思科IPMPLSVPN思科认证
文章作者 100test 发表时间 2010:01:01 12:30:23
来源 100Test.Com百考试题网
协议标签交换虚拟专用网 (MPLS VPN) 推出了一种对等模式,可以支持大规模 IP VPN 实施。这种模式极大地简化了 VPN 客户和服务供应商的路由和可管理性,与此同时,确保了 VPN 间的正确隔离。为实施该模式, MPLS VPN 需要现有 IP 路由协议扩展和一个 MPLS 传输网络。 Cisco IOS 软件版本 12.0(28)S 及更高版本都支持 思科 IP MPLS VPN,它采用了与 MPLS VPN 相同的功能,但是用 IP 传输替代了 MPLS 传输。 VPN 流量由 IP 隧道,而非 MPLS 标签交换路径 (LSP) 传输。该特性使 IP 网络上实现了在 MPLS 上无法支持的 MPLS VPN 服务。
应用、服务和架构
无论是在 IP 或 MPLS 骨干网上实施,思科 IP MPLS VPN 都保有相同的应用和服务特征。例如,公司可以利用该技术将 IP 网络分段,以在其架构中支持不同的群组,或者为其他服务方提供专用 IP 服务。这种分段支持重叠地址和灵活的流量转发拓扑结构。在另外一种情况下,网络工程师可以利用该技术构建一种集中服务器基础设施,由多个 VPN 共享。
思科 IP MPLS VPN 为 VPN 服务供应商和用户提供了全新的应用和服务机遇。例如, MPLS VPN 服务供应商可以利用自治系统间配置,将其服务扩展至非 MPLS 支持的网络。同样,两家供应商可以就 MPLS VPN 服务达成对等协议,即使他们采用的是 IP 传输。在另一个案例中, MPLS VPN 用户可以将 VPN 服务分区,以便创建其自身的内部 VPN 服务。由于在用户和供应商间几乎无需协调,所以,这种应用为分级 VPN 配置的实施提供了更高的灵活性。图 1 对采用思科 IP MPLS VPN 的两种示范应用进行了介绍。
思科 IP MPLS VPN 采用多点 IP 隧道集合和一个独立地址空间,扩展了原始 MPLS VPN 架构。每个供应商边缘 (PE) 都拥有一个多点隧道接口,用于连接 PE 和其他所有享有 VPN 服务的 PE 。该隧道可以转发 VPN 分组至相应的目的地 PE ,且同时使 VPN 分组传输对于中间节点保持透明。每个 PE 可以通过隧道自动搜索其他可访问的 PE (即隧道终端)。
图 1 采用思科 IP MPLS VPN 的两种示范应用: VPN 服务扩展和分层 VPN
图 2 采用思科 IP MPLS VPN 的网络逻辑视图
采用思科 IP MPLS VPN 的网络逻辑视图
PE 搜索过程利用了边界网关协议 (BGP) 多点协议的简单扩展,它构建于早已应用于各种 MPLS VPN 的 BGP 扩展之上。多点隧道的独立地址空间为 VPN 流量提供了隔离功能。这种架构保有与传统 MPLS VPN 服务相同的可扩展性,并可扩展以支持多项 IP 隧道技术(见图 2 )。
流量转发和封装
思科 MPLS VPN 的基本分组转发功能独立于所选的骨干网传输方式 (MPLS 或 IP) 。在这两种情况下,利用 PE 支持的各个 VPN 的虚拟路由和转发 (VRF) 实例功能, VPN 流量可以在 PE 内保持独立。但是,根据思科 MPLS VPN 中传输网络的不同,分组封装也有所差异。当使用 IP 传输时,有两个封装组件:隧道报头和 VPN 报头。隧道报头负责传输分组至输出 PE ,而 VPN 报头则负责确定该位置的相应 VPN 分组处理流程。
思科 IP MPLS VPN 当前的实施采用了第二层隧道协议版本 3 (L2TPv3) 作为 IP 隧道技术。隧道报头利用 L2TPv3 进程 ID 字段识别需要 MPLS VPN 处理流程的 IP VPN 分组,并利用 Cookie 字段提供电子欺骗保护。作为封装的最后部分, VPN 报头采用了与 MPLS 传输中 MPLS VPN 所用相同的 VPN 标签。图 3 对不同传输中提供的 MPLS VPN 服务封装进行了比较。