论文部分内容阅读
摘要:在企业的MPLS VPN中可能存在一些特殊的主机,出于某种目的,它们需要与多个VPN进行通信。使用多角色主机的思想,通过在骨干网边缘路由器PE上配置策略路由和静态路由的方法,不但能够解决上述问题,而且配置容易,灵活性和可管理性更好。
关键词:MPLS VPN;VRF;RT;多角色主机
分类号:TP393.06文献标识码:A
1 MPLS VPN基础知识
MPLS(Multi-Protocol Label Switching,多协议标签交换)是一种将具有相同转发处理方式的分组归为一类的分类转发技术[1]。其诸多优秀的组网特性非常适合组建VPN(Virtual Private Network,虚拟专网),在MPLS VPN中有CE(Custom Edge,用户接入设备)、PE(Provider Edge Router,骨干网边缘路由器)和P(Provider Router,骨干网核心路由器)三种路由器。
VRF(VPN Routing/Forwarding Instance,路由转发实例):综合了各Site的VPN成员关系和路由规则,包含了到达所有与本Site属于同一个VPN的Site路由信息,每个PE可以维护一个或多个逻辑上分离的VRF和一个公网的路由表。
RT(Route Target,路由目标):用于表明一个VRF的路由属性,以实现不同VRF间的路由互通。PE中有两个RT属性集合:一个用于附加到从某个Site接收的路由上,即Export Target;另一个用于决定哪些路由可以引入此Site的路由表中,即Import Target。通过匹配路由所携带的RT属性,可以过滤PE接收的路由信息,获得VPN的成员关系。
2 多角色主机的实现
2.1 多角色主机
在MPLS VPN网络中,通常情况下CE是通过特定的接口与相应的VRF相关联的,这就决定了由同一个入接口接入PE的所有CE都属于同一个VPN。但在实际组网中,存在一些特殊的主机需要通过CE的一个物理接口访问多个VPN的需求(例如一些权限比较高的用户),或者被多个VPN用户访问的需求(例如一些被多个VPN用户访问的服务器)。利用多角色主机解决方案可以解决上述需求,其网络拓扑结构如图1所示:
在图中的MPLS VPN中,CE1通过Serial0/0/0接口接入PE1并与VPN1绑定,CE2通过Serial0/0/0接口接入PE2并与VPN2绑定,多角色主机PC1通过CE1接入,能够与VPN1和VPN2通信,而其它主机只能与所在VPN进行通信。
2.2 多角色主机的实现
在MPLS骨干网PE之间的基本路由交换配置完成后,以图1为例,实现多角色主机的基本思想是:一方面,为了使PE1(入口PE)能够将PC1(多角色主机)发来的报文转发给相应VPN的目的地址,需要在PE1上配置两个VRF,并为这两个VRF配置不同的RT属性,还需要配置针对PC1的IP地址的策略路由,并使用ACL(Access Control List,访问控制列表)规则对报文进行匹配,来区分报文对不同VPN的访问。这样,当PE1接收到来自VPN1中主机(包括多角色主机或其它主机)的报文后,首先根据报文的源地址识别发出报文的主机身份,如果是PC1,则根据配置的路由策略,使PC1访问不同VPN的报文同时在两个VRF中查找私网路由,获取要访问的目的VPN的信息并使用相应的VRF转发表转发该报文,最后该报文通过MPLS骨干网被送达相应VPN的目的地址。否则,根据主机所接入接口的VRF的RT属性来转发报文。需要注意的是,由于多角色主机需要访问多个VPN,因此在地址规划中要求多角色主机以及这些VPN中的地址都不能重叠。另一方面,为了使PE1下行到CE1的VPN2中主机发出的报文能够在PE1上VPN1的VRF中找到到达PC1正确的路由,需要将其路由引入到VPN1的VRF中(即在PE1上配置一条到达PC1的静态路由)。需要注意的是,多角色主机情况下的静态路由不同于普通静态路由,是通过一个VPN里面的静态路由指定其他VPN中的接口作为出接口来实现的。相应地在PE2中引入VPN2的直连路由,以便通过MP-EBGP(Multiprotocol Extensions BGP,多协议扩展BGP)向整个VPN2发布这条路由。
2.3 性能
使用通常做法(即在PE上设置不同的逻辑接口,然后通过对VRF属性的配置来实现特殊主机与多个VPN的通信)的缺点是:配置麻烦,会过多占用PE的资源,对使用者来说也很不方便。而利用多角色主机解决方案只需要配置一些策略路由和静态路由,具有较强的灵活性,同时对于ISP来说更容易管理。
参考文献
[1]王达,等.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004.58.
作者简介:王柱(1973-),男,辽宁阜新市人,辽宁工程技术大学技术与经济学院讲师,天津大学计算机科学与技术学院硕士,研究方向:计算机网络应用。
关键词:MPLS VPN;VRF;RT;多角色主机
分类号:TP393.06文献标识码:A
1 MPLS VPN基础知识
MPLS(Multi-Protocol Label Switching,多协议标签交换)是一种将具有相同转发处理方式的分组归为一类的分类转发技术[1]。其诸多优秀的组网特性非常适合组建VPN(Virtual Private Network,虚拟专网),在MPLS VPN中有CE(Custom Edge,用户接入设备)、PE(Provider Edge Router,骨干网边缘路由器)和P(Provider Router,骨干网核心路由器)三种路由器。
VRF(VPN Routing/Forwarding Instance,路由转发实例):综合了各Site的VPN成员关系和路由规则,包含了到达所有与本Site属于同一个VPN的Site路由信息,每个PE可以维护一个或多个逻辑上分离的VRF和一个公网的路由表。
RT(Route Target,路由目标):用于表明一个VRF的路由属性,以实现不同VRF间的路由互通。PE中有两个RT属性集合:一个用于附加到从某个Site接收的路由上,即Export Target;另一个用于决定哪些路由可以引入此Site的路由表中,即Import Target。通过匹配路由所携带的RT属性,可以过滤PE接收的路由信息,获得VPN的成员关系。
2 多角色主机的实现
2.1 多角色主机
在MPLS VPN网络中,通常情况下CE是通过特定的接口与相应的VRF相关联的,这就决定了由同一个入接口接入PE的所有CE都属于同一个VPN。但在实际组网中,存在一些特殊的主机需要通过CE的一个物理接口访问多个VPN的需求(例如一些权限比较高的用户),或者被多个VPN用户访问的需求(例如一些被多个VPN用户访问的服务器)。利用多角色主机解决方案可以解决上述需求,其网络拓扑结构如图1所示:
在图中的MPLS VPN中,CE1通过Serial0/0/0接口接入PE1并与VPN1绑定,CE2通过Serial0/0/0接口接入PE2并与VPN2绑定,多角色主机PC1通过CE1接入,能够与VPN1和VPN2通信,而其它主机只能与所在VPN进行通信。
2.2 多角色主机的实现
在MPLS骨干网PE之间的基本路由交换配置完成后,以图1为例,实现多角色主机的基本思想是:一方面,为了使PE1(入口PE)能够将PC1(多角色主机)发来的报文转发给相应VPN的目的地址,需要在PE1上配置两个VRF,并为这两个VRF配置不同的RT属性,还需要配置针对PC1的IP地址的策略路由,并使用ACL(Access Control List,访问控制列表)规则对报文进行匹配,来区分报文对不同VPN的访问。这样,当PE1接收到来自VPN1中主机(包括多角色主机或其它主机)的报文后,首先根据报文的源地址识别发出报文的主机身份,如果是PC1,则根据配置的路由策略,使PC1访问不同VPN的报文同时在两个VRF中查找私网路由,获取要访问的目的VPN的信息并使用相应的VRF转发表转发该报文,最后该报文通过MPLS骨干网被送达相应VPN的目的地址。否则,根据主机所接入接口的VRF的RT属性来转发报文。需要注意的是,由于多角色主机需要访问多个VPN,因此在地址规划中要求多角色主机以及这些VPN中的地址都不能重叠。另一方面,为了使PE1下行到CE1的VPN2中主机发出的报文能够在PE1上VPN1的VRF中找到到达PC1正确的路由,需要将其路由引入到VPN1的VRF中(即在PE1上配置一条到达PC1的静态路由)。需要注意的是,多角色主机情况下的静态路由不同于普通静态路由,是通过一个VPN里面的静态路由指定其他VPN中的接口作为出接口来实现的。相应地在PE2中引入VPN2的直连路由,以便通过MP-EBGP(Multiprotocol Extensions BGP,多协议扩展BGP)向整个VPN2发布这条路由。
2.3 性能
使用通常做法(即在PE上设置不同的逻辑接口,然后通过对VRF属性的配置来实现特殊主机与多个VPN的通信)的缺点是:配置麻烦,会过多占用PE的资源,对使用者来说也很不方便。而利用多角色主机解决方案只需要配置一些策略路由和静态路由,具有较强的灵活性,同时对于ISP来说更容易管理。
参考文献
[1]王达,等.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004.58.
作者简介:王柱(1973-),男,辽宁阜新市人,辽宁工程技术大学技术与经济学院讲师,天津大学计算机科学与技术学院硕士,研究方向:计算机网络应用。