网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > VPN > 文章  
基于MPLS的VPN技术原理及其实现
文章来源: 电子技术应用 文章作者: 石永红 刘嘉勇 汤云革 发布时间: 2006-07-07   字体: [ ]
 


  RR:Route Reflector,BGP路由反射器

  ASBR:Automated System Border Router,自治系统边界路由器,在实现跨自治系统的VPN时,与其它自治系统交换VPN路由。

  MP-BGP:多协议扩展BGP,承载携带标签的IPv4/VPN路由,包括MP-IBGP、MP-EBGP。

  PE-CE路由协议:在PE、CE之间传递用户网络路由,可以是静态路由,或RIP、OSPF、ISIS、BGP协议。

  LDP:Label distribution Protocol,在PE之间建立尽力而为的LSP,经过P路由器,所有PE、P路由器均需要支持。RSVP-TE:在VPN需要QoS保障时,在PE之间建立具有QoS能力的ER-LSP。

  VRF:Virtual Routing Fowarding Table,虚拟路由转发表,它包含同一个Site相关的路由表、转发表、接口(子接口)、路由实例和路由策略等。在PE设备上,属于同一VPN的物理端口或逻辑端口对应一个VRF,可通过命令行或网管工具进行配置,主要参数包括RD(Route Distinguish)、Import Route-Targets、Export Route-Targets、接口(子接口)等。

  VPN用户站点:Site是VPN中的一个孤立的IP网络,一般来说,它不通过骨干网公司总部、分支机构都是Site的具体例子。CE路由器通常为VPN Site中的一个路由器或交换设备,Site通过一个单独的物理端口或逻辑端口(通常是VLAN端口)连接到PE设备。

  用户接入MPLS VPN后,每个Site提供一个或多个CE与骨干网的PE连接,并在PE上为该Site配置VRF,将连结PE-CE的物理接口、逻辑接口、甚至L2TP/IPSec隧道绑定到VRF上,但不可以是多跳的三层连接。

  BGP扩展实现的MPLS VPN扩展的BGP NLRI的IPv4地址,在其前增加了一个8字节的RD(Route Distinguisher),用于标记VPN的成员(Site)。每个VRF可配置某些策略,规定VPN可以接收哪些Site的路由信息,可以向外发布哪些Site的路由信息。PE根据BGP扩展发布的信息进行路由计算,生成相关VPN的路由表。

  通常,PE-CE之间通过静态路由交换路由信息,也可通过RIP、OSPF、BGP、IS-IS等协议,静态路由方式可以减少因CE设备管理不善等原因造成的对骨干网BGP路由的震荡,从而提供骨干网的稳定性。

  MPLS BGP三层VPN适用于固定的Internet/Extranet用户,每个Site可代表Internet/Extranet的总部或分支机构。MPLS三层VPN的CE与PE设备之间只需要一条物理或逻辑链路,但PE设备必须保存多个路由表。如果在CPE或PE之间运行动态路由协议,则PE还必须支持多实例,对PE性能要求较高。PE与PE之间需要运行BGP协议,可扩展性较差,目前可通过一个或多个路由反射器解决这一问题。对于同一AS(Automated System)域的VPN,必须建立运营商之间路由器IBGP连接的PE,与路由反射器建立IBGP连接即可。

  MPLS BGP三层VPN可通过与Internet路由之间配置一些静态路由的方式,实现VPN的Internet上网服务,并可为跨不同地域的、属于同一个AS但没有骨干网的运营商提供VPN互连,即提供“运营商的运营商”模式的VPN网络互连。

  2.3 MPLS的优点

  1.高安全性。MPLS的标记交换路径(LPS)具有与FR和ATM VCC相似的安全性;另外。MPLS VPN还集成了IPSEC加密,同时也实现了对用户透时,用户可以采用防火墙,数据加密等方法,进一步提高安全性。

  2.强大的扩展性。第一,网络可以容纳的VPN数目很大;第二,同一VPN的用户很容易扩充。

  3.业务的融合能力。MPLS VPN提供了数据、语音和视频三网融合的能力。

  4.灵活的控制策略。可以制定特殊的控制策略,同时满足不同用户的特殊需求,实现增值服务。

  5.强大的管理功能。采用集中管理的方式,业务配置和调度统一平台,减少了用户的负担。

  6.服务级别协议(SLA)。目前利用差别服务、流量控制和服务级别来保证一定的流量控制,将来可以提供宽带保证以及更高的服务质量保证。

  7.为用户节省费用。

  MPLS是一种结合了链路层和IP层优势的新技术。在MPLS网络上不仅仅能提供VPN业务,也能够开展QoS、TE、组播等等的业务。随着MPLS应用的不断升温,不论是产品还是网络,对MPLS的支持已不再是额外的要求。VPN虽然是一项刚刚兴起的综合性的网络新技术,但却已经显示了其强大的生命力。在我国网络基础薄弱,政府和企业对IP虚拟专用网的需求不高,但相信随着政府上网、特别是在电子商务的推动下,基本MPLS的IP虚拟专用网技术的解决方案必将有不可估量的市场前景。

--
原文链接: http://www.c114.net/technic/ZZHtml_20067/T200677142515993-1.shtml

 
推荐文章
 
 
共3页: 上一页 [1] [2] 3 下一页
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·SSL VPN和IPSec VPN之间
·远程接入VPN用户解决方
·企业虚拟专用网络VPN及
·VPN技术概述
·VPN安全协议概览
·多线路智能最优选路VPN
·SSL VPN:卧榻之侧岂容I
相关分类
相关文章
·多线路智能最优选路VPN
·远程接入VPN用户解决方
·SSL VPN和IPSec VPN之间
·企业虚拟专用网络VPN及
·VPN技术概述
·SSL VPN:卧榻之侧岂容I
更多...
 
 

Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $