制勝的VPN策略日程安排虛擬專網(wǎng)（VPN）介紹運營模式：BGP/MPLSVPN（RFC2547bis）運營模式：二層MPLSVPN總結(jié)2

第一部分

VPN介紹日程：

VPN介紹VPN概況基于CPE的VPN由服務商實施的VPNIETF標準更新4日程：

VPN介紹VPN概況基于CPE的VPN由提供商實施的VPNIETF標準更新5什么是VPN？專網(wǎng)是建立在共享基礎設施之上的虛擬：并不是一個獨立的物理網(wǎng)絡專有：獨立的地址使用及路由網(wǎng)絡：一組能夠相互通信的設備的集合約束是關鍵–無限制的連通性并不是目的共享基礎設施移動用戶及遠程用戶遠程接入分支辦公室公司總部供應商，合作伙伴及客戶企業(yè)內(nèi)部互聯(lián)網(wǎng)企業(yè)間互聯(lián)網(wǎng)690年代實施的VPN運營模式PVC覆蓋在共享基礎設施（ATM/幀中繼）之上用戶路由（或橋接）在用戶處實施優(yōu)點更低的開銷（相對于專線來講）相對“安全”局限可擴展性及管理并不是一個完全集成的IP解決方案提供商幀中繼網(wǎng)絡CECEDLCI幀中繼交換機DLCIDLCI幀中繼交換機幀中繼交換機721世紀實施的VPN使用IP基礎設施可以與Internet業(yè)務共享IP/MPLS（并不是ATM/FR）變得越來越為重要用戶需求更低的運營成本一個網(wǎng)絡為所有服務提供連接提供商需求可支持所有業(yè)務的多業(yè)務基礎設施創(chuàng)造更多盈利機會Internet遠程接入企業(yè)內(nèi)部互聯(lián)網(wǎng)企業(yè)間互聯(lián)網(wǎng)移動用戶及遠程用戶分支辦公室公司總部供應商，合作伙伴及客戶8一個VPN模型不能滿足所有用戶！挑戰(zhàn)：客戶具有多種VPN需求解決方案：建立靈活的、支持多業(yè)務的核心網(wǎng)集成公共、半公共及專有業(yè)務支持多種VPN業(yè)務模式站點數(shù)用戶數(shù)業(yè)務量希望托管程度職員專業(yè)技術010001000100010001000100安全要求9VPN分類模型用戶管理的VPN解決方案（CPE-VPN）L2TP及PPTPIPsec隧道模式提供商實施的VPN解決方案（PP-VPN）基于BGP/MPLS的VPN（RFC2547bis）虛擬路由器二層MPLSVPNPEPECPECPE用戶站點3PP-VPN用戶站點2CPEPEVPN隧道VPN隧道VPN隧道CPEPEPEPECPECPECPE-VPNVPN隧道用戶站點1用戶站點3用戶站點2VPN隧道VPN隧道用戶站點110日程：VPN介紹VPN概況基于CPE的VPN由提供商實施施的VPNIETF標準更新11CPE-VPN：L2TP及PPTP應用：遠程用用戶撥號接入入二層隧道協(xié)議議（L2TP）RFC2661L2F及點到點隧道道協(xié)議的組合合點到點隧道協(xié)協(xié)議（PPTP）與Windows及WindowsNT捆綁在建立過程中中進行認證IPsec可在PPP上運行以提供供更高的安全全性撥號接入提供供商V.x調(diào)制解調(diào)器PPP撥號服務提供商或或VPNL2TP接入服務器撥號接入服務器L2TP隧道撥號接入服務器PPTP接入服務器PPTP隧道12CPE-VPN：IPsec隧道模式IPsec定義了IETF三層安全性體體系結(jié)構(gòu)應用高安全性要求求，跨越一個個或多個服務務提供商用戶負責密匙匙管理安全性服務包包括訪問控制數(shù)據(jù)起源認證證重放保護數(shù)據(jù)完整性數(shù)據(jù)私密性（（加密）密匙管理13CPE-VPN：IPsec–例子路由必須在CPE處執(zhí)行隧道在用戶處處終結(jié)只有CPE設備需要支持持IPsec不需要對共享享/公共資源源進行修改封裝安全有效效載荷（ESP）隧道模型認證確保完整整（CPE至CPE）加密原有的報報頭/有效載載荷通過Internet支持私有地址址空間公司總部分支辦公室CPECPEIPsecESP隧道模型公共Internet14IPsec特點從服務提供商商處獲得普通通IP服務使用現(xiàn)有路由由器對受保護護的數(shù)據(jù)包進進行轉(zhuǎn)發(fā)自身不參與QoS/SLA提供商機會較較小客戶管理自己己的路由美國正逐步放放寬對加密技技術的出口限限制公司總部分支辦公室CPECPEIPsecESP隧道模型公共Internet15日程：VPN介紹VPN概況基于CPE的VPN由提供商實施施的VPNIETF標準更新16由提供商實施施的VPN：三層與二層比比較提供商路由器器參與客戶三三層路由提供商路由器器管理與VPN相關的路由表表，將路由發(fā)發(fā)布給遠端站站點CPE路由器將其路路由廣播給提提供商客戶將其三層層路由映射至至鏈路網(wǎng)絡提供商為用戶戶的每個遠端端站點提供一一條二層鏈路路客戶路由對提提供商透明三層二層17三層PP-VPN：

RFC2547bis應用：外包VPNPE為每個直連的的VPN站點維護與該該站點相關的的轉(zhuǎn)發(fā)表客戶與提供商商間運行傳統(tǒng)統(tǒng)IP路由使用BGP發(fā)布VPN路由使用MPLS在提供商骨干干網(wǎng)中對VPN業(yè)務進行轉(zhuǎn)發(fā)發(fā)服務提供商網(wǎng)網(wǎng)絡站點1站點1站點2站點3站點2站點3CECECEVRFVRFVRFVRFVRFPEPEPEPPPEPPPCECECEVRF18三層PP-VPN：

RFC2547bis使用LDP或RSVP建立PE至PE的標記交換路路徑（LSP）BGP用于發(fā)布VPN相關信息（發(fā)發(fā)現(xiàn)）VPN路由及可達信信息每條VPNLSP的標記（封裝在PE-PELSP隧道中）通過路由過濾濾進行連接的的限制靈活的、基于于策略的控制制機制19三層PP-VPN：虛擬路由器PE設備為專網(wǎng)提提供網(wǎng)絡層（（IP）轉(zhuǎn)發(fā)與VPN相關的轉(zhuǎn)發(fā)表表PE參與專網(wǎng)路由由穿過公網(wǎng)的專專網(wǎng)路由與數(shù)數(shù)據(jù)一起被封封裝在隧道中中PE中的VR象專網(wǎng)中的一一臺普通路由由器一樣運行行可使用MPLS或其它隧道方方式實現(xiàn)20虛擬路由器的的問題VPN端點發(fā)現(xiàn)多種選擇（BGP，組播，LDAP及其它）路由可擴展性性必須在公網(wǎng)上上運行多個路由進程互通性多種VR實現(xiàn)方式?jīng)]有任何一個個獲得“領導導地位”網(wǎng)間互聯(lián)不像2547bis那樣普通21三層PP-VPN優(yōu)勢用戶將路由復雜性性轉(zhuǎn)移給提供供商適于不希望在在其組織結(jié)構(gòu)構(gòu)中建立核心心路由功能的的中小型公司司提供商不需所有骨干干網(wǎng)路由器中中維護與VPN相關的路由信信息增值業(yè)務（盈盈利機遇）223層PP-VPN缺點基于策略的控控制增加了提提供商管理負負擔一些客戶希望望維持控制他他們的路由體體系23基于MPLS的二層PP-VPN線路交叉連接接(CCC)Draft-Martini二層VPNDraft-Kompella二層VPN24輸入輸出LSP1DLCI600LSP2DLCI610輸入輸出DLCI60010/8DLCI61020/8線路交叉連接接（CCC）為基于MPLS的二層VPN提供基礎CPE與PE間使用FR/ATM接口服務提供商管管理PE間的LSP全網(wǎng)狀互聯(lián)CPE基于子網(wǎng)/PVC映射對VPN業(yè)務進行路由由入口PE將每條入境PVC映射至一條專專用LSP出口PE將進來的LSP映射至出境PVCCECEDLCI600DLCI610LSP1LSP2DLCI608DLCI605PEPECE源路由表CCC表“好服務提提供商”(美國區(qū)域域)“好服務提提供商”(歐洲區(qū)域域)“好服務提提供商”(亞洲區(qū)域域)CCC表CCC表輸入輸出DLCI605LSP1大型IP/MPLS網(wǎng)絡CCC=線路交叉連連接輸入輸出DLCI608LSP2PE25線路交叉連連接的問題題需對CPE及PE系統(tǒng)進行配配置復雜的初始始配置添加、移動動及更改的的配置非常常冗長每條DLCI/PVC需要一條專專用LSP只適用于小小數(shù)量的個個別私有連連接26ATM（或幀中繼）ATM（或幀中繼）Draft-Martini基于MPLS的二層VPN繼承使用CCC及MPLS的經(jīng)驗在傳統(tǒng)實現(xiàn)現(xiàn)方式的基基礎上提高高數(shù)據(jù)層面面的可擴展展性標記堆棧將將多條DLCI、、PVC，，或VLAN合并到一條條LSP上去增加一個站站點時，需需在每條鏈鏈路的兩端端進行實施施專網(wǎng)路由為為CPE至CPEPEPELSPLSP2LSP6LSP5DLCI600DLCI610DLCI506DLCI408(MPLS核心)CPECPE27Draft-Kompella基于MPLS的二層VPN繼承使用CCC及MPLS的經(jīng)驗可擴展的數(shù)數(shù)據(jù)及控制制層面數(shù)據(jù)層面：：通過標記記堆棧將多多條DLCI、、PVC，，或VLAN合并到一條條LSP上去實施：進行行自動配置置專網(wǎng)路由為為CPE至CPEPEPELSPDLCI600DLCI610DLCI506DLCI408CPEPECPECPE28基于MPLS的二層VPN：優(yōu)勢用戶外包線路能夠維持對對路由的控控制支持任何三三層協(xié)議提供商對RFC2547bis的補充在相同的核核心網(wǎng)上運運行，使用用相同的出出境LSPL2VPN（幀中繼，，ATM及VLAN））可被合并至至一個IP/MPLS基礎設施平平臺上與CCC相比，標記記堆棧減少少了LSP的數(shù)量29基于MPLS的二層VPN：問題到達每個VPN站點的線路路類型（ATM/FR）必須一致減少了提供供商的盈利利機會客戶必須具具有路由專專業(yè)技能30日程：VPN介紹VPN概況基于CPE的VPN由提供商實實施的VPNIETF標準更新31標準：基基于CPE的VPNCPE-VPN標準是穩(wěn)定定的而且已已被實施L2TP的RFC2661許多針對IPsec的RFC配置及實施施具有挑戰(zhàn)戰(zhàn)性具有許多專專有的實施施方案32標準：BGP/MPLSVPNRFC2547提供了優(yōu)勢勢的概況2547bis（（Internet-Draft）詳細說明了了有關互通通性方面所所需的細節(jié)節(jié)由Cisco，Juniper及多家服務務提供商和和其它組織織聯(lián)合撰寫寫可互通的產(chǎn)產(chǎn)品已經(jīng)開開始發(fā)運完整的IETF標準化將需需要一段時時間擴展正被考考慮MPLS/BGPVPN的組播33標準：其其它VPN文件框架文件正正在草案擬擬定過程中中綜合了多家家的建議覆蓋了L3VPN已被更新覆覆蓋了L2，CPEPP-VPN需求文件正正在草案擬擬定過程中中已撰寫了多多個VR的建議二層MPLSVPN是Internet草案draft-kompella-mpls-l2vpn-02.txtdraft-martini-l2circuit-encap-mpls-01.txtdraft-martini-l2circuit-signaling-mpls-??.txtIETF中運營商實實施的VPN工作組會議議34第二部分BGP/MPLSVPN日程：BGP/MPLSVPNRFC2547bis術語VPN地址結(jié)構(gòu)運行模式基于策略的的路由信息息交換業(yè)務轉(zhuǎn)發(fā)可擴展的2547bisInternet訪問服務等級36日程：BGP/MPLSVPNRFC2547bis術語VPN地址結(jié)構(gòu)運行模式基于策略的的路由信息息交換業(yè)務轉(zhuǎn)發(fā)可擴展的2547bisInternet訪問服務等級37客戶邊界路路由器客戶邊界（（CE）路由器位于客戶處處提供到服務務提供商網(wǎng)網(wǎng)絡的接入入CE/PE連接可使用用任何接入入技術或路路由協(xié)議CEPPPECECECEPEVPNAVPNAVPNBVPNBPE客戶邊界38提供商邊界界路由器提供商邊界界（PE））路由由器器維護護與與站站點點相相關關的的轉(zhuǎn)轉(zhuǎn)發(fā)發(fā)表表使用用BGP與其其它它PE路由由器器交交換換VPN路由由信信息息使用用MPLSLSP轉(zhuǎn)發(fā)發(fā)VPN業(yè)務務CEPPPECECECEPEVPNAVPNAVPNBVPNBPE提供供商商邊邊界界39提供供商商路路由由器器提供供商商（（P））路由由器器使用用已已建建立立的的LSP對VPN數(shù)據(jù)據(jù)進進行行透透明明轉(zhuǎn)轉(zhuǎn)發(fā)發(fā)不維維護護與與VPN有關關的的路路由由信信息息CEPPPECECECEPEVPNAVPNAVPNBVPNBPE提供供商商路路由由器器40VPN路由由及及轉(zhuǎn)轉(zhuǎn)發(fā)發(fā)表表（（VRF））PPPPE2VPNA站點點3VPNA站點點1VPNB站點點2VPNB站點點1PE1PE3VPNA站點點2CE––A1CE––B1CE––A3CE––A2CE––B2PVPNB站點點3CE––B3CE––C1VPNC站點點1VPNC站點點2CE––C2為連連接接到到PE上的的每個個站站點點建建立立一一個個VRF靜態(tài)態(tài)路路由由OSPF路由由E-BGP41VRF每個個VRF廣播播時時具具有有：：與此此VRF相關關的的、、直直接接從從CE站點點接接收收到到的的路路由由從其其它它PE路由由器器接接收收到到的的、、具具有有可可接接受受的的BGP屬性性的的路路由由來自自某某VPN站點點的的數(shù)數(shù)據(jù)據(jù)包包只只使使用用與與該該VPN相關關的的VRF提供供不不同同VPN間的的隔隔離離42日程程：：BGP/MPLSVPNRFC2547bis術語語VPN地址址結(jié)結(jié)構(gòu)構(gòu)運行行模模式式基于于策策略略的的路路由由信信息息交交換換業(yè)務務轉(zhuǎn)轉(zhuǎn)發(fā)發(fā)可擴擴展展的的2547bisInternet訪問問服務務等等級級43地址址復復用用PPPPE2VPNA站點點3VPNA站點點1VPNB站點點2VPNB站點點1PE1PE3VPNA站點點2CE––A1CE––B1CE––A3CE––A2CE––B2PVPNB站點點3CE––B310.1/1610.3/1610.2/1610.3/1610.2/1610.1/1644路由由區(qū)區(qū)分分器器(RD)VPN-IPv4地址址族族VPN-IPv4地址址族族新的的BGP-4并發(fā)地址址族識別別器路由區(qū)分分器（RD）+用戶IPv4前綴路由區(qū)分分器消除除IPv4地址的歧歧義支持私有有IP地址空間間允許服務務提供商商管理自自己的““數(shù)字空空間”VPN-IPV4地址通過過BGP發(fā)布使用“BGP4多協(xié)議擴擴展”（（RFC2283）VPN-IPV4地址只在在控制層層面被使使用類型管理器分配數(shù)值值用戶IPv4前綴(2字節(jié)節(jié))(變長)(變長)(4字字節(jié))45VPN-IPv4地址族類型區(qū)域域有兩個個可選值值：0和和1類型0：：管理器器區(qū)域=2字節(jié)節(jié)，AN區(qū)域=4字節(jié)管理器區(qū)區(qū)域必須須包含一一個來自自IANA的自治域域號碼（（ASN））AN區(qū)域為由由服務提提供商分分配的一一個數(shù)值值類型1：：管理器器區(qū)域=4字節(jié)節(jié)，AN區(qū)域=2字節(jié)管理器區(qū)區(qū)域必須須包含一一個由IANA分配的IP地址AN為由服務務提供商商分配的的一個數(shù)數(shù)值例子：10458:22:/16或:33:/16類型管理器分配數(shù)值值用戶IPv4前綴(2字字節(jié))(變長)(變長)8字節(jié)路由由區(qū)分器器（RD）(4字字節(jié))2字節(jié)類類型區(qū)域域：決定其它它兩個區(qū)區(qū)域的長長度管理器區(qū)區(qū)域：定義一個個分配數(shù)數(shù)值單位位分配數(shù)值值區(qū)域:由指定單單位分配配的用于于特殊目目的的數(shù)數(shù)值46VPN-IPv4地址族路由區(qū)分分器消除除IPv4地址歧義義VPN-IPv4路由入口PE為從每個個CE接收到的的路由建建立RD及IPv4前綴VPN-IPv4使用BGP在PE間進行交交換出口PE在將路由由信息裝裝入站點點路由表表前將VPN-IPv4路由轉(zhuǎn)變變?yōu)镮Pv4路由VPN-IPv4只在控制制層面被被使用數(shù)據(jù)層面面使用MPLS及IPv4地址47使用路由由區(qū)分器器PPPPE2VPNA站點3VPNA站點1VPNB站點2VPNB站點1PE1PE3VPNA站點2CE–A1CE–B1CE–A3CE–A2CE–B2PVPNB站點3CE–B310.1/1610.3/1610.2/1610.3/1610.2/1610.1/1610458:22:10.1/1610458:23:10.1/16BGP48日程：BGP/MPLSVPNRFC2547bis術語VPN地址結(jié)構(gòu)構(gòu)運行模式式基于策略略的路由由信息交交換業(yè)務轉(zhuǎn)發(fā)發(fā)可擴展的的2547bisInternet訪問服務等級級49運營模式式概況控制流路由信息息在CE與PE間進行交交換路由信息息在PE間進行交交換在PE間建立LSP（（RSVP或LDP作為信令令）數(shù)據(jù)流轉(zhuǎn)發(fā)用戶戶業(yè)務PPPPE2VPNA站點3VPNA站點1VPNB站點2VPNB站點1PE1PE3VPNA站點2CE–A1CE–B1CE–A3CE–A2CE–B2P50RFC2547bis策略VPN通過管理理策略定定義用于連通通性及CoS保證由客戶定定義由服務提提供商通通過輸入入及輸出出路由策策略進行行實施定義VPN成員定義拓撲撲結(jié)構(gòu)（（例如，，全網(wǎng)狀狀結(jié)構(gòu)，，hub-spoke結(jié)構(gòu)等））51路由發(fā)布布路由發(fā)布布通過BGP擴展Community屬性控制制路由目標標：定義PE路由器發(fā)發(fā)布路由由前往的的一組站站點起始站點點：定義PE路由器從從某一特特定站點點學習到到一條路路由52路由目標標每條VPN-IPv4路由被BGP廣播時都都與一個個路由目標標屬性相關關聯(lián)輸出策略略定義哪哪一目標標與路由由相關聯(lián)聯(lián)在接收一一條VPN-IPv4路由時，，PE路由器將將決定是是否將該該條路由由添加到到一個VRF中輸入策略略定義哪哪些路由由將被添添加到一一個VRF中VRF間的路由由隔離通通過仔細細的策略略管理來來實現(xiàn)服務提供供商實施施工具確確定適當當?shù)妮敵龀龊洼斎肴肽繕碎g間關系53路由信息息的交換換CE設備向PE路由器廣廣播路由由使用傳統(tǒng)統(tǒng)路由技技術（OSPF，IS-IS，RIP，，BGP，靜態(tài)路由由等）10.1/16OSPF站點1站點2站點1站點2PE-2CE-4PE-1BGP會話期CE-2CE-3CE-1VRFVRFVRFVRF54站點1站點2站點1站點2PE-2CE-4PE-1BGP會話期CE-2CE-3CE-1VRFVRFVRFVRF路由信息息的交換換IPv4地址被添添加至適適當?shù)霓D(zhuǎn)轉(zhuǎn)發(fā)表PE路由器將將IPv4地址轉(zhuǎn)換換成VPN-IPv4地址VPN-IPv4地址被安安裝至BGP路由表中中10458:23:10.1/1610.1/16OSPF55站點1站點2站點1站點2PE-2CE-4PE-1BGP會話期CE-2CE-3CE-1VRFVRFVRFVRF路由信息息的交換換VPN-IPv4地址與一一個輸出出目標相相關聯(lián)“VPNRED”10458:23:10.1/16“VPNRED”輸出10.1/16OSPF56站點1站點2站點1站點2PE-2CE-4PE-1BGP會話期CE-2CE-3CE-1VRFVRFVRFVRF路由信息息的交換換VPN-IPv4地址被廣廣播至其其它PE內(nèi)部標記記目標下一跳10458:23:10.1/16“VPNRED”輸出標記Z10.1/16OSPF下一跳PE-257站點1站點2站點1站點2PE-2CE-4PE-1BGP會話期CE-2CE-3CE-1VRFVRFVRFVRF路由信息息的交換換每個PE都配置了了輸入目目標輸入目標標用于有有選擇地地將VPN-IPv4路由合并并至VRF如果輸入入目標屬屬性與BGP消息中的的屬性匹匹配，路路由則被被合并至至VRF基于配置置的輸入入策略，，10458:23:12.1/16被合合并至紅紅色VRF而不是藍藍色VRF“VPNBLUE”輸入“VPNRED”輸入BGP10.1/16OSPF10458:23:10.1/16“VPNRED”輸出標記Z下一跳PE-258站點1站點2站點1站點2PE-2CE-4PE-1BGP會話期CE-2CE-3CE-1VRFVRFVRFVRF路由信息息的交換換VRF中的每條條VPN-IPv4路由與下下面信息息相關：：到達被廣廣播的NLRI的內(nèi)部標標記到達每個個PE的外部標標記（在在BGPNext-Hop中承載））來自同一一CE的多條路路由可以以共享相相同的標標記“VPNBLUE”輸入10458:23:10.1/16BGP標記(內(nèi)部)標記記(Z)IGP(外部)標標記(y)BGP10.1/16OSPF10458:23:10.1/16“VPNRED”輸出標記Z下一跳PE-259站點1站點2站點1站點2PE-2CE-4PE-1BGP會話期CE-2CE-3CE-1VRFVRFVRFVRF路由信息息的交換換每條VRF接收到的的IPv4路由可能能被廣播播至與該該VRF相關的站站點使用傳統(tǒng)統(tǒng)路由技技術（RIP，，OSPF，IS-IS，EBGP，或靜態(tài)態(tài)路由由）“VPNBLUE””輸入10.1/16下一跳跳PE1OSPF，…60站點2(10.1/16)站點1站點1站點2PE-2CE-4PE-1CE-2CE-3CE-1VRFVRFVRFVRF數(shù)據(jù)流流必須在在對數(shù)數(shù)據(jù)進進行轉(zhuǎn)轉(zhuǎn)發(fā)以以通過過MPLS骨干網(wǎng)網(wǎng)前建建立PE至PE的LSPLSP通過LDP或RSVP進行信信令交交換61數(shù)據(jù)流流CE執(zhí)行傳傳統(tǒng)IPv4查詢并并將數(shù)數(shù)據(jù)包包發(fā)送送給PE站點2(10.1/16)站點1站點1站點2PE-2CE-4PE-1CE-2CE-3CE-1VRFVRFVRFVRFIP62站點2(10.1/16)站點1站點1站點2PE-2CE-4PE-1CE-2CE-3CE-1VRFVRFVRFVRFIP數(shù)據(jù)流流PE針對特特定入入境接接口使使用適適當?shù)牡腣RF從VRF路由查查詢獲獲得兩兩個標標記并并“壓壓入””給數(shù)數(shù)據(jù)包包

PE-11)在紅色FT中查詢路由2)壓入BGP標記(Z)3)壓入IGP標記(Y)63標記2(10.1/16)站點1站點1站點2PE-2CE-4PE-1CE-2CE-3CE-1VRFVRFVRFVRF數(shù)據(jù)流流數(shù)據(jù)包包通過過兩級級標記記堆棧棧在LSP中被轉(zhuǎn)轉(zhuǎn)發(fā)外部IGP標記定義去去往出出口PE路由器器的LSP從核心心網(wǎng)的的IGP獲得并并通過過RSVP或LDP發(fā)布內(nèi)部BGP標記定義從從出口口PE至CE的輸出出接口口從來自自出口口PE的MP-IBPG更新獲獲得

PE-11)在紅色FT中查詢路由2)壓入BGP標記(Z)3)壓入IGP標記(Y)IPBGP標記(Z)IGP標記(Y)64站點2(10.1/16)數(shù)據(jù)流流在數(shù)據(jù)據(jù)包離離開入入口PE后，外外部標標記用用于穿穿過服服務提提供商商網(wǎng)絡絡P路由器器并不不意識識到VPN的存在在站點1站點1站點2PE-2CE-4PE-1CE-2CE-3CE-1VRFVRFVRFVRFIPBGP標記(z)IGP標記(x)65數(shù)據(jù)流流外部標標記在在通過過倒數(shù)數(shù)第二二跳時時被彈彈出（（在到到達出出口PE前）站點2(10.1/16)站點1站點1站點2PE-2CE-4PE-1CE-2CE-3CE-1VRFVRFVRFVRFIPBGP標記(z)倒數(shù)第二跳彈出外部標記66數(shù)據(jù)流流內(nèi)部標標記在在出口口PE被拆除除原來的的IPv4包被發(fā)發(fā)往與與該標標記相相關聯(lián)聯(lián)的出出境接接口站點2(10.1/16)站點1站點1站點2PE-2CE-4PE-1CE-2CE-3CE-1VRFVRFVRFVRFIP67日程：：BGP/MPLSVPNRFC2547bis術語VPN地址結(jié)結(jié)構(gòu)運行模模式基于策策略的的路由由信息息交換換業(yè)務轉(zhuǎn)轉(zhuǎn)發(fā)可擴展展的2547bisInternet訪問服務等等級68休息日程：：BGP/MPLSVPNRFC2547bis術語VPN地址結(jié)結(jié)構(gòu)運行模模式基于策策略的的路由由信息息交換換業(yè)務轉(zhuǎn)轉(zhuǎn)發(fā)可擴展展的2547bisInternet訪問服務等等級70如何使使其具具有可可擴展展性，，來自自RFC2547bis的建議議考慮PE的局限限（例例如，，總路路由數(shù)數(shù)）盡量使使CE至PE間的路路由簡簡單專門為為VPN路由建建立多多個獨獨立的的BGP路由反反射器器使用BGP-RFRSH(刷新)建議議標準準RFC2918使用BGP-ORF（出境路路由過過濾器器）建建議標標準/internet-drafts/draft-chen-bgp-route-filter-00.txt71可擴展展性：：劃劃分和和解決決兩級堆堆棧使使P路由器器不必必了解解VPN路由信信息PE路由器器只維維持與與其具具有直直接連連接站站點的的VPN路由如果需需要，，由提提供商商提供供VPN中部分分BGP路由反反射器器系統(tǒng)中中沒有有任何何一個個單個個設備備需要要維持持所有有VPN的路由由系統(tǒng)的的能力力并不不由某某個單單個設設備所所限制制72可擴展展性：：VPN有關的的路由由反射射器RR不需成成為PE或P不需要要進行行轉(zhuǎn)發(fā)發(fā)，不不需要要具有有VRF，甚至不不需要要MPLSPE路由器器來來來自每每個組組的RR建立對對等關關系在PE上自動動建立立路由由過濾濾器，，只允允許接接收直直接連連接到到該PE的VPN路由PPPPE3PPE2PE1隨著VPN數(shù)量的的增加加而添添加路路由反反射器器VPN1VPN48用于100-200的的VPNRR用于1-99的的VPNRRVPN18873可擴展展性：：BGP-RefreshBGP為狀態(tài)態(tài)協(xié)議議一旦對對等體體間同同步后后，他他們將將不再再交換換路由由直到到發(fā)生生改變變PE已經(jīng)過過濾了了與RRvpn間交換換的路路由以以限制制其接接收到到的路路由數(shù)數(shù)量PE增加/刪除除一個個VPN需要對對BPG路由表表進行行更新新BGP-refresh允許PE以非分分裂方方式從從一個個新的的VPN獲得路路由（（無需需中斷斷與RR間的BGP會話期期）RRvpn2RRvpn1PECE74RRvpn2可擴展展性：：BGP-出境路路由過過濾器器（ORF））沒有BGP-ORFPE從RRvpn接收更更新更新包包括RRvpn所知的的每條條路由由PE則根據(jù)路由由目標實施施路由過濾濾器，丟棄棄不適當?shù)牡穆酚删哂蠦GP-ORFPE發(fā)送給RRvpn一個其感興興趣的路由由目標列表表RRvpn應用路由過過濾器，只只發(fā)送給PE適當?shù)穆酚捎蒖Rvpn1PECE75日程：BGP/MPLSVPNRFC2547bis術語VPN地址結(jié)構(gòu)運行模式基于策略的的路由信息息交換業(yè)務轉(zhuǎn)發(fā)可擴展的2547bisInternet訪問服務等級76訪問公共Internet如果VPN使用專有地地址，連接接至Internet需要NATCE可執(zhí)行NAT功能服務提供商商可執(zhí)行NAT功能選項1：：PE不維護Internet相關路由甚至無0/0選項2：：PE維護一些或或所有Internet路由范圍可從0/0到全Internet路由客戶公共InternetVPNCE77訪問公共Internet：選項1.1VPN服務提供商商在Internet連接中不起起作用VPN客戶在其從其部分或或所有站點點具有獨立的的Internet連接站點1站點2VRFVRF公共Internet站點378訪問公共Internet：選項1.2PE提供二層連連通性至一一臺維護部部分或所有有Internet路由的路由由器SP提供2547bis及L2PP-VPN假設CE及PE間具有分離離的邏輯（（不需要物物理連接））鏈路（例例如，DLCI，，VLAN，GRE…）L2VPN具有到達與與Internet相關的路由由器的L2連通性不同的VPN可能使用不不同的Internet相關路由器器站點1站點2VRFVRF公共InternetInternet業(yè)務Internet相關路由器器VPN業(yè)務79訪問公共Internet：選項2.1所有連接到PE的VPN共享包含部部分或完整整Internet路由的路由由表迫使所有連連接到該PE的所有VPN對于Internet路由作相似似的路由選選擇可能需要在在CE和PE間具有分離離的邏輯鏈鏈路以承載載去往及來來自Internet的業(yè)務公共InternetInternet表VRFInternet路由VPN路由站點1站點2VRFVRFInternet80訪問公共共Internet：選項2.2PE上的一個個（獨立立的）VRF具有部分分/所有有Internet路由Internet連通性被被作為一一個（獨獨立的））的VPN允許為Internet路由進行行定制路由由選擇在一個PE上使用多多個Internet-VRF可能需要要在CE和PE間具有分分離的邏邏輯鏈路路以承載載去往及及來自Internet的業(yè)務如果VRF維護全路路由，則則可能出出現(xiàn)可擴擴展性方方面的問問題此選項可可能需要要每個VRF維護0/0及少少量的其其它Internet路由公共Internet站點1站點2VRFInternetVRFVPN-RedVRF81訪問公共共Internet：選項2.3PE上的一個個VRF維護部分分/全部部Internet路由與用于VPN的VRF相同允許對于于Internet路由根據(jù)據(jù)每個VPN進行路由由選擇如果VRF維護全路路由，則則可能出出現(xiàn)可擴擴展性方方面的問問題此選項可可能需要要每個VRF維護0/0及少少量的其其它Internet路由Internet及VPN可通過一一條邏輯輯鏈路提提供不確定是是否與用用戶網(wǎng)絡絡中具有有NAT功能的設設備兼容容公共Internet站點1站點2VRFVPN-Red+InternetVRF82日程：BGP/MPLSVPNRFC2547bis術語VPN地址結(jié)構(gòu)構(gòu)運行模式式基于策略略的路由由信息交交換業(yè)務轉(zhuǎn)發(fā)發(fā)可擴展的的2547bisInternet訪問服務等級級83VPN服務等級級VPN業(yè)務必須須提供CoS區(qū)別至少要與與現(xiàn)有的的服務模模式相匹匹配，甚甚至更好好多種可能能的模式式：每隔VPN每種應用用每…?842547bis的服務等等級CoS可支持許許多不同同的方法法CoS值可由下下列因素素確定：：DiffServ值IP優(yōu)先級位位靜態(tài)配置置應用與DiffServ所使用的的衡定、、分類及及標識等等機制相相一致在PE至PE路徑上，，CoS可使用MPLS的EXP/CoS位及/或或標記、、基于每每條LSP進行實施施可在邊緣緣及核心心使用排排隊機制制共享鏈鏈路帶寬寬及對擁擁塞進行行管理85MPLS/VPNCoS服務模型型點到網(wǎng)絡絡遠端CE被作為一一個組本地端口口對于入入口及出出口具有有不同的的保證速速率點到點與具有““硬”性性能保證證的PVC相似可組合作作為混合合模式例如具有有硬備份份的軟服服務需要靈靈活的的實施施86第三部部分二二層層MPLSVPN提供商商實施施的二二層VPN過去，，提供供商使使用唯唯一的的ATM核心支支持Internet及VPN業(yè)務用于Internet業(yè)務（（ISP）的ATMPVC用于VPN的ATMPVCATM的速度度不足足以支支持Internet提供商商被迫迫使用用兩個個核心心網(wǎng)為什么么不在在一個個MPLS核心網(wǎng)網(wǎng)上對對兩種種業(yè)務務同時時予以以支持持呢？？將幀中中繼及及ATM映射到到MPLSLSP（L3VPN可使用用相同同的核核心網(wǎng)網(wǎng)）88使用MPLS的提供供商實實施的的二層層VPN提供商商邊緣緣設備備為用用戶提提供二二層鏈鏈路ID（（DLCI，VPI/VCI，或VLANID）客戶得得到標標準的的FR或ATMPVC從本地地站點點，每每個可可達站站點都都具有有一條條提供商商邊緣緣設備備將鏈鏈路ID映射到到一條條MPLSLSP以穿過過提供供商核核心網(wǎng)網(wǎng)客戶將將自己己的路路由體體系結(jié)結(jié)構(gòu)映映射到到鏈路路網(wǎng)上上去客戶路路由對對提供供商透透明管理責責任分分離89通過MPLS對傳統(tǒng)統(tǒng)二層層VPN進行改改進從核心心技術術中減減弱邊邊界（（客戶戶面對對）技技術對所有希望望的服務提提供單一的的網(wǎng)絡基礎礎設施簡化實施90兩個提議：：Draft-Kompelladraft-kompella-mpls-l2vpn-02.txtDraft-Martinidraft-martini-l2circuit-trans-mpls-06.txtdraft-martini-l2circuit-encap-mpls-02.txt兩個提議在在數(shù)據(jù)層面面相似都支持多種種二層技術術兩個提議在在控制層面面不同標準處于早早期階段二層VPN標準91客戶邊界路路由器客戶邊界（（CE）路由器路由器或交交換機位于于客戶處，，提供服務務提供商網(wǎng)網(wǎng)絡的接入入與服務提供供商網(wǎng)絡在在二層（FR，ATM，以太網(wǎng)）及三層（IP，IPX，SNA）獨立VPN內(nèi)的CE使用相同的的L2技術接入服服務提供商商網(wǎng)絡不同的鏈接接可使用不不同的第二二層技術每個遠端CE需要一個邏邏輯鏈接CEPPPECECECEPEVPNAVPNAVPNBVPNBPE客戶邊緣ATMFRATMFRVPN站點92提供商邊界界路由器邊界路由器器（PE）路由器維持VPN相關信息與其它PE交換VPN相關信息對于draft-kompella，使用BGP或LDP對于draft-martini，使用LDP在PE間使用MPLSLSP轉(zhuǎn)發(fā)VPN業(yè)務CEPPPECECECEPEVPNAVPNAVPNBVPNBPEATMFRATMFR提供商邊界界93提供商路由由器提供商（P）路由器通過已建立立的LSP對VPN數(shù)據(jù)進行透透明轉(zhuǎn)發(fā)并不維護與與VPN有關的轉(zhuǎn)發(fā)發(fā)信息CEPPPECECECEPEVPNAVPNAVPNBVPNBPEATMFRATMFR提供商路由由器94Draft-Kompella介紹面向用戶的的接口使用用標準的第第二層技術術將這些第二二層接口（（“鏈路””）映射至至骨干網(wǎng)內(nèi)內(nèi)的LSP上去使用MPLS標記堆棧以以降低核心心網(wǎng)內(nèi)的LSP數(shù)量規(guī)范中還包包括用于自自動實施的的協(xié)議機制制增加/刪除除/更改一一個單一站站點只需對對一個PE進行重新配配置支持全網(wǎng)狀狀拓撲及hub-spoke拓撲結(jié)構(gòu)95PPPPE2VPNA站點3VPNA站點1VPNB站點2VPNB站點1PE1PE3VPNA站點2CE–A1CE–B1CE–A3CE–A2CE–B2P為每個連接接至PE的站點建立一一個VRFDraft-Kompella：VPN轉(zhuǎn)發(fā)表（（VFT）ATMATMATM每個VFT連同下面一一些因素一一起被廣播播：為本地CE站點實施的的轉(zhuǎn)發(fā)信息息通過BGP或LDP從其它PE接收到的VPN連接表96站點1站點2站點1站點2Draft-Kompella：VPN連接表（VCT）PE-2CE-4PE-1CE-2CE-2CE-1VFTVFTVFTVFTVCT是VFT所擁有信息息的子集VCT由PE通過BGP或LDP進行發(fā)布為每個VPN站點廣播VCT至PEBGP會話期/LDP97Draft-Kompella：L2VPN實施實施網(wǎng)絡在PE上實施信息息實施VPN（PE）假設：A，接入技術為為幀中繼（其他情況與與之相似））B，使用BGP在PE間對VPN信息進行分分配98PPPPE2VPNA站點3VPNA站點1VPNB站點2VPNB站點1PE1PE3VPNA站點2CE–A1CE–B1CE–A3CE–A2CE–B2PDraft-Kompella：實施網(wǎng)絡必須在PE間事先建立立LSP：LSP被用于多種種服務（例例如，對Internet業(yè)務實施流流量工程，，L2VPN，L3VPN）OSPFOSPFOSPFATMATMATM99Draft-Kompella：在PE處實施用戶戶站點DLCI列表每個遠端CE一個，一些些多余的用用于過盈實實施每個CE的DLCI數(shù)值相互獨獨立用于自動發(fā)發(fā)現(xiàn)及地址址學習的LMI，反向ARP和/或路由由協(xié)議VPN關系更改時時不會發(fā)生生更改直到過盈實實施被用盡盡CE-4DLCIs63758294CE-4路由表入出DLCI6310/8DLCI7520/8DLCI8230/8DLCI94-100Draft-Kompella：在PE處實施用戶戶站點在每個PE處為每個CE實施VFT輸入/輸出出路由目標標BGP共同體：VPNIDCE-ID：在相關VPN中為唯一值值CE范圍：可連連接CE的最大數(shù)數(shù)量標記庫：：為第一一個子接接口ID分配的標標記PE預留N個連續(xù)的的標記，，這里N為CE范圍子接口ID列表：分分配給CE-PE連接的一一組本地地子接口口ID（DLCI）CE4VFT輸入/輸輸出路由由表CEIDRT14CE范圍10004標記基準準子接口ID63758294CE4VCT標記101Site1Site2Site1Site2Draft-Kompella：在PE處實施用用戶站點點PE-2CE-4PE-1CE-2CE-2CE-1VFTVFTVFTVFTCE4VFT輸入/輸輸出路由由表CEIDRT14CE范圍標記4子接口ID63758294100110021003由CE2使用的用于到達CE4

的標記1001由CE3使用的用于到達CE4

的標記10021000由CE1使用的用于到達CE4

的標記1000FRFRCE4的DLCI至CE163CE4的DLCI至CE275CE4的DLCI至CE382CE4的DLCI至CEnew94PE-2使用CE4VFT進行配置置由CEnew使用的用于到達CE4

的標記1003標記標準準1000102Draft-Kompella：發(fā)布VCT使用BGP成員自動動發(fā)現(xiàn)成員間鏈鏈路自動動分配使用BGP路由目標標共同體體+路由由過濾（（基于路路由目的的）配置置VPN拓撲103站點1站點2站點1站點2Draft-Kompella：發(fā)布VCTPE-1接收承載載PE-2CE4VCT的BGP路由PE-2CE-4PE-1CE-2CE-2CE-1VFTVFTVFTVFTFRFRBGP會話期/LDPCE4VCT更新RTCEIDRT14CE范圍標記基準41000CE4VCT更新RTCEIDRT14CE范圍標記基準41000104站點1站點2站點1站點2Draft-Kompella：更新VFTPE-1更新其CE2VFT的子接口口ID列表CE2VFT(RT1)的輸入路路由目標標匹配BGP路由中承承載的路路由目標標（RT1）匹配PE-2CE-4PE-1CE-2CE-2CE-1VFTVFTVFTVFTFRDLCI75FRDLCI414CE2VFTCEID內(nèi)部標記子接口ID

用于到達CE4

的標記10011072092654141234502075009350105站點1站點2站點1站點2Draft-Kompella：更新VFTPE-1更新其CE2VFT的子接口口ID列表CE2VFT(RT1)的輸入路路由目標標匹配BGP路由中承承載的路路由目標標匹配PE-2CE-4PE-1CE-2CE-2CE-1VFTVFTVFTVFTCE2VFTCEID內(nèi)部標記記子接口ID到達PE-2的LSP

50010720926541412345020750093501001外部標記記FRDLCI75FRDLCI414106站點1站點2站點1站點2Draft-Kompella：數(shù)據(jù)流假設PE至PE的LSP已經(jīng)存在（與與RFC2547bis相似）CE-2使用于CE-4相關的DLCI（414）將數(shù)據(jù)包發(fā)送送給PE-1PE-2CE-4PE-1CE-2CE-2CE-1VFTVFTVFTVFTDLCI75DLCI414數(shù)據(jù)包DLCI

414107站點1站點2站點1站點2Draft-Kompella：數(shù)據(jù)流DLCI數(shù)值由入口PE除去兩個標記從VFT子接口查詢得得到并“壓入入”數(shù)據(jù)包之之上外部IGP標記定義到出口PE路由器的LSP從核心網(wǎng)IGP獲得并由RSVP或LDP發(fā)布內(nèi)部站點標記記定義從PE至CE的出境子接口口從通過BGP發(fā)布的VCT獲得并由出口口PE發(fā)布PE-2CP-4PE-1CE-2CE-2CE-1PE-11)在紅色VFT中查詢DLCI2)壓入VPN標記(1001)3)壓入IGP標記(500)VFTVFTVFTVFTDLCI75數(shù)據(jù)包站點標記(1001)IGP標記(500)108站點1站點2站點1站點2Draft-Kompella：數(shù)據(jù)流當數(shù)據(jù)包離開開入口PE后，使用外部部標記在LSP中進行傳輸P路由器并不了了解VPNPE-2CPE-4PE-1CE-2CE-2CE-1VFTVFTVFTVFT數(shù)據(jù)包站點標記(1001)IGP標記(z)DLCI75DLCI414109站點1站點2站點1站點2Draft-Kompella：數(shù)據(jù)流由倒數(shù)第二跳跳路由器彈出出外部標記（（在到達出口口PE前）PE-2CE-4PE-1CE-2CE-2CE-1倒數(shù)第二跳彈出外部標記lVFTVFTVFTVFT數(shù)據(jù)包站點標記(1001)DLCI75DLCI414110站點1站點2站點1站點2Draft-Kompella：數(shù)據(jù)流在出口PE處將內(nèi)部標記記去除出口PE進行一次標記記查詢以尋找找相應的DLCI值原來的幀中繼繼包被發(fā)送至至相應的出境境子接口PE-2CE-4PE-1CE-2CE-2CE-1VFTVFTVFTVFTDLCI75DLCI414數(shù)據(jù)包DLCI75111Draft-Kompella:支持的2層技技術幀中繼ATMAAL5CPCS模式ATM透明信元模式式以太網(wǎng)以太網(wǎng)VLANCiscoHDLCPPP112Draft-Martini介紹比draft-kompella簡單的機制標準的第二層層用戶接口，，被映射至LSP，使用標記堆棧棧以減少核心心網(wǎng)LSP的數(shù)量但并不包括用用于自動實施施的協(xié)議使協(xié)議更為簡簡單但需要更多的的手動實時適合于高度定定制的拓撲結(jié)結(jié)構(gòu)113Draft-Martini:實施L2VPN站點1站點2站點1站點2PE-2CE-4PE-1CE-2CE-2CE-1DLCI82DLCI414間接LDP會話期以廣播VC標記500VC類型VCID幀中繼25DLCI到達PE-2的標記414500PE-1到達CE-2的標記1001VC類型VCID幀中繼25DLCI到達PE-1的標記82501PE-2到達CE-4的標記1002VC類型VCID幀中繼25VC標記1002PE-2LDP廣播接口參數(shù)MTU=4482VC類型VCID幀中繼25VC標記1001PE-1LDP廣播接口參數(shù)MTU=4482501114Draft-Martini：數(shù)據(jù)流站點1站點2站點1站點2PE-2CE-4PE-1CE-2CE-2CE-1DLCI82DLCI414500

VC類型VCID幀中繼25DLCI到達PE-2的隧道標記414500PE-1到達CE-4的VC標記1002VC類型VCID幀中繼25DLCI到達PE-1的隧道標記82501PE-2到達CE-2的VC標記1001501數(shù)據(jù)包DLCI

414PE-11)壓入VC標記(1002)2)壓入隧道標記記(500)數(shù)據(jù)包VC標記

1002隧道標記500倒數(shù)第二跳彈出頂部標記數(shù)據(jù)包DLCI

82數(shù)據(jù)包VC標記1002數(shù)據(jù)流與draft-Kompella相似115Draft-Martini:可選控制字控制字的出現(xiàn)現(xiàn)及其功能依依賴于被封裝裝的L2有效載荷可被用于：排序添加信息承載與協(xié)議相相關的控制位位幀中繼FECN，BECN，DE，C/RATM傳輸類型，EFCI，CLP，C/RVC標記（32位）控制字（32位）被封裝的有效載荷隧道標記（32位）116Draft-Martini:支持的二層技技術幀中繼ATMAAL5CPCS模式ATM透明信元模式式以太網(wǎng)以太網(wǎng)VLANCiscoHDLCPPPSONET/SDH鏈路仿真服務務（CEM）117二層MPLSVPN的CoS與2547bisCoS相同的機制業(yè)務模型可從從現(xiàn)有的L2技術繼承而來來基于速率基于丟失基于CoSMartiniID方法為對FECN，BECN，DE/CLP進行端到端保保留118第四部分總總結(jié)IPVPN的優(yōu)勢更低的設備投投資使用普通骨干干網(wǎng)進行經(jīng)濟濟的擴展更低的服務成成本更低的管理和和支持開支管理可外包給給服務提供商商最終用戶能夠夠?qū)Ｗ⒂谄浜撕诵臉I(yè)務而不不是網(wǎng)絡為最終用戶提提供更好的連連通性IP無處不在服務提供商的的一個機遇120一系列的VPN解決方案每個客戶都有有所不同安全性需求職員專業(yè)技能能外包的可能性性客戶網(wǎng)絡的規(guī)規(guī)模及業(yè)務量量不同提供商具有不不同的考慮客戶群提供外包的期期望程度處理托管路由由器服務121一系列的VPN解決方案具有很強安全全性需求的客客戶在客戶處的加加密/認證可與任何VPN方式一同使用用IPSecIPSecVPN非常普通（或L2VPN）希望對路由進進行完全管理理的客戶例如，在整個個專網(wǎng)中運行行一個OSPF進程（具有VPN及后門連接））客戶在其路由由器間需要鏈鏈路二層VPN非常適合122一系列VPN解決方案一些客戶僅有有有限的IP專業(yè)經(jīng)驗需要外包廣域域網(wǎng)互聯(lián)及路路由RFC2547bisVPN非常適合適合于絕大部部份VPN業(yè)務用戶對于需遠程接接入公司網(wǎng)絡絡的用戶撥號解決方案案非常通用PPTP/L2TP非常方便和經(jīng)經(jīng)濟用戶可以通過過Internet在任何地方接接入網(wǎng)絡123JUNOSv4.4RFC2547實施JUNOS4.4支持RFC2547bis的基本功能已發(fā)運并所有有平臺上支持持所有平臺都支支持CE，PE，，P路由器功能繼承了JUNOS的穩(wěn)定性及可可擴展性繼承了Internet處理器II的性能及功功能–通通過硬件件對數(shù)據(jù)包包進行處理理將來可對RFC2547bis進行增強（（組播…））標準仍在制制定中124總結(jié)：虛虛擬專網(wǎng)背景客戶管理的的VPN（CPE-VPN）L2TP及PPTPIPsec提供商實施施的VPN（（PP-VPN）MPLS/BGPVPN：：RFC2547bis虛擬路由器器基于MPLS的二層VPNVPN的實施途徑徑是互補的的可以同時存存在于一個個多業(yè)務核核心網(wǎng)上支持不同的的客戶模式式允許客戶自自由選擇最最佳的解決決方案125謝謝！一系列的VPN解決方案虛擬路由器器解決方案案又如何？？在概念上非非常吸引人人，但是…對于希望外外包路由的的用戶來說說，在提供供商網(wǎng)絡上上增加了不不必要的負負擔對于那些在在整個網(wǎng)絡絡中只運行行一個IGP進程的用戶戶來說，要要求他們與與提供商在在IGP運行上合作作可以在整個個專網(wǎng)中使使用一個OSPF區(qū)域，但是是二層VPN非常適合這這種情況不清楚是否否有某種環(huán)環(huán)境下，VR是最佳的VPN解決方案127Draft-Martini:虛鏈路FEC網(wǎng)元VCTLVCVC類型VC信息長度組IDVCID接口參數(shù)““在LDP標記映射及及標記撤銷銷消息中使使用VC類型定義VC封裝類型VCID32位連接ID與VC類型一起定定義特定的的VC128Draft-Martini:虛鏈路FEC網(wǎng)元接口參數(shù)定義CE面向的接口口相關特定定參數(shù)確認LSR及邊緣端口口有互操作作所必須的的能力可定義：接口MTU連接ATM信元的最大大數(shù)量隨意的接口口描述字符符串CEM有效載荷字字節(jié)CEM選項129VPNA站點1VPNB站點1VPNB站點2VPNA站點2Inter-AS運營：ASBR間的VRF至VRF直接連接AS邊界路由器器擔當PE直接相互連連接需要為每個個VRF提供一個單單獨的子接接口每個ASBR/PE將另一個ASBR/PE作為一個CE存在可擴展展性方面的的問題EBGPP1ASBR1PE1ASBR2P2PE2SP1SP2130VPNA站點1VPNB站點1VPNB站點2VPNA站點2P1ASBR1PE1ASBR2P2PE2SP1SP2Inter-AS運營：MultihopEBGP廣播被標記記的IPv4/32路由至另一一個AS在入口及出出口PE間建立LSP使用MultihopEBGP如果/32PE地址不被廣廣播，P路由器可使使用3層堆堆棧ASBR并不了解VPN-IPv4路由MultihopEBGPRRRR131MPLSCoS機制機制為標記記聯(lián)同MPLS幀中的3位位Exp/CoS區(qū)域，或只只簡單的