程控交换与宽带交换 教学课件 作者 张中荃 第10章.pptVIP

第十章 MPLS技术在VPN上的应用 10.1 VPN的概念和结构 10.2 实现VPN的传统技术 10.3 利用MPLS技术实现VPN 10.1 VPN的概念和结构 10.1.1 VPN的概念 一、什么是VPN 虚拟专用网（Virtual Private Network，VPN）指的是依靠ISP和其他NSP（网络服务提供商）在公用网络中建立专用的数据网络。实际上，从虚拟专用网的“VPN”三个字母，就可以看出它的实质。 （1）“V”表明VPN有别于传统的电信网络，它并不实际存在；或者说，在任意两个节点之间的连接并没有传统专网所说的端到端的物理连接，而是利用现有网络通过资源配置以及虚电路的建立来构成动态的虚拟网络。 （2）“P”表明VPN将为特定的企业或用户群体所专用。 （3）“N”表明VPN是一种网络，VPN业务需要建立在专网用户之间的网络互连上，通过VPN内部的网络拓扑建立、路由计算、成员的加入和退出等来完成相应的工作。 二、VPN的应用方式 根据用户使用的情况和应用环境的不同，目前VPN技术大致可分为三种典型的应用方式，即：企业内连网VPN、企业外连网VPN和接入VPN。 10.1.2 VPN结构 VPN的服务目的就是在共享的基础网络上向用户提供网络连接，不仅如此，VPN连接应使得用户获得等同于专用网络的通信效果。 一、VPN的拓扑结构 VPN可以构建在很广泛的结构上，根据Access VPN，Intranet VPN及Extranet VPN的不同应用，VPN拓扑结构可以分为三种主要类型。 （1）对于Intranet VPN，可以采用星型辐射结构、部分或全互连结构、混合结构。 （2）对于Extranet VPN，可以采用两两相连的企业外部网和集中服务式外部网络结构。 （3）对于Access VPN，通常采用拨号VPN（即VPDN）和专线VPN。 二、FR和ATM VC构成的VPN结构 虚电路（VC）是FR和ATM所具有的特征，基于虚电路（VC）的VPN可以通过公共的FR或ATM网来传送IP业务。 服务提供商为远端用户提供的PVC和路由表由用户边缘设备（CE/CPE）来维护，这种实施方案的优点如下。 （1）对已经具有FR或ATM基础设施的服务提供商来说，MRS（管理路由服务）业务可以为其提供既便宜又快捷的实现VPN业务的方法。 （2）在提供直接的带宽分配机制方面具有优势，如FR承诺的信息速率（Committed Information Rate，CIR）、ATM确保信元速率（Sustained Cell Rate，SCR）或ATM最小信元速率（Minimum Cell Rate，MCR）的带宽分配方法，可以保证端到端的带宽。 （3）具有了VC拓扑结构提供的灵活性。 （4）PVC提供了逻辑VPN的分离，因此，加密不是必需的。 三、基于隧道技术的VPN结构 1．IP隧道 IP VPN将通过某种IP隧道来实现，VPN用户的数据也将通过各种IP VPN隧道来传输，如图10.2所示为基于IP隧道的VPN结构示意图。 2．GRE隧道 通用路由封装（GRE）协议是由Cisco和NetSmiths公司1994年提交给IETF的，标号为RFC1701和RFC1702。 四、基于传统路由器的VPN实现方案 在基于传统路由器实现VPN的方案中，服务提供商的边缘设备是一台路由器（Periphery Equipment，PE），它直接与用户前端设备路由器（Customer Equipment，CE）连接并交换路由信息，主要有共享路由器方式和专用路由器方式。 五、基于MPLS的VPN实现方案 基于MPLS的VPN具有许多优点，业务提供商可以使用MPLS设备建立一个全新类型的VPN。基于MPLS的VPN实现方案将在后面专门介绍。 10.2 实现VPN的传统技术 10.2.1 隧道技术 隧道是指在IP网络中通过特定的封装方式将用户原有的IP分组重新封装，并使用新的封装形式在IP网络中传输，就像用信封识别数据包业务流一样，信封中的内容对网络而言是不可见的。 VPN的实施必须通过使用一些隧道机制来实现。隧道机制的目的是要保证VPN中分组的封装方式及使用的地址与传输网络的封装方式及使用地址无关。 实现VPN隧道机制的要求，主要有以下几个方面。 1．VPN隧道多路复用技术 在某些情况下，相同的两端点之间可能需要多个VPN隧道。因此用于IP VPN的隧道协议应当具有对隧道进行复用的能力，也就是说，不同用户的业务流要在相同物理节点的不同隧道上传输，需要一个多路复用部分来区分哪一个数据包属于哪一个隧道。 2．VPN信令协议 在隧道建立之前，端节点必须知道一些有关VPN的配置信息。一旦得到这些信息，隧道协议