• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

嵌套VPN技术白皮书-6W101

手册下载

嵌套VPN技术白皮书-6W101-整本手册.pdf  (362.11 KB)

  • 发布时间:2020/7/11 21:32:11
  • 浏览量:
  • 下载量:

嵌套VPN技术白皮书

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2020 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文中的内容为通用性技术信息,某些信息可能不适用于您所购买的产品。



概述

1.1  产生背景

在组建MPLS L3VPN时,通常是由运营商经营MPLS L3VPN骨干网,通过PE设备提供VPN服务。VPN用户通过CE设备与运营商的PE设备互连,接入MPLS L3VPN网络,实现此VPN在不同区域的Site之间的通信。

在上述情况下,用户网络是普通的IP网络,每个SiteVPN用户的所有客户都属于同一个VPN

实际组网中,VPN用户网络复杂多样,简繁不同。

例如,一个VPN用户内部有大量用户设备,而这些用户设备又可以分成不同的管理域,这时,用户可能希望在自己的网络内部再划分不同的VPN,对不同的管理域进行VPN隔离。

VPN用户网络本身也可能是一个MPLS L3VPN网络,或它的某个Site是一个MPLS L3VPN网络。这时,分布于不同Site的属于同一VPN的用户需要通过运营商的MPLS L3VPN骨干网络互访。而运营商的MPLS L3VPN网络必须能够把用户内部的VPN属性划分透明传输到不同Site

以上的用户需求,可以总结如下几点:

·     用户整体作为运营商MPLS L3VPN网络上的一个VPN用户;

·     用户有自己的内部VPN网络,并且,内部VPN网络分布是不规范的,可能在所有的Site上都有内部VPN网络,也可能只是某些Site有,而另一些Site的内部VPN直接连接到运营商的PE设备上;

·     用户分布在不同Site上的同一内部VPN之间可以互访,不同内部VPN相互隔离;

·     用户不希望把自己的所有内部VPN都直接部署到运营商的PE设备上,因为涉及到成本和管理问题;

·     用户内部VPN划分由用户自己管理;运营商不管理用户内部的VPN划分,只维护运营商PE上的VPN

嵌套VPN技术可以满足用户的上述需求。嵌套VPN能够提供大、小VPN两个级别组网,大VPN和小VPN之间可以互访,但小VPN之间不能互访,从而实现对不同级别的访问权限进行控制。

1.2  技术优点

嵌套VPN技术的主要特点:

·     嵌套VPN实现VPN聚合功能,可以把用户的多个内部VPN聚合成一个用户VPN,接入运营商的MPLS L3VPN网络;

·     嵌套VPN支持对称组网方式和非对称组网方式,即属于同一用户网络的不同Site包括的用户内部VPN数目可以相同,也可以不同。嵌套VPN还支持用户内部VPN的多级嵌套。

嵌套VPN技术简化了用户接入VPN网络的复杂度和成本,为用户提供多样化的VPN组网方式,可以实现用户同一个VPN站点异地互访、实现用户的两级VPN关系以及两级VPN之间的灵活互访。并且,嵌套VPN技术支持多级嵌套。

嵌套VPN组网在多级接入运营商网络的组网中具有组网复杂度低、应用灵活的优点。

嵌套VPN技术实现

2.1  概念介绍

1. PEProvider Edge Router

骨干网边缘路由器,与CE相连的服务提供商网络侧设备。在MPLS L3VPN网络中,对VPN的所有处理都发生在PE上。

2. CECustomer Edge Router

用户网络边缘路由器,直接与服务提供商网络相连的用户网络侧设备。CE“感知”不到VPN的存在,也不需要支持MPLS

3. PProvider Router

骨干网核心路由器,不与CE直接相连。P只需要在骨干网中将用户网络报文转发给正确的远端PE,不需要维护和处理VPN信息。

4. VPN Instance

MPLS L3VPN中,不同VPN之间的路由隔离通过VPN实例(VPN instance)实现,VPN实例又称为VRFVirtual Routing and Forwarding,虚拟路由和转发)实例。PE上每个VPN实例都有相对独立的路由表和LFIBLabel Forwarding Information Base,标签转发信息库),确保VPN数据的独立性和安全性。

PE通过将与Site连接的接口与VPN实例关联,实现该SiteVPN实例的关联。一个Site只能与一个VPN实例关联;不同的Site可以关联同一个VPN实例。VPN实例中包含了与其关联的Site所属的所有VPN的成员关系和路由规则等信息。

VPN实例中的信息包括:LFIBIP路由表、与VPN实例关联的接口以及VPN实例的管理信息。VPN实例的管理信息包括RDRoute Distinguisher,路由标识符)、Route Target属性、路由过滤策略等。

5. VPN用户站点Site

Site(站点)的含义可以从下述几个方面理解:

·     Site是指相互之间具备IP连通性的一组IP系统,并且这组IP系统的IP连通性不需通过服务提供商网络实现;

·     Site的划分是根据设备的拓扑关系,而不是地理位置,尽管在大多数情况下一个Site中的设备地理位置相邻;

·     一个Site中的设备可以属于多个VPN,换言之,一个Site可以属于多个VPN

·     Site通过CE连接到服务提供商网络,一个Site可以包含多个CE,但一个CE只属于一个Site

对于多个连接到同一服务提供商网络的Site,通过制定策略,可以将它们划分为不同的集合(set),只有属于相同集合的Sites之间才能通过服务提供商网络互访,这种集合就是VPN

2.2  运行机制

在普通的MPLS L3VPN网络中,PE只支持与私网交互IPv4路由。而嵌套VPN技术支持与私网交互VPNv4路由。

2.2.1  用户的一个Site具有内部VPN

VPN用户自己的网络也可能是一个MPLS L3VPN网络,这种情况下,最简单的组网是用户只有一个PE设备,VPN用户在自己的PE上划分VPN,在本地构建多个内部VPN,实现用户本地的业务隔离。其组网模型可以描述为:

·     用户网络通过运营商PE的私网接口与运营商网络互连;

·     用户的PE设备直接与运营商PE设备交互VPNv4路由;

·     运营商PE设备把用户网络当作普通VPN用户对待,用户的PE设备作为运营商的CE设备;

·     用户网络把运营商的PE设备看作自己网络的一个普通PE设备。

图1 用户的一个Site具有内部VPN

 

1中,运营商MPLS L3VPN网络的PE 1连接了一个VPN用户VPN_A,而用户VPN_A有两个内部VPNA_VPN 1A_VPN 2

设备A_PE 1A_PE 2是用户网络的PE(用户网络中也可能有自己的P设备)。A_PE 1下面连接两个用户内部VPN

用户VPN_A把运营商的PE 1看作自己网络内的普通PE设备,PE 1把用户A内部的A_PE 1A_PE 2设备当作CE设备。A_PE 1A_PE 2PE 1之间交互VPNv4路由(可以通过路由反射器交互)。

运营商只看到一个用户的VPNVPN_A

2.2.2  用户多个Site具有内部VPN

多数情况下,用户VPN有多个Site和运营商MPLS L3VPN网络互连,并且,各Site的内部VPN划分情况可能各不相同:某些Site可能具有相同或相似的内部VPN划分,某些Site的内部VPN可能与运营商的PE设备直接互连,或者某些Site本身只有一个大VPN

要实现这些情况下的用户互访,包括用户的内部VPN之间互访、内部VPN和用户大VPN之间互访等,必须把一个Site本地的VPN信息通过运营商的MPLS L3VPN网络传播给该VPN用户的其他Site

因此,在嵌套VPN解决方案中,运营商的PE设备和用户内部的PE设备之间需要直接交互VPNv4路由。

图2 用户的多个Site具有内部VPN

 

VPN信息的传播过程为:

(1)     用户PE从用户CE接收到私网路由后,通过MP-BGPVPNv4路由发布给运营商CE设备。

(2)     运营商CE设备通过MP-BGPVPNv4路由发布给运营商的PE设备。

(3)     运营商的PE设备收到VPNv4路由后,保留用户网络内部的VPN信息,并附加用户在运营商网络上的MPLS VPN属性,即将该VPNv4路由的RD更换为用户所处运营商网络VPNRD,同时将用户所处运营商网络VPNExport Target添加到路由的扩展团体属性列表中。运营商的PE设备维护用户网络内部的VPN信息。

(4)     运营商的PE设备向其他运营商PE设备发布这些携带综合VPN信息的VPNv4路由。

(5)     其他的运营商PE设备收到VPNv4路由后,与本地VPNImport Target进行匹配,每个VPN接收属于自己的路由,并将路由发布给运营商CE设备。如果运营商PE和运营商CE设备之间是IPv4连接,则直接发布IPv4路由;如果是VPNv4连接,则表示通过私网连接的是一个用户MPLS VPN网络,运营商PE向运营商CE发布VPNv4路由。

(6)     用户PE通过运营商CE接收到VPNv4路由后,与本地VPNImport Target进行匹配,每个VPN接收属于自己的路由,并发布给自己连接的用户CE设备。

这样,运营商网络能够正确处理整个运营商网络上的用户之间的VPN关系、用户内部VPN之间的关系、以及用户内部VPN和用户本身之间的VPN关系。

2.3  应用限制

运营商VPN和用户VPNRT属性需要相互匹配,以便运营商VPN和用户VPN的路由可以顺利交互。同时需要保证运营商CE设备在接收到所有的BGP VPNv4路由时,不根据Route TargetVPNv4路由进行过滤。

典型组网应用

3.1  嵌套VPN的对称组网

对称组网应用是指用户的各Site有自己的内部VPN,并且都采用嵌套VPN技术接入到运营商的PE设备。例如某省的大学校园网络在一个大的MPLS L3VPN网络中作为一个VPN存在。该大学有多个校区,每个校区有多个专业,如美术、文学、体育、数学等,每个专业打算建立自己的内部VPN,实现业务隔离。如3所示,各校区采用标准的MPLS L3VPN建网,将各专业划分到不同的VPN,再采用嵌套VPN技术将分校区网络作为一个CE接入到运营商的PE设备,最终实现了不同校区各专业内部VPN的互通。

图3 嵌套VPN对称组网图

 

3.2  嵌套VPN的非对称组网

如果某个Site的用户内部VPN数量比较多,可以使用嵌套VPN技术,在用户内部的PE设备上先进行一次聚合,聚合成一个VPN接入运营商的PE设备,如4中的Site A;而其他Site的用户内部VPN数量比较少,可以直接连接到运营商的PE设备上,如4中的Site BSite C

非对称组网还有一种应用,即将一个路由和MPLS转发能力不强的VPN接入设备隐藏到一个骨干路由器后,以保护该VPN的接入设备。

通常情况下,建议由转发能力和路由能力强的设备组建MPLS L3VPN骨干网,在这些设备的后面放置专门的VPN接入设备,防止骨干网上的MPLS L3VPN路由和隧道等对这些接入设备造成冲击。这种组网方案还可以将VPN接入网络和MPLS L3VPN骨干交换网络分离开。例如,通过嵌套VPN技术,把BRAS设备上的VPN作为内部VPN,将这些VPN聚合成一个大的VPN接入MPLS L3VPN骨干网。

图4 嵌套VPN非对称组网图

 

3.3  嵌套VPN形成用户两级VPN互访的组网

采用嵌套VPN技术后,VPN用户将具有两级VPN关系:用户级VPN和用户内部VPN,也称为大、小VPN。大、小VPN可以互访。

在实际组网中,这种两级VPN用途非常广。例如,可以把能够被所有小VPN访问的服务器等设备直接作为大VPNCE设备连接到运营商的PE设备上;或将一些具有特殊角色的主机,比如领导主机等,作为大VPN的客户直接连接到运营商的PE设备上,以确保这些主机能够访问所有部门的网络。

5所示,大VPNVPN_A,小VPNA_VPN1A_VPN2。服务器群直接作为大VPNCE设备连接到运营商PE 1设备上,能够被所有小VPN访问;一些具有特殊角色的主机,比如领导主机等,作为大VPN的客户直接连接到运营商PE 3设备上,从而确保这些特权主机能够访问所有部门的网络。

图5 用户两级互访嵌套VPN组网方案

 

新华三官网
联系我们