSVPNPEPECPECPE用戶站點(diǎn)3PP-VPN用戶站點(diǎn)2CPEPEVPN隧道VPN隧道VPN隧道CPEPEPEPECPECPECPE-VPNVPN隧道用戶站點(diǎn)1用戶站點(diǎn)3用戶站點(diǎn)2VPN隧道VPN隧道用戶站點(diǎn)110日程：VPN介紹VPN概況基于CPE的VPN由提供商實(shí)施施的VPNIETF標(biāo)準(zhǔn)更新11CPE-VPN：L2TP及PPTP應(yīng)用：遠(yuǎn)程用用戶撥號(hào)接入入二層隧道協(xié)議議（L2TP）RFC2661L2F及點(diǎn)到點(diǎn)隧道道協(xié)議的組合合點(diǎn)到點(diǎn)隧道協(xié)協(xié)議（PPTP）與Windows及WindowsNT捆綁在建立過(guò)程中中進(jìn)行認(rèn)證IPsec可在PPP上運(yùn)行以提供供更高的安全全性撥號(hào)接入提供供商V.x調(diào)制解調(diào)器PPP撥號(hào)服務(wù)提供商或或VPNL2TP接入服務(wù)器撥號(hào)接入服務(wù)器L2TP隧道撥號(hào)接入服務(wù)器PPTP接入服務(wù)器PPTP隧道12CPE-VPN：IPsec隧道模式IPsec定義了IETF三層安全性體體系結(jié)構(gòu)應(yīng)用高安全性要求求，跨越一個(gè)個(gè)或多個(gè)服務(wù)務(wù)提供商用戶負(fù)責(zé)密匙匙管理安全性服務(wù)包包括訪問(wèn)控制數(shù)據(jù)起源認(rèn)證證重放保護(hù)數(shù)據(jù)完整性數(shù)據(jù)私密性（（加密）密匙管理13CPE-VPN：IPsec–例子路由必須在CPE處執(zhí)行隧道在用戶處處終結(jié)只有CPE設(shè)備需要支持持IPsec不需要對(duì)共享享/公共資源源進(jìn)行修改封裝安全有效效載荷（ESP）隧道模型認(rèn)證確保完整整（CPE至CPE）加密原有的報(bào)報(bào)頭/有效載載荷通過(guò)Internet支持私有地址址空間公司總部分支辦公室CPECPEIPsecESP隧道模型公共Internet14IPsec特點(diǎn)從服務(wù)提供商商處獲得普通通IP服務(wù)使用現(xiàn)有路由由器對(duì)受保護(hù)護(hù)的數(shù)據(jù)包進(jìn)進(jìn)行轉(zhuǎn)發(fā)自身不參與QoS/SLA提供商機(jī)會(huì)較較小客戶管理自己己的路由美國(guó)正逐步放放寬對(duì)加密技技術(shù)的出口限限制公司總部分支辦公室CPECPEIPsecESP隧道模型公共Internet15日程：VPN介紹VPN概況基于CPE的VPN由提供商實(shí)施施的VPNIETF標(biāo)準(zhǔn)更新16由提供商實(shí)施施的VPN：三層與二層比比較提供商路由器器參與客戶三三層路由提供商路由器器管理與VPN相關(guān)的路由表表，將路由發(fā)發(fā)布給遠(yuǎn)端站站點(diǎn)CPE路由器將其路路由廣播給提提供商客戶將其三層層路由映射至至鏈路網(wǎng)絡(luò)提供商為用戶戶的每個(gè)遠(yuǎn)端端站點(diǎn)提供一一條二層鏈路路客戶路由對(duì)提提供商透明三層二層17三層PP-VPN：

RFC2547bis應(yīng)用：外包VPNPE為每個(gè)直連的的VPN站點(diǎn)維護(hù)與該該站點(diǎn)相關(guān)的的轉(zhuǎn)發(fā)表客戶與提供商商間運(yùn)行傳統(tǒng)統(tǒng)IP路由使用BGP發(fā)布VPN路由使用MPLS在提供商骨干干網(wǎng)中對(duì)VPN業(yè)務(wù)進(jìn)行轉(zhuǎn)發(fā)發(fā)服務(wù)提供商網(wǎng)網(wǎng)絡(luò)站點(diǎn)1站點(diǎn)1站點(diǎn)2站點(diǎn)3站點(diǎn)2站點(diǎn)3CECECEVRFVRFVRFVRFVRFPEPEPEPPPEPPPCECECEVRF18三層PP-VPN：

RFC2547bis使用LDP或RSVP建立PE至PE的標(biāo)記交換路路徑（LSP）BGP用于發(fā)布VPN相關(guān)信息（發(fā)發(fā)現(xiàn)）VPN路由及可達(dá)信信息每條VPNLSP的標(biāo)記（封裝在PE-PELSP隧道中）通過(guò)路由過(guò)濾濾進(jìn)行連接的的限制靈活的、基于于策略的控制制機(jī)制19三層PP-VPN：虛擬路由器PE設(shè)備為專網(wǎng)提提供網(wǎng)絡(luò)層（（IP）轉(zhuǎn)發(fā)與VPN相關(guān)的轉(zhuǎn)發(fā)表表PE參與專網(wǎng)路由由穿過(guò)公網(wǎng)的專專網(wǎng)路由與數(shù)數(shù)據(jù)一起被封封裝在隧道中中PE中的VR象專網(wǎng)中的一一臺(tái)普通路由由器一樣運(yùn)行行可使用MPLS或其它隧道方方式實(shí)現(xiàn)20虛擬路由器的的問(wèn)題VPN端點(diǎn)發(fā)現(xiàn)多種選擇（BGP，組播，LDAP及其它）路由可擴(kuò)展性性必須在公網(wǎng)上上運(yùn)行多個(gè)路由進(jìn)程互通性多種VR實(shí)現(xiàn)方式?jīng)]有任何一個(gè)個(gè)獲得“領(lǐng)導(dǎo)導(dǎo)地位”網(wǎng)間互聯(lián)不像2547bis那樣普通21三層PP-VPN優(yōu)勢(shì)用戶將路由復(fù)雜性性轉(zhuǎn)移給提供供商適于不希望在在其組織結(jié)構(gòu)構(gòu)中建立核心心路由功能的的中小型公司司提供商不需所有骨干干網(wǎng)路由器中中維護(hù)與VPN相關(guān)的路由信信息增值業(yè)務(wù)（盈盈利機(jī)遇）223層PP-VPN缺點(diǎn)基于策略的控控制增加了提提供商管理負(fù)負(fù)擔(dān)一些客戶希望望維持控制他他們的路由體體系23基于MPLS的二層PP-VPN線路交叉連接接(CCC)Draft-Martini二層VPNDraft-Kompella二層VPN24輸入輸出LSP1DLCI600LSP2DLCI610輸入輸出DLCI60010/8DLCI61020/8線路交叉連接接（CCC）為基于MPLS的二層VPN提供基礎(chǔ)CPE與PE間使用FR/ATM接口服務(wù)提供商管管理PE間的LSP全網(wǎng)狀互聯(lián)CPE基于子網(wǎng)/PVC映射對(duì)VPN業(yè)務(wù)進(jìn)行路由由入口PE將每條入境PVC映射至一條專專用LSP出口PE將進(jìn)來(lái)的LSP映射至出境PVCCECEDLCI600DLCI610LSP1LSP2DLCI608DLCI605PEPECE源路由表CCC表“好服務(wù)提提供商”(美國(guó)區(qū)域域)“好服務(wù)提提供商”(歐洲區(qū)域域)“好服務(wù)提提供商”(亞洲區(qū)域域)CCC表CCC表輸入輸出DLCI605LSP1大型IP/MPLS網(wǎng)絡(luò)CCC=線路交叉連連接輸入輸出DLCI608LSP2PE25線路交叉連連接的問(wèn)題題需對(duì)CPE及PE系統(tǒng)進(jìn)行配配置復(fù)雜的初始始配置添加、移動(dòng)動(dòng)及更改的的配置非常常冗長(zhǎng)每條DLCI/PVC需要一條專專用LSP只適用于小小數(shù)量的個(gè)個(gè)別私有連連接26ATM（或幀中繼）ATM（或幀中繼）Draft-Martini基于MPLS的二層VPN繼承使用CCC及MPLS的經(jīng)驗(yàn)在傳統(tǒng)實(shí)現(xiàn)現(xiàn)方式的基基礎(chǔ)上提高高數(shù)據(jù)層面面的可擴(kuò)展展性標(biāo)記堆棧將將多條DLCI、、PVC，，或VLAN合并到一條條LSP上去增加一個(gè)站站點(diǎn)時(shí)，需需在每條鏈鏈路的兩端端進(jìn)行實(shí)施施專網(wǎng)路由為為CPE至CPEPEPELSPLSP2LSP6LSP5DLCI600DLCI610DLCI506DLCI408(MPLS核心)CPECPE27Draft-Kompella基于MPLS的二層VPN繼承使用CCC及MPLS的經(jīng)驗(yàn)可擴(kuò)展的數(shù)數(shù)據(jù)及控制制層面數(shù)據(jù)層面：：通過(guò)標(biāo)記記堆棧將多多條DLCI、、PVC，，或VLAN合并到一條條LSP上去實(shí)施：進(jìn)行行自動(dòng)配置置專網(wǎng)路由為為CPE至CPEPEPELSPDLCI600DLCI610DLCI506DLCI408CPEPECPECPE28基于MPLS的二層VPN：優(yōu)勢(shì)用戶外包線路能夠維持對(duì)對(duì)路由的控控制支持任何三三層協(xié)議提供商對(duì)RFC2547bis的補(bǔ)充在相同的核核心網(wǎng)上運(yùn)運(yùn)行，使用用相同的出出境LSPL2VPN（幀中繼，，ATM及VLAN））可被合并至至一個(gè)IP/MPLS基礎(chǔ)設(shè)施平平臺(tái)上與CCC相比，標(biāo)記記堆棧減少少了LSP的數(shù)量29基于MPLS的二層VPN：?jiǎn)栴}到達(dá)每個(gè)VPN站點(diǎn)的線路路類型（ATM/FR）必須一致減少了提供供商的盈利利機(jī)會(huì)客戶必須具具有路由專專業(yè)技能30日程：VPN介紹VPN概況基于CPE的VPN由提供商實(shí)實(shí)施的VPNIETF標(biāo)準(zhǔn)更新31標(biāo)準(zhǔn)：基基于CPE的VPNCPE-VPN標(biāo)準(zhǔn)是穩(wěn)定定的而且已已被實(shí)施L2TP的RFC2661許多針對(duì)IPsec的RFC配置及實(shí)施施具有挑戰(zhàn)戰(zhàn)性具有許多專專有的實(shí)施施方案32標(biāo)準(zhǔn)：BGP/MPLSVPNRFC2547提供了優(yōu)勢(shì)勢(shì)的概況2547bis（（Internet-Draft）詳細(xì)說(shuō)明了了有關(guān)互通通性方面所所需的細(xì)節(jié)節(jié)由Cisco，Juniper及多家服務(wù)務(wù)提供商和和其它組織織聯(lián)合撰寫寫可互通的產(chǎn)產(chǎn)品已經(jīng)開開始發(fā)運(yùn)完整的IETF標(biāo)準(zhǔn)化將需需要一段時(shí)時(shí)間擴(kuò)展正被考考慮MPLS/BGPVPN的組播33標(biāo)準(zhǔn)：其其它VPN文件框架文件正正在草案擬擬定過(guò)程中中綜合了多家家的建議覆蓋了L3VPN已被更新覆覆蓋了L2，CPEPP-VPN需求文件正正在草案擬擬定過(guò)程中中已撰寫了多多個(gè)VR的建議二層MPLSVPN是Internet草案draft-kompella-mpls-l2vpn-02.txtdraft-martini-l2circuit-encap-mpls-01.txtdraft-martini-l2circuit-signaling-mpls-??.txtIETF中運(yùn)營(yíng)商實(shí)實(shí)施的VPN工作組會(huì)議議34第二部分BGP/MPLSVPN日程：BGP/MPLSVPNRFC2547bis術(shù)語(yǔ)VPN地址結(jié)構(gòu)運(yùn)行模式基于策略的的路由信息息交換業(yè)務(wù)轉(zhuǎn)發(fā)可擴(kuò)展的2547bisInternet訪問(wèn)服務(wù)等級(jí)36日程：BGP/MPLSVPNRFC2547bis術(shù)語(yǔ)VPN地址結(jié)構(gòu)運(yùn)行模式基于策略的的路由信息息交換業(yè)務(wù)轉(zhuǎn)發(fā)可擴(kuò)展的2547bisInternet訪問(wèn)服務(wù)等級(jí)37客戶邊界路路由器客戶邊界（（CE）路由器位于客戶處處提供到服務(wù)務(wù)提供商網(wǎng)網(wǎng)絡(luò)的接入入CE/PE連接可使用用任何接入入技術(shù)或路路由協(xié)議CEPPPECECECEPEVPNAVPNAVPNBVPNBPE客戶邊界38提供商邊界界路由器提供商邊界界（PE））路由由器器維護(hù)護(hù)與與站站點(diǎn)點(diǎn)相相關(guān)關(guān)的的轉(zhuǎn)轉(zhuǎn)發(fā)發(fā)表表使用用BGP與其其它它PE路由由器器交交換換VPN路由由信信息息使用用MPLSLSP轉(zhuǎn)發(fā)發(fā)VPN業(yè)務(wù)務(wù)CEPPPECECECEPEVPNAVPNAVPNBVPNBPE提供供商商邊邊界界39提供供商商路路由由器器提供供商商（（P））路由由器器使用用已已建建立立的的LSP對(duì)VPN數(shù)據(jù)據(jù)進(jìn)進(jìn)行行透透明明轉(zhuǎn)轉(zhuǎn)發(fā)發(fā)不維維護(hù)護(hù)與與VPN有關(guān)關(guān)的的路路由由信信息息CEPPPECECECEPEVPNAVPNAVPNBVPNBPE提供供商商路路由由器器40VPN路由由及及轉(zhuǎn)轉(zhuǎn)發(fā)發(fā)表表（（VRF））PPPPE2VPNA站點(diǎn)點(diǎn)3VPNA站點(diǎn)點(diǎn)1VPNB站點(diǎn)點(diǎn)2VPNB站點(diǎn)點(diǎn)1PE1PE3VPNA站點(diǎn)點(diǎn)2CE––A1CE––B1CE––A3CE––A2CE––B2PVPNB站點(diǎn)點(diǎn)3CE––B3CE––C1VPNC站點(diǎn)點(diǎn)1VPNC站點(diǎn)點(diǎn)2CE––C2為連連接接到到PE上的的每個(gè)個(gè)站站點(diǎn)點(diǎn)建建立立一一個(gè)個(gè)VRF靜態(tài)態(tài)路路由由OSPF路由由E-BGP41VRF每個(gè)個(gè)VRF廣播播時(shí)時(shí)具具有有：：與此此VRF相關(guān)關(guān)的的、、直直接接從從CE站點(diǎn)點(diǎn)接接收收到到的的路路由由從其其它它PE路由由器器接接收收到到的的、、具具有有可可接接受受的的BGP屬性性的的路路由由來(lái)自自某某VPN站點(diǎn)點(diǎn)的的數(shù)數(shù)據(jù)據(jù)包包只只使使用用與與該該VPN相關(guān)關(guān)的的VRF提供供不不同同VPN間的的隔隔離離42日程程：：BGP/MPLSVPNRFC2547bis術(shù)語(yǔ)語(yǔ)VPN地址址結(jié)結(jié)構(gòu)構(gòu)運(yùn)行行模模式式基于于策策略略的的路路由由信信息息交交換換業(yè)務(wù)務(wù)轉(zhuǎn)轉(zhuǎn)發(fā)發(fā)可擴(kuò)擴(kuò)展展的的2547bisInternet訪問(wèn)問(wèn)服務(wù)務(wù)等等級(jí)級(jí)43地址址復(fù)復(fù)用用PPPPE2VPNA站點(diǎn)點(diǎn)3VPNA站點(diǎn)點(diǎn)1VPNB站點(diǎn)點(diǎn)2VPNB站點(diǎn)點(diǎn)1PE1PE3VPNA站點(diǎn)點(diǎn)2CE––A1CE––B1CE––A3CE––A2CE––B2PVPNB站點(diǎn)點(diǎn)3CE––B310.1/1610.3/1610.2/1610.3/1610.2/1610.1/1644路由由區(qū)區(qū)分分器器(RD)VPN-IPv4地址址族族VPN-IPv4地址址族族新的的BGP-4并發(fā)地址址族識(shí)別別器路由區(qū)分分器（RD）+用戶IPv4前綴路由區(qū)分分器消除除IPv4地址的歧歧義支持私有有IP地址空間間允許服務(wù)務(wù)提供商商管理自自己的““數(shù)字空空間”VPN-IPV4地址通過(guò)過(guò)BGP發(fā)布使用“BGP4多協(xié)議擴(kuò)擴(kuò)展”（（RFC2283）VPN-IPV4地址只在在控制層層面被使使用類型管理器分配數(shù)值值用戶IPv4前綴(2字節(jié)節(jié))(變長(zhǎng))(變長(zhǎng))(4字字節(jié))45VPN-IPv4地址族類型區(qū)域域有兩個(gè)個(gè)可選值值：0和和1類型0：：管理器器區(qū)域=2字節(jié)節(jié)，AN區(qū)域=4字節(jié)管理器區(qū)區(qū)域必須須包含一一個(gè)來(lái)自自IANA的自治域域號(hào)碼（（ASN））AN區(qū)域?yàn)橛捎煞?wù)提提供商分分配的一一個(gè)數(shù)值值類型1：：管理器器區(qū)域=4字節(jié)節(jié)，AN區(qū)域=2字節(jié)管理器區(qū)區(qū)域必須須包含一一個(gè)由IANA分配的IP地址AN為由服務(wù)務(wù)提供商商分配的的一個(gè)數(shù)數(shù)值例子：10458:22:/16或:33:/16類型管理器分配數(shù)值值用戶IPv4前綴(2字字節(jié))(變長(zhǎng))(變長(zhǎng))8字節(jié)路由由區(qū)分器器（RD）(4字字節(jié))2字節(jié)類類型區(qū)域域：決定其它它兩個(gè)區(qū)區(qū)域的長(zhǎng)長(zhǎng)度管理器區(qū)區(qū)域：定義一個(gè)個(gè)分配數(shù)數(shù)值單位位分配數(shù)值值區(qū)域:由指定單單位分配配的用于于特殊目目的的數(shù)數(shù)值46VPN-IPv4地址族路由區(qū)分分器消除除IPv4地址歧義義VPN-IPv4路由入口PE為從每個(gè)個(gè)CE接收到的的路由建建立RD及IPv4前綴VPN-IPv4使用BGP在PE間進(jìn)行交交換出口PE在將路由由信息裝裝入站點(diǎn)點(diǎn)路由表表前將VPN-IPv4路由轉(zhuǎn)變變?yōu)镮Pv4路由VPN-IPv4只在控制制層面被被使用數(shù)據(jù)層面面使用MPLS及IPv4地址47使用路由由區(qū)分器器PPPPE2VPNA站點(diǎn)3VPNA站點(diǎn)1VPNB站點(diǎn)2VPNB站點(diǎn)1PE1PE3VPNA站點(diǎn)2CE–A1CE–B1CE–A3CE–A2CE–B2PVPNB站點(diǎn)3CE–B310.1/1610.3/1610.2/1610.3/1610.2/1610.1/1610458:22:10.1/1610458:23:10.1/16BGP48日程：BGP/MPLSVPNRFC2547bis術(shù)語(yǔ)VPN地址結(jié)構(gòu)構(gòu)運(yùn)行模式式基于策略略的路由由信息交交換業(yè)務(wù)轉(zhuǎn)發(fā)發(fā)可擴(kuò)展的的2547bisInternet訪問(wèn)服務(wù)等級(jí)級(jí)49運(yùn)營(yíng)模式式概況控制流路由信息息在CE與PE間進(jìn)行交交換路由信息息在PE間進(jìn)行交交換在PE間建立LSP（（RSVP或LDP作為信令令）數(shù)據(jù)流轉(zhuǎn)發(fā)用戶戶業(yè)務(wù)PPPPE2VPNA站點(diǎn)3VPNA站點(diǎn)1VPNB站點(diǎn)2VPNB站點(diǎn)1PE1PE3VPNA站點(diǎn)2CE–A1CE–B1CE–A3CE–A2CE–B2P50RFC2547bis策略VPN通過(guò)管理理策略定定義用于連通通性及CoS保證由客戶定定義由服務(wù)提提供商通通過(guò)輸入入及輸出出路由策策略進(jìn)行行實(shí)施定義VPN成員定義拓?fù)鋼浣Y(jié)構(gòu)（（例如，，全網(wǎng)狀狀結(jié)構(gòu)，，hub-spoke結(jié)構(gòu)等））51路由發(fā)布布路由發(fā)布布通過(guò)BGP擴(kuò)展Community屬性控制制路由目標(biāo)標(biāo)：定義PE路由器發(fā)發(fā)布路由由前往的的一組站站點(diǎn)起始站點(diǎn)點(diǎn)：定義PE路由器從從某一特特定站點(diǎn)點(diǎn)學(xué)習(xí)到到一條路路由52路由目標(biāo)標(biāo)每條VPN-IPv4路由被BGP廣播時(shí)都都與一個(gè)個(gè)路由目標(biāo)標(biāo)屬性相關(guān)關(guān)聯(lián)輸出策略略定義哪哪一目標(biāo)標(biāo)與路由由相關(guān)聯(lián)聯(lián)在接收一一條VPN-IPv4路由時(shí)，，PE路由器將將決定是是否將該該條路由由添加到到一個(gè)VRF中輸入策略略定義哪哪些路由由將被添添加到一一個(gè)VRF中VRF間的路由由隔離通通過(guò)仔細(xì)細(xì)的策略略管理來(lái)來(lái)實(shí)現(xiàn)服務(wù)提供供商實(shí)施施工具確確定適當(dāng)當(dāng)?shù)妮敵龀龊洼斎肴肽繕?biāo)間間關(guān)系53路由信息息的交換換CE設(shè)備向PE路由器廣廣播路由由使用傳統(tǒng)統(tǒng)路由技技術(shù)（OSPF，IS-IS，RIP，，BGP，靜態(tài)路由由等）10.1/16OSPF站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1BGP會(huì)話期CE-2CE-3CE-1VRFVRFVRFVRF54站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1BGP會(huì)話期CE-2CE-3CE-1VRFVRFVRFVRF路由信息息的交換換IPv4地址被添添加至適適當(dāng)?shù)霓D(zhuǎn)轉(zhuǎn)發(fā)表PE路由器將將IPv4地址轉(zhuǎn)換換成VPN-IPv4地址VPN-IPv4地址被安安裝至BGP路由表中中10458:23:10.1/1610.1/16OSPF55站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1BGP會(huì)話期CE-2CE-3CE-1VRFVRFVRFVRF路由信息息的交換換VPN-IPv4地址與一一個(gè)輸出出目標(biāo)相相關(guān)聯(lián)“VPNRED”10458:23:10.1/16“VPNRED”輸出10.1/16OSPF56站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1BGP會(huì)話期CE-2CE-3CE-1VRFVRFVRFVRF路由信息息的交換換VPN-IPv4地址被廣廣播至其其它PE內(nèi)部標(biāo)記記目標(biāo)下一跳10458:23:10.1/16“VPNRED”輸出標(biāo)記Z10.1/16OSPF下一跳PE-257站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1BGP會(huì)話期CE-2CE-3CE-1VRFVRFVRFVRF路由信息息的交換換每個(gè)PE都配置了了輸入目目標(biāo)輸入目標(biāo)標(biāo)用于有有選擇地地將VPN-IPv4路由合并并至VRF如果輸入入目標(biāo)屬屬性與BGP消息中的的屬性匹匹配，路路由則被被合并至至VRF基于配置置的輸入入策略，，10458:23:12.1/16被合合并至紅紅色VRF而不是藍(lán)藍(lán)色VRF“VPNBLUE”輸入“VPNRED”輸入BGP10.1/16OSPF10458:23:10.1/16“VPNRED”輸出標(biāo)記Z下一跳PE-258站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1BGP會(huì)話期CE-2CE-3CE-1VRFVRFVRFVRF路由信息息的交換換VRF中的每條條VPN-IPv4路由與下下面信息息相關(guān)：：到達(dá)被廣廣播的NLRI的內(nèi)部標(biāo)標(biāo)記到達(dá)每個(gè)個(gè)PE的外部標(biāo)標(biāo)記（在在BGPNext-Hop中承載））來(lái)自同一一CE的多條路路由可以以共享相相同的標(biāo)標(biāo)記“VPNBLUE”輸入10458:23:10.1/16BGP標(biāo)記(內(nèi)部)標(biāo)記記(Z)IGP(外部)標(biāo)標(biāo)記(y)BGP10.1/16OSPF10458:23:10.1/16“VPNRED”輸出標(biāo)記Z下一跳PE-259站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1BGP會(huì)話期CE-2CE-3CE-1VRFVRFVRFVRF路由信息息的交換換每條VRF接收到的的IPv4路由可能能被廣播播至與該該VRF相關(guān)的站站點(diǎn)使用傳統(tǒng)統(tǒng)路由技技術(shù)（RIP，，OSPF，IS-IS，EBGP，或靜態(tài)態(tài)路由由）“VPNBLUE””輸入10.1/16下一跳跳PE1OSPF，…60站點(diǎn)2(10.1/16)站點(diǎn)1站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1CE-2CE-3CE-1VRFVRFVRFVRF數(shù)據(jù)流流必須在在對(duì)數(shù)數(shù)據(jù)進(jìn)進(jìn)行轉(zhuǎn)轉(zhuǎn)發(fā)以以通過(guò)過(guò)MPLS骨干網(wǎng)網(wǎng)前建建立PE至PE的LSPLSP通過(guò)LDP或RSVP進(jìn)行信信令交交換61數(shù)據(jù)流流CE執(zhí)行傳傳統(tǒng)IPv4查詢并并將數(shù)數(shù)據(jù)包包發(fā)送送給PE站點(diǎn)2(10.1/16)站點(diǎn)1站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1CE-2CE-3CE-1VRFVRFVRFVRFIP62站點(diǎn)2(10.1/16)站點(diǎn)1站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1CE-2CE-3CE-1VRFVRFVRFVRFIP數(shù)據(jù)流流PE針對(duì)特特定入入境接接口使使用適適當(dāng)?shù)牡腣RF從VRF路由查查詢獲獲得兩兩個(gè)標(biāo)標(biāo)記并并“壓壓入””給數(shù)數(shù)據(jù)包包

PE-11)在紅色FT中查詢路由2)壓入BGP標(biāo)記(Z)3)壓入IGP標(biāo)記(Y)63標(biāo)記2(10.1/16)站點(diǎn)1站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1CE-2CE-3CE-1VRFVRFVRFVRF數(shù)據(jù)流流數(shù)據(jù)包包通過(guò)過(guò)兩級(jí)級(jí)標(biāo)記記堆棧棧在LSP中被轉(zhuǎn)轉(zhuǎn)發(fā)外部IGP標(biāo)記定義去去往出出口PE路由器器的LSP從核心心網(wǎng)的的IGP獲得并并通過(guò)過(guò)RSVP或LDP發(fā)布內(nèi)部BGP標(biāo)記定義從從出口口PE至CE的輸出出接口口從來(lái)自自出口口PE的MP-IBPG更新獲獲得

PE-11)在紅色FT中查詢路由2)壓入BGP標(biāo)記(Z)3)壓入IGP標(biāo)記(Y)IPBGP標(biāo)記(Z)IGP標(biāo)記(Y)64站點(diǎn)2(10.1/16)數(shù)據(jù)流流在數(shù)據(jù)據(jù)包離離開入入口PE后，外外部標(biāo)標(biāo)記用用于穿穿過(guò)服服務(wù)提提供商商網(wǎng)絡(luò)絡(luò)P路由器器并不不意識(shí)識(shí)到VPN的存在在站點(diǎn)1站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1CE-2CE-3CE-1VRFVRFVRFVRFIPBGP標(biāo)記(z)IGP標(biāo)記(x)65數(shù)據(jù)流流外部標(biāo)標(biāo)記在在通過(guò)過(guò)倒數(shù)數(shù)第二二跳時(shí)時(shí)被彈彈出（（在到到達(dá)出出口PE前）站點(diǎn)2(10.1/16)站點(diǎn)1站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1CE-2CE-3CE-1VRFVRFVRFVRFIPBGP標(biāo)記(z)倒數(shù)第二跳彈出外部標(biāo)記66數(shù)據(jù)流流內(nèi)部標(biāo)標(biāo)記在在出口口PE被拆除除原來(lái)的的IPv4包被發(fā)發(fā)往與與該標(biāo)標(biāo)記相相關(guān)聯(lián)聯(lián)的出出境接接口站點(diǎn)2(10.1/16)站點(diǎn)1站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1CE-2CE-3CE-1VRFVRFVRFVRFIP67日程：：BGP/MPLSVPNRFC2547bis術(shù)語(yǔ)VPN地址結(jié)結(jié)構(gòu)運(yùn)行模模式基于策策略的的路由由信息息交換換業(yè)務(wù)轉(zhuǎn)轉(zhuǎn)發(fā)可擴(kuò)展展的2547bisInternet訪問(wèn)服務(wù)等等級(jí)68休息日程：：BGP/MPLSVPNRFC2547bis術(shù)語(yǔ)VPN地址結(jié)結(jié)構(gòu)運(yùn)行模模式基于策策略的的路由由信息息交換換業(yè)務(wù)轉(zhuǎn)轉(zhuǎn)發(fā)可擴(kuò)展展的2547bisInternet訪問(wèn)服務(wù)等等級(jí)70如何使使其具具有可可擴(kuò)展展性，，來(lái)自自RFC2547bis的建議議考慮PE的局限限（例例如，，總路路由數(shù)數(shù)）盡量使使CE至PE間的路路由簡(jiǎn)簡(jiǎn)單專門為為VPN路由建建立多多個(gè)獨(dú)獨(dú)立的的BGP路由反反射器器使用BGP-RFRSH(刷新)建議議標(biāo)準(zhǔn)準(zhǔn)RFC2918使用BGP-ORF（出境路路由過(guò)過(guò)濾器器）建建議標(biāo)標(biāo)準(zhǔn)/internet-drafts/draft-chen-bgp-route-filter-00.txt71可擴(kuò)展展性：：劃劃分和和解決決兩級(jí)堆堆棧使使P路由器器不必必了解解VPN路由信信息PE路由器器只維維持與與其具具有直直接連連接站站點(diǎn)的的VPN路由如果需需要，，由提提供商商提供供VPN中部分分BGP路由反反射器器系統(tǒng)中中沒有有任何何一個(gè)個(gè)單個(gè)個(gè)設(shè)備備需要要維持持所有有VPN的路由由系統(tǒng)的的能力力并不不由某某個(gè)單單個(gè)設(shè)設(shè)備所所限制制72可擴(kuò)展展性：：VPN有關(guān)的的路由由反射射器RR不需成成為PE或P不需要要進(jìn)行行轉(zhuǎn)發(fā)發(fā)，不不需要要具有有VRF，甚至不不需要要MPLSPE路由器器來(lái)來(lái)來(lái)自每每個(gè)組組的RR建立對(duì)對(duì)等關(guān)關(guān)系在PE上自動(dòng)動(dòng)建立立路由由過(guò)濾濾器，，只允允許接接收直直接連連接到到該P(yáng)E的VPN路由PPPPE3PPE2PE1隨著VPN數(shù)量的的增加加而添添加路路由反反射器器VPN1VPN48用于100-200的的VPNRR用于1-99的的VPNRRVPN18873可擴(kuò)展展性：：BGP-RefreshBGP為狀態(tài)態(tài)協(xié)議議一旦對(duì)對(duì)等體體間同同步后后，他他們將將不再再交換換路由由直到到發(fā)生生改變變PE已經(jīng)過(guò)過(guò)濾了了與RRvpn間交換換的路路由以以限制制其接接收到到的路路由數(shù)數(shù)量PE增加/刪除除一個(gè)個(gè)VPN需要對(duì)對(duì)BPG路由表表進(jìn)行行更新新BGP-refresh允許PE以非分分裂方方式從從一個(gè)個(gè)新的的VPN獲得路路由（（無(wú)需需中斷斷與RR間的BGP會(huì)話期期）RRvpn2RRvpn1PECE74RRvpn2可擴(kuò)展展性：：BGP-出境路路由過(guò)過(guò)濾器器（ORF））沒有BGP-ORFPE從RRvpn接收更更新更新包包括RRvpn所知的的每條條路由由PE則根據(jù)路由由目標(biāo)實(shí)施施路由過(guò)濾濾器，丟棄棄不適當(dāng)?shù)牡穆酚删哂蠦GP-ORFPE發(fā)送給RRvpn一個(gè)其感興興趣的路由由目標(biāo)列表表RRvpn應(yīng)用路由過(guò)過(guò)濾器，只只發(fā)送給PE適當(dāng)?shù)穆酚捎蒖Rvpn1PECE75日程：BGP/MPLSVPNRFC2547bis術(shù)語(yǔ)VPN地址結(jié)構(gòu)運(yùn)行模式基于策略的的路由信息息交換業(yè)務(wù)轉(zhuǎn)發(fā)可擴(kuò)展的2547bisInternet訪問(wèn)服務(wù)等級(jí)76訪問(wèn)公共Internet如果VPN使用專有地地址，連接接至Internet需要NATCE可執(zhí)行NAT功能服務(wù)提供商商可執(zhí)行NAT功能選項(xiàng)1：：PE不維護(hù)Internet相關(guān)路由甚至無(wú)0/0選項(xiàng)2：：PE維護(hù)一些或或所有Internet路由范圍可從0/0到全I(xiàn)nternet路由客戶公共InternetVPNCE77訪問(wèn)公共Internet：選項(xiàng)1.1VPN服務(wù)提供商商在Internet連接中不起起作用VPN客戶在其從其部分或或所有站點(diǎn)點(diǎn)具有獨(dú)立的的Internet連接站點(diǎn)1站點(diǎn)2VRFVRF公共Internet站點(diǎn)378訪問(wèn)公共Internet：選項(xiàng)1.2PE提供二層連連通性至一一臺(tái)維護(hù)部部分或所有有Internet路由的路由由器SP提供2547bis及L2PP-VPN假設(shè)CE及PE間具有分離離的邏輯（（不需要物物理連接））鏈路（例例如，DLCI，，VLAN，GRE…）L2VPN具有到達(dá)與與Internet相關(guān)的路由由器的L2連通性不同的VPN可能使用不不同的Internet相關(guān)路由器器站點(diǎn)1站點(diǎn)2VRFVRF公共InternetInternet業(yè)務(wù)Internet相關(guān)路由器器VPN業(yè)務(wù)79訪問(wèn)公共Internet：選項(xiàng)2.1所有連接到PE的VPN共享包含部部分或完整整Internet路由的路由由表迫使所有連連接到該P(yáng)E的所有VPN對(duì)于Internet路由作相似似的路由選選擇可能需要在在CE和PE間具有分離離的邏輯鏈鏈路以承載載去往及來(lái)來(lái)自Internet的業(yè)務(wù)公共InternetInternet表VRFInternet路由VPN路由站點(diǎn)1站點(diǎn)2VRFVRFInternet80訪問(wèn)公共共Internet：選項(xiàng)2.2PE上的一個(gè)個(gè)（獨(dú)立立的）VRF具有部分分/所有有Internet路由Internet連通性被被作為一一個(gè)（獨(dú)獨(dú)立的））的VPN允許為Internet路由進(jìn)行行定制路由由選擇在一個(gè)PE上使用多多個(gè)Internet-VRF可能需要要在CE和PE間具有分分離的邏邏輯鏈路路以承載載去往及及來(lái)自Internet的業(yè)務(wù)如果VRF維護(hù)全路路由，則則可能出出現(xiàn)可擴(kuò)擴(kuò)展性方方面的問(wèn)問(wèn)題此選項(xiàng)可可能需要要每個(gè)VRF維護(hù)0/0及少少量的其其它Internet路由公共Internet站點(diǎn)1站點(diǎn)2VRFInternetVRFVPN-RedVRF81訪問(wèn)公共共Internet：選項(xiàng)2.3PE上的一個(gè)個(gè)VRF維護(hù)部分分/全部部Internet路由與用于VPN的VRF相同允許對(duì)于于Internet路由根據(jù)據(jù)每個(gè)VPN進(jìn)行路由由選擇如果VRF維護(hù)全路路由，則則可能出出現(xiàn)可擴(kuò)擴(kuò)展性方方面的問(wèn)問(wèn)題此選項(xiàng)可可能需要要每個(gè)VRF維護(hù)0/0及少少量的其其它Internet路由Internet及VPN可通過(guò)一一條邏輯輯鏈路提提供不確定是是否與用用戶網(wǎng)絡(luò)絡(luò)中具有有NAT功能的設(shè)設(shè)備兼容容公共Internet站點(diǎn)1站點(diǎn)2VRFVPN-Red+InternetVRF82日程：BGP/MPLSVPNRFC2547bis術(shù)語(yǔ)VPN地址結(jié)構(gòu)構(gòu)運(yùn)行模式式基于策略略的路由由信息交交換業(yè)務(wù)轉(zhuǎn)發(fā)發(fā)可擴(kuò)展的的2547bisInternet訪問(wèn)服務(wù)等級(jí)級(jí)83VPN服務(wù)等級(jí)級(jí)VPN業(yè)務(wù)必須須提供CoS區(qū)別至少要與與現(xiàn)有的的服務(wù)模模式相匹匹配，甚甚至更好好多種可能能的模式式：每隔VPN每種應(yīng)用用每…?842547bis的服務(wù)等等級(jí)CoS可支持許許多不同同的方法法CoS值可由下下列因素素確定：：DiffServ值IP優(yōu)先級(jí)位位靜態(tài)配置置應(yīng)用與DiffServ所使用的的衡定、、分類及及標(biāo)識(shí)等等機(jī)制相相一致在PE至PE路徑上，，CoS可使用MPLS的EXP/CoS位及/或或標(biāo)記、、基于每每條LSP進(jìn)行實(shí)施施可在邊緣緣及核心心使用排排隊(duì)機(jī)制制共享鏈鏈路帶寬寬及對(duì)擁?yè)砣M(jìn)行行管理85MPLS/VPNCoS服務(wù)模型型點(diǎn)到網(wǎng)絡(luò)絡(luò)遠(yuǎn)端CE被作為一一個(gè)組本地端口口對(duì)于入入口及出出口具有有不同的的保證速速率點(diǎn)到點(diǎn)與具有““硬”性性能保證證的PVC相似可組合作作為混合合模式例如具有有硬備份份的軟服服務(wù)需要靈靈活的的實(shí)施施86第三部部分二二層層MPLSVPN提供商商實(shí)施施的二二層VPN過(guò)去，，提供供商使使用唯唯一的的ATM核心支支持Internet及VPN業(yè)務(wù)用于Internet業(yè)務(wù)（（ISP）的ATMPVC用于VPN的ATMPVCATM的速度度不足足以支支持Internet提供商商被迫迫使用用兩個(gè)個(gè)核心心網(wǎng)為什么么不在在一個(gè)個(gè)MPLS核心網(wǎng)網(wǎng)上對(duì)對(duì)兩種種業(yè)務(wù)務(wù)同時(shí)時(shí)予以以支持持呢？？將幀中中繼及及ATM映射到到MPLSLSP（L3VPN可使用用相同同的核核心網(wǎng)網(wǎng)）88使用MPLS的提供供商實(shí)實(shí)施的的二層層VPN提供商商邊緣緣設(shè)備備為用用戶提提供二二層鏈鏈路ID（（DLCI，VPI/VCI，或VLANID）客戶得得到標(biāo)標(biāo)準(zhǔn)的的FR或ATMPVC從本地地站點(diǎn)點(diǎn)，每每個(gè)可可達(dá)站站點(diǎn)都都具有有一條條提供商商邊緣緣設(shè)備備將鏈鏈路ID映射到到一條條MPLSLSP以穿過(guò)過(guò)提供供商核核心網(wǎng)網(wǎng)客戶將將自己己的路路由體體系結(jié)結(jié)構(gòu)映映射到到鏈路路網(wǎng)上上去客戶路路由對(duì)對(duì)提供供商透透明管理責(zé)責(zé)任分分離89通過(guò)MPLS對(duì)傳統(tǒng)統(tǒng)二層層VPN進(jìn)行改改進(jìn)從核心心技術(shù)術(shù)中減減弱邊邊界（（客戶戶面對(duì)對(duì)）技技術(shù)對(duì)所有希望望的服務(wù)提提供單一的的網(wǎng)絡(luò)基礎(chǔ)礎(chǔ)設(shè)施簡(jiǎn)化實(shí)施90兩個(gè)提議：：Draft-Kompelladraft-kompella-mpls-l2vpn-02.txtDraft-Martinidraft-martini-l2circuit-trans-mpls-06.txtdraft-martini-l2circuit-encap-mpls-02.txt兩個(gè)提議在在數(shù)據(jù)層面面相似都支持多種種二層技術(shù)術(shù)兩個(gè)提議在在控制層面面不同標(biāo)準(zhǔn)處于早早期階段二層VPN標(biāo)準(zhǔn)91客戶邊界路路由器客戶邊界（（CE）路由器路由器或交交換機(jī)位于于客戶處，，提供服務(wù)務(wù)提供商網(wǎng)網(wǎng)絡(luò)的接入入與服務(wù)提供供商網(wǎng)絡(luò)在在二層（FR，ATM，以太網(wǎng)）及三層（IP，IPX，SNA）獨(dú)立VPN內(nèi)的CE使用相同的的L2技術(shù)接入服服務(wù)提供商商網(wǎng)絡(luò)不同的鏈接接可使用不不同的第二二層技術(shù)每個(gè)遠(yuǎn)端CE需要一個(gè)邏邏輯鏈接CEPPPECECECEPEVPNAVPNAVPNBVPNBPE客戶邊緣ATMFRATMFRVPN站點(diǎn)92提供商邊界界路由器邊界路由器器（PE）路由器維持VPN相關(guān)信息與其它PE交換VPN相關(guān)信息對(duì)于draft-kompella，使用BGP或LDP對(duì)于draft-martini，使用LDP在PE間使用MPLSLSP轉(zhuǎn)發(fā)VPN業(yè)務(wù)CEPPPECECECEPEVPNAVPNAVPNBVPNBPEATMFRATMFR提供商邊界界93提供商路由由器提供商（P）路由器通過(guò)已建立立的LSP對(duì)VPN數(shù)據(jù)進(jìn)行透透明轉(zhuǎn)發(fā)并不維護(hù)與與VPN有關(guān)的轉(zhuǎn)發(fā)發(fā)信息CEPPPECECECEPEVPNAVPNAVPNBVPNBPEATMFRATMFR提供商路由由器94Draft-Kompella介紹面向用戶的的接口使用用標(biāo)準(zhǔn)的第第二層技術(shù)術(shù)將這些第二二層接口（（“鏈路””）映射至至骨干網(wǎng)內(nèi)內(nèi)的LSP上去使用MPLS標(biāo)記堆棧以以降低核心心網(wǎng)內(nèi)的LSP數(shù)量規(guī)范中還包包括用于自自動(dòng)實(shí)施的的協(xié)議機(jī)制制增加/刪除除/更改一一個(gè)單一站站點(diǎn)只需對(duì)對(duì)一個(gè)PE進(jìn)行重新配配置支持全網(wǎng)狀狀拓?fù)浼癶ub-spoke拓?fù)浣Y(jié)構(gòu)95PPPPE2VPNA站點(diǎn)3VPNA站點(diǎn)1VPNB站點(diǎn)2VPNB站點(diǎn)1PE1PE3VPNA站點(diǎn)2CE–A1CE–B1CE–A3CE–A2CE–B2P為每個(gè)連接接至PE的站點(diǎn)建立一一個(gè)VRFDraft-Kompella：VPN轉(zhuǎn)發(fā)表（（VFT）ATMATMATM每個(gè)VFT連同下面一一些因素一一起被廣播播：為本地CE站點(diǎn)實(shí)施的的轉(zhuǎn)發(fā)信息息通過(guò)BGP或LDP從其它PE接收到的VPN連接表96站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2Draft-Kompella：VPN連接表（VCT）PE-2CE-4PE-1CE-2CE-2CE-1VFTVFTVFTVFTVCT是VFT所擁有信息息的子集VCT由PE通過(guò)BGP或LDP進(jìn)行發(fā)布為每個(gè)VPN站點(diǎn)廣播VCT至PEBGP會(huì)話期/LDP97Draft-Kompella：L2VPN實(shí)施實(shí)施網(wǎng)絡(luò)在PE上實(shí)施信息息實(shí)施VPN（PE）假設(shè)：A，接入技術(shù)為為幀中繼（其他情況與與之相似））B，使用BGP在PE間對(duì)VPN信息進(jìn)行分分配98PPPPE2VPNA站點(diǎn)3VPNA站點(diǎn)1VPNB站點(diǎn)2VPNB站點(diǎn)1PE1PE3VPNA站點(diǎn)2CE–A1CE–B1CE–A3CE–A2CE–B2PDraft-Kompella：實(shí)施網(wǎng)絡(luò)必須在PE間事先建立立LSP：LSP被用于多種種服務(wù)（例例如，對(duì)Internet業(yè)務(wù)實(shí)施流流量工程，，L2VPN，L3VPN）OSPFOSPFOSPFATMATMATM99Draft-Kompella：在PE處實(shí)施用戶戶站點(diǎn)DLCI列表每個(gè)遠(yuǎn)端CE一個(gè)，一些些多余的用用于過(guò)盈實(shí)實(shí)施每個(gè)CE的DLCI數(shù)值相互獨(dú)獨(dú)立用于自動(dòng)發(fā)發(fā)現(xiàn)及地址址學(xué)習(xí)的LMI，反向ARP和/或路由由協(xié)議VPN關(guān)系更改時(shí)時(shí)不會(huì)發(fā)生生更改直到過(guò)盈實(shí)實(shí)施被用盡盡CE-4DLCIs63758294CE-4路由表入出DLCI6310/8DLCI7520/8DLCI8230/8DLCI94-100Draft-Kompella：在PE處實(shí)施用戶戶站點(diǎn)在每個(gè)PE處為每個(gè)CE實(shí)施VFT輸入/輸出出路由目標(biāo)標(biāo)BGP共同體：VPNIDCE-ID：在相關(guān)VPN中為唯一值值CE范圍：可連連接CE的最大數(shù)數(shù)量標(biāo)記庫(kù)：：為第一一個(gè)子接接口ID分配的標(biāo)標(biāo)記PE預(yù)留N個(gè)連續(xù)的的標(biāo)記，，這里N為CE范圍子接口ID列表：分分配給CE-PE連接的一一組本地地子接口口ID（DLCI）CE4VFT輸入/輸輸出路由由表CEIDRT14CE范圍10004標(biāo)記基準(zhǔn)準(zhǔn)子接口ID63758294CE4VCT標(biāo)記101Site1Site2Site1Site2Draft-Kompella：在PE處實(shí)施用用戶站點(diǎn)點(diǎn)PE-2CE-4PE-1CE-2CE-2CE-1VFTVFTVFTVFTCE4VFT輸入/輸輸出路由由表CEIDRT14CE范圍標(biāo)記4子接口ID63758294100110021003由CE2使用的用于到達(dá)CE4

的標(biāo)記1001由CE3使用的用于到達(dá)CE4

的標(biāo)記10021000由CE1使用的用于到達(dá)CE4

的標(biāo)記1000FRFRCE4的DLCI至CE163CE4的DLCI至CE275CE4的DLCI至CE382CE4的DLCI至CEnew94PE-2使用CE4VFT進(jìn)行配置置由CEnew使用的用于到達(dá)CE4

的標(biāo)記1003標(biāo)記標(biāo)準(zhǔn)準(zhǔn)1000102Draft-Kompella：發(fā)布VCT使用BGP成員自動(dòng)動(dòng)發(fā)現(xiàn)成員間鏈鏈路自動(dòng)動(dòng)分配使用BGP路由目標(biāo)標(biāo)共同體體+路由由過(guò)濾（（基于路路由目的的）配置置VPN拓?fù)?03站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2Draft-Kompella：發(fā)布VCTPE-1接收承載載PE-2CE4VCT的BGP路由PE-2CE-4PE-1CE-2CE-2CE-1VFTVFTVFTVFTFRFRBGP會(huì)話期/LDPCE4VCT更新RTCEIDRT14CE范圍標(biāo)記基準(zhǔn)41000CE4VCT更新RTCEIDRT14CE范圍標(biāo)記基準(zhǔn)41000104站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2Draft-Kompella：更新VFTPE-1更新其CE2VFT的子接口口ID列表CE2VFT(RT1)的輸入路路由目標(biāo)標(biāo)匹配BGP路由中承承載的路路由目標(biāo)標(biāo)（RT1）匹配PE-2CE-4PE-1CE-2CE-2CE-1VFTVFTVFTVFTFRDLCI75FRDLCI414CE2VFTCEID內(nèi)部標(biāo)記子接口ID

用于到達(dá)CE4

的標(biāo)記10011072092654141234502075009350105站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2Draft-Kompella：更新VFTPE-1更新其CE2VFT的子接口口ID列表CE2VFT(RT1)的輸入路路由目標(biāo)標(biāo)匹配BGP路由中承承載的路路由目標(biāo)標(biāo)匹配PE-2CE-4PE-1CE-2CE-2CE-1VFTVFTVFTVFTCE2VFTCEID內(nèi)部標(biāo)記記子接口ID到達(dá)PE-2的LSP

50010720926541412345020750093501001外部標(biāo)記記FRDLCI75FRDLCI414106站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2Draft-Kompella：數(shù)據(jù)流假設(shè)PE至PE的LSP已經(jīng)存在（與與RFC2547bis相似）CE-2使用于CE-4相關(guān)的DLCI（414）將數(shù)據(jù)包發(fā)送送給PE-1PE-2CE-4PE-1CE-2CE-2CE-1VFTVFTVFTVFTDLCI75DLCI414數(shù)據(jù)包DLCI

414107站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2Draft-Kompella：數(shù)據(jù)流DLCI數(shù)值由入口PE除去兩個(gè)標(biāo)記從VFT子接口查詢得得到并“壓入入”數(shù)據(jù)包之之上外部IGP標(biāo)記定義到出口PE路由器的LSP從核心網(wǎng)IGP獲得并由RSVP或LDP發(fā)布內(nèi)部站點(diǎn)標(biāo)記記定義從PE至CE的出境子接口口從通過(guò)BGP發(fā)布的VCT獲得并由出口口PE發(fā)布PE-2CP-4PE-1CE-2CE-2CE-1PE-11)在紅色VFT中查詢DLCI2)壓入VPN標(biāo)記(1001)3)壓入IGP標(biāo)記(500)VFTVFTVFTVFTDLCI75數(shù)據(jù)包站點(diǎn)標(biāo)記(1001)IGP標(biāo)記(500)108站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2Draft-Kompella：數(shù)據(jù)流當(dāng)數(shù)據(jù)包離開開入口PE后，使用外部部標(biāo)記在LSP中進(jìn)行傳輸P路由器并不了了解VPNPE-2CPE-4PE-1CE-2CE-2CE-1VFTVFTVFTVFT數(shù)據(jù)包站點(diǎn)標(biāo)記(1001)IGP標(biāo)記(z)DLCI75DLCI414109站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2Draft-Kompella：數(shù)據(jù)流由倒數(shù)第二跳跳路由器彈出出外部標(biāo)記（（在到達(dá)出口口PE前）PE-2CE-4PE-1CE-2CE-2CE-1倒數(shù)第二跳彈出外部標(biāo)記lVFTVFTVFTVFT數(shù)據(jù)包站點(diǎn)標(biāo)記(1001)DLCI75DLCI414110站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2Draft-Kompella：數(shù)據(jù)流在出口PE處將內(nèi)部標(biāo)記記去除出口PE進(jìn)行一次標(biāo)記記查詢以尋找找相應(yīng)的DLCI值原來(lái)的幀中繼繼包被發(fā)送至至相應(yīng)的出境境子接口PE-2CE-4PE-1CE-2CE-2CE-1VFTVFTVFTVFTDLCI75DLCI414數(shù)據(jù)包DLCI75111Draft-Kompella:支持的2層技技術(shù)幀中繼ATMAAL5CPCS模式ATM透明信元模式式以太網(wǎng)以太網(wǎng)VLANCiscoHDLCPPP112Draft-Martini介紹比draft-kompella簡(jiǎn)單的機(jī)制標(biāo)準(zhǔn)的第二層層用戶接口，，被映射至LSP，使用標(biāo)記堆棧棧以減少核心心網(wǎng)LSP的數(shù)量但并不包括用用于自動(dòng)實(shí)施施的協(xié)議使協(xié)議更為簡(jiǎn)簡(jiǎn)單但需要更多的的手動(dòng)實(shí)時(shí)適合于高度定定制的拓?fù)浣Y(jié)結(jié)構(gòu)113Draft-Martini:實(shí)施L2VPN站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1CE-2CE-2CE-1DLCI82DLCI414間接LDP會(huì)話期以廣播VC標(biāo)記500VC類型VCID幀中繼25DLCI到達(dá)PE-2的標(biāo)記414500PE-1到達(dá)CE-2的標(biāo)記1001VC類型VCID幀中繼25DLCI到達(dá)PE-1的標(biāo)記82501PE-2到達(dá)CE-4的標(biāo)記1002VC類型VCID幀中繼25VC標(biāo)記1002PE-2LDP廣播接口參數(shù)MTU=4482VC類型VCID幀中繼25VC標(biāo)記1001PE-1LDP廣播接口參數(shù)MTU=4482501114Draft-Martini：數(shù)據(jù)流站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1CE-2CE-2CE-1DLCI82DLCI414500

VC類型VCID幀中繼25DLCI到達(dá)PE-2的隧道標(biāo)記414500PE-1到達(dá)CE-4的VC標(biāo)記1002VC類型VCID幀中繼25DLCI到達(dá)PE-1的隧道標(biāo)記82501PE-2到達(dá)CE-2的VC標(biāo)記1001501數(shù)據(jù)包DLCI

414PE-11)壓入VC標(biāo)記(1002)2)壓入隧道標(biāo)記記(500)數(shù)據(jù)包VC標(biāo)記

1002隧道標(biāo)記500倒數(shù)第二跳彈出頂部標(biāo)記數(shù)據(jù)包DLCI

82數(shù)據(jù)包VC標(biāo)記1002數(shù)據(jù)流與draft-Kompella相似115Draft-Martini:可選控制字控制字的出現(xiàn)現(xiàn)及其功能依依賴于被封裝裝的L2有效載荷可被用于：排序添加信息承載與協(xié)議相相關(guān)的控制位位幀中繼FECN，BECN，DE，C/RATM傳輸類型，EFCI，CLP，C/RVC標(biāo)記（32位）控制字（32位）被封裝的有效載荷隧道標(biāo)記（32位）116Draft-Martini:支持的二層技技術(shù)幀中繼ATMAAL5CPCS模式ATM透明信元模式式以太網(wǎng)以太網(wǎng)VLANCiscoHDLCPPPSONET/SDH鏈路仿真服務(wù)務(wù)（CEM）117二層MPLSVPN的CoS與2547bisCoS相同的機(jī)制業(yè)務(wù)模型可從從現(xiàn)有的L2技術(shù)繼承而來(lái)來(lái)基于速率基于丟失基于CoSMartiniID方法為對(duì)FECN，BECN，DE/CLP進(jìn)行端到端保保留118第四部分總總結(jié)IPVPN的優(yōu)勢(shì)更低的設(shè)備投投資使用普通骨干干網(wǎng)進(jìn)行經(jīng)濟(jì)濟(jì)的擴(kuò)展更低的服務(wù)成成本更低的管理和和支持開支管理可外包給給服務(wù)提供商商最終用戶能夠夠?qū)Ｗ⒂谄浜撕诵臉I(yè)務(wù)而不不是網(wǎng)絡(luò)為最終用戶提提供更好的連連通性IP無(wú)處不在服務(wù)提供商的的一個(gè)機(jī)遇120一系列的VPN解決方案每個(gè)客戶都有有所不同安全性需求職員專業(yè)技能能外包的可能性性客戶網(wǎng)絡(luò)的規(guī)規(guī)模及業(yè)務(wù)量量不同提供商具有不不同的考慮客戶群提供外包的期期望程度處理托管路由由器服務(wù)121一系列的VPN解決方案具有很強(qiáng)安全全性需求的客客戶在客戶處的加加密/認(rèn)證可與任何VPN方式一同使用用IPSecIPSecVPN非常普通（或L2VPN）希望對(duì)路由進(jìn)進(jìn)行完全管理理的客戶例如，在整個(gè)個(gè)專網(wǎng)中運(yùn)行行一個(gè)OSPF進(jìn)程（具有VPN及后門連接））客戶在其路由由器間需要鏈鏈路二層VPN非常適合122一系列VPN解決方案一些客戶僅有有有限的IP專業(yè)經(jīng)驗(yàn)需要外包廣域域網(wǎng)互聯(lián)及路路由RFC2547bisVPN非常適合適合于絕大部部份VPN業(yè)務(wù)用戶對(duì)于需遠(yuǎn)程接接入公司網(wǎng)絡(luò)絡(luò)的用戶撥號(hào)解決方案案非常通用PPTP/L2TP非常方便和經(jīng)經(jīng)濟(jì)用戶可以通過(guò)過(guò)Internet在任何地方接接入網(wǎng)絡(luò)123JUNOSv4.4RFC2547實(shí)施JUNOS4.4支持RFC2547bis的基本功能已發(fā)運(yùn)并所有有平臺(tái)上支持持所有平臺(tái)都支支持CE，PE，，P路由器功能繼承了JUNOS的穩(wěn)定性及可可擴(kuò)展性繼承了Internet處理器II的性能及功功能–通通過(guò)硬件件對(duì)數(shù)據(jù)包包進(jìn)行處理理將來(lái)可對(duì)RFC2547bis進(jìn)行增強(qiáng)（（組播…））標(biāo)準(zhǔn)仍在制制定中124總結(jié)：虛虛擬專網(wǎng)背景客戶管理的的VPN（CPE-VPN）L2TP及PPTPIPsec提供商實(shí)施施的VPN（（PP-VPN）MPLS/BGPVPN：：RFC2547bis虛擬路由器器基于MPLS的二層VPNVPN的實(shí)施途徑徑是互補(bǔ)的的可以同時(shí)存存在于一個(gè)個(gè)多業(yè)務(wù)核核心網(wǎng)上支持不同的的客戶模式式允許客戶自自由選擇最最佳的解決決方案125謝謝！一系列的VPN解決方案虛擬路由器器解決方案案又如何？？在概念上非非常吸引人人，但是…對(duì)于希望外外包路由的的用戶來(lái)說(shuō)說(shuō)，在提供供商網(wǎng)絡(luò)上上增加了不不必要的負(fù)負(fù)擔(dān)對(duì)于那些在在整個(gè)網(wǎng)絡(luò)絡(luò)中只運(yùn)行行一個(gè)IGP進(jìn)程的用戶戶來(lái)說(shuō)，要要求他們與與提供商在在IGP運(yùn)行上合作作可以在整個(gè)個(gè)專網(wǎng)中使使用一個(gè)OSPF區(qū)域，但是是二層VPN非常適合這這種情況不清楚是否否有某種環(huán)環(huán)境下，VR是最佳的VPN解決方案127Draft-Martini:虛鏈路FEC網(wǎng)元VCTLVCVC類型VC信息長(zhǎng)度組IDVCID接口參數(shù)““在LDP標(biāo)記映射及及標(biāo)記撤銷銷消息中使使用VC類型定義VC封裝類型VCID32位連接ID與VC類型一起定定義特定的的VC128Draft-Martini:虛鏈路FEC網(wǎng)元接口參數(shù)定義CE面向的接口口相關(guān)特定定參數(shù)確認(rèn)LSR及邊緣端口口有互操作作所必須的的能力可定義：接口MTU連接ATM信元的最大大數(shù)量隨意的接口口描述字符符串CEM有效載荷字字節(jié)CEM選項(xiàng)129VPNA站點(diǎn)1VPNB站點(diǎn)1VPNB站點(diǎn)2VPNA站點(diǎn)2Inter-AS運(yùn)營(yíng)：ASBR間的VRF至VRF直接連接AS邊界路由器器擔(dān)當(dāng)PE直接相互連連接需要為每個(gè)個(gè)VRF提供一個(gè)單單獨(dú)的子接接口每個(gè)ASBR/PE將另一個(gè)ASBR/PE作為一個(gè)CE存在可擴(kuò)展展性方面的的問(wèn)題EBGPP1ASBR1PE1ASBR2P2PE2SP1SP2130VPNA站點(diǎn)1VPNB站點(diǎn)1VPNB站點(diǎn)2VPNA站點(diǎn)2P1ASBR1PE1ASBR2P2PE2SP1SP2Inter-AS運(yùn)營(yíng)：MultihopEBGP廣播被標(biāo)記記的IPv4/32路由至另一一個(gè)AS在入口及出出口PE間建立LSP使用MultihopEBGP如果/32PE地址不被廣廣播，P路由器可使使用3層堆堆棧ASBR并不了解VPN-IPv4路由MultihopEBGPRRRR131MPLSCoS機(jī)制機(jī)制為標(biāo)記記聯(lián)同MPLS幀中的3位位Exp/CoS區(qū)域，或只只簡(jiǎn)單的