制勝的VPN策略制勝的VPN策略日程安排虛擬專網(wǎng)（VPN）介紹運(yùn)營模式：BGP/MPLSVPN（RFC2547bis）運(yùn)營模式：二層MPLSVPN總結(jié)2JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential日程安排虛擬專網(wǎng)（VPN）介紹2JuniperNetwor

第一部分

VPN介紹

第一部分

VPN介紹日程：

VPN介紹VPN概況基于CPE的VPN由服務(wù)商實(shí)施的VPNIETF標(biāo)準(zhǔn)更新4JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential日程：

VPN介紹VPN概況4JuniperNetwork日程：

VPN介紹VPN概況基于CPE的VPN由提供商實(shí)施的VPNIETF標(biāo)準(zhǔn)更新5JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential日程：

VPN介紹VPN概況5JuniperNetwork什么是VPN？專網(wǎng)是建立在共享基礎(chǔ)設(shè)施之上的虛擬：并不是一個獨(dú)立的物理網(wǎng)絡(luò)專有：獨(dú)立的地址使用及路由網(wǎng)絡(luò)：一組能夠相互通信的設(shè)備的集合約束是關(guān)鍵–無限制的連通性并不是目的共享基礎(chǔ)設(shè)施移動用戶及遠(yuǎn)程用戶遠(yuǎn)程接入分支辦公室公司總部供應(yīng)商，合作伙伴及客戶企業(yè)內(nèi)部互聯(lián)網(wǎng)企業(yè)間互聯(lián)網(wǎng)6JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential什么是VPN？專網(wǎng)是建立在共享基礎(chǔ)設(shè)施之上的共享移動用戶及遠(yuǎn)90年代實(shí)施的VPN運(yùn)營模式PVC覆蓋在共享基礎(chǔ)設(shè)施（ATM/幀中繼）之上用戶路由（或橋接）在用戶處實(shí)施優(yōu)點(diǎn)更低的開銷（相對于專線來講）相對“安全”局限可擴(kuò)展性及管理并不是一個完全集成的IP解決方案提供商幀中繼網(wǎng)絡(luò)CECEDLCI幀中繼交換機(jī)DLCIDLCI幀中繼交換機(jī)幀中繼交換機(jī)7JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential90年代實(shí)施的VPN運(yùn)營模式提供商幀中繼網(wǎng)絡(luò)CECEDLCI21世紀(jì)實(shí)施的VPN使用IP基礎(chǔ)設(shè)施可以與Internet業(yè)務(wù)共享IP/MPLS（并不是ATM/FR）變得越來越為重要用戶需求更低的運(yùn)營成本一個網(wǎng)絡(luò)為所有服務(wù)提供連接提供商需求可支持所有業(yè)務(wù)的多業(yè)務(wù)基礎(chǔ)設(shè)施創(chuàng)造更多盈利機(jī)會Internet遠(yuǎn)程接入企業(yè)內(nèi)部互聯(lián)網(wǎng)企業(yè)間互聯(lián)網(wǎng)移動用戶及遠(yuǎn)程用戶分支辦公室公司總部供應(yīng)商，合作伙伴及客戶8JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential21世紀(jì)實(shí)施的VPN使用IP基礎(chǔ)設(shè)施Internet遠(yuǎn)程接入一個VPN模型不能滿足所有用戶！挑戰(zhàn)：客戶具有多種VPN需求解決方案：建立靈活的、支持多業(yè)務(wù)的核心網(wǎng)集成公共、半公共及專有業(yè)務(wù)支持多種VPN業(yè)務(wù)模式站點(diǎn)數(shù)用戶數(shù)業(yè)務(wù)量希望托管程度職員專業(yè)技術(shù)010001000100010001000100安全要求9JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential一個VPN模型不能滿足所有用戶！挑戰(zhàn)：客戶具有多種VPN需求VPN分類模型用戶管理的VPN解決方案（CPE-VPN）L2TP及PPTPIPsec隧道模式提供商實(shí)施的VPN解決方案（PP-VPN）基于BGP/MPLS的VPN（RFC2547bis）虛擬路由器二層MPLSVPNPEPECPECPE用戶站點(diǎn)3PP-VPN用戶站點(diǎn)2CPEPEVPN隧道VPN隧道VPN隧道CPEPEPEPECPECPECPE-VPNVPN隧道用戶站點(diǎn)1用戶站點(diǎn)3用戶站點(diǎn)2VPN隧道VPN隧道用戶站點(diǎn)110JuniperNetworks,Inc.Copyright?2001-Proprietary&ConfidentialVPN分類模型用戶管理的VPN解決方案（CPE-VPN）PE日程：

VPN介紹VPN概況基于CPE的VPN由提供商實(shí)施的VPNIETF標(biāo)準(zhǔn)更新11JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential日程：

VPN介紹VPN概況11JuniperNetwoCPE-VPN：L2TP及PPTP應(yīng)用：遠(yuǎn)程用戶撥號接入二層隧道協(xié)議（L2TP）RFC2661L2F及點(diǎn)到點(diǎn)隧道協(xié)議的組合點(diǎn)到點(diǎn)隧道協(xié)議（PPTP）與Windows及WindowsNT捆綁在建立過程中進(jìn)行認(rèn)證IPsec可在PPP上運(yùn)行以提供更高的安全性撥號接入提供商V.x調(diào)制解調(diào)器PPP撥號服務(wù)提供商或VPNL2TP接入服務(wù)器撥號接入服務(wù)器L2TP隧道撥號接入服務(wù)器PPTP接入服務(wù)器PPTP隧道12JuniperNetworks,Inc.Copyright?2001-Proprietary&ConfidentialCPE-VPN：L2TP及PPTP應(yīng)用：遠(yuǎn)程用戶撥號接入撥號CPE-VPN：IPsec隧道模式IPsec定義了IETF三層安全性體系結(jié)構(gòu)應(yīng)用高安全性要求，跨越一個或多個服務(wù)提供商用戶負(fù)責(zé)密匙管理安全性服務(wù)包括訪問控制數(shù)據(jù)起源認(rèn)證重放保護(hù)數(shù)據(jù)完整性數(shù)據(jù)私密性（加密）密匙管理13JuniperNetworks,Inc.Copyright?2001-Proprietary&ConfidentialCPE-VPN：IPsec隧道模式IPsec定義了IETF三CPE-VPN：IPsec–例子路由必須在CPE處執(zhí)行隧道在用戶處終結(jié)只有CPE設(shè)備需要支持IPsec不需要對共享/公共資源進(jìn)行修改封裝安全有效載荷（ESP）隧道模型認(rèn)證確保完整（CPE至CPE）加密原有的報頭/有效載荷通過Internet支持私有地址空間公司總部分支辦公室CPECPEIPsecESP隧道模型公共Internet14JuniperNetworks,Inc.Copyright?2001-Proprietary&ConfidentialCPE-VPN：IPsec–例子路由必須在CPE處執(zhí)行公I(xiàn)Psec特點(diǎn)從服務(wù)提供商處獲得普通IP服務(wù)使用現(xiàn)有路由器對受保護(hù)的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)自身不參與QoS/SLA提供商機(jī)會較小客戶管理自己的路由美國正逐步放寬對加密技術(shù)的出口限制公司總部分支辦公室CPECPEIPsecESP隧道模型公共Internet15JuniperNetworks,Inc.Copyright?2001-Proprietary&ConfidentialIPsec特點(diǎn)從服務(wù)提供商處獲得普通IP服務(wù)公司總部分支辦公日程：

VPN介紹VPN概況基于CPE的VPN由提供商實(shí)施的VPNIETF標(biāo)準(zhǔn)更新16JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential日程：

VPN介紹VPN概況16JuniperNetwo由提供商實(shí)施的VPN：

三層與二層比較提供商路由器參與客戶三層路由提供商路由器管理與VPN相關(guān)的路由表，將路由發(fā)布給遠(yuǎn)端站點(diǎn)CPE路由器將其路由廣播給提供商客戶將其三層路由映射至鏈路網(wǎng)絡(luò)提供商為用戶的每個遠(yuǎn)端站點(diǎn)提供一條二層鏈路客戶路由對提供商透明三層二層17JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential由提供商實(shí)施的VPN：

三層與二層比較提供商路由器參與客戶三三層PP-VPN：

RFC2547bis應(yīng)用：外包VPNPE為每個直連的VPN站點(diǎn)維護(hù)與該站點(diǎn)相關(guān)的轉(zhuǎn)發(fā)表客戶與提供商間運(yùn)行傳統(tǒng)IP路由使用BGP發(fā)布VPN路由使用MPLS在提供商骨干網(wǎng)中對VPN業(yè)務(wù)進(jìn)行轉(zhuǎn)發(fā)服務(wù)提供商網(wǎng)絡(luò)站點(diǎn)1站點(diǎn)1站點(diǎn)2站點(diǎn)3站點(diǎn)2站點(diǎn)3CECECEVRFVRFVRFVRFVRFPEPEPEPPPEPPPCECECEVRF18JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential三層PP-VPN：

RFC2547bis應(yīng)用：外包VPN服三層PP-VPN：

RFC2547bis使用LDP或RSVP建立PE至PE的標(biāo)記交換路徑（LSP）BGP用于發(fā)布VPN相關(guān)信息（發(fā)現(xiàn)）VPN路由及可達(dá)信息每條VPNLSP的標(biāo)記（封裝在PE-PELSP隧道中）通過路由過濾進(jìn)行連接的限制靈活的、基于策略的控制機(jī)制19JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential三層PP-VPN：

RFC2547bis使用LDP或RSV三層PP-VPN：

虛擬路由器PE設(shè)備為專網(wǎng)提供網(wǎng)絡(luò)層（IP）轉(zhuǎn)發(fā)與VPN相關(guān)的轉(zhuǎn)發(fā)表PE參與專網(wǎng)路由穿過公網(wǎng)的專網(wǎng)路由與數(shù)據(jù)一起被封裝在隧道中PE中的VR象專網(wǎng)中的一臺普通路由器一樣運(yùn)行可使用MPLS或其它隧道方式實(shí)現(xiàn)20JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential三層PP-VPN：

虛擬路由器PE設(shè)備為專網(wǎng)提供網(wǎng)絡(luò)層（IP虛擬路由器的問題VPN端點(diǎn)發(fā)現(xiàn)多種選擇（BGP，組播，LDAP及其它）路由可擴(kuò)展性必須在公網(wǎng)上運(yùn)行多個路由進(jìn)程互通性多種VR實(shí)現(xiàn)方式?jīng)]有任何一個獲得“領(lǐng)導(dǎo)地位”網(wǎng)間互聯(lián)不像2547bis那樣普通21JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential虛擬路由器的問題VPN端點(diǎn)發(fā)現(xiàn)21JuniperNetwo三層PP-VPN優(yōu)勢用戶將路由復(fù)雜性轉(zhuǎn)移給提供商適于不希望在其組織結(jié)構(gòu)中建立核心路由功能的中小型公司提供商不需所有骨干網(wǎng)路由器中維護(hù)與VPN相關(guān)的路由信息增值業(yè)務(wù)（盈利機(jī)遇）22JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential三層PP-VPN優(yōu)勢用戶22JuniperNetworks3層PP-VPN缺點(diǎn)基于策略的控制增加了提供商管理負(fù)擔(dān)一些客戶希望維持控制他們的路由體系23JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential3層PP-VPN缺點(diǎn)基于策略的控制增加了提供商管理負(fù)擔(dān)23J基于MPLS的二層PP-VPN線路交叉連接(CCC)Draft-Martini二層VPNDraft-Kompella二層VPN24JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential基于MPLS的二層PP-VPN線路交叉連接(CCC)24J輸入輸出LSP1DLCI600LSP2DLCI610輸入輸出DLCI60010/8DLCI61020/8線路交叉連接（CCC）為基于MPLS的二層VPN提供基礎(chǔ)CPE與PE間使用FR/ATM接口服務(wù)提供商管理PE間的LSP全網(wǎng)狀互聯(lián)CPE基于子網(wǎng)/PVC映射對VPN業(yè)務(wù)進(jìn)行路由入口PE將每條入境PVC映射至一條專用LSP出口PE將進(jìn)來的LSP映射至出境PVCCECEDLCI600DLCI610LSP1LSP2DLCI608DLCI605PEPECE源路由表CCC表“好服務(wù)提供商”(美國區(qū)域)“好服務(wù)提供商”(歐洲區(qū)域)“好服務(wù)提供商”(亞洲區(qū)域)CCC表CCC表輸入輸出DLCI605LSP1大型

IP/MPLS網(wǎng)絡(luò)CCC=線路交叉連接輸入輸出DLCI608LSP2PE25JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential輸入輸出LSP1DLCI600LSP2DLCI610線路交叉連接的問題需對CPE及PE系統(tǒng)進(jìn)行配置復(fù)雜的初始配置添加、移動及更改的配置非常冗長每條DLCI/PVC需要一條專用LSP只適用于小數(shù)量的個別私有連接26JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential線路交叉連接的問題需對CPE及PE系統(tǒng)進(jìn)行配置26JunipATM（或幀中繼）ATM（或幀中繼）Draft-Martini

基于MPLS的二層VPN繼承使用CCC及MPLS的經(jīng)驗(yàn)在傳統(tǒng)實(shí)現(xiàn)方式的基礎(chǔ)上提高數(shù)據(jù)層面的可擴(kuò)展性標(biāo)記堆棧將多條DLCI、PVC，或VLAN合并到一條LSP上去增加一個站點(diǎn)時，需在每條鏈路的兩端進(jìn)行實(shí)施專網(wǎng)路由為CPE至CPEPEPELSPLSP2LSP6LSP5DLCI600DLCI610DLCI506DLCI408(MPLS核心)CPECPE27JuniperNetworks,Inc.Copyright?2001-Proprietary&ConfidentialATM（或幀中繼）ATM（或幀中繼）Draft-MartinDraft-Kompella

基于MPLS的二層VPN繼承使用CCC及MPLS的經(jīng)驗(yàn)可擴(kuò)展的數(shù)據(jù)及控制層面數(shù)據(jù)層面：通過標(biāo)記堆棧將多條DLCI、PVC，或VLAN合并到一條LSP上去實(shí)施：進(jìn)行自動配置專網(wǎng)路由為CPE至CPEPEPELSPDLCI600DLCI610DLCI506DLCI408CPEPECPECPE28JuniperNetworks,Inc.Copyright?2001-Proprietary&ConfidentialDraft-Kompella

基于MPLS的二層VPN繼承使基于MPLS的二層VPN：優(yōu)勢用戶外包線路能夠維持對路由的控制支持任何三層協(xié)議提供商對RFC2547bis的補(bǔ)充在相同的核心網(wǎng)上運(yùn)行，使用相同的出境LSPL2VPN（幀中繼，ATM及VLAN）可被合并至一個IP/MPLS基礎(chǔ)設(shè)施平臺上與CCC相比，標(biāo)記堆棧減少了LSP的數(shù)量29JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential基于MPLS的二層VPN：優(yōu)勢用戶29JuniperNet基于MPLS的二層VPN：問題到達(dá)每個VPN站點(diǎn)的線路類型（ATM/FR）必須一致減少了提供商的盈利機(jī)會客戶必須具有路由專業(yè)技能30JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential基于MPLS的二層VPN：問題到達(dá)每個VPN站點(diǎn)的線路類型（日程：

VPN介紹VPN概況基于CPE的VPN由提供商實(shí)施的VPNIETF標(biāo)準(zhǔn)更新31JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential日程：

VPN介紹VPN概況31JuniperNetwo標(biāo)準(zhǔn)：

基于CPE的VPNCPE-VPN標(biāo)準(zhǔn)是穩(wěn)定的而且已被實(shí)施L2TP的RFC2661許多針對IPsec的RFC配置及實(shí)施具有挑戰(zhàn)性具有許多專有的實(shí)施方案32JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential標(biāo)準(zhǔn)：

基于CPE的VPNCPE-VPN標(biāo)準(zhǔn)是穩(wěn)定的而且已被標(biāo)準(zhǔn)：

BGP/MPLSVPNRFC2547提供了優(yōu)勢的概況2547bis（Internet-Draft）詳細(xì)說明了有關(guān)互通性方面所需的細(xì)節(jié)由Cisco，Juniper及多家服務(wù)提供商和其它組織聯(lián)合撰寫可互通的產(chǎn)品已經(jīng)開始發(fā)運(yùn)完整的IETF標(biāo)準(zhǔn)化將需要一段時間擴(kuò)展正被考慮MPLS/BGPVPN的組播33JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential標(biāo)準(zhǔn)：

BGP/MPLSVPNRFC2547提供了優(yōu)勢的標(biāo)準(zhǔn)：

其它VPN文件框架文件正在草案擬定過程中綜合了多家的建議覆蓋了L3VPN已被更新覆蓋了L2，CPEPP-VPN需求文件正在草案擬定過程中已撰寫了多個VR的建議二層MPLSVPN是Internet草案draft-kompella-mpls-l2vpn-02.txtdraft-martini-l2circuit-encap-mpls-01.txtdraft-martini-l2circuit-signaling-mpls-??.txtIETF中運(yùn)營商實(shí)施的VPN工作組會議34JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential標(biāo)準(zhǔn)：

其它VPN文件框架文件正在草案擬定過程中34Juni

第二部分

BGP/MPLSVPN

第二部分

BGP/MPLSVPN日程：

BGP/MPLSVPNRFC2547bis術(shù)語VPN地址結(jié)構(gòu)運(yùn)行模式基于策略的路由信息交換業(yè)務(wù)轉(zhuǎn)發(fā)可擴(kuò)展的2547bisInternet訪問服務(wù)等級36JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential日程：

BGP/MPLSVPNRFC2547bis術(shù)語3日程：

BGP/MPLSVPNRFC2547bis術(shù)語VPN地址結(jié)構(gòu)運(yùn)行模式基于策略的路由信息交換業(yè)務(wù)轉(zhuǎn)發(fā)可擴(kuò)展的2547bisInternet訪問服務(wù)等級37JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential日程：

BGP/MPLSVPNRFC2547bis術(shù)語3客戶邊界路由器客戶邊界（CE）路由器位于客戶處提供到服務(wù)提供商網(wǎng)絡(luò)的接入CE/PE連接可使用任何接入技術(shù)或路由協(xié)議CEPPPECECECEPEVPNAVPNAVPNBVPNBPE客戶邊界38JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential客戶邊界路由器客戶邊界（CE）路由器CEPPPECECE提供商邊界路由器提供商邊界（PE）路由器維護(hù)與站點(diǎn)相關(guān)的轉(zhuǎn)發(fā)表使用BGP與其它PE路由器交換VPN路由信息使用MPLSLSP轉(zhuǎn)發(fā)VPN業(yè)務(wù)CEPPPECECECEPEVPNAVPNAVPNBVPNBPE提供商邊界39JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential提供商邊界路由器提供商邊界（PE）路由器CEPPPECEC提供商路由器提供商（P）路由器使用已建立的LSP對VPN數(shù)據(jù)進(jìn)行透明轉(zhuǎn)發(fā)不維護(hù)與VPN有關(guān)的路由信息CEPPPECECECEPEVPNAVPNAVPNBVPNBPE提供商路由器40JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential提供商路由器提供商（P）路由器CEPPPECECECEPVPN路由及轉(zhuǎn)發(fā)表（VRF）PPPPE2VPNA站點(diǎn)3VPNA站點(diǎn)1VPNB站點(diǎn)2VPNB站點(diǎn)1PE1PE3VPNA站點(diǎn)2CE–A1CE–B1CE–A3CE–A2CE–B2PVPNB站點(diǎn)3CE–B3CE–C1VPNC站點(diǎn)1VPNC站點(diǎn)2CE–C2為連接到PE上的每個站點(diǎn)建立一個VRF靜態(tài)路由OSPF路由E-BGP41JuniperNetworks,Inc.Copyright?2001-Proprietary&ConfidentialVPN路由及轉(zhuǎn)發(fā)表（VRF）PPPPE2VPNAVPNVRF每個VRF廣播時具有：與此VRF相關(guān)的、直接從CE站點(diǎn)接收到的路由從其它PE路由器接收到的、具有可接受的BGP屬性的路由來自某VPN站點(diǎn)的數(shù)據(jù)包只使用與該VPN相關(guān)的VRF提供不同VPN間的隔離42JuniperNetworks,Inc.Copyright?2001-Proprietary&ConfidentialVRF每個VRF廣播時具有：42JuniperNetwor日程：

BGP/MPLSVPNRFC2547bis術(shù)語VPN地址結(jié)構(gòu)運(yùn)行模式基于策略的路由信息交換業(yè)務(wù)轉(zhuǎn)發(fā)可擴(kuò)展的2547bisInternet訪問服務(wù)等級43JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential日程：

BGP/MPLSVPNRFC2547bis術(shù)語4地址復(fù)用PPPPE2VPNA站點(diǎn)3VPNA站點(diǎn)1VPNB站點(diǎn)2VPNB站點(diǎn)1PE1PE3VPNA站點(diǎn)2CE–A1CE–B1CE–A3CE–A2CE–B2PVPNB站點(diǎn)3CE–B310.1/1610.3/1610.2/1610.3/1610.2/1610.1/1644JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential地址復(fù)用PPPPE2VPNAVPNAVPNBVPN路由區(qū)分器(RD)VPN-IPv4地址族VPN-IPv4地址族新的BGP-4并發(fā)地址族識別器路由區(qū)分器（RD）+用戶IPv4前綴路由區(qū)分器消除IPv4地址的歧義支持私有IP地址空間允許服務(wù)提供商管理自己的“數(shù)字空間”VPN-IPV4地址通過BGP發(fā)布使用“BGP4多協(xié)議擴(kuò)展”（RFC2283）VPN-IPV4地址只在控制層面被使用類型管理器分配數(shù)值用戶IPv4前綴(2字節(jié))(變長)(變長)(4字節(jié))45JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential路由區(qū)分器(RD)VPN-IPv4地址族VPN-IPv4VPN-IPv4地址族類型區(qū)域有兩個可選值：0和1類型0：管理器區(qū)域=2字節(jié)，AN區(qū)域=4字節(jié)管理器區(qū)域必須包含一個來自IANA的自治域號碼（ASN）AN區(qū)域?yàn)橛煞?wù)提供商分配的一個數(shù)值類型1：管理器區(qū)域=4字節(jié)，AN區(qū)域=2字節(jié)管理器區(qū)域必須包含一個由IANA分配的IP地址AN為由服務(wù)提供商分配的一個數(shù)值例子：10458:22:/16或:33:/16類型管理器分配數(shù)值用戶IPv4前綴(2字節(jié))(變長)(變長)8字節(jié)路由區(qū)分器（RD）(4字節(jié))2字節(jié)類型區(qū)域：

決定其它兩個區(qū)域的長度管理器區(qū)域：

定義一個分配數(shù)值單位分配數(shù)值區(qū)域:

由指定單位分配的用于特殊目的的數(shù)值46JuniperNetworks,Inc.Copyright?2001-Proprietary&ConfidentialVPN-IPv4地址族類型區(qū)域有兩個可選值：0和1類型管理器VPN-IPv4地址族路由區(qū)分器消除IPv4地址歧義VPN-IPv4路由入口PE為從每個CE接收到的路由建立RD及IPv4前綴VPN-IPv4使用BGP在PE間進(jìn)行交換出口PE在將路由信息裝入站點(diǎn)路由表前將VPN-IPv4路由轉(zhuǎn)變?yōu)镮Pv4路由VPN-IPv4只在控制層面被使用數(shù)據(jù)層面使用MPLS及IPv4地址47JuniperNetworks,Inc.Copyright?2001-Proprietary&ConfidentialVPN-IPv4地址族路由區(qū)分器消除IPv4地址歧義47Ju使用路由區(qū)分器PPPPE2VPNA站點(diǎn)3VPNA站點(diǎn)1VPNB站點(diǎn)2VPNB站點(diǎn)1PE1PE3VPNA站點(diǎn)2CE–A1CE–B1CE–A3CE–A2CE–B2PVPNB站點(diǎn)3CE–B310.1/1610.3/1610.2/1610.3/1610.2/1610.1/1610458:22:10.1/1610458:23:10.1/16BGP48JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential使用路由區(qū)分器PPPPE2VPNAVPNAVPNB日程：

BGP/MPLSVPNRFC2547bis術(shù)語VPN地址結(jié)構(gòu)運(yùn)行模式基于策略的路由信息交換業(yè)務(wù)轉(zhuǎn)發(fā)可擴(kuò)展的2547bisInternet訪問服務(wù)等級49JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential日程：

BGP/MPLSVPNRFC2547bis術(shù)語4運(yùn)營模式概況控制流路由信息在CE與PE間進(jìn)行交換路由信息在PE間進(jìn)行交換在PE間建立LSP（RSVP或LDP作為信令）數(shù)據(jù)流轉(zhuǎn)發(fā)用戶業(yè)務(wù)PPPPE2VPNA站點(diǎn)3VPNA站點(diǎn)1VPNB站點(diǎn)2VPNB站點(diǎn)1PE1PE3VPNA站點(diǎn)2CE–A1CE–B1CE–A3CE–A2CE–B2P50JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential運(yùn)營模式概況控制流PPPPE2VPNAVPNAVPNRFC2547bis策略VPN通過管理策略定義用于連通性及CoS保證由客戶定義由服務(wù)提供商通過輸入及輸出路由策略進(jìn)行實(shí)施定義VPN成員定義拓?fù)浣Y(jié)構(gòu)（例如，全網(wǎng)狀結(jié)構(gòu)，hub-spoke結(jié)構(gòu)等）51JuniperNetworks,Inc.Copyright?2001-Proprietary&ConfidentialRFC2547bis策略VPN通過管理策略定義51Jun路由發(fā)布路由發(fā)布通過BGP擴(kuò)展Community屬性控制路由目標(biāo)：定義PE路由器發(fā)布路由前往的一組站點(diǎn)起始站點(diǎn)：定義PE路由器從某一特定站點(diǎn)學(xué)習(xí)到一條路由52JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential路由發(fā)布路由發(fā)布通過BGP擴(kuò)展Community屬性控制52路由目標(biāo)每條VPN-IPv4路由被BGP廣播時都與一個路由目標(biāo)屬性相關(guān)聯(lián)輸出策略定義哪一目標(biāo)與路由相關(guān)聯(lián)在接收一條VPN-IPv4路由時，PE路由器將決定是否將該條路由添加到一個VRF中輸入策略定義哪些路由將被添加到一個VRF中VRF間的路由隔離通過仔細(xì)的策略管理來實(shí)現(xiàn)服務(wù)提供商實(shí)施工具確定適當(dāng)?shù)妮敵龊洼斎肽繕?biāo)間關(guān)系53JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential路由目標(biāo)每條VPN-IPv4路由被BGP廣播時都與一個路由目路由信息的交換CE設(shè)備向PE路由器廣播路由使用傳統(tǒng)路由技術(shù)（OSPF，IS-IS，RIP，BGP，靜態(tài)路由等）10.1/16OSPF站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1BGP會話期CE-2CE-3CE-1VRFVRFVRFVRF54JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential路由信息的交換CE設(shè)備向PE路由器廣播路由10.1/16OS站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1BGP會話期CE-2CE-3CE-1VRFVRFVRFVRF路由信息的交換IPv4地址被添加至適當(dāng)?shù)霓D(zhuǎn)發(fā)表PE路由器將IPv4地址轉(zhuǎn)換成VPN-IPv4地址VPN-IPv4地址被安裝至BGP路由表中10458:23:10.1/1610.1/16OSPF55JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1BG站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1BGP會話期CE-2CE-3CE-1VRFVRFVRFVRF路由信息的交換VPN-IPv4地址與一個輸出目標(biāo)相關(guān)聯(lián)“VPNRED”10458:23:10.1/16“VPNRED”輸出10.1/16OSPF56JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1BG站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1BGP會話期CE-2CE-3CE-1VRFVRFVRFVRF路由信息的交換VPN-IPv4地址被廣播至其它PE內(nèi)部標(biāo)記目標(biāo)下一跳10458:23:10.1/16“VPNRED”輸出標(biāo)記Z10.1/16OSPF下一跳PE-257JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1BG站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1BGP會話期CE-2CE-3CE-1VRFVRFVRFVRF路由信息的交換每個PE都配置了輸入目標(biāo)輸入目標(biāo)用于有選擇地將VPN-IPv4路由合并至VRF如果輸入目標(biāo)屬性與BGP消息中的屬性匹配，路由則被合并至VRF基于配置的輸入策略，10458:23:12.1/16被合并至紅色VRF而不是藍(lán)色VRF“VPNBLUE”輸入“VPNRED”輸入BGP10.1/16OSPF10458:23:10.1/16“VPNRED”輸出標(biāo)記Z下一跳PE-258JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1BG站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1BGP會話期CE-2CE-3CE-1VRFVRFVRFVRF路由信息的交換VRF中的每條VPN-IPv4路由與下面信息相關(guān)：到達(dá)被廣播的NLRI的內(nèi)部標(biāo)記到達(dá)每個PE的外部標(biāo)記（在BGPNext-Hop中承載）來自同一CE的多條路由可以共享相同的標(biāo)記“VPNBLUE”輸入10458:23:10.1/16BGP標(biāo)記(內(nèi)部)標(biāo)記(Z)IGP(外部)標(biāo)記(y)BGP10.1/16OSPF10458:23:10.1/16“VPNRED”輸出標(biāo)記Z下一跳PE-259JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1BG站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1BGP會話期CE-2CE-3CE-1VRFVRFVRFVRF路由信息的交換每條VRF接收到的IPv4路由可能被廣播至與該VRF相關(guān)的站點(diǎn)使用傳統(tǒng)路由技術(shù)（RIP，OSPF，IS-IS，EBGP，或靜態(tài)路由）“VPNBLUE”輸入10.1/16

下一跳PE1OSPF，…60JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1BG站點(diǎn)2(10.1/16)站點(diǎn)1站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1CE-2CE-3CE-1VRFVRFVRFVRF數(shù)據(jù)流必須在對數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)以通過MPLS骨干網(wǎng)前建立PE至PE的LSPLSP通過LDP或RSVP進(jìn)行信令交換61JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential站點(diǎn)2站點(diǎn)1站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1CE數(shù)據(jù)流CE執(zhí)行傳統(tǒng)IPv4查詢并將數(shù)據(jù)包發(fā)送給PE站點(diǎn)2(10.1/16)站點(diǎn)1站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1CE-2CE-3CE-1VRFVRFVRFVRFIP62JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential數(shù)據(jù)流CE執(zhí)行傳統(tǒng)IPv4查詢并將數(shù)據(jù)包發(fā)送給PE站點(diǎn)2站站點(diǎn)2(10.1/16)站點(diǎn)1站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1CE-2CE-3CE-1VRFVRFVRFVRFIP數(shù)據(jù)流PE針對特定入境接口使用適當(dāng)?shù)腣RF從VRF路由查詢獲得兩個標(biāo)記并“壓入”給數(shù)據(jù)包

PE-11)在紅色FT中查詢路由2)壓入BGP標(biāo)記(Z)3)壓入IGP標(biāo)記(Y)63JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential站點(diǎn)2站點(diǎn)1站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1CE標(biāo)記2(10.1/16)站點(diǎn)1站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1CE-2CE-3CE-1VRFVRFVRFVRF數(shù)據(jù)流數(shù)據(jù)包通過兩級標(biāo)記堆棧在LSP中被轉(zhuǎn)發(fā)外部IGP標(biāo)記定義去往出口PE路由器的LSP從核心網(wǎng)的IGP獲得并通過RSVP或LDP發(fā)布內(nèi)部BGP標(biāo)記定義從出口PE至CE的輸出接口從來自出口PE的MP-IBPG更新獲得

PE-11)在紅色FT中查詢路由2)壓入BGP標(biāo)記(Z)3)壓入IGP標(biāo)記(Y)IPBGP標(biāo)記(Z)IGP標(biāo)記(Y)64JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential標(biāo)記2站點(diǎn)1站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1CE站點(diǎn)2(10.1/16)數(shù)據(jù)流在數(shù)據(jù)包離開入口PE后，外部標(biāo)記用于穿過服務(wù)提供商網(wǎng)絡(luò)P路由器并不意識到VPN的存在站點(diǎn)1站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1CE-2CE-3CE-1VRFVRFVRFVRFIPBGP標(biāo)記(z)IGP標(biāo)記(x)65JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential站點(diǎn)2數(shù)據(jù)流在數(shù)據(jù)包離開入口PE后，外部標(biāo)記用于穿過服務(wù)提數(shù)據(jù)流外部標(biāo)記在通過倒數(shù)第二跳時被彈出（在到達(dá)出口PE前）站點(diǎn)2(10.1/16)站點(diǎn)1站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1CE-2CE-3CE-1VRFVRFVRFVRFIPBGP標(biāo)記(z)倒數(shù)第二跳彈出外部標(biāo)記66JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential數(shù)據(jù)流外部標(biāo)記在通過倒數(shù)第二跳時被彈出（在到達(dá)出口PE前）站數(shù)據(jù)流內(nèi)部標(biāo)記在出口PE被拆除原來的IPv4包被發(fā)往與該標(biāo)記相關(guān)聯(lián)的出境接口站點(diǎn)2(10.1/16)站點(diǎn)1站點(diǎn)1站點(diǎn)2PE-2CE-4PE-1CE-2CE-3CE-1VRFVRFVRFVRFIP67JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential數(shù)據(jù)流內(nèi)部標(biāo)記在出口PE被拆除站點(diǎn)2站點(diǎn)1站點(diǎn)1站點(diǎn)日程：

BGP/MPLSVPNRFC2547bis術(shù)語VPN地址結(jié)構(gòu)運(yùn)行模式基于策略的路由信息交換業(yè)務(wù)轉(zhuǎn)發(fā)可擴(kuò)展的2547bisInternet訪問服務(wù)等級68JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential日程：

BGP/MPLSVPNRFC2547bis術(shù)語6

休息

休息

日程：

BGP/MPLSVPNRFC2547bis術(shù)語VPN地址結(jié)構(gòu)運(yùn)行模式基于策略的路由信息交換業(yè)務(wù)轉(zhuǎn)發(fā)可擴(kuò)展的2547bisInternet訪問服務(wù)等級70JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential日程：

BGP/MPLSVPNRFC2547bis術(shù)語7如何使其具有可擴(kuò)展性，來自RFC2547bis的建議考慮PE的局限（例如，總路由數(shù)）盡量使CE至PE間的路由簡單專門為VPN路由建立多個獨(dú)立的BGP路由反射器使用BGP-RFRSH(刷新)建議標(biāo)準(zhǔn)RFC2918使用BGP-ORF（出境路由過濾器）建議標(biāo)準(zhǔn)/internet-drafts/draft-chen-bgp-route-filter-00.txt71JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential如何使其具有可擴(kuò)展性，來自RFC2547bis的建議考慮可擴(kuò)展性：

劃分和解決兩級堆棧使P路由器不必了解VPN路由信息PE路由器只維持與其具有直接連接站點(diǎn)的VPN路由如果需要，由提供商提供VPN中部分BGP路由反射器系統(tǒng)中沒有任何一個單個設(shè)備需要維持所有VPN的路由系統(tǒng)的能力并不由某個單個設(shè)備所限制72JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential可擴(kuò)展性：

劃分和解決兩級堆棧使P路由器不必了解VPN路由信可擴(kuò)展性：

VPN有關(guān)的路由反射器RR不需成為PE或P不需要進(jìn)行轉(zhuǎn)發(fā)，不需要具有VRF，甚至不需要MPLSPE路由器來來自每個組的RR建立對等關(guān)系在PE上自動建立路由過濾器，只允許接收直接連接到該P(yáng)E的VPN路由PPPPE3PPE2PE1隨著VPN數(shù)量的增加而添加路由反射器VPN1VPN48

用于100-200的VPNRR用于1-99的VPNRRVPN188

73JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential可擴(kuò)展性：

VPN有關(guān)的路由反射器RR不需成為PE或PPPP可擴(kuò)展性：

BGP-RefreshBGP為狀態(tài)協(xié)議一旦對等體間同步后，他們將不再交換路由直到發(fā)生改變PE已經(jīng)過濾了與RRvpn間交換的路由以限制其接收到的路由數(shù)量PE增加/刪除一個VPN需要對BPG路由表進(jìn)行更新BGP-refresh允許PE以非分裂方式從一個新的VPN獲得路由（無需中斷與RR間的BGP會話期）RRvpn2RRvpn1PECE74JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential可擴(kuò)展性：

BGP-RefreshBGP為狀態(tài)協(xié)議RRvpnRRvpn2可擴(kuò)展性：

BGP-出境路由過濾器（ORF）沒有BGP-ORFPE從RRvpn接收更新更新包括RRvpn所知的每條路由PE則根據(jù)路由目標(biāo)實(shí)施路由過濾器，丟棄不適當(dāng)?shù)穆酚删哂蠦GP-ORFPE發(fā)送給RRvpn一個其感興趣的路由目標(biāo)列表RRvpn應(yīng)用路由過濾器，只發(fā)送給PE適當(dāng)?shù)穆酚蒖Rvpn1PECE75JuniperNetworks,Inc.Copyright?2001-Proprietary&ConfidentialRRvpn2可擴(kuò)展性：

BGP-出境路由過濾器（ORF）沒有日程：

BGP/MPLSVPNRFC2547bis術(shù)語VPN地址結(jié)構(gòu)運(yùn)行模式基于策略的路由信息交換業(yè)務(wù)轉(zhuǎn)發(fā)可擴(kuò)展的2547bisInternet訪問服務(wù)等級76JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential日程：

BGP/MPLSVPNRFC2547bis術(shù)語7訪問公共Internet如果VPN使用專有地址，連接至Internet需要NATCE可執(zhí)行NAT功能服務(wù)提供商可執(zhí)行NAT功能選項1：PE不維護(hù)Internet相關(guān)路由甚至無0/0選項2：PE維護(hù)一些或所有Internet路由范圍可從0/0到全I(xiàn)nternet路由客戶公共InternetVPNCE77JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential訪問公共Internet如果VPN使用專有地址，連接至Int訪問公共Internet：

選項1.1VPN服務(wù)提供商在Internet連接中不起作用VPN客戶在其從其部分或所有站點(diǎn)具有獨(dú)立的Internet連接站點(diǎn)1站點(diǎn)2VRFVRF公共Internet站點(diǎn)378JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential訪問公共Internet：

選項1.1VPN服務(wù)提供商在In訪問公共Internet：

選項1.2PE提供二層連通性至一臺維護(hù)部分或所有Internet路由的路由器SP提供2547bis及L2PP-VPN假設(shè)CE及PE間具有分離的邏輯（不需要物理連接）鏈路（例如，DLCI，VLAN，GRE…）L2VPN具有到達(dá)與Internet相關(guān)的路由器的L2連通性不同的VPN可能使用不同的Internet相關(guān)路由器站點(diǎn)1站點(diǎn)2VRFVRF公共InternetInternet業(yè)務(wù)Internet相關(guān)路由器VPN業(yè)務(wù)79JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential訪問公共Internet：

選項1.2PE提供二層連通性至一訪問公共Internet：

選項2.1所有連接到PE的VPN共享包含部分或完整Internet路由的路由表迫使所有連接到該P(yáng)E的所有VPN對于Internet路由作相似的路由選擇可能需要在CE和PE間具有分離的邏輯鏈路以承載去往及來自Internet的業(yè)務(wù)公共InternetInternet表VRFInternet路由VPN路由站點(diǎn)1站點(diǎn)2VRFVRFInternet80JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential訪問公共Internet：

選項2.1所有連接到PE的VPN訪問公共Internet：

選項2.2PE上的一個（獨(dú)立的）VRF具有部分/所有Internet路由Internet連通性被作為一個（獨(dú)立的）的VPN允許為Internet路由進(jìn)行定制路由選擇在一個PE上使用多個Internet-VRF可能需要在CE和PE間具有分離的邏輯鏈路以承載去往及來自Internet的業(yè)務(wù)如果VRF維護(hù)全路由，則可能出現(xiàn)可擴(kuò)展性方面的問題此選項可能需要每個VRF維護(hù)0/0及少量的其它Internet路由公共Internet站點(diǎn)1站點(diǎn)2VRFInternetVRFVPN-RedVRF81JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential訪問公共Internet：

選項2.2PE上的一個（獨(dú)立的）訪問公共Internet：

選項2.3PE上的一個VRF維護(hù)部分/全部Internet路由與用于VPN的VRF相同允許對于Internet路由根據(jù)每個VPN進(jìn)行路由選擇如果VRF維護(hù)全路由，則可能出現(xiàn)可擴(kuò)展性方面的問題此選項可能需要每個VRF維護(hù)0/0及少量的其它Internet路由Internet及VPN可通過一條邏輯鏈路提供不確定是否與用戶網(wǎng)絡(luò)中具有NAT功能的設(shè)備兼容公共Internet站點(diǎn)1站點(diǎn)2VRFVPN-Red+InternetVRF82JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential訪問公共Internet：

選項2.3PE上的一個VRF維護(hù)日程：

BGP/MPLSVPNRFC2547bis術(shù)語VPN地址結(jié)構(gòu)運(yùn)行模式基于策略的路由信息交換業(yè)務(wù)轉(zhuǎn)發(fā)可擴(kuò)展的2547bisInternet訪問服務(wù)等級83JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential日程：

BGP/MPLSVPNRFC2547bis術(shù)語8VPN服務(wù)等級VPN業(yè)務(wù)必須提供CoS區(qū)別至少要與現(xiàn)有的服務(wù)模式相匹配，甚至更好多種可能的模式：每隔VPN每種應(yīng)用每…?84JuniperNetworks,Inc.Copyright?2001-Proprietary&ConfidentialVPN服務(wù)等級VPN業(yè)務(wù)必須提供CoS區(qū)別84Juniper2547bis的服務(wù)等級CoS可支持許多不同的方法CoS值可由下列因素確定：DiffServ值IP優(yōu)先級位靜態(tài)配置應(yīng)用與DiffServ所使用的衡定、分類及標(biāo)識等機(jī)制相一致在PE至PE路徑上，CoS可使用MPLS的EXP/CoS位及/或標(biāo)記、基于每條LSP進(jìn)行實(shí)施可在邊緣及核心使用排隊機(jī)制共享鏈路帶寬及對擁塞進(jìn)行管理85JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential2547bis的服務(wù)等級CoS可支持許多不同的方法85JunMPLS/VPNCoS服務(wù)模型點(diǎn)到網(wǎng)絡(luò)遠(yuǎn)端CE被作為一個組本地端口對于入口及出口具有不同的保證速率點(diǎn)到點(diǎn)與具有“硬”性能保證的PVC相似可組合作為混合模式例如具有硬備份的軟服務(wù)需要靈活的實(shí)施86JuniperNetworks,Inc.Copyright?2001-Proprietary&ConfidentialMPLS/VPNCoS服務(wù)模型點(diǎn)到網(wǎng)絡(luò)86Juniper

第三部分

二層MPLSVPN

第三部分

二層MPLSVPN

提供商實(shí)施的二層VPN過去，提供商使用唯一的ATM核心支持Internet及VPN業(yè)務(wù)用于Internet業(yè)務(wù)（ISP）的ATMPVC用于VPN的ATMPVCATM的速度不足以支持Internet提供商被迫使用兩個核心網(wǎng)為什么不在一個MPLS核心網(wǎng)上對兩種業(yè)務(wù)同時予以支持呢？將幀中繼及ATM映射到MPLSLSP（L3VPN可使用相同的核心網(wǎng)）88JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential提供商實(shí)施的二層VPN過去，提供商使用唯一的ATM核心支持I使用MPLS的提供商實(shí)施的二層VPN提供商邊緣設(shè)備為用戶提供二層鏈路ID（DLCI，VPI/VCI，或VLANID）客戶得到標(biāo)準(zhǔn)的FR或ATMPVC從本地站點(diǎn)，每個可達(dá)站點(diǎn)都具有一條提供商邊緣設(shè)備將鏈路ID映射到一條MPLSLSP以穿過提供商核心網(wǎng)客戶將自己的路由體系結(jié)構(gòu)映射到鏈路網(wǎng)上去客戶路由對提供商透明管理責(zé)任分離89JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential使用MPLS的提供商實(shí)施的二層VPN提供商邊緣設(shè)備為用戶提供通過MPLS對傳統(tǒng)二層VPN進(jìn)行改進(jìn)從核心技術(shù)中減弱邊界（客戶面對）技術(shù)對所有希望的服務(wù)提供單一的網(wǎng)絡(luò)基礎(chǔ)設(shè)施簡化實(shí)施90JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential通過MPLS對傳統(tǒng)二層VPN進(jìn)行改進(jìn)從核心技術(shù)中減弱邊界（客兩個提議：Draft-Kompelladraft-kompella-mpls-l2vpn-02.txtDraft-Martinidraft-martini-l2circuit-trans-mpls-06.txtdraft-martini-l2circuit-encap-mpls-02.txt兩個提議在數(shù)據(jù)層面相似都支持多種二層技術(shù)兩個提議在控制層面不同標(biāo)準(zhǔn)處于早期階段二層VPN標(biāo)準(zhǔn)91JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential兩個提議：二層VPN標(biāo)準(zhǔn)91JuniperNetworks客戶邊界路由器客戶邊界（CE）路由器路由器或交換機(jī)位于客戶處，提供服務(wù)提供商網(wǎng)絡(luò)的接入與服務(wù)提供商網(wǎng)絡(luò)在二層（FR，ATM，以太網(wǎng)）及三層（IP，IPX，SNA）獨(dú)立VPN內(nèi)的CE使用相同的L2技術(shù)接入服務(wù)提供商網(wǎng)絡(luò)不同的鏈接可使用不同的第二層技術(shù)每個遠(yuǎn)端CE需要一個邏輯鏈接CEPPPECECECEPEVPNAVPNAVPNBVPNBPE客戶邊緣ATMFRATMFRVPN站點(diǎn)92JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential客戶邊界路由器客戶邊界（CE）路由器CEPPPECECE提供商邊界路由器邊界路由器（PE）路由器維持VPN相關(guān)信息與其它PE交換VPN相關(guān)信息對于draft-kompella，使用BGP或LDP對于draft-martini，使用LDP在PE間使用MPLSLSP轉(zhuǎn)發(fā)VPN業(yè)務(wù)CEPPPECECECEPEVPNAVPNAVPNBVPNBPEATMFRATMFR提供商邊界93JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential提供商邊界路由器邊界路由器（PE）路由器CEPPPECEC提供商路由器提供商（P）路由器通過已建立的LSP對VPN數(shù)據(jù)進(jìn)行透明轉(zhuǎn)發(fā)并不維護(hù)與VPN有關(guān)的轉(zhuǎn)發(fā)信息CEPPPECECECEPEVPNAVPNAVPNBVPNBPEATMFRATMFR提供商路由器94JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential提供商路由器提供商（P）路由器CEPPPECECECEDraft-Kompella介紹面向用戶的接口使用標(biāo)準(zhǔn)的第二層技術(shù)將這些第二層接口（“鏈路”）映射至骨干網(wǎng)內(nèi)的LSP上去使用MPLS標(biāo)記堆棧以降低核心網(wǎng)內(nèi)的LSP數(shù)量規(guī)范中還包括用于自動實(shí)施的協(xié)議機(jī)制增加/刪除/更改一個單一站點(diǎn)只需對一個PE進(jìn)行重新配置支持全網(wǎng)狀拓?fù)浼癶ub-spoke拓?fù)浣Y(jié)構(gòu)95JuniperNetworks,Inc.Copyright?2001-Proprietary&ConfidentialDraft-Kompella介紹面向用戶的接口使用標(biāo)準(zhǔn)的第二PPPPE2VPNA站點(diǎn)3VPNA站點(diǎn)1VPNB站點(diǎn)2VPNB站點(diǎn)1PE1PE3VPNA站點(diǎn)2CE–A1CE–B1CE–A3CE–A2CE–B2P為每個連接至PE的站點(diǎn)建立一個VRFDraft-Kompella：

VPN轉(zhuǎn)發(fā)表（VFT）ATMATMATM每個VFT連同下面一些因素一起被廣播：為本地CE站點(diǎn)實(shí)施的轉(zhuǎn)發(fā)信息通過BGP或LDP從其它PE接收到的VPN連接表96JuniperNetworks,Inc.Copyright?2001-Proprietary&ConfidentialPPPPE2VPNAVPNAVPNBVPNBPE站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2Draft-Kompella：

VPN連接表（VCT）PE-2CE-4PE-1CE-2CE-2CE-1VFTVFTVFTVFTVCT是VFT所擁有信息的子集VCT由PE通過BGP或LDP進(jìn)行發(fā)布為每個VPN站點(diǎn)廣播VCT至PEBGP會話期/LDP97JuniperNetworks,Inc.Copyright?2001-Proprietary&Confidential站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2Draft-KompellaDraft-Kompella：

L2VPN實(shí)施實(shí)施網(wǎng)絡(luò)在PE上實(shí)施信息實(shí)施VPN（PE）假設(shè)：A，接入技術(shù)為幀中繼（其他情況與之相似）B，使用BGP在PE間對VPN信息進(jìn)行分配98JuniperNetworks,Inc.Copyright?2001-Proprietary&ConfidentialDraft-Kompella：

L2VPN實(shí)施實(shí)施網(wǎng)絡(luò)假PPPPE2VPNA站點(diǎn)3VPNA站點(diǎn)1VPNB站點(diǎn)2VPNB站點(diǎn)1PE1PE3VPNA站點(diǎn)2CE–A1CE–B1CE–A3CE–A2CE–B2PDraft-Kompella：

實(shí)施網(wǎng)絡(luò)必須在PE間事先建立LSP：LSP被用于多種服務(wù)（例如，對Internet業(yè)務(wù)實(shí)施流量工程，L2VPN，L3VPN）OSPFOSPFOSPFATMATMATM99JuniperNetworks,Inc.Copyright?2001-Proprietary&ConfidentialPPPPE2VPNAVPNAVPNBVPNBPEDraft-Kompella：

在PE處實(shí)施用戶站點(diǎn)DLCI列表每個遠(yuǎn)端CE一個，一些多余的用于過盈實(shí)施每個CE的DLCI數(shù)值相互獨(dú)立用于自動發(fā)現(xiàn)及地址學(xué)習(xí)的LMI，反向ARP和/或路由協(xié)議VPN關(guān)系更改時不會發(fā)生更改直到過盈實(shí)施被用盡CE-4DLCIs63758294CE-4路由表入出DLCI

6310/8DLCI7520/8DLCI8230/8DLCI94-100JuniperNetworks,Inc.Copyright?2001-Proprietary&ConfidentialDraft-Kompella：

在PE處實(shí)施用戶站點(diǎn)DLCIDraft-Kompella：

在PE處實(shí)施用戶站點(diǎn)在每個PE處為每個CE實(shí)施VFT

輸入/輸出路由目標(biāo)BGP共同體：VPNIDCE-ID：在相關(guān)VPN中為唯一值CE范圍：可連接CE的最大數(shù)量標(biāo)記庫：為第一個子接口ID分配的標(biāo)記PE預(yù)留N個連續(xù)的標(biāo)記，這里N為CE范圍子接口ID列表：分配給CE-PE連接的一組本地子接口ID（DLCI）CE4VFT輸入/輸出路由表CEIDRT14CE范圍10004標(biāo)記基準(zhǔn)子接口ID63758294CE4VCT標(biāo)記101JuniperNetworks,Inc.Copyright?2001-Proprietary&ConfidentialDraft-Kompella：

在PE處實(shí)施用戶站點(diǎn)在每個PSite1Site2Site1Site2Draft-Kompella：

在PE處實(shí)施用戶站點(diǎn)PE-2CE-4PE-1CE-2CE-2CE-1VFTVFTVFTVFTCE4VFT輸入/輸出路由表CEIDRT14CE范圍標(biāo)記4子接口ID63758294100110021003由CE2使用的用于到達(dá)CE4

的標(biāo)記1001由CE3使用的用于到達(dá)CE4

的標(biāo)記10021000由CE1使用的用于到達(dá)CE4

的標(biāo)記1000FRFRCE4的DLCI至CE163CE4的DLCI至CE275CE4的DLCI至CE382CE4的DLCI至CEnew94PE-2使用CE4VFT進(jìn)行配置由CEnew使用的用于到達(dá)CE4

的標(biāo)記1003標(biāo)記標(biāo)準(zhǔn)1000102JuniperNetworks,Inc.Copyright?2001-Proprietary&ConfidentialSite1Site2Site1Site2Draft-Draft-Kompella：

發(fā)布VCT使用BGP成員自動發(fā)現(xiàn)成員間鏈路自動分配使用BGP路由目標(biāo)共同體+路由過濾（基于路由目的）配置VPN拓?fù)?03JuniperNetworks,Inc.Copyright?2001-Proprietary&ConfidentialDraft-Kompella：

發(fā)布VCT使用BGP103J站點(diǎn)1站點(diǎn)2站點(diǎn)1站點(diǎn)2